yleiskatsaus syslog-protokollasta

Cisco-laitteiden määrittäminen käyttämään Syslog-palvelinta

useimmat Cisco-laitteet käyttävät syslog-protokollaa järjestelmälokien ja hälytysten hallintaan. Mutta toisin kuin PC-ja palvelinkollegansa, Cisco-laitteilla ei ole suurta sisäistä tallennustilaa näiden lokien tallentamiseen. Tämän rajoituksen poistamiseksi Cisco-laitteet tarjoavat seuraavat kaksi vaihtoehtoa:

  • sisäinen puskuri-laitteen käyttöjärjestelmä jakaa pienen osan muistipuskureista tuoreimpien viestien kirjaamiseen. Puskurin koko on rajoitettu muutamaan kilotavuun. Tämä asetus on oletusarvoisesti käytössä. Kuitenkin, kun laite käynnistyy uudelleen, nämä syslog viestit menetetään.
  • Syslog-käytä Unix-tyylistä SYSLOG-protokollaa viestien lähettämiseen ulkoiselle laitteelle tallentamista varten. Tallennustilan koko ei riipu reitittimen resursseista ja sitä rajoittaa vain ulkoisen syslog-palvelimen käytettävissä oleva levytila. Tämä asetus ei ole oletusarvoisesti käytössä.

jotta syslog-toiminnot voidaan ottaa käyttöön Cisco-verkossa, Sinun on määritettävä sisäänrakennettu syslog-asiakasohjelma Cisco-laitteissa.

Ciscon laitteet käyttävät varoitusten vakavuustasoa hätätilanteiden kautta tuottaakseen virheilmoituksia ohjelmiston tai laitteiston toimintahäiriöistä. Vianetsintätaso näyttää vianetsintäkomentojen ulostulon. Ilmoitustaso näyttää käyttöliittymän ylös-tai alaspäin siirtymät ja järjestelmän uudelleenkäynnistyksen viestit. Informaatiotaso lataa pyyntöjä ja matalan prosessin pino viestejä.

Ciscon reitittimien määrittäminen Syslogille

Ciscon IOS-pohjaisen reitittimen määrittäminen syslog-viestien lähettämiseksi ulkoiselle syslog-palvelimelle, seuraa taulukon 4-11 vaiheita käyttäen etuoikeutettua EXEC-tilaa.

Taulukko 4-11. Ciscon reitittimien määrittäminen Syslogille

vaihe

komento

aihe

reititin# määritä pääte

siirtyy yleiskokoonpanotilaan.

reititin (config)# palvelun aikaleimat tyyppi datetime

Ohjaa järjestelmän aikaleima syslog viestit; vaihtoehdot tyyppi avainsanan ovat debug ja log.

reititin (config)#loki-isäntä

määrittää syslog-palvelimen IP-osoitteen tai isäntänimen mukaan; voit määrittää useita palvelimia.

reititin (config)# kirjautumisansan taso

määrittää, millaisia viestejä syslog-palvelimelle lähetetään vaikeusasteen mukaan. Oletusarvo on informatiivinen ja pienempi. Mahdolliset tason arvot ovat seuraavat:

Emergency: 0
Alert: 1
Critical: 2
Error: 3
Warning: 4
Notice: 5
Informational: 6
Debug: 7

käytä virheenjäljitystasoa varoen, koska se voi luoda suuren määrän syslog-liikennettä vilkkaassa verkossa.

reititin (config)# lokitila Laitetyyppi

määrittää järjestelmälokiviestien käyttämän toimintotason; oletusarvo on local7. Mahdollisia arvoja ovat local0, local1, local2, local3, local4, local5, local6 ja local7.

reititin (config)# End

palaa etuoikeutettuun suoritustilaan.

reititin# Näytä loki

näyttää kirjausasetukset.

esimerkki 4-12 valmistelee Ciscon reitittimen lähettämään syslog-viestejä laitoksessa local3. Lisäksi reititin lähettää vain viestejä, joissa varoitus on vakavampi tai korkeampi. Syslog-palvelin on koneessa, jonka IP-osoite on 192.168.0.30.

esimerkki 4-12. Reitittimen asetukset Syslogille

Router-Dallas#Router-Dallas#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router-Dallas(config)#logging 192.168.0.30Router-Dallas(config)#service timestamps debug datetime localtime show-timezone msecRouter-Dallas(config)#service timestamps log datetime localtime show-timezone msecRouter-Dallas(config)#logging facility local3Router-Dallas(config)#logging trap warningRouter-Dallas(config)#endRouter-Dallas#show loggingSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 79 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: disabled Trap logging: level warnings, 80 message lines logged Logging to 192.168.0.30, 57 message lines logged

kun asetat Cisco-kytkintä Syslogille

, voit määrittää Cisco CatOS-pohjaisen Kytkimen syslog-viestien lähettämiseksi ulkoiselle syslog-palvelimelle, käytä taulukossa 4-12 esitettyjä etuoikeutettuja SUORITUSTILAN komentoja.

Taulukko 4-12. Cisco-Kytkimen määrittäminen Syslogille

vaihe

komento

aihe

valitsin>(Ota käyttöön) aseta kirjaamisen aikaleima {Ota käyttöön | Poista käytöstä}

määrittää järjestelmän aikaleiman viestit.

Kytkin>(Ota käyttöön) aseta kirjauspalvelimen ip-osoite

määrittää syslog-palvelimen IP-osoitteen; enintään kolme palvelinta voidaan määrittää.

Kytkin>(Ota käyttöön) aseta kirjauspalvelimen vakavuus server_severity_level

rajoittaa viestejä, jotka on kirjautunut syslog palvelimille vaikeusasteen mukaan.

valitsin>(Ota käyttöön) aseta kirjauspalvelimen toimintotila palvelin_facility_parametri

määrittää viestissä käytettävän laitetason. Oletusarvo on local7. Taulukossa 4-1 lueteltujen tavanomaisten laitenimien lisäksi Cisco Catalyst-kytkimet käyttävät laitenimiä, jotka ovat kytkimelle ominaisia. Seuraavat laitetasot tuottavat järjestelmälokiviestejä, joissa on kiinteät vakavuustasot:

5: System, Dynamic-Trunking-Protocol, Port-Aggregation-Protocol, Management, Multilayer Switching

4: CDP, UDLD

2: muut laitteistot

Kytkin>(Ota käyttöön) aseta kirjauspalvelin käyttöön

mahdollistaa syslog-viestien lähettämisen syslog-palvelimille.

Kytkin>(käytössä) Näytä kirjautuminen

näyttää kirjausasetukset.

esimerkki 4-13 valmistelee CatOS-pohjainen kytkin lähettää syslog viestejä laitoksessa local4. Lisäksi kytkin lähettää vain viestejä, joissa on varoitus tai korkeampi. Syslog-palvelin on koneessa, jonka IP-osoite on 192.168.0.30.

esimerkki 4-13. CatOS-pohjainen kytkin kokoonpano Syslog

Console> (enable) set logging timestamp enableSystem logging messages timestamp will be enabled.Console> (enable) set logging server 192.168.0.30192.168.0.30 added to System logging server table.Console> (enable) set logging server facility local4System logging server facility set to <local4>Console> (enable) set logging server severity 4System logging server severity set to <4>Console> (enable) set logging server enableSystem logging messages will be sent to the configured syslog servers.Console> (enable) show loggingLogging buffered size: 500timestamp option: enabledLogging history size: 1Logging console: enabledLogging server: enabled{192.168.0.30}server facility: LOCAL4server severity: warnings(4Current Logging Session: enabledFacility Default Severity Current Session Severity------------- ----------------------- ------------------------cdp 3 4drip 2 4dtp 5 4dvlan 2 4earl 2 4fddi 2 4filesys 2 4gvrp 2 4ip 2 4kernel 2 4mcast 2 4mgmt 5 4mls 5 4pagp 5 4protfilt 2 4pruning 2 4radius 2 4security 2 4snmp 2 4spantree 2 4sys 5 4tac 2 4tcp 2 4telnet 2 4tftp 2 4udld 4 4vmps 2 4vtp 2 40(emergencies) 1(alerts) 2(critical)3(errors) 4(warnings) 5(notifications)6(information) 7(debugging)Console> (enable)

määrittäminen Cisco PIX palomuuri Syslog

proaktiivinen seuranta palomuurin lokit on olennainen osa Netadmin tehtävät. Palomuuri syslogs ovat hyödyllisiä forensics, verkon vianmääritys, turvallisuuden arviointi, mato ja virus hyökkäys lieventämistä, ja niin edelleen. Asetukset, joilla syslog messaging on PIX, ovat käsitteellisesti samanlaisia kuin IOS – tai CatOS-pohjaisissa laitteissa. Jos haluat määrittää Ciscon PIX-palomuurin, jossa on PIX OS 4.4 tai uudempi, suorita taulukossa 4-13 esitetyt vaiheet etuoikeutetussa suoritustilassa.

Taulukko 4-13. SYSLOGIN PIX-Asetukset

vaihe

komento

aihe

Pixfirewall# config-pääte

siirtyy yleiskokoonpanotilaan.

Pixfirewall (config)#kirjaamisen aikaleima

määrittää, että jokaisella syslog-viestillä tulee olla aikaleiman arvo.

Pixfirewall (config)#kirjautumalla isännän ip_address

määrittää syslog-palvelimen, joka vastaanottaa Ciscon PIX-palomuurista lähetetyt viestit. Voit käyttää useita kirjaus isäntä komentoja määrittää muita palvelimia, jotka kaikki vastaanottavat syslog viestit. Protokolla on UDP tai TCP. Kuitenkin, palvelin voidaan määrittää vain vastaanottaa joko UDP tai TCP, ei molempia. Ciscon PIX-palomuuri lähettää vain TCP-syslog-viestejä Ciscon PIX-palomuuri-syslog-palvelimelle.

Pixfirewall (config)#logging facility facility

määrittää syslog-toiminnon numeron. Nimen täsmentämisen sijaan pikseli käyttää 2-numeroista lukua seuraavasti:

local0 – 16

local1 – 17

local2 – 18

local3 – 19

local4 – 20

local5 – 21

local6 – 22

local7 – 23

oletusarvo on 20.

pixfirewall (config)#logging trap level

määrittää syslog-viestin tason numerona tai merkkijonona. Määrittämäsi taso tarkoittaa, että haluat kyseisen tason ja nämä arvot kyseistä tasoa pienemmiksi. Esimerkiksi, jos taso on 3, syslog näyttää 0, 1, 2, ja 3 viestejä. Mahdolliset numero – ja merkkijonotason arvot ovat seuraavat:

0: hätä; järjestelmän käyttökelvottomat viestit

1: Alert; Take immediate action

2: Critical; critical condition

3: Error; virhesanoma

4: Warning; warning message

5: Notice; normal but significant condition

6: Informational: information message

7: Debug; debug messages and log FTP commands and WWW URL

pixfirewall (config)#kirjaudutaan

alkaa lähettää syslog-viestejä kaikkiin tulostuspaikkoihin.

pixfirewall (config)#ei kirjausviestiä <viestin id>

määrittää tukahdutettavan viestin.

pixfirewall (config)#poistu

poistuu yleiskokoonpanotilasta.

esimerkki 4-14 valmistelee Cisco PIX palomuuri lähettää syslog viestejä laitos local5 ja vakavuus debug ja alla syslog palvelimelle. Netadmin ei halua PIXIÄ kirjaamaan viestiä 111005. Syslog-palvelimen IP-osoite on 192.168.0.30.

esimerkki 4-14. Ciscon PIX-palomuurin määrittäminen Syslogille

Firewall-Dallas#Firewall-Dallas# config terminalFirewall-Dallas(config)# loggin timeFirewall-Dallas(config)# logging host 192.168.0.30Firewall-Dallas(config)# logging facility 21Firewall-Dallas(config)# logging trap 7Firewall-Dallas(config)# logging onFirewall-Dallas(config)# no logging message 111005rewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 6 messages logged Logging to inside 192.168.0.30 History logging: disabled Device ID: disabled

luotettavuuden lisäämiseksi Ciscon PIX-palomuuri voidaan määrittää lähettämään syslog-viestejä TCP: n kautta. Huomaa, että jos syslog-palvelinlevy on täynnä, se voi sulkea TCP-yhteyden. Tämä aiheuttaa palvelunestohyökkäyksen, koska Ciscon PIX-palomuuri pysäyttää kaiken liikenteen, kunnes syslog-palvelimen levytila vapautuu. Sekä Kiwi syslogd Server että PFSS tarjoavat tämän ominaisuuden. Kiwi Syslogd on hälytysmekanismi varoittaa Netadmin sähköpostitse tai hakulaitteen, kun levy on lähestymässä kapasiteettiaan. Asetus voidaan määrittää Syslog Daemonin asetusikkunasta Kuvan 4-9 mukaisesti Kiwi syslog-asetuksille.

jos PIX pysähtyy levyn täyttymisen vuoksi, täytyy ensin vapauttaa levytilaa. Poista sitten syslog messaging PIXILLÄ käyttämällä no logging host-komentoa, jonka jälkeen syslog messaging uudelleen logging host-komennolla.

esimerkki 4-15 näyttää Ciscon PIX-palomuurin määritysvaiheet syslog-viestien lähettämiseksi TCP-porttiin 1468.

esimerkki 4-15. PIX-kokoonpano TCP-Syslogille

Firewall-Dallas# config terminalFirewall-Dallas(config)# logging host inside 192.168.0.30 tcp/1468Firewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 12 messages logged Logging to inside 192.168.0.30 tcp/1468 History logging: disabled Device ID: disabledFirewall-Dallas#

Ciscon VPN-keskittimen määrittäminen Syslogille

Cisco VPN 3000 – sarjan keskitin tarjoaa laitepohjaisen ratkaisun VPN-toimintojen käyttöönottoon etäverkoissa. VPN-keskittimet liitetään usein palomuurien suuntaisesti, kuten kuvassa 4-1 on aiemmin esitetty. Suunnittelu yksinkertaistaa verkon hallintaa, mutta luo turvallisuushuolia. Kun käyttäjä on todennettu VPN-keskittimien avulla, käyttäjällä on täydellinen pääsy verkkoon. Tämä tekee vahvan perusteen viestien kirjaamiselle VPN-keskittimestä. Jos haluat määrittää Cisco VPN 3000 – sarjan keskittimen syslog-viestien lähettämiseen, toimi seuraavasti:

  1. Kirjaudu VPN-keskittimeen verkkoselaimella.
  2. Siirry syslog-palvelinsivulle valitsemalla Asetukset > järjestelmä > tapahtumat > Syslog-palvelimet, kuten kuvassa 4-12 on esitetty.
    04fig12.jpg

    Kuva 4-12 VPN Concentrator-Syslog Server

  3. Napsauta Syslog-palvelimet-sivulla Lisää-painiketta (KS. Kuva 4-12).
  4. Anna syslog-palvelimen IP-osoite ja valitse toimitustaso toiminto-pudotusvalikosta Kuvan 4-13 mukaisesti. Tallenna nämä asetukset ja palaa Syslog-palvelimet-sivulle napsauttamalla Lisää-painiketta.
    04fig13.jpg

    Kuva 4-13 VPN Concentrator-Add Syslog Server

  5. valitaksesi syslog-palvelimelle lähetettävät viestit, siirry yleiselle sivulle valitsemalla Configuration > System > Events > General.
  6. valitse yleisellä sivulla vaihtoehto vaikeusasteesta Syslog-pudotusvalikosta Kuvan 4-14 mukaisesti ja napsauta Käytä-painiketta.
    04fig14.jpg

    Kuva 4-14 VPN-keskittimen Yleiskokoonpano

  7. jos haluat tallentaa asetusmuutokset, napsauta Tallenna tarvittavat-kuvaketta.

kuten tässä esimerkissä on määritetty, VPN-keskitin on nyt valmis lähettämään syslog-viestejä palvelimelle 192.168.0.30 paikassa local6, vakavuus 1-5.