Segurança : Dispositivos de segurança Cisco PIX 500 Series

Configurando o Syslog do PIX

17 Outubro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Nota: Este documento é relacionado somente a PIX 4.x. Consulte estes documentos para obter informações sobre das versões de software 5.x,6.x,and 7.x:

As mensagens produzidas pelo PIX que vão geralmente ao console podem ser recolhidas quando você envia estas mensagens a um dispositivo que execute um daemon de syslogd (syslogd). O syslogd escuta na porta UDP 514, a porta de syslog. O syslog permite obter informações sobre o tráfego e o desempenho do PIX, analisar registros de atividades suspeitas e fazer Troubleshooting.

O Syslogd pode executar em diversas plataformas de sistema operacional. O syslogd é instalado durante a instalação do UNIX, mas é necessário configurá-lo. O syslogd geralmente não é nativo para os sistemas com base em Windows, mas o software syslogd está disponível para o Windows NT. Os exemplos incluem o PIX Firewall Manager (PFM), o Servidor de Syslog de Firewall de PIX (PFSS), o Private-i, ou o outro software do Syslog de sua escolha.

Nota: Se há qualquer outro aplicativo na rede que usa o número de porta 514, os mensagens do syslog não puderam alcançar o servidor de SYSLOG com sucesso.

Este documento descreve como o Syslog trabalha, como estabelecer o PIX para enviar mensagens do syslog a um dispositivo que execute o syslogd, e a como estabelecer um servidor syslogd baseado em UNIX.

Os significados reais das mensagens syslog PIX estão na documentação PIX.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada em Software Release 4.0.x e Mais Recente do PIX seguro Cisco.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Como o Syslog funciona

Todos os mensagens do syslog têm uma facilidade de registo e um nível. O meio de registro pode ser considerado “o onde”, e o nível pode ser considerado “o que”.

Meio de registro

Pode-se considerar que o daemon de syslog único (syslogd) tenha tubulações múltiplas. Ele utiliza os pipes para decidir para onde enviar informações recebidas com base no pipe no qual as informações chegam. Nessa analogia, os meios de registro são os pipes por meio dos quais o syslogd decide para onde enviar as informações que recebe.

Os oito logging facilities de uso geral para o Syslog são local0 com local7.

local0
local1
local2
local3
local4
local5
local6
local7

Níveis

Também há diferentes graus de importância junto às mensagens recebidas. Você pode pensar dos níveis como que. O PIX pode ser ajustado para enviar mensagens a níveis diferentes (estes estão listados do mais altamente à importância mais baixa):

Nível Código numérico
emergência 0
alerta 1
crítico 2
erro 3
aviso 4
notificação 5
informativo 6
debug 7

Quando um PIX se estabelece para enviar mensagens do syslog, os níveis da importância mais baixa incluem níveis de uma importância mais alta. Por exemplo, se o PIX é ajustado advertindo, a seguir o erro, críticos, alertas, e mensagens de emergência são enviados igualmente além do que o aviso. Um ajuste debugar inclui mensagens a todos os oito níveis.

Configurar o PIX para enviar o Syslog

PIX 4.0.x-4.1.x

A sintaxe de syslog é:

syslog host #.#.#.# (em que #.#.#.# é o endereço de servidores de syslog)

saídas de SYSLOG X.Y (onde X é a facilidade de registo e Y é o nível)

Como o número X se traduz em meio de registro?

Divida o número X no binário. Os últimos quatro bit compreendem a facilidade local.

  • 16 = 00010000 = local0

  • 17 = 00010001 = local1

  • 18 = 00010010 = local2

  • 19 = 00010011 = local3

  • 20 = 00010100 = local4

  • 21 = 00010101 = local5

  • 22 = 00010110 = local6

  • 23 = 00010111 = local7

Como um exemplo, desde que 22 = 00010110, e os último quatro bits=0110=decimal 6, isto são local6. (O atalho A é tomar o valor X e subtrair 16. Por exemplo, 22-16=6, ou local6.)

O número Y é o nível. Como exemplo, se Y=2, as mensagens enviadas incluiriam as de nível 2 (crítico), nível 1 (alerta) e nível 0 (emergência). Os níveis PIX são 0-7; não devem ser confundidos com os meios de registro (que são local0-local7).

Exemplos em PIX 4.0.x-4.1.x

  • syslog 20.7

    20 é igual a meios de registro local4.

    .7 são o nível. 7 significa debuga ao PIX (todas as mensagens são registradas).

  • syslog 23.2

    23 representa o meio de registro de local7

    .2 é o nível. 2 significam crítico ao PIX (crítico, alerta, e mensagens de emergência são registrados).

PIX 4.2.x e posterior

A sintaxe para o Syslog mudou nos PIX Software Release 4.2.x. Em vez do comando syslog host #.#.#.#, use o comando new logging host #.#.#.#. Em 4.2.x, a facilidade de registo e as definições de nível são a mesma, mas em vez de usar o comando syslog output X.Y, você precisa de ter estas duas indicações:

  • logging facility X

  • logging trap Y

O nível é expressado já não como um número. É expressado como o nome do nível. Este é um exemplo:

  • sintaxe antiga

    syslog output 20.7

  • sintaxe nova

    acessando a facilidade 20 (local4)

    logging trap debugging (depuração por emergência)

PIX 4.3.x e posterior

Em 4.3.x e mais tarde, você pode evitar ter mensagens do syslog particulares enviados, e você pode os mensagens de rótulo de tempo que são enviados.

Além do que estes comandos:

  • logging host #.#.#.#

  • logging facility X

  • logging trap Y

Você pode emitir estes comandos:

  • o pulso de disparo ajustou 13:18:00 o 25 de abril de 1999

  • logging timestamp

  • sem mensagem de log 111005

Isto conduz a ter todas as mensagens, exceto a mensagem 111005 (isto é, “fim de configuração”), enviada com timestamps.

Nota: Porque a mensagem 111005 é um mensagem de nível de notificação, não se vê se o nível no PIX é ajustado para a emergência, o alerta, o crítico, erro, ou advertência.

Este é um exemplo de uma mensagem non-111005 tempo-carimbada. (O primeiro timestamp é de nosso servidor Unix e o segundo é do PIX.)

Apr 25 13:15:35 10.31.1.53 Apr 25 1999 13:23:00: %PIX-5-111007:
	 Begin configuration: nobody reading from terminal

Nas versões de software de PIX 4.3.x e mais tarde, você pode igualmente fazer o Syslog TCP. O PFSS apoia este. a maioria dos outros servidores SYSLOG não dá suporte sem reconfiguração. O comando permitir o PIX de fazer o logging de PFSS TCP é o logging host #.#.#.# tcp 1740.

Nota: Porque este tráfego é TCP (isto é, com reconhecimentos), se o PFSS vai para baixo, o tráfego com o PIX para. Por este motivo, o comando tcp syslog não deve ser executado a menos que você precisar este tipo de funcionalidade. UDP/514 syslogging não tem esse efeito.

Como configurar um servidor de Syslogd

Como o syslogd foi originalmente um conceito UNIX, os recursos disponíveis nos produtos syslogd em sistemas não-UNIX dependem da implementação do fornecedor. As características podem incluir dividindos mensagem de entrada pela facilidade ou pelo nível de debug, ou ambos, resolvendo os nomes dos dispositivos de envio, aparatos de relatório, e assim por diante. Refira a documentação de fornecedor para obter informações sobre da configuração do servidor de SYSLOG de NON-UNIX.

Cisco faz um servidor de SYSLOG chamado o Servidor de Syslog de Firewall de PIX (PFSS), que esteja disponível para Plataformas PC. Vá às transferências (clientes registrados somente) e selecione o software de firewall de PIX da transferência para transferir Cisco PFSS.

Termine estas etapas para configurar o Syslog em UNIX:

  1. Como raiz, no SunOS, AIX, HPUX ou Solaris, faça um backup do arquivo /etc/syslog.conf antes da modificação.

  2. Modifique /etc/syslog.conf para dizer ao sistema UNIX como classificar as mensagens de syslog recebidas que vêm dos dispositivos de envio, ou seja, qual logging_facility.level vai com qual arquivo. Verifique se existe uma guia entre logging_facility.level e file_name.

  3. Certifique-se de que o arquivo de destino existe e é gravável.

  4. A seção Comment# (Comentário#) no começo do syslog.conf normalmente explica a sintaxe para o sistema UNIX.

  5. Não coloque informações do arquivo na seção ifdef.

  6. Como raiz, reinicie o syslogd para capturar as alterações.

Exemplos

  • Se /etc/syslog.conf estiver configurado para:

    local7.warn     /var/log/local7.warn
    

    o aviso, o erro, o crítico, o alerta, e os mensagens de emergência que vêm dentro na facilidade de registo local7 serão entrados o arquivo local7.warn. A notificação, de caráter informativo, e as mensagens de depuração entrando na facilidade local7 não serão registradas em nenhum lugar.

  • Se /etc/syslog.conf estiver configurado para:

    local7.debug    /var/log/local7.debug
    

    debugar, o informativo, notificação, aviso, erro, crítico, alerta, e os mensagens de emergência que vêm dentro na facilidade de registo local7 serão registrados ao arquivo local7.debug.

  • Se /etc/syslog.conf estiver configurado para:

    local7.warn     /var/log/local7.warn
    local7.debug    /var/log/local7.debug
    

    as mensagens de advertência, erro, crítica, alerta e emergência recebidas do meio de registro local7 serão registradas no arquivo local7.warn. As mensagens de depuração, informativas, de notificação, de aviso, de erro, críticas, de alerta e emergência provenientes do aparato de registro local7 serão registradas no arquivo local7.debug. (Em outras palavras, algumas mensagens irão para ambos os arquivos!).

  • Se /etc/syslog.conf estiver configurado para:

    *.debug         /var/log/all.debug
    

    todos os níveis de mensagem de todos os meios de registro irão para esse arquivo.

Depurando o Syslog

Você deve ser raiz para começar dentro o Syslog debugar (SunOS, AIX, HPUX, ou Solaris):

ps -ef | grep syslogd
kill -9 <pid>
syslogd -d

Você deve visualizar mensagens no início quando o syslogd está lendo o syslog.conf, como:

cfline(local7.info                              /var/log/local7.info)
cfline(local7.debug                             /var/log/local7.debug)
X X X X X X X X X X X X X X X X X X X X X X X 6 X FILE: /var/log/local7.info
X X X X X X X X X X X X X X X X X X X X X X X 7 X FILE: /var/log/local7.debug

Se estes enrolam por demasiado rapidamente para ver, tente este comando:

  • syslogd - d | mais

Se houver mensagens como, por exemplo:

cfline(local7.info                              /var/log/local7.junk)
syslogd: /var/log/local7.junk: No such file or directory
logmsg: pri 53, flags 8, from pinecone, msg syslogd: /var/log/local7.junk: 
No such file or directory

há um problema na configuração. Neste exemplo, o arquivo não existiu.

Quando você for executado dentro debuga, é igualmente mensagens do syslog entrantes das mostras e a que arquivo vão:

logmsg: pri 275, flags 0, from 10.8.1.76, MSG 14: %SYS-5-CONFIG_I: Configured 
from console by vty0 (171.68.118.108)
Logging to UNUSED
Logging to FILE /var/log/local7.debug

Neste caso, uma mensagem que deva ter ido ao local7.junk e local7.debug seja recebido, mas porque o local7.junk não existe, esta mensagem é recebida igualmente:

Logging to UNUSED.

Se syslogd - d não mostra nada que entra, verificação para ter certeza que o PIX envia com os comandos pix show syslog or show logging. Se a informação de syslogd chega no sistema Unix, mas não entra no arquivo adequado, trabalhe com o administrador de sistema Unix ou o suporte ao fornecedor do sistema operacional para corrigir problemas.

Se a causa do problema ainda não pode ser determinada, o Syslog pode ser rodado debuga e a saída reorientada a um arquivo como segue.

  • sh ou ksh:

    syslogd -d<>target_file>2>&1

    ou

  • csh

    syslogd - d>&<target_file>

Nota: O syslogd de Red Hat Linux deve ser começado com a opção-r capturar a saída da rede.

Esta tabela mostra as extensões de SYSLOG Unix típicas que definem níveis:

Extensão UNIX Significado
.emerg Sistema inutilizável, emergências
.alert Tomar ações imediatas, alertas
.crit Condição crítica, crítica
.err Mensagem de erro, erros
.warn Mensagem de aviso, avisos
.notice Condição normal, mas significativa, notificações
.info Mensagens informativas, informativo
.debug Mensagem de depuração, depurando

Informações a serem coletadas se você abrir um caso de TAC

Se você ainda precisa o auxílio após ter seguido os passos de Troubleshooting acima e o quer abrir um caso com o tac Cisco, seja certo incluir a informação seguinte para pesquisar defeitos seu PIX Firewall.
  • Troubleshooting executado antes da abertura do caso
  • Saída do comando show tech-support
  • Saída do comando show log após a execução com o comando de depuração de registro colocado em buffer ou capturas do console que demonstram o problema (se disponível)
Anexe os dados coletados para o seu caso em um formato não compactado e texto simples (.txt). Você pode anexar informações para o seu caso, carregando-o com o uso da Case Query Tool (somente clientes registrados). Se você não pode alcançar a ferramenta do Case Query, você pode enviar a informação em um anexo de Email a attach@cisco.com com seu número de caso na linha de assunto de sua mensagem.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 15248