Ключевые слова:cisco, log, syslog, aaa, accounting, snmp, monitoring, (найти похожие документы)
Автор: Нижеголенко Алексей Викторович <[email protected]>
Newsgroups: email
Date: Mon, 09 Feb 2009 17:02:14 +0000 (UTC)
Subject: Журналирование событий на маршрутизаторе Cisco
Ведение "лог" журналов это всегда компромисс, между сбором
максимально возможного количества информации и таким её количеством
которое Вы способны "переварить". Зачастую сетевой администратор
начинает интересоваться лог файлами после возникновения серьёзных
проблем с его сетевыми устройствами, ранее предупреждение о возможных
проблемах есть первым и главным достоинством лог журналов. Многие
сетевые администраторы оставляют стандартными настройки касающиеся
сбора логов на своих маршрутизаторах, тем самым лишая себя возможности
получать большое количество дополнительной полезной информации. В этом
документе коснемся вопросов сбора "логов" с маршрутизаторов Cisco.
Нужно отдавать себе отчёт что только регулярный мониторинг лог журналов
позволит Вам получить пользу от их ведения. В зависимости от важности
ваших устройств это можно делать раз в сутки или в реальном времени,
организовывать регулярные уведомления системных администраторов о
важных событиях замеченных в лог журналах через email или sms.
При наличии большого количества устройств в Вашей сети, имеет смысл
подумать о автоматизации процесса просмотра лог журналов, для этого
существует масса специализированного программного обеспечения, хорошим
решением будет сбор логов со всех ваших маршрутизаторов на центральный
syslog сервер, это позволит использовать для их мониторинга одно ПО с
нужными Вам настройками.
Сбор лог сообщений.
Существует шесть способов сбора логов с cisco маршрутизаторов:
1. Вывод сообщений на консоль (Console logging) -- в этом случае
сообщения выводятся на консоль маршрутизатора, и для того чтобы
прочесть их Вы должны быть подключены к консоли.
2. Сбор логов в буфер маршрутизатора (Buffered logging) -- в этом
случае все интересующие нас сообщения будут размещаться в RAM
памяти маршрутизатора. Для этого необходимо настроить буфер для
логов в маршрутизаторе, так же следует помнить что буфер ограничен
и при большом количестве сообщений старые записи будут затёрты
более новыми и будут потеряны.
3. Сбор логов на терминал (Terminal logging) -- используя команду
terminal monitor можно заставить маршрутизатор выводить лог
сообщения на VTY терминалы.
4. Syslog -- маршрутизатор cisco будит посылать лог сообщения на один
или несколько внешних syslog сервера.
5. SNMP traps - маршрутизатор может посылать SNMP сообщения (traps) на
удалённый SNMP сервер для сбора событий происходящих на
маршрутизаторе.
6. AAA accounting -- если Вы используете AAA, то можете заставить
маршрутизатор отправлять информацию о сетевых подключениях и
командах выполненных на маршрутизаторе на NAS (Network Access
Server) сервер.
Лог сообщениям присваивается приоритет от 0 до 7. Чем ниже число тем
более критичные сообщения, в таблице представлены соответствия уровней
логирования и их значений:
Уровень
0 Emergencies Система не работоспособна
1 Alerts Необходимо срочное вмешательство
2 Critical Критические события
3 Errors Сообщения о ошибках
4 Warning Всевозможные предупреждения
5 Notifications Различные важные уведомления
6 Informational Информационные сообшения
7 Debugging Отладочые сообщения
Каждый уровень логирования будет снабжать Вас опредиленными типами
сообщений, так например уровень 7 (отладочный) будет выводить все
сообщения от 7 до 0 уровня, а если вы выберете уровень 2 то будете
получать только собщения от уровня 2 до 0.
Временные метки
--------------
Довольно важным при сборе логов является настроить правильное
системное время на вашем сетевом устройстве. Также следует убедится что
все лог сообщения снабжены подробными временными отметками, иначе будет
просто невозможно правильно определить когда произошло происшествие или
интересующее нас событие. Для того чтобы заставить маршрутизатор Cisco
снабжать все лог сообщения подробным временем их происхождения, следует
использовать команду service timestamps log datetime. Данная команда
имеет ряд опций, которые позволят Вам настроить нужную глубину выводимой
информации:
* msec -- указывать миллисекунды в каждой лог записи, без этой опции
лог сообщения будут иметь временные отметки глубиной до секунды;
* localtime -- эта опция указывает маршрутизатору использовать
местное время для лог записей, рекомендуется использовать её для
упрощения понимания логов. Однако следует помнить о возможной
путанице, если несколько маршрутизаторов с разных часовых поясов,
буду писать свои логи на один syslog сервер;
* Show-timezone -- при помощи данной опции можно заставить
маршрутизатор указывать текущий часовой пояс в каждом лог
сообщении, при помощи этой опции можно упростить разбор лог
сообщений от нескольких устройств с разными часовыми поясами;
Пример этой команды ниже:
RouterOne# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterOne(config)# service timestamps log datetime msec localtime show-timezone
Рассмотрим более подробно настройку и использование перечисленных выше
способов сбора логов с маршрутизаторов Cisco.
Вывод сообщений на консоль - Console Logging
Для того что бы видеть консольные сообщения, вы должны подключится к
консоли маршрутизатора. По умолчанию консоль настроена на уровень 5
(уведомления), то есть на консоль будут выводится различные уведомления
уровня 5 и сообщения вышестоящих уровней.
Уровень логирования консоли можно изменить. Для того чтобы изменить
уровень сообщений выводимых на консоль, следует использовать команду
logging console. При этом следует указать новый уровень логирования от
0 до 7. Если вы хотите получать все возможные сообщения на вашу
консоль, следует выбрать уровень 7, как показано на примере ниже:
RouterOne# config terminal
Enter configuration commands, one per line.End with CNTL/Z.
RouterOne(config)# logging console 7
Или так
RouterOne# config terminal
Enter configuration commands, one per line.End with CNTL/Z.
RouterOne(config)# logging console debugging
Также может быть очень полезной команда logging synchronous на консоль,
это упростит чтение и ввод сообщений в маршрутизатор.
Сбор логов в буфер маршрутизатора - Buffered Logging
Сбор логов в буфер маршрутизатора использует для хранения информации
его RAM память. Исходя из того что память не безгранична, то сбор логов
таким способом имеет циклический характер, при переполнении
определённого размера буфера старые сообщения будут перезаписываться
новыми. На маршрутизаторе будут сохраняться последние важные лог
сообщения при этом занимая ограниченное количество памяти.
Размер буфера отводимого для лог сообщений следует настраивать исходя
из размера RAM на Вашем маршрутизаторе, он должен быть достаточным для
того что бы хранить наиболее важные лог сообщения и при этом не
занимать память маршрутизатора сверх меры. Размер буфера в 16,000 или
32,000 байт как правило достаточен и не съедает слишком много его
памяти. Вы можете изменять эти значения если Вам требуется большая
глубина хранения логов.
Для того чтобы включить запись лог сообщений в буфер следует:
1. Включить логирование на маршрутизаторе командой logging on, если
оно не включено;
2. Настроить размер буфера командой logging buffered;
3. Указать уровень лог сообщений которые будут писаться в буфер, также
командой logging buffered;
В следующем примере показана настройка буфера размером в 32,000 байт и
уровня логирования 6 (информационный):
RouterOne# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterOne(config)# logging on
RouterOne(config)# logging buffered 32000
RouterOne(config)# logging buffered informational
Сбор логов на терминал
На консоль маршрутизатора вывод логов настроен по умолчанию, но на
виртуальные терминалы (VTY) изначально они не посылаются. Если вы
подключаетесь к своему маршрутизатору по сети через VTY терминал и при
этом желаете получать на него логи, тогда используйте команду terminal
monitor.
1. Используйте команду logging monitor для настройки уровня лог
сообщений которые будут посылаться на Ваш виртуальный терминал;
2. В привилегированном режиме, в командной строке наберите команду
terminal monitor.
В следующем примере настроим маршрутизатор посылать на виртуальный
терминал лог сообщения уровнем 3 (ошибки) и выше:
RouterOne# config terminal
Enter configuration commands, one per line.End with CNTL/Z.
RouterOne(config)# logging monitor error
RouterOne(config)# ^Z
RouterOne# terminal monitor
Если Вы собираетесь настроить маршрутизатор посылать лог сообщения на
виртуальные терминалы следует учитывать скорость вашего подключения к
нему. Если вы подключаетесь к маршрутизатору по "узкому" каналу и при
этом установите уровень лог сообщений в отладочный, ваше сетевое
соединение может не справится с выводом огромного количества сообщений
на виртуальный терминал, тем самым Вы можете серьёзно затруднить работу
с маршрутизатором или вовсе потерять такую возможность. Как бы там ни
было вывод лог сообщений на VTY терминал можно отключить с консоли,
командой terminal no monitor в привилегированном режиме.
Syslog
Сбор лог сообщений на Syslog сервер, является наверное наиболее важным
и удобным способом сбора логов с маршрутизатора. Все предыдущие способы
позволяли выводить лог сообщения на консоль или хранить их в памяти
маршрутизатора, при этом время доступности таких сообщений ограничено
по понятным причинам, а следовательно отсутствует возможность глубокого
анализа ситуации. После того как сообщения были затёрты в буфере
маршрутизатора или удалены с его терминала вы их более не увидите.
Как правило все Unix имеют syslog сервера. В большинстве организаций в
которых должным образом уделяют внимание сетевой безопасности, имеется
пару централизованных Syslog серверов, на которые непрерывно
складываются логи со всех важных сетевых устройств организации. Такой
подход позволяет централизовать сбор важных лог сообщений что в свою
очередь упростить их поиск и разбор.
Правильным решением будет настроить Ваш маршрутизатор отсылать логи на
такой syslog сервер, это позволит иметь полную статистику происходящих
с маршрутизатором событий, проводить анализ и заранее выявлять
возможные проблемы.
Syslog facilities
При разборе приходящих на него сообщений, syslog сервер руководствуется
специальными правилами, основанными на категориях (facilities) лог
сообщений. На основании этих категорий все приходящие лог сообщения на
"демон" syslog, сортируются и записываются в определённые файлы,
упростив тем самым их разбор в дальнейшем.
В таблице ниже приведены стандартные категории syslog:
User Лог сообщения генерируемые процессами пользователя
Kern Лог сообщения генерируемые ядром
Mail Лог сообщения от почтовой системы
Daemon Лог сообщения генерируемые системными демонами
Auth Лог сообщения связаные с авторизацией пользователей
LPR Логи от системы печати
News Логи от сервера новостей
UUCP Зарезервировано за системой UUCP
Cron Лог сообщения полученные от cron
Local0 Зарезервированная категория, для использования администратором системы.
Local1 Зарезервированная категория, для использования администратором системы.
Local2 Зарезервированная категория, для использования администратором системы.
Local3 Зарезервированная категория, для использования администратором системы.
Local4 Зарезервированная категория, для использования администратором системы.
Local5 Зарезервированная категория, для использования администратором системы.
Local6 Зарезервированная категория, для использования администратором системы.
Local7 Зарезервированная категория, для использования администратором системы.
Как правило маршрутизаторы Cisco для работы с syslog сервером
используют одну из зарезервированных категорий от Local0 до Local7.
Следует предварительно настроить Syslog сервер, для того чтобы он мог
принимать и записывать сообщения от наших Cisco маршрутизаторов. На
большинстве Unix систем его конфигурационный файл находится
/etc/syslog.conf, стандартный формат этого файла выглядит так:
Facility.Severity logfile
В любом случае, если Вы не достаточно знакомы с настройкой демона
Syslog, простым способом заставить его записывать сообщения от вашего
маршрутизатора, будет использование уже имеющихся на нем категорий. Но
это приведет к смешиванию сообщений от вашего маршрутизатора с другими
логами
которые будут приходить на эту категорию, что в свою очередь затруднит
их разбор. Поэтому правильно будет настроить для логирования сообщений
с Cisco одну из свободных категорий, например Local6 или Local7, и
отсылать сообщения в отдельный файл. Например что бы заставить Syslog
сервер записывать все сообщения с категорией local6 в файл
/var/log/cisco, ваш /etc/syslog.conf должен содержать подобную запись:
local6.info /var/log/cisco
Так же нужно настроить маршрутизатор отсылать на Syslog сервер свои
сообщения в категорию Local6.
Пример настройки Cisco маршрутизатора для работы с Syslog сервером.
Для настройки сбора сообщений с маршрутизатора Cisco на Syslog сервер
нужно:
1. Настроить syslog facility (категории) используя команду logging
facility.
2. Настроить "глубину" логирования командой logging trap.
3. Указать адрес syslog сервера на который буду отсылаться лог
сообщения командой logging.
В следующем примере настроим маршрутизатор отсылать лог сообщения на
сервер 13.18.10.4, используя facility local6 и уровень логирования
informational:
RouterOne#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterOne(config)#logging facility local6
RouterOne(config)#logging trap informational
RouterOne(config)#logging 13.18.10.4
Можно указать дополнительные syslog сервера, для дублирования лог
записей при помощи дополнительных команд logging <ip-address>.
Пару слов о безопасности.
По умолчанию большинство syslog серверов принимают лог сообщения от
любых клиентов, это не даст возможности злоумышленнику изменить уже
записанные лог сообщения на вашем сервере, но зато можно "зафлудить"
ваш лог поддельными сообщениями, что серьёзно осложнит его дальнейший
разбор. Так же злоумышленник может попросту заполнить всё наличное
дисковое пространство на вашем syslog сервере, тем самым сделав
невозможным приём им важных записей от ваших сетевых устройств. Поэтому
нужно уделить должное внимание безопасности, как минимум syslog сервер
не должен принимать сообщения от клиентов за пределами Вашей сети, для
этого нужно ограничить доступ из вне к порту 514 (UDP). Хорошей идеей
будет разрешать доступ к syslog серверам только тем клиентам которым
это нужно, даже внутри вашей сети.
Порядковые номера syslog записей.
Не так давно Cisco добавила возможность сопровождать каждое syslog
сообщение порядковым номером. Этот порядковый номер увеличивается с
каждым новым сообщением. Эта функция может помочь администратору
распознать подделку записей в лог файле. Если порядковые номера в лог
файле прерываются или имеют не правильные значения, это может означать
что он не полон или кем то модифицирован.
Включение порядковых номеров показано на примере:
RouterOne#config terminal
Enter configuration commands, one per line.End with CNTL/Z.
RouterOne(config)#service sequence-numbers
От порядковых номеров в лог сообщениях будет мало толку, если
злоумышленник имеет доступ к вашим лог файлам, он запросто может
подделать эти самые порядковые номера и тем самым скрыть модификацию
лог записей. Но всё же подобный механизм иногда может быть полезен для
контроля целостности Ваших лог записей.
Ограничение количества лог сообщений.
В IOS версии 12.1(3)Т появилось возможность ограничивать количество
syslog сообщений рассылаемых маршрутизатором в отдельный промежуток
времени. Так как некоторые события происходящие на маршрутизаторе
иногда могут генерировать тысячи сообщений в секунду это может просто
перегрузить принимаемый их syslog сервер. Для ограничения количества
лог сообщений отсылаемых с маршрутизатора используйте команду logging
rate-limit.
Пример ограничения до 10 syslog сообщений в секунду:
RouterOne#config terminal
Enter configuration commands, one per line.End with CNTL/Z.
RouterOne(config)#logging rate-limit all 10
Можно указать исключения для которых не будут действовать ограничения
количества лог сообщений, например ограничивать только "неважные"
сообщения.
Пример ограничения количества сообщений кроме сообщений уровнем error
или выше:
RouterOne#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterOne(config)#logging rate-limit all 10 except error
Сообщения SNMP (SNMP Traps)
Если на вашем маршрутизаторе запущен SNMP, вы можете использовать SNMP
уведомления для сбора дополнительной информации с него. Traps
(уведомления) это пакеты которые посылаются на SNMP сервер когда какое
то определённое событие произошло на маршрутизаторе, этими событиями
может быть повышенная температура, изменения в конфигурации, состояние
интерфейсов итд. Если Вы желаете включить SNMP уведомления на вашем
маршрутизаторе то следует:
1. При помощи команды snmp-server host указать SNMP сервер который будет принимать Traps;
2. Командой snmp-server enable traps включаем SNMP уведомления.
В следующим примере настроим маршрутизатор отсылать уведомления на SNMP
сервер с адресом 13.145.6.5:
RouterOne#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterOne(config)#snmp-server host 13.145.6.5 public
RouterOne(config)#snmp-server enable traps
В данном примере мы указали маршрутизатору отсылать все возможные
уведомления (Traps) на SNMP сервер. При помощи дополнительных
аргументов к команде snmp-server enable traps Вы можете ограничить виды
посылаемых уведомлений. Обратитесь к документации Cisco по SNMP Traps
за более детальной информацией.
Учёт нарушений списков доступа ACL
Кроме логирования системных событий на маршрутизаторе, немаловажным
является также и определение "срабатывания" списков доступа (ACL).
При помощи логирования списков ACL вы сможете увидеть попытки нарушить
их. Это может быть удобно, для определения времени когда злоумышленник
пытался получить доступ на ваш маршрутизатор из вне. Логирование
нарушений списков ACL может быть включено добавлением параметров log
или log-input в конце вашего ACL списка. Следует быть внимательным при
добавлении логирования на ваши списки доступа, иначе может случится что
Вы будите логировать каждый пакет проходящий через ваш маршрутизатор.
Добавляйте логирование только на те списки которые очень важны для
безопасности вашей сети.
Параметр log фиксирует только - тип, дату и время нарушения списка
доступа ACL, это единственный возможный параметр на стандартных списках
доступа. В расширенных списках можно указывать параметр log-input он
позволит получить более подробную информацию такую как интерфейс и MAC
адрес источника.
Антиспуфинг
В следующем примере настроим простой антиспуфинг при помощи ACL списка
доступа, при этом будим логировать все входящие и исходящие попытки
спуфинга. В этом примере 130.18.0.0/16 является нашей внутренней сетью.
Входящий фильтр который отлавливает все "поддельные" пакеты выглядит
так:
RouterOne#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterOne(config)#access-list 115 deny ip 130.18.0.0 0.0.255.255 any log-input
RouterOne(config)#access-list 115 permit ip any any
Этот фильтр нужно повесить на вход всех внешних интерфейсов, в нашем
случае это интерфейс Serial 0/0:
RouterOne#config terminal
Enter configuration commands, one per line.
RouterOne(config)#int Serial 0/0
RouterOne(config-if)#ip access-group 115 in
Фильтр который логирует все попытки посылки поддельных пакетов из
внутренней сети имеет вид:
RouterOne#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterOne(config)#access-list 116 permit ip 130.18.0.0 0.0.255.255 any
RouterOne(config)#access-list 116 deny ip any any log-input
Ставим его на выход наших внешних интерфейсов:
RouterOne#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterOne(config)#int Serial 0/0
RouterOne(config-if)#ip access-group 116 out
Логирование попыток доступа через VTY терминалы.
Контроль попыток подключения к маршрутизатору через vty терминалы очень
важен. Это может заранее предупредить Вас о попытках злоумышленника
получить доступ к вашему маршрутизатору. Например Вы хотите чтобы через
виртуальную консоль к вашему маршрутизатору имел доступ только IP
130.18.5.6, для этого напишем ACL:
RouterOne#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterOne(config)#access-list 117 permit ip host 130.18.5.6 any
RouterOne(config)#access-list 117 deny ip any any log-input
Далее установим этот список доступа на VTY терминалы от 0 до 4:
RouterOne#config terminal
Enter configuration commands, one per line.
RouterOne(config)#line vty 0 4
RouterOne(config-line)#access-class 117 in
Теперь при попытках неавторезированого доступа к VTY будет
сгенирировано лог сообщение подобного вида:
Oct 13 21:10:44.185 EDT: %SEC-6-IPACCESSLOGP: list 120 denied tcp
19.8.59.41(63104) - > 0.0.0.0(23), 1 packet
Многие администраторы хотят иметь полную информацию о всех сеансах на
VTY терминалах маршрутизатора, как успешных так и заблокированных. Если
есть необходимость учитывать все сеансы на виртуальных терминалах, то
хорошей идеей будет использовать параметр established при логировании
успешных попыток доступа на терминалы, без лишней перегрузки syslog
сервера. Нужно пропускать без логирования все пакеты уже установленного
TCP соединения, пропускать и логировать все первые пакеты TCP сессий с
разрешеных IP и блокировать и логировать остальные пакеты.
В следующем примере будим логировать все попытки доступа к виртуальным
терминалам как успешные так и нет:
RouterOne#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterOne(config)#access-list 117 permit tcp host 130.218.5.6 any established
RouterOne(config)#access-list 117 permit tcp host 130.218.5.6 any log-input
RouterOne(config)#access-list 117 deny ip any any log-input
AAA Accounting
AAA accounting позволит Вам получить дополнительную лог информацию с
маршрутизатора, которая не может быть получена при помощи выше
рассмотренных методов сбора статистики. Используя Cisco TACACS+, AAA
accounting сможет например, сохранить информацию о каждой команде
выполненной на маршрутизаторе при помощи Network Access Server (NAS).
Методы AAA Accounting
Существует пять методов сбора статистики при помощи AAA accounting -
EXEC, System, Command, Connection, и Network. Краткое описание этих
методов:
* EXEC accounting - сохраняет информацию о каждом EXEC или Shell
сеансе на маршрутизаторе, при этом записывается информация о имени
пользователя, дате, времени, и IP адресе системы подключавшейся к
маршрутизатору;
* System accounting - этот метод будет сохранять информацию о
системных событиях маршрутизатора, таких как перезагрузки системы,
выключение питания итд;
* Command accounting - сохраняет информацию о командах вводимых в
EXEC или Shell сессиях. Записывается информация о том какая команда
выполнялась, кто запускал эту команду, когда она запускалась, и с
каким уровнем привилегий. Следует помнить что старая версия
реализации RADIUS в Cisco не поддерживает Command accounting, то
есть нужно использовать TACACS+ или обновить IOS;
* Connection accounting - записывает информацию о исходящих
соединениях сделанных с маршрутизатора, таких как telnet, rlogin,
LAT;
* Network accounting - сохраняет информацию о PPP, SLIP, и ARAP
сессиях.
Типы AAA Accounting
Для логирования наиболее возможного колличества полезной информации
следует использовать все пять методов AAA accounting. Каждый метод
поддерживает три типа логирования:
* start-stop - параметр start-stop позволяет настроить маршрутизатор
посылать лог сообщения когда сервис запускается и останавливается.
Например если указать параметр start-stop для EXEC, то будет
создано два лог сообщения, одно когда пользователь запустит сессию
и другое по её окончанию;
* stop-only - этот параметр заставит маршрутизатор создать сообщение
только при окончании работы сервиса. Для EXEC accounting этот
параметр создаст запись о том когда пользователь закончил работу с
маршрутизатором;
* wait-start - этот параметр откладывает запуск сервиса до тех пор,
пока с сервера NAS не будет получено подтверждение о том что лог
сообщение о этом событии получено. Этот параметр применяют для
особо важных действий, когда каждое соединение и команда
выполненная на маршрутизаторе должна быть обязательно записана.
Если NAS сервер не пошлет уведомление о том что лог запись была
успешно создана, маршрутизатор не запустит этот сервис или не будет
выполнять данную команду.
Настройка AAA Accounting
Рекомендуемые начальные настройки для каждого метода показаны в таблице
ниже:
Метод Рекомендуемые значения Пояснения
EXEC start-stop
Этот метод позволит проще всего определить когда кто то подключался к
маршрутизатору.
System stop-only
Для системных событий как правило достаточно типа stop-only.
Command stop-only
Команды как правило выполняются в коротком промежутке времени, и этот
параметр позволит избежать дублирования сообщений о каждой выполненной
команде.
Connection start-stop
Учет времени начала и конца исходящих соединений с маршрутизатора,
позволит иметь полную статистику и проще анализировать логи.
Network start-stop
Для облегчения разбора лог сообщений, также следует использовать
параметр start-stop.
Примеры конфигурирования вышеперечисленных методов сбора статистики
приведены ниже:
Accounting с помощью TACACS+
Если Вы используете сервер TACACS для работы AAA, включить EXEC,
System, Command, Connection, и Network аккаунтинг на Ваш NAS сервер
можно следующим образом:
RouterOne#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterOne(config)#aaa accounting exec default start-stop group tacacs+
RouterOne(config)#aaa accounting system default stop-only group tacacs+
RouterOne(config)#aaa accounting connection default start-stop group tacacs+
RouterOne(config)#aaa accounting network default start-stop group tacacs+
Для настройки Command accounting следует также указать уровень
привилегий для которых требуется сбор информации на сервер, например
так:
RouterOne#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterOne(config)#aaa accounting commands 1 default stop-only group tacacs+
RouterOne(config)#aaa accounting commands 15 default stop-only group tacacs+
Accounting при помщи RADIUS
Если Вы используете сервер RADIUS для работы AAA, включить EXEC,
System, Command, Connection, и Network аккаунтинг на Ваш NAS сервер
можно следующим образом:
RouterOne#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterOne(config)#aaa accounting exec default start-stop group radius
RouterOne(config)#aaa accounting system default stop-only group radius
RouterOne(config)#aaa accounting connection default start-stop group radius
RouterOne(config)#aaa accounting network default start-stop group radius
Также следует указать уровни привилегий для которых будет работать
Command accounting. Старые версии IOS не поддерживают Command
accounting на RADIUS сервер, поэтому если у вас старая версия то
следует использовать TACACS или обновить IOS:
RouterOne#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterOne(config)#aaa accounting commands 1 default stop-only group radius
RouterOne(config)#aaa accounting commands 15 default stop-only group radius
Логирование неудачных попыток AAA аутентификации
ААА может быть настроена для учёта неудачных попыток аутентификации на
Ваш маршрутизатор, эта информация также является важной, пример
настройки AAA для учета всех неудачных попыток доступа на маршрутизатор
выглядит так:
RouterOne#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterOne(config)#aaa accounting send stop-record authentication failure
добавлю, что это не минус радиуса, а сугубо желание циски протолкнуть свой протокол...
то же самое касается не только логирования комманд, но и их авторизации на радиус-сервере(http://wiki.freeradius.org/Cisco#Command_Authorization)
Здравствуйте, спасибо за статью!
подскажите, пожалуйста,если syslog настроен с лвл трапом 3,например, то какие типы логов он будет конфигурировать?
0 emergency
1 alerts
2 critical
3 errors
?
Будет ли отправляться emergency? ведь по сути устройство вышло из строя и не может вообще какие то логи посылать.
Добрый день!
А есть возможность редактировать логи, хранящиеся в RAM памяти маршрутизатора?
То есть не очистить полностью, а удалить, условно, 2 и 5 строчки.