viernes, 24 de diciembre de 2010

Gestor de logs de la red - Networking

Cuando tenemos un problema crítico de red suele ser muy difícil localizar que ha podido pasar, ya sea debido al gran numero switches, routers, access points, etc... que tenemos en red sin centralizar. También suele pasar que debido al problema se nos ha podido reinicar o apagar algún elemento de nuestro networking borrando el log y dejándonos si saber cual ha podido ser el motivo.

Para poder tener un mayor control ante un incidente de este tipo, o por saber que está pasando en todo momento en nuestra electrónica de red es recomendable activar un gestor de log's centralizado.

La finalidad de estos gestores es ir registrando en cada momento anotaciones de los periféricos dados de alta. Su metódica no es ir preguntado a cada host como está su estado, sino es una vez configurando cada hosts, este envía cualquier cambio al servidor de logs, minimizando el tráfico de red.

Yo actualmente utilizo un programa gratiuto a la par de sencillo. Hay infinidad de productos que dan este servicio con muchas mejoras añadidas.

No es necesario activar ninguna community ni servicio snmp.

Aquí hemos usado el 3CDaemon de 3com que es gratuito y bastante antiguo, pero hace de sobras las funciones que necesitamos incluso alguna más.

No documentaré su instalación ya que no deja de ser siguiente, siguiente...

Poco hay que configurar, yo he hecho de la siguiente manera:

Parte Servidor:

- Nos vamos a la pestaña "Syslog Server"


- Elegimos la carpeta donde almacenar la información registrada:


- Yo prefiero que me haga un fichero log por cada host a monitorizar, siempre tendré en pantalla todos a la vez por si necesito consultarlo.


- Habría que dar de alta las IP's que nos interese monitorizar:




- En nuestra carpeta de log's veríamos lo siguiente:


- No olvidarnos que se arranque la opción de syslog al arrancar el programa


Parte Cliente:

- En mi caso es para monitorizar electrónica Cisco. Habria que hacer lo siguiente:

Switch#config term
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#logging on
Switch(config)#logging 172.1.50.200
Switch(config)#end
Switch#wr
Building configuration...
[OK]


-Para algunos modelos de HP para Activar el envio de log a un Syslog en un HP de manera estandar

HP ProCurve Switch 2626# configure
HP ProCurve Switch 2626(config)# logging 172.1.50.200
HP ProCurve Switch 2626(config)# write mem
HP ProCurve Switch 2626(config)#


-Para verificar en un HP donde se entan enviado los log usaremos el comando "show debug"

HP ProCurve Switch 2626# show debug
 Debug Logging
  Destination:    None

- Para anular el envio en un HP de log "no debug destination logging"

HP tiene varios niveles de detalle de envio de logs añadiendo el parametro "facility"
Reultado:

El resultado obtenido vendría ser algo parecido a




También hay una seríe de programas que sirven para interpretar, hacer filtrados, generar informes ...  de los resultados obtenidos de los syslogs

Para dar de alta periféricos de otras marcas podemos usar como referente: http://www.kiwisyslog.com/help/syslogd7/index.html?configure_cisco_pix.htm

Rev 1.1

3 comentarios:

CrazyBoSS dijo...

Hola, que otros gestores tenemos ya que no encuentro ninguno gratuito. Mucho mejor si fuera para Linux!

BuzonGon dijo...

Hola CrazyBoss

Mirate
http://www.slideshare.net/andreslds/gestion-y-monitoreozenoss-presentation

http://www.kiwisyslog.com/kiwi-syslog-server-overview/

Tambien hay muchas máquina virtuales gratuitas preconfiguradas que te pueden ayudar como groundwork, nagios, ...

Saludos

BuzonGon dijo...

En linux está el rsyslog que es gratuito.