en oversigt over syslog-protokollen

BY admin
|

konfiguration af Cisco-enheder til at bruge en Syslog-Server

de fleste Cisco-enheder bruger syslog-protokollen til at administrere systemlogfiler og alarmer. Men i modsætning til deres pc-og servermodeller mangler Cisco-enheder stort internt lagerplads til opbevaring af disse logfiler. For at overvinde denne begrænsning tilbyder Cisco-enheder følgende to muligheder:

  • intern buffer— enhedens operativsystem tildeler en lille del af hukommelsesbuffere til at logge de seneste meddelelser. Bufferstørrelsen er begrænset til få kilobyte. Denne indstilling er aktiveret som standard. Men når enheden genstarter, går disse syslog-meddelelser tabt.
  • Syslog— brug en unik SYSLOG-protokol til at sende beskeder til en ekstern enhed til lagring. Lagringsstørrelsen afhænger ikke af routerens ressourcer og er kun begrænset af den tilgængelige diskplads på den eksterne syslog-server. Denne indstilling er ikke aktiveret som standard.

for at aktivere syslog-funktionalitet i et Cisco-netværk skal du konfigurere den indbyggede syslog-klient i Cisco-enhederne.

Cisco-enheder bruger et alvorlighedsniveau af advarsler gennem nødsituationer til at generere fejlmeddelelser om funktionsfejl i programmer eller udstyr. Debugging-niveauet viser output fra debug-kommandoer. Meddelelsesniveauet viser interface op eller ned overgange og system genstart meddelelser. Den oplysende niveau genindlæser anmodninger og lav-proces stak beskeder.

konfiguration af Cisco routere til Syslog

hvis du vil konfigurere en Cisco IOS-baseret router til at sende syslog-meddelelser til en ekstern syslog-server, skal du følge trinene i tabel 4-11 ved hjælp af privilegeret EKSEKVERINGSTILSTAND.

tabel 4-11. Konfiguration af Cisco routere til Syslog

trin

kommando

formål

Router # Konfigurer terminal

går ind i global konfigurationstilstand.

Router (config)# service tidsstempler type datetime

instruerer systemet til tidsstempel syslog meddelelser; indstillingerne for typen søgeord er debug og log.

Router (config) # logging host

angiver syslog-serveren efter IP-adresse eller værtsnavn; du kan angive flere servere.

Router (config) # logging fælde niveau

angiver den slags meddelelser, efter sværhedsgrad, der skal sendes til syslog-serveren. Standard er oplysende og lavere. De mulige værdier for niveau er som følger:

Emergency: 0
Alert: 1
kritisk: 2
fejl: 3
advarsel: 4
meddelelse: 5
information: 6
Debug: 7

brug debugniveauet med forsigtighed, fordi det kan generere en stor mængde syslog-trafik i et travlt netværk.

Router (config) # logning facilitet facilitet-type

angiver facilitetsniveauet, der bruges af syslog-meddelelserne; standardværdien er local7. Mulige værdier er local0, local1, local2, local3, local4, local5, local6 og local7.

Router (config) # End

vender tilbage til privilegeret EKSEKVERINGSTILSTAND.

Router# Vis logning

viser logning konfiguration.

eksempel 4-12 forbereder en Cisco-router til at sende syslog-meddelelser på facility local3. Routeren sender også kun meddelelser med en sværhedsgrad af advarsel eller højere. Syslog-serveren er på en maskine med en IP-adresse på 192.168.0.30.

eksempel 4-12. Routerkonfiguration til Syslog

Router-Dallas#Router-Dallas#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router-Dallas(config)#logging 192.168.0.30Router-Dallas(config)#service timestamps debug datetime localtime show-timezone msecRouter-Dallas(config)#service timestamps log datetime localtime show-timezone msecRouter-Dallas(config)#logging facility local3Router-Dallas(config)#logging trap warningRouter-Dallas(config)#endRouter-Dallas#show loggingSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 79 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: disabled Trap logging: level warnings, 80 message lines logged Logging to 192.168.0.30, 57 message lines logged

konfiguration af en Cisco-kontakt til Syslog

hvis du vil konfigurere en Cisco CatOS-baseret kontakt til afsendelse af syslog-meddelelser til en ekstern syslog-server, skal du bruge de privilegerede EKSEKVERINGSKOMMANDOER, der vises i tabel 4-12.

tabel 4-12. Konfiguration af en Cisco-kontakt til Syslog

trin

kommando

formål

Skift>(aktiver) Indstil logning tidsstempel {Aktiver / Deaktiver}

konfigurerer systemet til tidsstempelmeddelelser.

Skift>(aktiver) Indstil logning server ip-adresse

angiver IP-adressen på syslog-serveren; maksimalt tre servere kan specificeres.

Skift>(aktiver) Indstil logning server sværhedsgrad server_severity_level

begrænser meddelelser, der er logget på syslog-serverne efter sværhedsgrad.

Skift>(aktiver) Indstil logning server facilitet server_facility_parameter

angiver det facilitetsniveau, der skal bruges i meddelelsen. Standard er local7. Bortset fra de standardfacilitetsnavne, der er anført i tabel 4-1, bruger Cisco Catalyst-afbrydere facilitetsnavne, der er specifikke for kontakten. Følgende facilitetsniveauer genererer syslog-meddelelser med faste sværhedsgrader:

5: System, Dynamic-Trunking-Protocol, Port-Aggregation-Protocol, Management, Flerlagsskift

4: CDP, UDFLD

2: andre faciliteter

Skift>(aktiver) Indstil logning server aktiver

aktiverer kontakten til at sende syslog-meddelelser til syslog-serverne.

Skift>(aktiver) Vis logning

viser logkonfigurationen.

eksempel 4-13 forbereder en CatOS-baseret kontakt til at sende syslog-meddelelser på facility local4. Kontakten sender også kun meddelelser med en sværhedsgrad af advarsel eller højere. Syslog-serveren er på en maskine med en IP-adresse på 192.168.0.30.

eksempel 4-13. CatOS-baseret Omskifterkonfiguration til Syslog

Console> (enable) set logging timestamp enableSystem logging messages timestamp will be enabled.Console> (enable) set logging server 192.168.0.30192.168.0.30 added to System logging server table.Console> (enable) set logging server facility local4System logging server facility set to <local4>Console> (enable) set logging server severity 4System logging server severity set to <4>Console> (enable) set logging server enableSystem logging messages will be sent to the configured syslog servers.Console> (enable) show loggingLogging buffered size: 500timestamp option: enabledLogging history size: 1Logging console: enabledLogging server: enabled{192.168.0.30}server facility: LOCAL4server severity: warnings(4Current Logging Session: enabledFacility Default Severity Current Session Severity------------- ----------------------- ------------------------cdp 3 4drip 2 4dtp 5 4dvlan 2 4earl 2 4fddi 2 4filesys 2 4gvrp 2 4ip 2 4kernel 2 4mcast 2 4mgmt 5 4mls 5 4pagp 5 4protfilt 2 4pruning 2 4radius 2 4security 2 4snmp 2 4spantree 2 4sys 5 4tac 2 4tcp 2 4telnet 2 4tftp 2 4udld 4 4vmps 2 4vtp 2 40(emergencies) 1(alerts) 2(critical)3(errors) 4(warnings) 5(notifications)6(information) 7(debugging)Console> (enable)

konfiguration af Cisco-brandmur til Syslog

proaktiv overvågning af brandmurslogfiler er en integreret del af en Netadmins opgaver. Syslogs er nyttige til retsmedicin, netværk fejlfinding, sikkerhedsvurdering, orm og virus angreb afbødning, og så videre. Konfigurationstrinnene til aktivering af syslog-beskeder på en pc svarer konceptuelt til dem til IOS – eller CatOS-baserede enheder. Hvis du vil konfigurere en Cisco – enhed med PC OS 4.4 og nyere, skal du udføre de trin, der er vist i tabel 4-13 i privilegeret EKSEKVERINGSTILSTAND.

tabel 4-13. Konfiguration for Syslog

trin

kommando

formål

configuration / config terminal

går ind i global konfigurationstilstand.

(config) # logning tidsstempel

angiver, at hver syslog-meddelelse skal have en tidsstempelværdi.

(config) # logging host ip_address

angiver en syslog-server, der skal modtage de meddelelser, der sendes fra Cisco. Du kan bruge flere logging host kommandoer til at angive yderligere servere, der ville alle modtage syslog meddelelser. Protokollen er UDP eller TCP. En server kan dog kun specificeres til at modtage enten UDP eller TCP, ikke begge dele. En Cisco sender kun TCP syslog-meddelelser til Cisco Syslog-serveren.

(config)#logning facilitet facilitet

angiver syslog facilitet nummer. I stedet for at angive navnet bruger piksen et 2-cifret tal som følger:

local0 – 16

local1 – 17

local2 – 18

local3 – 19

local4 – 20

local5 – 21

local6 – 22

local7 – 23

standard er 20.

(config) # logging fælde niveau

angiver syslog-meddelelsesniveauet som et tal eller en streng. Det niveau, du angiver, betyder, at du vil have det niveau og disse værdier mindre end det niveau. Hvis niveauet f.eks. er 3, viser syslog 0, 1, 2 og 3 meddelelser. Mulige tal-og strengniveauværdier er som følger:

0: nødsituation; system-ubrugelige meddelelser

1: alarm; tag øjeblikkelig handling

2: kritisk; kritisk tilstand

3: Fejl; fejlmeddelelse

4: Advarsel; advarselsmeddelelse

5: meddelelse; normal, men signifikant tilstand

6: informativ: informationsmeddelelse

7: Debug; debug meddelelser og log FTP-kommandoer og URL-adresser

(config) # Log på

begynder at sende syslog-meddelelser til alle outputsteder.

# Ingen logning besked < besked id>

angiver en meddelelse, der skal undertrykkes.

(config) # Afslut

afslutter global konfigurationstilstand.

eksempel 4-14 forbereder Cisco til at sende syslog-meddelelser på facility local5 og severity debug og nedenfor til syslog-serveren. Netadmin ønsker ikke at logge besked 111005. Syslog-serveren har en IP-adresse på 192.168.0.30.

eksempel 4-14. Konfiguration af en Cisco til Syslog

Firewall-Dallas#Firewall-Dallas# config terminalFirewall-Dallas(config)# loggin timeFirewall-Dallas(config)# logging host 192.168.0.30Firewall-Dallas(config)# logging facility 21Firewall-Dallas(config)# logging trap 7Firewall-Dallas(config)# logging onFirewall-Dallas(config)# no logging message 111005rewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 6 messages logged Logging to inside 192.168.0.30 History logging: disabled Device ID: disabled

for ekstra pålidelighed kan Cisco til at sende syslog-meddelelser via TCP konfigureres. Bemærk, at hvis syslog-serverdisken er fuld, kan den lukke TCP-forbindelsen. Dette vil medføre et lammelsesangreb, fordi Cisco vil stoppe al trafik, indtil syslog-serverens diskplads er frigjort. Både Syslogd Server og PFSS tilbyder denne funktion. Syslogd har en alarm mekanisme til at advare Netadmin via e-mail eller personsøger, når disken nærmer sin kapacitet. Indstillingen kan etableres fra vinduet Syslog Daemon Setup, som vist i figur 4-9, for syslog configuration.

hvis programmet stopper på grund af en disk-fuld tilstand, skal du først frigøre noget diskplads. Deaktiver derefter syslog-beskeder ved hjælp af kommandoen no logging host host, efterfulgt af genaktivering af syslog-beskeder ved hjælp af kommandoen logging host host.

eksempel 4-15 viser konfigurationstrinnene for en Cisco-BRANDVÆG til at sende syslog-meddelelser i TCP-port 1468.

eksempel 4-15. Konfiguration af en Cisco VPN-koncentrator til Syslog 

Firewall-Dallas# config terminalFirewall-Dallas(config)# logging host inside 192.168.0.30 tcp/1468Firewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 12 messages logged Logging to inside 192.168.0.30 tcp/1468 History logging: disabled Device ID: disabledFirewall-Dallas#

konfiguration af en Cisco VPN-koncentrator til Syslog

Cisco VPN 3000-serien Concentrator giver en apparatbaseret løsning til implementering af VPN-funktionalitet på tværs af eksterne netværk. VPN-koncentratorer er ofte forbundet parallelt med brandvæggene, som vist tidligere i figur 4-1. Designet forenkler styringen af netværket, men skaber sikkerhedsproblemer. Når en bruger er blevet godkendt via VPN-koncentratorer, har brugeren fuld adgang til netværket. Dette gør en stærk sag for at logge meddelelserne fra VPN-koncentratoren. Følg disse trin for at konfigurere Cisco VPN 3000-seriens koncentrator til afsendelse af syslog-meddelelser:

  1. Log ind på VPN-koncentratoren ved hjælp af en internetsøgemaskine.
  2. Naviger til syslog-serversiden ved at vælge konfiguration > System > begivenheder > Syslog-servere, som vist i figur 4-12.
    04fig12.jpg

    figur 4-12 VPN koncentrator-Syslog Server

  3. på siden Syslog-servere skal du klikke på knappen Tilføj (se figur 4-12).
  4. Indtast IP-adressen på syslog-serveren, og vælg facilitetsniveauet i rullemenuen facilitet, som vist i figur 4-13. Gem disse indstillinger, og vend tilbage til siden Syslog-servere ved at klikke på knappen Tilføj.
    04fig13.jpg

    figur 4-13 VPN koncentrator-Tilføj Syslog Server

  5. for at vælge den type meddelelser, der skal sendes til syslog-serveren, skal du navigere til siden generelt ved at vælge konfiguration > System > begivenheder > generelt.
  6. på siden Generelt skal du vælge en indstilling fra rullemenuen sværhedsgrad til Syslog, som vist i figur 4-14, og klikke på knappen Anvend.
    04fig14.jpg

    figur 4-14 VPN-koncentrator-generel konfiguration

  7. for at gemme konfigurationsændringerne skal du klikke på ikonet Gem nødvendigt.

som konfigureret i dette eksempel er VPN-koncentratoren nu klar til at sende syslog-meddelelser på facility local6, sværhedsgrad 1-5 til server 192.168.0.30.