Syslog és un estàndard de facto per a l'enviament de missatges de registre en una xarxa informàtica IP. Per syslog es coneix tant al protocol de xarxa com a l'aplicació o biblioteca que envia els missatges de registre.
Un missatge de registre sol tenir informació sobre la seguretat del sistema, encara que pot contenir qualsevol informació. Juntament amb cada missatge s'inclou la data i hora de l'enviament.
És útil registrar, per exemple:
També és possible registrar el funcionament normal dels programes; per exemple, guardar cada accés que es fa a un servidor web, encara que açò sol estar separat de la resta d'alertes.
El protocol syslog és molt senzill: existeix un ordinador servidor executant el servidor de syslog, conegut com a syslogd (dimoni de syslog). El client envia un menut missatge de text (de menys de 1024 bytes).
Els missatges de syslog se solen enviar per mitjà de UDP, pel port 514, en format de text pla. Algunes implementacions del servidor, com syslog-ng, permeten usar TCP en comptes d'UDP, i també ofereixen Stunnel perquè les dades viatgen xifrades mitjançant SSL/TLS.
Encara que syslog té alguns problemes de seguretat, la seua senzillesa ha fet que molts dispositius ho implementen, tant per a enviar com per a rebre. Això fa possible integrar missatges de diversos tipus de sistemes en un sol repositori central.
El missatge enviat es compon de tres camps:
Entre tots no han de sumar més de 1024 *bytes, però no hi ha longitud mínima.
La prioritat és un nombre de 8 bits que indica tant el recurs (tipus d'aparell que ha generat el missatge) com la severitat (importància del missatge), nombres de 5 i 3 bits respectivament. Els codis de recurs i severitat els decideix lliurement l'aplicació, però se sol seguir una convenció perquè clients i servidors s'entenguen.
Aquests són els codis observats en diversos sistemes. Font: [1].
0 | Missatges del kernel |
1 | Missatges del nivell de usuari |
2 | Sistema de correu |
3 | Dimonis de sistema |
4 | Seguretat/Autorització |
5 | Missatges generats internament per syslogd |
6 | Subsistema de impressió |
7 | Subsistema de notícies sobre la xarxa |
8 | Subsistema UUCP |
9 | Dimoni de rellotge |
10 | Seguretat/Autorització |
11 | Dimoni de FTP |
12 | Subsistema de NTP |
13 | Inspecció del registre |
14 | Alerta sobre el registre |
15 | Dimoni de rellotge |
16 | Ús local 0 |
17 | Ús local 1 |
18 | Ús local 2 |
19 | Ús local 3 |
20 | Ús local 4 |
21 | Ús local 5 |
22 | Ús local 6 |
23 | Ús local 7 |
Els 3 bits menys significatius del camp prioritat donen 8 possibles graus. Font: [2].
0 | Emergència: el sistema està inutilizable |
1 | Alerta: s'ha d'actuar immediatament |
2 | Crític: condicions crítiques |
3 | Error: condicions d'error |
4 | Perill: condicions de perill |
5 | Avís: normal, però condicions notables |
6 | Informació: missatges informatius |
7 | Depuració: missatges de baix nivell |
Per a conèixer la prioritat final d'un missatge, s'aplica la següent fórmula:
Per exemple, un missatge de kernel (Recurs=0) amb Severitat=0 (emergència), tindria Prioritat igual a 0*8+0 = 0. Un de FTP (11) de tipus informació (6) tindria 11*8+6=94. Com es pot veure, valors més baixos indiquen major prioritat.
El segon camp d'un missatge syslog, la capçalera, indica tant el temps com el nom de l'ordinador que emet el missatge. Açò s'escriu en codificació ASCII (7 bits), per tant és text llegible.
El primer camp, temps, s'escriu en format Mmm dd hh:mm:ss, on Mmm són les inicials del nom del mes en anglès, dd, és el dia del mes, i la resta és l'hora. No s'indica l'any.
Just després ve el nom d'ordinador (hostname), o l'adreça IP si no es coneix el nom. No pot contenir espais, ja que aquest camp acaba quan es troba el següent espai.
El que queda de paquet syslog a l'omplir la prioritat i la capçalera és el mateix text del missatge. Aquest inclourà informació sobre el procés que ha generat l'avís, normalment al principi (en els primers 32 caràcters) i acabat per un caràcter no alfanumèric (com un espai, ":" o "["). Després, ve el contingut real del missatge, sense cap caràcter especial per a marcar el final.
syslog va ser desenvolupat per Eric Allman com a part del projecte Sendmail, inicialment (anys 1980) només per a aquest projecte. No obstant això, es comprovà que era molt útil, i altres aplicacions començaren també a usar syslog. Avui dia (2005), syslog està present per defecte en quasi tots els sistemes Unix i GNU/Linux, i també es troben diverses implementacions de syslog per a uns altres sistemes operatius, com Microsoft Windows.
És ara, després de tants anys, quan syslog està en procés de convertir-se en estàndard, per a -entre altres coses- poder millorar la seguretat de les seues implementacions. IETF va assignar un grup de treball, i en 2001, es va documentar el seu funcionament en el RFC 3164 [3]. L'estandardització del contingut del missatge i de les diferents capes d'abstracció estan planificades per a 2006.