在ESA上配置郵件日誌的SCP推送

下載選項

  • PDF     (370.2 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (79.9 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (66.7 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2017 年 2 月 21 日
文件 ID:200985

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文檔介紹如何設定和配置從思科郵件安全裝置(ESA)到外部系統日誌伺服器的郵件日誌(或其他日誌型別)的安全複製推送(SCP)。

背景資訊

管理員可能會收到錯誤通知,說明無法使用SCP推送日誌,或者可能有錯誤日誌說明金鑰不匹配。

  

必要條件

在ESA將SCP日誌檔案傳送到的系統日誌伺服器上:

  1. 確保要使用的目錄可用。
  2. 檢視「/etc/ssh/sshd_config」以瞭解AuthorizedKeysFile設定。 這會告知SSH接受authorized_keys,並在使用者的主目錄中查詢在.ssh/authorized_keys檔案中寫入的key_name字串: 
    AuthorizedKeysFile      %h/.ssh/authorized_keys
  3. 驗證要使用的目錄許可權。 您可能需要變更許可權:
    1. 「$HOME」上的許可權設定為755。
    2. 「$HOME/.ssh」上的許可權設定為755。
    3. 「$HOME/.ssh/authorized_keys」上的許可權設定為600。

UNIX/Linux上的檔案層級限制和許可權

有三種型別的訪問限制:

Permission    Action      chmod option
======================================
read          (view)      r or 4
write         (edit)      w or 2
execute       (execute)   x or 1

還有三種型別的使用者限制:

User    ls output
==================
owner   -rwx------
group   ----rwx---
other   -------rwx

資料夾/目錄許可權:

Permission    Action                               chmod option
===============================================================
read          (view contents: i.e., ls command)      r or 4
write         (create or remove files from dir)      w or 2
execute       (cd into directory)                    x or 1

數字記法:

用於表示Linux許可權的另一個方法是八進位制表示法,如stat -c %a所示。此符號至少由三個數字組成。最右邊的三個數字分別代表不同的許可權元件:擁有者、群組及其他。

這些數字中的每一個數字都是二進位制數字系統中其組成位的總和:

Symbolic Notation    Octal Notation    English
============================================================
----------            0000               no permissions
---x--x--x            0111               execute
--w--w--w-            0222               write
--wx-wx-wx            0333               write & execute
-r--r--r--            0444               read
-r-xr-xr-x            0555               read & execute
-rw-rw-rw-            0666               read & write
-rwxrwxrwx            0777               read. write & execute

對於步驟#3,將$HOME目錄設定為755的建議是:7=rwx 5=r-x 5=r-x

這表示目錄具有預設許可權-rwxr-xr-x(以八進位制表示法表示為0755)。

在ESA上配置郵件日誌的SCP推送

  1. 運行CLI命令logconfig。 
  2. 選擇new選項。
  3. 選擇此訂閱的日誌檔案型別,對於IronPort文本郵件日誌為「1」,或者選擇任何其他日誌檔案型別。 
  4. 輸入日誌檔的名稱。
  5. 選取適當的記錄層級。 通常,您需要選擇「3」作為「資訊」,或您選擇的任何其他日誌級別。
  6. 當提示「Choose the method to retrieve the logs」時,為SCP Push選擇「3」。
  7. 輸入要將日誌傳送到的IP地址或DNS主機名。
  8. 輸入遠端主機上要連線的埠。
  9. 輸入遠端主機上的目錄來放置記錄。
  10. 輸入用於記錄檔的檔案名稱。
  11. 如果需要,請配置基於系統的唯一識別符號,如$hostname$serialnumber以附加到日誌檔名。
  12. 在傳輸前設定最大檔案大小。
  13. 配置日誌檔案的基於時間的變換功能(如果適用)。
  14. 當詢問「Do you want to enable host key checking?」時,輸入「Y」。
  15. 系統隨即顯示「請將以下SSH金鑰放入您的authorized_keys檔案中,以便上傳日誌檔案。」
  16. 複製該金鑰,因為您需要將SSH金鑰放在Syslog伺服器上的「authorized_keys」檔案中。 將logconfig中提供的金鑰貼上到Syslog伺服器上的$HOME/.ssh/authorized_keys檔案中。
  17. 從ESA,運行CLI命令commit,以儲存和提交配置更改。

也可以透過GUI完成日誌配置:System Administration > Log Subscriptions

:請參閱ESA使用手冊的「日誌記錄」一章,瞭解完整的詳細資訊和更多資訊。

確認

Hostkeyconfig 

運行logconfig > hostkeyconfig命令。 您應該會看到配置為「ssh-dss」的系統日誌伺服器的條目,其縮寫金鑰與配置過程中提供的金鑰類似。 

myesa.local > logconfig
...
[]> hostkeyconfig

Currently installed host keys:
1. 172.16.1.100 ssh-dss AAAAB3NzaC1kc3MAAACBAMUqUBGztO0T...OutUns+DY=

系統記錄

系統日誌記錄以下資訊:引導資訊、虛擬裝置許可證到期警報、DNS狀態資訊和使用者使用commit命令鍵入的註釋。系統日誌對於排除裝置的基本狀態故障非常有用。

從CLI運行tail system_logs命令將即時檢視系統狀態。

您還可以選擇CLI命令rollovernow並選擇與日誌檔案關聯的數字。 您將在system_logs中看到日誌檔案SCP到您的系統日誌伺服器:

myesa.local > tail system_logs

Press Ctrl-C to stop.
Thu Jan 5 11:26:02 2017 Info: Push success for subscription mail_logs: Log mail_logs.myesa.local.@20170105T112502.s pushed via SCP to remote host 172.16.1.100:22

高級故障排除

  

如果從本地主機和使用ssh連線到syslog伺服器持續出現問題,請運行「ssh testuser@hostname -v」以詳細模式測試使用者訪問。 這有助於進行故障排除,以顯示ssh連線不成功之處。

$ ssh testuser@172.16.1.100 -v
OpenSSH_7.3p1, LibreSSL 2.4.1
debug1: Reading configuration data /Users/testuser/.ssh/config
debug1: /Users/testuser/.ssh/config line 16: Applying options for *
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 20: Applying options for *
debug1: Connecting to 172.16.1.100 [172.16.1.100] port 22.
debug1: Connection established.
debug1: identity file /Users/testuser/.ssh/id_rsa type 1
debug1: key_load_public: No such file or directory
debug1: identity file /Users/testuser/.ssh/id_rsa-cert type -1
debug1: identity file /Users/testuser/.ssh/id_dsa type 2
debug1: key_load_public: No such file or directory
debug1: identity file /Users/testuser/.ssh/id_dsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /Users/testuser/.ssh/id_ecdsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /Users/testuser/.ssh/id_ecdsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /Users/testuser/.ssh/id_ed25519 type -1
debug1: key_load_public: No such file or directory
debug1: identity file /Users/testuser/.ssh/id_ed25519-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_7.3
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.6.1p1 Ubuntu-2ubuntu2.8
debug1: match: OpenSSH_6.6.1p1 Ubuntu-2ubuntu2.8 pat OpenSSH_6.6.1* compat 0x04000000
debug1: Authenticating to 172.16.1.100:22 as 'testuser'
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: curve25519-sha256@libssh.org
debug1: kex: host key algorithm: ssh-dss
debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: zlib@openssh.com
debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: zlib@openssh.com
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ssh-dss SHA256:c+YpkZsQyUwi3tkIVJFXHAstwlkdewO1G0s7P2khV7U
debug1: Host '172.16.1.100' is known and matches the DSA host key.
debug1: Found key in /Users/testuser/.ssh/known_hosts:5
debug1: rekey after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: rekey after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS received
debug1: Skipping ssh-dss key /Users/testuser/.ssh/id_dsa - not in PubkeyAcceptedKeyTypes
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /Users/testuser/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password
debug1: Trying private key: /Users/testuser/.ssh/id_ecdsa
debug1: Trying private key: /Users/testuser/.ssh/id_ed25519
debug1: Next authentication method: password
testuser@172.16.1.100's password: <<< ENTER USER PASSWORD TO LOG-IN >>>
debug1: Enabling compression at level 6.
debug1: Authentication succeeded (password).
Authenticated to 172.16.1.100 ([172.16.1.100]:22).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: exec
debug1: No xauth program.
Warning: untrusted X11 forwarding setup failed: xauth key data not generated
debug1: Requesting authentication agent forwarding.
debug1: Sending environment.
debug1: Sending env LANG = en_US.UTF-8
debug1: Sending env LC_CTYPE = en_US.UTF-8

修訂記錄

修訂 發佈日期 意見
1.0
21-Feb-2017
初始版本
TAC Authored

由思科工程師貢獻

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品