a syslog protokoll áttekintése

BY admin
|

a Cisco eszközök konfigurálása Syslog szerver használatára

a legtöbb Cisco eszköz a syslog protokollt használja a rendszernaplók és riasztások kezelésére. De ellentétben a PC és szerver társaik, Cisco eszközök nem rendelkeznek nagy belső tárhely tárolására ezeket a naplókat. E korlátozás leküzdése érdekében a Cisco eszközök a következő két lehetőséget kínálják:

  • belső puffer— az eszköz operációs rendszere a memóriapufferek egy kis részét lefoglalja a legfrissebb üzenetek naplózásához. A puffer mérete néhány kilobájtra korlátozódik. Ez az opció alapértelmezés szerint engedélyezve van. Amikor azonban az eszköz újraindul, ezek a syslog üzenetek elvesznek.
  • Syslog— használjon UNIX-stílusú SYSLOG protokollt üzenetek küldésére egy külső eszközre tárolás céljából. A tárhely mérete nem függ az útválasztó erőforrásaitól, és csak a külső syslog szerveren rendelkezésre álló lemezterület korlátozza. Ez az opció alapértelmezés szerint nincs engedélyezve.

a syslog funkcionalitásának engedélyezéséhez a Cisco hálózatban be kell állítania a beépített syslog klienst a Cisco eszközökön belül.

a Cisco eszközök vészhelyzet esetén a figyelmeztetések súlyossági szintjét használják a szoftver-vagy hardverhibákkal kapcsolatos hibaüzenetek generálására. A hibakeresési szint megjeleníti a hibakeresési parancsok kimenetét. Az értesítési szint megjeleníti az interfész felfelé vagy lefelé történő átmenetét és a rendszer újraindítási üzeneteit. Az információs szint újratölti a kéréseket és az alacsony folyamatszintű üzeneteket.

Cisco útválasztók konfigurálása Syslog-hoz

Cisco IOS-alapú útválasztó konfigurálásához syslog-üzenetek külső syslog-kiszolgálóra történő küldéséhez kövesse a 4-11.táblázat lépéseit privilegizált EXEC mód használatával.

4-11.táblázat. Cisco útválasztók konfigurálása a Syslog számára

lépés

parancs

cél

Router # konfigurálja a terminált

globális konfigurációs módba lép.

Router (config) # szolgáltatás időbélyegek típus datetime

utasítja a rendszert a syslog üzenetek időbélyegzésére; a type kulcsszó beállításai a debug and log.

Router (config) # naplózó host

megadja a syslog kiszolgálót IP-cím vagy gazdagépnév alapján; több kiszolgálót is megadhat.

Router (config) # naplózási csapdaszint

meghatározza a syslog-kiszolgálónak küldendő üzenetek típusát súlyossági szint szerint. Az alapértelmezett érték Tájékoztató és alacsonyabb. A szint lehetséges értékei a következők:

vészhelyzet: 0
figyelmeztetés: 1
kritikus: 2
hiba: 3
figyelmeztetés: 4
értesítés: 5
információs: 6
hibakeresés: 7

a hibakeresési szintet óvatosan használja, mert nagy mennyiségű syslog forgalmat generálhat egy forgalmas hálózatban.

Router (config) # fakitermelés létesítmény-típus

megadja a syslog üzenetek által használt létesítményszintet; az alapértelmezett a local7. Lehetséges értékek: local0, local1, local2, local3, local4, local5, local6 és local7.

Router (config) # vége

visszatér a privilegizált EXEC módba.

Router # naplózás megjelenítése

megjeleníti a naplózási konfigurációt.

példa 4-12 előkészíti a Cisco router küldeni syslog üzeneteket létesítmény local3. Ezenkívül az útválasztó csak figyelmeztető vagy annál súlyosabb üzeneteket küld. A syslog szerver 192.168.0.30 IP-címmel rendelkező gépen van.

4-12.példa. Útválasztó konfigurálása Syslog

Router-Dallas#Router-Dallas#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router-Dallas(config)#logging 192.168.0.30Router-Dallas(config)#service timestamps debug datetime localtime show-timezone msecRouter-Dallas(config)#service timestamps log datetime localtime show-timezone msecRouter-Dallas(config)#logging facility local3Router-Dallas(config)#logging trap warningRouter-Dallas(config)#endRouter-Dallas#show loggingSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 79 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: disabled Trap logging: level warnings, 80 message lines logged Logging to 192.168.0.30, 57 message lines logged

Cisco kapcsoló konfigurálása Syslog

Cisco CatOS-alapú kapcsoló konfigurálásához syslog üzenetek külső syslog szerverre történő küldéséhez használja a 4-12.táblázatban látható privilegizált EXEC mode parancsokat.

4-12.táblázat. Cisco Switch beállítása a Syslog számára

lépés

parancs

cél

kapcsoló>(engedélyezés) naplózási időbélyeg beállítása {engedélyezés / letiltás}

konfigurálja a rendszert időbélyegző üzenetekre.

kapcsoló>(engedélyezés) naplózási kiszolgáló ip-címének beállítása

megadja a syslog szerver IP-címét; legfeljebb három szerver adható meg.

kapcsoló>(engedélyezés) állítsa be a naplózási kiszolgáló súlyosságát server_severity_level

a syslog szerverekre naplózott üzeneteket súlyossági szint szerint korlátozza.

kapcsoló>(engedélyezés) naplózási kiszolgáló létesítmény beállítása server_facility_parameter

megadja az üzenetben használni kívánt létesítményszintet. Az alapértelmezett érték a local7. A 4-1. táblázatban felsorolt szabványos létesítményneveken kívül a Cisco Catalyst kapcsolók a kapcsolóra jellemző létesítményneveket használnak. A következő létesítményszintek rögzített súlyossági szintű syslog üzeneteket generálnak:

5: rendszer, dinamikus csatorna-protokoll, Port-aggregációs protokoll, menedzsment, többrétegű kapcsolás

4: CDP, UDLD

2: egyéb létesítmények

kapcsoló>(engedélyezés) naplózási kiszolgáló engedélyezése

lehetővé teszi, hogy a kapcsoló syslog üzeneteket küldjön a syslog szervereknek.

kapcsoló>(engedélyezés) naplózás megjelenítése

megjeleníti a naplózási konfigurációt.

példa 4-13 előkészíti a CatOS-alapú switch küldeni syslog üzeneteket létesítmény local4. Ezenkívül a kapcsoló csak figyelmeztető vagy annál súlyosabb üzeneteket küld. A syslog szerver 192.168.0.30 IP-címmel rendelkező gépen van.

4-13.példa. CatOS-alapú kapcsoló konfiguráció Syslog

Console> (enable) set logging timestamp enableSystem logging messages timestamp will be enabled.Console> (enable) set logging server 192.168.0.30192.168.0.30 added to System logging server table.Console> (enable) set logging server facility local4System logging server facility set to <local4>Console> (enable) set logging server severity 4System logging server severity set to <4>Console> (enable) set logging server enableSystem logging messages will be sent to the configured syslog servers.Console> (enable) show loggingLogging buffered size: 500timestamp option: enabledLogging history size: 1Logging console: enabledLogging server: enabled{192.168.0.30}server facility: LOCAL4server severity: warnings(4Current Logging Session: enabledFacility Default Severity Current Session Severity------------- ----------------------- ------------------------cdp 3 4drip 2 4dtp 5 4dvlan 2 4earl 2 4fddi 2 4filesys 2 4gvrp 2 4ip 2 4kernel 2 4mcast 2 4mgmt 5 4mls 5 4pagp 5 4protfilt 2 4pruning 2 4radius 2 4security 2 4snmp 2 4spantree 2 4sys 5 4tac 2 4tcp 2 4telnet 2 4tftp 2 4udld 4 4vmps 2 4vtp 2 40(emergencies) 1(alerts) 2(critical)3(errors) 4(warnings) 5(notifications)6(information) 7(debugging)Console> (enable)

konfigurálása Cisco PIX tűzfal Syslog

proaktív monitorozása tűzfal naplók szerves része a Netadmin feladatait. A tűzfal rendszernaplói hasznosak a kriminalisztika, a hálózati hibaelhárítás, a biztonsági értékelés, a féreg-és vírustámadások enyhítése stb. A syslog üzenetküldés PIX-en történő engedélyezésének konfigurációs lépései fogalmilag hasonlóak az IOS-vagy CatOS-alapú eszközökhöz. A Cisco PIX tűzfal PIX OS 4.4 vagy újabb verziójú konfigurálásához hajtsa végre a 4-13.táblázatban bemutatott lépéseket privilegizált EXEC módban.

4-13.táblázat. PIX konfiguráció a Syslog számára

lépés

parancs

cél

Pixfirewall # config terminál

globális konfigurációs módba lép.

Pixfirewall (config) # naplózási időbélyeg

megadja, hogy minden syslog üzenetnek időbélyeg értékkel kell rendelkeznie.

Pixfirewall (config)# naplózás host ip_address

megadja azt a syslog-kiszolgálót, amely a Cisco PIX tűzfalról küldött üzeneteket fogadja. Több naplózási hosztparancsot is használhat további kiszolgálók megadásához, amelyek mind megkapják a syslog üzeneteket. A protokoll UDP vagy TCP. A kiszolgáló azonban csak UDP vagy TCP fogadására adható meg, mindkettőt nem. A Cisco PIX tűzfal csak TCP syslog üzeneteket küld a Cisco PIX Firewall syslog szervernek.

Pixfirewall (config) # naplózási lehetőség

megadja a syslog létesítmény számát. A név megadása helyett a PIX 2 jegyű számot használ, az alábbiak szerint:

local0-16

local1 – 17

local2 – 18

local3 – 19

local4 – 20

local5 – 21

LOCAL6 – 22

local7 – 23

az alapértelmezett érték 20.

pixfirewall (config) # naplózási csapdaszint

megadja a syslog üzenet szintjét számként vagy karakterláncként. A megadott szint azt jelenti, hogy azt a szintet szeretné, és ezek az értékek kisebbek, mint az adott szint. Ha például a szint 3, a syslog 0, 1, 2 és 3 üzenetet jelenít meg. A lehetséges szám – és karakterláncszint-értékek a következők:

0: vészhelyzet; rendszer-használhatatlan üzenetek

1: riasztás; azonnali cselekvés

2: kritikus; kritikus állapot

3: hiba; hibaüzenet

4: Figyelmeztetés; figyelmeztető üzenet

5: értesítés; normál, de jelentős állapot

6: tájékoztató: információs üzenet

7: hibakeresés; hibakeresés üzenetek és naplózási FTP parancsok és WWW URL-ek

pixfirewall (config) # bejelentkezés

elkezdi a syslog üzenetek küldését az összes kimeneti helyre.

pixfirewall (config)#nincs naplózási üzenet < üzenetazonosító>

megadja az elnyomandó üzenetet.

pixfirewall (config) # kilépés

kilép a globális konfigurációs módból.

példa 4-14 előkészíti a Cisco PIX tűzfalat, hogy syslog üzeneteket küldjön a local5 létesítményben és a súlyossági hibakeresés alatt a syslog szerverre. A Netadmin nem akarja, hogy a PIX bejelentse az 111005 üzenetet. A syslog szerver IP-címe 192.168.0.30.

4-14.példa. Cisco PIX tűzfal konfigurálása Syslog

Firewall-Dallas#Firewall-Dallas# config terminalFirewall-Dallas(config)# loggin timeFirewall-Dallas(config)# logging host 192.168.0.30Firewall-Dallas(config)# logging facility 21Firewall-Dallas(config)# logging trap 7Firewall-Dallas(config)# logging onFirewall-Dallas(config)# no logging message 111005rewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 6 messages logged Logging to inside 192.168.0.30 History logging: disabled Device ID: disabled

a nagyobb megbízhatóság érdekében a Cisco PIX tűzfal konfigurálható syslog üzenetek TCP-n keresztüli küldésére. Felhívjuk figyelmét, hogy ha a syslog szerverlemez megtelt, bezárhatja a TCP kapcsolatot. Ez szolgáltatásmegtagadást okoz, mivel a Cisco PIX tűzfal leállítja az összes forgalmat, amíg a syslog szerver lemezterülete felszabadul. Mind a Kiwi Syslogd Server, mind a PFSS kínálja ezt a funkciót. Kiwi Syslogd van egy riasztási mechanizmus, hogy figyelmeztesse a Netadmin e-mailben vagy személyhívó, amikor a lemez közeledik a kapacitását. A beállítás a Syslog démon beállítási ablakából állítható be, amint az a 4-9.ábrán látható, a Kiwi syslog konfigurációhoz.

ha a PIX a lemez teljes állapota miatt leáll, először szabadítson fel egy kis lemezterületet. Ezután tiltsa le a syslog üzenetküldést a PIX-en a no logging host host paranccsal, majd a syslog üzenetküldés újbóli engedélyezése a logging host host paranccsal.

a 4-15.példa bemutatja a Cisco PIX tűzfal konfigurációs lépéseit a syslog üzenetek küldéséhez az 1468-as TCP porton.

4-15.példa. PIX Configuration for TCP Syslog

Firewall-Dallas# config terminalFirewall-Dallas(config)# logging host inside 192.168.0.30 tcp/1468Firewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 12 messages logged Logging to inside 192.168.0.30 tcp/1468 History logging: disabled Device ID: disabledFirewall-Dallas#

Cisco VPN koncentrátor konfigurálása Syslog

a Cisco VPN 3000 sorozatú koncentrátor készülékalapú megoldást kínál a VPN-funkciók Távoli hálózatokon történő telepítéséhez. A VPN-koncentrátorok gyakran a tűzfalakkal párhuzamosan vannak csatlakoztatva,amint azt a 4-1. A tervezés egyszerűsíti a hálózat kezelését, de biztonsági aggályokat vet fel. Miután a felhasználót VPN-koncentrátorokon keresztül hitelesítették, a felhasználó teljes hozzáféréssel rendelkezik a hálózathoz. Ez erős esetet jelent az üzenetek naplózására a VPN-koncentrátorból. A Cisco VPN 3000 sorozatú koncentrátor konfigurálásához a syslog üzenetek küldéséhez kövesse az alábbi lépéseket:

  1. jelentkezzen be a VPN-koncentrátorba egy webböngésző segítségével.
  2. navigáljon a syslog server oldalra a konfiguráció > System > Events > Syslog Servers menüpont kiválasztásával, a 4-12.ábrán látható módon.
    04fig12.jpg

    4-12. ábra VPN koncentrátor-Syslog szerver

  3. a Syslog szerverek oldalon kattintson a Hozzáadás gombra (lásd a 4-12.ábrát).
  4. adja meg a syslog szerver IP-címét, majd válassza ki a létesítmény szintjét a létesítmény legördülő menüből, a 4-13.ábrán látható módon. Mentse el ezeket a beállításokat, majd a Hozzáadás gombra kattintva térjen vissza a Syslog szerverek oldalra.
    04fig13.jpg

    4-13. ábra VPN koncentrátor-Syslog szerver hozzáadása

  5. a syslog szerverre küldendő üzenetek típusának kiválasztásához keresse meg az Általános oldalt a konfiguráció > rendszer > események > Általános menüpont kiválasztásával.
  6. az Általános oldalon válasszon ki egy lehetőséget a súlyosság a rendszernaplóba legördülő menüből, a 4-14.ábrán látható módon, majd kattintson az Alkalmaz gombra.
    04fig14.jpg

    4-14. ábra VPN koncentrátor-Általános konfiguráció

  7. a konfigurációs módosítások mentéséhez kattintson a szükséges Mentés ikonra.

ebben a példában konfigurálva a VPN-koncentrátor készen áll a syslog üzenetek küldésére a local6 létesítményben, 1-5 súlyosság a 192.168.0.30 kiszolgálóra.