cisco网络设备安全二

保存网络设备日志

在 cisco网络设备安全一 配置SSH登录检测日志时，可以将非法的SSH登录记录下来，以便网络管理员及时发现网络攻击。但在默认的情况下，网络设备的日志都保存在本机上，当系统重启的时候日志便会丢失。更重要的是，这种方式也不便于进行日志分析。

因此，我们更希望网络设备产生的日志可以都自动传送到一台服务器上，从而方便日志的储存和分析。

 

下面以cisco路由器为例，说明网络设备的日志配置过程。

 

1.设置日志缓冲区大小，一般该值是16384

R（config）#Logging buffered 16384

 

2设置syslog服务器IP地址，以便网路设备将日志发送给该服务器。

R（config）# Logging 10.0.0.1

 

3.给日志加入时间戳。

R（config）# Service timestamps  log datetime [msec]  [localtime] [show-timezone]

R(config)# Service timestamps log uptime

 

4如果需要可以将日志发送到终端的Telnet会话中，以便网管查看。

R（config）# Terminal Monitor

 

5.配置日志消息类型。

通常日志消息可以分为如下几种类型。

Logging {console | monitor | trap | history} level

 

level分类如下：

0  Emergencies 系统不稳定

1 Alert            需要立即采取行动

2 Critical         临界情况

3 Errors         错误情况

4 Warnings 警告情况

5 Notification 正常但重要的情况

6 Information 仅信息消息

7 debugging 调试消息

 

 

6.在本地查看或者清除日志消息

 

show Logging  //查看日志

clear Logging //清除日志

 

 

 

7.下面所示的是一个常见的路由器日志服务配置模板。

 

Service timestamp debug datetime localtime show-timezone

Service timestamp log datetime localtime show-timezone

clock timezone PST -8

clock  summer-time PDT recurring

logging buffered 16354

logging trap debugging

logging facility local 7

logging 10.0.0.1

logging soruce-interface loopback 0

 

8.配置路由器之后，还需要进一步配置接收这些日志的主机，通常是一台Syslog主机。Syslog是一个运行在UNIX服务器上的进程或者守护进程，用于收集、储存日志文件，日志消息从运行在UNIX服务器的不同服务以及其他网络结点发来，发送消息的服务指示其设备类型。

Syslog支持的设备类型如下：

设备类型	服务
Auth	认证系统
Cron	时钟守护进程设备
Daemon	系统守护进程
Kerm	内核
Local 0-7	本地定义的消息
Lpr	打印系统
Mail	邮件系统
News	USENET新闻
Sys9-14	系统使用

Sylog	系统日志
User	用户进程
Uucp	UNIX到UNIX复制系统

 

 

 

9.修改/etc/sysconfig/syslog 文件，将其中的字段“SYSLOGD_OPTIONS="-m 0"”修改为“SYSLOGD_OPTIONS="-r -m 0"”

 

 

10.Syslog的配置文件是 /etc/syslog.conf  ,例如子啊该配置文件中加入如下命令。

Local7.debugging  /usr/adm/logs/cisco.log

local7.notice         /usr/adm/logs/cisco.log

 

 

 

 

 

 

注：来源学习书籍。

本文出自 “domybest” 博客，转载请与作者联系！