ASA 8.2：使用ASDM配置系统日志

下载选项

PDF (480.9 KB)
在各种设备上使用 Adobe Reader 查看

已更新: 2011 年 6 月 23 日

文档 ID:113053

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档提供有关如何使用自适应安全设备管理器(ASDM)GUI在思科自适应安全设备(ASA)8.x上配置系统日志的信息。系统日志消息是由思科ASA生成的消息，用于通知管理员配置的任何更改、网络设置更改或设备性能更改。通过分析系统日志消息，管理员可以通过执行根本原因分析轻松排除错误。

系统日志消息主要根据其严重性级别进行区分。

严重性0 — 紧急消息 — 资源不可用
严重性1 — 警报消息 — 需要立即采取行动
严重性2 — 严重性消息 — 严重性条件
严重性3 — 错误消息 — 错误条件
严重性4 — 警告消息 — 警告条件
严重性5 — 通知消息 — 正常但重要的情况
严重性6 — 信息性消息 — 仅信息性消息
严重性7 — 调试消息 — 仅调试消息

注意：最高严重性级别为紧急，最低严重性级别为调试。

Cisco ASA生成的系统日志消息示例如下所示：

%ASA-6-106012：拒绝从IP_address到IP_address的IP，IP选项十六进制。
%ASA-3-211001：内存分配错误
%ASA-5-335003：应用的NAC默认ACL，ACL:ACL-name — 主机地址

在“%ASA-X-YYYYYY：”中指定的数值X表示消息的严重性。例如，“%ASA-6-106012”是信息性消息，“%ASA-5-335003”是错误消息。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

思科ASA版本8.2
思科ASDM版本6.2

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

使用ASDM进行基本系统日志配置

启用日志

完成这些步骤：

选择Configuration > Device Management > Logging > Logging Setup，并选中Enable logging选项。
您可以通过指定缓冲区大小，将系统日志消息记录到内部缓冲区。您还可以通过单击Configure Flash Usage并定义闪存设置，选择将缓冲区内容保存到闪存。
在覆盖缓冲的日志消息之前，可以将其发送到FTP服务器。单击Configure FTP Settings并指定FTP服务器详细信息，如下所示：

禁用日志记录

您可以根据需要禁用特定系统日志ID。

注：通过选择Include timestamp in syslogs选项的复选标记，您可以将生成时间作为字段的日期和时间添加到syslogs中。

选择要禁用的系统日志，然后单击Edit。
在Edit Syslog ID Settings窗口中，选中Disable messages选项，然后单击OK。
通过在Syslog ID Setup下拉菜单中选择Disabled syslog IDs，可以在单独的选项卡中查看禁用的系统日志。

登录到电子邮件

使用ASDM完成以下步骤以将系统日志发送到电子邮件：

选择Configuration > Device Management > Logging > E-Mail Setup。Source E-Mail Address字段有助于将电子邮件ID指定为系统日志的源。指定源电子邮件地址。现在，单击Add添加电子邮件收件人。
指定Destination E-mail Address并选择Severity level。根据严重性级别，您可以定义不同的电子邮件收件人。单击OK返回到E-Mail Setup窗格。

这会导致以下配置：
选择Configuration > Device Setup > Logging > SMTP并指定SMTP服务器。

记录到系统日志服务器

可以将所有系统日志消息发送到专用系统日志服务器。使用ASDM执行以下步骤：

选择Configuration > Device Management > Logging > Syslog Servers，然后单击Add以添加syslog服务器。

系统将显示Add Syslog Server窗口。
指定服务器与IP地址关联的接口。根据网络设置指定Protocol和Port详细信息。然后，单击OK。

注意：确保您能够从Cisco ASA访问系统日志服务器。
配置的系统日志服务器如下所示。选择此服务器，然后单击编辑时，可以进行修改。

注意：选中标记Allow user traffic to pass when TCP syslog server is down选项。否则，新用户会话将通过ASA被拒绝。仅当ASA和syslog服务器之间的传输协议为TCP时适用。默认情况下，当系统日志服务器因任何原因关闭时，Cisco ASA会拒绝新的网络访问会话。

要定义要发送到系统日志服务器的系统日志消息的类型，请参阅日志记录过滤器部分。

使用ASDM进行高级系统日志配置

使用事件列表

通过事件列表，我们可以创建自定义列表，其中包含要发送到目标的系统日志消息组。事件列表可以通过三种不同的方式创建：

消息ID或消息ID范围
消息严重性
邮件类别

消息ID或消息ID范围

请执行以下步骤：

选择Configuration > Device Management > Logging > Event Lists，然后单击Add以创建新的事件列表。
在Name字段中指定名称。单击Message ID Filters窗格中的Add以创建新的事件列表。
指定系统日志消息ID的范围。这里以TCP系统日志消息为例。单击 OK 完成操作。
再次单击OK以返回到Event Lists窗口。

消息严重性

还可以根据消息严重性定义事件列表。单击Add以创建单独的事件列表。
指定名称，然后单击Add。
选择严重性级别为错误。
Click OK.

邮件类别

事件列表也根据消息类进行配置。消息类是与安全设备功能相关的一组系统日志消息，通过该功能，您可以指定整个消息类，而不是为每个消息单独指定一个类。例如，使用auth类选择与用户身份验证相关的所有系统日志消息。一些可用的消息类如下所示：

All — 所有事件类
auth — 用户身份验证
bridge — 透明防火墙
ca - PKI证书颁发机构
config — 命令接口
ha — 故障转移
ips — 入侵保护服务
ip - IP堆栈
np — 网络处理器
ospf - OSPF路由
rip - RIP路由
session — 用户会话

执行以下步骤，根据vpnclient-errors消息类创建事件类。消息类vpnc可用于对与vpnclient相关的所有系统日志消息进行分类。此消息类的严重性级别被选为“错误”。

点击Add以创建新的事件列表。
指定与您创建的消息类相关的名称，然后单击Add。
从下拉列表中选择vpnc。
选择严重性级别为错误。此严重性级别仅适用于为此消息类记录的消息。单击OK返回到Add Event List窗口。
此处显示事件类别/严重性。单击OK完成配置“vpnclient-errors”事件列表。

在下一个屏幕截图中，还会显示新事件列表“user-auth-syslog”，其中消息类为“auth”，此特定消息类系统日志的严重性级别为“Warnings”。通过配置此配置，事件列表指定与“auth”消息类相关的所有系统日志消息，严重性级别高达“警告”级别。

注：此处，“up”一词非常重要。在表示严重性级别时，请记住，所有系统日志消息都会记录到该级别之前。

注：事件列表可以包含多个事件类。通过单击Edit并定义新的事件类“ssl/error”，可以修改“vpnclient-errors”事件列表。

使用日志记录过滤器

日志记录过滤器用于将系统日志消息发送到指定目标。这些系统日志消息可以基于“严重性”或“偶数列表”。

这些过滤器适用于以下目标类型：

内部缓冲区
SNMP 陷阱
电子邮件
控制台
Telnet 会话
ASDM
系统日志服务器

请执行以下步骤：

选择Configuration > Device Management > Logging > Logging Filters，然后选择日志记录目标。然后，单击Edit修改设置。
您可以根据严重性发送系统日志消息。此处，已选择Emergencies作为示例进行显示。
还可以选择事件列表来指定将哪些类型的消息发送到特定目标。Click OK.
检验修改。

以下是如何将一组消息（根据其严重性级别）发送到电子邮件服务器的步骤。

在Logging Destination字段中选择E-mail。然后，单击Edit。
选择Filter on severity选项并选择所需的严重性级别。

此处，Alerts已选定为严重性级别。

您可以看到所有警报系统日志消息都将发送到已配置的电子邮件。

速度限制

这指定在指定时间段内Cisco ASA发送到目标的系统日志消息的数量。它通常为严重性级别定义。

选择Configuration > Device Management > Logging > Rate Limit，然后选择所需的严重性级别。然后，单击Edit。
指定随时间间隔一起发送的消息数量。Click OK.

注：以下数字为例。根据网络环境的类型不同，这些选项也会有所不同。

修改的值如下所示：

记录访问规则的命中数

您可以使用ASDM记录访问规则命中数。默认日志记录行为是为所有被拒绝的数据包发送系统日志消息。对于允许的数据包，不会有任何系统日志消息，且不会记录这些消息。但是，您可以为访问规则定义自定义日志记录严重性级别，以跟踪达到此访问规则的数据包计数。

请执行以下步骤：

选择所需的访问规则，然后单击Edit。

系统将显示Edit the Access Rule窗口。

注意：在此映像中，Logging Level字段中的Default选项表示Cisco ASA的默认日志记录行为。有关此问题的详细信息，请参阅日志记录访问列表活动部分。
选中标记Enable logging选项并指定所需的严重性级别。然后，单击OK。

注意：通过点击More options下拉选项卡，您可以看到Logging Interval选项。仅当勾选上述Enable Logging选项时，才会突出显示此选项。此计时器的默认值为300秒。此设置可用于指定当该访问规则没有匹配项时要删除的流统计信息的超时值。如果有任何命中，则ASA会等待Logging Interval时间并将其发送到系统日志。
此处显示修改内容。或者，您可以双击特定访问规则的Logging字段，并在其中设置严重性级别。

注意：通过双击在同一Access Rules窗格中指定Logging Level的备用方法仅适用于手动创建的访问规则条目，不适用于隐式规则。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意：要获取此部分中所用命令的更多信息，可使用命令查找工具（仅限已注册客户）。

配置

本文档使用以下配置：

CiscoASA
: Saved : ASA Version 8.2(1) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0/0 shutdown no nameif no security-level no ip address ! interface Ethernet0/1 nameif outside security-level 0 ip address 209.165.201.2 255.255.255.0 ! interface Ethernet0/2 nameif inside security-level 100 ip address 10.78.177.11 255.255.255.192 ! ! !--- Output Suppressed ! access-list inside_access_in extended permit ip host 10.10.10.10 host 20.20.20.200 log errors access-list inside_access_in extended permit ip host 10.10.10.20 any access-list inside_access_in extended deny ip 10.20.10.0 255.255.255.0 host 20.20.20.200 access-list inside_access_in extended permit ip 10.78.177.0 255.255.255.192 any log emergencies pager lines 24 logging enable logging list user-auth-syslog level warnings class auth logging list TCP-conn-syslog message 302013-302018 logging list syslog-sev-error level errors logging list vpnclient-errors level errors class vpnc logging list vpnclient-errors level errors class ssl logging buffered user-auth-syslog logging mail alerts logging from-address test123@example.com logging recipient-address monitorsyslog@example.com level errors logging queue 1024 logging host inside 172.16.11.100 logging ftp-bufferwrap logging ftp-server 172.16.18.10 syslog testuser **** logging permit-hostdown no logging message 302015 no logging message 302016 logging rate-limit 600 86400 level 7 mtu outside 1500 mtu inside 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-623.bin asdm history enable arp timeout 14400 ! !--- Output Suppressed ! timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout TCP-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy ! !--- Output Suppressed ! ! telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics TCP-intercept ! !--- Output Suppressed ! username test password /FzQ9W6s1KjC0YQ7 encrypted privilege 15 ! ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global smtp-server 172.18.10.20 prompt hostname context Cryptochecksum:ad941fe5a2bbea3d477c03521e931cf4 : end

CiscoASA

: Saved
:
ASA Version 8.2(1) 
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 209.165.201.2 255.255.255.0 
!
interface Ethernet0/2
 nameif inside
 security-level 100
 ip address 10.78.177.11 255.255.255.192 
!
!
!--- Output Suppressed

!
access-list inside_access_in extended permit ip host 10.10.10.10 host 20.20.20.200 log errors 
access-list inside_access_in extended permit ip host 10.10.10.20 any 
access-list inside_access_in extended deny ip 10.20.10.0 255.255.255.0 host 20.20.20.200 
access-list inside_access_in extended permit ip 10.78.177.0 255.255.255.192 any log emergencies 
pager lines 24
logging enable
logging list user-auth-syslog level warnings class auth
logging list TCP-conn-syslog message 302013-302018
logging list syslog-sev-error level errors
logging list vpnclient-errors level errors class vpnc
logging list vpnclient-errors level errors class ssl
logging buffered user-auth-syslog
logging mail alerts
logging from-address test123@example.com
logging recipient-address monitorsyslog@example.com level errors
logging queue 1024
logging host inside 172.16.11.100
logging ftp-bufferwrap
logging ftp-server 172.16.18.10 syslog testuser ****
logging permit-hostdown
no logging message 302015
no logging message 302016
logging rate-limit 600 86400 level 7
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-623.bin
asdm history enable
arp timeout 14400
!
!--- Output Suppressed

!
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout TCP-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
!
!--- Output Suppressed

!
!
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics TCP-intercept
!
!--- Output Suppressed

!
username test password /FzQ9W6s1KjC0YQ7 encrypted privilege 15
!
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny  
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip  
  inspect xdmcp 
!
service-policy global_policy global
smtp-server 172.18.10.20
prompt hostname context 
Cryptochecksum:ad941fe5a2bbea3d477c03521e931cf4
: end

验证

使用本部分可确认配置能否正常运行。

命令输出解释程序（仅限注册用户）(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

您可以从ASDM查看系统日志。选择Monitoring > Logging > Real Time Log Viewer。输出示例如下所示：

故障排除

问题：连接丢失 — 系统日志连接已终止 —

当尝试在任何情景的Device Dashboard上启用ASDM日志记录时，会收到此错误。

"连接丢失 — Syslog连接已终止 — "

当ASDM用于直接连接到管理情景且禁用了ADSM日志记录时，请切换到子情景并启用ASDM日志记录。收到错误，但syslog消息到syslog服务器时已接近正常状态。

ciscoasa(config)#logging monitor 6
ciscoasa(config)#terminal monitor
ciscoasa(config)#logging on
ciscoasa(config)#logging trap 6

ASA 8.2：使用ASDM配置系统日志

下载选项

非歧视性语言

关于此翻译

目录

简介

先决条件

要求

使用的组件

规则

使用ASDM进行基本系统日志配置

启用日志

禁用日志记录

登录到电子邮件

记录到系统日志服务器

使用ASDM进行高级系统日志配置

使用事件列表

使用日志记录过滤器

速度限制

记录访问规则的命中数

配置

配置

验证

故障排除

问题：连接丢失 — 系统日志连接已终止 —

解决方案

无法查看Cisco ASDM上的实时日志

解决方案

相关信息

修订历史记录

此文档是否有帮助?

联系我们

本文档适用于以下产品