
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}

o\:* {behavior:url(#default#VML);}

w\:* {behavior:url(#default#VML);}

.shape {behavior:url(#default#VML);}

</style><![endif]--><style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman",serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p

        {mso-style-priority:99;

        margin:0cm;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman",serif;}

p.msonormal0, li.msonormal0, div.msonormal0

        {mso-style-name:msonormal;

        margin:0cm;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman",serif;}

span.EmailStyle19

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:612.0pt 792.0pt;

        margin:72.0pt 72.0pt 72.0pt 72.0pt;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body bgcolor="white" lang="EN-AU" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">Thanks all for your comments so far.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">Yes so I’m using logging host x.x.x.x

<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">I’ve set it up so far to send warnings using “logging trap warnings”<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">I just set one of the routers up with logging trap debug to see if I can get something but nothing yet. Most of these routers are Cisco

 800’s running 3G, I tried setting the logging source interface to be the cellular interface on one of my routers but still nothing coming in yet.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">The whole network runs off a particular NTP source, which the Graylog server also runs off and can be seen below:<o:p></o:p></span></p>

<p class="MsoNormal"><img width="447" height="155" style="width:4.6583in;height:1.6166in" id="Picture_x0020_1" src="cid:image001.png@01D2928F.5499A620"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">Any other ideas?<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">Cheers,<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">Steve<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><a name="_MailEndCompose"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></a></p>

<span style="mso-bookmark:_MailEndCompose"></span>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">

<p class="MsoNormal"><b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Michael Junek [mailto:michael@juneks.com.au]

<br>

<b>Sent:</b> Wednesday, 1 March 2017 10:26 AM<br>

<b>To:</b> Mister Pink <misterpink@gmail.com>; Paul Holm <ausnog@pkholm.com><br>

<b>Cc:</b> ausnog@lists.ausnog.net; Steve Hille <steve@kararconsulting.com><br>

<b>Subject:</b> Re: [AusNOG] Graylog router messages<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p><span style="font-family:"Calibri",sans-serif;color:black">Further to Steve's comment, you can set the various levels of information sent to Syslog.<o:p></o:p></span></p>

<p><span style="font-family:"Calibri",sans-serif;color:black">Use the logging trap command, with the level of alerts being sent, as per below--<o:p></o:p></span></p>

<p><span style="font-family:"Calibri",sans-serif;color:black"><o:p> </o:p></span></p>

<p><span style="font-family:"Calibri",sans-serif;color:black"><o:p> </o:p></span></p>

<p style="margin-bottom:12.0pt"><span style="font-family:"Calibri",sans-serif;color:black">router(config)#logging trap ?<br>

  <0-7>          Logging severity level<br>

  alerts         Immediate action needed           (severity=1)<br>

  critical       Critical conditions               (severity=2)<br>

  debugging      Debugging messages                (severity=7)<br>

  emergencies    System is unusable                (severity=0)<br>

  errors         Error conditions                  (severity=3)<br>

  informational  Informational messages            (severity=6)<br>

  notifications  Normal but significant conditions (severity=5)<br>

  warnings       Warning conditions                (severity=4)<br>

  <cr><br>

<br>

<o:p></o:p></span></p>

<p><span style="font-family:"Calibri",sans-serif;color:black"><o:p> </o:p></span></p>

<p><span style="font-family:"Calibri",sans-serif;color:black"><o:p> </o:p></span></p>

<p><span style="font-family:"Calibri",sans-serif;color:black"><o:p> </o:p></span></p>

<div>

<div class="MsoNormal" align="center" style="text-align:center"><span style="font-family:"Calibri",sans-serif;color:#212121">

<hr size="3" width="98%" align="center">

</span></div>

<div id="divRplyFwdMsg">

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black"> AusNOG <<a href="mailto:ausnog-bounces@lists.ausnog.net">ausnog-bounces@lists.ausnog.net</a>>

 on behalf of Mister Pink <<a href="mailto:misterpink@gmail.com">misterpink@gmail.com</a>><br>

<b>Sent:</b> Wednesday, 1 March 2017 13:13<br>

<b>To:</b> Paul Holm<br>

<b>Cc:</b> <a href="mailto:ausnog@lists.ausnog.net">ausnog@lists.ausnog.net</a>; Steve Hille<br>

<b>Subject:</b> Re: [AusNOG] Graylog router messages</span><span style="font-family:"Calibri",sans-serif;color:#212121">

<o:p></o:p></span></p>

<div>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#212121"> <o:p></o:p></span></p>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#212121">IMHO It's pretty straightforward - the source interface command may be key here - ie it's originating from an address that you are expecting, and perhaps being blocked or not

 classified correctly as a result.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#212121"><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#212121"><a href="http://www.ciscopress.com/articles/article.asp?p=426638&seqNum=3">http://www.ciscopress.com/articles/article.asp?p=426638&seqNum=3</a><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#212121"><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#212121">Also bear in mind that a router is typically a lot less chatty than a F/W or a switch so it may be that under the current level of logging you are not seeing logs because nothing

 deemed 'interesting' enough to send is happening.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#212121"><o:p> </o:p></span></p>

</div>

</div>

<div>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#212121"><o:p> </o:p></span></p>

<div>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#212121">On 1 March 2017 at 08:54, Paul Holm <<a href="mailto:ausnog@pkholm.com" target="_blank">ausnog@pkholm.com</a>> wrote:<o:p></o:p></span></p>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#212121">Hi Steve,<br>

<br>

Could yo please share "not working config" from your routers?<br>

usually it is only one line<br>

<br>

logging host 1.1.1.1<br>

<br>

May be with<br>

<br>

logging source-interface xxx <o:p></o:p></span></p>

<div>

<div>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#212121"><br>

<br>

<br>

On 01/03/2017 02:01, Steve Hille wrote:<o:p></o:p></span></p>

</div>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">

<div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><span style="font-family:"Calibri",sans-serif;color:#212121">Hi all, I've got Graylog running and am collecting data on all of our<br>

Cisco switches and ASA's, also getting data from riverbeds and some<br>

other gear. Unfortunately I can't get any messages coming in from our<br>

Cisco routers and I can't figure out why. Has anyone got any<br>

experience with the config on the router side to get data in? On the<br>

other hand if anyone needs some guidance getting it setup, I'll<br>

happily share my notes so far, getting some incredibly good data out<br>

of it.<br>

<br>

Cheers,<br>

<br>

Steve<br>

<br>

<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#212121">_______________________________________________<br>

AusNOG mailing list<br>

<a href="mailto:AusNOG@lists.ausnog.net" target="_blank">AusNOG@lists.ausnog.net</a><br>

<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><o:p></o:p></span></p>

</blockquote>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#212121">_______________________________________________<br>

AusNOG mailing list<br>

<a href="mailto:AusNOG@lists.ausnog.net" target="_blank">AusNOG@lists.ausnog.net</a><br>

<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><o:p></o:p></span></p>

</blockquote>

</div>

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#212121"><o:p> </o:p></span></p>

</div>

</div>

</div>

</div>

</body>

</html>