Управлениями конфигурациями на ROS

Обсуждение ПО и его настройки
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Подскажите может кто-то встречал инструмент для отслеживания изменения конфигураций ROS на Mikrotik?
Нужно для списка маршрутизаторов мониторить изменение конфигураций, с информированием на эл.почту, желательно вести историю изменения конфигурации.

Если вариантов нет - буду признателен если поделитесь идеями как это сделать.


Александр
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Тишина - печалька.

Есть NOC project, но для моей задачи - монстр. Придется что-то самому писать.


Александр
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Тут на такое никто даже не замахивался. Это какой парк Микротиков надобно иметь, чтобы мониторить изменение конфигураций инструментами? И насколько должен быть обширен список юзеров-админов? Я честно скажу, я с таким не сталкивался. При том, что в целом конфиг занимает минимум места, мы можем просто сохранять огромное количество резервных копий от каждого устройства предельно недорого. Сейчас специально посмотрел для пары устройств с давно настроенной архивацией по удаленке - 152 варианта бэкапа за три года, использовано меньше гигабайта. Ну куда там еще? Если надо, за пару минут подниму любой из вариантов. Многие архивы уже потеряли актуальность в следствие того, что и способ подключения сменился, и конфигурация сети другая, и сама ROS другой версии.
Впрочем. если покажете результаты своего труда, буду очень признателен. Возможно, у вас появятся заинтересованные последователи. )))


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Когда один админ в этом нет необходимости, но когда их несколько, как мне узнать что конфигурация изменилась и кто это сделал ?


Александр
Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

видел статью на хабре , там делали авторизацию через радиус . и какие то еще плюшки были .
точно не помню , посмотрите - может наведет на какие мысли


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Vladimir22 писал(а):видел статью на хабре , там делали авторизацию через радиус . и какие то еще плюшки были .
точно не помню , посмотрите - может наведет на какие мысли

Авторизация конечно же есть, но чисто авторизация. Не получилось сделать чтобы ограничить доступ к определенному функционалу или отслеживать кто и что делал.
Сдается мне, что это не возможно.


Александр
Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

как самый бред , после авторизации . например делать бекап , и по выходу ;-) но как я не представляю


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Vladimir22 писал(а):как самый бред , после авторизации . например делать бекап , и по выходу ;-) но как я не представляю

Тогда уж бэкап, как более полный, и экспорт, как более читабельный ( и чтобы потом сравнить что было изменено), и уже их отправлять на почту, чтобы у пользователя не было соблазна удалить файлы.
А отрабатывать можно скриптом, который будет парсит лог, и при выходе пользователя создавать копии и отсылать на почту (а может и по ftp).
Не идеальный вариант, но как временный имеет право на жизнь.


Александр
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

На каждый выход сделать бэкап - ну очень криво и параноидально. Бывает люди полдня туда-сюда входят и выходят, что-либо настраивая. Если каждый раз резервироваться, можно всю работу парализовать. Можно попробовать, например, такое
1. Настраиваем syslog на сервере и грузим логи туда.
2. Парсим лог ежедневно ( точнее еженощно, как обычно в самое спокойное время) на предмет входа определенных юзеров-админов и внесения ими изменений. Ну там я не знаю, как этот запрос будет выглядеть в скрипте, в консоли я набрал первое, что в голову пришло. Коряво до безобразия и не за один день, а просто последние 50к строк, но переписать под себя вам не составит большого труда.

Код: Выделить всё

tail -n 50000 '/var/log/!remote/192.168.100.111/syslog.log' | grep 'podarok66' | grep 'changed'
Apr 18 18:11:45 192.168.100.111 system,info device changed by podarok66
Apr 18 18:12:34 192.168.100.111 system,info dhcp client changed by podarok66
Apr 18 18:14:23 192.168.100.111 system,info dhcp client changed by podarok66
Apr 18 18:36:05 192.168.100.111 system,info device changed by podarok66
Apr 18 18:36:14 192.168.100.111 system,info device changed by podarok66
Apr 18 18:36:22 192.168.100.111 system,info device changed by podarok66
Apr 18 18:37:10 192.168.100.111 system,info device changed by podarok66
Apr 18 18:38:34 192.168.100.111 system,info config changed by podarok66
Apr 18 18:38:52 192.168.100.111 system,info config changed by podarok66
Apr 18 18:39:18 192.168.100.111 system,info dhcp client changed by podarok66
Apr 18 18:40:28 192.168.100.111 system,info dhcp client changed by podarok66
Apr 18 18:41:37 192.168.100.111 system,info device changed by podarok66
Apr 18 18:41:58 192.168.100.111 system,info device changed by podarok66
Apr 18 18:42:05 192.168.100.111 system,info device changed by podarok66
Apr 18 20:58:31 192.168.100.111 system,info simple queue changed by podarok66
Apr 18 20:58:34 192.168.100.111 system,info address list entry changed by podarok66
Apr 18 20:58:34 192.168.100.111 system,info nat rule changed by podarok66
Apr 19 18:40:06 192.168.100.111 system,info log rule changed by podarok66
Apr 19 18:40:45 192.168.100.111 system,info log rule changed by podarok66

3. Если находим записи, запускаем бэкапирование (можно на тот же сервак) и оповещение на почту.
4. Если не находим, ну и зачем нам этот бэкап?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

podarok66 писал(а):На каждый выход сделать бэкап - ну очень криво и параноидально.
...
4. Если не находим, ну и зачем нам этот бэкап?

Так я и предлагал "скриптом, который будет парсит лог,", если были изменения, то бэкапим. И не надо усложнять с внешним syslog-сервером.


Александр
Ответить