Есть AS5350 и 5300, раньше стоял async-mode interactive и не было принудительного запроса пароля при попадании в консоль (через dual-up), потом заметили, что кто-то это уже нашел и что-то ковыряет. Дырку закрыли (async-mode dedicated), но появилось желание сделать учет всех действий по уму. Настроил переброс логов на syslog, сделали логгирование ssh, однако как заносить в лог все входы exec так и не могу найти. Пробовал набирать aaa accounting ... , но это, судя по всему, записи в Radius/Tacacs, а мне нужно в syslog. Есть какой-то аналог ip ssh logging events, только для любого захода, даже через COM-порт, то есть на уровне exec? Или может линк на какую-нибудь статью толковую, а то ни в гугле, ни тут ничего не получается найти.

• Отправка в syslog всех входов в exec,angelweb, 16:41 , 22-Ноя-06
  • Отправка в syslog всех входов в exec,lithium, 16:47 , 22-Ноя-06
    • Отправка в syslog всех входов в exec,angelweb, 17:06 , 22-Ноя-06
      • Отправка в syslog всех входов в exec,lithium, 17:24 , 22-Ноя-06
• Отправка в syslog всех входов в exec,lithium, 17:33 , 22-Ноя-06

>Есть AS5350 и 5300, раньше стоял async-mode interactive и не было принудительного
>запроса пароля при попадании в консоль (через dual-up), потом заметили, что
>кто-то это уже нашел и что-то ковыряет. Дырку закрыли (async-mode dedicated),
>но появилось желание сделать учет всех действий по уму. Настроил переброс
>логов на syslog, сделали логгирование ssh, однако как заносить в лог
>все входы exec так и не могу найти. Пробовал набирать aaa
>accounting ... , но это, судя по всему, записи в Radius/Tacacs,
>а мне нужно в syslog. Есть какой-то аналог ip ssh logging
>events, только для любого захода, даже через COM-порт, то есть на
>уровне exec? Или может линк на какую-нибудь статью толковую, а то
>ни в гугле, ни тут ничего не получается найти.

Это читал ? http://faq-cisco.ru/page.php?id=39

+

Можно использовать ACL+log action

>Это читал ? http://faq-cisco.ru/page.php?id=39

не читал, но все что там описано уже было сделано, о чем я написал ("Настроил переброс
логов на syslog")

>Можно использовать ACL+log action

это заносит в лог события в acl, насколько я понял, а мне нужно заносить события входа в exec

>>Это читал ? http://faq-cisco.ru/page.php?id=39
>
>не читал, но все что там описано уже было сделано, о чем
>я написал ("Настроил переброс
>логов на syslog")
>
>>Можно использовать ACL+log action
>
>это заносит в лог события в acl, насколько я понял, а мне
>нужно заносить события входа в exec

router(config)#line con 0
router(config-line)#?
Line configuration commands:
    access-class                Filter connections based on an IP access list

Привязываем к ACL с log и смотрим

>router(config)#line con 0
>router(config-line)#?
>Line configuration commands:
>    access-class        
>        Filter connections based
>on an IP access list
>
>Привязываем к ACL с log и смотрим

что смотрим? отлупы коннектов на ssh-порт? Я нигде не писал, что мне это надо,  я уже несколько раз повторил, что нужно логгирование входов в exec

наверное, надо было с самого начала привести конфиг...
logging queue-limit 100
logging buffered 10000 debugging
no logging console

ip ssh authentication-retries 1
ip ssh logging events

ip access-list standard ssh_access
permit 81.26.[censored].0 0.0.1.255
permit 81.26.[censored].0 0.0.0.255

logging trap debugging
logging facility local2
logging 81.26.[censored]

line vty 0 4
access-class ssh_access in
logging synchronous

это куски, относящиеся к ssh и логам.