cisco网络设备安全二
保存网络设备日志
在 cisco网络设备安全一 配置SSH登录检测日志时,可以将非法的SSH登录记录下来,以便网络管理员及时发现网络攻击。但在默认的情况下,网络设备的日志都保存在本机上,当系统重启的时候日志便会丢失。更重要的是,这种方式也不便于进行日志分析。
因此,我们更希望网络设备产生的日志可以都自动传送到一台服务器上,从而方便日志的储存和分析。
下面以cisco路由器为例,说明网络设备的日志配置过程。
1.设置日志缓冲区大小,一般该值是16384
R(config)#Logging buffered 16384
2设置syslog服务器IP地址,以便网路设备将日志发送给该服务器。
R(config)# Logging 10.0.0.1
3.给日志加入时间戳。
R(config)# Service timestamps log datetime [msec] [localtime] [show-timezone]
R(config)# Service timestamps log uptime
4如果需要可以将日志发送到终端的Telnet会话中,以便网管查看。
R(config)# Terminal Monitor
5.配置日志消息类型。
通常日志消息可以分为如下几种类型。
Logging {console | monitor | trap | history} level
level分类如下:
0 Emergencies 系统不稳定
1 Alert 需要立即采取行动
2 Critical 临界情况
3 Errors 错误情况
4 Warnings 警告情况
5 Notification 正常但重要的情况
6 Information 仅信息消息
7 debugging 调试消息
6.在本地查看或者清除日志消息
show Logging //查看日志
clear Logging //清除日志
7.下面所示的是一个常见的路由器日志服务配置模板。
Service timestamp debug datetime localtime show-timezone
Service timestamp log datetime localtime show-timezone
clock timezone PST -8
clock summer-time PDT recurring
logging buffered 16354
logging trap debugging
logging facility local 7
logging 10.0.0.1
logging soruce-interface loopback 0
8.配置路由器之后,还需要进一步配置接收这些日志的主机,通常是一台Syslog主机。Syslog是一个运行在UNIX服务器上的进程或者守护进程,用于收集、储存日志文件,日志消息从运行在UNIX服务器的不同服务以及其他网络结点发来,发送消息的服务指示其设备类型。
Syslog支持的设备类型如下:
| 设备类型 | 服务 |
| Auth | 认证系统 |
| Cron | 时钟守护进程设备 |
| Daemon | 系统守护进程 |
| Kerm | 内核 |
| Local 0-7 | 本地定义的消息 |
| Lpr | 打印系统 |
| 邮件系统 | |
| News | USENET新闻 |
| Sys9-14 | 系统使用 |
| Sylog | 系统日志 |
| User | 用户进程 |
| Uucp | UNIX到UNIX复制系统 |
9.修改/etc/sysconfig/syslog 文件,将其中的字段“SYSLOGD_OPTIONS="-m 0"”修改为“SYSLOGD_OPTIONS="-r -m 0"”
10.Syslog的配置文件是 /etc/syslog.conf ,例如子啊该配置文件中加入如下命令。
Local7.debugging /usr/adm/logs/cisco.log
local7.notice /usr/adm/logs/cisco.log
注:来源学习书籍。
本文出自 “domybest” 博客,转载请与作者联系!