Элтекс

Здравствуйте!

Подскажите пожалуйста как ловить wireshark syslog сообщения от MES2448B ?
Он в нем выдает при любой команде такое сообщение

Frame 556: 406 bytes on wire (3248 bits), 406 bytes captured (3248 bits) on interface \Device\NPF_{8E24A637-20B7-4B05-8577-D36E1F1A45B1}, id 0
Ethernet II, Src: EltexEnt_d8:2a:c0 (e4:5a:d4:d8:2a:c0), Dst: (98:ee:cb:b0:26:e1)
Internet Protocol Version 4, Src: 192.168.7.5 (192.168.7.5), Dst: 192.168.7.60 (192.168.7.60)
User Datagram Protocol, Src Port: 49153, Dst Port: 514
[truncated]Syslog message: LOCAL0.CRIT: 30-Jan-1970 05:55:35.330 FWL-2- \n\n[**] TCP Non SYN only Pkt [**]\n[Classification: Potentially Bad Traffic] [Priority: 2]\n 01/30-05:55:35.00000 98:EE:CB:B0:26:E1 -> E4:5A:D4:D8:2A:C0 type:0x810
1000 0... = Facility: LOCAL0 - reserved for local use (16)
.... .010 = Level: CRIT - critical conditions (2)
Message [truncated]: 30-Jan-1970 05:55:35.330 FWL-2- \n\n[**] TCP Non SYN only Pkt [**]\n[Classification: Potentially Bad Traffic] [Priority: 2]\n 01/30-05:55:35.00000 98:EE:CB:B0:26:E1 -> E4:5A:D4:D8:2A:C0 type:0x8100 length:0x36\n192.1

Добрый день!


Не совсем понял Ваш вопрос, так как Вы приложили скопированный syslog пакет из wireshark. Прошу поправить если я ошибся

Данный лог говорит, что коммутатор не увидел начала TCP сессии, а сразу увидел пакеты с данными.
Уточню что в начале каждой сессии пакет должен содержать SYN флаг без данных.

Уточните, пожалуйста, как осуществляется подключение к коммутатору, вручную или скриптом? Если вручную, то какая терминальная программа используется?
Приложите, пожалуйста, вывод команд dump sockets и show user во время получения таких логов

А мы подключаемся через PUTTY
show user дает
Line User Peer-Address
2 ssh admin 192.168.7.60


Desc Local address Remote address Local port Remote port Proto Type State
---- -------------------- -------------------- ---------- ----------- ----- - ------ --------------
3 0.0.0.0 0.0.0.0 161 0 UD P DGRAM UNCONNECTED
4 0.0.0.0 0.0.0.0 6123 0 UD P DGRAM UNCONNECTED
5 0.0.0.0 0.0.0.0 49152 0 UD P DGRAM UNCONNECTED
6 :: :: 161 0 UD P DGRAM UNCONNECTED
7 :: :: 49152 0 UD P DGRAM UNCONNECTED
8 0.0.0.0 :: 0 0 UD P DGRAM UNCONNECTED
9 :: :: 0 0 UD P DGRAM UNCONNECTED
10 0.0.0.0 0.0.0.0 61812 0 UD P DGRAM UNCONNECTED
11 0.0.0.0 :: 0 0 UD P DGRAM UNCONNECTED
12 0.0.0.0 0.0.0.0 61813 0 UD P DGRAM UNCONNECTED
13 :: :: 61813 0 UD P DGRAM UNCONNECTED
14 0.0.0.0 0.0.0.0 68 0 UD P DGRAM UNCONNECTED
15 0.0.0.0 0.0.0.0 9000 0 UD P DGRAM UNCONNECTED
16 0.0.0.0 0.0.0.0 7000 0 UD P DGRAM UNCONNECTED
17 0.0.0.0 0.0.0.0 80 0 TC P STREAM CONNECTED
18 :: :: 80 0 TC P STREAM CONNECTED
19 0.0.0.0 0.0.0.0 22 0 TC P STREAM CONNECTED
20 0.0.0.0 0.0.0.0 6125 0 UD P DGRAM UNCONNECTED
21 :: :: 22 0 TC P STREAM CONNECTED
22 :: :: 6125 0 UD P DGRAM UNCONNECTED
23 0.0.0.0 0.0.0.0 23 0 TC

Добрый день!

Удалось првторить данный лог в лаборатории. Такое поведение появляется при кратковременной потере доступа к коммутатору во время ввода команд.
Так же есть вероятность того что данный лог провляется при Tacacs авторизации команд.

Проверьте пожалуйста потерю доступа и если вводить команды через консольное подключение то коммутатор так же будет отылать лог?

В случае если потерь нет и при вводе через консоль коммутатор отправляет данный лог прошу завести заявку по форме https://eltex-co.ru/support/
Туда помимо приведённых данных прошу приложить выводы show tech-sup с коммутаторов

Хорошо, что характерно: при вводе команд по ssh может зависнуть и вывалиться в командную строку стерев историю команд. Но такое у 1 элтеха из 200...

А можно ли смоделировать syslog сообщение на роутере ?

Добрый день!

Сислог сообщение можно вызвать при помощи up/down порта:


Так же по умолчанию, при включении логирования на сервер, включена отправка сислог сообщений о вводе команд