SYSLOG (udp/514)
Задача:
1- Сливать логи по IP сети с Cisco на FreeBSD в отдельный файл.
2 - Записывать каждую команду введённую пользователем на Cisco.
3 - Настроить ротацию (архивирование), т.к. в случае если Cisco ASA будет лить туда логи, то за сутки такой файл может вырасти до нескольких Gb.
Настройка на стороне FreeBSD /etc/rc.conf ;
Код: Выделить всё
gns3#
gns3# uname -a
FreeBSD gns3 9.1-RELEASE FreeBSD 9.1-RELEASE #0 r243826: Tue Dec 4 06:55:39 UTC 2012 root@obrian.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC i386
gns3#
gns3# cat /etc/rc.conf | grep syslog
syslogd_enable="YES"
syslogd_flags="-n -a 0.0.0.0/0:* -v -v"
gns3#
далее редактируем /etc/syslog.conf вашим любимым редактором
(добавляем туда 2 строчки в начало файла), я вам покажу свой и вы там увидите 2 строчки которые относятся к нашему рутеру r7, обратите внимание, что для каждого рутера свой файл, и самое главное –
НЕ ИСПОЛЬЗУЙТЕ ПРОБЕЛЫ ПРИ РЕДАКТИРОВАНИИ, только символ табуляции. Пишите всё в начало файла (сверху).
Код: Выделить всё
gns3# touch /var/log/r7.log
gns3# chmod 777 /var/log/r7.log
gns3# cat /etc/syslog.conf | grep -v '^#' | sed '/^$/d' | more
+1.1.1.1
*.* /var/log/r1.log
+2.2.2.2
*.* /var/log/r2.log
+192.168.1.2
*.* /var/log/asa1.log
+7.7.7.7 ########## это наш рутер
*.* /var/log/r7.log ########## это сам файл куда сливать логи
@*
*.err;kern.warning;auth.notice;mail.crit /dev/console
*.notice;authpriv.none;kern.debug;lpr.info;mail.crit;news.err /var/log/messages
security.* /var/log/security
auth.info;authpriv.info /var/log/auth.log
mail.info /var/log/maillog
lpr.info /var/log/lpd-errs
ftp.info /var/log/xferlog
cron.* /var/log/cron
*.=debug /var/log/debug.log
*.emerg *
!ppp
*.* /var/log/ppp.log
!*
gns3#
gns3#
gns3#
gns3# service syslogd restart
Stopping syslogd.
Starting syslogd.
gns3#
gns3# netstat -a | grep syslog
udp4 0 0 *.syslog *.*
udp6 0 0 *.syslog *.*
gns3#
для теста запускаем tcpdump на фряхе – ждём пакеты от 7.7.7.7 на udp/514 порт в интерфейс em1 :
Код: Выделить всё
gns3# tcpdump -i em1 -n -t -v proto UDP and port 514 and host 7.7.7.7
tcpdump: listening on em1, link-type EN10MB (Ethernet), capture size 65535 bytes
Настройка на Cisco отправки логов на сервер FreeBSD и логирование каждой команды.
Примечание это конфиг для IOS 15.0 и выше, если у вас IOS 12.х , то строчку
«action 2.0 set _exit_status "1"»
не удастся написать (в нашей лабе старый IOS 12.x), выдаст ошибку, но это не страшно,
просто у вас в лог файле будет следом после команды пустая строка - вывод обновляйте IOS;
Код: Выделить всё
R7#sh ver | include IOS
Cisco IOS Software, 3700 Software (C3725-ADVENTERPRISEK9-M), Version 12.4(25b), RELEASE SOFTWARE (fc1)
R7#
!
ena
conf t
service timestamps debug datetime msec localtime show-timezone year
service timestamps log datetime msec localtime show-timezone year
logging on
logging trap debugging
logging buffered 8192 debugging
logging source-interface Loopback0
logging host 192.168.1.1
event manager applet CLIaccounting
event cli pattern ".*" sync no skip no
action 1.0 syslog priority informational msg "$_cli_msg"
action 2.0 set _exit_status "1"
end
wr
!
Короткие тесты на циско после того как всё настроенно вводим простые команды и проверка на фре - по сислогу вы всё сливаете в файл на вряху (это можно было бы и не писать, но если что то вдруг у вас пойдёт не так вы должны знать как траблшутить проблему):
Код: Выделить всё
R7#
R7#sh ip int br
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 unassigned YES NVRAM up up
FastEthernet0/0.2 192.168.9.2 YES NVRAM up up
FastEthernet0/0.3 192.168.10.2 YES NVRAM up up
FastEthernet0/1 unassigned YES NVRAM administratively down down
Loopback0 7.7.7.7 YES NVRAM up up
Loopback1 7.7.7.77 YES manual up up
Loopback2 7.7.7.78 YES manual up up
R7#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R7(config)#int FastEthernet0/1
R7(config-if)#no shutdown
R7(config-if)#
R7(config-if)#
R7(config-if)#shutdown
R7(config-if)#end
R7#
R7#
R7#wr
Building configuration...
[OK]
R7#
Кусок из tcpdump и сам файл с логами /var/log/r7.log
Код: Выделить всё
IP (tos 0x0, ttl 254, id 29, offset 0, flags [none], proto UDP (17), length 96)
7.7.7.7.58029 > 192.168.1.1.514: SYSLOG, length: 68
Facility local7 (23), Severity info (6)
Msg: 111: Jun 13 13:45:56.036: %HA_EM-6-LOG: CLIaccounting: shutdown
IP (tos 0x0, ttl 254, id 30, offset 0, flags [none], proto UDP (17), length 38)
7.7.7.7.58029 > 192.168.1.1.514: SYSLOG, length: 10
Facility local7 (23), Severity info (6)
Msg: 112:
IP (tos 0x0, ttl 254, id 31, offset 0, flags [none], proto UDP (17), length 127)
7.7.7.7.58029 > 192.168.1.1.514: SYSLOG, length: 99
Facility local7 (23), Severity notice (5)
Msg: 113: Jun 13 13:45:57.864: %SYS-5-CONFIG_I: Configured from console by ed on vty0 (192.168.1.1)
IP (tos 0x0, ttl 254, id 32, offset 0, flags [none], proto UDP (17), length 91)
7.7.7.7.58029 > 192.168.1.1.514: SYSLOG, length: 63
Facility local7 (23), Severity info (6)
Msg: 114: Jun 13 13:45:57.904: %HA_EM-6-LOG: CLIaccounting: end
IP (tos 0x0, ttl 254, id 33, offset 0, flags [none], proto UDP (17), length 38)
7.7.7.7.58029 > 192.168.1.1.514: SYSLOG, length: 10
Facility local7 (23), Severity info (6)
Msg: 115:
IP (tos 0x0, ttl 254, id 34, offset 0, flags [none], proto UDP (17), length 141)
7.7.7.7.58029 > 192.168.1.1.514: SYSLOG, length: 113
Facility local7 (23), Severity notice (5)
Msg: 116: Jun 13 13:45:57.988: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down
IP (tos 0x0, ttl 254, id 35, offset 0, flags [none], proto UDP (17), length 145)
7.7.7.7.58029 > 192.168.1.1.514: SYSLOG, length: 117
Facility local7 (23), Severity notice (5)
Msg: 117: Jun 13 13:45:58.988: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
IP (tos 0x0, ttl 254, id 36, offset 0, flags [none], proto UDP (17), length 93)
7.7.7.7.58029 > 192.168.1.1.514: SYSLOG, length: 65
Facility local7 (23), Severity info (6)
Msg: 118: Jun 13 13:46:00.621: %HA_EM-6-LOG: CLIaccounting: write
IP (tos 0x0, ttl 254, id 37, offset 0, flags [none], proto UDP (17), length 38)
7.7.7.7.58029 > 192.168.1.1.514: SYSLOG, length: 10
Facility local7 (23), Severity info (6)
Msg: 119:
^C
23 packets captured
24484 packets received by filter
0 packets dropped by kernel
gns3#
gns3#
gns3#
gns3% cat /var/log/r7.log
Jun 13 17:44:23 <local7.info> 7.7.7.7 97: Jun 13 13:44:22.203: %HA_EM-6-LOG: CLIaccounting: show running-config
Jun 13 17:44:23 <local7.info> 7.7.7.7 98:
Jun 13 17:45:10 <local7.info> 7.7.7.7 99: Jun 13 13:45:09.800: %HA_EM-6-LOG: CLIaccounting: show ip interface brief
Jun 13 17:45:10 <local7.info> 7.7.7.7 100:
Jun 13 17:45:31 <local7.info> 7.7.7.7 101: Jun 13 13:45:30.508: %HA_EM-6-LOG: CLIaccounting: show ip interface brief
Jun 13 17:45:31 <local7.info> 7.7.7.7 102:
Jun 13 17:45:36 <local7.info> 7.7.7.7 103: Jun 13 13:45:35.720: %HA_EM-6-LOG: CLIaccounting: configure terminal
Jun 13 17:45:36 <local7.info> 7.7.7.7 104:
Jun 13 17:45:44 <local7.info> 7.7.7.7 105: Jun 13 13:45:43.660: %HA_EM-6-LOG: CLIaccounting: interface FastEthernet0/1
Jun 13 17:45:44 <local7.info> 7.7.7.7 106:
Jun 13 17:45:49 <local7.info> 7.7.7.7 107: Jun 13 13:45:48.268: %HA_EM-6-LOG: CLIaccounting: no shutdown
Jun 13 17:45:49 <local7.info> 7.7.7.7 108:
Jun 13 17:45:51 <local7.err> 7.7.7.7 109: Jun 13 13:45:50.212: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
Jun 13 17:45:51 <local7.notice> 7.7.7.7 110: Jun 13 13:45:51.212: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
Jun 13 17:45:57 <local7.info> 7.7.7.7 111: Jun 13 13:45:56.036: %HA_EM-6-LOG: CLIaccounting: shutdown
Jun 13 17:45:57 <local7.info> 7.7.7.7 112:
Jun 13 17:45:57 <local7.notice> 7.7.7.7 113: Jun 13 13:45:57.864: %SYS-5-CONFIG_I: Configured from console by ed on vty0 (192.168.1.1)
Jun 13 17:45:57 <local7.info> 7.7.7.7 114: Jun 13 13:45:57.904: %HA_EM-6-LOG: CLIaccounting: end
Jun 13 17:45:58 <local7.info> 7.7.7.7 115:
Jun 13 17:45:59 <local7.notice> 7.7.7.7 116: Jun 13 13:45:57.988: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down
Jun 13 17:45:59 <local7.notice> 7.7.7.7 117: Jun 13 13:45:58.988: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
Jun 13 17:46:01 <local7.info> 7.7.7.7 118: Jun 13 13:46:00.621: %HA_EM-6-LOG: CLIaccounting: write
Jun 13 17:46:01 <local7.info> 7.7.7.7 119:
Jun 13 17:49:36 <local7.info> 7.7.7.7 120: Jun 13 13:49:35.816: %HA_EM-6-LOG: CLIaccounting: show running-config
Jun 13 17:49:36 <local7.info> 7.7.7.7 121:
Jun 13 17:50:07 <local7.info> 7.7.7.7 122: Jun 13 13:50:06.537: %HA_EM-6-LOG: CLIaccounting: configure terminal
Jun 13 17:50:07 <local7.info> 7.7.7.7 123:
Jun 13 17:50:11 <local7.info> 7.7.7.7 124: Jun 13 13:50:10.105: %HA_EM-6-LOG: CLIaccounting: event manager applet CLIaccounting
Jun 13 17:50:11 <local7.info> 7.7.7.7 125:
Jun 13 17:50:59 <local7.info> 7.7.7.7 126: Jun 13 13:50:58.034: %HA_EM-6-LOG: CLIaccounting: set _exit_status "1"
Jun 13 17:50:59 <local7.info> 7.7.7.7 127:
Jun 13 17:59:27 <local7.notice> 7.7.7.7 128: Jun 13 13:59:27.758: %SYS-5-CONFIG_I: Configured from console by ed on vty0 (192.168.1.1)
Jun 13 17:59:28 <local7.info> 7.7.7.7 129: Jun 13 13:59:27.802: %HA_EM-6-LOG: CLIaccounting: end
Jun 13 17:59:28 <local7.info> 7.7.7.7 130:
Jun 13 17:59:33 <local7.info> 7.7.7.7 131: Jun 13 13:59:32.486: %HA_EM-6-LOG: CLIaccounting: show running-config
Jun 13 17:59:33 <local7.info> 7.7.7.7 132:
Jun 13 17:59:46 <local7.info> 7.7.7.7 133: Jun 13 13:59:45.718: %HA_EM-6-LOG: CLIaccounting: configure terminal
Jun 13 17:59:46 <local7.info> 7.7.7.7 134:
Jun 13 18:00:14 <local7.info> 7.7.7.7 135: Jun 13 14:00:13.719: %HA_EM-6-LOG: CLIaccounting: service timestamps log datetime msec localtime show-timezone year
Jun 13 18:00:14 <local7.info> 7.7.7.7 136:
Jun 13 18:00:16 <local7.notice> 7.7.7.7 137: Jun 13 2014 17:00:16.003 Moscow: %SYS-5-CONFIG_I: Configured from console by ed on vty0 (192.168.1.1)
Jun 13 18:00:17 <local7.info> 7.7.7.7 138: Jun 13 14:00:16.047: %HA_EM-6-LOG: CLIaccounting: end
Jun 13 18:00:17 <local7.info> 7.7.7.7 139:
Jun 13 18:00:19 <local7.info> 7.7.7.7 140: Jun 13 14:00:18.915: %HA_EM-6-LOG: CLIaccounting: write
Jun 13 18:00:19 <local7.info> 7.7.7.7 141:
Jun 13 18:00:23 <local7.info> 7.7.7.7 142: Jun 13 14:00:22.547: %HA_EM-6-LOG: CLIaccounting: configure terminal
Jun 13 18:00:23 <local7.info> 7.7.7.7 143:
Jun 13 18:00:32 <local7.info> 7.7.7.7 144: Jun 13 2014 17:00:31.075 Moscow: %HA_EM-6-LOG: CLIaccounting: service timestamps debug datetime msec localtime show-timezone year
Jun 13 18:00:32 <local7.info> 7.7.7.7 145:
Jun 13 18:00:33 <local7.notice> 7.7.7.7 146: Jun 13 2014 17:00:33.143 Moscow: %SYS-5-CONFIG_I: Configured from console by ed on vty0 (192.168.1.1)
Jun 13 18:00:34 <local7.info> 7.7.7.7 147: Jun 13 2014 17:00:33.187 Moscow: %HA_EM-6-LOG: CLIaccounting: end
Jun 13 18:00:34 <local7.info> 7.7.7.7 148:
Jun 13 18:00:37 <local7.info> 7.7.7.7 149: Jun 13 2014 17:00:36.167 Moscow: %HA_EM-6-LOG: CLIaccounting: write
Jun 13 18:00:37 <local7.info> 7.7.7.7 150:
Jun 13 18:00:44 <local7.info> 7.7.7.7 151: Jun 13 2014 17:00:43.591 Moscow: %HA_EM-6-LOG: CLIaccounting: show running-config
Jun 13 18:00:44 <local7.info> 7.7.7.7 152:
gns3%
Ротация – за неё отвечает демон newsyslogd. Он запускается по крону каждый час просто добавьте туда 1 строчку,
!!!используйте табуляцию!!!
/var/log/r7.log 644 7 100 * JC
Код: Выделить всё
gns3# cat /etc/newsyslog.conf | grep -v '^#' | sed '/^$/d' | more
/var/log/all.log 600 7 * @T00 J
/var/log/amd.log 644 7 100 * J
/var/log/auth.log 600 7 100 @0101T JC
/var/log/console.log 600 5 100 * J
/var/log/cron 600 3 100 * JC
/var/log/daily.log 640 7 * @T00 JN
/var/log/debug.log 600 7 100 * JC
/var/log/kerberos.log 600 7 100 * J
/var/log/lpd-errs 644 7 100 * JC
/var/log/maillog 640 7 * @T00 JC
/var/log/messages 644 5 100 @0101T JC
/var/log/monthly.log 640 12 * $M1D0 JN
/var/log/pflog 600 3 100 * JB /var/run/pflogd.pid
/var/log/ppp.log root:network 640 3 100 * JC
/var/log/security 600 10 100 * JC
/var/log/sendmail.st 640 10 * 168 B
/var/log/utx.log 644 3 * @01T05 B
/var/log/weekly.log 640 5 1 $W6D0 JN
/var/log/xferlog 600 7 100 * JC
/var/log/mysql.log 600 2 500 * ZC
/var/log/snmptrapd.log 644 7 100 * JC
/var/log/r1.log 644 7 100 * JC
/var/log/r2.log 644 7 100 * JC
/var/log/r7.log 644 7 100 * JC
/var/log/asa1.log 644 7 100 * JC
/var/log/httpd-access.log 644 7 100 * JC
gns3#
Примеры использования - вы можете, например дебажить IP OSPF пакеты, и вывод у вас будет идти в файл, а его вы можете грепать tail-ить и т.д.
Код: Выделить всё
R7#debug ip ospf packet
OSPF packet debugging is on
R7#
gns3%
gns3% tail -f /var/log/r7.log
Jun 13 18:17:15 <local7.debug> 7.7.7.7 186: Jun 13 2014 17:17:14.490 Moscow: OSPF: rcv. v:2 t:1 l:48 rid:192.168.1.100
Jun 13 18:17:15 <local7.debug> 7.7.7.7 187: aid:0.0.0.0 chk:972B aut:0 auk: from FastEthernet0/0.3
Jun 13 18:17:25 <local7.debug> 7.7.7.7 188: Jun 13 2014 17:17:24.478 Moscow: OSPF: rcv. v:2 t:1 l:48 rid:192.168.1.100
Jun 13 18:17:25 <local7.debug> 7.7.7.7 189: aid:0.0.0.0 chk:992B aut:0 auk: from FastEthernet0/0.2
Jun 13 18:17:25 <local7.debug> 7.7.7.7 190: Jun 13 2014 17:17:24.482 Moscow: OSPF: rcv. v:2 t:1 l:48 rid:192.168.1.100
Jun 13 18:17:25 <local7.debug> 7.7.7.7 191: aid:0.0.0.0 chk:972B aut:0 auk: from FastEthernet0/0.3
Jun 13 18:17:35 <local7.debug> 7.7.7.7 192: Jun 13 2014 17:17:34.486 Moscow: OSPF: rcv. v:2 t:1 l:48 rid:192.168.1.100
Jun 13 18:17:35 <local7.debug> 7.7.7.7 193: aid:0.0.0.0 chk:992B aut:0 auk: from FastEthernet0/0.2
Jun 13 18:17:35 <local7.debug> 7.7.7.7 194: Jun 13 2014 17:17:34.490 Moscow: OSPF: rcv. v:2 t:1 l:48 rid:192.168.1.100
Jun 13 18:17:35 <local7.debug> 7.7.7.7 195: aid:0.0.0.0 chk:972B aut:0 auk: from FastEthernet0/0.3
Jun 13 18:17:45 <local7.debug> 7.7.7.7 196: Jun 13 2014 17:17:44.491 Moscow: OSPF: rcv. v:2 t:1 l:48 rid:192.168.1.100
Jun 13 18:17:45 <local7.debug> 7.7.7.7 197: aid:0.0.0.0 chk:992B aut:0 auk: from FastEthernet0/0.2
Jun 13 18:17:45 <local7.debug> 7.7.7.7 198: Jun 13 2014 17:17:44.495 Moscow: OSPF: rcv. v:2 t:1 l:48 rid:192.168.1.100
Jun 13 18:17:45 <local7.debug> 7.7.7.7 199: aid:0.0.0.0 chk:972B aut:0 auk: from FastEthernet0/0.3
Jun 13 18:17:55 <local7.debug> 7.7.7.7 200: Jun 13 2014 17:17:54.475 Moscow: OSPF: rcv. v:2 t:1 l:48 rid:192.168.1.100
Jun 13 18:17:55 <local7.debug> 7.7.7.7 201: aid:0.0.0.0 chk:992B aut:0 auk: from FastEthernet0/0.2
Jun 13 18:17:55 <local7.debug> 7.7.7.7 202: Jun 13 2014 17:17:54.479 Moscow: OSPF: rcv. v:2 t:1 l:48 rid:192.168.1.100
Jun 13 18:17:55 <local7.debug> 7.7.7.7 203: aid:0.0.0.0 chk:972B aut:0 auk: from FastEthernet0/0.3
Jun 13 18:18:05 <local7.debug> 7.7.7.7 204: Jun 13 2014 17:18:04.487 Moscow: OSPF: rcv. v:2 t:1 l:48 rid:192.168.1.100
Jun 13 18:18:05 <local7.debug> 7.7.7.7 205: aid:0.0.0.0 chk:992B aut:0 auk: from FastEthernet0/0.2
Jun 13 18:18:05 <local7.debug> 7.7.7.7 206: Jun 13 2014 17:18:04.491 Moscow: OSPF: rcv. v:2 t:1 l:48 rid:192.168.1.100
Jun 13 18:18:05 <local7.debug> 7.7.7.7 207: aid:0.0.0.0 chk:972B aut:0 auk: from FastEthernet0/0.3
Jun 13 18:18:15 <local7.debug> 7.7.7.7 208: Jun 13 2014 17:18:14.499 Moscow: OSPF: rcv. v:2 t:1 l:48 rid:192.168.1.100
Jun 13 18:18:15 <local7.debug> 7.7.7.7 209: aid:0.0.0.0 chk:992B aut:0 auk: from FastEthernet0/0.2
Jun 13 18:18:15 <local7.debug> 7.7.7.7 210: Jun 13 2014 17:18:14.503 Moscow: OSPF: rcv. v:2 t:1 l:48 rid:192.168.1.100
Jun 13 18:18:15 <local7.debug> 7.7.7.7 211: aid:0.0.0.0 chk:972B aut:0 auk: from FastEthernet0/0.3
Jun 13 18:18:21 <local7.info> 7.7.7.7 212: Jun 13 2014 17:18:20.335 Moscow: %HA_EM-6-LOG: CLIaccounting: undebug all
Jun 13 18:18:21 <local7.info> 7.7.7.7 213:
Jun 13 18:18:29 <local7.info> 7.7.7.7 214: Jun 13 2014 17:18:28.080 Moscow: %HA_EM-6-LOG: CLIaccounting: write
Jun 13 18:18:29 <local7.info> 7.7.7.7 215:
^C
gns3%
Есть хорошая статья по этой же теме, рекомендую
http://www.lissyara.su/articles/freebsd ... co+syslog/