网络工程 - Cisco VPN 日志不显示用户名 - 吾爱随笔录

Cisco VPN 日志不显示用户名

网络工程思科虚拟专用网

2021-07-22 04:20:54

我有一个 Cisco VPN（不确定具体是哪个硬件），它的日志被转发到我们的 Splunk 服务器。看来用户名已被编辑。我看到的都是星号。这是可以在 VPN 上更改的内容吗？如何更改？希望可以回答问题的设备之间有足够的一致性。谢谢！

截图如下：

IP  xx.xx.xx.xx
_raw    Jun 26 10:23:31 xx.xx.xx.xx %ASA-6-113005: AAA user authentication Rejected : reason = Invalid password : server = xx.xx.xx.xx : user = ***** : user IP = xx.xx.xx.xx   
_time   2014-06-26T10:23:31.000-0400    
app     
date_hour   10  
date_mday   26  
date_minute 23  
date_month  june    
date_second 31  
date_wday   thursday    
date_year   2014    
date_zone   local   
eventtype       
host    xx.xx.xx.xx 
ids_type        
index   main    
linecount   1   
pid     
process %ASA-6-113005   
product     
punct   __::_..._%--:_____:__=___:__=_..._:__=_*****_:___=  
reason  Invalid 
server  xx.xx.xx.xx 
source  syslog  
sourcetype  syslog  
splunk_server   xx.xx.xx    
tag::eventtype      
timeendpos  15  
timestartpos    0   
user    *****   
vendor

3个回答

这是 Splunk 问题，而不是网络问题。正如您从我的 Splunk 日志中看到的无效登录尝试（尽管是非 LDAP）：

Jul  5 17:55:52 firewall.local %ASA-6-113015: AAA user 
  authentication Rejected : reason = Invalid password : local database : 
  user = legioxi

它以明文形式显示用户名。系统日志 ID 不同，因为我的实验室 ASA 上没有配置 LDAP。

您寻求的答案很可能会在 Splunk 手册中找到，就像 YLearn 提到的那样，在您的splunk 配置文件中

这是您看到的系统日志 ID的解释 (cisco.com)。

这是 Cisco ASA 9.2(2) 中的错误，可能不是 Splunk

https://tools.cisco.com/quickview/bug/CSCur17006

正如 powerkor 所说，这是一个故意的错误。它现在也在9.5.1 中得到修复，列在Monitoring Features 下。更新到 9.5.1 后，您可以使用以下命令禁用隐藏用户名：

no logging hide username

他们还在其他固件系列中添加了这一点：

9.2(4)
9.3(3)

其它你可能感兴趣的问题

上一篇Cisco Prime / 5508 WLC 强制门户下一篇思科 ASA 9.0(1) - NAT/PAT