Настройка лога на Cisco ASA
Одним из способов понять почему Cisco ASA или маршрутизатор(Cisco router) не пропускает трафик и что именно настроено некорректно – посмотреть лог. Проблема в том, что по умолчанию логирование событий отключено и команда sh log ничего не покажет.
Для включения логирования событий нужно выполнить следующие команды
FW-DELTACONFIG-1(config)#
logging enable
logging timestamp
logging buffer-size 128000
logging buffered 7
Эти настройки позволят фиксировать абсолютно все события в оперативной памяти устройства, а размер лога будет ограничен 128 кбит. Этого хватит для анализа примерно 5 – 30 минут в зависимости от загрузки устройства.
Посмотреть эти данные можно командой sh log
FW-DELTACONFIG-1# sh log
Фильтр лога
Даже при небольшом потоке трафика, проходящим через устройство, количество сообщений может быть очень велико. Соответственно искать интересующую информацию проблематично. Для фильтрации сообщений используйте команду sh log | inc «значение». Это позволит видеть только те строки, в которых содержится указанное слово.
Например так будет выглядеть строка для поиска сообщений в логе, связанных с отработкой правил определенного списка доступа (access list). В качестве значения фильтра используется название списка доступа ACL_INSIDE_IN
FW-DELTACONFIG-1# sh log | inc ACL_INSIDE_IN
Deny tcp src inside:2.2.2.2/2607 dst outside:1.1.1.1/13000 by access-group "ACL_INSIDE_IN" [0x0, 0x0]
Jun 15 2016 15:13:33: %ASA-4-106023: Deny tcp src inside:2.2.2.2/2607 dst outside:1.1.1.1/13000 by access-group "ACL_INSIDE_IN" [0x0, 0x0]
Jun 15 2016 15:13:33: %ASA-4-106023: Deny tcp src inside:2.2.2.2/2607 dst outside:1.1.1.1/13000 by access-group "ACL_INSIDE_IN" [0x0, 0x0]
Так можно узнать о всех пакетах для хоста с определенным ip адресом
FW-DELTACONFIG-1# sh log | inc 1.1.1.1
Jun 15 2016 15:33:00: %ASA-6-302015: Built inbound UDP connection 199837817 for outside:1.1.1.1/61563 (1.1.1.1/61563) to inside:3.3.3.3/53 (3.3.3.3/53)
Jun 15 2016 15:33:00: %ASA-6-302015: Built inbound UDP connection 199837818 for outside:1.1.1.1/62939 (1.1.1.1/62939) to inside:3.3.3.3/53 (3.3.3.3/53)
Точное время
Помимо самих событий часто важно и время, когда они произошли. Команда logging timestamp
Отвечает за подпись даты и времени события в логе, однако стоит учесть, что точное время должно быть также настроено на устройстве.
Посмотреть текущее время можно командой sh clock
FW-DELTACONFIG-1# sh clock
15:40:11.651 MSK Wed Jun 15 2016
Перед установкой времени следует указать часовой пояс, где находится устройство. Пример команды для Московского времени в часовом поясе GMT +3
FW-DELTACONFIG-1 (config)#
clock timezone MSK 3
Установить время можно вручную командой clock set
FW-DELTACONFIG-1 (config)#
clock set 15:40:00 15 MAY 2016
Или указав устройству адрес сервера точного времени NTP. Можно использовать как внутренние, так и публичные серверы в сети Интернет. Одновременно можно указать несколько NTP серверов.
FW-DELTACONFIG-1 (config)#
ntp server 50.16.201.39
Посмотреть состояние синхронизации можно командой sh ntp associations
FW-DELTACONFIG-1# sh ntp associations
address ref clock st when poll reach delay offset disp
+~50.16.201.39 89.109.251.21 2 919 1024 377 0.6 -2.26 30.5
Чем меньше значение disp (30.5), тем точнее время на устройстве.
Вы уверены что clock set в режиме глобального конфигурирования настраивается?