DDA de Syslog - Metasys - LIT-12013352 - M4-SNE10500-0 - M4-SNE11000-0 - M4-SNE110L0-0 - M4-SNE22000-0 - Supervisory Device - SNE16 Network Engine - SNE22 Network Engine - SNE Supervisory Network Engine - 10.1

Guía de puesta en marcha del SNE

Product name
SNE16 Network Engine
SNE22 Network Engine
SNE Supervisory Network Engine
Document type
Commissioning Guide
Document number
LIT-12013352
Version
10.1
Revision date
2020-11-11

Un motor SNE configurado como Director de Sitio ofrece la opción de enviar sus notificaciones de alarma y entradas de registro de auditoría configuradas al repositorio central de un servidor Syslog externo estándar del sector, de conformidad con la RFC 3164 publicada en Internet. Después de guardar la configuración de DDA de Syslog, todos los mensajes se envían inmediatamente al servidor Syslog configurado. Ello permite abrir una interfaz de usuario en el servidor Syslog y utilizar los filtros suministrados para interrogar o efectuar un análisis forense de esos mensajes. Para ayudar en la lectura del registro, un símbolo de barra vertical (|) separa los campos individuales de cada mensaje Metasys y un guión de un solo carácter (-) sustituye cualquier campo en blanco.

De forma predeterminada, la opción Syslog está desactivada. Cambiar el atributo Syslog Reporting Enabled a True en la ventana Syslog habilita la función Syslog. El DDA de Syslog tiene los siguientes requisitos previos:

  • El servidor Syslog debe estar instalado y en ejecución en un servidor o máquina virtual accesible para el SNE.
  • No se pueden especificar más de tres destinos de Syslog.
  • El puerto del cortafuegos debe estar abierto.

La definición del DDA de Syslog requiere lo siguiente:

  • una etiqueta para identificar el servidor Syslog
  • la dirección IP del servidor Syslog
  • los números de puerto de los puertos de envío y recepción UDP (por ejemplo, 514 para ambos)
  • filtros de auditoría y eventos para aplicar a todos los mensajes de eventos y auditoría. Solo los mensajes de eventos y auditoría que coincidan con los filtros pasarán al servidor Syslog.

El atributo de DDA de Syslog llamado Syslog Reporting Enabled aparece en la sección Shared Configuration de la pestaña Syslog de un objeto de dispositivo SNE (Figura 1). Este atributo admite dos valores: True o False (verdadero o falso).

Cuando el atributo Syslog Reporting Enabled se define en True, la función está activa y remite sus mensajes de Metasys (eventos y auditoría) a su servidor Syslog de destino de acuerdo con el filtro que haya aplicado. Cuando el atributo Syslog Reporting Enabled se define en False, la función está inactiva y no remite mensajes de Metasys al servidor Syslog. El ejemplo de configuración en Figura 1 está configurado para enrutar hacia el servidor Syslog todas las alarmas de alerta alta que requieran reconocimiento.

El DDA de Syslog se implementa mediante UDP, no TCP. Por tanto, cualquier auditoría o evento generado mientras el servidor Syslog está fuera de línea, no se registrará en el servidor Syslog, incluso en el caso de que el sistema Metasys, incapaz de determinar el estado del servidor Syslog, continúe enviando mensajes. Cuando el servidor Syslog vuelve a estar en línea, hay un lapso de tiempo entre eventos.

Figura 1. Pestaña Syslog en el objeto dispositivo de motor

Figura 2 muestra un ejemplo de los mensajes del sistema Metasys tal y como aparecen en la interfaz de usuario de la consola del servidor Syslog® de Kiwi. Use la consola para filtrar los mensajes. A falta de la herramienta adecuada, abra un navegador web y escriba la URL siguiente:

http://<IP del servidor>>:<Puerto>/Events.aspx

Por ejemplo:

http://SysLogserver1:8088/Events.aspx

Al navegar a este sitio, escriba un nombre de usuario y contraseña válidos cuando el sistema se lo solicite para poder acceder al servidor Syslog. Aparece una interfaz de usuario con los mensajes capturados.

Figura 2. Interfaz de usuario Syslog

En caso de problemas para implementar la funcionalidad DDA de Syslog, consulte la tabla siguiente.

Tabla 1. Resolución de problemas del servidor Syslog

Escenario

Comportamiento

El motor se inicia pero el DDA de Syslog aún no se ha iniciado.

Todas las auditorías y eventos generados se almacenan en caché y se envían al DDA de Syslog una vez iniciado. El tamaño de caché máximo es 1000 auditorías y 1000 eventos por hora.

El servidor Syslog se bloquea.

Todas las auditorías y eventos generados que el motor envía al servidor Syslog se pierden y no se almacena nada en caché.

El servidor Syslog queda fuera de línea o inaccesible.

Todas las auditorías y eventos generados que el motor envía al servidor Syslog se pierden y no se almacena nada en caché. No se envía ningún dato al servidor Syslog hasta que vuelva a estar en línea o se vuelva accesible.

La dirección IP, el nombre o los números de puerto del servidor Syslog definidos en el objeto del motor no son válidos.

Todas las auditorías y eventos generados que el motor envía al servidor Syslog se pierden y no se almacena nada en caché. El servidor Syslog no recibe datos hasta que el usuario corrija los parámetros no válidos en el DDA de Syslog.

El parámetro Syslog Reporting Enabled está configurado en True, pero no hay parámetros definidos de Syslog.

Todas las auditorías y eventos generados que el motor envía al servidor Syslog se pierden y no se almacena nada en caché. El servidor Syslog no recibe datos hasta que el usuario especifique los parámetros que necesita el DDA de Syslog.

El puerto de envío UDP o el de recepción UDP está bloqueado por un cortafuegos.

Todas las auditorías y eventos generados que el motor envía al servidor Syslog se pierden y no se almacena nada en caché. No se envía ningún dato al servidor Syslog hasta que se abran los puertos del servidor Syslog.

Un parámetro del servidor Syslog cambia, pero el correspondiente parámetro en el DDA de Syslog del motor no cambia análogamente.

Todas las auditorías y eventos generados que el motor envía al servidor Syslog se pierden y no se almacena nada en caché. El servidor Syslog no recibe datos hasta que el usuario corrija los parámetros no válidos en el DDA de Syslog.