1. Tổng quan.
- ELK là một tập hợp các công nghệ mã nguồn mở được sử dụng để thu thập, lưu trữ, xử lý và hiển thị dữ liệu log và sự kiện. ELK là viết tắt của ba công nghệ chính được sử dụng trong cấu trúc này:
- Elasticsearch: Một hệ thống tìm kiếm và phân tích dữ liệu mã nguồn mở, cho phép lưu trữ và truy vấn dữ liệu nhanh chóng.
- Logstash: Một công cụ thu thập, xử lý và chuyển đổi dữ liệu log từ nhiều nguồn khác nhau vào Elasticsearch để lưu trữ và truy vấn.
- Kibana: Một giao diện người dùng đồ họa (GUI) dựa trên web để trực quan hóa và thực hiện phân tích dữ liệu từ Elasticsearch.
Khi kết hợp ELK, bạn có thể hiển thị dữ liệu log từ nhiều nguồn và hệ thống khác nhau, thực hiện phân tích log, giám sát hoạt động hệ thống, tìm kiếm thông tin nhanh chóng và thực hiện nhiều công việc khác liên quan đến dữ liệu log.
- Cisco là một tập đoàn công nghệ có trụ sở tại Mỹ, nổi tiếng với việc sản xuất và cung cấp các thiết bị mạng, sản phẩm và dịch vụ liên quan đến viễn thông, công nghệ thông tin và mạng máy tính. Cisco được coi là một trong những công ty dẫn đầu trong ngành công nghệ thông tin và mạng, và nó cung cấp các giải pháp mạng và hạ tầng cho các doanh nghiệp và tổ chức trên toàn thế giới.
Việc xử lý log của các thiết bị Cisco là một thủ tục quan trọng trong việc giám sát, phân tích và bảo mật mạng. Dưới đây là một số lý do tại sao chúng ta nên xử lý log của các thiết bị Cisco:
- Giám sát hệ thống: Bằng cách xử lý và lưu trữ log của các thiết bị Cisco, chúng ta có thể giám sát hoạt động mạng và hệ thống một cách liên tục. Nhờ đó, chúng ta có thể phát hiện sự cố và vấn đề trong hạ tầng mạng kịp thời và đưa ra các biện pháp khắc phục.
- Phân tích bảo mật: Log của các thiết bị Cisco cung cấp thông tin quan trọng về các sự kiện bảo mật, như thất bại đăng nhập, tấn công mạng, hoạt động không hợp lệ và nhiều hoạt động đáng ngờ khác. Xử lý log giúp chúng ta phát hiện các mô hình hoặc hành vi không bình thường, từ đó giúp tăng cường bảo mật mạng.
- Quản lý và đối phó sự cố: Log cung cấp các thông tin về lịch sử hoạt động của mạng và thiết bị. Khi xảy ra sự cố, việc xem xét log giúp xác định nguyên nhân gốc rễ và giải quyết vấn đề một cách hiệu quả.
- Tuân thủ quy định và chuẩn mực: Một số ngành và tổ chức yêu cầu lưu trữ và giám sát log để tuân thủ các quy định pháp lý và chuẩn mực bảo mật.
2. Thực hành.
Hôm nay mình sẽ hướng dẫn các bạn thực hiện thu thập phân tích logs của các thiết bị Cisco sử dụng container với các bước như sau:
Bước 1 – Tạo thư mục lưu các file config cần thiết.
mkdir -p /home/elk-stack/Bước 2 – Chỉ định địa chỉ IP mà Logstash sẽ lắng nghe (listen) để nhận các yêu cầu HTTP.
Khi bạn thiết lập http.host thành "0.0.0.0", điều này cho phép Logstash lắng nghe các yêu cầu HTTP từ tất cả các địa chỉ IP trên máy chủ nơi Logstash đang chạy. Điều này là do "0.0.0.0" được sử dụng để chỉ định địa chỉ IP mặc định cho tất cả các giao diện mạng trên máy tính.
Nếu bạn không chỉ định địa chỉ IP hoặc thiết lập http.host thành "127.0.0.1", Logstash sẽ chỉ lắng nghe các yêu cầu HTTP từ localhost (127.0.0.1) và không thể nhận yêu cầu từ các máy tính khác trong mạng.
Điều này rất hữu ích khi bạn muốn gửi dữ liệu đến Logstash thông qua giao thức HTTP từ các nguồn dữ liệu ngoài mạng hoặc các máy tính khác trong cùng mạng. Ví dụ, nếu bạn muốn gửi dữ liệu log từ ứng dụng trên các máy tính khác đến Logstash để tiền xử lý và lưu trữ.
Lưu ý rằng khi bạn mở cổng HTTP để lắng nghe các yêu cầu từ ngoài mạng, hãy đảm bảo rằng bạn đã cấu hình các biện pháp bảo mật và xác thực thích hợp để đảm bảo chỉ những yêu cầu hợp lệ mới có thể truy cập vào Logstash và không làm rò rỉ thông tin quan trọng.
cat > /home/elk-stack/logstash_config.yml << 'OEF'
http.host: "0.0.0.0"
OEFBước 3 – Tạo ra các mẫu "CUSTOM_DATE_TIME" và "REMOVE_DATE_TIME" có tác dụng trong quá trình xử lý dữ liệu log của Logstash. Cụ thể, chúng được sử dụng để trích xuất thông tin ngày giờ từ các dòng log hoặc loại bỏ thông tin ngày giờ không cần thiết từ các dòng log.
cat > /home/elk-stack/cisco-patterns.yml << 'OEF'
CUSTOM_DATE_TIME %{MONTH:month} +%{MONTHDAY:day} %{TIME:time}(?: \S+)?(?:: \(%{DATA:timezone_value}\))?
REMOVE_DATE_TIME %{MONTH} +%{MONTHDAY} %{TIME}(?: \S+)?(?:: \(%{DATA}\))?
OEF- Mẫu “CUSTOM_DATE_TIME” trích xuất các thành phần sau từ các dòng log:
%{MONTH:month}: Trích xuất tên tháng và gán giá trị vào trườngmonth.+%{MONTHDAY:day}: Trích xuất ngày trong tháng và gán giá trị vào trườngday.%{TIME:time}: Trích xuất thông tin thời gian và gán giá trị vào trườngtime.(?: \S+)?: Ký tự?nghĩa là một hoặc không có kết quả phù hợp với biểu thức trong dấu ngoặc đơn. Trong trường hợp này, nó giúp bỏ qua một số ký tự sau thông tin thời gian nếu có.(?:: \(%{DATA:timezone_value}\))?: Trích xuất thông tin múi giờ và gán giá trị vào trườngtimezone_value. Nó sử dụngDATAđể lấy bất kỳ thông tin văn bản nào từ dấu ngoặc đơn (nếu có).
- Mẫu “REMOVE_DATE_TIME” có chức năng loại bỏ thông tin ngày giờ từ các dòng log. Nó hoạt động tương tự như “CUSTOM_DATE_TIME”, nhưng không chứa bất kỳ trường nào để lưu trữ thông tin thời gian hoặc múi giờ.
Cả hai mẫu đều được sử dụng trong cấu hình Logstash, cụ thể là trong phần filter, để trích xuất hoặc loại bỏ thông tin ngày giờ từ các dòng log trước khi đẩy chúng vào Elasticsearch hoặc bất kỳ nơi nào khác để lưu trữ và truy vấn. Việc này giúp làm sạch và chuẩn hóa dữ liệu log, từ đó hỗ trợ việc phân tích và giám sát hiệu quả hơn.
Bước 3 – Cấu hình cho phép Filebeat thu thập log từ giao thức syslog qua UDP trên cổng 514 từ bất kỳ địa chỉ IP nào và gửi dữ liệu thu thập được đến Logstash qua TCP trên cổng 5044. Logstash sẽ tiếp nhận dữ liệu log này, xử lý và đẩy nó tới Elasticsearch hoặc các đích lưu trữ khác được cấu hình.
cat > /home/elk-stack/filebeat.yml << 'OEF'
filebeat.inputs:
- type: syslog
protocol.udp:
host: "0.0.0.0:514"
output.logstash:
hosts: ["logstash:5044"]
OEFfilebeat.inputs:- Trong đoạn cấu hình này, bạn đang cấu hình một input cho Filebeat.
- Input này là loại
syslog, có nghĩa là Filebeat sẽ thu thập log từ giao thức syslog. - Giao thức syslog được cấu hình để sử dụng UDP và lắng nghe trên địa chỉ
0.0.0.0và cổng514. Điều này cho phép Filebeat nhận log từ bất kỳ địa chỉ IP nào và từ bất kỳ máy tính nào gửi dữ liệu syslog đến cổng 514.
output.logstash:- Trong đoạn cấu hình này, bạn đang cấu hình output (đầu ra) cho Filebeat, tức là cách Filebeat gửi dữ liệu log đã thu thập tới Logstash để xử lý.
- Filebeat sẽ gửi dữ liệu tới Logstash thông qua kết nối TCP đến máy chủ Logstash có địa chỉ IP là
logstashvà cổng5044. - Lưu ý rằng tên miền
logstashđược sử dụng ở đây (ví dụ:logstash:5044) thường phải được định nghĩa trong file/etc/hostshoặc trong DNS để đảm bảo Filebeat có thể kết nối đến Logstash thành công.
Lưu ý bước triển khai filebeat trong ví dụ này không cần sử dụng đến nó nhưng mình sẽ triển khai sẵn để sau này sẽ có lúc cần sử dụng nó.Bước 4 – Xây dựng các chỉ thị và quy tắc cấu hình để Logstash biết cách xử lý dữ liệu log.
Đây là file cấu hình quan trọng cho Logstash, nơi bạn xác định nguồn dữ liệu log, các bộ lọc để xử lý dữ liệu, và đích cuối cùng cho dữ liệu log được xử lý. Cấu hình này đóng vai trò quan trọng trong việc tổ chức và quản lý quá trình xử lý dữ liệu log của Logstash.
Dùng một trình mở văn bản ví dụ như vi /home/elk-stack/logstash.conf để tạo một file mới với nội dung như dưới.
input {
udp {
port => 5044
type => "syslog-cisco"
}
tcp {
port => 5044
type => "syslog-cisco"
}
}
# configure terminal
# clock timezone UTC 0 0
# end
# clock set 20:18:00 14 Jun 2023
# configure terminal
# service timestamps log datetime msec show-timezone
# service timestamps debug datetime msec show-timezone
# logging source-interface vlan 100
# logging host 192.168.100.111 transport udp port 5044
# logging trap 6
filter {
grok {
match => { "message" => "%%{DATA:facility}-%{INT:severity_level}-%{DATA:facility_mnemonic}: %{GREEDYDATA:message}" }
overwrite => [ "message" ]
}
date {
match => ["@timestamp", "yyyy-MM-dd HH:mm:ss.SSS"]
target => "@timestamp"
timezone => "Asia/Ho_Chi_Minh"
}
ruby {
code => "event.set('hour', (event.get('hour').to_i + 21).to_s.rjust(2, '0'))"
}
mutate {
add_field => {
"day" => "%{+dd}"
"month" => "%{+MM}"
"year" => "%{+yyyy}"
"minute" => "%{+mm}"
"second" => "%{+ss}"
}
}
mutate {
gsub => [
"severity_level", "0", "0 - Emergency",
"severity_level", "1", "1 - Alert",
"severity_level", "2", "2 - Critical",
"severity_level", "3", "3 - Error",
"severity_level", "4", "4 - Warning",
"severity_level", "5", "5 - Notification",
"severity_level", "6", "6 - Informational"
]
}
translate {
field => "facility"
destination => "facility_full"
dictionary => [
"AAA", "Authentication, authorization, and accounting",
"AAA_CACHE", "Authentication, authorization, and accounting cache",
"AAAA", "TACACS+ authentication, authorization, and accounting security",
"AAL5", "ATM Adaptation Layer 5",
"AC", "Attachment circuit",
"ACCESS_IE", "Access information element",
"ACE", "Access control encryption",
"ACL_ASIC", "Access control list ASIC",
"ACLMERGE", "Access control list merge",
"ACLMGR", "Access control list manager",
"ADAPTER", "CMCC adapter task",
"ADJ", "Adjacency subsystem",
"AESOP_AIM", "Service engine advanced interface module",
"AFLSEC", "Accelerated Flow Logging Security",
"AHDLC_TRINIAN", "PPP in HDLC-like framing device driver",
"AICMGMT", "Alarm interface controller management",
"AIM", "Advanced Interface Module (AIM)",
"AIP", "ATM Interface Processor",
"ALARM", "Telco chassis alarm related",
"ALC", "ATM line card (ALC)",
"ALIGN", "Memory optimization in Reduced Instruction Set Computer (RISC) processor",
"ALPS", "Airline Protocol Support",
"AMD79C971_FE", "Am79C971 Fast Ethernet device driver",
"AMDP2_FE", "AMDP2 Ethernet and Fast Ethernet",
"AP", "Authentication Proxy (AP)",
"APPFW", "APPFW for HTTP subsystem",
"APS", "Automatic Protection Switching",
"ARAP", "Apple Remote Access Protocol (ARAP)",
"ARCHIVE_CONFIG", "Archive configuration-related",
"ARCHIVE_DIFF", "Archive Diff and Rollback-related",
"AS5400", "Cisco AS5400 platform",
"AS5400_ENVM", "Cisco AS5400 environmental monitor",
"ASPP", "Asynchronous Security Protocol (ASPP)",
"AT", "AppleTalk (AT)",
"ATM", "Asynchronous Transfer Mode",
"ATM_AIM", "ATM advanced module",
"ATMCES", "ATM access concentrator PCI port adapter driver",
"ATMCORE", "ATM core",
"ATMLC", "Cisco 7300 ATM line card software",
"ATMOC3", "ATM OC-3 network module",
"ATMOC3POM", "ATM- OC3-POM module",
"ATMPA", "ATM port adapter",
"ATMSIG", "ATM signaling subsystem",
"ATMSPA", "ATM Shared Port Adapter",
"ATMSSCOP", "ATM Service Specific Connection Oriented Protocol (SSCOP)",
"ATOM_NP_CLIENT", "Any Transport over MPLS NP client",
"ATOM_SEG", "Any Transport Over MPLS (AToM) Segment Handler",
"ATOM_TRANS", "Layer 2 Transport over MPLS",
"AUDIT", "Audit feature",
"AUTORP", "PIMv2 AUTORP",
"AUTOSEC", "AutoSecure",
"AUTOSHUT", "Autoshut",
"AUTOSTATE", "Autostate feature",
"BACKPLANE_BUS_ASIC", "Backplane bus ASIC",
"BAMBAM", "One-port Fast Ethernet with coprocessor assist",
"BAP", "PPP Bandwidth Allocation Protocol (BAP)",
"BAT", "Power supply (BAT)",
"BCM", "Broadcom switch controller",
"BCM3220", "Cable modem MAC controller interface",
"BCM56XX", "BCM56XX control layer",
"BCM_GEWAN", "Messages related to the Cisco 3800 system controller",
"BERT", "Bit error rate tester (BERT)",
"BFD", "Bidirectional Forwarding Detection",
"BFDFSM", "BFD finite state machine",
"BGP", "Border Gateway Protocol",
"BGP_MPLS", "BGP MPLS common",
"BIT", "Dynamic bitlist",
"BOOMERANG", "Boomerang distributed reverse proxy server",
"BRI", "ISDN Basic Rate Interface",
"BRIMUX", "Cisco AS5200 BRIMUX board",
"BSC", "Binary Synchronous Communications protocol",
"BSQ", "Buffer status queue processing",
"BSR", "Bootstrap router",
"BSTUN", "Block serial tunneling (BSTUN)",
"BUNDLES", "Bundles",
"C1400", "Cisco 1400 platform",
"C_GIGE", "Dual-port Gigabit Ethernet back card subsystem",
"C10K", "Cisco 10000",
"C10K_APS", "NSP APS",
"C10KATM", "Cisco 10000 ATM",
"C10KCARDISSU", "Cisco 10000 Card ISSU",
"C10KCHE1T1", "Cisco 10000 T1 line card",
"C10KCHKPT", "Cisco 10000 Checkpoint facility",
"C10KET", "Cisco 10000 ET",
"C10KEVENTMGR", "Event Manager subsystem",
"C10KGE", "Gigabit Ethernet subsystem",
"C10KHHCT3", "Cisco 10000 HH Channelized T3",
"C10KINT", "Cisco 10000 interrupt infrastructure",
"C10KISSU", "Cisco 10000 In Service Software Upgrade",
"C10K_IEDGE", "Cisco 10000 iEdge",
"C10K_LFI_GENERAL", "Cisco 10000 Link Fragmentation and Interleaving",
"C10K_MULTILINK_FRAGSIZE_BELOW_MIN_WARNING", "Cisco 10000 PXF Multilink fragment size below minimum warning",
"C10K_QOS_GENERAL", "Cisco 10000 Quality of Service (QoS)",
"C10K_QUEUE_CFG_GENERAL", "Cisco 10000 PXF queuing configuration",
"C10K_TOASTER", "Cisco 10000 toaster",
"C1400_PCI", "Protocol control information (PCI) bus for Cisco 1400 platform",
"C1600", "Cisco 1600 platform",
"C1700", "Cisco 1700 platform",
"C1700_EM", "Cisco 1700 VPN module hardware accelerator for IP security",
"C1800", "Cisco 1800 platform",
"C1800_HW_CRYPTO", "Cisco 1800, Cisco 1810 Motorola SEC 2.0",
"C2400_DSX1", "Cisco 2400 DSX1 subsystem",
"C2600", "Cisco 2600 platform",
"C2600_MAINBOARD_ASYNC_PQUICC", "MPC860 quad integrated communications controller for the Cisco 2600 platform",
"C2950", "Catalyst 2950 series switch",
"C29ATM", "Catalyst 2900XL ATM module",
"C2KATM", "Catalyst 2820 ATM module",
"C3200_FE", "Cisco 3200 FEC",
"C3600", "Cisco 3600 platform",
"C3800", "Cisco 3800 platform",
"C3800_ENVM", "Environmental",
"C3825", "Cisco 3825 platform",
"C4GWY_DSPRM", "DSP Resource Manager",
"C4K", "Catalyst 4000 platform",
"C542", "Voice driver for modular access routers",
"C5421", "Voice over IP",
"C54x", "VoIP DSP driver",
"C54X", "VoIP driver",
"C5510", "Voice Over IP (VoIP) driver",
"C5RSP", "Cisco Catalyst 5000 platform",
"C6KENV", "Cisco Catalyst 6500 environmental system",
"C6K_MWAM_CENTRALIZED_CONFIG", "Multiprocessor WAN Application Module (MWAM) centralized configuration",
"C6KPWR", "Cisco Catalyst 6500 power control system",
"C6MSFC", "C6MSFC (Draco)",
"C6SUP", "C6SUP-specific",
"C7200", "Cisco 7200 platform - deleted for 12.2",
"C7200_TDM", "Cisco 7200 midplane TDM bus",
"C7600_RSP", "Cisco 7600 Route Switch Processor",
"C7600_SIP200", "SPA Interface Processor 200",
"C7600_SIP200_MP", "Cisco 7600, Catalyst 6500 SIP-200 Multiprocessing",
"C7600_SIP200_SPIRX", "Cisco 7600, Catalyst 6500 SIP-200 SPI4.2 bus ingress interface",
"C7600_SIP200_SPITX", "Cisco 7600, Catalyst 6500 SIP-200 SPI4.2 bus egress interface",
"C7600_SSC600", "Services SPA Carrier Card (SSC600)",
"C830_HW_CRYPTO", "C830 Hifn",
"C870_FE", "Cisco 870 Fast Ethernet",
"C870_HW_CRYPTO", "Cisco 850, Cisco 870 Motorola SEC 1.0",
"C950", "Cisco 950",
"CAIM", "Compression Advanced Interface Module (CAIM)",
"CALL_CONTROL", "Call control",
"CALL_HOME", "Call Home",
"CALL_MGMT", "Call management subsystem",
"CALLPROG", "Call progress notification subsystem",
"CALLRECORD", "Modem Call Record",
"CALLTREAT", "Call treatment",
"CALLTREAT_NOSIGNAL", "Call Treatment (TREAT)",
"CALLTRKR", "Call Tracker subsystem",
"CAMP", "Cooperative Asymmetric Multiprocessing",
"CAPI", "Card API",
"CAPI_EC", "Card or EtherChannel limitation",
"CARDMGR", "SIP-400 Card Manager (data plane)",
"CARRIER", "DFC carrier",
"CASA", "Cisco Appliance and Services Architecture (CASA)",
"CBUS", "CiscoBus controller",
"CBUS_ATTN", "CMCC CIP for Cisco bus controller statistics routine",
"CBUS_WRITE", "CMCC CIP for Cisco bus controller write support",
"CCA", "CMCC CIP for channel card adapter",
"CCH323", "Call Control for H.323",
"CCPROXY", "H.323 proxy",
"CDM", "Cable Data Modem subsystem",
"CDMA_PDSN", "CDMA PDSN",
"CDNLD_CLIENT", "Client NRP2 configuration download",
"CDNLD_SERVER", "Server NSP configuration download",
"CDP", "Cisco Discovery Protocol (CDP)",
"CDSX_MODULE", "Network module",
"CE3", "CE3 port adapter (CE3)",
"CEIPNM", "Circuit Emulation over IP Network Module",
"CERF", "Cache Error Recovery Function (CERF)",
"CES", "Circuit Emulation Service (CES)",
"CES_CLIENT", "Client circuit emulation service (CESt",
"CES_CONN", "TDM connection",
"CFG", "Invalid Cisco 1840 configuration",
"CFGMGR", "Configuration Manager",
"CFIB", "Constellation FIB",
"CFM", "Connectivity Fault Management",
"CHANNEL_BANK", "Channel Bank",
"CHARLOTTE", "Dual OC-3 PoS port adapter",
"CHKPT", "Checkpoint facility",
"CHOC12", "CHOC12 port adapter",
"CHOPIN", "Versatile Interface Processor (VIP) Multi-channel Port Adapter",
"CHOPIN_MAINBOARD_ASYNC_PQII", "Chopin Main Board Asynchronous driver",
"CHSTM1", "CHSTM1",
"CI", "Cisco 7500 platform chassis interface",
"CIOS", "CMCC channel adapter Cisco IOS wrapper",
"CIP and CIP2", "Channel Interface Processor (CIP) and enhanced CIP",
"CIPDUMP", "CIP core dump",
"CIRRUS", "CD2430 asynchronous controller",
"CIRRUS_PM", "Slow-speed asynchronous/synchronous port module",
"CLAW", "CMCC CIP for Common Link Access for Workstations (CLAW) facility_full",
"CLEAR", "Clear facility",
"CLIENT_CLOCK_SYNC", "Clock synchronization server",
"CLNS", "OSI Connectionless Network Service",
"CLOCK", "Clock and calendar",
"CLOCKSW", "Cisco 6400 network clocking",
"CLS", "Cisco link services (CNS)",
"CLSDR", "Cisco link services (CNS) driver",
"CM622_CM155", "ATM OC12 and QOC3 line card driver",
"CMAPP", "Call Manager application",
"CMBPKM", "Multimedia Cable Network System Partners, Ltd. (MNCNS), baseline privacy key management",
"CMCC", "Cisco Mainframe Channel Connection (CMCC)",
"CM_DSPRM", "Digital Signal Processor Resource Manager (DSPRM)",
"CM_MONITOR", "UBR900 Cable Access Router Personal Monitor",
"CMP", "Cluster Membership Protocol",
"CMPCTG", "CMCC Logical Link Control Transmission Group",
"CNS", "Cisco Networking Services (CNS)",
"CNS_AGENT_CFGCHG", "Cisco Network Service (CNS) Configuration Change Agent",
"CNSAD_IPSEC_AGENT", "Cisco Network Service (CNS)/AD IPsec Agent",
"CNSES", "Cisco Network Services Event Service client",
"COBALT", "COBALT",
"COMMON_FIB", "CEF address family independent (FIB)",
"COMP", "Point-to-point compression",
"CONFIG", "CMCC Channel Interface Processor (CIP) messages for the configuration processing facility",
"CONST_BOOT", "Constellation boot",
"CONST_DIAG", "On-line diagnostics",
"CONST_V6", "IP version 6",
"CONTROLLER", "Controller",
"COPTMONMIB", "Cisco Optical Monitoring MIB",
"COT", "Continuity test (COT)",
"COUGAR_EHSA", "Pulse amplitude modulation (PAM) port driver",
"CP", "Control plane protection notification",
"CPAD", "Compression service adapter (CSA)",
"CPE_MMI", "Customer Premises Equipment Modem Management Interface",
"CPM", "Combo Port Module (CPM) device driver",
"CPOS", "Packet-over-SONET",
"CPU_INTF_FPGA", "CPU Interface FPGA",
"CPU_MONITOR", "CPU monitor",
"CRYPTO", "Encryption",
"CRYPTO_HA", "Crypto High Availability",
"CRYPTO_HA_IKE", "Crypto High Availability",
"CRYPTO_HA_IPSEC", "Crypto High Availability",
"CSG", "Content Services Gateway",
"CSM", "Call switching module",
"CSM_TGRM", "CSM TGRM interaction",
"CSM_TRUNK", "Call switching trunk manager",
"CSM_VOICE", "Call switching mode (CSM) voice subsystem",
"CT3", "Channelized T3 (CT3) port adapter",
"CTA", "CMCC CIP for the channel transport architecture device task/mapper",
"CTLPROVIDERSERV", "CTL provider service",
"CTRC", "Cisco Transaction Connection",
"CWAN_ALARM", "Constellation WAN alarm",
"CWAN_ATM", "Constellation WAN ATM",
"CWAN_HA", "WAN module High Availability",
"CWAN_QINQ", "Constellation CWAN-QINQ linecard",
"CWAN_RP", "Constellation WAN ATM Route Processor driver",
"CWAN_SP", "Constellation WAN ATM Switch Processor driver",
"CWAN_SPA", "Shared Port Adapter on OSR",
"CWANLC", "Constellation WAN line card",
"CWANLC_ATM", "Constellation WAN ATM Route Processor driver",
"CWAN_POSEIDON", "Optical Services Module (OSM) GE-WAN Route Processor (RP) driver",
"CWPA", "Route Processor for Constellation Supervisor router module",
"CWPABRIDGE", "CWPA bridging",
"CWRMP", "Wireless radio point-to-multipoint driver",
"CWRPSPA", "Shared Port Adapter on OSR RP",
"CWRSU", "Wireless radio point-to-multipoint subscriber unit (SU)",
"CWRTEST", "Wireless radio point-to-multipoint test driver",
"CWSLC", "Constellation WAN SiByte module",
"CWTLC", "Constellation Supervisor router module line card",
"CWTLC_ATM", "ATM line card for Constellation Supervisor router module",
"CWTLC_ATOM", "Constellation WAN Toaster linecard - AToM",
"CWTLC_CHOC", "Cyclops Channelized OC48/OC12-related",
"CWTLC_CHOC_DSX", "Optical Services Module (OSM) CHOC DSX LC common",
"CWTLC_CHOCX", "Optical Services Module (OSM) Channelized OC12/OC3 Module",
"CWTLC_GEWAN", "Gigabit Ethernet WAN Module",
"CWTLC_QOS", "Optical Services Module (OSM) Supervisor line card QoS",
"CWTLC_RP", "Catalyst 6500 Series Switch and Cisco 7600 Series Router WAN Toaster-based Module Route Processor",
"DAS_ENV", "RSC environmental monitor subsystem",
"DBCONN", "Database Connection",
"DBUS", "Data bus",
"DCU", "ATM access concentrator PCI port adapter",
"DEBUGGER", "Debug mode",
"DEC21140", "DEC21140 Fast Ethernet controller",
"DFC", "Dial feature card",
"DFC_CARRIER", "Dial feature card carrier",
"DFP", "Dynamic Feedback Protocol",
"DHCP", "Dynamic Host Configuration Protocol",
"DHCP_SNOOPING", "DHCP snooping",
"DHCPD", "Dynamic Host Configuration Protocol (DHCP) server",
"DHCPV6C", "DHCPv6 client",
"DHCPV6S", "DHCPv6 server",
"DIAG", "CMCC CIP for diagnostic testing",
"DIALER", "Dial-on-demand routing",
"DIALPEER_DB", "Dial peer configuration",
"DIALSHELF", "Dial shelf",
"DIRECTOR", "Director server",
"DISKMIRROR", "NSP disk mirror",
"DLC", "Data-link control",
"DLSWC", "Data-link switching (DLSw)",
"DLSWMasterSlave", "Data-link switching (DLSw) core",
"DLSWP", "Data-link switching (DLSw) peer module",
"DM", "Diagnostic Monitor or Dispatch Manager",
"DMA", "Direct memory access",
"DMTDSL", "Digital/discrete multitone digital subscriber line (DMTDSL)",
"DNET", "DECnet",
"DNLD", "Auto-config/download",
"DNSSERVER", "Domain Name System (DNS) server",
"DOSFS", "DOS file system",
"DOS_TRACK", "IP source tracker",
"DOT11", "802.11 subsystem",
"DOT1Q", "802.1q",
"DOT1X", "802.1X authorization",
"DOT1X_MOD", "Messages encountered in platform dependent code for 802.1x",
"DP83815", "DP83815 10/100 Mbps Integrated PCI Ethernet Media Access Controller",
"DPM", "AS5200 T1 BRIMUX",
"DRIP", "Duplicate Ring Protocol",
"DRP", "Director Response Protocol",
"DRVGRP", "Interface driver",
"DS3E3SUNI", "DS3E3SUNI driver",
"DS_MODEM", "FB modem card",
"DS_TDM", "Dial shelf time-division multiplexing",
"DS1337", "DS1337 RTC",
"DSA", "Delayed stop accounting",
"DSC", "Dial shelf controller (DSC)",
"DSC_ENV", "Cisco AS5800 environment monitor",
"DSC_REDUNDANCY", "Cisco AS5800 dial shelf controller (DSC) redundancy",
"DSCC4", "DSCC4 driver",
"DSCCLOCK", "Dial shelf controller (DSC) clock",
"DSCEXTCLK", "Dial shelf controller (DSC) clock",
"DSCREDCLK", "Dial shelf controller (DSC) redundancy clock",
"DSI", "Cisco AS5800 dial shelf interconnect board",
"DSIP", "Distributed system interconnect protocol",
"DSIP_IOSDIAG", "DSIP diagnostic test",
"DSIPPF", "Nitro Interconnect Protocol",
"DSLSAR", "DSL segmentation and reassembly",
"DSM", "DSP Stream Manager",
"DSMP", "DSP Stream Manager",
"DSP_CONN", "TDM connection",
"DSPDD", "Digital Signal Processor Device Driver (DSPDD)",
"DSPDUMP", "Digital Signal Processor crash dump facility",
"DSPFARM", "DSP resource management",
"DSPRM", "Digital Signal Processor Device Driver (DSPDD)",
"DSPU", "Downstream physical unit",
"DSX0", "CT1 RBS time slot status",
"DSX1", "Channelized E1 (Europe) and T1(US) telephony standard",
"DS_TDM", "Dial shelf time-division multiplexing (TDM)",
"DSXPNM", "TE3 network module",
"DTP", "Dynamic Trunking Protocol filtering",
"DUAL", "Enhanced Interior Gateway Routing Protocol",
"DVMRP", "Distance Vector Multicast Routing Protocol",
"E1T1_MODULE", "E1T1 module",
"EAP", "Extensible Authentication Protocol",
"EARL", "Enhanced Address Recognition Logic",
"EARL_ACL_FPGA", "Enhanced Address Recognition Logic ACL FPGA",
"EARL_DRV_API", "EARL driver API",
"EARL_L2_ASIC", "Enhanced Address Recognition Logic Layer 2 ASIC",
"EARL_L3_ASIC", "Enhanced Address Recognition Logic Layer 3 ASIC",
"EARL_NETFLOW", "Enhanced Address Recognition Logic NetFlow",
"EC", "EtherChannel, Link Aggregation Control Protocol (LACP), and Port Aggregation Protocol (PAGP)",
"ECC", "Single bit errors in ECC",
"ECPA and ECPA4", "Escon Channel Port Adapter and enhanced Escon Channel Port Adapter",
"EGP", "Exterior Gateway Protocol",
"EHSA", "Cisco 6400 Enhanced High System Availability (EHSA)",
"EM", "Event Manager",
"EM_FPGA", "Cisco 1840 FPGA encryption, decryption and hash message authentication codes (HMAC) for IP Security (IPSec)",
"ENSP", "Enhanced Network Services Provider (ENSP)",
"ENT_API", "Entity MIB API",
"ENT_ALARM", "Entity alarm",
"ENTITY_ALARM", "Entity alarm",
"ENVM", "Environmental monitor",
"ENV_MON", "Cisco 12000 environmental monitor",
"ENVM", "Environmental monitor",
"EOBC", "Ethernet out-of-band channel",
"EOS", "Eos ASIC",
"EOU", "Extensible Authentication Protocol (EAP) over User Datagram Protocol (UDP)",
"EPAD", "Encryption port adapter driver (EPAD)",
"EPLD", "EPLD",
"EPLD_STATUS_OPEN", "EPLD Programming Status File Data Processing",
"EPAMCM", "Ethernet Port Adapter Module Configuration Manager",
"EPIF_PORT", "MMC Networks Ethernet Port L3 Processor Port",
"ESCON", "Enterprise Systems Connection",
"ESF_CRASHINFO", "Extended SuperFrame crashinfo",
"ESF_DRIVER", "SIP-400 ESF driver",
"ESF_IPC", "IPX2800 IPC",
"ESWILP_CFG", "Ethernet switch module configuration",
"ESWILP_FLTMG", "ESWILP fault management",
"ESWITCH", "Ethernet switch port adapter",
"ESWMOD", "Ethernet switch module",
"ESWMRVL_FLTMG", "Ethernet switch fault management",
"ESW_STORM_CONTROL", "Storm control",
"ESW_WIC_FLTMG", "Ethernet Switch WIC fault management",
"ET2_MODULE", "Ernest-T2 network module",
"ETHERNET", "Ethernet for the C1000 series",
"EVENT", "Event MIB",
"EVENT_TRACE", "Event trace subsystem",
"EXFREE", "External memory manager",
"EXPRESSION", "Expression MIB",
"FABRIC", "Fabric Interface ASIC (FIA)",
"FALLBACK", "Voice over IP (VoIP) fallback",
"FAN", "Fan",
"FARM_DSPRM", "Farm DSPRM",
"FASTBLK", "Fast Block",
"FB", "Cisco AS5800 feature board",
"FB_COREDUMP", "Feature board core dump",
"FBINFO", "Cisco AS5800 feature board crash information subsystem",
"FCIP", "FCIP driver",
"FCL", "Forward Control Layer (FCL)",
"FDDI", "Fiber Distributed Data Interface (FDDI)",
"FDM", "Firewall Service Module (FWSM) Device Manager",
"FDM_HA", "High availability FWSM Device Manager",
"FECPM", "Fast Ethernet (FE) Combination Port Module (CPM) device driver",
"FESMIC_FLTMG", "FESMIC fault management-related",
"FF", "FF module-specific",
"FIB", "Forwarding Information Base",
"FIB_HM", "FIB health monitor",
"FIB_HM_MVL", "Platform dependent, FIB Health Monitor",
"FILESYS", "File system",
"FIO_TDM", "Messages related to the Cisco 3700XM TDM device",
"FLASH", "Flash nonvolatile memory",
"FLEX_DNLD", "Voice Over IP (VoIP) driver",
"FLEXDSPRM", "Flex DSPRM operation",
"FM", "Feature Manager (FM)",
"FM", "Forwarding Manager (FM)",
"FMCORE", "Core Feature Manager",
"FM_EARL6", "EARL 6 Feature Manager",
"FM_EARL7", "EARL 7 Feature Manager",
"FPD_MGMT", "FPD Management Subsystem",
"FPGA", "LS1010 chip-specific",
"FR", "Frame Relay",
"FR_ADJ", "Frame Relay Adjacency",
"FR_ELMI", "Frame Relay enhanced Local Management Interface",
"FR_FRAG", "Frame Relay Fragmentation",
"FR_LMI", "Frame Relay Local Management Interface",
"FR_RP", "Frame Relay RP",
"FR_VCB", "Frame Relay VC bundle",
"FRATM", "Frame Relay ATM",
"FREEDM", "CT3 trunk card Freedm",
"FS_IPHC", "Fast IP Header Compression",
"FTC_TRUNK", "Cisco 3801 platform",
"FTPSERVER", "FTP server processes",
"FTSP", "Fax Telephony Service Provider subsystem",
"FTTM", "Full Ternary TCAM Manager",
"FW", "Inspection subsystem",
"FW_HA", "Firewall High Availability",
"FX1000", "FX1000 Gigabit Ethernet controller",
"GBIC_SECURITY", "GBIC security check",
"GBIC_SECURITY_CRYPT", "GBIC SECURITY serial EEPROM verification",
"GBIC_SECURITY_UNIQUE", "GBIC security uniqueness verification",
"GDOI", "Group Domain of Interpretation",
"GE", "Gigabit Ethernet subsystem",
"GENERAL", "Zenith route processor",
"GET_DATA", "CMCC CIP for allocating transfer elements",
"GK", "GK-H.323 Gatekeeper",
"GK_OSP", "H.323 Gatekeeper OSP",
"GLBP", "Gateway Load Balancing Protocol",
"GLCFR", "Internet router",
"GPRSFLTMG", "Global Packet Radio Service fault management",
"GPRSMIB", "Global Packet Radio Service MIB",
"GRIP", "Xerox Network Systems (XNS) Routing Protocol",
"GRP", "Gigabit Route Processor",
"GRP_C10K_CH_DS3", "Cisco 10000 CH-DS3 RP driver",
"GRP_OC12_CH_DS3", "Gigabit Route Processor (GRP) driver",
"GRPGE", "Gigabit Ethernet Route Processor (RP)",
"GRPPOS", "POS Route Processor",
"GSHDSL", "G.Symetric High DSL",
"GSI", "G.Symetric high bit rate DSL",
"GSR_ENV", "Internet router environment monitor",
"GSRIPC", "Internet router IPC service routines",
"GT64010", "GT64010 DMA controller driver",
"GT64011", "GT64011 DMA controller driver",
"GT64120", "GT64120 DMA controller driver",
"GT96K_FE", "Cisco 3700 series and Cisco 3631 systems controller",
"GT96K_FEWAN", "Cisco 3700 series and Cisco 3631 systems controller for WAN",
"GT96K_TDM", "Cisco 37xx, Cisco 2691, and Cisco 3631 TDM subsystem",
"GTP", "GPRS Tunnel Protocol",
"GUIDO", "GUIDO network module",
"HA", "High availability system",
"HA_CLIENT", "High availability client",
"HA_EM", "Embedded Event Manager",
"HA_IFINDEX", "High Availability system",
"HAL", "Halcyon",
"HARDWARE", "Hardware resources",
"HA_WD", "High Availability system",
"HAWKEYE", "Token Ring PCI port adapter",
"HD", "HD64570 serial controller",
"HDLC", "High-Level Data Link Control",
"HDLC32", "PAS HDLC32",
"HDV", "High Density Voice (HDV) driver",
"HDV2", "HDV2 network module",
"HDX", "Half-duplex (HDX) finite state machines (FSM)",
"HEALTH_MONITOR", "Health Monitor",
"HEARTBEAT", "Heartbeat",
"HHM", "Cisco AS5400 health monitor",
"HIFN79XX", "Hifn 79xx",
"HLFM", "Forwarding Manager",
"HMM_ASYNC", "Hex modem network module asynchronous driver",
"HOOD", "LAN controller 100VG-AnyLAN interface",
"HP100VG", "100VG-AnyLAN port adapter driver",
"HPI", "Host Port Interface",
"HSRP", "Hot Standby Router Protocol (HSRP)",
"HTSP", "Analog voice hardware adaptation layer software",
"HTTP", "Hypertext Transfer Protocol (HTTP)",
"HTTPC", "HTTP client",
"HUB", "Cisco Ethernet hub",
"HW", "Hardware",
"HW_API", "Hardware API",
"HW_VPN", "Encryption Advanced Interface Module (EAIM)",
"HWECAN", "HWECAN echo canceller",
"HWIC_1GE_SFP", "Gigabit Ethernet High-speed WAN Interface Card (HWIC)",
"HWIC_ADSL", "HWIC ADSL",
"HWIC_ADSL_BRI", "HWIC ADSL/BRI",
"HWIC_BRI", "HWIC BRI",
"HWIC_HOST", "High-speed WAN Interface Card (HWIC) Host Driver Library",
"HWIC_SERIAL", "High-speed WAN Interface Card (HWIC) Serial Device Driver",
"HWIF_QOS", "HWIF QoS",
"HYPERION", "Hyperion ASIC",
"I82541", "Intel 82541 Ethernet/Fast Ethernet/Gigabit Ethernet controller",
"I82543", "Intel 82543 Ethernet/Fast Ethernet/Gigabit Ethernet controller",
"I82544", "I82544 Fast Ethernet controller",
"I82559FE", "Intel 82559 Fast Ethernet controller",
"IAD2420_VOICEPORT", "IAD2420 Voice Port",
"IBM2692", "IBM Token Ring chipset",
"ICC", "Inter-Card Communication",
"IDBINDEX_SYNC", "Interface Descriptor Block (IDB) index synchronization",
"IDBMAN", "Interface description block manager",
"IDCONF", "Intrusion Detection Configuration",
"IDMGR", "ID manager",
"IDNLD", "NSP IDNLD",
"IDS", "IP datagram subsystem (IDS)",
"IDTATM25", "IDT ATM25 network module",
"IEDGE", "Intelligent Services Gateway (ISG)",
"IF", "Interface",
"IFINDEX", "SNMP IF_MIB persistence",
"IFMGR", "Interface Manager",
"IFS", "Cisco IOS file system",
"IGRP", "Interior Gateway Routing Protocol",
"ILACC", "ILACC driver",
"ILPM_FAULT", "Inline Power Management (ILPM)-related",
"ILPOWER", "Inline power",
"IMA", "Inverse multiplexing over ATM (IMA)",
"IMAGEMGR", "Image manager",
"IMAGE_SIMFS", "In-Memory System Image File System",
"IMAGE_VFS", "Image Virtual File System",
"INBAND", "Inband management",
"INDXOBJ", "Index object",
"INSTANCE_LOG", "Instance log",
"INT", "CIP for the interrupt handler interface",
"INTERFACE_API", "Binary API for the interface descriptor block",
"INTR_MGR", "Interrupt manager",
"IOCARD", "I/O card-specific",
"IOS_RESILIENCE", "Cisco IOS software image and configuration resilience",
"IP", "Internet Protocol",
"IP_DEVICE_TRACKING", "Switch IP Host Tracking",
"IP_DEVICE_TRACKING_HA", "Switch IP Host Tracking HA",
"IPA", "Intelligent port adapter",
"IPACCESS", "IP security",
"IPC", "Interprocess communication",
"IPC_DRVR", "CMCC interprocess communication driver",
"IPCGRP", "Route Processor (RP) interprocess communication (IPC)",
"IPCOIR", "IPC Online Insertion and Removal (OIR)",
"IPC_RPM", "Interprocess communication (IPC)",
"IPC_RSP_CBUS", "Interprocess communication ciscoBus (CBUS)",
"IPC_URM", "Interprocess communication universal router module",
"IPCLC", "Internet router line card interprocess communication",
"IPDCAPP", "Internet Protocol Device Control application",
"IPFAST", "IP fast switching",
"IPFLOW", "IP flow",
"IPM_C54X", "Voice over IP (VoIP) driver",
"IPM_DSPRM", "Digital Signal Processor (DSP) Resource Manager",
"IPM_NV_EEPROM", "Integrated port module NVRAM driver",
"IPMCAST", "Cisco 12000 series Internet router line card IP multicast",
"IPMCAST_LIB", "IP Multicast library",
"IPMOBILE", "IP Mobility",
"IPNAT", "IP Network Address Translation",
"IPP", "CMCC encryption feature",
"IPPHONE", "IP Phone register/unregister",
"IPRT", "IP routing",
"IPS", "Intrusion prevention system",
"IPSECV6", "Encryption feature",
"IP_SNMP", "Simple Network Management Protocol specific to IP",
"IPV6", "IP version 6",
"IPV6FIB", "IP version 6 forwarding-based on destination IP addresses",
"IPV6_FW", "IPv6 Inspection subsystem",
"IPV6_VFR", "IPv6 virtual fragment reassembly subsystem",
"IPV6_VRF", "VRF common",
"IP_VFR", "IP Virtual Fragment Reassembly (VFR) subsystem",
"IP_VRF", "IP VPN routing/forwarding instance common",
"IPX", "Novell Internetwork Packet Exchange Protocol (IPX)",
"IRECAGENTSERVER", "IREC agent server",
"IRONBUS", "Iron bus",
"ISA", "Integrated Services Adapter (ISA)",
"ISDN", "Integrated Services Digital Network (ISDN)",
"ISRHOG", "Interrupt Service Routine Hog",
"ISSU", "In Service Software Upgrade",
"ISSU_CS", "ISSU configuration synchronization",
"IUA", "ISDN User Adaptation Layer",
"IVR", "Interactive Voice Response (IVR)",
"IVR_MSB", "Media Stream module",
"IVR_NOSIGNALING", "Interactive Voice Response (IVR) system messages not related to call signaling",
"IXP1200_CP", "One port Fast Ethernet with coprocessor assist",
"IXP_MAP", "ESF Network Processor Client Mapper",
"JAGGER", "Constellation WAN line card",
"JETFIRE_SM", "NAM Sensor network module",
"KERBEROS", "Voice over IP (VoIP) for Cisco AS5800",
"KEYMAN", "Keystring encryption",
"KINEPAK", "Voice over IP (VoIP) for Cisco AS5800",
"L2", "Layer 2",
"L2_AGING", "Layer 2 aging",
"L2_APPL", "Layer 2 application",
"L2_ASIC", "Layer 2 forwarding engine",
"L2CAC", "Layer 2 CAC",
"L2HW_CM", "Layer 2 hardware connection manager",
"L2R", "L2RLY",
"L3_ASIC", "Layer 3 CEF engine",
"L3MM", "Layer 3 Mobility Manager",
"L3_MGR", "Layer 3 manager",
"L3TCAM", "Layer 3 TCAM manager",
"LANCE", "Local Area Network Controller Ethernet",
"LANE", "LAN Emulation",
"LANMGR", "IBM LAN Network Manager",
"LAPB", "X.25 Link Access Procedure, Balanced",
"LAPP_OFF", "Fax offramp calls",
"LAPP_ON_MSGS", "Fax onramp calls",
"LAT", "DEC local-area transport",
"LC", "Line card",
"LC_10G", "Hamptons 10G trunk card",
"LC_2P5G", "Hamptons 2.6G trunk card",
"LCB", "Line Control Block (LCB) event process",
"LCCEF", "ATM Cisco Express Forwarding (CEF) adjacency",
"LCCOREDUMP", "Line card core dump subsystems",
"LCFE", "Fast Ethernet line card (LC) driver",
"LCGE", "Gigabit Ethernet line card (LC) driver",
"LCINFO", "Line card crash information subsystem",
"LCLOG", "Internet router line card logger subsystem",
"LCMDC", "ONS 15540 Extended Services Platform",
"LCOC12_CH_DS3", "Internet router OC-12-channelized-to-D3 line card",
"LCPLIM", "Line card physical layer interface module",
"LCPOS", "Packet over SONET (POS) line card driver",
"LCR", "Line card registry",
"LCRED", "LC and Port redundancy",
"LDP", "Label Distribution Protocol (LDP)",
"LES_FDDI", "LAN Emulation Server/Fiber Distributed Data Interface",
"LEX", "LAN extension",
"LFD", "Label Forwarding Database",
"LFD", "MFI Label Switching Database (LFD)",
"LIBT2F", "Text to fax library",
"LIBTIFF", "Tagged Image File Format (TIFF) library",
"LINECARD", "Node Route Processor (NRP) line card",
"LINEPROTO", "Line Protocol",
"LINK", "Data link",
"LLC", "Logical Link Control (LLC), type 2",
"LLDP", "Link Layer Discovery Protocol",
"LLIST", "Linked list facility",
"LNM", "Link noise monitor for the E1T1 module",
"LNMC", "LAN network manager",
"LOADER", "CIP for relocating loader facility",
"LOGIN", "Login",
"LOVE", "Statistics from the CIP to the router",
"LPD", "Line printer daemon",
"LRE", "Long Reach Ethernet for the Catalyst 2950 switch",
"LSD", "MPLS Forwarding Infrastructure (MFI) Label Switching Database",
"LSPV", "MPLS Label-Switched Path Verification",
"LSS", "LS switching message definition",
"M32X", "M32X Basic Rate Interface trunk card",
"MAC_LIMIT", "MAC address table entries",
"MAC_MOVE", "Host activity",
"MAILBOX", "ChipCom mailbox support",
"MARS_NETCLK", "Network clock system",
"MARVEL_HM", "Platform-dependent health monitor rules",
"MASTER_LED", "Master LED",
"MBRI", "Multi-BRI port modules",
"MBUF", "CMCC memory buffer",
"MBUS", "CMCC maintenance bus (MBus)",
"MBUS_SYS", "Maintenance bus (MBus) system",
"MC3810_DSX1", "MC3810 DSX1 subsystem",
"MCAST", "Layer 2 multicast",
"MCT1E1", "CT1/CE1 shared port adapter",
"MCX", "Voice port adapter",
"MDEBUG", "Memory debug",
"MDR_SM", "Minimum Disruption Restart State Machine",
"MDS", "Multicast distributed switching",
"MDT", "PIM MDT",
"MDX", " ",
"MEM_ECC", "Memory write parity errors detected by ECC control",
"MEM_HM", "Memory health monitor",
"MEMD", "CMCC CIP related to the memory device facility",
"MEM_MGR", "Memory management",
"MEMPOOL", "Enhanced Memory pool MIB",
"MEMSCAN", "Memory scan",
"METOPT", "ONS 15540 Extended Services Platform",
"METS", "Memory-leak analysis",
"MFI", "MPLS Forwarding Infrastructure",
"MFIB", "Multicast Forwarding Information Base",
"MFIB_CONST_LC", "MFIB-Constellation platform",
"MFIB_CONST_RP", "MFIB Constellation information",
"MFIB_STATS", "MFIB statistics",
"MGCP", "Media Gateway Control Protocol (MGCP)",
"MGCP_APP", "Media Gateway Control Protocol (MGCP) application-specific",
"MGCP_RF", "Media Gateway Control Protocol (MGCP) High Availability",
"MHA", "Marvel high availability",
"MHA_LINE", "Marvel high availability line",
"MHA_MODE", "Marvel high availability",
"MHA_RF", "Marvel high availability redundancy feature",
"MIC", "Port adapter",
"MICA", "Modem ISDN Channel Aggregation (MICA)",
"MIF68840", "PCI MC68840 FDDI port adapter",
"MIMIC", "MCOM integrated modem network modules",
"MIPC", "Marvel IPC",
"MISA", "Multiple Crypto Engine subsystem",
"MISTRAL", "Mistral ASIC",
"MK5", "MK5025 serial controller",
"MLD_PROT", "Multicast Listener Discovery",
"MLOAD", "Module Loader",
"MLS_ACL_COMMON", "Multilayer switching ACL",
"MLS_RATE", "Multilayer Switching Rate Limit",
"MLSCEF", "Multilayer Switching Cisco Express Forwarding",
"MLSM", "Multilayer Switching Multicast",
"MMLS", "Multicast Multilayer Switching",
"MMLS_RATE", "Multicast Multilayer Switching Rate Limit",
"MMODEM", "Integrated modem network module",
"MODEM", "Router shelf modem management",
"MODEM_HIST", "Router shelf modem history and tracing",
"MODEM_NV", "Modem NVRAM",
"MODEM_CALLREC", "Modem call record",
"MODEMCALLRECORD", "Modem Call Record",
"MOHAWK_SM", "IDS sensor network module",
"MONITOR", "Cisco IOS software ROM monitor",
"MOTCR", "Hardware accelerator for IPSec",
"MPA68360", "VIP Multi-channel Port Adapter",
"MPC", "Multipath Channel Protocol",
"MPF", "Multi-Processor Forwarding (MPF)",
"MPLS", "Multiprotocol Label Switching",
"MPLS_ATM_TRANS", "ATM Transport over MPLS",
"MPLS_PACKET", "MPLS packet",
"MPLS_TE", "Label Switch Path (LSP) tunnel",
"MPLS_TE_PCALC", "MPLS TE path calculation facility",
"MPOA", "Multiprotocol over ATM (MPOA)",
"MPLSOAM", "MPLS management",
"MRIB", "Multicast Routing Information Base",
"MRIB_API", "MRIB client API",
"MRIB_PROXY", "MRIB proxy",
"MROUTE", "Multicast route",
"MSACDSPRM", "Media Conferencing DSP Resource Manager",
"MSC100_SPA_CC", "Cisco 7304 SPA carrier card",
"MSDP", "Multicast Source Discovery Protocol",
"MSDSPRM", "Media Services DSP Resource Manager",
"MSFC2", "Multilayer Switch Feature Card 2",
"MSFW", "Media Services DSP Firmware Manager",
"MSG802", "CMCC CIP 802 for IEE 802.2cx LLC Protocol",
"MSPI", "Mail Service Provider",
"MTRIE", "Mtrie",
"MUESLIX", "Mx serial application-specific integrated circuit (ASIC)",
"MV64340_ETHERNET", "MV64340 Ethernet controller",
"MVR_RP", "Multicast VLAN Registration (MVR) route processor",
"MWAM", "Multiprocessor WAN Application Module (MWAM)",
"MWAM_FILESYSTEM", "Multiprocessor WAN Application Module (MWAM) crashinfo and bootflash file system",
"MWAM_FLASH", "Multiprocessor WAN Application Module (MWAM) flash memory",
"MWAM_FUR", "Multiprocessor WAN Application Module (MWAM) FUR",
"MWAM_NVRAM", "Multiprocessor WAN Application Module (MWAM) NVRAM",
"MWAM_VRTC", "Multiprocessor WAN Application Module (MWAM) VTRC",
"MWR1900_QOS_GENERAL", "MWR1900 Quality of Service (QoS)",
"MWR1900_CFG_GENERAL", "MWR1900 PXF queuing configuration",
"MWR1900_REDUNDANCY", "MWR1900 redundancy",
"MXT_FREEDM", "8PRI/4T board",
"NATMIB_HELPER", "NAT MIB helper",
"NBAR", "Network-based application recognition (NBAR)",
"NETFLOW_AGGREGATION", "NetFlow aggregation",
"NETGX_CRYPTO", "NETGX CRYPTO hardware accelerator module for IPsec",
"NET_SERV", "Networking Services",
"NETWORK_CLOCK_SYNCHRONIZATION", "Network clock synchronization",
"NETWORK_PORT_SATELLITE", "Network port satellite",
"NETWORK_RF_API", "Network redundancy feature API",
"NEVADA", "CMCC CIP interrupt controller",
"NHRP", "Next Hop Resolution Protocol (NHRP)",
"NIM", "Network interface module",
"NM_8_16AM_V2_MODULE", "NM-8/16AM-V2 module",
"NP", "NextPort (NP)",
"NP_BS", "NextPort (NP) Bootstrap and Crash Monitor",
"NP_CLIENT", "NextPort (NP) client",
"NP_DDSM", "NextPort (NP) Digital Data Services Manager",
"NP_DSPLIB", "NextPort (NP) DSPLIB",
"NP_EST", "NextPort (NP) error, status, and trace",
"NP_MD", "NextPort (NP) modem driver",
"NP_MM", "NextPort (NP) module manager",
"NP_SIGLIB", "NextPort (NP) signaling library",
"NP_SPE_DS", "NextPort (NP) Dial Shelf Service Processing Element (SPE) Manager",
"NP_SSM", "NextPort (NP) Session and Service Manager",
"NP_UCODE", "NextPort (NP) microcode",
"NP_VPD", "NextPort (NP) Voice Packet Driver",
"NP_VSM", "NextPort (NP) Voice Service Manager",
"NRP", "Network Routing Processor (NRP)",
"NRP2", "Network Route Processor, type 2",
"NRP2_NVMANAGE", "Network Route Processor, type 2 NVRAM management",
"NRP2_SE64", "SE64 upper and lower layer device driver",
"NRP2EHSA", "NRP2 EHSA",
"NSE", "Network services engine",
"NSE100", "Network services engine NSE100",
"NSP", "Network Switch Processor (NSP)",
"NSP_APS", "Cisco 6400 node switch processor (NSP)",
"NSP_DISK", "NSP disk",
"NSP_OIR", "Cisco 6400 online insertion and removal (OIR)",
"NSPINT", "Network switch processor (NSP) interrupt infrastructure",
"NTP", "Network Time Protocol (NTP)",
"OBFL", "Onboard Failure Logging",
"OCE", "Output chain elements",
"ODM", "Online diagnostics manager",
"OER_BR", "Optimized Edge Routing (OER) border router",
"OER_MC", "Optimized Edge Routing (OER) master controller",
"OER_TT_FLOW", "Optimized Edge Routing (OER) top talkers flow border router",
"OIR", "Online insertion and removal (OIR)",
"OLM", "Optical Link Management",
"ON_DIAG", "Online diagnostics subsystem",
"ONLINE", "SCP (Switch-module Configuration Protocol) download processor",
"ONS15530", "Cisco ONS 15530 trunk card",
"OOBP", "Out-of-band port (OOBP)",
"OPTICAL_MONITOR", "Optical monitoring",
"OSM_MULTILINK", "Optical Services Module (OSM) distributed multilink",
"OSPF", "Open Shortest Path First (OSPF)",
"OSPFv3", "Open Shortest Path First version 3",
"P2IPC", "Fast IPC event",
"P2IPC_TRACE", "Fast IPC trace",
"PA", "Port adapter",
"PACC", "Cisco 7300 port adapter carrier card (PACC)",
"PACC_IPC", "Port Adapter Carrier Card (PACC) interprocess communication (IPC)",
"PACKET", "Packet",
"PAD", "X.25 packet assembler/disassembler",
"PAGP_DUAL_ACTIVE", "Port aggregation protocol (PAgP)",
"PAMMBOX", "Platform-independent PAM mailbox serial interface",
"PARSE_RC", "Parser return code",
"PARSER", "Parser",
"PBI_OPEN", "Programmable Binary File (PBI) Data Processing",
"PBR", "Policy Based Routing",
"PCI_FE", "PCI Fast Ethernet",
"PCMCIAFS", "PCMCIA disk",
"PCPA", "Parallel Channel Port Adapter",
"PDSN_CLUSTER", "PDSN cluster controller or PDSN cluster member",
"PERUSER", "PPP per-user configuration",
"PF", "Protocol filtering",
"PFINIT", "Platform initialization",
"PF_OBFL", "Platform onboard failure logging",
"PFREDUN", "Policy Feature Card Redundancy",
"PGM", "Pragmatic General Multicast (PGM)",
"PGMHOST", "Pragmatic General Multicast (PGM) host module",
"PHY", "Physical layer",
"PIF", "RSC PIF",
"PIM", "Protocol Independent Multicast",
"PIMP", "Process interrupt mask profiler",
"PIMSN", "Protocol Independent Multicast Snooping",
"PIM_PROT", "Protocol Independent Multicast",
"PIM_REG_TUN", "PIM register tunnel",
"PIMSN", "PIM snooping",
"PINNACLE", "Pinnacle ASIC",
"PKI", "PKI feature",
"PLAT_MP", "Platform MP support",
"PLATFORM", "Platform-specific",
"PLATFORM_IMAGE _ PREFIX", "Multilayer Switch Feature Card (MSFC)",
"PM", "Port Manager",
"PM3387", "One-port Gigabit Ethernet HWIC-1GE-SFP",
"PM_DB_HA", "Port management database high-availability client",
"PMIP", "WLAN Proxy Mobile IP Subsystem",
"PM_MODEM_HIST", "Modem history and tracing",
"PM_MODEM_MAINT", "Modem maintenance",
"PM_SCP", "Port manager Switch-Module Configuration Protocol",
"PMSN", "Port State Machine",
"PNNI", "Private Network-Network Interface",
"POLICY_API", "Policy API",
"POLICY_MANAGER", "Policy Manager",
"PORT", "Port Management",
"PORT_SECURITY", "Port security",
"POS", "Packet over SONET subsystem",
"POS_GIGE", "Packet over SONET Gigabit Ethernet",
"POSDW", "Packet over SONET double-wide PCI port adapter driver",
"POSLC", "Packet over SONET line card",
"POT1E1", "Versatile Interface Processor (VIP) multichannel port adapter",
"POTS", "Plain old telephone service (POTS)",
"PPP", "Point-to-Point Protocol (PPP)",
"PQ3_TSEC", "PQ3 TSEC",
"PQII", "MPC860 quad integrated communications controller",
"PQUICC", "MPC860 quad integrated communications controller",
"PQUICC_ASYNC", "Asynchronous MPC860 quad integrated communications controller",
"PQUICC_ASYNC_NOMEM", "Integrated Port Module Asynchronous Driver",
"PQUICC_ETHER", "Ethernet MPC860 quad integrated communications controller",
"PQUICC_ETHERNET", "Ethernet MPC860 quad integrated communications controller",
"PQUICC_FE", "Fast Ethernet MPC860 quad integrated communications controller",
"PQUICC_SERIAL", "Serial MPC860 quad integrated communications controller",
"PQUICC3", "MPC8500 PowerQUICC3",
"PRBS", "Pseudo-random bit sequence",
"PROCYON", "CPU daughter card for the Supervisor Engine 720",
"PS", "Power supply",
"PTRANSFORM", "Protocol transformation",
"PT", "Protocol Translation",
"PV", "Private VLAN",
"PVDM2", "PVDM2 SIMM",
"PW_WATCHER", "Portware Watcher",
"PXF", "Parallel eXpress Forwarding (PXF)",
"PXF_ACL", "Parallel eXpress Forwarding (PXF) ACL-specific",
"PXFAPI", "Parallel eXpress Forwarding (PXF) API-related",
"PXF_DMA", "Parallel eXpress Forwarding (PXF) DMA subsystem",
"PXF_FIB", "Parallel eXpress Forwarding (PXF) FIB select-specific",
"PXF_FLOW", "Parallel eXpress Forwarding (PXF) Netflow-related",
"PXF_GEC", "PXF EtherChannel",
"PXF_GRE", "Parallel eXpress Forwarding (PXF) GRE tunnel-related",
"PXF_NAT", "Parallel eXpress Forwarding (PXF) Network Address Translation (NAT)-related",
"PXF_QOS", "Parallel eXpress Forwarding (PXF) Quality of Service (QoS)-related",
"PXF_VRFS", "Parallel eXpress Forwarding (PXF) VRF selection-specific",
"QA", "Queue and accumulator",
"QEM", "QEM driver",
"QLLC", "Qualified Logical Link Control",
"QM", "Quality of service management",
"QNQ", "Q-in-Q",
"QOS", "Quality of Service",
"QOSMGR", "Quality of Service (QoS) manager",
"QUICC", "MC68360 quad integrated communications controller",
"QUICC_ASYNC", "Asynchronous MC68360 quad integrated communications controller",
"QUICC_ETHER", "Ethernet MC68360 quad integrated communications controller",
"QUICC_SERIAL", "Serial MC68360 quad integrated communications controller",
"R4K_MP", "Central processing unit",
"RAC", "Ring Access Controller",
"RADIO", "Radio driver",
"RADIO_DRIVER", "Radio driver",
"RADIUS", "RADIUS",
"RADIX", "Radix",
"RADSRV", "Embedded RADIUS server",
"RAIKO", "RAIKO-based feature board",
"RANDOM", "Random number generator",
"RASP16", "Interface Multiplexer ASIC",
"RBCP", "Router Blade Control Protocol",
"RCMD", "Remote command",
"RE", "RE subsystem",
"RECONCILIATION_HA", "Reconciliation high availability",
"RED", "Redundancy-related",
"RED_MODE", "High-availability redundancy mode",
"RED_REMOTE", "Redundancy remote",
"REDUNDANCY", "High Availability redundancy",
"REDUNDANCY_UTILS", "High Availability redundancy utilities",
"Regen", "Cisco optical regenerator",
"Regen_MAINBOARD_ASYNC_PQUICC", "Asynchronous MPC860 quad integrated communications controller for the Cisco optical regenerator",
"REGISTRY", "Registry",
"RESOURCE_MGR", "Resource manager",
"RESOURCE_MON", "Resource monitor subsystem",
"RESYNCH", "Route Processor Module (RPM) resynchronization process",
"RF", "Redundancy facility_full",
"RF_INTERDEV", "Redundancy facility (RF) interdevice",
"RF_ISSU", "Redundancy facility (RF) In Service Software Upgrade",
"RFS", "Remote file system",
"RIM", "Redundant Interface Manager (RIM)",
"RIP", "IP Routing Information Protocol (RIP)",
"RITE", "IP traffic export",
"RLM", "Redundant Link Manager (RLM)",
"RM", "Resource Manager",
"RMON", "Remote Monitoring Protocol",
"ROUTEMAP", "Route map",
"ROUTEMAP_IPC", "Route map interprocess communication (IPC)",
"RPA", "Resource Pool Allocation (RPA)",
"RPC", "Remote Procedure Call (RPC)",
"RPF", "Multicast RPF",
"RPM", "Route Processor Module (RPM)",
"RPB_BKCD", "RPM back card",
"RPM_BULK", "RPM-specific bulk file",
"RPM_CONFIG_COPY", "RPM config copy feature",
"RPM_CONN_MGMT", "RPM Connection Management-related",
"RP_MLP", "Distributed Point-to-Point Protocol (PPP) Multilink",
"RPM_RED", "RPM redundancy",
"RPM_TRAP_CLIENT", "RPM trap client",
"RPM_VIRTUAL", "Route Processor Module (RPM) virtual port",
"RPM_VIRTUAL_PORT", "RPM virtual port",
"RPMXF", "Route Processor Module, express forwarding (RPM-XF) card level",
"RPMXF_DMLP", "Route Processor Module, express forwarding DMLP configuration",
"RPMXF_QOS_GENERAL", "Route Processor Module, express forwarding (RPM-XF) Quality of Service (QoS)",
"RPMXF_QUEUE_CFG_GENERAL", "Route Processor Module, express forwarding (RPM-XF) queuing configuration",
"RPMXF_QUEUE_CFG_STR", "Route Processor Module, express forwarding (RPM-XF) queuing configuration",
"RPMXF_TOASTER", "Route Processor Module, express forwarding (RPM-XF) Toaster",
"RPMXFEVENTMGR", "Route Processor Module, express forwarding (RPM-XF) event manager subsystem",
"RPS", "Redundant power system",
"RS_TDM", "Router shelf time-division multiplexing",
"RRR_PCALC", "Routing with Resource Reservation (RRR) path calculation",
"RSC", "Route Switch Controller (RSC)",
"RSC_CF", "Compact flash error",
"RSC_FPFE_IOSDIAGS", "RSC front panel Fast Ethernet IOS diagnostics",
"RSC_MBUS", "MBus on RSC",
"RSC_PIF_IOSDIAGS", "Cisco IOS diagnostic test",
"RSCMSM", "Resource Measurement",
"RSCPB", "RSC push button",
"RSP", "Route Switch Processor",
"RSP_ISSU", "Cisco 7500 In Service Software Upgrade system",
"RSRB", "Remote source-route bridging",
"RSVP", "RSVP protocol",
"RSVP_HA", "RSVP protocol high availability",
"RTT", "Round-trip time monitor",
"RUDP", "Reliable User Datagram Protocol",
"RUNCFGSYNC", "Auto-Running Configuration Synchronization",
"RVTCVT_INFO", "RVT/CVT Runtime Informational messages",
"RW_TOO_LONG", "Windstar MPLS rewrite",
"S4T68360", "Four-port synchronous serial adapter based on the 68360 processor",
"SASL", "Simple Authentication and Security Layer",
"SARMGR", "Segmentation and reassembly (SARMGR)",
"SATVS", "Satellite Switch Virtual Switch (VS)",
"SBETH", "MAC controller (SBETH)",
"SBFIFO", "Packet first-in, first-out (FIFO) MAC controller",
"SCCP", "Signaling connection control part",
"SCHED", "Scheduler",
"SCP", "Downstream physical unit (DSPU)",
"SDEE", "SDEE subsystem",
"SDLC", "Synchronous Data Link Control",
"SDLLC", "Synchronous Data Logical Link Control (SDLLC) Logical Link Control Type 2 (LLC2) translation",
"SDP", "Session Description Protocol",
"SDLC", "GSHDSL",
"SDM", "Security Device Manager",
"SDSPFARM", "SDSP FARM register and unregister",
"SEC", "IP security",
"SEC_LOGIN", "Secure login",
"SENSOR", "Voltage and temperature sensor",
"SERIAL", "WS SERIAL line card",
"SERVER_CLOCK_SYNC", "Clock synchronization service",
"SERVICE_MODULE", "Service module",
"SERVICEMODULE", "Service module monitor",
"SFF8472", "Floating-point subsystem (SFF8472)",
"SFP", "SFP",
"SFP_SECURITY", "SFP Security",
"SGBP", "Stack Group Bidding Protocol",
"SGCP", "Simple Gateway Control Protocol (SGCP)",
"SGCP_APP", "Simple Gateway Control Protocol (SGCP) application-related",
"SGPRSWARNING", "SGPRS warning",
"SHELF", "Router shelf",
"SHMWIN", "Shared memory",
"SIBYTE", "SiByte processor complex",
"SIGSM", "Signaling Service Manager",
"SIP", "Session Initiation Protocol",
"SIP200", "SPA Interface Processor 200",
"SIP400", "SPA Interface Processor 400",
"SIP600", "SPA Interface Processor 600",
"SIP600_PARSING_ENGINE", "SIP-600 parsing engine",
"SIP600_QOS", "SIP-600 QoS",
"SIPSPA", "Shared Port Adapter on GSR line card",
"SKINNYSECURESERVER", "Skinny secure server",
"SKINNYSECURESERVICE", "Skinny secure service",
"SKINNYSERVER", "Skinny server",
"SLB", "Server load balancing",
"SLB_DFP", "Server Load Balancing Dynamic Feedback Protocol agent",
"SLICE_TOASTER", "Slice",
"SLIP", "Serial Line Internet Protocol",
"SLOT", "AS5850 slot state machine and OIR-related events",
"SLOT_FPD", "Common line card FPD",
"SLOT_HM", "RSC slot health monitor",
"SLOTDUMP", "Slot dump",
"SM", "State machine (SM)",
"SMC", "Services Management Channel",
"SMF", "Software MAC Filter",
"SMIC", "2FE2W, 1FE2W, 1FE1R2W, 2W network module-related",
"SMRP", "Simple Multicast Routing Protocol",
"SMSC_RP", "Short message service center route processor",
"SNAPSHOT", "Snapshot dial-on-demand routing",
"SNASW", "Systems Network Architecture (SNA) Switching Services",
"SNMP", "Simple Network Management Protocol (SNMP)",
"SNMP_BULKSTAT", "SNMP bulk-data collection",
"SNMP_MGR", "Simple Network Management Protocol (SNMP) proxy",
"SOI", "Simple Network Management Protocol (SNMP) over interprocess communication (IPC)",
"SONET", "Synchronous Optical Network",
"SONETMIB", "Synchronous Optical Network Management Information Base",
"SONICT", "SONIC Ethernet driver",
"SPA", "Shared Port Adapter (SPA)",
"SPA_CCB", "SPA CCB command",
"SPA_CHOC_DSX", "Common Channelized Shared Port Adapter",
"SPA_CHOCX", "Common Channelized Shared Port Adapter",
"SPA_CHOCX_CWRP", "Common Channelized Shared Port Adapter",
"SPA_CONSOLE", "Shared Port Adapter (SPA) virtual console",
"SPA_CT3", "CT3 Shared Port Adapter",
"SPA_DATABUS", "SPA data bus interface",
"SPA_EEPROM", "Shared Port Adapter (SPA) EEPROM",
"SPA_ETHER", "Ethernet Shared Port Adapter",
"SPA_FPD", "Shared Port Adapter (SPA) field-programmable device (FPD)",
"SPA_HA", "SPA High Availability",
"SPA_IPSEC", "IPsec SPA Card (SPA-IPSEC)",
"SPA_MIB", "SPA MIB",
"SPA_OIR", "Shared Port Adapter (SPA) online insertion and removal (OIR)",
"SPA_PLIM", "Shared Port Adapter (SPA) physical layer interface module",
"SPA_PLUGIN", "Shared Port Adapter (SPA) plugin",
"SPA_PMB", "SPA specific power management bus",
"SPA_T3E3", "Shared Port Adapter (SPA) T3E3",
"SPACP", "SPA CP",
"SPAN", "Spanning Tree Protocol",
"SPANTREE", "Spanning Tree",
"SPANTREE_FAST", "Spanning Tree Fast Convergence",
"SPANTREE_VLAN_SW", "Spanning Tree VLAN switch",
"SPARC", "3800 SPARC coprocessor subsystem",
"SPE", "Service Processing Element (SPE)",
"SRC", "Switch Redundancy Controller",
"SRCP_APP", "Simple Resource Coordination Protocol (SRCP) application",
"SRP", "Spatial Reuse Protocol (SRP)",
"SRPMIB", "Spatial Reuse Protocol (SRP) MIB",
"SSA", "Super Santa Ana ASIC",
"SSE", "Silicon switching engine",
"SSG", "Service Selection Gateway",
"SSH", "Secure Shell (SSH) Protocol",
"SSI", "SSI event",
"SSLVPN", "SSL-based VPN",
"SSP", "State Synchronization Protocol Manager",
"SSRP", "SONET/SDH based SRP Double Wide PCI port adapter driver",
"SSSMGR", "Subscriber Service Switching (SSS) Manager",
"STACKMGR", "Stack manager controller",
"STAPL_OPEN", "Standard Test And Programming Language (STAPL) Processing",
"STANDBY", "Hot Standby Router Protocol (HSRP)",
"STORM_CONTROL", "Storm control",
"STRING", "String database",
"STUN", "Serial tunneling",
"SUBSYS", "Software subsystems",
"SUPERVISOR", "Supervisor",
"SUPQ", "Supervisor queue",
"SUPW_PROCMIB", "Supervisor MIB",
"SVCLC", "Service line card (SVCLC) firewall SP",
"SW56", "Switch 56K",
"SW_DAI", "Dynamic ARP Inspection",
"SWEPA", "Software encryption port adapter and key management",
"SWITCH", "Switch interface",
"SWITCH_IF", "Switch interface subsystem",
"SWITCHOVER", "Line card switchover-related",
"SWITCH_QOS_TB", "Quality of Service rusted boundary",
"SW_MGR", "Segment switch manager",
"SW_VLAN", "Virtual LAN (VLAN) manager",
"SYS", "Operating system",
"SYSCTLR", "System controller subsystem",
"SYSLOGD", "System logging",
"SYSLOG_SERVER", "Syslog-server file system routines",
"SYSMGR", "System Manager",
"SYSMGR_PLATFORM", "Cisco Catalyst 6500 system manager process",
"SYSMGT_RPC", "System management",
"SYSTEM_BUS_ASIC", "System Bus Translator ASIC",
"SYSTEM_CONTROLLER", "System controller",
"SYSTEM_HM", "System health monitor",
"T1E1SUNI", "PAM port driver",
"TAC", "Terminal Access Controller Access Control System",
"TAGCON", "Tag distribution and control",
"TAGCOS", "Tag switching class of service",
"TAR_FS", "Tar file system",
"TBRIDGE", "Transparent bridging",
"TCAM_MGR", "TCAM manager",
"TCAMMGR", "TCAM manager",
"TCATM", "ATM tag control",
"TCMIPC", "Toaster-RP IPC-related",
"TCMSP", "Call control for telephony-style hardware interfaces",
"TCP", "Transmission Control Protocol",
"TDM", "Time-division multiplexing (TDM)",
"TDM_CLOCK_SYNCHRONIZATION", "Time-division multiplexing (TDM) frame clock",
"TDM_CONN", "TDM connections",
"TDP", "Tag Distribution Protocol",
"TENGIGE_LC", "10-Gigabit Ethernet line card",
"TESTPA", "TestPA port adapter",
"TFIB", "Tag Forwarding Information Base",
"TI1570", "PCI/TI1570-based ATM port adapter",
"TIB", "Tag Information Base",
"TID_HA", "Table ID High Availability (HA)",
"TIDP", "Threat Information Distribution Protocol",
"TIGER", "Error-correcting code (ECC) and parity-related",
"TINY_FRAG_POLICER", "Tiny frag policer",
"TLV", "EEPROM",
"TMS", "Threat Management Service",
"TMQ", "Inbound terminal port queuing",
"TN", "Telnet",
"TN3270", "TN3270 protocol",
"TOASTER_CP", "Toaster-based coprocessor assist",
"TOASTER_IPC", "Toaster interprocess communication",
"TOPN_COUNTERS", "Switch TopN report counters",
"TPLUS", "TACACS Protocol",
"TR", "Token Ring",
"TRANSCEIVER", "Transceiver module",
"TRINITY", "Trinity System",
"TRUNK", "E1/T1 trunk card",
"TRUNK_CLOCK", "AS5400 clocking",
"TRUNK_DFC", "Trunk dial feature card",
"TRUNK_SERIAL", "Trunk serial device",
"TSP", "Tag-switched path (TSP)",
"TTFIB_NP_CLIENT", "Toaster Tag FIB (TTFIB) NP client",
"TTY", "Tty-related for all platforms",
"TTYDRIVER", "Router shelf asynchronous driver",
"TUN", "Tunnel",
"TUNSS", "Tunnel security",
"TURBORSC", "Platform-specific RSC",
"TWOBT", "WS 2BT protocol driver",
"TWO_GIGE", "Two Gigabit Ethernet subsystem",
"TXCONN", "Cisco Transaction Connection (CTRC)",
"UBL", "Universal Boot Loader",
"UBR7200", "Cable modem termination system",
"UBR900", "Cisco uBR900 Series Cable Access Routers",
"UCODE", "Microcode",
"UDLD", "UniDirectional Link Detection (UDLD) protocol",
"UNICAST_FLOOD", "Unicast flooding",
"UNIX", "UNIX",
"UNIXRP", "UNIX RP",
"UPS", "Uninterruptible power supply",
"URLF", "URL filtering subsystem",
"USBFLASH", "USB flash device",
"USB_HOST_STACK", "USB host stack",
"USB_TOKEN", "USB security token",
"USB_TOKEN_FILESYS", "USB Token File System",
"UTIL", "Utility",
"VACL", "VLAN ACL",
"VALENCIA", "Valencia ASIC on Services SPA Carrier Card (SSC-600)",
"VFC", "Voice over IP (VoIP)",
"VINES", "Banyan VINES",
"VIP", "Versatile Interface Processor",
"VIP_MDR", "Versatile Interface Processor Minimum Disruption Restart system",
"VIPMLP", "Multilink PPP",
"VOA", "Hamptons variable optical attenuator (VOA) card",
"VOICE_ELOG", "Voice event logger",
"VOICE_FSM", "MC3810 voice FSM subsystem",
"VOICE_IEC", "Voice internal error code (IEC)",
"VOICE_RC", "MC3810 voice resource subsystem",
"VOICE_UTIL", "Voice call control utilities",
"VOIPAAA", "VoIP AAA",
"VOIPFIB", "VoIP FIB",
"VOLANT", "Content engine NM",
"VPA", "Voice port adapter",
"VPD", "ATM CES (Voice Processor Deck) driver",
"VPDN", "Virtual Private Dialup Networking",
"VPLS_NP_CLIENT", "Virtual Private LAN Service NP client",
"VPN_HW", "VPN hardware accelerator",
"VPNSM", "VPN Services Module",
"VPNSMIOS", "VPNSM crypto connection",
"VPNSMIOSSP", "VPNSM crypto connection SP",
"VRM", "Voice Resource Management",
"VRRP", "Virtual Router Redundancy Protocol",
"VSAT", "Satellite Module",
"VSEC", "VLAN security violation",
"VS_GENERIC", "Virtual switch",
"VSL", "Virtual switch link",
"VSI_M", "Virtual switch interface (VSI) master",
"VSL_BRINGUP", "Virtual switch link bringup",
"VSLP", "Virtual Switch Link Protocol",
"VS_MOD", "Virtual switch module provisioning",
"VS_PARSE", "Virtual switch",
"VS_QOS_ACL", "Virtual switch QoS ACL",
"VSTATS", "Voice statistics push data",
"VTSP", "Voice telephony security parameter index (SPI)",
"WA_ENGINE", "WA engine network module",
"WARMUPGRADE", "Warm upgrade feature",
"WCCP", "Web Cache Communication Protocol (WCCP)",
"WIC_AM", "WIC-AM modem initialization",
"WiSM", "WiFi services module",
"WLAN_CONTROLLER", "WLAN controller network module",
"WLCCP_WDS", "Wireless LAN Context Control Protocol (WLCCP) for WDS",
"WS_ALARM", "Windstar alarm",
"WSHTF", "HT_FPGA data plane driver",
"WSIPC", "Windstar IPC",
"X25", "X.25",
"XCCTSP_VOICE", "External Call Control Telephony Service Provider",
"XCPA", "Mainframe Channel Port Adapter",
"XCVR", "Transponder",
"XDR", "eXternal Data Representation",
"XDSDLWIC", "Cisco 2600 series and 3600 series xDSL drivers",
"XTAGATM", "Extended Tag ATM (XTagATM)",
"Y88E8K", "Yukon 88E8000 E/FE/GE controller",
"ZAM", "Zenith Alarm Management"
]
}
}
output {
if "_grokparsefailure" in [tags] {
file {
path => "/tmp/fail-%{type}-%{+YYYY.MM.dd}.log"
}
}
elasticsearch {
hosts => ["http://es01:9200", "http://es02:9200", "http://es03:9200"]
sniffing => true
ssl => false
ssl_certificate_verification => false
index => "cisco-%{[host]}-%{+YYYY.MM.dd}"
}
}Bước 5 – Triển khai môi trường ELK Stack (Elasticsearch, Logstash, Kibana) sử dụng Docker Compose.
cat > /home/elk-stack/docker-compose.yml << 'OEF'
version: '2.2'
services:
es01:
image: docker.elastic.co/elasticsearch/elasticsearch:7.13.2
container_name: es01
environment:
- node.name=es01
- cluster.name=es-docker-cluster
- discovery.seed_hosts=es02,es03
- cluster.initial_master_nodes=es01,es02,es03
- bootstrap.memory_lock=true
- "ES_JAVA_OPTS=-Xms512m -Xmx512m"
ulimits:
memlock:
soft: -1
hard: -1
volumes:
- data01:/usr/share/elasticsearch/data
ports:
- 9200:9200
networks:
- elastic
es02:
image: docker.elastic.co/elasticsearch/elasticsearch:7.13.2
container_name: es02
environment:
- node.name=es02
- cluster.name=es-docker-cluster
- discovery.seed_hosts=es01,es03
- cluster.initial_master_nodes=es01,es02,es03
- bootstrap.memory_lock=true
- "ES_JAVA_OPTS=-Xms512m -Xmx512m"
ulimits:
memlock:
soft: -1
hard: -1
volumes:
- data02:/usr/share/elasticsearch/data
networks:
- elastic
es03:
image: docker.elastic.co/elasticsearch/elasticsearch:7.13.2
container_name: es03
environment:
- node.name=es03
- cluster.name=es-docker-cluster
- discovery.seed_hosts=es01,es02
- cluster.initial_master_nodes=es01,es02,es03
- bootstrap.memory_lock=true
- "ES_JAVA_OPTS=-Xms512m -Xmx512m"
ulimits:
memlock:
soft: -1
hard: -1
volumes:
- data03:/usr/share/elasticsearch/data
networks:
- elastic
kib01:
image: docker.elastic.co/kibana/kibana:7.13.2
container_name: kib01
ports:
- 5601:5601
environment:
ELASTICSEARCH_URL: http://es01:9200
ELASTICSEARCH_HOSTS: '["http://es01:9200","http://es02:9200","http://es03:9200"]'
networks:
- elastic
logstash:
image: logstash:7.13.2
container_name: logstash
ports:
- "5044:5044/udp"
networks:
- elastic
volumes:
- /home/elk-stack/logstash.conf:/usr/share/logstash/pipeline/logstash.conf
- /home/elk-stack/logstash_config.yml:/usr/share/logstash/config/logstash.yml
- /home/elk-stack/cisco-patterns.yml:/usr/share/logstash/config/patterns/cisco-patterns.yml
environment:
TZ: "Asia/Ho_Chi_Minh"
ELASTICSEARCH_URL: http://es01:9200
filebeat:
image: docker.elastic.co/beats/filebeat:7.13.2
container_name: filebeat
ports:
- "514:514/udp"
volumes:
- /home/elk-stack/filebeat.yml:/usr/share/filebeat/filebeat.yml
networks:
- elastic
volumes:
data01:
driver: local
data02:
driver: local
data03:
driver: local
networks:
elastic:
driver: bridge
OEFDưới đây là giải thích từng phần trong file cấu hình:
- Elasticsearch Services (
es01,es02,es03):- Đây là các dịch vụ Elasticsearch. Mỗi dịch vụ sử dụng hình ảnh của Elasticsearch phiên bản 7.13.2 từ Docker Hub.
- Các dịch vụ này cấu hình các thông số như
node.name,cluster.name,discovery.seed_hosts, vàcluster.initial_master_nodesđể hình thành một cụm Elasticsearch 3 nút (es01,es02,es03). - Cấu hình
bootstrap.memory_lockđảm bảo rằng Elasticsearch sử dụng khóa bộ nhớ để tránh swap,ES_JAVA_OPTSgiới hạn bộ nhớ cho Java VM. - Thư mục
/usr/share/elasticsearch/datatrên các dịch vụ Elasticsearch được gắn kết với các khối dữ liệu lưu trữ dữ liệu.
- Kibana Service (
kib01):- Đây là dịch vụ Kibana sử dụng hình ảnh của Kibana phiên bản 7.13.2 từ Docker Hub.
- Kibana được cấu hình để kết nối đến Elasticsearch qua
ELASTICSEARCH_URLvàELASTICSEARCH_HOSTS. - Cổng 5601 của dịch vụ Kibana được ánh xạ vào cổng 5601 của máy chủ để truy cập giao diện web Kibana.
- Logstash Service (
logstash):- Đây là dịch vụ Logstash sử dụng hình ảnh của Logstash phiên bản 7.13.2 từ Docker Hub.
- Cổng 5044 của dịch vụ Logstash được ánh xạ vào cổng 5044 của máy chủ để nhận dữ liệu từ Beats qua UDP.
- File cấu hình
logstash.confvàlogstash_config.ymlđược gắn kết vào container để cấu hình Logstash. - Thư mục
/usr/share/logstash/config/patternschứa các mẫu (cisco-patterns.yml) dùng để phân tích log từ các thiết bị Cisco.
- Filebeat Service (
filebeat):- Đây là dịch vụ Filebeat sử dụng hình ảnh của Filebeat phiên bản 7.13.2 từ Docker Hub.
- Cổng 514 của dịch vụ Filebeat được ánh xạ vào cổng 514 của máy chủ để nhận dữ liệu từ giao thức syslog qua UDP.
- File cấu hình
filebeat.ymlđược gắn kết vào container để cấu hình Filebeat.
- Volumes:
- Các dữ liệu của Elasticsearch được lưu trữ trong các khối dữ liệu (
data01,data02,data03) trên máy chủ.
- Các dữ liệu của Elasticsearch được lưu trữ trong các khối dữ liệu (
- Networks:
- Các dịch vụ trong ELK Stack đều thuộc vào mạng
elastic.
- Các dịch vụ trong ELK Stack đều thuộc vào mạng
Bước 6 – Chạy lệnh docker-compose up -d, bạn sẽ có một môi trường ELK Stack hoạt động trên máy chủ, cho phép bạn thu thập, xử lý và truy vấn dữ liệu log hiệu quả từ các nguồn khác nhau.
Sau khi chạy xong lệnh docker-compose up -d bạn sử dụng lệnh docker ps để kiểm tra các container đã hoạt động hết hay chưa.
$ docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
90825b41ae3f docker.elastic.co/elasticsearch/elasticsearch:7.13.2 "/bin/tini -- /usr/l…" 2 minutes ago Up About a minute 9200/tcp, 9300/tcp es02
78dc4dd3823e logstash:7.13.2 "/usr/local/bin/dock…" 2 minutes ago Up About a minute 5044/tcp, 9600/tcp, 0.0.0.0:5044->5044/udp, :::5044->5044/udp logstash
07ce4887071c docker.elastic.co/elasticsearch/elasticsearch:7.13.2 "/bin/tini -- /usr/l…" 2 minutes ago Up About a minute 9200/tcp, 9300/tcp es03
9e0806a62120 docker.elastic.co/elasticsearch/elasticsearch:7.13.2 "/bin/tini -- /usr/l…" 2 minutes ago Up About a minute 0.0.0.0:9200->9200/tcp, :::9200->9200/tcp, 9300/tcp es01
b9f8e325137c docker.elastic.co/beats/filebeat:7.13.2 "/usr/bin/tini -- /u…" 2 minutes ago Up About a minute 0.0.0.0:514->514/udp, :::514->514/udp filebeat
7636f58ebd19 docker.elastic.co/kibana/kibana:7.13.2 "/bin/tini -- /usr/l…" 2 minutes ago Up About a minute 0.0.0.0:5601->5601/tcp, :::5601->5601/tcp kib01Bước 7 – Hãy vào Kibana và tận hưởng kết quả.
Phần cấu hình trên Kibana mình đã có 1 bài hướng dẫn rồi nên mình lười viết lại ở phần này, bạn có thể xem lại ở đây nhé https://wiki.hoanghd.com/elk-cau-hinh-gui-logst-tu-cisco-sang-elasticsearch/.
Chúc các bạn thành công.
