Une vue d’ensemble du protocole syslog

Configuration des périphériques Cisco pour utiliser un serveur Syslog

La plupart des périphériques Cisco utilisent le protocole syslog pour gérer les journaux et les alertes système. Mais contrairement à leurs homologues PC et serveurs, les périphériques Cisco manquent d’un grand espace de stockage interne pour stocker ces journaux. Pour surmonter cette limitation, les périphériques Cisco offrent les deux options suivantes:

  • Tampon interne – Le système d’exploitation de l’appareil alloue une petite partie des tampons mémoire pour enregistrer les messages les plus récents. La taille du tampon est limitée à quelques kilo-octets. Cette option est activée par défaut. Cependant, lorsque le périphérique redémarre, ces messages syslog sont perdus.
  • Syslog – Utilisez un protocole SYSLOG de style UNIX pour envoyer des messages à un périphérique externe pour les stocker. La taille du stockage ne dépend pas des ressources du routeur et n’est limitée que par l’espace disque disponible sur le serveur syslog externe. Cette option n’est pas activée par défaut.

Pour activer la fonctionnalité syslog dans un réseau Cisco, vous devez configurer le client syslog intégré dans les périphériques Cisco.

Les périphériques Cisco utilisent un niveau de gravité des avertissements en cas d’urgence pour générer des messages d’erreur sur les dysfonctionnements logiciels ou matériels. Le niveau de débogage affiche la sortie des commandes de débogage. Le niveau de notification affiche les transitions vers le haut ou vers le bas de l’interface et les messages de redémarrage du système. Le niveau d’information recharge les requêtes et les messages de pile à faible traitement.

Configuration des routeurs Cisco pour Syslog

Pour configurer un routeur Cisco IOS pour envoyer des messages syslog à un serveur syslog externe, suivez les étapes du tableau 4-11 à l’aide du mode EXEC privilégié.

Tableau 4-11. Configuration des routeurs Cisco pour Syslog

Étape

Commande

Objet

Routeur # configurer le terminal

Passe en mode de configuration globale.

Router (config) # type d’horodatage du service datetime

Indique au système d’horodater les messages syslog ; les options pour le mot clé type sont debug et log.

Routeur (config) # hôte de journalisation

Spécifie le serveur syslog par adresse IP ou nom d’hôte ; vous pouvez spécifier plusieurs serveurs.

Routeur (config) # niveau de trap de journalisation

Spécifie le type de messages, par niveau de gravité, à envoyer au serveur syslog. La valeur par défaut est informative et inférieure. Les valeurs possibles pour le niveau sont les suivantes :

Urgence: 0
Alerte: 1
Critique: 2
Erreur: 3
Avertissement: 4
Avis: 5
Information: 6
Débogage: 7

Utilisez le niveau de débogage avec prudence, car il peut générer une grande quantité de trafic syslog dans un réseau occupé.

Routeur (config) # installation de journalisation type d’installation

Spécifie le niveau d’installation utilisé par les messages syslog ; la valeur par défaut est local7. Les valeurs possibles sont local0, local1, local2, local3, local4, local5, local6 et local7.

Routeur (configuration) # Fin

Retourne au mode EXEC privilégié.

Router # afficher la journalisation

Affiche la configuration de la journalisation.

Exemple 4-12 prépare un routeur Cisco pour envoyer des messages syslog à l’installation local3. En outre, le routeur n’enverra que des messages avec une gravité d’avertissement ou supérieure. Le serveur syslog est sur une machine avec une adresse IP de 192.168.0.30.

Exemple 4-12. Configuration du routeur pour Syslog

Router-Dallas#Router-Dallas#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router-Dallas(config)#logging 192.168.0.30Router-Dallas(config)#service timestamps debug datetime localtime show-timezone msecRouter-Dallas(config)#service timestamps log datetime localtime show-timezone msecRouter-Dallas(config)#logging facility local3Router-Dallas(config)#logging trap warningRouter-Dallas(config)#endRouter-Dallas#show loggingSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 79 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: disabled Trap logging: level warnings, 80 message lines logged Logging to 192.168.0.30, 57 message lines logged

Configuration d’un commutateur Cisco pour Syslog

Pour configurer un commutateur Cisco CatOS pour l’envoi de messages syslog à un serveur syslog externe, utilisez les commandes de mode EXEC privilégié indiquées dans le tableau 4-12.

Tableau 4-12. Configuration d’un commutateur Cisco pour Syslog

Étape

Commande

Objet

Commutateur > (activer) définir l’horodatage de journalisation {activer /désactiver}

Configure le système pour horodater les messages.

Commutateur > (activer) définir l’adresse IP du serveur de journalisation

Spécifie l’adresse IP du serveur syslog ; un maximum de trois serveurs peut être spécifié.

Commutateur > (activer) définir la gravité du serveur de journalisation server_severity_level

Limite les messages enregistrés sur les serveurs syslog par niveau de gravité.

Commutateur > (activer) définir l’installation du serveur de journalisation server_facility_parameter

Spécifie le niveau d’installation qui serait utilisé dans le message. La valeur par défaut est local7. En dehors des noms d’installation standard répertoriés dans le tableau 4-1, les commutateurs Cisco Catalyst utilisent des noms d’installation spécifiques au commutateur. Les niveaux d’installation suivants génèrent des messages syslog avec des niveaux de gravité fixes :

5 : Système, Protocole de jonction dynamique, Protocole d’agrégation de ports, Gestion, Commutation Multicouche

4 : CDP, UDLD

2 : Autres installations

Commutateur > (activer) activer le serveur de journalisation

Active le commutateur pour envoyer des messages syslog aux serveurs syslog.

Commutateur > (activer) Afficher la journalisation

Affiche la configuration de journalisation.

Exemple 4-13 prépare un commutateur basé sur CatOS pour envoyer des messages syslog à l’installation local4. En outre, le commutateur n’enverra que des messages avec une gravité d’avertissement ou supérieure. Le serveur syslog est sur une machine avec une adresse IP de 192.168.0.30.

Exemple 4-13. Configuration de commutateur basée sur CatOS pour Syslog

Console> (enable) set logging timestamp enableSystem logging messages timestamp will be enabled.Console> (enable) set logging server 192.168.0.30192.168.0.30 added to System logging server table.Console> (enable) set logging server facility local4System logging server facility set to <local4>Console> (enable) set logging server severity 4System logging server severity set to <4>Console> (enable) set logging server enableSystem logging messages will be sent to the configured syslog servers.Console> (enable) show loggingLogging buffered size: 500timestamp option: enabledLogging history size: 1Logging console: enabledLogging server: enabled{192.168.0.30}server facility: LOCAL4server severity: warnings(4Current Logging Session: enabledFacility Default Severity Current Session Severity------------- ----------------------- ------------------------cdp 3 4drip 2 4dtp 5 4dvlan 2 4earl 2 4fddi 2 4filesys 2 4gvrp 2 4ip 2 4kernel 2 4mcast 2 4mgmt 5 4mls 5 4pagp 5 4protfilt 2 4pruning 2 4radius 2 4security 2 4snmp 2 4spantree 2 4sys 5 4tac 2 4tcp 2 4telnet 2 4tftp 2 4udld 4 4vmps 2 4vtp 2 40(emergencies) 1(alerts) 2(critical)3(errors) 4(warnings) 5(notifications)6(information) 7(debugging)Console> (enable)

La configuration d’un pare-feu Cisco PIX pour Syslog

La surveillance proactive des journaux de pare-feu fait partie intégrante des tâches d’un Netadmin. Les syslog de pare-feu sont utiles pour la criminalistique, le dépannage du réseau, l’évaluation de la sécurité, l’atténuation des attaques de vers et de virus, etc. Les étapes de configuration pour activer la messagerie syslog sur un PIX sont conceptuellement similaires à celles des appareils basés sur IOS ou CatOS. Pour configurer un pare-feu Cisco PIX avec PIX OS 4.4 et supérieur, effectuez les étapes indiquées dans le tableau 4-13 en mode EXEC privilégié.

Tableau 4-13. Configuration PIX pour Syslog

Étape

Commande

Objet

Pixfirewall # terminal de configuration

Passe en mode de configuration globale.

Pixfirewall (config) # horodatage de journalisation

Spécifie que chaque message syslog doit avoir une valeur d’horodatage.

Pixfirewall (config) # adresse ip de l’hôte de journalisation

Spécifie un serveur syslog qui doit recevoir les messages envoyés du pare-feu Cisco PIX. Vous pouvez utiliser plusieurs commandes d’hôte de journalisation pour spécifier des serveurs supplémentaires qui recevraient tous les messages syslog. Le protocole est UDP ou TCP. Cependant, un serveur ne peut être spécifié que pour recevoir UDP ou TCP, pas les deux. Un pare-feu Cisco PIX envoie uniquement des messages syslog TCP au serveur syslog de pare-feu Cisco PIX.

Pixfirewall (config) # installation d’exploitation forestière installation

Spécifie le numéro de l’installation syslog. Au lieu de spécifier le nom, le PIX utilise un numéro à 2 chiffres, comme suit :

local0-16

local1-17

local2-18

local3-19

local4-20

local5-21

local6-22

local7-23

La valeur par défaut est 20.

pixfirewall (config) # niveau de piège de journalisation

Spécifie le niveau du message syslog sous forme de nombre ou de chaîne. Le niveau que vous spécifiez signifie que vous voulez que ce niveau et ces valeurs soient inférieurs à ce niveau. Par exemple, si le niveau est 3, syslog affiche 0, 1, 2 et 3 messages. Les valeurs de nombre et de niveau de chaîne possibles sont les suivantes:

0: Urgence; Messages inutilisables du système

1: Alerte; Prendre des mesures immédiates

2: Critique; état critique

3: Erreur; message d’erreur

4: Avertissement; message d’avertissement

5: Avis; condition normale mais significative

6: Information: message d’information

7: Débogage; déboguer les messages et enregistrer les commandes FTP et les URL WWW

pixfirewall (config) # connexion

Commence à envoyer des messages syslog à tous les emplacements de sortie.

pixfirewall (config) # aucun message de journalisation < id du message>

Spécifie un message à supprimer.

pixfirewall (configuration) # sortie

Quitte le mode de configuration globale.

L’exemple 4-14 prépare le pare-feu Cisco PIX pour envoyer des messages syslog à l’installation local5 et au débogage de sévérité et ci-dessous au serveur syslog. Le Netadmin ne veut pas que le PIX enregistre le message 111005. Le serveur syslog a une adresse IP de 192.168.0.30.

Exemple 4-14. Configuration d’un pare-feu Cisco PIX pour Syslog

Firewall-Dallas#Firewall-Dallas# config terminalFirewall-Dallas(config)# loggin timeFirewall-Dallas(config)# logging host 192.168.0.30Firewall-Dallas(config)# logging facility 21Firewall-Dallas(config)# logging trap 7Firewall-Dallas(config)# logging onFirewall-Dallas(config)# no logging message 111005rewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 6 messages logged Logging to inside 192.168.0.30 History logging: disabled Device ID: disabled

Pour plus de fiabilité, le pare-feu Cisco PIX peut être configuré pour envoyer des messages syslog via TCP. Veuillez noter que si le disque du serveur syslog est plein, il peut fermer la connexion TCP. Cela provoquera un déni de service car le pare-feu Cisco PIX arrêtera tout le trafic jusqu’à ce que l’espace disque du serveur syslog soit libéré. Kiwi Syslogd Server et PFSS offrent cette fonctionnalité. Kiwi Syslogd dispose d’un mécanisme d’alerte pour avertir le Netadmin par e-mail ou par téléavertisseur lorsque le disque approche de sa capacité. Le paramètre peut être établi à partir de la fenêtre de configuration du démon Syslog, comme illustré à la figure 4-9, pour la configuration du syslog Kiwi.

Si le PIX s’arrête en raison d’un état disque plein, vous devez d’abord libérer de l’espace disque. Désactivez ensuite la messagerie syslog sur le PIX à l’aide de la commande no logging host host, puis réactivez la messagerie syslog à l’aide de la commande logging host host.

L’exemple 4-15 montre les étapes de configuration pour qu’un pare-feu Cisco PIX envoie des messages syslog au port TCP 1468.

Exemple 4-15. Configuration PIX pour TCP Syslog

Firewall-Dallas# config terminalFirewall-Dallas(config)# logging host inside 192.168.0.30 tcp/1468Firewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 12 messages logged Logging to inside 192.168.0.30 tcp/1468 History logging: disabled Device ID: disabledFirewall-Dallas#

Configuration d’un concentrateur VPN Cisco pour Syslog

Le concentrateur de la série Cisco VPN 3000 fournit une solution basée sur des appareils pour déployer la fonctionnalité VPN sur des réseaux distants. Les concentrateurs VPN sont souvent connectés parallèlement aux pare-feu, comme le montre la figure 4-1. La conception simplifie la gestion du réseau mais crée des problèmes de sécurité. Une fois qu’un utilisateur a été authentifié via des concentrateurs VPN, l’utilisateur a un accès complet au réseau. Cela constitue un argument solide pour enregistrer les messages du concentrateur VPN. Pour configurer le concentrateur de la série Cisco VPN 3000 pour l’envoi de messages syslog, procédez comme suit:

  1. Connectez-vous au concentrateur VPN à l’aide d’un navigateur Web.
  2. Accédez à la page serveur syslog en choisissant Configuration > Système > Événements > Serveurs Syslog, comme illustré à la figure 4-12.
    04fig12.jpg

    Figure 4-12 Concentrateur VPN – Serveur Syslog

  3. Sur la page Serveurs Syslog, cliquez sur le bouton Ajouter (voir Figure 4-12).
  4. Entrez l’adresse IP du serveur syslog et sélectionnez le niveau d’installation dans le menu déroulant Installation, comme illustré à la figure 4-13. Enregistrez ces paramètres et revenez à la page des serveurs Syslog en cliquant sur le bouton Ajouter.
    04fig13.jpg

    Figure 4-13 Concentrateur VPN – Ajouter un serveur Syslog

  5. Pour sélectionner le type de messages à envoyer au serveur syslog, accédez à la page Général en choisissant Configuration > Système > Événements > Général.
  6. Sur la page Général, sélectionnez une option dans le menu déroulant Sévérité vers Syslog, comme le montre la figure 4-14, puis cliquez sur le bouton Appliquer.
    04fig14.jpg

    Figure 4-14 Concentrateur VPN – Configuration générale

  7. Pour enregistrer les modifications de configuration, cliquez sur l’icône Enregistrer nécessaire.

Tel que configuré dans cet exemple, le concentrateur VPN est maintenant prêt à envoyer des messages syslog à l’installation local6, sévérité 1-5 au serveur 192.168.0.30.