王子腾,某局点S12500F-AF ssh登录失败没有日志告警

组网及说明

不涉及

问题描述

ACL中拒绝的IP终端，SSH登录交换机没有日志告警。版本为R2820.

过程分析

1、相同型号另一版本（R2610），当ACL中拒绝的IP终端ssh登录交换机时就会有如下日志告警：

2、查看R2820日志手册，正常情况下应该有对应告警：

125.1  SSHS_ACL_DENY

日志内容

The SSH Connection [IPADDR]([STRING]) request was denied according to ACL rules.

参数解释

$1：SSH客户端IP地址

$2：SSH客户端IP地址所在VPN

日志等级

5

举例

SSHS/5/SSH_ACL_DENY: The SSH Connection 1.2.3.4(vpn1) request was denied according to ACL rules.

日志说明

SSH ACL规则限制登录IP地址。该日志在SSH服务端检测到非法客户端尝试登录时输出

处理建议

无

3、再次尝试用ACL中拒绝的IP终端登录设备，看acl是有命中的，但是依然没有告警：

4、检查配置发现缺少ssh server acl-deny-log enable

ssh server acl-deny-log enable命令用来开启匹配ACL deny规则后打印日志信息功能。

undo ssh server acl-deny-log enable命令用来关闭匹配ACL deny规则后打印日志信息功能。

【命令】

ssh server acl-deny-log enable

undo ssh server acl-deny-log enable

【缺省情况】

匹配ACL deny规则后打印日志信息功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

通过配置ssh server acl和ssh server ipv6 acl命令，可限制SSH客户端对设备的访问。此时，通过配置ssh server acl-deny-log enable命令，设备可以记录匹配deny规则的IP用户的登录日志，用户可以查看非法登录的地址信息。

执行本配置后，SSH客户端匹配ACL deny规则时，将产生日志信息。生成的日志信息将被发送到设备的信息中心，通过设置信息中心的参数，决定日志信息的输出规则（即是否允许输出以及输出方向）。

【举例】

# 开启匹配ACL deny规则后打印日志信息功能。

<Sysname> system-view

[Sysname] ssh server acl-deny-log enable

解决方法

# 开启匹配ACL deny规则后打印日志信息功能。

<Sysname> system-view

[Sysname] ssh server acl-deny-log enable