przegląd protokołu Syslog

Konfigurowanie urządzeń Cisco do korzystania z serwera syslog

większość urządzeń Cisco używa protokołu Syslog do zarządzania dziennikami systemowymi i alertami. Ale w przeciwieństwie do swoich odpowiedników na komputerach i serwerach, urządzenia Cisco nie mają dużej wewnętrznej przestrzeni dyskowej do przechowywania tych dzienników. Aby przezwyciężyć to ograniczenie, urządzenia Cisco oferują następujące dwie opcje:

  • bufor Wewnętrzny— system operacyjny urządzenia przydziela niewielką część buforów pamięci do rejestrowania najnowszych wiadomości. Rozmiar bufora jest ograniczony do kilku kilobajtów. Ta opcja jest domyślnie włączona. Jednak po ponownym uruchomieniu urządzenia te komunikaty syslog są tracone.
  • Syslog— użyj uniksowego protokołu SYSLOG do wysyłania wiadomości do zewnętrznego urządzenia w celu ich przechowywania. Rozmiar pamięci nie zależy od zasobów routera i jest ograniczony tylko dostępną przestrzenią dyskową na zewnętrznym serwerze syslog. Ta opcja nie jest domyślnie włączona.

aby włączyć funkcjonalność syslog w sieci Cisco, należy skonfigurować wbudowanego klienta syslog w urządzeniach Cisco.

urządzenia Cisco wykorzystują Ostrzeżenia ostrzegawcze w sytuacjach awaryjnych do generowania komunikatów o błędach oprogramowania lub sprzętu. Poziom debugowania wyświetla wyjście poleceń debugowania. Poziom powiadomień wyświetla przejścia interfejsu w górę lub w dół oraz komunikaty o ponownym uruchomieniu systemu. Poziom informacyjny przeładowuje żądania i wiadomości o niskim stosie procesów.

Konfigurowanie routerów Cisco dla Syslog

aby skonfigurować router Cisco oparty na systemie iOS do wysyłania wiadomości syslog do zewnętrznego serwera syslog, wykonaj kroki opisane w tabeli 4-11 przy użyciu trybu uprzywilejowanego EXEC.

tabela 4-11. Konfigurowanie routerów Cisco dla Syslog

krok

Dowództwo

cel

Router # konfiguracja terminala

wchodzi w tryb konfiguracji globalnej.

Router (config)# Service timestamps type datetime

poleca systemowi znacznik czasu syslog wiadomości; opcje dla słowa kluczowego type są debug i log.

Router (config) # logging host

określa serwer syslog według adresu IP lub nazwy hosta; można określić wiele serwerów.

Router (config) # logging Trap level

określa rodzaj wiadomości, według poziomu ważności, które mają być wysyłane do serwera syslog. Wartość domyślna jest informacyjna i niższa. Możliwe wartości poziomu są następujące:

awaryjny: 0
Alert: 1
krytyczny: 2
błąd: 3
Ostrzeżenie: 4
Uwaga: 5
Informacje: 6
debugowanie: 7

używaj poziomu debugowania ostrożnie, ponieważ może generować dużą ilość ruchu syslog w zajętej sieci.

Router (config) # logging facility facility-type

określa poziom obiektu używany przez komunikaty syslog; domyślną wartością jest local7. Możliwe wartości to local0, local1, local2, local3, local4, local5, local6 i local7.

Router (config) # End

powraca do uprzywilejowanego trybu EXEC.

Router # show logging

wyświetla konfigurację logowania.

przykład 4-12 przygotowuje Router Cisco do wysyłania komunikatów syslog w lokalizacji obiektu3. Ponadto router będzie wysyłać tylko wiadomości o ważności ostrzeżenia lub wyższej. Serwer syslog znajduje się na komputerze o adresie IP 192.168.0.30.

przykład 4-12. Konfiguracja routera dla Syslog

Router-Dallas#Router-Dallas#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router-Dallas(config)#logging 192.168.0.30Router-Dallas(config)#service timestamps debug datetime localtime show-timezone msecRouter-Dallas(config)#service timestamps log datetime localtime show-timezone msecRouter-Dallas(config)#logging facility local3Router-Dallas(config)#logging trap warningRouter-Dallas(config)#endRouter-Dallas#show loggingSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 79 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: disabled Trap logging: level warnings, 80 message lines logged Logging to 192.168.0.30, 57 message lines logged

Konfigurowanie przełącznika Cisco dla Syslog

aby skonfigurować przełącznik Cisco CatOS do wysyłania wiadomości syslog do zewnętrznego serwera syslog, użyj uprzywilejowanych poleceń trybu EXEC pokazanych w tabelach 4-12.

tabela 4-12. Konfigurowanie przełącznika Cisco dla Syslog

krok

Dowództwo

cel

Switch>(enable) set logging timestamp {enable / disable}

konfiguruje system do wiadomości znaczników czasu.

Switch>(enable) set logging server IP-address

Określa adres IP serwera syslog; można podać maksymalnie trzy serwery.

Switch>(enable) set logging Server severity server_severity_level

ogranicza wiadomości logowane na serwerach syslog według poziomu ważności.

Switch>(enable) set logging Server facility server_facility_parameter

określa poziom obiektu, który będzie użyty w wiadomości. Domyślną wartością jest local7. Oprócz standardowych nazw obiektów wymienionych w tabeli 4-1, przełączniki Cisco Catalyst używają nazw obiektów, które są specyficzne dla przełącznika. Następujące poziomy obiektów generują komunikaty syslog o ustalonych poziomach ważności:

5: System, Dynamic-Trunking-Protocol, Port-Aggregation-Protocol, Management, Multilayer Switching

4: CDP, UDLD

2: inne obiekty

Switch>(enable) set logging Server enable

włącza przełącznik do wysyłania wiadomości syslog do serwerów syslog.

Switch>(enable) Pokaż logowanie

wyświetla konfigurację logowania.

przykład 4-13 przygotowuje przełącznik oparty na CatOS do wysyłania komunikatów syslog w lokalizacji obiektu4. Ponadto przełącznik będzie wysyłać tylko wiadomości o ważności ostrzeżenia lub wyższej. Serwer syslog znajduje się na komputerze o adresie IP 192.168.0.30.

przykład 4-13. Konfiguracja przełącznika opartego na CatOS dla Syslog

Console> (enable) set logging timestamp enableSystem logging messages timestamp will be enabled.Console> (enable) set logging server 192.168.0.30192.168.0.30 added to System logging server table.Console> (enable) set logging server facility local4System logging server facility set to <local4>Console> (enable) set logging server severity 4System logging server severity set to <4>Console> (enable) set logging server enableSystem logging messages will be sent to the configured syslog servers.Console> (enable) show loggingLogging buffered size: 500timestamp option: enabledLogging history size: 1Logging console: enabledLogging server: enabled{192.168.0.30}server facility: LOCAL4server severity: warnings(4Current Logging Session: enabledFacility Default Severity Current Session Severity------------- ----------------------- ------------------------cdp 3 4drip 2 4dtp 5 4dvlan 2 4earl 2 4fddi 2 4filesys 2 4gvrp 2 4ip 2 4kernel 2 4mcast 2 4mgmt 5 4mls 5 4pagp 5 4protfilt 2 4pruning 2 4radius 2 4security 2 4snmp 2 4spantree 2 4sys 5 4tac 2 4tcp 2 4telnet 2 4tftp 2 4udld 4 4vmps 2 4vtp 2 40(emergencies) 1(alerts) 2(critical)3(errors) 4(warnings) 5(notifications)6(information) 7(debugging)Console> (enable)

Konfigurowanie zapory Cisco PIX dla Syslog

proaktywne monitorowanie dzienników zapory jest integralną częścią obowiązków Netadmina. Syslogs zapory sieciowej są przydatne do kryminalistyki, rozwiązywania problemów sieciowych, oceny bezpieczeństwa, ograniczania ataków robaków i wirusów i tak dalej. Kroki konfiguracji umożliwiające wysyłanie wiadomości syslog na PIX są koncepcyjnie podobne do tych dla urządzeń z systemem IOS lub CatOS. Aby skonfigurować zaporę Cisco PIX z systemem PIX OS 4.4 lub nowszym, wykonaj kroki przedstawione w tabelach 4-13 w trybie uprzywilejowanego EXEC.

tabela 4-13. Konfiguracja PIX dla Syslog

krok

Dowództwo

cel

Pixfirewall # Config terminal

wchodzi w tryb konfiguracji globalnej.

Pixfirewall (config)#logging timestamp

Określa, że każda wiadomość syslog powinna mieć wartość znacznika czasu.

Pixfirewall (config)#logging host ip_address

określa serwer syslog, który ma odbierać wiadomości wysyłane z zapory Cisco PIX. Możesz użyć wielu poleceń hosta logowania, aby określić dodatkowe serwery, które będą otrzymywać wiadomości syslog. Protokół to UDP lub TCP. Jednak serwer może być określony tylko do odbioru UDP lub TCP,a nie obu. Zapora Cisco PIX wysyła tylko komunikaty TCP syslog do serwera syslog Cisco PIX Firewall.

Pixfirewall (config) # logging facility facility

określa numer obiektu syslog. Zamiast podać nazwę, PIX używa dwucyfrowego numeru:

local0-16

local1 – 17

local2 – 18

local3 – 19

local4 – 20

local5 – 21

lokal6 – 22

lokal7 – 23

domyślną wartością jest 20.

pixfirewall (config)#rejestrowanie poziomu pułapki

określa poziom wiadomości syslog jako liczbę lub ciąg znaków. Poziom, który określisz, oznacza, że chcesz, aby ten poziom i te wartości były mniejsze niż ten poziom. Na przykład, jeśli poziom jest 3, syslog wyświetla 0, 1, 2 i 3 wiadomości. Możliwe wartości liczb i poziomów ciągów są następujące:

0: awaryjne; komunikaty systemu-bezużyteczne

1: Alarm; podejmij natychmiastowe działanie

2: krytyczny; stan krytyczny

3: błąd; komunikat o błędzie

4: Warning; warning message

5: Notice; normal but significant condition

6: information: information message

7: Debug; debug messages and log commands FTP and WWW URLs

pixfirewall (config) # logowanie

rozpoczyna wysyłanie wiadomości syslog do wszystkich lokalizacji wyjściowych.

pixfirewall (config)#No logging message < message id>

określa wiadomość, która ma zostać usunięta.

pixfirewall (config) # exit

wychodzi z globalnego trybu konfiguracji.

przykład 4-14 przygotowuje zaporę Cisco PIX do wysyłania komunikatów syslog na serwerze syslog local5 oraz Debug i poniżej. Netadmin nie chce, aby Pix logował wiadomość 111005. Serwer syslog ma adres IP 192.168.0.30.

przykład 4-14. Konfigurowanie zapory Cisco PIX dla Syslog

Firewall-Dallas#Firewall-Dallas# config terminalFirewall-Dallas(config)# loggin timeFirewall-Dallas(config)# logging host 192.168.0.30Firewall-Dallas(config)# logging facility 21Firewall-Dallas(config)# logging trap 7Firewall-Dallas(config)# logging onFirewall-Dallas(config)# no logging message 111005rewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 6 messages logged Logging to inside 192.168.0.30 History logging: disabled Device ID: disabled

aby zwiększyć niezawodność, zaporę Cisco PIX można skonfigurować do wysyłania wiadomości syslog przez TCP. Należy pamiętać, że jeśli dysk serwera syslog jest pełny, może zamknąć połączenie TCP. Spowoduje to odmowę usługi, ponieważ zapora Cisco PIX zatrzyma cały ruch do czasu zwolnienia miejsca na dysku serwera syslog. Zarówno Kiwi syslogd Server, jak i PFSS oferują tę funkcję. Kiwi Syslogd ma mechanizm ostrzegania Netadmin poprzez e-mail lub pager, gdy dysk zbliża się do swojej pojemności. Ustawienie można ustalić z okna konfiguracji demona Syslog, jak pokazano na rysunku 4-9, dla konfiguracji Syslog Kiwi.

jeśli PIX zatrzymuje się z powodu stanu pełnego dysku, musisz najpierw zwolnić trochę miejsca na dysku. Następnie wyłącz wiadomości syslog na PIX za pomocą polecenia No logging host host, a następnie ponownie uruchom wiadomości syslog za pomocą polecenia logging host host.

przykład 4-15 pokazuje kroki konfiguracji Zapory Cisco PIX do wysyłania wiadomości syslog na porcie TCP 1468.

przykład 4-15. Konfiguracja PIX dla TCP Syslog

Firewall-Dallas# config terminalFirewall-Dallas(config)# logging host inside 192.168.0.30 tcp/1468Firewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 12 messages logged Logging to inside 192.168.0.30 tcp/1468 History logging: disabled Device ID: disabledFirewall-Dallas#

Konfigurowanie koncentratora Cisco VPN dla Syslog

koncentrator Cisco VPN serii 3000 zapewnia rozwiązanie oparte na urządzeniach do wdrażania funkcji VPN w sieciach zdalnych. Koncentratory VPN są często podłączone równolegle do zapór sieciowych, jak pokazano na rysunku 4-1. Projekt upraszcza zarządzanie siecią, ale stwarza obawy dotyczące bezpieczeństwa. Po uwierzytelnieniu użytkownika za pomocą koncentratorów VPN użytkownik ma pełny dostęp do sieci. To sprawia, że mocny powód do rejestrowania wiadomości z koncentratora VPN. Aby skonfigurować koncentrator Cisco VPN serii 3000 do wysyłania wiadomości syslog, wykonaj następujące czynności:

  1. Zaloguj się do koncentratora VPN za pomocą przeglądarki internetowej.
  2. przejdź do strony serwera syslog, wybierając konfigurację > System > zdarzenia > Serwery Syslog, jak pokazano na rysunku 4-12.
    04fig12.jpg

    rysunek 4-12 koncentrator VPN-Serwer Syslog

  3. na stronie Serwery Syslog kliknij przycisk Dodaj (patrz rysunek 4-12).
  4. wprowadź adres IP serwera syslog i wybierz poziom obiektu z rozwijanego menu obiektu, jak pokazano na rysunku 4-13. Zapisz te ustawienia i wróć do strony serwery Syslog, klikając przycisk Dodaj.
    04fig13.jpg

    rysunek 4-13 koncentrator VPN-Dodaj serwer Syslog

  5. aby wybrać rodzaj wiadomości, które mają zostać wysłane do serwera syslog, przejdź do strony Ogólne wybierając konfigurację > System > zdarzenia > ogólne.
  6. na stronie Ogólne wybierz opcję z menu rozwijanego dotkliwość do Syslog, jak pokazano na rysunku 4-14, i kliknij przycisk Zastosuj.
    04fig14.jpg

    rysunek 4-14 koncentrator VPN-Konfiguracja Ogólna

  7. aby zapisać zmiany konfiguracji, kliknij ikonę Zapisz potrzebne.

jak skonfigurowano w tym przykładzie, koncentrator VPN jest teraz gotowy do wysyłania komunikatów syslog w lokalizacji facility local6, severity 1-5 na serwer 192.168.0.30.