Инструменты пользователя
logging._kak_log_cisco_vyvodit_v_syslog
Различия
Здесь показаны различия между двумя версиями данной страницы.
| — |
logging._kak_log_cisco_vyvodit_v_syslog [2018/09/05 06:58] (текущий) |
||
|---|---|---|---|
| Строка 1: | Строка 1: | ||
| + | ====== Как лог Cisco выводить в syslog ====== | ||
| + | {{htmlmetatags> | ||
| + | metatag-description=(Настройка маршрутизатора cisco для отправки лог сообщения на один или несколько внешних syslog серверов.) | ||
| + | }} | ||
| + | |||
| + | {{ :cisco-01.jpg?nolink |}} | ||
| + | |||
| + | Существует шесть способов сбора логов с cisco маршрутизаторов: | ||
| + | - Console logging — вывод сообщений на консоль маршрутизатора, т.е. для их чтения нужно быть подключенным к консоли. | ||
| + | - Buffered logging — в этом случае все сообщения будут размещаться в RAM памяти маршрутизатора. Для этого необходимо настроить буфер для логов в маршрутизаторе, так же следует помнить что буфер ограничен и при большом количестве сообщений старые записи будут затёрты более новыми и будут потеряны. | ||
| + | - Terminal logging — используя команду terminal monitor можно заставить маршрутизатор выводить лог сообщения на VTY терминалы. | ||
| + | - Syslog — маршрутизатор cisco будит посылать лог сообщения на один или несколько внешних syslog сервера. | ||
| + | - SNMP traps - маршрутизатор может посылать SNMP сообщения (traps) на удалённый SNMP сервер для сбора событий происходящих на маршрутизаторе. | ||
| + | - AAA accounting — если Вы используете AAA, то можете заставить маршрутизатор отправлять информацию о сетевых подключениях и командах выполненных на маршрутизаторе на NAS (Network Access Server) сервер. | ||
| + | ===== Настройка Cisco для Syslog ===== | ||
| + | <code> | ||
| + | as53xx231#conf t | ||
| + | Enter configuration commands, one per line. End with CNTL/Z. | ||
| + | as53xx231(config)#logging trap ? | ||
| + | <0-7> Logging severity level | ||
| + | alerts Immediate action needed (severity=1) | ||
| + | critical Critical conditions (severity=2) | ||
| + | debugging Debugging messages (severity=7) | ||
| + | emergencies System is unusable (severity=0) | ||
| + | errors Error conditions (severity=3) | ||
| + | informational Informational messages (severity=6) | ||
| + | notifications Normal but significant conditions (severity=5) | ||
| + | warnings Warning conditions (severity=4) | ||
| + | as53xx231(config)#logging trap debugging | ||
| + | as53xx231(config)#logging facility local2 | ||
| + | as53xx231(config)#logging 10.26.95.254 | ||
| + | as53xx231(config)#exit | ||
| + | </code> | ||
| + | * **logging trap debugging** - ([[syslog]] server logging level) задаем уровень подробности логов. | ||
| + | * **local2** - (Facility parameter for [[syslog]] messages). Предварительно нужно проверить на FreeBSD свободен ли local2, если занят, то можно использовать любой с local1 по local7. | ||
| + | * **10.26.95.254** - сервер, на котором настроен [[syslog]] для принятия сообщений от cisco. | ||
| + | |||
| + | ===== Настройка syslog на FreeBSD 7.2 ===== | ||
| + | - Создаем файл /var/log/cisco/cisco231.log. | ||
| + | - Добавляем строку в /etc/syslog.conf:<code> | ||
| + | local2.* /var/log/cisco/cisco231.log</code> | ||
| + | - В файл /etc/rc.conf изменяем способ запуска syslogd, для того чтобы он прослушивал удаленные хосты:<code> | ||
| + | syslogd_enable="YES" | ||
| + | #разрешим использовать syslog только для хостов из доверенных сетей | ||
| + | syslogd_flags="-a 10.26.95.224/27:* -a 10.187.155.64/29:*" | ||
| + | </code> | ||
| + | - Перезапускаем syslogd<code> | ||
| + | > /etc/rc.d/syslogd restart | ||
| + | </code> | ||
| + | - Добавим ротацию нашего файла cisco231.log. Добавим строку в файл /etc/[[newsyslog]].conf:<code> | ||
| + | > ee /etc/newsyslog.conf | ||
| + | ... | ||
| + | /var/log/cisco/cisco231.log 600 7 100 * JC | ||
| + | </code> | ||
| + | ===== Настройка rsyslog на Debian 7 Wheezy ===== | ||
| + | - iptables<file>iptables -A INPUT -p udp -m udp -s xxx.xxx.xxx.234 --dport 514 -i eth0 -j ACCEPT</file> | ||
| + | - rsyslog: ключ -х чтобы в лог записывался IP Cisco, а не доменное имя.<file> | ||
| + | # nano /etc/default/rsyslog | ||
| + | #RSYSLOGD_OPTIONS="-c5" | ||
| + | RSYSLOGD_OPTIONS="-c5 -x" | ||
| + | </file> | ||
| + | - Добавам/раскомментируем строки в rsyslog.conf.<file> | ||
| + | # nano /etc/rsyslog.conf | ||
| + | $ModLoad imudp | ||
| + | #$UDPServerAddress xxx.xxx.xxx.254 | ||
| + | $UDPServerRun 514 | ||
| + | |||
| + | local2.* -/var/log/cisco234.log | ||
| + | |||
| + | # touch /var/log/cisco234.log | ||
| + | # chown root:adm /var/log/cisco234.log | ||
| + | </file> | ||
| + | - Перезапустим rsyslog. Проверим порт UDP 514<file> | ||
| + | # /etc/init.d/rsyslog restart | ||
| + | # lsof -i:514 | ||
| + | COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME | ||
| + | rsyslogd 10020 root 3u IPv4 4999345 0t0 UDP *:syslog | ||
| + | rsyslogd 10020 root 4u IPv6 4999346 0t0 UDP *:syslog | ||
| + | </file> | ||
| + | - Настроим ротацию логов, при помощи [[logrotate]]<file> | ||
| + | # nano /etc/logrotate.d/cisco_remote_log | ||
| + | /var/log/cisco*.log { | ||
| + | size=1M | ||
| + | missingok | ||
| + | rotate 5 | ||
| + | compress | ||
| + | delaycompress | ||
| + | create 640 root adm | ||
| + | } | ||
| + | </file> | ||
logging._kak_log_cisco_vyvodit_v_syslog.txt · Последние изменения: 2018/09/05 06:58 (внешнее изменение)
Инструменты страницы
Я на связи КОНТАКТЫ
Если не указано иное, содержимое этой вики предоставляется на условиях следующей лицензии: GNU Free Documentation License 1.3