Remote SYSLOG

Was ist Remote Syslog?

Mit einem organisch wachsenden Netzwerk wächst die Anzahl der Geräte, die lokal gespeicherte Protokolldateien erstellen. Da jedes Gerät seine eigene Methode hat, um lokale Protokolldaten bereitzustellen, ist es ein großes Problem, diese Daten für Netzwerkfehleranalysen zu sammeln und zu zentralisieren. Remote Syslog folgt der Idee, dass so viele Systeme wie möglich nicht nur ihre Protokolldateien lokal verwalten, sondern diese auch in einem standardisierten Datenformat auf einem zentralen Syslog-Server speichern:

Auf diese Weise können höherwertige Verwaltungssysteme automatisch auf die Dateien zugreifen, nach Problemen und Fehlern innerhalb eines Netzwerks suchen und gegebenenfalls geeignete Maßnahmen einleiten.

Rsyslog-Konfiguration im CS141

Für diesen Konfigurationsschritt benötigen Sie die folgenden Menüs:

Rsyslog funktioniert nicht „out of the box“ - einige Konfigurationsarbeiten sind erforderlich. Öffnen Sie dazu das Menü Dienste und klicken Sie auf Einrichtung, um die Erstkonfiguration zu starten:

Um die Grundeinstellungen vorzunehmen, klicken Sie unter Dienste auf "RSyslog". Sie können bis zu zwei verschiedene Syslog-Empfänger definieren, indem Sie auf "+" klicken:

Der Konfigurationsdialog:

Die Menüs im Detail erklärt

IP-Adresse des Remote Syslog-Servers

Mit Remote Syslog sendet der CS141 seine Statusnachrichten aus der Ereignisprotokolldatei in Echtzeit direkt an eine IP-Adresse, wo ein RSyslog-Server die Informationen empfängt und entsprechend auf seiner Festplatte verteilt. Bitte beachten Sie, dass Sie keine Verzeichnisse oder "Netzlaufwerke" definieren können. Für die gültige IP-Adresse wenden Sie sich bitte an den lokalen Netzwerkadministrator.

Port des Remote Syslog-Servers

Zusätzlich zur IP-Adresse verwendet ein Remote Syslog-Server normalerweise einen vordefinierten Port, um Statusprotokolle zu empfangen. Der Standardport für rsyslog ist 601. Da dies kein offizieller Standardport für rsyslog ist, kann der vom Server verwendete Port abweichen. Bei Bedarf konsultieren Sie den lokalen Administrator und passen Sie die Port-Einstellung gemäß den Netzwerkanforderungen an.

Nur TLS-Verbindung akzeptieren / Abgelaufene TLS-Zertifikate ablehnen

Der CS141 kann angewiesen werden, nur verschlüsselte Kommunikation zu verwenden. Wenn aktiviert, wird der CS141 abgelaufene Zertifikate für die Kommunikation ablehnen. Diese Funktionen sind nur verfügbar, wenn Sie ein gültiges Zertifikat importiert haben. Bitte beachten Sie, dass bei der Verwendung von TLS-Verschlüsselung weitere Konfigurationen auf dem entsprechenden Syslog-Server erforderlich sind.

Hinweis:

Die Optionen “Nur TLS-Verbindungen akzeptieren” und “Abgelaufene Zertifikate ablehnen” werden ausdrücklich freigeschaltet, sobald ein entsprechendes Syslog-Zertifikat hochgeladen wurde.

Über die Verwendung von SYSLOG

Was ist die Grundidee hinter Remote-Syslog?

Wer große Netzwerke verwalten muss, wird schnell feststellen, dass insbesondere im Fehlerfall viele vernetzte Geräte zahlreiche Logdateien erzeugen – oft mit wertvollen Hinweisen auf Ursache und Verlauf eines Netzwerkproblems. Bei der Analyse dieser Daten treten jedoch regelmäßig mehrere Herausforderungen auf:

• Organisch gewachsene Netzstrukturen enthalten eine Vielzahl unterschiedlicher Netzwerkgeräte.

• Logdateien sind nicht standardisiert – jeder Hersteller nutzt sein eigenes Format.

• Der lokale Speicherplatz der Netzwerkgeräte ist begrenzt, was zu verschiedenen Konsequenzen führt.

• Je nach Hersteller stehen Analysewerkzeuge zur Verfügung, diese sind jedoch meist auf die Produkte des jeweiligen Anbieters beschränkt.

• Viele Geräte erfordern individuelle Passwörter; im schlimmsten Fall müssen diese einzeln eingegeben werden, da RADIUS-Funktionen entweder nicht implementiert sind oder wegen des Netzwerkausfalls kein RADIUS-Server zur Verfügung steht.

Diese Liste ließe sich beliebig verlängern, aber kurz gesagt:
In solchen Fällen dauert die Auswertung der Daten unnötig lange, und die meiste Zeit wird nur für das Einsammeln und Aufbereiten der Daten aufgewendet – z. B. durch Kopieren aus einem proprietären Tool, Herunterladen und Öffnen lokaler Logdateien sowie manuelles Einpflegen in eine Datenbank.

Die Lösung hierfür heißt „Remote-Syslog“, eine Funktion, die ein professionelles Gerät wie das CS141 selbstverständlich unterstützen sollte.

Die Idee ist, dass lokal gespeicherte Logdateien zusätzlich in einem standardisierten Format an eine zentrale Datensammelstelle – den sogenannten Syslog-Server – übermittelt werden. Der Syslog-Server empfängt diese Daten einfach und stellt sie Dritthersteller-Diagnosesoftware zur Verfügung, die nach automatischer Auswertung entscheidet, welche Maßnahmen ergriffen werden sollen.

Was erreiche ich damit?

Neben der erheblichen Zeitersparnis beim Einsammeln der Auswertungsdaten erhalten Sie praktisch unbegrenzten Speicherplatz. Alle Geräte der CS141-Produktreihe bieten bereits großzügigen lokalen Speicher für Systemereignisse. Ist dieser jedoch voll, wird der älteste Eintrag gelöscht, um Platz für den neuesten zu schaffen.

Mit Syslog können Statusmeldungen jedoch direkt an einen externen Server übermittelt werden, sodass eine ununterbrochene Ereigniskette über einen nahezu unbegrenzten Zeitraum gesammelt werden kann.

Warum gibt es keine Liste der CS141-Syslog-Ereignisse, die übertragen werden?

Eine solche Liste bereitzustellen wäre sehr schwierig, da der CS141 über 1.000 USV-Modelle fast aller Hersteller am Markt unterstützt und – je nach Modell – zusätzliche Funktionen im Bereich Gebäudeleittechnik enthalten kann. Viele Hersteller und Anbieter verwenden heute eigene Begriffe für „ihre“ spezifischen Funktionen, sodass keine standardisierten Einträge existieren.

Deshalb nutzt der CS141 sein eigenes Ereignisprotokoll als Vorlage: Sobald Remote-Syslog aktiviert wird, wird alles, was im lokalen Ereignislog erfasst wird, automatisch als Systemstatus an den Syslog-Server weitergeleitet – fast in Echtzeit. Ist der Syslog-Server nicht verfügbar, wird dies lokal im CS141 vermerkt.

So geht kein einziger Systemstatus verloren.

Warum nur „fast“ in Echtzeit?

Wenn ein interner Dienst des Betriebssystems einen Eintrag im Ereignisprotokoll erzeugt, versucht der Syslog-Dienst des CS141, diesen einmal an den zentralen Collector zu senden. Ist dies nicht möglich – z. B. aufgrund einer Störung, die den Zugriff auf den Collector verhindert – wird der Eintrag lokal gespeichert, aber nicht erneut gesendet.

Stattdessen wird im Ereignisprotokoll ein Vermerk für diesen Zeitraum hinterlegt, der auf die Störung hinweist.

Ist es möglich, die Log-Einträge so zu bearbeiten, dass eine allgemeine Logfile-Struktur für meine Diagnoseprogramme entsteht?

Ja, alle Log-Einträge, die auf Systemereignissen basieren, können angepasst werden, indem man den Job „Log“ hinzufügt oder bearbeitet.
Zum Beispiel kann man das Ereignis „Stromausfall“ öffnen und den Job „Log“ so anpassen, dass er dem gewünschten Suchbegriff für die Syslog-Auswertung entspricht.

Wenn man – wie im Beispiel rechts – den Job „Log“ so ändert, dass z. B. „syslog_USV_15“ an erster Stelle steht, dann wird genau dieser Text auch an den Syslog-Server übertragen – da er zum Zeitpunkt der Ausführung im lokalen Ereignisprotokoll geschrieben wird.

Welchen Text Sie verwenden, bleibt völlig Ihnen überlassen.
Auf diese Weise können Sie auch beliebigen analogen oder digitalen Eingängen Jobs zuweisen und mit einem eindeutigen Diagnosecode versehen, um die entsprechenden Fehlermeldungen später einfach zu finden und zuzuordnen.
Der CS141 hält sich dabei exakt an Ihre Vorgaben:

Was im Ereignisprotokoll steht, wird exakt so übertragen.