Логирование на ASA

Unanswered Question
Mar 9th, 2012

День добрый.

Есть ASA5510, есть статический NAT для, например, порт 2222.
Для NAT'а сделан ACL, разрешающий вход с определенного диапазона адресов.
Возможно ли включить логирование успешных соединений, чтобы было видно кто и когда подключался?
Сейчас на syslog уходят только deny.

I have this problem too.
0 votes
  • 1
  • 2
  • 3
  • 4
  • 5
Average Rating: 5 (1 ratings)
Eugene Khabarov Sat, 03/10/2012 - 22:52

Добрый день! По всей видимости Вам нужно включить логирование следующих сообщений:

logging message 302015

logging message 302013

logging message 302020

Кстати, а номер сообщения по которому deny уходит можете подсказать?

otipisov Fri, 03/16/2012 - 00:45

Надо в соответствующую permit-строчку ACL добавить опцию "log". Номер syslog-сообщения - 106100. Ур. по умолчанию - 6. "log " позволяет сменить ур.

Eugene Khabarov Fri, 03/16/2012 - 06:38

Олег, поправьте меня, если я Вас не правильно понял, но для того, чтобы у топикстартера заработало журналирование опцию log включать не обязательно. С помощью log мы можем изменить уровень журналирвоания и периодичность сообщений.

otipisov Fri, 03/16/2012 - 06:50

Сообщения типа 302013 конечно и без этого будут логироваться. Но я так понял, что вопрос был о том, можно ли селективно включить логирование permit-строк в ACL, чтобы видеть только попытки обращения на порт 2222 только с определенного диапазона адресов, для которого и написан ACL. Т.е. видеть не все подряд, а определенные попытки. В этом случае нужен "log" в permit-строке ACL, если, конечно, речь идет об ACL, привязанном с помощью access-group. По умолчанию журнализации для permit-срабатываний нет.

Tramp_Sergey Thu, 06/21/2012 - 04:01

Не хочется начинать новую тему. Вопрос вот в чем.

Перестали в ASDM сыпаться deny. Команда logging message 106023 не дала результата. Но заметил, что иногда deny проскакивают (а должно быть очень много) и периодически появляется ссобщение:

%ASA-1-106101 The number of ACL log deny-flows has reached limit  (4096)

access-list deny-flow-max не настроен.

Как вернуть нормальное логирование, чтобы видеть все deny?

Tramp_Sergey Thu, 06/21/2012 - 04:26

После удаления этой строки появились deny:

      access-list global_access line 1 extended deny ip any any  log 6 interval 300

Все-таки logging message 106023 помогла.

%ASA-1-106101 The number of ACL log deny-flows has reached limit (4096) - вроде больше не появляется.

otipisov Thu, 06/21/2012 - 05:11

Все правильно. при использовании опции "log" в ACL меняется алгоритм журнализации и номера syslog-сообщений. "log" с одной стороны оптимизирует число сообщений, но с др. стороны число срабатываний накапливается в счетчиках в спец. таблице, размер которой ограничен:

ASA(config)# access-list deny-flow-max ?

configure mode commands/options:

  <1-4096>  Maximum number of concurrent deny flows that can be created,

            default is 4096

Если "log" убрать, то журнализируется все.

Actions

Login or Register to take actions

This Discussion

Posted March 9, 2012 at 12:38 AM
Stats:
Replies:7 Avg. Rating:5
Views:971 Votes:0
Shares:0
Tags: acl, asa
+

Related Content

Discussions Leaderboard