Introduction

Le module BMENUA0100 consigne les événements dans la mémoire tampon locale de diagnostics, puis envoie les événements à un serveur syslog distant où ils sont stockés et mis à disposition des clients syslog. Pour diagnostiquer les événements plus anciens, vous pouvez interroger les événements enregistrés par le serveur syslog. Pour les événements en cours du module, vous pouvez utiliser les pages Web du module pour diagnostiquer l’état du service syslog et afficher les événements spécifiques dans la mémoire tampon de diagnostic.

La mémoire tampon locale fonctionne de façon circulaire : les événements les plus récents remplacent les événements les plus anciens lorsque la mémoire tampon est remplie.

Le module stocke les événements dans la mémoire volatile.

Les événements journalisés concernent soit :

Le service syslog est configurable sur les pages Web dans le cadre de la configuration de la cybersécurité, par conséquent il peut être actif uniquement si le module fonctionne en mode Secured. Lorsque le module fonctionne en mode Standard, le service est désactivé.

Comme il est implémenté dans le module BMENUA0100, le service Syslog est pris en charge par IPv4 (version 1.0 ou supérieure du micrologiciel) et IPv6 (version 1.10 ou supérieure du micrologiciel).

NOTE : Syslog n’est pas un protocole sécurisé, il doit être encapsulé dans un canal IPSEC sécurisé sur le port de contrôle.

Structure des messages Syslog

Le protocole syslog (RFC 5424) définit la manière dont les événements sont échangés entre le module et le serveur distant. La structure des messages syslog est définie ci-dessous :

Champ

Description

PRI

Informations sur la catégorie et la gravité (description fournie dans les tableaux suivants).

VERSION

Version de la spécification du protocole Syslog (Version = 1 pour RFC 5424).

TIMESTAMP

Le format d'horodatage est défini par la RFC 3339 qui recommande le format de date et d'heure Internet ISO8601 suivant : YYY-MM-DDThh:mm:ss.nnnZ

NOTE : -, T, :, . et Z sont des caractères obligatoires et font partie du champ TIMESTAMP. T et Z doivent figurer en majuscules. Z spécifie que l'heure est au format UTC.

Description du contenu du champ d'horodatage :

YYY

Année
MM

Mois
DD

Jour
hh

Heure
mm

Mois
ss

Seconde
nnn

Fraction de seconde en milliseconde (0 si non disponible)

HOSTNAME

Identifie la machine ayant envoyé le message Syslog : nom de domaine complet (FQDN) ou adresse IP statique source, si FQDN n'est pas pris en charge.

APP-NAME

Identifie l'application qui crée le message Syslog. Il contient des informations qui permettent d'identifier l'entité émettrice du message (par exemple, un sous-ensemble d'une référence commerciale).

PROCID

Identifie le processus, l'entité ou le composant qui envoie l'événement.

Reçoit la valeur NILVALUE s'il n'est pas utilisé.

MSGID

Identifie le type de message auquel l'événement est lié, par exemple HTTP, FTP, Modbus.

Reçoit la valeur NILVALUE s'il n'est pas utilisé.

MESSAGE TEXT

Ce champ contient plusieurs informations :

  • Adresse de l'émetteur : Adresse IP de l'entité qui génère le journal.

  • ID d'homologue : ID d'homologue si un homologue est impliqué dans l'opération (par exemple, nom d'utilisateur pour une opération de journalisation). Reçoit la valeur Null s'il n'est pas utilisé.

  • Adresse de l'homologue : Adresse IP de l'homologue si un homologue est impliqué dans l'opération. Reçoit la valeur Null s'il n'est pas utilisé.

  • Type : Numéro unique pour identifier un message (description fournie dans les tableaux suivants).

  • Commentaire : Chaîne décrivant le message (description fournie dans les tableaux suivants).

Evénements de type Sécurité/Autorisation

  • Echec d'ouverture de canal sécurisé depuis la pile OPC UA : certificat non valide, certificat expiré...

  • Sessions utilisateurs ouvertes (Nom d'utilisateur/Mot de passe) depuis la pile OPC UA (connexion réussie)

    NOTE : En l'absence de connexion (mode Standard), le journal est désactivé et donc aucune entrée consignant la réussite de la connexion n'est créée.

  • Echecs de session utilisateur (Nom d'utilisateur/Mot de passe) depuis la pile OPC UA (échec de connexion)

    NOTE : En l'absence de connexion (mode Standard), le journal est désactivé, aucune entrée de consignation d'échec de connexion n'est créée.

  • Connexions HTTPS établies avec ou par un outil (connexion réussie) : par exemple, une connexion au serveur Web ou téléchargement de micrologiciel via HTTPS.

  • Echec de connexion HTTPS avec ou par un outil : par exemple, échec de connexion au serveur Web ou échec de téléchargement de micrologiciel via HTTPS.

  • Fermeture de session utilisateur (déconnexion demandée) pour HTTPS.

  • Fermeture de session utilisateur (déconnexion demandée) pour OPC UA.

  • Déconnexion automatique : par exemple, expiration du délai d'inactivité pour OPC UA ou HTTPS.

  • Détection d'erreur d'intégrité : par exemple, détection d'erreur de signature numérique ou uniquement erreur d'intégrité (hachage).

  • Création de nouveau certificat.

  • Suppression de certificats locaux. Cela est effectué avec le commutateur rotatif en sélectionnant le mode de fonctionnement Security Reset.

  • Ajout d'un nouveau certificat client de la liste blanche sur l'équipement.

  • Suppression d'un nouveau certificat client de la liste blanche sur l'équipement.

Evénements relatifs à modifications majeures sur le système (audit)

  • Téléchargement de configuration de cybersécurité ou application sur l'équipement.

  • Téléchargement de micrologiciel sur l'équipement.

  • Divergence de signature du micrologiciel, dont le téléchargement a échoué sur l'équipement.

Diagnostic des pages Web Syslog

Utilisez les pages Web du module pour diagnostiquer l'état du service syslog exécuté sur le module, et diagnostiquer les zones spécifiques de la mémoire tampon de diagnostic syslog. Vous vous également utiliser l'élément SERVICES_STATUS du DDT du module pour consulter l'état du service syslog.

Dans le menu Diagnostics > Event log diagnostic, utilisez les commandes suivantes pour consulter l'état du service du module :

Paramètre

Description

Statut

  • Opérationnel : Lorsque le module fonctionne en mode Secured, et le service syslog est activé.

  • Non opérationnel : lorsque le module fonctionne en mode Secured, et le service syslog est désactivé.

Serveur de consignation

  • Joignable : une connexion est établie avec le serveur syslog distant.

  • Non joignable : impossible d'établir la connexion avec le serveur syslog distant.

Dans le menu Diagnostics > Diagnostic via le journal d'événements , dans le champ Mémoire tampon de diagnostic à lire, entrez la zone de mémoire tampon à lire.