As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ingestão de syslog
A ingestão gerenciada de syslog do Amazon CloudWatch Logs permite que você envie mensagens de syslog (RFC 5424, RFC 3164 e Cisco FTD/ASA) de firewalls, roteadores, switches e servidores Linux diretamente para o Logs, sem instalar ou gerenciar nenhum agente. CloudWatch Suas fontes de syslog enviam mensagens por TCP, TCP+TLS ou UDP para um VPC endpoint em sua conta. O tráfego é encapsulado AWS PrivateLink para o serviço syslog do CloudWatch Logs, que analisa automaticamente as mensagens recebidas e extrai campos estruturados, como instalação, gravidade, nome do host e nome do aplicativo, eliminando a necessidade de pipelines de análise personalizados. Em seguida, você pode consultar esses campos usando o CloudWatch Logs Analytics para investigar eventos de segurança ou solucionar problemas de conectividade. Isso ajuda você a centralizar a visibilidade dos registros da infraestrutura, simplificar os fluxos de trabalho operacionais e reduzir a sobrecarga de implantação e manutenção de agentes de coleta de registros em ambientes distribuídos.
Se suas fontes de syslog já estiverem em sua Amazon VPC, elas poderão enviar mensagens diretamente para o endpoint da VPC. Se suas fontes estiverem externas AWS (data centers locais, filiais ou instalações de co-localização), elas poderão acessar o VPC endpoint por meio de sua conexão VPN ou Direct Connect.
Protocolos e portas compatíveis
| Protocolo | Porta | Observações |
|---|---|---|
| TCP + TLS | 6514 | Criptografado em trânsito. Recomendado para requisitos de conformidade. |
| Texto sem formatação TCP | 1514 | Texto sem formatação AWS PrivateLink (isolado em rede). |
| UDP | 514 | Best-effort entrega. |
O TLS na porta 6514 é encerrado no balanceador de carga de rede usando um AWS certificado gerenciado emitido pela Amazon Trust Services. Seus clientes syslog confiam nesse certificado automaticamente sem nenhuma configuração especial.
nota
O UDP é o protocolo de melhor esforço. As mensagens podem ser perdidas devido às condições da rede. Use o TCP para uma entrega confiável.
Formatos de syslog suportados
CloudWatch O Logs detecta e analisa automaticamente os seguintes formatos de syslog:
RFC 5424 (o formato mais recente) — Inclui dados estruturados, registros de data e hora ISO 8601 e campos explícitos de nome do aplicativo e ID do processo.
RFC 3164 (syslog BSD, o formato legado) — Inclui BSD-style timestamps e um campo TAG. Ainda é amplamente utilizado por dispositivos de rede, como firewalls, roteadores e switches.
Cisco FTD/ASA — O formato syslog usado pelos dispositivos Cisco Firepower Threat Defense (FTD) e Adaptive Security Appliance (ASA). As mensagens são identificadas pela
%ASA-tag%FTD-ou no corpo da mensagem.
As mensagens são armazenadas em seu grupo de registros em seu formato bruto original. CloudWatch O Logs extrai automaticamente campos estruturados de cada formato, que você pode consultar usando o CloudWatch Logs Insights.
Campos extraídos do RFC 5424
| Campo | Description |
|---|---|
facility | Nome da categoria de registro (por exemplokern,,auth,local0). |
facilityCode | Código numérico da instalação (0—23). |
severity | Nome do nível de gravidade (por exemploemerg,,err,info). |
severityCode | Código de severidade numérico (0—7). |
timestamp | Carimbo de data/hora da mensagem no formato ISO 8601. |
hostname | Nome do host do dispositivo de origem. |
appName | Application name (Nome da aplicação). |
procId | ID do processo. |
msgId | Identificador da mensagem. |
structuredData | Elementos de dados estruturados RFC 5424 (metadados de valores-chave). |
message | Corpo da mensagem. |
Campos extraídos do RFC 3164
| Campo | Description |
|---|---|
facility | Nome da categoria de registro. |
facilityCode | Código numérico da instalação (0—23). |
severity | Nome do nível de severidade. |
severityCode | Código de severidade numérico (0—7). |
timestamp | Carimbo de data/hora da mensagem (convertido do formato BSD para ISO 8601). |
hostname | Nome do host do dispositivo de origem. |
appName | Nome do aplicativo (extraído do campo TAG). |
procId | ID do processo (extraído do campo TAG, se presente). |
message | Corpo da mensagem. |
Campos FTD/ASA extraídos da Cisco
| Campo | Description |
|---|---|
device | Tipo de dispositivo (FTDASA, ouFMC-AUDIT-LOG). |
timestamp | Carimbo de data/hora da mensagem (formato RFC 3164 ou RFC 5424, dependendo da configuração do dispositivo). |
deviceId | Nome do host do dispositivo (presente quando o device-id registro é configurado no dispositivo). |
severity | Nome do nível de gravidade (por exemploinformational,,warning,critical). |
severityLevel | Nível de severidade numérica (0—7). |
messageId | Identificador de mensagem numérica Cisco (por exemplo,106023,302013). |
subsystem | Nome do subsistema (presente para determinados tipos de mensagens). |
message | Corpo da mensagem (texto simples) ou campos de valores-chave individuais quando o corpo usa o formato estruturado da Cisco. |
Entrega de mensagens
Ao contrário da HTTP-based ingestão, em que o servidor retorna um código de status para cada solicitação, o syslog não fornece uma confirmação de sucesso por mensagem ao remetente. Depois que as mensagens são recebidas pelo serviço, elas são armazenadas em buffer e entregues ao seu grupo de registros com novas tentativas de erros transitórios. As garantias de entrega dependem do protocolo de transporte escolhido:
-
TCP (portas 6514 e 1514) — Fornece entrega confiável em condições operacionais normais.
Quando a entrega não é possível, o serviço redefine a conexão TCP para sinalizar a falha ao seu cliente. As mensagens em andamento nessa conexão podem ser interrompidas, mas a redefinição da conexão fornece uma contrapressão imediata para que seu cliente possa detectar o problema e armazenar as mensagens localmente até que a condição seja resolvida. Sob pressão de capacidade, o serviço rejeita novas conexões TCP mais cedo, fornecendo o mesmo sinal de contrapressão.
As condições que causam a redefinição da conexão incluem:
A política de VPC endpoint nega acesso
A
PutLogEventscota da sua conta foi excedidaO grupo de registros de destino não existe
A política de recursos no grupo de registros nega o acesso
UDP (porta 514) — Best-effort entrega. As mensagens que não podem ser entregues são descartadas sem nenhum feedback para o remetente. As mensagens também podem ser perdidas devido ao congestionamento da rede ou a restrições de capacidade. Use TCP se a entrega confiável for importante para seu caso de uso.
Para detectar e responder aos problemas de entrega, monitore a SyslogMessagesDropped métrica em CloudWatch. A Reason dimensão indica por que as mensagens foram descartadas para que você possa tomar medidas corretivas. Para obter mais informações, consulte Monitorando a ingestão de syslog.
Cotas e limites
| Limite | Valor | Observações |
|---|---|---|
| Tamanho máximo da mensagem (TCP) | 64 KB | As mensagens de syslog padrão geralmente estão bem abaixo desse limite. Se você tiver um caso de uso que exija mensagens maiores, entre em contato com o AWS Support. |
| Tamanho máximo da mensagem (UDP) | 8 KB | As mensagens de syslog padrão geralmente estão bem abaixo desse limite. Se você tiver um caso de uso que exija mensagens maiores, entre em contato com o AWS Support. |
| Taxa de transferência de ingestão | Compartilhado com PutLogEvents |
A ingestão de syslog é contabilizada na PutLogEvents cota da sua conta (5.000 solicitações por segundo por conta por região, por padrão). |
A cota de PutLogEvents é ajustável. Se seu tráfego de syslog exigir maior taxa de transferência, solicite um aumento de cota por meio de Service Quotas.