Configure log levels for different rules / devices

[hknutzen]

Ich habe noch einmal über das Problem nachgedacht, ob / wie man das Logging in Netspoc ausdrücken kann.

• Es genügt nicht, eine Regel mit dem Log-Wunsch zu kennzeichnen,
  weil Netspoc dann nicht weiß, für welches Gerät die Log-ACLs generiert werden sollen.
  Man möchte man ja das Logging nicht auf jedem Gerät haben; insbesondere sollen ja nicht mehrere Geräte loggen, wenn die Regel mehrere Geräte betrifft und wir wollen das Logging auch nicht auf Geräten im Landesnetz aktivieren.
• Es genügt nicht, das Logging generell auf einem Gerät zu aktivieren, denn wir wollen das Logging ja nicht für alle Regel auf dem Gerät.

Ein zweistufiger Ansatz kann hier Erfolg versprechen:

1. Markiere Regeln von Diensten mit log = <name>
2. Markiere Geräte mit log:<name> = <severity>

Beide Markierungen allein bewirken noch nichts.
Aber wenn eine markierte Regel auf ein ebenso markiertes Gerät verteilt wird, dann wird das Logging aktiv.

Beispiel:

service:Notfallzugriff = {
 user = …;
 permit src = user; dst = …; prt = tcp 3389; log = Notfall;
}
router:r = {
 managed;
 log:Notfall = warning;
 …
}

Neben den Severities debug bis emergency kann ich mir zusätzlich noch das Schlüsselwort none vorstellen.
Damit kann das Logging auf ASAs für markierte Regeln ganz ausgeschaltet werden.

• An einem Gerät können verschiedene Log-Definitionen stehen, damit unterschiedliche Regeln mit unterschiedlicher Severity geloggt werden.
• Die gleiche Log-Definition kann auch an verschiedenen Geräten stehen, damit die gleiche Regel an verschiedenen Geräten geloggt wird.
• An einer Regel können mehrere durch Komma getrennte Log-Markierungen gesetzt werden, damit diese Regel an verschiedenen Geräten geloggt wird.