Por favor, encuentra a tus compañeros de clase que están usando el mismo router que tu y forma un grupo con ellos para hacer los siguientes ejercicios juntos. Elegir una persona del grupo para que entre en el router del grupo, pero todos ayudan con la configuración.
Los routers son capaces de enviar mensajes syslog a múltiples destinos, de forma que un router puede enviar mensajes a 4 o incluso 5 destinos. Por lo tanto es necesario configurar el router para que envíe mensajes a cada uno de los PCs del grupo.
Debes entrar por SSH al router de tu grupo y hacer lo siguiente:
$ ssh cisco@10.10.X.254
rtrX> enable
rtrX# config terminal
Repetir el comando "logging 10.10.X.Y" para cada PC de tu grupo. Por ejemplo, si tu grupo está en el router 6 y estás usando los PCs 21, 22, 23 y 24, deberás repetir el comando cuatro veces con la IP de cada máquina (10.10.6.21, 10.10.6.22, etc.).
rtrX(config)# logging 10.10.X.Y
...
rtrX(config)# logging facility local0
rtrX(config)# logging userinfo
rtrX(config)# exit
rtrX# write memory
Ejecutar 'show logging' para ver un resumen de la configuración de registro (logging).
rtrX# show logging
Salir del router (exit)
rtrX# exit
Eso es todo. El router debería estar enviando paquetes UDP SYSLOG a tu PC en el puerto 514. Para verificarlo, entrar a tu PC y hacer lo siguiente:
$ sudo -s
# apt-get install tcpdump (no te preocupes si ya está instalado)
# tcpdump -s0 -nv -i eth0 port 514
Ahora nua persona del grupo debe volver a entrar en el router y hacer lo siguiente:
$ ssh cisco@10.10.X.254
rtrX> enable
rtrX# config terminal
(config)# exit
rtrX> exit
Deberías ver en la pantalla de tu PC la salida de TCPDUMP. Será algo parecido a:
08:01:12.154604 IP (tos 0x0, ttl 255, id 11, offset 0, flags [none], proto UDP (17), length 138)
10.10.9.254.57429 > 10.10.9.36.514: SYSLOG, length: 110
Facility local0 (16), Severity notice (5)
Msg: 23: *Feb 19 08:01:10.855: %SYS-5-PRIV_AUTH_PASS: Privilege level set to 15 by cisco on vty0 (10.10.0.117)
08:01:15.519881 IP (tos 0x0, ttl 255, id 12, offset 0, flags [none], proto UDP (17), length 130)
10.10.9.254.57429 > 10.10.9.36.514: SYSLOG, length: 102
Facility local0 (16), Severity notice (5)
Msg: 24: *Feb 19 08:01:14.215: %SYS-5-CONFIG_I: Configured from console by cisco on vty0 (10.10.0.117)
Ahora puedes configurar el software de registro (logging) en tu PC para recibir esta información y registrarla en un nuevo conjunto de ficheros.
Estos ejercicios se hacer como root. Si no estás como root en tu máquina entonces debes pasar a ser root tecleando:
$ sudo -s
# apt-get update
# apt-get install syslog-ng syslog-ng-core
Encontrar las líneas:
source s_src {
system();
internal();
};
y cambiarlas a:
source s_src {
system();
internal();
udp();
};
Salvar el fichero y salir.
Ahora crear una sección de configuración para los registros de nuestra red:
# cd /etc/syslog-ng/conf.d/
# editor 10-network.conf
En este fichero, copiar y pegar lo siguiente:
filter f_routers { facility(local0); };
log {
source(s_src);
filter(f_routers);
destination(routers);
};
destination routers {
file("/var/log/network/$YEAR/$MONTH/$DAY/$HOST-$YEAR-$MONTH-$DAY-$HOUR.log"
owner(root) group(root) perm(0644) dir_perm(0755) create_dirs(yes)
template("$YEAR $DATE $HOST $MSG\n"));
};
Salvar el fichero y salir.
# mkdir /var/log/network/
# service syslog-ng restart
Para asegurarnos de que haya algunos mensajes de registros, entrar de nuevo en el router y ejecutar algún comando de configuración (config), luego salir, por ejemplo:
# ssh cisco@10.10.X.254
rtrX> enable
rtrX# config terminal
rtrX(config)# exit
rtrX> exit
Asegúrate de salir del router. Si mucha gente entra y luego no sale, entonces otros no podrán tener acceso al router.
$ cd /var/log/network
$ ls
$ cd 20XX
$ ls
... esto mostrará la carpeta para el mes
... cd dentro de esta carpeta
$ ls
... repetir para el siguiente nivel (el día del mes)
$ ls
Se puede ver el fichero de registros resultante usando programas como less, more, cat, etc.
Si n oaparecen ficheros dentro de la carpeta /var/log/network directory, entonces otro comando a probar estando dentro del router, en modo configuración, es usar shutdown / no shutdown en un interfaz de Loopback, por ejemplo:
$ ssh cisco@rtrX
rtrX> enable
rtrX# conf t
rtrX(config)# interface Loopback 999
rtrX(config-if)# shutdown
Espere unos segundos
rtrX(config-if)# no shutdown
Luego salga y salve la configuración ("write mem"):
rtrX(config-if)# exit
rtrX(config)# exit
rtrX# write memory
rtr1# exit
Comprobar los fichero de registros dentro de /var/log/network
# cd /var/log/network
# ls
... siga la cadena de carpetas
¿Todavía no aparecen ficheros con registros?
Intente el siguiente comando para enviar un mensaje de registro de prueba localmente:
# logger -p local0.info "Hello World\!"
Si todavía no se ha creado ningún fichero dentro de /var/log/network
, entonces compruebe la configuración en busca de posibles errores. No olvide reiniciar el servicio syslog-ng cada vez que se cambie la configuración.
¿Qué otros comandos piensas que se podrían ejecutar en el router (TENGA CUIDADO!) que generen mensajes syslog? Puede intentar entrar en el router y escribir una contraseña incorrecta para "enable".
Usar el comando "ls" en la carpeta de registros para ver si se ha creado algún archivo de registros en algún momento.