سجل النظام
في مجال الحوسبة ، يُعدّ نظام syslog ( يُلفظ / ˈsɪslɒɡ / ) معيارًا لتسجيل الرسائل . فهو يسمح بفصل البرنامج الذي يُنشئ الرسائل، والنظام الذي يخزنها، والبرنامج الذي يُبلغ عنها ويحللها. تُصنّف كل رسالة برمز مرفق، يُشير إلى نوع النظام الذي أنشأها، ويُحدد لها مستوى خطورة.
قد يستخدم مصممو أنظمة الحاسوب بروتوكول syslog لإدارة النظام ومراجعة أمنه، بالإضافة إلى الرسائل المعلوماتية والتحليلية ورسائل تصحيح الأخطاء. وتستخدم مجموعة واسعة من الأجهزة، مثل الطابعات والموجهات ومستقبلات الرسائل عبر العديد من المنصات، معيار syslog. وهذا يسمح بتجميع بيانات التسجيل من أنواع مختلفة من الأنظمة في مستودع مركزي. وتتوفر تطبيقات لبروتوكول syslog للعديد من أنظمة التشغيل.
عند التشغيل عبر الشبكة، يستخدم syslog بنية العميل والخادم حيث يستمع خادم syslog إلى الرسائل الواردة من العملاء ويسجلها.
تاريخ
طُوِّرَ نظام Syslog في ثمانينيات القرن الماضي على يد إريك ألمان كجزء من مشروع Sendmail . [ 1 ] وسرعان ما اعتُمِدَ من قِبَل تطبيقات أخرى، وأصبح منذ ذلك الحين حل التسجيل القياسي على الأنظمة الشبيهة بنظام Unix . [ 2 ] كما توجد تطبيقات متنوعة له على أنظمة تشغيل أخرى، وهو شائع الاستخدام في أجهزة الشبكة، مثل أجهزة التوجيه . [ 3 ]
كان بروتوكول Syslog في الأصل يعمل كمعيار فعلي ، دون أي مواصفات منشورة رسمية، وكانت هناك العديد من التطبيقات، بعضها غير متوافق. وثّقت فرقة عمل هندسة الإنترنت الوضع الراهن في RFC 3164 في أغسطس 2001. وتم توحيده بموجب RFC 5424 في مارس 2009. [ 4 ]
حاولت شركات مختلفة الحصول على براءات اختراع لجوانب محددة من تطبيقات syslog. [ 5 ] [ 6 ] لكن هذا لم يكن له تأثير يُذكر على استخدام البروتوكول وتوحيد معاييره.
مكونات الرسالة
تتضمن المعلومات التي يقدمها مُنشئ رسالة سجل النظام رمز المنشأة ومستوى الخطورة. يُضيف برنامج سجل النظام معلومات إلى رأس المعلومات قبل إرسال الإدخال إلى مُستقبِل سجل النظام. تشمل هذه المكونات مُعرّف عملية المُنشئ، والطابع الزمني ، واسم المضيف أو عنوان IP للجهاز.
منشأة
يُستخدم رمز المنشأة لتحديد نوع النظام الذي يسجل الرسالة. وقد تُعالج الرسائل ذات المنشآت المختلفة بشكل مختلف. [ 7 ] يصف المعيار قائمة المنشآت المتاحة: [ 4 ] : 9
| رمز المنشأة | الكلمة المفتاحية | وصف |
|---|---|---|
| 0 | كيرن | رسائل النواة |
| 1 | مستخدم | رسائل على مستوى المستخدم |
| 2 | بريد | نظام البريد |
| 3 | شيطان | برامج النظام |
| 4 | المصادقة | رسائل الأمان/المصادقة |
| 5 | سجل النظام | الرسائل التي يتم إنشاؤها داخليًا بواسطة syslogd |
| 6 | lpr | نظام فرعي لطابعة الخطوط |
| 7 | أخبار | نظام فرعي لأخبار الشبكة |
| 8 | uucp | النظام الفرعي UUCP |
| 9 | كرون | نظام كرون الفرعي |
| 10 | authpriv | رسائل الأمان والمصادقة |
| 11 | بروتوكول نقل الملفات (FTP) | خادم FTP |
| 12 | بروتوكول NTP | نظام NTP الفرعي |
| 13 | حماية | تدقيق السجلات |
| 14 | وحدة التحكم | تنبيه السجل |
| 15 | سولاريس كرون | برنامج جدولة المهام |
| 16-23 | local0 – local7 | المرافق المستخدمة محلياً |
لا يكون الربط بين رمز المنشأة والكلمة المفتاحية موحدًا في أنظمة التشغيل المختلفة وتطبيقات syslog. [ 8 ]
مستوى الخطورة
كما يصف المعيار قائمة درجات خطورة المشكلات: [ 4 ] : 10
| قيمة | خطورة | الكلمة المفتاحية | الكلمات المفتاحية المهملة | وصف | حالة |
|---|---|---|---|---|---|
| 0 | طارئ | emerg | panic[ 9 ] | النظام غير قابل للاستخدام | حالة ذعر. [ 10 ] |
| 1 | يُحذًِر | alert | يجب اتخاذ إجراء فوري | حالة يجب تصحيحها فوراً، مثل قاعدة بيانات النظام التالفة. [ 10 ] | |
| 2 | شديد الأهمية | crit | الظروف الحرجة | أخطاء في الجهاز الصلب. [ 10 ] | |
| 3 | خطأ | err | error[ 9 ] | شروط الخطأ | |
| 4 | تحذير | warning | warn[ 9 ] | شروط التحذير | |
| 5 | يلاحظ | notice | ظروف طبيعية ولكنها مهمة | الشروط التي لا تُعدّ شروط خطأ، ولكنها قد تتطلب معالجة خاصة. [ 10 ] [ 11 ] | |
| 6 | معلوماتي | info | الرسائل الإعلامية | تأكيد أن البرنامج يعمل كما هو متوقع. | |
| 7 | تصحيح الأخطاء | debug | رسائل مستوى التصحيح | الرسائل التي تحتوي على معلومات لا تُستخدم عادةً إلا عند تصحيح أخطاء البرنامج. [ 10 ] |
تختلف مستويات الخطورة الأخرى غير "الطوارئ" و "التصحيح" باختلاف التطبيق. فعلى سبيل المثال، إذا كان الغرض من النظام هو معالجة المعاملات لتحديث معلومات رصيد حساب العميل، فيجب تصنيف الخطأ في الخطوة الأخيرة على أنه " تنبيه" . أما الخطأ الذي يحدث أثناء محاولة عرض الرمز البريدي للعميل، فيمكن تصنيفه على أنه "خطأ " أو حتى "تحذير" .
تتضمن عملية الخادم المسؤولة عن عرض الرسائل عادةً جميع المستويات الأدنى (الأكثر خطورة) عند طلب عرض المستويات الأقل خطورة. أي أنه إذا تم فصل الرسائل حسب مستوى خطورتها، فسيتم تضمين مدخل مستوى التحذير أيضًا عند تصفية رسائل الإشعار والمعلومات والتصحيح . [ 12 ]
رسالة
في RFC 3164، تم تحديد مكون الرسالة (المعروف باسم MSG) على أنه يحتوي على هذه الحقول: TAG ، والذي يجب أن يكون اسم البرنامج أو العملية التي أنشأت الرسالة، و CONTENT الذي يحتوي على تفاصيل الرسالة.
كما هو موضح في RFC 5424، [ 4 ] "كانت الرسالة (MSG) تُعرف سابقًا باسم المحتوى (CONTENT) في RFC 3164. أصبح الوسم (TAG) الآن جزءًا من رأس الرسالة، ولكن ليس كحقل منفرد. تم تقسيم الوسم إلى اسم التطبيق (APP-NAME) ومعرّف العملية (PROCID) ومعرّف الرسالة (MSGID). لا يُشابه هذا تمامًا استخدام الوسم، ولكنه يُوفر نفس الوظائف في معظم الحالات." تتوافق أدوات syslog الشائعة، مثل NXLog و Rsyslog، مع هذا المعيار الجديد.
يجب ترميز حقل المحتوى باستخدام مجموعة أحرف UTF-8 ، وينبغي تجنب قيم الثمانيات ضمن نطاق أحرف التحكم ASCII التقليدي . [ 13 ] [ 4 ]
مسجل البيانات
يمكن توجيه رسائل السجل المُنشأة إلى وجهات متعددة، بما في ذلك: وحدة التحكم ، والملفات، وخوادم syslog البعيدة، أو أجهزة الترحيل. توفر معظم التطبيقات أداة سطر أوامر، تُسمى غالبًا logger ، بالإضافة إلى مكتبة برمجية ، لإرسال الرسائل إلى السجل. [ 14 ]
لعرض ومراقبة السجلات المُجمّعة، يلزم استخدام تطبيق عميل أو الوصول إلى ملف السجل مباشرةً على النظام. أدوات سطر الأوامر الأساسية هي tail و grep . يمكن تهيئة خوادم السجلات لإرسال السجلات عبر الشبكة (بالإضافة إلى الملفات المحلية). تتضمن بعض التطبيقات برامج تقارير لتصفية وعرض رسائل syslog.
بروتوكول الشبكة
عند التشغيل عبر الشبكة، يستخدم نظام syslog بنية خادم-عميل ، حيث يستمع الخادم على منفذ معروف أو مسجل لطلبات البروتوكول من العملاء. تاريخيًا، كان بروتوكول طبقة النقل الأكثر شيوعًا لتسجيل الشبكة هو بروتوكول بيانات المستخدم (UDP)، حيث يستمع الخادم على المنفذ 514. [ 15 ] نظرًا لافتقار UDP لآليات التحكم في الازدحام، يُستخدم منفذ بروتوكول التحكم في الإرسال (TCP) 6514؛ كما يُشترط استخدام بروتوكول أمان طبقة النقل (TLS) في التطبيقات ويُوصى به للاستخدام العام. [ 16 ] [ 17 ]
القيود
بما أن كل عملية وتطبيق ونظام تشغيل كُتب بشكل مستقل، فإن حمولة رسالة السجل غير موحدة إلى حد كبير. ولهذا السبب، لا يُفترض أي شيء بخصوص تنسيقها أو محتواها. رسالة سجل النظام مُنسقة (يُقدم RFC 5424 تعريف صيغة باكوس-ناور المُعززة (ABNF))، لكن حقل MSG الخاص بها ليس كذلك.
بروتوكول الشبكة هو اتصال أحادي الاتجاه ، بدون أي وسيلة لتأكيد التسليم إلى المرسل.
أوتلوك
تعمل مجموعات مختلفة على وضع مسودات معايير توضح استخدام نظام syslog لأكثر من مجرد تسجيل أحداث الشبكة والأمان، مثل تطبيقه المقترح في بيئة الرعاية الصحية. [ 18 ]
تُلزم اللوائح، مثل قانون ساربينز-أوكسلي ، ومعيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) ، وقانون قابلية نقل التأمين الصحي والمساءلة (HIPAA) ، وغيرها الكثير، المؤسسات بتطبيق إجراءات أمنية شاملة، تتضمن غالبًا جمع وتحليل سجلات البيانات من مصادر متعددة. وقد أثبت تنسيق syslog فعاليته في توحيد السجلات، نظرًا لوجود العديد من الأدوات مفتوحة المصدر والتجارية لإعداد التقارير وتحليل هذه السجلات. كما تتوفر برامج مساعدة لتحويل سجلات أحداث ويندوز وغيرها من تنسيقات السجلات إلى syslog.
يحاول مقدمو خدمات الأمن المُدارة تطبيق تقنيات تحليلية وخوارزميات الذكاء الاصطناعي لاكتشاف الأنماط وتنبيه العملاء إلى المشكلات. [ 19 ]
وثائق معيار الإنترنت
يُعرَّف بروتوكول Syslog من خلال وثائق طلب التعليقات (RFC) التي نشرتها فرقة عمل هندسة الإنترنت ( معايير الإنترنت ). فيما يلي قائمة بوثائق طلب التعليقات التي تُعرِّف بروتوكول Syslog: [ 20 ]
- بروتوكول BSD syslog . IETF . RFC 3164 . (تم إلغاؤه بواسطة بروتوكول Syslog . IETF . RFC 5424 . )
- تسليم موثوق لبروتوكول syslog . IETF . RFC 3195 .
- بروتوكول Syslog . IETF . RFC 5424 .
- تعيين نقل TLS لـ Syslog . IETF . RFC 5425 .
- نقل رسائل Syslog عبر بروتوكول UDP . IETF . RFC 5426 .
- الاصطلاحات النصية لإدارة سجلات النظام . IETF . RFC 5427 .
- رسائل Syslog الموقعة . IETF . RFC 5848 .
- بروتوكول أمان طبقة نقل البيانات (DTLS) لتعيين النقل لـ Syslog . IETF . RFC 6012 .
- نقل رسائل Syslog عبر بروتوكول TCP . IETF . RFC 6587 .
انظر أيضاً
مراجع
- ↑ "إريك ألمان" . قاعة مشاهير الإنترنت . تم الاطلاع عليه بتاريخ 30-10-2017 .
- ↑ "3 وظائف هندسية رائعة للتقدم إليها هذا الأسبوع" . فينشر بيت . 6 أغسطس 2021. تم الاطلاع عليه بتاريخ 16 أغسطس 2021 .
- ^ تشانغ ، شنغ لين. ليو، ينغ؛ منغ، ويبين. بو، جياهاو؛ يانغ سين. صن، يونغ تشيان؛ بى دان. شو، يونيو؛ تشانغ، يوزي. سونغ، لي؛ تشانغ، مينغ (2020). "تحليل سجل النظام الفعال والقوي لأجهزة الشبكة في شبكات مراكز البيانات" . الوصول إلى IEEE . 8 : 30245– 30261. بيب كود : 2020IEEEA...830245Z . دوى : 10.1109/ACCESS.2020.2972691 .
- 1 2 3 4 5 جيرهاردز، راينر. بروتوكول Syslog . IETF . doi : 10.17487/RFC5424 . RFC 5424 .
- ↑ "LXer: براءة اختراع تُعرّض معيار IETF syslog للخطر" .
- ↑ "إفصاح IETF عن حقوق الملكية الفكرية بشأن مطالبات براءات اختراع هواوي" .
- ↑ "مرفق سجل النظام" . تم الاطلاع عليه بتاريخ 22 نوفمبر 2012 .
- ↑ "محتويات وتفاصيل تسجيل النظام باستخدام Syslog" . معهد SANS .
- 1 2 3 "syslog.conf(5) - صفحة دليل لينكس" . تم الاطلاع عليها بتاريخ 29-03-2017 .
الكلمات المفتاحية error و warn و panic مهملة ويجب عدم استخدامها بعد الآن.
- 1 2 3 4 5 "closelog, openlog, setlogmask, syslog - التحكم في سجل النظام" . تم الاسترجاع في 29-03-2017 .
LOG_NOTICE: حالات ليست حالات خطأ، ولكنها قد تتطلب معالجة خاصة.
- ↑ "مكتبة GNU C: syslog، vsyslog" . تم الاطلاع عليه بتاريخ 19-07-2024 .
LOG_NOTICE: تصف الرسالة حدثًا عاديًا ولكنه مهم.
- ↑ "مستويات خطورة رسائل سجل النظام" . cd.delphix.com . تم الاطلاع عليه بتاريخ 2024-10-02 .
- ↑ "نقل رسائل Syslog عبر TCP" . www.ipa.go.jp. تاريخ الاسترجاع: 16 أغسطس 2021 .
- ↑ "أمر التسجيل" . www.ibm.com . تم الاطلاع عليه بتاريخ 16 أغسطس 2021 .
- ↑ "خادم سجل النظام" . www.howtonetwork.com . تم الاطلاع عليه بتاريخ 16 أغسطس 2021 .
- ↑ جيرهاردز، راينر (مارس 2009). "RFC 5424 - بروتوكول Syslog" . tools.ietf.org . doi : 10.17487/RFC5424 .
- ↑ فويو، مياو؛ يوزي، ما؛ سالوي، جوزيف أ. (مارس 2009). مياو، ف؛ ما، ي؛ سالوي، ج (محررون). "RFC 5425 - تعيين نقل TLS لـ Syslog" . tools.ietf.org . doi : 10.17487/RFC5425 .
- ↑ "يُعدّ استخدام ATNA + SYSLOG كافيًا" . معايير تبادل الرعاية الصحية . 2 يناير 2012. تم الاطلاع عليه بتاريخ 6 يونيو 2018 .
- ↑ يامانيشي، كينجي؛ ماروياما، يوكو (21 أغسطس/آب 2005). "استخراج بيانات سجلات النظام الديناميكية لرصد أعطال الشبكة" . وقائع المؤتمر الدولي الحادي عشر لجمعية ACM SIGKDD حول اكتشاف المعرفة في استخراج البيانات . KDD '05. شيكاغو، إلينوي، الولايات المتحدة الأمريكية: جمعية آلات الحوسبة. الصفحات 499-508 . doi : 10.1145/1081870.1081927 . ISBN 978-1-59593-135-1. S2CID 5051532 .
- ↑ "مشكلات أمنية في تسجيل أحداث الشبكة (syslog)" . IETF.
روابط خارجية
- فريق عمل هندسة الإنترنت: متتبع البيانات: مجموعة عمل syslog (مُختتم)
- المعهد الوطني للمعايير والتكنولوجيا: "دليل إدارة سجلات أمن الحاسوب" (منشور خاص 800-92) (ورقة بيضاء)
- برنامج إدارة الشبكة: "فهم سجل النظام: الخوادم والرسائل والأمان"
- شرح تقنية المعلومات من Paessler - Syslog
- مونيتور وير: كل ما يتعلق بـ Syslog
- بروتوكولات الإنترنت
- معايير الإنترنت
- إدارة الشبكة
- تنسيقات ملفات السجل
- إدارة النظام
