安全 : Cisco ASA 5500 系列自适应安全设备

ASA故障排除指南:在Syslog目的地的缺少日志

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文描述如何排除故障症状例如这些被观察的问题以可适应安全工具(ASA)的功能,特定,发送Syslog对多种目的地,并且问题:

  • 慢实时注册的可适应安全设备管理器(ASDM)。

  • 未命中在一个或更多Syslog目的地的断断续续Syslog。

注意: 贡献用Prapanch Ramamoorthy, Cisco TAC工程师。

开始使用前

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息根据思科ASA,并且对特定ASA软件版本没有被限制。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

功能信息

ASA,比如多数其他Cisco设备,能够发送Syslog对多个Syslog目的地。某些通常使用的目的地说明得此处:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113603-asa-missing-logs-01.gif

可能数量的位置是实际优势。如果选择仔细,和如说明此处,他们可以宽广地分类到根据目的两个主要类别他们符合:

  • 归档

  • 实时调试/故障排除

在多数网络中,除非一个或很多调试目的地是必要的,是满足的安排归档目的地启用。同时和相当经常,问题起因于同时启用多个Syslog目的地在高日志级别例如信息性(级别6)以上。

故障排除方法

每当问题发生有信息丧失系统日志信息在一个或更多目的地的地方,有您应该检查的两件事:

数据分析

查看Syslogging配置

完成这些步骤:

  1. 确保您寻找的系统消息没有由no logging消息<ID>命令禁用。

  2. 一旦确认,请查看的Syslog目的地启用的和级别编号每本日志被发送对其中每一。这是这样配置示例:

    logging enable
    logging timestamp
    logging standby
    logging console informational
    logging buffered informational
    logging trap informational
    logging asdm informational
    logging device-id hostname
    logging host inside 172.16.110.32

在本例中, ASA发送Syslog对4个不同的目的地在与信息有关的级别(级别6)。

show logging队列输出

使用一配置例如在上面,其中多个目的地接收很多日志消息,您能遇到ASA丢弃系统消息由于logging queue的溢出的情况。在这类情况下,输出将看起来与此相似:

ciscoasa# show logging queue

   Logging Queue length limit : 512 msg(s)
   2352325 msg(s) discarded due to queue overflow
   0 msg(s) discarded due to memory allocation failure
   Current 512 msg on queue, 512 msgs most on queue

默认情况下, logging queue存512个消息。

常见问题

当遇到系统消息没有被记录时的问题,请设想这些选项:

  • 禁用控制台记录。不应该为正常操作启用登陆对控制台。应该仅使用控制台记录实时故障排除,与低日志级别或低流量。登陆对控制台将严重地以高速率导致记录日志进程速率限制消息。控制台只有能力在日志消息上在9600位/秒,并且不采取日志a,在比控制台能输出到屏幕开始转存更多的尝试对控制台前。在这种情况下,日志在logging queue将开始缓冲。一旦logging queue得填满,消息尾部掉出的。

  • 增加logging queue的大小在512之外的。最大logging queue是1024在ASA-5505, 2048在ASA-5510和8192在其他平台。注意:logging queue使用“突发流量” Syslog。如果持续速率Syslog比ASA能传达他们给多种目的地快速, no logging队列限制足够大。

  • 禁用各自的系统消息您不是对存档感兴趣。发出no logging消息<syslog_id>命令为了禁用各自的Syslog。

  • 小心日志消息对磁盘(闪存) ASA。对闪存的文字是一非常缓慢的操作。闪烁的额外的记录日志将造成ASA缓冲系统日志文件在内存,最终耗尽所有可利用的内存(RAM)。另外,记录很多系统消息闪烁可能举起CPU。推荐只记录1级消息闪烁(包括关键系统事件)。


相关信息


Document ID: 113603