回答:
このIOSHintsの投稿:TACACS +を使用しないCLIコマンドロギングをご覧ください。そして、タイトルはそれがTACACS +でも実行できることを示唆しているようです。
TACACS +を使用していると仮定すると、以下を構成できます。
tacacs-server host x.x.x.x key xxxxx
aaa accounting commands 0 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
また、使用できるその他の有効化レベルの行も含めます。
質問はIOSに限定されていないため、Cisco ASAデバイスでは、実行されたコマンドをsyslogで確認できます。彼らはこのように見えます:
May 17 11:45:12 192.168.0.1 %ASA-5-514008: User 'stefan' executed the 'write memory' command.
したがって、たとえばgrepとcronジョブを使用して、このようなメッセージをフィルタリングできます。もちろん、必要な重大度レベルを設定する必要があります。ここでは通知用に5です。
ファイアウォールのsyslogメッセージを直接受信して保存するためにsplunkを使用し、「実行済み」を含むすべてのASA syslog行を要約電子メールとして送信する毎日の実行アラートをプログラムしました。私がこれを行ったのは、監視とレポートのためにすでに準備が整っていたからです。
TACACS +は、 CLIコマンドを任意のイネーブルレベルでログに記録するための推奨される方法です。設定については、AAAおよびTACACSコマンドを参照してください。Cisco ACSや類似の製品がない場合、または購入できない場合は、オープンソースソフトウェアがあります。
しかし、本当にクールでめったに使用されない機能の場合、running-configとstartup-configでスイッチ自体に config diff(erence)を実行させ、変更またはデルタをメールで送信することができます。
これは、4510Rスイッチを設定変更を電子メールで送信するように設定する方法です。これは、イベントマネージャーを使用して作業を行います。
まず、メールサーバー、送信元、送信先アドレスの一般的な設定です。
event manager environment _email_server a.b.c.d.
event manager environment _email_from netops@example.com
event manager environment _email_to netops@example.com
次に、実際のアプレットでdiffを実行します。これはかなり自明です。
event manager applet config_diff_email authorization bypass
event syslog pattern ".*%SYS-5-CONFIG.*"
action 1.0 info type routername
action 1.1 cli command "enable"
action 1.2 cli command "show archive config diff nvram:/startup-config system:/running-config"
action 1.3 mail server "$_email_server" to "$_email_to" from "$_email_from" subject "Config Change Alert ($_info_routername)" body "$_cli_result"
action 1.4 syslog msg "Config Change Alert emailed"
設定に行って変更を加えなくても、差分メールがトリガーされることに注意してください。そして、これの1つの欠点は、実行中に約10秒間発生するCPUスパイクです。
私は次の設定を使用し、それは設定コマンドと 'enable'のようないくつかの他のものを記録します:
archive
log config
logging enable
notify syslog
hidekeys