بروتوكول Syslog

 بروتوكول Syslog

يمكن للعديد من أجهزة الشبكات تسجيل الاحداث التي تجري بداحلها من توثيقها على شكل رسائل باستخدام بروتوكول الـ (Syslog). يمكن تتبع الاحداث بمحتلف درجات أهميتها وتخزينها ليتمكن مدير الشبكة الرجوع إليها ومعرفة ما يجري في الشبكة.

أجهزة سيسكو كما هو الحال للأجهزة التي تنتجها أغلب الشركات، يمكن تخزين الاحداث التي يسجلها برتوكول الـ (Syslog) في عدة اماكن على النحو التالي:

-         ذاكرة الجهاز الداخلية (buffer) ويبلغ الحجم الافتراضي لهذه الذاكرة في أجهزة سيسكو 256 بايت

-         ارسالها من خلال مدخل الـ (console)

-         ارسالها من خلال مداخل ادارة الجهاز عبر الشبكة (VTY lines)

-         ارسالها لخادم متخصص (Syslog server)، ومن أشهر البرمجيات هو (Kiwi syslog server)

تصنف الاحداث التي يتم تتبعها حسب أهميتها لعدة درجات ويستدل على درجة الأهمية من خلال مقياس يبدأ من الصفر لمستوى (7)، حيث يدل الرقم صفر على مستوى بالغ الأهمية ويكون ال (7) للمستوى الأقل أهمية، وتاليا تعريف بالمستويات الثمانية:

1.      مستوى (Emergency) ويشار إليه بالرقم (0) وهو مخصص للاحداث التي تسبب بتعطل الجهاز بشكل كامل

2.      مستوى (Alert) ويشار إليه بالرقم (1) وهو مخصص للاعطال التي تتطلب تدخل سريع من مدير الشبكة لمعالجة العطل

3.      مستوى (Critical) ويشار إليه بالرقم (2) وهو مخصص للاحداث التي تطرأ على الجهاز والتي قد تسبب تعطله

4.      مستوى (Error) ويشار إليه بالرقم (3) وهو مخصص للاعطال التي تحدث دون تعطل الجهاز بشكل كامل

5.      مستوى (Warning) ويشار إليه بالرقم (4) وهو مخصص للاحداث التي تتطلب لفت انتباه مدير الشبكة لشيء ما قد يسبب وقوع عطل

6.      مستوى (Notification) ويشار إليه بالرقم (5) وهو مخصص للاحداث الهامة التي تجري دون وقوع اعطال ولكن وجب التنبيه إليها

7.      مستوى (Informational) ويشار إليه بالرقم (6) وهو مخصص للاشارة للاحداث العادية التي تجري

8.      مستوى (Debugging) ويشار إليه بالرقم (7) وهو مخصص للاحداث التي تنتج عند تشغيل أمر (Debug)

تركيبة رسائل الـ (Syslog) على أجهزة سيسكو

تتكون رسائل الـ (Syslog) من الأجزاء التالية:

-         وقت حصول الحدث (timestamp)

-         بيان الجزء المرتبط بالحدث

-         مستوى أهمية الحدث

-         وقائع الحدث

-         وصف عن الحدث

ويمكن اضافة الرقم التسلسلي للرسالة على الرسائل المسجلة.

مثال على الرسائل المسجلة:

*Dec 18 17:10:15.079: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down

تشغيل الـ (Syslog) على أجهزة سيسكو

تفعيل تخزين رسائل الـ (Syslog) في الذاكرة الداخلية للجهاز (RAM)

Router(config)# logging buffer

تفعيل ارسال رسائل الـ (Syslog)  لمخرج ادارة الجهاز(console)

Router(config)# logging console

تفعيل ارسال رسائل الـ (Syslog) لخادم متخصص (syslog server)

Router(config)# logging 192.168.10.100

Router(config)# logging trap 4

التأكد من اعدادات الـ (Syslog)

Router# show logging

بروتوكول NetFlow

بروتوكول NetFlow

يعتبر الـ )NetFlow( من الأدوات المهمة في مراقبة الشبكات ومعرفة طبيعة البيانات المارة عبر أجهزة الشبكة. يقوم الـ )NetFlow( بتحليل البيانات التي تعبر أجهزة الشبكة وتصنيفها بناء على اطراف التراسل (المرسل والمستقبل) وكذلك نوع البروتوكول وحجم البيانات المرسلة لكل تدفق (flow(.

الـ) NetFlow( واحد من البروتوكولات التي أوجدتها شركة سيسكو والتي تعمل على أجهزتها فقط، وهو شبيه ببروتوكول الـ (JFlow( الذي يعود لشركة (Juniper). كما يوجد بروتوكولات أخرى مطبقة من قبل كثير من الشركات على أجهزتها كونها مفتوحة (Open Standard( وملكيتها ليست مقتصرة على شركة معينة، ومن هذه البروتوكولات الـ (sFlow) و الـ (IPFIX(.

 يستخدم الـ )NetFlow( للعديد من الغايات التي تساعد مديري الشبكات في الحصول على تقارير عن استخدام الشبكة. فمن خلال الـ )NetFlow( يمكن معرفة نقاط الحمل على الشبكة الـ (bottleneck) وفهم الأسباب والمساعدة في التخطيط لتحسين اداء الشبكة، بالاضافة لذلك فإنه يمكن معرفة طبيعة البيانات والبروتوكولات التي تعبر الشبكة لتجنب الاخطار والهجوم التي تتعرض لها الشبكة، كما يمكن الاستفادة من الـ )NetFlow( بمعرفة حجم البيانات المستخدمة من قبل الزبائن للشبكة وخصوصا شبكات مزودي خدمة الانترنت.

يقوم الـ )NetFlow( بتتبع عينات من البيانات المارة عبر جهاز الشبكة (على سبيل المثال جهاز الراوتر) وجمع الاحصائيات عنها وتخزينها في الذاكرة الداخلية (Cache(، بالاضافة لامكانية ارسالها لخادم مخصص لجمع تلك الاحصائيات للرجوع إليها من قبل مدير الشبكة. 

يحتاج الـ )NetFlow( لجهاز ذو ذاكرة مرتفعة، لذا لا يجب تشغيل البروتوكول على كل أجهزة الشبكة، إذ يفضل ان يتم تشغيله على أجهزة الشبكة الرئيسية التي تمثل النقاط التجميعية )aggregation routers/switches( والتي تمر منها معظم البيانات.

يقوم الـ )NetFlow( بتتبع البيانات المارة في الشبكة وتجميع الاحصائيات عنها وتصنيفها حسب التدفقات (flow)، حيث تكون البيانات تابعة لنفس الـ (flow) في حالت كانت الخصائص التالية متشابهة لتلك البيانات:

1.      Source IP address

2.      Destination IP address

3.      Source port number

4.      Destination port number

5.      Layer 3 protocol type

6.      Type of Service (ToS) marking

7.      Input logical interface

يستمر وجود الاحصائيات في ذاكرة جهاز الشبكة لمدة اقصاها (30) دقيقة، إذ تحذف بعد ذلك حتى في حال وجود بيانات تعود لتلك الـ (flow). أما في حال انقضاء (15) ثانية دون وجود بيانات لـ (flow) معينة فإنها تحذف بعد انقائ هذه المدة. يستطيع الجهاز الاحتفاظ باحصائيات لـ (flow) بعدد (65536) كقيمة افتراضية، ويمكن تغييرها لتصل بحد أقصى (524288).

تشغيل الـ (NetFlow) على أجهزة سيسكو

1-     تفعيل البروتوكول على المنفذ وتحديد الاتجاه المطلوب تتبع البيانات عليه

Router(config)# int fa0/0

Router(config-if)# ip flow ingress

Router(config)# ip flow egress

2-     تحديد عنوان الخادم الذي سيحتفظ بالاحصائيات وتحديد رقم المنفذ )port number(

Router(config)# ip flow-export destination 10.200.10.10 9996

3-     تحديد رقم النسخة المراد تفعيلها )NetFlow version(

Router(config)# ip flow-export version 9

4-     تحديد عنوان المصدر الذي سترسل منه الاحصائيات، علما بأن الوضع الافتراضي بأن يستخدم الراواتر عنوان المنفذ) interface number) الذي يؤدي إلى الخادم كمصدر للاحصائيات المرسلة للخادم، وفي حال تغير المسار باتجاه الخادم استخدم منفذ آخر من قبل الراوتر فإن ذلك يتسبب بتغيير مصدر الاحصائيات وهذا يحعل الخادم يتعامل من تلك الارساليات كأنها قادمة من جهاز راوتر آخر.

Router(config)# ip flow-export source loopback 1

للتأكد من اعدادات) interface number) وحالته ونتائج تفعيله نستخدم الأوامر التالية:

Router# show ip flow interface

Router# show ip flow export

Router# show ip cache flow