OpenNET: статья - Журналирование событий на маршрутизаторе Cisco (cisco log syslog aaa accounting snmp monitoring)

Ключевые слова: cisco, log, syslog, aaa, accounting, snmp, monitoring, (найти похожие документы)
Автор: Нижеголенко Алексей Викторович <ratibor78@gmail.com> Newsgroups: email Date: Mon, 09 Feb 2009 17:02:14 +0000 (UTC) Subject: Журналирование событий на маршрутизаторе Cisco Ведение "лог" журналов это всегда компромисс, между сбором максимально возможного количества информации и таким её количеством которое Вы способны "переварить". Зачастую сетевой администратор начинает интересоваться лог файлами после возникновения серьёзных проблем с его сетевыми устройствами, ранее предупреждение о возможных проблемах есть первым и главным достоинством лог журналов. Многие сетевые администраторы оставляют стандартными настройки касающиеся сбора логов на своих маршрутизаторах, тем самым лишая себя возможности получать большое количество дополнительной полезной информации. В этом документе коснемся вопросов сбора "логов" с маршрутизаторов Cisco. Нужно отдавать себе отчёт что только регулярный мониторинг лог журналов позволит Вам получить пользу от их ведения. В зависимости от важности ваших устройств это можно делать раз в сутки или в реальном времени, организовывать регулярные уведомления системных администраторов о важных событиях замеченных в лог журналах через email или sms. При наличии большого количества устройств в Вашей сети, имеет смысл подумать о автоматизации процесса просмотра лог журналов, для этого существует масса специализированного программного обеспечения, хорошим решением будет сбор логов со всех ваших маршрутизаторов на центральный syslog сервер, это позволит использовать для их мониторинга одно ПО с нужными Вам настройками. Сбор лог сообщений. Существует шесть способов сбора логов с cisco маршрутизаторов: 1. Вывод сообщений на консоль (Console logging) -- в этом случае сообщения выводятся на консоль маршрутизатора, и для того чтобы прочесть их Вы должны быть подключены к консоли. 2. Сбор логов в буфер маршрутизатора (Buffered logging) -- в этом случае все интересующие нас сообщения будут размещаться в RAM памяти маршрутизатора. Для этого необходимо настроить буфер для логов в маршрутизаторе, так же следует помнить что буфер ограничен и при большом количестве сообщений старые записи будут затёрты более новыми и будут потеряны. 3. Сбор логов на терминал (Terminal logging) -- используя команду terminal monitor можно заставить маршрутизатор выводить лог сообщения на VTY терминалы. 4. Syslog -- маршрутизатор cisco будит посылать лог сообщения на один или несколько внешних syslog сервера. 5. SNMP traps - маршрутизатор может посылать SNMP сообщения (traps) на удалённый SNMP сервер для сбора событий происходящих на маршрутизаторе. 6. AAA accounting -- если Вы используете AAA, то можете заставить маршрутизатор отправлять информацию о сетевых подключениях и командах выполненных на маршрутизаторе на NAS (Network Access Server) сервер. Лог сообщениям присваивается приоритет от 0 до 7. Чем ниже число тем более критичные сообщения, в таблице представлены соответствия уровней логирования и их значений: Уровень 0 Emergencies Система не работоспособна 1 Alerts Необходимо срочное вмешательство 2 Critical Критические события 3 Errors Сообщения о ошибках 4 Warning Всевозможные предупреждения 5 Notifications Различные важные уведомления 6 Informational Информационные сообшения 7 Debugging Отладочые сообщения Каждый уровень логирования будет снабжать Вас опредиленными типами сообщений, так например уровень 7 (отладочный) будет выводить все сообщения от 7 до 0 уровня, а если вы выберете уровень 2 то будете получать только собщения от уровня 2 до 0. Временные метки -------------- Довольно важным при сборе логов является настроить правильное системное время на вашем сетевом устройстве. Также следует убедится что все лог сообщения снабжены подробными временными отметками, иначе будет просто невозможно правильно определить когда произошло происшествие или интересующее нас событие. Для того чтобы заставить маршрутизатор Cisco снабжать все лог сообщения подробным временем их происхождения, следует использовать команду service timestamps log datetime. Данная команда имеет ряд опций, которые позволят Вам настроить нужную глубину выводимой информации: * msec -- указывать миллисекунды в каждой лог записи, без этой опции лог сообщения будут иметь временные отметки глубиной до секунды; * localtime -- эта опция указывает маршрутизатору использовать местное время для лог записей, рекомендуется использовать её для упрощения понимания логов. Однако следует помнить о возможной путанице, если несколько маршрутизаторов с разных часовых поясов, буду писать свои логи на один syslog сервер; * Show-timezone -- при помощи данной опции можно заставить маршрутизатор указывать текущий часовой пояс в каждом лог сообщении, при помощи этой опции можно упростить разбор лог сообщений от нескольких устройств с разными часовыми поясами; Пример этой команды ниже: RouterOne# config terminal Enter configuration commands, one per line. End with CNTL/Z. RouterOne(config)# service timestamps log datetime msec localtime show-timezone Рассмотрим более подробно настройку и использование перечисленных выше способов сбора логов с маршрутизаторов Cisco. Вывод сообщений на консоль - Console Logging Для того что бы видеть консольные сообщения, вы должны подключится к консоли маршрутизатора. По умолчанию консоль настроена на уровень 5 (уведомления), то есть на консоль будут выводится различные уведомления уровня 5 и сообщения вышестоящих уровней. Уровень логирования консоли можно изменить. Для того чтобы изменить уровень сообщений выводимых на консоль, следует использовать команду logging console. При этом следует указать новый уровень логирования от 0 до 7. Если вы хотите получать все возможные сообщения на вашу консоль, следует выбрать уровень 7, как показано на примере ниже: RouterOne# config terminal Enter configuration commands, one per line.End with CNTL/Z. RouterOne(config)# logging console 7 Или так RouterOne# config terminal Enter configuration commands, one per line.End with CNTL/Z. RouterOne(config)# logging console debugging Также может быть очень полезной команда logging synchronous на консоль, это упростит чтение и ввод сообщений в маршрутизатор. Сбор логов в буфер маршрутизатора - Buffered Logging Сбор логов в буфер маршрутизатора использует для хранения информации его RAM память. Исходя из того что память не безгранична, то сбор логов таким способом имеет циклический характер, при переполнении определённого размера буфера старые сообщения будут перезаписываться новыми. На маршрутизаторе будут сохраняться последние важные лог сообщения при этом занимая ограниченное количество памяти. Размер буфера отводимого для лог сообщений следует настраивать исходя из размера RAM на Вашем маршрутизаторе, он должен быть достаточным для того что бы хранить наиболее важные лог сообщения и при этом не занимать память маршрутизатора сверх меры. Размер буфера в 16,000 или 32,000 байт как правило достаточен и не съедает слишком много его памяти. Вы можете изменять эти значения если Вам требуется большая глубина хранения логов. Для того чтобы включить запись лог сообщений в буфер следует: 1. Включить логирование на маршрутизаторе командой logging on, если оно не включено; 2. Настроить размер буфера командой logging buffered; 3. Указать уровень лог сообщений которые будут писаться в буфер, также командой logging buffered; В следующем примере показана настройка буфера размером в 32,000 байт и уровня логирования 6 (информационный): RouterOne# config terminal Enter configuration commands, one per line. End with CNTL/Z. RouterOne(config)# logging on RouterOne(config)# logging buffered 32000 RouterOne(config)# logging buffered informational Сбор логов на терминал На консоль маршрутизатора вывод логов настроен по умолчанию, но на виртуальные терминалы (VTY) изначально они не посылаются. Если вы подключаетесь к своему маршрутизатору по сети через VTY терминал и при этом желаете получать на него логи, тогда используйте команду terminal monitor. 1. Используйте команду logging monitor для настройки уровня лог сообщений которые будут посылаться на Ваш виртуальный терминал; 2. В привилегированном режиме, в командной строке наберите команду terminal monitor. В следующем примере настроим маршрутизатор посылать на виртуальный терминал лог сообщения уровнем 3 (ошибки) и выше: RouterOne# config terminal Enter configuration commands, one per line.End with CNTL/Z. RouterOne(config)# logging monitor error RouterOne(config)# ^Z RouterOne# terminal monitor Если Вы собираетесь настроить маршрутизатор посылать лог сообщения на виртуальные терминалы следует учитывать скорость вашего подключения к нему. Если вы подключаетесь к маршрутизатору по "узкому" каналу и при этом установите уровень лог сообщений в отладочный, ваше сетевое соединение может не справится с выводом огромного количества сообщений на виртуальный терминал, тем самым Вы можете серьёзно затруднить работу с маршрутизатором или вовсе потерять такую возможность. Как бы там ни было вывод лог сообщений на VTY терминал можно отключить с консоли, командой terminal no monitor в привилегированном режиме. Syslog Сбор лог сообщений на Syslog сервер, является наверное наиболее важным и удобным способом сбора логов с маршрутизатора. Все предыдущие способы позволяли выводить лог сообщения на консоль или хранить их в памяти маршрутизатора, при этом время доступности таких сообщений ограничено по понятным причинам, а следовательно отсутствует возможность глубокого анализа ситуации. После того как сообщения были затёрты в буфере маршрутизатора или удалены с его терминала вы их более не увидите. Как правило все Unix имеют syslog сервера. В большинстве организаций в которых должным образом уделяют внимание сетевой безопасности, имеется пару централизованных Syslog серверов, на которые непрерывно складываются логи со всех важных сетевых устройств организации. Такой подход позволяет централизовать сбор важных лог сообщений что в свою очередь упростить их поиск и разбор. Правильным решением будет настроить Ваш маршрутизатор отсылать логи на такой syslog сервер, это позволит иметь полную статистику происходящих с маршрутизатором событий, проводить анализ и заранее выявлять возможные проблемы. Syslog facilities При разборе приходящих на него сообщений, syslog сервер руководствуется специальными правилами, основанными на категориях (facilities) лог сообщений. На основании этих категорий все приходящие лог сообщения на "демон" syslog, сортируются и записываются в определённые файлы, упростив тем самым их разбор в дальнейшем. В таблице ниже приведены стандартные категории syslog: User Лог сообщения генерируемые процессами пользователя Kern Лог сообщения генерируемые ядром Mail Лог сообщения от почтовой системы Daemon Лог сообщения генерируемые системными демонами Auth Лог сообщения связаные с авторизацией пользователей LPR Логи от системы печати News Логи от сервера новостей UUCP Зарезервировано за системой UUCP Cron Лог сообщения полученные от cron Local0 Зарезервированная категория, для использования администратором системы. Local1 Зарезервированная категория, для использования администратором системы. Local2 Зарезервированная категория, для использования администратором системы. Local3 Зарезервированная категория, для использования администратором системы. Local4 Зарезервированная категория, для использования администратором системы. Local5 Зарезервированная категория, для использования администратором системы. Local6 Зарезервированная категория, для использования администратором системы. Local7 Зарезервированная категория, для использования администратором системы. Как правило маршрутизаторы Cisco для работы с syslog сервером используют одну из зарезервированных категорий от Local0 до Local7. Следует предварительно настроить Syslog сервер, для того чтобы он мог принимать и записывать сообщения от наших Cisco маршрутизаторов. На большинстве Unix систем его конфигурационный файл находится /etc/syslog.conf, стандартный формат этого файла выглядит так: Facility.Severity logfile В любом случае, если Вы не достаточно знакомы с настройкой демона Syslog, простым способом заставить его записывать сообщения от вашего маршрутизатора, будет использование уже имеющихся на нем категорий. Но это приведет к смешиванию сообщений от вашего маршрутизатора с другими логами которые будут приходить на эту категорию, что в свою очередь затруднит их разбор. Поэтому правильно будет настроить для логирования сообщений с Cisco одну из свободных категорий, например Local6 или Local7, и отсылать сообщения в отдельный файл. Например что бы заставить Syslog сервер записывать все сообщения с категорией local6 в файл /var/log/cisco, ваш /etc/syslog.conf должен содержать подобную запись: local6.info /var/log/cisco Так же нужно настроить маршрутизатор отсылать на Syslog сервер свои сообщения в категорию Local6. Пример настройки Cisco маршрутизатора для работы с Syslog сервером. Для настройки сбора сообщений с маршрутизатора Cisco на Syslog сервер нужно: 1. Настроить syslog facility (категории) используя команду logging facility. 2. Настроить "глубину" логирования командой logging trap. 3. Указать адрес syslog сервера на который буду отсылаться лог сообщения командой logging. В следующем примере настроим маршрутизатор отсылать лог сообщения на сервер 13.18.10.4, используя facility local6 и уровень логирования informational: RouterOne#config terminal Enter configuration commands, one per line. End with CNTL/Z. RouterOne(config)#logging facility local6 RouterOne(config)#logging trap informational RouterOne(config)#logging 13.18.10.4 Можно указать дополнительные syslog сервера, для дублирования лог записей при помощи дополнительных команд logging <ip-address>. Пару слов о безопасности. По умолчанию большинство syslog серверов принимают лог сообщения от любых клиентов, это не даст возможности злоумышленнику изменить уже записанные лог сообщения на вашем сервере, но зато можно "зафлудить" ваш лог поддельными сообщениями, что серьёзно осложнит его дальнейший разбор. Так же злоумышленник может попросту заполнить всё наличное дисковое пространство на вашем syslog сервере, тем самым сделав невозможным приём им важных записей от ваших сетевых устройств. Поэтому нужно уделить должное внимание безопасности, как минимум syslog сервер не должен принимать сообщения от клиентов за пределами Вашей сети, для этого нужно ограничить доступ из вне к порту 514 (UDP). Хорошей идеей будет разрешать доступ к syslog серверам только тем клиентам которым это нужно, даже внутри вашей сети. Порядковые номера syslog записей. Не так давно Cisco добавила возможность сопровождать каждое syslog сообщение порядковым номером. Этот порядковый номер увеличивается с каждым новым сообщением. Эта функция может помочь администратору распознать подделку записей в лог файле. Если порядковые номера в лог файле прерываются или имеют не правильные значения, это может означать что он не полон или кем то модифицирован. Включение порядковых номеров показано на примере: RouterOne#config terminal Enter configuration commands, one per line.End with CNTL/Z. RouterOne(config)#service sequence-numbers От порядковых номеров в лог сообщениях будет мало толку, если злоумышленник имеет доступ к вашим лог файлам, он запросто может подделать эти самые порядковые номера и тем самым скрыть модификацию лог записей. Но всё же подобный механизм иногда может быть полезен для контроля целостности Ваших лог записей. Ограничение количества лог сообщений. В IOS версии 12.1(3)Т появилось возможность ограничивать количество syslog сообщений рассылаемых маршрутизатором в отдельный промежуток времени. Так как некоторые события происходящие на маршрутизаторе иногда могут генерировать тысячи сообщений в секунду это может просто перегрузить принимаемый их syslog сервер. Для ограничения количества лог сообщений отсылаемых с маршрутизатора используйте команду logging rate-limit. Пример ограничения до 10 syslog сообщений в секунду: RouterOne#config terminal Enter configuration commands, one per line.End with CNTL/Z. RouterOne(config)#logging rate-limit all 10 Можно указать исключения для которых не будут действовать ограничения количества лог сообщений, например ограничивать только "неважные" сообщения. Пример ограничения количества сообщений кроме сообщений уровнем error или выше: RouterOne#config terminal Enter configuration commands, one per line. End with CNTL/Z. RouterOne(config)#logging rate-limit all 10 except error Сообщения SNMP (SNMP Traps) Если на вашем маршрутизаторе запущен SNMP, вы можете использовать SNMP уведомления для сбора дополнительной информации с него. Traps (уведомления) это пакеты которые посылаются на SNMP сервер когда какое то определённое событие произошло на маршрутизаторе, этими событиями может быть повышенная температура, изменения в конфигурации, состояние интерфейсов итд. Если Вы желаете включить SNMP уведомления на вашем маршрутизаторе то следует: 1. При помощи команды snmp-server host указать SNMP сервер который будет принимать Traps; 2. Командой snmp-server enable traps включаем SNMP уведомления. В следующим примере настроим маршрутизатор отсылать уведомления на SNMP сервер с адресом 13.145.6.5: RouterOne#config terminal Enter configuration commands, one per line. End with CNTL/Z. RouterOne(config)#snmp-server host 13.145.6.5 public RouterOne(config)#snmp-server enable traps В данном примере мы указали маршрутизатору отсылать все возможные уведомления (Traps) на SNMP сервер. При помощи дополнительных аргументов к команде snmp-server enable traps Вы можете ограничить виды посылаемых уведомлений. Обратитесь к документации Cisco по SNMP Traps за более детальной информацией. Учёт нарушений списков доступа ACL Кроме логирования системных событий на маршрутизаторе, немаловажным является также и определение "срабатывания" списков доступа (ACL). При помощи логирования списков ACL вы сможете увидеть попытки нарушить их. Это может быть удобно, для определения времени когда злоумышленник пытался получить доступ на ваш маршрутизатор из вне. Логирование нарушений списков ACL может быть включено добавлением параметров log или log-input в конце вашего ACL списка. Следует быть внимательным при добавлении логирования на ваши списки доступа, иначе может случится что Вы будите логировать каждый пакет проходящий через ваш маршрутизатор. Добавляйте логирование только на те списки которые очень важны для безопасности вашей сети. Параметр log фиксирует только - тип, дату и время нарушения списка доступа ACL, это единственный возможный параметр на стандартных списках доступа. В расширенных списках можно указывать параметр log-input он позволит получить более подробную информацию такую как интерфейс и MAC адрес источника. Антиспуфинг В следующем примере настроим простой антиспуфинг при помощи ACL списка доступа, при этом будим логировать все входящие и исходящие попытки спуфинга. В этом примере 130.18.0.0/16 является нашей внутренней сетью. Входящий фильтр который отлавливает все "поддельные" пакеты выглядит так: RouterOne#config terminal Enter configuration commands, one per line. End with CNTL/Z. RouterOne(config)#access-list 115 deny ip 130.18.0.0 0.0.255.255 any log-input RouterOne(config)#access-list 115 permit ip any any Этот фильтр нужно повесить на вход всех внешних интерфейсов, в нашем случае это интерфейс Serial 0/0: RouterOne#config terminal Enter configuration commands, one per line. RouterOne(config)#int Serial 0/0 RouterOne(config-if)#ip access-group 115 in Фильтр который логирует все попытки посылки поддельных пакетов из внутренней сети имеет вид: RouterOne#config terminal Enter configuration commands, one per line. End with CNTL/Z. RouterOne(config)#access-list 116 permit ip 130.18.0.0 0.0.255.255 any RouterOne(config)#access-list 116 deny ip any any log-input Ставим его на выход наших внешних интерфейсов: RouterOne#config terminal Enter configuration commands, one per line. End with CNTL/Z. RouterOne(config)#int Serial 0/0 RouterOne(config-if)#ip access-group 116 out Логирование попыток доступа через VTY терминалы. Контроль попыток подключения к маршрутизатору через vty терминалы очень важен. Это может заранее предупредить Вас о попытках злоумышленника получить доступ к вашему маршрутизатору. Например Вы хотите чтобы через виртуальную консоль к вашему маршрутизатору имел доступ только IP 130.18.5.6, для этого напишем ACL: RouterOne#config terminal Enter configuration commands, one per line. End with CNTL/Z. RouterOne(config)#access-list 117 permit ip host 130.18.5.6 any RouterOne(config)#access-list 117 deny ip any any log-input Далее установим этот список доступа на VTY терминалы от 0 до 4: RouterOne#config terminal Enter configuration commands, one per line. RouterOne(config)#line vty 0 4 RouterOne(config-line)#access-class 117 in Теперь при попытках неавторезированого доступа к VTY будет сгенирировано лог сообщение подобного вида: Oct 13 21:10:44.185 EDT: %SEC-6-IPACCESSLOGP: list 120 denied tcp 19.8.59.41(63104) - > 0.0.0.0(23), 1 packet Многие администраторы хотят иметь полную информацию о всех сеансах на VTY терминалах маршрутизатора, как успешных так и заблокированных. Если есть необходимость учитывать все сеансы на виртуальных терминалах, то хорошей идеей будет использовать параметр established при логировании успешных попыток доступа на терминалы, без лишней перегрузки syslog сервера. Нужно пропускать без логирования все пакеты уже установленного TCP соединения, пропускать и логировать все первые пакеты TCP сессий с разрешеных IP и блокировать и логировать остальные пакеты. В следующем примере будим логировать все попытки доступа к виртуальным терминалам как успешные так и нет: RouterOne#config terminal Enter configuration commands, one per line. End with CNTL/Z. RouterOne(config)#access-list 117 permit tcp host 130.218.5.6 any established RouterOne(config)#access-list 117 permit tcp host 130.218.5.6 any log-input RouterOne(config)#access-list 117 deny ip any any log-input AAA Accounting AAA accounting позволит Вам получить дополнительную лог информацию с маршрутизатора, которая не может быть получена при помощи выше рассмотренных методов сбора статистики. Используя Cisco TACACS+, AAA accounting сможет например, сохранить информацию о каждой команде выполненной на маршрутизаторе при помощи Network Access Server (NAS). Методы AAA Accounting Существует пять методов сбора статистики при помощи AAA accounting - EXEC, System, Command, Connection, и Network. Краткое описание этих методов: * EXEC accounting - сохраняет информацию о каждом EXEC или Shell сеансе на маршрутизаторе, при этом записывается информация о имени пользователя, дате, времени, и IP адресе системы подключавшейся к маршрутизатору; * System accounting - этот метод будет сохранять информацию о системных событиях маршрутизатора, таких как перезагрузки системы, выключение питания итд; * Command accounting - сохраняет информацию о командах вводимых в EXEC или Shell сессиях. Записывается информация о том какая команда выполнялась, кто запускал эту команду, когда она запускалась, и с каким уровнем привилегий. Следует помнить что старая версия реализации RADIUS в Cisco не поддерживает Command accounting, то есть нужно использовать TACACS+ или обновить IOS; * Connection accounting - записывает информацию о исходящих соединениях сделанных с маршрутизатора, таких как telnet, rlogin, LAT; * Network accounting - сохраняет информацию о PPP, SLIP, и ARAP сессиях. Типы AAA Accounting Для логирования наиболее возможного колличества полезной информации следует использовать все пять методов AAA accounting. Каждый метод поддерживает три типа логирования: * start-stop - параметр start-stop позволяет настроить маршрутизатор посылать лог сообщения когда сервис запускается и останавливается. Например если указать параметр start-stop для EXEC, то будет создано два лог сообщения, одно когда пользователь запустит сессию и другое по её окончанию; * stop-only - этот параметр заставит маршрутизатор создать сообщение только при окончании работы сервиса. Для EXEC accounting этот параметр создаст запись о том когда пользователь закончил работу с маршрутизатором; * wait-start - этот параметр откладывает запуск сервиса до тех пор, пока с сервера NAS не будет получено подтверждение о том что лог сообщение о этом событии получено. Этот параметр применяют для особо важных действий, когда каждое соединение и команда выполненная на маршрутизаторе должна быть обязательно записана. Если NAS сервер не пошлет уведомление о том что лог запись была успешно создана, маршрутизатор не запустит этот сервис или не будет выполнять данную команду. Настройка AAA Accounting Рекомендуемые начальные настройки для каждого метода показаны в таблице ниже: Метод Рекомендуемые значения Пояснения EXEC start-stop Этот метод позволит проще всего определить когда кто то подключался к маршрутизатору. System stop-only Для системных событий как правило достаточно типа stop-only. Command stop-only Команды как правило выполняются в коротком промежутке времени, и этот параметр позволит избежать дублирования сообщений о каждой выполненной команде. Connection start-stop Учет времени начала и конца исходящих соединений с маршрутизатора, позволит иметь полную статистику и проще анализировать логи. Network start-stop Для облегчения разбора лог сообщений, также следует использовать параметр start-stop. Примеры конфигурирования вышеперечисленных методов сбора статистики приведены ниже: Accounting с помощью TACACS+ Если Вы используете сервер TACACS для работы AAA, включить EXEC, System, Command, Connection, и Network аккаунтинг на Ваш NAS сервер можно следующим образом: RouterOne#config terminal Enter configuration commands, one per line. End with CNTL/Z. RouterOne(config)#aaa accounting exec default start-stop group tacacs+ RouterOne(config)#aaa accounting system default stop-only group tacacs+ RouterOne(config)#aaa accounting connection default start-stop group tacacs+ RouterOne(config)#aaa accounting network default start-stop group tacacs+ Для настройки Command accounting следует также указать уровень привилегий для которых требуется сбор информации на сервер, например так: RouterOne#config terminal Enter configuration commands, one per line. End with CNTL/Z. RouterOne(config)#aaa accounting commands 1 default stop-only group tacacs+ RouterOne(config)#aaa accounting commands 15 default stop-only group tacacs+ Accounting при помщи RADIUS Если Вы используете сервер RADIUS для работы AAA, включить EXEC, System, Command, Connection, и Network аккаунтинг на Ваш NAS сервер можно следующим образом: RouterOne#config terminal Enter configuration commands, one per line. End with CNTL/Z. RouterOne(config)#aaa accounting exec default start-stop group radius RouterOne(config)#aaa accounting system default stop-only group radius RouterOne(config)#aaa accounting connection default start-stop group radius RouterOne(config)#aaa accounting network default start-stop group radius Также следует указать уровни привилегий для которых будет работать Command accounting. Старые версии IOS не поддерживают Command accounting на RADIUS сервер, поэтому если у вас старая версия то следует использовать TACACS или обновить IOS: RouterOne#config terminal Enter configuration commands, one per line. End with CNTL/Z. RouterOne(config)#aaa accounting commands 1 default stop-only group radius RouterOne(config)#aaa accounting commands 15 default stop-only group radius Логирование неудачных попыток AAA аутентификации ААА может быть настроена для учёта неудачных попыток аутентификации на Ваш маршрутизатор, эта информация также является важной, пример настройки AAA для учета всех неудачных попыток доступа на маршрутизатор выглядит так: RouterOne#config terminal Enter configuration commands, one per line. End with CNTL/Z. RouterOne(config)#aaa accounting send stop-record authentication failure

2.3, jky (?), 14:12, 07/10/2009 [^] [^^] [^^^] [ответить]	+/–
добавлю, что это не минус радиуса, а сугубо желание циски протолкнуть свой протокол... то же самое касается не только логирования комманд, но и их авторизации на радиус-сервере(http://wiki.freeradius.org/Cisco#Command_Authorization)

2.10, Alex (??), 13:36, 04/02/2016 [^] [^^] [^^^] [ответить]	+/–
Да, можно использовать archive archive log config logging enable notify syslog contenttype plaintext hidekeys