Cisco: Überwachung der Benutzereingaben

7

Gibt es eine Möglichkeit, die Eingaben eines Benutzers auf einem Cisco-Gerät zu überwachen?

Erläuterung: Die Befehle, die ein Benutzer im Konfigurationsmodus UND im normalen Modus eingegeben hat. (Besonders normaler Modus. Der Konfigurationsmodus kann mit "Verlauf anzeigen" durchgeführt werden.)

Bulki
quelle

Antworten:

8

Schauen Sie sich diesen IOSHints-Beitrag an: CLI-Befehlsprotokollierung ohne TACACS + . Und der Titel scheint zu implizieren, dass dies auch mit TACACS + möglich ist.

Gerben
quelle
2
TACACS + ist zwar der richtige Weg, aber manchmal haben Sie keine Wahl. Der Link, den Sie zum Einrichten der Protokollierung über einen Eventmanager angegeben haben, hat den Trick ausgeführt. Thx :)
Bulki
8

Angenommen, Sie verwenden TACACS +, können Sie Folgendes konfigurieren:

tacacs-server host x.x.x.x key xxxxx

aaa accounting commands 0 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+

Fügen Sie auch eine Zeile für andere Aktivierungsstufen hinzu, die Sie möglicherweise verwenden.

Mike Marotta
quelle
2
TACACS + bietet außerdem den zusätzlichen Vorteil, dass die Authentifizierung integriert ist, sodass Sie die protokollierten Befehle tatsächlich mit einzelnen Benutzerkonten korrelieren können. Sie haben auch Persistenz in den Protokollen, da Befehle nicht am Ende jeder Benutzersitzung gelöscht werden.
Henklu
5

Da Ihre Frage nicht auf IOS beschränkt ist: Auf Cisco ASA-Geräten werden ausgeführte Befehle im Syslog angezeigt. Sie sehen so aus:

May 17 11:45:12 192.168.0.1 %ASA-5-514008: User 'stefan' executed the 'write memory' command.

Sie können also nach solchen Nachrichten filtern, z. B. mit grepund einem Cron-Job. Natürlich muss der erforderliche Schweregrad festgelegt sein, hier 5 zur Benachrichtigung .

Ich habe Splunk zum direkten Empfangen und Speichern von Firewall-Syslog-Nachrichten verwendet und eine tägliche Warnmeldung programmiert, die mir alle ASA-Syslog-Zeilen mit "ausgeführt" als zusammenfassende E-Mail sendet. Ich habe dies getan, weil ich bereits Splunk für die Überwachung und Berichterstattung eingerichtet hatte.

Stefan
quelle
5

TACACS + ist die bevorzugte Methode zum Protokollieren von CLI-Befehlen auf jeder Aktivierungsstufe. Informationen zur Konfiguration finden Sie in den Befehlen AAA und TACACS. Es gibt Open Source-Software, wenn Sie Cisco ACS oder ähnliche Produkte nicht haben oder sich nicht leisten können.

Aber für eine wirklich coole und selten verwendete Funktion könnte der Switch selbst einen Konfigurationsunterschied (erence) in der running-config und der startup-config ausführen und die Änderungen oder Deltas per E-Mail an Sie senden!

Hier ist, wie ich 4510R-Schalter konfiguriert habe, um Konfigurationsänderungen per E-Mail zu senden. Dies verwendet den Event Manager , um die Arbeit zu erledigen.

Zunächst einige allgemeine Einstellungen für den Mailserver von und zu Adressen.

    event manager environment _email_server a.b.c.d.
    event manager environment _email_from [email protected]
    event manager environment _email_to [email protected]

Dann das eigentliche Applet, um den Diff zu machen. Dies ist ziemlich selbsterklärend.

    event manager applet config_diff_email authorization bypass
    event syslog pattern ".*%SYS-5-CONFIG.*"
    action 1.0 info type routername
    action 1.1 cli command "enable"
    action 1.2 cli command "show archive config diff nvram:/startup-config system:/running-config"
    action 1.3 mail server "$_email_server" to "$_email_to" from "$_email_from" subject "Config Change Alert ($_info_routername)" body "$_cli_result"
    action 1.4 syslog msg "Config Change Alert emailed" 

Beachten Sie, dass selbst wenn Sie in die Konfiguration gehen und keine Änderungen vornehmen, die diff-E-Mail immer noch ausgelöst wird. Ein Nachteil dabei ist die CPU-Spitze, die während der Ausführung etwa 10 Sekunden lang auftritt.

generalnetworkerror
quelle
1

Ich verwende die folgende Konfiguration und sie protokolliert Konfigurationsbefehle sowie einige andere wie 'enable':

archive
 log config
  logging enable
  notify syslog
  hidekeys
Josef Gunsburg
quelle
Protokolliert dies Nichtkonfigurationsbefehle? Daran scheint das OP am meisten interessiert zu sein.
Craig Constantine
1
Die meisten Nicht-Konfigurationsbefehle (Exec-Mode-Befehle) werden nicht protokolliert, sodass 'show [...]' nicht protokolliert wird. Aber es protokolliert einige von ihnen.
Josef Gunsburg