配置自適應安全裝置(ASA)系統日誌

簡介

本文檔介紹的示例配置演示如何在運行8.4版或更高版本代碼的ASA上配置不同的日誌記錄選項。

必要條件

需求

本文件沒有特定需求。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 具備ASA軟體版本8.4的ASA 5515

• 思科調適型安全裝置管理員(ASDM)版本7.1.6

附註：請參閱ASA 8.2:使用ASDM配置系統日誌以瞭解有關ASDM 7.1版及更高版本類似配置詳細資訊的詳細資訊。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

ASA 8.4版引入了非常精細的過濾技術，以便僅呈現某些特定的系統日誌消息。本文檔的基本系統日誌部分演示了傳統的系統日誌配置。本文檔的高級系統日誌部分顯示8.4版中的新系統日誌功能。有關完整的系統日誌消息指南，請參閱思科安全裝置系統日誌消息指南。 

基本系統日誌

輸入以下命令可啟用日誌記錄、檢視日誌和檢視配置設定。

• logging enable — 允許向所有輸出位置傳輸系統日誌消息。

• no logging enable - 禁用記錄到所有輸出位置。

• show logging - 列出系統日誌緩衝區的內容，以及與當前配置相關的資訊和統計資訊。

ASA可以向各種目標傳送系統日誌消息。在這些部分輸入命令，以指定要傳送系統日誌資訊的位置：

將日誌記錄資訊傳送到內部緩衝區

logging buffered severity_level

在ASA內部緩衝區中儲存系統日誌消息時，不需要外部軟體或硬體。輸入show logging命令以檢視儲存的系統日誌消息。內部緩衝區的最大大小為1 MB(可使用logging buffer-size命令進行配置)。 因此，可以非常快速地包裝。在為內部緩衝區選擇日誌記錄級別時請牢記這一點，因為更詳細的日誌記錄級別可以快速填充和包裝內部緩衝區。

將日誌記錄資訊傳送到系統日誌伺服器

logging host interface_name ip_address [tcp[/port] | udp[/port]] [format emblem]
logging trap severity_level
logging facility number

需要運行系統日誌應用程式的伺服器才能將系統日誌消息傳送到外部主機。預設情況下，ASA在UDP埠514上傳送系統日誌，但可以選擇協定和埠。如果選擇TCP作為日誌記錄協定，這將導致ASA通過TCP連線向系統日誌伺服器傳送系統日誌。如果伺服器無法訪問，或者無法建立到伺服器的TCP連線，預設情況下，ASA會阻止所有新連線。如果啟用logging permit-hostdown，則可以禁用此行為。有關logging permit-hostdown命令的詳細資訊，請參閱配置指南。

附註：ASA僅允許範圍從 1025-65535。使用任何其他埠將導致以下錯誤：
ciscoasa(config)# logging host tftp 192.168.1.1 udp/516
警告：interface Ethernet0/1安全級別為0。
錯誤：埠「516」不在1025-65535範圍內。

以電子郵件的形式傳送日誌記錄資訊

logging mail severity_level
logging recipient-address email_address
logging from-address email_address
smtp-server ip_address

在電子郵件中傳送系統日誌消息時需要SMTP伺服器。在SMTP伺服器上進行正確配置是必需的，這樣才能確保您可以將電子郵件從ASA成功中繼到指定的電子郵件客戶端。如果此日誌記錄級別設定為非常詳細的級別(如調試或資訊性)，則可以生成大量系統日誌，因為此日誌記錄配置傳送的每封電子郵件都會導致生成多達四個或更多附加日誌。

將日誌記錄資訊傳送到串列控制檯

logging console severity_level 

通過控制檯日誌記錄，系統日誌消息在ASA控制檯(tty)上顯示出來。如果配置了控制檯日誌記錄，則ASA上的所有日誌生成速率限製為9800 bps，即ASA串列控制檯的速度。這可能導致系統日誌被丟棄到所有目標，包括內部緩衝區。因此，請勿對詳細系統日誌使用控制檯日誌記錄。

將日誌記錄資訊傳送到Telnet/SSH會話

logging monitor severity_level
terminal monitor

使用Logging monitor可以在您使用Telnet或SSH訪問ASA控制檯時顯示系統日誌消息，並從該會話執行terminal monitor命令。若要停止將記錄列印到作業階段，請輸入terminal no monitor指令。

顯示ASDM上的日誌消息

logging asdm severity_level 

ASDM還有一個緩衝區，可用於儲存系統日誌消息。輸入show logging asdm命令以顯示ASDM系統日誌緩衝區的內容。

將日誌傳送到SNMP管理站

logging history severity_level
snmp-server host [if_name] ip_addr
snmp-server location text
snmp-server contact text
snmp-server community key
snmp-server enable traps 

使用者需要現有的功能簡單網路管理通訊協定(SNMP)環境，才能使用SNMP傳送系統日誌訊息。有關可用於設定和管理輸出目標的命令的完整參考，請參閱用於設定和管理輸出目標的命令。有關按嚴重性級別列出的消息，請參閱按嚴重性級別列出的消息。

向系統日誌新增時間戳

為了幫助對齊和排序事件，可以將時間戳新增到系統日誌中。建議這樣做，以便幫助根據時間跟蹤問題。若要啟用時間戳，請輸入logging timestamp命令。以下是兩個系統日誌示例，一個不帶時間戳，另一個帶有：

%ASA-6-302016: Teardown UDP connection 806353 for outside:172.18.123.243/24057 to
 identity:172.18.124.136/161 duration 0:02:01 bytes 313

Jul 03 2014 14:33:09: %ASA-6-302014: Teardown TCP connection 806405 for
 inside:10.0.0.100/50554 to identity:172.18.124.136/51358 duration 0:00:00 bytes
 442 TCP Reset-I 

範例 1

此輸出顯示了以調試嚴重性級別登入緩衝區的配置示例。

logging enable
logging buffered debugging

這是輸出示例。

%ASA-6-308001: console enable password incorrect for number tries (from 10.1.1.15)

使用ASDM配置基本系統日誌

此過程演示所有可用系統日誌目標的ASDM配置。

1. 要在ASA上啟用日誌記錄，首先配置基本日誌記錄引數。選擇Configuration > Features > Properties > Logging > Logging Setup。選中Enable logging覈取方塊以啟用系統日誌。

   

2. 要將外部伺服器配置為系統日誌的目標，請在日誌記錄中選擇Syslog Servers，然後按一下Add以新增syslog伺服器。在Add Syslog Server框中輸入系統日誌伺服器詳細資訊，並在完成後選擇OK。

   

3. 在Logging中選擇E-Mail Setup，以將系統日誌消息作為電子郵件傳送到特定收件人。在「源電子郵件地址」框中指定源電子郵件地址，然後選擇新增，以配置電子郵件收件人的目標電子郵件地址和郵件嚴重性級別。完成後按一下OK。

   

4. 選擇Device Administration、Logging、SMTP，然後輸入Primary Server IP Address以指定SMTP伺服器IP地址。

   

5. 如果要將系統日誌作為SNMP陷阱傳送，必須首先定義SNMP伺服器。在Management Access 選單中選擇SNMP，以指定SNMP管理站的地址及其特定屬性。

   

6. 選擇Add以新增SNMP管理站。輸入SNMP主機詳細資訊，然後按一下OK。

   

7. 若要允許將日誌傳送到前面提到的任何目標，請在日誌記錄部分中選擇日誌記錄過濾器。這將為您顯示每個可能的日誌記錄目標以及傳送到這些目標的當前日誌級別。選擇所需的Logging Destination並按一下Edit。在此示例中，修改了系統日誌伺服器目標。

   

8. 從Filter on severity下拉選單中選擇相應的嚴重性(本例中為Informational)。完成後按一下OK。

   

9. 返回Logging Filters視窗後，按一下Apply。

   

通過VPN將系統日誌消息傳送到系統日誌伺服器

在簡單的站點到站點VPN設計或更複雜的中心輻射型設計中，管理員可能希望使用位於中心站點的SNMP伺服器和syslog伺服器監控所有遠端ASA防火牆。

要配置站點到站點IPsec VPN配置，請參閱PIX/ASA 7.x及更高版本：PIX到PIX VPN隧道配置示例。除VPN配置外，您還需要在中央站點和本地站點中配置SNMP和系統日誌伺服器的相關流量。

中央ASA配置

!--- This access control list (ACL) defines IPsec interesting traffic.
!--- This line covers traffic between the LAN segment behind two ASA.
!--- It also includes the SNMP/syslog traffic between the SNMP/syslog server
!--- and the network devices located on the Ethernet segment behind the ASA 5515.

access-list 101 permit ip 172.22.1.0 255.255.255.0 172.16.1.0 255.255.255.0

!--- This lines covers SNMP (TCP/UDP port - 161), SNMP TRAPS(TCP/UDP port - 162) 
!--- and syslog traffic (UDP port - 514) from SNMP/syslog server  
!--- to the outside interface of the remote ASA.
  
access-list 101 permit tcp host 172.22.1.5 host 10.20.20.1 eq 161
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 161
access-list 101 permit tcp host 172.22.1.5 host 10.20.20.1 eq 162
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 162
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 514


logging enable
logging trap debugging

!--- Define logging host information.
logging facility 16
logging host inside 172.22.1.5

!--- Define the SNMP configuration.
snmp-server host inside 172.22.1.5 community ***** version 2c
snmp-server community *****

遠端ASA配置

!--- This ACL defines IPsec interesting traffic.
!--- This line covers traffic between the LAN segment behind two ASA.
!--- It also covers the SNMP/syslog traffic between the SNMP/syslog server
!--- and the network devices located on the Ethernet segment behind ASA 5515.
access-list 101 permit ip 172.16.1.0 255.255.255.0 172.22.1.0 255.255.255.0

!--- This lines covers SNMP (TCP/UDP port - 161), SNMP TRAPS (TCP/UDP port - 162) and 
!--- syslog traffic (UDP port - 514) sent from this ASA outside 
!--- interface to the SYSLOG server.
access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 161
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 161
access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 162
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 162
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 514

!--- Define syslog server.
logging facility 23
logging host outside 172.22.1.5

!--- Define SNMP server.
snmp-server host outside 172.22.1.5 community ***** version 2c
snmp-server community *****

有關如何配置ASA 8.4版的詳細資訊，請參閱通過VPN隧道使用SNMP和系統日誌監控Cisco安全ASA防火牆

高級系統日誌

ASA 8.4版提供多種機制，使您能夠在組中配置和管理系統日誌消息。這些機制包括消息嚴重性級別、消息類、消息ID或您建立的自定義消息清單。使用這些機制，您可以輸入適用於小型或大型消息組的單個命令。通過這種方式設定系統日誌時，您可以從指定的消息組捕獲消息，並且不再捕獲具有相同嚴重度的所有消息。

使用消息清單

使用消息清單可按嚴重性級別和ID僅將感興趣的系統日誌消息包含到一個組中，然後將此消息清單與所需目標相關聯。

完成以下步驟以設定訊息清單：

1. 輸入logging listmessage_list | level severity_level [class message_class]命令，以建立消息清單，其中包含具有指定嚴重性級別或消息清單的消息。

2. 輸入logging list message_list message syslog_id-syslog_id2 命令，以便將其他消息新增到剛建立的消息清單中。

3. 輸入logging destination message_list命令以指定所建立的消息清單的目標。

範例 2

輸入以下命令可建立消息清單，其中包括所有嚴重級別為2（嚴重）的消息(將消息611101新增到611323)，並將它們傳送到控制檯：

logging list my_critical_messages level 2
logging list my_critical_messages message 611101-611323
logging console my_critical_messages 

ASDM配置

此過程使用消息清單為示例2顯示ASDM配置。

1. 在Logging下選擇Event Lists，然後按一下Add以建立消息清單。

   

2. 在「名稱」框中輸入消息清單的名稱。在本例中，使用my_critical_messages。按一下Event Class/Severity Filters下的Add。

   

3. 從Event Class下拉選單中選擇All。從Severity下拉選單中選擇Critical。完成後按一下OK。

   

4. 如果需要其他郵件，請在「Message ID Filters（郵件ID過濾器）」下按一下Add。這種情況下，需要放入ID為611101-611323的郵件。

   

5. 在Message IDs（消息ID）框中輸入ID範圍，然後按一下OK。

   

6. 導覽回Logging Filters選單，然後選擇Console作為目標。

7. 從Use event list下拉選單中選擇my_critical_messages。完成後按一下OK。

   

8. 返回Logging Filters視窗後，按一下Apply。

   

這樣，使用消息清單即可完成ASDM配置，如示例2所示。

使用消息類

使用message類將與一個類關聯的所有消息傳送到指定的輸出位置。指定嚴重性級別閾值時，可以限制傳送到輸出位置的消息數。

logging class message_class destination | severity_level 

範例 3

輸入以下命令可將嚴重性級別為緊急狀態或更高的所有ca類消息傳送到控制檯。

logging class ca console emergencies

ASDM配置

此過程使用消息清單顯示示例3的ASDM配置。

1. 選擇Logging Filters選單，然後選擇Console作為目標。

2. 按一下Disable logging from all event classes。

3. 在Syslogs from Specific Event Classes下，選擇要新增的Event Class和Severity。

   此過程分別使用CA和Emergencies。

4. 按一下Add將其新增到消息類中，然後按一下OK。

   

5. 返回Logging Filters視窗後，按一下Apply。現在，控制檯會收集嚴重性級別為Emergencies的ca類消息，如Logging Filters視窗中所示。

   

這完成示例3的ASDM配置。有關日誌消息嚴重性級別的清單，請參閱按嚴重性級別列出的消息。

將調試日誌消息傳送到系統日誌伺服器

對於高級故障排除，需要特定功能/協定的調試日誌。預設情況下，這些日誌消息顯示在終端(SSH/Telnet)上。 根據調試型別和生成的調試消息的速率，如果啟用了調試，使用CLI可能會很困難。或者，調試消息可以重定向到系統日誌進程並生成為syslogs。這些系統日誌可以傳送到任何系統日誌目標，就像傳送到任何其他系統日誌一樣。要將調試轉移到系統日誌，請輸入logging debug-trace命令。此配置將調試輸出作為syslogs傳送到系統日誌伺服器。

logging trap debugging
logging debug-trace
logging host inside 172.22.1.5

同時使用日誌記錄清單和消息類

輸入logging list命令可單獨擷取LAN到LAN和遠端存取IPsec VPN訊息的系統日誌。此示例捕獲調試級別或更高級別的所有VPN（IKE和IPsec）類系統日誌消息。

範例

hostname(config)#logging enable
hostname(config)#logging timestamp
hostname(config)#logging list my-list level debugging class vpn
hostname(config)#logging trap my-list
hostname(config)#logging host inside 192.168.1.1

記錄ACL命中

將log新增到您想要的每個訪問清單元素(ACE)，以便在訪問清單命中時進行記錄。使用以下語法：

access-list id {deny | permit protocol} {source_addr source_mask}
{destination_addr destination_mask} {operator port} {log}

範例

ASAfirewall(config)#access-list 101 line 1 extended permit icmp any any log

預設情況下，ACL會記錄每個遭到拒絕的封包。無需新增日誌選項deny ACL，即可為拒絕的資料包生成系統日誌。指定log選項後，將為應用該選項的ACE生成系統日誌消息106100。對於通過ASA防火牆的每個匹配的permit或deny ACE流，都會生成系統日誌消息106100。將快取第一個匹配流。後續匹配會增加show access-list命令中顯示的命中數。預設訪問清單日誌記錄行為（未指定log關鍵字）是：如果資料包被拒絕，則生成消息106023，如果資料包被允許，則不生成系統日誌消息。

可以為生成的系統日誌消息指定可選的系統日誌級別(0 - 7)(106100)。 如果未指定級別，則新ACE的預設級別為6（資訊性）。如果ACE已存在，則其當前日誌級別保持不變。如果指定了log disable選項，則訪問清單日誌記錄將完全禁用。未生成包含消息106023的系統日誌消息。log default選項將恢復預設訪問清單日誌記錄行為。

完成以下步驟，使系統日誌消息106100在控制檯輸出中檢視：

1. 輸入logging enable命令以啟用向所有輸出位置傳輸系統日誌消息。您必須設定日誌輸出位置才能檢視任何日誌。

2. 輸入logging message <message_number> level <severity_level> 命令以設定特定系統日誌消息的嚴重性級別。

   在這種情況下，輸入logging message 106100命令以啟用消息106100。

3. 輸入logging console message_list | severity_level命令，使系統日誌消息在發生時顯示在安全裝置控制檯(tty)上。將severity_level從1設定為7或使用級別名稱。您還可以使用message_list變數指定傳送的消息。

4. 輸入show logging message命令以顯示已從預設設定修改的系統日誌消息消息的清單，這些消息是已分配了不同嚴重級別的消息和已禁用的消息。

   以下是show logging message命令的輸出示例：

   ASAfirewall#show logging message 106100 
   syslog 106100: default-level informational (enabled)
   ASAfirewall# %ASA-7-111009: User 'enable_15' executed cmd: show logging mess 106
   100

阻止在備用ASA上生成系統日誌

從ASA軟體9.4.1版開始，您可以阻止在備用裝置上生成特定系統日誌並使用此命令 指令:

no logging message syslog-id standby

驗證

目前沒有適用於此組態的驗證程序。

疑難排解

如果要抑制要傳送到系統日誌伺服器的特定系統日誌消息，則必須輸入如下所示的命令。

hostname(config)#no logging message <syslog_id>

有關詳細資訊，請參閱logging message命令。

%ASA-3-201008:禁止新連線

%ASA-3-201008:禁止新連線。當ASA無法聯絡系統日誌伺服器並且不允許新連線時，將顯示錯誤消息。

解決方案

當您啟用TCP系統日誌消息且無法訪問系統日誌伺服器，或者使用Cisco ASA系統日誌伺服器(PFSS)且Windows NT系統上的磁碟已滿時，將顯示此消息。完成以下步驟即可解決此錯誤訊息：

• 如果已啟用TCP系統日誌消息，請將其禁用。

• 如果使用PFSS，請釋放PFSS所在的Windows NT系統上的空間。

• 確保系統日誌伺服器已啟動，並且您可以從Cisco ASA控制檯ping主機。

• 重新啟動TCP系統訊息記錄以允許流量。

如果系統日誌伺服器關閉且配置了TCP日誌記錄，請使用logging permit-hostdown 命令或切換到UDP日誌記錄。

相關資訊

• Cisco Secure PIX防火牆命令參考
• 要求建議 (RFC)
• 技術支援與文件 - Cisco Systems