Страница 1 из 2
Управлениями конфигурациями на ROS
Добавлено: 14 апр 2017, 19:59
algerka
Подскажите может кто-то встречал инструмент для отслеживания изменения конфигураций ROS на Mikrotik?
Нужно для списка маршрутизаторов мониторить изменение конфигураций, с информированием на эл.почту, желательно вести историю изменения конфигурации.
Если вариантов нет - буду признателен если поделитесь идеями как это сделать.
Re: Управлениями конфигурациями на ROS
Добавлено: 18 апр 2017, 20:56
algerka
Тишина - печалька.
Есть NOC project, но для моей задачи - монстр. Придется что-то самому писать.
Re: Управлениями конфигурациями на ROS
Добавлено: 18 апр 2017, 21:57
podarok66
Тут на такое никто даже не замахивался. Это какой парк Микротиков надобно иметь, чтобы мониторить изменение конфигураций инструментами? И насколько должен быть обширен список юзеров-админов? Я честно скажу, я с таким не сталкивался. При том, что в целом конфиг занимает минимум места, мы можем просто сохранять огромное количество резервных копий от каждого устройства предельно недорого. Сейчас специально посмотрел для пары устройств с давно настроенной архивацией по удаленке - 152 варианта бэкапа за три года, использовано меньше гигабайта. Ну куда там еще? Если надо, за пару минут подниму любой из вариантов. Многие архивы уже потеряли актуальность в следствие того, что и способ подключения сменился, и конфигурация сети другая, и сама ROS другой версии.
Впрочем. если покажете результаты своего труда, буду очень признателен. Возможно, у вас появятся заинтересованные последователи. )))
Re: Управлениями конфигурациями на ROS
Добавлено: 19 апр 2017, 08:48
algerka
Когда один админ в этом нет необходимости, но когда их несколько, как мне узнать что конфигурация изменилась и кто это сделал ?
Re: Управлениями конфигурациями на ROS
Добавлено: 19 апр 2017, 09:36
Vladimir22
видел статью на хабре , там делали авторизацию через радиус . и какие то еще плюшки были .
точно не помню , посмотрите - может наведет на какие мысли
Re: Управлениями конфигурациями на ROS
Добавлено: 19 апр 2017, 10:15
algerka
Vladimir22 писал(а):видел статью на хабре , там делали авторизацию через радиус . и какие то еще плюшки были .
точно не помню , посмотрите - может наведет на какие мысли
Авторизация конечно же есть, но чисто авторизация. Не получилось сделать чтобы ограничить доступ к определенному функционалу или отслеживать кто и что делал.
Сдается мне, что это не возможно.
Re: Управлениями конфигурациями на ROS
Добавлено: 19 апр 2017, 15:32
Vladimir22
как самый бред , после авторизации . например делать бекап , и по выходу ;-) но как я не представляю
Re: Управлениями конфигурациями на ROS
Добавлено: 19 апр 2017, 19:40
algerka
Vladimir22 писал(а):как самый бред , после авторизации . например делать бекап , и по выходу ;-) но как я не представляю
Тогда уж бэкап, как более полный, и экспорт, как более читабельный ( и чтобы потом сравнить что было изменено), и уже их отправлять на почту, чтобы у пользователя не было соблазна удалить файлы.
А отрабатывать можно скриптом, который будет парсит лог, и при выходе пользователя создавать копии и отсылать на почту (а может и по ftp).
Не идеальный вариант, но как временный имеет право на жизнь.
Re: Управлениями конфигурациями на ROS
Добавлено: 19 апр 2017, 21:07
podarok66
На каждый выход сделать бэкап - ну очень криво и параноидально. Бывает люди полдня туда-сюда входят и выходят, что-либо настраивая. Если каждый раз резервироваться, можно всю работу парализовать. Можно попробовать, например, такое
1. Настраиваем syslog на сервере и грузим логи туда.
2. Парсим лог ежедневно ( точнее еженощно, как обычно в самое спокойное время) на предмет входа определенных юзеров-админов и внесения ими изменений. Ну там я не знаю, как этот запрос будет выглядеть в скрипте, в консоли я набрал первое, что в голову пришло. Коряво до безобразия и не за один день, а просто последние 50к строк, но переписать под себя вам не составит большого труда.
Код: Выделить всё
tail -n 50000 '/var/log/!remote/192.168.100.111/syslog.log' | grep 'podarok66' | grep 'changed'
Apr 18 18:11:45 192.168.100.111 system,info device changed by podarok66
Apr 18 18:12:34 192.168.100.111 system,info dhcp client changed by podarok66
Apr 18 18:14:23 192.168.100.111 system,info dhcp client changed by podarok66
Apr 18 18:36:05 192.168.100.111 system,info device changed by podarok66
Apr 18 18:36:14 192.168.100.111 system,info device changed by podarok66
Apr 18 18:36:22 192.168.100.111 system,info device changed by podarok66
Apr 18 18:37:10 192.168.100.111 system,info device changed by podarok66
Apr 18 18:38:34 192.168.100.111 system,info config changed by podarok66
Apr 18 18:38:52 192.168.100.111 system,info config changed by podarok66
Apr 18 18:39:18 192.168.100.111 system,info dhcp client changed by podarok66
Apr 18 18:40:28 192.168.100.111 system,info dhcp client changed by podarok66
Apr 18 18:41:37 192.168.100.111 system,info device changed by podarok66
Apr 18 18:41:58 192.168.100.111 system,info device changed by podarok66
Apr 18 18:42:05 192.168.100.111 system,info device changed by podarok66
Apr 18 20:58:31 192.168.100.111 system,info simple queue changed by podarok66
Apr 18 20:58:34 192.168.100.111 system,info address list entry changed by podarok66
Apr 18 20:58:34 192.168.100.111 system,info nat rule changed by podarok66
Apr 19 18:40:06 192.168.100.111 system,info log rule changed by podarok66
Apr 19 18:40:45 192.168.100.111 system,info log rule changed by podarok66
3. Если находим записи, запускаем бэкапирование (можно на тот же сервак) и оповещение на почту.
4. Если не находим, ну и зачем нам этот бэкап?
Re: Управлениями конфигурациями на ROS
Добавлено: 20 апр 2017, 21:10
algerka
podarok66 писал(а):На каждый выход сделать бэкап - ну очень криво и параноидально.
...
4. Если не находим, ну и зачем нам этот бэкап?
Так я и предлагал "скриптом, который будет парсит лог,", если были изменения, то бэкапим. И не надо усложнять с внешним syslog-сервером.