Ojo con usar syslog tcp en Cisco ASA

Un bug que descubrimos por pura (o pu*a) casualidad, unas pruebas para mandar los mensajes a un syslog externo por tcp en vez de UDP … resulta que si el syslog no acepta los mensajes el ASA deja de aceptar conexiones, y se queda tan pancho el tío.

El bug en cuestión es este:
ASA block new conns with «logging permit-hostdown» & TCP syslog is down
CSCuj69650
Description
Symptom:
The «logging permit-hostdown» command doesn’t disable the feature to block new connections when a TCP-based syslog server is down.

Conditions:
This behaviour is observed in multi-context config on ASA 9.1.1

Workaround:
Remove «logging host» lines and reload the box then add lines again, or use UDP-base syslog.

Further Problem Description:
n/a

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCuj69650/?rfs=iqvred

El logging permit-hostdown es este …

asa bug

Así que, o lo desactivas desde ahí o desde linea de comandos con no logging permit-hostdown.

La solución que dan es de lo mas cachonda, básicamente … vuelve a usar syslog con udp.

Y no esta de mas tener en cuenta esto:
https://www.cisco.com/c/en/us/td/docs/security/asa/asa84/configuration/guide/asa_84_cli_config/monitor_syslog.html

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.