Além de permitir visualizar as mensagens Syslog na console e no ASDM (e enviar para um servidor Syslog), o ASA também pode enviar as mensagens para um endereço de e-mail.
Antes de continuar cuidado: ENVIAR TODOS OS LOGS PARA O EMAIL PODE GERAR UM DoS NO SERVIDOR, E IMPOSSIBILITAR A ANÁLISE, PELA GRANDE QUANIDADE DE MENSAGENS GERADAS.
Com o comando logging mail podemos especificar o servidor de email, o endereço de origem, destino e o nível de log a ser enviado.
Nível de severidade para mensagens syslog:
- 0 or emergencies—System is unusable
- 1 or alerts—Immediate action needed
- 2 or critical—Critical conditions
- 3 or errors—Error conditions
- 4 or warnings—Warning conditions
- 5 or notifications—Normal but significant conditions
- 6 or informational—Informational messages
- 7 or debugging—Debugging messages
O recomendado é enviar mensagens críticas (2), alertas (1) ou emergências (0). E lembre-se que ao selecionar o nível 2, serão geradas mensagens para os níveis 2, 1 e 0.
Exemplo: Configurando o ASA para enviar mensagens syslog por email.
BrainFW01(config)# logging enable
BrainFW01(config)# logging mail critical
BrainFW01(config)# logging from-address brainfw01@brainwork.com.br
BrainFW01(config)# logging recipient-address operador@brainwork.com.br
BrainFW01(config)# smtp-server 10.10.10.50 10.10.10.51
Com esta configuração o ASA enviará mensagens críticas, alertas e emergências, usando o endereço brainfw01 para o email do operador, usando os servidores smtp 10.10.10.50 e 51.
Também é possível criar filtro, usando o comando logging list, e assim diminuir a quantidade de logs gerados.
BrainFW01(config)# logging list log-mail-list 100100-100110
BrainFW01(config)# logging list log-mail-list level critical
BrainFW01(config)# logging mail log-mail-list
Outra opção é especificar o nível de log enviado para cada usuário. Para isso basta informar o level do logging quando for criar o recipien-address.
BrainFW01(config)# logging recipient-address operador@brainwork.com.br level 2
BrainFW01(config)# logging recipient-address administrador@brainwork.com.br level 0
Outras informações no Command Reference 8.2, do ASA.
Parabéns Andre pelo post…Otimo post
Obrigado, continue visitando o blog.
André,
Temos alguma maneira de gerenciar as configurações através de alertas enviados por e-mail ?
Ou seja, toda vez que uma access-list for alterada/adicionada receberemos um e-mail com essa informação.
Obrigado.
[]´s
RMendonça.
RMendonça,
quando você altera uma access-list o ASA gera algum log? Veja na console se ele notifica essa alteração (acho que sim, mas não lembro com certeza…)
Se ele gerar o alerta pegue o código de identificação e crie uma “logging list”. Depois configure o “logging mail” para usar a “logging list”.
Logging List:
http://bit.ly/gvV09I
Logging mail:
http://bit.ly/gYnPXC
OBS: Se você puder coloque esta questão no brainwork responde, assim compartilhamos as dúvidas.
André, Funcionou numa boa !!
logging message 111008 level alerts
logging list log-mail-list message 111008-111008
logging mail log-mail-list
logging from-address firewall-asa@xxx.com.br
logging recipient-address operador@xxx.com.br
smtp-server 10.254.254.34
————————————————
Jan 04 2011 22:56:23: %ASA-1-111008: User ‘raphael.mendonca’ executed the ‘no access-list teste line 1 extended permit tcp host 10.254.254.21 host 100.1.255.254’ command.
[]´s
Raphael Mendonça
Legal Raphael, e obrigado por postar o resultado.