>Добрый день!
>На кошке прописаны аксесс-листы.
>Часть правил идет с пометкой log.
>Если в консоли включить term mon, то видно как в консоль прилетают
>сообщения о пакетах которые попадают под правило с пометкой log, но
>есть мнение что не все пакеты которые идут по этим правилам
>сыпятся в консоль. Т.к. чисто визуально сообщений не очень много, в
>то время как траффик достаточно плотный и кроме того часто вылетает:
>
>%SEC-6-IPACCESSLOGRL: access-list logging rate-limited or missed 5 packets
>
>Подскажите, как правильно получать все логи с трафика, который попадает под правила
>log?
>Настроить кошку в паре с syslogd?

лучше всего настроить экспорт нетфлоу. есть такой прекрасный пакет flow-tools - можно настроить входные фильтры или писать в базу, а фильтровать в sql-запросе. Сырую статистику в базе нужно переодически аггрегировать скриптом или хранимой процедурой, а то 50ГБ в месяц не предел.

>
>И еще один вопрос в тему...
>Как организовать на кошке что-то подобное tcpdump? Пока что единственное решение которое
>мне приходит в голову: один из портов кошки сделать как port-mirror
>и весь трафик с него перенаправлять на хост на котором крутится
>tcpdump.
>Может есть другие решения?

можно настроить ip inspect -увидите сессии, но не пакеты, в реал-тайме. а лучше миррора + тспдамп решения не знаю, к тому же и снорт можно прикрутить