1. Se va instala pachetul syslog-ng (impreuna cu dependintele sale): a) pe un PC: - CentOS: yum install syslog-ng - Ubuntu: sudo apt install syslog-ng b) pe un router Asus ipkg install syslog-ng sau opkg install syslog-ng Aplicatia preia evenimentele aparute pe routerul Cisco precum: conectare utilizator, interfete up/down, comenzi introduse in config, samd si le salveaza intr-un log pe masina care ruleaza Linux in /var/log/cisco.log 2. Se va institui o noua regula in firewall (iptables), pe chain-ul INPUT, deschizindu-se portul 514 protocol UDP, pentru a permite routerului Cisco din amonte sa trimita evenimentele catre masina Linux din aval: iptables -I INPUT -m udp -p udp --dport 514 -j ACCEPT Se vor salva regulile existente impreuna cu noua regula a iptables. In cazul routerelor Asus, salvarea se face utilizind flashfs, care va modifica continutul memoriei Flash: flashfs save && flashfs commit && flashfs enable 3. Se va edita fisierul de configurare al syslog-ng de pe masina care ruleaza Linux (PC/router Asus): - pe PC-uri: sudo vi /etc/syslog-ng/syslog-ng.conf sau sudo nano /etc/syslog-ng/syslog-ng.conf - pe routerele Asus, anumite distributii de Debian isi salveaza configuratiile in /opt/etc: vi /opt/etc/syslog-ng/syslog-ng.conf sau nano /opt/etc/syslog-ng/syslog-ng.conf Se va sterge continutul existent si se vor adauga doar urmatoarele linii: source s_net { udp(ip(0.0.0.0) port(514)); }; destination d_cisco { file("/var/log/cisco.log"); }; log { source(s_net); destination(d_cisco); }; Se va salva apoi fisierul de configurare si se va inchide editorul. 4. Se va edita configuratia routerului Cisco din amonte (care va avea de exemplu IP-ul 10.0.0.1 pe interfata Vlan1) si se vor introduce urmatoarele linii: logging history informational logging trap debugging logging origin-id hostname logging 10.0.0.5 Se va retine ca masina din aval (PC/router Asus) trebuie sa faca parte din acelasi subnet ca si routerul Cisco, avind o adresa IP de genul 10.0.0.5 5. Se va restarta serviciul syslong-ng pe masina care ruleaza Linux. Pe routerele Asus: /opt/etc/init.d/syslog-ng restart 6. Acest log poate sa fie integrat in syslogul masinii care ruleaza Linux, sau poate fi trimis via e-mail la finalul zilei cu ajutorul msmtp si apoi trunchiat pentru a nu ocupa spatiu: truncate -s 0 /var/log/cisco.log 7. Exemplu de log cu evenimente provenite de la un router Cisco /var/log/cisco.log root@ubuntui386: /var/log# cat cisco.log Jul 17 02:04:43 10.0.0.1 851W: 000047: Jul 17 02:04:42.599: %PARSER-5-CFGLOG_LOGGEDCMD: User:poweruser logged command:no logging 10.0.0.5 Jul 17 02:04:49 10.0.0.1 851W: 000048: Jul 17 02:04:49.807: %SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 10.0.0.2 port 514 stopped - CLI initiated Jul 17 02:04:54 10.0.0.1 851W: 000050: Jul 17 02:04:53.893: %PARSER-5-CFGLOG_LOGGEDCMD: User:poweruser logged command:logging 10.0.0.2 Jul 17 02:04:54 10.0.0.1 851W: 000051: Jul 17 02:04:53.893: %SYS-5-CONFIG_I: Configured from console by poweruser on console Jul 17 02:04:55 10.0.0.1 851W: 000052: Jul 17 02:04:54.892: %SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 10.0.0.2 port 514 started - CLI initiated Jul 17 02:04:59 10.0.0.1 851W: 000053: Jul 17 02:04:58.906: %PARSER-5-CFGLOG_LOGGEDCMD: User:poweruser logged command:logging 10.0.0.2 Jul 17 02:04:59 10.0.0.1 851W: 000054: Jul 17 02:04:59.514: %SYS-5-CONFIG_I: Configured from console by poweruser on console Jul 17 02:05:33 10.0.0.1 851W: 000055: Jul 17 02:05:33.938: %SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 10.0.0.2 port 514 stopped - CLI initiated