Configuration de Syslog PIX - Configuration de Syslog ccnp_cch

Sommaire • Comment fonctionne syslog • Introduction - Composants utilisés • Comment fonctionne syslog - Catégories de logging - Niveaux • Configuration du PIX pour envoi de syslog - PIX 4.0.x à 4.1.x - PIX 4.2.x et suivants - PIX 4.3.x et suivants • Comment paramétrer un serveur Syslog • Résolution de problèmes Syslog ccnp_cch

Comment fonctionne Syslog Introduction Les messages produits par le PIX et qui sont habituellement affichés sur la console peuvent être collectés en transmettant ces messages vers un équipement opérant avec un démon syslog (syslogd) qui écoute sur le port UDP 514. La gestion de syslog vous permet d'obtenir des informations sur le trafic et les performances du PIX, d'analyser les logs pour des activités suspectes et de résoudre des problèmes. Syslogd peut opérer sur plusieurs plateformes de systèmes d'exploitation. Syslogd est installé quand vous installez UNIX mais vous devez le configurer. Syslogd n'est pas na- tif sur des systèmes basés sur Windows mais des logiciels syslogd sont disponibles pour les plateformes Windows.. Des logiciels comme PFM (PIX Firewall Manager), PFSS (PIX Firewall Syslog Server), Private-I ou d'autres logiciels syslogd de votre choix. Ce document décrit comment syslogd fonctionne, comment paramétrer le PIX pour qu'il transmette les messages syslog à un équipement opérant avec syslogd et comment paramétrer le serveur Syslog basé sur UNIX. La signification actuelle des messages syslog du PIX sont décrits dans la documentation du PIX. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes : ● Pare-feu PIX Cisco version 4.0.x et suivantes. Comment fonctionne Syslog Tous les messages syslog ont une catégorie (facility) et un niveau. La catégorie de log- ging peut être comprise comme "quelle origine" et le niveau comme "niveau de gravité". Catégories de logging Un démon syslogd unique peut être vu avec plusieurs "pipes". Il utilise ces "pipes" pour décider où transmettre l'information entrante d'après le "pipe" sur lequel cette informa- tion arrive. Par analogie les catégories de logging sont les "pipes". Les huit catégories de logging communément utilisées pat syslogd sont local0 à local7. Niveaux Il y a également différents degrés d'importance attachés aux messages entrants. Le PIX peut être paramétré pour transmettre des messages à différents niveaux ( ceux-ci sont listés de l'importance la plus élevée à l'importance la plus basse). ccnp_cch 10.1.1.0/24

ccnp_cch Niveau Code emergency alert 1 critical 2 error 3 warning 4 alert 1 critical 2 error 3 warning 4 notification 5 informational 6 debug 7 Quand un PIX est paramétré pour transmettre des messages syslog, les niveaux d'im- portance les plus faibles englobent également les niveaux d'importance les plus élevés. Par exemple si le PIX est paramétré pour le niveau warning alors les massages de ni- veau error, critical, alert et emergency seront transmis en plus de ceux du niveau war- ning. Un paramétrage debug inclura les messages des 8 niveaux. Configuration du PIX pour envoi de syslog PIX 4.0.x à 4.1.x La syntaxe syslog est la suivante: syslog host #.#.#.# ( où #.#.#.# est l'adresse du serveur syslog) syslog output X.Y (où X est la catégorie de logging et Y le niveau) Comment la valeur de X traduit-elle la catégorie de logging? La valeur de X est convertie en binaire. Les 4 derniers bits codent la catégorie. ● 16 = 00010000 = local0 ● 17 = 00010001 = local1 ● 18 = 00010010 = local2 ● 19 = 00010011 = local3 ● 20 = 00010100 = local4 ● 21 = 00010101 = local5 ● 22 = 00010110 = local6 ● 23 = 00010111 = local7 Par exemple 22 = 00010110 avec les quatre derniers bits = 0110 ou 6 en décimal. ( un raccourci est de prendre la valeur de X et de lui soustraire 16. Si par exemple nous prenons 22-16 = 6 ou local6). ccnp_cch

La valeur de Y est le niveau La valeur de Y est le niveau. Par exemple si Y=2 les messages transmis incluront le niveau 2(critical), le niveau 1 (alert) et le niveau 0 (emergency). Les niveaux sur le PIX vont de 0 à 7; ceci ne doit pas être confondu avec les catégories de logging (local0 à local7). Exemples pour le PIX 4.0.x-4.1.x ● syslog 20.7 20 est égal à la catégorie de logging local4. .7 est le niveau. 7 signifie niveau debug ce qui veut dire que tous les messages seront loggés. ● syslog 23.2 23 est égal à la catégorie de logging local7 .2 est le niveau. 2 signifie niveau critical ce qui veut dire que seuls les messages critical, alert et emergency seront loggés. PIX 4.2.x et suivants La syntaxe pour syslogd a changé dans le PIX software release 4.2.x. Au lieu de la commande syslog host #.#.#.#, utilisez la nouvelle commande logging host #.#.#.#. Dans la version 4.2.x, les catégories de logging et les niveaux sont les mêmes mais au lieu d'utiliser la commande syslog X.Y, vous devez utiliser deux commandes: ● logging facility X ● logging trap Y Le niveau n'est plus exprimé sous forme de nombre; il est exprimé comme le nom du niveau. Voici un exemple : ● ancienne syntaxe syslog output 20.7 ● nouvelle syntaxe logging facility 20 (local4) logging trap debugging (debug à emergency) ccnp_cch

PIX 4.3.x et suivants ccnp_cch Dans la version 4.3.x et suivantes, vous pouvez éviter l'émission de certains messages syslog particuliers et horodater les messages transmis. En plus des commandes suivantes: ● logging host #.#.#.# ● logging facility X ● logging trap Y vous pouvez utiliser ces commandes: ● clock set 13:18:00 Apr 25 1999 ● logging timestamp ● no logging message 111005 Ceci entraine que vous avez tous les messages sauf le message 111005 (qui est "End of configuration") transmis avec horodatage. Note: Comme le message 111005 est un message de niveau notification, celui-ci ne se- ra pas vu si le niveau sur le PIX est fixé à emergency, alert, critical, error ou warning. Un exemple de message horodaté différent du message 111005 suit (le premier horo- datage est celui du serveur UNIX, le second est celui du PIX). Apr 25 13:15:35 10.31.1.53 Apr 25 1999 13:23:00: %PIX−5−111007: Begin configuration: nobody reading from terminal Dans le logiciel PIX version 4.3.x et ultérieurs vous pouvez également utiliser syslog sur TCP. PFSS le supporte; la majorité des autres serveurs syslog ne le supporte pas sans configuration. La commande pour permettre au PIX de faire du logging PFSS TCP est logging host #.#.#.# tcp 1740. Note: Comme ce trafic est TCP (c'est-à-dire avec acquittement), si le serveur PFSS est défaillant, le trafic syslog à travers le PIX s'arrête; pour cette raison la commande tcp syslog ne doit pas être implémentée sauf si vous avez besoin de cette fonctionnalité. Le logging avec UDP/514 n'a pas cet effet. ccnp_cch

Comment paramétrer un serveur Syslog Comme syslogd est un concept UNIX à l'origine, les fonctionnalités disponibles dans les produits syslog non UNIX dépendent des implémentations des éditeurs de logiciels. Ces fonctionnalités peuvent être : séparation des messages entrants par catégorie ou niveau ou les deux; résolution des noms des équipements émetteurs ,etc.. Cisco a implémenté un serveur syslog appelé PFSS (PIX Firewall Syslog Server) qui est disponible sur les plateformes PC. Pour configurer syslog sur UNIX, exécutez les tâches suivantes : 1. En tant que root sur SunOS, AIX, HPUX ou Solaris faire une sauvegarde du fichier /etc/syslog.conf avant de le modifier. 2. Modifiez /etc/syslog.conf pour indiquer au système UNIX comment trier les mes- sages syslog venant des systèmes, quelle catégorie.niveau va être écrite et dans quel fichier. 3. Assurez-vous que le fichier existe et qu'il peut être modifié. 4. La section #comment au début du fichier syslog.conf explique la syntaxe pour le système UNIX. 5. Ne pas mettre d'informations dans la section idef. Exemples ● Si /etc/syslog.conf est paramétré pour: local7.warn /var/log/local7.warn Les messages des niveaux warning, error, critical, alert et emergency venant de la catégorie de logging local7 seront stockés dans le fichier local7.warn. Les messages des niveaux de logging notification, informational et debug entrant sur catégorie de logging local7 ne seront pas stockés. ● Si /etc/syslog.conf est paramétré pour: local7.debug /var/log/local7.debug les messages des niveaux debug, informational, notification, warning, error, criti- cal, alert et emergency arrivent sur la catégorie de logging local7.debug et seront stockés dans le fichier local7.debug. ccnp_cch

Résolution de problèmes Syslog ● Si /etc/syslog.conf est paramétré pour: local7.warn /var/log/local7.warn local7.debug /var/log/local7.debug Les messages de niveaux warning, error, critical, alert, emergency arrivant sur la catégorie de logging local7 seront stockés dans le fichier local7.warn. Les messa- ges de niveaux debug, informational, notification, warning, error, critical, alert et emergency arrivant sur la catégorie de logging local7 seront stockés dans le fichier local7.debug (en d'autres termes, certains messages seront stockés dans les deux fichiers). ● Si /etc/syslog.conf est paramétré pour: *.debug /var/log/all.debug Les messages de tous les niveaux de toutes les catégories de logging seront stockés dans le fichier all.debug. Résolution de problèmes Syslog Pour démarrer syslog en mode debug (SunOS, AIX, HPUX ou Solaris), vous devez être root: ps −ef | grep syslogd kill −9 <pid> syslogd −d Vous devez voir ces messages au début lorsque syslogd lit le fichier syslog.conf : cfline(local7.info /var/log/local7.info) cfline(local7.debug /var/log/local7.debug) X X X X X X X X X X X X X X X X X X X X X X X 6 X FILE: /var/log/local7.info X X X X X X X X X X X X X X X X X X X X X X X 7 X FILE: /var/log/local7.debug Si le défilement est trop rapide, essayez la commande suivante: ● syslogd −d | more S'il y a des messages tels que: cfline(local7.info /var/log/local7.junk) syslogd: /var/log/local7.junk: No such file or directory logmsg: pri 53, flags 8, from pinecone, msg syslogd: /var/log/local7.junk: No such file or directory Il y a un problème dans la configuration. Dans l'exemple ci-dessus le fichier n'existe pas. ccnp_cch

Opérer en mode debug affiche également les messages entrants et vers quel fichier ils sont stockés. logmsg: pri 275, flags 0, from 10.8.1.76, MSG 14: %SYS−5−CONFIG_I: Configured from console by vty0 (171.68.118.108) Logging to UNUSED Logging to FILE /var/log/local7.debug Dans ce cas il a été reçu un message qui doit aller dans local7.junk et local7.debug mais comme local7.junk n'existe pas nous avons le message: Logging to UNUSED. Si syslogd -d ne montre rien, vérifiez que le PIX transmet bien les messages syslog avec la commande show syslog ou show logging. Si l'information arrive bien sur le système UNIX mais ne va pas dans le fichier approprié, travaillez avec l'administra- teur système UNIX ou l'administrateur système non-UNIX pour corriger les problè- mes. Si la cause du problème ne peut pas être déterminée, syslog syslogd peut être en mode debug et la sortie redirigée comme suit: ● sh ou ksh syslogd −d<>target_file>2>&1 ou ● csh syslogd −d>&<target_file> Note: syslogd Red Hat Linux doit être démarré avec l' option −r pour capturer la sortie réseau. Extension UNIX Signification .emerg Système inutilisable, urgences .alert Prendre une action immédiate, alertes .crit Condition critique, .err Message d'erreur, erreurs .warn Message d'avertissement, avertissements .notice Normal mais évènement significatif .info Message d'information .debug Message de debugging ccnp_cch