«

»

jul 11 2008

Guardando os Logs de um Roteador Cisco

Os logs (registros) gerados pelos roteadores e switches são muito importantes em um processo de identificação e solução de problemas (troubleshooting) em vários aspectos:

a) Ajuda na depuração de problemas;

b) Informa em tempo real sobre eventos que estão ocorrendo no roteador;

c) Cria uma linha base em um processo de resposta a incidentes;

d)  Identifica o nível de severidade de um determinado evento;

Vamos abordar neste artigo o processo de configuração de um roteador para enviar seus registros (logs) para um um servidor de logs simples como o Kiwi Syslogd, para suas experiências com Dynamips e até mesmo utilizá-lo em ambientes pequenos de produção.


Tradicionalmente os equipamentos da Cisco enviam as mensagens  para a porta de console (console logging) como padrão.  Quando você precisa, através de um sistema de vty, precisa ativá-lo (terminal logging). O roteador também permite a utilização de um sistema de rodízio de registros na memória (log rotate) para armazenamento temporário destas informações. Obviamente um limite deverá ser criado para os logs não consumirem toda a RAM. Mas o principal motivo deste artigo é criarmos  um servidor de logs externo para receber estas mensagens e armazená-las por determinado período de tempo, pois algumas sopas de letrinhas como ISO/IEC, SOX, dentre outras já estão obrigando a algumas corporações a adotarem métodos que facilitem um processo de auditoria para dar maior confiabilidade aos investidores e consumidores.

Os níveis de severidade podem ser observados de acordo com a tabela abaixo:

Nível Nome                   Descrição                                           Definição

0     Emergencies     Router unusable                             LOG_EMERG
1     Alerts                 Immediate action needed              LOG_ALERT
2     Critical               Critical conditions                            LOG_CRIT
3     Errors                Error conditions                               LOG_ERR
4     Warnings          Warning conditions                           LOG_WARNING
5     Notifications     Normal but important conditions   LOG_NOTICE
6     Informational   Informational messages                  LOG_INFO
7     Debugging        Debugging messages                         LOG_DEBUG

O IOS já vem com uma configuração padrão para o processo de logging são eles:

– System message logging to the console: Ativado
– Console severity: Debugging é o padrão, seguido de outras prioridades
– Logging buffer size: 4096 bytes. Quanto Cisco reserva para armazenar os logs localmente, no seu próprio buffer.
– Logging history size: 1 mensagem
– Timestamps: Desabilitado
– Synchronous logging: Desabilitado
– Logging server: Desabilitado
– Syslog server IP address: Nenhum configurado. Parâmetro onde informaremos o IP do Kiwi syslogd.
– Server facility: local7
– Server severity: informational

Configurando o Router

Primeiramente baixe do sítio http://www.kiwisyslog.com/kiwi-syslog-daemon-download/ o servidor syslogd e instale em sua máquina.

Monte a topologia bem simples com GNS3 conforme a figura abaixo:

Topologia testes

Router(config)#hostname RTR-PITANGA
RTR-PITANGA(config)#interface fastEthernet 0
RTR-PITANGA(config-if)#ip address 10.55.0.206 255.255.255.0
RTR-PITANGA(config-if)#no shutdown
RTR-PITANGA(config-if)#
*Mar  1 00:00:56.287: %LINK-3-UPDOWN: Interface FastEthernet0, changed state to up
*Mar  1 00:00:57.287: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0, changed state to up

Observe mensagens de logs enviadas ao console

RTR-PITANGA(config-if)#^Z

RTR-PITANGA#ping 10.55.0.62

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.55.0.62, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/45/156 ms

RTR-PITANGA#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
RTR-PITANGA(config)#service sequence-numbers

Este comando permite identificarmos melhor as mensagens enviadas pelo router.

RTR-PITANGA(config)#service timestamps log datetimeEste comando permite que a hora e data sejam incluídas em cada mensagem

RTR-PITANGA(config)#logging buffered 8192

Comando que define o tamanho do buffer das mensagens

RTR-PITANGA(config)#logging 10.55.0.62

Comando que informa o endereço IP do servidor de logs

RTR-PITANGA#clock set 07:58:00 July 11 2008

Ajustando o horário do roteador

Monitorando as mensagens enviadas ao servidor syslog

syslogd

Para observar o buffer do seu roteador execute o comando:

RTR-PITANGA#sh logging
Syslog logging: enabled (0 messages dropped, 1 messages rate-limited,
0 flushes, 0 overruns, xml disabled, filtering disabled)
Console logging: level debugging, 13 messages logged, xml disabled,
filtering disabled
Monitor logging: level debugging, 0 messages logged, xml disabled,
filtering disabled
Buffer logging: level debugging, 1 messages logged, xml disabled,
filtering disabled
Logging Exception size (4096 bytes)
Count and timestamp logging messages: disabled
Trap logging: level informational, 18 message lines logged
Logging to 10.55.0.62, 1 message lines logged, xml disabled,
filtering disabled

Log Buffer (8192 bytes):

000013: *Mar  1 00:01:11: %SYS-5-CONFIG_I: Configured from console by console
Até ao próximo artigo…



Comente usando o Facebook!
0
0

15 comentários

Pular para o formulário de comentário

  1. Minu

    Muito bom, irei testar e estudar logo mais. Obrigado!

    0

    0
  2. Minier

    Show de bola Marcos!
    Muito útil!

    0

    0
  3. Marcelo

    Muit bom Marcos, já fiz aqui e deu certo!!!
    agora me diz… tem como fazer para o Kiwi Syslog gravar outros tipos de mensagens de log?? Quer dizer, ter deve ter né… mas o q eu preciso fazer no router pra ele enviar, por exemplo, todas as msgs de ICMP ???

    Vlw!!!

    0

    0
  4. Marcos Pitanga

    Router(config)#access-list 110 permit icmp any any log
    Router(config)#access-list 110 permit ip any any

    Veja se dá certo.

    Não esqueça de aplicar na interface

    Router(config)#int fa0/0
    Router(config-if)#ip access-group 110 in

    0

    0
  5. Toguko

    Boa dica, eu queria ver algo de controle de inventário em roteadores no estilo, quantas placas tem no roteador A, e um programa tipo o syslog que me avisa placa X retirada do roteador C…

    Abraços, Rafael Venanancio

    0

    0
  6. Marcos Pitanga

    Isso vamos aprender lá na frente quando formos brincar com gerência snmp e o software de monitoramento NiNo.

    0

    0
  7. Marcelo Costa

    Muito bom!
    vou testar logo mais

    0

    0
  8. Plinio Monteiro

    Excelente post Marcos… Como sempre artigos de grande qualidade e utilidade.

    Plínio.

    0

    0
  9. Marcelo

    Marcos… vou testar.. muito obrigado pela dica!!

    0

    0
  10. Daniel Rodrigues

    Excelente POST, Marcos! Como sempre , muito util para o dia a dia.
    Aproveitando o embalo, vc poderia tirar uma duvida relacionada?
    Para que serve o comando: loggin facility ?
    Obrigado
    []s

    0

    0
  11. Marcos Pitanga

    Vamos lá… Você pode ter até 7 “facilitadores” locais para armazenar seus logs…

    Por exemplo, você pode querer separar os logs de switches e dos roteadores de outros equipamentos de sua rede. Ou separar dois “facilitadores locais” um para os roteadores (local7) e outro para seus switches (local6), ou seja dois arquivos separados contendo os logs distintos, o que “facilita” o processo de depuração de problemas e até mesmo de auditoria em seus ativos de rede.

    []´s

    0

    0
  12. Daniel Rodrigues

    Marcos, obrigado pelo Facility..rs
    Estive estudando uma forma de implementar logging nos meus routers e me deparei com esse tal comando na documentacao da cisco.
    Mas seu tutorial, esta mais que suficiente para a implementacao.
    Maos a obra agora!
    []s

    0

    0
  13. juliobarrios

    Marcos Pitanga, boa tarde!
    Em primeiro parabéns pelo artigo, muito bom. Preciso de um favor, estou com uma dúvida com relação aos logs de um roteador cisco (mod. 2811 e 2851).
    Esses modelos de roteadores guardam os logs caso o seu administrador faça alguma alteração em sua configuração?
    Caso não, é possível criar ou configurar para que estas possíveis alterações sejam registradas para uma auditoria mesmo no perfil do administrador, ou seja, auditar os comandos realizados pelo administrador do roteador.

    Grato pela atenção,

    Júlio César

    0

    0
  14. cleberafs

    Em um ambiente de grande porte, qual seria software recomendado para armazenar logs?

    0

    0
  15. Edson

    Excelente artigo Marcos, obrigado.
    haha, agora o Kiwi é pago…

    Vou procurar algum free por aí e testar.

    0

    0

Deixe uma resposta