Настроим Cisco
быстро и просто

Настройка лога на Cisco ASA

Июнь 21, 2016

 

Одним из способов понять почему Cisco ASA или маршрутизатор(Cisco router) не пропускает трафик и что именно настроено некорректно – посмотреть лог. Проблема в том, что по умолчанию логирование событий отключено и команда sh log ничего не покажет.

Для включения логирования событий нужно выполнить следующие команды

FW-DELTACONFIG-1(config)#
logging enable
logging timestamp
logging buffer-size 128000
logging buffered 7

Эти настройки позволят фиксировать абсолютно все события в оперативной памяти устройства, а размер лога будет ограничен 128 кбит. Этого хватит для анализа примерно 5 – 30 минут в зависимости от загрузки устройства.


Посмотреть эти данные можно командой sh log
FW-DELTACONFIG-1# sh log

 

Фильтр лога

Даже при небольшом потоке трафика, проходящим через устройство, количество сообщений может быть очень велико. Соответственно искать интересующую информацию проблематично. Для фильтрации сообщений используйте команду sh log | inc «значение». Это позволит видеть только те строки, в которых содержится указанное слово.

Например так будет выглядеть строка для поиска сообщений в логе, связанных с отработкой правил определенного списка доступа (access list). В качестве значения фильтра используется название списка доступа ACL_INSIDE_IN

FW-DELTACONFIG-1# sh log | inc ACL_INSIDE_IN
Deny tcp src inside:2.2.2.2/2607 dst outside:1.1.1.1/13000 by access-group "ACL_INSIDE_IN" [0x0, 0x0]
Jun 15 2016 15:13:33: %ASA-4-106023: Deny tcp src inside:2.2.2.2/2607 dst outside:1.1.1.1/13000 by access-group "ACL_INSIDE_IN" [0x0, 0x0]
Jun 15 2016 15:13:33: %ASA-4-106023: Deny tcp src inside:2.2.2.2/2607 dst outside:1.1.1.1/13000 by access-group "ACL_INSIDE_IN" [0x0, 0x0]

Так можно узнать о всех пакетах для хоста с определенным ip адресом
FW-DELTACONFIG-1# sh log | inc 1.1.1.1
Jun 15 2016 15:33:00: %ASA-6-302015: Built inbound UDP connection 199837817 for outside:1.1.1.1/61563 (1.1.1.1/61563) to inside:3.3.3.3/53 (3.3.3.3/53)
Jun 15 2016 15:33:00: %ASA-6-302015: Built inbound UDP connection 199837818 for outside:1.1.1.1/62939 (1.1.1.1/62939) to inside:3.3.3.3/53 (3.3.3.3/53)

Точное время

Помимо самих событий часто важно и время, когда они произошли. Команда logging timestamp
Отвечает за подпись даты и времени события в логе, однако стоит учесть, что точное время должно быть также настроено на устройстве.

Посмотреть текущее время можно командой sh clock
FW-DELTACONFIG-1# sh clock
15:40:11.651 MSK Wed Jun 15 2016

Перед установкой времени следует указать часовой пояс, где находится устройство. Пример команды для Московского времени в часовом поясе GMT +3
FW-DELTACONFIG-1 (config)#
clock timezone MSK 3

Установить время можно вручную командой clock set
FW-DELTACONFIG-1 (config)#
clock set 15:40:00 15 MAY 2016

Или указав устройству адрес сервера точного времени NTP. Можно использовать как внутренние, так и публичные серверы в сети Интернет. Одновременно можно указать несколько NTP серверов.
FW-DELTACONFIG-1 (config)#
ntp server 50.16.201.39

deltaconfig - cisco аутсорсинг

Посмотреть состояние синхронизации можно командой sh ntp associations
FW-DELTACONFIG-1# sh ntp associations
address         ref clock     st  when  poll reach  delay  offset    disp
+~50.16.201.39       89.109.251.21     2   919  1024  377   0.6   -2.26    30.5

Чем меньше значение disp (30.5), тем точнее время на устройстве.

Перейти к оглавлению

avatar
1 Цепочка комментария
0 Ответы по цепочке
0 Последователи
 
Популярнейший комментарий
Цепочка актуального комментария
1 Авторы комментариев
Сергей Авторы недавних комментариев
сначала новые сначала старые самые полезные
Сергей
Гость
Сергей

Вы уверены что clock set в режиме глобального конфигурирования настраивается?

×

Форма для связи