Per loggare su un syslog server Linux/Unix i log di un Cisco si deve intervenire sia sul router che sul server.
Su Cisco configurare lo IOS (conf term) per definire il syslog server (qui 10.0.0.20):
logging server 10.0.0.20
(opzionale, imposta il logging a livello 7: debug)
logging facility local2
logging trap 7
Sul syslog server Unix/Linux fare partire syslog con l'opzione di logging via rete (senza questo il syslogd non accetta messaggi via rete):
syslogd -r
e configurare /etc/syslog.conf per accettare i messaggi dal cisco (facility local2):
local2.* /var/log/cisco.log
La porta usata per il syslog via rete è la 514 UDP.
Considerare che syslog è un protocollo estremamente vulnerabile (accetta qualsiasi informazione, senza verificare contenuto o sorgente). E' opportuno limitare agli IP che servono (con packet filtering di vario tipo) l'accesso alla porta 514 di un syslog server.
Analisi, monitoring, rotazione e gestione dei log di sistema. Configurazione di syslogd.
una piccola aggiunta
su alcune versioni di IOS e' necessario anche aggiungere ai comandi precedenti anche il comando "LOGGIN ON" per abilitare definitivamente quanto scritto..