ASA 8.2: Syslog configureren met ASDM

Inleiding

Dit document bevat informatie over de manier waarop u syslog op Cisco adaptieve security applicatie (ASA) 8.x kunt configureren met behulp van de GUI van Adaptive Security Device Manager (ASDM). Logberichten voor het systeem zijn de berichten die door Cisco ASA worden gegenereerd om de beheerder op de hoogte te stellen van elke wijziging in de configuratie, wijzigingen in de netwerkinstallatie of wijzigingen in de prestaties van het apparaat. Door de systeemlogberichten te analyseren, kan een beheerder de fout gemakkelijk oplossen door een analyse van de worteloorzaak uit te voeren.

Syslog-berichten worden voornamelijk gedifferentieerd op basis van hun ernst.

1. Ernst 0 - Noodberichten - Resource is onbruikbaar

2. Ernst 1 - Waarschuwingsberichten - Onmiddellijke actie is vereist

3. Ernst 2 - Kritieke berichten - Kritieke omstandigheden

4. Ernst 3 - Foutberichten - Foutvoorwaarden

5. Ernst 4 - Waarschuwingsberichten - Waarschuwingsomstandigheden

6. Ernst 5 - Meldingen - Normale maar significante voorwaarden

7. Ernst 6 - Informatieve berichten - alleen informatieve berichten

8. Ernst 7 - Debugging Berichten - Alleen debugging berichten

   Opmerking: het hoogste ernstniveau is een noodgeval en het laagste ernstniveau is debuggen.

Hier worden voorbeeldsyslogberichten weergegeven die door Cisco ASA zijn gegenereerd:

• %ASA-6-106012: IP van IP_adres naar IP_adres, IP-opties weigeren, hex.

• %ASA-3-211001: Geheugentoewijzingsfout

• %ASA-5-335003: NAC standaard ACL toegepast, ACL:ACL-naam - host-adres

De numerieke waarde X in "%ASA-X-YYYY:", geeft de ernst van het bericht aan. "%ASA-6-106012" is bijvoorbeeld een informatief bericht en "%ASA-5-335003" is een foutbericht.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco ASA versie 8.2

• Cisco ASDM versie 6.2

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Basis systeemconfiguratie met behulp van ASDM

Vastlegging inschakelen

Voer de volgende stappen uit:

1. Kies Configuratie > Apparaatbeheer > Vastlegging > Vastlegging van vastlegging en controleer de optie Logboekregistratie inschakelen.

   

2. U kunt de syslogberichten aan een interne buffer registreren door de buffergrootte te specificeren. U kunt er ook voor kiezen om de bufferinhoud op te slaan in het Flash-geheugen door te klikken op Configureren Flash-gebruik en het definiëren van de Flash-instellingen.

   

3. De opgeslagen logberichten kunnen naar een FTP-server worden verzonden voordat ze worden overschreven. Klik op FTP-instellingen configureren en specificeer de FTP-serverdetails zoals hier wordt getoond:

   

Vastlegging uitschakelen

U kunt specifieke syslog ID's uitschakelen op basis van uw vereiste.

Opmerking: door het vinkje voor de optie Tijdstempel opnemen in syslogs te selecteren, kunt u de datum en tijd toevoegen dat ze als veld aan de syslogs zijn gegenereerd.

1. Selecteer de uit te schakelen syslogs en klik op Bewerken.

   

2. Selecteer in het venster Syslog-ID-instellingen bewerken het vinkje bij de optie Berichten uitschakelen en klik op OK.

   

3. De uitgeschakelde syslogs kunnen in een afzonderlijk tabblad worden bekeken door Uitgeschakelde syslog ID's te selecteren uit het vervolgkeuzemenu Syslog ID instellen.

   

Vastlegging in een e-mail

Voltooi deze stappen met ASDM om de syslogs naar een e-mail te sturen:

1. Kies Configuratie > Apparaatbeheer > Vastlegging > E-mail instelling. Het veld Bron-e-mailadres is handig bij het toewijzen van een e-mail-id als bron voor de syslogs. Specificeer het e-mailadres van de bron. Klik nu op Toevoegen om de e-mailontvangers toe te voegen.

   

2. Geef het e-mailadres van de bestemming op en kies het prioriteitsniveau. Op basis van de ernst van de situatie kunt u verschillende e-mailontvangers definiëren. Klik op OK om terug te keren naar het deelvenster E-mail instellen.

   

   Dit resulteert in deze configuratie:

   

3. Kies Configuratie > Apparaatinstelling > Vastlegging > SMTP en specificeer de SMTP-server.

   

Vastlegging op een syslogserver

U kunt alle syslog berichten naar een specifieke syslog server verzenden. Voer deze stappen uit met ASDM:

1. Kies Configuratie > Apparaatbeheer > Vastlegging > Syslog-servers en klik op Toevoegen om een syslog-server toe te voegen.

   

   Het venster Add Syslog Server verschijnt.

2. Specificeer de interface waaraan de server samen met het IP adres wordt geassocieerd. Geef het protocol en de poortgegevens op afhankelijk van uw netwerkinstallatie. Klik vervolgens op OK.

   Opmerking: Zorg ervoor dat u vanuit Cisco ASA bereikbaar bent voor de syslogserver.

   

3. De geconfigureerde syslog-server wordt weergegeven zoals hier. Aanpassingen kunnen worden gedaan wanneer u deze server selecteert en vervolgens klikt u op Bewerken.

   

   Opmerking: vink het vakje Enable user traffic to pass (Toestaan) aan als TCP syslog server is uitgeschakeld. Anders worden de nieuwe gebruikerssessies geweigerd via de ASA. Dit is alleen van toepassing als het transportprotocol tussen de ASA en de syslogserver TCP is. Standaard worden nieuwe netwerktoegangssessies door Cisco ASA geweigerd wanneer een syslogserver om de een of andere reden is uitgeschakeld.

   Om het type syslogberichten te definiëren dat naar de syslogserver moet worden verzonden, zie de sectie Logging Filter.

Geavanceerde systeemconfiguratie met behulp van ASDM

Werken met gebeurtenislijsten

Gebeurtenislijsten stellen ons in staat om aangepaste lijsten te maken die de groep syslog-berichten bevatten die naar een bestemming moeten worden verzonden. Er kunnen op drie verschillende manieren evenementenlijsten worden gemaakt:

• Berichtnummer of bereik van bericht-ID’s

• Ernst bericht

• Berichtklasse

Berichtnummer of bereik van bericht-ID’s

Voer de volgende stappen uit:

1. Kies Configuratie > Apparaatbeheer > Vastlegging > Lijsten van gebeurtenissen en klik op Add om een nieuwe gebeurtenislijst te maken.

   

2. Specificeer een naam in het veld Naam. Klik op Add in het deelvenster Berichtid-filters om een nieuwe gebeurtenislijst te maken.

   

3. Specificeer het bereik van syslog bericht ID's. Hier hebben de TCP syslog berichten bijvoorbeeld genomen. Klik op OK om te voltooien.

   

4. Klik nogmaals op OK om terug te keren naar het venster Event Lists.

   

Ernst bericht

1. Er kunnen ook gebeurtenislijsten worden gedefinieerd op basis van de ernst van het bericht. Klik op Add om een afzonderlijke gebeurtenislijst te maken.

   

2. Specificeer de naam en klik op Toevoegen.

   

3. Selecteer het prioriteitsniveau als fouten.

   

4. Klik op OK.

   

Berichtklasse

De lijsten van de gebeurtenis worden ook gevormd gebaseerd op de Klasse van het Bericht. Een berichtklasse is een groep syslogberichten met betrekking tot een security applicatie functie die u in staat stelt om een gehele klasse van berichten te specificeren in plaats van een klasse voor elk bericht afzonderlijk te specificeren. Gebruik bijvoorbeeld de auth-klasse om alle syslog-berichten te selecteren die betrekking hebben op gebruikersverificatie. Sommige beschikbare berichtenklassen worden hier getoond:

• Alle—Alle gebeurtenisklassen

• Verificatie door gebruiker

• bridge—Transparante firewall

• ca—PKI-certificeringsinstantie

• configuratie-opdrachtinterface

• ha—failover

• IPS-inbraakpreventieservice

• IP-IP-stack

• NP—Netwerkprocessor

• ospf—OSPF-routing

• RIP-RIP routing

• sessie—gebruikerssessie

Voer deze stappen uit om een gebeurtenisklasse te maken op basis van de berichtklasse vpnclient-fouten. De berichtklasse, vpnc, is beschikbaar om alle syslogberichten met betrekking tot vpnclient te categoriseren. Het ernstniveau voor deze berichtklasse wordt gekozen als "fouten".

1. Klik op Add om een nieuwe evenementenlijst te maken.

   

2. Specificeer de naam die relevant moet zijn voor de berichtklasse die u maakt en klik op Toevoegen.

   

3. Selecteer vpnc in de vervolgkeuzelijst.

   

4. Selecteer het prioriteitsniveau als fouten. Dit prioriteitsniveau is alleen van toepassing op berichten die zijn vastgelegd voor deze berichtklasse. Klik op OK om terug te keren naar het venster Gebeurtenislijst toevoegen.

   

5. De gebeurtenisklasse/ernst worden hier getoond. Klik op OK om de configuratie van de gebeurtenislijst "VPNclient-fouten" te voltooien.

   

   In de volgende screenshot wordt ook getoond dat een nieuwe gebeurtenislijst, "user-auth-syslog", wordt gemaakt met een berichtklasse als "auth" en het prioriteitsniveau voor de syslogs van deze specifieke berichtklasse als "Waarschuwingen". Door dit te configureren, specificeert de gebeurtenislijst alle syslogberichten die gerelateerd zijn aan de berichtklasse "auth", met prioriteitsniveaus tot "Waarschuwingen" niveau.

   Opmerking: hier is de term "tot" van belang. Wanneer het aanduiden van de ernst niveau, houd in gedachten dat alle syslog berichten worden geregistreerd tot dat niveau.

   Opmerking: een gebeurtenislijst kan meerdere gebeurtenisklassen bevatten. De eventlijst "vpnclient-error" wordt aangepast door op Bewerken te klikken en een nieuwe eventklasse "ssl/error" te definiëren.

   

Werken met logfilters

Vastleggingsfilters worden gebruikt om de syslogberichten naar een gespecificeerde bestemming te verzenden. Deze syslogberichten kunnen worden gebaseerd op de "Ernst" of de "even lijsten".

Dit zijn de soorten bestemmingen waarop deze filters van toepassing zijn:

• Interne buffer

• SNMP-trap

• E-mail

• console

• Telnet-sessies

• ASDM

• Syslogservers

Voer de volgende stappen uit:

1. Kies Configuratie > Apparaatbeheer > Vastlegging > Filters vastlegging en selecteer de logbestemming. Klik vervolgens op Bewerken om de instellingen te wijzigen.

   

2. U kunt syslog berichten verzenden die op de strengheid worden gebaseerd. Hier is Noodsituaties als voorbeeld gekozen.

   

3. Een gebeurtenislijst kan ook worden geselecteerd om te specificeren welk type van berichten naar een bepaalde bestemming moet worden verzonden. Klik op OK.

   

4. Controleer de wijziging.

   

Dit zijn de stappen voor het verzenden van een groep berichten (op basis van hun ernst) naar de E-mailserver.

1. Selecteer E-mail in het veld Bestemming vastlegging. Klik vervolgens op Bewerken.

   

2. Kies de optie Filter op ernst en selecteer het gewenste prioriteitsniveau.

   

   Hier is Waarschuwingen geselecteerd als ernst.

   

   U kunt zien dat alle waarschuwingssyslog-berichten naar de geconfigureerde e-mail moeten worden verzonden.

   

Snelheidslimiet

Dit specificeert het aantal syslogberichten dat Cisco ASA naar een bestemming in een gespecificeerde tijdspanne verzendt. Het wordt meestal gedefinieerd voor de ernst.

1. Kies Configuratie > Apparaatbeheer > Vastlegging > Snelheidslimiet en selecteer het gewenste prioriteitsniveau. Klik vervolgens op Bewerken.

   

2. Geef het aantal berichten op dat samen met het tijdsinterval moet worden verzonden. Klik op OK.

   

   Opmerking: deze cijfers dienen als voorbeeld. Deze verschillen afhankelijk van het type netwerkomgeving.

   Aangepaste waarden worden hier weergegeven:

   

Vastlegging van de treffers van een toegangsregel

U kunt de toegangsregel hits registreren met behulp van de ASDM. Het standaard logboekgedrag moet een syslogbericht voor alle ontkende pakketten verzenden. Er zal geen syslogbericht zijn voor de toegestane pakketten en deze zullen niet worden geregistreerd. U kunt echter wel een aangepaste ernst van vastlegging definiëren op basis van de toegangsregel om de telling van de pakketten bij te houden die deze toegangsregel raken.

Voer de volgende stappen uit:

1. Selecteer de gewenste toegangsregel en klik op Bewerken.

   Het venster Toegangsregel bewerken wordt weergegeven.

   

   N.B.: In deze afbeelding geeft de optie Standaard in het veld Logging Level het standaardloggedrag van Cisco ASA aan. Raadpleeg voor meer informatie het gedeelte Toegangslijst vastlegging.

2. Controleer de optie Logboekregistratie inschakelen en specificeer de gewenste ernst. Klik vervolgens op OK.

   

   N.B.: Door op het tabblad Meer opties te klikken, kunt u de optie Logging Interval zien. Deze optie wordt alleen gemarkeerd als de bovenstaande optie Logboekregistratie inschakelen is aangevinkt. De standaardwaarde van deze timer is 300 seconden. Deze instelling is nuttig bij het opgeven van de time-outwaarde voor de te verwijderen stroomstatistieken wanneer er geen overeenkomst is voor die toegangsregel. Als er hits zijn, dan wacht ASA tot de Logging Interval tijd en stuurt dat naar de syslog.

3. De wijzigingen worden hier getoond. U kunt ook dubbelklikken op het veld Vastlegging van de specifieke toegangsregel en het prioriteitsniveau daar instellen.

   

   Opmerking: deze alternatieve methode voor het opgeven van het registratieniveau in hetzelfde deelvenster Toegangsregels door te dubbelklikken werkt alleen voor handmatig gemaakte toegangsregel-items, maar niet voor de impliciete regels.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.

Configuraties

Dit document gebruikt de volgende configuraties:

: Saved
:
ASA Version 8.2(1) 
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 209.165.201.2 255.255.255.0 
!
interface Ethernet0/2
 nameif inside
 security-level 100
 ip address 10.78.177.11 255.255.255.192 
!
!
!--- Output Suppressed

!
access-list inside_access_in extended permit ip host 10.10.10.10 host 20.20.20.200 log errors 
access-list inside_access_in extended permit ip host 10.10.10.20 any 
access-list inside_access_in extended deny ip 10.20.10.0 255.255.255.0 host 20.20.20.200 
access-list inside_access_in extended permit ip 10.78.177.0 255.255.255.192 any log emergencies 
pager lines 24
logging enable
logging list user-auth-syslog level warnings class auth
logging list TCP-conn-syslog message 302013-302018
logging list syslog-sev-error level errors
logging list vpnclient-errors level errors class vpnc
logging list vpnclient-errors level errors class ssl
logging buffered user-auth-syslog
logging mail alerts
logging from-address test123@example.com
logging recipient-address monitorsyslog@example.com level errors
logging queue 1024
logging host inside 172.16.11.100
logging ftp-bufferwrap
logging ftp-server 172.16.18.10 syslog testuser ****
logging permit-hostdown
no logging message 302015
no logging message 302016
logging rate-limit 600 86400 level 7
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-623.bin
asdm history enable
arp timeout 14400
!
!--- Output Suppressed

!
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout TCP-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
!
!--- Output Suppressed

!
!
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics TCP-intercept
!
!--- Output Suppressed

!
username test password /FzQ9W6s1KjC0YQ7 encrypted privilege 15
!
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny  
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip  
  inspect xdmcp 
!
service-policy global_policy global
smtp-server 172.18.10.20
prompt hostname context 
Cryptochecksum:ad941fe5a2bbea3d477c03521e931cf4
: end

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.

• U kunt de systemen bekijken vanuit de ASDM. Kies Bewaking > Vastlegging > Real Time Log Viewer. Hier wordt een voorbeelduitvoer weergegeven:

  

Problemen oplossen

Probleem: Verbindingsverlies — Syslog-verbinding beëindigd —

Deze fout wordt ontvangen bij het inschakelen van ASDM-logboekregistratie op het Dashboard van het apparaat voor een van de contexten.

"Verbindingsverlies — Syslog-verbinding beëindigd —"

Als ASDM gebruikt wordt om direct verbinding te maken met de admin-context en ADSM-logboekregistratie is uitgeschakeld, switch dan naar een subcontext en laat ASDM-logboekregistratie toe. De fouten worden ontvangen, maar de syslog berichten bereiken boete aan de syslog server.

Oplossing

Dit is een bekend gedrag met Cisco ASDM en gedocumenteerd in Cisco bug-id CSC10699 (alleen geregistreerde klanten). Als tijdelijke oplossing kunt u de logboekregistratie bij het inloggen op beheerderscontext inschakelen.

Kan de realtime logbestanden op Cisco ASDM niet bekijken

Een probleem is dat de real-time logbestanden niet kunnen worden bekeken op ASDM. Hoe is dit ingesteld?

Oplossing

Configureer het volgende op Cisco ASA:

ciscoasa(config)#logging monitor 6
ciscoasa(config)#terminal monitor
ciscoasa(config)#logging on
ciscoasa(config)#logging trap 6

Gerelateerde informatie

• Ondersteuning van Cisco ASA 5500 Series adaptieve security applicaties
• Technische ondersteuning en documentatie – Cisco Systems