看看这个 IOSHints 帖子：CLI command logging without TACACS+。标题似乎暗示它也可以用 TACACS+ 来完成。

假设您使用的是 TACACS+，您可以配置：

tacacs-server host x.x.x.x key xxxxx

aaa accounting commands 0 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+

还包括您可能使用的任何其他启用级别的行。

由于您的问题不仅限于 IOS：在 Cisco ASA 设备上，您可以在系统日志中看到已执行的命令。他们看起来是这样的：

May 17 11:45:12 192.168.0.1 %ASA-5-514008: User 'stefan' executed the 'write memory' command.

因此，您可以过滤此类消息，例如 usinggrep和 cron 作业。当然，您需要设置所需的严重性级别，此处为 5 用于通知。

我使用splunk直接接收和存储防火墙系统日志消息，编写了每日运行警报，该警报将包含“已执行”的所有 ASA 系统日志行作为摘要电子邮件发送给我。我这样做是因为我已经准备好用于监控和报告的 splunk。

TACACS+ 是在任何启用级别记录 CLI 命令的首选方法。有关配置，请参阅AAA和 TACACS 命令。如果您没有或买不起 Cisco ACS 或类似产品，可以使用开源软件。

但是对于一个非常酷且很少使用的功能，您可以让交换机本身在 running-config 和 startup-config 上运行配置差异（erence），并将更改或增量通过电子邮件发送给您！

这是我将 4510R 交换机配置为通过电子邮件发送配置更改的方式。这使用事件管理器来完成工作。

首先，邮件服务器、发件人和收件人地址的一些常见设置。

    event manager environment _email_server a.b.c.d.
    event manager environment _email_from netops@example.com
    event manager environment _email_to netops@example.com

然后，实际的小程序来做 diff。这是不言自明的。

    event manager applet config_diff_email authorization bypass
    event syslog pattern ".*%SYS-5-CONFIG.*"
    action 1.0 info type routername
    action 1.1 cli command "enable"
    action 1.2 cli command "show archive config diff nvram:/startup-config system:/running-config"
    action 1.3 mail server "$_email_server" to "$_email_to" from "$_email_from" subject "Config Change Alert ($_info_routername)" body "$_cli_result"
    action 1.4 syslog msg "Config Change Alert emailed" 

请注意，即使进入配置而不进行更改仍会触发差异电子邮件。这样做的一个缺点是 CPU 峰值在运行时会发生大约 10 秒。