Configurazione e verifica del syslog sulla modalità gestita di UCS Intersight

Introduzione

Questo documento descrive il processo di configurazione e verifica del protocollo Syslog sui domini UCS in modalità gestita Intersight.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Server Unified Computing System (UCS)
• Intersight Managed Mode (IMM)
• Nozioni di base sulla rete
• Protocollo Syslog

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software:

• SaaS (Intersight software as a service)
• Cisco UCS 6536 Fabric Interconnect, firmware 4.3(5.240032)
• Server rack C220 M5, firmware 4.3(2.240090)
• Alma Linux 9

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

I criteri Syslog sono applicabili per interconnessioni fabric e server. Consentono la configurazione della registrazione locale e remota.

Configurazione

1. Passare a Criteri > Crea nuovo criterio.
2. Selezionare Syslog, quindi fare clic su Start.
   Selezione criteri
   
3. Scegliere l'organizzazione e scegliere un nome, quindi fare clic su Avanti.
   Configura organizzazione e nome
   
4. Scegliere la severità minima desiderata per il rapporto relativo alla registrazione locale. Per i livelli di gravità, vedere la RFC 5424.
   Scegliere la gravità minima da includere nel rapporto per la registrazione locale
5. Scegliere il livello di gravità minimo desiderato per il rapporto relativo alla registrazione remota e le impostazioni necessarie. Si tratta dell'indirizzo IP o del nome host del server remoto, del numero di porta e del protocollo della porta (TCP o UDP).
   
   

   Nota: In questo esempio viene utilizzata l'impostazione predefinita per la porta UDP 514. Sebbene sia possibile modificare il numero di porta, questa impostazione è valida solo per i server. Le interconnessioni fabric utilizzano la porta predefinita 514.

   
   Configura parametri di registrazione remota
   
   
6. Fare clic su Crea.
7. Assegnare il criterio ai dispositivi desiderati.

Interconnessioni fabric

1. Passare al Profilo di dominio, fare clic su Modifica, quindi su Avanti fino al passaggio 4 Configurazione del dominio UCS.
2. In Gestione > Syslog, scegliere il criterio Syslog desiderato.
   Scegliere il criterio syslog in un profilo di dominio di interconnessione fabric
3. Fare clic su Avanti, quindi su Distribuisci. La distribuzione di questo criterio non comporta interruzioni.

Server

1. Passare al profilo del server, fare clic su Modifica, quindi su Avanti fino al passaggio 4 Configurazione gestione.
   
2. Scegliere il criterio Syslog.
   Scegliere il criterio syslog in un profilo di servizio del server
3. Continuare fino all'ultimo passaggio e Distribuire.

Verifica

A questo punto, i messaggi Syslog devono essere registrati sui server remoti Syslog. Per questo esempio, il server Syslog è stato distribuito su un server Linux con la libreria rsyslog.

Nota: La verifica della registrazione dei messaggi Syslog può variare in base al server Syslog remoto in uso.

Confermare che i messaggi Syslog delle interconnessioni Fabric siano stati registrati sul server remoto:

[root@alma jormarqu]# tail /var/log/remote/msg/192.0.2.3/_.log
Jan 16 15:09:19 192.0.2.3 : 2025 Jan 16 20:11:57 UTC: %VSHD-5-VSHD_Syslog_CONFIG_I: Configured from vty by root on vsh.bin.32025
Jan 16 15:09:23 192.0.2.3 : 2025 Jan 16 20:12:01 UTC: %VSHD-5-VSHD_Syslog_CONFIG_I: Configured from vty by root on vsh.bin.32237

Confermare che i messaggi del syslog del server siano stati registrati sul server remoto:

[root@alma jormarqu]# tail /var/log/remote/msg/192.0.2.5/AUDIT.log  
Jan 16 20:16:10 192.0.2.5 AUDIT[2257]: KVM Port port change triggered with value "2068" by User:(null) from Interface:
Jan 16 20:16:18 192.0.2.5 AUDIT[2257]: Communication Services(ipmi over lan:enabled,ipmi privilege level limit:admin) has been updated by User:(null) from Interface:
Jan 16 20:16:23 192.0.2.5 AUDIT[2257]: Local User Management (strong password policy :disabled) by User:(null) from Interface:
Jan 16 20:16:23 192.0.2.5 AUDIT[2257]: Password Expiration Parameters (password_history:5,password_expiry_state:disabled,password_expiry_duration:0,notification_period:15,grace_period:0) has been updated by User:(null) from Interface:
Jan 16 20:16:26 192.0.2.5 AUDIT[2257]: Local Syslog Severity changed to "Debug" by User:(null) from Interface:
Jan 16 20:16:27 192.0.2.5 AUDIT[2257]: Secured Remote Syslog with(serverId =1, secure_enabled =0) by User:(null) from Interface:

Risoluzione dei problemi

È possibile acquisire un pacchetto sulle interconnessioni Fabric per verificare che i pacchetti Syslog siano stati inoltrati correttamente. Modificare il livello di gravità minimo per il report di cui eseguire il debug. Accertarsi che Syslog fornisca il maggior numero di informazioni possibile.

Dall'interfaccia della riga di comando, avviare l'acquisizione di un pacchetto sulla porta di gestione e filtrare in base alla porta 514 (porta Syslog):

FI-6536-A# connect nxos
FI-6536-A(nx-os)# ethanalyzer local interface mgmt capture-filter "port 514" limit-captured-frames 0 
Capturing on mgmt0

Nell'esempio, una porta server sull'interfaccia Fabric A è stata disabilitata per generare il traffico Syslog.

1. Passare a Interconnessioni fabric > Inventario.
2. Fare clic sulla casella di controllo della porta desiderata, aprire il menu con i puntini di sospensione a destra e scegliere Disattiva.
   Arrestare un'interfaccia su un'interconnessione fabric per generare traffico syslog per il test
3. La console sull'interconnessione fabric deve acquisire il pacchetto Syslog:
   

   FI-6536-A(nx-os)# ethanalyzer local interface mgmt capture-filter "port 514" limit-captured-frames 0 
   Capturing on mgmt0
   2025-01-16 22:17:40.676560 192.0.2.3 -> 192.0.2.2 Syslog LOCAL7.NOTICE: : 2025 Jan 16 22:17:40 UTC: %ETHPORT-5-IF_DOWN_NONE: Interface Ethernet1/3 is down (Transceiver Absent)

4. Il messaggio deve essere registrato nel server remoto:

[root@alma jormarqu]# tail -n 1 /var/log/remote/msg/192.0.2.3/_.log 
Jan 16 17:15:03 192.0.2.3 : 2025 Jan 16 22:17:40 UTC: %ETHPORT-5-IF_DOWN_NONE: Interface Ethernet1/3 is down (Transceiver Absent)

Lo stesso test può essere eseguito sui server:

Nota: Questa procedura è valida solo per i server con configurazione fuori banda nei criteri di accesso IMC. Se il protocollo Inband è in uso, eseguire l'acquisizione dei pacchetti sul server Syslog remoto oppure raggiungere il server TAC per eseguirla con i comandi interni di debug.

Verificare la configurazione nei criteri di accesso IMC

In questo esempio, è stato attivato il localizzatore LED su un server integrato C220 M5. Ciò non richiede tempi di inattività.

1. Verificare quale interconnessione fabric invia il traffico fuori banda per il server. L'IP del server è 192.0.2.5, quindi l'interconnessione Fabric A inoltra il traffico di gestione (il termine "route secondaria" indica che l'interconnessione Fabric funge da proxy per il traffico di gestione del server):
   

   FI-6536-A(nx-os)# show ip interface mgmt 0
   
   IP Interface Status for VRF "management"(2)
   mgmt0, Interface status: protocol-up/link-up/admin-up, iod: 2,
   IP address: 192.0.2.3, IP subnet: 192.0.2.0/24 route-preference: 0, tag: 0 
   IP address: 192.0.2.5, IP subnet: 192.0.2.0/24 secondary route-preference: 0, tag: 0 

2. Avviare l'acquisizione di un pacchetto sull'interconnessione fabric appropriata:
   

   FI-6536-A(nx-os)# ethanalyzer local interface mgmt capture-filter "port 514" limit-captured-frames 0
   Capturing on mgmt0

3. Passare a Server > Azioni > Sistema e scegliere Attiva collocazione:
   Attivare il localizzatore LED in un server
4. La console sull'interconnessione fabric deve visualizzare il pacchetto Syslog acquisito:
   

   FI-6536-A(nx-os)# ethanalyzer local interface mgmt capture-filter "port 514" limit-captured-frames 0 
   Capturing on mgmt0
   2025-01-16 22:34:27.552020 192.0.2.5 -> 192.0.2.2 Syslog AUTH.NOTICE: Jan 16 22:38:38 AUDIT[2257]: 192.0.2.5 CIMC Locator LED is modified to "ON" by User:(null) from Interface
   :redfish Remote IP:

5. Il messaggio Syslog deve essere registrato nel file AUDIT.log del server remoto:
   

   root@alma jormarqu]# tail -n 1 /var/log/remote/msg/192.0.2.5/AUDIT.log
   Jan 16 22:38:38 192.0.2.5 AUDIT[2257]: CIMC Locator LED is modified to "ON" by User:(null) from Interface:

Se i pacchetti Syslog sono stati generati da UCS, ma il server Syslog non li ha registrati:

1. Confermare che i pacchetti siano arrivati al server Syslog remoto con un'acquisizione.
2. Verificare la configurazione del server Syslog remoto (inclusi, ma non limitati a: configurate (impostazioni del firewall e della porta syslog).

Informazioni correlate

• RFC 5424 - Protocollo Syslog
• Intersight IMM serie Expert - Syslog Policy
• Cisco Intersight Help Center - Configurazione dei criteri dei profili di dominio UCS
• Cisco Intersight Help Center - Configurazione dei criteri server

[Thu Jan 16 23:12:10 root@C220-WZP22460WCD:~]$tcpdump -i bond0 port 514 -v 
tcpdump: listening on bond0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
23:12:39.817814 IP (tos 0x0, ttl 64, id 24151, offset 0, flags [DF], proto UDP (17), length 173)
  192.168.70.25.49218 > 10.31.123.134.514: Syslog, length: 145
    Facility auth (4), Severity notice (5)
Msg: Jan 16 23:12:39 C220-WZP22460WCD AUDIT[2257]: CIMC Locator LED is modified to "OFF" by User:(null) from Interface:redfish Remote IP:127.0.0.1