The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Логирование изменений конфигурации маршрутизатора Cisco
Ниже приведен вариант организации слежения за изменением конфигурации, 
в лог сохраняется информация о том, кто и какие именно команды вводил. 
Как это выглядело раньше? 
Кто-то зашел на железяку и внес какие-то изменения. Об этом в логе останется
информация следующая информация:

   Mar 1 00:12:15.675: %SYS-5-CONFIG_I: Configured from console by one on vty0 (10.10.10.1)

И всё!

С некоторой версии ios появилась возможность посмотреть кто и что конкретно сделал.
Для этого необходимо добавить в конфигурацию следующие строки:

   archive
   log config
   logging enable
   notify syslog
   hidekeys


logging enable - писать лог. По умолчанию выключено.
notify syslog - писать лог локально или посылать также на syslog сервер
hidekeys - не записывать в лог пароли

Теперь процесс логина и изменения отобразится примерно следующим образом
(Легко определить что в гости заходил пользователь one и настроил интерфейс FastEthernet1/0):

   Mar 1 00:18:18.839: %PARSER-5-CFGLOG_LOGGEDCMD: User:one logged command:!exec: enable
   Mar 1 00:18:58.003: %PARSER-5-CFGLOG_LOGGEDCMD: User:one logged command:interface FastEthernet1/0
   Mar 1 00:19:11.023: %PARSER-5-CFGLOG_LOGGEDCMD: User:one logged command:ip address 192.168.1.1 255.255.255.0
   Mar 1 00:19:13.715: %PARSER-5-CFGLOG_LOGGEDCMD: User:one logged command:no shutdown
   Mar 1 00:19:15.687: %LINK-3-UPDOWN: Interface FastEthernet1/0, changed state to up
   Mar 1 00:19:16.687: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up
 
09.10.2007 , Автор: pablo , Источник: http://techoover.blogspot.com/2007/...
Ключи: cisco, log, monitor
Раздел:    Корень / Маршрутизаторы Cisco, VoIP / Ограничение и учет трафика на Cisco

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, schizoid (?), 10:28, 09/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    С некоторой версии ios появилась возможность...

    Жесть...И с какой это некоторой?

     
     
  • 2.2, pablo (??), 13:28, 09/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Используйте http://cisco.com/go/fn
     

  • 1.3, Alabama (??), 04:29, 10/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну тогда и время настроить надо правильно
     
  • 1.4, MOV_ah (?), 09:35, 10/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А rancid чем не устраивает?
     
     
  • 2.5, pablo (??), 12:27, 10/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >А rancid чем не устраивает?

    Никогда не использовал, честно говоря. Сейчас посмотрел.

    Насколько я понимаю, алгоритм работы примерно такой:
    1. Получили сообщение, о том что кто-то изменял конфигурацию
    2. Сходили на железяку, забрали новый конфиг
    3. ПОложили в svn и все остальные приятности. :)

    Однако, что призойдет в случае если в один момент времени конфигурация менялась двумя администраторами?

     
     
  • 3.6, MOV_ah (?), 13:39, 10/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Однако, что призойдет в случае если в один момент времени конфигурация менялась
    >двумя администраторами?

    Насколько я помню его работу (полгода уже дело не имел), рансид запускается по крону и ходит на все железяки в его конфиге (так что желательно, в случае с кошками, пользовать tacacs+), собирает оттуда конфигу и diffает её с тем, что он сохранил в прошлый раз. Изменения скидываются на мыло.
    В случае, если конфиг изменился двумя админами одновременно, то по схеме, приложенной выше, понятно, что будет, но автором изменений будет тот, кто последним набрал write ;) В этом плане, конечно, проигрыш.
    Зато всегда есть последний конфиг с того момента, когда железяка была доступна в последний раз (без паролей, правда, но это дело вполне поправимое :))

     
     
  • 4.7, pablo (ok), 17:42, 10/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >по крону и ходит на все железяки в его конфиге (так
    >что желательно, в случае с кошками, пользовать tacacs+), собирает оттуда конфигу
    >и diffает её с тем, что он сохранил в прошлый раз.
    >Изменения скидываются на мыло.
    >В случае, если конфиг изменился двумя админами одновременно, то по схеме, приложенной
    >выше, понятно, что будет, но автором изменений будет тот, кто последним
    >набрал write ;) В этом плане, конечно, проигрыш.
    >Зато всегда есть последний конфиг с того момента, когда железяка была доступна
    >в последний раз (без паролей, правда, но это дело вполне поправимое
    >:))

    В принципе "с некоторой версии" (с) :)) добавились некоторые фичи которые могут серьезно облегчить жизнь в этом плане.
    1. Configuration Replace and Configuration Rollback
    http://cisco.com/en/US/products/ps6350/products_configuration_guide_chapter09
    Сохраняет конфигурацию в указанное место.
    2. Contextual Configuration Diff Utility
    http://cisco.com/en/US/products/ps6350/products_configuration_guide_chapter09
    Собственно из названия всё понятно. diff прямо в консольке железяки.

    Надо бы об этом тоже заметку написать. :)

    Но идея хранить все изменения в svn мне очень нравится.
    Одно другому не мешает. :)

     

  • 1.8, cae (?), 09:17, 12/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Цискины индусы уже не зажигают, а просто поджигают ;-))
    Зачем было плодить вывод изменений конфига в syslog, когда сто лет уже есть tacacs+?
    Для того, чтобы хелпдеск видел изменения, которые ему нафиг не нужно видеть? Отлично! Безопасность на высоте, дальше некуда...
    Правильное решение такое:
    1. сбор конфигов rancid (каждый день принудительно, по команде из syslog - опционально
    2. доступ и логи изменений конфига юзверями в tacacs+
    3. хелпдеску enable не давать, для этого есть iptech.
    3. syslog оставить хелпдеску для постоянного его курения на случай проблем.
    dixi.

    зы. Ну а то, что наконец появились diffы и коммиты конфига, которые в juniper были отродясь, не может не радовать ;-)))

     
     
  • 2.9, pablo (ok), 18:21, 12/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Сомневаюсь, что индусы пишут то, что им в голову взбредет. Кто-то же им задачи ставит :)

    Видимо добавления этого функционала, отражает различие подходов. Я сомневаюсь, что в циске "забыли" о существовании tacacs. :)
    Может это разворот в сторону smb рынка...

    Подскажите, что такое iptech? Гугл вразумительного ничего не отвечает.

     
     
  • 3.10, cae (?), 13:41, 16/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    iptech - подразделение, отвечающее за ospf, bgp и прочее ip tech, чему обычный helpdesk, как правило, не обучен.
     

  • 1.11, Vladimir (??), 15:23, 07/12/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Супер, попробывал на МЕ2400 все пошло
    огромное спасибо за информацию
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру