Как лог Cisco выводить в syslog

Существует шесть способов сбора логов с cisco маршрутизаторов:

1. Console logging — вывод сообщений на консоль маршрутизатора, т.е. для их чтения нужно быть подключенным к консоли.
2. Buffered logging — в этом случае все сообщения будут размещаться в RAM памяти маршрутизатора. Для этого необходимо настроить буфер для логов в маршрутизаторе, так же следует помнить что буфер ограничен и при большом количестве сообщений старые записи будут затёрты более новыми и будут потеряны.
3. Terminal logging — используя команду terminal monitor можно заставить маршрутизатор выводить лог сообщения на VTY терминалы.
4. Syslog — маршрутизатор cisco будит посылать лог сообщения на один или несколько внешних syslog сервера.
5. SNMP traps - маршрутизатор может посылать SNMP сообщения (traps) на удалённый SNMP сервер для сбора событий происходящих на маршрутизаторе.
6. AAA accounting — если Вы используете AAA, то можете заставить маршрутизатор отправлять информацию о сетевых подключениях и командах выполненных на маршрутизаторе на NAS (Network Access Server) сервер.

as53xx231#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
as53xx231(config)#logging trap ?
  <0-7>          Logging severity level
  alerts         Immediate action needed           (severity=1)
  critical       Critical conditions               (severity=2)
  debugging      Debugging messages                (severity=7)
  emergencies    System is unusable                (severity=0)
  errors         Error conditions                  (severity=3)
  informational  Informational messages            (severity=6)
  notifications  Normal but significant conditions (severity=5)
  warnings       Warning conditions                (severity=4)
as53xx231(config)#logging trap debugging
as53xx231(config)#logging facility local2
as53xx231(config)#logging 10.26.95.254
as53xx231(config)#exit

• logging trap debugging - (Использование syslog server logging level) задаем уровень подробности логов.
• local2 - (Facility parameter for Использование syslog messages). Предварительно нужно проверить на FreeBSD свободен ли local2, если занят, то можно использовать любой с local1 по local7.
• 10.26.95.254 - сервер, на котором настроен Использование syslog для принятия сообщений от cisco.

1. Создаем файл /var/log/cisco/cisco231.log.
2. Добавляем строку в /etc/syslog.conf:

   local2.*                                        /var/log/cisco/cisco231.log

3. В файл /etc/rc.conf изменяем способ запуска syslogd, для того чтобы он прослушивал удаленные хосты:

   syslogd_enable="YES"
   #разрешим использовать syslog только для хостов из доверенных сетей
   syslogd_flags="-a 10.26.95.224/27:* -a 10.187.155.64/29:*"

4. Перезапускаем syslogd

   > /etc/rc.d/syslogd restart

5. Добавим ротацию нашего файла cisco231.log. Добавим строку в файл /etc/newsyslog.conf:

   > ee /etc/newsyslog.conf
   ...
   /var/log/cisco/cisco231.log             600  7     100  *     JC

1. iptables

   iptables -A INPUT -p udp -m udp -s xxx.xxx.xxx.234 --dport 514 -i eth0 -j ACCEPT

2. rsyslog: ключ -х чтобы в лог записывался IP Cisco, а не доменное имя.

   # nano /etc/default/rsyslog
   #RSYSLOGD_OPTIONS="-c5"
   RSYSLOGD_OPTIONS="-c5 -x"

3. Добавам/раскомментируем строки в rsyslog.conf.

   # nano /etc/rsyslog.conf
   $ModLoad imudp
   #$UDPServerAddress xxx.xxx.xxx.254
   $UDPServerRun 514
   
   local2.*                        -/var/log/cisco234.log
   
   # touch /var/log/cisco234.log
   # chown root:adm /var/log/cisco234.log

4. Перезапустим rsyslog. Проверим порт UDP 514

   # /etc/init.d/rsyslog restart
   # lsof -i:514
   COMMAND    PID USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
   rsyslogd 10020 root    3u  IPv4 4999345      0t0  UDP *:syslog 
   rsyslogd 10020 root    4u  IPv6 4999346      0t0  UDP *:syslog

5. Настроим ротацию логов, при помощи Описание и примеры настройки ротации логов logrotate

   # nano /etc/logrotate.d/cisco_remote_log
   /var/log/cisco*.log {
       size=1M
       missingok
       rotate 5
       compress
       delaycompress
       create 640 root adm
   }