» » Конфигурация служебных сообщений Syslog на PIX/ASA 8.x

Лаборатория Сетей Cisco
 
 
 

Конфигурация служебных сообщений Syslog на PIX/ASA 8.x

Автор: HunSolo от 9-07-2013, 14:17, посмотрело: 11099

0 Этот документ показывает как конфигурировать PIX Firewall или ASA версии 8.0 и выше c syslog. Начиная с PIX 7.0 введена модульная технология фильтрации, которая позволяет представить только определенные сообщения. В разделе "Основы Syslog" демонстрируется основы конфигурирования syslog. Раздел "Расширенные функции" показывает новые функции syslog введенные в версию 7.0 и выше

Используйте следующие команды, чтобы включить логирование сообщений, просмотр логов и текущей конфигурации логирования

- logging enable – включает передачу syslog сообщений на все приемники
- no logging enable – выключает логирование
- show logging - показывает содержимое syslog буфера и текущую конфигурацию логирования

PIX может посылать syslog сообщения к различным приемникам:

Внутренний буфер

PIX может сохранять syslog сообщения во внутренний буфер, при этом никакого внешнего ПО или оборудования не требуется.

logging buffered severity_level


Syslog Message Server

Для того, чтобы посылать сообщения на внешний хост, требуется сервер с работающим syslog приложением. PIX посылает syslog сообщения на UDP порт 514

logging host interface_name ip_address [tcp[/port] | udp[/port]] [format emblem] 
logging trap severity_level 
logging facility number


Почтовый адрес

Когда вы посылаете syslog сообщения на Email требуется SMTP сервер.

logging mail severity_level 
logging recipient-address email_address
logging from-address email_address
smtp-server ip_address


Консоль

Консольное логирование позволяет отображать syslog сообщения на консоли PIX. Используйте эту команду только когда отлаживаете проблемы на PIX или когда у вас минимальная загрузка на сеть.

logging console severity_level


Не используйте эту команду когда устройство занято поскольку она может снизить производительность!

Telnet/SSH Сессия

PIX может посылать syslog сообщения на виртуальный терминал (Telnet/SSH сессию)

logging monitor severity_level terminal monitor


ASDM

ADSM также имеет внутренний буфер, который может использоваться для сохранения syslog сообщений

logging asdm severity_level


Станция управления SNMP

Для того, чтобы syslog сообщения отправлялись с использованием SNMP необходима станция управления SNMP.

logging history severity_level 
snmp-server host [if_name] ip_addr
snmp-server location text
snmp-server contact text
snmp-server community key
snmp-server enable traps 


В следующем примере, мы конфигурируем логирование на консоль с уровнем серьезности debugging:

logging enablelogging console debugging


Посылка Syslog сообщений по VPN на Syslog сервер.

Люди иногда хотят мониторить PIX Firewall либо в простеньком LAN-to-LAN VPN, либо в более сложном Hun-and-Spoke VPN, используя протокол управления сетью (SNMP) и Syslog сервер, расположенный в центральном офисе.

Конфигурация служебных сообщений Syslog на PIX/ASA 8.x


Конфигурация центрального PIX/ASA

!--- Данный лист доступа (ACL) определяет трафик для  IPsec.
!--- Эти строки определяют трафик между сегментами  LANза двумя PIX.
!--- Они также включают  SNMP/syslog трафик между  SNMP/syslog сервером и сетевыми устройствами
!--- расположенными на  Ethernet сегменте за  PIX 515.
access-list 101 permit ip 172.22.1.0 255.255.255.0 172.16.1.0 255.255.255.0

!--- Эти строки охватывают  SNMP (TCP/UDP port - 161), SNMP TRAPS(TCP/UDP port - 162) и
!--- syslog трафик (UDP port - 514) от сервера  SNMP/syslog до интерфейса outside удаленного PIX
access-list 101 permit tcp host 172.22.1.5 host 10.20.20.1 eq 161
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 161
access-list 101 permit tcp host 172.22.1.5 host 10.20.20.1 eq 162
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 162
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 514

logging onlogging trap debugging
logging history debugging

!--- Определим информацию для логирования.
logging facility 16
logging host inside 172.22.1.5

!--- Определим SNMP конфигурацию.
snmp-server host inside 172.22.1.5
snmp-server community test
snmp-server enable traps


Конфигурация удаленного PIX

!--- Данный лист доступа (ACL) определяет трафик для  IPsec.
!--- Эти строки определяют трафик между сегментами  LAN за двумя PIX.
!--- Они также включают  SNMP/syslog трафик между  SNMP/syslog сервером и сетевыми устройствами
!--- расположенными на  Ethernet сегменте за  PIX 515.
access-list 101 permit ip 172.16.1.0 255.255.255.0 172.22.1.0 255.255.255.0

!--- Эти строки охватывают  SNMP (TCP/UDP port - 161), SNMP TRAPS(TCP/UDP port - 162) и
!--- syslog трафик (UDP port - 514) от сервера  SNMP/syslog до интерфейса outside удаленного PIX
access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 161
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 161
access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 162
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 162
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 514

!--- Определим syslog сервер
logging facility 23
logging host outside 172.22.1.5

!--- Определим SNMP конфигурацию.
snmp-server host outside 172.22.1.5
snmp-server community test
snmp-server enable traps


Расширенные функции Syslog


Начиная с версии 7.0, PIX предоставляет несколько механизмов которые позволяют вам конфигурировать и управлять syslog сообщениями в группах. Эти механизмы включают уровень серьезности сообщения, класс сообщения, идентификатор сообщения, или произвольный список который вы можете создать. Используя эти механизмы вы можете ввести единственную команду которая будет применима сразу к целой группе сообщений.

Использование списка сообщений

Используйте список сообщений, чтобы включить в него только интересующие вас сообщения по уровню серьезности, идентификатору в группу, затем свяжите этот список с желаемым направлением.
Чтобы конфигурировать список сообщений выполните следующее:
  • Введите команду logging list message_list | level severity_level [class message_class] чтобы создать список сообщений который включает сообщения с указанным уровнем серьезности или другой список
  • Введите команду logging list message_list message syslog_id-syslog_id2 чтобы добавить дополнительные сообщения к только что созданному списку
  • Введите команду logging destination message_list чтобы указать приемник для этого списка


В следующем примере мы создаем список сообщений который включает все сообщения серьезности 2 (критический уровень) с добавлением сообщений 611101 до 611323 и посылаем их все на консоль

logging list my_critical_messages level 2
logging list my_critical_messages message 611101-611323
logging console my_critical_messages


Использование классов сообщений

Чтобы послать все сообщения определенного класса к указанному приемнику используйте класс сообщений.
logging class message_class destination | severity_level


Когда вы указываете порог уровня серьезности сообщения вы можете ограничить количество сообщений посылаемых к приемнику. В следующем примере мы посылаем все сообщения класса ca с уровнем серьезности аварийный и выше на консоль
logging class ca console emergencies


Логирование попаданий в ACL


Для того, чтобы логировать попадания пакета в ACL добавьте опцию log к каждому элементу листа доступа (Access Control Element, ACE).

access-list id {deny | permit protocol} {source_addr source_mask}  {destination_addr destination_mask} {operator port} {log}


Например:

access-list 101 line 1 extended permit icmp any any log


Когда указывается опция log, она генерит syslog сообщение 106100 для ACE к которому она применена.
Поведение по умолчанию для логирования ACL (опция log не указана) это если пакет отбрасывается, тогда генерируется сообщение 106023, а если пакет разрешен, тогда сообщение не генерируется.

Для генерации сообщений 106100 может быть указан необязательный syslog уровень (0-7). Если никакой уровень не указан, по умолчанию используется уровень 6 (информационный) для новых ACE. Если ACE уже существовал, то уровень логирования остается неизменным. Если указывается опция log disable, логирование листа доступа полностью выключается. Никаких сообщений syslog, включая сообщения 106023 не генерируется. Опция log default восстанавливает поведение по умолчанию.

В следующем примере выполним шаги, чтобы включить syslog сообщения 106100 на консоль.
  • Выполняем команду logging enable, чтобы включить логирование системных сообщений
  • Выполняем команду logging message message_number level severity_level чтобы установить уровень серьезности. В нашем случае выполняем команду logging message 106100, чтобы включить сообщения 106100
  • Выполняем команду logging console message_list | severity_level чтобы разрешить системным сообщениям отображаться на консоли PIX. Уровень серьезности можетбыть установлен от 1 до 7
  • Выполним show logging message чтобы проверить, что конфигурация системных сообщений была изменена из своего состояния по умолчанию




Категория: Безопасность и VPN

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Вопрос:
Под водой живёт народ, Ходит задом наперёд
Ответ:*
Введите два слова, показанных на изображении: *