我在 L3 交换机 C3750 IOS 12.2 上,我想登录缓冲区(或仅登录到系统日志服务器)所有严重性为 5 的消息和仅 ACL Blocked level 6 消息。
有没有办法做到这一点 ?我发现我们可以在 acl 条目中设置 acl 日志消息的严重性,但它是在 ASA 上,而不是在我的平台上,即使使用扩展 acl。
而且我不能允许记录所有 6 条消息。
提前致谢,
Syslog 严重性级别为 5 + ACL BLOCKED 日志
网络工程
ACL
cisco-ios-12
日志记录
cisco-3750
系统日志
2021-07-09 14:40:16
4个回答
日志鉴别器可能是您在此处寻找的功能。 http://www.cisco.com/c/en/us/td/docs/ios/12_4t/12_4t11/htnmsylg.html#wp1056391
这种判别器的格式如下:logging discriminator discr-name [[facility | 助记符| msg-body {drops | 包括} 字符串] | 严重性{下降| 包括} sev-num | 速率限制 msglimit]
例如,假设 ACL 的记录消息是这样的
“* 5 月 1 日 22:12:13.243:%SEC-6-IPACCESSLOGP:列出 ACL-IPv4-E0/0-IN 允许的 tcp 192.168.1.3(1024) -> 192.168.2.1(22),1 个数据包”
你的鉴别器是:
日志鉴别器 BLOCKACL 助记符包括 %SEC-6-IPACCESSLOGP
Cisco IOS 配置基础配置指南,12.2 版故障排除、故障管理和日志记录
您只需使用关键字完成标准ACL 语句即可log。日志级别是根据日志目标配置的。请注意,这可能会对您的网络设备的性能产生负面影响。谨慎使用。
编写一个 EEM 脚本来查找级别 6 的系统日志消息,并在响应中发出日志 5 或更高级别的系统日志消息。
注意:我不知道这是否适用于您的设备/IOS 版本。
以下示例将级别 5 系统日志(您在进行配置更改并退出配置模式时看到的“%SYS-5-CONFIG_I”日志)“转换”为级别 2 系统日志。请注意从原始系统日志中获取某些字段并将它们呈现在新系统日志中的正则表达式:
Switch#sh run | sec event manager
event manager applet logConfigsAtLevel2
event syslog pattern "^.*%SYS-5-CONFIG_I.*$"
action 10 regexp "^.*%SYS-5-CONFIG_I.*from (.*) by (.*)$" "$_syslog_msg" match who where
action 20 if $_regexp_result eq "1"
action 30 syslog priority critical msg "somebody ($who) from ($where) is up to no good" facility "EEM"
action 40 end
Switch#
这导致:
Switch#sh log
...
...
*Nov 22 11:13:44.409: %SYS-5-CONFIG_I: Configured from console by console
*Nov 22 11:13:44.415: %EEM-2-LOG: logConfigsAtLevel2: somebody (console) from (console) is up to no good
Switch#
您可以设置日志记录级别。如果您将日志级别设置为 6,它将记录所有级别 6 的消息。请参阅系统消息记录:
logging trap <level>
您需要软件来读取系统日志,该软件只能提供您感兴趣的第 6 级消息。