La collecte des journaux de réseau et la surveillance
Logging
vous permet de surveiller ce qui est arrivé à votre réseau dans le passé. Gestion, vos journaux collectés peuvent identifier les problèmes avant qu'ils ne deviennent des problèmes. Périphériques Cisco, cependant, ont limité l'espace tampon pour stocker les journaux, et lorsque vous redémarrez l'appareil, vous les perdrez.Collecte des journaux en un seul endroit
Pour résoudre espace tampon limitée de périphériques Cisco, utilisez un serveur Syslog. Vous pouvez trouver un serveur Syslog pour Windows à partir Kiwi Software (qui fait maintenant partie de SolarWinds). Vous pouvez choisir parmi de nombreux autres serveurs Syslog, le tout à des prix différents, allant de la gratuité à des milliers de dollars.
Le but d'un serveur Syslog, quel que soit le coût, est de collecter les données des journaux à partir d'une variété de dispositifs et de consolider en un seul endroit où il peut facilement être contrôlé, fouillé, et analysé. Si vous utilisez Linux ou Unix, vous avez un grand choix de serveurs Syslog gratuits.
La Serveur Syslog agit comme un point de départ pour vos activités d'exploitation forestière de collecte, permettant à tous les journaux de votre réseau pour être stockés dans un endroit de sorte que vous pouvez rechercher facilement. Le serveur Syslog est un must pour la sécurité du réseau parce que sans un serveur Syslog, vos journaux resteront sur les dispositifs dispersés et ne sera jamais revu ou archivé.
L'inconvénient est que Syslog peut envoyer un grand nombre de petits morceaux de données très rapide, donc il utilise User Datagram Protocol (UDP) et en clair afin d'éviter de surcharger le réseau. Pour empêcher les utilisateurs non autorisés de lire ces paquets en clair et pour isoler votre trafic Syslog, vous devez utiliser un VLAN de gestion distinct.
Ce VLAN de gestion doit être déjà en place parce que ce est où vous isoler commutateur et routeur gestion de tout votre trafic. Une autre option, à la place du réseau de gestion, est de permettre à la sécurité de la couche réseau pour tout ce trafic grâce à IPSec ou un autre type de mécanisme de cryptage.
Vous pouvez facilement activer la journalisation du côté de Cisco de l'équation. (La partie la plus difficile est la configuration du serveur Syslog.) Utiliser un code similaire à l'exemple suivant, qui n'a besoin que de spécifier l'adresse IP du serveur de journal:
Router1 #activerMot de passe: Router1 # configure les commandes de configuration de terminalEnter, un par ligne. Terminez avec CNTL / Z.Router1 (config) hôte #logging 192.168.8.20Router1 (config) #Sortie
Le choix d'un niveau de journalisation
Avec presque tous les dispositifs de niveau de l'entreprise de Cisco sont huit niveaux de journalisation par défaut qui vont de zéro à sept. Chacun de ces niveaux de journalisation est lié à un détail dans l'enregistrement des données. Ces niveaux vous permettent de choisir facilement un bloc de données que vous souhaitez avoir connecté dans les journaux du système, puis envoie effectivement l'information de journal via SNMP ou Syslog vers des destinations.
Prenez soin que vous augmentez les niveaux parce que vous augmentez la charge du processeur de votre appareil. Cela est particulièrement vrai de niveau 7.
Niveau | Titre | Description |
---|---|---|
0 | Urgences | Le système est inutilisable |
1 | Alertes | Une action immédiate nécessaire |
2 | Crucial | Conditions critiques |
3 | Erreurs | Conditions d'erreur |
4 | Avertissements | Conditions d'avertissement |
5 | Notifications | Messages d'information |
6 | Informatif | Des conditions normales, mais significatives, |
7 | Mise au point | Messages de débogage |
Comme avec la plupart des choses avec le Cisco IOS, ce ne est pas très difficile à mettre en place ou configurer. En mode de configuration globale, utiliser deux commandes. journalisation piège spécifie quel niveau de consignation doit être envoyé à votre server- Syslog journalisation tamponnée configure le niveau de journalisation qui affiche dans la mémoire tampon temporaire.
Router1 #activerMot de passe: Router1 # configure les commandes de configuration de terminalEnter, un par ligne. Terminez avec CNTL / Z.Router1 (config) #journalisation piège 6Router1 (config) #logging tamponnée 6Router1 (config) #fin