Как лог Cisco выводить в syslog

Существует шесть способов сбора логов с cisco маршрутизаторов:

  1. Console logging — вывод сообщений на консоль маршрутизатора, т.е. для их чтения нужно быть подключенным к консоли.
  2. Buffered logging — в этом случае все сообщения будут размещаться в RAM памяти маршрутизатора. Для этого необходимо настроить буфер для логов в маршрутизаторе, так же следует помнить что буфер ограничен и при большом количестве сообщений старые записи будут затёрты более новыми и будут потеряны.
  3. Terminal logging — используя команду terminal monitor можно заставить маршрутизатор выводить лог сообщения на VTY терминалы.
  4. Syslog — маршрутизатор cisco будит посылать лог сообщения на один или несколько внешних syslog сервера.
  5. SNMP traps - маршрутизатор может посылать SNMP сообщения (traps) на удалённый SNMP сервер для сбора событий происходящих на маршрутизаторе.
  6. AAA accounting — если Вы используете AAA, то можете заставить маршрутизатор отправлять информацию о сетевых подключениях и командах выполненных на маршрутизаторе на NAS (Network Access Server) сервер.
as53xx231#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
as53xx231(config)#logging trap ?
  <0-7>          Logging severity level
  alerts         Immediate action needed           (severity=1)
  critical       Critical conditions               (severity=2)
  debugging      Debugging messages                (severity=7)
  emergencies    System is unusable                (severity=0)
  errors         Error conditions                  (severity=3)
  informational  Informational messages            (severity=6)
  notifications  Normal but significant conditions (severity=5)
  warnings       Warning conditions                (severity=4)
as53xx231(config)#logging trap debugging
as53xx231(config)#logging facility local2
as53xx231(config)#logging 10.26.95.254
as53xx231(config)#exit
  • logging trap debugging - (Использование syslog server logging level) задаем уровень подробности логов.
  • local2 - (Facility parameter for Использование syslog messages). Предварительно нужно проверить на FreeBSD свободен ли local2, если занят, то можно использовать любой с local1 по local7.
  • 10.26.95.254 - сервер, на котором настроен Использование syslog для принятия сообщений от cisco.
  1. Создаем файл /var/log/cisco/cisco231.log.
  2. Добавляем строку в /etc/syslog.conf:
    local2.*                                        /var/log/cisco/cisco231.log
  3. В файл /etc/rc.conf изменяем способ запуска syslogd, для того чтобы он прослушивал удаленные хосты:
    syslogd_enable="YES"
    #разрешим использовать syslog только для хостов из доверенных сетей
    syslogd_flags="-a 10.26.95.224/27:* -a 10.187.155.64/29:*"
  4. Перезапускаем syslogd
    > /etc/rc.d/syslogd restart
  5. Добавим ротацию нашего файла cisco231.log. Добавим строку в файл /etc/newsyslog.conf:
    > ee /etc/newsyslog.conf
    ...
    /var/log/cisco/cisco231.log             600  7     100  *     JC
  1. iptables
    iptables -A INPUT -p udp -m udp -s xxx.xxx.xxx.234 --dport 514 -i eth0 -j ACCEPT
  2. rsyslog: ключ -х чтобы в лог записывался IP Cisco, а не доменное имя.
    # nano /etc/default/rsyslog
    #RSYSLOGD_OPTIONS="-c5"
    RSYSLOGD_OPTIONS="-c5 -x"
  3. Добавам/раскомментируем строки в rsyslog.conf.
    # nano /etc/rsyslog.conf
    $ModLoad imudp
    #$UDPServerAddress xxx.xxx.xxx.254
    $UDPServerRun 514
    
    local2.*                        -/var/log/cisco234.log
    
    # touch /var/log/cisco234.log
    # chown root:adm /var/log/cisco234.log
  4. Перезапустим rsyslog. Проверим порт UDP 514
    # /etc/init.d/rsyslog restart
    # lsof -i:514
    COMMAND    PID USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
    rsyslogd 10020 root    3u  IPv4 4999345      0t0  UDP *:syslog 
    rsyslogd 10020 root    4u  IPv6 4999346      0t0  UDP *:syslog
  5. Настроим ротацию логов, при помощи Описание и примеры настройки ротации логов logrotate
    # nano /etc/logrotate.d/cisco_remote_log
    /var/log/cisco*.log {
        size=1M
        missingok
        rotate 5
        compress
        delaycompress
        create 640 root adm
    }

📌 Для тестирования скриптов, установщиков VPN, Python ботов рекомендуем использовать надежные VPS на короткий срок. Если вам нужна помощь с более сложными задачами, вы можете найти фрилансера, который поможет с настройкой. Узнайте больше о быстрой аренде VPS для экспериментов и о фриланс-бирже для настройки VPS, WordPress. 📌

💥 Подпишись в Телеграм 💥 и задай вопрос по сайтам и хостингам бесплатно!