Das Kefk Network Wiki befindet sich im Testbetrieb.
Syslog
Aus Kefk.
| syslog | |||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Familie: | TCP/IP | ||||||||||||||||||||||||||
| Einsatzgebiet: | Übermittlung von Log-Meldungen in einem IP-Rechnernetz | ||||||||||||||||||||||||||
| Ports: | 514/UDP | ||||||||||||||||||||||||||
| |||||||||||||||||||||||||||
| Standards: | |||||||||||||||||||||||||||
syslog ist ein De-facto-Standard zur Übermittlung von Log-Meldungen in einem IP-Rechnernetz. Der Begriff „syslog“ wird oft sowohl für das eigentliche syslog-Netzwerkprotokoll als auch für die Anwendung oder Bibliothek benutzt, die syslog-Meldungen sendet oder empfängt.
Das syslog-Protokoll ist sehr einfach aufgebaut – der syslog-Sender sendet eine kurze Textnachricht (weniger als 1024 Byte) an den syslog-Empfänger. Der Empfänger wird oft als "syslogd", "syslog daemon" oder "syslog server" bezeichnet. Syslog-Meldungen werden mittels UDP (Port 514) gesendet und enthalten die Nachricht im Klartext, also unverschlüsselt.
Syslog wird typischerweise für Computersystem-Management und Sicherheits-Überwachung benutzt. Es besitzt einige Schwachstellen, steht aber auf einer Vielzahl von Geräten zur Verfügung. Damit ermöglicht es die leichte Integration von verschiedensten Log-Quellen in ein zentrales Repository (Gesamtverzeichnis).
Inhaltsverzeichnis |
Historie
Syslog wurde von Eric Allman als Teil des Sendmail-Projektes entwickelt. Ursprünglich (in den frühen 1980er Jahren) wurde es ausschließlich für Sendmail entwickelt und genutzt. Es stellte sich jedoch rasch als nützliches Werkzeug heraus, das dann auch von anderen Anwendungen genutzt wurde. Heute (2005) ist syslog der standardmäßige Logging-Mechanismus unter Unix und Linux. Außerdem existieren syslog-Implementierungen unter anderen Betriebssystemen wie Microsoft Windows.
Interessanterweise wurde syslog zunächst überhaupt nicht standardisiert. Um die Sicherheit des Protokolls zu erhöhen, bildete die Internet Engineering Task Force eine Arbeitsgruppe. 2001 wurde der erreichte Zustand in RFC 3164 dokumentiert. Seitdem wird an neuen Erweiterungen gearbeitet. Eine formale Spezifikation und Standardisierung des Nachrichtenformats und des Transportmechanismus ist für 2005 geplant.
Ausblick
Es bestehen neue Anwendungsgebiete und steigendes Interesse an syslog. Vor kurzem wurde syslog standardisiert bzw. empfohlen für eine Anzahl von Auditierungs-Anwendungen, z. B. das "health care environment" (IHE) in den USA. Die Standardisierungsbestrebungen dauern im Rahmen der IETF noch an.
Schwachstellen
Das syslog-Protokoll besitzt einige Schwachstellen:
- Keinerlei Authentifizierung
- Überträgt Meldungen im Klartext
- Verwendet Herkunft und Priorität uneinheitlich
- Manche Implementierungen nennen die ursprüngliche Quelle nicht (beim Weiterleiten einer Meldung über mehrere Loghosts)
- Überträgt Nachrichten verbindungslos per UDP
Diese Schwachstellen waren der Auslöser für die zuvor beschriebenen Standardisierungsbestrebungen. Außerdem existieren in der Praxis viele Implementierungen, die diese Schwachstellen ganz oder teilweise beheben. Solche Implementierungen sind für alle gängigen Betriebssysteme zu finden. Die Lösungen verschiedener Hersteller sind jedoch nur bedingt untereinander kompatibel. Eine sehr verbreitete Implementierung ist syslog-ng, deren Erweiterungen des Syslog-Protokolls mittlerweile als Industriestandard angesehen werden können.
RFCs
Weblinks
 | Dieses Dokument entstammt in seiner ersten oder einer späteren Version der deutschsprachigen Wikipedia. Es ist dort zu finden unter dem Stichwort Syslog, die Liste der bisherigen Autoren befindet sich in der Versionsliste; die Originalfassung kann dort auch bearbeitet werden. Alle Texte der Wikipedia und ihre Derivate stehen unter der GNU-Lizenz für freie Dokumentation. |
