No Cisco ASA cada entrada em uma access-list, chamada ACE – Access Control Entry, pode gerar log.
Por padrão, quando o tráfego é negado por uma ACE de uma access-list extendida (ou Webtype ACE) é gerada uma mensagem syslog (106023), como no exemplo abaixo:
ACE:
access-list inside_access_in line 1 deny ip host 10.123.45.20 any
Log:
%ASA-4-106023: Deny udp src inside:10.123.45.20/61619 dst outside:8.8.4.4/53 by access-group “inside_access_in” [0xf61894a9, 0x0]
Mas podemos mudar esse comportamento inserindo a palavra “log” no fim da access control entry.
Com essa configuração, o invés de gerar uma mensagem syslog 106023 para cada pacote negado, o ASA passa gerar uma mensagem 106100 e habilita um contador que indicará quantos pacotes foram negados em um certo intervalo de tempo (o padrão é 300 segundos) para aquele fluxo (IP e porta de origem, IP e porta de destino).
ACE:
access-list inside_access_in line 1 deny ip host 10.123.45.20 any log
Log:
%ASA-6-106100: access-list inside_access_in denied udp inside/10.123.45.20(62386) -> outside/200.221.11.100(53) hit-cnt 1 first hit [0xf61894a9, 0x0]
Essa medida é extremamente útil quando o equipamento está sofrendo um ataque, pois ajuda a diminuir a quantidade de logs gerados e ainda a reduzir o processamento.
Se desejado, ainda podemos desabilitar complementa a geração de logs, inserindo a opção “disable” no fim da linha.
ACE:
access-list inside_access_in line 1 deny ip host 10.123.45.20 any log disable
Com esta configuração o tráfego será bloqueado, mas nenhuma mensagem syslog será gerada. Aliás, é o que acontece com o “deny implicito”, que bloqueia o tráfego que não foi liberado explicitamente sem gerar logs.
Por fim, para remover o “log” de uma determinada linha, basta usar o parâmetro “default”.
ACE:
access-list inside_access_in line 1 deny ip host 10.123.45.20 any log default
Com este comando a ACE voltará ao padrão, gerando mensagens syslogs 106023 para cada pacote negado.
Mais detalhes no CLI Configuration Guide.
Até a próxima.
