Guia de solução de problemas do ASA: Logs ausentes nos destinos de syslog

Opções de download

  • PDF     (161.6 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (133.3 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (114.2 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:20 de julho de 2012
ID do documento:113603

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como solucionar o problema com a capacidade do Adaptive Security Appliance (ASA) de enviar syslogs para vários destinos e, mais especificamente, problemas em que sintomas como esses são observados:

  • Login em tempo real lento no Adaptive Security Device Manager (ASDM).

  • Syslogs intermitentes ausentes em um ou mais destinos de syslog.

Antes de Começar

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no Cisco ASA e não se limitam a uma versão específica do software ASA.

Conventions

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Informações do recurso

Os ASAs, como a maioria dos outros dispositivos da Cisco, são capazes de enviar syslogs para vários destinos de syslog. Alguns dos destinos mais usados estão ilustrados aqui:

asa-missing-logs-01.gif

O número de destinos possíveis é uma vantagem real. Se forem escolhidas com cuidado, e tal como aqui ilustrado, podem ser amplamente classificadas em duas categorias principais com base na finalidade a que se destinam:

  • Arquivo

  • Depuração/solução de problemas em tempo real

Na maioria das redes, é suficiente ter apenas os destinos de arquivamento ativados, a menos que um ou mais dos destinos de depuração sejam necessários. Ao mesmo tempo, e com frequência, os problemas resultam da ativação de vários destinos de syslog simultaneamente em altos níveis de registro, como informacional (Nível 6) ou superior.

Metodologia de solução de problemas

Sempre que ocorrem problemas em que há perda de informações de syslog em um ou mais destinos, há duas coisas que você deve verificar:

Análise de dados

Revisar a configuração de syslogging

Conclua estes passos:

  1. Certifique-se de que a mensagem de syslog que você está procurando não esteja desabilitada pelo comando no logging message <ID>.

  2. Depois de confirmado, examine o número de destinos de syslog habilitados e o nível em que cada log é enviado a cada um. Este é um exemplo de tal configuração:

    logging enable
logging timestamp
logging standby
logging console informational
logging buffered informational
logging trap informational
logging asdm informational
logging device-id hostname
logging host inside 172.16.110.32

Neste exemplo, o ASA está enviando syslogs para 4 destinos diferentes no nível informativo (Nível 6).

Saída de show logging queue

Com uma configuração como a acima, em que vários destinos estão recebendo grandes quantidades de mensagens de log, você pode se deparar com uma situação em que o ASA descarta mensagens de syslog devido a um estouro da fila de log. Nesses casos, a saída será semelhante a esta:

ciscoasa# show logging queue

   Logging Queue length limit : 512 msg(s)
   2352325 msg(s) discarded due to queue overflow
   0 msg(s) discarded due to memory allocation failure
   Current 512 msg on queue, 512 msgs most on queue

Por padrão, a fila de registro mantém 512 mensagens.

Problemas comuns

Ao se deparar com problemas em que as mensagens de syslog não estão sendo gravadas, considere estas opções:

  • Desative o registro do console. Fazer login no console não deve ser habilitado para operação normal. O registro do console deve ser usado somente para solução de problemas em tempo real, com baixo nível de registro ou baixo tráfego. Fazer login no console em uma taxa alta fará com que o processo de registro limite severamente as mensagens. O console só é capaz de registrar mensagens a 9600 bps e não leva um número de registros antes de começar a tentar despejar mais para o console do que o console pode enviar para a tela. Nessa situação, os logs começarão a ser colocados em buffer na fila de registro. Quando a fila de registro for preenchida, as mensagens serão descartadas.

  • Aumente o tamanho da fila de registro além de 512. A fila máxima de registro é 1024 no ASA-5505, 2048 no ASA-5510 e 8192 em todas as outras plataformas. Note: A fila de registro é usada para "intermitências" de syslogs. Se a taxa sustentada de syslogs for mais rápida do que a ASA pode transmiti-los para vários destinos, nenhum limite de fila de registro será suficientemente grande.

  • Desabilite mensagens de syslog individuais que não estejam interessadas em arquivamento. Emita o comando no logging message <syslog_id> para desabilitar syslogs individuais.

  • Tenha cuidado ao registrar mensagens no disco (flash) do ASA. Gravar no flash é uma operação muito lenta. O excesso de registro na memória flash fará com que o ASA armazene os arquivos syslog na memória, acabando por esgotar toda a memória disponível (RAM). Além disso, o registro de grandes quantidades de mensagens de syslog na memória flash pode elevar a CPU. Recomenda-se registrar apenas mensagens de nível 1 na memória flash (que cobrem eventos críticos do sistema).

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
20-Jul-2012
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Prapanch Ramamoorthy
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos