17.3.14 22일차 (Syslog, SNMP)

@ Syslog

 

1. Logging 유형

 

① Console logging: 콘솔환경에서 발생되는 메세지, 나오는게 권장사항이다.

 Router#

*3 01, 00:32:02.3232: %SYS-5-CONFIG_I: Configured from console by console

----> 시스코 장비에서는 맨앞에 별이 표시됨

 

 - 콘솔 연결 중, 라우터에 특정 변화가 있을때, 로그 메세지를 출력하는 방식

 - 비활성화하려면, 글로벌 모드에서 'no logging console'를 실시함

 

 - 만약, 'logging console warning'로 하면, level 0~4 메세지만 출력됨

 

② Terminal line logging

 

 - 텔넷이나, SSH로 접속한 사용자들에게 로그 메세지를 출력하는 방식

 - 기본적으로 Disable 되어 있기 때문에, 원격 접속 사용자들은 로그 메세지를 받아 볼수 없음

 - 만약, 원격 사용자에게도 로그 메세지를 제공하려면, 관리자 모드에서 'terminal monitor'를 실시한다.

 ---> 접속한 사람이 접속할때마다 계속 켜야한다.

 

③ Syslog logging

 

 - 로그 메시지를 리눅스, 윈도우 서버의 syslogd 서비스에 전송하여 로그 정보를 저장하는 방식

- 권장 사항이며, 일반적으로 많이 사용되고 있음

 

@ R3

 

service timestamp log date msec local show-timezone

 

!

 

logging trap information - syslog  logging 설정

logging 13.13.13.1 --> 호스트 ip

logging facility local6(알림) : 0~7번까지 log level을 설정하여 할 수있다.

 

 

 

④ Buffered logging :자신의 장비에서 발생한 로그를 자기가 저장하는것

 

 - 라우터에서 발생하는 로그를 파일에 저장하지 않고 버퍼 메모리에 저장하는 방식

 - 버퍼 용량에 따라서 저장할 수 있는 메세지양이 제한된다. 오래된 메세지는 새로 저장된 메세지에 의해서 삭제됨

 

 - ‘show logging‘ 명령어를 통하여 확인 가능함

 

 

 

 - ‘clear logging‘ 명령어를 이용하면, 초기화됨(다 지워짐)

 - 라우터 RAM에 저장되기 때문에 재부팅되면 초기화됨

@ R1

conf t

 

!

l

logging on

 

logging buffered 4096 (information)-->나중에 4MB 초과되면 저절로 삭제됨

service timestamp log date msec local show-timezone

 

 

 int lo 0

no int lo 0

 

show logging

패킷트레이서에서는 기록되지않지만 실제 장비에서 show logging하면 버퍼부분에 메세지 기록이 남는다.

 

⑤ ACL logging

 

 - ACL 필터가 일치해서 동작할 경우, 발생하는 로그 메세지를 출력하는 방식

 - ACL 설정시 마지막 옵션 명령어로 'log', 'log-input'를 사용해야 함

 

IDS : 침입 탐지 시스템, 로그 출력

IPS : 침입 차단 시스템, 로그 출력

 

⑥ SNMP trap logging

 

 

 - SNMP 트랩 메시지를 통해 모니터링하는 방법으로 로그 정보 SNMP 서버에 전송하는 방식

 - SNMP 서버와 에이전트가 구현되어함

 -cpu,메모리, 온도 등을 조회할때 사용하는 프로토콜

 

2. Log 메세지 레벨

 

Syslog level                             내용

 

0 - 비상(Emergency)                  시스템을 사용할 수 없을 정도로 심각한 에러 상황(가장 위험)

1 - 경보(Alert)                          신속한 주의가 요구되는 상황

2 - 중요(Critical)                       경보보다 덜 심각한 상황으로서 서비스 중단을 막기 위해 주력

3 - 에러(Error)                         시스템 에러 상황을 알림, 에러로 시스템이 사용 중지되지는 않음

4 - 경고(Warning)                     특정 오퍼레이션이 제대로 완료되지 않았음을 알림

 

5 - 알림(Notification)                 에러는 없지만, 시스템 상태가 변경된 것을 알림

6 - 정보(Information)                 시스템 일반적인 오퍼레이션 관련 상세 정보

7 - 디버깅(Debuging)                 장애 처리용으로 사용되는 디버깅 메세지 정보

 

 숫자가 작을수록 위험하다... 설정하면서 3,4,5를 많이 보게 됨.

 

 

 

 

-기본적으로 실제 장비에서는 라우터나 트레이서 어떤 로그를 출력했을때 시간, 날짜가 켜져 있으나

패킷트레이서에서는 off되어있다. service timestamps log datetime msec로 켜야 확인이 가능하다는것을

알아두자.

 

 

윈도우 7에서 이벤트 뷰어 확인하기

 

이벤트 뷰어에서 로그를 관리한다.

내컴퓨터 -> 오른쪽마우스 클릭> 관리->이벤트 뷰어-windows로그

 

 

주로보는 메세지는 오류, 정보(가장 위험하지 않은것), 경고

---

 

@ SNMP

 

 - NMS :Network management system 네트워크 운용관리 시스템/서비스
 - 네트워크 환경에 연결된 장비, 시스템에 대한 실시간 이벤트 내용을 수집하는 네트워크 서비스
 - 이벤트 내용 : CPU, 메모리, 트래픽, 기타 등등
 - 프로토콜 : SNMP(UDP 161)
 - 구성 요소 : SNMP 에이전트(클라이언트), SNMP 매니저(서버)

 

 

 - MIB : 객체 집합
 - OID : 객체 위치 값(ex : 1.3.6.1.4.1.9. ~~~~ <- Cisco)

 

 - SNMP 동작 방식

  폴링 방식 : 매니저가 에이전트에게 요청을 보내면 에이전트가 응답하는 방식(UDP 161)
  트랩 방식 : 에이전트에 무슨 일이 발생하면, 매니저에게 내용을 전송하는 방식(UDP 162)

 

@ 'community

 

SNMP 매니저와 에이전트 간에 사용하는 사전 공유 패스워드(기본값 : public, private)

 

 

 

@ 에이전트 설정(Cisco 장비)

 

 

Ex) 폴링 예졔

 

access-list 10 permit 1.1.1.1

!

snmp-server community public rw 10

snmp-server system-shutdown

 

 

Ex) 트랩 예제

 

snmp-server host 192.168.100.1 public tty
snmp-server enable traps tty

 

 

@ SNMP 메세지

 

 

get                SNMP 매니저가 에이전트에게 특정 정보를 요청할 때
get-next           MIB의 계층적 구조를 파악하여 모든 정보에 대해서 요청할 때
set                 SNMP 매니저가 에이전트에게 특정 값을 설정할 때
trap                에이전트가 매니저에게 정보를 전송할 때

 

 

 

- SNMP 버전 : 1/2/3

 

 

 

snmp-server community public RO 4

snmp-server host 192.168.x.x public

---> snmp 에이전트가 매니저에게 Read-only를 할 수 있는 권한을 부여한다.

어디까지 0~4번째까지 로그 출력을 한다.

 

RO : MIB정보 읽기 전용

RW : MIB정보를 읽기 쓰기 가능