ASA 8.2：使用ASDM配置系統日誌

下載選項

PDF (1.3 MB)
在多種裝置上使用 Adobe Reader 檢視
ePub (1.0 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (1.1 MB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2011 年 6 月 23 日

文件 ID:113053

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文檔提供有關如何使用自適應安全裝置管理器(ASDM) GUI在思科自適應安全裝置(ASA) 8.x上配置系統日誌的資訊。系統日誌消息是Cisco ASA生成的消息，用於通知管理員配置的任何更改、網路設定更改或裝置效能的變化。透過分析系統日誌消息，管理員可以透過執行根本原因分析輕鬆排除錯誤。

系統日誌消息主要根據其嚴重性級別進行區分。

嚴重性0 -緊急消息-資源不可用
嚴重性1 -警報消息-需要立即採取行動
嚴重性2 -嚴重消息-嚴重情況
嚴重性3 -錯誤消息-錯誤情況
嚴重性4 -警告消息-警告條件
嚴重程度5 -通知消息-正常但嚴重情況
嚴重性6 -資訊性消息-僅限資訊性消息
嚴重性7 -調試消息-僅限調試消息

注意：最高嚴重性級別為緊急，最低嚴重性級別為調試。

Cisco ASA生成的示例系統日誌消息如下所示：

%ASA-6-106012：拒絕從IP_address到IP_address的IP，IP選項十六進位制數。
%ASA-3-211001：記憶體分配錯誤
%ASA-5-335003：應用了NAC預設ACL，ACL：ACL-name - host-address

在「%ASA-X-YYYYYY：」中指定的數值X表示消息的嚴重性。例如，「%ASA-6-106012」是資訊性消息，「%ASA-5-335003」是錯誤消息。

必要條件

需求

本文件沒有特定需求。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

Cisco ASA版本8.2
Cisco ASDM版本6.2

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

使用ASDM進行基本系統日誌配置

啟用記錄

請完成以下步驟：

選擇Configuration > Device Management > Logging > Logging Setup並選中Enable logging選項。
您可以透過指定緩衝區大小將系統日誌消息記錄到內部緩衝區。也可以透過按一下Configure Flash Usage並定義快閃記憶體設定來選擇將緩衝區內容儲存到快閃記憶體。
在覆蓋緩衝日誌消息之前，可以將其傳送到FTP伺服器。按一下Configure FTP Settings並指定FTP伺服器詳細資訊（如下所示）：

停用記錄

您可以根據需要停用特定系統日誌ID。

注意：選取在syslogs中包含時間戳記選項的核取記號，即可將產生時間戳記的日期與時間新增到syslog中。

選擇要停用的系統日誌，然後按一下編輯。
在Edit Syslog ID Settings窗口中，選中Disable messages選項並按一下OK。
透過從Syslog ID Setup下拉選單中選擇Disabled syslog IDs，可在單獨的頁籤中檢視停用的系統日誌。

登入電子郵件

使用ASDM完成以下步驟，以便將系統日誌傳送到電子郵件：

選擇Configuration > Device Management > Logging > E-Mail Setup。Source E-Mail Address欄位有助於將電子郵件ID指定為系統日誌的源。指定來源電子郵件地址。現在，按一下Add增加電子郵件收件人。
指定Destination E-mail Address並選擇Severity level。根據嚴重性級別，您可以定義不同的電子郵件收件人。點選確定返回電子郵件設定窗格。

這會導致以下配置：
選擇Configuration > Device Setup > Logging > SMTP，並指定SMTP伺服器。

日誌記錄到Syslog伺服器

您可以將所有syslog消息傳送到專用的syslog伺服器。使用ASDM執行以下步驟：

選擇Configuration > Device Management > Logging > Syslog Servers，然後按一下Add增加Syslog伺服器。

此時將顯示Add Syslog Server窗口。
指定與伺服器關聯的介面以及IP地址。根據網路設定指定Protocol和Port詳細資訊。然後按一下OK。

注意：請確保您可以從Cisco ASA訪問Syslog伺服器。
配置的系統日誌伺服器如下所示。當您選擇此伺服器，然後按一下Edit時可以完成修改。

注意：選中標籤Allow user traffic to pass when TCP syslog server is down選項。否則，新使用者會話將透過ASA被拒絕。這僅適用於 ASA 和 Syslog 伺服器之間的傳輸通訊協定為 TCP 時。預設情況下，當系統日誌伺服器因任何原因發生故障時，Cisco ASA會拒絕新的網路訪問會話。

要定義將傳送到Syslog伺服器的Syslog消息的型別，請參閱Logging Filter部分。

使用ASDM進行高級系統日誌配置

使用事件清單

事件清單使我們能夠建立自定義清單，其中包含要傳送到目標系統日誌消息組。事件清單可透過三種不同方式建立：

消息ID或消息ID的範圍
訊息嚴重性
訊息類別

消息ID或消息ID的範圍

執行下列步驟：

選擇Configuration > Device Management > Logging > Event Lists，然後按一下Add建立新的事件清單。
在名稱欄位中指定名稱。按一下Message ID Filters窗格中的Add以建立新的事件清單。
指定系統日誌消息ID的範圍。例如，這裡列出了TCP系統日誌消息。按一下OK完成操作。
再次按一下OK以返回到Event Lists窗口。

訊息嚴重性

也可以根據消息嚴重性定義事件清單。按一下Add以建立一個單獨的事件清單。
指定名稱並按一下Add。
選擇Errors作為嚴重性級別。
按一下「OK」（確定）。

訊息類別

事件清單也根據消息類進行配置。消息類是一組與安全裝置功能相關的系統日誌消息，它使您能夠指定整個消息類，而不是單獨指定每條消息的類。例如，使用auth類選擇與使用者身份驗證相關的所有系統日誌消息。此處顯示一些可用的消息類：

全部—所有事件類別
auth -使用者身份驗證
網橋-透明防火牆
ca - PKI證書頒發機構
config -指令介面
ha -故障轉移
ips -入侵防護服務
ip - IP堆疊
np -網路處理器
ospf - OSPF路由
rip - RIP路由
session -使用者會話

執行以下步驟，根據vpnclient-errors消息類建立事件類。可以使用消息類vpnc對與vpnclient相關的所有系統日誌消息進行分類。此消息類的嚴重性級別選擇為「錯誤」。

按一下[新增]建立新的事件清單。
指定與您建立的消息類相關的名稱，然後按一下Add。
從下拉選單中選擇vpnc。
選擇Errors作為嚴重性級別。此嚴重性級別僅適用於為此消息類記錄的那些消息。按一下OK以恢復到Add Event List窗口。
此處顯示事件類別/嚴重性。按一下OK以完成配置「vpnclient-errors」事件清單。

下一個擷取畫面中還顯示已建立一個新的事件清單「user-auth-syslog」，其訊息類別為「auth」，而此特定訊息類別之系統日誌的嚴重性層級為「Warnings」。透過配置此配置，事件清單指定與「auth」消息類相關的所有系統日誌消息，嚴重性級別最高為「警告」級別。

注意：此處，「up to」一詞很重要。在表示嚴重性級別時，請記住在該級別之前將記錄所有系統日誌消息。

注意：一個事件清單可以包含多個事件類別。透過按一下Edit並定義新的事件類「ssl/error」，可修改「vpnclient-errors」事件清單。

使用記錄篩選器

日誌記錄過濾器用於將系統日誌消息傳送到指定目標。這些系統日誌消息可以基於「嚴重性」或「偶數清單」。

這些過濾器適用於以下型別的目標：

內部緩衝區
SNMP陷阱
電子郵件
主控台
Telnet會話
ASDM
系統日誌伺服器

執行下列步驟：

選擇Configuration > Device Management > Logging > Logging Filters並選擇日誌記錄目標。然後，按一下Edit修改設定。
您可以根據嚴重性傳送系統日誌消息。我們在此選擇Emergencies作為示例。
還可以選擇事件清單來指定要傳送到特定目標的消息型別。按一下「OK」（確定）。
驗證修改。

以下是如何將一組郵件（根據其嚴重性級別）傳送到電子郵件伺服器的步驟。

在Logging Destination欄位中選擇E-mail。然後按一下Edit。
選擇Filter on severity選項並選擇所需的嚴重性級別。

此處已選擇Alerts作為嚴重性級別。

您可以看到所有警報系統日誌消息都將傳送到已配置的電子郵件。

速率限制

這指定Cisco ASA在指定時間段內傳送到目標的系統日誌消息數量。它通常針對嚴重性級別進行定義。

選擇Configuration > Device Management > Logging > Rate Limit，然後選擇所需的嚴重性級別。然後按一下Edit。
指定隨時間間隔一起傳送的消息數。按一下「OK」（確定）。

注意：這些數字以示範。這些情況因網路環境的型別而異。

修改後的值如下所示：

記錄存取規則的命中

您可以使用ASDM記錄訪問規則命中。預設日誌記錄行為是為所有被拒絕的資料包傳送系統日誌消息。對於允許的資料包，不會出現任何系統日誌消息，並且不會記錄這些消息。但是，您可以為訪問規則定義自定義日誌記錄嚴重性級別，以跟蹤達到此訪問規則的資料包計數。

執行下列步驟：

選擇所需的訪問規則並按一下Edit。

螢幕上會顯示Edit the Access Rule窗口。

注意：在此圖中，Logging Level欄位中的Default選項指示Cisco ASA的預設日誌記錄行為。有關此過程的詳細資訊，請參閱日誌記錄訪問清單活動部分。
選中標籤Enable logging選項並指定所需的嚴重性級別。然後按一下OK。

注意：按一下更多選項下拉式索引標籤，即可看到記錄間隔選項。僅當勾選上述Enable Logging選項時，此選項才會突出顯示。此計時器的預設值為300秒。此設定可用於指定當該訪問規則沒有匹配項時要刪除的流統計資訊的超時值。如果有任何命中，則ASA會等待，直到日誌記錄間隔時間並將該時間傳送到系統日誌。
此處顯示修改內容。或者，您可以按兩下特定訪問規則的Logging欄位並在此處設定嚴重性級別。

注意：按兩下相同存取規則窗格中的此替代方法可指定記錄日誌層次，但僅適用於手動建立的存取規則專案，而不適用於「隱含規則」。

設定

本節提供用於設定本文件中所述功能的資訊。

注意：使用命令查詢工具(僅限註冊客戶)可獲取有關此部分使用的命令的更多資訊。

組態

本檔案使用下列組態：

CiscoASA
: Saved : ASA Version 8.2(1) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0/0 shutdown no nameif no security-level no ip address ! interface Ethernet0/1 nameif outside security-level 0 ip address 209.165.201.2 255.255.255.0 ! interface Ethernet0/2 nameif inside security-level 100 ip address 10.78.177.11 255.255.255.192 ! ! !--- Output Suppressed ! access-list inside_access_in extended permit ip host 10.10.10.10 host 20.20.20.200 log errors access-list inside_access_in extended permit ip host 10.10.10.20 any access-list inside_access_in extended deny ip 10.20.10.0 255.255.255.0 host 20.20.20.200 access-list inside_access_in extended permit ip 10.78.177.0 255.255.255.192 any log emergencies pager lines 24 logging enable logging list user-auth-syslog level warnings class auth logging list TCP-conn-syslog message 302013-302018 logging list syslog-sev-error level errors logging list vpnclient-errors level errors class vpnc logging list vpnclient-errors level errors class ssl logging buffered user-auth-syslog logging mail alerts logging from-address test123@example.com logging recipient-address monitorsyslog@example.com level errors logging queue 1024 logging host inside 172.16.11.100 logging ftp-bufferwrap logging ftp-server 172.16.18.10 syslog testuser **** logging permit-hostdown no logging message 302015 no logging message 302016 logging rate-limit 600 86400 level 7 mtu outside 1500 mtu inside 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-623.bin asdm history enable arp timeout 14400 ! !--- Output Suppressed ! timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout TCP-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy ! !--- Output Suppressed ! ! telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics TCP-intercept ! !--- Output Suppressed ! username test password /FzQ9W6s1KjC0YQ7 encrypted privilege 15 ! ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global smtp-server 172.18.10.20 prompt hostname context Cryptochecksum:ad941fe5a2bbea3d477c03521e931cf4 : end

CiscoASA

: Saved
:
ASA Version 8.2(1) 
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 209.165.201.2 255.255.255.0 
!
interface Ethernet0/2
 nameif inside
 security-level 100
 ip address 10.78.177.11 255.255.255.192 
!
!
!--- Output Suppressed

!
access-list inside_access_in extended permit ip host 10.10.10.10 host 20.20.20.200 log errors 
access-list inside_access_in extended permit ip host 10.10.10.20 any 
access-list inside_access_in extended deny ip 10.20.10.0 255.255.255.0 host 20.20.20.200 
access-list inside_access_in extended permit ip 10.78.177.0 255.255.255.192 any log emergencies 
pager lines 24
logging enable
logging list user-auth-syslog level warnings class auth
logging list TCP-conn-syslog message 302013-302018
logging list syslog-sev-error level errors
logging list vpnclient-errors level errors class vpnc
logging list vpnclient-errors level errors class ssl
logging buffered user-auth-syslog
logging mail alerts
logging from-address test123@example.com
logging recipient-address monitorsyslog@example.com level errors
logging queue 1024
logging host inside 172.16.11.100
logging ftp-bufferwrap
logging ftp-server 172.16.18.10 syslog testuser ****
logging permit-hostdown
no logging message 302015
no logging message 302016
logging rate-limit 600 86400 level 7
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-623.bin
asdm history enable
arp timeout 14400
!
!--- Output Suppressed

!
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout TCP-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
!
!--- Output Suppressed

!
!
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics TCP-intercept
!
!--- Output Suppressed

!
username test password /FzQ9W6s1KjC0YQ7 encrypted privilege 15
!
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny  
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip  
  inspect xdmcp 
!
service-policy global_policy global
smtp-server 172.18.10.20
prompt hostname context 
Cryptochecksum:ad941fe5a2bbea3d477c03521e931cf4
: end

驗證

使用本節內容，確認您的組態是否正常運作。

輸出直譯器工具(僅供註冊客戶使用) (OIT)支援某些show指令。使用OIT檢視對show命令輸出的分析。

您可以從ASDM檢視系統日誌。選擇Monitoring > Logging > Real Time Log Viewer。輸出示例如下所示：

疑難排解

問題：連線丟失— Syslog連線終止—

嘗試在裝置控制台上為任何情景啟用ASDM日誌記錄時都會收到此錯誤。

「Connection Lost — Syslog Connection Terminated —」

當ASDM用於直接連線到管理情景，並且在該情景中停用了ADSM日誌記錄時，請切換到子情景並啟用ASDM日誌記錄。收到錯誤，但系統日誌消息對系統日誌伺服器的影響良好。

ciscoasa(config)#logging monitor 6
ciscoasa(config)#terminal monitor
ciscoasa(config)#logging on
ciscoasa(config)#logging trap 6

ASA 8.2：使用ASDM配置系統日誌

下載選項

無偏見用語

關於此翻譯

目錄

簡介

必要條件

需求

採用元件

慣例

使用ASDM進行基本系統日誌配置

啟用記錄

停用記錄

登入電子郵件

日誌記錄到Syslog伺服器

使用ASDM進行高級系統日誌配置

使用事件清單

使用記錄篩選器

速率限制

記錄存取規則的命中

設定

組態

驗證

疑難排解

問題：連線丟失— Syslog連線終止—

解決方案

無法檢視Cisco ASDM上的即時日誌

解決方案

相關資訊

修訂記錄

這份文件是否有所幫助？

讓思科協助您

本文件適用於這些產品