Настраиваем логирование на маршрутизаторах Cisco.

Не забываем настроить время! Инструкция находится тут.

А тут

http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_login_enhance.html#wp1027195

находится инструкция по обязательной настройке логирования событий регистрации в системе ( Cisco IOS Login Enhancements (Login Block)).

 Cisco добавила возможность сопровождать каждое syslog сообщение порядковым номером.
Этот порядковый номер увеличивается с каждым новым сообщением. Эта функция может
помочь  распознать подделку записей в лог файле. Если порядковые номера в лог
файле прерываются или имеют не правильные значения, это может означать что он
не полон или кем то модифицирован.

 Включение порядковых номеров показано на примере:

         #config terminal
         (config)#service sequence-numbers

В логах до включения нумерации
May 28 11:45:45.273: %SEC-6-IPACCESSLOGNP: list 13 permitted 0 1.1.1.1 -> 2.2.2.2, 1 packet
В логах после включения нумерации
017824: May 28 11:46:15.682: %PARSER-5-CFGLOG_LOGGEDCMD: User:ivanov logged command:service sequence-numbers

login block-for seconds attempts tries within seconds

Example:

Router(config)# login block-for 10 attempts 2 within 100

If more than 2 login failures occur in 100 seconds or less,
logins will be disabled for 10 seconds.

The following sample output from show login failures command shows all failed login attempts on the router:

login quiet-mode access-class {acl-name | acl-number}

Example:

Router(config)# login quiet-mode access-class myacl

С этим пунктом разобраться поподробнее!!!

login delay seconds

Example:

Router(config)# login delay 10

login on-failure log [every login]

Example:

Router(config)# login on-failure log

login on-success log [every login]

Example:

Router(config)# login on-success log every 5

-----------------------------------------------------

The following sample output from the show login command verifies that the login block-for command is issued. In this example, the command is configured to block login hosts for 100 seconds if 16 or more login requests fail within 100 seconds; five login requests have already failed.

Router# show login

A default login delay of 1 seconds is applied.

No Quiet-Mode access list has been configured.

All successful login is logged and generate SNMP traps.

All failed login is logged and generate SNMP traps.

Router enabled to watch for login Attacks.

If more than 15 login failures occur in 100 seconds or less, logins will be disabled for
100 seconds.

Router presently in Watch-Mode, will remain in Watch-Mode for 95 seconds.

Present login failure count 5.

Router# show login failures

Information about login failure's with the device

Username      Source IPAddr  lPort Count  TimeStamp

try1          10.1.1.1        23    1     21:52:49 UTC Sun Mar 9 2003

try2          10.1.1.2        23    1     21:52:52 UTC Sun Mar 9 2003

logging count

To enable the error log count capability, use the logging count command in global configuration mode. To disable the error log count capability, use the no form of this command.

Router(config)# logging count

Router(config)# end

Router# show logging count

Facility       Message Name             Sev Occur   Last Time

          
=====================================================================

SYS            BOOTTIME                  6    1     00:00:12

SYS            RESTART                   5    1     00:00:11

SYS            CONFIG_I                  5    3     1d00h

-------------  -----------------------  -----------------------------

SYS TOTAL                                      5

LINEPROTO      UPDOWN                     5   13 00:00:19

-------------  -----------------------  -----------------------------

LINEPROTO TOTAL                               13

LINK           UPDOWN                     3    1 00:00:18

LINK           CHANGED                    5   12 00:00:09

-------------  -----------------------  -----------------------------

LINK TOTAL                                    13

SNMP           COLDSTART                  5    1 00:00:11

-------------  -----------------------  -----------------------------

SNMP TOTAL