Cisco日志分析

路由器和交换机是网络的流量导向器，可动态发现数据包传输的最佳路由。路由器故障可能会通过拖慢数据包的传输来中断通信。防火墙和IDS/IPS设备通过过滤和检查数据包中的恶意内容来提供网络安全。所有这些设备都会记录流量活动和其他重要的安全信息。监控和分析这些设备上的活动很重要。Cisco网络设备是最常用的设备之一。

Cisco网络分析的优势

分析Cisco日志允许您实现以下各项：

• • 跟踪所有登录并发现所有认证错误。
• • 确保设备始终进行了正确配置，并监控配置更改。
• • 检查所有路由器和交换机连接（包括被拒绝的那些连接），并识别与它们交互最多的源设备和目标设备。
• • 根据协议（例如，TCP、UDP和ICMP）分解有关通过设备的流量的详细信息。
• • 分析设备上的端口使用情况并了解是否有任何设备在任何时间处于关闭状态。
• • 检查您关注的所有系统事件，并识别需要注意的路由器。
• • 发现流量传输错误并记录最常发生的情况。

但是，您要独自完成这一切并不容易。通过EventLog Analyzer之类的Cisco syslog服务器，您可简化Cisco网络监控和分析。

EventLog Analyzer提供的Cisco网络设备管理功能

EventLog Analyzer为Cisco日志管理提供以下功能：

• • 一组详细列示路由器和交换机活动的预先打包报表可帮助您以列表、图表和图形格式直观地显示数据。
• • 趋势报表会发现数据中的模式，而那些排名报表会显示最常引发某些事件的人员和设备。
• • 轻松地从查看报表切换到纯文本日志信息。
• • 自定义实时告警消除了手动报表监控的需要。
• • 强大的取证功能允许您轻松找到所需日志。

此解决方案有助于在以下方面进行Cisco日志监控：

• • Cisco路由器监控： 监控Cisco路由器syslog以获取有关登录、配置更改、连接细节，流量细节和系统事件的信息。
• • Cisco交换机监控：监控流量信息和系统事件的之类的交换机活动。
• • Cisco防火墙监控：针对Cisco ASA和Cisco PIX设备监控防火墙流量、帐户更改、登录、威胁信息等等。
• • Cisco VPN监控：监控Cisco ASA设备的远程VPN登录和VPN用户信息。
• • Cisco IDS/IPS监控：监控攻击信息并识别频繁受到攻击的设备等等。

路由器登录报表

• • 审计所有成功的路由器登录。
• • 获取有关SSH和VPN登录的详细信息。
• • 查看所有VPN认证和授权错误。
• • 查看成功登录和失败登录（按设备、用户和远程设备分类）。
• • 通过查看登录趋势来识别模式或异常。

可用的报表

登录 | 失败登录 | 无效认证 | SSH登录 | 失败的SSH登录 | 已关闭SSH会话 | 失败的VPN登录 | VPN授权错误 | 基于设备的登录排名 | 基于用户的登录排名 | 基于远程设备的登录排名 | 基于设备的失败登录排名 | 基于用户的失败登录排名 | 基于远程设备的失败登录排名 | 基于接口的VPN认证错误排名 | 基于用户的VPN认证错误排名 | 基于接口的VPN授权错误排名 | 基于用户的VPN授权错误排名 | 基于远程设备的SSH登录排名 | 基于用户的SSH登录排名 | 基于远程设备的失败SSH登录排名 | 登录趋势|失败登录趋势

路由器配置报表

• • 查看有关所有上行链路和下行链路的详细信息。
• • 跟踪所有配置和链路状态更改。
• • 识别所有链路错误，包括最常发生的错误的列表。
• • 查看配置更改排名（按用户和远程设备分类）。

可用的报表

上行链路报表 | 下行链路报表 | 上行链路和下行链路报表 | 链路状态更改 | 配置更改|系统重新启动 | 链路错误 | 状态更改排名 | 配置更改排名 | 基于用户的配置更改排名 | 基于远程设备的配置更改排名 | 链路错误排名

路由器连接报表

• • 查看有关您的路由器接受和拒绝的所有连接的详细信息。
• • 它们按源、目标和协议分类。
• • 还将提供有关所有路由器连接的趋势报表。

可用的报表

成功连接授权 | 基于源的连接排名 | 基于目标的连接排名 | 基于协议的连接排名 | 成功连接授权趋势 | 被拒绝连接 | 基于源的被拒绝连接排名 | 基于目标的被拒绝连接排名 | 基于协议的被拒绝连接排名 | 被拒绝连接趋势

基于协议的路由器流量报表

• • 审计通过您的路由器的所有TCP、UDP和ICMP流量。
• • 识别导致产生最高额TCP、UDP和ICMP流量的源。

可用的报表

TCP流量审计 | UDP流量审计 | ICMP流量审计 | 流量审计概述 | 基于源的TCP流量排名审计 | 基于源的UDP流量排名审计 | 基于源的ICMP流量排名审计 | 基于源的流量排名审计

路由器和交换机系统事件

• • 跟踪与路由器接口、风扇、内存、时钟、端口和电源相关的关键系统事件。

可用的报表

所执行命令 | 接口已启动 | 接口因为链路故障而关闭 | 个别端口已关闭 | 风扇发生故障 | 风扇状态良好 | 电源报表 | 内存分配故障 | 系统时钟更新 | 计划电源报表 | 超出系统温度 | 因为温度而导致系统关闭 | 接口关闭因为速度而暂挂

路由器流量错误

• • 识别通信错误，例如，与传输数据片段请求或地址解析协议(ARP)请求有关的错误。

可用的报表

片段太多 | 无效片段长度 | 重叠片段 | DHCP窥探被拒绝 | 允许的ARP | 拒绝的ARP