Este documento describe cómo resolver problemas el problema con la capacidad del dispositivo de seguridad adaptante (ASA) para enviar los Syslog a los diversos destinos, y, más concretamente, las cuestiones donde los síntomas tales como éstos se observan:
Tiempo real lento que abre una sesión al Administrador de dispositivos de seguridad adaptante (ASDM).
Syslog intermitentes que faltan en uno o más destinos de syslog.
No hay requisitos específicos para este documento.
La información en este documento se basa en Cisco ASA y no se limita a una versión de software específica ASA.
Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.
Los ASA, como la mayoría de otros dispositivos de Cisco, son capaces de enviar los Syslog a los destinos de syslog múltiples. Algunos de los destinos generalmente usados se ilustran aquí:
El número de destinos posibles es una ventaja real. Si están elegidos cuidadosamente, y según lo ilustrado aquí, pueden ser clasificados ampliamente en dos categorías principales basadas en el propósito que sirven:
Archival
Debugging en tiempo real/troubleshooting
En la mayoría de las redes, es suficiente hacer apenas los destinos archivales habilitar a menos que uno o más de los destinos del debugging sean necesarios. Al mismo tiempo, y muy a menudo, los problemas resultan de habilitar los destinos de syslog múltiples simultáneamente en los altos niveles de registro tales como informativo (el nivel 6) o arriba.
Siempre que ocurran los problemas donde hay una pérdida de Información de syslog en uno o más destinos, hay dos cosas que usted debe marcar:
Complete estos pasos:
Aseegurese que el mensaje de Syslog que usted está buscando no es inhabilitado por el ningún comando del mensaje de registración <ID>.
Una vez que está confirmado, mire el número de destinos de syslog habilitados y del nivel en los cuales cada registro se envíe a cada uno. Éste es un ejemplo de tal configuración:
logging enable logging timestamp logging standby logging console informational logging buffered informational logging trap informational logging asdm informational logging device-id hostname logging host inside 172.16.110.32
En este ejemplo, el ASA está enviando los Syslog a 4 diversos destinos en el nivel informativo (nivel 6).
Con una configuración tal como el antedicho, donde los destinos múltiples están recibiendo una gran cantidad de mensajes del registro, usted puede ejecutarse en una situación donde el ASA cae los mensajes de Syslog debido a un desbordamiento de la cola del registro. En estos casos, la salida aparecerá similar a esto:
ciscoasa# show logging queue Logging Queue length limit : 512 msg(s) 2352325 msg(s) discarded due to queue overflow 0 msg(s) discarded due to memory allocation failure Current 512 msg on queue, 512 msgs most on queue
Por abandono, la cola del registro lleva a cabo 512 mensajes.
Al ejecutarse en los problemas donde los mensajes de Syslog no se están registrando, considere estas opciones:
Inhabilite el registro de la consola. La apertura de sesión a la consola no se debe habilitar para el funcionamiento normal. El registro de la consola se debe utilizar solamente para el Troubleshooting en tiempo real, con el nivel de registro bajo o el poco tráfico. La apertura de sesión a la consola a una alta velocidad causará a tarifa-límite del proceso del registro seriamente los mensajes. La consola es solamente capaz de los mensajes de registración en 9600 BPS, y no toma a de los registros antes de que comience a intentar vaciar más a la consola que la consola puede hacer salir a la pantalla. En esta situación, los registros comenzarán a ser mitigados en la cola del registro. Una vez que la cola del registro se llena, los mensajes Tail-serán caídos.
Aumente el tamaño de la cola del registro más allá de 512. La cola máxima del registro es 1024 en el ASA-5505, 2048 en el ASA-5510, y 8192 en el resto de las Plataformas. Nota: La cola del registro se utiliza para las “explosiones” de los Syslog. Si la velocidad sostenida de los Syslog es más rápida que el ASA puede transmitirlos a los diversos destinos, no hay límite de cola del registro bastante grande.
Inhabilite los mensajes de Syslog individuales que usted no está interesado en archivar. Publique el comando no logging message <syslog_id> para inhabilitar los Syslog individuales.
Tenga cuidado de los mensajes de registración al disco (flash) del ASA. La escritura al flash es una operación muy lenta. El registro excesivo a contellear hará el ASA mitigar los archivos del Syslog para arriba en la memoria, agotando eventual toda la memoria disponible (RAM). Además, la registración de una gran cantidad de mensajes de Syslog para contellear puede elevar el CPU. Se recomienda para registrar solamente los mensajes del nivel 1 para contellear (que cubren los eventos de sistema crítico).