Configuration de Syslog PIX ASA 7.x - Configuration de Syslog ccnp_cch

Sommaire • Syslog basique • Syslog avancé • Introduction - Composants utilisés • Syslog basique - Configuration de Syslog basique avec l'ASDM • Syslog avancé - Utiliser la liste de messages - Utiliser la classe de message - Logger les correspondances trouvées dans des entrées d'ACL ccnp_cch

Introduction Syslog Basique Composants utilisés ccnp_cch Cet exemple de configuration montre comment configurer syslog sur le PIX version 7.x. Le PIX version 7.0 a introduit des techniques de filtrage très granulaire pour autoriser uniquement certains messages spécifiés à être présentés. La section Syslog basique de ce document montre une configuration syslog traditionnelle. La section Syslog avancé de ce document montre comment les nouvelles fonctionnalités de syslog dans la ver- sion 7.0. Référez-vous à "Cisco Security Appliance System Log Messages Guide, version 7.0" pour le guide complet des messages du système de log. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes : ● Cisco Adaptive Security Device Manager (ASDM) version 5.01 ● PIX 515E with PIX Software version 7.0 Syslog Basique Utilisez ces commandes pour valider le logging, voir les logs ainsi que les paramètres de configuration. ● logging enable - Valide la transmission des messages syslog vers tous les emplacements. ● no logging enable - Dévalide le logging. ● show logging - Liste le contenu du buffer syslog et la configuration de logging courante. Le PIX peut transmettre les messages syslog vers différentes destinations. Utilisez les commandes de cette section pour spécifier l'endroit vers lequel les messages syslog doivent être émis. Buffer interne logging buffered severity_level Du logiciel ou du matériel externe n'est pas requis quand vous stockez des messages syslog dans le buffer interne du PIX. Utilisez la commande show logging pour afficher les messages de log stockés. Serveur de message Syslog logging host interface_name ip_address [tcp[/port] | udp[/port]] [format emblem] logging trap severity_level logging facility number Un serveur qui opère avec une application syslog est requis pour transmettre des mes- sages syslog vers un host externe. Le PIX transmet des messages syslog sur le port UDP 514 par défaut. ccnp_cch 10.1.1.0/24

Adresse e-mail ccnp_cch logging mail severity_level logging recipient−address email_address logging from−address email_address smtp−server ip_address Un serveur SMTP est nécessaire quand vous transmettez des messages syslog dans des e-mails. Une configuration correcte est nécessaire sur le serveur SMTP pour vous assurer que vous pouvez relayer les e-mails issus du PIX vers le client mail indiqué. Console logging console severity_level Le logging console permet aux messages syslog d'être affichés sur la console du PIX (tty) dès qu'ils sont générés. Utilisez cette commande quand vous voulez résoudre des problèmes ou quand il y a une charge minimale sur le réseau. Ne pas utiliser cette commande quand le réseau est très chargé car cela pourrait dégrader les performan- ces. Session Telnet/SSH logging monitor severity_level terminal monitor La commande logging monitor permet aux messages syslog d'être affichés dès qu'ils sont générés quand vous faites un accès console PIX avec Telnet ou SSH. ASDM logging asdm severity_level L'ASDM a également un buffer qui peut être utilisé pour stocker les messages syslog. Utilisez la commande show logging asdm pour afficher le contenu du buffer syslog ASDM. Station de gestion SNMP logging history severity_level snmp−server host [if_name] ip_addr snmp−server location text snmp−server contact text snmp−server community key snmp−server enable traps ccnp_cch

Les utilisateurs ont besoin d'un environnement SNMP (Simple Network Management Protocol) fonctionnel pour transmettre les messages syslog en utilisant SNMP. Référez-vous à "Commands for Setting and Managing Output Destinations" pour une référence complète des commandes que vous pouvez utiliser pour configurer et gérer les destinations de sortie. Référez-vous à "Messages Listed by Security Level" pour les messages listés par niveau de sécurité. Exemple 1 Cette sortie montre un exemple de configuration pour le logging sur la console avec le niveau de sécurité "debugging". logging enable logging buffered debugging Voici un exemple de sortie : %PIX|ASA−6−308001: console enable password incorrect for number tries (from 10.1.1.15) ccnp_cch

Configuration de Syslog basique avec l'ASDM Cette procédure illustre la configuration avec l'ASDM pour toutes les destinations syslog suivie de l'exemple 1 de configuration. 1. Allez à la fenêtre Home de l'ASDM. 2. Sélectionnez Configuration> Features> Properties> Logging> Logging Setup. 3. Cochez Enable Logging pour valider syslog. ccnp_cch

4. Sélectionnez Syslog Servers sous Logging et cliquez sur Add pour ajouter un serveur syslog. 5. Entrez les paramètres du serveur syslog dans la boite de dialogue Add Syslog Server et cliquez sur OK quand vous avez terminé. ccnp_cch

6. Sélectionnez E-Mail Setup sous Logging pour transmettre des messages syslog dans des e-mails. 7. Spécifiez l'adresse dans la boite Source E-Mail Address et cliquez sur Add pour con- figurer l'adresse e-mail du destinataire et le niveau de sévérité de message. Cliquez sur Ok quand vous avez terminé. ccnp_cch

8. Cliquez sur Device Administration, sélectionnez SMTP et entrez l'adresse IP du serveur pour spécifier l'adresse IP du serveur SMTP. 9. Sélectionnez SNMP pour spécifier l'adresse de la station de gestion SNMP et les propriétés. ccnp_cch

10. Cliquez sur Add pour ajouter la station de gestion SNMP 10. Cliquez sur Add pour ajouter la station de gestion SNMP. Entrez les informations du host SNMP et cliquez sur Ok. 11. Cliquez sur Properties dans Configuration et sélectionnez Logging Filters sous Logging To sélectionnez la destination des messages syslog. 12. Choisissez la Logging Destination désirée et cliquez sur Edit. Pour cette procédure , Exemple 1 logging buffered debugging est utilisé. ccnp_cch

13. Sélectionnez Internal Buffer et cliquez sur Edit. ccnp_cch

14. Choisissez Filter on severity et sélectionnez Debugging dans la liste. Cliquez sur OK quand cela est fait. 15. Cliquez sur Apply après être retourné à la fenêtre Logging Filters. ccnp_cch

Syslog avancé ccnp_cch Le PIX version 7.0 fournit plusieurs mécanismes qui vous permettent de configurer et de gérer les messages syslog par groupes. Ces mécanismes comprennent le niveau de sécurité du message, la classe de message, le message id ou une liste de messages personnalisée que vous créez. Avec l'utilisation de ces mécanismes, vous pouvez entrer une commande unique qui s'applique à de petits ou de grands groupes de messages. Quand vous configurez syslog de cette manière, vous êtes capables de capturer les messages à partir du groupe de messages spécifié et non plus tous les messages du même niveau de sévérité. Utiliser la liste de messages Utiliser la liste de messages pour inclure uniquement les messages syslog voulus par niveau de sécurité et ID dans un groupe et ensuite associer cette liste de messages avec la destination désirée. Exécutez ces étapes pour configurer la liste des messages : 1. Entrez la commande logging list message_list | level severity_level [class message_class] pour créer une liste de messages qui inclut les messages avec un niveau de sévérité spécifié ou une liste de messages. 2. Entrez la commande logging list message_list message syslog_id1-syslog_id2 pour ajouter des messages à la liste des messages déjà créée. 3. Entrez la commande logging destination message_list pour spécifier la destination de la liste de messages crée. Exemple 2 Entrez ces commandes pour créer une liste de messages qui comprend tous les mes- sages de niveau de sévérité 2(critical) avec l'addition des messages 611101 à 611323 et les transmettre également vers la console. logging list my_critical_messages level 2 logging list my_critical_messages message 611101−611323 logging console my_critical_messages Configuration ASDM Cette procédure montre la configuration avec l'ASDM pour l'exemple 2 en utilisant la liste de messages. 1. Sélectionnez Event Lists sous Logging et cliquez sur Add pour créer une liste de messages. ccnp_cch

ccnp_cch Configuration ASDM Cette procédure montre la configuration avec l'ASDM pour l'exemple 2 en utilisant la liste de messages. 1. Sélectionnez Event Lists sous Logging et cliquez sur Add pour créer une liste de messages. 2. Entrez le nom de la liste de messages dans la boite Name. Dans ce cas my_critical_messages est utilisée. Cliquez sur Add sous Event Class/ Severity Filters. ccnp_cch

2. Entrez le nom de la liste de messages dans la boite Name 2. Entrez le nom de la liste de messages dans la boite Name. Dans ce cas my_critical_messages est utilisée. Cliquez sur Add sous Event Class/ Severity Filters. 3. Sélectionnez Event Class and Severity dans le menu déroulant. Dans ce cas, sélectionnez respectivement All et Critical. Cliquez sur Ok quand vous avez terminé. ccnp_cch

4. Cliquez Add sous Message ID Filters si des messages supplémentaires sont requis. Dans ce cas vous devez mettre les messages avec les ID 611101-611323 5. Entrez l'intervalle d'ID dans la boite Message IDs et cliquez sur OK. ccnp_cch

6. Revenez au menu Logging Filters et choisissez Console comme destination. 7. Cliquez sur Use event list et sélectionnez my_critical_messages dans le menu dérou- lant et cliquez sur Ok quand vous avez terminé. ccnp_cch

8. Cliquez sur Apply après être retourné à la fenêtre Logging Filters. Ceci termine les configurations de l'ASDM en utilisant la liste de messages tel que cela est montré dans Exemple 2. Utiliser la Classe de message Utilisez la classe de messages pour transmettre tous les messages associés à une classe vers l'emplacement de sortie spécifié. Quand vous spécifiez un seuil pour un niveau de sévérité, vous pouvez limiter le nombre de messages transmis vers l'empla- cement de sortie. logging class message_class destination | severity_level Exemple 3 Entrez cette commande pour transmettre toutes les classes de messages ca avec un niveau de sévérité emergencies ou plus élevé vers la console. logging class ca console emergencies ccnp_cch

ccnp_cch Configuration ASDM Cette procédure montre les configurations avec l'ASDM utilisant la classe de message. 1. Allez au menu Logging Filters et choisissez Console pour la destination. 2. Cliquez sur Disable logging from all event classes. 3. Sous Syslogs from Specific Event Classes choisissez Event Class and Severity que vous voulez ajouter. Cette procédure utilise respectivement ca et Emergencies. 4. Cliquez sur Add pour ajouter ceci dans la classe de message puis cliquez sur Ok. ccnp_cch

5. Cliquez sur Apply après être retourné à la fenêtre Logging Filters 5. Cliquez sur Apply après être retourné à la fenêtre Logging Filters. La console collecte maintenant la classe de messages ca avec le niveau de sévérité Emergencies comme le montre la fenêtre Logging Filters. Ceci termine la configuration avec l'ASDM pour l'exemple 3. Logger les correspondances trouvées avec les entrées des ACLs Ajouter log à chaque élément de liste d'accès (ACE) que vous désirez logger pour obte- nir un log quand il y a une correspondance trouvée avec cet élément de la liste d'accès. Utilisez cette syntaxe. access−list id {deny | permit protocol} {source_addr source_mask} {destination_addr destination_mask} {operator port} {log} Exemple: pixfirewall(config)#access−list 101 line 1 extended permit icmp any any log Quand l'option log est spécifiée, elle génère un message log 106100 pour l'ACE à laquelle elle est appliquée (le message Syslog 106100 est généré à chaque correspon- dance permit ou deny de l'ACE pour le flux qui traverse le PIX). La première corres- pondance est mise en cache. Les correspondances suivantes incrémentent un comp- teur affiché dans la sortie de la commande show access-list. ccnp_cch

Unable to connect to remote host; Connection timeout pour l'ACE et de nouveaux messages 106100 sont générés à la fin de l'intervalle défini en secondes si le nombre de correspondances pour ce flux n'est pas nul. Le comportement par défaut du log- ging des listes d'accès (le mot-clé log non spécifié) est que si un paquet est refusé alors le message 106023 est généré et si un paquet est permis alors aucun message syslog n'est généré. Un niveau syslog optionnel (0-7) peut être spécifié pour les messages syslog générés (106100). Si aucun niveau n'est spécifié, le niveau par défaut est 6 (informational) pour une nouvelle ACE. Si l'ACE existe déjà alors son niveau de log existant reste in- changé. Si l'option log disable est spécifiée, le logging de liste d'accès est totalement dévalidé. Aucun message syslog n'est généré y compris le message 106023. L'option log restaure le comportement par défaut du logging de liste d'accès. Exécutez ces étapes pour valider le message syslog 106100 à voir dans l'affichage sur la console. 1. Entrez la commande logging enable pour valider la transmission de tous les mes- sages log du système vers toutes les sorties. Vous devez spécifier un emplacement de sortie pour voir les messages de log. 2. Entrez la commande logging <message_number> level <severity_level> pour fixer le niveau de sévérité d'un message de log système spécifique. 3. Entrez la commande logging console message_list | severity_level pour permet- tre aux messages de log système d'être affichés sur la console de l'appliance de sé- curité lorsqu'ils sont générés. Fixer le security_level de 1à 7 ou utiliser le nom de niveau. Vous pouvez également spécifier quels messages sont émis avec la variable message_list. 4. Entrez la commande show logging message pour afficher une liste de messages de logs système dont les paramètres par défaut ont été modifiés (messages qui ont un niveau de sévérité différent et les messages qui sont dévalidés). Ceci est un exemple de sortie de la commande show logging message. pixfirewall#show logging message 106100 syslog 106100: default−level informational (enabled) pixfirewall# %PIX−7−111009: User 'enable_15' executed cmd: show logging mess 106100 ccnp_cch