Přehled syslog Protokol

BY admin
|

Konfigurace Cisco Zařízení se Použití Syslog Server

Většina Cisco zařízení použít syslog protokol pro správu systému výstrahy a protokolování. Na rozdíl od svých protějšků PC a serverů však zařízení Cisco postrádají velký vnitřní úložný prostor pro ukládání těchto protokolů. K překonání tohoto omezení nabízejí zařízení Cisco následující dvě možnosti:

  • interní vyrovnávací paměť-operační systém zařízení přiděluje malou část paměťových vyrovnávacích pamětí pro zaznamenávání nejnovějších zpráv. Velikost vyrovnávací paměti je omezena na několik kilobajtů. Tato možnost je ve výchozím nastavení povolena. Po restartování zařízení se však tyto zprávy syslog ztratí.
  • Syslog – k odesílání zpráv na externí zařízení pro ukládání použijte protokol SYSLOG ve stylu Unixu. Velikost úložiště nezávisí na zdrojích routeru a je omezena pouze dostupným místem na disku na externím serveru syslog. Tato možnost není ve výchozím nastavení povolena.

Chcete-li povolit funkci syslog v síti Cisco, musíte nakonfigurovat vestavěného klienta syslog v zařízeních Cisco.

zařízení Cisco používají úroveň závažnosti varování prostřednictvím mimořádných událostí ke generování chybových zpráv o poruchách softwaru nebo hardwaru. Úroveň ladění zobrazuje výstup ladicích příkazů. Úroveň Oznámení zobrazuje přechody rozhraní nahoru nebo dolů a zprávy o restartu systému. Informační úroveň znovu načte požadavky a zprávy zásobníku s nízkým zpracováním.

Konfigurace Cisco Směrovačů pro Syslog

konfigurovat Cisco IOS-based router pro zasílání syslog zpráv na externí syslog server, postupujte podle kroků v Tabulce 4-11 pomocí privilegovaného režimu EXEC.

tabulka 4-11. Konfigurace Cisco Směrovačů pro Syslog

Krok

Příkaz

Účel

Router# configure terminal

Vstoupí do globálního konfiguračního režimu.

Router(config)# service časová razítka typu datetime

Instruuje systém, aby časové razítko zprávy syslog; možnosti pro typ klíčového slova jsou debug a log.

Router(config)#logging host

Určuje syslog server IP adresa nebo název hostitele, můžete zadat více serverů.

Router(config)# logging trap úrovni

Určuje typ zprávy, úroveň závažnosti, aby být zaslány na syslog server. Výchozí hodnota je informační a nižší. Možné hodnoty pro úrovně jsou následující:

Nouzové: 0
Upozornění: 1
Kritické: 2
Chyba: 3
Varování: 4
Upozornění: 5
Informační: 6
Debug: 7

Použít úroveň ladění s opatrností, protože to může generovat velké množství syslog provoz v náročném sítě.

Router(config)# logging facility zařízení-typ

Určuje úrovni zařízení používá syslog zprávy; výchozí je local7. Možné hodnoty jsou local0, local1, local2, local3, local4, local5, local6, local7.

Router (config)# konec

vrátí se do privilegovaného režimu EXEC.

Router # Zobrazit protokolování

zobrazuje konfiguraci protokolování.

příklad 4-12 připravuje směrovač Cisco pro odesílání zpráv syslog v zařízení local3. Směrovač také bude odesílat zprávy pouze se závažností varování nebo vyšší. Server syslog je na počítači s IP adresou 192.168.0.30.

příklad 4-12. Konfigurace routeru pro Syslog

Router-Dallas#Router-Dallas#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router-Dallas(config)#logging 192.168.0.30Router-Dallas(config)#service timestamps debug datetime localtime show-timezone msecRouter-Dallas(config)#service timestamps log datetime localtime show-timezone msecRouter-Dallas(config)#logging facility local3Router-Dallas(config)#logging trap warningRouter-Dallas(config)#endRouter-Dallas#show loggingSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 79 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: disabled Trap logging: level warnings, 80 message lines logged Logging to 192.168.0.30, 57 message lines logged

Konfigurace Cisco Switch pro Syslog

konfigurace Cisco CatOS na bázi spínač pro zasílání syslog zpráv na externí syslog server, použijte privilegovaného režimu EXEC příkazy uvedené v Tabulce 4-12.

tabulka 4-12. Konfigurace Cisco Switch pro Syslog

Krok

Příkaz

Účel

Přepínač>(povolit) nastavena přihlášení časové razítko {enable | disable}

Konfiguruje systém časové razítko zprávy.

Přepínač>(povolit) nastavit parametry ip adresa serveru

Určuje IP adresu syslog serveru; maximálně tři servery mohou být specifikovány.

Přepínač>(povolit) nastavit protokolování serveru závažnosti server_severity_level

Omezení zpráv, které jsou zaznamenány na syslog servery podle stupně závažnosti.

Přepínač>(povolit) nastavit protokolování serveru zařízení server_facility_parameter

Určuje úrovni zařízení, které by bylo použito ve zprávě. Výchozí hodnota je local7. Kromě standardních názvů zařízení uvedených v tabulce 4-1 používají přepínače Cisco Catalyst Názvy zařízení, které jsou specifické pro přepínač. Následující zařízení úrovně generovat syslog zprávy s fixní úrovně závažnosti:

5: Systém, Dynamic Trunking Protokol, Port-Agregace-Protokol, Řízení, Vícevrstvé Spínací

4: CDP, UDLD

2: Ostatní vybavení

Přepínač>(povolit) nastavit protokolování serveru povolit

Umožňuje přepínač odeslat zprávy syslog syslog servery.

přepínač>(povolit) Zobrazit protokolování

zobrazí konfiguraci protokolování.

příklad 4-13 připravuje přepínač založený na CatOS pro odesílání zpráv syslog v zařízení local4. Taky, přepínač bude odesílat pouze zprávy se závažností varování nebo vyšší. Server syslog je na počítači s IP adresou 192.168.0.30.

příklad 4-13. CatOS na Bázi Přepnout Konfiguraci pro Syslog

Console> (enable) set logging timestamp enableSystem logging messages timestamp will be enabled.Console> (enable) set logging server 192.168.0.30192.168.0.30 added to System logging server table.Console> (enable) set logging server facility local4System logging server facility set to <local4>Console> (enable) set logging server severity 4System logging server severity set to <4>Console> (enable) set logging server enableSystem logging messages will be sent to the configured syslog servers.Console> (enable) show loggingLogging buffered size: 500timestamp option: enabledLogging history size: 1Logging console: enabledLogging server: enabled{192.168.0.30}server facility: LOCAL4server severity: warnings(4Current Logging Session: enabledFacility Default Severity Current Session Severity------------- ----------------------- ------------------------cdp 3 4drip 2 4dtp 5 4dvlan 2 4earl 2 4fddi 2 4filesys 2 4gvrp 2 4ip 2 4kernel 2 4mcast 2 4mgmt 5 4mls 5 4pagp 5 4protfilt 2 4pruning 2 4radius 2 4security 2 4snmp 2 4spantree 2 4sys 5 4tac 2 4tcp 2 4telnet 2 4tftp 2 4udld 4 4vmps 2 4vtp 2 40(emergencies) 1(alerts) 2(critical)3(errors) 4(warnings) 5(notifications)6(information) 7(debugging)Console> (enable)

Konfigurace Cisco PIX Firewall pro Syslog

Proaktivní monitorování protokoly brány firewall je nedílnou součástí Netadmin povinnosti. Firewall syslogs jsou užitečné pro forenzní, řešení problémů se sítí,hodnocení zabezpečení, zmírnění červů a virů atd. Konfigurační kroky pro povolení zasílání zpráv syslog na PIX jsou koncepčně podobné těm pro zařízení se systémem IOS nebo CatOS. Konfigurace Cisco PIX Firewall PIX OS 4.4 a výše, proveďte kroky uvedené v Tabulce 4-13 do privilegovaného režimu EXEC.

tabulka 4-13. PIX Konfiguraci pro Syslog

Krok

Příkaz

Účel

Pixfirewall# config terminal

Vstoupí do globálního konfiguračního režimu.

Pixfirewall(config)#logging časové razítko

Určuje, že každý syslog zpráva by měla mít časové razítko hodnotu.

Pixfirewall(config)#logging hostitel ip_adresa

Určuje, syslog server, který je pro příjem zprávy odeslané z Cisco PIX Firewall. Pomocí více příkazů hostitele protokolování můžete určit další servery, které by všechny přijímaly zprávy syslog. Protokol je UDP nebo TCP. Server však může být zadán pouze pro příjem UDP nebo TCP, ne obojí. Firewall Cisco PIX odesílá pouze zprávy TCP syslog na server Cisco PIX Firewall syslog.

Pixfirewall (config)#protokolování facility facility

určuje číslo zařízení syslog. Namísto zadáním názvu, PIX používá 2-místné číslo, a to následovně:

local0 – 16

local1 – 17

local2 – 18

local3 – 19

local4 – 20

local5 – 21

local6 – 22

local7 – 23

výchozí hodnota je 20.

pixfirewall(config)#logging trap úrovni

Určuje syslog zpráv úrovni jako číslo nebo řetězec. Úroveň, kterou zadáte, znamená, že chcete tuto úroveň a tyto hodnoty menší než tato úroveň. Pokud je například úroveň 3, syslog zobrazí 0, 1, 2 a 3 zprávy. Možné číslo a řetězec úrovni, hodnoty jsou následující:

0: Nouzové; Systém nepoužitelný zprávy

1: Alert; Podniknout okamžité kroky,

2: Kritické; kritickém stavu

3: Chyba, error message

4: Upozornění; upozornění

5: Oznámení; normální, ale významné stavu

6: Informativní: informace zpráva

7: Ladění; ladicí zprávy a protokolu FTP příkazy a WWW adresy Url

pixfirewall(config)#přihlášení

Začíná zasláním syslog zprávy do všech výstupních míst.

pixfirewall(config)#bez protokolování zprávu <id zprávy>

Určuje zprávu, která bude potlačena.

pixfirewall(config)#exit

Východy globální konfigurační režim.

Příklad 4-14 připravuje Cisco PIX Firewall odesílat syslog zprávy na facility local5 a závažnosti ladění a níže na syslog server. Netadmin nechce, aby PIX protokoloval zprávu 111005. Server syslog má IP adresu 192.168.0.30.

příklad 4-14. Konfigurace brány Cisco PIX Firewall Pro Syslog

Firewall-Dallas#Firewall-Dallas# config terminalFirewall-Dallas(config)# loggin timeFirewall-Dallas(config)# logging host 192.168.0.30Firewall-Dallas(config)# logging facility 21Firewall-Dallas(config)# logging trap 7Firewall-Dallas(config)# logging onFirewall-Dallas(config)# no logging message 111005rewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 6 messages logged Logging to inside 192.168.0.30 History logging: disabled Device ID: disabled

pro větší spolehlivost může být firewall Cisco PIX nakonfigurován pro odesílání zpráv syslog přes TCP. Vezměte prosím na vědomí, že pokud je disk serveru syslog plný, může ukončit připojení TCP. To způsobí odmítnutí služby, protože firewall Cisco PIX zastaví veškerý provoz, dokud nebude uvolněno místo na disku serveru syslog. Jak Kiwi Syslogd Server, tak PFSS nabízejí tuto funkci. Kiwi Syslogd má varovný mechanismus, který varuje Netadmin prostřednictvím e-mailu nebo pageru, když se disk blíží své kapacitě. Nastavení lze nastavit z okna Nastavení démona Syslog, jak je znázorněno na obrázku 4-9, pro konfiguraci Kiwi syslog.

pokud se PIX zastaví kvůli stavu plného disku, musíte nejprve uvolnit místo na disku. Poté zakažte zasílání zpráv syslog na PIX pomocí příkazu no logging host host a poté znovu připojte zprávy syslog pomocí příkazu logging host host.

příklad 4-15 ukazuje konfigurační kroky pro firewall Cisco PIX pro odesílání zpráv syslog na portu TCP 1468.

příklad 4-15. PIX Konfigurace TCP Syslog

Firewall-Dallas# config terminalFirewall-Dallas(config)# logging host inside 192.168.0.30 tcp/1468Firewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 12 messages logged Logging to inside 192.168.0.30 tcp/1468 History logging: disabled Device ID: disabledFirewall-Dallas#

Konfigurace Cisco VPN Koncentrátor, pro Syslog

Cisco VPN 3000 Série Koncentrátor poskytuje spotřebiče-based řešení pro nasazení VPN funkce přes dálkové sítě. Koncentrátory VPN jsou často připojeny paralelně s firewally, jak je znázorněno na obrázku 4-1. Návrh zjednodušuje správu sítě, ale vytváří obavy o bezpečnost. Po ověření uživatele pomocí koncentrátorů VPN má uživatel úplný přístup k síti. To je silný důvod pro protokolování zpráv z koncentrátoru VPN. Chcete-li nakonfigurovat koncentrátor řady Cisco VPN 3000 pro odesílání zpráv syslog, postupujte takto:

  1. přihlaste se do koncentrátoru VPN pomocí webového prohlížeče.
  2. přejděte na stránku serveru syslog výběrem konfigurace > systém > události > Syslog servery, jak je znázorněno na obrázku 4-12.
    04fig12.jpg

    Obrázek 4-12 VPN Koncentrátor—Syslog Server

  3. Na Syslog Serverů stránky, klepněte na tlačítko Přidat (viz Obrázek 4-12).
  4. zadejte IP adresu serveru syslog a v rozevírací nabídce Zařízení vyberte úroveň zařízení, jak je znázorněno na obrázku 4-13. Uložte tato nastavení a vraťte se na stránku Syslog Servers kliknutím na tlačítko Přidat.
    04fig13.jpg

    Obrázek 4-13 VPN Koncentrátor—Přidejte Syslog Server

  5. vyberte typ zpráv, které jsou zasílány do syslog serveru, přejděte na stránku Obecné výběrem Konfigurace > Systém > Události > Obecné.
  6. na stránce Obecné vyberte z rozbalovací nabídky závažnost na Syslog možnost, jak je znázorněno na obrázku 4-14, a klikněte na tlačítko Použít.
    04fig14.jpg

    obrázek 4-14 VPN koncentrátor-Obecná konfigurace

  7. Chcete – li uložit změny konfigurace, klikněte na ikonu uložit potřebné.

jak je nakonfigurováno v tomto příkladu, koncentrátor VPN je nyní připraven odesílat zprávy syslog na zařízení local6, závažnost 1-5 na server 192.168.0.30.