关于日志记录
系统日志记录是将来自设备的消息收集到运行系统日志后台守护程序的服务器的方法。将信息记录到中央系统日志服务器有助于汇聚日志和提醒。思科设备可以将其日志消息发送到 UNIX 样式的系统日志服务。系统日志服务接受消息并将其存储在文件中,或者根据简单配置文件打印消息。以这种形式记录日志可为日志提供受保护的长期存储。日志对常规故障排除及事件处理均有帮助。
ASA 系统日志提供有关对 ASA 进行监控和故障排除的信息。通过日志记录功能,可以执行以下操作:
-
指定应记录哪些系统日志消息。
-
禁用或更改系统日志消息的严重性级别。
-
指定系统日志消息应发送到的一个或多个位置,包括:
-
内部缓冲区
-
一个或多个系统日志服务器
-
ASDM
-
SNMP 管理站
-
指定的电子邮件地址
-
控制台
-
Telnet 和 SSH 会话。
-
-
以组形式(例如,按严重性级别或消息类)配置和管理系统日志消息。
-
指定是否对系统日志生成应用速率限制。
-
指出在内部日志缓冲区已满时如何处理其内容:覆盖缓冲区、将缓冲区内容发送到 FTP 服务器,或者将内容保存到内部闪存。
-
按位置、严重性级别、类或自定义消息列表过滤系统日志消息。
多情景模式下的日志记录
每个安全情景包含自己的日志记录配置并生成其自己的消息。如果登录到系统或管理情景,然后更改为其他情景,则只能在会话中查看与当前情景相关的消息。
请在管理情景中查看在系统执行空间中生成的系统日志消息(包括故障转移消息)以及在管理情景中生成的消息。无法在系统执行空间中配置日志记录或查看任何日志记录信息。
可以将 ASA 配置为在每个消息中包含情景名称,从而帮助区分发送到单个系统日志服务器的情景消息。此功能有助于确定哪些消息来自管理情景,哪些消息来自系统;源于系统执行空间的消息使用设备 ID system,源于管理情景的消息使用管理情景的名称作为设备 ID。
系统日志消息分析
以下是可从各种系统日志消息审阅中获取的信息类型的一些示例:
-
ASA 安全策略允许的连接。这些消息帮助确定安全策略中仍存在的漏洞。
-
ASA 安全策略拒绝的连接。这些消息显示将哪些类型的活动定向到受保护内部网络。
-
使用 ACE 拒绝率日志记录功能显示在 ASA 上发生的攻击。
-
IDS 活动消息可以显示已发生的攻击。
-
用户身份验证和命令使用情况提供安全策略更改的审计线索。
-
带宽使用情况消息显示每个已建立和中断的连接,以及各连接使用的持续时间和流量。
-
协议使用情况消息显示每个连接使用的协议和端口号。
-
地址转换审计线索消息记录建立或中断的 NAT 或 PAT 连接,如果接收到从网络内部到外部环境的恶意活动报告,这些消息会有所帮助。
系统日志消息格式
系统日志消息的结构如下:
[<PRI>] [Timestamp] [Device-ID] : %ASA-Level-Message_number: Message_text
字段说明如下:
<PRI> | 优先级值。在启用日志记录 EMBLEM 后,此值将显示在系统日志消息中。日志记录 EMBLEM 与 UDP 兼容,但与 TCP 不兼容。 |
时间戳 | 系统将显示事件的日期和时间。在启用时间戳日志记录后,如果时间戳被配置为 RFC 5424 格式,则系统日志消息中的所有时间戳都会以 UTC 显示时间,如 RFC 5424 标准所示。 |
Device-ID | 通过用户界面启用登录 device-id 选项时配置的设备标识符字符串。如果启用,则在 EMBLEM 格式化系统日志消息中不会显示设备 ID。 |
ASA |
由 ASA 所生成消息的系统日志消息设备代码。值始终为 |
级别 |
0 到 7。级别反映系统日志消息所描述情况的严重性 - 数字越小,情况越严重。 |
Message_number |
用于标识系统日志消息的唯一六位数编号。所有消息都记录在 Cisco Secure Firewall ASA 系列系统日志消息指南中。 |
Message_text |
用于描述情况的文本字符串。系统日志消息的这一部分有时包含 IP 地址、端口号或用户名。 |
启用了日志记录 EMBLEM、日志记录时间戳 rfc5424 和设备 ID 的系统日志消息示例。
<166>2018-06-27T12:17:46Z: %ASA-6-110002: Failed to locate egress interface for protocol from src interface :src IP/src port to dest IP/dest port
启用了日志记录时间戳 rfc5424 和设备 ID 的系统日志消息示例。
2018-06-27T12:17:46Z asa : %ASA-6-110002: Failed to locate egress interface for protocol from src interface :src IP/src port to dest IP/dest port
系统日志消息的结构如下:
[<PRI>] [Timestamp] [Device-ID] : %ASA-Level-Message_number: Message_text
字段说明如下:
<PRI> | 优先级值。在启用日志记录 EMBLEM 后,此值将显示在系统日志消息中。日志记录 EMBLEM 与 UDP 兼容,但与 TCP 不兼容。 |
时间戳 | 系统将显示事件的日期和时间。在启用时间戳日志记录后,如果时间戳被配置为 RFC 5424 格式,则系统日志消息中的所有时间戳都会以 UTC 显示时间,如 RFC 5424 标准所示。 |
Device-ID | 通过用户界面启用登录 device-id 选项时配置的设备标识符字符串。如果启用,则在 EMBLEM 格式化系统日志消息中不会显示设备 ID。 |
ASA |
由 ASA 所生成消息的系统日志消息设备代码。值始终为 |
级别 |
0 到 7。级别反映系统日志消息所描述情况的严重性 - 数字越小,情况越严重。 |
Message_number |
用于标识系统日志消息的唯一六位数编号。 |
Message_text |
用于描述情况的文本字符串。系统日志消息的这一部分有时包含 IP 地址、端口号或用户名。 |
设备生成的所有系统日志消息都记录在 Cisco Secure Firewall ASA 系列系统日志消息指南中。
启用了日志记录 EMBLEM、日志记录时间戳 rfc5424 和设备 ID 的系统日志消息示例。
<166>2018-06-27T12:17:46Z: %ASA-6-110002: Failed to locate egress interface for protocol from src interface :src IP/src port to dest IP/dest port
启用了日志记录时间戳 rfc5424 和设备 ID 的系统日志消息示例。
2018-06-27T12:17:46Z asa : %ASA-6-110002: Failed to locate egress interface for protocol from src interface :src IP/src port to dest IP/dest port
严重性级别
下表列出系统日志消息严重性级别。可以为各严重性级别分配自定义颜色,更轻松地在 ASDM 日志查看器中对其进行区分。要配置系统日志消息颜色设置,请依次选择工具 > 首选项 > 系统日志选项卡,或者在日志查看器中点击工具栏上的颜色设置。
级别号 |
严重性级别 |
说明 |
---|---|---|
0 |
应急 |
系统不可用。 |
1 |
警报 |
需要立即采取措施。 |
2 |
严重 |
严重情况。 |
3 |
错误 |
错误情况。 |
4 |
警告 |
警告情况。 |
5 |
通知 |
正常但重大的情况。 |
6 |
信息性 |
消息仅供参考。 |
7 |
调试 |
消息仅供调试。 调试问题时,仅临时记录此级别的日志。此日志级别可能会生成太多消息,从而影响系统性能。 |
注 |
ASA 和 不会生成严重性级别为零 (emergencies) 的系统日志消息。 |
系统日志消息过滤
您可以过滤生成的系统日志消息,以便仅将某些系统日志消息发送到特定输出目标。例如,您可以将 ASA 配置为将所有系统日志消息发送至一个输出目标,而将这些系统日志消息中的一部分发送至其他输出目标。
具体而言,您可以根据以下条件将系统日志消息定向到输出目标:
-
系统日志消息 ID 号
-
系统日志消息严重性级别
-
系统日志消息类(相当于一个功能区)
通过创建一个在设置输出目标时可以指定的消息列表来自定义这些条件。或者,可以将 ASA 配置为将一个特定的消息类发送至每种类型的输出目标,而不管消息列表是什么。
系统日志消息类
可以通过两种方法使用系统日志消息类:
-
指定整个类别的系统日志消息的输出位置。使用 logging class 命令。
-
创建指定消息类的消息列表。使用 logging list 命令。
系统日志消息类提供一个按类型将系统日志消息分类的方法,相当于设备的特性或功能。例如,RIP 类表示 RIP 路由。
特定类中的所有系统日志消息共享其系统日志消息 ID 号中相同的前三位数字。例如,所有以数字 611 开头的系统日志消息 ID 都与 vpnc(VPN 客户端)类相关联。与 VPN 客户端功能相关联的系统日志消息范围从 611101 至 611323。
此外,大多数 ISAKMP 系统日志消息都具有公用预置对象集来帮助识别隧道。这些对象在适用时前置于系统日志消息的描述性文本。如果在生成系统日志消息时对象未知,则不显示特定的 heading = value 组合。
对象的前缀如下:
Group = groupname, Username = user, IP = IP_address
其中组是隧道组,用户名是来自本地数据库或 AAA 服务器的用户名,IP 地址是远程访问客户端或第 2 层对等体的公用 IP 地址。
下表列出消息类以及每个类中的消息 ID 范围。
类别 |
定义 |
系统日志消息 ID 号 |
---|---|---|
auth |
用户身份验证 |
109、113 |
- |
访问列表 |
106 |
- |
应用防火墙 |
415 |
— |
僵尸网络流量筛选 |
338 |
bridge |
透明防火墙 |
110、220 |
ca |
PKI 证书颁发机构 |
717 |
citrix |
Citrix Client |
723 |
- |
集群 |
747 |
- |
卡管理 |
323 |
config |
命令界面 |
111、112、208、308 |
csd |
安全桌面 |
724 |
cts |
Cisco TrustSec |
776 |
dap |
动态访问策略 |
734 |
eap, eapoudp |
用于网络准入控制的 EAP 或 EAPoUDP |
333、334 |
eigrp |
EIGRP 路由 |
336 |
电子邮件 |
邮件代理 |
719 |
- |
环境监控 |
735 |
ha |
故障转移 |
101、102、103、104、105、210、311、709 |
- |
基于身份认证的防火墙 |
746 |
ids |
入侵检测系统 |
400、733 |
- |
IKEv2 工具包 |
750、751、752 |
ip |
IP 堆栈 |
209、215、313、317、408 |
ipaa |
IP 地址分配 |
735 |
ips |
入侵保护系统 |
400、401、420 |
- |
IPv6 |
325 |
- |
许可 |
444 |
mdm-proxy |
MDM 代理 |
802 |
nac |
网络准入控制 |
731、732 |
nacpolicy |
NAC 策略 |
731 |
nacsettings |
配置 NAC 设置,以应用 NAC 策略 |
732 |
- |
NAT 与 PAT |
305 |
- |
网络无线接入点 |
713 |
np |
网络处理器 |
319 |
- |
NP SSL |
725 |
ospf |
OSPF 路由 |
318、409、503、613 |
- |
密码加密 |
742 |
- |
电话代理 |
337 |
rip |
RIP 路由 |
107、312 |
rm |
资源管理器 |
321 |
- |
Smart Call Home |
120 |
session |
用户会话 |
106、108、201、202、204、302、303、304、305、314、405、406、407、500、502、607、608、609、616、620、703、710 |
snmp |
SNMP |
212 |
- |
ScanSafe |
775 |
ssl |
SSL 堆栈 |
725 |
svc |
SSL VPN 客户端 |
722 |
sys |
System |
199、211、214、216、306、307、315、414、604、605,606、610、612、614、615、701、711、741 |
- |
威胁检测 |
733 |
标记交换 |
服务标记交换 |
779 |
vm |
VLAN 映射 |
730 |
vpdn |
PPTP 和 L2TP 会话 |
213、403、603 |
vpn |
IKE 和 IPsec |
316、320、402、404、501、602、702、713、714、715 |
vpnc |
VPN 客户端 |
611 |
vpnfo |
VPN 故障转移 |
720 |
vpnlb |
VPN 负载均衡 |
718 |
- |
VXLAN |
778 |
webfo |
WebVPN 故障转移 |
721 |
webvpn |
WebVPN 和 Secure Client |
716 |
自定义消息列表
-
严重性级别
-
消息 ID
-
系统日志消息 ID 范围
-
消息类
例如,可以使用消息列表执行以下操作:
-
选择严重性级别为 1 和 2 的系统日志消息,然后将其发送到一个或多个邮件地址。
-
选择与消息类(例如 ha)关联的所有系统日志消息,然后将其保存到内部缓冲区。
消息列表可以包含多个消息选择条件。 但是,必须使用新命令条目来添加各消息选择条件。可以创建包含重叠消息选择条件的消息列表。如果消息列表中的两个条件选择同一消息,则消息仅记录一次。
集群
系统日志消息是在集群环境中用于记帐、监控和故障排除的一种实用工具。集群中的每台 ASA 设备(最多允许八台设备)都是独立生成系统日志消息;然后,某些 logging 命令支持您控制报头字段,其中包括时间戳和设备 ID。系统日志服务器使用设备 ID 标识系统日志生成器。您可以使用 logging device-id 命令来生成具有相同或不同设备 ID 的系统日志消息,以使消息看上去是来自集群中的相同或不同设备。