Níveis de severidade do syslog quando usar o Alert vs Critical

4

Visão geral resumida : o alerta é mais grave que o crítico.

A RFC 5424 define brevemente os níveis de gravidade do syslog e fornece uma breve descrição. Cada nível de syslog recebe um código de 0 a 7. Eu entendi que 0 (Emergency) era mais grave e 7 (Debug) era o menor.

No entanto, estou questionando 1 (alerta) e 2 (crítico). As definições no RFC 5424 são:

  • Alerta: ação deve ser tomada imediatamente
  • Crítico: condições críticas

No entanto, no site , eles fornecem uma descrição mais longa (que obviamente é uma opinião pessoal ), mas defina-os como:

  • Alerta: deve ser corrigido imediatamente - notificar a equipe que pode corrigir o problema - por exemplo, perda de conexão ISP de backup
  • Crítico: deve ser corrigido imediatamente, mas indica falha em um sistema primário - corrija problemas CRITICAL antes do ALERTA - exemplo é perda de conexão ISP principal

Isso parece ao contrário, já que implica que o Critical é mais grave que o Alert, embora o RFC 5424 pareça colocar o Alert como mais grave. Eu estava pensando se há uma posição oficial sobre isso ou sobre as melhores práticas?

    
por Sean Bannister 16.02.2012 / 12:37

3 respostas

1

Crítico indica que algo ruim está prestes a acontecer. Alerta indica que algo de ruim já aconteceu.

Dê uma olhada em Construindo Soluções de Gerenciamento de Syslog Escaláveis na Cisco.com para uma boa leitura sobre o gerenciamento do syslog.

    
por 16.02.2012 / 15:25
1

Eu acho que o que isso significa por esses exemplos é que, se um status de alerta é acionado, então crítico já aconteceu. No exemplo, ele afirma que Crítico é quando o ISP Primário fica inativo e, em seguida, o Alerta acontece quando o ISP de Backup fica inativo. (Então, tanto o ISP Primário quanto o de Backup estão inativos). O Provedor de Backup que está caindo sozinho provavelmente não é um Alerta, porque o Provedor Primário ainda estaria ativo. (Talvez um crítico). Da mesma forma, a queda do ISP Primário é apenas um Crítico e não um alerta, porque o sistema ainda estaria funcionando, embora no provedor de backup. (Ainda é importante consertar o mais cedo possível.)

    
por 31.05.2012 / 19:42
0

Acho que os autores do syslog inadvertidamente mudaram de crítica e alerta. Em termos de linguagem, o alerta é semelhante a ser aconselhado; preste atenção '(' BOLO 'em programas de crime é uma boa analogia),' crítico 'é semelhante a' lidar com esse problema o mais rápido possível ', e' emergência 'é como' largar o que você está fazendo e consertar isso AGORA '.

A situação hipotética a seguir pode ilustrar melhor o uso de Alerta e Crítico

  • 2013/1/1: Crítico: o inversor 0 de md0 (RAID-1) mostra temperatura excessiva (55C)
  • 2013/1/5: Crítico: a unidade 0 de md0 (RAID-1) mostra uma contagem crescente de setores defeituosos (34- > 147)
  • 2013/1/6: Crítico: a unidade 0 de md0 (RAID-1) está falhando.
  • 2013/1/6: Alerta: a unidade 1 de md0 (RAID-1) mostra temperatura excessiva (53C)
  • 2013/1/7: Emergência: a unidade 1 de md0 (RAID-1) mostra um aumento na contagem de sectores defeituosos (12- > 18)

Os problemas da unidade 0 são apenas críticos porque seu espelho está OK. Problema de aquecimento do Drive 1 é um alerta porque a unidade somente no RAID está tendo problemas; sua contagem do setor ruim é uma emergência porque a unidade tem dois problemas e é a única unidade restante na matriz.

Infelizmente, o syslog está muito arraigado agora para mudar a ordem desses dois rótulos.

    
por 31.01.2013 / 19:24