Syslog-NG + Cisco: Logs em Arquivos Separados

Syslog-Ng é um sistema de logs que oferece várias funcionalidades. Uma delas é receber vários logs de ativos em rede. Sua configuração é fácil por isso é amplamente utilizada.

Considerando que o amigo leitor já tenha um bom conhecimento sobre o assunto e que o Syslog-Ng já esteja instalado, vou mostrar como configurar para que um Servidor com Syslog-Ng rodando capture os logs de roteadores ou switch da cisco e salve em arquivos separados.

Seguindo o layout acima, onde temos um Servidor Linux Debian, um Switch e um Roteador (ambos da Cisco) então:

Em todos os equipamentos Cisco serão efetuados os seguintes comandos:
Router(config)# logging on
Router(config)# Logging 192.168.0.1 (Onde “192.168.0.1” vai ser o endereço IP do Servidor de Log)

Já no servidor Linux Debian, no arquivo de configuração /etc/syslog-ng/syslog.conf será adicionado o seguinte:

source cisco { udp(ip(0.0.0.0) port(514)); };

Nesta linha é adicionado a source, de onde o servidor receberá os logs.

destination switch { file("/var/log/switch.log"); };
destination roteador { file("/var/log/roteador.log"); };

As duas linhas acima descrevem onde serão salvos os logs. Um para cada equipamento. Repare que a distinção é feita com os nomes de hosts dos equipamentos.

filter f_switch { host(192.168.0.3); };
filter f_roteador { host(192.168.0.2); };

Nestas linhas são informado como vai ser feito o filtro dos registros de logs que são recebidos. A filtragem é feita pelo endereço IP dos hosts que estão enviando logs. Também é nomeado um nome de filtro para cada equipamento.

log { source(cisco); filter(f_switch); destination(switch); };
log { source(cisco); filter(f_roteador); destination(roteador); };

Finalizando, essas linhas acima são as que fazem a captura final dos logs. Onde é referenciado o “source”, os “destination” e os “filter” criados anteriormente.

É isso o que eu tinha para passar. Qualquer dúvida estarei a disposição.