a syslog protokoll áttekintése
a Cisco eszközök konfigurálása Syslog szerver használatára
a legtöbb Cisco eszköz a syslog protokollt használja a rendszernaplók és riasztások kezelésére. De ellentétben a PC és szerver társaik, Cisco eszközök nem rendelkeznek nagy belső tárhely tárolására ezeket a naplókat. E korlátozás leküzdése érdekében a Cisco eszközök a következő két lehetőséget kínálják:
- belső puffer— az eszköz operációs rendszere a memóriapufferek egy kis részét lefoglalja a legfrissebb üzenetek naplózásához. A puffer mérete néhány kilobájtra korlátozódik. Ez az opció alapértelmezés szerint engedélyezve van. Amikor azonban az eszköz újraindul, ezek a syslog üzenetek elvesznek.
- Syslog— használjon UNIX-stílusú SYSLOG protokollt üzenetek küldésére egy külső eszközre tárolás céljából. A tárhely mérete nem függ az útválasztó erőforrásaitól, és csak a külső syslog szerveren rendelkezésre álló lemezterület korlátozza. Ez az opció alapértelmezés szerint nincs engedélyezve.
a syslog funkcionalitásának engedélyezéséhez a Cisco hálózatban be kell állítania a beépített syslog klienst a Cisco eszközökön belül.
a Cisco eszközök vészhelyzet esetén a figyelmeztetések súlyossági szintjét használják a szoftver-vagy hardverhibákkal kapcsolatos hibaüzenetek generálására. A hibakeresési szint megjeleníti a hibakeresési parancsok kimenetét. Az értesítési szint megjeleníti az interfész felfelé vagy lefelé történő átmenetét és a rendszer újraindítási üzeneteit. Az információs szint újratölti a kéréseket és az alacsony folyamatszintű üzeneteket.
Cisco útválasztók konfigurálása Syslog-hoz
Cisco IOS-alapú útválasztó konfigurálásához syslog-üzenetek külső syslog-kiszolgálóra történő küldéséhez kövesse a 4-11.táblázat lépéseit privilegizált EXEC mód használatával.
4-11.táblázat. Cisco útválasztók konfigurálása a Syslog számára
lépés |
parancs |
cél |
Router # konfigurálja a terminált |
globális konfigurációs módba lép. |
|
Router (config) # szolgáltatás időbélyegek típus datetime |
utasítja a rendszert a syslog üzenetek időbélyegzésére; a type kulcsszó beállításai a debug and log. |
|
Router (config) # naplózó host |
megadja a syslog kiszolgálót IP-cím vagy gazdagépnév alapján; több kiszolgálót is megadhat. |
|
Router (config) # naplózási csapdaszint |
meghatározza a syslog-kiszolgálónak küldendő üzenetek típusát súlyossági szint szerint. Az alapértelmezett érték Tájékoztató és alacsonyabb. A szint lehetséges értékei a következők: vészhelyzet: 0 a hibakeresési szintet óvatosan használja, mert nagy mennyiségű syslog forgalmat generálhat egy forgalmas hálózatban. |
|
Router (config) # fakitermelés létesítmény-típus |
megadja a syslog üzenetek által használt létesítményszintet; az alapértelmezett a local7. Lehetséges értékek: local0, local1, local2, local3, local4, local5, local6 és local7. |
|
Router (config) # vége |
visszatér a privilegizált EXEC módba. |
|
Router # naplózás megjelenítése |
megjeleníti a naplózási konfigurációt. |
példa 4-12 előkészíti a Cisco router küldeni syslog üzeneteket létesítmény local3. Ezenkívül az útválasztó csak figyelmeztető vagy annál súlyosabb üzeneteket küld. A syslog szerver 192.168.0.30 IP-címmel rendelkező gépen van.
4-12.példa. Útválasztó konfigurálása Syslog
Router-Dallas#Router-Dallas#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router-Dallas(config)#logging 192.168.0.30Router-Dallas(config)#service timestamps debug datetime localtime show-timezone msecRouter-Dallas(config)#service timestamps log datetime localtime show-timezone msecRouter-Dallas(config)#logging facility local3Router-Dallas(config)#logging trap warningRouter-Dallas(config)#endRouter-Dallas#show loggingSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 79 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: disabled Trap logging: level warnings, 80 message lines logged Logging to 192.168.0.30, 57 message lines logged
Cisco kapcsoló konfigurálása Syslog
Cisco CatOS-alapú kapcsoló konfigurálásához syslog üzenetek külső syslog szerverre történő küldéséhez használja a 4-12.táblázatban látható privilegizált EXEC mode parancsokat.
4-12.táblázat. Cisco Switch beállítása a Syslog számára
lépés |
parancs |
cél |
kapcsoló>(engedélyezés) naplózási időbélyeg beállítása {engedélyezés / letiltás} |
konfigurálja a rendszert időbélyegző üzenetekre. |
|
kapcsoló>(engedélyezés) naplózási kiszolgáló ip-címének beállítása |
megadja a syslog szerver IP-címét; legfeljebb három szerver adható meg. |
|
kapcsoló>(engedélyezés) állítsa be a naplózási kiszolgáló súlyosságát server_severity_level |
a syslog szerverekre naplózott üzeneteket súlyossági szint szerint korlátozza. |
|
kapcsoló>(engedélyezés) naplózási kiszolgáló létesítmény beállítása server_facility_parameter |
megadja az üzenetben használni kívánt létesítményszintet. Az alapértelmezett érték a local7. A 4-1. táblázatban felsorolt szabványos létesítményneveken kívül a Cisco Catalyst kapcsolók a kapcsolóra jellemző létesítményneveket használnak. A következő létesítményszintek rögzített súlyossági szintű syslog üzeneteket generálnak: 5: rendszer, dinamikus csatorna-protokoll, Port-aggregációs protokoll, menedzsment, többrétegű kapcsolás 4: CDP, UDLD 2: egyéb létesítmények |
|
kapcsoló>(engedélyezés) naplózási kiszolgáló engedélyezése |
lehetővé teszi, hogy a kapcsoló syslog üzeneteket küldjön a syslog szervereknek. |
|
kapcsoló>(engedélyezés) naplózás megjelenítése |
megjeleníti a naplózási konfigurációt. |
példa 4-13 előkészíti a CatOS-alapú switch küldeni syslog üzeneteket létesítmény local4. Ezenkívül a kapcsoló csak figyelmeztető vagy annál súlyosabb üzeneteket küld. A syslog szerver 192.168.0.30 IP-címmel rendelkező gépen van.
4-13.példa. CatOS-alapú kapcsoló konfiguráció Syslog
Console> (enable) set logging timestamp enableSystem logging messages timestamp will be enabled.Console> (enable) set logging server 192.168.0.30192.168.0.30 added to System logging server table.Console> (enable) set logging server facility local4System logging server facility set to <local4>Console> (enable) set logging server severity 4System logging server severity set to <4>Console> (enable) set logging server enableSystem logging messages will be sent to the configured syslog servers.Console> (enable) show loggingLogging buffered size: 500timestamp option: enabledLogging history size: 1Logging console: enabledLogging server: enabled{192.168.0.30}server facility: LOCAL4server severity: warnings(4Current Logging Session: enabledFacility Default Severity Current Session Severity------------- ----------------------- ------------------------cdp 3 4drip 2 4dtp 5 4dvlan 2 4earl 2 4fddi 2 4filesys 2 4gvrp 2 4ip 2 4kernel 2 4mcast 2 4mgmt 5 4mls 5 4pagp 5 4protfilt 2 4pruning 2 4radius 2 4security 2 4snmp 2 4spantree 2 4sys 5 4tac 2 4tcp 2 4telnet 2 4tftp 2 4udld 4 4vmps 2 4vtp 2 40(emergencies) 1(alerts) 2(critical)3(errors) 4(warnings) 5(notifications)6(information) 7(debugging)Console> (enable)
konfigurálása Cisco PIX tűzfal Syslog
proaktív monitorozása tűzfal naplók szerves része a Netadmin feladatait. A tűzfal rendszernaplói hasznosak a kriminalisztika, a hálózati hibaelhárítás, a biztonsági értékelés, a féreg-és vírustámadások enyhítése stb. A syslog üzenetküldés PIX-en történő engedélyezésének konfigurációs lépései fogalmilag hasonlóak az IOS-vagy CatOS-alapú eszközökhöz. A Cisco PIX tűzfal PIX OS 4.4 vagy újabb verziójú konfigurálásához hajtsa végre a 4-13.táblázatban bemutatott lépéseket privilegizált EXEC módban.
4-13.táblázat. PIX konfiguráció a Syslog számára
lépés |
parancs |
cél |
Pixfirewall # config terminál |
globális konfigurációs módba lép. |
|
Pixfirewall (config) # naplózási időbélyeg |
megadja, hogy minden syslog üzenetnek időbélyeg értékkel kell rendelkeznie. |
|
Pixfirewall (config)# naplózás host ip_address |
megadja azt a syslog-kiszolgálót, amely a Cisco PIX tűzfalról küldött üzeneteket fogadja. Több naplózási hosztparancsot is használhat további kiszolgálók megadásához, amelyek mind megkapják a syslog üzeneteket. A protokoll UDP vagy TCP. A kiszolgáló azonban csak UDP vagy TCP fogadására adható meg, mindkettőt nem. A Cisco PIX tűzfal csak TCP syslog üzeneteket küld a Cisco PIX Firewall syslog szervernek. |
|
Pixfirewall (config) # naplózási lehetőség |
megadja a syslog létesítmény számát. A név megadása helyett a PIX 2 jegyű számot használ, az alábbiak szerint: local0-16 local1 – 17 local2 – 18 local3 – 19 local4 – 20 local5 – 21 LOCAL6 – 22 local7 – 23 az alapértelmezett érték 20. |
|
pixfirewall (config) # naplózási csapdaszint |
megadja a syslog üzenet szintjét számként vagy karakterláncként. A megadott szint azt jelenti, hogy azt a szintet szeretné, és ezek az értékek kisebbek, mint az adott szint. Ha például a szint 3, a syslog 0, 1, 2 és 3 üzenetet jelenít meg. A lehetséges szám – és karakterláncszint-értékek a következők: 0: vészhelyzet; rendszer-használhatatlan üzenetek 1: riasztás; azonnali cselekvés 2: kritikus; kritikus állapot 3: hiba; hibaüzenet 4: Figyelmeztetés; figyelmeztető üzenet 5: értesítés; normál, de jelentős állapot 6: tájékoztató: információs üzenet 7: hibakeresés; hibakeresés üzenetek és naplózási FTP parancsok és WWW URL-ek |
|
pixfirewall (config) # bejelentkezés |
elkezdi a syslog üzenetek küldését az összes kimeneti helyre. |
|
pixfirewall (config)#nincs naplózási üzenet < üzenetazonosító> |
megadja az elnyomandó üzenetet. |
|
pixfirewall (config) # kilépés |
kilép a globális konfigurációs módból. |
példa 4-14 előkészíti a Cisco PIX tűzfalat, hogy syslog üzeneteket küldjön a local5 létesítményben és a súlyossági hibakeresés alatt a syslog szerverre. A Netadmin nem akarja, hogy a PIX bejelentse az 111005 üzenetet. A syslog szerver IP-címe 192.168.0.30.
4-14.példa. Cisco PIX tűzfal konfigurálása Syslog
Firewall-Dallas#Firewall-Dallas# config terminalFirewall-Dallas(config)# loggin timeFirewall-Dallas(config)# logging host 192.168.0.30Firewall-Dallas(config)# logging facility 21Firewall-Dallas(config)# logging trap 7Firewall-Dallas(config)# logging onFirewall-Dallas(config)# no logging message 111005rewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 6 messages logged Logging to inside 192.168.0.30 History logging: disabled Device ID: disabled
a nagyobb megbízhatóság érdekében a Cisco PIX tűzfal konfigurálható syslog üzenetek TCP-n keresztüli küldésére. Felhívjuk figyelmét, hogy ha a syslog szerverlemez megtelt, bezárhatja a TCP kapcsolatot. Ez szolgáltatásmegtagadást okoz, mivel a Cisco PIX tűzfal leállítja az összes forgalmat, amíg a syslog szerver lemezterülete felszabadul. Mind a Kiwi Syslogd Server, mind a PFSS kínálja ezt a funkciót. Kiwi Syslogd van egy riasztási mechanizmus, hogy figyelmeztesse a Netadmin e-mailben vagy személyhívó, amikor a lemez közeledik a kapacitását. A beállítás a Syslog démon beállítási ablakából állítható be, amint az a 4-9.ábrán látható, a Kiwi syslog konfigurációhoz.
ha a PIX a lemez teljes állapota miatt leáll, először szabadítson fel egy kis lemezterületet. Ezután tiltsa le a syslog üzenetküldést a PIX-en a no logging host host paranccsal, majd a syslog üzenetküldés újbóli engedélyezése a logging host host paranccsal.
a 4-15.példa bemutatja a Cisco PIX tűzfal konfigurációs lépéseit a syslog üzenetek küldéséhez az 1468-as TCP porton.
4-15.példa. PIX Configuration for TCP Syslog
Firewall-Dallas# config terminalFirewall-Dallas(config)# logging host inside 192.168.0.30 tcp/1468Firewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 12 messages logged Logging to inside 192.168.0.30 tcp/1468 History logging: disabled Device ID: disabledFirewall-Dallas#
Cisco VPN koncentrátor konfigurálása Syslog
a Cisco VPN 3000 sorozatú koncentrátor készülékalapú megoldást kínál a VPN-funkciók Távoli hálózatokon történő telepítéséhez. A VPN-koncentrátorok gyakran a tűzfalakkal párhuzamosan vannak csatlakoztatva,amint azt a 4-1. A tervezés egyszerűsíti a hálózat kezelését, de biztonsági aggályokat vet fel. Miután a felhasználót VPN-koncentrátorokon keresztül hitelesítették, a felhasználó teljes hozzáféréssel rendelkezik a hálózathoz. Ez erős esetet jelent az üzenetek naplózására a VPN-koncentrátorból. A Cisco VPN 3000 sorozatú koncentrátor konfigurálásához a syslog üzenetek küldéséhez kövesse az alábbi lépéseket:
- jelentkezzen be a VPN-koncentrátorba egy webböngésző segítségével.
- navigáljon a syslog server oldalra a konfiguráció > System > Events > Syslog Servers menüpont kiválasztásával, a 4-12.ábrán látható módon.
4-12. ábra VPN koncentrátor-Syslog szerver
- a Syslog szerverek oldalon kattintson a Hozzáadás gombra (lásd a 4-12.ábrát).
- adja meg a syslog szerver IP-címét, majd válassza ki a létesítmény szintjét a létesítmény legördülő menüből, a 4-13.ábrán látható módon. Mentse el ezeket a beállításokat, majd a Hozzáadás gombra kattintva térjen vissza a Syslog szerverek oldalra.
4-13. ábra VPN koncentrátor-Syslog szerver hozzáadása
- a syslog szerverre küldendő üzenetek típusának kiválasztásához keresse meg az Általános oldalt a konfiguráció > rendszer > események > Általános menüpont kiválasztásával.
- az Általános oldalon válasszon ki egy lehetőséget a súlyosság a rendszernaplóba legördülő menüből, a 4-14.ábrán látható módon, majd kattintson az Alkalmaz gombra.
4-14. ábra VPN koncentrátor-Általános konfiguráció
- a konfigurációs módosítások mentéséhez kattintson a szükséges Mentés ikonra.
ebben a példában konfigurálva a VPN-koncentrátor készen áll a syslog üzenetek küldésére a local6 létesítményben, 1-5 súlyosság a 192.168.0.30 kiszolgálóra.