라우터에서의 로깅설정하기

      라우터에서의 로깅설정하기에 댓글 7개

원문링크: http://www.ionthenet.co.kr/newspaper/view.php?idx=11086
오늘과 내일의 홍석범씨의 글을  정리,첨삭해서 올렸습니다.
서버는 기본적으로 이벤트가 로그로 잘 남아있지만 라우터는 그렇지않죠..
관리자의 노력이 필요한 부분인데요…   이 글을 읽고 적용해보면 좋을것 같습니다.
콘솔로깅이 되고있는 상황에서 로깅을 끄지않고 작업하기란 어렵죠. 컨피그입력하는데..
주루룩하고..  로그가 뜨거나하면.  당황합니다…     ^^ 
잠시 꺼두었다 작업이 끝나면 다시 설정하면 되겠죠?


라우터에서도 로그를 남기도록 설정하면 시스템 에러나 네트워크와 인터페이스의 상태변화, 로그인 실패 등에 대한 로그를 남길 수 있다.

라우터에서 제공되는 로깅 기법
(syslog logging과 buffered loffing기법을 가장 많이 쓴다.)

·시스로그 로깅(Syslog logging) 기법
라우터에서는 시스로그를 통해 로그 메시지를 리눅스나 윈도우 등 서버의 syslogd 서비스에 전송해 로컬이 아닌 원격지 로그 서버에 저장하도록 할 수 있다. 시스로그에서는 단지 로그 메시지를 받아서 파일에 저장하기만 하면 되는데, 일반적으로 가장 권장하는 방법이다.

·버퍼 로깅(Buffered logging) 기법
기본적으로 라우터에서는 로그를 파일에 저장하지 않고 버퍼 메모리에 저장한다. 메모리(RAM)에 저장된 로그는 ‘show logging‘으로 확인할 수 있고, ‘clear logging‘을 실행하거나 RAM에 저장된 로그는 재부팅하면 사라지게 된다.

·콘솔 로깅(Console logging) 기법
로그 메시지가 콘솔 메시지에 출력되는 경우, 콘솔에만 출력될 뿐 파일 등에는 저장되지 않는다. 비활성화하려면 config 모드에서 ‘no logging console‘을 입력하면 된다. 아주 심각한 정도의 로그를 보고자 한다면 ‘logging console critical‘라고한다

·터미널 라인 로깅(Terminal line logging) 기법
원격으로 접속했을 경우 로그인한 사용자에게 출력되는 로그로, 비활성화하려면  ‘terminal no monitor‘를 입력하면 된다.

·SNMP 트랩 로깅(SNMP trap logging) 기법
SNMP 트랩 메시지를 통해 모니터링하는 방법으로 로그 정보를 외부의 SNMP 서버에 전송하는 방법이다.

·ACL 침입 로깅(ACL violation logging) 기법
표준 또는 확장된 액세스 리스트를 설정할 때 특정한 룰에 매칭됐을 경우 해당하는 패킷 정보를 로그에 남기도록 설정할 수 있는데, 이는 액세스 리스트 룰의 끝에 로그나 로그 인풋을 추가하기만 하면 된다. 로그 인풋은 로그와는 달리 인터페이스 정보도 함께 남기게 되므로 어떤 인터페이스를 통해 로그가 남았는지를 알 수 있다.

로깅 설정하기 (많이 사용하는 버퍼로깅과 시스로깅의 경우)
1. 제일먼저 할것은 라우터에서 로깅기능 활성화하기이다
Router# config t
Router(config)# logging on

2. 버퍼로깅 설정하기
Router# config t
Router(config)# logging buffered 16000 information
Router(config)# service timestamp log date msec local show-timezone
Router(config)# exit

이후 ‘show logging’을 실행하면 다음과 같이 생성되는 로그 정보를 확인할 수 있다.

Log Buffer (16000 bytes):
Oct  7 01:27:02.061 KST: %SEC-6-IPACCESSLOGP: list 101 denied tcp 62.112.221.180(56181) -> 192.168.10.240(179), 1 packet
Oct  7 06:44:28.323 KST: %SYS-5-CONFIG_I: Configured from console by noc1 on vty0 (192.168.3.15)
Oct  7 23:48:40.879 KST: %SYS-5-CONFIG_I: Configured from console by noc1 on vty0 (192.168.3.15)
Oct  8 11:08:20.774 KST: %RCMD-4-RSHPORTATTEMPT: Attempted to connect to RSHELL from 23.45.67.8
Oct  8 13:38:08.055 KST: %SYS-5-CONFIG_I: Configured from console by ciscouser on vty0 (192.168.3.15)

3. 시스로그 로깅 설정하기
로그를 남길 목적지 호스트, 로그의 심각도(severity) 수준, 시스로그 기능(facility)을 각각 지정한다. 일반적으로 로그를 보낼 소스 주소를 별도 지정하지 않을 경우에는 시스로그 서버와 가장 가까운 인터페이스를 사용.

Router# config t
Router(config)# logging trap information
Router(config)# logging 192.168.1.55  // 로그를 보낼 시스로그 서버의 IP
Router(config)# logging facility local6

라우터에서 기능(facility)을 local6으로 설정했으므로 리눅스 서버에서 시스로그 설정 파일인 /etc/syslog.conf에서도 다음과 같이  설정한 후 -r 옵션을 추가해 syslogd를 재가동하면 라우터의 로그가 /var/log/routers.log 파일에 저장된다.

local6.*        /var/log/routers.log

만약 시스로그 서버에 파이어월이 설정돼 있다면 목적지 포트가 514/udp인 트래픽을 허용해야만 라우터에서 전달되는 메시지를 받아 저장할 수 있다.
그 리고 로깅 설정 시 글로벌 config 모드에서 ‘service sequence-numbers’를 실행하면 로그가 생성될 때 로그마다 순서번호가 할당되도록 해 로그의 무결성을 강화할 수 있다. 다음의 사례에서 ‘service sequence-numbers’를 실행했을 때 각 줄의 처음에 순서번호가 생성되는 것을 확인할 수 있다.

000510: Oct  8 17:28:47.509 KST: %SYS-5-CONFIG_I: Configured from console by noc1 on vty0 (192.168.10.15)
000511: Oct  8 17:29:08.653 KST: %SYS-5-CONFIG_I: Configured from console by noc1 on vty0 (192.168.10.15)
000512: Oct  8 17:29:10.233 KST: %LINK-3-UPDOWN: Interface Serial9/1/3, changed state to down
000513: Oct  8 17:29:24.121 KST: %SYS-5-CONFIG_I: Configured from console by noc1 on vty0 (192.168.10.15)

로깅을 남길 때 수준을 지정할 수 있다. 수준으로는 긴급(Emergencies), 경고(Alerts), 에러(Errors), 경보(Warnings), 통지(Notifications), 정보(Informational), 디버깅(Debugging) 등을 지정하면 되는데, 통상적으로 정보나 디버깅 정도로 자세하게 남기는 것이 좋다.

4. 시간설정하기
시간이 정확하지않다면 로그의 의미가 없어져버릴수도 있다.
-현재의 타임존 확인하기
Router# show clock detail
21:15:03.124 KST Tue Apr 18 2006

타임수동설정법
Router# config t
Router(config)# clock timezone KST -9
Router# clock set 17:27:30 18 March 2006

타임서버이용해 자동설정하기(203.248.240.103(time.bora.net)사용한경우)
Router(config)# ntp server 203.248.240.103

7 thoughts on “라우터에서의 로깅설정하기

    1. 우키

      syslogd 에 -r 옵션 주는 법입니다.

      /etc/sysconfig/syslog 파일을 다음과 같이 edit합니다.

      SYSLOGD_OPTIONS=”-m 0 -r”

      그리고 syslogd 서비스를 다시 시작해줍니다.

      Reply

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.