Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

Configuración del registro del sistema de PIX

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Nota: Este documento se relaciona solamente con PIX 4.x. Consulte estos documentos para obtener información sobre las versiones de software 5.x,6.x y 7.x:

Los mensajes producidos por el PIX que van generalmente a la consola pueden ser recogidos cuando usted envía estos mensajes a un dispositivo que ejecute una syslogd daemon (syslogd). Syslogd escucha en el puerto UDP 514, el puerto syslog. El uso de Syslog le permite obtener información sobre el tráfico y rendimiento de PIX, analizar los registros de actividad sospechosa y resolver problemas.

Syslogd puede ejecutarse en una cantidad de plataformas de sistema operativo. Syslogd se instala cuando usted instala UNIX, pero debe configurarlo. En general, “syslogd” no viene con los sistemas basados en Windows; sin embargo, existe software de syslogd para Windows NT. Los ejemplos incluyen el PIX Firewall Manager (PFM), el servidor PIX Firewall Syslog, el Private-i, o el otro software syslog de su opción.

Nota: Si hay cualquier otra aplicación en la red que utiliza el número del puerto 514, los mensajes de Syslog no pudieron alcanzar el servidor de Syslog con éxito.

Este documento describe cómo el Syslog trabaja, cómo configurar el PIX para enviar los mensajes de Syslog a un dispositivo que ejecute el syslogd, y a cómo configurar un servidor syslogd basado en UNIX.

Los significados reales de los mensajes de syslog PIX están en la documentación de PIX.

prerrequisitos

Requisitos

No hay requisitos previos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en los Software Release 4.0.x y Posterior del Secure PIX de Cisco.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Cómo funciona Syslog

Todos los mensajes de Syslog tienen una instalación de explotación forestal y un nivel. La función de registro puede describirse cómo “dónde”, en tanto el nivel como “qué”.

Utilidad de inicio de Sesión

Podemos decir que el daemon de Syslog simple (syslogd) tiene varios conductos. Utiliza los conductos para decidir adónde enviar la información entrante en función del conducto por el cual llega la información. En esta analogía, los medios de registro son los conductos por los que syslogd decide adónde enviar la información que recibe.

Los ocho logging facilities de uso general para el Syslog son local0 con el local7.

local0
local1
local2
local3
local4
local5
local6
local7

Niveles

También hay diferentes grados de importancia que se vinculan con los mensajes entrantes. Usted puede pensar en los niveles como lo que. El PIX se puede fijar para enviar los mensajes en diversos niveles (éstos son mencionados de lo más arriba posible a la mínima importancia):

‘Nivel’ Código numérico
emergencia 0
alerta 1
crítico 2
error 3
advertencia 4
notificación 5
informativo 6
depurar 7

Cuando un PIX se configura para enviar los mensajes de Syslog, los niveles de menor importancia incluyen los niveles de una importancia más alta. Por ejemplo, si el PIX se fija para advertir, después el error, críticos, alertas, y los mensajes de emergencia también se envían además de la advertencia. Una configuración del debug incluye los mensajes en los ocho niveles.

Configure el PIX para enviar el Syslog

PIX 4.0.x-4.1.x

La sintaxis de syslog es:

syslog host #.#.#.# (donde #.#.#.# es la dirección de los servidores de syslog)

salida de Syslog X.Y (donde está la instalación X de explotación forestal y Y es el nivel)

¿Cómo se traduce el número X a la instancia de ingreso?

Analice el número X en el binario. Los cuatro bits más recientes comprenden la ubicación local.

  • 16 = 00010000 = local0

  • 17 = 00010001 = local1

  • 18 = 00010010 = local2

  • 19 = 00010011 = local3

  • 20 = 00010100 = local4

  • 21 = 00010101 = local5

  • 22 = 00010110 = local6

  • 23 = 00010111 = local7

Como un ejemplo, puesto que 22 = 00010110, y los cuatro bits=0110=decimal más reciente 6, esto es local6. (El acceso directo A es tomar el valor X y restar 16. Por ejemplo, 22-16=6, o local6.)

El número Y es el nivel. Por ejemplo, si Y=2, los mensajes enviados deberían incluir aquéllos del nivel 2 (crítico), nivel 1 (alerta) y del nivel 0 (emergencia). Los niveles PIX son 0-7; No deben confundirse con los recursos de registro (que son local0-local7).

Ejemplos en PIX 4.0.x-4.1.x

  • syslog 20.7

    20 es igual al recurso de registro local4

    .7 es el nivel. 7 significa el debug al PIX (se registran todos los mensajes).

  • syslog 23.2

    23 equals local7 logging facility

    .2 es el nivel. 2 significa crítico al PIX (crítico, alerta, y los mensajes de emergencia se registran).

PIX 4.2.x y posterior

El sintaxis para el Syslog cambió en los softwares PIX versión 4.2.x. En vez del comando syslog host #.#.#.#, use el nuevo comando logging host #.#.#.#. En 4.2.x, la instalación de explotación forestal y las definiciones de nivel son lo mismo, pero en vez de usar el comando syslog output X.Y, usted necesita tener estas dos declaraciones:

  • recurso de registro X

  • logging trap Y

El nivel se expresa no más como número. Se expresa como el nombre del nivel. Aquí tiene un ejemplo:

  • sintaxis antigua

    syslog output 20.7

  • sintaxis nueva

    instancia de ingreso 20 (local4)

    logging trap debugging (depuración en emergencia)

PIX 4.3.x y superior

En 4.3.x y posterior, usted puede evitar hacer los mensajes de Syslog determinados enviar, y usted puede los mensajes de marca de tiempo se envían que.

Además de estos comandos:

  • logging host -.-.-.-

  • recurso de registro X

  • logging trap Y

Usted puede publicar estos comandos:

  • el reloj fijó 13:18:00 el 25 de abril de 1999

  • sello de hora y fecha de registro

  • ningún mensaje de registro 111005

Esto da lugar al tener todos los mensajes, excepto el mensaje 111005 (es decir, “fin de configuración”), enviado con los grupos fecha/hora.

Nota: Porque el mensaje 111005 es un mensaje de nivel de notificación, no se ve si el nivel en el PIX se fija para la emergencia, la alerta, crítico, error, o cuidado.

Éste es un ejemplo de un mensaje con impresión horaria non-111005. (El primer grupo fecha/hora es de nuestro servidor Unix y el segundo es del PIX.)

Apr 25 13:15:35 10.31.1.53 Apr 25 1999 13:23:00: %PIX-5-111007:
	 Begin configuration: nobody reading from terminal

En las versiones de software PIX 4.3.x y posterior, usted puede también hacer el Syslog TCP. El PFSS soporta esto. Muchos otros servidores syslog no lo admiten sin una reconfiguración. El comando de permitir al PIX para hacer el registro de PFSS TCP es logging host -.-.-.- tcp 1740.

Nota: Porque este tráfico es TCP (es decir, con los acuses de recibo), si va el PFSS abajo, el tráfico con el PIX para. Por esta razón, el comando tcp syslog no debe ser implementado a menos que usted necesite a este tipo de funcionalidad. UDP/514 syslogging no tiene este efecto.

Cómo configurar un servidor Syslog

Debido a que syslogd era originalmente un concepto UNIX, las características disponibles en los productos syslogd en sistemas que no son de UNIX dependen de la implementación del proveedor. Las características pueden incluir las divisiones de mensaje entrante por el recurso o el nivel de debug, o ambas, resolviendo los nombres de los dispositivos remitentes, los recursos de generación de informes, y así sucesivamente. Refiera a la documentación del vendedor para la información sobre la configuración del servidor de Syslog de NON-UNIX.

Cisco hace un servidor de Syslog llamado el servidor PIX Firewall Syslog, que está disponible para las Plataformas PC. Vaya a las descargas (clientes registrados solamente) y seleccione el Software PIX Firewall de la descarga para descargar Cisco PFSS.

Complete estos pasos para configurar el Syslog en UNIX:

  1. En SunOS, AIX, HPUX o Solaris, con permisos de root haga una copia de seguridad del archivo /etc/syslog.conf antes de modificarlo.

  2. Modifique /etc/syslog.conf para comunicarle al sistema UNIX cómo ordenar los mensajes de syslog que provienen de los dispositivos de envío, es decir, qué nivel de logging_facility va en cada archivo. Asegúrese de que haya una tabulación entre el nivel.utilidad de_registro y el nombre de_archivo.

  3. Asegúrese de que el archivo de destino exista y pueda escribirse.

  4. La sección #Comment al principio de syslog.conf explica en general, la sintaxis para el sistema UNIX.

  5. No coloque información del archivo en la sección ifdef

  6. Como raíz, reinicie syslogd para recoger los cambios.

Ejemplos

  • Si se establece /etc/syslog.conf para:

    local7.warn     /var/log/local7.warn
    

    Se guardará un registro de los mensajes de advertencia, error, aspectos críticos, alerta y emergencia que provengan del recurso de registro local7 en el archivo local7.warn. No se guardará un registro de los mensajes de notificación, información y depuración que ingresen por la función local7.

  • Si se establece /etc/syslog.conf para:

    local7.debug    /var/log/local7.debug
    

    los mensajes de depuración, informativos, de notificación, de advertencia, de error, críticos, de alerta y de emergencia que ingresan a la dependencia de registro local7 serán registrados en el archivo local7.debug.

  • Si se establece /etc/syslog.conf para:

    local7.warn     /var/log/local7.warn
    local7.debug    /var/log/local7.debug
    

    se guardará un registro de los mensajes de advertencia, error, aspectos críticos, alerta y emergencia que provengan del recurso de registro local7 en el archivo local7.warn. Los mensajes de depuración, informativos, de notificación, de advertencia, de error, críticos, de alerta y de emergencia que ingresan a la dependencia de registro local7 serán registrados en el archivo local7.debug. (En otras palabras, ¡algunos mensajes irán a ambos archivos!).

  • Si se establece /etc/syslog.conf para:

    *.debug         /var/log/all.debug
    

    todos los niveles de mensajes de todos los recursos de registro se almacenarán en este archivo.

Depuración de Syslog

Usted debe ser raíz para comenzar el Syslog en el debug (SunOs, AIX, HPUX, o Solaris):

ps -ef | grep syslogd
kill -9 <pid>
syslogd -d

Debería ver mensajes al principio ya que syslog está leyendo syslog.conf, como:

cfline(local7.info                              /var/log/local7.info)
cfline(local7.debug                             /var/log/local7.debug)
X X X X X X X X X X X X X X X X X X X X X X X 6 X FILE: /var/log/local7.info
X X X X X X X X X X X X X X X X X X X X X X X 7 X FILE: /var/log/local7.debug

Si éstos navegan por demasiado rápidamente para ver, intente este comando:

  • syslogd - d | más

Si hay mensajes, tales como:

cfline(local7.info                              /var/log/local7.junk)
syslogd: /var/log/local7.junk: No such file or directory
logmsg: pri 53, flags 8, from pinecone, msg syslogd: /var/log/local7.junk: 
No such file or directory

existe un problema en la instalación. En este ejemplo, el archivo no existió.

Cuando usted se ejecuta en el debug, están también los mensajes de Syslog entrantes de las demostraciones y a qué archivo van:

logmsg: pri 275, flags 0, from 10.8.1.76, MSG 14: %SYS-5-CONFIG_I: Configured 
from console by vty0 (171.68.118.108)
Logging to UNUSED
Logging to FILE /var/log/local7.debug

En este caso, un mensaje que debe haber ido al local7.junk y se recibe el local7.debug, pero porque no existe el local7.junk, este mensaje también se recibe:

Logging to UNUSED.

Si syslogd - d no muestra nada que viene adentro, control estar segura que el PIX envía con los comandos pix show syslog or show logging. Si la información de syslogd llega en el sistema Unix, pero no entra el archivo adecuado, trabaje con el administrador del sistema UNIX o el soporte del proveedor del sistema operativo para corregir los problemas.

Si la causa del problema todavía no puede ser determinada, el Syslog se puede ejecutar en el debug y la salida reorientada a un archivo como sigue.

  • sh o ksh:

    syslogd -d<>target_file>2>&1

    o

  • csh

    syslogd - d>&<target_file>

Nota: El syslogd de Red Hat Linux se debe comenzar con la opción-r de capturar la salida de la red.

Esta tabla muestra los extensión del registro del sistema UNIX típicos que definen los niveles:

‘Extensión de UNIX’ Significado
.emerg Sistema inutilizable, emergencia
.alerta Actúe inmediatamente, alertas
.crit Condición crítica, crítica
.err Mensaje de error, errores
.warn Mensaje de advertencia, advertencias
.aviso Notificaciones de condiciones normales pero significativas
.info Mensajes informativos, informativos
.depurar Depurar mensaje, depuración

Información para recopilar si abre un caso del TAC

Si usted todavía necesita la ayuda después de seguir los pasos de Troubleshooting arriba y quiere abrir un caso con el TAC de Cisco, esté seguro de incluir la siguiente información para localizar averías su firewall PIX.
  • Trobleshooting realizado antes de abrir el caso
  • Resultado del comando show tech-support
  • Resultado del comando show log después de la ejecución con el comando logging buffered debugging o capturas de consola que muestran el problema (si están disponibles)
Adjunte los datos recolectados a su caso en un texto sin formato (.txt), sin compactar. Puede vincular información a su caso transfiriéndola mediante la herramienta Case Query (sólo para clientes registrados) . Si usted no puede acceder la herramienta del Case Query, usted puede enviar la información en un elemento adjunto de correo electrónico a attach@cisco.com con su número de caso en los asuntos de su mensaje.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 15248