Configuración del registro del sistema de PIX

Anuncio
Configuración del registro del sistema de PIX
Contenido
Introducción
prerrequisitos
Requisitos
Componentes Utilizados
Convenciones
Cómo funciona Syslog
Utilidad de inicio de Sesión
Niveles
Configure el PIX para enviar el Syslog
PIX 4.0.x-4.1.x
PIX 4.2.x y posterior
PIX 4.3.x y superior
Cómo configurar un servidor Syslog
Depuración de Syslog
Información para recopilar si abre un caso del TAC
Información Relacionada
Introducción
Nota: Este documento se relaciona solamente con PIX 4.x. Consulte estos documentos para obtener información sobre las versiones de software
5.x,6.x y 7.x:
PIX/ASA 7.x con el ejemplo de la configuración de syslog
Mensajes del registro del sistema del dispositivo del Cisco Security, versión 7.x
Mensajes del registro del sistema del Cisco PIX Firewall, versión 6.x
Mensajes del registro del sistema versión del Cisco PIX Firewall, versión 5.x
Los mensajes producidos por el PIX que van generalmente a la consola pueden ser recogidos cuando usted envía estos mensajes a un dispositivo
que ejecute una syslogd daemon (syslogd). Syslogd escucha en el puerto UDP 514, el puerto syslog. El uso de Syslog le permite obtener
información sobre el tráfico y rendimiento de PIX, analizar los registros de actividad sospechosa y resolver problemas.
Syslogd puede ejecutarse en una cantidad de plataformas de sistema operativo. Syslogd se instala cuando usted instala UNIX, pero debe
configurarlo. En general, “syslogd” no viene con los sistemas basados en Windows; sin embargo, existe software de syslogd para Windows NT.
Los ejemplos incluyen el PIX Firewall Manager (PFM), el servidor PIX Firewall Syslog, el Private-i, o el otro software syslog de su opción.
Nota: Si hay cualquier otra aplicación en la red que utiliza el número del puerto 514, los mensajes de Syslog no pudieron alcanzar al servidor de
Syslog con éxito.
Este documento describe cómo el Syslog trabaja, cómo configurar el PIX para enviar los mensajes de Syslog a un dispositivo que ejecute el
syslogd, y a cómo configurar a un servidor syslogd basado en UNIX.
Los significados reales de los mensajes de syslog PIX están en la documentación de PIX.
prerrequisitos
Requisitos
No hay requisitos previos específicos para este documento.
Componentes Utilizados
La información en este documento se basa en los Software Release 4.0.x y Posterior del Secure PIX de Cisco.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos
que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando,
asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Convenciones
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
Cómo funciona Syslog
Todos los mensajes de Syslog tienen una instalación de explotación forestal y un nivel. La función de registro puede describirse cómo “dónde”,
en tanto el nivel como “qué”.
Utilidad de inicio de Sesión
Podemos decir que el daemon de Syslog simple (syslogd) tiene varios conductos. Utiliza los conductos para decidir adónde enviar la información
entrante en función del conducto por el cual llega la información. En esta analogía, los medios de registro son los conductos por los que syslogd
decide adónde enviar la información que recibe.
Los ocho logging facilities de uso general para el Syslog son local0 con el local7.
local0
local1
local2
local3
local4
local5
local6
local7
Niveles
También hay diferentes grados de importancia que se vinculan con los mensajes entrantes. Usted puede pensar en los niveles como lo que. El PIX
se puede fijar para enviar los mensajes en diversos niveles (éstos son mencionados de lo más arriba posible a la mínima importancia):
‘Nivel’
Código numérico
emergencia
0
alerta
1
crítico
2
error
3
advertencia
4
notificación
5
informativo
6
depurar
7
Cuando un PIX se configura para enviar los mensajes de Syslog, los niveles de menor importancia incluyen los niveles de una importancia más
alta. Por ejemplo, si el PIX se fija para advertir, después el error, críticos, alertas, y los mensajes de emergencia también se envían además de la
advertencia. Una configuración del debug incluye los mensajes en los ocho niveles.
Configure el PIX para enviar el Syslog
PIX 4.0.x-4.1.x
La sintaxis de syslog es:
syslog host #.#.#.# (donde #.#.#.# es la dirección de los servidores de syslog)
salida de Syslog X.Y (donde está la instalación X de explotación forestal y Y es el nivel)
¿Cómo se traduce el número X a la instancia de ingreso?
Analice el número X en el binario. Los cuatro bits más recientes comprenden la ubicación local.
16 = 00010000 = local0
17 = 00010001 = local1
18 = 00010010 = local2
19 = 00010011 = local3
20 = 00010100 = local4
21 = 00010101 = local5
22 = 00010110 = local6
23 = 00010111 = local7
Como un ejemplo, puesto que 22 = 00010110, y los cuatro bits=0110=decimal más reciente 6, esto es local6. (El acceso directo A es tomar el
valor X y restar 16. Por ejemplo, 22-16=6, o local6.)
El número Y es el nivel. Por ejemplo, si Y=2, los mensajes enviados deberían incluir aquéllos del nivel 2 (crítico), nivel 1 (alerta) y del nivel 0
(emergencia). Los niveles PIX son 0-7; No deben confundirse con los recursos de registro (que son local0-local7).
Ejemplos en PIX 4.0.x-4.1.x
syslog 20.7
20 es igual al recurso de registro local4
.7 es el nivel. 7 significa el debug al PIX (se registran todos los mensajes).
syslog 23.2
23 equals local7 logging facility
.2 es el nivel. 2 significa crítico al PIX (crítico, alerta, y los mensajes de emergencia se registran).
PIX 4.2.x y posterior
El sintaxis para el Syslog cambió en los softwares PIX versión 4.2.x. En vez del comando syslog host #.#.#.#, use el nuevo comando logging host
#.#.#.#. En 4.2.x, la instalación de explotación forestal y las definiciones de nivel son lo mismo, pero en vez de usar el comando syslog output
X.Y, usted necesita tener estas dos declaraciones:
recurso de registro X
logging trap Y
El nivel se expresa no más como número. Se expresa como el nombre del nivel. Aquí tiene un ejemplo:
sintaxis antigua
syslog output 20.7
sintaxis nueva
instancia de ingreso 20 (local4)
logging trap debugging (depuración en emergencia)
PIX 4.3.x y superior
En 4.3.x y posterior, usted puede evitar hacer los mensajes de Syslog determinados enviar, y usted puede los mensajes de marca de tiempo se
envían que.
Además de estos comandos:
logging host -.-.-.recurso de registro X
logging trap Y
Usted puede publicar estos comandos:
el reloj fijó 13:18:00 el 25 de abril de 1999
sello de hora y fecha de registro
ningún mensaje de registro 111005
Esto da lugar al tener todos los mensajes, excepto el mensaje 111005 (es decir, “fin de configuración”), enviado con los grupos fecha/hora.
Nota: Porque el mensaje 111005 es un mensaje de nivel de notificación, no se ve si el nivel en el PIX se fija para la emergencia, la alerta, crítico,
error, o cuidado.
Éste es un ejemplo de un mensaje con impresión horaria non-111005. (El primer grupo fecha/hora es de nuestro servidor Unix y el segundo es del
PIX.)
Apr 25 13:15:35 10.31.1.53 Apr 25 1999 13:23:00: %PIX-5-111007:
Begin configuration: nobody reading from terminal
En las versiones de software PIX 4.3.x y posterior, usted puede también hacer el Syslog TCP. El PFSS soporta esto. Muchos otros servidores
syslog no lo admiten sin una reconfiguración. El comando de permitir al PIX para hacer el registro de PFSS TCP es logging host -.-.-.- tcp 1740.
Nota: Porque este tráfico es TCP (es decir, con los acuses de recibo), si va el PFSS abajo, el tráfico con el PIX para. Por esta razón, el comando
tcp syslog no debe ser implementado a menos que usted necesite a este tipo de funcionalidad. UDP/514 syslogging no tiene este efecto.
Cómo configurar un servidor Syslog
Debido a que syslogd era originalmente un concepto UNIX, las características disponibles en los productos syslogd en sistemas que no son de
UNIX dependen de la implementación del proveedor. Las características pueden incluir las divisiones de mensaje entrante por el recurso o el
nivel de debug, o ambas, resolviendo los nombres de los dispositivos remitentes, los recursos de generación de informes, y así sucesivamente.
Refiera a la documentación del vendedor para la información sobre la configuración del servidor de Syslog de NON-UNIX.
Cisco hace a un servidor de Syslog llamado el servidor PIX Firewall Syslog, que está disponible para las Plataformas PC. Vaya a las descargas
(clientes registrados solamente) y seleccione el Software PIX Firewall de la descarga para descargar Cisco PFSS.
Complete estos pasos para configurar el Syslog en UNIX:
1. En SunOS, AIX, HPUX o Solaris, con permisos de root haga una copia de seguridad del archivo /etc/syslog.conf antes de modificarlo.
2. Modifique /etc/syslog.conf para comunicarle al sistema UNIX cómo ordenar los mensajes de syslog que provienen de los dispositivos de
envío, es decir, qué nivel de logging_facility va en cada archivo. Asegúrese de que haya una tabulación entre el nivel.utilidad de_registro y
el nombre de_archivo.
3. Asegúrese de que el archivo de destino exista y pueda escribirse.
4. La sección #Comment al principio de syslog.conf explica en general, la sintaxis para el sistema UNIX.
5. No coloque información del archivo en la sección ifdef
6. Como raíz, reinicie syslogd para recoger los cambios.
Ejemplos
Si se establece /etc/syslog.conf para:
local7.warn
/var/log/local7.warn
Se guardará un registro de los mensajes de advertencia, error, aspectos críticos, alerta y emergencia que provengan del recurso de registro
local7 en el archivo local7.warn. No se guardará un registro de los mensajes de notificación, información y depuración que ingresen por la
función local7.
Si se establece /etc/syslog.conf para:
local7.debug
/var/log/local7.debug
los mensajes de depuración, informativos, de notificación, de advertencia, de error, críticos, de alerta y de emergencia que ingresan a la
dependencia de registro local7 serán registrados en el archivo local7.debug.
Si se establece /etc/syslog.conf para:
local7.warn
local7.debug
/var/log/local7.warn
/var/log/local7.debug
se guardará un registro de los mensajes de advertencia, error, aspectos críticos, alerta y emergencia que provengan del recurso de registro
local7 en el archivo local7.warn. Los mensajes de depuración, informativos, de notificación, de advertencia, de error, críticos, de alerta y de
emergencia que ingresan a la dependencia de registro local7 serán registrados en el archivo local7.debug. (En otras palabras, ¡algunos
mensajes irán a ambos archivos!).
Si se establece /etc/syslog.conf para:
*.debug
/var/log/all.debug
todos los niveles de mensajes de todos los recursos de registro se almacenarán en este archivo.
Depuración de Syslog
Usted debe ser raíz para comenzar el Syslog en el debug (SunOs, AIX, HPUX, o Solaris):
ps -ef | grep syslogd
kill -9 <pid>
syslogd -d
Debería ver mensajes al principio ya que syslog está leyendo syslog.conf, como:
cfline(local7.info
cfline(local7.debug
X X X X X X X X X X X X X X X X X X X X X X X 6
X X X X X X X X X X X X X X X X X X X X X X X 7
/var/log/local7.info)
/var/log/local7.debug)
X FILE: /var/log/local7.info
X FILE: /var/log/local7.debug
Si éstos navegan por demasiado rápidamente para ver, intente este comando:
syslogd - d | más
Si hay mensajes, tales como:
cfline(local7.info
/var/log/local7.junk)
syslogd: /var/log/local7.junk: No such file or directory
logmsg: pri 53, flags 8, from pinecone, msg syslogd: /var/log/local7.junk:
No such file or directory
existe un problema en la instalación. En este ejemplo, el archivo no existió.
Cuando usted se ejecuta en el debug, están también los mensajes de Syslog entrantes de las demostraciones y a qué archivo van:
logmsg: pri 275, flags 0, from 10.8.1.76, MSG 14: %SYS-5-CONFIG_I: Configured
from console by vty0 (171.68.118.108)
Logging to UNUSED
Logging to FILE /var/log/local7.debug
En este caso, un mensaje que debe haber ido al local7.junk y se recibe el local7.debug, pero porque no existe el local7.junk, este mensaje también
se recibe:
Logging to UNUSED.
Si syslogd - d no muestra nada que viene adentro, control estar segura que el PIX envía con los comandos pix show syslog or show logging. Si la
información de syslogd llega en el sistema Unix, pero no entra el archivo adecuado, trabaje con el administrador del sistema UNIX o el soporte
del proveedor del sistema operativo para corregir los problemas.
Si la causa del problema todavía no puede ser determinada, el Syslog se puede ejecutar en el debug y la salida reorientada a un archivo como
sigue.
sh o ksh:
syslogd -d<>target_file>2>&1
o
csh
syslogd - d>&<target_file>
Nota: El syslogd de Red Hat Linux se debe comenzar con la opción-r de capturar la salida de la red.
Esta tabla muestra los extensión del registro del sistema UNIX típicos que definen los niveles:
‘Extensión de UNIX’
Significado
.emerg
Sistema inutilizable, emergencia
.alerta
Actúe inmediatamente, alertas
.crit
Condición crítica, crítica
.err
Mensaje de error, errores
.warn
Mensaje de advertencia, advertencias
.aviso
Notificaciones de condiciones normales pero significativas
.info
Mensajes informativos, informativos
.depurar
Depurar mensaje, depuración
Información para recopilar si abre un caso del TAC
Si usted todavía necesita la ayuda después de seguir los pasos de
Troubleshooting arriba y quiere abrir un caso con el TAC de Cisco, esté seguro
de incluir la siguiente información para resolver problemas su firewall PIX.
Trobleshooting realizado antes de abrir el caso
Resultado del comando show tech-support
Resultado del comando show log después de la ejecución con el comando
logging buffered debugging o capturas de consola que muestran el problema
(si están disponibles)
Adjunte los datos recolectados a su caso en un texto sin formato (.txt), sin compactar.
Puede vincular información a su caso transfiriéndola mediante la herramienta Case
Query (sólo para clientes registrados) . Si usted no puede acceder la herramienta del
Case Query, usted puede enviar la información en un elemento adjunto de correo
electrónico a attach@cisco.com con su número de caso en el asunto de su mensaje.
Información Relacionada
Solicitudes de Comentarios (RFC)
Notas Técnicas de Troubleshooting
© 1992-2016 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 17 Octubre 2016
http://www.cisco.com/cisco/web/support/LA/102/1025/1025798_pixsyslog.html
Descargar