Onde posso encontrar a descrição do formato syslog do Cisco ASA? Exemplo de registro:
Dec 11 08:01:24 <IP> %ASA-6-302015: Built outbound UDP connection 447235 for outside:NTP_Server_2/<port> (NTP_Server_2/<port>) to identity:<IP>/<port> (<IP>/<port>)
Dec 11 08:01:24 <IP> %ASA-6-302015: Built outbound UDP connection 447235 for outside:NTP_Server_2/<port> (NTP_Server_2/<port>) to identity:<IP>/<port> (<IP>/<port>)
Dec 11 08:01:24 <IP> %ASA-4-106023: Deny udp src dmz:OCSP_Server/<port> dst outside:DNS_Server_DO/<port> by access-group "dmz" [0x123a465e, 0x4c7bf613]
Dec 11 08:01:24 <IP> %ASA-4-106023: Deny udp src dmz:OCSP_Server/<port> dst outside:DNS_Server_DO/<port> by access-group "dmz" [0x123a465e, 0x4c7bf613]
Dec 11 08:01:31 <IP> %ASA-6-302013: Built outbound TCP connection 447236 for outside:KAV_Update_Server/<port> (KAV_Update_Server/<port>) to dmz:OCSP_Server/<port> (OCSP_Server/<port>)
Dec 11 08:01:31 <IP> %ASA-6-302013: Built outbound TCP connection 447236 for outside:KAV_Update_Server/<port> (KAV_Update_Server/<port>) to dmz:OCSP_Server/<port> (OCSP_Server/<port>)
Dec 11 08:01:31 <IP> %ASA-6-302014: Teardown TCP connection 447236 for outside:KAV_Update_Server/<port> to dmz:OCSP_Server/<port> duration 0:00:00 bytes 14804 TCP FINs
Dec 11 08:01:38 <IP> %ASA-6-302014: Teardown TCP connection 447234 for outside:KAV_Update_Server/<port> to dmz:TSP_Server/<port> duration 0:01:08 bytes 134781 TCP FINs
Dec 11 08:01:38 <IP> %ASA-6-302014: Teardown TCP connection 447234 for outside:KAV_Update_Server/<port> to dmz:TSP_Server/<port> duration 0:01:08 bytes 134781 TCP FINs
Dec 11 08:01:38 <IP> %ASA-6-106015: Deny TCP (no connection) from KAV_Update_Server/<port> to TSP_Server/<port> flags RST on interface outside
Dec 11 08:01:38 <IP> %ASA-6-106015: Deny TCP (no connection) from KAV_Update_Server/<port> to TSP_Server/<port> flags RST on interface outside
Dec 11 08:01:39 <IP> %ASA-4-106023: Deny udp src dmz:TSP_Server/<port> dst outside:DNS_Server_DO/<port> by access-group "dmz" [0x123a465e, 0x8c20f21]
Dec 11 08:01:53 %ASA-4-106023: last message repeated 9 times
Dec 11 08:01:53 <IP> %ASA-6-302013: Built outbound TCP connection 447237 for outside:KAV_Update_Server/<port> (KAV_Update_Server/<port>) to dmz:TSP_Server/<port> (TSP_Server/<port>)
Dec 11 08:01:53 <IP> %ASA-6-302013: Built outbound TCP connection 447237 for outside:KAV_Update_Server/<port> (KAV_Update_Server/<port>) to dmz:TSP_Server/<port> (TSP_Server/<port>)
Dec 11 08:01:53 <IP> %ASA-6-302014: Teardown TCP connection 447237 for outside:KAV_Update_Server/<port> to dmz:TSP_Server/<port> duration 0:00:00 bytes 11420 TCP FINs
só encontrei issodocumentoda Cisco, onde nada foi explicado sobre o campo "Message_text".
Responder1
dê uma olhada nisso, use, por exemplo,% ASA-4-106023 como índice: http://www.cisco.com/en/US/docs/security/asa/asa80/system/message/logmsgs.html
Mensagem de erro %PIX|ASA-4-106023: Negar protocolo src [interface_name:source_address/source_port] dst interface_name:dest_address/dest_port [tipo {string}, código {code}] por access_group acl_ID
Explicação Um pacote IP real foi negado pela ACL. Esta mensagem é exibida mesmo se você não tiver a opção de log habilitada para uma ACL.
Ação recomendada Se as mensagens persistirem no mesmo endereço de origem, as mensagens poderão indicar uma tentativa de localização ou varredura de porta. Entre em contato com os administradores de host remoto.
Responder2
Se você está perguntando o que são os mnemônicos, há uma explicaçãoaqui.