Меню

Настройка kiwi syslog demon



Настройка Syslog server

Устройства Cisco имеют широкие возможности логирования (logging).
Практически любое событие можно запротоколировать с на нужным уровне подробностей.
Подробнее по настройке логирования см. Настройка логирования

Хранить логи устройство может в своей оперативной памяти либо на Fleash и понятно, что много тут не сохранишь, а оперативная память при перезагрузке ещё и затирается.
Особенно это касается аварийных случаев, когда на устройство заглянуть возможности нет или нет времени, и оно в панике ребутается с потерей всех логов.

Альтернативным хорошим способом логирования есть логирование на внешний сервер, который называется Syslog server.
Существует ПО Syslog server от разных производителей, мы же рассмотрим самого известного с версией: Kiwi Syslog Server 9.4.1.

Установка Kiwi Syslog Server

В установке ничего особо сложного нет — просто запускаем Kiwi_Syslog_Server_9.4.1.Eval.setup.exe, всё делаем стандартно и со всем соглашаемся.
Единственное, нужно запомнить админскую учётку для Web Access.
Установка потребует перезагрузки. Также сразу после установки нужно поставить лицензию.

Проверка/Настройка

Статус сервиса можно проверить здесь:
Administrative tools > Services > Siwi Syslog server
Понятно, что у него должно быть состояние Started.

Статус сервера можно проверить запустив Kiwi Syslog Server Console.
Отсюда можно проверить следующее:

  • File > Send test message
  • Manage > Show syslogd service state

Настройка устройства cisco

! Настройка отображения текущего времени
service timestamps log datetime localtime
!
! Включение логирования
logging on
!
!
! Отключения логов на консоль
logging console critical
logging monitor debugging
!
! Настройка логирования в буфер
logging buffered informational
logging buffered 16386
logging rate-limit 100 except 4
!
! Настройка сообщений на сервер syslog
logging 192.168.1.10
logging trap debugging

Для того чтобы посмотреть что упало в буфер:
router#show logging

Включение отображения monitor logging:
terminal monitor

В результате сообщения должны начать валиться в syslog server:

Web access

Web access позволяет не только получить доступ к логам удалённо, но по сути является основным рабочим инструментом по работе с syslog, и предлагает широкие возможности по фильтрованию сообщений, разделению прав и т.д.


Тут работа интуитивно понятна, и комментировать пожалуй нечего

Kiwi Syslog Server и tftpd32.exe

После установки syslog server может перестать запускаться tftpd32.exe, из-за конфликта портов.
Это связано с тем, что tftpd32.exe по умолчанию также прослушивает и syslog: это можно выключить в его настройках(settings).

Источник

Настройка kiwi syslog demon

Вся нижепредоставленная информация взята с **************** (http://****************).

Прочитай первые две части — там подробно описывали как смотреть лог.

1. Цивилизовано
Устанвливаешь Freeware программу Kiwi Syslog Daemon на комп.
http://www.kiwisyslog.com/
В конфиге указываешь ип компа и порт 514 удп порт для лога.

# Host fьr UDP-logging
LOG_HOST=192.168.1.1

# Port fьr UDP-logging(optional); Default ist 514
LOG_PORT=514

В конфиге ставишь тип лога 6 — UDP+Console.

Сохраняешь и перегружаешь дрим.
Запускаешь Kiwi Syslog на компе и любуешься.

2. обычно
В конфиге ставишь тип лога 6 — UDP+Console или 2 — Console
Перегружаешь дрим

Заходишь по тельнету, лучше всего через программу PuTTY.
http://www.chiark.greenend.org.uk/

Сперва останавливаешь камд3 командой:
killall camd3

Название самого бинарного файла камд зависит от имеджа, в основном совковцы на територии СНГ используют или рудрим или гемени.
В гемени он называется camd3_838a например, значит и убивать надо его.
killall camd3_838а
В рудрим раньше был camd3n, значит и убиваем
killall camd3n

Как называется камд3 можно посмотреть ккомандой показа всех процессов
ps -ax

Потом запускаем камд3.
Указываем полный путь и название бинарника в зависимости от имеджа.
Примеры:
/var/keys/camd3

В гемени
/var/keys/camd3_838а

В рудрим
/var/keys/camd3n

Смотрим лог.
Возможно при выходи из телнета, камд3 упадет — перегрузите дрим и все.
Напоминаю это только примеры, всё зависит от имеджа.
Указаное дествительно для дримов 7000, 500 и 56Х0.

Читайте также:  Настройка подъемные механизмы кухонный

Внимание.
В дримах 7020
Путь обычно не /var/bin, a /usr/bin.
в общем ищите сами, быть или не быть.

Автор: Kamen987
Ссылка на оригинал (http://****************/thread.php?postid=640748#post640748)

Логгирование вообще
ВОПРОС
Как посмoтреть лог эмулятора?

ОТВЕТ
Первейшим помощником при настройке эмулятора/кардсервера/клиентаCS является его же лог запуска/работы.
В подавляющем большинстве случаев лог подопытного софта можно посмотреть, запустив его ручками в телнет-сессии, но такой способ не очень удобен (и, как правило, эму нужно сначала «убить» — а это не всегда тривиально) и часто неприемлем по ряду причин — в общем, тут требуется отдельная статья FAQ.
Ниже будет рассмотрена имплементированная во многих современных эму/CS возможность просмотра лога по протоколу UDP.

Вкратце — специальным образом настроенный софт непрерывно «пуляет» протокол своей работы на UDP порт по некоему адресу (IP) — назовем его клиентом лога. Клиент лога — компьютер, на котором запущена соотвествующая программа, принимающая сообщения с этого самого UDP порта и интерпретирующая его в обычные текстовые сообщения — искомый лог.
Плюсы такого способа — лог передается непрерывно, посмoтрeть его можно в любой момент, запустив на клиентском компьютере программу-логгер, при этом с дримбоксом не нужно устанавливать телнет-сессию и вообще вмешиваться в его работу. Он просто должeн быть on-line. Кстати, таким образом очень удобно смотрeть лог на удаленном (очень удаленном) дримбоксе — например, помогая кому-то настраивать его долбаный шаринг.

Сразу о программе-логгере для Windows машин (юниксоиды и сами с усами как смотреть лог от к примеру того же syslogd — тут все также) — называется 3CSyslog — 3com Syslog Message Daemon. Качать тут
Распаковать, инсталлировать, запустить и пользоваться — никаких настроек не требуется.

Настройка «подопытного софта» обычно сводится к правке его конфига с целью включения возможности UDP-логгинга.

mgcamd — файл mg_cfg

# Log options
# 00 Off (default)
# 01 Network
# 02 console
# 03 both
L: < 01 >666.666.666.666 514

gbox — файл gbox_cfg

# Trace/Debug
# xx yz ; xx=00 no konsole output
# xx yz ; xx=01 konsole output
# xx yz ; y=0 debug output (don’t use)
# xx yz ; y=1 no debug output
# xx yz ; z=0 ouput to konsole
# xx yz ; z=1 output to /var/tmp/debug.txt
# xx yz ; z=2 Output to UDP (to capture with gboxt)
Z: < 00 12 >666.666.666.666 514

evocamd — файл camd_cfg

# To use UDP log
# 00 disabled
# 01 enabled
L: < 00 >666.666.666.666 514

camd3 — файл camd3.config

# Log(optional): 0 — keine Ausgaben, 1-Datei, 2 — Console, 4 — UDP(syslog), 3 — Console+Datei, 5 — UDP+Datei, 6 — UDP+Console, 7-UDP+Console+Datei; Default ist 2;
LOG=4

# Host fьr UDP-logging
LOG_HOST=666.666.666.666

# Port fьr UDP-logging(optional); Default ist 514
LOG_PORT=514

newcs — файл newcs.xml

1. Я нарочно выбрал недопустимый IP- адрес 666.666.666.666 — как дополнительный сигнал к тому, что настраивая свoй софт нужно не забыть подставить свое значение — IP компа, на котором будет просматриваться лог. В некоторых эму/CS допустимо использование не IP, а имени DNS.

2. В примерах указан стандартный UDP-порт syslog — 514. Дело в том, что не все программы-логгеры (в том числе и предложенная выше) позволяют логировать по другому порту.
В целях потакания паранойе (пардон — для повышения секретности) — нужно конечно изменить этот порт на более другой (значением на несколько порядков больше) и использовать софт, позволяющий настраивать этот самый порт.

3. Ну и как всегда — при редактировании конфигов не забывайте, что строки, начинающиеся со знака диеза — # — являются комментариями и на работу софта никак не влияют.
Например, строка
#LOG_PORT=514
в камд3 может остаться закомментированной: будет использовано значение по-умолчанию — 514, что нам и нужно. Если же нужен другой порт — недостаточно изменить 514 на что-то другое, нужно не забыть убрать ведущий #
В файлах xml (см. newcs) комментарии выделяются так:

Читайте также:  Opencv настройка visual studio

Автор: ВаняШ
Ссылка на оригинал (http://****************/thread.php?postid=614723#post614723)

Ну и еще один совет

Если после очередной перепрошивки у вас случилась неприятность в виде
неработающего дримбокса, но там внутри оно все-таки работает, то можно
попробовать сделать так:
1) отключаем все от сети
2) соединяем дрим с компом нуль-модемным кабелем. Для надежности можно
дополнительно соединить корпуса отдельным проводочком
3) включаем компьютер
4) запускаем эмулятор терминала (minicom, hyperterminal, SecureCRT. )
выбираем нужный последовательный порт и включаем на нем 115200 8N1.
5) включаем дримбокс и видим на терминале строку загрузки
Dreambox DM7000
и через пару секунд что-то типа
Linux/PPC load: console=none root=/dev/mtdblock0 ro rootfstype=cramfs
точные значения могут отличаться.
Быстренько , пока оно не начало грузиться, меняем console=none на
console=ttyS0,115200
а все остальные параметры оставляем в неприкосновенности. Нажимаем Enter
и с интересом смотрим на процесс загрузки ядра и читаем сообщения об
ошибках. Если вам повезет, то в конце можно получить shell и вручную эти
ошибки исправить.

А если не повезет, то аналогичным образом можно загрузиться с сетевого
NFS-сервера, указав параметры
root=/dev/nfs nfsroot=ip-адрес-вашего-nfs-сервера:/корневой/каталог
ip=ip-для-дримбокса:ip-NFS-сервера:ip-шлюза:маска-сети:имя-для-дримбокса:сетевой-интерфейс-для-загрузки:метод-автоконфигурации

Последние три параметра можно опустить, но двоеточия надо оставить.
Например:
ip=192.168.0.9:192.168.0.1:192.168.0.1:255.255.255 .0.

Источник

Основы основ безопасности в Cisco сетях

Всем доброго здравия!

Не так давно начал самостоятельное обучение к сертификации по курсу Cisco CCNA Security. Дело чрезвычайно интересное и полезное, для тех кто сталкивается в жизни с данным вендором. В этом топике хотелось бы ввести, дорогих хаброжителей, в основы основ безопасности Cisco сетях, на примере железок 3-го уровня. Статья не претендует на роль полноценного мануала по безопасности маршрутизаторов, а лишь дает основные понятия подхода к реализации безопасности в Cisco сетях. Топик будит полезен, как для начинающих админов, так и для гуру администрирования, дабы освежить память. И так, с Вашего позволения, поехали:

Сразу оговорюсь, что теории будит мало, в основном лишь комментарии к редко используемым командам. Для примера, я использовал старенькую/тестовую железку, третьего уровня, 28 серии.

В первую очередь необходимо установить длину используемых паролей, в моем случае эта длина будит равна 10 символам:
R1(config)#security passwords min-length 10

Далее, подготовим роутер, для работы через line console, aux port-ы и line vty.
R1(config)#line console 0
R1(config-line)#password cisco
R1(config-line)#exec-timeout 5 0
R1(config-line)#login
R1(config-line)#logging synchronous

Команда exec-timeout говорит нам о том что, при бездействии пользователя в течении 5-ти минут произойдет процесс разлогирования.
Команда logging synchronous запрещает вывод каких-либо консольных сообщений, которые в свою очередь могут прервать ввод команд в консольном режиме. К сожалению по умолчанию она не включена.

R1(config)#line aux 0
R1(config-line)#password ciscoauxpass
R1(config-line)#exec-timeout 5 0
R1(config-line)#login
R1(config)#line vty 0 4
R1(config-line)#password ciscovtypass
R1(config-line)#exec-timeout 5 0
R1(config-line)#login

Воспользуемся командой service password-encryption для шифрования паролей console, aux и vty.
R1(config)# service password-encryption

Далее, настроим информационные баннеры на маршрутизаторе.
R1(config)#banner motd $Внимание, все Ваши действия записываются. Будте Внимательны$
R1(config)#exit

R1(config)#banner login $Внимание, все Ваши действия записываются. Будте Внимательны$
R1(config)#exit

Создадим пользователей системы:

R1(config)#username user1 password 0 cisco123pass.

Здесь можно выставить password со-значением 0, так как мы уже ввели команду service password-encryption и пароль будит в любом случае хешироваться в MD5. Так же обязательно выставлять каждому новому пользователю secret password:

R1(config)#username user2 secret user123pass
R1(config)#line console 0
R1(config-line)#login local
R1(config-line)#end
R1#exit
R1(config)#line aux 0
R1(config-line)#login local
R1(config-line)#end
R1#exit
R1(config)#line vty 0 4
R1(config-line)#login local
R1(config-line)#end
R1#exit

Читайте также:  Настройка магнитолы kenwood под сабвуфер

Еще один маленький штрих:

R1(config)#login block-for 60 attempts 2 within 30

В течении 60 секунд, не будит возможности войти в систему после 2-х неудачных попыток залогиниться. Сконфигурим процесс логирования, при всех возможных попытках доступа в систему:

R1(config)#login on-success log
R1(config)#login on-failure log every 2
R1(config)#exit

Подготовим router для работы с ssh соединениям, для этого создадим пользователя с уровнем привилегий 15 и соответствующими настройками line vty, ключи, ограниченным числом сессий и тайм-аутом для ssh сессий:

R1(config)#username admin privilege 15 secret Cisco12345Admin
R1(config)#line vty 0 4
R1(config-line)#privilege level 15
R1(config-line)#login local
R1(config-line)#transport input ssh
R1(config-line)#exit
R1(config)#crypto key generate rsa general-keys modulus 1024
R1(config)#exit
R1(config)#ip ssh time-out 90
R1(config)#ip ssh maxstartups 2
R1(config)#ip ssh authentication-retries 2
Router(config)#wr

Также, при необходимости существует возможность пробросить на нестандартный ssh порт:

R1(config)#ip ssh port 2009 rotary 9
R1(config)# line vty 4
R1(config)#rotary 9

R1#ssh -l admin -p 2009 192.168.5.5

Конфигурирование AAA: Administrative Role. Это довольно таки сильный механизм и по ней можно написать отдельную статью. В моем случае будит рассмотрен лишь малая его часть. Включаем ААА:

R1#config t
R1(config)#aaa new-model
R1(config)#exit

Включаем для пользователя admin, admin view. Для этого должен быть включен secret password, до того как был включен механизм ААА.

R1(config)#enable secret cisco12345
R1(config)#parser view admin
R1(config-view)#
*Dec 16 22:45:27.587: %PARSER-6-VIEW_CREATED: view ‘admin’
successfully created.

Note: To delete a view, use the command no parser view viewname.

Сделаем привязку пользователя и пароля:
R1(config-view)#secret admin1pass
R1(config-view)#
R1(config-view)#commands?
-RITE-profile Router IP traffic export profile command mode
-RMI Node Config Resource Policy Node Config mode
-RMI Resource Group Resource Group Config mode
-RMI Resource Manager Resource Manager Config mode
-RMI Resource Policy Resource Policy Config mode
-SASL-profile SASL profile configuration mode
-aaa-attr-list AAA attribute list config mode
-aaa-user AAA user definition
-accept-dialin VPDN group accept dialin configuration mode
-accept-dialout VPDN group accept dialout configuration mode
-address-family Address Family configuration mode

R1(config-view)#commands exec include all show
R1(config-view)#commands exec include all config terminal
R1(config-view)#commands exec include all debug
R1(config-view)#end
R1#enable view admin1
Password:admin1pass

Далее необходимо подготовить IOS железки, что то вроде на её безопасную загрузку и устойчивость.

R1(config)#secure boot-image
%IOS_RESILIENCE-5-IMAGE_RESIL_ACTIVE: Successfully secured running image

R1(config)#secure boot-config
%IOS_RESILIENCE-5-CONFIG_RESIL_ACTIVE: Successfully secured config archive [flash:.runcfg-19930301-00131.ar]

Все это проверяется командами:
R1#show flash
R1#show secure bootset

Конфигурим службу syslog на маршрутизаторе. Для этого нам понадобится Kiwi Syslog Daemon или Tftpd32 на отдельном PC, с настройками данных программ, думаю не должно возникнуть особых сложностей, там в принципе все просто. Так же необходимо будит поднять NTP сервер на routre, для синхронизации времени логов.

R1(config)#ntp server 10.1.1.2
R1(config)#ntp update-calendar
R1#show ntp associations
R1#debug ntp all
R1(config)#service timestamps log datetime msec
R1(config)#logging 192.168.1.3

Далее выставляем уровень логирования:

Severity level Keyword Meaning
0 emergencies System unusable
1 alerts Immediate action required
2 critical Critical conditions
3 errors Error conditions
4 warnings Warning conditions
5 notifications Normal but significant condition
6 informational Informational messages
7 debugging Debugging messages

Обычно выбирается уровень 4. Но все зависит от конкретной ситуации.

Ну вот в принципе пока все. Это то что мне удалось узнать из первых уроков курса и ПРОВЕРИТЬ в «боевых» условиях. Надеюсь, что не сильно утомил.

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

Источник

Adblock
detector