配置思科的日誌系統
企業級日誌系統是記錄整個企業級網絡設備(包括服務器、路由器、交換機、防火牆、入侵檢測、入侵防禦等)所產生的行為的,對發現和修復網絡故障、安全違例事件的追查、網絡犯罪證取、性能監視等有著不可忽視的作用。所以,收集各種網絡設備上的日誌有著重要的價值。實現收集日誌需理解如下知識點:
n收集日誌的範圍。
n日誌消息的組成。
n日誌消息的編碼。
n集中收集日誌的組件。
n日誌文件類型的相互轉換。
關於收集日誌的範圍:
包括服務器操作系統的日誌、路由器與交換機的日誌、防火牆的日誌、入侵檢測與入侵防禦的日誌。服務器與操作系統的日誌:服務器與操作系統的日誌是記錄服務器與操作系統中硬件、軟件問題的信息,同時還可以監視系統中發生的事件。用戶可以通過它來檢查錯誤發生的原因,或者尋找受到攻擊時攻擊者留下的痕跡。路由器與交換機的日誌:路由器與交換機的日誌是記錄路由器與交換機的運行狀況的,如接口狀態、安全警告、環境條件、CPU處理率及路由器的其他事件都可以被一臺集中日誌服務器收集並分析。防火牆的日誌:防火牆的日誌能夠讓網絡管理員清晰地檢測到是否有非法攻擊者正在對企業網絡進行攻擊,而且也能夠允許網絡管理員基於通信的關鍵信息對日誌進行過濾,快速取得防火牆日誌的核心內容。入侵檢測系統與入侵防禦系統的日誌:日誌記錄是入侵檢測與入侵防禦設備的一個重要特徵,這些設備都提供了精確的日誌記錄功能。比如,當網絡正在受到攻擊或者入侵時,系統將產生攻擊報警或錯誤信息,會把相應的事件進行歸檔和分類,再根據不同緊急程度或破壞程度向網絡管理員提出報警,讓網絡管理員能及時防禦網絡違例事件。
關於日誌消息的組成:
一個通用的日誌消息組成大概分成3個部分:等級代碼、日誌頭文件和日誌信息文本。等級代碼表示設備或操作系統產生日誌信息的嚴重級別;日誌頭文件包含產生日誌事件的時間、產生日誌的網絡元件名稱、IP地址等;日誌信息文本包括一個文本消息的說明和與該說明有關的附加信息,一般這個部分的長度小於或者等於1024B,如果沒有經過特殊處理,該信息以明文的方式進行傳遞,如圖10.44所示。
日誌消息的編碼:
日誌消息的設備和嚴重級別信息要用十進制數字編碼。很多的操作系統的常駐進程和普通進程都指定了一個設備編號,如圖10.45所示。表1所示的是常規被定義的日誌消息編碼與對應的說明。如果一個消息或進程沒有被明確指定一個設備編號,那麼它就可以使用本地的設備號或本地用戶級的設備號。例如:沒有被思科列入常駐進程消息的日誌將使用一個名為“local7”的本地設備號對日誌消息進行編碼,當然也可以更改。
關於集中收集日誌的組件:
集中收集日誌的優勢在於與其把各個設備產生的關鍵信息分散地放置在設備本地,不如考慮集中地收集和存儲這些重要信息。“分散網絡管理不如集中網絡管理;分散安全管理不如集中安全管理”,即到達每臺產生日誌的本地查看日誌事件,不如在一個物理位置統一查看日誌事件,這樣會更方便和高效。
集中收集日誌的組件有3個部分:日誌消息產生源、收集協議、日誌軟件。通常日誌消息的產生源是一個網絡元件,可以是服務器、路由器、交換機、防火牆、入侵檢測或者入侵防禦系統等。收集協議是指將網絡元件所產生的日誌消息運載到日誌收集平臺的一個通信協議。它是網絡元件與日誌軟件之間的一種通信方式,如Syslog就是使用UDP的514號端口來運載日誌消息。日誌軟件是指集中收集網絡上各種設備所產生日誌的用戶應用平臺(通常也叫做日誌服務器),它可以直接與用戶進行交互,提供用戶隨時查看具體某個時間段、某個IP地址所產生的具體日誌信息等,還可以對收集的日誌進行分類與過濾管理,從而方便用戶快速地搜索並排除與故障相關的核心日誌。集中收集日誌的組件如圖4.46所示。
關於日誌文件類型的相互轉換:
一般情況下,日誌文件的格式有兩種:一種是基於Windows的日誌文件格式;另一種是基於Syslog的日誌文件格式。基於Syslog的日誌文件格式是UNIX或Linux操作系統所支持的一種日誌文件格式,大多數情況下網絡設備(路由器、交換機)所產生的日誌格式都是基於Syslog格式,比如思科就是使用syslog格式日誌。Windows的日誌只支持3種類型分類,具體如表2所示。而Syslog日誌格式定義了8種類型的日誌級別,具體如表3所示。
值得關注的第一個問題:如果需要部署集中收集日誌,那麼針對上述情況提出一個問題:既然Windows與網絡設備、UNIX、Linux的日誌分別使用兩種不同方式的日誌類型,那麼怎樣對兩種不同類型的日誌進行集中收集呢?因為在一個真實的企業級網絡環境中,應該既有Windows服務器,也有UNIX、Linux服務器,還有網絡設備。那麼,如何做到將不同日誌文件類型做轉換與收集呢?
首先,雖然Windows有產生日誌和收集本地主機日誌的功能,但是它不具備將企業級網絡當中的各種不同網絡元件所產生的日誌進行集中收集的功能。如果需要對企業級網絡中的日誌進行集中收集,那麼需要部署一個集中收集日誌的服務端。這種服務端的應用軟件有很多,有商業版本的、有免費版本的,如KiWi Syslog就是一個免費的集中收集日誌的服務端軟件。Kiwi Syslog 軟件是基於 Windows 的Syslog 服務器解決方案之一。這些產品的安裝與配置非常簡單,提供功能豐富的解決方案來接收、記錄、顯示並轉發各種網絡設備(如路由器、交換機、UNIX 主機及其他啟用Syslog 的設備)的Syslog 消息。
值得關注的第二個問題:現在使用Syslog軟件解決了集中收集日誌服務端的問題,接下來需要解決的是,Syslog是基於Syslog日誌消息類型的軟件,這與基於“Windows事件查看器”裡面的日誌類型不是一種格式,那麼,怎麼才能把Windows所產生的日誌類型轉換成Syslog能夠理解的日誌類型顯得非常重要?
基於Windows日誌客戶端的NTSyslog是安裝在Windows上的日誌客戶端軟件,是一款相當不錯的軟件。NTSyslog不會用自身的方式去創建日誌消息,它會採取一種非常乾淨的做法——將Windows自身產生的日誌信息轉化成一種Syslog能夠識別和兼容的格式,然後再把轉換後的格式發送到Syslog服務器進行集中存儲與管理。這樣既不會產生多餘的非Windows系統產生的日誌,又能讓Syslog服務器理解它。
演示:配置控制檯日誌並保存到buffered區域
演示目標:配置控制檯日誌並保存到buffered區域。
演示環境:如下圖10.47所示的演示環境。
演示背景:默認情況下路由器或者交換機所產生的日誌消息會直接發送到控制檯,但是不會保存,在該演示實驗中,將調整路由器向控制檯發送日誌消息的等級、關閉控制檯日誌功能、將控制檯日誌保存到緩衝區。
演示步驟:
第一步:默認情況下,思科的路由器會將上述表3中等級為0、1、2、3、4、5、6的日誌消息顯示到控制檯(console),比如:當您退出全局配置模式、關閉或者激活接口時,都會有日誌消息出現在控制檯上,如下圖10.48所示,這樣做的目標是方便隨時提醒管理員現在的操作和設備當前的狀態,發到控制檯(console)的日誌,是臨時的,路由器不會保存它。控制檯默認不將7級日誌(debug)顯示到控制檯,是為了考慮對路由器性能產生的額外過大開銷的問題,因為這樣做會在路由器的控制檯上顯示每條消息。
有時侯管理員可能會嫌控制檯出現太多的日誌信息使整個顯示不太清爽,此時您可以訂製,哪些等級的日誌可以顯示在控制檯上,如下所示的配置指示路由器R1只像控制檯發送0、1、2、3重要的日誌消息,不再向控制檯發送4、5、6類型的日誌消息,當完成配置後其結果如下10.49所示,此時,管理員退出或進入全局配置模式,手工關閉接口都不會再向控制檯發送相關日誌消息,只有激活接口時,報告了類型3的日誌。
要求只將類型3以上的日誌發送給控制檯:
R1(config)#logging console 3*向控制檯發送0、1、2、3等級的日誌。
第二步:如果您不希望,控制檯出現任何日誌消息,可以使用如下配置關閉向控制檯發送日誌消息的功能,關閉後再操作路由器R1,如下圖10.50所示,任何操作都不會再有消息提示,建議管理員不這樣做,除非您自認是真正的專家並清晰的知道路由器當前的每個狀況,不然會為您在配置過程中的故障排除產生難度,這好比是給狙擊手蒙上了雙眼。
關閉控制檯的日誌提示功能:
R1(config)#no logging console* 不向控制檯(console)發送任何日誌
第三步:控制檯產生的日誌所產生的日誌消息是一種即時消息,不會做保存,思科的路由器可以將日誌消息保存在緩衝區(buffered)中,這個保存是暫時的,它會隨路由器的重新啟動而丟失所保存的日誌消息,因為它是從路由器RAM中獲得暫存空間,一般建議:如果路由器的RAM超過16MB,那麼建議將日誌緩衝區的大小設置為32KB或者64KB,具體配置如下所示:
關於配置日誌消息緩衝區的指令:
R1(config)#logging on* 開啟日誌記錄功能
R1(config)#logging buffered 64000* 定義保存日誌消息的緩衝區大小為64K。
當完成上述配置後,現在可以為路由器R1的E1/0接口配置IP地址,並活動接口,然後通過show logging指令查看保存在緩存區中的日誌信息,如下圖10.51所示,可明顯看出配置日誌緩衝的大小,並記錄了接口狀態變化的日誌。
演示:配置日誌發送到VTY虛擬終端線路
演示目標:配置日誌文件發到VTY虛擬終端線路。
演示環境:仍然使用演示配置控制檯日誌並保存到buffered區域的實驗環境。
演示背景:如果是使用telnet登陸的方式來配置路由器,也就是使用了VTY終端,默認情況下,路由器不會將產生的日誌信息發送到VTY終端,也就是用戶Telnet的網絡配置窗口,在這個環境中要求將日誌信息發送到VTY終端。
演示步驟:
第一步:首先請配置路由器R1使其它允許被計算機192.168.2.100遠程登陸,然後作一些基本配置,比如新建一個環回接口,此時,您會發現,新建環回接口後,關於接口狀態的日誌消息只會在路由器的控制檯出現,在VTY虛擬終端(也就是Telnet會話)中沒有出現任何日誌消息,因為,默認情況下路由器不會將產生的日誌信息發送到VTY終端,如下圖10.52所示。
第二步:為了能讓路由器R1的日誌消息成功的發送到VTY終端,此時,需要在VTY終端會話中鍵入指令terminal monitor,該指令的功能就是將路由器R1所產生的日誌傳遞到VTY會話中,注意:如果指令terminal monitor是在傳統的控制檯上鍵入,那麼你的VTY終端仍然收不到任何日誌消息,該指令只能在VTY會話內(即telnet當前的會話窗口)中鍵入,當完成配置後,可以通過VTY會話在路由器R1上再新建一個環回接口,如下圖10.53所示,在VTY終端中成功的產生的日誌消息。
演示:配置日誌發送到syslog日誌服務器
演示目標:配置網絡環境中的交換機和路由器將日誌發送到syslog日誌服務器。
演示環境:如下圖10.54所示的演示環境。
演示背景:要求部署網絡中的syslog服務器,集中的收集交換機S1和路由器R1所產生的日誌,並且使用協議分析器,分析日誌文件的構成和傳輸形式。
演示步驟:
第一步:完成基礎配置,其中包括為交換機S1和路由器R1配置接口地址,必須確保交換機和路由器都能成功的與日誌服務器192.168.3.100通信。
路由器R1上的基礎配置:
R1(config)#interface e1/0
R1(config-if)#ip address 192.168.4.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface e1/1
R1(config-if)#ip address 192.168.3.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
在交換機S1上的基礎配置:
S1(config)#interface vlan 1
S1(config-if)#ip address 192.168.4.100 255.255.255.0 *為交換機配置網絡管理IP
S1(config-if)#no shutdown
S1(config-if)#exit
S1(config)#ip route 0.0.0.0 0.0.0.0192.168.4.1 *為交換機指定默認網關
注意:必須正確的在交換機S1上完成配置,保證交換機能成功的與日誌服務器192.168.3.100通信,否則交換機S1所產生的日誌將無法發送到192.168.3.100,事實上,此時的交換機S1在日誌收集這個行為中,它就是一臺被網絡管理的IP結點,VLAN1接口上的IP地址192.168.4.100就是它的管理地址,而默認路由中的下一跳192.168.4.1就是交換機S1的默認網關。
第二步:現在開始在日誌服務器192.168.3.100上安裝日誌軟件(kiwi syslog),在安裝時需要注意,如下圖10.54所示,選擇將syslog以一個服務進行安裝,而不是以應用程序,將syslog以一個服務進行安裝時,不需要用戶登陸windows系統,它就可以運行。
安裝完成後,如下圖10.55所示,配置日誌服務器所使用的IP地址、端口和日誌的編碼格式,默認情況下syslog使用UDP514號端口,請保持默認的日誌編碼格式。在完成上述配置後,打開日誌的mange菜單,選擇“start the syslogd service”以啟動syslog服務。如下圖10.56所示。
第三步:配置交換機S1和路由器R1支持日誌功能,並將它們所產生的日誌發送到日誌服務器192.168.3.100上。具體配置如下:
配置交換機S1發送日誌到192.168.3.100
S1(config)#logging on *啟動日誌功能
S1(config)#logging host 192.168.3.100transport udp port 514 *申明日誌服務器的IP和端口
S1(config)#logging source-interface vlan 1 *申明發送日誌的更新源接口
配置交換機R1發送日誌到192.168.3.100
R1(config)#logging on
R1(config)#logging host 192.168.3.100transport udp port 514
R1(config)#logging source-interface e1/1
第四步:現在來驗證,交換機S1和路由器R1是否能將本地生產的日誌成功的發送到日誌服務器,你可以在交換機S1或者路由器R1的全局配置模式下,通過執行exit退出全局配置模式,就可以產生相關的日誌。然後再到日誌服務器192.168.3.100查看syslog服務,如下圖10.57所示,syslog服務器成功的收集到S1和R1的日誌。
如果你在產生日誌的同時開啟了協議分析器,那麼可以捕獲到如下圖10.58所示的日專協議數據幀,可清晰的看出發送日誌的源主機和接收日誌的目標主機,使用的端口號,日誌的具體內容等,默認情況下日誌是沒有被加密的,以明文的行式體現。
