• Logging in Cisco IOS – The minimum you should know
  • Severity-levels
  • Logging destinations
  • things to consider
• SNMP in Cisco IOS – The minimum you should know
  • SNMP Framework
  • Security-Models
  • configuring basic SNMP
  • configuring SNMPv3
  • SNMP Misc

Weitergehende Informationen gibt es im Cisco IOS Network Management Configuration Guide.

Damit sich der Router selbst merken kann, welche Kommandos ausgeführt wurden, wird die Funktion “archive” global aktiviert. Dafür habe ich hier einen Cisco 3725 mit Advanced IP-Services 12.4(6)T7 verwendet:

R1#sh ver
Cisco IOS Software, 3700 Software (C3725-ADVIPSERVICESK9-M), Version 12.4(6)T7,
RELEASE SOFTWARE (fc5)

R1#sh run | s i archive
archive
 log config
  logging enable
  logging size 50
  hidekeys
R1#

Dies schaltet die Logging-Funktion ein. 50 Befehle wird sich der Router merken und wenn Passwörter etc. konfiguriert werden, sind diese nicht im Log sichtbar.

Als nächstes habe ich ein paar Sachen konfiguriert und kann dank der Archiv-Funktion später kontrollieren, was geändert wurde:

c3725#sh archive log config all
 idx   sess           user@line      Logged command
    1     1        console@console  |  logging enable
    2     1        console@console  |  logging size 50
    3     1        console@console  |  hidekeys
    4     1        console@console  |  exit
    5     1        console@console  |   exit
    6     1        console@console  |!exec: enable
    7     2        console@console  |username Karsten secret *****
    8     2        console@console  |!config: USER TABLE MODIFIED
    9     2        console@console  |username HansWurst secret *****
   10     2        console@console  |!config: USER TABLE MODIFIED
   11     2        console@console  |aaa new-model
   12     2        console@console  |aaa authentication login default local
   13     2        Karsten@console  |!exec: enable
   14     3        Karsten@console  |hostname CRS1
   15     3        Karsten@console  |interface loo 111
   16     3        Karsten@console  | ip address 111.111.111.111 255.255.255.255
   17     3        Karsten@console  | exit
   18     3      HansWurst@console  |!exec: enable
   19     4      HansWurst@console  |hostname c3725
   20     4      HansWurst@console  |no interface Loopback111
   21     4        Karsten@console  |!exec: enable

c3725#

Es ist zu erkennen, daß ich zwei User angelegt und AAA konfiguriert habe. Dann habe ich mich auf der Console als User “Karsten” neu eingeloggt, den Hostnamen verändert und ein Loopback-Interface konfiguriert. Danach habe ich mich als User “HansWurst” angemeldet, den Hostnamen erneut geändert und das Loopback-Interface wieder gelöscht.

Es läßt sich auch eine Ausgabe erzeugen, die man per Copy&Paste direkt in andere Geräte übernehmen kann (von den fehlenden Passwörtern abgesehen):

c3725#sh archive log config all provisioning
archive
 log config
  logging enable
  logging size 50
  hidekeys
  exit
exit
!exec: enable
username Karsten secret *****
!config: USER TABLE MODIFIED
username HansWurst secret *****
!config: USER TABLE MODIFIED
aaa new-model
aaa authentication login default local
!exec: enable
hostname CRS1
interface loo 111
 ip address 111.111.111.111 255.255.255.255
exit
!exec: enable
hostname c3725
no interface Loopback111
!exec: enable

c3725#

Oder man läßt sich alles anzeigen, was ein bestimmter User in einer Session konfiguriert hat:

c3725#sh archive log config user HansWurst session 4
 idx   sess           user@line      Logged command
   19     4      HansWurst@console  |hostname c3725
   20     4      HansWurst@console  |no interface Loopback111

c3725#

Das gleiche zum Copy&Paste:

c3725#sh archive log config user HansWurst session 4 provisioning
hostname c3725
no interface Loopback111

c3725#

Oder man läßt sich einen Bereich aus der Log-Historie anzeigen:

c3725#sh archive log config 13 17 provisioning
!exec: enable
hostname CRS1
interface loo 111
 ip address 111.111.111.111 255.255.255.255
exit

c3725#

Mit dem “archive”-Kommando sind noch weitere spannende Sachen möglich, mehr dazu gibt es in einem der nächsten Beiträge an dieser Stelle …

Weitere Informationen finden sich (wie üblich) in der Dokumentation bei Cisco:

• Configuration Change Notification and Logging

PLA besteht im Prinzip aus zwei Komponenten: Die erste Komponente ist ein Script, das die vom Syslog-Deamon (bei mir syslog-ng) erzeugte Datei in Echtzeit liest und die erkannten Nachrichten in einer MySQL-Datenbank einträgt. Die zweite Komponente ist ein Script (genauer gesagt eine ganze Sammlung von Scripts), das im Webserver ausgeführt wird, die Datenbank abfragt, und die Ergebnisse darstellt.

Zur Zeit sind drei Bereiche der Auswertung möglich:

1) Das Traffic-Log
In diesem geht es um die Anzeige der verworfenen bzw. erlaubten Pakete.

2) Das IDS-Log
Hier werden die Nachrichten des eingebauten (Software)-IDS angezeigt. In Anbetracht der Tatsache, daß das PIX-IDS weit entfernt davon ist, leistungsfähig zu sein (ca. 50, teilweise eher unwichtige Signaturen) halte ich diesen Block für ein “ok, es ist halt da”, aber man könnte auch darauf verzichten.

3) Das Informational-Log
Viele der Informational-Nachrichten können angezeigt werden. Dazu gehören z.B. Login-Meldungen, Login-Fehler, Konfigurationsänderungen etc.

In allen Logs kann über gespeicherte Queries oder aber über direkte Such-Abfragen die Menge an Informationen eingeschränkt werden.

Vieles fehlt in diesem System sicher noch, aber die Entwickler sind im Moment recht aktiv. Eine Erweiterung, die in Zukunft z.B. noch kommt ist eine Statistik-Komponente, Erweiterungen der direkten Log-Anzeige werden schon in der nächsten Version enthalten sein.

Alles in allem ist PLA2 ein System, das eine nähere Betrachtung verdient hat.
PLA ist unter http://www.logging-architecture.net/ erhältlich und arbeitet sowohl mit der PIX und dem FWSM, als auch mit der neueren ASA.