Geschreven door Remco Kersten, 03-04-2022

Categorie: CCNA

Wat is syslog

Syslog staat voor System Message Logging, berichten gericht aan de (netwerk)beheerders. Deze berichten kunnen variëren van belangrijke kritische berichten (zoals het vastlopen van een router) tot minder belangrijke informatieve berichten (zoals het opkomen van een line protocol).

Syslog configureren op Cisco devices

Cisco devices kunnen syslog berichten op de volgende manier weergeven:

  • Via de console connectie
  • Via vty connectie’s (telnet, SSH etc.)
  • Opslaan in buffer
  • Naar syslog server

Severity Levels

Niet ieder syslog bericht is even belangrijk. Daarom worden syslog berichten opgedeeld in de volgende categorieën:

Keyword Nummer Omschrijving
Emergency 0 Systeem onbruikbaar
Alert 1 Directe actie vereist
Critical 2 Kritische gebeurtenis
Error 3 Error
Warning 4 Waarschuwing
Notification 5 Normaal, maar belangrijker dan informational
Informational 6 Normaal, minder belangrijk dan notification
Debug 7 Debug bericht

Syslog op console

Standaard worden alle syslog berichten op de console connectie weergeven. Met commando logging console level kan worden ingesteld welke berichten worden weergeven op de console connectie. level staat hierbij voor het laatste severity level. Deze kan zowel als keyword of nummer worden opgegeven. logging console 4 is dus hetzelfde als logging console warning. In dit geval worden alleen syslogberichten met level 0 t/m 4 weergeven op de console connectie.

Syslog op vty connectie’s

Syslog berichten kunnen ook worden verstuurd naar vty connectie’s, gebruikers welke op de router zijn ingelogd via bijvoorbeeld SSH. Met commando logging monitor level kan worden ingesteld welke berichten worden weergeven op de vty connectie’s.

Let op! Als een gebruiker is ingelogd krijgt deze standaard geen syslog berichten te zien. De gebruiker kan dit in zijn sessie aanzetten door in enabled mode het command terminal monitor op te geven.

Syslog naar buffer

Cisco devices hebben een buffer waarin syslog berichten worden opgeslagen. Met commando logging buffered level kan worden ingesteld welke berichten worden opgeslagen in deze buffer.

In enabled mode kan de buffer worden ingezien met commando show logging

R4#show logging
Log Buffer (8192 bytes):

*Apr  3 12:08:44.372: %LINK-3-UPDOWN: Interface GigabitEthernet0/0, changed state to down
*Apr  3 12:08:44.378: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed state to down
*Apr  3 12:08:44.379: %LINK-3-UPDOWN: Interface GigabitEthernet0/2, changed state to up
*Apr  3 12:08:44.389: %LINK-3-UPDOWN: Interface GigabitEthernet0/3, changed state to down
*Apr  3 12:08:45.381: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to down
*Apr  3 12:08:45.384: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to down

Syslog naar syslog server

Stel je hebt 30 Cisco apparaten in het netwerk. In dit geval wordt het vrijwel onmogelijk om periodiek op deze apparaten de logging berichten na te lopen. Sterker nog, je wilt uiteraard een melding krijgen in het geval van een emergency of alert melding!

Cisco apparaten kunnen de syslog berichten doorsturen naar een syslog server. Een voorbeeld syslog server is Kiwi.

Om een syslog server in te stellen moeten er 2 dingen gebeuren:

  1. De syslog server opgeven: logging host IP-adres of hostname
  2. Aangeven t/m welk severity level syslog berichten naar de server moeten worden verstuurd: logging trap level

In onderstaand voorbeeld worden berichten t/m level 4 (notification) naar syslog server 172.16.189.184 gestuurd

R1(config)#logging host 172.16.189.184
R1(config)#logging trap 4

Kiwi syslog