ASA 8.2: Konfigurieren von Syslog mithilfe von ASDM

Einleitung

Dieses Dokument enthält Informationen zur Konfiguration von Syslog auf der Cisco Adaptive Security Appliance (ASA) 8.x mithilfe der ASDM-GUI (Adaptive Security Device Manager). Systemprotokollmeldungen sind die Meldungen, die von der Cisco ASA generiert werden, um den Administrator über jede Änderung der Konfiguration, Änderungen an der Netzwerkeinrichtung oder Änderungen an der Leistung des Geräts zu informieren. Durch die Analyse der Systemprotokollmeldungen kann ein Administrator den Fehler einfach beheben, indem er eine Ursachenanalyse durchführt.

Syslog-Meldungen werden hauptsächlich nach ihrem Schweregrad unterschieden.

1. Schweregrad 0 - Notfallmeldungen - Ressource kann nicht verwendet werden

2. Schweregrad 1 - Warnmeldungen - Sofortige Maßnahme erforderlich

3. Schweregrad 2 - Kritische Nachrichten - Kritische Bedingungen

4. Schweregrad 3 - Fehlermeldungen - Fehlerbedingungen

5. Schweregrad 4 - Warnungsmeldungen - Warnungsbedingungen

6. Schweregrad 5 - Benachrichtigungsmeldungen - Normale, aber signifikante Bedingungen

7. Schweregrad 6 - Informationsmeldungen - nur Informationsmeldungen

8. Schweregrad 7 - Debugging-Meldungen - Nur Debugging-Meldungen

   Hinweis: Der höchste Schweregrad ist ein Notfall, und der niedrigste Schweregrad wird gedebuggt.

Beispiele für von der Cisco ASA generierte Syslog-Meldungen sind hier aufgeführt:

• %ASA-6-106012: IP von IP_Adresse zu IP_Adresse ablehnen, IP-Optionen hexadezimal

• %ASA-3-211001: Fehler bei der Speicherzuweisung

• %ASA-5-335003: NAC-Standard-ACL angewendet, ACL:ACL-Name - Host-Adresse

Der in "%ASA-X-YYYYYY:" angegebene numerische Wert X gibt den Schweregrad der Nachricht an. Beispiel: "%ASA-6-106012" ist eine Informationsmeldung, und "%ASA-5-335003" ist eine Fehlermeldung.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco ASA Version 8.2

• Cisco ASDM Version 6.2

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Grundlegende Syslog-Konfiguration mit ASDM

Protokollierung aktivieren

Führen Sie diese Schritte aus:

1. Wählen Sie Configuration > Device Management > Logging > Logging Setup aus, und markieren Sie die Option Enable logging.

   

2. Sie können die Syslog-Meldungen in einem internen Puffer protokollieren, indem Sie die Puffergröße angeben. Sie können den Pufferinhalt auch im Flash-Speicher speichern, indem Sie auf Flash-Nutzung konfigurieren klicken und die Flash-Einstellungen definieren.

   

3. Gepufferte Protokollmeldungen können an einen FTP-Server gesendet werden, bevor sie überschrieben werden. Klicken Sie auf FTP-Einstellungen konfigurieren, und geben Sie die Details des FTP-Servers wie folgt an:

   

Protokollierung deaktivieren

Sie können bestimmte Syslog-IDs je nach Anforderung deaktivieren.

Hinweis: Wenn Sie das Häkchen für die Option Zeitstempel in Syslogs einschließen aktivieren, können Sie den Syslogs das Datum und die Uhrzeit hinzufügen, an dem bzw. zu der sie als Feld generiert wurden.

1. Wählen Sie die zu deaktivierenden Syslogs aus, und klicken Sie auf Bearbeiten.

   

2. Markieren Sie im Fenster Einstellungen für Syslog-ID bearbeiten die Option Nachrichten deaktivieren, und klicken Sie auf OK.

   

3. Die deaktivierten Syslogs können auf einer separaten Registerkarte angezeigt werden, indem Sie im Dropdown-Menü "Syslog ID Setup" die Option Disabled Syslog IDs (Deaktivierte Syslog-IDs) auswählen.

   

Anmelden bei einer E-Mail

Gehen Sie wie folgt vor, um die Syslogs mithilfe von ASDM an eine E-Mail zu senden:

1. Wählen Sie Configuration > Device Management > Logging > E-Mail Setup aus. Das Feld Quell-E-Mail-Adresse ist hilfreich, um eine E-Mail-ID als Quelle für die Syslogs zuzuweisen. Geben Sie die E-Mail-Quelladresse an. Klicken Sie nun auf Hinzufügen, um die E-Mail-Empfänger hinzuzufügen.

   

2. Geben Sie die Ziel-E-Mail-Adresse an, und wählen Sie den Schweregrad aus. Je nach Schweregrad können Sie verschiedene E-Mail-Empfänger definieren. Klicken Sie auf OK, um zum Bereich E-Mail-Setup zurückzukehren.

   

   Daraus ergibt sich folgende Konfiguration:

   

3. Wählen Sie Configuration > Device Setup > Logging > SMTP aus, und geben Sie den SMTP-Server an.

   

Anmeldung bei einem Syslog-Server

Sie können alle Syslog-Meldungen an einen dedizierten Syslog-Server senden. Führen Sie diese Schritte mithilfe von ASDM aus:

1. Wählen Sie Configuration > Device Management > Logging > Syslog Servers aus, und klicken Sie auf Add, um einen Syslog-Server hinzuzufügen.

   

   Das Fenster Syslog-Server hinzufügen wird angezeigt.

2. Geben Sie die Schnittstelle, der der Server zugeordnet ist, zusammen mit der IP-Adresse an. Geben Sie die Details zu Protokoll und Port je nach Netzwerkeinrichtung an. Klicken Sie dann auf OK.

   Hinweis: Stellen Sie sicher, dass Sie von der Cisco ASA aus auf den Syslog-Server zugreifen können.

   

3. Der konfigurierte Syslog-Server wird wie hier dargestellt angezeigt. Sie können Änderungen vornehmen, wenn Sie diesen Server auswählen und dann auf Bearbeiten klicken.

   

   Hinweis: Markieren Sie die Option Benutzerdatenverkehr bei Ausfall des TCP-Syslog-Servers zulassen. Andernfalls werden die neuen Benutzersitzungen über die ASA verweigert. Dies gilt nur, wenn das Transportprotokoll zwischen ASA und Syslog-Server TCP ist. Standardmäßig verweigert die Cisco ASA neue Netzwerkzugriffssitzungen, wenn ein Syslog-Server aus irgendeinem Grund ausfällt.

   Informationen zur Definition des Typs der Syslog-Meldungen, die an den Syslog-Server gesendet werden sollen, finden Sie im Abschnitt Protokollierungsfilter.

Erweiterte Syslog-Konfiguration mit ASDM

Arbeiten mit Ereignislisten

Mithilfe von Ereignislisten können benutzerdefinierte Listen erstellt werden, die die Gruppe von Syslog-Meldungen enthalten, die an ein Ziel gesendet werden sollen. Ereignislisten können auf drei verschiedene Arten erstellt werden:

• Nachrichten-ID oder Bereich der Nachrichten-IDs

• Schweregrad der Nachricht

• Message-Klasse

Nachrichten-ID oder Bereich der Nachrichten-IDs

Führen Sie die folgenden Schritte aus:

1. Wählen Sie Configuration > Device Management > Logging > Event Lists aus, und klicken Sie auf Add, um eine neue Ereignisliste zu erstellen.

   

2. Geben Sie im Feld Name einen Namen ein. Klicken Sie im Bereich Nachrichtenkennungsfilter auf Hinzufügen, um eine neue Ereignisliste zu erstellen.

   

3. Geben Sie den Bereich der Syslog-Meldungs-IDs an. Hier wurden beispielsweise die TCP-Syslog-Meldungen verwendet. Klicken Sie zum Abschließen auf OK.

   

4. Klicken Sie erneut auf OK, um zum Fenster Ereignislisten zurückzukehren.

   

Schweregrad der Nachricht

1. Ereignislisten können auch basierend auf dem Schweregrad der Nachricht definiert werden. Klicken Sie auf Hinzufügen, um eine separate Ereignisliste zu erstellen.

   

2. Geben Sie den Namen an, und klicken Sie auf Hinzufügen.

   

3. Wählen Sie den Schweregrad Fehler aus.

   

4. Klicken Sie auf OK.

   

Message-Klasse

Ereignislisten werden ebenfalls basierend auf der Message Class konfiguriert. Eine Nachrichtenklasse ist eine Gruppe von Syslog-Meldungen, die sich auf eine Sicherheits-Appliance-Funktion beziehen. Mit dieser Funktion können Sie eine ganze Nachrichtenklasse angeben, anstatt für jede Meldung einzeln eine Klasse anzugeben. Verwenden Sie z. B. die auth-Klasse, um alle Syslog-Meldungen auszuwählen, die sich auf die Benutzerauthentifizierung beziehen. Einige verfügbare Nachrichtenklassen werden hier angezeigt:

• Alle - Alle Ereignisklassen

• auth - Benutzerauthentifizierung

• bridge - Transparente Firewall

• ca - PKI-Zertifizierungsstelle

• config - Befehlsschnittstelle

• ha - Failover

• IPS - Intrusion Protection Service

• ip - IP-Stack

• np - Netzwerkprozessor

• OSPF - OSPF-Routing

• rip - RIP-Routing

• session - Benutzersitzung

Führen Sie diese Schritte aus, um eine Ereignisklasse zu erstellen, die auf der Nachrichtenklasse vpnclient-errors basiert. Die Nachrichtenklasse vpnc ist verfügbar, um alle Syslog-Meldungen für den vpnclient zu kategorisieren. Der Schweregrad für diese Nachrichtenklasse wird als "Fehler" ausgewählt.

1. Klicken Sie auf Hinzufügen, um eine neue Ereignisliste zu erstellen.

   

2. Geben Sie den Namen an, der für die von Ihnen erstellte Nachrichtenklasse relevant sein soll, und klicken Sie auf Hinzufügen.

   

3. Wählen Sie vpnc aus der Dropdown-Liste aus.

   

4. Wählen Sie den Schweregrad Fehler aus. Dieser Schweregrad gilt nur für Nachrichten, die für diese Nachrichtenklasse protokolliert werden. Klicken Sie auf OK, um zum Fenster Ereignisliste hinzufügen zurückzukehren.

   

5. Hier wird die Ereignisklasse bzw. der Schweregrad angezeigt. Klicken Sie auf OK, um die Konfiguration der Ereignisliste "vpnclient-errors" abzuschließen.

   

   Im nächsten Screenshot wird außerdem gezeigt, dass eine neue Ereignisliste "user-auth-syslog" erstellt wird, die eine Meldungsklasse als "auth" und den Schweregrad für die Syslogs dieser speziellen Meldungsklasse als "Warnings" angibt. Durch die Konfiguration dieser Option gibt die Ereignisliste alle Syslog-Meldungen an, die sich auf die Nachrichtenklasse "auth" beziehen, mit Schweregraden bis zur Stufe "Warnungen".

   Hinweis: Hier ist der Begriff "bis" von Bedeutung. Wenn Sie den Schweregrad angeben, beachten Sie, dass alle Syslog-Meldungen bis zu diesem Schweregrad protokolliert werden.

   Hinweis: Eine Ereignisliste kann mehrere Ereignisklassen enthalten. Die Ereignisliste "vpnclient-errors" wird geändert, indem Sie auf Edit klicken und eine neue Ereignisklasse "ssl/error" definieren.

   

Arbeiten mit Protokollfiltern

Protokollierungsfilter werden verwendet, um die Syslog-Meldungen an ein angegebenes Ziel zu senden. Diese Syslog-Meldungen können auf dem Schweregrad "Severity" (Schweregrad) oder auf den Listen "Even Lists" (Ereignislisten) basieren.

Dies sind die Zieltypen, für die diese Filter gelten:

• Interner Puffer

• SNMP-Trap

• E-Mail

• Konsole

• Telnet-Sitzungen

• ASDM

• Syslog-Server

Führen Sie die folgenden Schritte aus:

1. Wählen Sie Configuration > Device Management > Logging > Logging Filters (Konfiguration > Geräteverwaltung > Protokollierung > Protokollierungsfilter) und wählen Sie das Protokollierungsziel aus. Klicken Sie dann auf Bearbeiten, um die Einstellungen zu ändern.

   

2. Sie können die Syslog-Meldungen je nach Schweregrad senden. Hier wurde Notfälle als Beispiel ausgewählt.

   

3. Sie können auch eine Ereignisliste auswählen, um anzugeben, welche Arten von Nachrichten an ein bestimmtes Ziel gesendet werden sollen. Klicken Sie auf OK.

   

4. Überprüfen Sie die Änderung.

   

Dies sind die Schritte zum Senden einer Gruppe von Nachrichten (basierend auf ihrem Schweregrad) an den E-Mail-Server.

1. Wählen Sie im Feld Protokollierungsziel die Option E-Mail aus. Klicken Sie dann auf Bearbeiten.

   

2. Wählen Sie die Option Nach Schweregrad filtern und anschließend den erforderlichen Schweregrad aus.

   

   Hier wurde als Schweregrad Alerts (Warnungen) ausgewählt.

   

   Sie können sehen, dass alle Alert Syslog-Meldungen an die konfigurierte E-Mail gesendet werden sollen.

   

Übertragungsratenlimit

Gibt die Anzahl der Syslog-Meldungen an, die eine Cisco ASA innerhalb eines festgelegten Zeitraums an ein Ziel sendet. Dieser wird normalerweise für den Schweregrad definiert.

1. Wählen Sie Configuration > Device Management > Logging > Rate Limit (Konfiguration > Geräteverwaltung > Protokollierung > Übertragungsratenlimit), und wählen Sie den erforderlichen Schweregrad aus. Klicken Sie dann auf Bearbeiten.

   

2. Geben Sie die Anzahl der Nachrichten an, die zusammen mit dem Zeitintervall gesendet werden sollen. Klicken Sie auf OK.

   

   Hinweis: Diese Zahlen dienen nur als Beispiel. Diese unterscheiden sich je nach Netzwerkumgebung.

   Die geänderten Werte sind hier zu sehen:

   

Protokollieren der Treffer einer Zugriffsregel

Sie können die Zugriffsregelzugriffe mit dem ASDM protokollieren. Das Standardprotokollierungsverhalten besteht darin, eine Syslog-Meldung für alle abgelehnten Pakete zu senden. Es wird keine Syslog-Meldung für die zulässigen Pakete erstellt, und diese werden nicht protokolliert. Sie können jedoch einen benutzerdefinierten Schweregrad für die Protokollierung der Zugriffsregel definieren, um die Anzahl der Pakete zu verfolgen, die diese Zugriffsregel erreichen.

Führen Sie die folgenden Schritte aus:

1. Wählen Sie die gewünschte Zugriffsregel aus, und klicken Sie auf Bearbeiten.

   Das Fenster Zugriffsregel bearbeiten wird angezeigt.

   

   Hinweis: In diesem Bild gibt die Option Default (Standard) im Feld Logging Level (Protokollierungsebene) das standardmäßige Protokollierungsverhalten der Cisco ASA an. Weitere Informationen hierzu finden Sie im Abschnitt Aktivität der Protokollierungszugriffsliste.

2. Aktivieren Sie die Option Enable logging, und geben Sie den erforderlichen Schweregrad an. Klicken Sie dann auf OK.

   

   Hinweis: Durch Klicken auf die Dropdown-Registerkarte Weitere Optionen wird die Option Protokollierungsintervall angezeigt. Diese Option ist nur hervorgehoben, wenn die Option Protokollierung aktivieren aktiviert ist. Der Standardwert dieses Timers beträgt 300 Sekunden. Diese Einstellung ist nützlich, um den Timeoutwert für die Flow-Statistik anzugeben, die gelöscht werden soll, wenn keine Übereinstimmung für diese Zugriffsregel vorhanden ist. Tritt ein Treffer auf, wartet ASA bis zum Logging Interval (Protokollierungsintervall) und sendet dieses an das Syslog.

3. Die Modifikationen sind hier dargestellt. Sie können auch auf das Feld Protokollierung der jeweiligen Zugriffsregel doppelklicken und den Schweregrad dort festlegen.

   

   Hinweis: Diese alternative Methode zur Angabe der Protokollierungsebene im gleichen Zugriffsregelbereich durch Doppelklicken funktioniert nur für manuell erstellte Zugriffsregeleinträge, nicht aber für implizite Regeln.

Konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Hinweis: Verwenden Sie das Tool für die Suche nach Befehlen (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Konfigurationen

In diesem Dokument werden folgende Konfigurationen verwendet:

: Saved
:
ASA Version 8.2(1) 
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 209.165.201.2 255.255.255.0 
!
interface Ethernet0/2
 nameif inside
 security-level 100
 ip address 10.78.177.11 255.255.255.192 
!
!
!--- Output Suppressed

!
access-list inside_access_in extended permit ip host 10.10.10.10 host 20.20.20.200 log errors 
access-list inside_access_in extended permit ip host 10.10.10.20 any 
access-list inside_access_in extended deny ip 10.20.10.0 255.255.255.0 host 20.20.20.200 
access-list inside_access_in extended permit ip 10.78.177.0 255.255.255.192 any log emergencies 
pager lines 24
logging enable
logging list user-auth-syslog level warnings class auth
logging list TCP-conn-syslog message 302013-302018
logging list syslog-sev-error level errors
logging list vpnclient-errors level errors class vpnc
logging list vpnclient-errors level errors class ssl
logging buffered user-auth-syslog
logging mail alerts
logging from-address test123@example.com
logging recipient-address monitorsyslog@example.com level errors
logging queue 1024
logging host inside 172.16.11.100
logging ftp-bufferwrap
logging ftp-server 172.16.18.10 syslog testuser ****
logging permit-hostdown
no logging message 302015
no logging message 302016
logging rate-limit 600 86400 level 7
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-623.bin
asdm history enable
arp timeout 14400
!
!--- Output Suppressed

!
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout TCP-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
!
!--- Output Suppressed

!
!
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics TCP-intercept
!
!--- Output Suppressed

!
username test password /FzQ9W6s1KjC0YQ7 encrypted privilege 15
!
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny  
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip  
  inspect xdmcp 
!
service-policy global_policy global
smtp-server 172.18.10.20
prompt hostname context 
Cryptochecksum:ad941fe5a2bbea3d477c03521e931cf4
: end

Überprüfung

Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Das Output Interpreter-Tool (OIT) (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der show-Befehlsausgabe anzuzeigen.

• Sie können die Syslogs über den ASDM anzeigen. Wählen Sie Monitoring > Logging > Real Time Log Viewer aus. Eine Beispielausgabe ist hier dargestellt:

  

Fehlerbehebung

Problem: Verbindung verloren — Syslog-Verbindung beendet —

Dieser Fehler tritt auf, wenn versucht wird, die ASDM-Protokollierung im Geräte-Dashboard für einen beliebigen Kontext zu aktivieren.

"Verbindung unterbrochen — Syslog-Verbindung beendet —"

Wenn ASDM verwendet wird, um eine direkte Verbindung mit dem Admin-Kontext herzustellen, und die ADSM-Protokollierung dort deaktiviert ist, wechseln Sie zu einem Subkontext, und aktivieren Sie die ASDM-Protokollierung. Die Fehler werden empfangen, aber die Syslog-Meldungen erreichen den Syslog-Server.

Lösung

Dieses Verhalten ist bei Cisco ASDM bekannt und in Cisco Bug-ID CSCsd10699 dokumentiert (nur registrierte Kunden). Als Problemumgehung sollten Sie die ASDM-Protokollierung aktivieren, wenn Sie beim Admin-Kontext angemeldet sind.

Die Echtzeitprotokolle von Cisco ASDM können nicht angezeigt werden.

Ein Problem besteht darin, dass die Echtzeitprotokolle nicht auf dem ASDM angezeigt werden können. Wie ist das konfiguriert?

Lösung

Konfigurieren Sie auf der Cisco ASA Folgendes:

ciscoasa(config)#logging monitor 6
ciscoasa(config)#terminal monitor
ciscoasa(config)#logging on
ciscoasa(config)#logging trap 6

Zugehörige Informationen

• Unterstützung für Cisco Adaptive Security Appliances der Serie ASA 5500
• Technischer Support und Dokumentation für Cisco Systeme