Протокол IP : Устройства защиты Cisco PIX серии 500

Пример конфигурации PIX/ASA 7.x и последующих версий с Syslog

28 июля 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (7 апреля 2008) | Английский (21 августа 2007) | Отзыв


Содержание


Введение

Этот пример конфигурации демонстрирует настройку службы syslog в устройстве защиты PIX/ASA 7.x.

PIX 7.0 представил очень гранулированные методы фильтрации, чтобы позволить только определенным, некоторый указанным сообщениям системного журнала быть представленными. Основной раздел Системного журнала этого документа демонстрирует традиционную конфигурацию системного журнала. Усовершенствованный раздел Системного журнала этого документа показывает новые функции системного журнала в 7.0.

Обратитесь к Руководству Сообщений журнала системы Устройства Cisco Security, Версии 7.x для руководства сообщений журнала полной системы.

Обратитесь к Устанавливанию Системного журнала PIX для получения дополнительной информации о том, как настроить syslog в Выпусках ПО Cisco Secure PIX 4.0. x :

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • PIX 515E с Версией ПО PIX 7.0

  • Cisco Adaptive Security Device Manager (ASDM) версия 5.01

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Примечание. Обратитесь к ASA 8.2: Настройте Syslog использование, ASDM для получения дополнительной информации для подобных элементов конфигурации использует версию 6.2 ASDM и позже.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе "Условные обозначения технических терминов Cisco".

Основной Syslog

 Примечание.Воспользуйтесь инструментом Command Lookup ( только для зарегистрированных заказчиков), чтобы получить дополнительную информацию о командах, используемых в этом разделе.

Используйте эти команды для enable logging, просмотрите журналы, и просмотрите параметры конфигурации.

  • logging enable — Включает передачу сообщений системного журнала ко всем выходным местоположениям.

  • никакой logging enable — Не Отключает регистрацию ко всем выходным местоположениям.

  • show logging — Перечисляет содержание буфера системного журнала и текущей конфигурации журнала.

PIX может передать сообщения системного журнала различным назначениям. Используйте команды в этих разделах для задавания местоположения, которому должны быть переданы сообщения:

Внутренний буфер

logging buffered severity_level 

Внешнее программное обеспечение или аппаратные средства не требуются при хранении сообщений системного журнала во внутреннем буфере PIX. Используйте show logging для просмотра сохраненных сообщений системного журнала.

Сервер сообщения системного журнала

logging host interface_name ip_address [tcp[/port] | udp[/port]] [format emblem] 

    logging trap severity_level 

    logging facility number

Сервер, который выполняет приложение Syslog, требуется, чтобы передать сообщения системного журнала внешнему хосту. PIX передает syslog на порту UDP 514 по умолчанию.

Адрес электронной почты

logging mail severity_level 

    logging recipient-address email_address

    logging from-address email_address

    smtp-server ip_address

Сервер SMTP требуется при передаче сообщений системного журнала на электронных почтах. Корректная конфигурация на сервере SMTP необходима, чтобы гарантировать, что можно успешно передать электронные почты от PIX до указанного e-mail клиент.

Консоль

logging console severity_level 

Вход через консоль включает сообщения системного журнала отобразить на консоли PIX (tty), как они происходят. Используйте эту команду при отладке проблем или когда существует минимальная нагрузка сети. Не используйте эту команду, когда сеть занята, поскольку это может ухудшить производительность.

Сеанс Telnet/SSH

logging monitor severity_level 

    terminal monitor

Logging monitor включает сообщения системного журнала отобразить, поскольку они происходят, когда вы обращаетесь к консоли PIX с Telnet или SSH.

ASDM

logging asdm severity_level 

ASDM также имеет буфер, который может использоваться для хранения сообщений системного журнала. Используйте show logging asdm команда, чтобы отобразить содержание буфера ASDM системного журнала.

Станция управления SNMP

logging history severity_level 

    snmp-server host [if_name] ip_addr

    snmp-server location text

    snmp-server contact text

    snmp-server community key

    snmp-server enable traps 

Пользователи требуют существующей функциональной среды Simple Network Management Protocol (SNMP), чтобы передать сообщениям системного журнала используя SNMP.

Обратитесь к Командам для Установки и Управления Адресами назначения для выходных данных для завершенной ссылки на командах, которые можно использовать, чтобы установить и управлять адресами назначения для выходных данных

Сошлитесь на сообщения, Перечисленные Уровнем важности для сообщений, перечисленных уровнем важности.

Пример 1

Эти выходные данные показывают пример конфигурации для того, чтобы регистрировать в консоль с уровнем важности отладки.

logging enable

logging buffered debugging

Вот пример выходных данных.

%PIX|ASA-6-308001: console enable password incorrect for number tries (from 10.1.1.15)

Настройте Основной Syslog использование ASDM

Эта процедура демонстрирует конфигурацию ASDM для всех доступных назначений системного журнала, придерживавшихся конфигурацией, например, 1.

  1. Перейдите к Окну Главная страница ASDM.

  2. Выберите Configuration> Features> Properties> Logging> Logging Setup.

  3. Проверьте Enable logging, чтобы включить системные журналы.

    /image/gif/paws/63884/pix70-syslog-1.gif

  4. Выберите Syslog Servers in Logging и нажмите Add, чтобы добавить сервер syslog.

  5. Введите подробные данные сервера syslog в Добавить коробку Сервера syslog и выберите OK, когда вы сделаны.

    pix70-syslog-2.gif

  6. Выберите E-Mail Setup in Logging в заказе передать сообщения системного журнала электронным почтам.

  7. Задайте исходный адрес электронной почты в Исходной коробке АДРЕСА ЭЛЕКТРОННОЙ ПОЧТЫ и выберите Add, чтобы настроить адрес электронной почты назначения получателей e-mail и степени важности сообщения. Закончив все действия, нажмите кнопку OK.

    pix70-syslog-3.gif

  8. Выберите Device Administration, выберите SMTP, и введите адрес IP - сервера, чтобы задать IP-адрес сервера SMTP.

    pix70-syslog-4.gif

  9. Выберите SNMP, чтобы задать адрес станции SNMP - управления и свойств.

    pix70-syslog-5.gif

  10. Выберите Add, чтобы добавить станцию SNMP - управления. Введите подробные данные хоста SNMP и нажмите "OK".

    /image/gif/paws/63884/pix70-syslog-6.gif

  11. Нажмите Свойства под Конфигурацией и выберите Logging Filters in Logging в заказе выбрать назначение сообщений системного журнала.

  12. Выберите требуемое Конечное место регистрации и нажмите Edit.

    Для этой процедуры, Пример 1 отладка буферированной регистрации используется.

  13. Выберите Internal Buffer и нажмите Edit.

    pix70-syslog-7.gif

  14. Выберите Filter на степенях серьезности ошибки и выберите Debugging из раскрывающегося меню. Закончив все действия, нажмите кнопку OK.

    pix70-syslog-8.gif

  15. Нажмите Применяются после возврата к окну Logging Filters.

    pix70-syslog-9.gif

Передайте сообщения системного журнала по VPN к серверу syslog

Или в простом сквозном VPN-соединение дизайне или в более сложной схеме звезды, люди иногда хотят контролировать все PIX firewall с сервером Simple Network Management Protocol (SNMP) и сервером syslog, расположенным в центральном узле.

Чтобы настроить конфигурацию VPN защищенного взаимодействия между сетями Site-to-Site IPsec, обратитесь к PIX/ASA 7.x Простой VPN - туннель PIX-PIX использование Пример конфигурации ASDM. Кроме конфигурации VPN, необходимо настроить SNMP и представляющий интерес трафик для сервера syslog и в центральном и в локальном узле.

/image/gif/paws/63884/pix2pix-vpn-pix70-1.gif

Конфигурация центрального PIX (межсетевой экран)


!--- This access control list (ACL) defines IPsec interesting traffic.
!--- This line covers traffic between the LAN segment behind two PIXes.
!--- It also includes the SNMP/syslog traffic between the SNMP/syslog server
!--- and the network devices located on the Ethernet segment behind the PIX 515.

access-list 101 permit ip 172.22.1.0 255.255.255.0 172.16.1.0 255.255.255.0


!--- This lines covers SNMP (TCP/UDP port - 161), SNMP TRAPS(TCP/UDP port - 162) 
!--- and syslog traffic (UDP port - 514) from SNMP/syslog server  
!--- to the outside interface of the remote PIX.
 

 
access-list 101 permit tcp host 172.22.1.5 host 10.20.20.1 eq 161
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 161
access-list 101 permit tcp host 172.22.1.5 host 10.20.20.1 eq 162
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 162
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 514
logging on
logging trap debugging
logging history debugging


!--- Define logging host information.


logging facility 16
logging host inside 172.22.1.5



!--- Define the SNMP configuration.


snmp-server host inside 172.22.1.5
snmp-server community test
snmp-server enable traps

Удаленная конфигурация PIX


!--- This ACL defines IPsec interesting traffic.
!--- This line covers traffic between the LAN segment behind two PIXes.
!--- It also covers the SNMP/syslog traffic between the SNMP/syslog server
!--- and the network devices located on the Ethernet segment behind PIX 515.


access-list 101 permit ip 172.16.1.0 255.255.255.0 172.22.1.0 255.255.255.0

!--- This lines covers SNMP (TCP/UDP port - 161), SNMP TRAPS (TCP/UDP port - 162) and 
!--- syslog traffic (UDP port - 514) sent from this PIX outside 
!--- interface to the SYSLOG server.



access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 161
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 161
access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 162
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 162
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 514

!--- Define syslog server.


logging facility 23
logging host outside 172.22.1.5


!--- Define SNMP server.


snmp-server host outside 172.22.1.5
snmp-server community test
snmp-server enable traps

Обратитесь к Контролю межсетевого экрана Cisco Secure PIX Использование SNMP и Syslog через туннель VPN для получения дополнительной информации о том, как настроить PIX 6. x :

Усовершенствованный Syslog

PIX 7.0 предоставляет несколько механизмов, которые включают вас настроить и управлять сообщениями системного журнала в группах. Эти механизмы включают степень важности сообщения, класс сообщения, идентификатор сообщения, или пользовательское сообщение перечисляет это, вы создаете. С использованием этих механизмов можно ввести одиночную команду, которая применена к маленьким или большим группам сообщений. Когда вы устанавливаете системные журналы этот путь, вы в состоянии перехватить сообщения от указанной группы сообщений и больше все сообщения от тех же степеней серьезности ошибки.

Использование сообщение перечисляет

Использование, которое перечисляет сообщение, чтобы включать только заинтересованные сообщения системного журнала уровнем важности и ID в группу, затем свяжитесь, это сообщение перечисляют с необходимым назначением.

Выполните эти шаги, чтобы настроить сообщение, перечисляют.

  1. Войдите регистрация перечисляют message_list | уровень severity_level [класс message_class] команда, чтобы создать сообщение, перечисляют, который включает сообщения с указанным уровнем важности, или сообщение перечисляют.

  2. Войдите регистрация перечисляют message_list команду сообщения syslog_id-syslog_id2, чтобы добавить, что дополнительные сообщения к сообщению перечисляют просто созданный.

  3. Введите конечное место регистрации message_list команда, чтобы задать, что назначение сообщения перечисляет созданный.

Пример 2

Дайте эти команды, чтобы создать сообщение, перечисляют, который включает все степени серьезности ошибки 2 (важных) сообщения с добавлением сообщения 611101 - 611323, и также передайте их консоли:

logging list my_critical_messages level 2
logging list my_critical_messages message 611101-611323
logging console my_critical_messages 

Настройка посредством ASDM

Эта процедура показывает, что конфигурация ASDM, например, 2 с использованием сообщения перечисляет.

  1. Выберите Event Lists под Регистрацией и нажмите Add, чтобы создать сообщение, перечисляют.

    /image/gif/paws/63884/pix70-syslog-10.gif

  2. Введите имя сообщения, перечисляют в Поле имени. В этом случае my_critical_messages используется. Нажмите Add под Классом события / Фильтры Степеней серьезности ошибки.

    pix70-syslog-11.gif

  3. Выберите Event Class и Severity от раскрывающихся меню.

    В этом случае выберите All и Critical соответственно. Закончив все действия, нажмите кнопку OK.

    /image/gif/paws/63884/pix70-syslog-12.gif

  4. Нажмите Add под Фильтрами Идентификатора сообщения, если требуются дополнительные сообщения.

    В этом случае необходимо вставить сообщения с ID 611101-611323.

    /image/gif/paws/63884/pix70-syslog-13.gif

  5. Вставьте диапазон ID в коробке Идентификаторов сообщения и нажмите "OK".

    pix70-syslog-14.gif

  6. Вернитесь к меню Logging Filters и выберите Console в качестве назначения.

  7. Нажмите Список событий Использования и выберите my_critical_messages из выпадающего меню-. Закончив все действия, нажмите кнопку OK.

    pix70-syslog-15.gif

  8. Нажмите Применяются после возврата к окну Logging Filters.

    pix70-syslog-16.gif

    Это завершает конфигурации ASDM, используя обмениваются сообщениями, перечисляют как показано в Примере 2.

Используйте класс сообщения

Используйте класс сообщения, чтобы передать все сообщения, привязанные к классу к указанным выходным данным location. Когда вы задаете порог уровня важности, можно ограничить количество сообщений, передаваемых выходным данным location.

logging class message_class destination | severity_level 

Пример 3

Введите эту команду, чтобы передать всем приблизительно сообщения класса с уровнем важности аварийных ситуаций или выше к консоли.

logging class ca console emergencies

Настройка посредством ASDM

Это, которое процедуры показывают конфигурациям ASDM, например, 3 с использованием сообщения, перечисляет.

  1. Выберите меню Logging Filters и выберите Console в качестве назначения.

  2. Нажмите Отключают регистрацию от всех классов события.

  3. Под Системными журналами от Классов Определенного события выберите Event Class и Severity, который вы хотите добавить.

    Эта процедура использует приблизительно и Аварийные ситуации соответственно.

  4. Нажмите Add, чтобы добавить это в класс сообщения и нажать "OK".

    pix70-syslog-17.gif

  5. Нажмите Применяются после возврата к окну Logging Filters.

    Консоль теперь собирает приблизительно сообщение класса с Аварийными ситуациями уровня важности как показано на окне Logging Filters.

    /image/gif/paws/63884/pix70-syslog-18.gif

    Это завершает конфигурацию ASDM, например, 3.

    Сошлитесь на сообщения, Перечисленные Уровнем важности для списка уровней важности сообщения журнала.

Регистрационные соответствия ACL ACE

Добавьте журнал к каждому элементу списка доступа (ACE), вы желаете, чтобы регистрировать, чтобы регистрировать, когда поражен список доступа. Используйте этот синтаксис:

access-list id {deny | permit protocol} {source_addr source_mask}  
{destination_addr destination_mask} {operator port} {log}

Пример:

pixfirewall(config)#access-list 101 line 1 extended permit icmp any any log

Когда регистрационная опция задана, она генерирует сообщение системного журнала 106100 для ACE, к которому она применена. Сообщение системного журнала 106100 генерируется для каждого соответствия, permit or deny первоклассный поток, который проходит через PIX firewall. Первый match flow кэшируется. Последующие соответствия инкрементно увеличивают количество соответствия, отображенное в команде show access-list.

Если счет соответствия для потока не является нолем, Unable to connect to remote host:, Connection timed out для ACE, и новые сообщения 106100 генерируются в конце интервала, определенного секундами интервала. Поведение регистрации списка доступа по умолчанию, которое является регистрационным ключевым словом, не заданным, состоит в том, что, если пакет запрещен, затем передать 106023 генерируется, и если пакет разрешен, то никакое сообщение системного журнала не генерируется.

Дополнительный уровень системного журнала (0 - 7) может быть задан для генерируемых сообщений системного журнала (106100). Если никакой уровень не задан, уровень по умолчанию равняется 6 (информационному) для нового ACE. Если ACE уже существует, то его существующий регистрационный уровень остается неизменным. Если регистрационная опция disable задана, регистрация списка доступа полностью отключена. Никакое сообщение системного журнала, включая сообщение 106023, не генерируется. Регистрационный параметр по умолчанию восстанавливает поведение регистрации списка доступа по умолчанию.

Выполните эти шаги, чтобы включить сообщение системного журнала 106100 просмотреть в выходных данных консоли:

  1. Выполните команду logging enable, чтобы включить передачу сообщений журнала системы ко всем выходным местоположениям. Необходимо привести в порядок местоположение регистрации вывода для просмотра любых журналов.

  2. Выполните сообщение регистрации <message_number> команда <severity_level> уровня, чтобы установить уровень важности определенного сообщения журнала системы.

    В этом случае дайте команду сообщения регистрации 106100 для включения сообщения 106100.

  3. Выполните консоль регистрации message_list | severity_level команда, чтобы включить сообщения журнала системы отобразить на консоли Устройства защиты (tty), как они происходят. Установите severity_level от 1 до 7 или используйте название уровня. Можно также задать, какие сообщения передаются с переменной message_list.

  4. Дайте команду сообщения show logging, чтобы отобразить список сообщений сообщения журнала системы, которые модифицировались от настройки по умолчанию, которые являются сообщениями, которым назначили другой уровень важности и сообщения, которые были отключены.

    Это - пример выходных данных команды сообщения show logging:

    pixfirewall#show logging message 106100 
    syslog 106100: default-level informational (enabled)
    pixfirewall# %PIX-7-111009: User 'enable_15' executed cmd: show logging mess 106
    100

Сообщения системного журнала трафика VPN перехвата

Использование регистрация перечисляет команду, чтобы перехватить syslog для LAN-LAN и одних только сообщений IPSec VPN Удаленного доступа. Данный пример перехватывает весь VPN (IKE и IPSec) сообщения журнала системы классов с уровнем отладки или выше.

Пример:

hostname(config)#logging enable
hostname(config)#logging timestamp
hostname(config)#logging list my-list level debugging class vpn
hostname(config)#logging trap my-list
hostname(config)#logging host inside 192.168.1.1

Примечание.  Регистрация перечисляет команду, поддерживается на 7.2 (1) и позже.

Проверка

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

  1. Если вы не получаете syslog 304001 сообщение, то удостоверьтесь, что осмотреть команда http выполнена на ASA.

  2. Если вы хотите запретить, что определенное сообщение системного журнала передается серверу syslog, то необходимо использовать команду как показано.

    hostname(config)#no logging message <syslog_id>

    Обратитесь к команде logging message для получения дополнительной информации.

%ASA-3-201008: Отвергание новых соединений

Сообщение об ошибках %ASA-3-201008: Disallowing new connections. замечено, когда ASA неспособен обратиться, сервер syslog и никакие новые соединения позволены.

Решение:

Это сообщение появляется, когда вы включили обмен сообщениями журнала системы TCP, и сервер syslog не может быть достигнут, или когда вы используете Сервер syslog ASA Cisco (PFSS), и диск в системе Windows NT полон. Выполните эти шаги, чтобы решить это сообщение об ошибках:

  • Отключите обмен сообщениями журнала системы TCP, если он включен.

  • Если вы используете PFSS, высвобождаете пространство в системе Windows NT, где находится PFSS.

  • Кроме того, удостоверьтесь, что сервер syslog произошел, и можно прозвонить хост от консоли ASA Cisco.

  • Запись сообщений в журнал системы TCP перезапуска, чтобы позволить трафик.

Если сервер syslog выключается, и регистрация TCP настроена, или используйте команду разрешения-hostdown на регистрацию или коммутатор к регистрации UDP.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 63884