Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konsumsi syslog
Amazon CloudWatch Logs managed syslog ingestion memungkinkan Anda mengirim pesan syslog (RFC 5424, RFC 3164, dan Cisco FTD/ASA) dari firewall, router, switch, dan server Linux langsung ke Log — tanpa menginstal atau mengelola agen apa pun. CloudWatch Sumber syslog Anda mengirim pesan melalui TCP, TCP+TLS, atau UDP ke titik akhir VPC di akun Anda. Lalu lintas disalurkan melalui AWS PrivateLink layanan CloudWatch syslog Logs, yang secara otomatis mem-parsing pesan masuk dan mengekstrak bidang terstruktur seperti fasilitas, tingkat keparahan, nama host, dan nama aplikasi — menghilangkan kebutuhan untuk pipeline parsing kustom. Anda kemudian dapat menanyakan bidang ini menggunakan CloudWatch Logs Analytics untuk menyelidiki peristiwa keamanan atau memecahkan masalah konektivitas. Ini membantu Anda memusatkan visibilitas log infrastruktur, menyederhanakan alur kerja operasional, dan mengurangi overhead penerapan dan pemeliharaan agen pengumpulan log di seluruh lingkungan terdistribusi.
Jika sumber syslog Anda sudah ada di dalam VPC Amazon Anda, mereka dapat mengirim pesan langsung ke titik akhir VPC. Jika sumber Anda berada di luar AWS (pusat data lokal, kantor cabang, atau fasilitas lokasi bersama), sumber tersebut dapat mencapai titik akhir VPC melalui koneksi VPN atau Direct Connect Anda.
Protokol dan port yang didukung
| Protokol | Port | Catatan |
|---|---|---|
| TCP+TLS | 6514 | Dienkripsi dalam perjalanan. Direkomendasikan untuk persyaratan kepatuhan. |
| TCP plaintext | 1514 | Plaintext over AWS PrivateLink (terisolasi jaringan). |
| UDP | 514 | Best-effort pengiriman. |
TLS pada port 6514 dihentikan pada penyeimbang beban jaringan menggunakan AWS sertifikat yang dikelola oleh Amazon Trust Services. Klien syslog Anda mempercayai sertifikat ini secara otomatis tanpa konfigurasi khusus apa pun.
catatan
UDP adalah protokol upaya terbaik. Pesan mungkin hilang karena kondisi jaringan. Gunakan TCP untuk pengiriman yang andal.
Format syslog yang didukung
CloudWatch Log secara otomatis mendeteksi dan mem-parsing format syslog berikut:
RFC 5424 (format yang lebih baru) - Termasuk data terstruktur, cap waktu ISO 8601, dan nama aplikasi eksplisit dan bidang ID proses.
RFC 3164 (syslog BSD, format lama) - Termasuk stempel waktu dan bidang TAG. BSD-style Masih banyak digunakan oleh perangkat jaringan seperti firewall, router, dan switch.
Cisco FTD/ASA — Format syslog yang digunakan oleh perangkat Cisco Firepower Threat Defense (FTD) dan Adaptive Security Appliance (ASA). Pesan diidentifikasi oleh
%ASA-tag%FTD-atau di badan pesan.
Pesan disimpan di grup log Anda dalam format mentah aslinya. CloudWatch Log secara otomatis mengekstrak bidang terstruktur dari setiap format, yang dapat Anda kueri menggunakan Wawasan CloudWatch Log.
RFC 5424 bidang yang diekstraksi
| Bidang | Deskripsi |
|---|---|
facility | Nama kategori log (misalnya,kern,auth,local0). |
facilityCode | Kode fasilitas numerik (0—23). |
severity | Nama tingkat keparahan (misalnya,emerg,err,info). |
severityCode | Kode keparahan numerik (0—7). |
timestamp | Stempel waktu pesan dalam format ISO 8601. |
hostname | Nama host perangkat sumber. |
appName | Nama aplikasi |
procId | ID Proses. |
msgId | Pengidentifikasi pesan. |
structuredData | RFC 5424 elemen data terstruktur (metadata nilai kunci). |
message | Badan pesan. |
RFC 3164 bidang yang diekstraksi
| Bidang | Deskripsi |
|---|---|
facility | Nama kategori log. |
facilityCode | Kode fasilitas numerik (0—23). |
severity | Nama tingkat keparahan. |
severityCode | Kode keparahan numerik (0—7). |
timestamp | Stempel waktu pesan (dikonversi dari format BSD ke ISO 8601). |
hostname | Nama host perangkat sumber. |
appName | Nama aplikasi (diekstrak dari bidang TAG). |
procId | ID Proses (diekstrak dari bidang TAG, jika ada). |
message | Badan pesan. |
Bidang yang FTD/ASA diekstraksi Cisco
| Bidang | Deskripsi |
|---|---|
device | Jenis perangkat (FTD,ASA, atauFMC-AUDIT-LOG). |
timestamp | Stempel waktu pesan (format RFC 3164 atau RFC 5424, tergantung pada konfigurasi perangkat). |
deviceId | Nama host perangkat (hadir saat device-id logging dikonfigurasi pada alat). |
severity | Nama tingkat keparahan (misalnya,informational,warning,critical). |
severityLevel | Tingkat keparahan numerik (0—7). |
messageId | Pengidentifikasi pesan numerik Cisco (misalnya,,106023). 302013 |
subsystem | Nama subsistem (hadir untuk jenis pesan tertentu). |
message | Badan pesan (teks biasa), atau bidang nilai kunci individu saat badan menggunakan format terstruktur Cisco. |
Pengiriman pesan
Tidak seperti HTTP-based konsumsi di mana server mengembalikan kode status untuk setiap permintaan, syslog tidak memberikan pengakuan keberhasilan per pesan kembali ke pengirim. Setelah pesan diterima oleh layanan, pesan tersebut di-buffer dan dikirim ke grup log Anda dengan percobaan ulang untuk kesalahan sementara. Jaminan pengiriman tergantung pada protokol transportasi yang Anda pilih:
-
TCP (port 6514 dan 1514) - Menyediakan pengiriman yang andal dalam kondisi operasi normal.
Ketika pengiriman tidak memungkinkan, layanan me-reset koneksi TCP untuk memberi sinyal kegagalan kepada klien Anda. Pesan dalam penerbangan pada koneksi itu mungkin terputus, tetapi pengaturan ulang koneksi memberikan tekanan balik langsung sehingga klien Anda dapat mendeteksi masalah dan menyangga pesan secara lokal hingga kondisinya teratasi. Di bawah tekanan kapasitas, layanan menolak koneksi TCP baru lebih awal, memberikan sinyal tekanan balik yang sama.
Kondisi yang menyebabkan reset koneksi meliputi:
Kebijakan titik akhir VPC menolak akses
PutLogEventsKuota akun Anda terlampauiGrup log target tidak ada
Kebijakan sumber daya pada grup log menolak akses
UDP (port 514) — Best-effort pengiriman. Pesan yang tidak dapat dikirim dihapus tanpa umpan balik kepada pengirim. Pesan juga dapat hilang karena kemacetan jaringan atau kendala kapasitas. Gunakan TCP jika pengiriman yang andal penting untuk kasus penggunaan Anda.
Untuk mendeteksi dan menanggapi masalah pengiriman, pantau SyslogMessagesDropped metrik di CloudWatch. ReasonDimensi menunjukkan mengapa pesan dijatuhkan sehingga Anda dapat mengambil tindakan korektif. Untuk informasi selengkapnya, lihat Memantau konsumsi syslog.
Kuota dan batas
| Kuota | Nilai | Catatan |
|---|---|---|
| Ukuran pesan maksimum (TCP) | 64 KB | Pesan syslog standar biasanya berada di bawah batas ini. Jika Anda memiliki kasus penggunaan yang memerlukan pesan yang lebih besar, hubungi AWS Support. |
| Ukuran pesan maksimum (UDP) | 8 KB | Pesan syslog standar biasanya berada di bawah batas ini. Jika Anda memiliki kasus penggunaan yang memerlukan pesan yang lebih besar, hubungi AWS Support. |
| Throughput konsumsi | Berbagi dengan PutLogEvents |
Jumlah konsumsi Syslog terhadap PutLogEvents kuota akun Anda (5.000 permintaan per detik per akun per Wilayah secara default). |
PutLogEventsKuota dapat disesuaikan. Jika lalu lintas syslog Anda membutuhkan throughput yang lebih tinggi, mintalah peningkatan kuota melalui Service Quotas.