Syslog ist im Switch-Betrieb das wichtigste Diagnoseinstrument: Link-Flaps, STP-Events, Security-Features, Authentifizierungen und Hardwareprobleme tauchen oft zuerst in den Logs auf – lange bevor Monitoring-Dashboards „rot“ werden. Wer die typischen Cisco Syslog-Meldungen kennt, kann Incidents schneller eingrenzen, Ursachen belegen und wiederkehrende Probleme proaktiv beheben. Dieser Leitfaden zeigt Syslog-Basics, sinnvolle Kategorien und konkrete Meldungen, die du im Alltag wiedererkennst und richtig interpretierst.
Syslog-Grundlagen: Facility, Severity und warum Zeitstempel alles sind
Cisco Syslog-Meldungen enthalten typischerweise Facility/Subsystem, Severity (0–7) und einen Text. Für Troubleshooting zählt vor allem: korrekte Zeit (NTP) und zentrale Ablage (Syslog-Server), damit du Ereignisse über mehrere Geräte korrelieren kannst.
- Severity 0–3: kritisch bis Fehler (meist Incident-relevant)
- Severity 4–5: Warnung/Notification (häufig Betriebsrelevant)
- Severity 6–7: Informational/Debug (viel Rauschen, aber nützlich bei Analysen)
Quick-Checks
show clock
show ntp status
show logging
Logging sauber einrichten: Damit Logs verwertbar bleiben
Ohne sinnvolle Konfiguration sind Logs zu laut oder fehlen zentral. Setze NTP, definiere Source-Interface, wähle ein passendes Trap-Level und sende an einen Syslog-Host.
Praxis-Config (Beispiel)
configure terminal
ntp source vlan 99
ntp server 10.1.99.30
ntp server 10.1.99.31
logging source-interface vlan 99
logging host 10.1.99.70
logging trap notifications
service timestamps log datetime msec
end
Die wichtigste Log-Kategorie: Link Up/Down und Line Protocol
Wenn Ports flappen, tauchen nahezu immer Link- und Line-Protocol-Meldungen auf. Sie sind die Basis für „ist es physisch oder logisch?“-Einordnung.
- Link state changed: physische Verbindung
- Line protocol changed: L2/L3 Zustand über dem Link
- Viele dieser Meldungen in kurzer Zeit: Flapping/Instabilität
Logs filtern
show logging | include LINK|LINEPROTO|UPDOWN
STP-Meldungen: Topology Changes, Guards, Inconsistent States
STP ist ein häufiger Log-Lieferant. Wichtig ist, zwischen normalen Events und problematischen Mustern zu unterscheiden: viele TCNs, Root-Änderungen oder Inconsistent Ports sind fast immer ein Hinweis auf echte Instabilität.
Typische STP-Hinweise (praxisnah)
- Topology Change Notifications (TCNs) häufen sich
- Root Bridge ändert sich unerwartet
- Ports gehen in root-inconsistent oder loop-inconsistent
- BPDU Guard setzt Port err-disabled
Logs und Status prüfen
show logging | include SPANNING|TOPOLOGY|BPDU|ROOT|LOOP|INCONSISTENT
show spanning-tree summary
show spanning-tree inconsistentports
show interface status err-disabled
EtherChannel/LACP-Meldungen: Bundle up/down und Member-Probleme
Bei Port-Channels sind Logs besonders wertvoll, weil sie zeigen, ob LACP Nachbarn weg sind, Member aus dem Bundle fallen oder Konfig-Inkonsistenzen existieren. Viele „VLAN-Probleme“ sind in Wahrheit EtherChannel-Probleme.
Typische Hinweise
- Port-Channel up/down
- Member-Interface suspended oder removed
- LACP Neighbor verloren
- Native VLAN mismatch / Trunking-Warnungen (in Kombination)
Logs + Verifikation
show logging | include LACP|CHANNEL|EC|PORT-CHANNEL
show etherchannel summary
show lacp neighbor
Security-Logs: DHCP Snooping, DAI, IP Source Guard, Port Security
Wenn du Layer-2 Security aktiviert hast, sind Drops und Violations in Logs ein wichtiges Frühwarnsystem. Häufig sind es echte Angriffe (Rogue DHCP, ARP Spoofing), manchmal aber auch falsche Trust-Ports oder zu strenge Limits.
DHCP Snooping: Rogue DHCP und Trust-Fehler
show logging | include DHCP|SNOOP|Option
show ip dhcp snooping
show ip dhcp snooping binding
DAI: ARP Inspection Drops
show logging | include ARP|INSPECTION|DAI|DROP
show ip arp inspection vlan 10
IP Source Guard: Verify Source Drops
show logging | include VERIFY|SOURCE|DROP
Port Security: Violations und Errdisable
show logging | include PORT_SECURITY|VIOLATION|ERRDISABLE
show port-security interface gigabitEthernet 1/0/10
Storm Control und Flooding: Wenn das Netz „absäuft“
Storm-Control Meldungen sind starke Indikatoren für Loops, Fehlgeräte oder MAC-Table-Instabilität. Besonders Unknown-Unicast-Stürme können auf MAC Flooding oder MAC-Flapping hindeuten.
Logs und Status prüfen
show logging | include STORM|storm-control
show storm-control
Management-Plane Logs: SSH/AAA/SNMP – Security und Betrieb
Angriffe und Fehlkonfigurationen auf die Management Plane zeigen sich oft in Login-Failures, AAA-Timeouts oder SNMP-Fehlern. Diese Meldungen sind essenziell, weil sie den „Zugriff auf das Steuerpult“ betreffen.
SSH/Login Events
show logging | include SSH|LOGIN|AUTH|FAIL|SEC_LOGIN
show users
show ssh
AAA/RADIUS Events
show logging | include AAA|RADIUS|TACACS|AUTH
show aaa servers
SNMP Events (konzeptionell)
show logging | include SNMP
show snmp user
show snmp group
Hardware- und Power-Logs: Temperatur, PSU, PoE
Viele Incidents entstehen durch Hardware-Themen: defekte Netzteile, Übertemperatur oder PoE-Faults. Diese Meldungen sind häufig Severity 2–4 und sollten ernst genommen werden.
PoE/Power Indikatoren
show logging | include ILPOWER|POWER|PoE|PSU|TEMP
show power inline
Environment prüfen (plattformabhängig)
show environment all
show power
Log-Analyse im Alltag: Muster statt Einzelmeldung
Eine einzelne Meldung ist selten der ganze Incident. Achte auf Muster: viele Wiederholungen, zeitliche Korrelation (z. B. Link flap + TCN + DHCP Probleme) und betroffene Ports/VLANs.
- Link flap → STP TCN → MAC-Flaps → Storm-Control: häufig Loop/Physik
- DHCP Snooping Drops → Clients ohne IP: Trust-Port falsch oder Rogue DHCP
- BPDU Guard err-disable → Edge-Port hat Switch/Loop: Fehlpatching
- AAA Timeout → SSH hängt: RADIUS nicht erreichbar oder CPU hoch
Praxis-Filterblock (Copy/Paste)
show logging | include LINK|LINEPROTO|UPDOWN|SPANNING|TOPOLOGY|BPDU|INCONSISTENT|LACP|CHANNEL|DHCP|SNOOP|ARP|INSPECTION|DAI|PORT_SECURITY|STORM|SSH|AAA|RADIUS|ILPOWER|PSU|TEMP
Best Practices: Welche Syslog-Meldungen du unbedingt „auf dem Radar“ haben solltest
Wenn du nur wenige Kategorien aktiv überwachen willst, priorisiere die, die auf Instabilität, Security-Events oder Hardware-Risiken hinweisen. Das liefert den größten Nutzen bei geringstem Rauschen.
- LINK/LINEPROTO Flaps (Stabilität)
- STP Topology/Root/Guard Events (Loop-Schutz)
- EtherChannel/LACP Events (Uplink-Stabilität)
- DHCP Snooping/DAI/Port Security Violations (Security)
- Storm-Control Events (Flooding/Loops)
- AAA/SSH Login Failures (Management-Security)
- PoE/PSU/Temperature Alerts (Hardware)
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
