MUHAMMAD AL-XORAZMIY NOMIDAGI TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI
SAMARQAND FILIALI
TELEKOMMUNIKATSIYA TEXNOLOGIYALARI VA KASB TA’LIMI FAKULTETI
Virtual tarmoq texnologiyalariF
ANIDAN
Mustaqil ish
Bajardi: Toshmatov Sh
Qabul qildi: Bolbekov.M
Samarqand -2023
Mavzu:
Qaysi syslog identifikatori eng yuqori ustuvorlikka ega. Syslog - tarmoq tizim jurnali. syslog Ichki tizim syslog xabarlari
Syslog protokoli va qo'llab-quvvatlovchi dasturiy ta'minot tizim jurnalida (jurnallar, tizim konsolida) hodisalar haqidagi ma'lumotlarni yozib olishni, shuningdek ularni tarmoq orqali logging serveriga uzatishni, xabarlarning manbasi va ahamiyatiga qarab tartiblash va qayta ishlashni ta'minlaydi. Maqolada syslog protokoli, uni Solaris va Linux (syslogd), Cisco IOS-da amalga oshirish, shuningdek, yordamchi vositalar: logrotate, logwatch tasvirlangan.
Tizimning tarkibiy qismlari xabarlar generatori (qurilma yoki jarayon), almashish protokoli, xabarlar yig'uvchisi (kollektor, syslog server), o'rni (rele, bir yoki bir nechta generatorlardan xabarlarni qabul qiladi va ularni bir yoki bir nechta kollektorlarga uzatadi) quyidagi o'rni). Generator (yoki uzatishda rele) qabul qiluvchining rele yoki kollektor ekanligini bilmaydi, u bir xabarni bir nechta qabul qiluvchilarga uzatishi mumkin, u xabarni o'zini qayta ishlay oladi (masalan, faylga yozish).
Syslog protokoli xabarlarni qalbakilashtirishdan himoyalanmagan. Bundan ham yomoni, UDP protokolidan foydalanish tajovuzkorlarga istalgan xost nomidan xabar yuborish imkonini beradi. LAN soxta mahalliy manzilli paketlarni qabul qilishdan (IOS ACL, ipchainlar) himoyalangan bo'lishi kerak (garchi bu LAN ichidan soxta xabarlar yuborilishiga to'sqinlik qilmasa ham) va paketlarni tashqaridan 514/udp portida qabul qilishdan himoyalangan bo'lishi kerak. Diskni noto'g'ri xabarlar bilan to'ldirish holatlari ma'lum.
Syslog protokoli va UDP kafolatlangan yetkazib berishni ta'minlamaydi (xabarlar tarmoq tiqilib qolishi yoki ushlanishi tufayli yo'qolishi mumkin, buzilgan xabarlar ogohlantirishsiz o'chiriladi), to'g'ri etkazib berish ketma-ketligi (jarayonni tugatish xabari jarayon boshlanishi xabaridan oldin kelishi mumkin), ustuvor yetkazib berish .
Xabarlarning maxfiyligi ta'minlanmaydi, chunki ular aniq matnda uzatiladi.
Xabar generatorini o'rnatishda noto'g'ri kollektor yoki o'rni manzilini ko'rsatsangiz, unda xato xabarlari bo'lmaydi - xabarlar o'chiriladi (yoki boshqa birovning jurnaliga yoziladi;).
Noto'g'ri konfiguratsiya qilingan o'rni orqali xabarlarni uzatish aylanishini oldini olish uchun hech qanday vosita yo'q.
RFC 3195 taklif qiladi yangi protokol to'g'ri ketma-ketlikda yetkazib berishni ta'minlash uchun TCP (syslog-conn, 601) orqali. Amalga oshirish menga ma'lum emas. XML, SMTP uslubidagi buyruqlar va qaytarish kodlari va standart syslog formatidagi xabarlarni o'rab oladigan MIME (BEEP) sarlavhalarining dahshatli aralashmasi. Ikki rejim qo'llaniladi - RAW (joriy UDP protokoliga o'xshash) va COOKED (xabarlar maydonlar bo'yicha tuzilgan). BEEP sizga autentifikatsiya, yaxlitlik va maxfiylikni (SASL, TLS) taqdim etish imkonini beradi.
Syslog-sign RFC loyihasi oldingi xabarlar blokining raqamli imzosini o'z ichiga olgan maxsus xabarlarni yaratish, standart syslog protokoli va formatini saqlash va UDP dan foydalanish orqali autentifikatsiyani, xabarlarni tartiblashni, xabarlarning yaxlitligini va etishmayotgan xabarlarni aniqlashni ta'minlashni taklif qiladi. SHA1, OpenPGP DSA tomonidan qo'llaniladi.
514/UDP porti xabarlarni qabul qilish uchun ishlatiladi. Shuningdek, xabarni uzatish uchun 514 manba portidan foydalanish tavsiya etiladi. Xabar shunday matn qatori va 1024 baytdan ortiq bo'lishi mumkin emas, aks holda uni kesish yoki hatto tashlashga ruxsat beriladi. Hatto 514-portga yuborilgan noto'g'ri tuzilgan xabar ham syslog xabari sifatida ko'rib chiqilishi kerak. Biroq, agar o'rni xabarni keyingi yuborsa, u unga standart sarlavhalarni qo'shishi kerak (ehtimol uni 1024 baytga qisqartirishi mumkin) - FOYDALANUVCHI, OGOHLANTIRISH, uning mahalliy vaqti va xabar manbasining oddiy nomi.
Xabar PRI maydonidan boshlanadi, u xabarning manbasi (ob'ekti) va xabarning jiddiylik darajasi (sevimlilik darajasi) haqidagi ma'lumotlarni kodlaydi. Undan keyin vaqt (TIMESTAMP), bo'sh joy, xost nomi yoki o'nlik sanada IP-manzil (HOSTNAME), bo'sh joy, US-ASCII (0x20 - 0x7e) da maxsus xabar matni (MSG) keladi.
Xost nomi (oddiy, FQDN emas!) xabar generatoriga ma'lum bo'lganidek yoziladi. Agar qurilmada turli IP-manzillarga ega bo'lgan bir nechta interfeyslar mavjud bo'lsa, ularning har biri xost nomi yoki manzili sifatida ishlatilishi mumkin.
Xabar tanasi (MSG) odatda xabarni chiqargan dastur yoki jarayonni va xabarning asosiy qismini (CONTENT) ko'rsatadigan yorliqni (TAG) o'z ichiga oladi. Yorliq lotin harflari va raqamlarini o'z ichiga olishi mumkin. Xabar tanasining boshlanishi birinchisi bilan belgilanadi maxsus xarakter- odatda ikki nuqta yoki ochiladigan kvadrat qavs. Masalan, Cisco IOS da yorliq sifatida xabarlar ketma-ketligi raqami va ikki nuqtadan foydalaniladi, Unix esa oddiy dastur nomidan foydalanadi (xabar tanasi kvadrat qavs ichidagi jarayon raqami va ikki nuqta bilan boshlanadi).
syslogd 514/UDP portidan va mahalliy manbalardan (socket /dev/log) xabarlarni qabul qiladi, xabar manbasi va jiddiylik darajasiga qarab ularni yo'naltiradi. Xabarlarni jurnalga chiqarish, konsolga, terminalga chiqarish, boshqa serverga yuborish imkonini beradi. MARK manbasining qo'shimcha turi kiritildi (muntazam belgilar, ma'lumot)
Har bir jurnal qatori bo'sh joylar bilan ajratilgan maydonlardan iborat bitta xabar yozuvini o'z ichiga oladi:
standart matn formatidagi sana (syslog xabaridagi TIMESTAMP maydoni)
xost nomi (fqdn yoki stenografiya, syslog xabaridagi HOSTNAME maydoni)
xabar matni (syslog xabaridagi TAG va CONTENT maydonlari)
Ishga tushirish parametrlari:
-a qo'shimcha-tinglash-rozetkasi (demonlarni chroot qilish uchun foydali; bir nechta bo'lishi mumkin)
-d(disklarni tuzatish rejimi)
-f konfiguratsiya fayli nomi (standart, /etc/syslog.conf)
-h(masofaviy xostlardan qabul qilingan xabarlar uzoqdagi xostga yozilmaydigan odatiy xatti-harakatni o'zgartiring, buning oldini olish uchun)
-l xostlar ro'yxati (ismlari FQDN sifatida yozilmasligi kerak bo'lgan xostlar ro'yxati; ikki nuqta bilan ajratilgan)
-m daqiqa (muntazam vaqtinchalik yozuvlar uchun interval; sukut bo'yicha 20; agar 0 bo'lsa, buni umuman qilmang)
-p tinglash rozetkasi (standart: /dev/log)
-r(masofaviy xostlardan xabarlarni olishga ruxsat berish; xavfsizlik devori ochiq bo'lishi kerak; 514/udp uchun syslog /etc/services ichida aniqlanishi kerak)
-s domen ro'yxati (belgilangan domen nomlaridan xost nomlarini kesish; ikki nuqta bilan ajratilgan; sukut bo'yicha, syslog server domeniga mos keladigan domen kesiladi)
-x(xost nomini uning manzilidan aniqlashni taqiqlash, DNS serveri bilan bir xil xostda ishlayotganda blokirovkani oldini oladi)
Ishlatilgan fayllar:
/etc/syslog.conf- konfiguratsiya fayli (boshlashda parametr bo'yicha o'zgartiriladi -f)
/dev/log- o'qish uchun rozetka mahalliy xabarlar(boshlashda parametr bo'yicha o'zgartirildi -p)
/var/run/syslogd.pid- jarayon identifikatori
Signallarga reaktsiya:
SIGHUP - qayta ishga tushirish (barcha fayllarni yopadi, konfiguratsiya faylini qayta o'qiydi)
SIGTERM - o'chirish
SIGINT, SIGQUIT - disk raskadrovka o'chirilgan bo'lsa, chiqish
SIGUSR1 - disk raskadrovkani yoqish/o'chirish (faqat -d tugmasidan foydalanganda)
Ildiz sifatida ishlaydi. Fayl ruxsatlarini o'zgartirmaydi. Agar u fayl yaratishga majbur bo'lsa, u holda uni 644 ta ruxsatnoma bilan yaratadi.Agar jurnalga kirishni cheklash zarur bo'lsa, tegishli faylni qo'lda yaratish kerak (yoki kirish huquqlarini o'zgartirish kerak). Maxsus muammolarni keltirib chiqaradi logrotate.
Xabarlarni yo'naltirish qoidalari to'plamini ifodalaydi. Har bir qoida selektor va yorliqlar (eski tizimlarda, Solaris 5) yoki bo'shliqlar (Linux) bilan ajratilgan amaldan iborat. Jurnalga kirish uchun xabar (klogd dan, mahalliy yoki masofaviy dasturdan) olgach, syslogd xabar selektor tomonidan belgilangan naqshga mos kelishini tekshirish uchun har bir qoidani tekshiradi. Agar u mos kelsa, qoidada ko'rsatilgan harakat bajariladi. Bir xabar uchun m. ixtiyoriy miqdordagi harakatlar amalga oshirildi (ya'ni, xabarni qayta ishlash birinchi muvaffaqiyatda to'xtamaydi).
Selektor nuqta bilan ajratilgan ikki qismdan iborat: xabar manbai va jiddiylik darajasi. Katta va kichik harflar farqlanmaydi. Siz raqamlardan ham foydalanishingiz mumkin (qarang: /usr/include/syslog.h). syslog.3 da belgilangan manbalarga qo'shimcha ravishda siz belgilashingiz mumkin belgi(muntazam vaqt belgilari), xavfsizlik(eskirgan sinonimi autent). syslog.h da belgilangan jiddiylik darajalariga qo'shimcha ravishda siz foydalanishingiz mumkin ogohlantir(sinonimi ogohlantirish), xato(sinonimi xato), vahima(sinonimi paydo bo'ladi). Selektorda ko'rsatilgan darajaga teng yoki undan kattaroq va selektorda ko'rsatilgan manbaga teng bo'lgan xabarlar mos deb hisoblanadi. Nuqta oldidagi yulduzcha har qanday manbaga, nuqtadan keyin esa istalgan darajaga mos keladi. So'z yo'q nuqtadan keyin - bu manba uchun daraja yo'q. Bitta selektorda bir nechta manbalarni belgilashingiz mumkin (vergul bilan ajratilgan). Bir qatorda bir nechta selektor ko'rsatilishi mumkin. Semantika aniq emas: agar siz ijobiy selektorlardan foydalansangiz, unda mantiqiy YOKI, agar salbiy bo'lsa ( yo'q Va undov belgisi), keyin mantiqiy VA.
Yangi syslogd (linux) da siz darajani teng belgisi bilan oldinga qo'yishingiz mumkin - faqat belgilangan darajadagi (lekin eng yuqori emas) xabarlar selektorga mos keladi; undov belgisi - darajasi teng yoki undan yuqori bo'lgan xabarlarga mos kelmaydi; undov belgisi va teng - belgilangan darajaga teng bo'lgan xabarlarga mos kelmaydi.
Amal sifatida siz quyidagilarni belgilashingiz mumkin:
oddiy fayl nomi (ildizdan to'liq yo'l), nom oldidagi minus yozish sinxronizatsiyasini o'chiradi
nomli kanallar - fifo (nomdan oldin vertikal chiziq qo'yiladi), kanalning o'zi bo'lishi kerak mkfifo buyrug'i bilan syslogd-ni ishga tushirishdan oldin yaratilgan
terminal yoki konsol
@hostname (masofaviy ro'yxatga olish uchun xabarlarni o'tkazish)
terminallariga xabar yuboriladigan foydalanuvchilar ro'yxati (vergul bilan ajratilgan).
barcha terminallarga xabar yuborish uchun yulduzcha (devor)
Konfiguratsiya faylini tahlil qilishda syslogd manzilni solishtiradi loghost(DNS orqali emas, /etc/hosts da belgilangan) kompyuteringiz manzili bilan va agar u mos kelsa, o'zgaruvchini belgilaydi LOGHOST. Keyin syslog.conf m4(1) so'l protsessoridan o'tkaziladi. Asosan, bu bir xil konfiguratsiya fayli mijoz va serverda (syslog nuqtai nazaridan) xostlarda ishlatilishi uchun ishlatiladi.
Boshlash va to'xtatish tartibi: /etc/init.d/syslog(/etc/rc?.d kataloglaridan unga havolalar). Jarayon raqami saqlanadi /etc/syslog.pid.
Do'stlaringiz bilan baham: |