[要約] RFC 5674は、Syslogにおけるアラームの定義と取り扱いに関する標準化を目的としています。このRFCは、アラームの構造、送信方法、および処理方法についてのガイドラインを提供します。
Network Working Group S. Chisholm Request for Comments: 5674 Nortel Category: Standards Track R. Gerhards Adiscon GmbH October 2009
Alarms in Syslog
syslogのアラーム
Abstract
概要
This document describes how to send alarm information in syslog. It includes the mapping of ITU perceived severities onto syslog message fields. It also includes a number of alarm-specific SD-PARAM definitions from X.733 and the IETF Alarm MIB.
このドキュメントでは、Syslogでアラーム情報を送信する方法について説明します。これには、syslogメッセージフィールドへのITU知覚重症度のマッピングが含まれます。また、X.733およびIETFアラームMIBからの多くのアラーム固有のSD-PARAM定義も含まれています。
Status of This Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (c) 2009 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2009 IETF Trustおよび文書著者として特定された人。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the BSD License.
このドキュメントは、BCP 78およびIETFドキュメント(http://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、BSDライセンスに記載されているように保証なしで提供される簡略化されたBSDライセンステキストを含める必要があります。
Table of Contents
目次
1. Introduction ....................................................2 2. Severity Mapping ................................................2 3. Alarm STRUCTURED-DATA Elements ..................................3 3.1. resource ...................................................3 3.2. probableCause ..............................................4 3.3. perceivedSeverity ..........................................4 3.4. eventType ..................................................4 3.5. trendIndication ............................................4 3.6. resourceURI ................................................5 4. Examples ........................................................5 5. Security Considerations .........................................6 6. IANA Considerations .............................................6 7. Acknowledgments .................................................6 8. References ......................................................7 8.1. Normative References .......................................7 8.2. Informative References .....................................7
In addition to sending out alarm information asynchronously via protocols such as the Simple Network Management Protocol (SNMP) or the Network Configuration Protocol (Netconf), many implementations also log alarms via syslog. This memo defines a set of SD-PARAMs to support logging and defines a mapping of syslog severity to the severity of the alarm.
シンプルなネットワーク管理プロトコル(SNMP)やネットワーク構成プロトコル(NetConf)などのプロトコルを介して非同期的にアラーム情報を送信することに加えて、多くの実装もSyslogを介してアラームを記録します。このメモは、ロギングをサポートするSD-PARAMSのセットを定義し、アラームの重症度に対するsyslogの重症度のマッピングを定義します。
The Alarm MIB [RFC3877] includes mandatory alarm fields from X.733 [X.733] as well as information from X.736 [X.736]. In additional, the Alarm MIB introduces its own alarm fields. This memo reuses terminology and fields from the Alarm MIB.
アラームMIB [RFC3877]には、X.733 [X.733]の必須アラームフィールドとX.736 [X.736]からの情報が含まれています。さらに、アラームMIBは独自のアラームフィールドを導入します。このメモは、アラームMIBから用語とフィールドを再利用します。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
「必須」、「そうしない」、「必須」、「必要」、「しない」、「そうしない」、「そうではない」、「そうでない」、「推奨」、「5月」、および「オプション」は、[RFC2119]に記載されているように解釈される。
Alarm-related terminology is defined in [RFC3877].
アラーム関連の用語は[RFC3877]で定義されています。
SD-ID, SD-PARAM, and other syslog-related terms are defined in [RFC5424].
SD-ID、SD-PARAM、およびその他のSyslog関連の用語は、[RFC5424]で定義されています。
The Alarm MIB [RFC3877] defines ITU perceived severities; it is useful to be able to relate these to the syslog message fields, particularly in the case where alarms are being logged. This memo describes the representation of ITU perceived severities in appropriate syslog fields, which are described in [RFC5424]. Syslog offers both a so-called SEVERITY as well as STRUCTURED-DATA. Due to constraints in syslog, there is no one-to-one mapping possible for SEVERITY. A STRUCTURED-DATA element is defined in this document to allow inclusion of the unmodified ITU perceived severity.
アラームMIB [RFC3877]は、知覚された重症度を定義します。特にアラームが記録されている場合、これらをsyslogメッセージフィールドに関連付けることができると便利です。このメモは、[RFC5424]に記載されている適切なSYSLOGフィールドにおけるITU知覚重症度の表現について説明しています。Syslogは、いわゆる重症度と構造化されたデータの両方を提供します。Syslogの制約により、重大度のために1対1のマッピングはありません。構造化されたDATA要素は、このドキュメントで定義されており、変更されていないITU知覚の重症度を含めることができます。
Syslog supports Severity values different from ITU perceived severities. These are defined in Section 6.2.1 of [RFC5424]. The mapping shown in Table 1 below SHOULD be used to map ITU perceived severities to syslog severities.
Syslogは、ITUの知覚重症度とは異なる重大度値をサポートします。これらは[RFC5424]のセクション6.2.1で定義されています。以下の表1に示すマッピングを使用して、知覚された重症度をSyslogの重症度にマッピングする必要があります。
ITU Perceived Severity syslog SEVERITY (Name) Critical 1 (Alert) Major 2 (Critical) Minor 3 (Error) Warning 4 (Warning) Indeterminate 5 (Notice) Cleared 5 (Notice)
Table 1. ITUPerceivedSeverity to Syslog SEVERITY Mapping
表1. Syslogの重大度マッピングに対する相性のように評価されます
STRUCTURED-DATA allows the inclusion of any structured information into a syslog message. The following are defined in this document to support the structuring of alarm information.
構造化されたデータにより、構造化された情報をSYSLOGメッセージに含めることができます。このドキュメントでは、アラーム情報の構造化をサポートするために、以下を定義しています。
o Resource Under Alarm
o アラーム下のリソース
o Probable Cause
o 推定原因
o Event Type
o イベントタイプ
o Perceived Severity
o 認識された重大度
o Trend Indication
o 傾向の表示
o Resource URI
o リソースURI
Support of the "alarm" SD-ID is optional but, once supported, some of the SD-PARAMS are mandatory.
「アラーム」SD-IDのサポートはオプションですが、サポートされると、SD-Paramsの一部は必須です。
If the "alarm" SD-ID is included, the "resource" SD-PARAM MUST be included. This item uniquely identifies the resource under alarm within the scope of a network element.
「アラーム」SD-IDが含まれている場合、「リソース」SD-PARAMを含める必要があります。このアイテムは、ネットワーク要素の範囲内でアラーム下のリソースを一意に識別します。
If the "alarm" SD-ID is included, the "probableCause" SD-PARAM MUST be included. This parameter is the mnemonic associated with the IANAItuProbableCause object defined within [RFC3877] and any subsequent extensions defined by IANA. For example, IANAItuProbableCause defines a transmission failure to a probable cause of 'transmissionError (10)'. The value of the parameter in this case would be 'transmissionError'.
「アラーム」SD-IDが含まれている場合、「確率」SD-PARAMを含める必要があります。このパラメーターは、[RFC3877]内で定義されたIanaituprobablecauseオブジェクトに関連付けられたニーモニックと、IANAによって定義されたその後の拡張です。たとえば、ianaituprobablecaseは、「送信機(10)」の可能性のある原因に対する伝送障害を定義します。この場合のパラメーターの値は、「送信機」です。
If the "alarm" SD-ID is included, the "perceivedSeverity" SD-PARAM MUST be included. Similar to the definition of perceived severity in [X.736] and [RFC3877], this object can take the following values:
「アラーム」SD-IDが含まれている場合、「知覚される」SD-PARAMを含める必要があります。[X.736]および[RFC3877]の知覚された重大度の定義と同様に、このオブジェクトは次の値を取ることができます。
o cleared
o クリアされた
o indeterminate
o 不確定
o critical
o 致命的
o major
o 選考科目
o minor
o マイナー
o warning
o 警告
See Section 2 for the relationship between this severity and syslog severity.
この重症度とsyslogの重症度の関係については、セクション2を参照してください。
If the "alarm" SD-ID is included, the "eventType" SD-PARAM SHOULD be included. This parameter is the mnemonic associated with the IANAItuEventType object defined within [RFC3877] and any subsequent extensions defined by IANA. For example, IANAItuEventType defines an environmental alarm to an event type of 'environmentalAlarm (6)'. The value of the parameter in this case would be 'environmentalAlarm'.
「アラーム」SD-IDが含まれている場合、「EventType」SD-Paramを含める必要があります。このパラメーターは、[rfc3877]内で定義されたianaitueventtypeオブジェクトに関連付けられたニーモニックと、ianaによって定義されたその後の拡張です。たとえば、ianaitueventtypeは、イベントタイプの「環境アラーム(6)」に環境アラームを定義します。この場合のパラメーターの値は、「環境アラーム」です。
If the "alarm" SD-ID is included, the "trendIndication" SD-PARAM SHOULD be included. Similar to the definition of perceived severity in [X.733] and [RFC3877], this object can take the following values: o moreSevere
「アラーム」SD-IDが含まれている場合、「トレンドインド」SD-PARAMを含める必要があります。[X.733]および[RFC3877]の知覚された重症度の定義と同様に、このオブジェクトは次の値をとることができます。
o noChange
o 変化なし
o lessSevere
o それほど深刻ではありません
If the "alarm" SD-ID is included, the "resourceURI" SD-PARAM SHOULD be included. This item uniquely identifies the resource under alarm.
「アラーム」SD-IDが含まれている場合、「Resourceuri」SD-Paramを含める必要があります。このアイテムは、アラームの下のリソースを一意に識別します。
The value of this field MUST conform to the URI definition in [RFC3986] and its updates. In the case of an SNMP resource, the syntax in [RFC4088] MUST be used and "resourceURI" must point to the same resource as alarmActiveResourceId [RFC3877] for this alarm.
このフィールドの値は、[RFC3986]のURI定義とその更新に準拠する必要があります。SNMPリソースの場合、[RFC4088]の構文を使用する必要があり、「Resourceuri」は、このアラームについてAlarmactiveresourceid [RFC3877]と同じリソースを指す必要があります。
Both the "resource" and the "resourceURI" parameters point at the resource experiencing the alarm, but the "resourceURI" has syntactic constraint requiring it to be a URI. This makes it easy to correlate this syslog alarm with any alarms that are received via other protocols, such as SNMP, or to use SNMP or other protocols to get additional information about this resource.
「リソース」と「Resourceuri」パラメーターの両方がアラームを経験しているリソースを指しますが、「Resourceuri」にはURIであることを要求する構文的な制約があります。これにより、このSyslogアラームをSNMPなどの他のプロトコルを介して受信したアラームと簡単に相関させるか、SNMPまたはその他のプロトコルを使用してこのリソースに関する追加情報を取得できます。
Example 1 - Mandatory Alarm Information
例1-必須アラーム情報
<165>1 2003-10-11T22:14:15.003Z mymachine.example.com evntslog - ID47 [exampleSDID@32473 iut="3" eventSource= "Application" eventID="1011"][alarm resource="su root" probableCause="unauthorizedAccessAttempt" perceivedSeverity="major"] BOMAn application event log entry...
In this example, extended from [RFC5424], the VERSION is 1 and the Facility has the value of 4. The severity is 2. The message was created on 11 October 2003 at 10:14:15pm UTC, 3 milliseconds into the next second. The message originated from a host that identifies itself as "mymachine.example.com". The APP-NAME is "evntslog" and the PROCID is unknown. The MSGID is "ID47". We have included both the structured data from the original example, a single element with the value "[exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"]", and a new element with the alarm information defined in this memo. The alarm SD-ID contains the mandatory SD-PARAMS of resource, probableCause, and preceivedSeverity. The MSG itself is "An application event log entry..." The BOM at the beginning of the MSG indicates UTF-8 encoding.
この例では、[RFC5424]から拡張されたバージョンは1で、施設の値は4です。重大度は2です。メッセージは、2003年10月11日午後10時14分15分に作成されました。。メッセージは、それ自体を「mymachine.example.com」と識別するホストから生まれました。アプリ名は「evntslog」であり、procidは不明です。MSGIDは「ID47」です。元の例からの構造化されたデータ、値のある単一の要素「ExamplesDid@32473 IUT = "3" eventSource = "Application" eventID = "1011"]、およびアラーム情報が定義された新しい要素を含めました。このメモで。アラームSD-IDには、リソースの必須のSD-PARAMS、probablecaus、およびpreceivedeverityが含まれています。MSG自体は、「アプリケーションイベントログエントリ...」です。MSGの開始時のBOMは、UTF-8エンコーディングを示しています。
Example 2 - Additional Alarm Information
例2-追加のアラーム情報
<165>1 2004-11-10T20:15:15.003Z mymachine.example.com evntslog - ID48 [alarm resource="interface 42" probableCause="unauthorizedAccessAttempt" perceivedSeverity="major" eventType="communicationsAlarm" resourceURI="snmp://example.com//1.3.6.1.2.1.2.2.1.1.42"]
In this example, we include two optional alarm fields: eventType and resourceURI.
この例では、2つのオプションのアラームフィールドが含まれています:EventTypeとResourceuri。
In addition to the general syslog security considerations discussed in [RFC5424], the information contained with alarms may provide hackers with helpful information about parts of the system currently experiencing stress as well as general information about the system, such as inventory.
[RFC5424]で議論されている一般的なSYSLOGセキュリティの考慮事項に加えて、アラームに含まれる情報は、現在ストレスを経験しているシステムの一部に関する有用な情報と、インベントリなどのシステムに関する一般的な情報をハッカーに提供する場合があります。
Users should not have access to information in alarms that their normal access permissions would not permit if the information were accessed in another manner.
ユーザーは、情報に別の方法でアクセスされた場合、通常のアクセス許可が許可されないというアラーム内の情報にアクセスしてはなりません。
There is no standardized access control model for syslog, and hence the ability to filter alarms based on a notion of a receiver identity is, at best, implementation specific.
Syslogには標準化されたアクセス制御モデルはありません。したがって、受信機のアイデンティティの概念に基づいてアラームをフィルタリングする機能は、せいぜい実装固有です。
IANA registered the syslog Structured Data ID values and PARAM-NAMEs shown below:
IANAは、syslog構造化されたデータID値と以下に示すパラマネームを登録しました。
SD-ID PARAM-NAME alarm OPTIONAL resource MANDATORY probableCause MANDATORY perceivedSeverity MANDATORY eventType OPTIONAL trendIndication OPTIONAL resourceURI OPTIONAL
Thanks to members of the Syslog and OPSAWG work group who contributed to this specification. We'd also like to thank Juergen Schoenwaelder, Dave Harrington, Wes Hardaker, and Randy Presuhn for their reviews.
この仕様に貢献したSyslogおよびOpsawgワークグループのメンバーに感謝します。また、Juergen Schoenwaelder、Dave Harrington、Wes Hardaker、Randy Presuhnのレビューにも感謝します。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC3877] Chisholm, S. and D. Romascanu, "Alarm Management Information Base (MIB)", RFC 3877, September 2004.
[RFC3877] Chisholm、S。およびD. Romascanu、「Alarm Management Information Base(MIB)」、RFC 3877、2004年9月。
[RFC3986] Berners-Lee, T., Fielding, R., and L. Masinter, "Uniform Resource Identifier (URI): Generic Syntax", STD 66, RFC 3986, January 2005.
[RFC3986] Berners-Lee、T.、Fielding、R。、およびL. Masinter、「Uniform Resource Identifier(URI):Generic Syntax」、Std 66、RFC 3986、2005年1月。
[RFC4088] Black, D., McCloghrie, K., and J. Schoenwaelder, "Uniform Resource Identifier (URI) Scheme for the Simple Network Management Protocol (SNMP)", RFC 4088, June 2005.
[RFC4088] Black、D.、McCloghrie、K。、およびJ. Schoenwaelder、「Simple Network Management Protocol(SNMP)のユニフォームリソース識別子(URI)スキーム」、RFC 4088、2005年6月。
[RFC5424] Gerhards, R., "The Syslog Protocol", RFC 5424, March 2009.
[RFC5424] Gerhards、R。、「Syslog Protocol」、RFC 5424、2009年3月。
[X.733] ITU-T, "Information Technology - Open Systems Interconnection - System Management: Alarm Reporting Function", ITU-T X.733, 1992.
[X.733] ITU -T、「情報技術 - オープンシステムの相互接続 - システム管理:アラーム報告機能」、ITU -T X.733、1992。
[X.736] ITU-T, "Information Technology - Open Systems Interconnection - System Management: Security Alarm Reporting Function", ITU-T X.736, 1992.
[X.736] ITU -T、「情報技術 - オープンシステムの相互接続 - システム管理:セキュリティアラームレポート機能」、ITU -T X.736、1992。
Authors' Addresses
著者のアドレス
Sharon Chisholm Nortel 3500 Carling Ave Nepean, Ontario K2H 8E9 Canada
シャロンチショルムノルテル3500カーリングアベニューネピアン、オンタリオK2H 8E9カナダ
EMail: schishol@nortel.com
Rainer Gerhards Adiscon GmbH Mozartstrasse 21 Grossrinderfeld, BW 97950 Germany
レイナー・ゲルハード・アディスコンGmbHモーツァルトスラセ21グロスリンダーフェルド、BW 97950ドイツ
EMail: rgerhards@adiscon.com