Cisco: monitoreo de entrada de usuarios

¿Hay alguna manera de monitorear la entrada de un usuario en un dispositivo Cisco?

Aclaración: los comandos que un usuario ha ingresado como en el modo de configuración Y en el modo normal. (modo especialmente normal. El modo de configuración se puede hacer con "mostrar historial").

Eche un vistazo a esta publicación de IOSHints: registro de comandos CLI sin TACACS + . Y el título parece implicar que también se puede hacer con TACACS +.

Suponiendo que está utilizando TACACS +, puede configurar:

tacacs-server host x.x.x.x key xxxxx

aaa accounting commands 0 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+

También incluya una línea para cualquier otro nivel de habilitación que pueda usar.

Dado que su pregunta no está restringida a IOS: en los dispositivos Cisco ASA puede ver los comandos ejecutados en el syslog. Se ven de esta manera:

May 17 11:45:12 192.168.0.1 %ASA-5-514008: User 'stefan' executed the 'write memory' command.

Por lo tanto, puede filtrar dichos mensajes, por ejemplo, usando grepun trabajo cron. Por supuesto, debe tener el nivel de gravedad requerido establecido, aquí 5 para la notificación .

Utilicé splunk para recibir y almacenar directamente mensajes de syslog del cortafuegos, programé una alerta de ejecución diaria que me envía todas las líneas de syslog ASA que contienen "ejecutado" como un correo electrónico de resumen. Hice esto porque ya me había preparado para monitorear e informar.

TACACS + es el método preferido para registrar comandos CLI en cualquier nivel de habilitación. Vea los comandos AAA y TACACS para la configuración. Hay software de código abierto si no tiene o no puede pagar Cisco ACS o productos similares.

Pero para una característica muy fresco y rara vez se utiliza, podría tener el interruptor en sí corren un diff de configuración (rencia) en el estribo de configuración y configuración de inicio y enviar por correo electrónico los cambios o deltas a usted!

Así es como tengo configurados los conmutadores 4510R para los cambios de configuración del correo electrónico. Esto utiliza el administrador de eventos para hacer el trabajo.

Primero, algunas configuraciones comunes para el servidor de correo, desde y hacia las direcciones.

    event manager environment _email_server a.b.c.d.
    event manager environment _email_from netops@example.com
    event manager environment _email_to netops@example.com

Luego, el applet real para hacer la diferencia. Esto se explica por sí mismo.

    event manager applet config_diff_email authorization bypass
    event syslog pattern ".*%SYS-5-CONFIG.*"
    action 1.0 info type routername
    action 1.1 cli command "enable"
    action 1.2 cli command "show archive config diff nvram:/startup-config system:/running-config"
    action 1.3 mail server "$_email_server" to "$_email_to" from "$_email_from" subject "Config Change Alert ($_info_routername)" body "$_cli_result"
    action 1.4 syslog msg "Config Change Alert emailed" 

Tenga en cuenta que incluso entrar en la configuración y no realizar cambios aún activa el correo electrónico diff. Y una desventaja con esto es el pico de CPU que ocurre durante unos 10 segundos mientras se ejecuta.

Utilizo la siguiente configuración y registra los comandos de configuración, así como algunos otros como 'habilitar':

archive
 log config
  logging enable
  notify syslog
  hidekeys