Descripción general del Protocolo syslog

BY admin
|

Configuración de dispositivos Cisco para usar un servidor Syslog

La mayoría de los dispositivos Cisco utilizan el protocolo syslog para administrar registros y alertas del sistema. Pero a diferencia de sus contrapartes de PC y servidor, los dispositivos Cisco carecen de un gran espacio de almacenamiento interno para almacenar estos registros. Para superar esta limitación, los dispositivos Cisco ofrecen las dos opciones siguientes:

  • Búfer interno: El sistema operativo del dispositivo asigna una pequeña parte de los búferes de memoria para registrar los mensajes más recientes. El tamaño del búfer está limitado a unos pocos kilobytes. Esta opción está habilitada de forma predeterminada. Sin embargo, cuando el dispositivo se reinicia, estos mensajes syslog se pierden.
  • Syslog: Utilice un protocolo SYSLOG de estilo UNIX para enviar mensajes a un dispositivo externo para almacenarlos. El tamaño de almacenamiento no depende de los recursos del enrutador y solo está limitado por el espacio de disco disponible en el servidor syslog externo. Esta opción no está habilitada de forma predeterminada.

Para habilitar la funcionalidad syslog en una red Cisco, debe configurar el cliente syslog integrado en los dispositivos Cisco.

Los dispositivos Cisco utilizan un nivel de gravedad de advertencias en caso de emergencia para generar mensajes de error sobre fallos de software o hardware. El nivel de depuración muestra el resultado de los comandos de depuración. El nivel de aviso muestra transiciones hacia arriba o hacia abajo de la interfaz y mensajes de reinicio del sistema. El nivel informativo recarga solicitudes y mensajes de pila de proceso bajo.

Configuración de enrutadores Cisco para Syslog

Para configurar un enrutador Cisco basado en IOS para enviar mensajes syslog a un servidor syslog externo, siga los pasos de la Tabla 4-11 mediante el modo EXEC privilegiado.

Cuadro 4-11. Configuración de Routers Cisco para Syslog

Paso

Comando

Propósito

Router# configure terminal

Entra en el modo de configuración global.

Enrutador (configuración)# marcas de tiempo de servicio tipo datetime

Indica al sistema que marque la hora de los mensajes de registro del sistema; las opciones para la palabra clave tipo son depuración y registro.

Enrutador (configuración) # host de registro

Especifica el servidor syslog por dirección IP o nombre de host; puede especificar varios servidores.

Enrutador (configuración)# nivel de trampa de registro

Especifica el tipo de mensajes, por nivel de gravedad, que se enviarán al servidor syslog. El valor predeterminado es informativo y menor. Los valores posibles para el nivel son los siguientes:

Emergencia: 0
Alerta: 1
Crítico: 2
Error: 3
Advertencia: 4
Aviso: 5
Informativo: 6
Depuración: 7

Utilice el nivel de depuración con precaución, ya que puede generar una gran cantidad de tráfico de syslog en una red ocupada.

Enrutador (configuración) # instalación de registro tipo de instalación

Especifica el nivel de instalación utilizado por los mensajes syslog; el valor predeterminado es local7. Los valores posibles son local0, local1, local2, local3, local4, local5, local6 y local7.

Router(config)# End

Vuelve al modo EXEC privilegiado.

Router# show registro

Muestra el registro de configuración.

Ejemplo 4-12 prepara un router Cisco para enviar mensajes de syslog a la ubicación de la instalación3. Además, el enrutador solo enviará mensajes con una gravedad de advertencia o superior. El servidor syslog se encuentra en un equipo con una dirección IP de 192.168.0.30.

Ejemplo 4-12. Configuración de enrutador para Syslog

Router-Dallas#Router-Dallas#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router-Dallas(config)#logging 192.168.0.30Router-Dallas(config)#service timestamps debug datetime localtime show-timezone msecRouter-Dallas(config)#service timestamps log datetime localtime show-timezone msecRouter-Dallas(config)#logging facility local3Router-Dallas(config)#logging trap warningRouter-Dallas(config)#endRouter-Dallas#show loggingSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 79 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: disabled Trap logging: level warnings, 80 message lines logged Logging to 192.168.0.30, 57 message lines logged

Configuración de un conmutador Cisco para Syslog

Para configurar un conmutador Cisco basado en CatOS para enviar mensajes syslog a un servidor syslog externo, utilice los comandos de modo EXEC con privilegios que se muestran en la Tabla 4-12.

Cuadro 4-12. Configuración de un conmutador Cisco para Syslog

Paso

Mando

Finalidad

Switch> (activar) establecer marca de tiempo de registro {activar / desactivar}

Configura el sistema para mensajes de marca de tiempo.

Conmutador> (activar) establecer la dirección ip del servidor de registro

Especifica la dirección IP del servidor syslog; se puede especificar un máximo de tres servidores.

Switch> (activar) establecer la gravedad del servidor de registro server_severity_level

Limita los mensajes que se registran en los servidores syslog por nivel de gravedad.

Switch> (activar) establecer instalación de servidor de registro server_facility_parameter

Especifica el nivel de instalación que se utilizará en el mensaje. El valor predeterminado es local7. Además de los nombres de instalación estándar enumerados en la Tabla 4-1, los switches Cisco Catalyst utilizan nombres de instalación específicos para el switch. Los siguientes niveles de instalación generan mensajes syslog con niveles de gravedad fijos:

5: Sistema, Protocolo de Enlace dinámico, Protocolo de Agregación de puertos, Administración, Conmutación Multicapa

4: CDP, UDLD

2: Otras instalaciones

Conmutador> (activar) establecer activación del servidor de registro

Habilita el conmutador para enviar mensajes de syslog a los servidores de syslog.

Cambiar> (activar) Mostrar registro

Muestra la configuración de registro.

Ejemplo 4-13 prepara un Catones basado interruptor para enviar mensajes syslog en el centro de local4. Además, el interruptor solo enviará mensajes con una gravedad de advertencia o superior. El servidor syslog se encuentra en un equipo con una dirección IP de 192.168.0.30.

Ejemplo 4-13. Configuración de conmutadores basados en CatOS para Syslog

Console> (enable) set logging timestamp enableSystem logging messages timestamp will be enabled.Console> (enable) set logging server 192.168.0.30192.168.0.30 added to System logging server table.Console> (enable) set logging server facility local4System logging server facility set to <local4>Console> (enable) set logging server severity 4System logging server severity set to <4>Console> (enable) set logging server enableSystem logging messages will be sent to the configured syslog servers.Console> (enable) show loggingLogging buffered size: 500timestamp option: enabledLogging history size: 1Logging console: enabledLogging server: enabled{192.168.0.30}server facility: LOCAL4server severity: warnings(4Current Logging Session: enabledFacility Default Severity Current Session Severity------------- ----------------------- ------------------------cdp 3 4drip 2 4dtp 5 4dvlan 2 4earl 2 4fddi 2 4filesys 2 4gvrp 2 4ip 2 4kernel 2 4mcast 2 4mgmt 5 4mls 5 4pagp 5 4protfilt 2 4pruning 2 4radius 2 4security 2 4snmp 2 4spantree 2 4sys 5 4tac 2 4tcp 2 4telnet 2 4tftp 2 4udld 4 4vmps 2 4vtp 2 40(emergencies) 1(alerts) 2(critical)3(errors) 4(warnings) 5(notifications)6(information) 7(debugging)Console> (enable)

Configurar un firewall Cisco PIX para Syslog

La supervisión proactiva de los registros del firewall es una parte integral de las tareas de un Netadmin. Los registros de sistemas de firewall son útiles para análisis forenses, solución de problemas de red, evaluación de seguridad, mitigación de ataques de gusanos y virus, etc. Los pasos de configuración para habilitar la mensajería syslog en una PIX son conceptualmente similares a los de los dispositivos basados en IOS o CatOS. Para configurar un firewall Cisco PIX con PIX OS 4.4 y versiones posteriores, realice los pasos que se muestran en la Tabla 4-13 en modo EXEC con privilegios.

Cuadro 4-13. PIX Configuración de Syslog

Paso

Comando

Propósito

Pixfirewall# config terminal

Entra en el modo de configuración global.

Pixfirewall(config)#logging timestamp

Especifica que cada mensaje de syslog debe tener un valor de marca de tiempo.

Pixfirewall(config)#logging host dirección_ip

Especifica un servidor de syslog que va a recibir los mensajes enviados desde el Firewall Cisco PIX. Puede usar varios comandos de host de registro para especificar servidores adicionales que recibirían todos los mensajes de registro del sistema. El protocolo es UDP o TCP. Sin embargo, un servidor solo se puede especificar para recibir UDP o TCP, no ambos. Un Firewall Cisco PIX sólo envía TCP mensajes syslog para el Cisco PIX Firewall servidor de syslog.

Pixfirewall(config)#logging facilidad de instalación

Especifica el syslog número de establecimiento. En lugar de especificar el nombre, la PIX utiliza un número de 2 dígitos, de la siguiente manera:

local0-16

local1 – 17

local2 – 18

local3 – 19

local4 – 20

local5 – 21

local6 – 22

local7 – 23

El valor predeterminado es 20.

pixfirewall(config)#logging trap nivel

Especifica el mensaje de syslog, como un número o una cadena. El nivel que especifique significa que desea que ese nivel y esos valores sean inferiores a ese nivel. Por ejemplo, si el nivel es 3, syslog muestra mensajes 0, 1, 2 y 3. Los posibles valores de nivel de números y cadenas son los siguientes:

0: Emergencia; Mensajes inutilizables del sistema

1: Alerta; Toma medidas inmediatas

2: Crítico; condición crítica

3: Error; mensaje de error

4: Advertencia; mensaje de advertencia

5: Aviso; condición normal pero significativa

6: Informativo: mensaje de información

7: Depuración; mensajes de depuración y registro de comandos FTP y URL WWW

pixfirewall (configuración)#iniciar sesión

Comienza a enviar mensajes de registro de sistema a todas las ubicaciones de salida.

pixfirewall(config)#ningún mensaje de registro <id de mensaje>

Especifica un mensaje que debe ser suprimido.

pixfirewall(config)#exit

Sale el modo de configuración global.

Ejemplo 4-14 prepara el cortafuegos Cisco PIX para enviar mensajes de syslog en la instalación local5 y depuración de severidad y versiones inferiores al servidor de syslog. El Netadmin no quiere que la PIX registre el mensaje 111005. El servidor syslog tiene una dirección IP de 192.168.0.30.

Ejemplo 4-14. Configuración de un firewall Cisco PIX para Syslog

Firewall-Dallas#Firewall-Dallas# config terminalFirewall-Dallas(config)# loggin timeFirewall-Dallas(config)# logging host 192.168.0.30Firewall-Dallas(config)# logging facility 21Firewall-Dallas(config)# logging trap 7Firewall-Dallas(config)# logging onFirewall-Dallas(config)# no logging message 111005rewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 6 messages logged Logging to inside 192.168.0.30 History logging: disabled Device ID: disabled

Para mayor fiabilidad, el firewall Cisco PIX se puede configurar para enviar mensajes syslog a través de TCP. Tenga en cuenta que si el disco del servidor syslog está lleno, puede cerrar la conexión TCP. Esto provocará una denegación de servicio porque el firewall Cisco PIX detendrá todo el tráfico hasta que se libere el espacio en disco del servidor syslog. Tanto Kiwi Syslogd Server como PFSS ofrecen esta característica. Kiwi Syslogd tiene un mecanismo de alerta para advertir al Netadmin a través de correo electrónico o buscapersonas cuando el disco se acerca a su capacidad. La configuración se puede establecer desde la ventana de configuración del Demonio Syslog, como se muestra en la Figura 4-9, para la configuración de Kiwi syslog.

Si el PIX se detiene debido a una condición de disco lleno, primero debe liberar algo de espacio en disco. A continuación, deshabilite la mensajería syslog en la PIX mediante el comando host host sin registro, seguido de volver a habilitar la mensajería syslog mediante el comando host host de registro.

El ejemplo 4-15 muestra los pasos de configuración de un firewall Cisco PIX para enviar mensajes de syslog en el puerto TCP 1468.

Ejemplo 4-15. Configuración PIX para TCP Syslog

Firewall-Dallas# config terminalFirewall-Dallas(config)# logging host inside 192.168.0.30 tcp/1468Firewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 12 messages logged Logging to inside 192.168.0.30 tcp/1468 History logging: disabled Device ID: disabledFirewall-Dallas#

Configuración de un concentrador Cisco VPN para Syslog

El Concentrador Cisco VPN Serie 3000 proporciona una solución basada en dispositivos para implementar la funcionalidad VPN en redes remotas. Los concentradores VPN a menudo se conectan en paralelo a los firewalls, como se muestra anteriormente en la Figura 4-1. El diseño simplifica la gestión de la red, pero crea problemas de seguridad. Una vez que un usuario se ha autenticado a través de concentradores VPN, el usuario tiene acceso completo a la red. Esto es un argumento sólido para registrar los mensajes desde el concentrador VPN. Para configurar el concentrador Cisco VPN Serie 3000 para enviar mensajes syslog, siga estos pasos:

  1. Inicie sesión en el concentrador VPN utilizando un navegador web.
  2. Vaya a la página servidor syslog seleccionando Configuración > Sistema > Eventos > Servidores Syslog, como se muestra en la Figura 4-12.
    04fig12.jpg

    Figura 4-12 Concentrador VPN-Servidor Syslog

  3. En la página Servidores Syslog, haga clic en el botón Agregar (consulte la Figura 4-12).
  4. Introduzca la dirección IP del servidor syslog y seleccione el nivel de instalación en el menú desplegable Instalación, como se muestra en la Figura 4-13. Guarde esta configuración y vuelva a la página Servidores Syslog haciendo clic en el botón Agregar.
    04fig13.jpg

    Figura 4-13 Concentrador VPN-Agregar servidor Syslog

  5. Para seleccionar el tipo de mensajes que se enviarán al servidor syslog, vaya a la página General seleccionando Configuración > Sistema > Eventos > General.
  6. En la página General, seleccione una opción del menú desplegable Severidad a registro de sistema, como se muestra en la Figura 4-14, y haga clic en el botón Aplicar.
    04fig14.jpg

    Figura 4-14 Concentrador VPN-Configuración general

  7. Para guardar los cambios de configuración, haga clic en el icono Guardar necesario.

Como se configuró en este ejemplo, el concentrador VPN ahora está listo para enviar mensajes de registro de sistema en la ubicación de la instalación 6, gravedad 1-5 al servidor 192.168.0.30.