CiscoTik

Networking Administration

CiscoTik

Networking Administration

CiscoTik

آموزش شبکه های مبتنی بر سیسکو و میکروتیک و ...

طبقه بندی موضوعی
محبوب ترین مطالب
نویسندگان
  • ۱
  • ۰

log گرفتن ازدستگاه های میکروتیک و سیسکو

 

مقدمه

گرفتن log برروی دستگاه های شبکه یکی از مهمترین کارها برای بالا بردن امنیت شبکه می باشد.معمولا از SYSlog برای این کار استفاده می شود.این log ها بسته به نوع حساسیت ها در دسته های مختلفی طبقه بندی می شوند.نگه داری و ثبت و بررسی همه اگ های دستگاه های مختلف کار بسیار سخت و وقت گیری می باشد و در صورت لزوم می بایست اطلاعاتی را لاگ گرفت که در مواجهه با تهدیدات باشد یا اینکه نیاز به عکس العمل مدیر شبکه داشته باشد.


در مرحله اول باید یک سروری به عنوان سرور SYSlog را پیاده سازی نمود. در اینجا برای این کار از توزیع Ubuntu استفاده می شود.

پیکربندی Ubuntu به عنوان سرور SYSlog :

1-در این مرحله فایل rsyslog.conf را به منظور اجازه به سوییچ ها و روترها (کلاینت ها) بصورت زیر ویرایش می کنیم.
ابتدا قسمت های
$ModLoad imudp و $UDPServerRun 514 را Uncomment
می کنیم ،
سپس در انتهای این فایل ، خطوط زیر را وارد میکنیم:


,$template TmplAuth

"/var/log/%HOSTNAME%/%PROGRAMNAME%.log"

2- سرویس rsyslog را بصورت service rsyslog restart ریست می کنیم .

 

تنظیمات مربوط در سوییچ های سیسکو برای انداختن لاگ به سرور SYSlog :

در مرحله اول باید ارتباط سوییچ با سرور SYSlog  را چک کرد . مثلا با گرفتن Ping از ارتباط آنها با هم اطمیان پیدا نمود.در صورت موفقیت ادامه تنظیمات به شرح زیر می باشد.

Switch#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Switch(config)#logging host 192.168.168.2

Switch(config)# logging source-interface all

 

آدرس مربوطه که خطوط بالا آورده شده است مربوط به آدرس سرور SYSlog   میباشد.

در سوییچ های سیسکو چند سطح برای به گرفتن لاگ ها وجود دارد که پیکربندی با Trap یا سطح بالاتر شامل سطوح پایینتر از آن را نیز میشود.بطور مثال وقتی سوییچ را با Trap ای برابر 5 قرار دادیم ، سطوح لاگ گیری خود را برابر و پایینتر از 5 قرار دادیم.

Switch#configure terminal

Switch(config)#logging trap 2

Switch(config)#end

Switch #

%SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 192.168.2.3 port 514 started

 - CLI initiated

 

 


سطوح برای لاگ گیری در سیسکو

جدول زیر سطوح امنیت برای لاگ گیری و توضیح هر یک با شماره مربوط به هر سطح آورده شده است.

 

Severity Number

description

Logging severity level

1

Immediate action needed

alerts

2

Critical conditions

critical      

7

Debugging messages

debugging

0

System is unusable

                             emergencies

3

Error conditions

errors

6

Informational messages           

informational

5

Normal but significant conditions

notifications  Normal

4

Warning conditions

warnings      

 

 

تنظیمات مربوط در روتربوردهای میکروتیک  برای انداختن لاگ به سرور SYSlog :

در مرحله اول باید ارتباط روتر بورد با سرور SYSlog  را چک کرد . مثلا با گرفتن Ping از ارتباط آنها با هم اطمیان پیدا نمود.
در صورت موفقیت ادامه تنظیمات به شرح زیر می باشد:

در میکروتیک ابتدا به مسیر system/logging/action  رفته و رول زیر را که در نقش یک Action می باشد ، وارد می کنیم.

add bsd-syslog=yes name=SYSlog remote=192.168.168.2 syslog-severity=critical target=remote

آدرس مربوطه که خطوط بالا آورده شده است مربوط به آدرس سرور SYSlog   میباشد

در مرحله بعد در مسیر system/logging/rules   رفته و رول زیر را تعریف میکنیم.

add action=SYSlog topics=critical


 

نظرات (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">
تجدید کد امنیتی