Log_Interpret

По проханню трудівників було вирішено написати цю статтю, в якій розповідається як можна інтерпретувати в нормальну мову деякі повідомлення журналу SystemLog.

Приблизно такого змісту видає вікно сигналізації на ПК

Источник: 192.168.0.165
Дата/время:: 28.11.2024 14:19:00
Текст: INFO: Port 3 link down

Тепер спробуємо розібратись що ж воно накалякало:)
Источник: 192.168.0.165 --- вказує на IP адресу обладняння, яке відправило повідомлення, тобто саме на ньому відбулись якісь події.
Дата/время:: 28.11.2024 14:19:00 --- тут відповідно вказується дата та час події (якщо не налаштовано вірний час на апаратурі відповідно можливе не правильне його відображення)
Текст: INFO: Port 3 link down --- це категорія та сам текст повідомлення, а семе що нам каже апаратура, про що сповіщає
В залежності від виду апаратури можливе деяке змінення відображення дати\часу, категорії та вмісту повідомлення

Розберемо для початку типові Log-повідомлення від Cisco

727: Dec 4 09:51:23.607: %LINK-3-UPDOWN: Interface GigabitEthernet0/20, changed state to down
728: Dec 4 09:51:23.607: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/20, changed state to down

Такого типу повідомлення в Cisco приходять парами, і відрізняються лише категорією, якщо не змінено налаштування логування на апаратурі.
Отож, перше повідомлення:
727:--- вказує порядковий номер логу в пам'яті пристрою
Dec 4 09:51:23.607:--- місяць ("Dec" скорочено від англійського "December" - грудень, 4 - число, ну і логічно час, години, хвилини, секунди
%LINK-3-UPDOWN:--- категорія повідомлення, їх існує кілька видів, інформаційні, критичні, важливі, аварійні, в кожній апаратурі може бути різні
Interface GigabitEthernet0/20, changed state to down--- основний текст повідомлення, в якому вказано що Interface GigabitEthernet0/20 - порт, гігабитний електричний (частіше всьго мається на увазі той, який іде по витій парі), номер порту changed state to down - змінив статус на вимкнено
Тобто дане повідомлення означає, що 20-ий порт вимкнувся, а саме, обладнання перестало співпрацювати з зустрічним приладом, який знаходиться на цьому порту, можливо вимнули прилад, пошкоджений кабель між портом і приладом, або ще якась причина.

В другому повідомленні йдеться мова по суті про теж саме, тобто вимкнувся Line protocol on лінійний протокол на цьму порті, це означає що і в попередньму повідомленні.

738: Dec 4 09:51:40.807: %LINK-3-UPDOWN: Interface GigabitEthernet0/20, changed state to up
739: Dec 4 09:51:41.808: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/20, changed state to up

В цих логах, на відміну від наведених раніше, говориться про те, що порт changed state to up змінив свій статус в ввімкнено, тобто, прилад, або обладняння яке знаходиться в цьому порту в данний момент часу працює із апаратурою яка сповіщає про дану подію.

Nov 27 10:16:15.965: %LINK-5-CHANGED: Interface FastEthernet0/12, changed state to administratively down

В цьому сповіщенні Cisco каже що порт FastEthernet0/12 фаст, тобто 100-мегабітний changed state to administratively down змінив статус адміністратором в вимкнений, це означає, що порт вимкнуто програмно адміном пристрою. Тобто введено команду shutdown.

Nov 14 11:18:38.940: %SYS-5-PRIV_AUTH_PASS: Privilege level set to 15 by User on vty0 (192.168.0.250)
Тут повідомляється що для користувача User встановлено рівень привілеїв 15, тобто він успішно зайшов в режим енабла через vty0 - термінал, ссш або телнет, з пристрою який має ІП адресу 192.168.0.250

Nov 14 11:24:28.878: %SYS-5-CONFIG_I: Configured from console by User on vty0 (192.168.0.250)
Це повідомлення говорить що користувач User вийшов із режиму конфігурації, це може бути як закриття терміналу, так і повернення в головне меню Cisco

Dec 6 12:45:34.532: %ILPOWER-7-DETECT: Interface Fa0/8: Power Device detected: IEEE PD
Dec 6 12:45:34.935: %ILPOWER-5-POWER_GRANTED: Interface Fa0/8: Power granted
Обидва повідомлення а також одне нижче стосуються апаратури з фунцією POE- це коли Cisco сама по кабелю (витій парі) подає напругу для живлення активного обладнання що знаходиться в порту, тобто для нього не потрібний буде окремий блок живлення.
Розберемо: на Interface Fa0/8 - 100-мегабітному 8-ому порту Power Device detected: IEEE PD - виявлено пристрій який може живитись від обладняння з POE
Друге повідомлення сповіщає що Power granted - живлення подано на порт.

Dec 6 12:45:32.947: %ILPOWER-5-IEEE_DISCONNECT: Interface Fa0/8: PD removed
Це вказує що на даному порту PD removed живлення вимкнуто.

Ну і одне з зовсім неприємних повідомлень:
Nov 12 12:08:27.754: %SW_MATM-4-MACFLAP_NOTIF: Host bc29.16bd.7543 in vlan 77 is flapping between port Gi0/3 and port Gi0/7
вказує що пристрій з МАС адресою bc29.16bd.7543 який знаходиться в vlan 77 влані 77, flapping between port Gi0/3 and port Gi0/7 - "стрибає" (знаходиться одночасно або поперемінно) на портах 3 та 7. Що викликає нестабільну роботу апаратури.

Тепер розберемо деякі типові повідомлення від D-link

2024-12-06 17:07:01 INFO(6) Successful login through Web from 192.168.0.250 authenticated by AAA server 192.168.0.254 (Username: User). В цьому повідомленні говориться що Username: User користувач з іменем User Successful login through Web from 192.168.0.250 - успішно зайшов у веб-інтерфейс апаратури з пристрою який має ІП-аресу "192.168.0.250" та authenticated by AAA server 192.168.0.254 - аутентифікувався на радіус сервері з адресою "192.168.0.254".

2024-12-06 17:11:04 INFO(6) Successful Enable Admin through Web from 192.168.0.250 authenticated by AAA local_enable method (Username: User)
Тут каже що користувач Successful Enable Admin успішно увійшов в режим енабла.

2024-12-03 18:45:59 WARN(4) Login failed through Web (Username: User, IP: 192.168.0.250)
2024-12-03 18:45:59 WARN(4) Login failed through Web from 192.168.0.250 authenticated by AAA server 192.168.0.254 (Username: User).
2024-12-01 12:57:00 WARN(4) Enable Admin failed through Web from 192.168.0.250 authenticated by AAA local_enable method (Username: User)
Усі три вище вказані логи, означають Login failed невдалий вхід на обладнання або Enable Admin failed - невдалий вхід в режим енабла, частіше за все це відбувається при вводі невірного паролю.

2024-12-03 21:41:06 INFO(6) Port 14 link up, 1000Mbps FULL duplex
Дане повідомлення вказує що Port 14 link up - на 14-ому порту з'явилось з'єднання (наприклад ввімкнувся зустрічний пристрій) на швмдкості 1000Mbps

2024-12-03 21:40:44 INFO(6) Port 19 link down
Це вказує навпаки, що з'єднання вимкнулось. (вимкнуто зустрічний пристій, пошкоджена лінія, тощо)

Доволі неприємними, хоча і не критичними є нижчі повідомлення:
2024-12-04 11:07:08 NOTI(5) Topology changed (Instance:2, Port:1:4,MAC:49-7B-CD-34-49-62)
2024-12-04 07:50:04 NOTI(5) Spanning Tree port status changed (Instance:2, Port1:4) Forwarding->Discarding
2024-12-03 21:40:49 NOTI(5) Spanning Tree port status change (Instance:2, Port:1:4) Discarding->Learning
2024-12-03 21:40:49 NOTI(5) Spanning Tree port status change (Instance:2, Port:1:4) Learning->Forwarding
2024-12-03 21:41:06 INFO(6) Spanning Tree port role change (Instance:2, Port:1:4) DisabledPort->DesignatedPort
Розбирати ці логи будемо всі одразу, оскільки вони частіше всьго стосуються однієї події: Topology changed - змінилась логіка топології мережі (додався або став не доступний "розумний" пристрій) в логічній Instance:2 - інстанції номер "2" (стосується при налаштуванні MSTP, якщо налаштовано RSTP або STP номер буде ="0") на Port:1:4 - порту "4" викликало зміни обладнання з мак адресою 49-7B-CD-34-49-62
Через зміну топології, звичайно длинк вимикає короткочасно порт в якому відбулись зміни, (це авось щоб петлі не сталось) про що і кричить: змінив статус порта з Forwarding->Discarding пересилання пакетів в режим відбросу (тобто логічно вимкнув пересилання корисної інформації) з режиму Discarding->Learning відбрасування перейшов до вивчення (тобто обміну службовою інформацією з пристроєм, що вмикнувся на порту), з режиму навчання - Learning->Forwarding перевів порт в режим пересилки корисної інформації і нарешті з DisabledPort->DesignatedPort вимкнутого порту, перевів його в назначений, тобто в той, який нормально функціонує.

Тут приведені лише основні приклади SystemLog повідомлень, і без того якось забагато символів вийшло, не очікував:)