Toon posts:

syslog - cisco 878 router vergeet logging parameters

Pagina: 1
Acties:

maandag 8 juni 2009 14:07

Acties:
  • richard_kraal
  • Registratie: September 2001
  • Laatst online: 24-03-2025

richard_kraal

Topicstarter
heren

ik heb een cisco 878 die ik wil monitoren, daarvoor heb ik kiwi syslogd geinstalleerd op een server

de volgende parameters zijn ingesteld op mijn cisco 878

logging x.x.x.x (ip adres syslog server)
logging facility local7
logging trap informational
logging on

Als ik vervolgs show run doe zijn de parameters na logging x.x.x.x weg!
Als ik wr mem doe zie ik op mijn syslog server wel een syslog message binnenkomen, dat werkt dus wel.
alleen niet het juiste logging level.


zie ik iets over het hoofd waardoor de logging settings niet opgeslagen worden? ;(

maandag 8 juni 2009 15:21

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 05-03 20:01

jvanhambelgium

Als je nu na een save de Cisco een reset laat doen ... en dan een "sho logging" ofzoiet, zie je dan nog een referentie naard dat IP van je Syslog server ?

Mischien een klein bugje ofzo in IOS.
Je moet weten dat telkens je een "show run" commando doet je router eigenlijk een voor mensen "leesbare" configuratie uitdraai opmaakt met info die hij van onderliggen systeemregisters etc haalt.
Mischien dat daar wel iets de mist in gaat...

maandag 8 juni 2009 22:12

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 05-03 22:00

Kabouterplop01

chown -R me base:all

hoe groot heb je je logging buffer ingesteld?

dinsdag 9 juni 2009 09:46

Acties:

Verwijderd

logging x.x.x.x (ip adres syslog server)
logging facility local7
logging trap informational
logging on

Als ik vervolgs show run doe zijn de parameters na logging x.x.x.x weg!
'logging facility local7' en 'logging trap informational' en 'logging on' zijn de defaults, die je dus niet in je config ziet.
Als ik wr mem doe zie ik op mijn syslog server wel een syslog message binnenkomen, dat werkt dus wel.
alleen niet het juiste logging level.
Het logging level geeft niet aan met welk level de logs verstuurd worden, maar wat de "minst erge" logging is die nog verstuurd wordt. Zet je die dus op "emergencies", dan krijg je alleen "emergency" meldingen, zet je hem op "alerts", dan krijg je "emergency" en "alert" berichten.
Volledige lijst:
{0 | emergencies}— System is unusable
{1 | alerts}—Immediate action needed
{2 | critical}—Critical conditions
{3 | errors}—Error conditions
{4 | warnings}—Warning conditions
{5 | notifications}—Normal but significant conditions
{6 | informational}—Informational messages
{7 | debugging}— Debugging messages

dinsdag 9 juni 2009 11:01

Acties:
  • richard_kraal
  • Registratie: September 2001
  • Laatst online: 24-03-2025

richard_kraal

Topicstarter
-ik heb even logging buffer op 4096 / debug gezet en ik zie dat hij dan de config inderdaad wel laat zien, zodra ik hem op informational zet verdwijnt hij in de config. Ik denk ook dat dit de standaard regel is en dus niet opgeslagen hoeft te worden.

-show logging results

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

cisco878#show logging
Syslog logging: enabled (1 messages dropped, 0 messages rate-limited,
                0 flushes, 0 overruns, xml disabled, filtering disabled)

No Active Message Discriminator.



No Inactive Message Discriminator.


    Console logging: level debugging, 4 messages logged, xml disabled,
                     filtering disabled
    Monitor logging: level debugging, 0 messages logged, xml disabled,
                     filtering disabled
    Buffer logging:  level informational, 1 messages logged, xml disabled,
                     filtering disabled
    Logging Exception size (4096 bytes)
    Count and timestamp logging messages: disabled
    Persistent logging: disabled

No active filter modules.

ESM: 0 messages dropped

    Trap logging: level informational, 49 message lines logged
        Logging to <juiste ip van syslog srvr)> (udp port 514,  audit disabled,
              authentication disabled, encryption disabled, link up),
              8 message lines logged,
              0 message lines rate-limited,
              0 message lines dropped-by-MD,
              xml disabled, sequence number disabled
              filtering disabled

Log Buffer (4096 bytes):

000047: *Mar 24 19:34:56: %SYS-5-CONFIG_I: Configured from console by admin on v
ty0 (x.x.x.x)


-reboot probeer ik vanavond even

iemand anders nog ideeen?

dinsdag 9 juni 2009 12:58

Acties:

Verwijderd

-reboot probeer ik vanavond even

iemand anders nog ideeen?
Wat is dan het probleem nu nog?

dinsdag 9 juni 2009 13:35

Acties:
  • richard_kraal
  • Registratie: September 2001
  • Laatst online: 24-03-2025

richard_kraal

Topicstarter
Verwijderd schreef op dinsdag 09 juni 2009 @ 12:58:
[...]

Wat is dan het probleem nu nog?
hij doet het nog niet...
ik kan me niet echt voorstellen dat een reboot de oplossing biedt,
het zou de eerste keer in 10jaar zijn dat ik dat meemaak


en een reboot in productie is geen topper...
dus vandaar vanavond toch nog maar even proberen

[ Voor 6% gewijzigd door richard_kraal op 09-06-2009 13:36 ]

dinsdag 9 juni 2009 19:45

Acties:
  • richard_kraal
  • Registratie: September 2001
  • Laatst online: 24-03-2025

richard_kraal

Topicstarter
na een reboot nog steeds geen andere syslogs messages
wat zou er nog meer mis kunnen zijn???

woensdag 10 juni 2009 09:28

Acties:

Verwijderd

richard_kraal schreef op dinsdag 09 juni 2009 @ 19:45:
na een reboot nog steeds geen andere syslogs messages
wat zou er nog meer mis kunnen zijn???
Definieer "andere syslog messages"? Wat zie je wel en wat verwacht je te zien? Zie ze wel in show log buff?

edit:

En reboot lijkt me inderdaad overbodig, het is geen Windows

[ Voor 11% gewijzigd door Verwijderd op 10-06-2009 09:28 ]

woensdag 10 juni 2009 10:58

Acties:
  • richard_kraal
  • Registratie: September 2001
  • Laatst online: 24-03-2025

richard_kraal

Topicstarter
Verwijderd schreef op woensdag 10 juni 2009 @ 09:28:
[...]

Definieer "andere syslog messages"? Wat zie je wel en wat verwacht je te zien? Zie ze wel in show log buff?
dit is wat er gelogd wordt
code:
1
2
3
4
5
6
7
8
9
10

<189>48: 000046: *Mar 24 19:31:46: %SYS-5-CONFIG_I: Configured from console by admin on vty0 (x.x.x.x)
<189>49: 000047: *Mar 24 19:34:56: %SYS-5-CONFIG_I: Configured from console by admin on vty0 (x.x.x.x)
<189>50: 000048: *Mar 25 01:52:24: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access2, changed state to down
<189>51: 000049: *Mar 25 02:00:14: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access2, changed state to up
<189>52: 000050: *Mar 25 04:19:15: %SYS-5-RELOAD: Reload requested  by admin on vty0 (x.x.x.x). Reload Reason: Reload Command.
<187>30: 000028: *Mar 25 04:19:54: %LINK-3-UPDOWN: Interface ATM0, changed state to up
<189>31: 000029: *Mar 25 04:19:55: %LINEPROTO-5-UPDOWN: Line protocol on Interface ATM0, changed state to up
<190>32: 000030: *Mar 25 04:20:03: %DIALER-6-BIND: Interface Vi2 bound to profile Di0
<187>33: 000031: *Mar 25 04:20:03: %LINK-3-UPDOWN: Interface Virtual-Access2, changed state to up
<189>34: 000032: *Mar 25 04:20:05: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access2, changed state to up


wat ik verwacht is dat elke connectie gelogd wordt, iets wat bij veel cisco's onder 'informational' valt


het commando show log buff bestaat niet
bij het commando show log krijg ik aan het einde wel een beetje history te zien
eigenlijk dezelfde info als hier boven

woensdag 10 juni 2009 14:24

Acties:

Verwijderd

richard_kraal schreef op woensdag 10 juni 2009 @ 10:58:

wat ik verwacht is dat elke connectie gelogd wordt, iets wat bij veel cisco's onder 'informational' valt
Wat bedoel je met "elke connectie"? Iemand die inbelt op de router? De router die uitbelt? TCP connecties door de router heen? Iemand die inlogt op de router?
het commando show log buff bestaat niet
Oeps, dat moet inderdaad gewoon "show log" zijn.
bij het commando show log krijg ik aan het einde wel een beetje history te zien
eigenlijk dezelfde info als hier boven
Dat klopt, dat beetje history kan je trouwens vergroten met "logging buffered <bytes>" in de config (vandaar mijn vergissing)

woensdag 10 juni 2009 15:43

Acties:
  • richard_kraal
  • Registratie: September 2001
  • Laatst online: 24-03-2025

richard_kraal

Topicstarter
Verwijderd schreef op woensdag 10 juni 2009 @ 14:24:
[...]

Wat bedoel je met "elke connectie"? Iemand die inbelt op de router? De router die uitbelt? TCP connecties door de router heen? Iemand die inlogt op de router?
o.a. tcp / udp connecties

woensdag 10 juni 2009 16:25

Acties:

Verwijderd

richard_kraal schreef op woensdag 10 juni 2009 @ 15:43:
o.a. tcp / udp connecties
Zet een accesslist op een interface met permit ip any any log, maar daar ga je echt niet gelukkig van worden: veel te veel logging.

woensdag 10 juni 2009 22:36

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 05-03 22:00

Kabouterplop01

chown -R me base:all

Verwijderd schreef op woensdag 10 juni 2009 @ 14:24:
[...]

[...]

Oeps, dat moet inderdaad gewoon "show log" zijn.


[...]
dat commando bestaat wel degelijk, maar niet op deze machine met dit OS. (LB)
Inderdaad de logging die je ziet met connecties is met een ACL zoals beschreven.

Anyway ik zit me ineens wat te bedenken!
Kun je een show ver posten?
of vertellen wat de allerlaatste regel meldt? (0x2102?) mocht dat niet zo zijn dan zou er nog iets anders aan de hand kunnen zijn.

[ Voor 22% gewijzigd door Kabouterplop01 op 10-06-2009 22:40 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq