1、PIX端
在一般情况下,PIX的日志功能是禁用的。为了启动日志功能,需要使用logging on命令(ASA5510使用logging enable),并把日志发送到某一台日志服务器上。
如:
net(config)# logging on
net(config)# logging trap debugging
net(config)#logging history debugging
net(config)#logging host inside 192.168.1.1 (就是日志服务器的地址)
以下是PIX日志级别
level 指定系统日志消息等级为一个数字或字符串。你指定的level表示你想显示该等级或低于该等级的系统日志消息。例如,如果level为3,则系统日志显示0,1,2和3级消息。可取的数字和字符串值为:
l 0��emergencies��系统不可用消息。
l 1��alerts��立即采取行动。
l 2��critical��关键状态。
l 3��errors��出错消息。
l 4��warrings��警告消息。
l 5��notifications��正常但有特殊意义的状态。
l 6��informational��信息消息。
l 7��debugging��调试消息和FTP命令及WWW URL记录。
2、日志服务器,推荐使用linux自带的syslog。
我用的是Red Hat Enterprise Linux 5
需要修改如下几个文件:
a、新建/var/log/目录,其实这个目录随便在哪都行,需要一块大点的地方。
b、修改:/etc/syslog.conf
增加:
# PIX Firewall syslog messages
local4.debug /var/log/pix.log
pix.log是一个文件名,也就是日志存放的地方。
local4.debug中的“debug”是保存日志的级别
local4是设备号,一般的syslog server可以支持8个网络设备发送日志,也就是说,其他的路由器、交换机也可以做日志到该服务器。只要保证local号不同就可以分开保存了。
c、修改:/etc/sysconfig/syslog文件,
SYSLOGD_OPTIONS="-rx -m 0"
d、增加:/etc/logrotate.conf # system-specific logs may be also be configured here. #/var/log/pixl.og要和上面的一样。 /var/log/pix.log{ daily #表示每天一次,可以用weekly等,具体的请看:man logrotate create rotate 10 #表示10天一循环 sharedscripts postrotate /bin/kill -HUP `cat /var/run/syslogd.pid 2 /dev/null` 2 /dev/null || true endscript }