サンプルコード 構成変更の監査
このサンプル コードは、構成シークレット データに対するすべての変更を監査し、ログを syslog という名前のファイルに送信します。
[edit system]
syslog {
file syslog {
authorization info;
change-log info;
interactive-commands info;
}
}
このサンプル コードでは、最小監査の範囲を拡張して、シークレット データだけでなく、構成に対するすべての変更を監査し、ログを syslog という名前のファイルに送信します。
[edit system]
syslog {
file syslog {
any any;
authorization info;
change-log any;
interactive-commands info;
kernel info;
pfe info;
}
}
例:設定変更のシステム ロギング
この例では、サンプル設定を示し、ユーザーとシークレットデータに変更を加えます。次に、シークレット・データが元の構成に追加され、 load コマンドでコミットされたときに監査サーバーに送信される情報が表示されます。
[edit system]
location {
country-code US;
building B1;
}
...
login {
message "UNAUTHORIZED USE OF THIS ROUTER\n\tIS STRICTLY PROHIBITED!";
user admin {
uid 2000;
class super-user;
authentication {
encrypted-password “$ABC123”;
# SECRET-DATA
}
}
password {
format md5;
}
}
radius-server 192.0.2.15 {
secret “$ABC123” # SECRET-DATA
}
services {
ssh;
}
syslog {
user *{
any emergency;
}
file syslog {
any notice;
authorization info;
}
file interactive-commands {
interactive-commands any;
}
}
...
...
新しい設定では、シークレット・データの設定ステートメントが変更され、新しいユーザーが追加されます。
user@host# show | compare
[edit system login user admin authentication]
– encrypted-password “$ABC123”; # SECRET-DATA
+ encrypted-password “$ABC123”; # SECRET-DATA
[edit system login]
+ user admin2 {
+ uid 2001;
+ class operator;
+ authentication {
+ encrypted-password “$ABC123”;
# SECRET-DATA
+ }
+ }
[edit system radius-server 192.0.2.15]
– secret “$ABC123”; # SECRET-DATA
+ secret “$ABC123”; # SECRET-DATA