Logelemzés szempontjából kiemelkedő jelentőségű a felhasználói hozzáférések monitorozása a hálózaton belül, függetlenül attól, hogy milyen eszközről van szó. Nem csak a szervereken, hanem a hálózati eszközökön is szükség van a felhasználói bejelentkezések (sikeres) vagy sikertelen kísérletek naplózására. Mivel mi központi naplóelemzésben gondolkodunk, az összegyűjtött logokat el is kell küldenünk az elemző eszközünknek.
A legelterjedtebb módszer erre, ha a naplóinkat valós időben, syslog segítségével továbbítjuk a központi gyűjtő-elemző eszközünknek. A syslog előnye, hogy számos eszköz támogatja, beleértve a Cisco routereit is.
Cisco router esetén alapvetően két módszer van a felhasználó belépések naplózására:
- Helyi felhasználókezelés esetén a TELNET vagy SSH bejelentkezési kísérletekről készült naplóbejegyzéseket közvetlenül továbbítjuk egy syslog szerver felé
- Központi felhasználókezelés esetén (TACACS) a központi logot kell továbbítanunk és feldolgoznunk
Lássuk, hogyan tudjuk beállítani Cisco routerünket akkor, ha a felhasználókezelést lokálisan oldjuk meg. Ez ugyan csak kisebb hálózatok esetén javasolt, de ebből is sok van, úgyhogy gyakran előfordul.
Kell egy központi syslog szerver
Tételezzük fel, hogy van már ilyenünk, és fogadja a logokat távolról az UDP 10.0.0.1:514 porton.
Állítsuk be a routerünket
Tételezzük fel azt is, hogy a routerünkön már be van állítva a felhasználói authentikáció, és beléptünk.
Lépjünk global config módba:
Router#conf t
Logolás beállítása
Küldjük a logokat a syslog szerverünkre, amelynek az IP száma 10.0.0.1.
Router(config)#logging 10.0.0.1
Be kell állítanunk a minimális logolási szintet, hogy biztosan kiküldje a routerünk a szükséges logokat. A minimum szint sikertelen bejelentkezés esetén warning (4), sikeres bejelentkezés esetén notifications (5). Hogy mindkettőt lássuk, legyen a minimum szint notifications (5).
Router(config)#logging trap notifications
Kapcsoljuk be a bejelenkezések logolását.
Router(config)#login on-success log
Router(config)#login on-failure log
Opcionális beállítások
Beállíthatjuk a logszerver felé látszó interfészünket.
Router(config)#logging source-interface FastEthernet0/0
Beállíthatunk egy késleltetést is a bejelentkezések között.
Router(config)#login delay 5
Mentés, kilépés
Lépjünk ki a config módból (CTRL+Z) és mentsük el a beállításainkat, hogy megmaradjanak egy esetleges újraindítás után is.
Ezzel készen is vagyunk, le is tesztelhetjük a naplózásunkat egy sikertelen és sikeres belépéssel. Valami ilyesmit kell látnunk a syslog szerveren:
Dec 2 10:24:41 10.0.0.254 1431: Router: Dec 2 10:24:40: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: service] [Source: 10.0.0.100] [localport: 22] [Reason: Login Authentication Failed] at 10:24:40 PCTime Fri Dec 2 2011
Dec 2 10:24:44 10.0.0.254 1432: Router: Dec 2 10:24:43: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: service] [Source: 10.0.0.100] [localport: 22] at 10:24:43 PCTime Fri Dec 2 2011
