Segurança : Dispositivos de segurança Cisco PIX 500 Series

Exemplo de Configuração do PIX/ASA 7.x com Syslog

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (21 Agosto 2007) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Syslog Básico
      Configuração do Syslog Básico com o ASDM
      Envio de Mensagens de Syslog via VPN para um Servidor de Syslog
Syslog Avançado
      Uso da Lista de Mensagens
      Uso da Classe de Mensagens
      Log de Ocorrências de ACEs de ACLs
Captura de Mensagens de Syslog de Tráfego de VPN
Verificação
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este exemplo de configuração demonstra como configurar o PIX/ASA Security Appliance 7.x com o syslog.

O PIX 7.0 possui técnicas de filtragem muito granulares para permitir que somente mensagens de syslog especificadas sejam apresentadas. A seção Syslog Básico deste documento demonstra uma configuração do syslog tradicional. A seção Syslog Avançado do documento mostra os novos recursos do syslog na versão 7.0.

Consulte o Guia de Mensagens do Log do Sistema do Cisco Security Appliance Versão 7.x para obter o guia completo de mensagens de log.

Consulte Configurando o Syslog do PIX para obter mais informações sobre como configurar o syslog nos Cisco Secure PIX Software Releases 4.0.x.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • PIX 515E com PIX Software versão 7.0

  • Cisco Adaptive Security Device Manager (ASDM) versão 5.01

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Syslog Básico

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Use estes comandos para habilitar o log, consultar suas entradas e exibir as opções de configuração.

  • logging enable — Habilita a transmissão das mensagens de syslog para todos os locais de saída.

  • no logging enable — Desabilita o log para todos os locais de saída.

  • show logging — Lista o conteúdo do buffer do syslog e a configuração de log atual.

O PIX pode enviar mensagens de syslog para vários destinos. Use os comandos destas seções para especificar o local para o qual as mensagens devem ser enviadas:

Buffer interno

logging buffered severity_level 

Software ou hardware externos não são necessários quando as mensagens de syslog são armazenadas no buffer interno do PIX. Use o comando show logging para exibir as mensagens de syslog armazenadas.

Servidor de Mensagens do Syslog

logging host interface_name ip_address [tcp[/port] | udp[/port]] [format emblem]

    logging trap severity_level

    logging facility number

Um servidor que executa um aplicativo de syslog é necessário para o envio de mensagens de syslog para um host externo. O PIX envia, por padrão, as mensagens de syslog na porta 514 do UDP.

Endereço de Email

logging mail severity_level

    logging recipient-address email_address

    logging from-address email_address

    smtp-server ip_address

Para enviar mensagens de syslog por email, um servidor de SMTP é necessário. A configuração correta do servidor SMTP é necessária para garantir que seja possível retransmitir com êxito os emails do PIX para o cliente de email especificado.

Console

logging console severity_level 

O log do console permite que as mensagens de syslog sejam exibidas no console do PIX (tty) à medida que elas ocorrem. Use este comando para depurar problemas ou quando houver pouca carga na rede. Não o utilize quando a rede estiver ocupada, pois o desempenho poderá ser prejudicado.

Sessão de Telnet/SSH

logging monitor severity_level

    terminal monitor

O monitor de log permite que as mensagens de syslog sejam exibidas à medida que elas ocorrem quando você acessa o console do PIX via Telnet ou SSH.

ASDM

logging asdm severity_level 

O ASDM também possui um buffer que pode ser usado para armazenar as mensagens de syslog. Use o comando show logging asdm para exibir o conteúdo do buffer de syslog do ASDM.

Estação de Gerenciamento SNMP

logging history severity_level

    snmp-server host [if_name] ip_addr

    snmp-server location text

    snmp-server contact text

    snmp-server community key

    snmp-server enable traps 

Os usuários precisam de um ambiente funcional do Simple Network Management Protocol (SNMP) para enviar mensagens de syslog via SNMP.

Consulte Comandos de Configuração e Gerenciamento de Destinos de Saída para obter uma referência completa dos comandos que podem ser usados para definir e gerenciar destinos de saída.

Consulte Mensagens Listadas por Nível de Severidade para obter as mensagens listadas por nível de severidade.

Exemplo 1

Esta saída mostra um exemplo de configuração de log no console com o nível de severidade de depuração.

logging enable

logging buffered debugging

Esse é o exemplo de saída.

%PIX|ASA-6-308001: console enable password incorrect for number tries (from 10.1.1.15)

Configuração do Syslog Básico com o ASDM

Este procedimento demonstra a configuração do ASDM para todos os destinos de syslog disponíveis, seguido pela configuração de Exemplo 1.

  1. Vá para a janela inicial do ASDM.

  2. Escolha Configuration > Features > Properties > Logging > Logging Setup.

  3. Marque Enable logging para habilitar os syslogs.

    pix70-syslog-1.gif

  4. Escolha Syslog Servers em Logging e clique em Add para adicionar um servidor de syslog.

  5. Insira os detalhes do servidor de syslog na caixa Add Syslog Server e escolha OK após concluir.

    pix70-syslog-2.gif

  6. Escolha E-Mail Setup em Logging para enviar mensagens de syslog para emails.

  7. Especifique o endereço de email de origem na caixa Source E-Mail Address e escolha Add para configurar o endereço de email de destino dos destinatários de email e o nível de severidade da mensagem. Clique em OK após concluir.

    pix70-syslog-3.gif

  8. Escolha Device Administration, SMTP e, em seguida, insira o endereço IP do servidor para especificar o endereço IP do servidor SMTP.

    pix70-syslog-4.gif

  9. Escolha SNMP para especificar o endereço da estação de gerenciamento SNMP e suas propriedades.

    pix70-syslog-5.gif

  10. Escolha Add para adicionar uma estação de gerenciamento SNMP. Insira os detalhes do host SNMP e clique em OK.

    pix70-syslog-6.gif

  11. Clique em Properties em Configuration e escolha Logging Filters em Logging para selecionar o destino das mensagens de syslog.

  12. Escolha o destino do log desejado em Logging Destination e clique em Edit.

    Neste procedimento, o comando logging buffered debugging de Examplo 1 é usado.

  13. Escolha Internal Buffer e clique em Edit.

    pix70-syslog-7.gif

  14. Escolha Filter on severity e Debugging no menu suspenso. Clique em OK após concluir.

    pix70-syslog-8.gif

  15. Clique em Apply após retornar à janela Logging Filters.

    pix70-syslog-9.gif

Envio de Mensagens de Syslog via VPN para um Servidor de Syslog

Seja no design de VPN site a site simples ou no mais complexo design de hub and spoke, as pessoas muitas vezes desejam monitorar todos os PIX Firewalls com o servidor SNMP e o servidor de syslog localizados em um local central.

Para configurar as opções de VPN IPsec site a site, consulte PIX/ASA 7.x: Exemplo de Configuração de Túnel VPN PIX a PIX Simples. Além da configuração de VPN, é necessário configurar o SNMP e o tráfego de interesse para o servidor de syslog tanto no site central quanto no site local.

pix2pix-vpn-pix70-1.gif

Configuração do PIX Central


!--- Esta lista de controle de acesso (ACL) define o tráfego IPsec de interesse.
!--- Esta linha abrange o tráfego entre o segmento de LAN atrás dos dois PIXs.
!--- Ela também inclui o tráfego SNMP/syslog entre o servidor SNMP/syslog
!--- e os dispositivos de rede localizados no segmento Ethernet atrás do PIX 515.

access-list 101 permit ip 172.22.1.0 255.255.255.0 172.16.1.0 255.255.255.0


!--- Esta linha abrange tráfego de SNMP (TCP/UDP - porta 161), interceptações de SNMP (TCP/UDP - porta 162)
!--- e syslog (UDP - porta 514) do servidor SNMP/syslog
!--- para a interface externa do PIX remoto.



access-list 101 permit tcp host 172.22.1.5 host 10.20.20.1 eq 161
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 161
access-list 101 permit tcp host 172.22.1.5 host 10.20.20.1 eq 162
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 162
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 514
logging on
logging trap debugging
logging history debugging


!--- Defina informações do host de log.


logging facility 16
logging host inside 172.22.1.5



!--- Defina a configuração de SNMP.


snmp-server host inside 172.22.1.5
snmp-server community test
snmp-server enable traps

Configuração do PIX Remoto


!--- Esta ACL define o tráfego IPsec de interesse.
!--- Esta linha abrange o tráfego entre o segmento de LAN atrás dos dois PIXs.
!--- Ela também abrange o tráfego SNMP/syslog entre o servidor SNMP/syslog
!--- e os dispositivos de rede localizados no segmento de Ethernet atrás do PIX 515.


access-list 101 permit ip 172.16.1.0 255.255.255.0 172.22.1.0 255.255.255.0

!--- Esta linha abrange tráfego de SNMP (TCP/UDP - porta 161), interceptações de SNMP (TCP/UDP - porta 162) e
!--- syslog (UDP - porta 514) enviado da interface externa deste PIX
!--- para o servidor de syslog.



access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 161
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 161
access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 162
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 162
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 514

!--- Defina o servidor de syslog.


logging facility 23
logging host outside 172.22.1.5


!--- Defina o servidor SMTP.


snmp-server host outside 172.22.1.5
snmp-server community test
snmp-server enable traps

Consulte Monitorando o Cisco Secure PIX Firewall Usando SNMP e Syslog Via Túnel VPN para obter mais informações sobre como configurar o PIX 6.x.

Syslog Avançado

O PIX 7.0 oferece vários mecanismos que permitem configurar e gerenciar mensagens de syslog em grupos. Esses mecanismos incluem níveis de severidade de mensagens, classes de mensagens, ID de mensagens ou uma lista de mensagens personalizadas criadas por você. Ao usar esses mecanismos, você poderá inserir um único comando aplicável a grupos de mensagens pequenos ou grandes. Quando os syslogs são configurados dessa forma, você é capaz de capturar as mensagens do grupo de mensagens especificado e não apenas todas as mensagens da mesma severidade.

Uso da Lista de Mensagens

Use a lista de mensagens para incluir apenas as mensagens de syslog desejadas por nível de severidade e ID em um grupo e, em seguida, associar essa lista ao destino desejado.

Execute estes passos para configurar uma lista de mensagens.

  1. Insira o comando logging list message_list | level severity_level [class message_class] para criar uma lista de mensagens que inclua mensagens com um nível de severidade especificado ou uma lista de mensagens.

  2. Insira o comando logging list message_list message syslog_id-syslog_id2 para adicionar mensagens adicionais à lista de mensagens que acabou de ser criada.

  3. Insira o comando logging destination message_list para especificar o destino da lista de mensagens criada.

Exemplo 2

Execute estes comandos para criar uma lista de mensagens que inclua todas as mensagens de severidade 2 (críticas) com a adição das mensagens 611101 a 611323 e também para enviá-las para o console:

logging list my_critical_messages level 2
logging list my_critical_messages message 611101-611323
logging console my_critical_messages 

Configuração com o ASDM

Este procedimento mostra uma configuração com o ASDM para o Exemplo 2 com o uso da lista de mensagens.

  1. Escolha Event Lists em Logging e clique em Add para criar uma lista de mensagens.

    pix70-syslog-10.gif

  2. Insira o nome da lista de mensagens na caixa Name. Neste caso, my_critical_messages é usado. Clique em Add em Event Class/Severity Filters.

    pix70-syslog-11.gif

  3. Escolha os valores de Event Class e Severity nos menus suspensos.

    Neste caso, escolha All e Critical, respectivamente. Clique em OK após concluir.

    pix70-syslog-12.gif

  4. Clique em Add em Message ID Filters se houver necessidade de mensagens adicionais.

    Nesse caso, você deverá inserir mensagens com ID 611101-611323.

    pix70-syslog-13.gif

  5. Insira o intervalo de IDs na caixa Message IDs e clique em OK.

    pix70-syslog-14.gif

  6. Volte para o menu Logging Filters e escolha Console como o destino.

  7. Clique em Use event list e escolha my_critical_messages no menu suspenso. Clique em OK após concluir.

    pix70-syslog-15.gif

  8. Clique em Apply após retornar à janela Logging Filters.

    pix70-syslog-16.gif

    Isso conclui as configurações com o ASDM usando a lista de mensagens conforme mostrado no Exemplo 2.

Uso da Classe de Mensagens

Use a classe de mensagens para enviar todas as mensagens associadas a uma classe para o local de saída especificado. Ao especificar um limite de nível de severidade, você poderá limitar o número de mensagens enviadas para o local de saída.

logging class message_class destination | severity_level 

Exemplo 3

Insira este comando para enviar todas as mensagens da classe ca com um nível de severidade emergencies ou superior para o console.

logging class ca console emergencies

Configuração com o ASDM

Estes procedimentos mostram as configurações com o ASDM para o Exemplo 3 com o uso da lista de mensagens.

  1. Escolha o menu Logging Filters e escolha Console como o destino.

  2. Clique em Disable logging from all event classes.

  3. Em Syslogs from Specific Event Classes, escolha os valores de Event Class e Severity que deseja adicionar.

    Este procedimento usa ca e Emergencies, respectivamente.

  4. Clique em Add para adicioná-los nesta classe de mensagens e clique em OK.

    pix70-syslog-17.gif

  5. Clique em Apply após retornar à janela Logging Filters.

    O console agora coleta as mensagens da classe CA com o nível de severidade Emergencies conforme mostrado na janela Logging Filters.

    pix70-syslog-18.gif

    Isso concluir a configuração com o ADSM para o Examplo 3.

    Consulte Mensagens Listadas por Nível de Severidade para obter uma lista das mensagens de log por nível de severidade.

Log de Ocorrências de ACEs de ACLs

Adicione log a cada entrada de lista de acesso (ACE) desejada para registrar as ocorrências das listas de acesso. Use esta sintaxe:

access-list id {deny | permit protocol} {source_addr source_mask}
{destination_addr destination_mask} {operator port} {log}

Exemplo:

pixfirewall(config)#access-list 101 line 1 extended permit icmp any any log

Quando a opção log é especificada, ela gera a mensagem de syslog 106100 para a ACE à qual é aplicada. A mensagem de syslog 106100 é gerada para cada fluxo de ACE de permissão ou negação correspondente que passa pelo PIX Firewall. O fluxo da primeira correspondência é colocado no cache. As correspondências subsequentes incrementam a contagem de acertos exibidas no comando show access-list.

Unable to connect to remote host:, Connection timed out para a ACE e novas mensagens 106100 serão geradas no final do intervalo definido pelos segundos do intervalo se a contagem de ocorrências para o fluxo não for zero. O comportamento do log da lista de acesso padrão, o qual é a palavra-chave log não especificada, é que, se um pacote for negado, a mensagem 106023 será gerada e, se um pacote for permitido, nenhuma mensagem de syslog será gerada.

Um nível de syslog opcional (0 - 7) pode ser especificado para as mensagens de syslog geradas (106100). Se nenhum nível for especificado, o nível padrão será 6 (informativo) para uma nova ACE. Se a ACE já existir, seu nível de log existente permanecerá inalterado. Se a opção log disable for especificada, o log de lista de acessos será completamente desabilitado. Nenhuma mensagem de syslog, o que inclui a mensagem 106023, será gerada. A opção log padrão restaura o comportamento de log da lista de acesso padrão.

Execute estes passos para habilitar a mensagem de syslog 106100 e exibi-la na saída do console:

  1. Execute o comando logging enable para habilitar a transmissão das mensagens de log do sistema para todos os locais de saída. Você deve definir um local de saída do log para exibir qualquer log.

  2. Execute o comando logging message <message_number> level <severity_level> para definir o nível de severidade de uma mensagem de log específica do sistema.

    Neste caso, execute o comando logging message 106100 para habilitar a mensagem 106100.

  3. Execute o comando logging console message_list | severity_level para habilitar a exibição das mensagens de syslog no console do Security Appliance (tty) à medida que elas ocorrem. Defina o valor de severity_level como 1 a 7 ou use o nome do nível. Você também pode especificar quais mensagens são enviadas com a variável message_list.

  4. Execute o comando show logging message para exibir uma lista de mensagens de log do sistema que foram modificadas da configuração padrão, mensagens essas que receberam um nível de severidade diferente ou foram desabilitadas.

    Este é um exemplo de saída do comando show logging message:

    pixfirewall#show logging message 106100 
    syslog 106100: default-level informational (enabled)
    pixfirewall# %PIX-7-111009: User 'enable_15' executed cmd: show logging mess 106
    100

Captura de Mensagens de Syslog de Tráfego de VPN

Use o comando logging list para capturar o syslog para mensagens de VPN IPsec de acesso remoto e LAN para LAN sozinhas. Este exemplo captura todas as mensagens de log de sistema da classe VPN (IKE e IPsec) com nível de depuração ou superior.

Exemplo:

hostname(config)#logging enable
hostname(config)#logging timestamp
hostname(config)#logging list my-list level debugging class vpn
hostname(config)#logging trap my-list
hostname(config)#logging host inside 192.168.1.1

Nota: O comando logging list é aceito somente nas versões 7.2(1) ou posteriores.

Verificação

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

  1. Se você não receber as mensagens 304001 do syslog, certifique-se de que o comando inspect http esteja habilitado no ASA.

  2. Se desejar negar o envio de uma mensagem de syslog específica para o servidor de syslog, você deverá usar o comando conforme mostrado.

    hostname(config)#no logging message <syslog_id>

    Consulte o comando logging message para obter mais informações.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 63884