syslog è un protocollo standardizzato usato per inviare Log ed eventi al Log server. syslog può essere usato in diverse piattaforme come Linux, Windows, Unix, Applicazioni ecc. In questo tutorial vedremo la porta syslog di default e la porta syslog sicura e alcuni esempi su come cambiare questo numero di porta.
syslog è un protocollo che è definito in RFC 5424 e RFC 3164 . Il numero di porta è definito come 514 con il protocollo UDP per i servizi syslog. C’è anche una raccomandazione sulla porta sorgente che deve essere UDP 514. Questo numero di porta è anche registrato da IANA al protocollo syslog che significa che altre applicazioni non possono usare la 514 come porta ufficiale di default.
Numero di porta alternativo e affidabile TCP 514
Come detto in precedenza la porta predefinita di syslog è UDP 514 come sappiamo UDP è un protocollo inaffidabile secondo TCP. syslog può essere usato per importanti log di sicurezza che non possono tollerare la perdita di log. Possiamo usare TCP che è molto più affidabile di UDP con lo stesso numero di porta 514.
Secure Encrypted Port Number TCP 6514
In alcuni casi standard di sicurezza rigorosi come PCI-DSS e HIPAA hanno bisogno che i log siano trasferiti in modo sicuro. Anche la politica di sicurezza dell’azienda può richiedere questo tipo di sicurezza nel trasporto. In questo caso possiamo usare la porta TCP 6514. Questa non è una porta ufficiale ma il suo standard de facto dell’implementazione.
Cisco Set Syslog Server Port Number
Come esempio possiamo raccogliere i syslog nei dispositivi Cisco con i seguenti comandi e configurazione.
Prima dobbiamo abilitare la registrazione e avviare il servizio syslog con il seguente comando.
sw(config)# logging enable
poi specificheremo l’indirizzo IP del server log. Ma possiamo anche specificare esplicitamente il protocollo e il numero di porta. Questo non è obbligatorio e se non viene specificato il default udp/514 sarà impostato.
sw(config)# logging host 192.168.10.10 tcp/514