Cisco的ACS服務器可以提供完善AAA服務,包括認證、授權和記賬的功能。但價格較高,不適合中小企業使用。其實我們可以讓Cisco網絡設備本身記錄配置的變更,並將變更的內容發送到syslog服務器上,然後由syslog定時將相關的記錄過濾出來,通過郵件發送到指定的郵箱來實現記賬的功能。
在這裏我使用Splunk作爲syslog服務器,splunk是linux下一款優秀的日誌收集和分析軟件,免費版可以提供每天500M的日誌索引量,對於中小企業已經足夠了。下面我們以cisco的交換機和防火牆爲例:
1)cisco交換機配置
archive
log config
logging enable
logging size 200
hidekeys
notify syslog
log config
logging enable
logging size 200
hidekeys
notify syslog
logging trap notifications
logging x.x.x.x
logging x.x.x.x
2) cisco ASA5500配置
logging enable
logging host inside x.x.x.x
logging class config trap notifications
logging host inside x.x.x.x
logging class config trap notifications
3)splunk基本配置
linux下splunk的安裝具體見www.splunk.com,同時需要安裝smtp郵件系統,我使用的是postfix。安裝完成後通過IE訪問splunk管理頁面。在admin頁面中定義使用udp 514端口接受syslog日誌。
4)splunk報警配置
在搜索框中輸入以下條件,並點擊搜索框左邊的小箭頭,選擇‘save search’。
%ASA-5-111008 OR %PARSER-5-CFGLOG_LOGGEDCMD startminutesago=60
在‘save search’的定義頁面中選擇以下選項,
選中 Run this search on a schedule
schedule:run every hour
alert:alert when number of event greater than 1
send email : [email protected]
選中 include results
5)驗證郵件報警功能
在交換機或者防火牆上修改配置,splunk將每隔60分鐘搜尋一下前60分鐘收到的日誌,將與配置變更有關的內容自動發送到你指定的郵箱中,郵件範例如下:
From: splunk@localhost
Content:Saved search results. Name: 'Config Change'
Query Terms: 'now=1242100800 %ASA-5-111008 OR %PARSER-5-CFGLOG_LOGGEDCMD startminutesago=60'
Alert was triggered because of: 'Saved Search [Config Change]: number of events(16) greater than 1' Search results attached:
Query Terms: 'now=1242100800 %ASA-5-111008 OR %PARSER-5-CFGLOG_LOGGEDCMD startminutesago=60'
Alert was triggered because of: 'Saved Search [Config Change]: number of events(16) greater than 1' Search results attached:
attachment: %PARSER-5-CFGLOG_LOGGEDCMD: User:xxx logged command:service timestamps log datetime