Безопасность : Устройства защиты Cisco PIX серии 500

Настройка системного журнала PIX

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (22 сентября 2010) | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Примечание: Этот документ относится только к версии PIX 4.x. Информацию о версиях 5.x, 6.x и 7.x см. в следующих документах:

Сообщения, создаваемые PIX, которые обычно направляются на консоль, можно собирать путем направления этих сообщений в устройство, на котором запущен демон syslogd (syslogd). Syslogd прослушивает UDP-порт 514 — порт системного журнала. Ведение системных журналов позволяет получить сведения о трафике и производительности PIX, анализировать занесенные в журналы подозрительные действия и устранять неполадки.

Программа syslogd может работать в нескольких операционных системах. Syslogd устанавливается при установке UNIX, но требует настройки. Хотя ПО Syslogd не встраивается в системы Windows по умолчанию, его можно использовать в Windows NT. Примерами такого ПО являются диспетчер межсетевого экрана PIX (PFM), сервер системных журналов межсетевого экрана PIX (PFSS), Private-I или другое программное обеспечение для работы с системными журналами, выбираемое пользователем.

Примечание: Если в сети имеется другое приложение, использующее порт 514, возможна ситуация, когда сообщения системного журнала не будут достигать сервера системных журналов.

В этом документе рассказывается о работе системного журнала, о том, как настроить PIX на отправку сообщений системного журнала устройству, на котором запущен syslogd, а также, как настроить сервер syslogd под управлением UNIX.

Фактические значения сообщений системного журнала PIX см. в документации PIX.

Предварительные условия

Требования

Для данного документа отсутствуют предварительные условия.

Используемые компоненты

Сведения в этом документе относятся к программному обеспечению Cisco Secure PIX версии 4.0.x и более поздних версий.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Работа системного журнала

Для всех сообщений системного журнала предусмотрено средство регистрации и уровень регистрации. Средство регистрации описывает расположение, а уровень — объект.

Средства регистрации в системе

Один демон системного журнала (syslogd) может быть представлен в виде нескольких программных каналов. Он использует каналы, когда решает, куда послать входящие данные, исходя из того, по какому каналу они поступили. Продолжая аналогию, можно сказать, что средства ведения журналов — это каналы, которые syslogd выбирает для отправки полученных данных.

Восемь средств ведения журналов для системного журнала — от local0 до local7.

local0
local1
local2
local3
local4
local5
local6
local7

Уровни

Входящим сообщениям могут назначаться различные степени важности. Можно представить уровни следующим образом. PIX может быть настроен для отправки сообщений на различные уровни (они перечисляются в порядке убывания важности):

Уровень Числовой код
аварийная ситуация 0
.alert 1
важный 2
ошибка 3
Предупреждение.  4
уведомление 5
информационный 6
.debug 7

Если PIX настроен на отправку сообщений системного журнала, то уровни низкой важности включают и уровни высокой важности. Например, если для PIX настроена отправка предупреждений, помимо предупреждений будут отправляться сообщения об ошибках, критических ошибках, сигналы тревоги и сообщения об аварийных ситуациях. Установка уровня "Отладочное сообщение" будет, очевидно, включать сообщения всех 8 уровней.

Конфигурирование частного обмена данными через Интернет для отправки системного журнала

PIX 4.0.x-4.1.x

Для ведения системного журнала предусмотрен следующий синтаксис:

syslog host #.#.#.# (где #.#.#.# – адрес сервера системного журнала)

syslog output X.Y (где X – это средство регистрации, а Y – уровень)

Как число Х переводится в средство регистрации?

Выполняется преобразование числа X в двоичный код. Последние четыре бита указывают локальное устройство.

  • 16 = 00010000 = local0

  • 17 = 00010001 = local1

  • 18 = 00010010 = local2

  • 19 = 00010011 = local3

  • 20 = 00010100 = local4

  • 21 = 00010101 = local5

  • 22 = 00010110 = local6

  • 23 = 00010111 = local7

К примеру, поскольку 22 = 00010110, а последние 4 бита=0110=6 (десятичное), это локальное устройство local6. (Проще всего взять значение X и вычесть из него 16. Например, 22-16=6, т.е. устройство local6.).)

Число Y – это уровень. К примеру, если Y=2, посланные сообщения будут соответствовать уровню 2 (критичные ошибки), уровню 1 (сигнал тревоги) и уровню 0 (аварийная ситуация). Уровни PIX 0-7; их не следует путать со средствами регистрации (устройствами local0-local7).

Примеры в PIX 4.0.x-4.1.x

  • syslog 20.7

    20 соответствует месту ведения журнала local4.

    7 обозначает уровень. 7 означает отладочные сообщения PIX (т.е. регистрируются все сообщения).

  • syslog 23.2

    23 соответствует месту ведения журнала local7

    2 обозначает уровень. 2 означает критические ошибки PIX, т. е. будут регистрироваться критические ошибки, сигналы тревоги и аварийные ситуации.

PIX 4.2.x и более поздние версии

Синтаксис ведения системного журнала в программном обеспечении PIX версии 4.2.x изменился. Вместо команды syslog host #.#.#.# используется новая команда logging host #.#.#.#. В версии 4.2.x определения устройств регистрации и уровней остались прежними, но вместо команды "syslog output X.Y" теперь нужно использовать две следующие инструкции:

  • logging facility X

  • logging trap Y

Уровень больше не обозначается номером. Теперь явным образом указывается название каждого уровня. Ниже представлен пример:

  • старый синтаксис

    syslog output 20.7

  • новый синтаксис

    logging facility 20 (local4)

    logging trap debugging (отлаживающий через аварийную ситуацию)

PIX 4.3.x и более поздние версии

В PIX 4.3.x и более поздних версиях можно отказаться от получения определенных сообщений системного журнала, а также можно настроить метки времени для отправленных сообщений.

Помимо следующих команд:

  • logging host #.#.#.#. #.#.#

  • logging facility X

  • logging trap Y

Можно также выполнить такие команды:

  • clock set 13:18:00 Apr 25 1999

  • logging timestamp

  • no logging message 111005

В результате будут регистрироваться все сообщения за исключением сообщения 111005, т.е сообщения End configuration (Конец настройки); при регистрации будет учитываться метка времени.

Примечание: Поскольку сообщение 111005 — это сообщение уровня "Уведомление", оно не будет отображаться, если для PIX заданы уровни "Аварийная ситуация", "Сигнал тревоги", "Критическая ошибка", "Ошибка" или "Предупреждение".

Ниже приведен пример сообщения с временной меткой, не являющегося сообщением 111005. (Первая временная метка берется с нашего сервера UNIX, а вторая — из PIX.).)

Apr 25 13:15:35 10.31.1.53 Apr 25 1999 13:23:00: %PIX-5-111007:
	 Begin configuration: nobody reading from terminal

В программном обеспечении PIX версии 4.3.x и более поздних версиях можно также вести системный журнал TCP. Эта возможность поддерживается в PFSS. Большинство других серверов для работы с системными журналами не поддерживают этой возможности без повторной конфигурации. Протоколирование PFSS TCP в PIX включается следующей командой logging host #.#.#.# tcp 1740.

Примечание: Поскольку этот трафик передается по протоколу TCP (т.е. с уведомлениями), если PFSS отключается, передача данных через PIX прекращается. По этому обычно не рекомендуется выполнять команду tcp syslog, если для этого нет необходимости. Ведение системного журнала UDP/514 не оказывает такого действия.

Настройка сервера Syslogd

Поскольку концепция syslogd восходит к UNIX, набор доступных возможностей продуктов syslogd в системах, отличных от UNIX, зависит от конкретной реализации. В число возможностей входит разделение входящих сообщений по средствам регистрации или уровням отладки, а также по обоим признакам, разрешение имен отправляющих устройств, средств создания отчетов и т.д. Информацию о настройке не-UNIX серверов для регистрации системных журналов см. в документации соответствующих поставщиков.

Cisco выпускает сервер регистрации системных журналов с названием PFSS (PIX Firewall Syslog Server), который поставляется для платформ на базе ПК. Перейдите в раздел Загрузки (только для зарегистрированных пользователей) и выберите Download PIX Firewall Software (Загрузить программное обеспечение межсетевого экрана PIX), чтобы загрузить Cisco PFSS.

Чтобы настроить регистрацию системных журналов в UNIX, необходимо выполнить следующие действия:

  1. Как корневой пользователь в SunOS, AIX, HP-UX или Solaris создайте резервную копию файла /etc/syslog.conf до внесения изменений.

  2. Измените файл /etc/syslog.conf, указав, как система UNIX должна сортировать сообщения системного журнала, поступающие с устройств, то есть какие значения logging_facility.level должны назначаться тем или иным файлам. Убедитесь, что "logging_facility.level" и "file_name" разделены табуляцией.

  3. Убедитесь, что конечный файл существует и доступен для записи.

  4. В разделе #Comment в начале файла syslog.conf обычно описывается синтаксис, используемый в системе UNIX.

  5. Не помещайте информацию о файле в разделifdef.

  6. Как корневой пользователь, перезагрузите syslogd, чтобы аккумулировать изменения.

Примеры

  • Если файл /etc/syslog.conf задан для:

    local7.warn     /var/log/local7.warn
    

    предупреждающие сообщения, сообщения об ошибках, важные, предупредительные и экстренные сообщения, приходящие на средство регистрации local7, будут записаны в файле local7.warn. Уведомления, информационные и отладочные сообщения, поступающие по каналу local7, не записываются в журналы.

  • Если файл /etc/syslog.conf задан для:

    local7.debug    /var/log/local7.debug
    

    отладочные, информационные, извещающие, предупреждающие сообщения, сообщения об ошибках, важные, предупредительные и экстренные сообщения, входящие на средство регистрации local7, регистрируются в файле отладки local7.

  • Если файл /etc/syslog.conf задан для:

    local7.warn     /var/log/local7.warn
    local7.debug    /var/log/local7.debug
    

    предупреждающие сообщения, сообщения об ошибках, важные, предупредительные и экстренные сообщения, входящие на средство регистрации local7, регистрируются в файле local7.warn. Отладочные, информационные, извещающие, предупреждающие сообщения, сообщения об ошибках, важные, предупредительные и экстренные сообщения, входящие на средство регистрации local7, регистрируются в файле отладки local7. (Иными словами, некоторые сообщения попадут в оба файла!)!).

  • Если файл /etc/syslog.conf задан для:

    *.debug         /var/log/all.debug
    

    сообщения всех уровней из всех средств регистрации сохраняются в этот файл.

Системный журнал отладки

Чтобы запустить системный журнал в режиме отладки (SunOS, AIX, HPUX или Solaris), необходимо быть пользователем корневого уровня:

ps -ef | grep syslogd
kill -9 <pid>
syslogd -d

Также можно просмотреть сообщения в начале, когда syslogd считывает syslog.conf, например:

cfline(local7.info                              /var/log/local7.info)
cfline(local7.debug                             /var/log/local7.debug)
X X X X X X X X X X X X X X X X X X X X X X X 6 X FILE: /var/log/local7.info
X X X X X X X X X X X X X X X X X X X X X X X 7 X FILE: /var/log/local7.debug

Если прокрутка выполняется слишком быстро, не позволяя просмотреть информацию, попробуйте выполнить следующую команду:

  • syslogd -d | more

При наличии таких сообщений, как:

cfline(local7.info                              /var/log/local7.junk)
syslogd: /var/log/local7.junk: No such file or directory
logmsg: pri 53, flags 8, from pinecone, msg syslogd: /var/log/local7.junk: 
No such file or directory

можно сделать вывод о проблемах в настройке. В приведенном выше примере указанный файл не существует.

Запуск в режиме отладки покажет также входящие сообщения системного журнала и в какой файл они будут записаны:

logmsg: pri 275, flags 0, from 10.8.1.76, MSG 14: %SYS-5-CONFIG_I: Configured 
from console by vty0 (171.68.118.108)
Logging to UNUSED
Logging to FILE /var/log/local7.debug

В этом случае получено сообщение, которое должно было идти на local7.junk и local7.debug, но так как local7.junk не существует, также приходит сообщение:

Logging to UNUSED.

Если команда syslogd -d ничего не выводит, удостоверьтесь, что отправка PIX происходит при помощи команд show syslog или show logging. Если информация syslogd попадает в систему UNIX, но не доходит до правильного файла, исправьте эту проблему вместе с системным администратором UNIX или службой поддержки производителя операционной системы.

Если причину проблемы по-прежнему не удается определить, можно запустить системный журнал в режиме отладки и переадресовать выходные данные в файл следующим образом.

  • sh или ksh:

    syslogd -d<>целевой_файл>2>&1

    или

  • csh

    syslogd -d<>целевой_файл>2>&1

Примечание: Средство syslogd в Red Hat Linux необходимо запускать с параметром -r, чтобы перехватывать выходные данные сети.

В следующей таблице показаны типичные уровни определения расширений системного журнала UNIX:

Расширение UNIX Значение
.emerg Система неработоспособна, критическая ситуация
.alert Немедленные действия, предупреждения
.crit Критическое состояние – критическая ситуация
.err Сообщения об ошибках, сообщения
.warn Предупреждающее сообщение, предупреждения
.notice Нормальное, но важное состояние, уведомления
.info Информационные сообщения, информационные
.debug Сообщения отладчика, отладка

Сведения, необходимые при обращении в Центр технической поддержки

Если после выполнения перечисленных выше действий проблема остается, соберите указанные ниже сведения и обратитесь за помощью в Центр технической поддержки Cisco (TAC).
  • Меры по устранению неполадок, предпринятые до оформления запроса
  • Выходные данные команды show tech-support
  • Выходные данные команды show log после выполнения команды logging buffered debugging или снимки консоли, демонстрирующие проблему (при их наличии)
Приложите собранные сведения по вашей ситуации в простом незаархивированном текстовом файле (.txt). Можно приложить эти сведения, загрузив их с помощью средства Case Query Tool (только для зарегистрированных клиентов). Если средство Case Query недоступно, необходимые данные можно отправить как вложение в электронное сообщение по адресу attach@cisco.com, указав в теме сообщения номер обращения.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 15248