o prezentare generală a Protocolului syslog

configurarea dispozitivelor Cisco pentru a utiliza un Server Syslog

majoritatea dispozitivelor Cisco utilizează protocolul syslog pentru a gestiona jurnalele de sistem și alertele. Dar, spre deosebire de omologii lor PC și server, dispozitivele Cisco nu au spațiu de stocare intern mare pentru stocarea acestor jurnale. Pentru a depăși această limitare, dispozitivele Cisco oferă următoarele două opțiuni:

  • tampon intern— sistemul de operare al dispozitivului alocă o mică parte din tampoanele de memorie pentru a înregistra cele mai recente mesaje. Dimensiunea tamponului este limitată la câțiva kilobiți. Această opțiune este activată în mod implicit. Cu toate acestea, atunci când dispozitivul repornește, aceste mesaje syslog sunt pierdute.
  • Syslog— utilizați un protocol syslog în stil UNIX pentru a trimite mesaje către un dispozitiv extern pentru stocare. Dimensiunea de stocare nu depinde de resursele routerului și este limitată doar de spațiul disponibil pe disc pe serverul syslog extern. Această opțiune nu este activată în mod implicit.

Pentru a activa funcționalitatea syslog într-o rețea Cisco, trebuie să configurați clientul syslog încorporat în dispozitivele Cisco.

dispozitivele Cisco utilizează un nivel de severitate al avertismentelor prin situații de urgență pentru a genera mesaje de eroare despre defecțiuni software sau hardware. Nivelul de depanare afișează ieșirea comenzilor de depanare. Nivelul de notificare afișează interfața tranziții în sus sau în jos și mesaje de repornire a sistemului. Nivelul Informațional reîncarcă cererile și mesajele cu stivă redusă.

Configurarea routerelor Cisco pentru Syslog

Pentru a configura un router Cisco IOS pentru trimiterea mesajelor Syslog către un server syslog extern, urmați pașii din tabelul 4-11 utilizând modul EXEC privilegiat.

tabelul 4-11. Configurarea routerelor Cisco pentru Syslog

pas

comandă

scop

Router # configurează terminalul

intră în modul de configurare globală.

Router (config) # serviciu timestamps tip datetime

instruiește sistemul să timestamp mesaje syslog; opțiunile pentru cuvântul cheie de tip sunt debug și log.

Router (config) # gazdă de logare

specifică serverul syslog după adresa IP sau numele gazdei; puteți specifica mai multe servere.

Router (config) # nivelul capcanei de logare

specifică tipul de mesaje, în funcție de nivelul de severitate, care trebuie trimise către serverul syslog. Valoarea implicită este informațională și mai mică. Valorile posibile pentru nivel sunt următoarele:

urgență: 0
alertă: 1
critic: 2
eroare: 3
avertisment: 4
notificare: 5
Informațional: 6
depanare: 7

utilizați nivelul de depanare cu precauție, deoarece poate genera o cantitate mare de trafic de syslog într-o rețea aglomerată.

Router (config) # logare facilitate facilitate-tip

Specifică nivelul facilității utilizat de mesajele syslog; valoarea implicită este local7. Valorile posibile sunt local0, local1, local2, local3, local4, local5, local6 și local7.

Router (configurare) # sfârșit

revine la modul EXEC privilegiat.

Router# arată înregistrarea în jurnal

afișează configurația de logare.

exemplu 4-12 pregătește un router Cisco pentru a trimite mesaje syslog la facilitatea local3. De asemenea, routerul va trimite mesaje doar cu o severitate de avertizare sau mai mare. Serverul syslog se află pe o mașină cu o adresă IP de 192.168.0.30.

exemplul 4-12. Configurarea routerului pentru Syslog

Router-Dallas#Router-Dallas#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router-Dallas(config)#logging 192.168.0.30Router-Dallas(config)#service timestamps debug datetime localtime show-timezone msecRouter-Dallas(config)#service timestamps log datetime localtime show-timezone msecRouter-Dallas(config)#logging facility local3Router-Dallas(config)#logging trap warningRouter-Dallas(config)#endRouter-Dallas#show loggingSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 79 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: disabled Trap logging: level warnings, 80 message lines logged Logging to 192.168.0.30, 57 message lines logged

Configurarea unui switch Cisco pentru Syslog

Pentru a configura un switch Cisco catos pentru trimiterea mesajelor Syslog către un server syslog extern, utilizați comenzile privilegiate EXEC mode prezentate în tabelul 4-12.

tabelul 4-12. Configurarea unui comutator Cisco pentru Syslog

pas

comandă

scop

comutator>(activare) Setați marcajul temporal de înregistrare {activare / dezactivare}

configurează sistemul la mesajele timestamp.

comutați >(activați) setați adresa IP a serverului de logare

specifică adresa IP a serverului syslog; pot fi specificate maximum trei servere.

comutați >(activați) setați severitatea serverului de logare server_severity_level

limitează mesajele care sunt înregistrate la serverele syslog în funcție de nivelul de severitate.

comutator>(permite) set logare Server facilitatea server_facility_parameter

Specifică nivelul instalației care ar fi utilizat în mesaj. Valoarea implicită este local7. În afară de numele instalațiilor standard enumerate în tabelul 4-1, comutatoarele Cisco Catalyst utilizează nume de facilități specifice comutatorului. Următoarele niveluri de facilitate generează mesaje syslog cu niveluri de severitate fixe:

5: sistem, dinamic-Trunking-Protocol, Port-agregare-Protocol, Management, comutare multistrat

4: CDP, UDLD

2: alte facilități

comutator >(enable) setați serverul de logare enable

permite comutatorului să trimită mesaje syslog către serverele syslog.

comutare>(activare) afișare înregistrare în jurnal

afișează configurația de logare.

exemplul 4-13 pregătește un comutator bazat pe CatOS pentru a trimite mesaje syslog la facilitatea local4. De asemenea, comutatorul va trimite doar mesaje cu o severitate de avertizare sau mai mare. Serverul syslog se află pe o mașină cu o adresă IP de 192.168.0.30.

exemplul 4-13. Configurarea comutatorului bazat pe CatOS pentru Syslog

Console> (enable) set logging timestamp enableSystem logging messages timestamp will be enabled.Console> (enable) set logging server 192.168.0.30192.168.0.30 added to System logging server table.Console> (enable) set logging server facility local4System logging server facility set to <local4>Console> (enable) set logging server severity 4System logging server severity set to <4>Console> (enable) set logging server enableSystem logging messages will be sent to the configured syslog servers.Console> (enable) show loggingLogging buffered size: 500timestamp option: enabledLogging history size: 1Logging console: enabledLogging server: enabled{192.168.0.30}server facility: LOCAL4server severity: warnings(4Current Logging Session: enabledFacility Default Severity Current Session Severity------------- ----------------------- ------------------------cdp 3 4drip 2 4dtp 5 4dvlan 2 4earl 2 4fddi 2 4filesys 2 4gvrp 2 4ip 2 4kernel 2 4mcast 2 4mgmt 5 4mls 5 4pagp 5 4protfilt 2 4pruning 2 4radius 2 4security 2 4snmp 2 4spantree 2 4sys 5 4tac 2 4tcp 2 4telnet 2 4tftp 2 4udld 4 4vmps 2 4vtp 2 40(emergencies) 1(alerts) 2(critical)3(errors) 4(warnings) 5(notifications)6(information) 7(debugging)Console> (enable)

Configurarea unui Firewall Cisco PIX pentru Syslog

monitorizarea proactivă a jurnalelor firewall este o parte integrantă a îndatoririlor Netadmin. Syslog-urile firewall sunt utile pentru criminalistică, depanarea rețelei, Evaluarea securității, atenuarea atacurilor de viermi și viruși și așa mai departe. Pașii de configurare pentru activarea mesajelor syslog pe un PIX sunt similari conceptual cu cei pentru dispozitivele bazate pe IOS sau CatOS. Pentru a configura un Firewall Cisco PIX cu PIX OS 4.4 și versiuni ulterioare, efectuați pașii prezentați în tabelul 4-13 în modul EXEC privilegiat.

tabelul 4-13. Configurare PIX pentru Syslog

pas

comandă

scop

Pixfirewall # Config terminal

intră în modul de configurare globală.

Pixfirewall (config) # marcaj de timp pentru logare

specifică faptul că fiecare mesaj syslog ar trebui să aibă o valoare timestamp.

Pixfirewall (config) # logare gazdă ip_address

specifică un server syslog care urmează să primească mesajele trimise de la Firewall-ul Cisco PIX. Puteți utiliza mai multe comenzi gazdă de logare pentru a specifica servere suplimentare care ar primi toate mesajele syslog. Protocolul este UDP sau TCP. Cu toate acestea, un server poate fi specificat doar pentru a primi fie UDP, fie TCP, nu ambele. Un firewall Cisco PIX trimite numai mesaje TCP syslog la serverul Cisco PIX Firewall Syslog.

Pixfirewall (config) # facilitate de logare

specifică numărul facilității syslog. În loc de a specifica numele, PIX utilizează un număr de 2 cifre, după cum urmează:

local0-16

local1 – 17

local2 – 18

local3 – 19

local4 – 20

local5 – 21

local6 – 22

local7 – 23

valoarea implicită este 20.

pixfirewall (config) # nivel de capcană de logare

Specifică nivelul mesajului syslog ca număr sau șir. Nivelul pe care îl specificați înseamnă că doriți acel nivel și acele valori mai mici decât acel nivel. De exemplu, dacă nivelul este 3, syslog afișează 0, 1, 2 și 3 mesaje. Valorile posibile ale numărului și ale nivelului șirurilor sunt următoarele:

0: urgență; mesaje inutilizabile de sistem

1: alertă; luați măsuri imediate

2: critic; stare critică

3: eroare; mesaj de eroare

4: Avertisment; mesaj de avertizare

5: Notificare; stare normală, dar semnificativă

6: Informațional: mesaj de informare

7: Depanare; mesaje de depanare și comenzi FTP jurnal și URL-uri WWW

pixfirewall (config)#logare pe

începe trimiterea de mesaje syslog la toate locațiile de ieșire.

pixfirewall (config)#nici un mesaj de logare < ID mesaj>

specifică un mesaj care trebuie suprimat.

pixfirewall (config) # ieșire

iese din modul de configurare globală.

exemplul 4-14 pregătește Firewall-ul Cisco PIX pentru a trimite mesaje syslog la facilitatea local5 și severity debug și mai jos la serverul syslog. Netadmin nu dorește ca PIX să înregistreze mesajul 111005. Serverul syslog are o adresă IP de 192.168.0.30.

exemplul 4-14. Configurarea unui Firewall Cisco PIX pentru Syslog

Firewall-Dallas#Firewall-Dallas# config terminalFirewall-Dallas(config)# loggin timeFirewall-Dallas(config)# logging host 192.168.0.30Firewall-Dallas(config)# logging facility 21Firewall-Dallas(config)# logging trap 7Firewall-Dallas(config)# logging onFirewall-Dallas(config)# no logging message 111005rewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 6 messages logged Logging to inside 192.168.0.30 History logging: disabled Device ID: disabled

Pentru fiabilitate adăugată, Firewall-ul Cisco PIX poate fi configurat pentru a trimite mesaje syslog prin TCP. Rețineți că, dacă discul serverului syslog este plin, acesta poate închide conexiunea TCP. Acest lucru va provoca o negare a serviciului, deoarece Firewall-ul Cisco PIX va opri tot traficul până când spațiul pe disc al serverului syslog este eliberat. Atât serverul Kiwi syslogd, cât și PFSS oferă această caracteristică. Kiwi Syslogd are un mecanism de alertă pentru a avertiza Netadmin prin e-mail sau pager atunci când discul se apropie de capacitatea sa. Setarea poate fi stabilită din fereastra de configurare Syslog Daemon, așa cum se arată în figura 4-9, pentru configurarea Kiwi Syslog.

dacă PIX se oprește din cauza unei condiții complete a discului, trebuie mai întâi să eliberați spațiu pe disc. Apoi dezactivați mesajele syslog pe PIX utilizând comanda no logging host host, urmată de reactivarea mesajelor syslog utilizând comanda host host logging.

exemplul 4-15 arată pașii de configurare pentru un Firewall Cisco PIX pentru a trimite mesaje syslog la portul TCP 1468.

exemplul 4-15. Configurare PIX pentru TCP Syslog

Firewall-Dallas# config terminalFirewall-Dallas(config)# logging host inside 192.168.0.30 tcp/1468Firewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 12 messages logged Logging to inside 192.168.0.30 tcp/1468 History logging: disabled Device ID: disabledFirewall-Dallas#

Configurarea unui Concentrator Cisco VPN pentru Syslog

Concentratorul Cisco VPN 3000 Series oferă o soluție bazată pe aparate pentru implementarea funcționalității VPN în rețelele la distanță. Concentratoarele VPN sunt adesea conectate paralel cu firewall-urile, așa cum se arată mai devreme în figura 4-1. Designul simplifică gestionarea rețelei, dar creează probleme de securitate. După ce un utilizator a fost autentificat prin concentratoare VPN, utilizatorul are acces complet la rețea. Acest lucru face un caz puternic pentru logarea mesajelor de la concentratorul VPN. Pentru a configura Concentratorul Cisco VPN 3000 Series pentru trimiterea mesajelor syslog, urmați acești pași:

  1. Conectați-vă la concentratorul VPN utilizând un browser web.
  2. navigați la pagina serverului syslog alegând configurare > sistem > evenimente > Servere Syslog, așa cum se arată în figura 4-12.
    04fig12.jpg

    figura 4-12 VPN Concentrator-Syslog Server

  3. pe pagina Servere Syslog, faceți clic pe butonul Adăugare (vezi figura 4-12).
  4. introduceți adresa IP a serverului syslog și selectați nivelul facilității din meniul derulant Facility, așa cum se arată în figura 4-13. Salvați aceste setări și reveniți la pagina serverelor Syslog făcând clic pe butonul Adăugare.

    figura 4-13 Concentrator VPN-adăugați server Syslog

  5. pentru a selecta tipul de mesaje care urmează să fie trimise către serverul syslog, navigați la pagina General alegând configurare > sistem > evenimente > General.
  6. în pagina General, selectați o opțiune din meniul derulant Severity to syslog, așa cum se arată în figura 4-14, și faceți clic pe butonul Apply.
    04fig14.jpg

    figura 4-14 Concentrator VPN-configurație generală

  7. pentru a salva modificările de configurare, faceți clic pe pictograma Salvare necesară.

așa cum este configurat în acest exemplu, concentratorul VPN este acum gata să trimită mesaje syslog la facilitatea local6, severitatea 1-5 la serverul 192.168.0.30.