Cómo Configurar el Registro de Archivos en Cisco
Cómo Configurar el Registro de Archivos en Cisco

¿Cómo Configurar el Registro de Archivos en Cisco?

A veces, notamos cambios en la configuración de un equipo en nuestra infraestructura. Muy a menudo, no tenemos tiempo para preguntar quién es el responsable de este cambio y por qué, especialmente si este último ha impactado la producción.

De hecho, implementar una política de auditoría es esencial para tener rastros en los registros. Además, si utilizamos equipos Cisco, tenemos una solución robusta llamada “ACS” que utiliza TACACS+ capaz de recopilar información de contabilidad desde un dispositivo de red.

Implementar una solución como ACS es costosa, especialmente para las PYMES. Sin embargo, podemos configurar una función que permite el registro de archivos conocido en inglés como “archive logging” y en el mundo Cisco como “Cisco as Configuration Notification and Logging“. Esta función es capaz de proporcionarnos información detallada sobre la persona que realizó una configuración exitosa en un equipo Cisco.

Configuración del Registro de Archivo

Suponiendo que tenemos usuarios configurados para autenticarse con SSH en nuestro equipo, el objetivo de esta parte es mostrarle cómo configurar la función “archive logging“.

En el modo de configuración global de nuestro router, inyectamos la siguiente configuración para habilitar el registro de archivo:

BlogCCNA(config)#archive
BlogCCNA(config-archive)#log config
BlogCCNA(config-archive-log-cfg)#logging enable

Ahora, pasaremos a la fase de pruebas, autenticarnos mediante SSH con un usuario y luego cambiar nuestra configuración, por ejemplo (agregar una ruta estática y configurar una interfaz de loopback).

BlogCCNA(config)#interface loopback 23
BlogCCNA(config-if)#ip add 192.168.1.30 255.255.255.0
BlogCCNA(config-if)#no shutdown
BlogCCNA(config)#ip route 0.0.0.0 0.0.0.0 192.168.90.2

Para determinar qué usuario confirmó la configuración anterior utilizando la función de archivo, escribimos el comando: show archive log config all

El resultado es algo parecido a lo siguiente:

BlogCCNA#show archive log config all
Idx  Sess  User@Line         Logged command
1    1     alex@vty0         logging enable
2    1     alex@vty0         exit
3    1     alex@vty0         exit
4    1     alex@vty0         interface loopback 23
5    1     alex@vty0         ip address 192.168.1.30 255.255.255.0
6    1     alex@vty0         no shutdown
7    1     alex@vty0         exit
8    1     alex@vty0         ip route 0.0.0.0 0.0.0.0 192.168.90.2

La ventaja de este comando de la función archive es que nos muestra en detalle los últimos cambios realizados en nuestro equipo, incluido el nombre de la persona que realizó la tarea.

Además, podemos enviar los registros grabados en nuestro equipo al servidor Syslog de nuestra empresa (lo cual se recomienda).

Otras opciones de comando:

BlogCCNA(config)#archive
BlogCCNA(config-archive)#log config
BlogCCNA(config-archive-log-cfg)#logging enable
BlogCCNA(config-archive-log-cfg)#logging size 1000
BlogCCNA(config-archive-log-cfg)#hidekeys
  • logging size 1000: Define el tamaño del buffer de logs a 1000 entradas.
  • hidekeys: Oculta contraseñas y claves secretas en los logs de configuración para mejorar la seguridad.

Conclusión

Para finalizar, te sugiero tomar un router en GNS3 para probar esta configuración. ¡A sus teclados!