Monthly Archives: September 2013

2 posts

Syslog logging with Cisco ASA

In the last week I was tweaking the logging setup of our Cisco ASA firewalls at work and find out why it didn’t work in the first place and how to disable “unneeded” messages. Again this post is nothing you won’t somewhere on the Internet or in the Cisco Documentation or by cafefully looking the ASDM interface.

First you need to setup to which server you are want to log. The settings should be pretty straight forward. You cannot use the standard port TCP 514 with Cisco ASA, so we setup d a DNAT on the syslog server from port TCP 1470 to TCP 514. The commandline option is:
logging host interface-name syslog-ip-address proto/port

Cisco-ASA-Syslog-Syslog-Servers

Cisco-ASA-Syslog-TCP-Port

There’s an important option at the top of the page. The option allows traffic to in case the syslog servers is down (only works with TCP syslog of course). I don’t find the idea of introduction a dependency between the syslog server and the firewall a good idea (at least if you use graylog which wasn’t very stable in the past, although it has improved in the latest versions). The commandline option is:
logging permit-hostdown

Cisco-ASA-Allow-Traffic-When-Syslog-Down

The Cisco ASA doesn’t send the hostname by default (tested on version 8.4). In order to get the Cisco ASA to send the hostname in the syslog message you need to enable the following command
logging device-id hostname
I don’t know where to find this option in the ASDM.

It’s not enough to configre the syslog server to get it working. You also need to enable it in the syslog filter and setup which syslog levels you want to log to syslog, via email etc. You can define custom map of filters based on event class and severity or just filter on serverty. I find the level informative to be the best one if you disable some messages which produce a lot of messages in the next step. It is crucial to have syslog not disabled on this page, otherwise there will be no logging to your syslog server.

Cisco-ASA-Syslog-Filters

The commandline options are:
logging trap informational
logging asdm informational

The last step is do define which logging messages the ASA should log which which serverty, e.g. you can define that “syslog id” e.g. 105005:
%ASA-1-105005: (Primary) Lost Failover communications with mate on interface interface_name.

Cisco-ASA-Syslog-Disable-Conntrack-Messages

I have found that the connection tracking is very “informative” and logs each connection creation and teardown despite if you enable or disable logging of the firewall rule. So I disabled these “syslog ids” in order to have a readable logfiles. This setting also applies to the logging window you can open in the ASDM.

You can also disable those “syslog id” in the commandline:
no logging message 305012
no logging message 305011
no logging message 305012
no logging message 302012
no logging message 302013
no logging message 302014
no logging message 302015
no logging message 302016
no logging message 302020
no logging message 302021

The option “log timestamps” sounds good, but we had problems with this option on our central syslog server server (graylog2). After enabling the option graylog could not correctly parse the syslog message and wouldn’t log the message with the correct hostname.

So now we have a working syslog setup wich our ASAs which only contain the syslog message we would like to have.

Konzertbericht – Circle of Illusion – Jeremia

Nachdem ich es mir jetzt schon so oft vorgenommen haben, einen Bericht über ein besuchtes Konzert zu schreiben, hier nun mein erster Konzertbericht. Mittlerweile ist das Konzert ja auch schon wieder über eine Woche her…
Eigentlich bin ich nur durch Zufall beim Durchblättern des Planet.tt Magazins auf die Band aufmerksam geworden. Die Beschreibung klang nach einem sehr vielversprechenden Konzert. Das Konzert war zugleich auch eine Art offizielle CD-Präsentations-Event. Dementsprechend war das Publikum bunt gemischt und dem Applaus für die einzelnen Bandmitglieder zu urteilen, waren wohl viele Verwandte/Freunde/Bekannte der Bandmitglieder anwesend. Beim Betreten der Szene Wien bot sich dann ein ungewohntes Bild, denn der komplette Saal war bestuhlt. Trotzdem bot der Abend ein epochales Rack-Opern-Musical ausgeführt mit vielen Duetten zwischen den drei Sängern, untermalt von griffigem Rock/Metal-Musik, unterstützt von einer Violinistin und einzelnen “Funk”/Elekro-Elementen aus dem Keyboard. Das gesamte Konzert/Ablum folgt einer duchgängigen Story (die sowohl auf den Plätzen im Saal als auch im Booklet der CD nachgelesen werden kann), die sich um die Charaktere Jeremy, Jelena und Sarah dreht. In einem Satz zusammengefasst kann sich der Inhalt so zusammenfasst werden: Jeremy ist in der Traumwelt von Jelena eingesperrt und muss seine Fehlverhalten gegenüber seiner Freundin Sarah erkennen um daraus auszubrechen. Detailiertere Information, insbesondere zur Zusammensetzung der Band gibt es natürlich auf deren Homepage: http://www.circleofillusion.com/
Auch die CD wurde schon mehrmals angehört. Sicherlich kein Album, dass man sich jeden Tag anhört, dafür fehlen vor allem ein wenig prägnante Refrains, die einem im Gedächtnis bleiben. Dennoch ist die CD sehr empfehlenswert und sowohl CD als auch Konzert bekommt 8 von 10 Sternen auf meiner persönlichen Skala.

IMG_20130905_220037