softcake
Goto Top

Logging einer ASA-Regel

Ich möchte gerne eine Firewallregel in meiner ASA loggen. Diese kann ich ja dann im ASDM auswählen und anzeigen lassen.
Leider wird mir aber nichts angezeigt, sobald ich auf die Regel mit der rechten Maus klicke und auf "Show Log" gehe...
Das Logging habe ich schon verhändert auf "Debugging". Auch der Counter läuft hoch, also greift die Regel.

was mache ich falsch oder was verstehe ich hierbei nicht?

gruß
softcake

Content-ID: 164879

Url: https://administrator.de/forum/logging-einer-asa-regel-164879.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

keksdieb
keksdieb 19.04.2011 um 15:21:43 Uhr
Goto Top
Moin moin,

posten doch mal deine anonymisierte onfig von der ASA, dann kann dir hier geholfen werden.
Sonst kommen erst einmal Sprüche mit Glaskugeln und Reperatur auf dich zu ;)

Mit term mon im enable Modus bekommst du die Logmeldungen im CLI angezeigt.

Die Konfiguration für einen Syslog Server hab ich jetzt nicht im Kopf...

Beim anlegen der ACL musst du mit dem Parameter log sagen, dass Ereignisse der Regel ins Log geschrieben werden sollen.

Beispiel:
permit tcp any any eq 123 log

Gruß keksdieb
softcake
softcake 19.04.2011 um 16:08:01 Uhr
Goto Top
ok, hier mal so eine ACL:

access-list Intern_access_in extended permit tcp host 10.6.10.10 any eq ssh log debugging

wenn ich mich nun per ssh von 10.6.10.10 nach irgendwo verbinde, zählt der counter im ASDM hoch, aber das Log zeigt mir nichts an, das bleibt leer...

gruß
softcake
keksdieb
keksdieb 19.04.2011 um 16:27:23 Uhr
Goto Top
Soweit ich weiß, brauchst du das debugging am Ende nicht mehr.

Kommst du bei der ASA auch per Telnet oder so an das CLI?

Dann kannst du im Enable Mode mit sh ip access-list sehen, welche Regel greifen (in Klammern steht am Ende der Regel die Anzahl der Treffer).

Wenn dort nichts steht, dann trifft die Regel nicht zu.
Ausserdem muss die Regel an ein Interface gebunden werden.
Zum Beispiel an FastEthernet0/1 mit dem Befehl interface FastEthernet0/1 und dann ip access-list intern_access_in in.
Hier mal ein herzlichen Dank an aqui, der mir die ACL´s und deren Funktionen übermittelt hat face-smile

Aber das Rätselraten geh hier schon los, ich weiß nicht (und die fachlich besseren Leute ebenfalls nicht) was bei dir läuft und wie die Grundlage des Problems aussieht.
Poste einfach deine Konfig und nehme die wichtigen Daten raus, dann können dir die Leute hier im Forum auch helfen.

Gruß Keksdieb
aqui
aqui 20.04.2011 um 15:53:59 Uhr
Goto Top
Das ACL Logging bzw. den Logging Level allgemein muss man bei der ASA explizit einschalten. Es ist nicht so wie beim Router das das per default aktiviert ist.
Schalte das also ein, dann siehst du auch das ACL Logging auf Anhieb !
http://www.cisco.com/en/US/products/ps6120/products_tech_note09186a0080 ...
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...