TaComAcc (v1.1) Homepage

Freeware Утилита для журналирования действий администраторов на устройствах Cisco (платформа Windows)

Freeware Program for Cisco CLI commands logging (on Windows platform)

Предназначена для ведения логов действий администраторов и привилегированных пользователей. Использует возможности приватного протокола TACACS+ компании Cisco. Разработана на базе спецификации :

The program is intended for logging all commands entered by administrators and privileged users on Cisco devices (routers, firewalls etc.). It uses Cisco's proprietary protocol TACACS+. The program has been developed according to the following specification : 

The TACACS+ Protocol, Version 1.78, draft-grant-tacacs-02.txt, Cisco Systems, January, 1997

Пример лог-файлов, создаваемых программой :

Sample log-files generated by the program : 

27.03.2008 16:11:46.503 [10.1.1.28/andy/tty230]:   (acctype=02(START),task_id=452)
27.03.2008 16:11:48.206 [10.1.1.28/andy/tty230]: enable <cr>  (acctype=04(STOP),task_id=452,priv-lvl=0)
27.03.2008 16:11:54.410 [10.1.1.28/andy/tty230]: show running-config <cr>  (acctype=04(STOP),task_id=453,priv-lvl=15)
27.03.2008 16:12:03.022 [10.1.1.28/andy/tty230]: configure terminal <cr>  (acctype=04(STOP),task_id=454,priv-lvl=15)
27.03.2008 16:12:05.710 [10.1.1.28/andy/tty230]: interface FastEthernet 2/0 <cr>  (acctype=04(STOP),task_id=455,priv-lvl=15)
27.03.2008 16:12:25.338 [10.1.1.28/andy/tty230]: ip address 10.1.2.254 255.255.255.0 <cr>  (acctype=04(STOP),task_id=456,priv-lvl=15)
27.03.2008 16:12:30.965 [10.1.1.28/andy/tty230]: exit <cr>  (acctype=04(STOP),task_id=457,priv-lvl=0)
27.03.2008 16:12:35.434 [10.1.1.28/andy/tty230]: exit <cr>  (acctype=04(STOP),task_id=458,priv-lvl=0)
27.03.2008 16:12:35.434 [10.1.1.28/andy/tty230]:   (acctype=04(STOP),task_id=452,disc-cause=1,elapsed_time=49)

Утилита ориентирована только на журналирование действий, в связи с этим поддерживаются только :

  • AAA-запросы типа ACCOUNTING,
  • стандартный порт сервера (= 49/tcp),
  • нешифрованные сообщения (ключ = "").

Более полный функционал можно найти в коммерческих реализациях TACACS+ (например, Cisco Secure ACS).

The program is intended to use as log-service for commands only, so it supports only :

  • ACCOUNTING AAA-requests,
  • standard TCP port for listening (= 49/tcp),
  • unencrypted requests (key = "").

The wider functionality can be found in commercial TACACS+ products (e.g. Cisco Secure ACS).

Скачать

Download
TaComAcc v1.1 (27.03.2008)

Настройка программы

Configuring the program

Дистрибутив содержит следующие файлы :

  • TaComAcc.exe - основной Windows-сервис
  • TaComAcc_GUI.exe - идентичная GUI-версия
  • install_service.bat - скрипт инсталляции сервиса
  • start_service.bat - скрипт запуска сервиса
  • stop_service.bat - скрипт останова сервиса
  • uninstall_service.bat - скрипт деинсталляции сервиса

В ходе работы программа создает следующие файлы :

  • tacomacc.log - основной лог программы
  • error.log - аварийный лог программы
  • logs\??.??.??.??.log - журналы сообщений от устройств

Пример минимальной требуемой настройки устройств Cisco для отправки журнала действий по протоколу TACACS+ (в более сложных конфигурациях рекомендуется создание групп с помощью команды "aaa group server tacacs+ ...") :

The downloadable package contains the following files :

  • TaComAcc.exe - main Service for Windows
  • TaComAcc_GUI.exe - identical GUI-version
  • install_service.bat - installation script
  • start_service.bat - script for starting
  • stop_service.bat - script for stopping
  • uninstall_service.bat - uninstallation script

While working the program creates the following files :

  • tacomacc.log - main program log
  • error.log - program log for errors
  • logs\??.??.??.??.log - command logs for devices

An example of minimal required configuration for Cisco devices to log entered commands via TACACS+ (for more complicated configurations it is recommended to use server groups via "aaa group server tacacs+ ..." command) :

Cisco IOS (Cisco 3660) 

aaa new-model
tacacs-server host 10.1.5.1
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 0 default start-stop group tacacs+
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+

Cisco PIX / Cisco ASA 

aaa-server tacacs protocol tacacs+
aaa-server tacacs host 10.1.5.1
aaa accounting telnet console tacacs
aaa accounting ssh console tacacs
aaa accounting enable console tacacs
aaa accounting command tacacs

В случае наличия в момент старта в каталоге "logs" файла ".dumps" произвольного содержимого, утилита переходит в отладочный режим и формирует для каждого запроса (в т.ч. для нераспознанного) дополнительную запись в файле "logs\??.??.??.??.dumps"

If at the moment of service starting there is a file ".dumps" in "logs" subdirectory (with arbitrary contents), the service activate "debug mode" creating for any TACACS+ request (including unrecognized ones) additional dump record in file "logs\??.??.??.??.dumps"

Контакты

Contacts

Автор принимает замечания и предложения по эл.почте :

The author will be glad to receive comments via e-mail :

Последнее изменение: 27 марта 2008

Last updated: March 27, 2008


Сайт создан в системе uCoz