But : que l'équipement réseau, par exemple un Cisco firewall ASA, envoie ses logs (traces) sur un NAS Synology.
I. Configuration sur le Cisco
show running config
logging enable
logging timestamp
logging monitor informational
logging buffered informational
logging trap debugging
logging device-id hostname
logging host OUTSIDE NAS_LOCAL 6/1470
logging permit-hostdownExplications :
logging enable démarrage du service de logginglogging timestamp horodatage de chaque ligne émise (important)
logging permit-hostdown le firewall continue de générer ses messages syslog même si la connexion avec le serveur de log (le Synology) est tombée (valable pour une connexion TCP uniquement).logging monitor informational
logging buffered debug
logging trap informational
Le premier paramètre est la destination (le terminal ou la console, un buffer en RAM, le serveur syslog). Le second le niveau de sévérité.
| Commande | Destination | Description | Utilisation Typique |
|---|---|---|---|
| logging monitor informational | Console/Terminal | Affiche les messages sur la session utilisateur actuelle (SSH, Telnet, Console). | Surveillance en temps réel et dépannage immédiat. |
| logging buffered debugging | Mémoire Tampon (RAM) | Stocke les messages dans un espace mémoire interne consultable via show logging. | Diagnostic complet et examen post-incident (logs perdus au redémarrage). |
| logging trap informational | Serveur Syslog Distant | Envoie les messages à travers le réseau vers l'hôte Syslog configuré (le NAS). | Archivage centralisé, analyse à long terme et conformité. |
Si vous choisissez le niveau de sévérité N vous aurez tout ce qui est en dessous avec. Je choisis 6 (informational), donc j'ai tout sauf le debug (7). Si on veut juste les erreurs on choisira errors et on aura tous les types d'erreurs jusqu'aux erreurs graves, mais pas les avertissements (warnings).
| Sévérité (Nom) | Niveau (Numérique) | Description |
|---|---|---|
| emergencies | 0 | Système inutilisable |
| alerts | 1 | Action immédiate nécessaire |
| critical | 2 | Conditions critiques |
| errors | 3 | Conditions d'erreur |
| warnings | 4 | Conditions d'avertissement |
| notifications | 5 | Conditions normales mais significatives |
| informational | 6 | Messages d'information généraux |
| debugging | 7 | Messages de débogage (très détaillés) |
asa5540(config)# logging monitor ?
configure mode commands/options:
<0-7> Enter syslog level (0 - 7)
WORD Specify the name of logging list
alerts Immediate action needed (severity=1)
critical Critical conditions (severity=2)
debugging Debugging messages (severity=7)
emergencies System is unusable (severity=0)
errors Error conditions (severity=3)
informational Informational messages (severity=6)
notifications Normal but significant conditions (severity=5)
warnings Warning conditions (severity=4)logging device-id hostname ajoute le nom de l'hôte dans la sortie.logging host OUTSIDE NAS_LOCAL 6/1470 mon NAS est sur l'interface OUTSIDE il s'appelle NAS_LOCAL (vous pouvez mettre son IP) et il log par TCP (protocole IP numéro 6) sur le port 1470 (c'est le standard).
II Sur le NAS Synology
Installer le paquet Centre de Journaux.
Cliquez sur Réception des journaux dans la colonne de gauche (vous voulez que le NAS les reçoive, pas qu'il envoie les siens ailleurs). Puis [Créer] en haut.
Le format est BSD, le protocole TCP sur le port 1470. Je ne chiffre pas la connexion (c'est mal). BSD est appelé « legacy format » par Cisco ;-)
Attention au firewall sur le Synology.
À partir de là, vous devriez voir quelque chose comme ça sur le centre de journaux :
III. Comment tester.
asa5540(config)# sh loggin
Syslog logging: enabled
Facility: 20
Timestamp logging: enabled
Hide Username logging: enabled
Standby logging: disabled
Debug-trace logging: disabled
Console logging: disabled
Monitor logging: level informational, 2580 messages logged
Buffer logging: level informational, 2580 messages logged
Trap logging: level informational, facility 20, 3712 messages logged
Logging to OUTSIDE NAS_LOCAL tcp/1470 Connected
Permit-hostdown logging: enabled
History logging: disabled
Device ID: hostname "asa5540"
Mail logging: disabled
ASDM logging: disabled
Voir si déjà vous avez des messages dans le buffer.
Vous pouvez demander à les avoir sur la console ou votre connexion SSH :
asa5540(config)# terminal monitor
Nov 25 2025 01:36:30 asa5540 : %ASA-5-111008: User 'enable_15' executed the 'terminal monitor' command.
Nov 25 2025 01:36:30 asa5540 : %ASA-5-111010: User 'enable_15', running 'CLI' from IP 192.168.0.2, executed 'terminal monitor'
terminal monitor indique au Cisco qu'il peut afficher les messages sur le terminal que vous utilisez. Vous devriez voir ces deux lignes %ASA-5-111008 et %ASA-5-111010 (cf. https://www.cisco.com/c/en/us/td/docs/security/asa/syslog/asa-syslog.html). Le 111008 indique qu'une commande (sauf la commande show) a été exécuté par l'utilisateur.
asa5540(config)# loggin buffered debugging log la moindre chose dans le buffer, regardez avec show logging si effectivement des choses apparaissent, vous pouvez faire asa5540(config)# loggin trap debugging pour que la même chose soit envoyé au NAS.
N'oubliez pas de redescendre de niveau de debugging à info après !
Attention si vous faite un terminal monitor alors que vous êtes en logging monitor debug : vous risquez de perdre la main sur le terminal s'il y a beaucoup de messages. Typique sur la console à 9600 bauds !
III TCP ou UDP ?
UDP (protocol IP) est light : le Cisco envoie ses paquets à l'adresse que vous voulez, et il se moque bien de savoir s'il y a quelque chose au bout qui les reçoit ou pas. Ça veut dire que personne ne se soucie de paquets perdus. C'est ça IP.
TCP est beaucoup plus couteux car il y a une « connexion » entre le Cisco et le NAS. Si la connexion « tombe », le Cisco réessaie. Si la coupure est donc brève (le temps de brancher débrancher un câble par exemple) il est probable qu'aucun paquet de log ne soit perdu, contrairement à UDP (IP).
Autres paramètres
Il y a un million de paramètres possibles. Par exemple de cacher certains messages, ou de changer la severité, etc. À vous de voir. La doc est en ligne.
