路由器交换机防火墙等网络设备的系统日志对于排错是非常重要的。虽然这些网络设备本身可以存储日志,但是系统自身存储的日志一般保存时间不超过24小时,并且仅仅以缓存的形式保存在内存里,如果设备关机又重启,之前系统日志就不存在了!
能不能专门找个服务器或者PC用来收集系统的日志呢?当然可以。
思科早期有一款产品叫MARS(Cisco Security Monitoring, Analysis, and Response System),这块产品就是用来收集并且分析网络硬件设备的日志的,当然这款产品已经停止销售。他有什么作用呢?
请听我说:
假设你的网络环境是这样的,外网--IPS入侵防御系统-出口防火墙--网关路由器-三层交换机-linux服务器。
如果有一天,你的linux服务器受到外网的攻击,IPS入侵防御系统肯定会报警并且产生日志,出口防火墙如果做了相应的安全策略也会报警并且产生日志,网关路由器会产生Syslog日志,三层交换机也会产生Syslog日志,Linux服务器可能会因此停止服务器,这么多的设备日志,怎么确定是网络环境哪里出现的问题呢,如何判断攻击的源头,对于管理人员来讲,也是一件不容易的事情,思科的MARS就是为此而产生的,MARS可以追踪并且分析所有设备的日志,找到产生这个攻击事件的源设备并且分析原因,然后把分析结果以报告的形式,呈现给网络管理人员。当然思科现在已经不做这款产品了,IBM现在在做相关的产品,并且做的还不错。
类似的软件有很多,比如3Cdeamon,Eventlog Analyzer,Splunk等等,今天我要介绍的这块是Kiwi Syslog。
如果有谁需要这款软件的,可以评论区留言,我发给你。
Kiwi Syslog Server 是一款经济实惠的 syslog 管理工具,可以接收跨网络设备(路由器、交换机、防火墙等)、服务器(Windows 、Linux服务器)的日志,对日志集中存储和管理以及报警。
主要功能:
- 集中管理 syslog 消息
- 基于 syslog 消息接收实时警报
- 自动响应 syslog 消息
- 为法规合规性存储并存档日志
- 通过电子邮件计划生成 syslog 报告
借助安全的 Web 访问,可在任何位置查看 syslog 数据
下面我演示一下这款软件具体如何收集系统日志,这里我使用GNS3模拟器和本地PC的物理网卡做个桥接。相当于Kiwi Syslog状态我的物理上PC上,用它去收集GNS3里面某一台路由器或者三层交换机的日志信息。要想收集成功,首先确保网络是通的,也就是GNS3里面的路由器需要和我本机互通。看下面的拓扑图:
首先使用C1把R3和笔记本的无线网卡做桥接,方法如下:
R3用F3/0口连接C1的无线网卡,下面的字符串是无线网卡WLAN的标识。
查看一下笔记本无线网卡的IP地址,如下:
R3和本机的物理无线网卡桥接,需要给R3的f3/0配置一个相同网段的IP地址,配置方法如下:
测试连通性:
到此,网络已经连通,接下来就是要把R3产生的Syslog日志信息发送到Kiwi Syslog服务器上。
打开笔记本上面的Kiwi Syslog,如下:
配置R3吗,使R3把Syslog日志发送到服务器,如下:
做日志发送测试,我在R3上再配置几个环回接口,然后再服务器上看日志信息,如下:
OK,实验到此为止,希望对大家学习有帮助,谢谢。