王子腾,某局点S12500F-AF ssh登录失败没有日志告警
组网及说明
不涉及
问题描述
ACL中拒绝的IP终端,SSH登录交换机没有日志告警。版本为R2820.
过程分析
1、相同型号另一版本(R2610),当ACL中拒绝的IP终端ssh登录交换机时就会有如下日志告警:
2、查看R2820日志手册,正常情况下应该有对应告警:
125.1 SSHS_ACL_DENY
日志内容
The SSH Connection [IPADDR]([STRING]) request was denied according to ACL rules.
参数解释
$1:SSH客户端IP地址
$2:SSH客户端IP地址所在VPN
日志等级
5
举例
SSHS/5/SSH_ACL_DENY: The SSH Connection 1.2.3.4(vpn1) request was denied according to ACL rules.
日志说明
SSH ACL规则限制登录IP地址。该日志在SSH服务端检测到非法客户端尝试登录时输出
处理建议
无
3、再次尝试用ACL中拒绝的IP终端登录设备,看acl是有命中的,但是依然没有告警:
4、检查配置发现缺少ssh server acl-deny-log enable
ssh server acl-deny-log enable命令用来开启匹配ACL deny规则后打印日志信息功能。
undo ssh server acl-deny-log enable命令用来关闭匹配ACL deny规则后打印日志信息功能。
【命令】
ssh server acl-deny-log enable
undo ssh server acl-deny-log enable
【缺省情况】
匹配ACL deny规则后打印日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
通过配置ssh server acl和ssh server ipv6 acl命令,可限制SSH客户端对设备的访问。此时,通过配置ssh server acl-deny-log enable命令,设备可以记录匹配deny规则的IP用户的登录日志,用户可以查看非法登录的地址信息。
执行本配置后,SSH客户端匹配ACL deny规则时,将产生日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。
【举例】
# 开启匹配ACL deny规则后打印日志信息功能。
<Sysname> system-view
[Sysname] ssh server acl-deny-log enable
解决方法
# 开启匹配ACL deny规则后打印日志信息功能。
<Sysname> system-view
[Sysname] ssh server acl-deny-log enable
内容来源:知了社区,基于知识共享署名-相同方式共享3.0中国大陆许可协议CRM论坛(CRMbbs.com)——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容,欢迎向我们投稿,共建CRM多元化生态体系,创建CRM客户管理一体化生态解决方案。,某局点S12500F-AF ssh登录失败没有日志告警
版权声明:本文由CRM小助手整理收集与网络,仅供学习交流使用,不代表CRM论坛观点。如有侵权,请联系我们,我们将及时删除处理。
CRM论坛投稿:投稿地址
CRM论坛(CRMBBS.COM)始办于2019年,是致力于CRM实施方案、免费CRM软件、SCRM系统、客户管理系统的垂直内容社区网站,CRM论坛持续专注于CRM领域,在不断深化理解CRM系统的同时,进一步利用新型互联网技术,为用户实现企业、客户、合作伙伴与产品之间的无缝连接与交互。