1 Introducción

1.1 Metas

1.2 Notas

2 Ejercicios

Por favor, encuentra a tus compañeros de clase que están usando el mismo router que tu y forma un grupo con ellos para hacer los siguientes ejercicios juntos. Elegir una persona del grupo para que entre en el router del grupo, pero todos ayudan con la configuración.

3 Configurar tu router virtual para enviar mensajes syslog a tu servidor:

Los routers son capaces de enviar mensajes syslog a múltiples destinos, de forma que un router puede enviar mensajes a 4 o incluso 5 destinos. Por lo tanto es necesario configurar el router para que envíe mensajes a cada uno de los PCs del grupo.

Debes entrar por SSH al router de tu grupo y hacer lo siguiente:

$ ssh cisco@10.10.X.254
rtrX> enable
rtrX# config terminal

Repetir el comando "logging 10.10.X.Y" para cada PC de tu grupo. Por ejemplo, si tu grupo está en el router 6 y estás usando los PCs 21, 22, 23 y 24, deberás repetir el comando cuatro veces con la IP de cada máquina (10.10.6.21, 10.10.6.22, etc.).

rtrX(config)# logging 10.10.X.Y
...
rtrX(config)# logging facility local0
rtrX(config)# logging userinfo
rtrX(config)# exit
rtrX# write memory

Ejecutar 'show logging' para ver un resumen de la configuración de registro (logging).

rtrX# show logging

Salir del router (exit)

rtrX# exit

Eso es todo. El router debería estar enviando paquetes UDP SYSLOG a tu PC en el puerto 514. Para verificarlo, entrar a tu PC y hacer lo siguiente:

$ sudo -s
# apt-get install tcpdump        (no te preocupes si ya está instalado)
# tcpdump -s0 -nv -i eth0 port 514

Ahora nua persona del grupo debe volver a entrar en el router y hacer lo siguiente:

$ ssh cisco@10.10.X.254
rtrX> enable
rtrX# config terminal
(config)# exit
rtrX> exit

Deberías ver en la pantalla de tu PC la salida de TCPDUMP. Será algo parecido a:

08:01:12.154604 IP (tos 0x0, ttl 255, id 11, offset 0, flags [none], proto UDP (17), length 138)
    10.10.9.254.57429 > 10.10.9.36.514: SYSLOG, length: 110
    Facility local0 (16), Severity notice (5)
    Msg: 23: *Feb 19 08:01:10.855: %SYS-5-PRIV_AUTH_PASS: Privilege level set to 15 by cisco on vty0 (10.10.0.117)
08:01:15.519881 IP (tos 0x0, ttl 255, id 12, offset 0, flags [none], proto UDP (17), length 130)
    10.10.9.254.57429 > 10.10.9.36.514: SYSLOG, length: 102
    Facility local0 (16), Severity notice (5)
    Msg: 24: *Feb 19 08:01:14.215: %SYS-5-CONFIG_I: Configured from console by cisco on vty0 (10.10.0.117)

Ahora puedes configurar el software de registro (logging) en tu PC para recibir esta información y registrarla en un nuevo conjunto de ficheros.

4 Instalar syslog-ng

Estos ejercicios se hacer como root. Si no estás como root en tu máquina entonces debes pasar a ser root tecleando:

$ sudo -s
# apt-get update
# apt-get install syslog-ng syslog-ng-core

5 Editar /etc/syslog-ng/syslog-ng.conf

Encontrar las líneas:

source s_src {
       system();
       internal();
};

y cambiarlas a:

source s_src {
       system();
       internal();
       udp();
};

Salvar el fichero y salir.

Ahora crear una sección de configuración para los registros de nuestra red:

# cd /etc/syslog-ng/conf.d/
# editor 10-network.conf

En este fichero, copiar y pegar lo siguiente:

    filter f_routers { facility(local0); };

    log {
            source(s_src);
            filter(f_routers);
            destination(routers);
    };

    destination routers {
     file("/var/log/network/$YEAR/$MONTH/$DAY/$HOST-$YEAR-$MONTH-$DAY-$HOUR.log"
     owner(root) group(root) perm(0644) dir_perm(0755) create_dirs(yes)
     template("$YEAR $DATE $HOST $MSG\n"));
    };

Salvar el fichero y salir.

6 Crear la carpeta /var/log/network/

# mkdir /var/log/network/

7 Reiniciar syslog-ng:

# service syslog-ng restart

8 Probar syslog

Para asegurarnos de que haya algunos mensajes de registros, entrar de nuevo en el router y ejecutar algún comando de configuración (config), luego salir, por ejemplo:

# ssh cisco@10.10.X.254
rtrX> enable
rtrX# config terminal
rtrX(config)# exit
rtrX> exit

Asegúrate de salir del router. Si mucha gente entra y luego no sale, entonces otros no podrán tener acceso al router.

9 En tu PC, ver si empiezan a aparecer mensaje en la carpeta /var/log/network/2015/.../

$ cd /var/log/network
$ ls
$ cd 20XX
$ ls
... esto mostrará la carpeta para el mes
... cd dentro de esta carpeta
$ ls
... repetir para el siguiente nivel (el día del mes)
$ ls

Se puede ver el fichero de registros resultante usando programas como less, more, cat, etc.

10 Resolución de Problemas

Si n oaparecen ficheros dentro de la carpeta /var/log/network directory, entonces otro comando a probar estando dentro del router, en modo configuración, es usar shutdown / no shutdown en un interfaz de Loopback, por ejemplo:

$ ssh cisco@rtrX

rtrX> enable
rtrX# conf t
rtrX(config)# interface Loopback 999
rtrX(config-if)# shutdown

Espere unos segundos

rtrX(config-if)# no shutdown

Luego salga y salve la configuración ("write mem"):

rtrX(config-if)# exit
rtrX(config)# exit
rtrX# write memory
rtr1# exit

Comprobar los fichero de registros dentro de /var/log/network

# cd /var/log/network
# ls

... siga la cadena de carpetas

¿Todavía no aparecen ficheros con registros?

Intente el siguiente comando para enviar un mensaje de registro de prueba localmente:

# logger -p local0.info "Hello World\!"

Si todavía no se ha creado ningún fichero dentro de /var/log/network, entonces compruebe la configuración en busca de posibles errores. No olvide reiniciar el servicio syslog-ng cada vez que se cambie la configuración.

¿Qué otros comandos piensas que se podrían ejecutar en el router (TENGA CUIDADO!) que generen mensajes syslog? Puede intentar entrar en el router y escribir una contraseña incorrecta para "enable".

Usar el comando "ls" en la carpeta de registros para ver si se ha creado algún archivo de registros en algún momento.