思科IOS

Cisco IOS是InsightIDR DHCP事件源之一,因此为InsightIDR提供数据,以生成资产详细信息、IP地址历史记录、来自网络的事件详细信息和其他非常有用的见解。

在你开始之前

为了使InsightIdr拥有Cisco IOS数据,您需要打开Cisco设备的登录。

按照这里的说明:https://supportforums.cisco.com/document/24661/how-configure-logging-cisco-ios

  1. 运行以下命令打开日志记录:>调试IP DHCP服务器事件
  2. 运行以下命令以打开Rapid7 Parser的所需时间戳:
         

          

           
          

         

          

           

            1

           >服务时间戳调试日期时间年msec显示时区
          

          

           

            2

           >服务时间戳日志datetime年msec show-timezone

动态IP分配

Cisco IOS设备可用于在网络中动态分配IP地址;但是,这些设备并不记录它租用IP地址的机器的主机名。

为了将DHCP租约与网络中的真实机器关联起来,InsightIDR收集器将对机器的主机名发出反向DNS请求。正因为如此,为了正确地获取Cisco IOS DHCP数据,反向DNS请求必须允许在您的网络的DNS服务器上。

DNS配置

请确保在您的收集器主机上正确配置了DNS。

如何配置事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击DHCP.图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配。
  6. 可选择选择发送未经过滤的日志
  7. 配置任何高级事件源设置
  8. 选择一个收集的方法
    • 如果通过下载通过下载TCP,可选择选择加密事件源Rapid7证书
  9. 点击保存

故障排除

使用以下解决方案之一来解决Cisco IOS问题:

  • 调试模式
  • 无法执行反向DNS查找

调试模式

以下命令确保调试模式在服务器重启后仍然有效:

          

           文本

            
           

          

           

            

             1

            > Event Manager Applet EnabledeBugging
           

           

            

             2

            > event syslog occurred 1 pattern "%SYS-5-RESTART"
           

           

            

             3.

            > action 1.0 cli command "enable"
           

           

            

             4

            > action 2.0 cli命令"调试IP DHCP服务器事件"

有关如何在路由器上启用调试的更多信息,请参阅本文:http://blog.ipspace.net/2007/06/re-enable-debugging-on-router-reload.html

无法执行反向DNS查找

如果您在Collector上启用或执行反向DNS查找时遇到问题,可能是因为InsightIDR无法将IP地址与主机关联,从而阻止了用户属性和数据关联。

解决这个问题:

  1. 安装必威体育app登录你所有的资产;Insi必威体育app登录ght Agent自动向InsightIDR报告主机名IP地址。
  2. 为Cisco IOS框添加静态IP地址,而不是作为事件源。这样做>静态IP范围

这迫使Collector对通过DHCP或Insight Agent无法找到的IP地址执行反向DNS查找。必威体育app登录