Panoramica del protocollo syslog
Configurazione dei dispositivi Cisco per l’utilizzo di un server Syslog
La maggior parte dei dispositivi Cisco utilizza il protocollo syslog per gestire i log e gli avvisi di sistema. Ma a differenza delle loro controparti PC e server, i dispositivi Cisco mancano di ampio spazio di archiviazione interno per la memorizzazione di questi registri. Per superare questa limitazione, i dispositivi Cisco offrono le seguenti due opzioni:
- Buffer interno: il sistema operativo del dispositivo alloca una piccola parte dei buffer di memoria per registrare i messaggi più recenti. La dimensione del buffer è limitata a pochi kilobyte. Questa opzione è abilitata per impostazione predefinita. Tuttavia, quando il dispositivo si riavvia, questi messaggi syslog vengono persi.
- Syslog-Utilizzare un protocollo SYSLOG in stile UNIX per inviare messaggi a un dispositivo esterno per la memorizzazione. La dimensione di archiviazione non dipende dalle risorse del router ed è limitata solo dallo spazio su disco disponibile sul server syslog esterno. Questa opzione non è abilitata per impostazione predefinita.
Per abilitare la funzionalità syslog in una rete Cisco, è necessario configurare il client syslog integrato all’interno dei dispositivi Cisco.
I dispositivi Cisco utilizzano un livello di gravità degli avvisi durante le emergenze per generare messaggi di errore relativi a malfunzionamenti software o hardware. Il livello di debug visualizza l’output dei comandi di debug. Il livello di avviso visualizza le transizioni dell’interfaccia verso l’alto o verso il basso e i messaggi di riavvio del sistema. Il livello informativo ricarica le richieste e i messaggi dello stack a basso processo.
Configurazione dei router Cisco per Syslog
Per configurare un router basato su Cisco IOS per l’invio di messaggi syslog a un server syslog esterno, seguire i passaggi riportati nella Tabella 4-11 utilizzando la modalità EXEC privilegiata.
Tabella 4-11. La configurazione di Router Cisco per Syslog
Passo |
Comando |
Scopo |
Router# configure terminal |
Entra in modalità di configurazione globale. |
|
Router (config) # timestamp di servizio tipo datetime |
Indica al sistema di timestamp syslog messaggi; le opzioni per la parola chiave type sono debug e log. |
|
Router (config)#host di registrazione |
Specifica il server syslog per indirizzo IP o nome host; è possibile specificare più server. |
|
Router (config) # logging livello trappola |
Specifica il tipo di messaggi, in base al livello di gravità, da inviare al server syslog. Il valore predefinito è informativo e inferiore. I valori possibili per level sono i seguenti: Emergency: 0 Utilizzare il livello di debug con cautela, perché può generare una grande quantità di traffico syslog in una rete occupata. |
|
Router (config) # impianto di registrazione tipo di impianto |
Specifica il livello della struttura utilizzato dai messaggi syslog; il valore predefinito è local7. I valori possibili sono local0, local1, local2, local3, local4, local5, local6 e local7. |
|
Router (config) # Fine |
Ritorna alla modalità EXEC privilegiata. |
|
Router # mostra registrazione |
Visualizza la configurazione di registrazione. |
Esempio 4-12 prepara un router Cisco per inviare messaggi syslog presso la struttura local3. Inoltre, il router invierà solo messaggi con una gravità di avviso o superiore. Il server syslog si trova su una macchina con un indirizzo IP di 192.168.0.30.
Esempio 4-12. Configurazione del router per Syslog
Router-Dallas#Router-Dallas#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router-Dallas(config)#logging 192.168.0.30Router-Dallas(config)#service timestamps debug datetime localtime show-timezone msecRouter-Dallas(config)#service timestamps log datetime localtime show-timezone msecRouter-Dallas(config)#logging facility local3Router-Dallas(config)#logging trap warningRouter-Dallas(config)#endRouter-Dallas#show loggingSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 79 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: disabled Trap logging: level warnings, 80 message lines logged Logging to 192.168.0.30, 57 message lines logged
Configurazione di uno switch Cisco per Syslog
Per configurare uno switch basato su Cisco CatOS per l’invio di messaggi syslog a un server syslog esterno, utilizzare i comandi privilegiati in modalità EXEC mostrati nella Tabella 4-12.
Tabella 4-12. La configurazione di uno Switch Cisco per Syslog
Passo |
Comando |
Scopo |
Interruttore>(attiva) impostare la registrazione timestamp {abilita | disabilita} |
Configura il sistema timestamp dei messaggi. |
|
Switch> (abilita) imposta indirizzo ip del server di registrazione |
Specifica l’indirizzo IP del server syslog; è possibile specificare un massimo di tre server. |
|
Switch> (abilita) imposta la gravità del server di registrazione server_severity_level |
Limita i messaggi registrati ai server syslog in base al livello di gravità. |
|
Switch> (abilita) imposta la funzione server di registrazione server_facility_parameter |
Specifica il livello della struttura che verrà utilizzato nel messaggio. Il valore predefinito è local7. Oltre ai nomi degli impianti standard elencati nella Tabella 4-1, gli switch Cisco Catalyst utilizzano i nomi degli impianti specifici dello switch. La seguente struttura dei livelli di generare messaggi di syslog fissa i livelli di gravità: 5: Sistema Dinamico-Prefabbricate-Protocollo, Porta-Aggregazione-Protocollo, la Gestione, Multilayer Switching 4: CDP, UDLD 2: Altre strutture |
|
Interruttore>(attiva) impostare la registrazione del server di attivare |
Abilita l’opzione per inviare messaggi di syslog al server syslog. |
|
Interruttore> (abilita) Mostra registrazione |
Visualizza la configurazione di registrazione. |
Esempio 4-13 prepara uno switch basato su CatOS per inviare messaggi syslog alla struttura local4. Inoltre, l’interruttore invierà solo messaggi con una gravità di avviso o superiore. Il server syslog si trova su una macchina con un indirizzo IP di 192.168.0.30.
Esempio 4-13. Configurazione switch basata su CatOS per Syslog
Console> (enable) set logging timestamp enableSystem logging messages timestamp will be enabled.Console> (enable) set logging server 192.168.0.30192.168.0.30 added to System logging server table.Console> (enable) set logging server facility local4System logging server facility set to <local4>Console> (enable) set logging server severity 4System logging server severity set to <4>Console> (enable) set logging server enableSystem logging messages will be sent to the configured syslog servers.Console> (enable) show loggingLogging buffered size: 500timestamp option: enabledLogging history size: 1Logging console: enabledLogging server: enabled{192.168.0.30}server facility: LOCAL4server severity: warnings(4Current Logging Session: enabledFacility Default Severity Current Session Severity------------- ----------------------- ------------------------cdp 3 4drip 2 4dtp 5 4dvlan 2 4earl 2 4fddi 2 4filesys 2 4gvrp 2 4ip 2 4kernel 2 4mcast 2 4mgmt 5 4mls 5 4pagp 5 4protfilt 2 4pruning 2 4radius 2 4security 2 4snmp 2 4spantree 2 4sys 5 4tac 2 4tcp 2 4telnet 2 4tftp 2 4udld 4 4vmps 2 4vtp 2 40(emergencies) 1(alerts) 2(critical)3(errors) 4(warnings) 5(notifications)6(information) 7(debugging)Console> (enable)
Configurazione di un firewall Cisco PIX per Syslog
Il monitoraggio proattivo dei log del firewall è parte integrante dei compiti di un Netadmin. I syslog del firewall sono utili per analisi forensi, risoluzione dei problemi di rete, valutazione della sicurezza, mitigazione degli attacchi di worm e virus e così via. I passaggi di configurazione per abilitare la messaggistica syslog su un PIX sono concettualmente simili a quelli per i dispositivi basati su IOS o CatOS. Per configurare un firewall Cisco PIX con PIX OS 4.4 e versioni successive, eseguire i passaggi mostrati nella Tabella 4-13 in modalità EXEC privilegiata.
Tabella 4-13. PIX Configurazione di Syslog
Passo |
Comando |
Scopo |
Pixfirewall# config terminale |
Entra in modalità di configurazione globale. |
|
Pixfirewall (config) # data e ora di registrazione |
Specifica che ogni messaggio syslog deve avere un valore timestamp. |
|
Pixfirewall (config) # indirizzo ip dell’host di registrazione |
Specifica un server syslog che deve ricevere i messaggi inviati dal firewall Cisco PIX. È possibile utilizzare più comandi host di registrazione per specificare server aggiuntivi che riceveranno tutti i messaggi syslog. Il protocollo è UDP o TCP. Tuttavia, un server può essere specificato solo per ricevere UDP o TCP, non entrambi. Un firewall Cisco PIX invia solo messaggi TCP syslog al server Cisco PIX Firewall syslog. |
|
Pixfirewall (config)#logging facility facility |
Specifica il numero della struttura syslog. Invece di specificare il nome, il PIX utilizza un numero di 2 cifre, come segue: local0 – 16 local1 – 17 local2 – 18 local3 – 19 local4 – 20 local5 – 21 local6 – 22 local7 – 23 Il valore predefinito è 20. |
|
pixfirewall (config) # logging livello trappola |
Specifica il livello del messaggio syslog come numero o stringa. Il livello specificato indica che si desidera quel livello e quei valori inferiori a quel livello. Ad esempio, se il livello è 3, syslog visualizza 0, 1, 2 e 3 messaggi. I possibili valori di numero e livello stringa sono i seguenti: 0: Emergenza; Messaggi inutilizzabili dal sistema 1: Avviso; Agire immediatamente 2: Critico; condizione critica 3: Errore; messaggio di errore 4: Avviso; messaggio di avviso 5: Avviso; condizione normale ma significativa 6: Informativo: informazioni messaggio 7: Debug; i messaggi di debug e di registro comandi FTP e WWW Url |
|
pixfirewall(config)#la registrazione |
Inizia l’invio di messaggi syslog per tutte le posizioni di uscita. |
|
pixfirewall (config) # nessun messaggio di registrazione < id messaggio> |
Specifica un messaggio da sopprimere. |
|
pixfirewall (config) # exit |
Esce dalla modalità di configurazione globale. |
Esempio 4-14 prepara il firewall Cisco PIX per l’invio di messaggi syslog presso la struttura local5 e severity debug e sotto al server syslog. Netadmin non vuole che PIX registri il messaggio 111005. Il server syslog ha un indirizzo IP di 192.168.0.30.
Esempio 4-14. Configurazione di un firewall Cisco PIX per Syslog
Firewall-Dallas#Firewall-Dallas# config terminalFirewall-Dallas(config)# loggin timeFirewall-Dallas(config)# logging host 192.168.0.30Firewall-Dallas(config)# logging facility 21Firewall-Dallas(config)# logging trap 7Firewall-Dallas(config)# logging onFirewall-Dallas(config)# no logging message 111005rewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 6 messages logged Logging to inside 192.168.0.30 History logging: disabled Device ID: disabled
Per una maggiore affidabilità, il firewall Cisco PIX può essere configurato per inviare messaggi syslog tramite TCP. Si noti che se il disco del server syslog è pieno, può chiudere la connessione TCP. Ciò causerà un denial of service perché il firewall Cisco PIX interromperà tutto il traffico fino a quando lo spazio su disco del server syslog non verrà liberato. Sia Kiwi Syslogd Server che PFSS offrono questa funzionalità. Kiwi Syslogd ha un meccanismo di avviso per avvisare il Netadmin tramite e-mail o cercapersone quando il disco si sta avvicinando alla sua capacità. L’impostazione può essere stabilita dalla finestra di configurazione del demone Syslog, come mostrato in Figura 4-9, per la configurazione di Kiwi syslog.
Se il PIX si arresta a causa di una condizione di pieno disco, è necessario prima liberare spazio su disco. Quindi disabilitare la messaggistica syslog sul PIX utilizzando il comando host host no logging, seguito da riattivare la messaggistica syslog utilizzando il comando host host logging.
Esempio 4-15 mostra la procedura di configurazione per un firewall Cisco PIX per inviare messaggi syslog alla porta TCP 1468.
Esempio 4-15. Configurazione PIX per TCP Syslog
Firewall-Dallas# config terminalFirewall-Dallas(config)# logging host inside 192.168.0.30 tcp/1468Firewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 12 messages logged Logging to inside 192.168.0.30 tcp/1468 History logging: disabled Device ID: disabledFirewall-Dallas#
Configurazione di un concentratore Cisco VPN per Syslog
Il concentratore Cisco VPN serie 3000 fornisce una soluzione basata su appliance per la distribuzione di funzionalità VPN su reti remote. I concentratori VPN sono spesso collegati parallelamente ai firewall, come mostrato in precedenza in Figura 4-1. Il design semplifica la gestione della rete ma crea problemi di sicurezza. Dopo che un utente è stato autenticato tramite concentratori VPN, l’utente ha accesso completo alla rete. Questo rende un caso forte per la registrazione dei messaggi dal concentratore VPN. Per configurare il concentratore Cisco VPN serie 3000 per l’invio di messaggi syslog, attenersi alla seguente procedura:
- Accedi al concentratore VPN utilizzando un browser web.
- Passare alla pagina server syslog scegliendo Configurazione > Sistema > Eventi > Server Syslog, come mostrato nella Figura 4-12.
Figura 4-12 Concentratore VPN-Syslog Server
- Nella pagina Server Syslog, fare clic sul pulsante Aggiungi (vedere Figura 4-12).
- Immettere l’indirizzo IP del server syslog e selezionare il livello di impianto dal menu a discesa Impianto, come mostrato in Figura 4-13. Salvare queste impostazioni e tornare alla pagina Server Syslog facendo clic sul pulsante Aggiungi.
Figura 4-13 Concentratore VPN-Aggiungi server Syslog
- Per selezionare il tipo di messaggi da inviare al server syslog, passare alla pagina Generale scegliendo Configurazione > Sistema > Eventi > Generale.
- Nella pagina Generale, selezionare un’opzione dal menu a discesa Gravità a Syslog, come mostrato in Figura 4-14, e fare clic sul pulsante Applica.
Figura 4-14 Concentratore VPN-Configurazione generale
- Per salvare le modifiche alla configurazione, fare clic sull’icona Salva necessario.
Come configurato in questo esempio, il concentratore VPN è ora pronto per inviare messaggi syslog presso la struttura local6, severità 1-5 al server 192.168.0.30.