Cisco: giám sát đầu vào của người dùng

Có cách nào để theo dõi đầu vào của người dùng trên thiết bị cisco không?

Làm rõ: các lệnh mà người dùng đã nhập như trong chế độ cấu hình VÀ chế độ bình thường. (đặc biệt là chế độ bình thường. Chế độ cấu hình có thể được thực hiện với "lịch sử hiển thị").

Hãy xem bài đăng trên IOSH gợi ý này: ghi nhật ký lệnh CLI mà không cần TACACS + . Và tiêu đề dường như ngụ ý nó cũng có thể được thực hiện với TACACS +.

Giả sử bạn đang sử dụng TACACS +, bạn có thể định cấu hình:

tacacs-server host x.x.x.x key xxxxx

aaa accounting commands 0 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+

Cũng bao gồm một dòng cho bất kỳ cấp độ kích hoạt khác mà bạn có thể sử dụng.

Vì câu hỏi của bạn không bị hạn chế đối với IOS: trên các thiết bị Cisco ASA, bạn có thể thấy các lệnh được thực thi trong syslog. Họ nhìn theo cách này:

May 17 11:45:12 192.168.0.1 %ASA-5-514008: User 'stefan' executed the 'write memory' command.

Vì vậy, bạn có thể lọc các tin nhắn như vậy, ví dụ như sử dụng grepvà công việc định kỳ. Tất nhiên bạn cần phải thiết lập mức độ nghiêm trọng cần thiết, ở đây 5 để thông báo .

Tôi đã sử dụng splunk để trực tiếp nhận và lưu trữ các thông báo nhật ký hệ thống tường lửa, lập trình một cảnh báo chạy hàng ngày sẽ gửi cho tôi tất cả các dòng nhật ký hệ thống ASA có chứa "thực thi" dưới dạng email tóm tắt. Tôi đã làm điều này bởi vì tôi đã có sẵn tại chỗ để theo dõi và báo cáo.

TACACS + là phương pháp ưa thích để ghi nhật ký các lệnh CLI ở bất kỳ mức kích hoạt nào. Xem các lệnh AAA và TACACS để biết cấu hình. Có phần mềm nguồn mở nếu bạn không có hoặc không thể mua Cisco ACS hoặc các sản phẩm tương tự.

Nhưng đối với một tính năng thực sự thú vị và hiếm khi được sử dụng, bạn có thể tự chuyển đổi một cấu hình diff (erence) trên running-config và startup-config và gửi email cho các thay đổi hoặc deltas cho bạn!

Đây là cách tôi có các công tắc 4510R được cấu hình để thay đổi cấu hình email. Điều này sử dụng trình quản lý sự kiện để thực hiện công việc.

Đầu tiên, một số cài đặt phổ biến cho máy chủ thư, từ và đến địa chỉ.

    event manager environment _email_server a.b.c.d.
    event manager environment _email_from netops@example.com
    event manager environment _email_to netops@example.com

Sau đó, các applet thực tế để làm khác. Điều này là khá tự giải thích.

    event manager applet config_diff_email authorization bypass
    event syslog pattern ".*%SYS-5-CONFIG.*"
    action 1.0 info type routername
    action 1.1 cli command "enable"
    action 1.2 cli command "show archive config diff nvram:/startup-config system:/running-config"
    action 1.3 mail server "$_email_server" to "$_email_to" from "$_email_from" subject "Config Change Alert ($_info_routername)" body "$_cli_result"
    action 1.4 syslog msg "Config Change Alert emailed" 

Lưu ý rằng ngay cả khi đi vào cấu hình và không thực hiện thay đổi vẫn kích hoạt email khác. Và một nhược điểm của điều này là CPU tăng đột biến trong khoảng 10 giây khi nó chạy.

Tôi sử dụng cấu hình sau và nó ghi lại các lệnh cấu hình, cũng như một vài thứ khác như 'enable':

archive
 log config
  logging enable
  notify syslog
  hidekeys