Protocolo Syslog para logs de rede
O que é Syslog
Syslog é o protocolo padrão para envio e armazenamento de mensagens de log em dispositivos de rede. Roteadores e switches Cisco geram mensagens de log para informar sobre eventos do sistema — falhas de interface, autenticação, mudanças de configuração, entre outros.
Por padrão, essas mensagens são exibidas no console. Com Syslog, você centraliza todos os logs em um servidor externo, facilitando monitoramento e auditoria.
Syslog usa UDP porta 514.
Níveis de severidade
Cada mensagem possui um nível de severidade de 0 a 7:
| Nível | Palavra-chave | Descrição |
|---|---|---|
| 0 | emergencies | Sistema inutilizável |
| 1 | alerts | Ação imediata necessária |
| 2 | critical | Condição crítica |
| 3 | errors | Erros |
| 4 | warnings | Avisos |
| 5 | notifications | Condição normal, mas significativa |
| 6 | informational | Mensagens informativas |
| 7 | debugging | Mensagens de depuração |
> Memorize com: "Every Awesome Cisco Engineer Will Need Ideal Debugging"
Destinos de log
Mensagens podem ser enviadas para múltiplos destinos simultaneamente:
- Console — exibido durante sessão de console
- VTY lines (monitor) — exibido em sessões Telnet/SSH
- Buffer interno — armazenado na RAM do dispositivo
- Servidor Syslog externo — centralização de logs
Configuração no Cisco IOS
Ativar log no buffer interno
Router(config)# logging buffered 8192
Router(config)# logging buffered informationalEnviar logs para servidor externo
Router(config)# logging host 192.168.1.100
Router(config)# logging trap warningsO comando logging trap define o nível máximo de severidade enviado ao servidor. Especificar warnings envia níveis 0 a 4.
Ativar log nas linhas VTY
Router# terminal monitorEste comando é necessário em sessões SSH/Telnet para visualizar logs em tempo real. Não persiste após desconexão.
Incluir timestamp nas mensagens
Router(config)# service timestamps log datetime msecSem timestamp, as mensagens não têm referência de tempo — essencial para diagnóstico.
Formato da mensagem Syslog
*Mar 1 12:00:15.123: %LINK-3-UPDOWN: Interface GigabitEthernet0/0, changed state to up| Campo | Exemplo |
|---|---|
| Timestamp | *Mar 1 12:00:15.123 |
| Facility | LINK |
| Severidade | 3 (errors) |
| Mnemônico | UPDOWN |
| Descrição | Interface mudou estado |
Verificação
Router# show loggingExibe configuração atual, nível ativo, destinos e as últimas mensagens armazenadas no buffer.
Pontos-chave para o exame
- UDP 514 é a porta padrão do Syslog
- Severidade 0 é a mais crítica, 7 é a menos crítica
logging trapenvia aquele nível e todos os mais críticos (menores)terminal monitoré necessário para ver logs em sessões VTYservice timestampsadiciona data/hora às mensagens- Sem
logging host, os logs não saem do dispositivo automaticamente