The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Логирование изменений конфигурации маршрутизатора Cisco
Ниже приведен вариант организации слежения за изменением конфигурации, 
в лог сохраняется информация о том, кто и какие именно команды вводил. 
Как это выглядело раньше? 
Кто-то зашел на железяку и внес какие-то изменения. Об этом в логе останется
информация следующая информация:

   Mar 1 00:12:15.675: %SYS-5-CONFIG_I: Configured from console by one on vty0 (10.10.10.1)

И всё!

С некоторой версии ios появилась возможность посмотреть кто и что конкретно сделал.
Для этого необходимо добавить в конфигурацию следующие строки:

   archive
   log config
   logging enable
   notify syslog
   hidekeys


logging enable - писать лог. По умолчанию выключено.
notify syslog - писать лог локально или посылать также на syslog сервер
hidekeys - не записывать в лог пароли

Теперь процесс логина и изменения отобразится примерно следующим образом
(Легко определить что в гости заходил пользователь one и настроил интерфейс FastEthernet1/0):

   Mar 1 00:18:18.839: %PARSER-5-CFGLOG_LOGGEDCMD: User:one logged command:!exec: enable
   Mar 1 00:18:58.003: %PARSER-5-CFGLOG_LOGGEDCMD: User:one logged command:interface FastEthernet1/0
   Mar 1 00:19:11.023: %PARSER-5-CFGLOG_LOGGEDCMD: User:one logged command:ip address 192.168.1.1 255.255.255.0
   Mar 1 00:19:13.715: %PARSER-5-CFGLOG_LOGGEDCMD: User:one logged command:no shutdown
   Mar 1 00:19:15.687: %LINK-3-UPDOWN: Interface FastEthernet1/0, changed state to up
   Mar 1 00:19:16.687: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up
 
09.10.2007 , Автор: pablo , Источник: http://techoover.blogspot.com/2007/...
Ключи: cisco, log, monitor / Лицензия: CC-BY
Раздел:    Корень / Маршрутизаторы Cisco, VoIP / Ограничение и учет трафика на Cisco

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, schizoid, 10:28, 09/10/2007 [ответить] [смотреть все]
  • +/
    С некоторой версии ios появилась возможность...

    Жесть...И с какой это некоторой?

     
     
  • 2.2, pablo, 13:28, 09/10/2007 [^] [ответить] [смотреть все]
  • +/
    Используйте http://cisco.com/go/fn
     
  • 1.3, Alabama, 04:29, 10/10/2007 [ответить] [смотреть все]
  • +/
    Ну тогда и время настроить надо правильно
     
  • 1.4, MOV_ah, 09:35, 10/10/2007 [ответить] [смотреть все]
  • +/
    А rancid чем не устраивает?
     
     
  • 2.5, pablo, 12:27, 10/10/2007 [^] [ответить] [смотреть все]
  • +/
    >А rancid чем не устраивает?

    Никогда не использовал, честно говоря. Сейчас посмотрел.

    Насколько я понимаю, алгоритм работы примерно такой:
    1. Получили сообщение, о том что кто-то изменял конфигурацию
    2. Сходили на железяку, забрали новый конфиг
    3. ПОложили в svn и все остальные приятности. :)

    Однако, что призойдет в случае если в один момент времени конфигурация менялась двумя администраторами?

     
     
  • 3.6, MOV_ah, 13:39, 10/10/2007 [^] [ответить] [смотреть все]  
  • +/
    >Однако, что призойдет в случае если в один момент времени конфигурация менялась
    >двумя администраторами?

    Насколько я помню его работу (полгода уже дело не имел), рансид запускается по крону и ходит на все железяки в его конфиге (так что желательно, в случае с кошками, пользовать tacacs+), собирает оттуда конфигу и diffает её с тем, что он сохранил в прошлый раз. Изменения скидываются на мыло.
    В случае, если конфиг изменился двумя админами одновременно, то по схеме, приложенной выше, понятно, что будет, но автором изменений будет тот, кто последним набрал write ;) В этом плане, конечно, проигрыш.
    Зато всегда есть последний конфиг с того момента, когда железяка была доступна в последний раз (без паролей, правда, но это дело вполне поправимое :))

     
     
  • 4.7, pablo, 17:42, 10/10/2007 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален В принципе с некоторой версии с добавились некот... весь текст скрыт [показать]
     
  • 1.8, cae, 09:17, 12/10/2007 [ответить] [смотреть все]  
  • +/
    Цискины индусы уже не зажигают, а просто поджигают ;-))
    Зачем было плодить вывод изменений конфига в syslog, когда сто лет уже есть tacacs+?
    Для того, чтобы хелпдеск видел изменения, которые ему нафиг не нужно видеть? Отлично! Безопасность на высоте, дальше некуда...
    Правильное решение такое:
    1. сбор конфигов rancid (каждый день принудительно, по команде из syslog - опционально
    2. доступ и логи изменений конфига юзверями в tacacs+
    3. хелпдеску enable не давать, для этого есть iptech.
    3. syslog оставить хелпдеску для постоянного его курения на случай проблем.
    dixi.

    зы. Ну а то, что наконец появились diffы и коммиты конфига, которые в juniper были отродясь, не может не радовать ;-)))

     
     
  • 2.9, pablo, 18:21, 12/10/2007 [^] [ответить] [смотреть все]  
  • +/
    Сомневаюсь, что индусы пишут то, что им в голову взбредет. Кто-то же им задачи ставит :)

    Видимо добавления этого функционала, отражает различие подходов. Я сомневаюсь, что в циске "забыли" о существовании tacacs. :)
    Может это разворот в сторону smb рынка...

    Подскажите, что такое iptech? Гугл вразумительного ничего не отвечает.

     
     
  • 3.10, cae, 13:41, 16/10/2007 [^] [ответить] [смотреть все]  
  • +/
    iptech - подразделение, отвечающее за ospf, bgp и прочее ip tech, чему обычный helpdesk, как правило, не обучен.
     
  • 1.11, Vladimir, 15:23, 07/12/2007 [ответить] [смотреть все]  
  • +/
    Супер, попробывал на МЕ2400 все пошло
    огромное спасибо за информацию
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor