现在越来越多的数据中心都讲态势感知,各种云云,其中收集网络设备原始日志是一个重要的内容,ASA 作为安全设备,日志也非常重要。
这里做一个简单的实验,ASA syslog 配置
1.关于日志
录到中央系统日志服务器有助于汇聚日志和提醒。 思科设备可以将其日志消息发送到 UNIX 样式
的系统日志服务。 系统日志服务接受消息并将其存储在文件中,或者根据简单配置文件打印消
息。 以这种形式记录日志可为日志提供受保护的长期存储。 日志对常规故障排除及事件处理均有
帮助。
思科 ASA 系统日志提供有关对 ASA 进行监控和故障排除的信息。 通过日志记录功能,可以执行
以下操作:
• 指定应记录哪些系统日志消息。
• 禁用或更改系统日志消息的严重性级别。
• 指定一个或多个应发送系统日志消息的位置,包括内部缓冲区、一个或多个系统日志服务
器、ASDM、SNMP 管理站、指定的邮件地址或 Telnet 和 SSH 会话。
• 以组形式(例如,按严重性级别或消息类)配置和管理系统日志消息。
• 指定是否对系统日志生成应用速率限制。
• 指出在内部日志缓冲区已满时如何处理其内容:覆盖缓冲区、将缓冲区内容发送到 FTP 服务
器,或者将内容保存到内部闪存。
• 按位置、严重性级别、类或自定义消息列表过滤系统日志消息。
系统日志消息分析
以下是可从各种系统日志消息审阅中获取的信息类型的一些示例:
• ASA 和 ASASM 安全策略允许的连接。 这些消息帮助确定安全策略中仍存在的漏洞。
• ASA 和 ASASM 安全策略拒绝的连接。 这些消息显示将哪些类型的活动定向到受保护内部网络。
• 使用 ACE 拒绝率日志记录功能显示在 ASA 或 ASA 服务模块上发生的攻击。
• IDS 活动消息可以显示已发生的攻击。
• 用户身份验证和命令使用情况提供安全策略更改的审计线索。
• 带宽使用情况消息显示每个已建立和中断的连接,以及各连接使用的持续时间和流量。
• 协议使用情况消息显示每个连接使用的协议和端口号。
• 地址转换审计线索消息记录建立或中断的 NAT 或 PAT 连接,如果接收到从网络内部到外部环
境的恶意活动报告,这些消息会有所帮助。
系统日志消息格式
系统日志消息以百分号 (%) 开头并构造如下:
%ASA Level Message_number: Message_text
字段说明如下:
ASA 由 ASA 和 ASASM 所生成消息的系统日志消息设备代码。 该值始终为 ASA。
Level 1 至 7。 级别反映系统日志消息所描述情况的严重性 - 数字越小,情况越严重。
Message_number 用于标识系统日志消息的唯一六位数编号。
Message_text 用于描述情况的文本字符串。 系统日志消息的这一部分有时包含 IP 地址、端口号或用户名。
严重性级别
下表列出系统日志消息严重性级别。 可以为各严重性级别分配自定义颜色,更轻松地在 ASDM 日
志查看器中对其进行区分。 要配置系统日志消息颜色设置,请依次选择 Tools > Preferences >Syslog 选项卡,
或者在日志查看器中,点击工具栏上的 Color Settings。
级别号 严重级别 说明
0 emergencies 系统不可用。
1 alert 需要立即采取措施。
2 critical 严重情况。
3 error 错误情况。
4 warning 警告情况。
5 notification 正常但重大的情况。
6 informational 消息仅供参考。
7 debugging 消息仅供调试。
二 配置日志记录
1.启用日志记录
logging enable
2.配置输出目标
logging host interface_name syslog_ip [tcp[/port] | udp[/port] [format emblem]]
ASA cli 配置
一个简单的syslog 记录