В данной статье описано, как настроить отправку журналов с Cisco Identity Services Engine (ISE). 

Общие сведения

Для эффективного мониторинга и диагностики рекомендуется настроить отправку Syslog-сообщений на один или несколько внешних получателей:  

• внешние Syslog-серверы;
• внутренний буфер журналов;
• ASDM;
• SNMP-станции управления;
• консольный порт;
• адреса электронной почты;
• сессии Telnet/SSH.  

Настройка отправки журналов на внешний Syslog-сервер

Выполните следующие шаги:

Шаг 1. Укажите адрес Syslog-сервера:

logging host <имя_интерфейса> <IP_адрес_сервера> [tcp[/порт] | udp[/порт]] [format emblem]

Пример:

ciscoasa(config)# logging host dmz1 192.168.1.5 udp/1026
ciscoasa(config)# logging host dmz1 2002::1:1 udp/2020

Параметры:

• <имя_интерфейса>: интерфейс, через который доступен Syslog-сервер;
• <IP_адрес_сервера>: IPv4 или IPv6-адрес сервера;
• Протокол по умолчанию: UDP;
• Поддерживаемые порты: от 1025 до 65535;  
• UDP-порт по умолчанию: 514; 
• TCP-порт по умолчанию: 1470.

Шаг 2. Установите уровень важности журналов и укажите, какие сообщения отправлять на сервер:

logging trap {<уровень_важности> | <список_сообщений>}

 Пример:

ciscoasa(config)# logging trap errors

Параметры:

• уровень важности: от 0 (emergency) до 7 (debugging). Если указан уровень N, отправляются все сообщения с уровнем ≤ N (например, logging trap отправит уровни 0–3).  

Можно также указать пользовательский список сообщений.

Шаг 3. (Опционально) Разрешите новые соединения при недоступности TCP-сервера. Если используется TCP и необходимо разрешить трафик даже при падении Syslog-сервера:

logging permit-hostdown

 Пример:

ciscoasa(config)# logging permit-hostdown

Эта команда отключает блокировку новых соединений при недоступности TCP-сервера Syslog или переполнении очереди журналов.

Шаг 4. (Опционально) Измените facility-код. По умолчанию используется facility 20. Для UNIX-систем часто требуется другой код:

logging facility <число>

 Пример:

ciscoasa(config)# logging facility 21

Настройка защищенной отправки журналов (SSL/TLS)

Выполните следующие шаги:

Шаг 1. Для шифрования журналов по TCP используйте ключевое слово secure:

logging host <интерфейс> <IP> tcp/<порт> secure [reference-identity <имя>]

 Пример:

ciscoasa(config)# logging host inside 10.0.0.1 tcp/1500 secure reference-identity syslogServer

Отправка журналов в формате EMBLEM

Для настройки выполните следующие шаги:

Шаг 1. Формат EMBLEM поддерживается только по UDP:

• на Syslog-сервере:

  logging host <интерфейс> <IP> udp[/порт] format emblem

   Пример:

  ciscoasa(config)# logging host interface_1 127.0.0.1 udp format emblem
  ciscoasa(config)# logging host interface_1 2001::1 udp format emblem

• на другие получатели (Telnet/SSH и др.):

  logging emblem

   Пример:

  ciscoasa(config)# logging emblem

Дополнительные замечания

Учтите, что:

• можно настроить несколько Syslog-серверов с помощью нескольких команд logging host;
• при использовании нескольких серверов рекомендуется ограничить уровень логирования значением warnings или выше, чтобы избежать перегрузки;
• отправка журналов по TCP не поддерживается на standby-устройствах в отказоустойчивых конфигурациях.

Заключение

После выполнения этих шагов устройство ASA будет корректно отправлять системные журналы на указанные внешние или внутренние получатели.