理解并演示：思科的日志系统与集中收集日志

第10章实施网络安全任务10.5配置思科的日志系统企业级日志系统记录了整个企业级网络设备（包括服务器、路由器、交换机、防火墙、入侵检测、入侵防御等）所产生的行为，对发现和修复网络故障、安全违规事件追查、网络犯罪取证、性能监视等有着不可忽视的作用。所以，收集各种网络设备上的日志有着重要的价值。实现收集日志需要理解如下知识点。收集日志的范围。日志消息的组成。日志消息的编码。集中收集日志的组件。日志文件类型的相互转换。任务10.5关于收集日志的范围收集日志的范围包括收集服务器操作系统的日志、路由器与交换机的日志、防火墙的日志、入侵检测与入侵防御的日志。服务器与操作系统的日志：记录服务器与操作系统中硬件、软件问题的信息，同时还可以监视系统中发生的事件，用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。路由器与交换机的日志：记录路由器与交换机的运行状况，如接口状态、安全警告、环境条件、CPU处理率及路由器的其他事件都可以被一台集中日志服务器收集并分析。防火墙的日志：能够让网络管理员清晰地检测到是否有非法攻击者正在对企业网络进行攻击，而且也允许网络管理员基于通信的关键信息对日志进行过滤，快速取得防火墙日志的核心内容。入侵检测与入侵防御的日志：日志记录是入侵检测与入侵防御设备的一个重要特征，这些设备都提供了精确的日志记录功能。比如，当网络正在受到攻击或者入侵时，系统将产生攻击报警或错误信息，会把相应的事件进行归档和分类，再根据不同的紧急程度或破坏程度向网络管理员提出报警，让网络管理员能及时地防御网络违例事件。任务10.5关于日志消息的组成一个通用的日志消息大概由3个部分组成：等级代码、日志头文件和日志信息文本。等级代码表示设备或操作系统产生日志信息的严重级别；日志头文件包含产生日志事件的时间、产生日志的网络元件名称、IP地址等；日志信息文本包括一个文本消息的说明和与该说明有关的附加信息，一般这个部分的长度小于或者等于1024B，如果没有经过特殊处理，该信息以明文的方式进行传递，如图10.44所示。图10.44日志消息的结构任务10.5关于日志消息的编码

日志消息的设备和严重级别信息要用十进制数字编码。很多操作系统的常驻进程和普通进程都指定了一个设备号，如图10.45所示。如表10.2所示的是常规被定义的日志消息编码与对应的说明。如果一个消息或进程没有被明确指定一个设备号，那么它就可以使用本地的设备号或本地用户级的设备号。例如：没有被思科列入常驻进程消息的日志将使用一个名为“local7”的本地设备号对日志消息进行编码，当然也可以更改。图10.45日志设备编号任务10.5表10.2日志消息的设备严重级别编码表十进制码设

备十进制码设

备0内核消息12NTP子系统1用户级消息13日志审计2邮件系统14日志报警3系统后台进程15时钟进程续表十进制码设

备十进制码设

备4安全验证消息16本地使用（local0）5Syslog内部产生消息17本地使用1（local1）6行式打印机子系统18本地使用2（local2）7网络消息子系统19本地使用3（local3）8UUCP子系统20本地使用4（local4）9时钟进程21本地使用5（local5）10安全验证消息22本地使用6（local6）11FTP进程23本地使用7（local7）任务10.5关于集中收集日志的组件集中收集日志的优势在于，与其把各个设备产生的关键信息分散地放置在设备本地，不如考虑集中收集和存储这些重要信息。“分散网络管理不如集中网络管理；分散安全管理不如集中安全管理”，即与其到产生日志的本地查看日志事件，不如在一个物理位置统一查看日志事件，这样会更方便和高效。集中收集日志的组件有3个部分：日志消息产生源、收集协议、日志软件。通常日志消息的产生源是一个网络元件，可以是服务器、路由器、交换机、防火墙、入侵检测或者入侵防御系统等。收集协议是指将网络元件所产生的日志消息运载到日志收集平台的一个通信协议，它是网络元件与日志软件之间的一种通信方式，如Syslog就是使用UDP的514号端口来运载日志消息的。日志软件是指集中收集网络上各种设备所产生的日志的用户应用平台（通常也叫作日志服务器），它可以直接与用户进行交互，用户可以随时查看具体某个时间段、某个IP地址所产生的具体日志信息等，还可以对收集的日志进行分类与过滤管理，从而方便用户快速地搜索并排除与故障相关的核心日志。集中收集日志的组件如图10.46所示。任务10.5图10.46集中收集日志的组件任务10.5关于日志文件类型的相互转换一般情况下，日志文件的格式有两种：一种是基于Windows的日志文件格式；另一种是基于Syslog的日志文件格式。基于Syslog的日志文件格式是UNIX或Linux操作系统所支持的一种日志文件格式，大多数情况下网络设备（路由器、交换机）所产生的日志格式都是基于Syslog的格式，比如思科就使用Syslog格式日志。Windows日志格式只支持3种日志类型，具体如表10.3所示；而Syslog日志格式定义了8种类型的日志级别，具体如表10.3所示。表10.3Windows日志格式的消息类型日志类型类型说明错误重要的问题，如数据丢失或功能丧失。例如，如果在启动过程中某个服务加载失败，将会记录“错误”事件警告虽然不是很重要，但是将来有可能导致问题的事件。例如，当磁盘空间不足时，将会记录“警告”事件信息描述了应用程序、驱动程序或服务成功操作的事件。例如，当网络驱动程序加载成功时，将会记录一个“信息”事件任务10.5表10.3Syslog日志的消息类型（思科使用日志类型）日志类型级

别类型说明Emergencies（非常紧急）0系统无法使用，比如路由器不可用Alerts（报警）1需要立即行动，马上处理Critical（危急）2危急情况Errors（错误）3出现错误Warnings（警告）4警告Notifications（通知）5系统正常但是比较重要的情况Informational（信息）6只通报情况Debugging（调试）7调试信息任务10.5首先，虽然Windows有产生日志和收集本地主机日志的功能，但是它不具备对企业级网络中的各种不同网络元件所产生的日志进行集中收集的功能。如果需要对企业级网络中的日志进行集中收集，那么需要部署一个集中收集日志的服务端。这种服务端的应用软件有很多，有商业版本的，也有免费版本的，如KiWiSyslog就是一个免费的集中收集日志的服务端软件。KiwiSyslog软件是基于Windows的Syslog服务器解决方案之一。这些产品的安装与配置非常简单，提供了功能丰富的解决方案来接收、记录、显示并转发各种网络设备（如路由器、交换机、UNIX主机及其他启用Syslog的设备）的Syslog消息。值得关注的第一个问题：如果需要部署集中收集日志，那么针对上述情况提出一个问题——既然Windows与网络设备、UNIX、Linux的日志分别使用两种不同格式的日志类型，那么怎样对两种不同类型的日志进行集中收集呢？因为在一个真实的企业级网络环境中，应该既有Windows服务器，也有UNIX、Linux服务器，还有网络设备，那么，如何做到对不同的日志文件类型进行转换与收集呢？任务10.5值得关注的第二个问题：现在使用Syslog软件解决了集中收集日志服务端的问题，接下来需要解决的是，Syslog是基于Syslog日志消息类型的软件，这与基于“Windows事件查看器”里面的日志类型不是一种格式，那么，怎么才能把Windows所产生的日志类型转换成Syslog能够理解的日志类型呢？这显得非常重要。基于Windows日志客户端的NTSyslog是安装在Windows上的日志客户端软件，它是一款相当不错的软件。NTSyslog不会用自身的方式去创建日志消息，它会采取一种非常干净的做法——将Windows自身产生的日志消息转换成一种Syslog能够识别和兼容的格式，然后再把转换后的格式发送到Syslog服务器进行集中存储与管理。这样既不会产生多余的非Windows系统产生的日志，又能让Syslog服务器理解它。任务10.5.1演示：配置控制台日志并保存到Buffered区域演示目标：配置控制台日志并保存到buffered区域。演示环境：如图10.47所示。演示背景：在默认情况下，路由器或者交换机所产生的日志消息会直接发送到控制台，但是不会保存。在该演示实验中，将调整路由器向控制台发送日志消息的等级，关闭控制台日志功能，将控制台日志保存到缓冲区。演示步骤：图10.47关于配置控制台日志并保存到Buffered区域的实验环境任务10.5.1在默认情况下，思科路由器会将上述表10.4中级别为０、1、２、３、４、５、６的日志消息显示到控制台（CONSOLE），比如：当退出全局配置模式、关闭或者激活接口时，都会有日志消息出现在控制台上，如图10.48所示。这样做的目的是方便随时提醒管理员现在的操作和设备当前的状态，发到控制台（CONSOLE）上的日志是临时的，路由器不会保存它。控制台默认不将7级日志（debug）显示到控制台上，是为了考虑对路由器性能产生额外过大开销的问题，因为这样做会在路由器的控制台上显示每条消息。图10.48控制台默认显示的日志任务10.5.1有时侯管理员可能会嫌控制台出现太多的日志信息使整个显示不太清爽，此时可以订制哪些级别的日志显示在控制台上，如下所示的配置指示路由器R1只向控制台发送0、1、２、３级别的日志消息，不再向控制台发送4、５、6级别的日志消息。当完成配置后，其结果如图10.49所示，此时，管理员退出或进入全局配置模式、手工关闭接口都不会再向控制台发送相关的日志消息，只有激活接口时，才报告级别３的日志。要求只将级别3以上的日志发送到控制台上：R1(config)#loggingconsole3*向控制台发送0、1、２、３级别的日志图10.49控制台只显示级别３以上的日志任务10.5.1如果你不希望控制台上出现任何日志消息，则可以使用如下配置关闭向控制台发送日志消息的功能，关闭后再操作路由器R1，如图10.50所示，任何操作都不会再有消息提示。建议管理员不这样做，除非自认为是真正的专家并清晰地知道路由器当前的各种状况，不然会为你在配置过程中的故障排除产生难度，这好比是给狙击手蒙上了双眼。关闭控制台的日志提示功能：R1(config)#nologgingconsole

*不向控制台（CONSOLE）发送任何日志消息图10.50控制台不显示任何日志消息任务10.5.1控制台所产生的日志消息是一种即时消息，不会做保存，思科路由器可以将日志消息保存在缓冲区（Buffered）中，这个保存是暂时的，它会随路由器的重新启动而丢失所保存的日志消息，因为它是从路由器的RAM中获得暂存空间的。一般建议：如果路由器的RAM不超过16MB，那么建议将日志缓冲区的大小设置为32KB或者64KB。具体配置如下。关于配置日志消息缓冲区的指令：R1(config)#loggingon *开启日志记录功能R1(config)#loggingbuffered64000 *定义保存日志消息的缓冲区大小为64KB

当完成上述配置后，现在可以为路由器R1的E1/0接口配置IP地址，并激活接口，然后通过showlogging指令查看保存在缓存区中的日志消息，如图10.51所示，可以明显地看出所配置日志缓冲区的大小，并记录了接口状态变化的日志。任务10.5.1图10.51查看存入缓冲区的日志任务10.5.2演示：配置日志发送到VTY虚拟终端演示目标：配置日志消息发送到VTY虚拟终端。演示环境：仍然使用如图10.47所示的实验环境。演示背景：如果是使用Telnet登录的方式来配置路由器，也就是使用了VTY终端，那么，在默认情况下，路由器不会将产生的日志消息发送到VTY终端，也就是用户Telnet的网络配置窗口，在这个环境中要求将日志消息发送到VTY终端。演示步骤：任务10.5.2首先配置路由器R1使其允许被计算机00远程登录，然后做一些基础配置，比如新建一个环回接口，此时你会发现，新建环回接口后，关于接口状态的日志消息只会在路由器的控制台上出现，在VTY终端（也就是Telnet会话）中没有出现任何日志消息，因为在默认情况下，路由器不会将产生的日志消息发送到VTY终端，如图10.52所示。为了能让路由器R1的日志消息成功地发送到VTY终端，此时，需要在VTY会话中键入terminalmonitor指令，该指令的功能就是将路由器R1所产生的日志传递到VTY会话中。注意：如果terminalmonitor指令是在传统的控制台上键入的，那么VTY终端仍然收不到任何日志消息，该指令只能在VTY会话（即Telnet当前的会话窗口）中键入。当完成配置后，可以通过VTY会话在路由器R1上再新建一个环回接口，如图10.53所示，在VTY终端中成功地产生了日志消息。任务10.5.2图10.52VTY会话没有产生任何日志消息任务10.5.2图10.53日志消息传递到VTY终端的状态任务10.5.3演示：配置日志发送到Syslog日志服务器演示目标：配置网络环境中的交换机和路由器将日志发送到Syslog日志服务器。演示环境：如图10.54所示。演示背景：要求部署网络中的Syslog服务器，集中收集交换机S1和路由器R1所产生的日志，并且使用协议分析器分析日志文件的构成和传输形式。图10.54使用日志服务器集中收集日志的演示环境任务10.5.3完成基础配置，其中包括为交换机S1和路由器R1配置接口地址，必须确保交换机和路由器都能成功地与日志服务器00通信。路由器R1上的基础配置：R1(config)#interfacee1/0R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfacee1/1R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exit交换机S1上的基础配置：S1(config)#interfacevlan1S1(config-if)#ipaddress00*为交换机配置网络管理IPS1(config-if)#noshutdownS1(config-if)#exitS1(config)#iproute*为交换机指定默认网关任务10.5.3注意：必须正确地在交换机S1上完成配置，保证交换机能成功地与日志服务器00通信；否则交换机S1所产生的日志将无法发送到00。事实上，此时的交换机S1在日志收集这个行为中，它就是一台被网络管理的IP节点，VLAN1接口上的IP地址00就是它的管理地址，而默认路由中的下一跳就是交换机S1的默认网关。任务10.5.3现在开始在日志服务器00上安装日志软件（KiwiSyslog），在安装时需要注意：如图10.55所示，选择将KiwiSyslog作为一个服务进行安装，而不是作为应用程序，将KiwiSyslog作为一个服务进行安装时，不需要用户登录Windows系统，它就可以运行。图10.55在日志服务器上安装日志软件任务10.5.3安装完成后，如图10.56所示，配置日志服务器所使用的IP地址、端口和日志的编码格式，在默认情况下Syslog使用UDP514号端口，请保持默认的日志编码格式。在完成上述配置后，打开日志的Manage菜单，选择“StarttheSyslogdservice”以启动Syslog服务，如图10.57所示。图10.56配置日志服务器图10.57启动日志服务任务10.5.3配置交换机S1和路由器R1支持日志功能，并将它们所产生的日志发送到日志服务器00。具体配置如下。配置交换机S1发送日志到00：S1(config)#loggingon*启动日志功能S1(config)#logginghost00transportudpport514*声明日志服务器的IP地址和端口S1(con