syslog es un protocolo estandarizado utilizado para enviar Logs y eventos al servidor de Log. syslog puede ser utilizado en diferentes plataformas como Linux, Windows, Unix, Aplicaciones, etc. En este tutorial veremos el puerto syslog por defecto y el puerto syslog seguro y algunos ejemplos sobre cómo cambiar este número de puerto.
syslog es un protocolo que se define en RFC 5424 y RFC 3164 . El número de puerto se define como 514 con el protocolo UDP para los servicios de syslog. También se recomienda que el puerto de origen sea UDP 514. Este número de puerto también está registrado por IANA para el protocolo syslog lo que significa que otras aplicaciones no pueden utilizar el 514 como puerto oficial por defecto.
Número de puerto alternativo y fiable TCP 514
Como se ha dicho anteriormente el puerto por defecto de syslog es UDP 514 como sabemos UDP es un protocolo poco fiable según TCP. syslog puede ser utilizado para registros de seguridad importantes que no pueden tolerar la pérdida de registros. Podemos utilizar TCP que es mucho más fiable que UDP con el mismo número de puerto 514.
Número de puerto encriptado seguro TCP 6514
En algunos casos estrictas normas de seguridad como PCI-DSS y HIPAA necesita que los registros sean transferidos de forma segura. También la política de seguridad de la empresa puede requerir también este tipo de la seguridad del transporte. En este caso podemos utilizar el puerto TCP 6514. Este no es un puerto oficial pero es un estándar de facto de la implementación.
Cisco Set Syslog Server Port Number
Como ejemplo podemos recoger los syslogs en los dispositivos Cisco con los siguientes comandos y configuración.
Primero tenemos que habilitar el logging y arrancar el servicio de syslog con el siguiente comando.
sw(config)# logging enable
Después especificaremos la dirección IP del servidor de logs. Pero también podemos especificar el protocolo y el número de puerto explícitamente. Esto no es obligatorio y si no se especifica se pondrá por defecto udp/514.
sw(config)# logging host 192.168.10.10 tcp/514