Configurando syslog no PIX/ASA

/ / Published in Configuração, Security

Configurar o firewall (e demais equipamentos) para enviar traps para um syslog server é algo fortemente recomendado. Com isso podemos armazenar essas informações por longos período, dependendo apenas do espaço em disco do servidor.

Além da possiblidade de auditoria, outro ponto importante é que sem o syslog, se o firewall tiver algum problema os logs vão junto…

Para configurar esta opção no PIX/ASA, basta habilitar a opção logging, apontar o IP do servidor syslog e a interface por onde o servidor será alcançado. Depois especifique o nível de log que deverá ser enviado para o syslog.

syslog table Nível de log, onde 0 é o mais crítico e 7 e o menos grave

Se o nível 3 é escolhido, por exemplo, todos os logs com níveis 3, 2, 1 e 0 são enviados para o syslog.

Configurando o firewall para enviar logs para o syslog com IP 10.10.10.243, que está na rede inside e nível 3 de criticidade.

conf t
logging enable
logging host inside 10.10.10.243
logging trap 3

Com a configuração acima o firewall já enviará os logs para o syslog e estará trabalhando com as configurações padrões (enviará a mensagem via UDP, porta 514).

 

Configurações opcionais

Se você precisar é possível definir outra porta qualquer, ou ainda especificar o protocolo TCP. Observe que você pode trabalhar com UDP e TCP, mas não ao mesmo tempo.

Configurando o firewall para enviar logs para o syslog com IP 10.10.10.243, que está na rede inside utilizando a porta 1500 UDP

logging host inside 10.10.10.243 upd/1500

Configurando o firewall para enviar logs para o syslog com IP 10.10.10.243, que está na rede inside utilizando a porta 1300 TCP

logging host inside 10.10.10.243 TCP/1300

 

Também temos a opção de configurar a facility e habilitar o formato emblem.

O EMBLEM faz a geração de logs em um formato específico, e é normalmente usado para enviar logs ao CiscoWorks. Já a facility surgiu com o objetivo de identificar qual parte do sistema (UNIX) gerou o log. Porém com a falta de padrão podemos dizer que a facility serve para diferenciar os logs de cada equipamento.

Por padrão o ASA gera mensagens com a facility ASA (como exemplo abaixo, em vermelho), e o Pix utiliza a facility PIX.

Dec 19 2009 07:48:46: %ASA-5-713904: IP = 10.10.226.6, Received encrypted packet with no matching SA, dropping

Configurando o firewall para utilizar o formato emblem

logging host inside 10.10.10.243 format emblem

Configurando o firewall para utilizar a facility 10

logging facility 10

Até a próxima.

Tagged under: , , , , ,
Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezenove anos de experiência com redes e segurança.

What you can read next

Config Lock: Uma pessoa acessa por vez!
Monitorando o tráfego do PC
Usando o Splunk como Syslog Server

2 Comments to “ Configurando syslog no PIX/ASA”

  1. Gil Amaral says :
    31/01/2015 at 15:57

    Parabéns pelo post.

    Alguém poderia recomendar um servidor de syslog free para minha rede. Obs: tenho cerca de 600 devices Cisco e infelizmente não temos verba.

    1. André Ortega says :
      05/02/2015 at 22:14

      Existem alguns trials, e alguns free bem simples. Mas para algo desse tamanho acho que seria inviável.