Собираем логи с Cisco и сетевого оборудования
Учитывая, что на шлюзах безопасности количество памяти ограничено, а логи собирать и держать надо долгое время, настал момент когда не осталось свободного пространства памяти. Шлюз соответственно вывалился в ошибку. Проанализировав ситуацию, оказалось, что ротация логов не позволяет решить проблему.
Было принято решение создать сервер в сети и собирать на нем всю информацию с любой точки компьютерной сети.
Настройка сервера
Rsyslog является очень-быстрой системой для обработки логов в системе. Он предоставляет высокую производительность, большие возможности безопасности и модульную конструкцию.
Проанализировав сервер (Linux Centos ) выяснилось, что rsyslog установлен и прекрасно функционирует. Добавляем в его конфигурационный файл /etc/rsyslog. conf в секцию RULE следующие строки:
# Cisco’s log part
$template RemoteFromHost, «/var/log/remote/%FROMHOST%.log»
:fromhost, isequal,»192.168.x.1″?RemoteFromHost
:fromhost, isequal,»192.168.x.3″?RemoteFromHost
:fromhost, isequal,»192.168.x.3″
:fromhost, isequal,»192.168.x.201″?RemoteFromHost
:fromhost, isequal,»192.168.x.201″
После этого создаем в каталоге /var/log/ папку remote и перезапускаем rsyslog. Все, система готова к приему логов от других устройств. Не забываем настроить ротацию логов для данной папочки.
На Red Hat El. 5 настройка выглядит немного по другому.
Установлен на сервере оказался syslog. Добавляем в его конфигурационный файл /etc/syslog. conf следующие строки:
# Cisco’s log part
# Save cisco. router11 messages also to router11.log
local6.* /var/log/remote/router11.log
# Save cisco. router11 messages also to router11.log
local5.* /var/log/remote/router14.log
*.* /var/log/remote/gate. log
После этого создаем в каталоге /var/log/ папку remote и перезапускаем syslog. Все, система готова к приему логов от других устройств. Не забываем настроить ротацию логов для данной папочки.
Настрой ка шлюза безопасности
Все очень просто. В cisco-like console вводим следущие строки:
logging trap debugging
logging facility local2
logging 192.168.x.2
где
logging trap debugging — настройка на уровень логирования или критичности принимаемых сообщений
Уровень Название Описание
0 Emergencies Система не работоспособна
1 Alerts Необходимо срочное вмешательство
2 Critical Критические события
3 Errors Сообщения о ошибках
6 Informational Информационные сообшения
7 Debugging Отладочые сообщения
logging facility local2 — это для того, чтобы легче выковырнуть логи именно этого устройства из всего, что валится в syslog. Заметим — у меня он свободен.
Настраивать можно с local1 по local7 .