Configurar un Syslog

El Syslog como su propio nombre indica es log (listado de eventos) del sistema.
En este post vamos a configurar un router cisco para que nos mande toda la información de los eventos del sistema hacia un servidor con que recoja esos syslog y los almacene.
Existen infinidad de programas que usan estos syslog para comprobar la seguridad de la red.

NOTA: Los datos que aparecen en mayusculas y verde se sustituyen por lo que indique le texto

Lo primero que debemos hacer es configurar el reloj del sistema para que este sincronizado y por tanto los datos del log sean fiables.

(config)# clock timezone Madrid 1
(config)# clock summer-time Madrid recurring last SUN MARCH 02:00 last SUN OCT 02:00
(config)# ntp server IP_SERVER_NTP

Configuramos el servicio de hora para que se muestre en el Syslog la hora en la que se produzco el evento.

(config)# service timestamps log datetime msec localtime show-timezone

Ahora vamos a crear un lookback para que sea esta dirección la que se añada al syslog y de este modo no nos aparezcan cada ip de cada puerto.
NOTA: La ip que vamos a usar no se usa para nada mas que para el syslog y no se enrutará ni se podrá acceder a la misma en local, es decir no se, si pusiéramos la de google en el syslog aparecería pero podríamos acceder a google del mismo modo.

(config)#interface loopback N_LOOK
(config-if)#ip address IP_LOOKBACK MASK_LOOKBACK
(config)#logging source-interface loopback N_LOOK

Configuramos para que los errores se almacenen en el buffer interno y se manden todo al servidor de syslog

(config)#logging buffered size_buffer error
(config)#logging trap debugging

Por ahora lo único que nos falta es el poner la información sobre el servidor donde tenemos la base de datos de syslog y encender el log.

(config)#logging IP_SERVER_SYSLOG
(config)#logging on

Ya tenemos configurado el router para que nos mande toda la información al servidor de syslog de nuestra red.