Comment configurer un ASA avec un serveur Syslog (part 2)

Vous avez validé la première étape, donc préparé votre ASA a communiquer avec votre serveur SYSLOG.  D’ailleurs savez vous à quoi peux servir un serveur Syslog ?

Information wikipedia :

L’intérêt de Syslog est  de centraliser les journaux d’événements, permettant de repérer plus rapidement et efficacement les défaillances d’ordinateurs présents sur un réseau.

Pour cette première étape, je vais vous montrer comment configurer Syslog avec les logs en fichiers.

Installation

Installation de Syslog-ng,

apt-get install syslog-ng

C’était bien sûr la partie la plus compliqué !

Configuration :

Maintenant nous allons adapter notre cher serveur pour qu’il intègre nos données provenant de l’ASA.

vi /etc/syslog-ng/syslog-ng.conf

Ces informations sont défini dans le Syslog-ng par 3 grandes variables à ajuster au besoin dans le fichier de conf.

Destination : stockons les informations (logs) dans le fichier /var/log/asa

# Cisco ASA Firewall 5510
destination df_asa { file("/var/log/asa"); };
destination df_asa_bydate { file("/var/log/asa.$R_YEAR$R_MONTH$R_DAY"); };

Filter:  nous acceptons toutes les communications provenant de l’hôte 10.22.22.10 ( interface LAN de l’ASA).

#  Cisco ASA Firewall 5510                                                               
filter f_asa {facility(local2) and  
level(debug..emerg) 
and  host(10.22.22.10); };

Log:  nous acceptons les logs qui provienne de la source (snet).

# Cisco ASA Firewall 5510
log {   source(snet);
filter(f_asa);
destination(df_asa_bydate);};

Puis nous allons ajouter une nouvelle source :

source net { udp(ip(« 0.0.0.0 ») port(514)); };

Redémarrer le service  syslog pour la prise en compte des modifications.

/etc/init.d/syslog-ng restart

La suite au prochain épisodes !

Ensembles d’ articles :

Comment configurer un ASA avec un serveur Syslog
Comment configurer un ASA avec un serveur Syslog (part 2)
Configurer LogAnalyzer avec Syslog-ng