NTP e Syslog — Sincronização de Tempo e Registro de Eventos
O que é
Imagine que a filial de uma empresa em Recife perde conectividade com a matriz em São Paulo às 2h17 da madrugada. O analista responsável entra no roteador às 9h, abre os logs e vê que os registros de Recife marcam o problema às 23h03 enquanto os de São Paulo indicam 2h17. Qual horário é o correto? Sem uma fonte de tempo sincronizada, correlacionar eventos entre dispositivos se torna um trabalho de adivinhação.
É exatamente esse problema que o NTP resolve. O Network Time Protocol é o protocolo responsável por sincronizar automaticamente o relógio de roteadores, switches e servidores com fontes de tempo precisas, mantendo toda a rede na mesma referência temporal.
O Syslog é o protocolo complementar: define o formato e o destino das mensagens de log geradas pelos dispositivos. Juntos, NTP e Syslog formam a base de qualquer operação sadia de rede — um garante que os eventos tenham a hora certa, o outro garante que os eventos sejam registrados de forma padronizada.
- NTP opera na porta UDP 123
- Syslog opera na porta UDP 514 (quando enviado a servidor externo)
Como funciona
NTP — Hierarquia Stratum
O NTP organiza as fontes de tempo em uma hierarquia chamada stratum:
| Stratum | Descrição |
|---|---|
| 0 | Relógio de referência (GPS, relógio atômico) — não acessível diretamente |
| 1 | Servidor primário, diretamente conectado ao stratum 0 |
| 2 | Servidor secundário, sincronizado com stratum 1 |
| 3..14 | Cada nível sincroniza com o nível anterior |
| 15 | Limite máximo confiável |
| 16 | Não sincronizado — descartado |
Quando um roteador Cisco sincroniza com um servidor stratum 1, ele automaticamente passa a operar como stratum 2 e pode servir de referência para outros dispositivos. O dispositivo não precisa de configuração explícita para isso — basta ter o ntp server configurado.
Modos de operação NTP no Cisco IOS
Client mode — o dispositivo sincroniza seu relógio com um servidor NTP externo:
ntp server 200.160.7.186Server mode — quando o dispositivo já é cliente, automaticamente vira servidor para outros. Para funcionar como servidor sem depender de upstream, usa-se:
ntp master 5O número define o stratum (padrão é 8 se omitido). O device passa a usar o endereço de loopback 127.127.1.1 como sua própria referência.
Symmetric active mode (peer) — dois dispositivos no mesmo stratum se tornam pares, sincronizando entre si como backup mútuo:
ntp peer 10.0.23.3Autenticação NTP
Para evitar que um dispositivo malicioso se passe por servidor NTP, o IOS suporta autenticação MD5:
ntp authenticate
ntp authentication-key 1 md5 SenhaSegura2026
ntp trusted-key 1
ntp server 10.0.12.1 key 1A autenticação é opcional, mas recomendada em ambientes corporativos.
Syslog — Níveis de Severidade
O Syslog define 8 níveis de severidade, onde 0 é o mais crítico e 7 o menos crítico:
| Nível | Nome | Descrição |
|---|---|---|
| 0 | Emergency | Sistema inutilizável |
| 1 | Alert | Ação imediata necessária |
| 2 | Critical | Condições críticas |
| 3 | Error | Condições de erro |
| 4 | Warning | Condições de aviso |
| 5 | Notice / Notification | Condição normal, mas significativa |
| 6 | Informational | Mensagens informativas |
| 7 | Debugging | Mensagens de depuração detalhadas |
Mnemônico: Every Awesome Cisco Engineer Will Need Ice Daily (E-A-C-E-W-N-I-D).
> No IOS Cisco, o nível 5 aparece como notification (e não notice como no RFC). Saiba os dois nomes.
Formato de uma mensagem Syslog
*Apr 3 10:22:47.453: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up| Campo | Valor no exemplo | Significado |
|---|---|---|
| Timestamp | Apr 3 10:22:47.453 | Data e hora do evento |
| Facility | LINEPROTO | Subsistema que gerou o log |
| Severity | 5 | Nível de severidade (Notification) |
| Mnemônico | UPDOWN | Código curto do evento |
| Descrição | Line protocol on Interface... | Detalhe do que aconteceu |
Destinos das mensagens Syslog
| Destino | Comando | Padrão |
|---|---|---|
| Console | logging console [nível] | Habilitado (nível 7) |
| VTY (Telnet/SSH) | logging monitor [nível] + terminal monitor | Desabilitado |
| Buffer RAM | logging buffered [tamanho] [nível] | Habilitado (nível 7) |
| Servidor externo | logging host <IP> + logging trap [nível] | Desabilitado |
Ao especificar um nível, todos os níveis de menor número (maior severidade) também são incluídos. logging buffered 6 salva os níveis 0 a 6, excluindo apenas debug (7).
Na prática
Configurar NTP em rede corporativa brasileira
! R1 sincroniza com servidores NTP do NIC.br
ntp server 200.160.7.186 prefer
ntp server 200.160.7.193
! Definir fuso horário (Brasília, UTC-3)
clock timezone BRT -3
! Usar loopback como origem dos pacotes NTP (estabilidade)
ntp source Loopback0
! Sincronizar também o hardware clock (persiste após reboot)
ntp update-calendar! Verificar status
show ntp status
! Saída esperada: Clock is synchronized, stratum 2, ...
show ntp associations
! Asterisco (*) = servidor ativo selecionado
! Sinal de mais (+) = candidato
! Til (~) = configuradoConfigurar dispositivo como NTP master (rede isolada)
! Quando não há acesso a internet — R1 age como referência interna
ntp master 5
! R2 e R3 apontam para R1
ntp server 10.0.12.1Configurar Syslog completo
! Timestamps detalhados em todas as mensagens
service timestamps log datetime msec
! Logging para console (informational e acima)
logging console 6
! Logging para buffer RAM (4096 bytes, todos os níveis)
logging buffered 4096 7
! Enviar logs para servidor Syslog centralizado (ex: Zabbix, Graylog)
logging host 192.168.100.50
logging trap informational
! Evitar que mensagens interrompam digitação no console
line console 0
logging synchronous! Verificar logs armazenados no buffer
show logging
! Filtrar logs específicos
show logging | include OSPF
show logging | include GigabitEthernetVerificar sincronização e correlacionar com logs
show clock detail
! Linha "Time source is NTP" confirma sincronização via NTP
show ntp status
! "Clock is synchronized" = OK
! "Clock is unsynchronized" = problema com o servidor NTPPor que cai no exame
NTP aparece no tópico 4.2 (configurar e verificar NTP em modo cliente e servidor) e Syslog no tópico 4.5 (descrever o uso de recursos Syslog incluindo facilidades e níveis) do CCNA 200-301.
Os pontos mais cobrados:
NTP:
- Stratum — saber que o device fica em stratum+1 em relação ao servidor que usa. Se sincronizar com stratum 1, vira stratum 2.
ntp master— padrão stratum 8; endereço127.127.1.1noshow ntp associationsé o indicador.ntp servervsntp peervsntp master— client mode, symmetric active mode e server mode respectivamente.show ntp associations— asterisco = peer selecionado, mais = candidato.- NTP usa UDP 123 — não confundir com outras portas de serviço.
Syslog:
- Todos os 8 níveis com número e nome são cobrados diretamente. Questão típica: "qual é o nível 3?" → Error.
- Nível 5 tem dois nomes: notice (RFC) e notification (IOS Cisco).
- Quando especifica um nível, inclui tudo acima —
logging buffered 4guarda níveis 0, 1, 2, 3 e 4. - Destinos padrão: console e buffer são ativos por padrão; VTY e servidor externo precisam de configuração.
- UDP 514 para envio ao servidor Syslog externo.
terminal monitor— necessário por sessão para ver logs via Telnet/SSH.
Questões de cenário geralmente apresentam uma saída do show logging ou show ntp associations e pedem identificar o nível de severidade, o servidor ativo ou a causa de um problema de tempo entre dispositivos.
Resumo em uma linha
NTP sincroniza o relógio de todos os dispositivos da rede usando uma hierarquia de stratum (UDP 123), enquanto Syslog padroniza o registro de eventos em 8 níveis de severidade (UDP 514), sendo que ambos trabalham juntos para permitir troubleshooting preciso com timestamps confiáveis.