소개
많은 네트워크 관리자가 라우터/스위치에서 발생하는 로그의 중요성을 간과하는데요, Logging은 오류 알림, 네트워크 포렌식 및 보안 감사에 사용할 수 있는 유용한 기능입니다.
Cisco 라우터/스위치 로그 메시지는 5가지 방법으로 처리할 수 있습니다.
콘솔 로깅: 기본적으로 활성화되는 기능으로서, 라우터/스위치는 모든 로그 메시지를 콘솔 포트로 보냅니다. 따라서 장비 콘솔 포트에 물리적으로 연결된 사용자만이 이러한 메시지를 볼 수 있습니다.
터미널 로깅: 콘솔 로깅과 유사하지만 대신 라우터/스위치의 VTY 라인에 로그 메시지를 표시합니다. 이것은 디폴트로 활성화되어 있지 않습니다.
버퍼된 로깅: 이 유형의 로깅은 로그 메시지를 저장하기 RAM을 사용합니다. 로그가 귀중한 시스템 메모리를 고갈시키지 않도록 크기가 고정되어 있습니다. 라우터는 새 메시지가 추가 될 때 버퍼에서 가장 오래된 메시지부터 삭제하여 헤당 메모리 용량을 유지합니다.
Syslog 서버 로깅: 로그 메시지를 외부 syslog 서버로 전달하여 저장하기 위해 syslog를 사용할 수 있습니다. 이 유형의 로깅은 디폴트로 활성화되지 않고 별도 설정이 필요합니다.
SNMP 트랩 로깅: 라우터는 로그 메시지를 외부 SNMP 서버로 보내기 위해 SNMP 트랩을 사용할 수 있습니다.
샘플 라우터/스위치의 로그 메시지 (어떤 경우 어떤 레벨에 해당이 되는지) :
레벨 레벨명 메시지
0 |
Emergencies |
팬 트레이 누락으로 인한 시스템 종료 |
1 |
Alerts |
온도 한계 초과 |
2 |
Critical |
메모리 할당 실패 |
3 |
Errors |
인터페이스 Up/Down 메시지 |
4 |
Warnings |
SNMP 요청을 통한 서버에의 Configuration 파일 기록 |
5 |
Notifications |
라인 프로토콜 Up/Down |
6 |
Information |
액세스 리스트 위반 로깅 |
7 |
Debugging |
디버그 메시지 |
로깅에 대한 Configuration
A) 콘솔 로깅:
라우터는 사용자가 콘솔 포트에 로그인했는지 또는 기기가 연결되어 있는지 확인하지 않습니다. 콘솔 로깅이 활성화 된 경우, 메시지는 항상 CPU로드를 유발할 수있는 콘솔 포트로 전송됩니다.
콘솔 로깅을 중지하려면 "no logging console" 글로벌 configuration 명령을 사용하시면 됩니다. "logging console level" configuration 명령으로 콘솔에 보내지는 메시지의 양을 제한하는 것이 가능합니다. (예 : logging console Informational).
B) Buffered 로깅:
장비가 로그 메시지를 기록하고자 할 경우입니다. 라우터 로그 메시지의 로컬 저장을 활성화하기 위해 로깅 buffered configuration 명령을 사용하려면:
Router#configure terminal
configuration 명령을 한 줄에 하나씩 입력합니다. CNTR/Z로 끝냅니다.
Router(config)#logging buffered informational
Router(config)#end
로그 사이즈를 설정하는 방법
Router#configure terminal
configuration 명령을 한 줄에 하나씩 입력합니다. CNTR/Z로 끝냅니다.
Router(config)#logging buffered 64000
Router(config)#end
C) 터미널 로깅:
라우터가 로그 메시지를 VTY 세션에 실시간으로 표시하도록하려는 경우. 터미널 모니터 명령을 사용하여 VTY에 로그 메시지를 표시를 활성화 하기:
Router#terminal monitor
Router#
VTY 세션에 대한 로깅을 비활성화하려면 다음 명령을 사용하세요:
Router#terminal no monitor
Router#
D) Syslog 서버 로깅:
로그 메시지를 원격 syslog 서버로 보내고자 할 경우, 이를 사용하여 이 로그 저장을 위해 외부 장치(기기)에 메시지를 보낼 수 있으며 저장 크기는 외부 syslog 서버의 사용 가능한 디스크 공간에 따라 다릅니다. 이 옵션은 디폴트로 활성화되어있지 않습니다.
syslog 서버가있는 경우 아래의 간단한 configuration을 확인해보세요.
router#conf t
Router(config#logging host x.x.x.x
Router(config)#logging traps (예: 요구사항에 따라 0 1 2 3 4 5..)
로깅을 활성화하기 전에 라우터가 모든 NTP 서버에서 적절한 시간을 수집하도록 올바르게 구성되어 있는지 확인해주세요. 또는 시간을 수동으로 설정도 가능합니다.
라우터에서 수동으로 시간을 설정하는 명령은 (set clock)이고, ntp 서버를 이용하려면 “ntp server x.x.x.x”로 라우터에 시계를 동기화합니다.
syslog 메시지에 대한 특정 IP 주소를 지정하려면 logging source-interface configuration 명령을 사용하세요:
Router(config)#logging source-interface Loopback0
E) 라우터 로그 지우기
clear logging 명령을 사용하여 라우터의 내부 로그 버퍼를 지웁니다:
Router#clear logging
Clear logging buffer [confirm]<enter>
Router#
F) 시스템 로깅 상태 (syslog)와 표준 시스템 로깅 메시지 버퍼의 내용을 표시하려면 show logging 권한이있는 EXEC 명령을 사용합니다.
Router# show logging
Syslog logging: enabled
Console logging: disabled
Monitor logging: level debugging, 266 messages logged.
Trap logging: level informational, 266 messages logged.
Logging to 10.1.1.1
SNMP logging: disabled, retransmission after 30 seconds
0 messages logged
Router#.
*본 문서는 Cisco 커뮤니티의 How to configure logging in Cisco IOS를 번역하였으며, 더 나은 정보 전달을 위해 일부 수정/편집되었습니다.