Cisco ASA syslog severity op ACL

maandag 1 maart 2010 13:15

Acties:

0 Henk 'm!

Topicstarter

Ik heb een probleempje met een access rule en logging.. Ik heb een ACL om outbound traffic op poort 25 te blokkeren voor bepaalde hosts, en dat werkt uitstekend..

Ik heb bij de acl de log severity op critical gezet, en smtp logging aangezet voor die severity. Echter wat ik ook doe, in de ASDM real-time log viewer blijft de logentry op severity 'informational' binnen komen. (Ben trouwens gui n00b, doe alles met de ASDM).

De acl waar het om gaat:

code:

1	access-list inside_access_in extended deny tcp any any eq smtp log critical

Ik zie echter in de asdm logging nooit iets op critical binnenkomen.. Wat ik ook doe, de entry die ik in mijn log krijg blijft severity 6 (informational) meekrijgen:

code:

6   Mar 01 2010 13:09:23    106100  host-til-dns-02 58810   62.69.179.197   25  access-list inside_access_in denied tcp inside/host-til-dns-02(58810) -> outside/62.69.179.197(25) hit-cnt 1 first hit [0xe3de3aa9, 0x0]

Iemand een idee hoe ik ervoor kan zorgen dat die acl ook daadwerkelijk een syslog event triggert op een ander severity level dat informational? Ik kan me trouwens herinneren dat dit vroeger prima werkte, maar sinds een paar maanden draaien we overal ASA 8.2.1 en ASDM 6.2, en mijn onderbuikgevoel zegt me dat het daar ook iets mee te maken kan hebben..

De logging statements uit mijn config:

code:

logging enable
logging asdm informational
logging mail critical
logging from-address bla@bla.nl
logging recipient-address bla@bla.nl level critical
smtp-server 192.168.x.x

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

maandag 1 maart 2010 17:30

Acties:

0 Henk 'm!

virtualpimp

code:

logging enable
logging asdm debugging
logging mail critical
logging from-address bla@bla.nl
logging recipient-address bla@bla.nl level critical
smtp-server 192.168.x.x

^^ fixed

Via Glazenbakje.

MCSE, MCPS, MCSA, MCSAM, MCNPS, MCITP, MCTS

dinsdag 2 maart 2010 10:22

Acties:

0 Henk 'm!

Vicarious

☑Rekt | ☐ Not rekt

virtualpimp schreef op maandag 01 maart 2010 @ 17:30:
code:
1
2
3
4
5
6
logging enable
logging asdm debugging
logging mail critical
logging from-address bla@bla.nl
logging recipient-address bla@bla.nl level critical
smtp-server 192.168.x.x
^^ fixed

Via Glazenbakje.

De enige regel die jij hebt aangepast gaat over asdm logging, lijkt me sterk dat dit eht probleem oplost.

Vicariously I live while the whole world dies

dinsdag 2 maart 2010 20:04

Acties:

0 Henk 'm!

Verwijderd

@Vicarious: gezien Axis alleen maar meldingen van information ziet langs komen is het naar mijn meening verstandig om logging asdm debugging te gebruiken. Dan krijgt Axis wel veel meldingen te zien maar de kans is groter dat hij ook de severity meldingen van critical langs ziet komen. Door in de real-time logging een filter te zetten op bijvoorbeeld de critical loggings kan hij zien waar wat fout zit..

@ Axis. Als je asdm information logging wilt wijzigen. kun je wijzigen op de CLI doormiddel van achter "logging asdm" een ? te typen en een severity te kiezen.

Deze zijn ook via de ASDM te wijzigen. tevinden onder Device Management > Logging Filters hier in kun je de Filter on severity wijzigen naar gewenste logging.

Je kan ook de Syslogs from specific event classes aanpassen indien gewenst.

Zoals virtualpimp heeft genoteerd. logging asdm debugging is de meest voor de hand liggende commando om deze informatie naar boven te krijgen. Bij eventueel problemen. cq notificaties.

Onderwerpen