A geração de logs e debugging é o primeiro projeto necessário na implantação de uma Firewall. Saber monitorar quais pacotes estão sendo aceitos ou negados é quase tão importante como conhecer as funcionalidades e/ou recursos da Firewall.
Para configurar os logs / debugging da Firewall H3C SECPATH F1000-S foi escolhido o redirecionamento de todos os registros para um Syslog Server em Linux. As vantagens dessa abordagem devem-se às seguintes razões:
- O elevado volume de registros ao ativar o monitoramento de pacotes negados nas ACLs torna inviável sua análise em uma console.
- Os registros devem ser guardados com fins de auditoria e controle.
- Possibilidade de gerar filtros com expressões regulares e linguagem BASH.
- Possibilidade de redirecionar vários tipos de fluxos de logs / debugging em diferentes arquivos de armazenamento.
A configuração básica para a geração e controle de logs na Firewall H3C SECPATH F1000-S é através do info-center. É importante não confundir a geração de logs com a geração de debug. A geração de debugs é muito mais diversificada do que a geração de logs e utiliza exclusivamente o comando debugging. Porém, ao gerar um debug, por exemplo das diversas regras de uma ACL, é possível direcionar a saído do debug para o info-center, que por sua vez direcionará os registros para um Syslog Server.
As configurações abaixo redirecionam o debugging de pacotes negados pela firewall para o Syslog Server. Perceba que é necessário ativar no debugging o tipo de informação buscada. A segunda linha de configuração direciona o channel 1 (monitor terminal - corresponte ao terminal telnet/ssh) para o loghost.
[SecPath] info-center loghost source GigabitEthernet0/0
[SecPath] info-center loghost 192.168.1.1 channel 1 facility local2
[SecPath] info-center synchronous
[SecPath] info-center enable
[SecPath] debugging firewall packet-filter denied
Firewall's packet denied debugging switch is on
[SecPath] undo debugging all
All possible debugging has been turned off
