een overzicht van het syslog-Protocol

BY admin
|

Cisco-apparaten configureren om een Syslog-Server

te gebruiken de meeste Cisco-apparaten gebruiken het syslog-protocol om systeemlogs en waarschuwingen te beheren. Maar in tegenstelling tot hun PC en server tegenhangers, Cisco apparaten gebrek aan grote interne opslagruimte voor het opslaan van deze logs. Om deze beperking te overwinnen, bieden Cisco-apparaten de volgende twee opties:

  • interne buffer-het besturingssysteem van het apparaat wijst een klein deel van de geheugenbuffers toe om de meest recente berichten te loggen. De buffergrootte is beperkt tot enkele kilobytes. Deze optie is standaard ingeschakeld. Echter, wanneer het apparaat herstart, deze syslog berichten verloren gaan.
  • Syslog-gebruik een SYSLOG-protocol in UNIX-stijl om berichten naar een extern apparaat te sturen om op te slaan. De opslaggrootte is niet afhankelijk van de bronnen van de router en wordt alleen beperkt door de beschikbare schijfruimte op de externe syslog-server. Deze optie is standaard niet ingeschakeld.

als u de syslog-functionaliteit in een Cisco-netwerk wilt inschakelen, moet u de ingebouwde syslog-client binnen de Cisco-apparaten configureren.

Cisco-apparaten gebruiken een ernstniveau van waarschuwingen via noodsituaties om foutmeldingen over software-of hardwarestoringen te genereren. Het debugniveau toont de uitvoer van debugopdrachten. De Notice level geeft interface omhoog of omlaag overgangen en systeem herstart berichten. Het informatieve niveau herlaadt verzoeken en low-process stack berichten.

Cisco-Routers configureren voor Syslog

om een op Cisco IOS gebaseerde router te configureren voor het verzenden van syslog-berichten naar een externe syslog-server, volgt u de stappen in Tabel 4-11 met behulp van de geprivilegieerde EXEC-modus.

tabel 4-11. Cisco-Routers configureren voor Syslog

salaristrap

opdracht

betreft

Router # terminal configureren

gaat globale configuratiemodus in.

Router (config) # service timestamps type datetime

instrueert het systeem om syslog berichten te timestamperen; de opties voor het type keyword zijn debug en log.

Router (config) # logging host

Hiermee wordt de syslog-server opgegeven op basis van het IP-adres of de hostnaam; u kunt meerdere servers opgeven.

Router (config) # logging trap niveau

Hiermee geeft u op ernstniveau het soort berichten op dat naar de syslog-server moet worden verzonden. De standaard is informatief en lager. De mogelijke waarden voor niveau zijn als volgt:

Emergency: 0
Alert: 1
Critical: 2
Error: 3
Warning: 4
Notice: 5
Informational: 6
Debug: 7

gebruik het debugniveau voorzichtig, omdat het een grote hoeveelheid syslog-verkeer kan genereren in een bezet netwerk.

Router (config) # logging faciliteit faciliteit-type

specificeert het faciliteitsniveau dat wordt gebruikt door de syslog-berichten; de standaard is local7. Mogelijke waarden zijn local0, local1, local2, local3, local4, local5, local6 en local7.

Router (config) # einde

keert terug naar geprivilegieerde EXEC-modus.

Router# logboekregistratie tonen

geeft logboekconfiguratie weer.

voorbeeld 4-12 bereidt een Cisco-router voor om syslog-berichten te verzenden op facility local3. Ook zal de router alleen berichten verzenden met een ernst van waarschuwing of hoger. De syslog server staat op een machine met een IP adres van 192.168.0.30.

voorbeeld 4-12. Routerconfiguratie voor Syslog

Router-Dallas#Router-Dallas#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router-Dallas(config)#logging 192.168.0.30Router-Dallas(config)#service timestamps debug datetime localtime show-timezone msecRouter-Dallas(config)#service timestamps log datetime localtime show-timezone msecRouter-Dallas(config)#logging facility local3Router-Dallas(config)#logging trap warningRouter-Dallas(config)#endRouter-Dallas#show loggingSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 79 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: disabled Trap logging: level warnings, 80 message lines logged Logging to 192.168.0.30, 57 message lines logged

een Cisco-Switch configureren voor Syslog

om een op Cisco CatOS gebaseerde switch te configureren voor het verzenden van syslog-berichten naar een externe syslog-server, gebruikt u de geprivilegieerde EXEC-modus-opdrachten die in Tabel 4-12 worden weergegeven.

tabel 4-12. Een Cisco-Switch configureren voor Syslog

salaristrap

opdracht

betreft

Switch>(inschakelen) timestamp instellen {inschakelen / uitschakelen}

hiermee configureert u het systeem om berichten te tijdstempelen.

Switch>(inschakelen) ip-adres van de logboekregistratieserver instellen

Hiermee wordt het IP-adres van de syslog-server opgegeven; er kunnen maximaal drie servers worden opgegeven.

Switch>(inschakelen) stel de ernst van de logboekregistratieserver in server_severity_level

beperkt berichten die zijn gelogd tot de syslog-servers op ernstniveau.

Switch>(inschakelen) serverfaciliteit voor logboekregistratie instellen server_facility_parameter

specificeert het faciliteitsniveau dat in het bericht wordt gebruikt. De standaard is local7. Naast de standaard faciliteitsnamen die in Tabel 4-1 worden vermeld, gebruiken Cisco Catalyst-switches faciliteitsnamen die specifiek zijn voor de switch. De volgende faciliteit niveaus genereren syslog-berichten met vaste niveaus van ernst:

5: Systeem, Dynamic Trunking Protocol, Poort-Aggregatie-Protocol, Management, Multilayer Schakelen

4: CDP, UDLD

2: Overige voorzieningen

Schakelaar>(inschakelen) ingesteld log-server inschakelen

Laat de schakelaar te sturen syslog boodschappen naar het syslog-servers.

schakelaar>(inschakelen) logboekregistratie tonen

toont de logboekconfiguratie.

voorbeeld 4-13 bereidt een op CatOS gebaseerde switch voor om syslog-berichten te verzenden op facility local4. Ook zal de schakelaar alleen berichten verzenden met een ernst van waarschuwing of hoger. De syslog server staat op een machine met een IP adres van 192.168.0.30.

voorbeeld 4-13. CatOS – gebaseerde Switch configuratie voor Syslog

Console> (enable) set logging timestamp enableSystem logging messages timestamp will be enabled.Console> (enable) set logging server 192.168.0.30192.168.0.30 added to System logging server table.Console> (enable) set logging server facility local4System logging server facility set to <local4>Console> (enable) set logging server severity 4System logging server severity set to <4>Console> (enable) set logging server enableSystem logging messages will be sent to the configured syslog servers.Console> (enable) show loggingLogging buffered size: 500timestamp option: enabledLogging history size: 1Logging console: enabledLogging server: enabled{192.168.0.30}server facility: LOCAL4server severity: warnings(4Current Logging Session: enabledFacility Default Severity Current Session Severity------------- ----------------------- ------------------------cdp 3 4drip 2 4dtp 5 4dvlan 2 4earl 2 4fddi 2 4filesys 2 4gvrp 2 4ip 2 4kernel 2 4mcast 2 4mgmt 5 4mls 5 4pagp 5 4protfilt 2 4pruning 2 4radius 2 4security 2 4snmp 2 4spantree 2 4sys 5 4tac 2 4tcp 2 4telnet 2 4tftp 2 4udld 4 4vmps 2 4vtp 2 40(emergencies) 1(alerts) 2(critical)3(errors) 4(warnings) 5(notifications)6(information) 7(debugging)Console> (enable)

het configureren van een Cisco PIX Firewall voor Syslog

proactieve monitoring van firewall logs is een integraal onderdeel van de taken van een Netadmin. De firewall syslogs zijn nuttig voor forensics, netwerk probleemoplossing, security evaluatie, worm en virus aanval mitigatie, en ga zo maar door. De configuratie stappen voor het inschakelen van syslog messaging op een PIX zijn conceptueel vergelijkbaar met die voor iOS – of CatOS-gebaseerde apparaten. Als u een Cisco PIX-Firewall met PIX OS 4.4 en hoger wilt configureren, voert u de stappen uit die in Tabel 4-13 worden weergegeven in de bevoorrechte EXEC-modus.

tabel 4-13. PIX Configuratie voor Syslog

Stap

Opdracht

Doel

Pixfirewall# config terminal

Komt de global configuration mode.

Pixfirewall (config) # logging timestamp

Hiermee geeft u op dat elk syslog-bericht een tijdstempelwaarde moet hebben.

Pixfirewall (config)#logging host ip_address

Hiermee geeft u een syslog-server op die de berichten moet ontvangen die vanuit de Cisco PIX-Firewall zijn verzonden. U kunt meerdere hostcommando ‘ s gebruiken om extra servers op te geven die alle syslog-berichten zouden ontvangen. Het protocol is UDP of TCP. Een server kan echter alleen worden opgegeven om UDP of TCP te ontvangen, niet beide. Een Cisco PIX Firewall verzendt alleen TCP syslog berichten naar de Cisco PIX Firewall syslog server.

Pixfirewall (config) # logging facility facility

specificeert het syslog-faciliteitsnummer. In plaats van de naam te specificeren, gebruikt de PIX een 2-cijferig getal, als volgt:

local0 – 16

local1 – 17

local2 – 18

local3 – 19

local4 – 20

local5 – 21

local6 – 22

local7 – 23

de standaardwaarde is 20.

pixfirewall (config)#logging trap niveau

Hiermee geeft u het syslog-berichtniveau op als een getal of tekenreeks. Het niveau dat u opgeeft betekent dat u dat niveau en die waarden lager wilt dan dat niveau. Bijvoorbeeld, als niveau 3 is, geeft syslog 0, 1, 2, en 3 berichten weer. Mogelijke waarden voor aantal en stringniveau zijn als volgt:

0: Emergency; System-unusable messages

1: Alert; onmiddelijke actie ondernemen

2: kritiek; kritieke toestand

3: fout; foutmelding

4: Waarschuwing; waarschuwingsbericht

5: Opmerking; normale maar significante voorwaarde

6: informatief: informatiebericht

7: Debug; debugberichten en log FTP-opdrachten en WWW-URL ‘ s

pixfirewall (config)#aanmelden

start met het verzenden van syslog-berichten naar alle uitvoerlocaties.

pixfirewall (config) # geen logboekbericht <bericht-id>

geeft een bericht op dat moet worden onderdrukt.

pixfirewall (config) # afsluiten

sluit de Globale configuratiemodus af.

voorbeeld 4-14 bereidt de Cisco PIX Firewall voor om syslog-berichten op facility local5 en severity debug en lager naar de syslog-server te sturen. De Netadmin wil niet dat de PIX bericht 111005 logt. De syslog server heeft een IP adres van 192.168.0.30.

voorbeeld 4-14. Een Cisco PIX-Firewall configureren voor Syslog

Firewall-Dallas#Firewall-Dallas# config terminalFirewall-Dallas(config)# loggin timeFirewall-Dallas(config)# logging host 192.168.0.30Firewall-Dallas(config)# logging facility 21Firewall-Dallas(config)# logging trap 7Firewall-Dallas(config)# logging onFirewall-Dallas(config)# no logging message 111005rewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 6 messages logged Logging to inside 192.168.0.30 History logging: disabled Device ID: disabled

Voor extra betrouwbaarheid kan de Cisco PIX-Firewall worden geconfigureerd om syslog-berichten via TCP te verzenden. Houd er rekening mee dat als de syslog server schijf vol is, het de TCP verbinding kan sluiten. Dit zal een denial of service veroorzaken omdat de Cisco PIX Firewall al het verkeer zal stoppen totdat de schijfruimte van de syslog server is vrijgemaakt. Zowel Kiwi Syslogd Server als PFSS bieden deze functie. Kiwi Syslogd heeft een waarschuwingsmechanisme om de Netadmin via e-mail of pager te waarschuwen wanneer de schijf zijn capaciteit nadert. De instelling kan worden ingesteld vanuit het Syslog daemon Setup venster, zoals getoond in Figuur 4-9, voor Kiwi syslog configuratie.

als de PIX stopt vanwege een toestand vol met schijven, moet u eerst wat schijfruimte vrijmaken. Schakel dan syslog messaging op de PIX uit met behulp van de No logging host host Commando, gevolgd door syslog messaging opnieuw in te schakelen met behulp van de logging host host Commando.

voorbeeld 4-15 toont de configuratiestappen voor een Cisco PIX Firewall om syslog-berichten te verzenden op tcp-poort 1468.

voorbeeld 4-15. PIX-configuratie voor TCP Syslog

Firewall-Dallas# config terminalFirewall-Dallas(config)# logging host inside 192.168.0.30 tcp/1468Firewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 12 messages logged Logging to inside 192.168.0.30 tcp/1468 History logging: disabled Device ID: disabledFirewall-Dallas#

een Cisco VPN-Concentrator configureren voor Syslog

de Cisco VPN 3000-serie-Concentrator biedt een appliance-based oplossing voor het implementeren van VPN-functionaliteit over externe netwerken. VPN concentrators zijn vaak parallel verbonden met de firewalls, zoals eerder in Figuur 4-1. Het ontwerp vereenvoudigt het beheer van het netwerk, maar creëert veiligheidsproblemen. Nadat een gebruiker is geverifieerd via VPN-concentrators, heeft de gebruiker volledige toegang tot het netwerk. Dit maakt een sterk argument voor het loggen van de berichten van de VPN concentrator. Volg deze stappen om de Cisco VPN 3000 serie Concentrator te configureren voor het verzenden van syslog-berichten:

  1. Log in op de VPN concentrator met behulp van een webbrowser.
  2. Navigeer naar de pagina syslog-server door configuratie > systeem > gebeurtenissen > Syslog-Servers te kiezen, zoals weergegeven in Figuur 4-12.
    04fig12.jpg

    figuur 4-12 VPN-Concentrator-Syslog-Server

  3. klik op de pagina Syslog Servers op de knop Toevoegen (zie figuur 4-12).
  4. voer het IP-adres van de syslog-server in en selecteer het faciliteitsniveau in het keuzemenu Facility, zoals weergegeven in Figuur 4-13. Sla deze instellingen op en Keer terug naar de pagina Syslog Servers door op de knop Toevoegen te klikken.
    04fig13.jpg

    figuur 4-13 VPN-Concentrator-Syslog-Server toevoegen

  5. om het soort berichten te selecteren dat naar de syslog-server moet worden verzonden, navigeert u naar de Algemene pagina door te kiezen voor configuratie > systeem > gebeurtenissen > Algemeen.
  6. Selecteer op de Algemene pagina een optie in het vervolgkeuzemenu Ernst naar Syslog, zoals weergegeven in Figuur 4-14, en klik op de knop Toepassen.
    04fig14.jpg

    figuur 4-14 VPN-Concentrator – algemene configuratie

  7. als u de configuratiewijzigingen wilt opslaan, klikt u op het pictogram benodigde opslaan.

zoals geconfigureerd in dit voorbeeld, is de VPN-concentrator nu klaar om syslog-berichten te verzenden op facility local6, ernst 1-5 naar server 192.168.0.30.