SysLog router Cisco 837

[MircoT]

Ho installato un demone SysLog sul pc e ho "istruito" il router 837 a mandarci il log.
Il log arriva, ma alcune volte dice:
"access-list logging rate-limited or missed nn packets"
dove nn varia di volta in volta...

la configurazione attuale del logging è la seguente:
logging queue-limit 2000
logging buffered 10000 debugging
logging rate-limit 1000
no logging console


Ho provato a giocare con i parametri numerici, ma senza risultati apprezzabili...

Come posso risolvere?


Ciauzzzzz!

[NightStalker]

Quote:

Originariamente inviato da MircoT
Ho installato un demone SysLog sul pc e ho "istruito" il router 837 a mandarci il log.
Il log arriva, ma alcune volte dice:
"access-list logging rate-limited or missed nn packets"
dove nn varia di volta in volta...

la configurazione attuale del logging è la seguente:
logging queue-limit 2000
logging buffered 10000 debugging
logging rate-limit 1000
no logging console


Ho provato a giocare con i parametri numerici, ma senza risultati apprezzabili...

Come posso risolvere?


Ciauzzzzz!

"access-list logging rate-limited or missed nn packets" significa che il router ha scartato alcuni log perchè o in eccesso rispetto alla capacità del router stesso o perchè limitati col comando logging rate-limit. cmq è da rivedere la config del logging:

logging buffered 10000 informational (è assurdo loggare nel buffer del router anche il debugging, già a informational ti ritrovi il syslog sempre cambiato)
logging trap informational (evitiamo che messaggi al di sotto del livello info ci sommergano il syslog, già molti sostengono di non scendere sotto il livello warning)
logging rate-limit 100 (100 max, difficilmente un syslog regge oltre 200-300 log x secondo, oltretutto se uno volesse potrebbe pure bombarti il router a furia di log, e 1000 x me sono abbastanza da rompere le scatole al router)
no logging console
logging IP_SYSLOG_SERVER (magari l'hai omesso x sbaglio, cmq qui gli dici a che ip mandare i log)

logging queue-limit invece non c'è nella release che uso attualmente (la mainline 12.3), o è un comando "antico" o è stato aggiunto nella train release della 12.3 (la 12.3T insomma). cmq non è fondamentale, da quel che intuisco è quasi inutile se già c'è logging rate-limit (che invece è fondamentale x nn farsi bombare il syslog)


PS: logging-facility X serve se hai più apparati da cui ricevere i log, praticamente al posto della X metti un numero e i log provenienti da quegli apparati verrano taggati con 'facility X'

[MircoT]

Grazie delle informazioni!
Ho ravanato un poco sul sito Cisco, ma non sono riuscito a trovare spiegazioni esaurienti in materia... dice che quell'errore "può" essere normale e che non ci si può fare nulla...

logging queue-limit era già presente nella configurazione di default, quella da cui sono partito e da cui ho ricavato acl più umane rispetto a quelle tipo "spalancamento totale globale" create con il tool web di Cisco...

Anyway: ora lo metto così e penso che vada bene:
logging queue-limit 100
logging buffered 10000 informational
logging trap informational
logging rate-limit 100
no logging console
logging 192.168.200.50


La riga "logging 192.168.200.50" non si vede nello sh conf, ma ovviamente l'avevo messa per direzionare il log sul pc con il demone SysLog

Avevo visto il giochino del "facilityn", ma avendo un solo router non ho problemi... Ho messo il traffico SNMP generato dall'AccessPoint UsRobotics su un altro display del KiwiSysLog

Domanda: sul sito Cisco non sono riuscito a capire una cosa (una sola? ): i vari livelli di log sono numerati da 0 a 7, dove 7 è debug, ma non è specificato se i livelli più alti comprendono i precedenti... A naso direi di si, ma... me lo confermi?



Grazie mille di nuvo!
Certo che Cisco si fa pagare, ma ci si diverte parecchio a ravanarci...



Ciauzzzz!

[NightStalker]

Quote:

Originariamente inviato da MircoT
Grazie delle informazioni!
Ho ravanato un poco sul sito Cisco, ma non sono riuscito a trovare spiegazioni esaurienti in materia... dice che quell'errore "può" essere normale e che non ci si può fare nulla...

logging queue-limit era già presente nella configurazione di default, quella da cui sono partito e da cui ho ricavato acl più umane rispetto a quelle tipo "spalancamento totale globale" create con il tool web di Cisco...

Anyway: ora lo metto così e penso che vada bene:
logging queue-limit 100
logging buffered 10000 informational
logging trap informational
logging rate-limit 100
no logging console
logging 192.168.200.50


La riga "logging 192.168.200.50" non si vede nello sh conf, ma ovviamente l'avevo messa per direzionare il log sul pc con il demone SysLog

Avevo visto il giochino del "facilityn", ma avendo un solo router non ho problemi... Ho messo il traffico SNMP generato dall'AccessPoint UsRobotics su un altro display del KiwiSysLog

Domanda: sul sito Cisco non sono riuscito a capire una cosa (una sola? ): i vari livelli di log sono numerati da 0 a 7, dove 7 è debug, ma non è specificato se i livelli più alti comprendono i precedenti... A naso direi di si, ma... me lo confermi?



Grazie mille di nuvo!
Certo che Cisco si fa pagare, ma ci si diverte parecchio a ravanarci...



Ciauzzzz!

si ci si diverte, penso che ho comprato proprio da un utente qui del forum (il grande Keemax ) un 827 4v proprio per ravanarci a casa aspetto però ancora il banco di ram Kingston x far l'upgrade a 48 mb, con 24 mb il 12.3.6 con IP-FW-3DES mi lasciava 500 k di ram free e la lentezza in ssh nn lasciava presagire nulla di buono per ora monto il 12.3.6 IP-FW che va benone.

cmq:

1) visto che non so in che versione dello IOS sta logging queue-limit, mi diresti che release di IOS hai? (show version)

2) i vari livelli di logging all'1 al 7 funziano così: il primo (debugging, livello 7) li comprende tutti, quindi anche le cose più banali tipo appunto il debug; invece l'1 (mi pare si kiami critical) comprende appunto solo quelli del suo livello; per intederci il livello 6 (informational) comprende tutti i livelli di syslog minori di 6, quindi tutti tranne il debug (7) e cosi via a scalare; chiaro ora?


ciriciao

[MircoT]

Ciapa!
MircoT#sh ver
Cisco Internetwork Operating System Software
IOS (tm) C837 Software (C837-K9O3Y6-M), Version 12.2(13)ZH2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)
Synched to technology version 12.2(14.5)T
TAC Support: http://www.cisco.com/tac
Copyright (c) 1986-2003 by cisco Systems, Inc.
Compiled Tue 22-Jul-03 09:37 by ealyon
Image text-base: 0x800131E8, data-base: 0x80AA14DC

ROM: System Bootstrap, Version 12.2(8r)YN, RELEASE SOFTWARE (fc1)
ROM: C837 Software (C837-K9O3Y6-M), Version 12.2(13)ZH2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)

MircoT uptime is 1 hour, 10 minutes
System returned to ROM by power-on
System image file is "flash:c837-k9o3y6-mz.122-13.ZH2.bin"

CISCO C837 (MPC857DSL) processor (revision 0x400) with 44237K/4915K bytes of memory.
Processor board ID AMB074206SK (1107116386), with hardware revision 0000
CPU rev number 7
Bridging software.
1 Ethernet/IEEE 802.3 interface(s)
1 ATM network interface(s)
128K bytes of non-volatile configuration memory.
12288K bytes of processor board System flash (Read/Write)
2048K bytes of processor board Web flash (Read/Write)

Grazie per le informazioni.
I livelli di log "ragionano" come pensavo...


Ciauzzzzz!

[NightStalker]

azz bella bestiola 48 mb di ram e 12 di flash.

cmq hai la Version 12.2(13)ZH2 da quel che vedo... si vede che è un comando che è stato tolto.

[MircoT]

Quote:

Originariamente inviato da NightStalker
azz bella bestiola 48 mb di ram e 12 di flash.

cmq hai la 12.2(14.5)T da quel che vedo... si vede che è un comando che è stato tolto.

E' la configurazione hardware e software di default del 837...
Lgging queue-limit: e se fosse un comando non documentato?



Ciauzzzzz!

[NightStalker]

Quote:

Originariamente inviato da MircoT
E' la configurazione hardware e software di default del 837...
Lgging queue-limit: e se fosse un comando non documentato?



Ciauzzzzz!

non lo è.

per esempio:

Codice:

vpdn group 
 protocol pppoe

è un comando non documentato, infatti sotto 'vpdn group' facendo 'protocol ?' non si ottiene la voce pppoe nella lista di quelle disponibili, ma digitandola viene abilitata con successo.

Mentre sulla mia release 12.3.6 digitando logging queue-limit mi becco solo un '%unrecognised command'. Quindi...

[MircoT]

Forse logging queue-limit è un "comando meteora": è apparso ed è sparito...

Da quando ho attivato il log su alcune access-list, noto questo simpatico messaggio:
%SEC-6-IPACCESSLOGP: list 111 denied tcp 127.0.0.1(80) -> 82.50.178.168(1314), 1 packet

L'access-list 111 è applicata in ingresso sull'interfaccia Dialer1, il 127.0.0.1 è il mio loopback (??) e l'82.50.178.168 è l'ip pubblico che avevo in quel momento...

E' un tentativo di spoofing?

Compare abbastanza spesso...

Poi c'è anche questo:
%SEC-6-IPACCESSLOGRP: list 111 denied pim 192.168.100.1 -> 224.0.0.13, 1 packet

Il 192.168.100.1 è l'ip del primo hop dopo il mio router, cioè la macchina telecom... che manda multicast ogni 30 secondi...
Chissà a cosa gli serve...........


Ciauzzzzz!

[NightStalker]

Quote:

Originariamente inviato da MircoT
Forse logging queue-limit è un "comando meteora": è apparso ed è sparito...

Da quando ho attivato il log su alcune access-list, noto questo simpatico messaggio:
%SEC-6-IPACCESSLOGP: list 111 denied tcp 127.0.0.1(80) -> 82.50.178.168(1314), 1 packet

L'access-list 111 è applicata in ingresso sull'interfaccia Dialer1, il 127.0.0.1 è il mio loopback (??) e l'82.50.178.168 è l'ip pubblico che avevo in quel momento...

E' un tentativo di spoofing?

Compare abbastanza spesso...

Poi c'è anche questo:
%SEC-6-IPACCESSLOGRP: list 111 denied pim 192.168.100.1 -> 224.0.0.13, 1 packet

Il 192.168.100.1 è l'ip del primo hop dopo il mio router, cioè la macchina telecom... che manda multicast ogni 30 secondi...
Chissà a cosa gli serve...........


Ciauzzzzz!

si il primo è un tentativo di spoofing, tranquillo ne ricevo a tonnellate anche io, cmq dubito fortemente sianoderivati da veri e propri attacchi , piuttosto si tratterà di qualche virus o port-scan che razzola imperterrito per la rete; tra l'altro, se ci hai fatto caso arrivano decine di port-scan sulla 135, e indovina? bingo, il Blaster che a mesi dalla sua uscita ancora imperversa per la rete, simbolo dell'imbeccilità delle persone...

Per quanto riguarda il multicast che ti arriva dall'ISP, stessa cosa, anche a me ne arriva a vagonate (hai anche te alice o tin.it per caso?); per me è traffico di routing o hello timer che vengono scambiate tra i router telecom e per mala configurazione (leggi distribute-list e passive-interface mancanti) arrivano pure dalle interfacce da cui non dovrebbero arrivare... ma è solo un'idea... col multicast ci fai 3 mila cose (streaming x esempio) ma dubito che questo sia il caso...

PS: trovato --> PIM (protocol indipendent multicasting)
link Cisco: http://www.cisco.com/en/US/tech/tk82...0800e9952.html
PPS: l'altro multicast, quello sul 224.0.0.1 è IGMP (fai riferimento allo stesso link x una veloce panoramica)

[MircoT]

Tonnellate? MegaTonnellate!
Praticamente la metà del log è fatto da segnalazioni di spoofing...
I tentativi sulla porta 135 sono effettivamente parecchi: anche io ho pensato al Blaster... e alla gente che non aggiorna l'antivirus... se ce l'hanno l'antivirus...

Ci sono anche tanti tentativi sulla 445 e sulla 1345: sulla seconda non ho trovato informazioni particolari... ma probabilmente è un altro tipo di virus...

Se ho Alice o Tin? Ho Alice
D'altra parte l'ip del primo hop a 192.168.100.1 lo mette solo Alice e Tin.
Non ti dico il numero di bestemmie la prima volta che ho configurato un router per un'Alice e avevo scelto proprio quella classe per gli ip interni... Ovviamente non funzionava una mazza!


Grazie delle informazioni!


Ciauzzzzzz!

[NightStalker]

Quote:

Originariamente inviato da MircoT
Tonnellate? MegaTonnellate!
Praticamente la metà del log è fatto da segnalazioni di spoofing...
I tentativi sulla porta 135 sono effettivamente parecchi: anche io ho pensato al Blaster... e alla gente che non aggiorna l'antivirus... se ce l'hanno l'antivirus...

Ci sono anche tanti tentativi sulla 445 e sulla 1345: sulla seconda non ho trovato informazioni particolari... ma probabilmente è un altro tipo di virus...

Se ho Alice o Tin? Ho Alice
D'altra parte l'ip del primo hop a 192.168.100.1 lo mette solo Alice e Tin.
Non ti dico il numero di bestemmie la prima volta che ho configurato un router per un'Alice e avevo scelto proprio quella classe per gli ip interni... Ovviamente non funzionava una mazza!


Grazie delle informazioni!


Ciauzzzzzz!

x il blaster, piu che nn aggiornare l'antivirus non aggiornare l'OS e dire che la patch gira da mesi... :|

la 445 è la microsoft-ds (lo sfoglia rete nei domain win2k/XP in teoria), la 1345 è VPJP ma non so bene cosa sia (forse una porta usata in ambito multicast)

cmq non sei l'unico che ha avuto problemi con il 192.168.100.1 e la rete interna, sapessi su quanti forum c'era gente che si metteva ip in quella classe

[MircoT]

Altra domandina veloce veloce...
E' possibile fare in modo che il log di una singola acl sia associato ad una facility specifica?
In pratica vorrei dirottare il log di ogni acl su una facility diversa, in modo da avere i log già separati nel demone sysmon...

Da quello che ho letto sul sito Cisco credo che la facilityn sia associabile all'intero dispositivo e non a una singola acl... ma FORSE ho capito male



Ciauzzzzz!

[NightStalker]

Quote:

Originariamente inviato da MircoT
Altra domandina veloce veloce...
E' possibile fare in modo che il log di una singola acl sia associato ad una facility specifica?
In pratica vorrei dirottare il log di ogni acl su una facility diversa, in modo da avere i log già separati nel demone sysmon...

Da quello che ho letto sul sito Cisco credo che la facilityn sia associabile all'intero dispositivo e non a una singola acl... ma FORSE ho capito male



Ciauzzzzz!

Mi dispiace ma non credo che questo sia fattibile (anche se non te lo posso confermare, non mi sono mai nemmeno posto la domanda).

Ma non fai prima a creare dei filtri specifici sul Syslog host (aka: l'host che riceve i log del router)?

[MircoT]

Immaginavo giusto, allora...
Mi sa che dovrò fare come dici tu. Instradare i messaggi usando i filtri del Sysmon.
L'unica rottura è che KiwiSysmon permette questa cosa solo sulla versione a pagamento...
Ora vedo cosa costa...


Grazie mille!