Cisco Catalyst 2960-S Syslog Monitoring

[Marius1990]

Hallo liebe Fachinformatiker,

ich bin gerade dabei eine Monitoringsoftware einzurichten und bin jetzt an einem Punkt angelangt, wo ich die Syslognachrichten eines Cisco-Switches empfangen und auswerten möchte.

Was muss ich da an meinem Switch alles einstellen? Und vor allem wo?

Kennt jemand die genauen Befehle das einzurichten, ich habe dazu leider nicht wirklich viel gefunden.

Ich gehe mal schwer davon aus, dass ich in der Switch#config richtig bin, aber wie geht's weiter?

Würde mich über sinnvolle Antworten sehr freuen.

[Crash2001]

Du musst denke ich die SNMP-Parameter noch angeben. Also wer abfragen darf, über welche SNMP-Domain und mit welchem Passwort. Dazu noch, ob nur lesend oder auch schreibend und welche traps enabled sein sollen.

Und falls gewünscht halt noch einen Logging-Server eintragen.

[127.0.0.1]

wenn ich mich recht entsinne können die cisco-switche als tftp-server fungieren. vielleicht googlest du mal in diese richtung

[Crash2001]

Kann längst nciht jeder Cisco-Switch, sondern eher die grösseren.

Davon abgesehen weiß ich nicht, was ihm tftp hier bringen sollte.

Er will ja, dass der Switch die SNMP Traps zu ihm sendet und nciht das Logfile alle 5 MInuten rüberkopieren. Oder verstehe ich dich da falsch, wofür das tftp sein soll?

[Marius1990]

Laufen die Syslog Nachrichten über SNMP?? Ist ja quasi nix anderes als die Events bei Windows, und dafür braucht man ja kein SNMP um die zu senden/empfangen.

Weil bei der Monitoringsoftware kann ich nen Port anlegen an dem SNMP Traps ankommen und davon getrennt noch nen Port an dem Syslog Nachrichten ankommen.

Was mit TFTP hier bringen soll verstehe ich auch nicht ganz.

[Crash2001]

Aah Mist... natürlich laufen die nicht über SNMP. Sind natürlich zwei paar Schuhe, was aber normalerweise in einem Rutsch konfiguriert wird, denn dabei wird auch eingestellt, was alles geloggt wird und welche Traps gehen sollen.

Für Syslog muss ein Syslog-Server eingestellt werden, an den die logs geschickt werden.

Bei cisco Switchen normalerweise in der Form

logging [IP-Adresse oder DNS-Name]

[Marius1990]

Den Befehl habe ich gesucht Danke, funktioniert jetzt wunderbar.

[127.0.0.1]

das Logfile alle 5 MInuten rüberkopieren. Oder verstehe ich dich da falsch, wofür das tftp sein soll?

so hatte ich das verstanden:(

[@@@]

Um das ganze bei mehreren Switchen etwas übersichtlicher zu gestalten macht es Sinn, die Logs nicht direkt ins zentrale Syslog zu schreiben, sondern in jeweils separate Logfiles. Dazu sollte man an den Switchen (oder auch anderen Geräten, z.B. eine ASA oder ein WLC) eine eigene Logging Facility verwenden.

Das geht an den Devices über den Parameter logging facility facility-type

Anschliesend kann man dann am Syslog Server (in diesem Fall rsyslog) die Logs in verschiedene Logfiles schreiben:

local1.* /var/log/cisco/switch1

local2.* /var/log/cisco/switch2

local3.* /var/log/cisco/switch3

Um Redundanz und überflüssige Daten im zentralen Syslog zu vermeiden kann man die Logdaten der Switche mittles eines - explizit aus dem zentralen Syslog ausschliessen. Eventuell haben die das mittlerweile auch rausgepatched, dass die Loggs doppelt gespeichert werden

local1.* -/var/log/syslog·

[Crash2001]

Öööhm - wieso sollte man das noch einmal unterteilen, wo man doch beim Syslog-Server afaik auch so einstellen kann, dass für jeden Switch ein separates File erstellt wird, ohne dass man die logging facility auf dem Switch anpasst? :confused:

Wie genau das gemacht wird, weiß ich jetzt nicht, aber gehen tut das definitiv auch so. Dann hat man auch nicht das Problem mit dem doppelten loggen.