Uma Visão geral do Protocolo syslog
Configurar Dispositivos da Cisco para Usar um Servidor Syslog
a Maioria dos dispositivos da Cisco usa o protocolo syslog para gerenciar o sistema de alertas e logs. Mas ao contrário de seus homólogos PC e servidor, os dispositivos Cisco não possuem grande espaço interno de armazenamento para armazenar esses logs. Para superar esta limitação, os dispositivos Cisco oferecem as duas opções seguintes::
- buffer interno— o sistema operacional do dispositivo aloca uma pequena parte dos buffers de memória para registrar as mensagens mais recentes. O tamanho do buffer é limitado a poucos kilobytes. Esta opção está activa por omissão. No entanto, quando o dispositivo reiniciar, estas mensagens syslog são perdidas.
- Syslog-Use um protocolo SYSLOG estilo UNIX para enviar mensagens para um dispositivo externo para armazenamento. O tamanho do armazenamento não depende dos recursos do roteador e é limitado apenas pelo espaço em disco disponível no servidor syslog externo. Esta opção não está activa por omissão.
Para activar a funcionalidade syslog numa rede da Cisco, deverá configurar o cliente de syslog incorporado nos dispositivos da Cisco.
os dispositivos Cisco usam um nível de gravidade de avisos através de emergências para gerar mensagens de erro sobre falhas de software ou hardware. O nível de depuração mostra o resultado dos comandos de depuração. O nível de aviso mostra as transições para cima ou para baixo e as mensagens de reinício do sistema. O nível de informação recarrega pedidos e mensagens de pilha de baixo processo.
configurar os roteadores da Cisco para o Syslog
Para configurar um router baseado no IOS da Cisco para enviar mensagens do syslog para um servidor de syslog externo, siga os passos da tabela 4-11 usando o modo EXEC privilegiado.
quadro 4-11. Configuração de Roteadores Cisco, para o Syslog
Passo |
Comando |
Propósito |
Router# configure terminal |
Entra no modo de configuração global. |
|
Router (config)# service timestamps type datetime |
instrui o sistema para marcar a hora das mensagens do syslog; as opções para a palavra-chave do tipo são a depuração e o registo. |
|
Router(config)#o log de host |
Especifica o servidor syslog por endereço IP ou nome de host; você pode especificar vários servidores. |
|
Router (configuração)# logging trap level |
especifica o tipo de mensagens, por nível de gravidade, a serem enviadas para o servidor syslog. O padrão é informativo e inferior. Os valores possíveis para o nível são as seguintes: Emergência: 0 Usar o nível de depuração com cautela, porque pode gerar uma grande quantidade de syslog tráfego em uma rede ocupada. |
|
Router (config)# instalação de Registo-tipo |
especifica o nível de instalação usado pelas mensagens syslog; o padrão é local7. Os valores possíveis são local0, local1, local2, local3, local4, local5, local6 e local7. |
|
Router(config)# End |
Retorna ao modo EXEC privilegiado. |
|
Router# mostrar o registo |
mostra a configuração do registo. |
exemplo 4-12 prepara um roteador da Cisco para enviar mensagens syslog na instalação local3. Além disso, o Roteador só enviará mensagens com uma severidade de aviso ou superior. O servidor syslog está em uma máquina com um endereço IP de 192.168.0.30.
exemplo 4-12. Configuração do Router para o Syslog
Router-Dallas#Router-Dallas#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router-Dallas(config)#logging 192.168.0.30Router-Dallas(config)#service timestamps debug datetime localtime show-timezone msecRouter-Dallas(config)#service timestamps log datetime localtime show-timezone msecRouter-Dallas(config)#logging facility local3Router-Dallas(config)#logging trap warningRouter-Dallas(config)#endRouter-Dallas#show loggingSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 79 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: disabled Trap logging: level warnings, 80 message lines logged Logging to 192.168.0.30, 57 message lines logged
configurar um comutador da Cisco para o Syslog
Para configurar um comutador baseado em CatOS da Cisco para enviar mensagens do syslog para um servidor de syslog externo, use os comandos privilegiados do modo EXEC apresentados na tabela 4-12.
quadro 4-12. Configurar um Cisco Switch para o Syslog
Passo |
Comando |
Propósito |
Parâmetro>(enable) definir o log de carimbo de data / hora {ativar | desativar} |
Configura o sistema para mensagens de carimbo de data / hora. |
|
Parâmetro>(enable) definir o log server ip-endereço |
Especifica o endereço IP do servidor syslog; um máximo de três servidores podem ser especificados. |
|
Switch>(activar) definir a gravidade do servidor de Registo server_severity_level |
limita as mensagens que são conectadas aos servidores syslog por nível de gravidade. |
|
Switch>(activar) set logging Server facility server_ facility_parameter |
especifica o nível de facilidade que seria usado na mensagem. O padrão é local7. Além dos nomes de instalações padrão listados na tabela 4-1, a Cisco Catalyst switches usa nomes de instalações que são específicos ao switch. As seguintes instalações níveis de gerar mensagens syslog fixa, com níveis de gravidade: 5: Sistema Dinâmico de Calhas-Protocolo, Porta-Agregação-Protocolo, de Gestão, de Multicamadas de Comutação 4: CDP, UDLD 2: Outras instalações |
|
Parâmetro>(enable) definir o log do servidor ativar |
Permite que o switch para enviar mensagens syslog para o syslog servidores. |
|
mudar para>(activar) mostrar o registo |
mostra a configuração do registo. |
exemplo 4-13 prepara um interruptor baseado em CatOS para enviar mensagens syslog na instalação local4. Além disso, o interruptor só irá enviar mensagens com uma severidade de aviso ou superior. O servidor syslog está em uma máquina com um endereço IP de 192.168.0.30.
exemplo 4-13. A configuração de Switch baseada em CatOS para o Syslog
Console> (enable) set logging timestamp enableSystem logging messages timestamp will be enabled.Console> (enable) set logging server 192.168.0.30192.168.0.30 added to System logging server table.Console> (enable) set logging server facility local4System logging server facility set to <local4>Console> (enable) set logging server severity 4System logging server severity set to <4>Console> (enable) set logging server enableSystem logging messages will be sent to the configured syslog servers.Console> (enable) show loggingLogging buffered size: 500timestamp option: enabledLogging history size: 1Logging console: enabledLogging server: enabled{192.168.0.30}server facility: LOCAL4server severity: warnings(4Current Logging Session: enabledFacility Default Severity Current Session Severity------------- ----------------------- ------------------------cdp 3 4drip 2 4dtp 5 4dvlan 2 4earl 2 4fddi 2 4filesys 2 4gvrp 2 4ip 2 4kernel 2 4mcast 2 4mgmt 5 4mls 5 4pagp 5 4protfilt 2 4pruning 2 4radius 2 4security 2 4snmp 2 4spantree 2 4sys 5 4tac 2 4tcp 2 4telnet 2 4tftp 2 4udld 4 4vmps 2 4vtp 2 40(emergencies) 1(alerts) 2(critical)3(errors) 4(warnings) 5(notifications)6(information) 7(debugging)Console> (enable)
configurar uma Firewall Pix da Cisco para o Syslog
o monitoramento proativo de logs de firewall é parte integrante dos deveres de um Netadmin. Os firewall syslogs são úteis para a ciência forense, resolução de problemas de rede, avaliação de segurança, mitigação de ataques de vírus e vírus, e assim por diante. Os passos de configuração para permitir mensagens syslog em um PIX são conceitualmente semelhantes aos para dispositivos baseados em IOS ou CatOS. Para configurar uma Firewall do Pix da Cisco com o PIX OS 4.4 e acima, execute os passos mostrados na tabela 4-13 no modo EXEC privilegiado.
quadro 4-13. PIX Configuração do Syslog
Passo |
Comando |
Propósito |
Pixfirewall# config terminal |
Entra no modo de configuração global. |
|
Pixfirewall (configuração)#registo da hora |
indica que cada mensagem do syslog deve ter um valor de data. |
|
Pixfirewall(config)#logging host ip_address |
Especifica um servidor syslog para receber as mensagens enviadas a partir do Cisco PIX Firewall. Você pode usar vários comandos de máquina de registo para especificar servidores adicionais que todos receberiam as mensagens do syslog. O protocolo é UDP ou TCP. No entanto, um servidor só pode ser especificado para receber UDP ou TCP, não ambos. Uma Firewall do Cisco PIX só envia mensagens do TCP syslog para o servidor de Firewall do Cisco PIX. |
|
instalação do Pixfirewall (config)#logging |
especifica o número da instalação syslog. Em vez de especificar o nome, o PIX usa um número de 2 dígitos, como segue: local0 – 16 local1 – 17 local2 – 18 local3 – 19 local4 – 20 local5 – 21 local6 – 22 local7 – 23 O padrão é 20. |
|
pixfirewall(config)#logging armadilha de nível |
Especifica a mensagem syslog nível como um número ou cadeia de caracteres. O nível que você especifica significa que você quer esse nível e esses valores menos do que esse nível. Por exemplo, se o nível é 3, o syslog exibe 0, 1, 2 e 3 mensagens. 0: emergência; mensagens inutilizáveis do sistema 1: Alerta; tomar medidas imediatas 2: condição crítica 3: erro; mensagem de erro 4: Aviso de mensagem de aviso 5: Aviso prévio; condição normal mas significante 6: Informativo: informação de mensagem 7: Debug; mensagens de depuração de log e de comandos de FTP e WWW URLs |
|
pixfirewall(config)#logging no |
Começa o envio de mensagens syslog para todos os locais de saída. |
|
pixfirewall(config)#nenhuma mensagem de log <id da mensagem> |
Especifica uma mensagem para ser suprimidos. |
|
pixfirewall(config)#exit |
Sai do modo de configuração global. |
o exemplo 4-14 prepara a Firewall do Pix da Cisco para enviar mensagens do syslog na depuração local e severidade da instalação e abaixo para o servidor do syslog. O Netadmin não quer que o PIX registre a mensagem 111005. O servidor syslog tem um endereço IP de 192.168.0.30.
exemplo 4-14. Configurando uma Firewall do Pix da Cisco para o Syslog
Firewall-Dallas#Firewall-Dallas# config terminalFirewall-Dallas(config)# loggin timeFirewall-Dallas(config)# logging host 192.168.0.30Firewall-Dallas(config)# logging facility 21Firewall-Dallas(config)# logging trap 7Firewall-Dallas(config)# logging onFirewall-Dallas(config)# no logging message 111005rewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 6 messages logged Logging to inside 192.168.0.30 History logging: disabled Device ID: disabled
Para fiabilidade adicionada, a Firewall do Pix da Cisco pode ser configurada para enviar mensagens do syslog através do TCP. Por favor, note que se o disco do servidor syslog estiver cheio, ele pode fechar a conexão TCP. Isto irá causar uma negação de serviço porque a Firewall do Cisco PIX irá parar todo o tráfego até que o espaço em disco do servidor syslog seja liberado. Ambos Kiwi Syslogd Server e PFSS oferecem este recurso. Kiwi Syslogd tem um mecanismo de alerta para avisar o Netadmin por e-mail ou pager quando o disco está se aproximando de sua capacidade. A configuração pode ser estabelecida a partir da janela de configuração do Servidor Syslog, como mostrado na figura 4-9, para a configuração do syslog Kiwi.
se o PIX parar por causa de uma condição cheia de disco, você deve primeiro libertar algum espaço em disco. Em seguida, desactivar as mensagens do syslog no PIX, usando o comando no logging host host, seguido de reactivar as mensagens do syslog usando o comando logging host host.
exemplo 4-15 mostra os passos de configuração para uma Firewall Pix da Cisco para enviar mensagens syslog na porta tcp 1468.
exemplo 4-15. Configuração do PIX para o TCP Syslog
Firewall-Dallas# config terminalFirewall-Dallas(config)# logging host inside 192.168.0.30 tcp/1468Firewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 12 messages logged Logging to inside 192.168.0.30 tcp/1468 History logging: disabled Device ID: disabledFirewall-Dallas#
configurar um concentrador de VPN da Cisco para o Syslog
o concentrador da série VPN 3000 da Cisco fornece uma solução baseada num aparelho para a implantação de funcionalidade VPN através de redes remotas. Concentradores de VPN são frequentemente conectados paralelamente às firewalls, como mostrado anteriormente na figura 4-1. O projeto simplifica a gestão da rede, mas cria preocupações de segurança. Depois de um usuário ter sido autenticado através de concentradores de VPN, o usuário tem acesso completo à rede. Isto faz um caso forte para registrar as mensagens do concentrador VPN. Para configurar o concentrador da série VPN 3000 da Cisco para enviar mensagens syslog, siga estes passos:
- entre no concentrador de VPN usando um navegador web.
- navegar para a página do servidor syslog escolhendo a configuração > sistema > eventos > servidores Syslog, como mostrado na figura 4-12.
figura 4-12 Concentrador de VPN-Servidor Syslog
- na página de servidores Syslog, carregue no botão Adicionar (ver Figura 4-12).
- digite o endereço IP do servidor syslog e selecione o nível da instalação a partir do menu de instalação, como mostrado na figura 4-13. Grava esta configuração e volta para a página de Servidores de Syslog, carregando no botão Adicionar.
Figura 4-13 Concentrador VPN—Adicionar Syslog Server
- Para selecionar o tipo de mensagens que são enviadas ao syslog server, navegue para a página Geral escolhendo a Configuração > Sistema > Eventos > Geral.
- na página Geral, seleccione uma opção do Menu gravidade para a lista Syslog, como mostrado na figura 4-14, e carregue no botão Aplicar.
figura 4-14 Concentrador de VPN-Configuração Geral
- para gravar as alterações de configuração, carregue no ícone Gravar necessário.
conforme configurado neste exemplo, o concentrador de VPN está agora pronto para enviar mensagens syslog na instalação local6, severidade 1-5 para o servidor 192.168.0.30.