RA VPN 通知

网络工程 思科 思科 安全 虚拟专用网 监控
2021-07-25 04:27:37

我有一家支持某些专用设备的供应商,我之前的网络工程师为它们设置了远程访问 VPN,终止于 Cisco ASA 5510,以便他们可以远程管理/排除系统故障。

要求是在建立 VPN 连接和断开连接时获得警报/通知(电子邮件或系统日志)。这主要用于计费目的,即当他们的供应商声称他们花了 X 小时做工作时,我们想要一些验证方法。

我希望有人能指出我正确的方向,或者如果有更好的方法来做到这一点,我愿意接受想法吗?

编辑以显示我迄今为止尝试过的内容

这是我上次尝试时在 ASA 上的配置,但不起作用。

logging enable  
logging timestamp  
logging buffered notifications  
logging trap critical  
logging history notifications  
logging asdm informational  
logging from-address [ASA email]  
logging recipient-address [myemail address] level critical  
logging host inside [syslog server]  
logging class vpn mail debugging  
logging class vpnc mail debugging
3个回答

您需要logging mail——请参阅Cisco ASA 5500 系列命令参考,8.2(或其他版本)——来触发电子邮件。

logging list emaillogin level alerts class auth
logging mail emaillogin
! ^^^^^^^^^^^^^^^^^^^^^
logging from-address asa5510@example.com
logging recipient-address you@example.com level alerts
logging class auth mail alerts

扩展generalnetworkerror的答案:

除了添加邮件服务器以从 ( smtp-server XXX.XXX.XXX.XXX)发送邮件之外,您还必须使用日志级别信息来查看某人何时连接,或者如果您只想在他们断开连接时(在消息中有持续时间),请使用日志级别警告。这些是使用日志级别信息(每封电子邮件 1 行)运行 8.4 的实验室 ASA5505 的电子邮件结果:

<166>%ASA-6-113009:AAA 检索到用户 = your_vendor_account 的默认组策略 (anyconnect-split-policy)

<166>%ASA-6-113008:AAA 交易状态接受:用户 = your_vendor_account

<164>%ASA-4-113019:组 = anyconnect-split-group,用户名 = your_vendor_account,IP = 70.210.XXX.XXX,会话已断开。会话类型:SSL,持续时间:0h:02m:10s,字节 xmt:7490,字节 rcv:1210,原因:用户请求

ASA-6:信息级别

ASA-4:警告级别

前两个条目来自登录。最后一次是当我注销手机时。

ASA 会抱怨 SMTP 日志记录效率低下,并且您可能会淹没 SMTP 服务器。但是,如果您使用 generalnetworkerror 中的步骤,则日志记录仅限于“AUTH”条目,您不应该感到不知所措。

系统日志几乎是自动的。(它们可能非常冗长)您必须设置一些东西来解析 syslog 输出(splunk 等)此外,如果有一个身份验证(会计)系统,您可以在那里查找登录/注销事件。

其它你可能感兴趣的问题
上一篇简单的问题:高带宽使用会影响 Speedtest.net 结果吗? 下一篇Cisco 7609-S 线卡错误计数器经常超过阈值