sshを介したネットワーク機器コンソールからの集中ロギング

ネットワーク機器のログを収集するための一般的に受け入れられている推奨される手段があります-SNMP、syslogなど。 彼らは通常、うまく機能しますが、時にはもっと何かが必要です。



次のシナリオを想像してください。ある特定のネットワークの鉄片が青から消え、数分後に再び表示されます。 「バージョンを表示」は、数百のOSコンポーネントの数千の理由による可能性がある、何らかのクラッシュによって引き起こされた再起動を示します。 ファイルcrashinfoがありません。 syslogサーバーは、クラッシュの直前にデバイスからメッセージを受信しませんでした。 デバイスはサービス契約でカバーされていますが、TACは自宅で事故を再現することはできません。また、クライアントから送信された情報は、事故の原因を正確に判断するには少なすぎます。 ソフトウェアまたはハードウェアの障害が原因で落下したのかどうかさえ明らかではありません。 デバイスを交換することはできますが、理由がソフトウェアの場合、これは役に立ちません。 別のOSバージョンに切り替えますか？ どっち？ 結局のところ、どのバグがクラッシュの原因であり、新しいバージョンで閉じられているかどうかは不明であり、新しいバグがある可能性があります。 コミュニケーションの過程で、TACの従業員は、クラッシュの直前に、ネットワークにすでに障害が発生している場合、デバイスがコンソールにメッセージを送信し、どのサブシステムが落下し、何に関連していたのかを伝えました。 もちろん、 ターミナルサーバーは既にありますが、デバイスへの緊急アクセスにのみ使用され、追跡対象の鉄片のコンソールポートから到着するすべてのメッセージを無視します。 これらのメッセージを何らかの方法で収集する必要があります。 これが私たちがやることです。



少し発言。 以下に提供されるものはすべて、従来の監視ツール（主にデバイスの標準SNMP / syslog）への追加としてのみ考慮され、事故の原因の調査を簡素化することを目的としています（同時に、再起動ログを自動的に収集します）。 そして、この方法で収集されたデータが役に立たないことを願っています。



記事として 「 Ciscoルーターに基づいたターミナルサーバー 」 を基礎として取り上げます 。 正しい最初の手順がそこに示されています。 ただし、メッセージロギング自体の問題には対処していません。 telnetは接続に使用されますが、これはもちろん受け入れられません。 この記事はその続きと考えることができます。



SSHクライアントとパートタイムロガーは、* NIX上の別個のサーバーになります。 私の場合、Centos 6行目。

まず、ターミナルサーバーへの単独アクセスを検討します。 通常のLinux sshクライアントは、スクリプトから呼び出されたときにパスワードを自動的に入力する方法を知りません（必要な場合、これは非常にい方法で実行できます）が、それは必要ありません。



1）ターミナルサーバーを実行しているルーターをIOSの15番目のバージョンに更新します（「SSHv2拡張機能for RSAキー」のサポート-一見、k9 15回線のすべてのソフトウェアはルーターIOSプラットフォームのこの機能をサポートします）

2）サーバーでSSHセッション用のRSAキーペアを作成します。 「パスフレーズを入力してください」という要求は無視され、Enterキーを押します。

[root@centos ~]# ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: 1d:60:fe:72:b5:8c:1e:b5:5e:d1:3c:9c:67:15:9c:59 root@centos The key's randomart image is: +--[ RSA 2048]----+ | o ..E| | o . .*o| | . . o .+=| | o * o oo| | S * + . | | + o . | | . . | | | | | +-----------------+
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

3）公開鍵RSAを取得します。

 [root@centos ~]# cat /root/.ssh/id_rsa.pub ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA0w2L4YVD/V303ccFatgtJxcS+JMYlPkmyufW36fUCogGjzWLbtMZGYoAW8vgy bVgN6r7lcbrbpF6oW9beGfHIWTBfUT898sUQL9jOOki0qvUWzkbej/po6agAK3KK/Z7QCtnAkbDQDb1SzHEmTx9rmboY EZosHOchQy+dvHEoBKCOMBrGKpYgdHfImjctKS3Q02TrkTO0+BoIFc2V32R9AukWFp7+ppGy2ZdoxLv5eEjlhcHukbM yKg9Kjc72/dPNbNkvLXcWKVnkebTmTJIQQyGU2qsAy2asgPC6D02gy6tZAdqp+0umEF2gLXlq2G1p3kn+AojH8bWvYBwyL2s6Q== root@centos
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

4）ルーターがSSHv2サーバーによって構成されていない場合、この厄介な誤解を標準的な方法で修正します。

5）サーバーの公開鍵をルーターにコピーします。 重要：行は長いので、2〜3回の呼び出しで部分的にコピーし、ピース間でEnterを押して、毎回すべての文字が収まることを確認する必要があります。

 termserver(config)#ip ssh pubkey-chain !   ,        termserver(conf-ssh-pubkey)#username consoleuser termserver(conf-ssh-pubkey-user)#key-string termserver(conf-ssh-pubkey-data)# ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQE… termserver(conf-ssh-pubkey-data)#...BwyL2s6Q== root@centos !    id_rsa.pub         termserver(conf-ssh-pubkey-data)#exit !      ,      termserver(conf-ssh-pubkey-user)#exit termserver(conf-ssh-pubkey)#
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

RSA認証が機能するかどうかを確認します。

 [root@centos ~]# ssh consoleuser@10.10.0.10 termserver>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、コンソールポートに接続できるかどうかを確認する必要があります。 まず、すべてのline'ahでsshを有効にします（telnetが開いている場合は同時に無効にします）。 ターミナルサーバーでは、番号は1/0から1/15になります。

 termserver(config)# line 1/0 1/15 termserver(config-line)# transport input ssh
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これで接続自体。 「show line」の2列目から、行番号（75に設定）を見つけて実行します。

 [root@centos ~]# ssh consoleuser:75@10.10.0.10
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

もう一度Enterキーを押して、以下を確認します。

 Username:
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして、これは、コンソールがターミナルサーバーの75行目に接続されているデバイスを既に送信しています。 検証のために認証する：

 Username: admin Password: router1> exit router1 con0 is now available Press RETURN to get started.
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

素晴らしい、コンソールへのsshアクセスがあります。 監視対象機器のコンソールへのログの送信を設定するために残ります。 ニュアンスがあります。 多くの人が「ロギングコンソールなし」を行い、一般的には理にかなっています。 コンソールがメッセージで過負荷になるのを許可することはできません。 しかし、私たちの目的にとって、これは適切ではありません。 したがって、両側の最初のもの：

 router1(config)# line console 0 router1(config-line)#speed 115200
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

 termserver(config)# line 1/0 1/15 termserver(config-line)#speed 115200
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この場合、115200が設定されます。これは、経験からかなり信頼できる値です（ネイティブの9600と比較して非常に高速です）が、テキストの大きなブロックを受け取ったときに詐欺師が来ないことを確認する必要があります。



次に、logging console Xコマンドを使用してコンソールに送信する記録レベルを決定する必要があります。Xは1〜7の数字です。「6」と「7」はカテゴリに含めるべきではありません。 （特に「7」-これはデバッグレベルであり、バッファにのみ書き込む必要があります。）「5」および「4」-通常は機能しますが、このレベルのメッセージがバッファに入る数を分析する必要があります。 たとえば、「％ASA-4-106023」は、ASAファイアウォールでパケットをブロックすることに関するメッセージであり、非常に多くなる可能性があり、コンソールに送信する必要はありません。 デバイス自体の個々のsyslogメッセージのファシリティを交換することは理にかなっているかもしれません。 1から3までのファシリティからメッセージを収集することは確かに興味があり、インターフェイスのアップ/ダウンイベントは干渉しません（数百のポートを持つスイッチについて話している場合、これは問題です）。 一般的に、思考の場があります。



複数のターミナルサーバーがあり、それぞれに数十の回線があります。 また、HWIC-16Aのないルーターは、1ポート（AUX）のターミナルサーバーです。 これで、sshを介してコンソールへのアクセスを設定し、コンソールにログを送信しましたが、イベントの記録はありません。 スクリプトの作成を開始しました。そのため、新しいコンソールの追加は簡単で楽しいものでした。



まず、ホストと回線のリストを解析して接続を開始するスクリプトを作成しましょう。 startcon.shという名前にします

 #!/bin/bash #   .       ,          syslog,   . LOGFOLDER="/root/logs/" #      LIST="/root/collectconsole/consolelist.txt" #     ssh LOCATION="/root/collectconsole" #      «75,10.10.0.1,termserver»,    – ,  –   ,   –     –      .         ,        ,    for i in $(cat $LIST | egrep -o "[0-9]{1,3},([0-9]{1,3}\.){3}[0-9]{1,3},[a-zA-Z0-9\-]+") ; do #          connectcon.sh – ,      . ARGS="$(echo $i | cut -f 1 -d ",") $(echo $i | cut -f 2 -d ",")" #        if ! ps ax | grep -v grep | grep "connectcon.sh $ARGS" > /dev/null ; then $LOCATION/connectcon.sh $ARGS >> $LOGFOLDER$(echo $i | cut -f 3 -d ",").log & fi Done
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

行番号（ターミナルサーバーの「show line」の2列目）、ターミナルサーバーのアドレス、およびこれらの行に接続されているデバイスの名前を使用してconsolelist.txtを作成します。

 nano consolelist.txt 66,10.10.0.10,router1 70,10.10.0.10,router2 71,10.10.0.10,router3 74,10.10.0.10,router4 67,10.10.0.10,router5 72,10.10.0.10,router6 75,10.10.0.10,router7 76,10.10.0.10,router8 79,10.10.0.10,router9
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

connectcon.shスクリプトを作成します。 彼にとってすべてが単純なわけではありません。 最初は、sshを呼び出す通常のbashスクリプトにしようとしました。 しかし、判明したように、sshはバックグラウンドで起動され、聞いたすべてをファイルにリダイレクトすることを拒否します。 解決策が見つかりました。 まず、expectインタープリターをインストールする必要があります。centosの場合は「yum install expect」です。 次に、スクリプトを作成します。

 #!/usr/bin/expect –f # ,      –      .        . set timeout -1 # ,    . set line [lrange $argv 0 0] set ipaddr [lrange $argv 1 1] #  ssh.  ,    .        –  . ..  . «expect timeout»      ,      ,      ssh     –   ,  2 . while { true } { spawn ssh consoleuser:$line@$ipaddr expect timeout sleep 120 }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ご存知のように、複数の接続が同時に同じコンソールを使用することはできません。 しかし、自分でコンソールポートに移動してアクションを実行する必要がある場合はどうでしょうか。 解決策は簡単です。通常のターミナルサーバーセッションに行き、必要な行をポクリルイテする必要があります。

 termserver#clear line 75 [confirm] [OK]
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これにより、ターミナルサーバーからログサーバーをノックアウトしました。 スクリプトの「sleep 120」コマンドは、自分でログインするのに2分かかります。 そして、ログコレクターは、出発するまで2分ごとにドアをノックし続けます。



それだけです startcon.shを開始します。

 [root@centos collectconsole]# ./startcon.sh [root@centos collectconsole]#
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

プロセスを見てみましょう。

 [root@centos collectconsole]# ps -ef | grep -E "connectcon|ssh" … root 23151 1 0 14:54 pts/4 00:00:00 /usr/bin/expect -f /root/collectconsole/connectcon.sh 66 10.10.0.10 root 23152 1 0 14:54 pts/4 00:00:00 /usr/bin/expect -f /root/collectconsole/connectcon.sh 70 10.10.0.10 root 23153 1 0 14:54 pts/4 00:00:00 /usr/bin/expect -f /root/collectconsole/connectcon.sh 71 10.10.0.10 root 23154 1 0 14:54 pts/4 00:00:00 /usr/bin/expect -f /root/collectconsole/connectcon.sh 74 10.10.0.10 root 23155 1 0 14:54 pts/4 00:00:00 /usr/bin/expect -f /root/collectconsole/connectcon.sh 67 10.10.0.10 root 23156 1 0 14:54 pts/4 00:00:00 /usr/bin/expect -f /root/collectconsole/connectcon.sh 72 10.10.0.10 root 23157 1 0 14:54 pts/4 00:00:00 /usr/bin/expect -f /root/collectconsole/connectcon.sh 75 10.10.0.10 root 23158 1 0 14:54 pts/4 00:00:00 /usr/bin/expect -f /root/collectconsole/connectcon.sh 76 10.10.0.10 root 23159 1 0 14:54 pts/4 00:00:00 /usr/bin/expect -f /root/collectconsole/connectcon.sh 79 10.10.0.10 root 23239 23155 0 14:54 pts/2 00:00:00 ssh consoleuser:67@10.10.0.10 root 23240 23156 0 14:54 pts/3 00:00:00 ssh consoleuser:72@10.10.0.10 root 23242 23158 0 14:54 pts/6 00:00:00 ssh consoleuser:76@10.10.0.10 root 23243 23159 0 14:54 pts/7 00:00:00 ssh consoleuser:79@10.10.0.10 root 23244 23153 0 14:54 pts/8 00:00:00 ssh consoleuser:71@10.10.0.10 root 23247 23152 0 14:54 pts/9 00:00:00 ssh consoleuser:70@10.10.0.10 root 23248 23154 0 14:54 pts/1 00:00:00 ssh consoleuser:74@10.10.0.10 root 23255 23151 0 14:54 pts/10 00:00:00 ssh consoleuser:66@10.10.0.10 root 23341 23157 0 15:09 pts/5 00:00:00 ssh consoleuser:75@10.10.0.10 …
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ログストレージを確認します（router4は既に何かを書いていますが、残りはまだ沈黙しています）。

 [root@centos collectconsole]# ls -l /root/logs/ -rw-r--r-- 1 root root 58 Sep 22 14:54 router1.log -rw-r--r-- 1 root root 58 Sep 22 14:54 router2.log -rw-r--r-- 1 root root 58 Sep 22 14:54 router3.log -rw-r--r-- 1 root root 115 Sep 22 14:57 router4.log -rw-r--r-- 1 root root 58 Sep 22 14:54 router5.log -rw-r--r-- 1 root root 58 Sep 22 14:54 router6.log -rw-r--r-- 1 root root 58 Sep 22 14:54 router7.log -rw-r--r-- 1 root root 58 Sep 22 14:54 router8.log -rw-r--r-- 1 root root 58 Sep 22 14:54 router9.log
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ターミナルサーバーを確認します。

 termserver#sh line Tty Line Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int 0 0 CTY - - - - - 0 0 0/0 - 1 1 AUX 115200/115200- inout - - - 0 0 0/0 - * 1/0 66 TTY 115200/115200- - - - - 0 0 0/0 - * 1/1 67 TTY 115200/115200- - - - - 0 0 0/0 - 1/2 68 TTY 115200/115200- - - - - 0 0 0/0 - 1/3 69 TTY 115200/115200- - - - - 0 0 0/0 - * 1/4 70 TTY 115200/115200- - - - - 0 0 0/0 - * 1/5 71 TTY 115200/115200- - - - - 0 0 0/0 - * 1/6 72 TTY 115200/115200- - - - - 0 1 0/0 - 1/7 73 TTY 115200/115200- - - - - 0 0 0/0 - * 1/8 74 TTY 115200/115200- - - - - 0 0 0/0 - * 1/9 75 TTY 115200/115200- - 1 - - 2 0 2/4 - * 1/10 76 TTY 115200/115200- - - - - 0 0 0/0 - 1/11 77 TTY 115200/115200- - - - - 0 0 0/0 - 1/12 78 TTY 115200/115200- - - - - 0 0 0/0 - * 1/13 79 TTY 115200/115200- - - - - 0 0 0/0 - 1/14 80 TTY 115200/115200- - - - - 0 0 0/0 - 1/15 81 TTY 115200/115200- - - - - 0 0 0/0 -
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

構成ファイルに示されている行はビジーです（アスタリスクでマークされています）。 すばらしい、スクリプトは動作します。



次に、startcon.shスクリプトを開始します。 init.dおよび/またはcron.dailyに配置できます（リストに追加されたノードは、翌日またはシステムの再起動後に書き込まれます）。 そして-問題は解決されました。



いくつかの重要な点に注意してください。

1）Secure ACSサーバーを使用して、これらの目的で使用されるアカウントの権利を制限することは理にかなっています。 彼はログインできるはずですが、これしかありません。 さらに、彼はデバイスの限られたリストにログインする必要があります。

2）スクリプトを実行するには、Linuxマシンに別のアカウントを作成することをお勧めします。 したがって、その下にRSAキーを生成し、それらをターミナルサーバーにスリップします。 はい、この記事では常にルートの下に座っていましたが、誰もがこれが良くないことを知っています。 また、ログリポジトリの場所は変更する価値があります。

3）LinuxでLogrotateを使用すると、ログファイルが天文サイズに到達できなくなります。 これらのファイルに対して有効にすることをお勧めします。 アーカイブアルゴリズムは、ファイルの充填速度に依存します。

4）ログファイルへのアクセスを厳しく制限する必要があります。

5）監視対象のハードウェアが落下しても、数秒以上コレクタとターミナルサーバー間の接続が切断されないように、ターミナルサーバーに対してログ収集サーバーを配置することをお勧めします。 また、一般的には、1つのデバイスの障害が数秒間しか続かないネットワーク障害を引き起こすようにネットワークを構築します。

6）これらのスクリプトを使用して、ターミナルサーバーに接続されたデバイスのイベントを記録することを妨げるものはありません-単なるデバイスだけではありません。

7）ターミナルサーバーは、AUXポートを持つ任意のtsiskinルーターです。 ターゲット鉄片のコンソールポートは、 ロールオーバーケーブルを使用してこのポートに接続されます。 同じように、設定に1行追加することで記録されます。 これは、ルーターとスイッチがそれぞれ1つずつある小規模オフィスに便利です。スイッチを監視できます。

8）シェルスクリプトを記述する経験はほとんどなく、提案された構成には確かに多くの改善があります。 どんな追加も喜んでいます。