Syslog Server: Kiwi Syslog - Configuracion de un router Cisco
Si queremos enviar los mensajes de log a un servidor de Syslog (Syslog server) para poder administrar los logs del dispositivo de la red de una forma mas centralizada, podemos enviar los logs que se generan y para que los mensajes se envÃen a un servidor.
Es importante que antes de implementar el almacenamiento del log en un Syslog Server, todos los dispositivos de la red estén sincronizados con la misma hora, dÃa y fecha. Para esto debemos de configurar el protocolo Network Time Protocol (NTP) en los switches y routers. Si no sabes realizar esta configuración podras consultar la siguiente publicación sobre NTP Server.
Syslog Server en GNS3.
Para configurar a que el router envÃe los logs al Syslog Server debemos ingresar el siguiente comando, loggin host ip_servidor o el comando loggin ip_servidor, indicando la dirección IP del Servidor de Syslog.
Router(config)#logging host 10.10.20.10
10.10.20.10 es el servidor de log.
Podemos limitar la cantidad de mensajes enviados al servidor syslog, según la gravedad con el comando logging trap para establecer el nivel de detalle de la información que será registrada en el log. En este caso es de nivel 7 (debugging) que es el nivel más alto. Niveles de mensajes de Syslog.
R1(config)# logging trap 7
Otro comando importante es el service timestamps, esta configuración es muy importante cuando estemos configurando el loggin porque con esto vamos habilitar que aparezcan los logs con la fecha y la hora en que se genera el log, por default no está habilitado y básicamente lo que hace es que si te pone el log pero no te dice a qué hora fue generado el log, entonces este comando es importante configurarlo en el router.
Router(config)#service timestamps
La segunda parte del procedimiento es efectivamente instalar un software servidor de Syslog en una PC Windows o Linux. Kiwi Syslog Server para Windows es una excelente opción, fácil de instalar y configurar.
Verificacion
R1#debug ip icmp
ICMP packet debugging is on
R1#
R1#ping 10.10.20.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.20.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/50/148 ms
R1#
00:09:28: ICMP: echo reply rcvd, src 10.10.20.10, dst 10.10.20.1
00:09:28: ICMP: echo reply rcvd, src 10.10.20.10, dst 10.10.20.1
00:09:28: ICMP: echo reply rcvd, src 10.10.20.10, dst 10.10.20.1
00:09:28: ICMP: echo reply rcvd, src 10.10.20.10, dst 10.10.20.1
00:09:28: ICMP: echo reply rcvd, src 10.10.20.10, dst 10.10.20.1
R1#conf t
R1(config)#exit
R1#
*Mar 1 00:09:35.999: %SYS-5-CONFIG_I: Configured from console by console
R1#
Kiwi Syslog en Windows.
Asà de simple podemos centralizar la administración del log en nuestra red y mejorar significativamente la respuesta a un posible incidente o ataque de seguridad que tengamos que enfrentar.
0 comentarios