SCP-push van e-maillogbestanden configureren op ESA

Downloadopties

  • PDF     (263.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (83.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (71.0 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:21 februari 2017
Document-id:200985

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriƫntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u beveiligde copy push (SCP) van e-maillogbestanden (of andere logtypen) kunt instellen en configureren van een Cisco e-mail security applicatie (ESA) naar een externe syslogserver.

Achtergrondinformatie

Een beheerder kan foutmeldingen ontvangen waarin staat dat logbestanden niet kunnen worden geduwd met SCP, of er kunnen foutlogbestanden zijn die de sleutel(s) niet overeenkomen.

  

Voorwaarden

Op de syslogserver dat de ESA zal SCP logbestanden naar:

  1. Zorg ervoor dat de directory die gebruikt moet worden beschikbaar is.
  2. Beoordeel '/etc/ssh/sshd_config' voor de instellingen van AuthorisedKeysFile.  Dit vertelt SSH om geautoriseerde_keys te accepteren en in de home directory van de gebruiker te kijken voor key_name steek geschreven in .ssh/authorised_keys bestand: 
    AuthorizedKeysFile      %h/.ssh/authorized_keys
  3. Controleer de rechten van de map die gebruikt moet worden.  Het kan noodzakelijk zijn de toegang te wijzigen:
    1. De rechten op '$HOME' zijn ingesteld op 755.
    2. De rechten op '$HOME/.ssh' zijn ingesteld op 755.
    3. De rechten voor '$HOME/.ssh/authorised_keys' zijn ingesteld op 600.

Beperkingen en toegangsrechten op bestandsniveau op UNIX/Linux

Er zijn drie soorten toegangsbeperkingen:

Permission    Action      chmod option
======================================
read          (view)      r or 4
write         (edit)      w or 2
execute       (execute)   x or 1

Er zijn ook drie soorten gebruikersbeperkingen:

User    ls output
==================
owner   -rwx------
group   ----rwx---
other   -------rwx

Map/map met toegangsrechten:

Permission    Action                               chmod option
===============================================================
read          (view contents: i.e., ls command)      r or 4
write         (create or remove files from dir)      w or 2
execute       (cd into directory)                    x or 1

Numerieke notatie:

Een andere methode om Linux permissies te representeren is een octale notatie zoals getoond door stat -c %a. Deze notatie bestaat uit ten minste drie cijfers. Elk van de drie meest rechtse cijfers vertegenwoordigt een verschillende component van de toestemmingen: eigenaar, groep, en anderen.

Elk van deze cijfers is de som van zijn componentbits in het binaire numerieke systeem:

Symbolic Notation    Octal Notation    English
============================================================
----------            0000               no permissions
---x--x--x            0111               execute
--w--w--w-            0222               write
--wx-wx-wx            0333               write & execute
-r--r--r--            0444               read
-r-xr-xr-x            0555               read & execute
-rw-rw-rw-            0666               read & write
-rwxrwxrwx            0777               read. write & execute

Voor stap #3, zou de aanbeveling om de $HOME directory in te stellen op 755 zijn: 7=rwx 5=r-x 5=r-x

Dit betekent dat de directory de standaard permissies heeft -rwxr-xr-x (weergegeven in octale notatie als 0755).

SCP-push van e-maillogbestanden configureren op ESA

  1. Start de CLI-opdracht logfig
  2. Selecteer de optie nieuw.
  3. Kies het logbestand type voor dit abonnement, dit is "1" voor IronPort Text Mail Logs, of een ander logbestand type van uw keuze. 
  4. Voer de naam van het logbestand in.
  5. Selecteer het gewenste logniveau.  Meestal moet u "3" voor Informationeel, of een ander log niveau van uw keuze te selecteren.
  6. Wanneer gevraagd wordt om 'Kies de methode om de logs op te halen', selecteer "3" voor SCP Push.
  7. Voer het IP-adres of de DNS-hostnaam in om de logbestanden te leveren aan.
  8. Voer de poort in om verbinding te maken met de externe host.
  9. Voer de directory in op de externe host om logbestanden te plaatsen.
  10. Geef een bestandsnaam op die u wilt gebruiken voor logbestanden.
  11. Configureer, indien nodig, systeem gebaseerde unieke identifiers zoals $hostname, $serienummer om toe te voegen aan de log filename.
  12. Stel Maximale bestandsgrootte in voordat u overbrengt.
  13. Configureer, indien van toepassing, de op tijd gebaseerde rollover van de logbestanden.
  14. Wanneer gevraagd wordt "Wilt u het controleren van de hostsleutel inschakelen?", voert u "Y" in.
  15. Vervolgens wordt u de "Plaats de volgende SSH-sleutel(s) in uw geautoriseerde_keys-bestand, zodat de logbestanden geĆ¼pload kunnen worden."
  16. Kopieer die sleutel, aangezien u de SSH-sleutel in uw 'authorised_keys' bestand op de Syslog-server moet zetten.  Plakt de sleutel die gegeven is van logconfig naar $HOME/.ssh/authorised_keys bestand op de Syslog server.
  17. Vanuit de ESA voert u de CLI-opdracht commit uit om configuratiewijzigingen op te slaan en te begaan.

De configuratie van het logbestand kan ook worden uitgevoerd vanuit de GUI: System Administration > Log Abonnementen

Opmerking: raadpleeg het hoofdstuk Vastlegging van de ESA-gebruikersgids voor volledige informatie en nadere informatie.

Bevestiging

Hostkeyconfig 

Voer de opdracht logconfig > hostkeyconfig uit.  U moet een ingang zien voor de syslog server geconfigureerd weergegeven als "ssh-dss" met een afgekorte sleutel gelijkend op de sleutel geleverd tijdens de configuratie. 

myesa.local > logconfig
...
[]> hostkeyconfig

Currently installed host keys:
1. 172.16.1.100 ssh-dss AAAAB3NzaC1kc3MAAACBAMUqUBGztO0T...OutUns+DY=

Systeemlogbestanden

Systeemlogbestanden registreren het volgende: opstartinformatie, verloopmeldingen voor virtuele applicaties, DNS-statusinformatie en opmerkingen die gebruikers hebben getypt met de opdracht commit. Systeemlogbestanden zijn nuttig voor het oplossen van problemen met de basisstatus van het apparaat.

Het uitvoeren van de commando staartsysteem_logs van de CLI zal u een live uitstraling naar de systeemstatus geven.

U kunt ook de CLI-opdracht rollover kiezen en het nummer selecteren dat aan het logbestand is gekoppeld.  U ziet dit het logbestand SCP naar uw syslog server in system_logs:

myesa.local > tail system_logs

Press Ctrl-C to stop.
Thu Jan 5 11:26:02 2017 Info: Push success for subscription mail_logs: Log mail_logs.myesa.local.@20170105T112502.s pushed via SCP to remote host 172.16.1.100:22

Geavanceerde troubleshooting

  

Als er nog steeds problemen zijn met de verbinding met de syslog server, van de lokale host en het gebruik van ssh, voer "ssh testuser@hostname -v" uit om de gebruikerstoegang te testen in breedsprakige modus.  Hierdoor kan probleemoplossing worden ondersteund om aan te tonen waar de SSH-verbinding niet slaagt.

$ ssh testuser@172.16.1.100 -v
OpenSSH_7.3p1, LibreSSL 2.4.1
debug1: Reading configuration data /Users/testuser/.ssh/config
debug1: /Users/testuser/.ssh/config line 16: Applying options for *
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 20: Applying options for *
debug1: Connecting to 172.16.1.100 [172.16.1.100] port 22.
debug1: Connection established.
debug1: identity file /Users/testuser/.ssh/id_rsa type 1
debug1: key_load_public: No such file or directory
debug1: identity file /Users/testuser/.ssh/id_rsa-cert type -1
debug1: identity file /Users/testuser/.ssh/id_dsa type 2
debug1: key_load_public: No such file or directory
debug1: identity file /Users/testuser/.ssh/id_dsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /Users/testuser/.ssh/id_ecdsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /Users/testuser/.ssh/id_ecdsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /Users/testuser/.ssh/id_ed25519 type -1
debug1: key_load_public: No such file or directory
debug1: identity file /Users/testuser/.ssh/id_ed25519-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_7.3
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.6.1p1 Ubuntu-2ubuntu2.8
debug1: match: OpenSSH_6.6.1p1 Ubuntu-2ubuntu2.8 pat OpenSSH_6.6.1* compat 0x04000000
debug1: Authenticating to 172.16.1.100:22 as 'testuser'
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: curve25519-sha256@libssh.org
debug1: kex: host key algorithm: ssh-dss
debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: zlib@openssh.com
debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: zlib@openssh.com
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ssh-dss SHA256:c+YpkZsQyUwi3tkIVJFXHAstwlkdewO1G0s7P2khV7U
debug1: Host '172.16.1.100' is known and matches the DSA host key.
debug1: Found key in /Users/testuser/.ssh/known_hosts:5
debug1: rekey after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: rekey after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS received
debug1: Skipping ssh-dss key /Users/testuser/.ssh/id_dsa - not in PubkeyAcceptedKeyTypes
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /Users/testuser/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password
debug1: Trying private key: /Users/testuser/.ssh/id_ecdsa
debug1: Trying private key: /Users/testuser/.ssh/id_ed25519
debug1: Next authentication method: password
testuser@172.16.1.100's password: <<< ENTER USER PASSWORD TO LOG-IN >>>
debug1: Enabling compression at level 6.
debug1: Authentication succeeded (password).
Authenticated to 172.16.1.100 ([172.16.1.100]:22).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: exec
debug1: No xauth program.
Warning: untrusted X11 forwarding setup failed: xauth key data not generated
debug1: Requesting authentication agent forwarding.
debug1: Sending environment.
debug1: Sending env LANG = en_US.UTF-8
debug1: Sending env LC_CTYPE = en_US.UTF-8

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
21-Feb-2017
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten