сделал на cisco 2611 следующие настройки для сбора логов
no logging console
logging trap debugging
logging facility local5
logging 192.168.4.9на 192.168.4.9 настроил syslog –логи идут, но такое ощущение, что они не полные
надо настривать обязательно сбор логов через netflow или я что-то недонастроил?
ну и забыл укзать, что в нужных access-list -ах прописано в конце log,
скажите в чем отличие в учете трафика через syslog и netflow?
>ну и забыл укзать, что в нужных access-list -ах прописано в конце
>log,
>скажите в чем отличие в учете трафика через syslog и netflow?
syslog не предназначен для учета трафика , он может только протоколитровать некоторые события. Например попадание в Аксес лист
57:55.800: %SEC-6-IPACCESSLOGNP: list 40 permitted 0 10.10.1.4 -> 0.0.0.0, 2 packetsА протокол netflow как раз используют для анализа и учета трафика проходящего через интерфейс.
Он выдает более подробный лог.
Формат примерно такой.
1.Unix timestamp
2.Source IP address
3.Inbound Interface
4.Destination IP address
5.Next Hop IP address.
6.Outbound Interface
7.Protocol Number - 1 for ICMP, 6 for TCP, and 17 for UDP are the most common.
8.Port designation
9.Port Number
10.Source Autonmous System Number, zero if not availible.
11.Destination Autonmous System Number, zero if not availible.
12.Source Layer 2 encapsulation overhead per packet, zero if not availible.
13.Destination Layer 2 encapsulation overhead per packet, zero if not availible.
14.Layer 3 bytes in the flow.
15.Packets in the flow.
>>ну и забыл укзать, что в нужных access-list -ах прописано в конце
>>log,
>>скажите в чем отличие в учете трафика через syslog и netflow?
>
>
>syslog не предназначен для учета трафика , он может только протоколитровать некоторые
>события. Например попадание в Аксес лист
>57:55.800: %SEC-6-IPACCESSLOGNP: list 40 permitted 0 10.10.1.4 -> 0.0.0.0, 2 packets
>
спасибо понятно,
а что значит в этой записи 10.10.1.4 -> 0.0.0.0
0.0.0.0 ?
>>>ну и забыл укзать, что в нужных access-list -ах прописано в конце
>>>log,
>>>скажите в чем отличие в учете трафика через syslog и netflow?
>>
>>
>>syslog не предназначен для учета трафика , он может только протоколитровать некоторые
>>события. Например попадание в Аксес лист
>>57:55.800: %SEC-6-IPACCESSLOGNP: list 40 permitted 0 10.10.1.4 -> 0.0.0.0, 2 packets
>>
>спасибо понятно,
>а что значит в этой записи 10.10.1.4 -> 0.0.0.0
>0.0.0.0 ?Это я то телнетом загодил с 10.10.1.4
Это значить что сработала правило в аксес листе которое гласило
permit 10.10.1.4 any !