Syslog
Course Contents
1. ¿Qué es Syslog?
Si acabas de escribir «syslog cisco» en la barra de búsqueda de Google, estás en el lugar adecuado.
Imagina que estás gestionando una red y, por ejemplo, se cae una interfaz de tu router. ¿Cómo averiguas qué ha pasado?
Aquí es donde el protocolo SYSLOG puede ayudarle. Es un protocolo estandarizado utilizado por dispositivos de red como routers y switches para enviar actualizaciones de estado y alertas.
Si una interfaz se cae en nuestro Router R1, SYSLOG generará inmediatamente un mensaje como este:
R1#
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to down
Este mensaje indica que la interfaz ya no está operativa.
2. Almacenamiento de mensajes Syslog
Cuando un dispositivo Cisco detecta un evento, como la caída de una interfaz, genera un mensaje SYSLOG. Este mensaje puede enviarse a distintos destinos, en función de cómo esté configurado el dispositivo.
Veamos cada método de registro y cómo se comporta en la práctica.
Registro en consola
Cuando estás conectado físicamente al router a través del puerto de consola, los mensajes SYSLOG se muestran en tiempo real en tu terminal.
Este tipo de registro está activado por defecto y es ideal para la solución de problemas locales durante la configuración inicial. El comando logging console se puede utilizar en el caso de que el dispositivo tenga el registro de la consola desactivado.
Pero déjame decirte que si se cierra la sesión o se reinicia el dispositivo, se pierden todos los registros…
Registro de terminales (Telnet/SSH)
Cuando se conecta remotamente a través de SSH o Telnet, los mensajes SYSLOG no se muestran por defecto. Para verlos, es necesario habilitar explícitamente el registro en tiempo real en la sesión mediante el comando terminal monitor.
Este comando sólo afecta a la sesión actual y debe volver a introducirse si se vuelve a conectar al dispositivo.
Registro en búfer (RAM)
El registro en búfer permite almacenar los mensajes de registro temporalmente en la memoria RAM.
Esto significa que puedes verlos incluso después de que se haya producido un evento, siempre y cuando el dispositivo no se haya reiniciado.
Puedes elegir cuánta memoria asignar al registro.
Te mostraré cómo configurar el registro en búfer:
R1(config)# logging buffered ? <0-7> Logging severity level <4096-2147483647> Logging buffer size (default is 4096) alerts (level 1) critical (level 2) debugging (level 7) emergencies (level 0) errors (level 3) informational (level 6) notifications (level 5) warnings (level 4)
R1(config)# logging buffered 16384 4
Este comando establece 16.384 bytes de espacio en el búfer y almacena sólo los registros con gravedad 4 (advertencias) y superior. (Veremos el nivel de gravedad en la parte 4)
Para revisar los registros utilice el comando show logging:
R1# show logging
Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns)
Console logging: level debugging, 7 messages logged, xml disabled,
filtering disabled
Monitor logging: level debugging, 0 messages logged, xml disabled,
filtering disabled
Buffer logging: level warnings, 36 messages logged, xml disabled,
filtering disabled
Exception Logging: size (4096 bytes)
Count and timestamp logging messages: disabled
Persistent logging: disabled
Trap logging: level informational, 39 message lines logged
Logging to 192.168.10.1 via udp on port 514
Logging Source-Interface: not set
VRF Name: (default)
Log Buffer (16384 bytes):
*Jun 12 08:14:21.012: %SYS-5-CONFIG_I: Configured from console by admin on vty0 (192.168.1.100)
*Jun 12 08:14:22.123: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to up
*Jun 12 08:14:23.315: %LINK-3-UPDOWN: Interface GigabitEthernet0/2, changed state to down
*Jun 12 08:14:24.417: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/2, changed state to down
*Jun 12 08:14:27.789: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 10.1.1.5(51304) -> 172.16.1.10(22), 1 packet
*Jun 12 08:14:31.456: %SYS-5-CONFIG_I: Configured from memory by console
*Jun 12 08:14:33.111: %BGP-5-ADJCHANGE: neighbor 10.1.1.1 Up
*Jun 12 08:14:35.962: %SYS-4-WARNING: High CPU utilization detected on process 'routing'
Servidor Syslog (almacenamiento centralizado)
En los entornos empresariales, los registros se envían a un servidor Syslog central para su almacenamiento a largo plazo. Esto le permite mantener un historial completo de eventos de múltiples dispositivos en un solo lugar.
En el diagrama, R1 está configurado para enviar los registros a un servidor a través de la red. Esto garantiza que, aunque R1 se reinicie, los registros sigan archivados y disponibles para su análisis.
El protocolo Syslog utiliza el puerto UDP 514 para enviar mensajes.
¿Dónde se pueden enviar mensajes de syslog?
Si resumimos, aquí podéis ver una tabla con todos los destinos SYSLOG, los comandos de configuración relevantes y cómo se comportan:
| Destino | Comando(s) | ¿Almacenamiento persistente? | Caso de uso |
|---|---|---|---|
| Consola | logging console | ❌ No | Registros en vivo en la consola física, habilitados de forma predeterminada |
| Terminal (SSH/Telnet) | logging monitor + terminal monitor | ❌ No | Los registros en vivo durante la sesión remota deben habilitarse manualmente |
| Búfer (RAM) | logging buffered [size] + show logging | ❌ No | Ver registros pasados después de que ocurrieron los eventos (hasta reiniciar) |
| Servidor Syslog | logging host [IP] + logging trap [level] | ✅ Sí | Almacenamiento a largo plazo |
3. Estructura del mensaje de syslog
Los mensajes de Syslog deben tener una estructura para que el administrador de red pueda entenderlos.
Cada mensaje SYSLOG proporciona información estructurada para ayudarle a diagnosticar eventos de red. Su contenido habitual es el siguiente:
- Marca de tiempo: cuándo ocurrió el evento.
- Código de instalación: la parte del sistema que generó el mensaje.
- Nivel de gravedad: qué tan crítico es el evento.
- Mnemónico: un identificador corto para el tipo de evento.
- Texto del mensaje: Una descripción detallada de lo que sucedió.
Veamos un ejemplo
Cuando una interfaz deja de funcionar, un mensaje SYSLOG podría verse así:
R1# %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to down
- Facility Code: %LINEPROTO (related to the interface protocol)
- Severity Level: 5 (Notification level)
- Mnemonic: UPDOWN (Interface status change)
- Message Text: The interface went down.
4. Niveles de gravedad de syslog
No todos los mensajes de Syslog tienen el mismo nivel de importancia.
Para ayudar al ingeniero de red a priorizar, a cada mensaje se le asigna un nivel de gravedad que va de 0 a 7, donde 0 es el más crítico y 7 es el menos crítico.
| Nivel | Nombre | Significado | Mensaje de ejemplo |
|---|---|---|---|
| 0 | Emergency | El sistema no se puede utilizar | %SYS-0-EMERG: System running beyond physical memory |
| 1 | Alert | Se requiere acción inmediata | %LINK-1-UPDOWN: Interface GigabitEthernet0/1, changed state to administratively down |
| 2 | Critical | Estado crítico | %LINEPROTO-2-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to down |
| 3 | Error | Condición de error | %ETHPORT-3-IF_ERROR_VLANS_SUSPENDED: VLANs on Interface Gi0/1 suspended |
| 4 | Warning | Condición de advertencia | %SYS-4-CONFIG_NEW: Configured from console by admin |
| 5 | Notification | Condición normal pero significativa | %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/2, changed state to up |
| 6 | Informational | mensaje informativo | %SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 192.168.1.100 started |
| 7 | Debugging | Mensajes de depuración (detallados) | %DEBUG-7-IP: ICMP echo request sent to 10.1.1.1 from 192.168.1.1 |
Estos niveles de gravedad pueden ser difíciles de aprender, pero observemos esta simple frase en conjunto:
«Every Awesome Cisco Engineer Will Need Ice Cream Daily.»
Cada palabra te ayuda a recordar los niveles de gravedad de Syslog del 0 al 7:
| Nivel | Severity | Gancho de memoria |
|---|---|---|
| 0 | Emergency | Every |
| 1 | Alert | Awesome |
| 2 | Critical | Cisco |
| 3 | Error | Engineer |
| 4 | Warning | Will |
| 5 | Notification | Need |
| 6 | Informational | Ice Cream |
| 7 | Debugging | Daily |
Sólo tienes que repetir la frase unas cuantas veces y nunca volverás a olvidar el orden.
5. Syslog Facility Codes
En redes grandes, los dispositivos pueden generar cientos de mensajes de registro cada minuto. Para mantener la organización, se utilizan Syslog Facility Codes para identificar el origen de cada mensaje de Syslog, como el sistema, una interfaz o un proceso de seguridad.
Estos códigos permiten a los administradores filtrar registros de manera más eficiente, ayudándolos a centrarse solo en los mensajes que importan, como fallas de autenticación, cambios de enlaces o advertencias del sistema, en lugar de verse abrumados por registros irrelevantes.
Descripción general de los Facility Codes
| Facility Code | Descripción | Mensajes de ejemplo |
|---|---|---|
| KERNEL | Mensajes relacionados con el kernel | %KERNEL-3-CRIT: Kernel panic – system halted. |
| AUTH | Autenticación y acceso de usuarios | %AUTH-4-LOGIN_FAILURE: Failed login attempt from 192.168.1.100. |
| SEC | Eventos relacionados con la seguridad (cortafuegos, acceso no autorizado) | %SEC-5-ACL_PERMIT: Access granted to 10.0.0.5 via ACL 101. |
| SYS | Mensajes generales del sistema | %SYS-6-LOGGING_HOST: Logging server set to 192.168.1.10. |
| LINK | Cambios de estado de la interfaz | %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed state to down. |
| LINEPROTO | Estado del protocolo de línea | %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to up. |
| DAEMON | Mensajes de los servicios del sistema en segundo plano | %DAEMON-6-NTP_SYNC: NTP synchronized with 192.168.1.1. |
Ejemplo
Cuando una interfaz deja de funcionar, el mensaje podría verse así:
%LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed state to down
Desglosándolo:
- %LINK → El código de instalación indica que el mensaje está relacionado con el estado del enlace de la interfaz.
- 3 → El nivel de gravedad (Error).
- UPDOWN → El mensaje mnemotécnico que muestra que el estado de la interfaz cambió.
- Message text → Especifica la interfaz afectada y el nuevo estado.
Esto permite a los administradores comprender rápidamente el problema y tomar las medidas adecuadas.
6. Conclusión
Lo que debes recordar
🔵 ¿Qué es Syslog?
Un protocolo utilizado por los dispositivos de red para informar eventos importantes, como cambios de interfaz, errores o actualizaciones de configuración.
🔵 Destinos del syslog
Los mensajes se pueden enviar a diferentes destinos:
- Consola: registros en tiempo real si está conectado físicamente (habilitado de forma predeterminada)
- Terminal (SSH/Telnet): Requiere un monitor de terminal para mostrar registros de forma remota
- Búfer (RAM): almacena registros temporalmente en la memoria (registro en búfer)
- Syslog Server: almacenamiento centralizado para análisis a largo plazo (host de registro)
🔵 Estructura del mensaje de syslog
Cada mensaje contiene:
- Una marca de tiempo
- Un código de instalación (qué parte del sistema lo generó)
- Un nivel de gravedad (qué tan urgente es)
- Un mnemónico y un mensaje corto
🔵 Niveles de gravedad de syslog (0–7)
Se utiliza para clasificar la importancia de cada mensaje, desde Emergencia (0) hasta Depuración (7).
Los números más bajos indican problemas más críticos.
🔵 Códigos de instalación de Syslog
Permiten identificar el origen del registro: mensajes del sistema, estado del enlace, eventos de seguridad, etc.
Si comprende esto, podrá solucionar problemas mejor y detectarlos más rápidamente.
¿Quieres profundizar más?
Si está buscando la documentación oficial de Cisco sobre cómo se implementa Syslog en los conmutadores Cisco, este PDF de Cisco proporciona detalles técnicos avanzados.