Dit document bevat informatie over de manier waarop u syslog op Cisco adaptieve security applicatie (ASA) 8.x kunt configureren met behulp van de GUI van Adaptive Security Device Manager (ASDM). Logberichten voor het systeem zijn de berichten die door Cisco ASA worden gegenereerd om de beheerder op de hoogte te stellen van elke wijziging in de configuratie, wijzigingen in de netwerkinstallatie of wijzigingen in de prestaties van het apparaat. Door de systeemlogberichten te analyseren, kan een beheerder de fout gemakkelijk oplossen door een analyse van de worteloorzaak uit te voeren.
Syslog-berichten worden voornamelijk gedifferentieerd op basis van hun ernst.
Ernst 0 - Noodberichten - Resource is onbruikbaar
Ernst 1 - Waarschuwingsberichten - Onmiddellijke actie is vereist
Ernst 2 - Kritieke berichten - Kritieke omstandigheden
Ernst 3 - Foutberichten - Foutvoorwaarden
Ernst 4 - Waarschuwingsberichten - Waarschuwingsomstandigheden
Ernst 5 - Meldingen - Normale maar significante voorwaarden
Ernst 6 - Informatieve berichten - alleen informatieve berichten
Ernst 7 - Debugging Berichten - Alleen debugging berichten
Opmerking: het hoogste ernstniveau is een noodgeval en het laagste ernstniveau is debuggen.
Hier worden voorbeeldsyslogberichten weergegeven die door Cisco ASA zijn gegenereerd:
%ASA-6-106012: IP van IP_adres naar IP_adres, IP-opties weigeren, hex.
%ASA-3-211001: Geheugentoewijzingsfout
%ASA-5-335003: NAC standaard ACL toegepast, ACL:ACL-naam - host-adres
De numerieke waarde X in "%ASA-X-YYYY:", geeft de ernst van het bericht aan. "%ASA-6-106012" is bijvoorbeeld een informatief bericht en "%ASA-5-335003" is een foutbericht.
Er zijn geen specifieke vereisten van toepassing op dit document.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco ASA versie 8.2
Cisco ASDM versie 6.2
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Voer de volgende stappen uit:
Kies Configuratie > Apparaatbeheer > Vastlegging > Vastlegging van vastlegging en controleer de optie Logboekregistratie inschakelen.
U kunt de syslogberichten aan een interne buffer registreren door de buffergrootte te specificeren. U kunt er ook voor kiezen om de bufferinhoud op te slaan in het Flash-geheugen door te klikken op Configureren Flash-gebruik en het definiëren van de Flash-instellingen.
De opgeslagen logberichten kunnen naar een FTP-server worden verzonden voordat ze worden overschreven. Klik op FTP-instellingen configureren en specificeer de FTP-serverdetails zoals hier wordt getoond:
U kunt specifieke syslog ID's uitschakelen op basis van uw vereiste.
Opmerking: door het vinkje voor de optie Tijdstempel opnemen in syslogs te selecteren, kunt u de datum en tijd toevoegen dat ze als veld aan de syslogs zijn gegenereerd.
Selecteer de uit te schakelen syslogs en klik op Bewerken.
Selecteer in het venster Syslog-ID-instellingen bewerken het vinkje bij de optie Berichten uitschakelen en klik op OK.
De uitgeschakelde syslogs kunnen in een afzonderlijk tabblad worden bekeken door Uitgeschakelde syslog ID's te selecteren uit het vervolgkeuzemenu Syslog ID instellen.
Voltooi deze stappen met ASDM om de syslogs naar een e-mail te sturen:
Kies Configuratie > Apparaatbeheer > Vastlegging > E-mail instelling. Het veld Bron-e-mailadres is handig bij het toewijzen van een e-mail-id als bron voor de syslogs. Specificeer het e-mailadres van de bron. Klik nu op Toevoegen om de e-mailontvangers toe te voegen.
Geef het e-mailadres van de bestemming op en kies het prioriteitsniveau. Op basis van de ernst van de situatie kunt u verschillende e-mailontvangers definiëren. Klik op OK om terug te keren naar het deelvenster E-mail instellen.
Dit resulteert in deze configuratie:
Kies Configuratie > Apparaatinstelling > Vastlegging > SMTP en specificeer de SMTP-server.
U kunt alle syslog berichten naar een specifieke syslog server verzenden. Voer deze stappen uit met ASDM:
Kies Configuratie > Apparaatbeheer > Vastlegging > Syslog-servers en klik op Toevoegen om een syslog-server toe te voegen.
Het venster Add Syslog Server verschijnt.
Specificeer de interface waaraan de server samen met het IP adres wordt geassocieerd. Geef het protocol en de poortgegevens op afhankelijk van uw netwerkinstallatie. Klik vervolgens op OK.
Opmerking: Zorg ervoor dat u vanuit Cisco ASA bereikbaar bent voor de syslogserver.
De geconfigureerde syslog-server wordt weergegeven zoals hier. Aanpassingen kunnen worden gedaan wanneer u deze server selecteert en vervolgens klikt u op Bewerken.
Opmerking: vink het vakje Enable user traffic to pass (Toestaan) aan als TCP syslog server is uitgeschakeld. Anders worden de nieuwe gebruikerssessies geweigerd via de ASA. Dit is alleen van toepassing als het transportprotocol tussen de ASA en de syslogserver TCP is. Standaard worden nieuwe netwerktoegangssessies door Cisco ASA geweigerd wanneer een syslogserver om de een of andere reden is uitgeschakeld.
Om het type syslogberichten te definiëren dat naar de syslogserver moet worden verzonden, zie de sectie Logging Filter.
Gebeurtenislijsten stellen ons in staat om aangepaste lijsten te maken die de groep syslog-berichten bevatten die naar een bestemming moeten worden verzonden. Er kunnen op drie verschillende manieren evenementenlijsten worden gemaakt:
Berichtnummer of bereik van bericht-ID’s
Ernst bericht
Berichtklasse
Berichtnummer of bereik van bericht-ID’s
Voer de volgende stappen uit:
Kies Configuratie > Apparaatbeheer > Vastlegging > Lijsten van gebeurtenissen en klik op Add om een nieuwe gebeurtenislijst te maken.
Specificeer een naam in het veld Naam. Klik op Add in het deelvenster Berichtid-filters om een nieuwe gebeurtenislijst te maken.
Specificeer het bereik van syslog bericht ID's. Hier hebben de TCP syslog berichten bijvoorbeeld genomen. Klik op OK om te voltooien.
Klik nogmaals op OK om terug te keren naar het venster Event Lists.
Ernst bericht
Er kunnen ook gebeurtenislijsten worden gedefinieerd op basis van de ernst van het bericht. Klik op Add om een afzonderlijke gebeurtenislijst te maken.
Specificeer de naam en klik op Toevoegen.
Selecteer het prioriteitsniveau als fouten.
Klik op OK.
Berichtklasse
De lijsten van de gebeurtenis worden ook gevormd gebaseerd op de Klasse van het Bericht. Een berichtklasse is een groep syslogberichten met betrekking tot een security applicatie functie die u in staat stelt om een gehele klasse van berichten te specificeren in plaats van een klasse voor elk bericht afzonderlijk te specificeren. Gebruik bijvoorbeeld de auth-klasse om alle syslog-berichten te selecteren die betrekking hebben op gebruikersverificatie. Sommige beschikbare berichtenklassen worden hier getoond:
Alle—Alle gebeurtenisklassen
Verificatie door gebruiker
bridge—Transparante firewall
ca—PKI-certificeringsinstantie
configuratie-opdrachtinterface
ha—failover
IPS-inbraakpreventieservice
IP-IP-stack
NP—Netwerkprocessor
ospf—OSPF-routing
RIP-RIP routing
sessie—gebruikerssessie
Voer deze stappen uit om een gebeurtenisklasse te maken op basis van de berichtklasse vpnclient-fouten. De berichtklasse, vpnc, is beschikbaar om alle syslogberichten met betrekking tot vpnclient te categoriseren. Het ernstniveau voor deze berichtklasse wordt gekozen als "fouten".
Klik op Add om een nieuwe evenementenlijst te maken.
Specificeer de naam die relevant moet zijn voor de berichtklasse die u maakt en klik op Toevoegen.
Selecteer vpnc in de vervolgkeuzelijst.
Selecteer het prioriteitsniveau als fouten. Dit prioriteitsniveau is alleen van toepassing op berichten die zijn vastgelegd voor deze berichtklasse. Klik op OK om terug te keren naar het venster Gebeurtenislijst toevoegen.
De gebeurtenisklasse/ernst worden hier getoond. Klik op OK om de configuratie van de gebeurtenislijst "VPNclient-fouten" te voltooien.
In de volgende screenshot wordt ook getoond dat een nieuwe gebeurtenislijst, "user-auth-syslog", wordt gemaakt met een berichtklasse als "auth" en het prioriteitsniveau voor de syslogs van deze specifieke berichtklasse als "Waarschuwingen". Door dit te configureren, specificeert de gebeurtenislijst alle syslogberichten die gerelateerd zijn aan de berichtklasse "auth", met prioriteitsniveaus tot "Waarschuwingen" niveau.
Opmerking: hier is de term "tot" van belang. Wanneer het aanduiden van de ernst niveau, houd in gedachten dat alle syslog berichten worden geregistreerd tot dat niveau.
Opmerking: een gebeurtenislijst kan meerdere gebeurtenisklassen bevatten. De eventlijst "vpnclient-error" wordt aangepast door op Bewerken te klikken en een nieuwe eventklasse "ssl/error" te definiëren.
Vastleggingsfilters worden gebruikt om de syslogberichten naar een gespecificeerde bestemming te verzenden. Deze syslogberichten kunnen worden gebaseerd op de "Ernst" of de "even lijsten".
Dit zijn de soorten bestemmingen waarop deze filters van toepassing zijn:
Interne buffer
SNMP-trap
console
Telnet-sessies
ASDM
Syslogservers
Voer de volgende stappen uit:
Kies Configuratie > Apparaatbeheer > Vastlegging > Filters vastlegging en selecteer de logbestemming. Klik vervolgens op Bewerken om de instellingen te wijzigen.
U kunt syslog berichten verzenden die op de strengheid worden gebaseerd. Hier is Noodsituaties als voorbeeld gekozen.
Een gebeurtenislijst kan ook worden geselecteerd om te specificeren welk type van berichten naar een bepaalde bestemming moet worden verzonden. Klik op OK.
Controleer de wijziging.
Dit zijn de stappen voor het verzenden van een groep berichten (op basis van hun ernst) naar de E-mailserver.
Selecteer E-mail in het veld Bestemming vastlegging. Klik vervolgens op Bewerken.
Kies de optie Filter op ernst en selecteer het gewenste prioriteitsniveau.
Hier is Waarschuwingen geselecteerd als ernst.
U kunt zien dat alle waarschuwingssyslog-berichten naar de geconfigureerde e-mail moeten worden verzonden.
Dit specificeert het aantal syslogberichten dat Cisco ASA naar een bestemming in een gespecificeerde tijdspanne verzendt. Het wordt meestal gedefinieerd voor de ernst.
Kies Configuratie > Apparaatbeheer > Vastlegging > Snelheidslimiet en selecteer het gewenste prioriteitsniveau. Klik vervolgens op Bewerken.
Geef het aantal berichten op dat samen met het tijdsinterval moet worden verzonden. Klik op OK.
Opmerking: deze cijfers dienen als voorbeeld. Deze verschillen afhankelijk van het type netwerkomgeving.
Aangepaste waarden worden hier weergegeven:
U kunt de toegangsregel hits registreren met behulp van de ASDM. Het standaard logboekgedrag moet een syslogbericht voor alle ontkende pakketten verzenden. Er zal geen syslogbericht zijn voor de toegestane pakketten en deze zullen niet worden geregistreerd. U kunt echter wel een aangepaste ernst van vastlegging definiëren op basis van de toegangsregel om de telling van de pakketten bij te houden die deze toegangsregel raken.
Voer de volgende stappen uit:
Selecteer de gewenste toegangsregel en klik op Bewerken.
Het venster Toegangsregel bewerken wordt weergegeven.
N.B.: In deze afbeelding geeft de optie Standaard in het veld Logging Level het standaardloggedrag van Cisco ASA aan. Raadpleeg voor meer informatie het gedeelte Toegangslijst vastlegging.
Controleer de optie Logboekregistratie inschakelen en specificeer de gewenste ernst. Klik vervolgens op OK.
N.B.: Door op het tabblad Meer opties te klikken, kunt u de optie Logging Interval zien. Deze optie wordt alleen gemarkeerd als de bovenstaande optie Logboekregistratie inschakelen is aangevinkt. De standaardwaarde van deze timer is 300 seconden. Deze instelling is nuttig bij het opgeven van de time-outwaarde voor de te verwijderen stroomstatistieken wanneer er geen overeenkomst is voor die toegangsregel. Als er hits zijn, dan wacht ASA tot de Logging Interval tijd en stuurt dat naar de syslog.
De wijzigingen worden hier getoond. U kunt ook dubbelklikken op het veld Vastlegging van de specifieke toegangsregel en het prioriteitsniveau daar instellen.
Opmerking: deze alternatieve methode voor het opgeven van het registratieniveau in hetzelfde deelvenster Toegangsregels door te dubbelklikken werkt alleen voor handmatig gemaakte toegangsregel-items, maar niet voor de impliciete regels.
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.
Dit document gebruikt de volgende configuraties:
Cisco ASA |
---|
: Saved : ASA Version 8.2(1) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0/0 shutdown no nameif no security-level no ip address ! interface Ethernet0/1 nameif outside security-level 0 ip address 209.165.201.2 255.255.255.0 ! interface Ethernet0/2 nameif inside security-level 100 ip address 10.78.177.11 255.255.255.192 ! ! !--- Output Suppressed ! access-list inside_access_in extended permit ip host 10.10.10.10 host 20.20.20.200 log errors access-list inside_access_in extended permit ip host 10.10.10.20 any access-list inside_access_in extended deny ip 10.20.10.0 255.255.255.0 host 20.20.20.200 access-list inside_access_in extended permit ip 10.78.177.0 255.255.255.192 any log emergencies pager lines 24 logging enable logging list user-auth-syslog level warnings class auth logging list TCP-conn-syslog message 302013-302018 logging list syslog-sev-error level errors logging list vpnclient-errors level errors class vpnc logging list vpnclient-errors level errors class ssl logging buffered user-auth-syslog logging mail alerts logging from-address test123@example.com logging recipient-address monitorsyslog@example.com level errors logging queue 1024 logging host inside 172.16.11.100 logging ftp-bufferwrap logging ftp-server 172.16.18.10 syslog testuser **** logging permit-hostdown no logging message 302015 no logging message 302016 logging rate-limit 600 86400 level 7 mtu outside 1500 mtu inside 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-623.bin asdm history enable arp timeout 14400 ! !--- Output Suppressed ! timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout TCP-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy ! !--- Output Suppressed ! ! telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics TCP-intercept ! !--- Output Suppressed ! username test password /FzQ9W6s1KjC0YQ7 encrypted privilege 15 ! ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global smtp-server 172.18.10.20 prompt hostname context Cryptochecksum:ad941fe5a2bbea3d477c03521e931cf4 : end |
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.
U kunt de systemen bekijken vanuit de ASDM. Kies Bewaking > Vastlegging > Real Time Log Viewer. Hier wordt een voorbeelduitvoer weergegeven:
Deze fout wordt ontvangen bij het inschakelen van ASDM-logboekregistratie op het Dashboard van het apparaat voor een van de contexten.
"Verbindingsverlies — Syslog-verbinding beëindigd —"
Als ASDM gebruikt wordt om direct verbinding te maken met de admin-context en ADSM-logboekregistratie is uitgeschakeld, switch dan naar een subcontext en laat ASDM-logboekregistratie toe. De fouten worden ontvangen, maar de syslog berichten bereiken boete aan de syslog server.
Dit is een bekend gedrag met Cisco ASDM en gedocumenteerd in Cisco bug-id CSC10699 (alleen geregistreerde klanten). Als tijdelijke oplossing kunt u de logboekregistratie bij het inloggen op beheerderscontext inschakelen.
Een probleem is dat de real-time logbestanden niet kunnen worden bekeken op ASDM. Hoe is dit ingesteld?
Configureer het volgende op Cisco ASA:
ciscoasa(config)#logging monitor 6 ciscoasa(config)#terminal monitor ciscoasa(config)#logging on ciscoasa(config)#logging trap 6
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
13-Jun-2011 |
Eerste vrijgave |