Интерфейсы и модули Cisco : Устройства защиты Cisco PIX серии 500

Пример настройки PIX/ASA 7.x с системным журналом

7 апреля 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (21 августа 2007) | Отзыв

Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Условные обозначения
Основной системный журнал
     Настройка основного системного журнала с помощью ASDM
     Отправка сообщений системного журнала серверу системного журнала через VPN
Дополнительные свойства системного журнала
     Использование списка сообщений
     Использование класса сообщений
     Регистрация обращений к элементам списка управления доступом
Запись сообщений системного журнала трафика VPN
Проверка
Устранение неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В данном документе демонстрируется настройка ПО Cisco PIX/ASA Security Appliance 7.x с системным журналом.

В PIX 7.0 были введены методы очень подробной фильтрации, чтобы позволить регистрировать в системном журнале только точно заданные сообщения. В разделе Основной системный журнал данного документа демонстрируется традиционная конфигурация системного журнала. В разделе Дополнительные свойства системного журнала представлены новые свойства системного журнала в версии 7.0.

Полную информацию о сообщениях системного журнала см. в документе Руководство по сообщениям системного журнала Cisco PIX/ASA Security Appliance 7.x.

Дополнительные сведения о настройке системного журнала в ПО Cisco Secure PIX версии 4.0.x см. в документе Настройка системного журнала PIX.

Предварительные условия

Требования

Для данного документа нет особых требований.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • PIX 515E с программным обеспечением PIX версии 7.0

  • Cisco Adaptive Security Device Manager (ASDM) версии 5.01

Сведения в этом документе были получены в результате тестирования приборов в специфической лабораторной среде. Все устройства, используемые в этом документе, запускались с чистой конфигурацией (конфигурацией по умолчанию). Если сеть работает в реальных условиях, убедитесь в понимании потенциального воздействия каждой команды.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в статье Cisco Technical Tips Conventions (Условные обозначения, используемые в технической документации Cisco).

Основной системный журнал

Примечание: Используйте средство поиска команд (registered customers only) для получения более подробной информации о командах, использованных в этом разделе.

Следующие команды используются для включения ведения журналов, просмотра журналов и параметров конфигурации.

  • logging enable— включение передачи сообщений системного журнала всем адресатам выходных данных.

  • no logging enable— отключение ведения журналов для всех адресатов выходных данных.

  • show logging— перечисление содержимого буфера системного журнала и текущих настроек ведения журнала.

PIX может отправлять сообщения системного журнала различным адресатам. Команды, описанные в следующих разделах, используются, чтобы указать, куда следует отправлять сообщения.

Внутренний буфер

logging buffered severity_level 

Если сообщения системного журнала хранятся во внутреннем буфере устройства PIX внешнее программное и аппаратное обеспечение не требуется. Используйте команду show logging для просмотра сохраненных сообщений системного журнала.

Сервер сообщений системного журнала

logging host interface_name ip_address [tcp[/port] | udp[/port]] [format emblem] 

    logging trap severity_level 

    logging facility number

Для отправки сообщений системного журнала внешним узлам требуется сервер с приложением системного журнала. По умолчанию устройство PIX сообщения системного журнала отправляет через UDP-порт 514.

Адрес электронной почты

logging mail severity_level 

    logging recipient-address email_address

    logging from-address email_address

    smtp-server ip_address

Если сообщения системного журнала отправляются по электронной почте, требуется SMTP-сервер. Необходимо правильно настроить SMTP-сервер, чтобы гарантировать успешную пересылку электронной почты от устройства PIX указанному клиенту электронной почты.

Консоль

logging console severity_level 

Консоль ведения журнала позволяет отображать сообщения системного журнала на консоли PI (tty) по мере их появления. Используйте эту команду при устранении неполадок или при минимальной загрузке сети. Не используйте данную команду, если сеть загружена, так как это может снизить ее производительность.

Сеанс Telnet/SSH

logging monitor severity_level 

    terminal monitor

Монитор ведения журнала позволяет отображать появляющиеся сообщения системного журнала при доступе к консоли PIX с помощью Telnet или SSH.

Приложение ASDM

logging asdm severity_level 

У приложения ASDM также есть буфер, который можно использовать для хранения сообщений системного журнала. Используйте команду show logging asdm для отображения содержимого буфера системного журнала ASDM.

Станция управления SNMP

logging history severity_level 

    snmp-server host [if_name] ip_addr

    snmp-server location text

    snmp-server contact text

    snmp-server community key

    snmp-server enable traps 

Для отправки сообщений системного журнала по протоколу SNMP пользователям требуется работоспособная SNMP-среда.

Полную справку по командам, которые можно использовать для настройки направлений вывода и управления ими, см. в документе Команды для настройки и управления направлениями вывода.

Сообщения, перечисленные по степени серьезности, см. в документе Сообщения, перечисленные по степени серьезности.

Пример 1

В предлагаемых выходных данных показан пример конфигурации ведения журнала в консоли с заданным уровнем важности отладки.

logging enable

logging buffered debugging

Вот пример выходных данных.

%PIX|ASA-6-308001: console enable password incorrect for number tries (from 10.1.1.15)

Настройка основного системного журнала с помощью ASDM

В данной процедуре демонстрируется конфигурация ASDM для всех доступных адресатов системного журнала, за которой следует конфигурация для примера 1.

  1. Перейдите в окно "Home (Домашний)" приложения ASDM.

  2. Выберите Configuration > Features > Properties > Logging > Logging Setup (Конфигурация > Функции > Свойства > Ведение журнала > Настройка ведения журнала).

  3. Выберите Enable logging (Включить ведение журнала), чтобы включить системные журналы.

    pix70-syslog-1.gif

  4. В разделе "Logging (Ведение журнала)" выберите Syslog Servers (Серверы системных журналов) и нажмите кнопку Добавить, чтобы добавить сервер системного журнала.

  5. Введите данные о сервере системного журнала в окне "Add Syslog Server (Добавления сервера системного журнала)" и нажмите кнопку ОК после завершения.

    pix70-syslog-2.gif

  6. В разделе "Logging (Ведение журнала)" выберите E-Mail Setup (Настройка электронной почты), чтобы отправлять сообщения системного журнала по электронной почте.

  7. Укажите исходный адрес электронной почты в поле "Source E-Mail Address (Исходный адрес электронной почты)" и нажмите кнопку Добавить, чтобы настроить адреса электронной почты получателей и степень серьезности сообщений. По окончании нажмите кнопку ОК.

    pix70-syslog-3.gif

  8. Выберите Device Administration (Администрирование устройств), SMTP и введите IP-адрес SMTP-сервера.

    pix70-syslog-4.gif

  9. Выберите SNMP, чтобы указать адрес станции управления SNMP и свойства.

    pix70-syslog-5.gif

  10. Нажмите кнопку Добавить, чтобы добавить станцию управления SNMP. Введите данные об SNMP-узле и нажмите кнопку ОК.

    pix70-syslog-6.gif

  11. Нажмите кнопку Properties(Свойства) в разделе "Configuration" (Конфигурация) и выберите Logging Filters (Фильтры ведения журнала) в разделе "Logging" (Ведение журнала), чтобы выбрать адресат сообщений системного журнала.

  12. Выберите требуемый адресат сообщений журнала и нажмите кнопку Изменить.

    Для данной процедуры используется Пример 1 logging buffered debugging .

  13. Выберите Internal Buffer (Внутренний буфер) и нажмите кнопку Изменить.

    pix70-syslog-7.gif

  14. Выберите Filter on severity (Фильтровать по серьезности), а затем — Debugging (Отладка) из раскрывающегося меню. По окончании нажмите кнопку ОК.

    pix70-syslog-8.gif

  15. Нажмите кнопку Применить после возвращения к окну "Logging Filters (Фильтры ведения журнала)".

    pix70-syslog-9.gif

Отправка сообщений системного журнала серверу системного журнала через VPN

В случае простой структуры VPN типа "сеть-сеть" или более сложной топологии звезды иногда требуется мониторинг всех брандмауэров PIX с помощью SNMP-сервера и сервера системного журнала, расположенных на центральном узле.

О настройке конфигурации VPN типа "сеть-сеть" с поддержкой IPsec см. в документе PIX/ASA 7.x: пример простой настройки VPN-туннеля PIX-PIX с помощью ASDM. Кроме конфигурации VPN требуется настроить SNMP и интересующий трафик для сервера системного журнала на центральном и локальном узлах.

pix2pix-vpn-pix70-1.gif

Конфигурация центрального устройства PIX

!--- This access control list (ACL) defines IPsec interesting traffic.
!--- This line covers traffic between the LAN segment behind two PIXes.
!--- It also includes the SNMP/syslog traffic between the SNMP/syslog server
!--- and the network devices located on the Ethernet segment behind the PIX 515.

access-list 101 permit ip 172.22.1.0 255.255.255.0 172.16.1.0 255.255.255.0

!--- This lines covers SNMP (TCP/UDP port - 161), SNMP TRAPS(TCP/UDP port - 162) 
!--- and syslog traffic (UDP port - 514) from SNMP/syslog server  
!--- to the outside interface of the remote PIX.
 

 
access-list 101 permit tcp host 172.22.1.5 host 10.20.20.1 eq 161
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 161
access-list 101 permit tcp host 172.22.1.5 host 10.20.20.1 eq 162
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 162
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 514
logging on
logging trap debugging
logging history debugging

!--- Define logging host information.


logging facility 16
logging host inside 172.22.1.5


!--- Define the SNMP configuration.


snmp-server host inside 172.22.1.5
snmp-server community test
snmp-server enable traps

Конфигурация удаленного устройства PIX

!--- This ACL defines IPsec interesting traffic.
!--- This line covers traffic between the LAN segment behind two PIXes.
!--- It also covers the SNMP/syslog traffic between the SNMP/syslog server
!--- and the network devices located on the Ethernet segment behind PIX 515.


access-list 101 permit ip 172.16.1.0 255.255.255.0 172.22.1.0 255.255.255.0
!--- This lines covers SNMP (TCP/UDP port - 161), SNMP TRAPS (TCP/UDP port - 162) and 
!--- syslog traffic (UDP port - 514) sent from this PIX outside 
!--- interface to the SYSLOG server.



access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 161
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 161
access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 162
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 162
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 514
!--- Define syslog server.


logging facility 23
logging host outside 172.22.1.5

!--- Define SNMP server.


snmp-server host outside 172.22.1.5
snmp-server community test
snmp-server enable traps

См. в документе Мониторинг брандмауэра Cisco Secure PIX с помощью SNMP и системного журнала через VPN-туннель дополнительные сведения о настройке PIX 6.x.

Дополнительные свойства системного журнала

PIX 7.0 предоставляет несколько механизмов, позволяющих настраивать и управлять сообщениями системного журнала в группах. Эти механизмы включают степень серьезности, класс сообщений, идентификатор сообщения или пользовательский список сообщений. С помощью данных механизмов можно ввести одну команду, которая применяется к маленьким и большим группам сообщений. Такая настройка системных журналов позволяет записывать сообщения из указанных групп сообщений, а не все сообщения одной степени серьезности.

Использование списка сообщений

Воспользуйтесь таким списком сообщений, чтобы включить интересующие сообщения системного журнала, сгруппированные по степени серьезности и идентификатору, а затем свяжите этот список с нужным адресатом.

Выполните следующие действия, чтобы настроить список сообщений.

  1. Введите команду logging list message_list | level severity_level [class message_class] , чтобы создать список сообщений, отобранных по заданной степени серьезности или списку сообщений.

  2. Введите команду logging list message_list message syslog_id-syslog_id2 , чтобы добавить дополнительные сообщения к только что созданному списку сообщений.

  3. Введите команду logging destination message_list , чтобы указать адресат созданного списка сообщений.

Пример 2

Выполните следующие команды, чтобы создать список сообщений, включающий все сообщения со степенью серьезности 2 (критические) с дополнительными сообщениями 611101 - 611323, и отправить их консоли:

logging list my_critical_messages level 2
logging list my_critical_messages message 611101-611323
logging console my_critical_messages 

Конфигурация ASDM

В этой процедуре демонстрируется настройка конфигурации ASDM из примера 2 с помощью списка сообщений.

  1. Выберите Event Lists (Список событий) в разделе "Logging (Ведение журнала)" и нажмите кнопку Добавить, чтобы создать список сообщений.

    pix70-syslog-10.gif

  2. Введите имя списка сообщений в поле "Name (Имя)". В данном случае используется my_critical_messages. Нажмите кнопку Добавить в "Event Class (Класс событий)/Severity Filters (Фильтры по серьезности)".

    pix70-syslog-11.gif

  3. Выберите класс и степень серьезности события из раскрывающихся меню.

    В данном случае выберите All (Все) и Critical (Критические) соответственно. По окончании нажмите кнопку ОК.

    pix70-syslog-12.gif

  4. Нажмите кнопку Добавить в разделе "Message ID Filters (Фильтры идентификаторов сообщений)", если требуются дополнительные сообщения.

    В данном случае необходимо добавить сообщения с идентификаторами 611101-611323.

    pix70-syslog-13.gif

  5. Введите этот диапазон идентификаторов в поле "Message IDs (Идентификаторы сообщений)" и нажмите кнопку ОК.

    pix70-syslog-14.gif

  6. Вернитесь к меню Logging Filters (Фильтры ведения журнала) и выберите Console (Консоль) в качестве адресата.

  7. Выберите Use event list (Использовать список событий), а затем — my_critical_messages из раскрывающегося меню. По окончании нажмите кнопку ОК.

    pix70-syslog-15.gif

  8. Нажмите кнопку Применить после возвращения к окну "Logging Filters (Фильтры ведения журнала)".

    pix70-syslog-16.gif

    На этом завершается настройка ASDM с помощью списка сообщений, как показано в примере 2.

Использование класса сообщений

Класс сообщений используется для отправки всех сообщений, связанных с некоторым классом, указанному адресату выходных данных. Указав пороговое значение для степени серьезности, можно ограничить число сообщений, отправленных заданному адресату выходных данных.

logging class message_class destination | severity_level 

Пример 3

Введите следующую команду, чтобы отправить консоли все сообщения класса "ca" со степенью серьезности "emergencies" (критические ситуации) или выше.

logging class ca console emergencies

Конфигурация ASDM

В этой процедуре демонстрируется настройка конфигурации ASDM из примера 3 с помощью списка сообщений.

  1. Откройте меню Logging Filters (Фильтры ведения журнала) и выберите Console (Консоль) в качестве адресата.

  2. Выберите Disable logging from all event classes (Отключить ведение журнала для всех классов событий).

  3. В "Syslogs (Системные журналы)" из "Specific Event Classes (Конкретные классы событий)", выберите класс и степень серьезности события, которые требуется добавить.

    В данной процедуре используются ca и Emergencies соответственно.

  4. Нажмите кнопку Добавить, чтобы добавить выбранное к классу сообщений, и нажмите кнопку ОК.

    pix70-syslog-17.gif

  5. Нажмите кнопку Применить после возвращения к окну "Logging Filters (Фильтры ведения журнала)".

    Теперь в консоли собираются сообщения класса "ca" со степенью серьезности Emergencies, как показано в окне "Logging Filters (Фильтры ведения журнала)".

    pix70-syslog-18.gif

    На этом завершается настройка ASDM для примера 3.

    Список степеней серьезности сообщений журналов см. в документе Сообщения, перечисленные по степени серьезности.

Регистрация обращений к элементам списка управления доступом

Добавьте log к каждому элементу списка доступа, который требуется регистрировать при обращении к списку доступа. Используйте следующий синтаксис:

access-list id {deny | permit protocol} {source_addr source_mask} {destination_addr destination_mask} {operator port} {log}

Пример:

pixfirewall(config)#access-list 101 line 1 extended permit icmp any any log

Если параметр log указан, сообщение системного журнала 106100 создается для элемента списка контроля доступа, к которому он применяется. Сообщение системного журнала 106100 создается для каждого совпадающего потока разрешающих или запрещающих элементов списка управления доступом, проходящего через брандмауэр PIX. В кэш помещается первый совпадающий поток. Последующие совпадающие потоки увеличивают число обращений, отображаемое в выходных данных команды show access-list .

Сообщения Unable to connect to remote host: (Не удается подключиться удаленному узлу:), Connection timed out (Время соединения истекло) для элемента управления доступом и новые сообщения 106100 создаются в конце интервала, заданного в секундах, если для данного потока число обращений не равно нулю. Поведение регистрации списков доступа по умолчанию, для которого не указано ключевое слово log , заключается в том, что если пакет отклоняется, создается сообщение 106023, а если пакет пропускается, сообщение системного журнала не создается.

Для созданных сообщений системного журнала (106100) можно указать дополнительные уровни системного журнала (0 - 7). Если уровень не указан, то каждому новому элементу управления доступом соответствует уровень по умолчанию 6 (информационный). Если элемент управления доступом уже существует, то существующий уровень регистрации остается неизменным. Если параметр log disable указан, регистрация списков доступа полностью прекращается. Сообщения системного журнала не создаются, включая сообщение 106023. Команда log восстанавливает регистрацию списков доступа по умолчанию.

Выполните следующие действия, чтобы включить отображение сообщения системного журнала 106100 в выходных данных консоли:

  1. Выполните команду logging enable , чтобы разрешить передачу сообщений системного журнала всем адресатам выходных данных. Для просмотра любого журнала необходимо задать расположение выходных данных регистрации.

  2. Выполните команду logging message <номер_сообщения>level <степень_серьезности> , чтобы задать степень серьезности конкретного сообщения системного журнала.

    В данном случае выполните команду logging message 106100 , чтобы разрешить сообщение 106100.

  3. Выполните команду logging console message_list | severity_level , чтобы разрешить отображение сообщений системного журнала в консоли Security Appliance (tty) по мере их появления. Задайте severity_level в пределах от 1 до 7 или воспользуйтесь названием степени серьезности. Также можно указать, какие сообщения отправляются вместе с переменной message_list.

  4. Выполните команду show logging message , чтобы отобразить список сообщений системного журнала, настройки по умолчанию которых были изменены, т.е. сообщения, которым назначена другая степень серьезности, и отключенные сообщения.

    Ниже приводится пример выходных данных команды show logging message :

    pixfirewall#show logging message 106100 
    syslog 106100: default-level informational (enabled)
    pixfirewall# %PIX-7-111009: User 'enable_15' executed cmd: show logging mess 106
    100

Запись сообщений системного журнала трафика VPN

Используйте команду logging list , чтобы записывать сообщения системного журнала только для соединений ЛВС-ЛВС и удаленного доступа к VPN с поддержкой IPsec. В данном примере записываются все сообщения системного журнала класса VPN (IKE и IPsec) с уровнем отладки (debugging) или выше.

Пример:

hostname(config)#logging enable
hostname(config)#logging timestamp
hostname(config)#logging list my-list level debugging class vpn
hostname(config)#logging trap my-list
hostname(config)#logging host inside 192.168.1.1

Примечание: Команда logging list поддерживается в версии 7.2(1) или выше.

Проверка

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Если не принимаются сообщения 304001 системного журнала, необходимо убедиться, что команда inspect http активирована в устройстве ASA.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 63884