nokia sros üzerinde ip filter ile paket inceleme

nokia sros güvenlik yönetimi, müşteri yönetimi gibi amaçlar için filttelerin uygulnamasına izin vermektedir. aynalama yönteminin mümkün olmadığı, debug yapamadığınız zamanlarda filtreme yöntemini kullanmak paket yakalama / analizini temel düzeyde yapmaya olanak sağlayabilir. bunun nasıl yapılacağına en basit haliyle inceleyelim.

öncelikle yazacağımız filtre ile gözlemleyeceğimiz paketlerin nerede tutulması gerektiğe ait ayarları yapmakta fayda var. bu örnekte ramde tutulması bizim için yeterli olacak. log için bir id belirleyerek öncelikle filter log oluşturalım.

*A:#/configure filter log 38 create
*A:>config>filter>log# info 
----------------------------------------------
----------------------------------------------
*A:>config>filter>log#

log ortamımının tutulacağı alanı oluşturmuş olduk. default değeri 1000 olduğu için bu dğeri ihtiyacımız karşılayacak düzeyde arttıralım. 

*A:>config>filter>log# destination memory 20000

verilecek değerde dikkatli olunmalı. hafızayı şişirmemek gerekli. şimdi paket yakalamak için filtremizi oluşturabiliriz. yakalamak istediğimiz paketlerin hedef ve kaynak iplerini bildigimizi düşünerek ip bazlı bir filtre yapalım.

filtreleri oluştururken paketler üzerinde bir engelleme v.b. yapmacağımız için default-action ve entry lerin action forward yapmayı unutmuyoruz.

bu örneğimizde epipe bir servisin üzerindeki paket analizini yapacağımız için hem ingress hemde egress e filtre uygulamamız gerkiyor. burada dikkat edilmesi gereken önemli bir nokta var. ingress ve egress lere filtrre uygularken hedef ve kaynak ipleri yer değiştirmiş olacak.. bu nedenden dolayı oluşturduğumuz ip-filter altına iki tane entry ekliyoruz ve ip adreslerini buna göre giriyoruz…

her entry altında yakalanan paketlerin kaydedilmesi için oluşturdugumuz log idsini de ekledikten sonra filtremiz tamamlanmış oluyoruz. 

*A:#/configure filter ip-filter 38 create
*A:>config>filter>ip-filter# info 
            default-action forward
            entry 10 create
                match
                    dst-ip x.x.x.x/32
                    src-ip y.y.y.y/32
                exit
                log 38
                action
                    forward
                exit
            exit
            entry 11 create
                match
                    dst-ip y.y.y.y/32
                    src-ip x.x.x.x/32
                exit
                log 38
                action
                    forward
                exit
            exit

daha optimum bir filtre oluşturulabilir ancak bu haliye işimizi görecektir. filtremiz hazır olduğuna göre sıra uygulamaya geldi.

*A:#/configure service epipe 1 
*A:>config>service>epipe# info 
----------------------------------------------
           sap lag-1:1 create
                ingress
                    filter ip 38
                exit
                egress
                    filter ip 38
                exit
                no shutdown
            exit
            spoke-sdp 100:1 create
                no shutdown
            exit
            no shutdown

şimdi paketleri inceleyebiliriz. bakmamız gereken komut ve örnek çıktı aşagıdaki gibidir.

*A:#/show filter log 38

===============================================================================
Filter Log
===============================================================================
Admin state : Enabled
Description : (Not Specified)
Destination : Memory
Wrap        : Enabled
-------------------------------------------------------------------------------
Maximum entries configured : 20000
Number of entries logged   : 116
-------------------------------------------------------------------------------
2022/03/10 20:54:45  Ip Filter: 121:10  Desc: 
SAP: lag-103:115  Direction: Egress  Action: Forward
Src MAC: d4-a1-c8-df-b3-b0  Dst MAC: 02-45-11-12-78-d3  EtherType: 0800
Src IP: x.x.x.x:500  Dst IP: y.y.y.y:500  Flags: 0  TOS: c0  TTL: 254 Len: 196
Protocol: UDP

“Maximum entries configured : 20000” alanında ne kadar log olacağı bilgisi mecut .. biz 20000 yapmıştık… “Number of entries logged : 116” komutu çalıştırdığımızda yazdığımız filtreye giren 116 kayıt olduğunu görüyoruz. alltraki kısımlarda ip nin gözlendiği pakete ait bilgiler yer almaktadır..

log dosyasını temizlemek istediğinizde ise

*A:#/clear filter log 38

komutu kullanılabilir.

securecrt hiyerarşik yapıda log tutmak

vbs,python gibi scriptleri desteklemesi nedeniyle en sık kullanılan ssh client uygulamalarında bir tanesi durumda securecrt.

securecrt nin güzel özelliklerden bir taneside yapılan tüm işlemlerini hiyerarşik şekilde log tutabilmenizdir. bunun için yapılması gereken “edit default session options” altında log file dosyasına ait konfigürasyonu yapmalısınız.

açılan pencede “start log upon connect” seçerek securecrt çalışmaya başladı anda aktif olmasını sağlıyoruz. log dosya ismini oluşturuken program tarafından desteklenen dosya isim formatlarını kullanabiliyorsunuz. benim kullanmakta olduğun versiyon için kullanılabilecek parametler aşagıdaki şekilde tanımlanmış.

%H - hostname
%H - hostname (not valid with protocols that do not specify a host, such as Serial)
%S - session name
%Y - four-digit year
%y - two-digit year
%M - two-digit month
%D - two-digit day of the month
%P - port (not valid with protocols that do not specify a port, such as RLogin)
%h - two-digit hour
%m - two-digit minute
%s - two-digit seconds
%t - three-digit milliseconds
%F - directory path starting below the "Sessions" folder
%% - percent (%)
%envvar% - environment variable

bu parametreleri kullanarak istediğiniz formatta log dosyaları oluşturabilirsiniz. ben yıl/ay/gün/hostname-saat klasör yapısını kullandım.

D:\securecrt\log\%Y\%M\%D\%H_%h-%m-%s.log

huawei network ekipmanlarında arşivlenmiş log dosyası

huawei network ekipmanlarında loglar yapılan konfigürasyon ayarlarına göre belirli bir tarihten veya log sayısından fazlası router üzerindeki hafıza ortamlarında tutulabilmektedir. nms üzerinde geçmişe ait log kaydı tutmuyorsanız ve/veya router üzerinde log analizi yapmak isterseniz işinize yarayacaktır.kısaca gerekli incelemelerin nasıl yapılacağına bakalım.

“display logfile-path” komutu ile log dosyalarının nerede tutulduğunu öğrenebiliriz. 

<fcicek_huawei_test_router>display logfile-path 
Info: Current log file path is "cfcard2:/log".

dosya konumu ögrenildikten sonra ilgili alan / dizine geçiş için cd komutunu kullanıyoruz.

<fcicek_huawei_test_router>cd cfcard2:/log

dizin içinde dosları inceleyelim. 

<fcicek_huawei_test_router>dir
Directory of cfcard2:/log/

  Idx  Attr     Size(Byte)  Date        Time       FileName 
    0  -rw-      1,114,505  Apr 21 2016 08:58:50   log.log
    1  -rw-        645,924  Apr 21 2016 08:58:50   log.dblg
    2  -rw-        262,144  Aug 02 2013 00:49:44   logfilebuf.dat
    3  -rw-          1,508  May 30 2014 07:29:40   scene.dblg.zip
    4  -rw-      1,094,989  Feb 06 2016 01:11:28   2016-02-06.01-11-08.dblg.zip
    5  -rw-        626,757  Feb 12 2016 14:29:06   2016-02-12.14-28-51.log.zip
    6  -rw-        999,237  Mar 11 2016 01:11:18   2016-03-11.01-11-00.dblg.zip
    7  -rw-        967,042  Feb 17 2016 06:29:10   2016-02-17.06-28-51.dblg.zip
    8  -rw-        978,353  Feb 28 2016 04:29:10   2016-02-28.04-28-51.dblg.zip
    9  -rw-        685,204  Mar 04 2016 12:59:08   2016-03-04.12-58-51.log.zip
   10  -rw-        991,856  Mar 22 2016 01:11:30   2016-03-22.01-11-09.dblg.zip
   11  -rw-      8,412,776  Apr 21 2016 08:51:28   2016-04-21.05-01-15-dst.35.logtmp
   12  -rw-        960,961  Apr 02 2016 01:29:12   2016-04-02.01-28-51-dst.dblg.zip
   13  -rw-        978,646  Apr 14 2016 01:11:20   2016-04-14.01-10-59-dst.dblg.zip
   14  -rw-      1,097,927  Apr 21 2016 04:58:20   2016-04-21.04-57-57-dst.dblg.zip
   15  -rw-        637,749  Apr 21 2016 05:01:30   2016-04-21.05-01-15-dst.log.zip
   16  -rw-      8,393,002  Apr 21 2016 09:07:40   2015-11-05.19-58-51.34.logtmp
   17  -rw-      1,138,966  Feb 28 2014 18:11:54   2014-02-28.18-11-31.dblg.zip
   18  -rw-        449,312  Mar 01 2014 08:52:08   2014-03-01.08-51-55.log.zip
   19  -rw-      1,040,497  Mar 13 2014 08:23:24   2014-03-13.08-23-03.dblg.zip
   20  -rw-      1,068,521  Mar 25 2014 18:11:50   2014-03-25.18-11-30.dblg.zip
                                          
1,999,616 KB total (1,874,240 KB free)

geçmişe dönük arşivlenmiş logları görmek için “display logfile” komutu kullanılacaktır. yalnız burada dikkat edilmesi gereken noktada dosyanın tam yolunu yazmak gerektiği. bu farklı yazılımlarda değişebilir. 

<fcicek_huawei_test_router>display logfile cfcard2:/log/2016-02-12.14-28-51.log.zip
Info: It may take several seconds, please wait ...
100%  complete
################################################################
#     This logfile is generated at slot 9
################################################################

################################################################
#Automatic record log end,current health information as follows:
Slot                    CPU Usage     Memory Usage (Used/Total)
---------------------------------------------------------------
9       MPU(System Master)  9%           31%  571MB/1806MB
1       LPU                18%           46%  384MB/825MB
2       LPU                18%           45%  378MB/825MB
3       LPU                19%           46%  386MB/825MB
10      MPU                 5%           26%  473MB/1806MB
#DateTime Stamp: 2016-01-26 16:58:51.980
################################################################


Jan 26 2016 17:00:14+02:00 fcicek_huawei_test_router LSPM/1/LDPVTUNNEL_DOWN:OID 1.3.6.1.4.1.2011.5.25.182.1.54.2 LDP virtual tunnel went Down. (VirtualTunnelIndex=3567058411)
Jan 26 2016 17:00:14+02:00 fcicek_huawei_test_router LSPM/1/LDPVTUNNEL_DOWN:OID 1.3.6.1.4.1.2011.5.25.182.1.54.2 LDP virtual tunnel went Down. (VirtualTunnelIndex=3567058317)

alcatel switchlerde logların listelenmesi

alcatel switchler üzerinde flashta tutulan logları görebilmek için

show log swlog
show log swlog [session session_id] [timestamp start_time [end_time]] [appid appid] [level level]

komutu kullanılmaktadır. komut yapısında kullanılan parametreler ise aşağıdaki belirtildiği şekilde olmalıdır. burada tutulacak kayıt uzunluğu vb ayarlanabilmektedir. bir başka gönderide onlarada değinebiliriz.

tarih yapısı : mm/dd/yyyy hh:mm formatında .

appid için aşagıdaki tablodaki id numarası ve/veya uygulama adı

802.1q - 7		ip - 15			qdispatcher - 3
aaa - 20		ipc-diag - 1		qdriver - 2
amap - 18		ip-helper - 22		qos - 13
bridge - 10		ipc-link - 4		rmon - 79
chassis - 64		ipc-mon - 21		rsvp - 14
cli - 67		ipms - 17		session - 71
config - 66		ipx - 16		slb - 25
dbggw - 89		ldap - 86		smni - 83
diag - 0		linkagg - 12		snmp - 68
distrib - 84		mipgw - 70		ssl - 88
drc - 74		module - 24		stp - 11
eipc - 26		nan-driver - 78		system - 75
epilogue - 85		ni-supervision - 5	telnet - 80
ftp - 82		nosnmp - 87		trap - 72
gmap - 19		pmm - 23		vlan - 8
health - 76		policy - 73		vrrp - 77
idle - 255		port-mgr - 64		web - 69
interface - 6		psm - 81

level : logun öncelik düzeyi ile ilgili olarak aşağıdaki bilgiler kullanılır

Supported	Numeric		Equivalents
Levels		Description	 

alarm		2		Highest severity. The system is about to crash and reboot.
error		3		System functionality is reduced.
alert		4		A violation has occurred.
warning		5		A unexpected, non-critical event has occurred.
info		6		Any other non-debug message (default).
debug1		7		A normal event debug message.
debug2		8		A debug-specific message.
debug3		9		Lowest severity. A maximum verbosity debug message.

örnek bir çıktı ise aşağıdaki gibidir.

alc_6850_switch-> show log swlog appid interface 
Displaying file contents for '/flash/swlog1.log'
FILEID: fileName[/flash/swlog1.log], endPtr[63857],  configSize[64000], mode[2]
Time Stamp               Application    Level   Log Message
------------------------+--------------+-------+--------------------------------
FRI FEB 15 10:57:58 2013      INTERFACE    info Got connection from slot 1:23 
FRI FEB 15 10:57:58 2013      INTERFACE    info Got connection from slot 1:24 
FRI FEB 15 10:58:24 2013      INTERFACE    info  ## TX NI-ST Sl 1 ESMmsk    1 STKmsk    1 ##
FRI FEB 15 10:58:32 2013      INTERFACE    info RX CS_NI_READY NI 1 
FRI FEB 15 10:58:32 2013      INTERFACE    info  NIs are ready 
Displaying file contents for '/flash/swlog2.log'
FILEID: fileName[/flash/swlog2.log], endPtr[33894],  configSize[64000], mode[1]
Time Stamp               Application    Level   Log Message
------------------------+--------------+-------+--------------------------------
SUN MAY 26 10:56:18 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=3, crossed DDM threshold high alarm
THU MAY 30 12:26:32 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=3, crossed DDM threshold high alarm
MON JUN 10 06:30:05 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=3, crossed DDM threshold high alarm
MON JUN 10 16:29:45 2013      INTERFACE warning SFP/XFP Rx Power=-30.969 dBm on slot=1 port=6, crossed DDM threshold low alarm
MON JUN 10 17:05:29 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=3, crossed DDM threshold high alarm
MON JUN 10 22:51:47 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=5, crossed DDM threshold high alarm
MON JUN 10 22:51:49 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=3, crossed DDM threshold high alarm
MON JUN 10 22:51:50 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=4, crossed DDM threshold high alarm
MON JUN 10 22:56:55 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=5, crossed DDM threshold high alarm
MON JUN 10 22:56:57 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=4, crossed DDM threshold high alarm
MON JUN 10 22:56:58 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=3, crossed DDM threshold high alarm
WED JUN 12 21:01:07 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=8, crossed DDM threshold high alarm
WED JUN 12 21:01:10 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=10, crossed DDM threshold high alarm
WED JUN 12 21:06:16 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=8, crossed DDM threshold high alarm
WED JUN 12 21:06:18 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=10, crossed DDM threshold high alarm
FRI JUN 14 03:43:27 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=11, crossed DDM threshold high alarm
FRI JUN 14 03:48:37 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=11, crossed DDM threshold high alarm
FRI JUN 14 05:48:17 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=11, crossed DDM threshold high alarm
FRI JUN 14 05:54:11 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=10, crossed DDM threshold high alarm
TUE JUN 18 04:13:35 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=9, crossed DDM threshold high alarm
TUE JUN 18 04:18:43 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=9, crossed DDM threshold high alarm
Back To Top