Configurando syslog no PIX/ASA

comments Seja o primeiro a comentar
Por , 20/06/2009 06:01

Configurar o firewall (e demais equipamentos) para enviar traps para um syslog server é algo fortemente recomendado. Com isso podemos armazenar essas informações por longos período, dependendo apenas do espaço em disco do servidor.

Além da possiblidade de auditoria, outro ponto importante é que sem o syslog, se o firewall tiver algum problema os logs vão junto…

Para configurar esta opção no PIX/ASA, basta habilitar a opção logging, apontar o IP do servidor syslog e a interface por onde o servidor será alcançado. Depois especifique o nível de log que deverá ser enviado para o syslog.

syslog table Nível de log, onde 0 é o mais crítico e 7 e o menos grave

Se o nível 3 é escolhido, por exemplo, todos os logs com níveis 3, 2, 1 e 0 são enviados para o syslog.

Configurando o firewall para enviar logs para o syslog com IP 10.10.10.243, que está na rede inside e nível 3 de criticidade.

conf t
logging enable
logging host inside 10.10.10.243
logging trap 3

Com a configuração acima o firewall já enviará os logs para o syslog e estará trabalhando com as configurações padrões (enviará a mensagem via UDP, porta 514).

 

Configurações opcionais

Se você precisar é possível definir outra porta qualquer, ou ainda especificar o protocolo TCP. Observe que você pode trabalhar com UDP e TCP, mas não ao mesmo tempo.

Configurando o firewall para enviar logs para o syslog com IP 10.10.10.243, que está na rede inside utilizando a porta 1500 UDP

logging host inside 10.10.10.243 upd/1500

Configurando o firewall para enviar logs para o syslog com IP 10.10.10.243, que está na rede inside utilizando a porta 1300 TCP

logging host inside 10.10.10.243 TCP/1300

 

Também temos a opção de configurar a facility e habilitar o formato emblem.

O EMBLEM faz a geração de logs em um formato específico, e é normalmente usado para enviar logs ao CiscoWorks. Já a facility surgiu com o objetivo de identificar qual parte do sistema (UNIX) gerou o log. Porém com a falta de padrão podemos dizer que a facility serve para diferenciar os logs de cada equipamento.

Por padrão o ASA gera mensagens com a facility ASA (como exemplo abaixo, em vermelho), e o Pix utiliza a facility PIX.

Dec 19 2009 07:48:46: %ASA-5-713904: IP = 10.10.226.6, Received encrypted packet with no matching SA, dropping

Configurando o firewall para utilizar o formato emblem

logging host inside 10.10.10.243 format emblem

Configurando o firewall para utilizar a facility 10

logging facility 10

Até a próxima.

categories Configuração, Firewall, Segurança, Uteis | tags , , , , ,

Tema Brainwork 0.2(beta)