Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Unix-подобные системы

Регистрация журналов Cisco на удаленном Linux syslog

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. 1. Установка и настройка syslog на Debian
  4. 2. Настройка Cisco для отправки логов
  5. 3. Разделение логов
  6. 4. Логирование и ротация
  7. Заключение

Вопрос или проблема

Добрый вечер,
Я использую несколько маршрутизаторов и коммутаторов Cisco, а также виртуализированную установку Debian. Чтобы обеспечить надлежащие судебно-медицинские возможности в случае атаки/нарушения/неисправности, я хочу удаленно записывать сообщения маршрутизаторов/коммутаторов в удаленное место, чтобы иметь возможность их читать даже в случае отключения/перезагрузки оборудования.

Моя идея заключалась в том, чтобы удаленно записывать сообщения с маршрутизаторов Cisco на виртуализированный хост Debian, запущенный с syslog. Я делал это в прошлом с Debian Stretch, и это работало, устанавливая различные коды служб и правильно настраивая ротацию журналов с помощью cron. Теперь я вижу, что Bookworm удаляет syslog и делает все с помощью journalctl. Я вижу, что я также могу установить syslog одновременно и настроить его, как я делал ранее, но меня интересует, есть ли способ избежать локальной записи в syslog и записывать только удаленные сообщения syslog в /var/log/*, в то время как локальная система по-прежнему обрабатывается journal(d/ctl). Я полагаю, что мог бы настроить сокет для прослушивания и записывать в соответствующие файлы служб, а локальную запись syslog отправлять в /dev/null, но мне это не нравится… кто-то делал что-то подобное? Или есть лучшая идея? Я спрашиваю заранее, чтобы, когда я подготовлю виртуальную машину, выделенную для записи журналов, я смог ее правильно настроить.

Спасибо за любые советы.
Фабио

Ответ или решение

Добрый вечер, Фабиу,

Рекомендую вам рассмотреть несколько аспектов настройки удаленной передачи логов с маршрутизаторов и коммутаторов Cisco на вашу виртуализированную Debian-систему с учетом изменений в Bookworm. Ваше желание получить надежное решение для ведения журналов, защищенное от потери информации в случае сбоя или перезагрузки оборудования, вполне оправдано.

1. Установка и настройка syslog на Debian

Если вы хотите, чтобы ваши Cisco-устройства отправляли журналы на удаленный сервер, вам необходимо настроить системный журнал на Debian. С учетом того, что Bookworm заменяет syslog на journalctl, у вас есть несколько опций:

  • Установка rsyslog: Это один из самых популярных и мощных системных логгеров. Вы можете установить его с помощью команды:

    sudo apt update
sudo apt install rsyslog

  • Настройка rsyslog для прослушивания удаленных логов: После установки откройте конфигурационный файл rsyslog:

    sudo nano /etc/rsyslog.conf

    Затем добавьте следующие строки для включения UDP и TCP для получения логов:

    module(load="imudp")  
input(type="imudp" port="514")

module(load="imtcp")
input(type="imtcp" port="514")

2. Настройка Cisco для отправки логов

На маршрутизаторах и коммутаторах Cisco вы должны будет настроить их для отправки логов на ваш удаленный сервер Debian. Это можно сделать с помощью следующих команд в командной строке Cisco:

enable
configure terminal
logging host <IP-адрес вашего Debian-сервера>
logging trap <уровень>  # Например, logging trap informational

Замените <IP-адрес вашего Debian-сервера> на фактический IP-адрес вашего сервера.

3. Разделение логов

Если вы хотите отделить удаленные логи Cisco от локальных логов системы, вы можете использовать следующие техники.

  • Фильтрация логов в rsyslog: Вы можете настроить rsyslog для записи логов конфигурации в отдельные файлы. Добавьте следующие строки в /etc/rsyslog.conf:

    if $fromhost-ip == '<IP-адрес вашего Cisco>' then /var/log/cisco.log
& stop

  • Отключение локального логирования: Если вам не нужны локальные логи, вы можете перенаправить их в /dev/null с помощью следующей команды:

    *.* /dev/null

    Но это может затруднить диагностику в случае локальных проблем.

4. Логирование и ротация

Убедитесь, что вы настроили ротацию логов для предотвращения переполнения диска. Вы можете выполнить это, добавив конфигурацию в файл /etc/logrotate.d/rsyslog:

/var/log/cisco.log {
    weekly
    rotate 4
    compress
    missingok
    notifempty
}

Заключение

Таким образом, данная конфигурация позволит вам эффективно централизовать логирование на вашем Debian-сервере, обеспечивая доступ к журнальным сообщениям даже в случае перезагрузки оборудования. Настройка rsyslog для управления логами с Cisco и возможность фильтрации информации создадут надежную среду для расследования инцидентов.

Если у вас есть дополнительные вопросы или вам нужна помощь в процессе настройки, не стесняйтесь обращаться. Успехов в вашей работе!

cisco debian rsyslog syslog systemd-journald
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности