技术分享——系统日志配置syslog

　　1 syslog如何工作

　　Cisco PIX防火墙中的syslog消息部件是观察对消息的疑难解析和观看诸如攻击和拒绝服务等网络事件的一个有效的方法。Cisco PIX防火墙经由syslog消息报告下列事件和行为:　　

　　系统状态:记录Cisco PIX防火墙何时重新启动，以及经由telnet或者控制台的连接何时开始或断开　　

　　审计信息:每次连接传送的字节数目　　

　　安全:丢弃的UDP分组和被拒绝的TCP连接　　

　　资源:连接和转换槽损耗的通知　　

　　syslog消息可以被发送至位于和不位于PIX单元的多个不同的输出目的地:

　　PDM日志　　

　　控制台　　

　　内存缓冲区

　　Telnet控制台　　

　　Syslog服务器　　

　　SNMP管理工作站　　

　　*在决定将syslog消息发送至何处之后，还不得不决定想要在输出目的地看到何种类型的消息　　

　　*所有的syslog消息有一个安全级别，然而并不要求所有的syslog消息有一个相应的部件　　

　　1.1 日志部件　　

　　当syslog消息被发送到服务器时，指示pix将通过什么管道(pipe)发送消息是很重要的,其使用管道来决定将基于信息到达的管道的输入信息发送到何处，也就是写道哪个文件中去的管道.单个的syslog服务，如syslogd,可以被认为拥有多个管道.　　

　　通常有8个日志部件(16~23)用于PIX上的syslog.在syslog服务器上，部件号码有一个对应的表示(local0~local7),缺省部件为local4(20),要改变PIX上的缺省日志部件.　　

　　pix(config)#logging facility 21　　

　　1.2 日志级别　　

　　请查看日志严重性级别　　

　　很多logging命令要求指定一个严重性级别阀值来指定那些syslog消息可以被发送至输出位置.　　

　　级别号越低，syslog消息越严重。缺省的严重性级别为3(错误)　　

　　*所指定的级别使得Cisco PIX防火墙发送该级别和低于该级别的消息至输出位置.eg如果指定严重性级别3(错误)，PIX发送0(emergency),1(alert),2(critical),3(error)消息至输出目的地　　

　　1.3配置cisco pix防火墙的syslog　　

　　查看logging命令参数　　

　　1.3.1 配置PDM来观察日志 system properties->logging　　

　　1.3.2 在控制台配置syslog消息　　

　　在pix防火墙中使用logging console命令来发送syslog消息至控制台界面　　

　　pix(config)#logging on　　

　　pix(config)#logging console 5 5指出了日志级别　　

　　pix(config)#show logging　------->pix(config)#clear logging　　clear messages in the logging buffer　　

　　pix(config)#no logging console------>　disable logging to the console　　

　　1.3.3 查开一个telnet控制台会话的消息　　

　　使用logging monitor命令来配置pix以发送syslog消息至telnet会话.　　

　　pix(config)#logging monitor 6　　

　　pix(config)#terminal monitor　　

　　pix(config)#no logging monitor ------>disable logging to the telnet　　

　　1.3.4配置cisco pix防火墙以发送syslog消息到log服务器上　　

　　pix(config)#logging host inside 10.1.1.10--->用logging hos　　

　　t 命令标明接收消息的主机　　

　　pix(config)#logging trap informational--->用logging trap命令设置日志级别　　

　　*如果所有的syslog服务器都离线了,cisco PIX会存储100条消息在其内存中,后续达到的消息将从第一行开始覆盖缓冲区中已有的消息.　　

　　pix(config)#logging on----->要使消息停止发送,使用no logging命令.　　

　　关于配置syslogd和pfss服务器,请上cisco 查看　　

　　1.4配置SNMP陷阱和SNMP请求　　

　　SNMP请求可以用来询问pix的系统状况消息,SNMP陷阱仅仅在到达配置阀值时发送关于特定事件的消息.　　

　　配置pix接收来自一个管理站的SNMP请求:　　

　　使用snmp-server host命令配置SNMP管理站的ip 地址　　

　　将snmp-server选项设置为location,contact,以及按要求设置community口令　　

　　配置SNMP陷阱:

　　使用snmp-server host命令配置SNMP管理站的ip 地址

　　将snmp-server选项设置为location,contact,以及按要求设置community口令　　

　　使用snmp-server enable traps命令设置陷阱　　

　　使用logging history命令设置日志级别　　

　　%PIX-Level-message_number:message_test　　

　　pix为pix防火墙产生的消息标示消息部件代码　　

　　lebel,所描述消息的严重界别,数字越小,情况越严重　　

　　message_number,唯一指定消息的数字代码　　

　　message_test:线性的描述情形的正文.消息的这一部分有时候包括IP地址,端口号