Eine als Liegenschaftsleiter festgelegte SNE bietet die optionale Funktion zum Senden der konfigurierten Prüfprotokolleinträge und Alarmbenachrichtigungen an das zentrale Repository eines externen Syslog-Servers mit Industriestandard, der dem im Internet veröffentlichten RFC 3164 entspricht. Nachdem Sie die Konfiguration der Syslog-DDA gespeichert haben, werden alle Meldungen sofort zum konfigurierten Syslog-Server gesendet. Sie können dann eine Bedienoberfläche des Syslog-Servers öffnen und mithilfe der vorhandenen Filter Abfragen durchführen oder diese Meldungen einer forensischen Analyse unterziehen. Um das Auslesen des Protokolls zu erleichtern, dient ein vertikaler Balken (|) zur Trennung der verschiedenen Felder einer Metasys Meldung und ein einzelner Bindestrich (-) steht für ein leeres Feld.
Standardmäßig ist die Syslog-Option deaktiviert. Zur Aktivierung der Syslog-Funktion ändern Sie den Wert des Attributs Syslog Berichterstellung aktiviert im Fenster Syslog auf Wahr. Für den Syslog-DDA gelten die folgenden Voraussetzungen:
- Der Syslog-Server muss auf einem Computerserver oder virtuellen Computer installiert sein und ausgeführt werden, der von der SNE erreichbar ist.
- Es können maximal drei Syslog-Ziele festgelegt werden.
- Der Firewallport muss geöffnet sein.
Für die Definition des Syslog-DDA ist Folgendes erforderlich:
- Eine Bezeichnung zur Kennzeichnung des Syslog-Servers
- IP-Adresse des Syslog-Servers
- Portnummern für die Ports UDP senden und UDP empfangen (z. B. 514 für beide)
- Ereignis- und Meldungsfilter für alle Ereignisse und Meldungen. Es werden nur solche Ereignisse und Meldungen an den Syslog-Server weitergeleitet, die die Filterkriterien erfüllen.
Auf der Registerkarte Syslog eines SNE-Geräteobjekts wird im Bereich Gemeinsame Konfiguration das Attribut Syslog-DDA Syslog Berichterstellung aktiviert angezeigt (Abbildung 1). Es gibt zwei Optionen für dieses Attribut: Wahr oder Falsch.
Bei Einstellung des Attributs Syslog Berichterstellung aktiviert auf Wahr ist die Funktion aktiviert und Ihre Metasys Nachrichten (Ereignisse und Audits) werden gemäß den von Ihnen festgelegten Filterkriterien an den Syslog-Zielserver weitergeleitet. Bei Einstellung des Attributs Syslog Berichterstellung aktiviert auf Falsch ist die Funktion deaktiviert und es werden keine Metasys Nachrichten an den Syslog-Server weitergeleitet. In dem Konfigurationsbeispiel in Abbildung 1 werden alle Alarme vom Typ Obere Warnung, die bestätigt werden müssen, zum Syslog-Server weitergeleitet.
Die Syslog-DDA-Implementierung beruht auf UDP und nicht auf TCP. Wenn der Syslog-Server offline ist, werden daher keine Meldungen oder Ereignisse auf dem Syslog-Server aufgezeichnet. Das gilt auch dann, wenn das Metasys System, das den derzeitigen Status des Syslog-Servers nicht ermitteln kann, weiterhin Nachrichten sendet. Es gibt einen Zeitunterschied zwischen den Ereignissen, wenn der Syslog-Server wieder online geschaltet wird.
Abbildung 2 zeigt ein Beispiel der Meldungen des Metasys Systems, während diese auf der Bedienoberfläche des Kiwi Syslog®-Servers angezeigt werden. Verwenden Sie die Konsole, um die Nachrichten zu filtern. Wenn Sie über kein Tool verfügen, öffnen Sie einen Webbrowser und geben die folgende URL ein:
http://<IP of the server>>:<Port>/Events.aspx
Beispiel:
http://SysLogserver1:8088/Events.aspx
Wenn Sie zu dieser Liegenschaft gehen, geben Sie einen gültigen Benutzernamen und ein gültiges Passwort ein, um auf den Syslog-Server zuzugreifen. Es wird eine Bedienoberfläche mit den erfassten Nachrichten angezeigt.
Wenn bei der Implementierung des Syslog-DDA Probleme auftreten, sehen Sie die folgende Tabelle ein.
Szenario |
Verhalten |
---|---|
Wenn die Automationsstation startet, ist der Syslog-DDA noch nicht gestartet. |
Nach dem Start werden alle erstellten Meldungen und Ereignisse zwischengespeichert und zum Syslog-DDA gesendet. Die maximale Größe des Caches beträgt 1000 Meldungen und 1000 Ereignisse pro Stunde. |
Der Syslog-Server stürzt ab. |
Alle erzeugten Meldungen und Ereignisse, die die Automationsstation zum Syslog-Server sendet, gehen verloren; es wird nichts zwischengespeichert. |
Der Syslog-Server geht offline und ist nicht erreichbar. |
Alle erzeugten Meldungen und Ereignisse, die die Automationsstation zum Syslog-Server sendet, gehen verloren; es wird nichts zwischengespeichert. Daten werden erst dann wieder zum Syslog-Server gesendet, wenn dieser wieder online oder erreichbar ist. |
Die im Objekt der Automationsstation definierten Werte wie IP-Adresse, Name oder Portnummern des Syslog-Servers sind ungültig. |
Alle erzeugten Meldungen und Ereignisse, die die Automationsstation zum Syslog-Server sendet, gehen verloren; es wird nichts zwischengespeichert. Es werden erst dann wieder Daten zum Syslog-Server gesendet, wenn Sie die ungültigen Parameter im Syslog-DDA korrigiert haben. |
Der Parameter Syslog Berichterstellung aktiviert ist zwar auf Wahr eingestellt, es sind aber keine Syslog-Parameter festgelegt. |
Alle erzeugten Meldungen und Ereignisse, die die Automationsstation zum Syslog-Server sendet, gehen verloren; es wird nichts zwischengespeichert. Es werden erst dann wieder Daten zum Syslog-Server gesendet, wenn Sie die vom Syslog-DDA benötigten Parameter festgelegt haben. |
Der Port UDP senden oder UDP empfangen wurde von einer Firewall gesperrt. |
Alle erzeugten Meldungen und Ereignisse, die die Automationsstation zum Syslog-Server sendet, gehen verloren; es wird nichts zwischengespeichert. Es werden erst dann wieder Daten zum Syslog-Server gesendet, nachdem die Ports im Syslog-Server geöffnet wurden. |
Ein Parameter des Syslog-Servers hat sich geändert, aber der entsprechende Parameter im Syslog-DDA der Automationsstation wurde nicht entsprechend angepasst. |
Alle erzeugten Meldungen und Ereignisse, die die Automationsstation zum Syslog-Server sendet, gehen verloren; es wird nichts zwischengespeichert. Es werden erst dann wieder Daten vom Syslog-Server empfangen, nachdem Sie die ungültigen Parameter im Syslog-DDA korrigiert haben. |