URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12477
[ Назад ]

Исходное сообщение
"учет логов cisco"
Отправлено Ivan , 15-Янв-07 13:59

сделал на cisco 2611 следующие настройки для сбора логов
no logging console
logging trap debugging
logging facility local5
logging 192.168.4.9
на 192.168.4.9 настроил syslog –логи идут, но такое ощущение, что они не полные
надо настривать обязательно сбор логов через netflow или я что-то недонастроил?

Содержание

учет логов cisco,Ivan, 14:36 , 15-Янв-07
- учет логов cisco,CompeR, 14:54 , 15-Янв-07
  - учет логов cisco,Ivan, 15:13 , 15-Янв-07
    - учет логов cisco,CompeR, 16:55 , 15-Янв-07
      - учет логов cisco,mulderua, 13:19 , 17-Янв-07

Сообщения в этом обсуждении

"учет логов cisco"
Отправлено Ivan , 15-Янв-07 14:36

ну и забыл укзать, что в нужных access-list -ах прописано в конце log,
скажите в чем отличие в учете трафика через syslog и netflow?

"учет логов cisco"
Отправлено CompeR , 15-Янв-07 14:54

>ну и забыл укзать, что в нужных access-list -ах прописано в конце
>log,
>скажите в чем отличие в учете трафика через syslog и netflow?

syslog не предназначен для учета трафика , он может только протоколитровать некоторые события. Например попадание в Аксес лист
57:55.800: %SEC-6-IPACCESSLOGNP: list 40 permitted 0 10.10.1.4 -> 0.0.0.0, 2 packets
А протокол netflow как раз используют для анализа и учета трафика проходящего через интерфейс.
Он выдает более подробный лог.
Формат примерно такой.
1.Unix timestamp
2.Source IP address
3.Inbound Interface
4.Destination IP address
5.Next Hop IP address.
6.Outbound Interface
7.Protocol Number - 1 for ICMP, 6 for TCP, and 17 for UDP are the most common.
8.Port designation
9.Port Number
10.Source Autonmous System Number, zero if not availible.
11.Destination Autonmous System Number, zero if not availible.
12.Source Layer 2 encapsulation overhead per packet, zero if not availible.
13.Destination Layer 2 encapsulation overhead per packet, zero if not availible.
14.Layer 3 bytes in the flow.
15.Packets in the flow.

"учет логов cisco"
Отправлено Ivan , 15-Янв-07 15:13

>>ну и забыл укзать, что в нужных access-list -ах прописано в конце
>>log,
>>скажите в чем отличие в учете трафика через syslog и netflow?
>
>
>syslog не предназначен для учета трафика , он может только протоколитровать некоторые
>события. Например попадание в Аксес лист
>57:55.800: %SEC-6-IPACCESSLOGNP: list 40 permitted 0 10.10.1.4 -> 0.0.0.0, 2 packets
>
спасибо понятно,
а что значит в этой записи 10.10.1.4 -> 0.0.0.0
0.0.0.0 ?

"учет логов cisco"
Отправлено CompeR , 15-Янв-07 16:55

>>>ну и забыл укзать, что в нужных access-list -ах прописано в конце
>>>log,
>>>скажите в чем отличие в учете трафика через syslog и netflow?
>>
>>
>>syslog не предназначен для учета трафика , он может только протоколитровать некоторые
>>события. Например попадание в Аксес лист
>>57:55.800: %SEC-6-IPACCESSLOGNP: list 40 permitted 0 10.10.1.4 -> 0.0.0.0, 2 packets
>>
>спасибо понятно,
>а что значит в этой записи 10.10.1.4 -> 0.0.0.0
>0.0.0.0 ?
Это я то телнетом загодил с 10.10.1.4

"учет логов cisco"
Отправлено mulderua , 17-Янв-07 13:19

Это значить что сработала правило в аксес листе которое гласило
permit 10.10.1.4 any !