CiscoACS替代方案系列之二(Splunk)Cisco认证考试

文章作者 100test 发表时间 2009:05:15 18:22:36
来源 100Test.Com百考试题网

　　Cisco的ACS服务器可以提供完善AAA服务，包括认证、授权和记账的功能。但价格较高，不适合中小企业使用。其实我们可以让Cisco网络设备本身记录配置的变更，并将变更的内容发送到syslog服务器上，然后由syslog定时将相关的记录过滤出来，通过邮件发送到指定的邮箱来实现记账的功能。
　　在这里我使用Splunk作为syslog服务器，splunk是linux下一款优秀的日志收集和分析软件，免费版可以提供每天500M的日志索引量，对于中小企业已经足够了。下面我们以cisco的交换机和防火墙为例：
　　1）cisco交换机配置
　　archive
　　log config
　　logging enable
　　logging size 200
　　hidekeys
　　notify syslog
　　logging trap notifications
　　logging x.x.x.x
　　2） cisco ASA5500配置
　　logging enable
　　logging host inside x.x.x.x
　　logging class config trap notifications
　　3）splunk基本配置
　　linux下splunk的安装具体见www.splunk.com，同时需要安装smtp邮件系统，我使用的是postfix。安装完成后通过IE访问splunk管理页面。在admin页面中定义使用udp 514端口接受syslog日志。
　　4）splunk报警配置
　　在搜索框中输入以下条件，并点击搜索框左边的小箭头，选择‘save search’。
　　%ASA-5-111008 OR %PARSER-5-CFGLOG_LOGGEDCMD startminutesago=60
　　在‘save search’的定义页面中选择以下选项，
　　选中 Run this search on a schedule
　　schedule：run every hour
　　alert：alert when number of event greater than 1
　　send email : [email protected]
　　选中 include results
　　5）验证邮件报警功能
　　在交换机或者防火墙上修改配置，splunk将每隔60分钟搜寻一下前60分钟收到的日志，将与配置变更有关的内容自动发送到你指定的邮箱中，邮件范例如下：
　　From: splunk@localhost
　　To: [email protected]
　　Content：Saved search results. Name: Config Change
　　Query Terms: now=1242100800 %ASA-5-111008 OR %PARSER-5-CFGLOG_LOGGEDCMD startminutesago=60
　　Alert was triggered because of: Saved Search [Config Change]: number of events(16) greater than 1 Search results attached:
　　attachment: %PARSER-5-CFGLOG_LOGGEDCMD: User:xxx logged command:service timestamps log datetime
　　更多优质资料尽在百考试题论坛 百考试题在线题库　思科认证更多详细资料