实时配置变更检测

目录

概览

未经授权的配置变更通常会对业务连续性造成严重破坏,因此检测更改是一项至关重要的任务。检测应该需要实时的正确设置。Network Configuration Manager提供实时配置变更检测,本节说明了为启用变更检测所要执行的步骤。

 

实时变更检测如何工作?

每当其配置发生更改时,许多设备都会生成系统日志消息。通过监听这些消息,可以检测到设备中的任何配置更改。Network Configuration Manager利用设备的这种更改通知功能来提供实时更改检测和跟踪。

 

实时检测对我有什么好处?

这便于管理员跟踪所做的变更并检测任何未经授权的更改。通过启用此功能,您可以

  1. 在发生变更时捕获配置。
  2. 获取有关变更检测的实时通知。
  3. 查找有关谁在哪里(IP地址)进行了哪些更改的信息。
  4. 实时检测未经授权的更改。

 

如何启用实时更改检测?

您可以一次性为单个设备或多个设备启用更改检测,但是启用更改检测只能针对哪些您提供了凭证的设备。

通过系统日志检测配置更改,

  1. 进入"资源清单"选项卡。选择您希望启用更改检测的设备。

  2. 点击“更多操作”下拉列表中的“启用变更检测”链接并填写详细信息。

  3. 在打开的UI中,选择“启用”选项。

  4. 输入系统日志服务器IP。默认情况下,Network Configuration Manager带有一个内置的系统日志服务器,并且它的IP被填写在该字段中。如果要使用默认设置,请不要更改IP。如果您想使用转发的系统日志消息,请参阅以下说明。

禁用配置更改检测,

如果您希望禁用已启用的配置跟踪,可以执行以下操作:

  1. 选择要禁用更改检测的设备。

  2. 点击“更多操作”下拉菜单中的“启用更改检测”。

  3. 在打开的UI中,点击'通过系统日志检测配置更改'参数的“禁用”选项。

 

侦听转发的系统日志消息

Network Configuration Manager的实时检测更改通过

  1. 直接从进行配置更改的设备发送的系统日志消息。

  2. 以及从通用系统日志服务器转发的系统日志消息(符合RFC 3164)。


系统日志转发器可以配置为一组设备将系统日志消息发送到转发器,然后转发器将这些消息发送到Network Configuration Manager,而不是所有设备都将系统日志消息发送到Network Configuration Manager。大多数系统日志转发器工具支持在转发器级别过滤消息的各种选项,这些选项可以配置为管理大量消息交换。


虽然第一种情况(设备发送的系统日志消息)不需要进行任何配置,但使用转发消息的第二种选项需要在Web GUI中进行某些配置。

 

在Network Configuration Manager中提供系统日志转发器IP

您可以提供将系统日志消息转发到Network Configuration Manager的IP列表。 该列表可以以逗号分隔的形式输入,如下所述:

  1. 进入"设置">>"全局设置">>"第三方系统日志服务器"。

  2. 在打开的UI中,以逗号分隔的形式输入所需的转发器IP地址,然后点击“保存”。

启用转发器IP来进行更改检测。

  1. 进入"资源清单"选项卡。选择您希望启用更改检测的设备。

  2. 点击“更多操作”下拉列表中的“启用更改检测”链接,并填写详细信息。

  3. 在打开的UI中,选择“启用”选项。

  4. 从下拉列表中选择转发器IP。

 

在转发器中进行的设置

在Network Configuration Manager中添加所需的转发器IP后,您需要在转发器中配置Network Configuration Manager的IP和端口,并使其能够将系统日志消息发送到Network Configuration Manager。

 

禁用转发器IP来进行更改检测。

  1. 进入"资源清单"选项卡。选择您希望启用更改检测的设备。

  2. 点击“更多操作”下拉列表中的“启用更改检测”链接,并填写详细信息。

  3. 在打开的UI中,选择“禁用”选项。

  4. 从下拉列表中选择要禁用的转发器IP,然后点击“保存”。

 

如何获取有关“谁更改了”配置的信息?

当有人打开Telnet控制台并直接对Cisco设备执行配置更改时,Network Configuration Manager会捕获用户名和IP地址。

要获取此信息,需满足以下条件:

  • Cisco交换机和路由器应启用登录名并且,

  • 必须启用基于系统日志的更改检测 (或者) 关于谁更改了配置的信息应该出现在配置标头中。
     

当用户通过telnet控制台访问设备并进行任何更改时,将在备份的配置信息的“更改者”列下捕获用户名。用户的IP地址将被显示在注释栏中。

 

编辑“谁更改了”信息

在两个用户同时执行配置更改的罕见情况下,Network Configuration Managerwould很可能只会收到一条系统日志消息,并且“更改者”配置将仅描述一个用户的名称,但是更改是由两个用户完成的。为了解决这种情况,Network Configuration Manager允许管理员编辑“更改者”信息,并同时添加其他用户的名称。要完成此操作,请执行以下操作:

 

  1. 进入"资源清单"选项卡,然后点击所需的主机名,从而进入'设备详细信息'页面。

  2. 之后进入"设备配置"部分并点击所需的配置(运行/启动)。

  3. 选择需要的配置版本。

  4. 点击"动作"下拉列表中"编辑由谁更改"的链接。

  5. 在打开的UI中,以逗号分隔的形式输入其他名称,然后点击"保存"。

 

通过计划自动检测变更

可以通过定期的配置备份任务来安排配置变更跟踪。可以通过添加计划自动备份配置,并且可以跟踪配置版本。有关更多详细信息,请参阅'计划任务'部分。

 

故障排除提示

 

重要提示

您有时可能会在用于更改检测的系统日志配置中注意到以下消息:

设备不支持通过系统日志进行配置检测。

<device1>, <device2>, <device 3>

在以下任何情况下都会显示此消息:

  • 设备不生成系统日志消息;因此无法进行基于系统日志的更改检测。

  • 设备为配置更改事件生成系统日志消息,但Network Configuration Manager尚未添加对此设备的更改检测支持。如果是这种情况,请联系mes@zohocorp.com.cn

  • 对于Cisco IOS路由器和交换机,如果使用SNMP协议与设备通信,则不支持“基于系统日志的更改检测”的自动配置。在这种情况下,您需要手动配置路由器/交换机来将系统日志消息转发到Network Configuration Manager系统日志服务器,然后将启用更改检测功能。或者您可以选择Telnet作为通信协议。

 

 

 

Back to Top