Graylog2: сбор логов с оборудования Cisco. Часть 1

Main

Оценка: 99.5% - 4 Голосов

Общая

Рассматривается вариант сбора логов с коммутаторов и маршрутизаторов в системе Graylog2

Настройка логирования на Cisco

На коммутаторе\маршрутизаторе Cisco необходимо задать сервер сбора логов, а так-же указать какие логи необходимо отравить.

Указываем сервер сбора:


logging source-interface ИМЯ-ИНТЕРФЕЙСА
logging host IP-Адрес Сервера transport udp port 11001

Настраиваем правильное отображение времени:


service timestamps debug datetime msec localtime show-timezone year
service timestamps log datetime msec

Указываем категорию и уровень важности сообщений:


logging facility local7
logging trap debugging

Возможные варианты важности сообщений (logging trap)

Значение Описание
Emergencies Система не работоспособна
Alerts Необходимо срочное вмешательство
Critical Критические события
Errors Сообщения о ошибках
Warning Всевозможные предупреждения
Notifications Различные важные уведомления
Informational Информационные сообшения
Debugging Отладочые сообщения

Назначаем использование имени узла в место его IP-Адреса, а так же запись лога при удачном и неудачном входе:


logging origin-id hostname
login on-failure log
login on-success log

Отменяем вывод информации в консоль и указываем собр лога в буфер устройства:


logging buffered 100000 informational
no logging console

Настраиваем архив команд с выводом на сервер логирования:


archive
log config
logging enable
logging size 200
hidekeys
notify syslog

Некоторые устройства, такие как коммутаторы 2960, 3560 или маршрутизаторы 2900 серии, изначально настроены отправлять информацию о статусе порта (up\down). Если вы не хотите получать данную информацию, то к каждому порту необходимо прописать:


no logging event link-status

Другие устройства, такие как коммутаторы 4948 изначально настроены не отправлять информацию о статусе порта (up\down) и если вы хотите получать данную информацию то необходимо прописать глобальную команду:


logging event link-status global

Настройка Graylog2

Основной задачей настройки является правильное указание типа получаемых данных и их правильное распознавание. Можно настроить самому, а можно воспользоваться готовым решением в виде JSON файла. Скачать можно тут.

После чего вам необходимо войти в Graylog, в меню выбрать Systems - Content packs, выбрать Import content pack где и загрузить файл JSON. После чего там же, в Content packs, появится новый пункт Cisco routers and switches, который необходимо выбрать и нажать Apply content.

Далее в меню выбрать Systems - Inputs, убедиться, что соединение работает и нажать Show received messages, где будут отображаться входящие сообщения. Попробуйте создать какое нибудь событие на устройстве, к приму попытку входа с правильными или неправильными учетными данными. Для удобства отслеживания входящих сообщений в верхней части окна есть кнопка включения автообновления.

View the embedded image gallery online at:
http://itcrowd.top/graylog-cisco#sigProId0c3100c4bb

Если ничего не работает.

1. Проверьте слушается ли нужный нам порт командой ss -ltu | grep 11001
В ответ вы должны получить что то на подобии: udp UNCONN 0 0 :::11001 :::*

Если записи нет, то ваш сервер не слушает порт, тогда проверьте работает ли соединение в Graylog в разделе Systems - Inputs, а так-же проверьте не блокирует ли данный порт файервол лог сервера.

2. Проверьте доступность лог сервера с устройства.

Добавить комментарий


Logo