Page 550 - Untitled
P. 550
CAPÍTULO 12: GESTIÓN DE IOS
aquellos del 5 al 7 hacen referencia a operaciones normales de red, generando
infinidad de entradas.
Un ejemplo de registro syslog en dispositivos Cisco podría ser el siguiente:
*jul 13, 05:02:29.022: %LINK-5-CHANGED: Interface GigabitEthernet0/0, changed
state to administratively down
Dónde:
- jul 13, 05:02:29.022 indica la fecha y hora exacta en la que se produjo el evento.
- %LINK hace referencia al elemento sobre el cual se ha generado la acción.
- 5 indica el tipo de evento.
- CHANGED es la nomenclatura utilizada para identificar la acción que propició el
registro.
- Interface GigabitEthernet0/0, changed state to administratively down es una breve
descripción de lo ocurrido.
¿Qué conclusiones se pueden obtener en relación con la información recibida?
Cuando una interfaz se encuentra en dicho estado es porque ha sido deshabilitada
administrativamente. Es decir, alguien ha aplicado el comando shutdown sobre la
interfaz Gi0/0 el día 13 de julio a las 05:02:29.022 horas.
Uno de los detalles más importantes a tener en cuenta durante la lectura y
análisis de logs es la fecha y hora en la que se produce cada evento, gracias a la cual
se podrá establecer una correlación de mensajes, ayudando en gran medida a
resolver el problema y determinar la causa que lo motivó, sobre todo en cuestiones
de seguridad. En Cisco, para que dicho dato sea incluido debe ser habilitado
previamente el servicio timestamps , a través del comando service timestamps log
datetime msec, desde el modo de configuración global. Además, resulta altamente
recomendable que todos los dispositivos mantengan su hora sincronizada, logrando
dicho objetivo mediante la aplicación del protocolo NTP, ya analizado en el capítulo 7
“Seguridad en capa 3”.
537
