Un SNC a la possibilité, en option, d’envoyer ses entrées de journal d’audit et notifications d’alarme configurées au référentiel central d’un serveur Syslog standard externe, conformément au protocole RFC 3164 publié sur Internet. Vous pouvez alors ouvrir une interface utilisateur sur le serveur Syslog et utiliser les filtres fournis pour analyser minutieusement ces messages. Un symbole de barre verticale (|) sépare les différents champs de chaque message Metasys et un unique tiret (-) remplace tout champ vide afin de faciliter la lecture du journal.
L’option Syslog est désactivée par défaut. Définissez l’attribut Syslog Reporting Enabled sur True dans la fenêtre Syslog pour activer la fonction Syslog. Les conditions préalables requises pour le DDA Syslog sont les suivantes :
- le serveur Syslog doit être installé et exécuté sur un serveur ou une machine virtuelle accessible par le SNC.
- vous ne devez pas indiquer plus de trois destinations Syslog.
- le port du pare-feu doit être ouvert.
La définition du DDA Syslog requiert les éléments suivants :
- un libellé permettant d’identifier le serveur Syslog ;
- l’adresse IP du serveur Syslog ;
- les numéros de port d’envoi et de réception UDP. Par exemple, 514 pour les deux ;
- les filtres d’audit et d’événement à appliquer à tous les messages d’événement et d’audit. Seuls les messages d’événement et d’audit correspondant à ces filtres sont envoyés au serveur Syslog.
L’attribut DDA Syslog appelé Syslog Reporting Enabled s’affiche dans la section Shared Configuration de l’onglet Syslog d’un objet d’appareil SNC. Il existe deux valeurs possibles pour cet attribut : True ou False.
Lorsque l’attribut Syslog Reporting Enabled est défini sur True, la fonction est active et envoie les messages Metasys (événements et audits) au serveur Syslog de destination en fonction des filtres spécifiés. Lorsque l’attribut Syslog Reporting Enabled est défini sur False, la fonction est inactive et n’envoie aucun message Metasys au serveur Syslog.
Le protocole de mise en œuvre du DDA Syslog est UDP et non TCP. Lorsque le serveur Syslog est hors ligne, il n’enregistre aucun audit ou événement à son niveau, même si le système Metasys, incapable de déterminer l’état du serveur Syslog, continue d’envoyer des messages. Il existe un temps de latence entre les événements lorsque le serveur Syslog est de nouveau en ligne.
Utilisez la console pour filtrer les messages. Si vous ne possédez pas d’outil, ouvrez un navigateur Web et saisissez l’URL suivante :
http://<adresse IP du serveur>>:<Port>/Events.aspx
Par exemple : http://SysLogserver1:8088/Events.aspx
Pour atteindre ce site, vous devez saisir un nom d’utilisateur et un mot de passe valables lorsque vous êtes invité à accéder au serveur Syslog. Une interface utilisateur s’affiche avec les messages capturés.
En cas de problème lors de la mise en œuvre de la fonction de DDA Syslog, consultez le tableau suivant :
Cas de figure |
Comportement |
---|---|
Le SNC démarre mais le DDA Syslog n’a pas encore démarré. |
Au démarrage, tous les audits et événements générés sont placés dans le cache et envoyés au DDA Syslog. La taille maximum du cache est de 1000 audits et 1000 événements. |
Le serveur Syslog plante. |
Tous les audits et événements générés et envoyés par le moteur au serveur Syslog sont perdus, aucun d’eux n’est placé dans le cache. |
Le serveur Syslog est hors ligne ou inaccessible. |
Tous les audits et événements générés et envoyés par le moteur au serveur Syslog sont perdus, aucun d’eux n’est placé dans le cache. Le serveur Syslog ne reçoit aucune donnée jusqu’à ce qu’il soit de nouveau en ligne ou accessible. |
L’adresse IP, le nom ou les numéros de port du serveur Syslog, tels que définis dans l’objet du moteur, ne sont pas valables. |
Tous les audits et événements générés et envoyés par le moteur au serveur Syslog sont perdus, aucun d’eux n’est placé dans le cache. Le serveur Syslog ne reçoit aucune donnée tant que les paramètres incorrects ne sont pas corrigés sur le DDA Syslog. |
Le paramètre Syslog Reporting Enabled est défini sur True, mais ne définit pas les paramètres Syslog. |
Tous les audits et événements générés et envoyés par le moteur au serveur Syslog sont perdus, aucun d’eux n’est placé dans le cache. Le serveur Syslog ne reçoit aucune donnée tant que les paramètres requis par le DDA Syslog ne sont pas spécifiés. |
Le pare-feu bloque le port de réception UDP ou le port d’envoi UDP. |
Tous les audits et événements générés et envoyés par le moteur au serveur Syslog sont perdus, aucun d’eux n’est placé dans le cache. Le serveur Syslog ne reçoit aucune donnée tant que vous n’ouvrez pas les ports du DDA Syslog. |
Un paramètre du serveur Syslog a changé, mais le paramètre correspondant sur le DDA Syslog du moteur n’a pas été modifié en conséquence. |
Tous les audits et événements générés et envoyés par le moteur au serveur Syslog sont perdus, aucun d’eux n’est placé dans le cache. Le serveur Syslog ne reçoit aucune donnée tant que les paramètres incorrects ne sont pas corrigés sur le DDA Syslog. |