Vous avez validé la première étape, donc préparé votre ASA a communiquer avec votre serveur SYSLOG. D’ailleurs savez vous à quoi peux servir un serveur Syslog ?
Information wikipedia :
L’intérêt de Syslog est de centraliser les journaux d’événements, permettant de repérer plus rapidement et efficacement les défaillances d’ordinateurs présents sur un réseau.
Pour cette première étape, je vais vous montrer comment configurer Syslog avec les logs en fichiers.
Table des matières :
Installation
Installation de Syslog-ng,
apt-get install syslog-ng
C’était bien sûr la partie la plus compliqué !
Configuration :
Maintenant nous allons adapter notre cher serveur pour qu’il intègre nos données provenant de l’ASA.
vi /etc/syslog-ng/syslog-ng.conf
Ces informations sont défini dans le Syslog-ng par 3 grandes variables à ajuster au besoin dans le fichier de conf.
Destination : stockons les informations (logs) dans le fichier /var/log/asa
# Cisco ASA Firewall 5510
destination df_asa { file("/var/log/asa"); };
destination df_asa_bydate { file("/var/log/asa.$R_YEAR$R_MONTH$R_DAY"); };
Filter: nous acceptons toutes les communications provenant de l’hôte 10.22.22.10 ( interface LAN de l’ASA).
# Cisco ASA Firewall 5510
filter f_asa {facility(local2) and
level(debug..emerg)
and host(10.22.22.10); };
Log: nous acceptons les logs qui provienne de la source (snet).
# Cisco ASA Firewall 5510
log { source(snet);
filter(f_asa);
destination(df_asa_bydate);};
Puis nous allons ajouter une nouvelle source :
source net { udp(ip(« 0.0.0.0 ») port(514)); };
Redémarrer le service syslog pour la prise en compte des modifications.
/etc/init.d/syslog-ng restart
La suite au prochain épisodes !
Ensembles d’ articles :
Comment configurer un ASA avec un serveur Syslog
Comment configurer un ASA avec un serveur Syslog (part 2)
Configurer LogAnalyzer avec Syslog-ng
