forum.opennet.ru - "снятие логов с ACL" (1)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"снятие логов с ACL"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"снятие логов с ACL"
Сообщение от Erik (??) on 29-Май-07, 15:01
Добрый день! На кошке прописаны аксесс-листы. Часть правил идет с пометкой log. Если в консоли включить term mon, то видно как в консоль прилетают сообщения о пакетах которые попадают под правило с пометкой log, но есть мнение что не все пакеты которые идут по этим правилам сыпятся в консоль. Т.к. чисто визуально сообщений не очень много, в то время как траффик достаточно плотный и кроме того часто вылетает: %SEC-6-IPACCESSLOGRL: access-list logging rate-limited or missed 5 packets Подскажите, как правильно получать все логи с трафика, который попадает под правила log? Настроить кошку в паре с syslogd? И еще один вопрос в тему... Как организовать на кошке что-то подобное tcpdump? Пока что единственное решение которое мне приходит в голову: один из портов кошки сделать как port-mirror и весь трафик с него перенаправлять на хост на котором крутится tcpdump. Может есть другие решения?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

снятие логов с ACL, God, 12:04 , 30-Май-07, (1)

Сообщения по теме [Сортировка по времени, UBB]

1. "снятие логов с ACL"

Сообщение от God on 30-Май-07, 12:04

>Добрый день!
>На кошке прописаны аксесс-листы.
>Часть правил идет с пометкой log.
>Если в консоли включить term mon, то видно как в консоль прилетают
>сообщения о пакетах которые попадают под правило с пометкой log, но
>есть мнение что не все пакеты которые идут по этим правилам
>сыпятся в консоль. Т.к. чисто визуально сообщений не очень много, в
>то время как траффик достаточно плотный и кроме того часто вылетает:
>
>%SEC-6-IPACCESSLOGRL: access-list logging rate-limited or missed 5 packets
>
>Подскажите, как правильно получать все логи с трафика, который попадает под правила
>log?
>Настроить кошку в паре с syslogd?
лучше всего настроить экспорт нетфлоу. есть такой прекрасный пакет flow-tools - можно настроить входные фильтры или писать в базу, а фильтровать в sql-запросе. Сырую статистику в базе нужно переодически аггрегировать скриптом или хранимой процедурой, а то 50ГБ в месяц не предел.
>
>И еще один вопрос в тему...
>Как организовать на кошке что-то подобное tcpdump? Пока что единственное решение которое
>мне приходит в голову: один из портов кошки сделать как port-mirror
>и весь трафик с него перенаправлять на хост на котором крутится
>tcpdump.
>Может есть другие решения?
можно настроить ip inspect -увидите сессии, но не пакеты, в реал-тайме. а лучше миррора + тспдамп решения не знаю, к тому же и снорт можно прикрутить

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "снятие логов с ACL"
Сообщение от God on 30-Май-07, 12:04
>Добрый день! >На кошке прописаны аксесс-листы. >Часть правил идет с пометкой log. >Если в консоли включить term mon, то видно как в консоль прилетают >сообщения о пакетах которые попадают под правило с пометкой log, но >есть мнение что не все пакеты которые идут по этим правилам >сыпятся в консоль. Т.к. чисто визуально сообщений не очень много, в >то время как траффик достаточно плотный и кроме того часто вылетает: > >%SEC-6-IPACCESSLOGRL: access-list logging rate-limited or missed 5 packets > >Подскажите, как правильно получать все логи с трафика, который попадает под правила >log? >Настроить кошку в паре с syslogd? лучше всего настроить экспорт нетфлоу. есть такой прекрасный пакет flow-tools - можно настроить входные фильтры или писать в базу, а фильтровать в sql-запросе. Сырую статистику в базе нужно переодически аггрегировать скриптом или хранимой процедурой, а то 50ГБ в месяц не предел. > >И еще один вопрос в тему... >Как организовать на кошке что-то подобное tcpdump? Пока что единственное решение которое >мне приходит в голову: один из портов кошки сделать как port-mirror >и весь трафик с него перенаправлять на хост на котором крутится >tcpdump. >Может есть другие решения? можно настроить ip inspect -увидите сессии, но не пакеты, в реал-тайме. а лучше миррора + тспдамп решения не знаю, к тому же и снорт можно прикрутить
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]