Логирование на ASA

Неотвеченый вопрос
Мар 9th, 2012

День добрый.

Есть ASA5510, есть статический NAT для, например, порт 2222.
Для NAT'а сделан ACL, разрешающий вход с определенного диапазона адресов.
Возможно ли включить логирование успешных соединений, чтобы было видно кто и когда подключался?
Сейчас на syslog уходят только deny.

I have this problem too.
0 голоса
  • 1
  • 2
  • 3
  • 4
  • 5
Средняя оценка
Eugene Khabarov сб, 03/10/2012 - 22:52

Добрый день! По всей видимости Вам нужно включить логирование следующих сообщений:

logging message 302015

logging message 302013

logging message 302020

Кстати, а номер сообщения по которому deny уходит можете подсказать?

Oleg Tipisov пт, 03/16/2012 - 00:45

Надо в соответствующую permit-строчку ACL добавить опцию "log". Номер syslog-сообщения - 106100. Ур. по умолчанию - 6. "log " позволяет сменить ур.

Eugene Khabarov пт, 03/16/2012 - 06:38

Олег, поправьте меня, если я Вас не правильно понял, но для того, чтобы у топикстартера заработало журналирование опцию log включать не обязательно. С помощью log мы можем изменить уровень журналирвоания и периодичность сообщений.

Oleg Tipisov пт, 03/16/2012 - 06:50

Сообщения типа 302013 конечно и без этого будут логироваться. Но я так понял, что вопрос был о том, можно ли селективно включить логирование permit-строк в ACL, чтобы видеть только попытки обращения на порт 2222 только с определенного диапазона адресов, для которого и написан ACL. Т.е. видеть не все подряд, а определенные попытки. В этом случае нужен "log" в permit-строке ACL, если, конечно, речь идет об ACL, привязанном с помощью access-group. По умолчанию журнализации для permit-срабатываний нет.

Sergey Prishchepa чт, 06/21/2012 - 04:01

Не хочется начинать новую тему. Вопрос вот в чем.

Перестали в ASDM сыпаться deny. Команда logging message 106023 не дала результата. Но заметил, что иногда deny проскакивают (а должно быть очень много) и периодически появляется ссобщение:

%ASA-1-106101 The number of ACL log deny-flows has reached limit  (4096)

access-list deny-flow-max не настроен.

Как вернуть нормальное логирование, чтобы видеть все deny?

Sergey Prishchepa чт, 06/21/2012 - 04:26

После удаления этой строки появились deny:

      access-list global_access line 1 extended deny ip any any  log 6 interval 300

Все-таки logging message 106023 помогла.

%ASA-1-106101 The number of ACL log deny-flows has reached limit (4096) - вроде больше не появляется.

Oleg Tipisov чт, 06/21/2012 - 05:11

Все правильно. при использовании опции "log" в ACL меняется алгоритм журнализации и номера syslog-сообщений. "log" с одной стороны оптимизирует число сообщений, но с др. стороны число срабатываний накапливается в счетчиках в спец. таблице, размер которой ограничен:

ASA(config)# access-list deny-flow-max ?

configure mode commands/options:

  <1-4096>  Maximum number of concurrent deny flows that can be created,

            default is 4096

Если "log" убрать, то журнализируется все.

Действия

Login or Register to take actions

Информация о дискуссии

Создан
Статистика
Ответы7 Avg. Rating:5
Views:1115 Votes:0
Поделились ссылкой0
Tags: acl, asa
+

Related Content

 

Discussions Leaderboard

Рейтинг Имя пользователя Очки
1 142
2 94
3 75
4 50
5 20
Рейтинг Имя пользователя Очки
10