Стриминг логов Cisco на FreeBSD

Чтобы удобным образом обрабатывать логи Cisco, их полезно передавать на какой нибудь сервер, где полученные данные можно отпарсить и получить статистические данные. Для примера возьму любую ось FreeBSD.

Для этого на целевом сервере в syslogd.conf добавляем строку
local7.* /var/log/cisco/cisco.log
При этом каталог и файл должны быть созданы, с правами 664 root:wheel

В /etc/rc.conf добавляем строчку
syslogd_flags="-a XXX.XXX.XXX.X:*"
где XXX.XXX.XXX.XXX - адрес интерфейса циски с которого читаем логи.

Настраиваем ротацию логов в /etc/newsyslog.conf
/var/log/cisco/cisco.log 600 100 10000 * Z

в файрволе разрешаем syslog слушать с адреса циски
ipfw add 02000 allow udp from XXX.XXX.XXX.XXX to me 514

в Cisco добавляем следующие строки
logging history size 500
logging history informational
logging trap debugging
logging source-interface FastEthernet0/1 #Здесь интерфейс на который отправляются логи, на которм доступен целевой сервер.
logging YYY.YYY.YYY.YYY #Здесь айпишник целевого сервера.

можно добавить logging facility localZ с номером от 0 до 7 вместо Z, если 7 ровень логов уже чем то занят.
тогда и в конфиге сислога поправить на нужный уровень.
Ну и в общем то всё... Просто и элегантно. Более подробные данные можно получить, если активировать NetFlow на Cisco и опрашивать ее с помощью соответствующего ПО.

Поделиться

Опубликовать в Facebook
Опубликовать в LiveJournal

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>