En Oversikt Over syslog-Protokollen

BY admin
|

Konfigurere Cisco-Enheter Til Å Bruke En Syslog-Server

De Fleste Cisco-enheter bruker syslog-protokollen til å administrere systemlogger Og varsler. Men I motsetning TIL SINE PC-og server-kolleger mangler Cisco-enheter stor intern lagringsplass for lagring av disse loggene. For å overvinne denne begrensningen Tilbyr Cisco-enheter følgende to alternativer:

  • Intern buffer— enhetens operativsystem tildeler en liten del av minnebuffere til å logge de nyeste meldingene. Bufferstørrelsen er begrenset til få kilobyte. Dette alternativet er aktivert som standard. Men når enheten starter på nytt, går disse syslog-meldingene tapt.
  • Syslog— Bruk EN SYSLOG-protokoll I UNIX-STIL for å sende meldinger til en ekstern enhet for lagring. Lagringsstørrelsen er ikke avhengig av ruterenes ressurser og er begrenset bare av ledig diskplass på den eksterne syslog-serveren. Dette alternativet er ikke aktivert som standard.

hvis du vil aktivere syslog-funksjonalitet i Et Cisco-nettverk, må du konfigurere den innebygde syslog-klienten i Cisco-enhetene.

Cisco-enheter bruker et alvorlighetsnivå av advarsler gjennom nødsituasjoner for å generere feilmeldinger om programvare-eller maskinvarefeil. Feilsøkingsnivået viser utdataene for feilsøkingskommandoer. Innkallingsnivået viser grensesnitt opp eller ned overganger og meldinger om omstart av systemet. Informasjonsnivået laster inn forespørsler og stakkmeldinger med lav prosess.

Konfigurere Cisco-Rutere For Syslog

hvis du vil konfigurere En Cisco IOS – basert ruter for å sende syslog-meldinger til en ekstern syslog-server, følger du trinnene i Tabell 4-11 ved hjelp av privilegert EXEC-modus.

Tabell 4-11. Konfigurere Cisco-Rutere For Syslog

Trinn

Kommando

Formål

Ruter # konfigurer terminal

Går inn i global konfigurasjonsmodus.

Ruter (config) # tjeneste tidsstempler type datetime

Instruerer systemet til tidsstempel syslog meldinger; alternativene for typen søkeord er debug og logg.

Ruter (config) # logging vert

Angir syslog-serveren ETTER IP-adresse eller vertsnavn; du kan angi flere servere.

Router (config)# logging felle nivå

Angir typen meldinger, etter alvorlighetsgrad, som skal sendes til syslog-serveren. Standardverdien er informativ og lavere. De mulige verdiene for nivå er som følger:

Emergency: 0
Alert: 1
Kritisk: 2
Feil: 3
Advarsel: 4
Varsel: 5
Informativ: 6
Feilsøking: 7

Bruk feilsøkingsnivået med forsiktighet, fordi det kan generere en stor mengde syslog-trafikk i et travelt nettverk.

Router (config)# logging anlegg anlegg-type

Angir fasilitetsnivået som brukes av syslog-meldingene; standard er local7. Mulige verdier er local0, local1, local2, local3, local4, local5, local6 og local7.

Ruter (config) # Slutt

Returnerer til privilegert EXEC-modus.

Ruter # vis logging

Viser logging konfigurasjon.

Eksempel 4-12 forbereder En Cisco-ruter for å sende syslog-meldinger på facility local3. Ruteren vil også bare sende meldinger med en advarsel eller høyere. Syslog-serveren er på en maskin MED EN IP-adresse på 192.168.0.30.

Eksempel 4-12. Ruterkonfigurasjon For Syslog

Router-Dallas#Router-Dallas#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router-Dallas(config)#logging 192.168.0.30Router-Dallas(config)#service timestamps debug datetime localtime show-timezone msecRouter-Dallas(config)#service timestamps log datetime localtime show-timezone msecRouter-Dallas(config)#logging facility local3Router-Dallas(config)#logging trap warningRouter-Dallas(config)#endRouter-Dallas#show loggingSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 79 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: disabled Trap logging: level warnings, 80 message lines logged Logging to 192.168.0.30, 57 message lines logged

Konfigurere En Cisco-Bryter For Syslog

hvis du vil konfigurere En Cisco CatOS-basert bryter for å sende syslog-meldinger til en ekstern syslog-server, bruker du kommandoene for PRIVILEGERT EXEC-modus som vises I Tabell 4-12.

Tabell 4-12. Konfigurere En Cisco-Bryter For Syslog

Trinn

Kommando

Formål

Bryter> (aktiver) angi tidsstempel for logging {aktiver / deaktiver}

Konfigurerer systemet til tidsstempelmeldinger.

Bryter> (aktiver) angi logging server ip-adresse

Angir IP-adressen til syslog-serveren; maksimalt tre servere kan spesifiseres.

Bryter> (aktiver) angi logging server severity server_severity_level

Begrenser meldinger som logges til syslog-serverne etter alvorlighetsgrad.

Bryter> (aktiver) angi logging serverfasilitet server_facility_parameter

Angir fasilitetsnivået som skal brukes i meldingen. Standard er local7. Bortsett fra standardfasilitetsnavnene som er oppført I Tabell 4-1, Bruker Cisco Catalyst-brytere anleggsnavn som er spesifikke for bryteren. Følgende fasilitetsnivåer genererer syslog-meldinger med faste alvorlighetsgrad:

5: System, Dynamic-Trunking-Protocol, Port-Aggregation-Protocol, Ledelse, Flerlags Switching

4: CDP, UDLD

2: Andre fasiliteter

Bryter> (aktiver) angi logging server aktiver

Aktiverer bryteren for å sende syslog-meldinger til syslog-serverne.

Bryter> (aktiver) Vis logging

Viser loggkonfigurasjonen.

Eksempel 4-13 forbereder En CatOS-basert bryter for å sende syslog-meldinger på facility local4. Også, bryteren vil bare sende meldinger med en alvorlighetsgrad av advarsel eller høyere. Syslog-serveren er på en maskin MED EN IP-adresse på 192.168.0.30.

Eksempel 4-13. CatOS-Basert Bryterkonfigurasjon For Syslog

Console> (enable) set logging timestamp enableSystem logging messages timestamp will be enabled.Console> (enable) set logging server 192.168.0.30192.168.0.30 added to System logging server table.Console> (enable) set logging server facility local4System logging server facility set to <local4>Console> (enable) set logging server severity 4System logging server severity set to <4>Console> (enable) set logging server enableSystem logging messages will be sent to the configured syslog servers.Console> (enable) show loggingLogging buffered size: 500timestamp option: enabledLogging history size: 1Logging console: enabledLogging server: enabled{192.168.0.30}server facility: LOCAL4server severity: warnings(4Current Logging Session: enabledFacility Default Severity Current Session Severity------------- ----------------------- ------------------------cdp 3 4drip 2 4dtp 5 4dvlan 2 4earl 2 4fddi 2 4filesys 2 4gvrp 2 4ip 2 4kernel 2 4mcast 2 4mgmt 5 4mls 5 4pagp 5 4protfilt 2 4pruning 2 4radius 2 4security 2 4snmp 2 4spantree 2 4sys 5 4tac 2 4tcp 2 4telnet 2 4tftp 2 4udld 4 4vmps 2 4vtp 2 40(emergencies) 1(alerts) 2(critical)3(errors) 4(warnings) 5(notifications)6(information) 7(debugging)Console> (enable)

Konfigurere En Cisco PIX-Brannmur For Syslog

Proaktiv overvåking av brannmurlogger er en integrert del av en Netadmins plikter. Brannmuren syslogs er nyttig for etterforskning, nettverk feilsøking, sikkerhet evaluering, orm og virus angrep klimatiltak, og så videre. Konfigurasjonstrinnene for å aktivere syslog-meldinger på EN PIX er konseptuelt lik DE FOR IOS – eller CatOS-baserte enheter. For å konfigurere En Cisco PIX-Brannmur med PIX OS 4.4 og nyere, utfør trinnene som vises i Tabell 4-13 i privilegert EXEC-modus.

Tabell 4-13. PIX Konfigurasjon For Syslog

Trinn

Kommando

Formål

Pixfirewall # config terminal

Går inn i global konfigurasjonsmodus.

Pixfirewall (config)#logging tidsstempel

Angir at hver syslog-melding skal ha en tidsstempelverdi.

Pixfirewall (config) # logging vert ip_address

Angir en syslog-server som skal motta meldinger som sendes fra Cisco PIX-Brannmuren. Du kan bruke flere logging vertskommandoer til å angi flere servere som alle vil motta syslog-meldingene. Protokollen er UDP eller TCP. En server kan imidlertid bare angis for å motta ENTEN UDP eller TCP, ikke begge. En Cisco PIX-Brannmur sender bare tcp syslog-meldinger til Cisco PIX firewall syslog-serveren.

Pixfirewall (config) # logging anlegget anlegget

Angir syslog facility-nummeret. I stedet for å angi navnet, BRUKER PIX et 2-sifret tall, som følger:

local0 – 16

local1 – 17

local2 – 18

local3 – 19

local4 – 20

local5 – 21

LOCAL6 – 22

local7 – 23

standard er 20.

pixfirewall (config)#logging felle nivå

Angir syslog-meldingsnivået som et tall eller en streng. Nivået du angir betyr at du vil at nivået og disse verdiene er mindre enn dette nivået. Hvis nivået for eksempel er 3, viser syslog 0, 1, 2 og 3 meldinger. Mulige tall-og strengnivåverdier er som følger:

0: Nødsituasjon; system-ubrukelige meldinger

1: Varsel; Ta øyeblikkelig handling

2: Kritisk; kritisk tilstand

3: Feil; feilmelding

4: Advarsel; advarsel

5: Varsel; normal, men signifikant tilstand

6: Informativ: informasjonsmelding

7: Feilsøke; feilsøkingsmeldinger og LOGG FTP-kommandoer og WWW-Nettadresser

pixfirewall (config) # logge på

begynner å sende syslog-meldinger til alle utgangssteder.

pixfirewall (config) # ingen loggingsmelding < meldings-id>

Angir en melding som skal undertrykkes.

pixfirewall (config) # avslutt

Avslutter global konfigurasjonsmodus.

Eksempel 4-14 forbereder Cisco PIX-Brannmuren til å sende syslog-meldinger på facility local5 og severity debug og nedenfor til syslog-serveren. Netadmin vil IKKE AT PIX skal logge melding 111005. Syslog-serveren har EN IP-adresse på 192.168.0.30.

Eksempel 4-14. Konfigurere En Cisco PIX-Brannmur For Syslog 

Firewall-Dallas#Firewall-Dallas# config terminalFirewall-Dallas(config)# loggin timeFirewall-Dallas(config)# logging host 192.168.0.30Firewall-Dallas(config)# logging facility 21Firewall-Dallas(config)# logging trap 7Firewall-Dallas(config)# logging onFirewall-Dallas(config)# no logging message 111005rewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 6 messages logged Logging to inside 192.168.0.30 History logging: disabled Device ID: disabled

For økt pålitelighet kan Cisco PIX-Brannmuren konfigureres til å sende syslog-meldinger via TCP. Vær oppmerksom på at hvis syslog serverdisken er full, kan den lukke tcp-tilkoblingen. Dette vil føre til tjenestenekt fordi Cisco PIX-Brannmuren stopper all trafikk til syslog-serverens diskplass er frigjort. Både Kiwi Syslogd Server og PFSS tilbyr denne funksjonen. Kiwi Syslogd har en varslingsmekanisme for å advare Netadmin via e-post eller personsøker når disken nærmer seg sin kapasitet. Innstillingen kan etableres Fra Syslog Daemon Setup vindu, som vist I Figur 4-9, For Kiwi syslog konfigurasjon.

hvis PIX stopper på grunn av en disk – full tilstand, må du først frigjøre litt diskplass. Deaktiver deretter syslog-meldinger på PIX ved hjelp av kommandoen ingen logging host host, etterfulgt av reenabling syslog messaging ved hjelp av kommandoen logging host host.

Eksempel 4-15 viser konfigurasjonstrinnene for En Cisco PIX-Brannmur for å sende syslog-meldinger på TCP-port 1468.

Eksempel 4-15. PIX Configuration FOR TCP Syslog

Firewall-Dallas# config terminalFirewall-Dallas(config)# logging host inside 192.168.0.30 tcp/1468Firewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 12 messages logged Logging to inside 192.168.0.30 tcp/1468 History logging: disabled Device ID: disabledFirewall-Dallas#

Konfigurere En Cisco VPN Concentrator For Syslog

Cisco VPN 3000 Series Concentrator gir en apparatbasert løsning for distribusjon AV VPN-funksjonalitet på tvers av eksterne nettverk. VPN-konsentratorer er ofte koblet parallelt med brannmurene, som vist tidligere i Figur 4-1. Designet forenkler styringen av nettverket, men skaper sikkerhetsproblemer. Etter at en bruker har blitt autentisert GJENNOM VPN-konsentratorer, har brukeren full tilgang til nettverket. Dette gjør et sterkt tilfelle for å logge meldingene fra VPN-konsentratoren. Følg disse trinnene for å konfigurere Cisco VPN 3000 Series Concentrator for å sende syslog-meldinger:

  1. Logg INN PÅ VPN-konsentratoren ved hjelp av en nettleser.
  2. Naviger Til syslog server-siden Ved å velge Konfigurasjon > System > Hendelser > Syslog-Servere, som vist I Figur 4-12.
    04fig12.jpg

    FIGUR 4-12 VPN Konsentrator-Syslog Server

  3. På Syslog-Servere-siden klikker Du På Legg til-knappen (Se Figur 4-12).
  4. Skriv INN IP-adressen til syslog-serveren og velg fasilitetsnivå fra Facility-rullegardinmenyen, som vist i Figur 4-13. Lagre disse innstillingene og gå tilbake til Syslog-Serversiden ved å klikke På Legg til-knappen.
    04fig13.jpg

    Figur 4-13 VPN Konsentrator-Legg Til Syslog Server

  5. hvis du vil velge typen meldinger som skal sendes til syslog-serveren, går du til Siden Generelt ved å velge Konfigurasjon > System > Hendelser > Generelt.
  6. på Siden Generelt velger du Et alternativ fra Rullegardinmenyen Alvorlighetsgrad Til Syslog, som vist i Figur 4-14, og klikker På Bruk-knappen.
    04fig14.jpg

    Figur 4-14 VPN Konsentrator-Generell Konfigurasjon

  7. hvis du vil lagre konfigurasjonsendringene, klikker Du På Lagre Nødvendig-ikonet.

SOM konfigurert i dette eksemplet, ER VPN-konsentratoren nå klar til å sende syslog-meldinger på facility local6, alvorlighetsgrad 1-5 til server 192.168.0.30.