Gibt es eine Möglichkeit, die Eingaben eines Benutzers auf einem Cisco-Gerät zu überwachen?
Erläuterung: Die Befehle, die ein Benutzer im Konfigurationsmodus UND im normalen Modus eingegeben hat. (Besonders normaler Modus. Der Konfigurationsmodus kann mit "Verlauf anzeigen" durchgeführt werden.)
Antworten:
Schauen Sie sich diesen IOSHints-Beitrag an: CLI-Befehlsprotokollierung ohne TACACS + . Und der Titel scheint zu implizieren, dass dies auch mit TACACS + möglich ist.
Angenommen, Sie verwenden TACACS +, können Sie Folgendes konfigurieren:
tacacs-server host x.x.x.x key xxxxx
aaa accounting commands 0 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
Fügen Sie auch eine Zeile für andere Aktivierungsstufen hinzu, die Sie möglicherweise verwenden.
Da Ihre Frage nicht auf IOS beschränkt ist: Auf Cisco ASA-Geräten werden ausgeführte Befehle im Syslog angezeigt. Sie sehen so aus:
May 17 11:45:12 192.168.0.1 %ASA-5-514008: User 'stefan' executed the 'write memory' command.
Sie können also nach solchen Nachrichten filtern, z. B. mit grepund einem Cron-Job. Natürlich muss der erforderliche Schweregrad festgelegt sein, hier 5 zur Benachrichtigung .
Ich habe Splunk zum direkten Empfangen und Speichern von Firewall-Syslog-Nachrichten verwendet und eine tägliche Warnmeldung programmiert, die mir alle ASA-Syslog-Zeilen mit "ausgeführt" als zusammenfassende E-Mail sendet. Ich habe dies getan, weil ich bereits Splunk für die Überwachung und Berichterstattung eingerichtet hatte.
TACACS + ist die bevorzugte Methode zum Protokollieren von CLI-Befehlen auf jeder Aktivierungsstufe. Informationen zur Konfiguration finden Sie in den Befehlen AAA und TACACS. Es gibt Open Source-Software, wenn Sie Cisco ACS oder ähnliche Produkte nicht haben oder sich nicht leisten können.
Aber für eine wirklich coole und selten verwendete Funktion könnte der Switch selbst einen Konfigurationsunterschied (erence) in der running-config und der startup-config ausführen und die Änderungen oder Deltas per E-Mail an Sie senden!
Hier ist, wie ich 4510R-Schalter konfiguriert habe, um Konfigurationsänderungen per E-Mail zu senden. Dies verwendet den Event Manager , um die Arbeit zu erledigen.
Zunächst einige allgemeine Einstellungen für den Mailserver von und zu Adressen.
event manager environment _email_server a.b.c.d.
event manager environment _email_from netops@example.com
event manager environment _email_to netops@example.com
Dann das eigentliche Applet, um den Diff zu machen. Dies ist ziemlich selbsterklärend.
event manager applet config_diff_email authorization bypass
event syslog pattern ".*%SYS-5-CONFIG.*"
action 1.0 info type routername
action 1.1 cli command "enable"
action 1.2 cli command "show archive config diff nvram:/startup-config system:/running-config"
action 1.3 mail server "$_email_server" to "$_email_to" from "$_email_from" subject "Config Change Alert ($_info_routername)" body "$_cli_result"
action 1.4 syslog msg "Config Change Alert emailed"
Beachten Sie, dass selbst wenn Sie in die Konfiguration gehen und keine Änderungen vornehmen, die diff-E-Mail immer noch ausgelöst wird. Ein Nachteil dabei ist die CPU-Spitze, die während der Ausführung etwa 10 Sekunden lang auftritt.
Ich verwende die folgende Konfiguration und sie protokolliert Konfigurationsbefehle sowie einige andere wie 'enable':
archive
log config
logging enable
notify syslog
hidekeys