Минниахметов Равиль Юрисович

Минниахметов Равиль ЮрисовичСобираем логи с Cisco и сетевого оборудования

Учитывая, что на шлюзах безопасности количество памяти ограничено, а логи собирать и держать надо долгое время, настал момент когда не осталось свободного пространства памяти. Шлюз соответственно вывалился в ошибку. Проанализировав ситуацию, оказалось, что ротация логов не позволяет решить проблему.

Было принято решение создать сервер в сети и собирать на нем всю информацию с любой точки компьютерной сети.

Настройка сервера

Rsyslog является очень-быстрой системой для обработки логов в системе. Он предоставляет высокую производительность, большие возможности безопасности и модульную конструкцию.

Проанализировав сервер (Linux Centos ) выяснилось, что rsyslog установлен и прекрасно функционирует. Добавляем в его конфигурационный файл /etc/rsyslog. conf в секцию RULE следующие строки:

# Cisco’s log part

$template RemoteFromHost, «/var/log/remote/%FROMHOST%.log»

:fromhost, isequal,»192.168.x.1″?RemoteFromHost

:fromhost, isequal,»192.168.x.3″?RemoteFromHost

:fromhost, isequal,»192.168.x.3″

:fromhost, isequal,»192.168.x.201″?RemoteFromHost

:fromhost, isequal,»192.168.x.201″

После этого создаем в каталоге /var/log/ папку remote и перезапускаем rsyslog. Все, система готова к приему логов от других устройств. Не забываем настроить ротацию логов для данной папочки.

На Red Hat El. 5 настройка выглядит немного по другому.

Установлен на сервере оказался syslog. Добавляем в его конфигурационный файл /etc/syslog. conf следующие строки:

# Cisco’s log part

# Save cisco. router11 messages also to router11.log

local6.* /var/log/remote/router11.log

# Save cisco. router11 messages also to router11.log

local5.* /var/log/remote/router14.log

*.* /var/log/remote/gate. log

После этого создаем в каталоге /var/log/ папку remote и перезапускаем syslog. Все, система готова к приему логов от других устройств. Не забываем настроить ротацию логов для данной папочки.

Настрой ка шлюза безопасности

Все очень просто. В cisco-like console вводим следущие строки:

logging trap debugging

logging facility local2

logging 192.168.x.2

где

logging trap debugging — настройка на уровень логирования или критичности принимаемых сообщений

Уровень Название Описание

0 Emergencies Система не работоспособна

1 Alerts Необходимо срочное вмешательство

2 Critical Критические события

3 Errors Сообщения о ошибках

6 Informational Информационные сообшения

7 Debugging Отладочые сообщения

logging facility local2 — это для того, чтобы легче выковырнуть логи именно этого устройства из всего, что валится в syslog. Заметим — у меня он свободен.

Настраивать можно с local1 по local7 .

This entry was posted in Cisco как посмотреть логи and tagged , , . Bookmark the <a href="http://ollitehnika.ru/minniaxmetov-ravil-yurisovich/" title="Permalink to Минниахметов Равиль Юрисович" rel="bookmark">permalink</a>.

Comments are closed.