en översikt över syslog-protokollet

BY admin
|

konfigurera Cisco-enheter för att använda en Syslog-Server

de flesta Cisco-enheter använder syslog-protokollet för att hantera systemloggar och varningar. Men till skillnad från deras PC och server motsvarigheter, Cisco-enheter saknar stort internt lagringsutrymme för att lagra dessa loggar. För att övervinna denna begränsning erbjuder Cisco-enheter följande två alternativ:

  • intern buffert— enhetens operativsystem allokerar en liten del av minnesbuffertarna för att logga de senaste meddelandena. Buffertstorleken är begränsad till få kilobyte. Det här alternativet är aktiverat som standard. Men när enheten startar om, förloras dessa syslog-meddelanden.
  • Syslog-Använd ett UNIX-stil SYSLOG-protokoll för att skicka meddelanden till en extern enhet för lagring. Lagringsstorleken beror inte på routerns resurser och begränsas endast av det tillgängliga diskutrymmet på den externa syslog-servern. Det här alternativet är inte aktiverat som standard.

för att aktivera syslog-funktionalitet i ett Cisco-nätverk måste du konfigurera den inbyggda syslog-klienten i Cisco-enheterna.

Cisco-enheter använder en svårighetsgrad av varningar genom nödsituationer för att generera felmeddelanden om programvaru-eller hårdvarufel. Felsökningsnivån visar utdata från felsökningskommandon. Meddelandenivån visar gränssnitt upp eller ner övergångar och system omstart meddelanden. Informationsnivån laddar om förfrågningar och meddelanden med låg process.

konfigurera Cisco-routrar för Syslog

för att konfigurera en Cisco IOS – baserad router för att skicka syslog-meddelanden till en extern syslog-server, följ stegen i tabell 4-11 med privilegierat EXEC-läge.

tabell 4-11. Konfigurera Cisco-routrar för Syslog

steg

kommando

syfte

Router # konfigurera terminal

går in i globalt konfigurationsläge.

Router (config) # tjänst tidsstämplar typ datetime

instruerar systemet att tidsstämpla syslog-meddelanden; alternativen för typen nyckelord är debug och log.

Router (config) # loggning värd

anger syslog-servern efter IP-adress eller värdnamn; du kan ange flera servrar.

Router (config) # loggning fälla nivå

anger vilken typ av meddelanden, efter svårighetsgrad, som ska skickas till syslog-servern. Standard är informativ och lägre. De möjliga värdena för nivå är följande:

nödsituation: 0
Varning: 1
kritisk: 2
fel: 3
Varning: 4
meddelande: 5
informativ: 6
Debug: 7

använd felsökningsnivån med försiktighet, eftersom den kan generera en stor mängd syslog-trafik i ett upptaget nätverk.

Router (config) # loggning anläggning anläggning-typ

anger anläggnings nivå som används av syslog meddelanden; standard är local7. Möjliga värden är local0, local1, local2, local3, local4, local5, local6 och local7.

Router (config) # slut

återgår till privilegierat EXEC-läge.

Router # visa loggning

visar loggningskonfiguration.

exempel 4-12 förbereder en Cisco-router för att skicka syslog meddelanden på anläggningen local3. Dessutom skickar routern bara meddelanden med en varning eller högre. Syslog-servern finns på en maskin med en IP-adress på 192.168.0.30.

exempel 4-12. Routerkonfiguration för Syslog

Router-Dallas#Router-Dallas#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router-Dallas(config)#logging 192.168.0.30Router-Dallas(config)#service timestamps debug datetime localtime show-timezone msecRouter-Dallas(config)#service timestamps log datetime localtime show-timezone msecRouter-Dallas(config)#logging facility local3Router-Dallas(config)#logging trap warningRouter-Dallas(config)#endRouter-Dallas#show loggingSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 79 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: disabled Trap logging: level warnings, 80 message lines logged Logging to 192.168.0.30, 57 message lines logged

konfigurera en Cisco-Switch för Syslog

för att konfigurera en Cisco CatOS-baserad switch för att skicka syslog-meddelanden till en extern syslog-server, använd de privilegierade EXEC-lägeskommandon som visas i tabell 4-12.

tabell 4-12. Konfigurera en Cisco Switch för Syslog

steg

kommando

syfte

växla>(aktivera) Ställ in loggningstidsstämpel {aktivera / inaktivera}

konfigurerar systemet till tidsstämpelmeddelanden.

växla>(aktivera) ange loggning server ip-adress

anger IP-adressen för syslog-servern; högst tre servrar kan anges.

växla>(aktivera) Ställ in loggning server svårighetsgrad server_severity_level

begränsar meddelanden som loggas till syslog-servrarna efter svårighetsgrad.

växla>(aktivera) Ställ in loggning server facility server_facility_parameter

anger den anläggningsnivå som ska användas i meddelandet. Standardvärdet är local7. Bortsett från de vanliga anläggningsnamn som anges i tabell 4-1, Cisco Catalyst switchar använder anläggningsnamn som är specifika för växeln. Följande anläggningsnivåer genererar syslog-meddelanden med fasta svårighetsgrader:

5: system, Dynamic-Trunking-Protocol, Port-Aggregation-Protocol, Management, Multilayer Switching

4: CDP, UDLD

2: andra anläggningar

växla>(aktivera) Ställ in loggningsserver aktivera

aktiverar växeln för att skicka syslog-meddelanden till syslog-servrarna.

växla>(aktivera) Visa loggning

visar loggningskonfigurationen.

exempel 4-13 förbereder en CatOS-baserad switch för att skicka syslog-meddelanden på facility local4. Dessutom kommer växeln bara skicka meddelanden med en svårighetsgrad av varning eller högre. Syslog-servern finns på en maskin med en IP-adress på 192.168.0.30.

exempel 4-13. CatOS-baserade Switch konfiguration för Syslog

Console> (enable) set logging timestamp enableSystem logging messages timestamp will be enabled.Console> (enable) set logging server 192.168.0.30192.168.0.30 added to System logging server table.Console> (enable) set logging server facility local4System logging server facility set to <local4>Console> (enable) set logging server severity 4System logging server severity set to <4>Console> (enable) set logging server enableSystem logging messages will be sent to the configured syslog servers.Console> (enable) show loggingLogging buffered size: 500timestamp option: enabledLogging history size: 1Logging console: enabledLogging server: enabled{192.168.0.30}server facility: LOCAL4server severity: warnings(4Current Logging Session: enabledFacility Default Severity Current Session Severity------------- ----------------------- ------------------------cdp 3 4drip 2 4dtp 5 4dvlan 2 4earl 2 4fddi 2 4filesys 2 4gvrp 2 4ip 2 4kernel 2 4mcast 2 4mgmt 5 4mls 5 4pagp 5 4protfilt 2 4pruning 2 4radius 2 4security 2 4snmp 2 4spantree 2 4sys 5 4tac 2 4tcp 2 4telnet 2 4tftp 2 4udld 4 4vmps 2 4vtp 2 40(emergencies) 1(alerts) 2(critical)3(errors) 4(warnings) 5(notifications)6(information) 7(debugging)Console> (enable)

konfigurera en Cisco PIX brandvägg för Syslog

proaktiv övervakning av brandvägg loggar är en integrerad del av en Netadmin arbetsuppgifter. Brandväggen syslogs är användbara för kriminalteknik, nätverksfelsökning, säkerhetsutvärdering, mask och virusattack begränsning, och så vidare. Konfigurationsstegen för att aktivera syslog-meddelanden på en PIX liknar konceptuellt de för IOS – eller CatOS-baserade enheter. För att konfigurera en Cisco PIX-brandvägg med PIX OS 4.4 och senare, utför stegen som visas i tabell 4-13 i privilegierat EXEC-läge.

tabell 4-13. PIX-konfiguration för Syslog

steg

kommando

syfte

Pixfirewall # config terminal

går in i globalt konfigurationsläge.

Pixfirewall (config) # loggningstidsstämpel

anger att varje syslog-meddelande ska ha ETT tidsstämpelvärde.

Pixfirewall (config) # loggning värd ip_address

anger en syslog-server som ska ta emot meddelanden som skickas från Cisco PIX-brandväggen. Du kan använda flera loggningsvärdkommandon för att ange ytterligare servrar som alla skulle ta emot syslog-meddelandena. Protokollet är UDP eller TCP. En server kan dock bara anges för att ta emot antingen UDP eller TCP, inte båda. En Cisco PIX-brandvägg skickar bara TCP syslog-meddelanden till Cisco PIX Firewall syslog-servern.

Pixfirewall (config) # loggning anläggning anläggning

anger syslog-anläggningens nummer. I stället för att ange namnet använder PIX ett 2-siffrigt nummer enligt följande:

local0 – 16

local1 – 17

local2 – 18

local3 – 19

local4 – 20

local5 – 21

LOCAL6 – 22

local7 – 23

standardvärdet är 20.

pixfirewall (config) # loggning fälla nivå

anger syslog-meddelandenivån som ett tal eller en sträng. Nivån som du anger betyder att du vill ha den nivån och de värdena mindre än den nivån. Till exempel, om nivå är 3, visar syslog 0, 1, 2 och 3 meddelanden. Möjliga tal – och strängnivåvärden är följande:

0: nödsituation; system-oanvändbara meddelanden

1: Varning; vidta omedelbara åtgärder

2: kritisk; kritiskt tillstånd

3: Fel; felmeddelande

4: Varning; varningsmeddelande

5: meddelande; normalt men signifikant tillstånd

6: informativt: informationsmeddelande

7: Debug; felsöka meddelanden och logga FTP-kommandon och WWW-webbadresser

pixfirewall (config) # logga in

börjar skicka syslog-meddelanden till alla utgångsplatser.

pixfirewall (config) # inget loggningsmeddelande <meddelande-id>

anger ett meddelande som ska undertryckas.

pixfirewall (config) # avsluta

avslutar det globala konfigurationsläget.

exempel 4-14 förbereder Cisco PIX-brandväggen för att skicka syslog-meddelanden på facility local5 och severity debug och nedan till syslog-servern. Netadmin vill inte att PIX ska logga meddelande 111005. Syslog-servern har en IP-adress på 192.168.0.30.

exempel 4-14. Konfigurera en Cisco PIX-brandvägg för Syslog

Firewall-Dallas#Firewall-Dallas# config terminalFirewall-Dallas(config)# loggin timeFirewall-Dallas(config)# logging host 192.168.0.30Firewall-Dallas(config)# logging facility 21Firewall-Dallas(config)# logging trap 7Firewall-Dallas(config)# logging onFirewall-Dallas(config)# no logging message 111005rewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 6 messages logged Logging to inside 192.168.0.30 History logging: disabled Device ID: disabled

för ökad tillförlitlighet kan Cisco PIX-brandväggen konfigureras för att skicka syslog-meddelanden via TCP. Observera att om syslog-serverdisken är full kan den stänga TCP-anslutningen. Detta kommer att orsaka en överbelastning eftersom Cisco PIX-brandväggen stoppar all trafik tills syslog-serverns diskutrymme frigörs. Både Kiwi Syslogd Server och PFSS erbjuder denna funktion. Kiwi Syslogd har en varningsmekanism för att varna Netadmin via e-post eller personsökare när skivan närmar sig sin kapacitet. Inställningen kan ställas in från inställningsfönstret för Syslog Daemon, som visas i Figur 4-9, för Kiwi syslog-konfiguration.

om PIX stannar på grund av ett diskfullt tillstånd måste du först frigöra lite diskutrymme. Inaktivera sedan syslog-meddelanden på PIX genom att använda kommandot No logging host host, följt av att återaktivera syslog-meddelanden med kommandot loggning host host.

exempel 4-15 visar konfigurationsstegen för en Cisco PIX-brandvägg för att skicka syslog-meddelanden vid TCP-port 1468.

exempel 4-15. PIX-konfiguration för TCP Syslog

Firewall-Dallas# config terminalFirewall-Dallas(config)# logging host inside 192.168.0.30 tcp/1468Firewall-Dallas(config)# exitFirewall-Dallas# show loggingSyslog logging: enabled Facility: 21 Timestamp logging: enabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, 12 messages logged Logging to inside 192.168.0.30 tcp/1468 History logging: disabled Device ID: disabledFirewall-Dallas#

konfigurera en Cisco VPN-koncentrator för Syslog

Cisco VPN 3000 Series Concentrator tillhandahåller en apparatbaserad lösning för att distribuera VPN-funktionalitet över fjärrnätverk. VPN-koncentratorer är ofta anslutna parallellt med brandväggarna, som visas tidigare i Figur 4-1. Designen förenklar hanteringen av nätverket men skapar säkerhetsproblem. Efter att en användare har autentiserats via VPN-koncentratorer har användaren fullständig åtkomst till nätverket. Detta gör ett starkt fall för att logga meddelandena från VPN-koncentratorn. För att konfigurera Cisco VPN 3000 Series Concentrator för att skicka syslog-meddelanden, följ dessa steg:

  1. logga in på VPN-koncentratorn med en webbläsare.
  2. navigera till syslog-serversidan genom att välja konfiguration > System > händelser > Syslog-servrar, som visas i Figur 4-12.
    04fig12.jpg

    figur 4-12 VPN Concentrator-Syslog Server

  3. på sidan Syslog-servrar klickar du på knappen Lägg till (se figur 4-12).
  4. ange IP-adressen för syslog-servern och välj anläggningsnivå i rullgardinsmenyn anläggning, som visas i Figur 4-13. Spara dessa inställningar och återgå till sidan Syslog-servrar genom att klicka på knappen Lägg till.
    04fig13.jpg

    figur 4-13 VPN Concentrator-Lägg Syslog Server

  5. för att välja vilken typ av meddelanden som ska skickas till syslog-servern, navigera till sidan Allmänt genom att välja konfiguration > System > händelser > allmänt.
  6. på sidan Allmänt, välj ett alternativ från rullgardinsmenyn Severity to Syslog, som visas i Figur 4-14, och klicka på Apply-knappen.
    04fig14.jpg

    figur 4-14 VPN-koncentrator-allmän konfiguration

  7. för att spara konfigurationsändringarna, klicka på ikonen Spara behövs.

som konfigurerat i det här exemplet är VPN concentrator nu redo att skicka syslog-meddelanden på facility local6, severity 1-5 till server 192.168.0.30.