Un SNE configurato come Site Director ha la possibilità opzionale di inviare le voci del registro di audit configurate e le notifiche di allarme all'archivio centrale di un server Syslog esterno standard, conformemente all'RFC 3164 pubblicata su Internet. Dopo avere salvato la configurazione del DDA Syslog, tutti i messaggi vengono inviati subito al server Syslog configurato. È quindi possibile aprire un'interfaccia utente sul server Syslog e utilizzare i filtri forniti per interrogare o eseguire analisi forensi su questi messaggi. Per facilitare la lettura del registro, i campi di ogni messaggio Metasys sono separati l'uno dall'altro da una barra verticale (|), mentre i campi vuoti sono occupati da un trattino (-).
Nella configurazione predefinita, l'opzione Syslog è disabilitata. La funzione Syslog viene abilitata modificando l'attributo Syslog Reporting abilitato su Vero nella finestra Syslog. I requisiti per il DDA Syslog sono i seguenti:
- Il server Syslog deve essere installato e funzionante su un computer server o su una macchina virtuale che sia raggiungibile dal controllore SNE.
- Non è possibile specificare più di tre destinazioni Syslog.
- La porta firewall deve essere aperta.
La definizione del DDA Syslog richiede:
- un'etichetta che identifichi il server Syslog
- l'indirizzo IP del server Syslog
- i numeri di porta per la porta di trasmissione UDP e la porta di ricezione UDP (ad esempio, 514 per entrambe)
- filtri per eventi e audit da applicare a tutti i messaggi relativi a eventi e audit. Solo i messaggi relativi a eventi e audit corrispondenti ai filtri saranno inoltrati al server Syslog.
L'attributo del DDA Syslog denominato Syslog Reporting abilitato viene visualizzato nella sezione Configurazione condivisa della scheda Syslog di un oggetto di dispositivo SNE (Figura 1). Questo attributo ha due opzioni: Vero o Falso.
Se l'attributo Syslog Reporting abilitato è impostato su Vero, la funzione è attiva e i messaggi Metasys (eventi e audit) vengono inoltrati al server Syslog di destinazione in base ai filtri specificati. Quando l'attributo Syslog Reporting abilitato è impostato su Falso, la funzione non è attiva e al server Syslog non viene inviato alcun messaggio Metasys. Nell'esempio di configurazione presentato nella Figura 1, al server Syslog vengono inoltrati tutti gli allarmi Preallarme alto che richiedono un'accettazione.
L'implementazione di DDA Syslog è UDP, non TCP. Di conseguenza, gli audit e/o gli eventi che vengono generati quando il server Syslog è offline non vengono registrati sul server Syslog, neppure se il sistema Metasys, non potendo determinare lo stato corrente del server Syslog, continua a trasmettere messaggi. Quando il server Syslog ritorna online, tra un evento e l'altro vi è un divario di tempo.
Figura 2 mostra un esempio di messaggi di sistema Metasys visualizzati nell'interfaccia utente del Syslog® Server Kiwi. Utilizzare la console per filtrare i messaggi. Se non si dispone di un tool con cui eseguire questa operazione, aprire un web browser e digitare il seguente URL:
http://<IP del server>>:<Porta>/Events.aspx
Ad esempio:
http://SysLogserver1:8088/Events.aspx
Quando si accede a questo sito, inserire un nome utente e una password validi alla richiesta di accesso al server Syslog. Viene visualizzata un'interfaccia utente con i messaggi registrati.
In caso di problemi durante l'implementazione della funzionalità DDA Syslog, consultare la tabella seguente.
Scenario |
Comportamento |
---|---|
Il controllore si avvia ma il DDA SysLog non si è ancora avviato. |
Tutti gli audit e gli eventi generati vengono salvati nella cache e inviati al DDA Syslog al suo avvio. La capacità massima della cache è di 1.000 audit e 1.000 eventi ogni ora. |
Il server Syslog va in crash. |
Tutti gli audit e gli eventi generati che il controllore invia al server Syslog vanno persi; nella cache non viene salvato nulla. |
Il server Syslog va offline o è irraggiungibile. |
Tutti gli audit e gli eventi generati che il controllore invia al server Syslog vanno persi; nella cache non viene salvato nulla. I dati non vengono inviati al server Syslog finché questo non torna online o diventa raggiungibile. |
L'indirizzo IP, il nome o i numeri di porta del server Syslog definiti nell'oggetto del controllore non sono validi. |
Tutti gli audit e gli eventi generati che il controllore invia al server Syslog vanno persi; nella cache non viene salvato nulla. I dati non vengono inviati al server Syslog finché i parametri non validi non vengono corretti nel DDA Syslog. |
Il parametro Syslog Reporting abilitato è impostato su Vero, ma non è definito nessun parametro Syslog. |
Tutti gli audit e gli eventi generati che il controllore invia al server Syslog vanno persi; nella cache non viene salvato nulla. I dati non vengono inviati al server Syslog finché non vengono specificati i parametri richiesti dal DDA Syslog. |
La UDP Send Port o la UDP Receive Port sono bloccate da un firewall. |
Tutti gli audit e gli eventi generati che il controllore invia al server Syslog vanno persi; nella cache non viene salvato nulla. I dati non vengono inviati al server Syslog finché le porte del server Syslog non vengono aperte. |
Un parametro del server Syslog cambia ma il corrispondente parametro del DDA Syslog del controllore non viene modificato di conseguenza. |
Tutti gli audit e gli eventi generati che il controllore invia al server Syslog vanno persi; nella cache non viene salvato nulla. Il server Syslog non riceve alcun dato finché i parametri non validi non vengono corretti nel DDA Syslog. |