ยินดีต้อนรับสู่ show running-config ครับ

บล็อก show running-config นี้สร้างไว้เพื่อเป็นแหล่งรวบรวมเทคนิคการตั้งค่าอุปกรณ์เครือข่าย Cisco ไม่ว่าจะเป็น Cisco IOS Router, Cisco Catalyst Swtich, Cisco ASA Firewall, Cisco Mars เป็นต้น รวมทั้งอาจจะมีเทคนิคการตั้งค่าอุปกรณ์ในยี่ห้ออื่น ๆ บ้างเล็กน้อยครับ

ซึ่งบทความในบล็อกนี้ก็จะรวบรวมมาจากประสบการณ์ส่วนตัวของกระผมเองครับ (หากมีข้อผิดพลาดก็ขออภัยไว้ล่วงหน้าเลยละกันนะครับ) และก็อยากใช้พื้นที่แห่งนี้เป็นแหล่งในการแลกเปลี่ยนความรู้ รวมไปถึงวิธีการหรือเทคนิคการตั้งค่าอุปกรณ์เครือข่าย กับทุก ๆ คนครับ

Friday, November 12, 2010

การเก็บ log การตั้งค่าต่าง ๆ บนอุปกรณ์ Cisco ด้วยการใช้ Archive

log config           ในการใช้งานอุปกรณ์ Cisco นั้น เมื่อเพื่อน ๆ ตั้งค่าให้เราเตอร์ทำการเก็บ log แล้ว แต่โดยปกติ log บนอุปกรณ์นั้นจะไม่มีการจัดเก็บถึงคำสั่งที่มีการใช้งานบนอุปกรณ์ คือเราจะไม่สามารถทราบได้เลยว่ามีใคร remote เข้ามาแก้ไขคำสั่งใด ๆ บนอุปกรณ์ของเราหรือไม่ ซึ่งเป็นเรื่องที่ไม่ดีแน่ ๆ ใช่มั้ยครับเพื่อน ๆ เพราะอาจจะทำให้เรางานเข้า(อย่างมาก)ได้ สำหรับใครที่สนใจอยากรู้รายละเอียดก็ขอเชิญติดตามได้ในบทความนี้เลยครับ

          การตั้งค่าการเก็บ log ของคำสั่งที่มีการใช้งานบนอุปกรณ์นั้นสามารถทำได้ด้วยการใช้คำสั่ง Archive ครับ ซึ่งคำสั่งนี้รองรับมาตั้งแต่ Cisco IOS Release 12.3(4)T ครับ

          เอาล่ะครับผมไม่ขอพูดให้มากความ เรามาเข้าเรื่องกันเลยดีกว่าครับ สำหรับขั้นตอนในการตั้งค่าการเก็บ log คำสั่งที่ใช้งานบนอุปกรณ์ Cisco ก็มีดังนี้ครับ

  1. ทำการตั้งค่า NTP บนอุปกรณ์
  2. ทำการการเก็บ logging บนอุปกรณ์
  3. เข้าสู่โหมด Archive Configuration Mode
  4. ใช้คำสั่ง log config เพื่อเปิดการจัดเก็บ log การ config

          เอาล่ะครับ ขั้นตอนในการตั้งค่าก็ไม่ได้มากมายอะไร เรามาเริ่มดูตัวอย่างการตั้งค่าในขั้นตอนแรกกันเลยดีกว่าครับ อันดับแรกเราก็มาทำการตั้งค่า ntp กันก่อนเลยครับ เพื่อที่เวลาจัดเก็บ log แล้ว เวลาบน log นั้นจะได้ตรงกับเหตุการณ์ที่เกิดขึ้นครับ โดยให้ทำการตั้งค่า ntp server และ ทำการตั้ง timezone ตามตัวอย่างด้านล่างเลยครับ

ตัวอย่าง
Router(config)#ntp server 10.100.100.123
Router(config)#clock timezone ICT +7
Router(config)#do show clock
10:21:25.506 ICT Fri Nov 12 2010

          ขั้นตอนต่อมาก็ทำการตั้งค่า logging บนตัวอุปกรณ์ครับ โดยในตัวอย่างนี้จะทำการจัดเก็บ logging ไว้ใน buffer ของอุปกรณ์และก็จะทำการส่ง log มายัง Syslog Server ด้วยครับ จากนั้นจึงทำการตั้งค่าให้วันเวลาที่ปรากฏบน log นั้น เป็นไปตามที่เราต้องการครับ ซึ่งรายละเอียดตรงส่วนนี้ ก็ขอให้เพื่อน ๆ ลองเล่น ปรับเปลี่ยนค่าต่าง ๆ ดูกันนะครับ

ตัวอย่าง
Router(config)#logging buffered 10000 informational
Router(config)#logging trap informational
Router(config)#logging host 10.100.100.10  
Router(config)#service timestamps log datetime localtime show-timezone msec

          เมื่อทำตามขั้นตอนด้านบนนี้เรียบร้อยแล้ว ก็จะสามารถทำการเก็บ log แล้วครับ เพียงแต่ว่า log การ config ต่าง ๆ นั้น ยังไม่ถูกจัดเก็บตามที่เราต้องการ ซึ่งเราจะต้องทำในขั้นตอนสุดท้ายก่อนครับจึงจะเรียบร้อย โดยในขั้นตอนสุดท้ายนี้จะเป็นการตั้งค่า เพื่อให้อุปกรณ์นั้นทำการเก็บ log ค่า config ต่าง ๆ ที่มีการใช้งานบนตัวมันครับ

ตัวอย่าง
Router(config)#archive
Router(config-archive)#log config
Router(config-archive-log-cfg)#logging enable //ทำการเปิดการใช้งานการเก็บ log ค่า config
Router(config-archive-log-cfg)#notify syslog //ทำการส่ง log ค่า config ไปยัง syslog
Router(config-archive-log-cfg)#hidekeys //ใช้คำสั่งนี้เพื่อให้ซ่อน key หรือ password ต่าง ๆ บน log

          เมื่อเสร็จสิ้นขั้นตอนนี้แล้ว เราจะเห็นว่าคำสั่งทุก ๆ คำสั่งที่เราทำการตั้งค่าลงไปนั้น จะถูกเก็บลง log ทั้งหมด ซึ่งจะเป็นการช่วยให้เราสามารถที่จะตรวจสอบย้อนหลังได้ว่ามีการตั้งค่าอะไรไปบ้างจากผู้ใช้คนไหน(ถ้ามีการใช้การพิสูจน์ตัวตนด้วย AAA โมเดล) ไปแล้วบ้างตามตัวอย่างด้านล่างนี้เลยครับ

ตัวอย่าง
Router#show logging
Syslog logging: enabled (12 messages dropped, 1 messages rate-limited,
                0 flushes, 0 overruns, xml disabled, filtering disabled)
    Console logging: level debugging, 54 messages logged, xml disabled,
                     filtering disabled
    Monitor logging: level debugging, 0 messages logged, xml disabled,
                     filtering disabled
    Buffer logging: level informational, 38 messages logged, xml disabled,
                    filtering disabled
    Logging Exception size (4096 bytes)
    Count and timestamp logging messages: disabled

No active filter modules.

ESM: 0 messages dropped

    Trap logging: level informational, 58 message lines logged
        Logging to 10.100.100.10(global) (udp port 514, audit disabled, link up), 44 message lines logged, xml disabled,
               filtering disabled
Log Buffer (10000 bytes):

*Mar  1 00:41:46.127: %SYS-5-CONFIG_I: Configured from console by cisco on console
Nov 12 03:20:45.839: %SYS-6-CLOCKUPDATE: System clock has been updated from 03:20:45 UTC Fri Nov 12 2010 to 10:20:45 ICT Fri Nov 12 2010, configured from console by cisco on console.
Nov 12 10:31:10.561 ICT: %PARSER-5-CFGLOG_LOGGEDCMD: User:cisco  logged command:notify syslog
Nov 12 10:31:15.737 ICT: %PARSER-5-CFGLOG_LOGGEDCMD: User:cisco  logged command:hidekeys
Nov 12 10:31:18.525 ICT: %PARSER-5-CFGLOG_LOGGEDCMD: User:cisco  logged command:exit
Nov 12 10:51:10.136 ICT: %PARSER-5-CFGLOG_LOGGEDCMD: User:cisco  logged command:interface FastEthernet0/1
Nov 12 10:51:13.008 ICT: %PARSER-5-CFGLOG_LOGGEDCMD: User:cisco  logged command:shutdown
Nov 12 10:51:15.000 ICT: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down
Nov 12 10:51:16.000 ICT: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
Nov 12 10:51:16.540 ICT: %PARSER-5-CFGLOG_LOGGEDCMD: User:cisco  logged command:no shutdown
Nov 12 10:51:18.520 ICT: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
Nov 12 10:51:19.520 ICT: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)