Multiprotocol Label Switching (MPLS) : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA 7.x e mais tarde com exemplo de configuração do Syslog

29 Julho 2013 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (1 Julho 2009) | Inglês (21 Agosto 2007) | Feedback


Índice


Introdução

Esta configuração de exemplo demonstra como configurar o PIX/ASA Security Appliance 7.x com syslog.

O PIX 7,0 introduziu técnicas de filtração muito granuladas permitir que somente determinados mensagens do syslog especificados sejam apresentados. A seção básica do Syslog deste documento demonstra uma configuração tradicional do Syslog. A seção avançada do Syslog deste documento mostra as características novas do Syslog em 7,0.

Refira mensagens de Log de sistema guia do dispositivo do Cisco Security, versão 7.x para o guia completo dos mensagens de Log de sistema.

Refira estabelecer o Syslog PIX para obter mais informações sobre de como configurar o Syslog em Software Release 4.0.x do PIX seguro Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • PIX 515E com versão de software de PIX 7,0

  • Versão 5.01 do Cisco Adaptive Security Device Manager (ASDM)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Nota: Refira ASA 8,2: Configurar o Syslog usando o ASDM para mais informação para detalhes de configuração similares usando a versão 6.2 e mais recente ASDM.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Syslog básico

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Use estes comandos permitir o registo, os registros da vista, e os ajustes de configuração da vista.

  • registrar permite — Permite a transmissão dos mensagens do syslog a todos os lugar da saída.

  • nenhum registo permite — Inutilizações que registram a todos os lugar da saída.

  • registo da mostra — Alista os índices do amortecedor do Syslog e da configuração de registro atual.

O PIX pode enviar mensagens do syslog aos vários destinos. Use os comandos nestas seções especificar o lugar a que as mensagens devem ser enviadas:

Buffer interno

logging buffered severity_level 

O software externo ou o hardware não são exigidos quando você armazena os mensagens do syslog no buffer interno PIX. Use a mostra que registra para ver os mensagens do syslog armazenados.

Server do mensagem do syslog

logging host interface_name ip_address [tcp[/port] | udp[/port]] [format emblem] 

    logging trap severity_level 

    logging facility number

Um server que execute uma aplicação do Syslog é exigido a fim enviar mensagens do syslog a um host externo. O PIX envia o Syslog na porta 514 UDP à revelia.

Endereço email

logging mail severity_level 

    logging recipient-address email_address

    logging from-address email_address

    smtp-server ip_address

Um servidor SMTP é exigido quando você envia os mensagens do syslog nos email. A configuração correta no servidor SMTP é necessária a fim assegurar-se de que você possa com sucesso retransmitir email do PIX ao cliente de email especificado.

Console

logging console severity_level 

O logging de console permite mensagens do syslog de indicar no console de PIX (tty) como ocorrem. Use este comando quando você debuga problemas ou quando há uma carga mínima na rede. Não use este comando quando a rede é ocupada porque pode degradar o desempenho.

Sessão do telnet/SSH

logging monitor severity_level 

    terminal monitor

O monitor de registo permite mensagens do syslog de indicar enquanto ocorrem quando você alcança o console de PIX com telnet ou SSH.

ASDM

logging asdm severity_level 

O ASDM igualmente tem um amortecedor que possa ser usado para armazenar mensagens do syslog. Use o comando show logging asdm a fim indicar o índice do amortecedor do Syslog ASDM.

Estação do gerenciamento de SNMP

logging history severity_level 

    snmp-server host [if_name] ip_addr

    snmp-server location text

    snmp-server contact text

    snmp-server community key

    snmp-server enable traps 

Os usuários precisam um ambiente funcional existente do Simple Network Management Protocol (SNMP) a fim enviar mensagens do syslog usando o SNMP.

Refira comandos ajustando-se e controlando destinos de emissor para uma referência completa nos comandos que você pode se usar para ajustar e controlar destinos de emissor

Refira as mensagens alistadas pelo nível de seriedade para as mensagens alistadas pelo nível de seriedade.

Exemplo 1

Esta saída mostra uma configuração de exemplo para registrar no console com o nível de seriedade da eliminação de erros.

logging enable

logging buffered debugging

Esse é o exemplo de saída.

%PIX|ASA-6-308001: console enable password incorrect for number tries (from 10.1.1.15)

Configurar o Syslog básico usando o ASDM

Este procedimento demonstra a configuração ASDM para todos os destinos disponíveis do Syslog seguidos pela configuração por exemplo 1.

  1. Vá à janela ASDM Home.

  2. Escolha a configuração > as características > as propriedades > instalação de registo > de registo.

  3. Verifique a ordem de abertura Enable para permitir Syslog.

    /image/gif/paws/63884/pix70-syslog-1.gif

  4. Escolha servidores de SYSLOG no registo e o clique adiciona a fim adicionar um servidor de SYSLOG.

  5. Incorpore os detalhes do servidor de SYSLOG à caixa do servidor de SYSLOG adicionar e escolha-os ESTÁ BEM quando você é feito.

    pix70-syslog-2.gif

  6. Escolha a instalação do email na ordem de abertura enviar mensagens do syslog aos email.

  7. Especifique o endereço email da fonte na caixa do endereço email da fonte e escolha-o adicionam a fim configurar o endereço email do destino dos receptores do email e do nível de severidade da mensagem. Clique a APROVAÇÃO quando você é feito.

    pix70-syslog-3.gif

  8. Escolha a administração do dispositivo, escolha o S TP, e incorpore o endereço IP do servidor a fim especificar o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor SMTP.

    pix70-syslog-4.gif

  9. Escolha o SNMP a fim especificar o endereço da estação e das propriedades do gerenciamento de SNMP.

    pix70-syslog-5.gif

  10. Escolha adicionam a fim adicionar uma estação do gerenciamento de SNMP. Incorpore os detalhes do host SNMP e clique a APROVAÇÃO.

    /image/gif/paws/63884/pix70-syslog-6.gif

  11. Clique propriedades sob a configuração e escolha filtros de registo na ordem de abertura selecionar o destino dos mensagens do syslog.

  12. Escolha o destino de registro desejado e o clique edita.

    Para este procedimento, o logging buffered debugging do exemplo 1 é usado.

  13. Escolha o buffer interno e o clique edita.

    pix70-syslog-7.gif

  14. Escolha o filtro na severidade e escolha a eliminação de erros do menu suspenso. Clique a APROVAÇÃO quando você é feito.

    pix70-syslog-8.gif

  15. O clique aplica-se depois que você retorna ao indicador de registo dos filtros.

    pix70-syslog-9.gif

Envie mensagens do syslog sobre um VPN a um servidor de SYSLOG

No projeto simples do VPN de Site-para-Site ou no projeto de hub-and-spoke mais complicado, os povos querem às vezes monitorar todos os Firewall PIX com o server e o servidor de SYSLOG do Simple Network Management Protocol (SNMP) situados em uma instalação central.

A fim configurar a configuração de VPN do IPSec local a local, refira o túnel PIX a PIX VPN simples PIX/ASA 7.x usando o exemplo da configuração ASDM. Independentemente da configuração de VPN, você tem que configurar o SNMP e o tráfego interessante para o servidor de SYSLOG na central e na site local.

/image/gif/paws/63884/pix2pix-vpn-pix70-1.gif

Configuração do PIX central


!--- This access control list (ACL) defines IPsec interesting traffic.
!--- This line covers traffic between the LAN segment behind two PIXes.
!--- It also includes the SNMP/syslog traffic between the SNMP/syslog server
!--- and the network devices located on the Ethernet segment behind the PIX 515.

access-list 101 permit ip 172.22.1.0 255.255.255.0 172.16.1.0 255.255.255.0


!--- This lines covers SNMP (TCP/UDP port - 161), SNMP TRAPS(TCP/UDP port - 162) 
!--- and syslog traffic (UDP port - 514) from SNMP/syslog server  
!--- to the outside interface of the remote PIX.
 

 
access-list 101 permit tcp host 172.22.1.5 host 10.20.20.1 eq 161
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 161
access-list 101 permit tcp host 172.22.1.5 host 10.20.20.1 eq 162
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 162
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 514
logging on
logging trap debugging
logging history debugging


!--- Define logging host information.


logging facility 16
logging host inside 172.22.1.5



!--- Define the SNMP configuration.


snmp-server host inside 172.22.1.5
snmp-server community test
snmp-server enable traps

Configuração do PIX remoto


!--- This ACL defines IPsec interesting traffic.
!--- This line covers traffic between the LAN segment behind two PIXes.
!--- It also covers the SNMP/syslog traffic between the SNMP/syslog server
!--- and the network devices located on the Ethernet segment behind PIX 515.


access-list 101 permit ip 172.16.1.0 255.255.255.0 172.22.1.0 255.255.255.0

!--- This lines covers SNMP (TCP/UDP port - 161), SNMP TRAPS (TCP/UDP port - 162) and 
!--- syslog traffic (UDP port - 514) sent from this PIX outside 
!--- interface to the SYSLOG server.



access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 161
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 161
access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 162
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 162
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 514

!--- Define syslog server.


logging facility 23
logging host outside 172.22.1.5


!--- Define SNMP server.


snmp-server host outside 172.22.1.5
snmp-server community test
snmp-server enable traps

Refira a monitoração do firewall PIX segura Cisco usando o SNMP e syslog por meio de túnel VPN para obter mais informações sobre de como configurar PIX 6.x.

Syslog avançado

O PIX 7,0 fornece diversos mecanismos que o permitem de configurar e controlar mensagens do syslog nos grupos. Estes mecanismos incluem o nível de severidade da mensagem, a classe de mensagem, o ID de mensagem, ou uma lista do mensagem personalizada que você cria. Com o uso destes mecanismos, você pode inscrever um comando único que se aplique aos grupos pequenos ou grandes de mensagens. Quando você estabelece Syslog esta maneira, você pode capturar mensagens do grupo especificado da mensagem e já não todas as mensagens da mesma severidade.

Use a lista da mensagem

Use a lista da mensagem a fim incluir somente os mensagens do syslog interessados pelo nível de seriedade e o ID em um grupo, a seguir associe esta lista da mensagem com o destino desejado.

Termine estas etapas a fim configurar uma lista da mensagem.

  1. Entre no message_list da lista de registo | comando nivelado do [class message_class] do severity_level a fim criar uma lista da mensagem que inclua mensagens com uma lista especificada do nível de seriedade ou da mensagem.

  2. Inscreva o comando logging list message_list message syslog_id-syslog_id2 a fim adicionar mensagens adicionais à lista da mensagem apenas criada.

  3. Inscreva o comando logging destination message_list a fim especificar o destino da lista da mensagem criada.

Exemplo 2

Emita estes comandos a fim criar uma lista da mensagem, que inclua toda a severidade 2 mensagens (críticas) com a adição da mensagem 611101 611323, e igualmente tenha-os enviados ao console:

logging list my_critical_messages level 2
logging list my_critical_messages message 611101-611323
logging console my_critical_messages 

Configuração ASDM

Este procedimento mostra uma configuração ASDM por exemplo 2 com o uso da lista da mensagem.

  1. Escolha lista do evento sob o registo e o clique adiciona a fim criar uma lista da mensagem.

    /image/gif/paws/63884/pix70-syslog-10.gif

  2. Dê entrada com o nome da lista da mensagem na caixa de nome. Os my_critical_messages são usados neste caso. O clique adiciona sob filtros da classe de evento/severidade.

    pix70-syslog-11.gif

  3. Escolha a classe de evento e a severidade dos menus suspensos.

    Neste caso, escolha tudo e crítico respetivamente. Clique a APROVAÇÃO quando você é feito.

    /image/gif/paws/63884/pix70-syslog-12.gif

  4. O clique adiciona sob os filtros do ID de mensagem se as mensagens adicionais são exigidas.

    Neste caso, você precisa de pôr nas mensagens com ID 611101-611323.

    /image/gif/paws/63884/pix70-syslog-13.gif

  5. Põe na escala ID na caixa dos ID de mensagem e clique a APROVAÇÃO.

    pix70-syslog-14.gif

  6. Vá para trás ao menu de registo dos filtros e escolha o console como o destino.

  7. Clique a lista do evento do uso e escolha my_critical_messages do menu suspenso. Clique a APROVAÇÃO quando você é feito.

    pix70-syslog-15.gif

  8. O clique aplica-se depois que você retorna ao indicador de registo dos filtros.

    pix70-syslog-16.gif

    Isto termina as configurações ASDM usando a lista da mensagem segundo as indicações do exemplo 2.

Use a classe de mensagem

Use a classe de mensagem a fim enviar todas as mensagens associadas com uma classe ao lugar especificado da saída. Quando você especifica um ponto inicial do nível de seriedade, você pode limitar o número de mensagens enviadas ao lugar da saída.

logging class message_class destination | severity_level 

Exemplo 3

Incorpore este comando a fim enviar todas as mensagens da classe Ca com um nível de seriedade das emergências ou mais alto ao console.

logging class ca console emergencies

Configuração ASDM

Este os procedimentos mostram as configurações ASDM por exemplo 3 com o uso da lista da mensagem.

  1. Escolha o menu de registo dos filtros e escolha o console como o destino.

  2. Clique o desabilitação que registra de todas as classes de evento.

  3. Sob os Syslog das classes de evento específicas, escolha a classe de evento e a severidade que você quer adicionar.

    Este procedimento usa o Ca e as emergências respetivamente.

  4. O clique adiciona a fim adicionar isto na classe de mensagem e clicar a APROVAÇÃO.

    pix70-syslog-17.gif

  5. O clique aplica-se depois que você retorna ao indicador de registo dos filtros.

    O console recolhe agora a mensagem da classe Ca com emergências do nível de seriedade como mostrado no indicador de registo dos filtros.

    /image/gif/paws/63884/pix70-syslog-18.gif

    Isto termina a configuração ASDM por exemplo 3.

    Refira as mensagens alistadas pelo nível de seriedade para uma lista dos níveis de seriedade do mensagem de registro.

Registre batidas do ACL ACE

Adicionar o registro a cada elemento da lista de acessos (ACE) que você deseja a fim entrar a ordem para registrar quando uma lista de acessos é batida. Use esta sintaxe:

access-list id {deny | permit protocol} {source_addr source_mask}  
{destination_addr destination_mask} {operator port} {log}

Exemplo:

pixfirewall(config)#access-list 101 line 1 extended permit icmp any any log

Quando a opção do registro é especificada, gera o mensagem do syslog 106100 para o ACE a que é aplicado. O mensagem do syslog 106100 é gerado para cada fluxo de harmonização do permit or deny ACE que passa com o PIX Firewall. O fluxo do primeiro-fósforo é posto em esconderijo. Os fósforos subseqüentes incrementam a contagem da batida indicada no comando show access-list.

Incapaz de conectar ao host remoto: , A conexão cronometrada para fora para o ACE, e as 106100 mensagens novas estão geradas no fim do intervalo definido em segundos do intervalo se a contagem da batida para o fluxo não é zero. O comportamento de registo da lista de acessos da opção, que é a palavra-chave do registro não especificada, é que se um pacote é negado, a seguir a mensagem 106023 é gerado, e se um pacote é permitido, a seguir nenhum mensagem do syslog é gerado.

Um nível opcional do Syslog (0 - 7) pode ser especificado para os mensagens do syslog gerados (106100). Se nenhum nível é especificado, o nível padrão é 6 (informativo) para um ACE novo. Se o ACE já existe, a seguir seu nível existente do registro permanece inalterado. Se a opção do desabilitação do registro é especificada, o registo da lista de acessos está desabilitado completamente. Nenhum mensagem do syslog, incluindo a mensagem 106023, é gerado. A opção padrão do registro restaura o comportamento de registo da lista de acessos da opção.

Termine estas etapas a fim permitir o mensagem do syslog 106100 de ver nas saídas do console:

  1. Emita o comando logging enable a fim permitir a transmissão dos mensagens de Log de sistema a todos os lugar da saída. Você deve ajustar um lugar das saídas de registro a fim ver todos os registros.

  2. Emita o comando do <severity_level> do nível do <message_number> do mensagem de registro a fim ajustar o nível de seriedade de um mensagem de Log de sistema específico.

    Neste caso, emita o comando do mensagem de registro 106100 permitir a mensagem 106100.

  3. Emita o message_list do console de registro | comando do severity_level a fim permitir mensagens de Log de sistema de indicar no console da ferramenta de segurança (tty) como ocorrem. Ajuste o severity_level de 1 a 7 ou use o nome nivelado. Você pode igualmente especificar que mensagens são enviadas com a variável do message_list.

  4. Emita o comando do mensagem de registro da mostra a fim indicar uma lista de mensagens do mensagem de Log de sistema que foram alteradas da configuração padrão, que são as mensagens que foram atribuídas um nível de seriedade diferente e as mensagens que fossem desabilitados.

    Este é exemplo de saída do comando do mensagem de registro da mostra:

    pixfirewall#show logging message 106100 
    syslog 106100: default-level informational (enabled)
    pixfirewall# %PIX-7-111009: User 'enable_15' executed cmd: show logging mess 106
    100

Mensagens do syslog do tráfego da captação VPN

Use o comando list de registo a fim capturar o Syslog para o LAN para LAN e as mensagens do IPSec VPN do Acesso remoto apenas. Este exemplo captura todos os mensagens de Log de sistema da classe VPN (IKE e IPsec) com nível de debug ou mais altamente.

Exemplo:

hostname(config)#logging enable
hostname(config)#logging timestamp
hostname(config)#logging list my-list level debugging class vpn
hostname(config)#logging trap my-list
hostname(config)#logging host inside 192.168.1.1

Nota: O comando list de registo é apoiado em 7.2(1) e mais atrasado.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

  1. Se você não recebe o Syslog 304001 mensagens, a seguir certifique-se de que o comando HTTP da inspeção está permitido no ASA.

  2. Se você quer negar um mensagem do syslog específico a ser enviado ao servidor de SYSLOG, a seguir você deve usar o comando como mostrado.

    hostname(config)#no logging message <syslog_id>

    Refira o comando do mensagem de registro para mais informação.

%ASA-3-201008: Recusando novas conexões

O %ASA-3-201008: Recusando novas conexões. o Mensagem de Erro está considerado quando o ASA é incapaz de contactar o servidor de SYSLOG e nenhuma nova conexão está permitida.

Solução

Esta mensagem aparece quando você permitiu a Mensagem do registro de sistema TCP e o servidor de SYSLOG não pode ser alcançado, ou quando você usa o servidor de SYSLOG de Cisco ASA (PFSS) e o disco no sistema do Windows NT está completo. Termine estas etapas a fim resolver este Mensagem de Erro:

  • Desabilite a Mensagem do registro de sistema TCP se é permitida.

  • Se você usa o PFSS, livre acima o espaço no sistema do Windows NT onde o PFSS reside.

  • Também, certifique-se de que o servidor de SYSLOG é ascendente e você pode sibilar o host do console de Cisco ASA.

  • Reinicie a ordem de abertura da mensagem de sistema TCP para permitir o tráfego.

Se o servidor de SYSLOG vai para baixo e o registo TCP é uso configurado o comando de registo da licença-hostdown ou interruptor ao registo UDP.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 63884