Monitorear un switch

Cristian Núñez · ‎11-08-2017

Se puede monitorear un switch??

- Mediante alguna configuración rápida en el switch?

- Monitorear mediante algún comando?

- Se necesita algún IDS necesario?

Julio E. Moisa · ‎11-08-2017

Buenas tardes Cristian,

Puedes monitorear a traves de el comando Logging. A continuacion te comparto un link con la explicacion y forma de uso: https://www.cisco.com/c/en/us/td/docs/routers/access/wireless/software/guide/SysMsgLogging.html

Ahora si deseas tambien monitorear las configuraciones hechas por algun administrador, puedes configurar:

archive
log config
logging enable
logging size <tamaño>
notify syslog contenttype plaintext

Un IDS no es necesario, pero si el departamento de seguridad desea monitorear amenazas o ver el tipo de trafico, podria usar un IPS.

Otro servicio util es netflow, pero no todos los equipos lo soportan, es mas que todo utilizado en routers y switches multicapa robustos tipo 4500, 6500 or +.

Espero te sea util

Saludos
hidekeys

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Leonardo Pena Davila · ‎11-08-2017

Hola, tambien puedes configurar el router para que grabe todos los mensajes de log o eventos en lugar de solo mostrarlos en consola:

Router#configure terminal

Router(config)#logging buffered informational

Router(config)#end

Este comando permite almacenar todos los mensaje de eventos (logs) en un bufer de logs. El router va descartando los mensajes con mayor tiempo para asi ir haciendo espacio en el bufer y continuar almcenando.

con el comando show logging puedes verificar estos mensajes.

Puedes incrementar o disminuir el tamaño del bufer con el comando

Router(config)#logging buffered (tamaño en bytes)

Siempre ser cuidadoso al momento de asignar el tamaño al bufe

Si deseas eliminar estos mensajes del bufer y obtener capturas recientes usa el comando:

Router#clear logging

Si deseas obtener estos mensajes en tiempo real cuando estas conectado al dispositivo via remota (ssh o telnet) usa el siguiente comando:

Router#terminal monitor

y para deshabilitar esta captura

Router#terminal no monitor

Dado que este comando envia todos los mensajes puedes seleccionar ver unicamente los que te aporten alguna informacion importante con este comando:

Router(config)#logging monitor informational

Puedes configurar un servidor (log server) donde envias toda la informacion de los eventos del dispositivo y lo almacenas en disco, ademas en caso de reincio del router estos mensajes no se pierden ya que quedan almacenados en el servidor

Router2(config)#logging host 10.0.0.20 (ip del log server)

Si tienes varios dispositivos y quieres almacenar los logs de cada uno de ellos en el server log sera conveniente usar el siguiente comando a fin de diferenciar o etiquetar los mensajes de eventos

Router2(config)#logging origin-id hostname

o tambien puedes asignar una direccion ip especifica a estos mensajes usando el siguiente comando:

Router(config)#logging source-interface Loopback0

Si quieres ver la cantidad el tipo de mensajes de eventos creados por el router usa el sieguiente comando:

Router2(config)#logging count

Verificas con:

Router2#show logging count

Ademas de estas tienes disponibles otras funcionalidades para realizar un monitoreo del equipo sin necesidad de un IDS.

Espero te ayude

Saludos

Leonardo