Всех приветствую! Проблемма заключается в следующем:
Необходимо забрать статистику с Cisco 3725 на машину с Linux Mandriva в локальной сети.
Нужна статистика по access-list ***
Действия которые предпринимал (вкратце):
Linux Mandriva:
в /etc/syslog.conf строку local2.* -/var/log/cisco.log
service syslog restartCisco:
conf t
logging trap
logging facility local2
logging 192.168.aaa.bbbCisco говорит следующее
show log
...
Trap logging: level informational, 484 message lines logged
Logging to 192.168.aaa.bbb, 73 message lines logged, xml disabled
...
Файлик в /var/log/cisco.log не наполняется. Как был пустой так и остается. Помогите, кто знает, как это поправить...
>Всех приветствую! Проблемма заключается в следующем:
>Необходимо забрать статистику с Cisco 3725 на машину с Linux Mandriva в
>локальной сети.
>Нужна статистика по access-list ***
>Действия которые предпринимал (вкратце):
>Linux Mandriva:
>в /etc/syslog.conf строку local2.* -/var/log/cisco.log
>service syslog restart
>
>Cisco:
>conf t
>logging trap
>logging facility local2
>logging 192.168.aaa.bbb
>
>Cisco говорит следующее
>show log
>...
>Trap logging: level informational, 484 message lines logged
> Logging to 192.168.aaa.bbb, 73
>message lines logged, xml disabled
>...
>Файлик в /var/log/cisco.log не наполняется. Как был пустой так и остается. Помогите,
>кто знает, как это поправить...
1. sh log покажите полностью (без данных но шапку полностью)
2. снифер что говорит? на 514й порт что то приходит?
3. ваш сислог принимает по сети сообщения? ИМХО это отдельным параметром указывается.
Вот show log
Syslog logging: enabled (0 messages dropped, 1 messages rate-limited, 0 flushes,
0 overruns, xml disabled)
Console logging: level debugging, 487 messages logged, xml disabled
Monitor logging: level debugging, 0 messages logged, xml disabled
Buffer logging: level debugging, 49 messages logged, xml disabled
Logging Exception size (4096 bytes)
Count and timestamp logging messages: disabled
Trap logging: level informational, 491 message lines logged
Logging to 192.168.aaa.bbb, 80 message lines logged, xml disabledLog Buffer (8192 bytes):
*Jun 16 03:12:57: %SYS-5-CONFIG_I: Configured from console by supervisor on vty0
(192.168.fff.ggg)
*Jun 16 03:21:15: %SEC-6-IPACCESSLOGP: list 1** denied tcp xxx.yyy.zzz.2(1251) -> aaa.bbb.ccc.34(80), 1 packet
и так далее 80 сообщений из acces-list, попавших под запрет иповНе силен в linux, поэтому не смотел что на 514 порту, ибо не знаю что где смотреть.
По поводу приема сообщений по сети - не знаю. А где искать параметр, который это разрешает/запрещает? Спасибо.
>Всех приветствую! Проблемма заключается в следующем:
>Необходимо забрать статистику с Cisco 3725 на машину с Linux Mandriva в
>локальной сети.
>Нужна статистика по access-list ***
>Действия которые предпринимал (вкратце):
>Linux Mandriva:
>в /etc/syslog.conf строку local2.* -/var/log/cisco.log
>service syslog restart
>
>Cisco:
>conf t
>logging trap
>logging facility local2
>logging 192.168.aaa.bbb
>
>Cisco говорит следующее
>show log
>...
>Trap logging: level informational, 484 message lines logged
> Logging to 192.168.aaa.bbb, 73
>message lines logged, xml disabled
>...
>Файлик в /var/log/cisco.log не наполняется. Как был пустой так и остается. Помогите,
>кто знает, как это поправить...syslog сеть слушает ? Ключик -r.
Спасибо, получилось. Syslog слушает сеть
в файле /etc/rc.d/init.d/syslog добавил ключ -r в строку запуска демона:
daemon syslogd -r
далее ./syslog stop
./syslog startНо это не решило моего основного вопроса. Я думал что получу статистику с ip на ip для
всех access-list'ов которые сказал писать в log. А вышло не совсем так..Aug 4 13:58:38: %SEC-6-IPACCESSLOGP: list 1** denied tcp aaa.bbb.ccc.ddd(1655) ->
uuu.xxx.yyy.zzz(80), 3 packets
.Aug 4 13:59:20: %SEC-6-IPACCESSLOGP: list 1** denied tcp aaa.bbb.ccc.ddd(1631) ->
uuu.xxx.yyy.zzz(80), 3 packetsГде aaa.bbb.ccc.ddd - внешний ip моей cisсo
uuu.xxx.yyy.ddd - ip запрещенный access-list'ом, куда кто-то пытался ломиться из локалки.
Вот мне и нужно узнать, кто это такой, с какого ip в локальной сети пытаются вылезти на
запрещенный ip инеета, с которого недавно был закачен чудовищный для нашей организации траффик.
Может кто занет как это сделать? Помогите проблеме, пожалуйста.
Разобрался. Привел в порядок ACL's. Теперь всё нормально, получаю в лог ip особо любознательных из локальной сети. Всем спасибо.