自适应安全设备上的日志和调试之间的差异

下载选项

  • PDF     (161.9 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (78.0 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (63.8 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2016 年 2 月 22 日
文档 ID:1456153584480489

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档简单介绍了运行8.4版及更高版本的自适应安全设备(ASA)中的调试功能。但是,某些功能仅在9.5(2)版及更高版本中可用。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 带ASA软件版本9.5(2)的ASA 5506-X
  • Cisco 自适应安全设备管理器 (ASDM) 版本 7.5.2

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

基本日志记录功能

ASA处理调试消息的方式与Cisco IOS®设备不同。默认情况下(除非使用后面介绍的“logging debug-trace”),当您通过控制台端口或通过telnet/Secure Shell(SSH)连接时,这些命令会显示在屏幕上,但它们是完全独立的。当您使用控制台时,在您输入debug命令后,它们会立即显示。SSH会话也会执行相同的操作。

独立性意味着,在控制台端口上启用调试并通过SSH连接时,调试不会显示在SSH上。您必须再次手动启用它们。此外,如果在一个SSH会话上启用调试,则调试不会显示在另一个会话上。您可以按会话调试引用它。

也无需在ASA上输入terminal monitor命令来显示调试,因为无论使用此命令,SSH或telnet会话上启用的调试都会显示。此命令的用途与Cisco IOS设备和ASA系统日志配置示例中的用途有很大不同,并且详细描述了该功能。

系统日志和调试消息之间的差异

调试是为ASA的特定协议或功能指定的消息。没有调试级别,而是非常详细,可以更改详细级别。它们也可能没有时间戳、消息代码或严重性级别。这取决于特定调试。

本示例显示调试消息和系统日志消息之间关于同一ping请求的区别。 

以下是输入debug icmp trace命令后的调试输出示例:

ICMP echo request from 10.229.24.48 to 10.48.67.75 ID=1 seq=29 len=32

ICMP echo reply from 10.48.67.75 to 10.229.24.48 ID=1 seq=29 len=32
[an error occurred while processing this directive]

以下是有关同一ICMP请求的syslog消息的示例:

Jan 01 2016 13:29:22: %ASA-6-302020: Built inbound ICMP connection for faddr 10.229.24.48/1
 gaddr 10.48.67.75/0 laddr 10.48.67.75/0

Jan 01 2016 13:29:22: %ASA-6-302021: Teardown ICMP connection for faddr 10.229.24.48/1
 gaddr 10.48.67.75/0 laddr 10.48.67.75/0
[an error occurred while processing this directive]

收集调试

SSH或telnet的默认超时为五分钟,会话在此非活动时间后断开。控制台连接的默认超时为0,这意味着用户在手动注销之前会登录。

遗憾的是,日志记录功能受特定管理方法上设置的超时限制,因此当SSH会话结束时,调试也会停止。

为了在较长时间内继续收集调试,您必须使用控制台连接,然后使用logging debug-trace命令将其重定向到系统日志服务器。它们将重定向为严重性级别为7的系统日志消息711001。为停止向日志发送此消息,可在命令前使用插入“no”。

logging debug-trace
no logging debug-trace
[an error occurred while processing this directive]

在9.5.2版中,ASA允许您在超时后继续以系统日志消息形式发送调试,或在SSH/telnet/控制台连接上注销。如果输入debug-trace persistent命令,则可以从不同会话中选择性地清除一个会话中启用的调试,并且这些调试在后台保持活动状态。要禁用此功能,请在命令前插入“no”。

logging debug-trace persistent
no logging debug-trace persistent
[an error occurred while processing this directive]

默认情况下,所有调试消息的严重性级别均为7级。为了从不需要的消息中过滤这些消息,您可以将此消息的严重性级别提高到3级,以便仅收集调试旁的错误消息。插入“no”以禁用此重定向。

logging message 711001 level 3
no logging message 711001 level 3
[an error occurred while processing this directive]

配置示例

logging enable
logging host 10.0.0.1
logging trap errors
logging debug-trace persistent
logging message 711001 level errors
debug icmp trace
[an error occurred while processing this directive]

通过以下命令,您可以将错误消息和Internet控制消息协议(ICMP)调试也标记为错误发送到系统日志服务器:

Jan 01 2016 13:30:22: %ASA-3-711001: ICMP echo request from 10.229.24.48 to 10.48.67.75 ID=1
 seq=29 len=32

Jan 01 2016 13:30:22: %ASA-3-711001: ICMP echo reply from 10.48.67.75 to 10.229.24.48 ID=1
 seq=29 len=32
[an error occurred while processing this directive]

相关信息

TAC Authored

由思科工程师提供

  • Rados ?AW Olszowy
    思科TAC工程师

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品