Настроим Cisco
быстро и просто

Настройка лога на Cisco ASA

Июнь 21, 2016

Read the article CONFIGURING LOGGING ON CISCO DEVICES in Read in EnglishEnglish

Одним из способов понять почему Cisco ASA или маршрутизатор(Cisco router) не пропускает трафик и что именно настроено некорректно – посмотреть лог. Проблема в том, что по умолчанию логирование событий отключено и команда sh log ничего не покажет.

Для включения логирования событий нужно выполнить следующие команды

FW-DELTACONFIG-1(config)#
logging enable
logging timestamp
logging buffer-size 128000
logging buffered 7

Эти настройки позволят фиксировать абсолютно все события в оперативной памяти устройства, а размер лога будет ограничен 128 кбит. Этого хватит для анализа примерно 5 – 30 минут в зависимости от загрузки устройства.

Посмотреть эти данные можно командой sh log
FW-DELTACONFIG-1# sh log

deltaconfig - cisco аутсорсинг

Фильтр лога

Даже при небольшом потоке трафика, проходящим через устройство, количество сообщений может быть очень велико. Соответственно искать интересующую информацию проблематично. Для фильтрации сообщений используйте команду sh log | inc «значение». Это позволит видеть только те строки, в которых содержится указанное слово.

Например так будет выглядеть строка для поиска сообщений в логе, связанных с отработкой правил определенного списка доступа (access list). В качестве значения фильтра используется название списка доступа ACL_INSIDE_IN

FW-DELTACONFIG-1# sh log | inc ACL_INSIDE_IN
Deny tcp src inside:2.2.2.2/2607 dst outside:1.1.1.1/13000 by access-group "ACL_INSIDE_IN" [0x0, 0x0]
Jun 15 2016 15:13:33: %ASA-4-106023: Deny tcp src inside:2.2.2.2/2607 dst outside:1.1.1.1/13000 by access-group "ACL_INSIDE_IN" [0x0, 0x0]
Jun 15 2016 15:13:33: %ASA-4-106023: Deny tcp src inside:2.2.2.2/2607 dst outside:1.1.1.1/13000 by access-group "ACL_INSIDE_IN" [0x0, 0x0]

Так можно узнать о всех пакетах для хоста с определенным ip адресом
FW-DELTACONFIG-1# sh log | inc 1.1.1.1
Jun 15 2016 15:33:00: %ASA-6-302015: Built inbound UDP connection 199837817 for outside:1.1.1.1/61563 (1.1.1.1/61563) to inside:3.3.3.3/53 (3.3.3.3/53)
Jun 15 2016 15:33:00: %ASA-6-302015: Built inbound UDP connection 199837818 for outside:1.1.1.1/62939 (1.1.1.1/62939) to inside:3.3.3.3/53 (3.3.3.3/53)

Точное время

Помимо самих событий часто важно и время, когда они произошли. Команда logging timestamp
Отвечает за подпись даты и времени события в логе, однако стоит учесть, что точное время должно быть также настроено на устройстве.

Посмотреть текущее время можно командой sh clock
FW-DELTACONFIG-1# sh clock
15:40:11.651 MSK Wed Jun 15 2016

Перед установкой времени следует указать часовой пояс, где находится устройство. Пример команды для Московского времени в часовом поясе GMT +3
FW-DELTACONFIG-1 (config)#
clock timezone MSK 3

Установить время можно вручную командой clock set
FW-DELTACONFIG-1 (config)#
clock set 15:40:00 15 MAY 2016

Или указав устройству адрес сервера точного времени NTP. Можно использовать как внутренние, так и публичные серверы в сети Интернет. Одновременно можно указать несколько NTP серверов.
FW-DELTACONFIG-1 (config)#
ntp server 50.16.201.39

Посмотреть состояние синхронизации можно командой sh ntp associations
FW-DELTACONFIG-1# sh ntp associations
address         ref clock     st  when  poll reach  delay  offset    disp
+~50.16.201.39       89.109.251.21     2   919  1024  377   0.6   -2.26    30.5

Чем меньше значение disp (30.5), тем точнее время на устройстве.

Перейти к оглавлению

avatar
×

Форма для связи