Логирование на Cisco

Juniper/Cisco/Allied Telesis/D-Link/Zyxel
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Гость
проходил мимо

Логирование на Cisco

Непрочитанное сообщение Гость » 2010-03-16 16:02:33

Всем привет!
Подскажите пожалуйста как вы ведете логирование на ваших цисках, и как это вообще организовать.
Нашел что то на подобие:

Код: Выделить всё

switch#conf t
switch(config)#logging ?
   Hostname or A.B.C.D.      IP address of the logging host

но хотелось бы узнать мнение опытных людей, и как оптимальнее всего реализовать такую вещь.
Заранее вам благодарен ;-)

Аватара пользователя
skeletor
майор
Сообщения: 2372
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Логирование на Cisco

Непрочитанное сообщение skeletor » 2010-03-16 22:08:48

"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: Логирование на Cisco

Непрочитанное сообщение m0ps » 2010-03-17 11:45:00

Либо крутишь связку rsyslog+phplogcon либо ставишь готовый апплианс - http://www.syslogappliance.de/en/
настройка кошки - как по ссылке от скелетора, только стоит еще оговорить возможность указывать с какого интерфейса будут идти логи:

Код: Выделить всё

logging source-interface FastEthernet0/0

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: Логирование на Cisco

Непрочитанное сообщение Al » 2010-03-21 22:34:02

skeletor писал(а):http://skeletor.org.ua/index.php?name=articles&op=read&art=39&cat=3

На фре к указанию адреса еще неплохо было б добавить тип- *. Иначе бывает, что не работает.

Гость
проходил мимо

Re: Логирование на Cisco

Непрочитанное сообщение Гость » 2010-03-23 15:02:44

Какие отзывы на счет Kiwi Syslog Daemon?

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: Логирование на Cisco

Непрочитанное сообщение m0ps » 2010-03-23 15:13:48

Гость писал(а):Какие отзывы на счет Kiwi Syslog Daemon?

он же ж по винду %)

Гость
проходил мимо

Re: Логирование на Cisco

Непрочитанное сообщение Гость » 2010-03-24 11:08:13

m0ps писал(а):
Гость писал(а):Какие отзывы на счет Kiwi Syslog Daemon?

он же ж по винду %)

Так да. Чтоб на виндовой машине скинуть логи циске.

Гость
проходил мимо

Re: Логирование на Cisco

Непрочитанное сообщение Гость » 2010-03-30 9:14:00

Здраствуйте!
Настроил логирование на виндовский демон Kiwi Syslog и обнаруживаю момент настройки с 172.16.10.14 :

Код: Выделить всё

03-29-2010   17:01:48   Local7.Notice   172.16.10.4   27773: Mar 29 17:01:32.885 EET: %SYS-5-CONFIG_I: Configured from console by carlo on vty0 (172.16.10.14)
03-29-2010   16:58:53   Local7.Notice   172.16.10.4   27770: Mar 29 16:58:38.009 EET: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/20, changed state to up
03-29-2010   16:58:49   Local7.Notice   172.16.10.4   27769: Mar 29 16:58:33.197 EET: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/20, changed state to down

Но как можно узнать не только кто и во сколько, а какие именно настройки проделал данный юзер?
Большое спасибо.


Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: Логирование на Cisco

Непрочитанное сообщение m0ps » 2010-04-07 8:35:18

Гость писал(а):Вопрос еще актуален :roll:

для логирования телодвижений на кошках нужно использовать tacacs+

camelot@col.ru
проходил мимо

Re: Логирование на Cisco

Непрочитанное сообщение camelot@col.ru » 2010-08-09 19:54:34

Если с таксой ковыряться неохота (кстати имхо зря) то посмотрите в сторону archive (есть не во всех версиях софта)

Код: Выделить всё

!
archive
 log config
  logging enable
  logging size 150
  notify syslog
  hidekeys
 path flash:archive
 maximum 3
 rollback filter adaptive
 write-memory
 time-period 1440
!


в сислог будет писаться чтото типа:

Код: Выделить всё

.Aug  9 20:47:17: %PARSER-5-CFGLOG_LOGGEDCMD: User:camelot  logged command:interface FastEthernet0/1.2
.Aug  9 20:47:19: %PARSER-5-CFGLOG_LOGGEDCMD: User:camelot  logged command:shutdown
.Aug  9 20:47:21: %PARSER-5-CFGLOG_LOGGEDCMD: User:camelot  logged command:no shutdown
.Aug  9 20:47:23: %SYS-5-CONFIG_I: Configured from console by camelot on vty0 (...)


также есть интересная команда
show archive config differences nvram:startup-config system:running-config
Если стартап отличается от ранинг конфига, оно покажет разницу. Это даже несовсем линуксовый diff, оно определяет в каком контексте производились изменения.

Код: Выделить всё

GW-FreeBSD#$e config differences nvram:startup-config system:running-config
Contextual Config Diffs:
archive
 log config
  +notify syslog
  +hidekeys

MWS_KeKs
проходил мимо

Re: Логирование на Cisco

Непрочитанное сообщение MWS_KeKs » 2011-01-26 13:04:21

Вопрос по логгированию.
В общем поднял на винде суслог сервер, в конфиге прописал что бы все логи сыпались туда. Впринципе что то летит, но не все. прописывал примерно следующее:
cisco(config)#logging facility local7
cisco(config)#logging trap debugging
cisco(config)#logging 192.168.0.2

По идее facility local7 это уровень включающий логи всех уровней которые ниже, но что то там их(логов) не особо много летит. Видимо я чего то не понимаю. На данный момент меня интересуют логи по авторизации (вход на циску, вход в административный режим, все попытки, удачные, не удачные, что бы фиксировалось под каким логином были неудачные попытки... ну в общем все) Пробовал вместо facility local7 прописывать facility auth - логов по авторизации так и не увидел.

Где то читал что подробный логгинг авторизации можно намутить при помощи ААА, но нормальных инструкций по этому поводу найти не удалось.
Помогите нуждающемуся. Заранее спасибо.

MWS_KeKs
проходил мимо

Re: Логирование на Cisco

Непрочитанное сообщение MWS_KeKs » 2011-01-26 13:49:03

Нужны Логи примерно такого вида:
Feb 19 2010 01:19:49: %ASA-6-611102: User authentication failed: Uname: admin
Feb 19 2010 01:20:05: %ASA-6-611102: User authentication failed: Uname: qwertyui
Feb 19 2010 01:20:49: %ASA-6-611101: User authentication succeeded: Uname: admin

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Логирование на Cisco

Непрочитанное сообщение hizel » 2011-01-26 14:00:18

local7 относится к syslog
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

MWS_KeKs
проходил мимо

Re: Логирование на Cisco

Непрочитанное сообщение MWS_KeKs » 2011-01-26 15:32:44

hizel писал(а):local7 относится к syslog

Ну я как бы вкурсе...

lap
лейтенант
Сообщения: 603
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: Логирование на Cisco

Непрочитанное сообщение lap » 2011-01-26 16:17:38

MWS_KeKs писал(а):cisco(config)#logging facility local7
cisco(config)#logging trap debugging


Тип уровня логирования задается в logging trap ХХХХ. По фасилити логсервер запихнет это все в конкретный файлик (если конечно это не какойнибудь более умный сислог).
Про логирование ааа надо посмотреть. Теоретически должно уметь.
Не сломалось - не чини.

mihalich
проходил мимо

Логирование на Cisco

Непрочитанное сообщение mihalich » 2015-04-01 15:36:58

вдруг кому понадобиться :)

login on-failure log
login on-success log
!
ip ssh logging events

у меня так сделано


Вернуться в «Активное сетевое оборудование»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость