Безопасность : Устройство Cisco NAC (Clean Access)

Cisco NAC Appliance (Clean Access) 4.x: Настройка параметров Syslog для регистрации событий

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает, как настроить параметры настройки системного журнала для регистрации событий к внешнему серверу в системе контроля доступа к сети Cisco NAC (NAC) Устройство, раньше известное как Cisco Clean Access (CA).

Предварительные условия

Требования

Этот документ принимает Менеджера Cisco Clean Access (CAM), и Серверы Cisco Clean Access (CAS) установлены и работают должным образом.

Используемые компоненты

Сведения в этом документе основываются на устройстве Cisco NAC, которое работает под управлением ПО версии 4.0 и позже.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Интерпретация журналов событий

Щелкните по ссылке Журналов событий в Контролирующем модуле для просмотра основанных на системном журнале журналов событий в консоли администрирования. Существует три вкладки Event Logs:

  • Обзорные журналы

  • Параметры настройки журналов

  • Параметры настройки системного журнала

Обзорные журналы

Рисунок 1

/image/gif/paws/91899/CCALogs1.gif

Вкладка View Logs включает эту информацию:

  • Статистика системы для Чистых Серверов доступа, которые генерируются каждый час по умолчанию.

  • Пользовательское действие, с пользовательскими временами входа в систему, временами выхода из системы, отказало попытки входа в систему и т.д.

  • События конфигурации сети, которые включают изменения в управление доступом к среде (MAC) или списки passthrough IP, и добавление или удаление Чистых Серверов доступа.

  • События управления коммутатором для внеполосных (OOB), которые включают, когда ловушки нисходящего канала получены, и когда порт изменяется на Виртуальную локальную сеть (VLAN) Аутентификации или Доступа.

  • Изменения или обновления Чистых Проверок доступа, правил и Поддерживаемого Списка продуктов Антивируса/Антишпиона.

  • Изменяется на Чистую конфигурацию Протокола DHCP (динамического конфигурирования узла) Сервера доступа.

Статистика системы генерируется для каждого CAS, которым управляют Чистым Access Manager каждый час по умолчанию. Посмотрите Регистрацию Системного журнала Настройки, чтобы измениться, как часто происходят проверки системы.

Примечание: Новые события кажутся первыми в столбце Events.

Таблица 1 описывает навигацию, возможности поиска, и фактический системный журнал отобразил выставленные для обозрения Журналы.

Таблица 1

Столбец Описание
Навигация Первый/Предыдущий/Следующий/Последний Эти навигационные ссылки пролистывают журнал событий. Новые события кажутся первыми в столбце Events. Последняя ссылка показывает вам самые старые события в журнале. Максимум 25 записей отображен на странице.
Столбец Нажмите Заголовок колонки, такой как Тип или Категория, для сортировки Журнала событий тем столбцом.
Условия поиска Введите Поиск по этим критериям столбца Type, и затем нажимает View:
  • Любой тип
  • Сбой
  • Информация
  • Успешно
Категория Поиск по этим критериям Столбца категорий, и затем нажимает View:
  • Аутентификация 1
  • Администрирование
  • Клиент
  • Clean Access Server
  • Чистый доступ
  • SW_Management, если включен OOB
  • Прочее
  • DHCP
Время Поиск по этим критериям Времени, и затем нажимает View:
  • В течение одного часа
  • В течение одного дня
  • В течение двух дней
  • В течение одной недели
  • В любое время
  • Один час назад
  • Один день назад
  • Два дня назад
  • Одну неделю назад
Поиск в регистрационном тексте Введите желаемый искомый текст и нажмите View.
Средства управления View После желаемых условий поиска выбран, нажмите View для отображения результатов.
Сбросить отображение При нажатии Reset View он восстанавливает стандартный экран, в котором отображены журналы в течение одного дня.
Delete При нажатии Delete он удаляет события, проник в условия поиска через количество применимых страниц. Удалите удаляет фильтруемые события из Чистого хранилища Access Manager. В противном случае журнал событий сохраняется через завершение работы системы. Используйте индикатор события фильтра, показанный на рисунке 1 для просмотра общего числа фильтруемых событий, которые подвергаются удалению.
Отображение состояния Введите
  • Сигнал тревоги (/image/gif/paws/91899/CCALogs2.gif) = Сбой — указывает на ошибку или иначе непредвиденное событие
  • Зеленый флаг (/image/gif/paws/91899/CCALogs3.gif) = Успех — указывает на успешное событие или событие стандартного использования, такое как действие конфигурации и успешная регистрация в системе
  • Желтый флаг (/image/gif/paws/91899/CCALogs4.gif) = информация — указывает на информацию о производительности системы, такую как данные нагрузки и использование памяти
Категория Указывает на модуль или компонент системы, который инициировал регистрационное событие. Для списка обратитесь к Категории под разделом Условий поиска. Обратите внимание на то, что, по умолчанию, статистика системы генерируется каждый час для каждого Чистого Сервера доступа, которым управляет Чистый Access Manager.
Время Отображает дату и времю (hh:mm:ss) события, с новыми событиями сначала в списке.
Событие Отображает событие для модуля, с новыми событиями, перечисленными сначала. Посмотрите Таблицу 2 - Поля Столбца События для примера события Clean Access Server.

Сноски - таблица 1

1. Записи Authentication-type могут включать элемент “Поставщик: <тип поставщика>, точка доступа: Н/Д, Сетевой: Н/Д”. Если подарок и предварительно сконфигурированный в Менеджере, поля “Access point: N/A, Network: N/A” предоставляют MAC точки доступа (AP) и идентификатор набора сервисов (SSID) информация соответственно для устаревшего клиента, чтобы продолжить оказывать поддержку для устаревшего беспроводного клиента поддержки закончена (EOL).

Пример журнала событий

Таблица 2 объясняет типичный Чистый пример события health Сервера доступа:

CleanAccessServer 2006-04-03 15:07:53 192.168.151.55 System Stats:
 Load factor 0 (max since reboot: 9) Mem Total: 261095424 bytes Used: 246120448
 bytes Free: 14974976 bytes Shared: 212992 bytes Buffers: 53051392 bytes Cached:
 106442752 bytes CPU User: 0% Nice: 0% System: 97% Idle: 1%
Таблица 2 - поля столбца события

Значение Описание
Clean Access Server Чистый Сервер доступа сообщает о событии
2006-04-03 15:07:53 Дата и время события
192.168.151.55 IP-адрес создания отчетов о Чистом Сервере доступа
Load factor 0 Фактор нагрузки указывает на количество пакетов, которые ждут, чтобы быть обработанными Чистым Сервером доступа, т.е. текущая загрузка, которая обрабатывается CAS. Когда фактор нагрузки растет, это - индикация, что пакеты ждут в очереди, чтобы быть обработанными. Если фактор нагрузки превышает 500 для какого-либо последовательного периода времени, такого как пять минут, это указывает, что Чистый Сервер доступа имеет устойчивую высокую нагрузку входящего трафика / пакеты. Будьте заинтересованы, увеличивается ли этот номер до 500 или выше.
(max since reboot: <n>) Максимальное число пакетов в очереди в любой момент. Другими словами, максимальная загрузка обработана Чистым Сервером доступа.
Mem Total: 261095424 bytes Это статистика использования памяти. Существует шесть номеров, показанных здесь:
  • общий объем памяти
  • используемая память
  • доступная память
  • совместно используемая память
  • буферная память
  • кэшируемая память
Used: 246120448 bytes
Free: 14974976 bytes
Shared: 212992 bytes
Buffers: 53051392 bytes
Cached: 106442752 bytes
CPU User: 0% Эти номера указывают на загрузку процессора ЦПУ на аппаратных средствах в процентах. Эти четыре номера указывают время, проведенное системой в пользователе, хорошем, системой и простаивающими процессами.

Примечание: Время, проведенное ЦП в системном процессе, как правило, больше, чем 90 процентов на Чистом Сервере доступа. Это указывает на исправную систему.

Nice: 0%
System: 97%
Idle: 1%

Ограничьте количество зарегистрированных событий

Порог журнала событий является количеством событий, которые будут сохранены в Чистой базе данных Access Manager. Максимальное число регистрационных событий сохранило CAM, по умолчанию, 100,000. Можно задать порог журнала событий до 200,000 записей, которые будут сохранены в базе данных CAM за один раз. Журнал событий является круговым журналом. Когда журнал передает порог журнала событий, самые старые записи перезаписаны.

Для изменения максимального числа событий:

  1. Нажмите вкладку Logs Setting на страницах Monitoring> Event Logs.

  2. Введите новый номер в полях Maximum Event Logs.

  3. Нажмите кнопку Update (Обновить).

Настройте Регистрацию системного журнала

Статистика системы генерируется каждый час, по умолчанию, для каждого Чистого Сервера доступа, которым управляет Чистый Access Manager. По умолчанию журналы событий записаны в CAM. Можно перенаправить журналы событий CAM к другому серверу, такие как собственный сервер системного журнала.

Кроме того, можно настроить, как часто вы хотите, чтобы CAM регистрировал информацию о состоянии системы. Чтобы сделать это, установите значение в поле Interval Журнала состояния Системного журнала. Значение по умолчанию равно 60 минутам.

Для настройки регистрации Системного журнала:

  1. Выберите Monitoring> Event Logs> Syslog Settings.

  2. Введите IP-адрес сервера системного журнала в поле Syslog Server Address. По умолчанию 127.0.0.1.

  3. Введите порт для сервера системного журнала в поле Syslog Server Port. По умолчанию 514.

  4. Войдите, как часто вы хотите, чтобы CAM регистрировал информацию о состоянии системы, в минутах, в поле Interval Журнала Состояния системы. Значение по умолчанию равно 60 минутам. Эта установка определяет, как часто статистические данные CAS зарегистрированы в журнале событий.

  5. Нажмите Update для сохранения изменений.

    Примечание: После того, как вы установите свой сервер системного журнала в CAM, можно протестировать конфигурацию. Сделать это, выходят из системы и для регистрации назад в консоль администрирования CAM. Это генерирует событие системного журнала (syslog). Если событие CAM не замечено на вашем сервере системного журнала, удостоверьтесь, что сервер системного журнала получает протокол UDP 514 пакетов и что они не заблокированы в другом месте в вашей сети.

    Примечание: Несколька серверов системного журнала Настройки не возможны, поскольку это не поддерживается. Можно только передать одному серверу системного журнала.

Файлы журналов

Журнала событий располагают в Чистой таблице базы данных Access Manager и называют log_info таблицей. перечисляет другие журналы в Чистом Access Manager.

Таблица 3

Файл Описание
/var/log/messages Startup
/var/log/dhcplog Ретранслятор DHCP, журналы DHCP
/tmp/perfigo-log0.log.* Служебные журналы perfigo для 3.5 (4) и ранее 1
/perfigo/logs/perfigo-log0.log.* Служебные журналы perfigo для 3.5 (5) и более поздние 1,2
/perfigo/logs/perfigo-redirect-log0.log.0 Связанные с сертификатом ошибки CAM/соединения CAS
/var/nessus/logs/nessusd.messages Плагин Nessus тестирует журналы
/perfigo/control/apache/logs/* Сертификаты уровня защищенных сокетов (SSL), журналы ошибок Apache
/perfigo/control/tomcat/logs/localhost*. Tomcat, перенаправление, Страницы JavaServer (JSP) журналы
/var/log/ha-log Высокая доступность регистрирует для CAM и CAS

Сноски - таблица 3

1. 0 вместо * показывает новый журнал.

2. События управления коммутатором для уведомлений, полученных CAM от коммутаторов, записаны только во вход в систему файловой системы (/perfigo/logs/perfigo-log0.log.0). Кроме того, эти события записаны в диск только, когда регистрационный уровень установлен в ИНФОРМАЦИЮ или более прекрасный.


Дополнительные сведения


Document ID: 91899