(Classe 5a) - Sistemi e Reti

Se i messaggi di Syslog sono inviati a un Server (es. Cisco Kiwi Syslog Daemon), l’utente ha maggiore facilità poi nell’analizzarli, filtrandoli in base al valore dei vari campi che li compongono, oltre che all’IP dell’apparato che li ha generati.

Il Server permette anche di cancellare i log meno importanti o già analizzati. Nel settore della sicurezza, però, si dice che il posto più blindato per “archiviare” dei log, perché non vengano attaccati e cancellati da un hacker, sia una stampante.

Gli apparati di solito, per default, memorizzano i log in RAM, in un buffer di almeno 4KB modificabile, e li inviano anche in Console, per tutti i livelli di severità.

Per configurare l’invio dei log a un Syslog Server, usare i seguenti comandi:

In questo caso, i messaggi di up-down delle interfacce non sarebbero inviati al Server, essendo di severità 5, mentre il Server deve ricevere solo log più gravi, dal livello 4 in giù.