ASA 8.2：使用ASDM配置系统日志

下载选项

PDF (1.2 MB)
在各种设备上使用 Adobe Reader 查看
ePub (1.0 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (1.1 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2011 年 6 月 23 日

文档 ID:113053

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档提供有关如何使用自适应安全设备管理器(ASDM) GUI在思科自适应安全设备(ASA) 8.x上配置系统日志的信息。系统日志消息是Cisco ASA生成的消息，用于通知管理员配置的任何更改、网络设置更改或设备性能的任何更改。通过分析系统日志消息，管理员可以通过执行根本原因分析轻松排除错误。

系统日志消息主要根据其严重性级别进行区分。

严重性0 -紧急消息-资源不可用
严重性1 -警报消息-需要立即采取行动
严重性2 -严重消息-严重情况
严重性3 -错误消息-错误条件
严重性4 -警告消息-警告条件
严重性5 -通知消息-正常但重要的情况
严重性6 -信息性消息-仅信息性消息
严重性7 -调试消息-仅调试消息

注意：最高严重性级别为紧急，最低严重性级别为调试。

Cisco ASA生成的系统日志消息示例如下所示：

%ASA-6-106012：拒绝从IP_address到IP_address的IP，IP选项十六进制。
%ASA-3-211001：内存分配错误
%ASA-5-335003：应用了NAC默认ACL，ACL：ACL-name -主机地址

“%ASA-X-YYYYYY：”中指定的数值X表示消息的严重性。例如，“%ASA-6-106012”是信息性消息，“%ASA-5-335003”是错误消息。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

思科ASA版本8.2
思科ASDM版本6.2

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档约定的更多信息，请参考 Cisco 技术提示约定。

使用ASDM执行基本系统日志配置

启用日志

请完成以下步骤：

选择Configuration > Device Management > Logging > Logging Setup并选中Enable logging选项。
您可以通过指定缓冲区大小将系统日志消息记录到内部缓冲区。也可以通过单击Configure Flash Usage并定义闪存设置来选择将缓冲区内容保存到闪存。
在覆盖缓冲的日志消息之前，可以将其发送到FTP服务器。单击Configure FTP Settings并指定FTP服务器详细信息，如下所示：

禁用日志记录

您可以根据要求禁用特定系统日志ID。

注意：通过选中Include timestamp in syslogs选项的复选标记，您可以将生成时间作为字段的日期和时间添加到syslog中。

选择要禁用的系统日志，然后单击Edit。
在Edit Syslog ID Settings窗口中，选中Disable messages选项并单击OK。
通过从Syslog ID Setup下拉菜单中选择Disabled syslog IDs，可以在单独的选项卡中查看禁用的系统日志。

记录到电子邮件

使用ASDM完成以下步骤以将系统日志发送到电子邮件：

选择Configuration > Device Management > Logging > E-Mail Setup。Source E-Mail Address字段有助于将电子邮件ID分配为syslog的源。指定源电子邮件地址。现在，单击Add添加电子邮件收件人。
指定Destination E-mail Address并选择Severity level。根据严重性级别，您可以定义不同的电子邮件收件人。单击OK返回到E-Mail Setup窗格。

这将导致以下配置：
选择Configuration > Device Setup > Logging > SMTP并指定SMTP服务器。

记录到系统日志服务器

可以将所有系统日志消息发送到专用系统日志服务器。使用ASDM执行以下步骤：

选择Configuration > Device Management > Logging > Syslog Servers并单击Add以添加Syslog服务器。

此时会显示Add Syslog Server窗口。
指定与服务器关联的接口以及IP地址。根据您的网络设置，指定Protocol和Port详细信息。然后，单击OK。

注意：请确保您可以从Cisco ASA访问系统日志服务器。
配置的系统日志服务器如下所示。修改可以在您选择此服务器，然后单击Edit后完成。

注意：选中Allow user traffic to pass when TCP syslog server is down选项。否则，将拒绝通过ASA的新用户会话。仅当ASA和syslog服务器之间的传输协议为TCP时适用。默认情况下，当系统日志服务器因任何原因发生故障时，Cisco ASA会拒绝新的网络访问会话。

要定义发送到syslog服务器的syslog消息类型，请参阅Logging Filter部分。

使用ASDM进行高级系统日志配置

使用事件列表

通过事件列表，我们可以创建包含要发送到目标的一组系统日志消息的自定义列表。可以通过三种不同的方式创建事件列表：

消息ID或消息ID的范围
消息严重性
邮件类别

消息ID或消息ID的范围

请执行以下步骤：

选择Configuration > Device Management > Logging > Event Lists，然后单击Add创建新的事件列表。
在名称字段中指定一个名称。在Message ID Filters窗格中点击Add以创建新的事件列表。
指定系统日志消息ID的范围。此处以TCP系统日志消息为例。单击 OK 完成操作。
再次单击OK以返回到Event Lists窗口。

消息严重性

还可以根据消息严重性定义事件列表。单击Add以创建单独的事件列表。
指定名称并单击Add。
选择Errors作为严重性级别。
Click OK.

邮件类别

事件列表也根据消息类进行配置。消息类是一组与安全设备功能相关的系统日志消息，使您可以指定整个消息类，而不是单独为每个消息指定类。例如，使用auth类选择与用户身份验证相关的所有系统日志消息。某些可用的消息类如下所示：

All -所有事件类
auth -用户身份验证
bridge -透明防火墙
ca - PKI证书颁发机构
config -命令界面
ha -故障转移
ips -入侵保护服务
ip - IP堆栈
np -网络处理器
ospf - OSPF路由
rip - RIP路由
session -用户会话

执行以下步骤，根据vpnclient-errors消息类创建事件类。可以使用消息类vpnc对与vpnclient相关的所有系统日志消息进行分类。此消息类的严重性级别选择为“错误”。

点击Add以创建新的事件列表。
指定与您创建的消息类相关的名称，然后单击Add。
从下拉列表中选择vpnc。
选择Errors作为严重性级别。此严重性级别仅适用于为此消息类记录的消息。单击OK返回到Add Event List窗口。
此处显示事件类别/严重性。单击OK以完成配置“vpnclient-errors”事件列表。

下一个屏幕截图还显示，创建了新的事件列表“user-auth-syslog”，消息类为“auth”，此特定消息类的syslog的严重性级别为“警告”。通过对此进行配置，事件列表指定与“auth”消息类相关的所有系统日志消息，严重性级别最高为“警告”级别。

注意：此处，“up”一词意义重大。在指示严重性级别时，请记住，在该级别之前，将记录所有系统日志消息。

注意：一个事件列表可以包含多个事件类。单击Edit并定义新的事件类“ssl/error”，可修改“vpnclient-errors”事件列表。

使用日志记录过滤器

日志记录过滤器用于将系统日志消息发送到指定目标。这些系统日志消息可以基于“严重性”或“偶数列表”。

这些过滤器适用于以下目标类型：

内部缓冲区
SNMP 陷阱
电子邮件
控制台
Telnet 会话
ASDM
系统日志服务器

请执行以下步骤：

选择Configuration > Device Management > Logging > Logging Filters并选择日志记录目标。然后，单击Edit修改设置。
您可以根据严重性发送系统日志消息。此处选择Emergencies作为示例。
还可以选择事件列表来指定要发送到特定目标的消息类型。Click OK.
检验修改。

以下是将一组消息（根据其严重性级别）发送到电子邮件服务器的步骤。

在Logging Destination字段中选择E-mail。然后单击Edit。
选择Filter on severity选项并选择所需的严重性级别。

此处，Alerts已被选为严重性级别。

您可以看到所有警报系统日志消息都将发送到已配置的电子邮件。

丢包率限制

此关键字指定思科ASA在指定时间段内发送到目标的系统日志消息的数量。它通常针对严重性级别定义。

选择Configuration > Device Management > Logging > Rate Limit并选择所需的严重性级别。然后单击Edit。
指定随时间间隔一起发送的消息数。Click OK.

注意：以下数字仅供参考。根据网络环境的类型，这些选项会有所不同。

修改的值如下所示：

记录访问规则的命中数

您可以使用ASDM记录访问规则命中。默认日志记录行为是为所有被拒绝的数据包发送系统日志消息。对于允许的数据包，不会出现任何系统日志消息，且不会记录这些消息。但是，您可以为访问规则定义自定义日志记录严重性级别，以跟踪符合此访问规则的数据包计数。

请执行以下步骤：

选择所需的访问规则并单击Edit。

屏幕上会显示Edit the Access Rule窗口。

注意：在此映像中，Logging Level字段中的Default选项指示Cisco ASA的默认日志记录行为。有关此属性的详细信息，请参阅日志记录访问列表练习部分。
选中Enable logging选项并指定所需的严重性级别。然后，单击OK。

注意：通过点击More options下拉选项卡，您可以看到Logging Interval选项。仅当勾选上述Enable Logging选项时，才会突出显示此选项。此计时器的默认值为300秒。此设置可用于指定当该访问规则没有匹配项时要删除的流统计信息的超时值。如果存在任何命中，则ASA会等待Logging Interval时间并将其发送到系统日志。
此处显示修改。或者，您可以双击特定访问规则的Logging字段并在该字段设置严重性级别。

注：通过双击在同一Access Rules窗格中指定日志记录级别的备选方法仅适用于手动创建的访问规则条目，不适用于隐式规则。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意：要获取此部分中所用命令的更多信息，可使用命令查找工具（仅限已注册客户）。

配置

本文档使用以下配置：

CiscoASA
: Saved : ASA Version 8.2(1) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0/0 shutdown no nameif no security-level no ip address ! interface Ethernet0/1 nameif outside security-level 0 ip address 209.165.201.2 255.255.255.0 ! interface Ethernet0/2 nameif inside security-level 100 ip address 10.78.177.11 255.255.255.192 ! ! !--- Output Suppressed ! access-list inside_access_in extended permit ip host 10.10.10.10 host 20.20.20.200 log errors access-list inside_access_in extended permit ip host 10.10.10.20 any access-list inside_access_in extended deny ip 10.20.10.0 255.255.255.0 host 20.20.20.200 access-list inside_access_in extended permit ip 10.78.177.0 255.255.255.192 any log emergencies pager lines 24 logging enable logging list user-auth-syslog level warnings class auth logging list TCP-conn-syslog message 302013-302018 logging list syslog-sev-error level errors logging list vpnclient-errors level errors class vpnc logging list vpnclient-errors level errors class ssl logging buffered user-auth-syslog logging mail alerts logging from-address test123@example.com logging recipient-address monitorsyslog@example.com level errors logging queue 1024 logging host inside 172.16.11.100 logging ftp-bufferwrap logging ftp-server 172.16.18.10 syslog testuser **** logging permit-hostdown no logging message 302015 no logging message 302016 logging rate-limit 600 86400 level 7 mtu outside 1500 mtu inside 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-623.bin asdm history enable arp timeout 14400 ! !--- Output Suppressed ! timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout TCP-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy ! !--- Output Suppressed ! ! telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics TCP-intercept ! !--- Output Suppressed ! username test password /FzQ9W6s1KjC0YQ7 encrypted privilege 15 ! ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global smtp-server 172.18.10.20 prompt hostname context Cryptochecksum:ad941fe5a2bbea3d477c03521e931cf4 : end

CiscoASA

: Saved
:
ASA Version 8.2(1) 
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 209.165.201.2 255.255.255.0 
!
interface Ethernet0/2
 nameif inside
 security-level 100
 ip address 10.78.177.11 255.255.255.192 
!
!
!--- Output Suppressed

!
access-list inside_access_in extended permit ip host 10.10.10.10 host 20.20.20.200 log errors 
access-list inside_access_in extended permit ip host 10.10.10.20 any 
access-list inside_access_in extended deny ip 10.20.10.0 255.255.255.0 host 20.20.20.200 
access-list inside_access_in extended permit ip 10.78.177.0 255.255.255.192 any log emergencies 
pager lines 24
logging enable
logging list user-auth-syslog level warnings class auth
logging list TCP-conn-syslog message 302013-302018
logging list syslog-sev-error level errors
logging list vpnclient-errors level errors class vpnc
logging list vpnclient-errors level errors class ssl
logging buffered user-auth-syslog
logging mail alerts
logging from-address test123@example.com
logging recipient-address monitorsyslog@example.com level errors
logging queue 1024
logging host inside 172.16.11.100
logging ftp-bufferwrap
logging ftp-server 172.16.18.10 syslog testuser ****
logging permit-hostdown
no logging message 302015
no logging message 302016
logging rate-limit 600 86400 level 7
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-623.bin
asdm history enable
arp timeout 14400
!
!--- Output Suppressed

!
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout TCP-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
!
!--- Output Suppressed

!
!
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics TCP-intercept
!
!--- Output Suppressed

!
username test password /FzQ9W6s1KjC0YQ7 encrypted privilege 15
!
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny  
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip  
  inspect xdmcp 
!
service-policy global_policy global
smtp-server 172.18.10.20
prompt hostname context 
Cryptochecksum:ad941fe5a2bbea3d477c03521e931cf4
: end

验证

使用本部分可确认配置能否正常运行。

命令输出解释程序（仅限注册用户）(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

您可以从ASDM查看系统日志。选择Monitoring > Logging > Real Time Log Viewer。输出示例如下所示：

故障排除

问题：连接丢失— Syslog连接终止—

尝试在设备控制面板上为任何情景启用ASDM日志记录时，会收到此错误。

"连接丢失— Syslog连接已终止—"

当ASDM用于直接连接到管理情景，并且在该情景中禁用ADSM日志记录时，请切换到子情景并启用ASDM日志记录。收到错误，但syslog消息可以正常到达syslog服务器。

ciscoasa(config)#logging monitor 6
ciscoasa(config)#terminal monitor
ciscoasa(config)#logging on
ciscoasa(config)#logging trap 6

ASA 8.2：使用ASDM配置系统日志

下载选项

非歧视性语言

关于此翻译

目录

简介

先决条件

要求

使用的组件

规则

使用ASDM执行基本系统日志配置

启用日志

禁用日志记录

记录到电子邮件

记录到系统日志服务器

使用ASDM进行高级系统日志配置

使用事件列表

使用日志记录过滤器

丢包率限制

记录访问规则的命中数

配置

配置

验证

故障排除

问题：连接丢失— Syslog连接终止—

解决方案

无法在Cisco ASDM上查看实时日志

解决方案

相关信息

修订历史记录

此文档是否有帮助?

联系我们

本文档适用于以下产品