Логирование на Cisco

Juniper/Cisco/Allied Telesis/D-Link/Zyxel
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Гость
проходил мимо

Логирование на Cisco

Непрочитанное сообщение Гость » 2010-03-16 16:02:33

Всем привет!
Подскажите пожалуйста как вы ведете логирование на ваших цисках, и как это вообще организовать.
Нашел что то на подобие:

Код: Выделить всё

switch#conf t
switch(config)#logging ?
   Hostname or A.B.C.D.      IP address of the logging host
но хотелось бы узнать мнение опытных людей, и как оптимальнее всего реализовать такую вещь.
Заранее вам благодарен ;-)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/


Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: Логирование на Cisco

Непрочитанное сообщение m0ps » 2010-03-17 11:45:00

Либо крутишь связку rsyslog+phplogcon либо ставишь готовый апплианс - http://www.syslogappliance.de/en/
настройка кошки - как по ссылке от скелетора, только стоит еще оговорить возможность указывать с какого интерфейса будут идти логи:

Код: Выделить всё

logging source-interface FastEthernet0/0

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: Логирование на Cisco

Непрочитанное сообщение Al » 2010-03-21 22:34:02

На фре к указанию адреса еще неплохо было б добавить тип- *. Иначе бывает, что не работает.


Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: Логирование на Cisco

Непрочитанное сообщение m0ps » 2010-03-23 15:13:48

Гость писал(а):Какие отзывы на счет Kiwi Syslog Daemon?
он же ж по винду %)

Гость
проходил мимо

Re: Логирование на Cisco

Непрочитанное сообщение Гость » 2010-03-24 11:08:13

m0ps писал(а):
Гость писал(а):Какие отзывы на счет Kiwi Syslog Daemon?
он же ж по винду %)
Так да. Чтоб на виндовой машине скинуть логи циске.

Гость
проходил мимо

Re: Логирование на Cisco

Непрочитанное сообщение Гость » 2010-03-30 9:14:00

Здраствуйте!
Настроил логирование на виндовский демон Kiwi Syslog и обнаруживаю момент настройки с 172.16.10.14 :

Код: Выделить всё

03-29-2010	17:01:48	Local7.Notice	172.16.10.4	27773: Mar 29 17:01:32.885 EET: %SYS-5-CONFIG_I: Configured from console by carlo on vty0 (172.16.10.14)
03-29-2010	16:58:53	Local7.Notice	172.16.10.4	27770: Mar 29 16:58:38.009 EET: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/20, changed state to up
03-29-2010	16:58:49	Local7.Notice	172.16.10.4	27769: Mar 29 16:58:33.197 EET: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/20, changed state to down
Но как можно узнать не только кто и во сколько, а какие именно настройки проделал данный юзер?
Большое спасибо.


Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: Логирование на Cisco

Непрочитанное сообщение m0ps » 2010-04-07 8:35:18

Гость писал(а):Вопрос еще актуален :roll:
для логирования телодвижений на кошках нужно использовать tacacs+

camelot@col.ru
проходил мимо

Re: Логирование на Cisco

Непрочитанное сообщение camelot@col.ru » 2010-08-09 19:54:34

Если с таксой ковыряться неохота (кстати имхо зря) то посмотрите в сторону archive (есть не во всех версиях софта)

Код: Выделить всё

!
archive
 log config
  logging enable
  logging size 150
  notify syslog
  hidekeys
 path flash:archive
 maximum 3
 rollback filter adaptive
 write-memory
 time-period 1440
!
в сислог будет писаться чтото типа:

Код: Выделить всё

.Aug  9 20:47:17: %PARSER-5-CFGLOG_LOGGEDCMD: User:camelot  logged command:interface FastEthernet0/1.2
.Aug  9 20:47:19: %PARSER-5-CFGLOG_LOGGEDCMD: User:camelot  logged command:shutdown
.Aug  9 20:47:21: %PARSER-5-CFGLOG_LOGGEDCMD: User:camelot  logged command:no shutdown
.Aug  9 20:47:23: %SYS-5-CONFIG_I: Configured from console by camelot on vty0 (...)
также есть интересная команда
show archive config differences nvram:startup-config system:running-config
Если стартап отличается от ранинг конфига, оно покажет разницу. Это даже несовсем линуксовый diff, оно определяет в каком контексте производились изменения.

Код: Выделить всё

GW-FreeBSD#$e config differences nvram:startup-config system:running-config
Contextual Config Diffs:
archive
 log config
  +notify syslog
  +hidekeys

MWS_KeKs
проходил мимо

Re: Логирование на Cisco

Непрочитанное сообщение MWS_KeKs » 2011-01-26 13:04:21

Вопрос по логгированию.
В общем поднял на винде суслог сервер, в конфиге прописал что бы все логи сыпались туда. Впринципе что то летит, но не все. прописывал примерно следующее:
cisco(config)#logging facility local7
cisco(config)#logging trap debugging
cisco(config)#logging 192.168.0.2

По идее facility local7 это уровень включающий логи всех уровней которые ниже, но что то там их(логов) не особо много летит. Видимо я чего то не понимаю. На данный момент меня интересуют логи по авторизации (вход на циску, вход в административный режим, все попытки, удачные, не удачные, что бы фиксировалось под каким логином были неудачные попытки... ну в общем все) Пробовал вместо facility local7 прописывать facility auth - логов по авторизации так и не увидел.

Где то читал что подробный логгинг авторизации можно намутить при помощи ААА, но нормальных инструкций по этому поводу найти не удалось.
Помогите нуждающемуся. Заранее спасибо.

MWS_KeKs
проходил мимо

Re: Логирование на Cisco

Непрочитанное сообщение MWS_KeKs » 2011-01-26 13:49:03

Нужны Логи примерно такого вида:
Feb 19 2010 01:19:49: %ASA-6-611102: User authentication failed: Uname: admin
Feb 19 2010 01:20:05: %ASA-6-611102: User authentication failed: Uname: qwertyui
Feb 19 2010 01:20:49: %ASA-6-611101: User authentication succeeded: Uname: admin

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Логирование на Cisco

Непрочитанное сообщение hizel » 2011-01-26 14:00:18

local7 относится к syslog
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

MWS_KeKs
проходил мимо

Re: Логирование на Cisco

Непрочитанное сообщение MWS_KeKs » 2011-01-26 15:32:44

hizel писал(а):local7 относится к syslog
Ну я как бы вкурсе...

lap
лейтенант
Сообщения: 608
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: Логирование на Cisco

Непрочитанное сообщение lap » 2011-01-26 16:17:38

MWS_KeKs писал(а): cisco(config)#logging facility local7
cisco(config)#logging trap debugging
Тип уровня логирования задается в logging trap ХХХХ. По фасилити логсервер запихнет это все в конкретный файлик (если конечно это не какойнибудь более умный сислог).
Про логирование ааа надо посмотреть. Теоретически должно уметь.
Не сломалось - не чини.

mihalich
проходил мимо

Логирование на Cisco

Непрочитанное сообщение mihalich » 2015-04-01 15:36:58

вдруг кому понадобиться :)

login on-failure log
login on-success log
!
ip ssh logging events

у меня так сделано