Eine Übersicht über das Syslog-Protokoll
Konfigurieren von Cisco-Geräten zur Verwendung eines Syslog-Servers
Die meisten Cisco-Geräte verwenden das Syslog-Protokoll zum Verwalten von Systemprotokollen und Warnungen. Im Gegensatz zu ihren PC- und Server-Gegenstücken fehlt Cisco-Geräten jedoch ein großer interner Speicherplatz zum Speichern dieser Protokolle. Um diese Einschränkung zu überwinden, bieten Cisco-Geräte die folgenden zwei Optionen:
- Interner Puffer — Das Betriebssystem des Geräts weist einen kleinen Teil der Speicherpuffer zu, um die neuesten Nachrichten zu protokollieren. Die Puffergröße ist auf wenige Kilobyte begrenzt. Diese Option ist standardmäßig aktiviert. Wenn das Gerät jedoch neu gestartet wird, gehen diese Syslog-Nachrichten verloren.
- Syslog – Verwenden Sie ein SYSLOG-Protokoll im UNIX-Stil, um Nachrichten zum Speichern an ein externes Gerät zu senden. Die Speichergröße hängt nicht von den Ressourcen des Routers ab und ist nur durch den verfügbaren Speicherplatz auf dem externen Syslog-Server begrenzt. Diese Option ist standardmäßig nicht aktiviert.
Um die Syslog-Funktionalität in einem Cisco-Netzwerk zu aktivieren, müssen Sie den integrierten Syslog-Client in den Cisco-Geräten konfigurieren.
Cisco-Geräte verwenden einen Schweregrad von Warnungen durch Notfälle, um Fehlermeldungen über Software- oder Hardwarefehlfunktionen zu generieren. Die Debugging-Ebene zeigt die Ausgabe von Debug-Befehlen an. Die Benachrichtigungsebene zeigt Schnittstellenübergänge nach oben oder unten und Systemneustartmeldungen an. Die Informationsebene lädt Anforderungen und Nachrichten mit niedrigem Prozessstapel neu.
Konfigurieren von Cisco-Routern für Syslog
Um einen Cisco IOS-basierten Router zum Senden von Syslog-Nachrichten an einen externen Syslog-Server zu konfigurieren, führen Sie die Schritte in Tabelle 4-11 im privilegierten EXEC-Modus aus.
Tabelle 4-11. Konfigurieren von Cisco-Routern für Syslog
Schritt |
Befehl |
Zweck |
Router # Terminal konfigurieren |
Wechselt in den globalen Konfigurationsmodus. |
|
Router (config) # Dienstzeitstempel Typ datetime |
Weist das System an, Syslog-Nachrichten mit einem Zeitstempel zu versehen; Die Optionen für das Schlüsselwort type lauten debug und log. |
|
Router(config)#logging host |
Gibt den Syslog-Server anhand der IP-Adresse oder des Hostnamens an; Sie können mehrere Server angeben. |
|
Router (config) # Protokollierung der Trap-Ebene |
Gibt die Art der Nachrichten nach Schweregrad an, die an den Syslog-Server gesendet werden sollen. Der Standardwert ist höher und niedriger. Die möglichen Werte für level lauten wie folgt: Emergency: 0 Verwenden Sie die Debug-Ebene mit Vorsicht, da sie in einem ausgelasteten Netzwerk viel Syslog-Datenverkehr generieren kann. |
|
Router (config) # Protokollierungseinrichtung Einrichtungstyp |
Gibt die Facility-Ebene an, die von den Syslog-Nachrichten verwendet wird. der Standardwert ist local7. Mögliche Werte sind local0, local1, local2, local3, local4, local5, local6 und local7. |
|
Router (Konfiguration) # Ende |
Kehrt in den privilegierten EXEC-Modus zurück. |
|
Router# Protokollierung anzeigen |
Zeigt die Protokollierungskonfiguration an. |
Beispiel 4-12 bereitet einen Cisco-Router zum Senden von Syslog-Nachrichten in der Einrichtung local3 vor. Außerdem sendet der Router nur Nachrichten mit dem Schweregrad Warnung oder höher. Der Syslog-Server befindet sich auf einem Computer mit der IP-Adresse 192.168.0.30.
Beispiel 4-12. Routerkonfiguration für Syslog
Router-Dallas#Router-Dallas#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router-Dallas(config)#logging 192.168.0.30Router-Dallas(config)#service timestamps debug datetime localtime show-timezone msecRouter-Dallas(config)#service timestamps log datetime localtime show-timezone msecRouter-Dallas(config)#logging facility local3Router-Dallas(config)#logging trap warningRouter-Dallas(config)#endRouter-Dallas#show loggingSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 79 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: disabled Trap logging: level warnings, 80 message lines logged Logging to 192.168.0.30, 57 message lines logged
Konfigurieren eines Cisco-Switches für Syslog
Verwenden Sie zum Konfigurieren eines Cisco CatOS-basierten Switches zum Senden von Syslog-Nachrichten an einen externen Syslog-Server die in Tabelle 4-12 gezeigten Befehle für den privilegierten EXEC-Modus.
Tabelle 4-12. Konfigurieren eines Cisco-Switches für Syslog
Schritt |
Befehl |
Zweck |
Schalter> (aktivieren) Protokollierungszeitstempel festlegen {aktivieren / deaktivieren} |
Konfiguriert das System zum Zeitstempeln von Nachrichten. |
|
Schalter> (aktivieren) IP-Adresse des Protokollierungsservers festlegen |
Gibt die IP-Adresse des Syslog-Servers an; es können maximal drei Server angegeben werden. |
|
Schalter>(aktivieren) set logging server severity server_severity_level |
Begrenzt Nachrichten, die auf den Syslog-Servern protokolliert werden, nach Schweregrad. |
|
Schalter>(aktivieren) set logging server facility server_facility_parameter |
Gibt die Facility-Ebene an, die in der Nachricht verwendet werden soll. Der Standardwert ist local7. Abgesehen von den in Tabelle 4-1 aufgeführten Standard-Facility-Namen verwenden Cisco Catalyst-Switches Facility-Namen, die für den Switch spezifisch sind. Die folgenden Einrichtungsebenen generieren Syslog-Nachrichten mit festen Schweregraden: 5: System, Dynamic-Trunking-Protocol, Port-Aggregation-Protocol, Management, Multilayer Switching 4: CDP, UDLD 2: Andere Einrichtungen |
|
Schalter>(aktivieren) set logging server aktivieren |
Aktiviert den Switch zum Senden von Syslog-Nachrichten an die Syslog-Server. |
|
Schalter>(aktivieren) Protokollierung anzeigen |
Zeigt die Protokollierungskonfiguration an. |
Beispiel 4-13 bereitet einen CatOS-basierten Switch zum Senden von Syslog-Nachrichten in der Einrichtung local4 vor. Außerdem sendet der Switch nur Nachrichten mit dem Schweregrad Warnung oder höher. Der Syslog-Server befindet sich auf einem Computer mit der IP-Adresse 192.168.0.30.
Beispiel 4-13. CatOS-basierte Switch-Konfiguration für Syslog
Console> (enable) set logging timestamp enableSystem logging messages timestamp will be enabled.Console> (enable) set logging server 192.168.0.30192.168.0.30 added to System logging server table.Console> (enable) set logging server facility local4System logging server facility set to <local4>Console> (enable) set logging server severity 4System logging server severity set to <4>Console> (enable) set logging server enableSystem logging messages will be sent to the configured syslog servers.Console> (enable) show loggingLogging buffered size: 500timestamp option: enabledLogging history size: 1Logging console: enabledLogging server: enabled{192.168.0.30}server facility: LOCAL4server severity: warnings(4Current Logging Session: enabledFacility Default Severity Current Session Severity------------- ----------------------- ------------------------cdp 3 4drip 2 4dtp 5 4dvlan 2 4earl 2 4fddi 2 4filesys 2 4gvrp 2 4ip 2 4kernel 2 4mcast 2 4mgmt 5 4mls 5 4pagp 5 4protfilt 2 4pruning 2 4radius 2 4security 2 4snmp 2 4spantree 2 4sys 5 4tac 2 4tcp 2 4telnet 2 4tftp 2 4udld 4 4vmps 2 4vtp 2 40(emergencies) 1(alerts) 2(critical)3(errors) 4(warnings) 5(notifications)6(information) 7(debugging)Console> (enable)
Konfigurieren einer Cisco PIX-Firewall für Syslog
Die proaktive Überwachung von Firewall-Protokollen ist ein wesentlicher Bestandteil der Aufgaben eines Netadmins. Die Firewall-Syslogs sind nützlich für die Forensik, die Fehlerbehebung im Netzwerk, die Sicherheitsbewertung, die Abwehr von Wurm- und Virenangriffen usw. Die Konfigurationsschritte zum Aktivieren von Syslog-Messaging auf einem PIX ähneln konzeptionell denen für IOS- oder CatOS-basierte Geräte. Um eine Cisco PIX-Firewall mit PIX OS 4.4 und höher zu konfigurieren, führen Sie die in Tabelle 4-13 gezeigten Schritte im privilegierten EXEC-Modus aus.
Tabelle 4-13. PIX-Konfiguration für Syslog
Schritt |
Befehl |
Zweck |
Pixfirewall# config terminal |
Wechselt in den globalen Konfigurationsmodus. |
|
Pixfirewall(config)#Protokollierungszeitstempel |
Gibt an, dass jede Syslog-Nachricht einen Zeitstempelwert haben soll. |
|
Pixfirewall (config) # Protokollierung der Host-IP-Adresse |
Gibt einen Syslog-Server an, der die von der Cisco PIX-Firewall gesendeten Nachrichten empfangen soll. Sie können mehrere Protokollierungshostbefehle verwenden, um zusätzliche Server anzugeben, die alle die Syslog-Nachrichten empfangen würden. Das Protokoll ist UDP oder TCP. Ein Server kann jedoch nur für den Empfang von UDP oder TCP angegeben werden, nicht für beide. Eine Cisco PIX Firewall sendet nur TCP-Syslog-Nachrichten an den Cisco PIX Firewall Syslog-Server. |
|
Pixfirewall(config)#logging facility Einrichtung |
Gibt die Syslog-Facility-Nummer an. Anstatt den Namen anzugeben, verwendet der PIX eine 2-stellige Nummer wie folgt: local0 – 16 local1 – 17 local2 – 18 local3 – 19 local4 – 20 local5 – 21 local6 – 22 local7 – 23 Der Standardwert ist 20. |
|
pixfirewall (config) # Protokollierung der Trap-Ebene |
Gibt die Syslog-Nachrichtenebene als Zahl oder Zeichenfolge an. Die von Ihnen angegebene Ebene bedeutet, dass diese Ebene und diese Werte unter dieser Ebene liegen sollen. Wenn beispielsweise Stufe 3 ist, zeigt syslog die Meldungen 0, 1, 2 und 3 an. Mögliche Werte für Anzahl und Zeichenfolge sind wie folgt: 0: Notfall; System-unbrauchbar Meldungen 1: Alarm; Sofortige Maßnahmen ergreifen 2: Kritisch; kritischer Zustand 3: Fehler; Fehlermeldung 4: Warnung; warnung nachricht 5: Hinweis; normal aber signifikante zustand 6: informations: informationen nachricht 7: Debug; debug-nachrichten und log FTP befehle und WWW URLs |
|
pixfirewall(config)#anmelden |
Startet das Senden von Syslog-Nachrichten an alle Ausgabeplätze. |
|
pixfirewall (config) # keine Protokollierungsnachricht < Nachrichten-ID> |
Gibt eine Nachricht an, die unterdrückt werden soll. |
|
pixfirewall (config) #beenden |
Beendet den globalen Konfigurationsmodus. |
Beispiel 4-14 bereitet die Cisco PIX-Firewall auf das Senden von Syslog-Nachrichten mit den Schweregraden local5 und debug und darunter an den Syslog-Server vor. Der Netadmin möchte nicht, dass der PIX die Nachricht 111005 protokolliert. Der Syslog-Server hat die IP-Adresse 192.168.0.30.
Beispiel 4-14. Konfigurieren einer Cisco PIX-Firewall für Syslog
Firewall-Dallas#Firewall-Dallas# config terminalFirewall-Dallas(config)# loggin timeFirewall-Dallas(config)# logging host 192.168.0.30Firewall-Dallas(config)# logging facility 21Firewall-Dallas(config)# logging trap 7Firewall-Dallas(config)# logging onFirewall-Dallas(config)# no logging message 111005rewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 6 messages logged Logging to inside 192.168.0.30 History logging: disabled Device ID: disabled
Für zusätzliche Zuverlässigkeit kann die Cisco PIX-Firewall so konfiguriert werden, dass Syslog-Nachrichten über TCP gesendet werden. Bitte beachten Sie, dass die TCP-Verbindung geschlossen werden kann, wenn die Syslog-Serverfestplatte voll ist. Dies führt zu einer Diensteverweigerung, da die Cisco PIX-Firewall den gesamten Datenverkehr stoppt, bis der Syslog-Server-Speicherplatz freigegeben ist. Sowohl Kiwi Syslogd Server als auch PFSS bieten diese Funktion. Kiwi Syslogd verfügt über einen Warnmechanismus, um den Netadmin per E-Mail oder Pager zu warnen, wenn sich die Festplatte ihrer Kapazität nähert. Die Einstellung kann über das Fenster Syslog Daemon Setup (Syslog-Dämon einrichten) festgelegt werden, wie in Abbildung 4-9 für die Kiwi Syslog-Konfiguration dargestellt.
Wenn das PIX aufgrund eines Festplattenfüllungszustands stoppt, müssen Sie zuerst Speicherplatz freigeben. Deaktivieren Sie dann das Syslog-Messaging auf dem PIX mithilfe des Befehls no logging host host und aktivieren Sie anschließend das Syslog-Messaging mithilfe des Befehls logging host host erneut.
Beispiel 4-15 zeigt die Konfigurationsschritte für eine Cisco PIX-Firewall zum Senden von Syslog-Nachrichten an TCP-Port 1468.
Beispiel 4-15. PIX-Konfiguration für TCP-Syslog
Firewall-Dallas# config terminalFirewall-Dallas(config)# logging host inside 192.168.0.30 tcp/1468Firewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 12 messages logged Logging to inside 192.168.0.30 tcp/1468 History logging: disabled Device ID: disabledFirewall-Dallas#
Konfigurieren eines Cisco VPN-Konzentrators für Syslog
Der Cisco VPN 3000 Series Concentrator bietet eine Appliance-basierte Lösung für die Bereitstellung von VPN-Funktionen in Remote-Netzwerken. VPN-Konzentratoren sind häufig parallel zu den Firewalls angeschlossen, wie in Abbildung 4-1 gezeigt. Das Design vereinfacht die Verwaltung des Netzwerks, schafft jedoch Sicherheitsbedenken. Nachdem ein Benutzer über VPN-Konzentratoren authentifiziert wurde, hat er vollständigen Zugriff auf das Netzwerk. Dies ist ein starkes Argument für die Protokollierung der Nachrichten vom VPN-Konzentrator. Gehen Sie folgendermaßen vor, um den Cisco VPN 3000 Series Concentrator für das Senden von Syslog-Nachrichten zu konfigurieren:
- Melden Sie sich mit einem Webbrowser beim VPN-Konzentrator an.
- Navigieren Sie zur Seite Syslog-Server, indem Sie Konfiguration > System > Ereignisse > Syslog-Server auswählen, wie in Abbildung 4-12 dargestellt.
Abbildung 4-12 VPN-Konzentrator-Syslog-Server
- Klicken Sie auf der Seite Syslog-Server auf die Schaltfläche Hinzufügen (siehe Abbildung 4-12).
- Geben Sie die IP-Adresse des Syslog-Servers ein und wählen Sie die Facility-Ebene aus dem Dropdown-Menü Facility aus, wie in Abbildung 4-13 dargestellt. Speichern Sie diese Einstellungen und kehren Sie zur Seite Syslog-Server zurück, indem Sie auf die Schaltfläche Hinzufügen klicken.
Abbildung 4-13 VPN-Konzentrator – Syslog-Server hinzufügen
- Um die Art der Nachrichten auszuwählen, die an den Syslog-Server gesendet werden sollen, navigieren Sie zur Seite Allgemein, indem Sie Konfiguration > System > Ereignisse > Allgemein auswählen.
- Wählen Sie auf der Seite Allgemein eine Option aus dem Dropdown-Menü Schweregrad in Syslog aus, wie in Abbildung 4-14 gezeigt, und klicken Sie auf die Schaltfläche Übernehmen.
Abbildung 4-14 VPN-Konzentrator – Allgemeine Konfiguration
- Um die Konfigurationsänderungen zu speichern, klicken Sie auf das Symbol Save Needed.
Wie in diesem Beispiel konfiguriert, ist der VPN-Konzentrator jetzt bereit, Syslog-Nachrichten mit dem Schweregrad local6, Schweregrad 1-5, an Server 192.168.0.30 zu senden.