Mensagens de Log nos switches CISCO

Os registros de logs podem ser usados para notificação de falhas, análise forense e auditoria de segurança. As mensagens de logs dos equipamentos Cisco podem ser tratadas de 5 maneiras diferentes, gerando registros de log:

do terminal: similar ao do console, mas mostra mensagens de log nas linhas VTY. Não é habilitado por padrão.
de console: por padrão, todas as mensagens de log são enviadas para sua porta console. Portanto somente os usuários que estão fisicamente conectados à porta console pode ver essas mensagens.
de buffer: tipo de log que usa a memoria RAM para o armazenamento das mensagens de log. O buffer tem um limite fixo para garantir que o log não irá esgotar memória valiosa do sistema, deletando mensagens antigas do buffer assim como novas mensagens vão entrando.
do servidor Syslog: as mensagens de log podem ser encaminhadas para um servidor externo para o armazenamento.
de trap SNMP: mensagens de log podem ser enviadas para servidores SNMP através da configuração de traps.

Níveis de informação

O tratamento das mensagens de log é realizado através da definição do nível de informação das mensagens, sendo dividida em 7 níveis, onde a definição de um nível faz com que todas as mensagens dos níveis inferiores sejam também enviadas.

Formatação dos logs

O formato dos logs pode variar de acordo com o modelo do equipamento, mas nos switches da linha Catalyst 2960, são exibidos conforme exemplo:

Alguns exemplos de configuração para registro de logs que poderiam ser aplicados são:

logging on: habilita o log para todos os destinos;
logging console 3: define o nível de informação das mensagens exibidas quando realizado acesso via console, fazendo com que sejam exibidas somente mensagens de status de erro ou de maior importância;
logging trap 7: define o nível de informação das mensagens armazenadas no buffer e enviadas para algum servidor Syslog, caso exista.
logging buffered 100000: definir o tamanho do buffer de log para ser armazenado no switch. O nível dos logs é definido com o parâmetro trap;
service sequence-numbers: habilita números sequenciais nos logs;
service timestamps log datetime localtime: define o horário do log para o mesmo horário do equipamento, que por sua vez já foi configurado para ser sincronizado via NTP;
show logging: não é uma configuração mas serve para exibe o buffer local com os eventos de log;

A aplicação em um switch é meramente a transposição dos comandos em negrito para o console

switch(config)# logging on
switch(config)# logging console 3
switch(config)# logging trap 7
switch(config)# logging buffered 100000
switch(config)# service sequence-numbers
switch(config)# service timestamps log datetime localtime
switch(config)# end
switch# show logging

Uma configuração de log adicional por ser obtida com o comando archive que habilita o log das alterações realizadas pela linha de comando, salvando informações da sessão, tais como login e comando realizado.

switch(config)# archive
switch(config-archive)# log config
switch(config-archive-log-cfg)# logging enable
switch(config-archive-log-cfg)# logging size 500
switch(config-archive-log-cfg)# end
switch#

O comando show archive log config all é utilizado para exibir os logs das alterações realizadas, informando mais especificamente os comandos executados, os usuários e a linha de console utilizada para tal.

switch# show archive log config all
idx   sess           user@line      logged command
    1    20          admin@console |logging on
    2    20          admin@console |logging console 3
    3    20          admin@console |logging trap 7
    4    20          admin@console |logging buffered 100000
    5    20          admin@console |service sequence-numbers
    6    20          admin@console |service timestamps log datetime localtime
    7    20          admin@console |archive
    8    20          admin@console | log config
    9    20          admin@console | logging enable
   10    20          admin@console | logging size 500
switch#

Informática - Uma ciência oculta

Páginas

18/04/2018