View a markdown version of this page

Konsumsi syslog - CloudWatch Log Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konsumsi syslog

Amazon CloudWatch Logs managed syslog ingestion memungkinkan Anda mengirim pesan syslog (RFC 5424, RFC 3164, dan Cisco FTD/ASA) dari firewall, router, switch, dan server Linux langsung ke Log — tanpa menginstal atau mengelola agen apa pun. CloudWatch Sumber syslog Anda mengirim pesan melalui TCP, TCP+TLS, atau UDP ke titik akhir VPC di akun Anda. Lalu lintas disalurkan melalui AWS PrivateLink layanan CloudWatch syslog Logs, yang secara otomatis mem-parsing pesan masuk dan mengekstrak bidang terstruktur seperti fasilitas, tingkat keparahan, nama host, dan nama aplikasi — menghilangkan kebutuhan untuk pipeline parsing kustom. Anda kemudian dapat menanyakan bidang ini menggunakan CloudWatch Logs Analytics untuk menyelidiki peristiwa keamanan atau memecahkan masalah konektivitas. Ini membantu Anda memusatkan visibilitas log infrastruktur, menyederhanakan alur kerja operasional, dan mengurangi overhead penerapan dan pemeliharaan agen pengumpulan log di seluruh lingkungan terdistribusi.

Jika sumber syslog Anda sudah ada di dalam VPC Amazon Anda, mereka dapat mengirim pesan langsung ke titik akhir VPC. Jika sumber Anda berada di luar AWS (pusat data lokal, kantor cabang, atau fasilitas lokasi bersama), sumber tersebut dapat mencapai titik akhir VPC melalui koneksi VPN atau Direct Connect Anda.

Protokol dan port yang didukung

Protokol Port Catatan
TCP+TLS 6514 Dienkripsi dalam perjalanan. Direkomendasikan untuk persyaratan kepatuhan.
TCP plaintext 1514 Plaintext over AWS PrivateLink (terisolasi jaringan).
UDP 514 Best-effort pengiriman.

TLS pada port 6514 dihentikan pada penyeimbang beban jaringan menggunakan AWS sertifikat yang dikelola oleh Amazon Trust Services. Klien syslog Anda mempercayai sertifikat ini secara otomatis tanpa konfigurasi khusus apa pun.

catatan

UDP adalah protokol upaya terbaik. Pesan mungkin hilang karena kondisi jaringan. Gunakan TCP untuk pengiriman yang andal.

Format syslog yang didukung

CloudWatch Log secara otomatis mendeteksi dan mem-parsing format syslog berikut:

  • RFC 5424 (format yang lebih baru) - Termasuk data terstruktur, cap waktu ISO 8601, dan nama aplikasi eksplisit dan bidang ID proses.

  • RFC 3164 (syslog BSD, format lama) - Termasuk stempel waktu dan bidang TAG. BSD-style Masih banyak digunakan oleh perangkat jaringan seperti firewall, router, dan switch.

  • Cisco FTD/ASA — Format syslog yang digunakan oleh perangkat Cisco Firepower Threat Defense (FTD) dan Adaptive Security Appliance (ASA). Pesan diidentifikasi oleh %ASA- tag %FTD- atau di badan pesan.

Pesan disimpan di grup log Anda dalam format mentah aslinya. CloudWatch Log secara otomatis mengekstrak bidang terstruktur dari setiap format, yang dapat Anda kueri menggunakan Wawasan CloudWatch Log.

RFC 5424 bidang yang diekstraksi

Bidang Deskripsi
facilityNama kategori log (misalnya,kern,auth,local0).
facilityCodeKode fasilitas numerik (0—23).
severityNama tingkat keparahan (misalnya,emerg,err,info).
severityCodeKode keparahan numerik (0—7).
timestampStempel waktu pesan dalam format ISO 8601.
hostnameNama host perangkat sumber.
appNameNama aplikasi
procIdID Proses.
msgIdPengidentifikasi pesan.
structuredDataRFC 5424 elemen data terstruktur (metadata nilai kunci).
messageBadan pesan.

RFC 3164 bidang yang diekstraksi

Bidang Deskripsi
facilityNama kategori log.
facilityCodeKode fasilitas numerik (0—23).
severityNama tingkat keparahan.
severityCodeKode keparahan numerik (0—7).
timestampStempel waktu pesan (dikonversi dari format BSD ke ISO 8601).
hostnameNama host perangkat sumber.
appNameNama aplikasi (diekstrak dari bidang TAG).
procIdID Proses (diekstrak dari bidang TAG, jika ada).
messageBadan pesan.

Bidang yang FTD/ASA diekstraksi Cisco

Bidang Deskripsi
deviceJenis perangkat (FTD,ASA, atauFMC-AUDIT-LOG).
timestampStempel waktu pesan (format RFC 3164 atau RFC 5424, tergantung pada konfigurasi perangkat).
deviceIdNama host perangkat (hadir saat device-id logging dikonfigurasi pada alat).
severityNama tingkat keparahan (misalnya,informational,warning,critical).
severityLevelTingkat keparahan numerik (0—7).
messageIdPengidentifikasi pesan numerik Cisco (misalnya,,106023). 302013
subsystemNama subsistem (hadir untuk jenis pesan tertentu).
messageBadan pesan (teks biasa), atau bidang nilai kunci individu saat badan menggunakan format terstruktur Cisco.

Pengiriman pesan

Tidak seperti HTTP-based konsumsi di mana server mengembalikan kode status untuk setiap permintaan, syslog tidak memberikan pengakuan keberhasilan per pesan kembali ke pengirim. Setelah pesan diterima oleh layanan, pesan tersebut di-buffer dan dikirim ke grup log Anda dengan percobaan ulang untuk kesalahan sementara. Jaminan pengiriman tergantung pada protokol transportasi yang Anda pilih:

  • TCP (port 6514 dan 1514) - Menyediakan pengiriman yang andal dalam kondisi operasi normal.

    Ketika pengiriman tidak memungkinkan, layanan me-reset koneksi TCP untuk memberi sinyal kegagalan kepada klien Anda. Pesan dalam penerbangan pada koneksi itu mungkin terputus, tetapi pengaturan ulang koneksi memberikan tekanan balik langsung sehingga klien Anda dapat mendeteksi masalah dan menyangga pesan secara lokal hingga kondisinya teratasi. Di bawah tekanan kapasitas, layanan menolak koneksi TCP baru lebih awal, memberikan sinyal tekanan balik yang sama.

    Kondisi yang menyebabkan reset koneksi meliputi:

    • Kebijakan titik akhir VPC menolak akses

    • PutLogEventsKuota akun Anda terlampaui

    • Grup log target tidak ada

    • Kebijakan sumber daya pada grup log menolak akses

  • UDP (port 514) — Best-effort pengiriman. Pesan yang tidak dapat dikirim dihapus tanpa umpan balik kepada pengirim. Pesan juga dapat hilang karena kemacetan jaringan atau kendala kapasitas. Gunakan TCP jika pengiriman yang andal penting untuk kasus penggunaan Anda.

Untuk mendeteksi dan menanggapi masalah pengiriman, pantau SyslogMessagesDropped metrik di CloudWatch. ReasonDimensi menunjukkan mengapa pesan dijatuhkan sehingga Anda dapat mengambil tindakan korektif. Untuk informasi selengkapnya, lihat Memantau konsumsi syslog.

Kuota dan batas

Kuota Nilai Catatan
Ukuran pesan maksimum (TCP) 64 KB Pesan syslog standar biasanya berada di bawah batas ini. Jika Anda memiliki kasus penggunaan yang memerlukan pesan yang lebih besar, hubungi AWS Support.
Ukuran pesan maksimum (UDP) 8 KB Pesan syslog standar biasanya berada di bawah batas ini. Jika Anda memiliki kasus penggunaan yang memerlukan pesan yang lebih besar, hubungi AWS Support.
Throughput konsumsi Berbagi dengan PutLogEvents Jumlah konsumsi Syslog terhadap PutLogEvents kuota akun Anda (5.000 permintaan per detik per akun per Wilayah secara default).

PutLogEventsKuota dapat disesuaikan. Jika lalu lintas syslog Anda membutuhkan throughput yang lebih tinggi, mintalah peningkatan kuota melalui Service Quotas.