

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Ingestão de syslog
<a name="CWL_Syslog"></a>

A ingestão gerenciada de syslog do Amazon CloudWatch Logs permite que você envie mensagens de syslog (RFC 5424, RFC 3164 e Cisco FTD/ASA) de firewalls, roteadores, switches e servidores Linux diretamente para o Logs, sem instalar ou gerenciar nenhum agente. CloudWatch Suas fontes de syslog enviam mensagens por TCP, TCP\+TLS ou UDP para um VPC endpoint em sua conta. O tráfego é encapsulado AWS PrivateLink para o serviço syslog do CloudWatch Logs, que analisa automaticamente as mensagens recebidas e extrai campos estruturados, como instalação, gravidade, nome do host e nome do aplicativo, eliminando a necessidade de pipelines de análise personalizados. Em seguida, você pode consultar esses campos usando o CloudWatch Logs Analytics para investigar eventos de segurança ou solucionar problemas de conectividade. Isso ajuda você a centralizar a visibilidade dos registros da infraestrutura, simplificar os fluxos de trabalho operacionais e reduzir a sobrecarga de implantação e manutenção de agentes de coleta de registros em ambientes distribuídos.

Se suas fontes de syslog já estiverem em sua Amazon VPC, elas poderão enviar mensagens diretamente para o endpoint da VPC. Se suas fontes estiverem externas AWS (data centers locais, filiais ou instalações de co-localização), elas poderão acessar o VPC endpoint por meio de sua conexão VPN ou Direct Connect.

## Protocolos e portas compatíveis
<a name="CWL_Syslog_Protocols"></a>


| Protocolo | Porta | Observações | 
| --- | --- | --- | 
| TCP \+ TLS | 6514 | Criptografado em trânsito. Recomendado para requisitos de conformidade. | 
| Texto sem formatação TCP | 1514 | Texto sem formatação AWS PrivateLink (isolado em rede). | 
| UDP | 514 | Best-effort entrega. | 

O TLS na porta 6514 é encerrado no balanceador de carga de rede usando um AWS certificado gerenciado emitido pela Amazon Trust Services. Seus clientes syslog confiam nesse certificado automaticamente sem nenhuma configuração especial.

**nota**  
O UDP é o protocolo de melhor esforço. As mensagens podem ser perdidas devido às condições da rede. Use o TCP para uma entrega confiável.

## Formatos de syslog suportados
<a name="CWL_Syslog_Formats"></a>

CloudWatch O Logs detecta e analisa automaticamente os seguintes formatos de syslog:
+ **RFC 5424** (o formato mais recente) — Inclui dados estruturados, registros de data e hora ISO 8601 e campos explícitos de nome do aplicativo e ID do processo.
+ **RFC 3164** (syslog BSD, o formato legado) — Inclui BSD-style timestamps e um campo TAG. Ainda é amplamente utilizado por dispositivos de rede, como firewalls, roteadores e switches.
+ **Cisco FTD/ASA** — O formato syslog usado pelos dispositivos Cisco Firepower Threat Defense (FTD) e Adaptive Security Appliance (ASA). As mensagens são identificadas pela `%ASA-` tag `%FTD-` ou no corpo da mensagem.

As mensagens são armazenadas em seu grupo de registros em seu formato bruto original. CloudWatch O Logs extrai automaticamente campos estruturados de cada formato, que você pode consultar usando o CloudWatch Logs Insights.

### Campos extraídos do RFC 5424
<a name="CWL_Syslog_Formats_Fields_RFC5424"></a>


| Campo | Description | 
| --- | --- | 
| facility | Nome da categoria de registro (por exemplokern,,auth,local0). | 
| facilityCode | Código numérico da instalação (0—23). | 
| severity | Nome do nível de gravidade (por exemploemerg,,err,info). | 
| severityCode | Código de severidade numérico (0—7). | 
| timestamp | Carimbo de data/hora da mensagem no formato ISO 8601. | 
| hostname | Nome do host do dispositivo de origem. | 
| appName | Application name (Nome da aplicação). | 
| procId | ID do processo. | 
| msgId | Identificador da mensagem. | 
| structuredData | Elementos de dados estruturados RFC 5424 (metadados de valores-chave). | 
| message | Corpo da mensagem. | 

### Campos extraídos do RFC 3164
<a name="CWL_Syslog_Formats_Fields_RFC3164"></a>


| Campo | Description | 
| --- | --- | 
| facility | Nome da categoria de registro. | 
| facilityCode | Código numérico da instalação (0—23). | 
| severity | Nome do nível de severidade. | 
| severityCode | Código de severidade numérico (0—7). | 
| timestamp | Carimbo de data/hora da mensagem (convertido do formato BSD para ISO 8601). | 
| hostname | Nome do host do dispositivo de origem. | 
| appName | Nome do aplicativo (extraído do campo TAG). | 
| procId | ID do processo (extraído do campo TAG, se presente). | 
| message | Corpo da mensagem. | 

### Campos FTD/ASA extraídos da Cisco
<a name="CWL_Syslog_Formats_Fields_Cisco"></a>


| Campo | Description | 
| --- | --- | 
| device | Tipo de dispositivo (FTDASA, ouFMC-AUDIT-LOG). | 
| timestamp | Carimbo de data/hora da mensagem (formato RFC 3164 ou RFC 5424, dependendo da configuração do dispositivo). | 
| deviceId | Nome do host do dispositivo (presente quando o device-id registro é configurado no dispositivo). | 
| severity | Nome do nível de gravidade (por exemploinformational,,warning,critical). | 
| severityLevel | Nível de severidade numérica (0—7). | 
| messageId | Identificador de mensagem numérica Cisco (por exemplo,106023,302013). | 
| subsystem | Nome do subsistema (presente para determinados tipos de mensagens). | 
| message | Corpo da mensagem (texto simples) ou campos de valores-chave individuais quando o corpo usa o formato estruturado da Cisco. | 

## Entrega de mensagens
<a name="CWL_Syslog_Delivery"></a>

Ao contrário da HTTP-based ingestão, em que o servidor retorna um código de status para cada solicitação, o syslog não fornece uma confirmação de sucesso por mensagem ao remetente. Depois que as mensagens são recebidas pelo serviço, elas são armazenadas em buffer e entregues ao seu grupo de registros com novas tentativas de erros transitórios. As garantias de entrega dependem do protocolo de transporte escolhido:
+ **TCP (portas 6514 e 1514)** — Fornece entrega confiável em condições operacionais normais.

  Quando a entrega não é possível, o serviço redefine a conexão TCP para sinalizar a falha ao seu cliente. As mensagens em andamento nessa conexão podem ser interrompidas, mas a redefinição da conexão fornece uma contrapressão imediata para que seu cliente possa detectar o problema e armazenar as mensagens localmente até que a condição seja resolvida. Sob pressão de capacidade, o serviço rejeita novas conexões TCP mais cedo, fornecendo o mesmo sinal de contrapressão.

  As condições que causam a redefinição da conexão incluem:
  + A política de VPC endpoint nega acesso
  + A `PutLogEvents` cota da sua conta foi excedida
  + O grupo de registros de destino não existe
  + A política de recursos no grupo de registros nega o acesso
+ **UDP (porta 514) — Best-effort entrega**. As mensagens que não podem ser entregues são descartadas sem nenhum feedback para o remetente. As mensagens também podem ser perdidas devido ao congestionamento da rede ou a restrições de capacidade. Use TCP se a entrega confiável for importante para seu caso de uso.

Para detectar e responder aos problemas de entrega, monitore a `SyslogMessagesDropped` métrica em CloudWatch. A `Reason` dimensão indica por que as mensagens foram descartadas para que você possa tomar medidas corretivas. Para obter mais informações, consulte [Monitorando a ingestão de syslog](CWL_Syslog_Monitoring.md).

## Cotas e limites
<a name="CWL_Syslog_Limits"></a>


| Limite | Valor | Observações | 
| --- | --- | --- | 
| Tamanho máximo da mensagem (TCP) | 64 KB | As mensagens de syslog padrão geralmente estão bem abaixo desse limite. Se você tiver um caso de uso que exija mensagens maiores, entre em contato com o AWS Support. | 
| Tamanho máximo da mensagem (UDP) | 8 KB | As mensagens de syslog padrão geralmente estão bem abaixo desse limite. Se você tiver um caso de uso que exija mensagens maiores, entre em contato com o AWS Support. | 
| Taxa de transferência de ingestão | Compartilhado com PutLogEvents | A ingestão de syslog é contabilizada na PutLogEvents cota da sua conta (5.000 solicitações por segundo por conta por região, por padrão). | 

A cota de `PutLogEvents` é ajustável. [Se seu tráfego de syslog exigir maior taxa de transferência, solicite um aumento de cota por meio de Service Quotas.](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)