Security log agent что это
990x.top
Простой компьютерный блог для души)
Security Log Agent что это за программа? (com.samsung.android.securitylogagent)
Привет. Говорим о телефонах, а вернее о всяком непонятном, что можно заметить в телефоне. Вот один человек пишет, что он купил на днях телефон Samsung Galaxy, и в нем выскакивает часто предупреждение что мол обнаружены какие-то несекционные действия.. В общем ему отвечают что попробуйте обновить прошивку, типа этот баг уже устранен, и если не может, то нужно скачать Package Disabler из Google Play и в нем отключить Security Log Agent. Так что уже делаем вывод, что Security Log Agent может выдавать странную ошибку и что при ней делать я уже написал, можно попробовать. Хотя честно говоря не знаю что это за приложение Package Disabler…
Так, вот читаю что еще один чел спрашивает как убрать уведомление Security Log Agent. И ему другой отвечает что этот баг у всех есть после прошивки ядра на телефоне Samsung SM-G900F Galaxy S5.
Вот я нашел такую картинку, где вроде есть опция отключения уведомления Security Log Agent:
Вот только непонятно, где это настройка? Может нужно пойти в список приложений, там найти Security Log Agent, зайти в сведения? Многие люди писали что у них эта трабла появляется на новом телефоне, то есть они ничего в нем не меняли, прошивка родная, а проблема с этим уведомлением есть.
Представитель Samsung на эту проблему ответил так — он посоветовал очистить данные приложения Security Log Agent. В итоге человек очистил данные и остановил приложение и говорит что вроде после этого уведомление уже не выскакивает.. а вы проверьте, может у вас тоже получится остановить приложение? Кстати, если вы чуть продвинутый юзер, то можете использовать Titanium Backup — это прога как раз по работе с приложениями, можно останавливать, замораживать приложения. Но нужно в проге шарить немного, предупреждаю.
Что еще важно — представитель Самсунг сказал что это системное приложение и оно не удаляется:
Dот это попадос ребята.
Но вроде получается что можно остановить приложение Security Log Agent? Ребята, а ну попробуйте и мне потом напишите, окей?.
Ну а вот вроде бы то самое уведомление о каких-то несекционных действиях, смотрите:
Вот само приложение и с него видимо нужно снять галочку:
Возможно что выше на картинке и есть прога Package Disabler, точно не знаю. Да, точно, это прога Package Disabler, вот тут видно ее название:
Кстати вот человек пишет что ему удалось выключить Security Log Agent при помощи Package Disabler:
Вот еще один комментарий нашел человека, он говорит что раньше он замораживал Security Log Agent:
То есть снова мы видим то, что приложение Security Log Agent можно замораживать. Это я к тому, что если что — попробуйте заморозить при помощи Titanium Backup.
Ребята, на этом все, инфы не много и так что смог то и откопал. Удачи вам и берегите себя!!
Security log agent что это
В теме нет куратора. По вопросам наполнения шапки обращайтесь к модераторам раздела через кнопку 
под сообщениями, на которые необходимо добавить ссылки.
Заранее простите, чукча не обзорщик
На ощупь довольно скользкий, софт-тач покрытия нет, пластмассовая задняя крышка довольно скользкая, при этом сам телефон лёгкий.
Покрытие дисплея приятное, по нему легко скользит палец, но оттереть следы сложно.
Микрофон неплохой, собеседники меня хорошо слышали, но все же немного не мешает шумоподавления.
Неплохая для цены камера.
Фотографии внешнего вида и образцы фотографий прикладываю.
По мере использования постараюсь дополнять.
Интернет мобильный или вайфай? Обычный мобильный у меня вроде не падает в скорости с блютузом. Может брак?
Здравствуйте товарищи! Вчера купил сей аппарат, что хочу сказать, весьма достойный аппарат. Сравниваю с Самсунг Галакси s 10e, s 10, m31, а m31 у меня до сих пор, но он лопата и это меня бесило. Честно говоря я подозревал что маркетинг нас зомбирует, но чтоб настолько. Аппарат очень компактный и удобный не сравнивая его конечно с s10e. Но не зря модем от Qualcomm хвалят, так как сотовый сигнал на порядок лучше чем у Эксинос. Поверьте я живу за городом в лесу практически. Этот малыш держит 4G там где у остальных Эксиносов и 3 G не стабильно работает. Я это ощутил это когда у меня был Редми 8.
Экран довольно яркий, не сильно отличается от Амолед матриц. Минимальная яркость совсем не минимальная конечно, но ночью надо спать.
По звуку норм, но я его увеличиваю когда нужно, с помощью программы с Плей Маркет называется Усилитель Громкости. Реально работает.
Очень люблю компактные смартфоны, а здесь ещё и батарея классная на 3900 мА. Думаю сутки при 8 часах экрана легко будет держать.
Гугл Камеры ставил разные штук 10, так вот подошла только от Редми 7а, но она даже хуже чем стоковая, перестал париться.
Вывод конечно мой субъективный таков, что в наше время нас задавили маркетингом и впариванием флагманов, а эти смартфоны якобы бабушкофоны, шли бы они куда подальше. А эти смартфоны не намного то и хуже, а тем кто в игры не подсидает так он однозначно подойдёт. Прошу строго не судить пишу на эмоциях.
Добавлено 19.08.2020, 17:34:
perpetueflorens, спасибо что открыли ветку на 4 pda, я до покупки смартфона искал, не нашел, а очень хотел почитать отзывы до покупки. Но купил и не пожалел. Буду следить с удовольствием за веткой, а так же много что нам актуально и про Самсунг А01 думаю так как они родственники. Спасибо
Что полезного можно вытащить из логов рабочей станции на базе ОС Windows
Пользовательская рабочая станция — самое уязвимое место инфраструктуры по части информационной безопасности. Пользователям может прийти на рабочую почту письмо вроде бы из безопасного источника, но со ссылкой на заражённый сайт. Возможно, кто-то скачает полезную для работы утилиту из неизвестно какого места. Да можно придумать не один десяток кейсов, как через пользователей вредоносное ПО может внедриться на внутрикорпоративные ресурсы. Поэтому рабочие станции требуют повышенного внимания, и в статье мы расскажем, откуда и какие события брать для отслеживания атак.
Для выявления атаки на самой ранней стадии в ОС Windows есть три полезных событийных источника: журнал событий безопасности, журнал системного мониторинга и журналы Power Shell.
Журнал событий безопасности (Security Log)
Это главное место хранения системных логов безопасности. Сюда складываются события входа/выхода пользователей, доступа к объектам, изменения политик и других активностей, связанных с безопасностью. Разумеется, если настроена соответствующая политика.
Перебор пользователей и групп (события 4798 и 4799). Вредоносное ПО в самом начале атаки часто перебирает локальные учетные записи пользователей и локальные группы на рабочей станции, чтобы найти учетные данные для своих тёмных делишек. Эти события помогут обнаружить вредоносный код раньше, чем он двинется дальше и, используя собранные данные, распространится на другие системы.
Создание локальной учётной записи и изменения в локальных группах (события 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 и 5377). Атака может также начинаться, например, с добавления нового пользователя в группу локальных администраторов.
Попытки входа с локальной учётной записью (событие 4624). Добропорядочные пользователи заходят с доменной учётной записью и выявление входа под локальной учётной записью может означать начало атаки. Событие 4624 включает также входы под доменной учетной записью, поэтому при обработке событий нужно зафильтровать события, в которых домен отличается от имени рабочей станции.
Попытка входа с заданной учётной записью (событие 4648). Такое бывает, когда процесс выполняется в режиме “Запуск от имени” (run as). В нормальном режиме работы систем такого не должно быть, поэтому такие события должны находиться под контролем.
Блокировка/разблокировка рабочей станции (события 4800-4803). К категории подозрительных событий можно отнести любые действия, которые происходили на заблокированной рабочей станции.
Изменения конфигурации файрволла (события 4944-4958). Очевидно, что при установке нового ПО настройки конфигурации файрволла могут меняться, что вызовет ложные срабатывания. Контролировать такие изменения в большинстве случаев нет необходимости, но знать о них точно лишним не будет.
Подключение устройств Plug’n’play (событие 6416 и только для WIndows 10). За этим важно следить, если пользователи обычно не подключают новые устройства к рабочей станции, а тут вдруг раз — и подключили.
Windows включает в себя 9 категорий аудита и 50 субкатегорий для тонкой настройки. Минимальный набор субкатегорий, который стоит включить в настройках:
Системный монитор (Sysmon)
Sysmon — встроенная в Windows утилита, которая умеет записывать события в системный журнал. Обычно требуется его устанавливать отдельно.
Эти же события можно в принципе найти в журнале безопасности (включив нужную политику аудита), но Sysmon даёт больше подробностей. Какие события можно забирать из Sysmon?
Создание процесса (ID события 1). Системный журнал событий безопасности тоже может сказать, когда запустился какой-нибудь *.exe и даже покажет его имя и путь запуска. Но в отличие от Sysmon не сможет показать хэш приложения. Злонамеренное ПО может называться даже безобидным notepad.exe, но именно хэш выведет его на чистую воду.
Сетевые подключения (ID события 3). Очевидно, что сетевых подключений много, и за всеми не уследить. Но важно учитывать, что Sysmon в отличие от того же Security Log умеет привязать сетевое подключение к полям ProcessID и ProcessGUID, показывает порт и IP-адреса источника и приёмника.
Изменения в системном реестре (ID события 12-14). Самый простой способ добавить себя в автозапуск — прописаться в реестре. Security Log это умеет, но Sysmon показывает, кто внёс изменения, когда, откуда, process ID и предыдущее значение ключа.
Создание файла (ID события 11). Sysmon, в отличие от Security Log, покажет не только расположение файла, но и его имя. Понятно, что за всем не уследишь, но можно же проводить аудит определённых директорий.
А теперь то, чего в политиках Security Log нет, но есть в Sysmon:
Изменение времени создания файла (ID события 2). Некоторое вредоносное ПО может подменять дату создания файла для его скрытия из отчётов с недавно созданными файлами.
Загрузка драйверов и динамических библиотек (ID событий 6-7). Отслеживание загрузки в память DLL и драйверов устройств, проверка цифровой подписи и её валидности.
Создание потока в выполняющемся процессе (ID события 8). Один из видов атаки, за которым тоже нужно следить.
События RawAccessRead (ID события 9). Операции чтения с диска при помощи “\\.\”. В абсолютном большинстве случаев такая активность должна считаться ненормальной.
Создание именованного файлового потока (ID события 15). Событие регистрируется, когда создается именованный файловый поток, который генерирует события с хэшем содержимого файла.
Создание named pipe и подключения (ID события 17-18). Отслеживание вредоносного кода, который коммуницирует с другими компонентами через named pipe.
Активность по WMI (ID события 19). Регистрация событий, которые генерируются при обращении к системе по протоколу WMI.
Для защиты самого Sysmon нужно отслеживать события с ID 4 (остановка и запуск Sysmon) и ID 16 (изменение конфигурации Sysmon).
Журналы Power Shell
Power Shell — мощный инструмент управления Windows-инфраструктурой, поэтому велики шансы, что атакующий выберет именно его. Для получения данных о событиях Power Shell можно использовать два источника: Windows PowerShell log и Microsoft-WindowsPowerShell / Operational log.
Windows PowerShell log
Загружен поставщик данных (ID события 600). Поставщики PowerShell — это программы, которые служат источником данных для PowerShell для просмотра и управления ими. Например, встроенными поставщиками могут быть переменные среды Windows или системный реестр. За появлением новых поставщиков нужно следить, чтобы вовремя выявить злонамеренную активность. Например, если видите, что среди поставщиков появился WSMan, значит был начат удаленный сеанс PowerShell.
Microsoft-WindowsPowerShell / Operational log (или MicrosoftWindows-PowerShellCore / Operational в PowerShell 6)
Журналирование модулей (ID события 4103). В событиях хранится информация о каждой выполненной команде и параметрах, с которыми она вызывалась.
Журналирование блокировки скриптов (ID события 4104). Журналирование блокировки скриптов показывает каждый выполненный блок кода PowerShell. Даже если злоумышленник попытается скрыть команду, этот тип события покажет фактически выполненную команду PowerShell. Ещё в этом типе события могут фиксироваться некоторые выполняемые низкоуровневые вызовы API, эти события обычно записывается как Verbose, но если подозрительная команда или сценарий используются в блоке кода, он будет зарегистрирован как c критичностью Warning.
Обратите внимание, что после настройки инструмента сбора и анализа этих событий потребуется дополнительное время на отладку для снижения количества ложных срабатываний.
Расскажите в комментариях, какие собираете логи для аудита информационной безопасности и какие инструменты для этого используете. Одно из наших направлений — решения для аудита событий информационной безопасности. Для решения задачи сбора и анализа логов можем предложить присмотреться к Quest InTrust, который умеет сжимать хранящиеся данные с коэффициентом 20:1, а один его установленный экземпляр способен обрабатывать до 60000 событий в секунду из 10000 источников.
5 способов удалить или отключить KNOX на смартфонах и планшетах Samsung Galaxy
Samsung KNOX был сделан для того, чтобы усилить защиту системы Android и ваших данных в целом. Начиная с версии Android 4.3 корейский гигант стал добавлять в прошивки своих смартфонов и планшетов эту программу по умолчанию. Это стало отличным решением в сфере бизнеса, где на первом месте стоит не удобство использования, а безопасность и сохранность вашей личной информации.
Но из этого стали появляться проблемы у обычных пользователей, особенно если вы получили ROOT-права. Наверняка вы сталкивались с ошибкой:
При этом, полноценно вы не имеете root-прав, так как они блокируются. Но эту проблему можно решить удалив или отключив Samsung KNOX. Есть 5 способов это сделать.
Способ №1: Для пользователей без root-прав
Теперь вы избавились от назойливого защитника.
Эта инструкция подходит для смартфонов на стоковой прошивке без root-прав. Если же они у вас есть то вам подойдут остальные 4 способа.
Способ №2: Установить KNOX Disabler
Утилита работает со всеми популярными смартфонами: Samsung Galaxy S5, Galaxy S4 (Mini и обычные версии), Note, Mega и планшетами: Note 10.1 (2014). Tab S. И это не полный список устройств. Также это можно сделать при помощи терминала.
Способ №3 : Отключаем Knox через Android Terminal Emulator
Способ №4: При помощи Titanium Backup
Если 1-2 для у вас не будет никаких глюков, то потом эти файлы можно будет удалить полностью.
Способ №5: При помощи Explorer
Теперь вы знаете самые простые методы как удалить Samsung Knox с смартфона или планшета. Если вы все таки решили оставить эту утилиту, можете скачать официальную инструкцию.
Мониторинг событий информационной безопасности с помощью ZABBIX
Подготовка
Итак, для начала я установил сервер мониторинга Zabbix. В качестве платформы мы будем использовать ОС FreeBSD. Думаю, что рассказывать в деталях о процессе установки и настройки нет необходимости, довольно подробная документация на русском языке есть на сайте разработчика, начиная от процесса установки до описания всех возможностей системы.
Мы будем считать что сервер установлен, настроен, а так же настроен web-frontend для работы с ним. На момент написания статьи система работает под управлением ОС FreeBSD 9.1, Zabbix 2.2.1.
Мониторинг событий безопасности MS Windows Server
С помощью системы мониторинга Zabbix можно собирать любую имеющуюся информацию из системных журналов Windows с произвольной степенью детализации. Это означает, что если Windows записывает какое-либо событие в журнал, Zabbix «видит» его, например по Event ID, текстовой, либо бинарной маске. Кроме того, используя Zabbix, мы можем видеть и собирать колоссальное количество интересных для мониторинга безопасности событий, например: запущенные процессы, открытые соединения, загруженные в ядро драйверы, используемые dll, залогиненных через консоль или удалённый доступ пользователей и многое другое.
Всё, что остаётся – определить события возникающие при реализации ожидаемых нами угроз.
Устанавливая решение по мониторингу событий ИБ в ИТ инфраструктуре следует учитывать необходимость выбора баланса между желанием отслеживать всё подряд, и возможностями по обработке огромного количества информации по событиям ИБ. Здесь Zabbix открывает большие возможности для выбора. Ключевые модули Zabbix написаны на C/C++, скорость записи из сети и обработки отслеживаемых событий составляет 10 тысяч новых значений в секунду на более менее обычном сервере с правильно настроенной СУБД.
Всё это даёт нам возможность отслеживать наиболее важные события безопасности на наблюдаемом узле сети под управлением ОС Windows.
Итак, для начала рассмотрим таблицу с Event ID, которые, на мой взгляд, очевидно, можно использовать для мониторинга событий ИБ:
События ИБ MS Windows Server Security Log
| Описание EventID | 2008 Server | 2003 Server |
| Очистка журнала аудита | 1102 | 517 |
| Вход с учётной записью выполнен успешно | 4624 | 528, 540 |
| Учётной записи не удалось выполнить вход в систему | 4625 | 529-535, 539 |
| Создана учётная запись пользователя | 4720 | 624 |
| Попытка сбросить пароль учётной записи | 4724 | 628 |
| Отключена учётная запись пользователя | 4725 | 629 |
| Удалена учётная запись пользователя | 4726 | 630 |
| Создана защищённая локальная группа безопасности | 4731 | 635 |
| Добавлен участник в защищённую локальную группу | 4732 | 636 |
| Удален участник из защищённой локальной группы | 4733 | 637 |
| Удалена защищённая локальная группа безопасности | 4734 | 638 |
| Изменена защищённая локальная группа безопасности | 4735 | 639 |
| Изменена учётная запись пользователя | 4738 | 642 |
| Заблокирована учётная запись пользователя | 4740 | 644 |
| Имя учётной записи было изменено | 4781 | 685 |
Я уделяю внимание локальным группам безопасности, но в более сложных схемах AD необходимо учитывать так же общие и глобальные группы.
Дабы не дублировать информацию, подробнее о критически важных событиях можно почитать в статье:
http://habrahabr.ru/company/netwrix/blog/148501/
Способы мониторинга событий ИБ MS Windows Server
Рассмотрим практическое применение данной задачи.
Для сбора данных необходимо создать новый элемент данных:
При желании для каждого Event ID можно создать по отдельному элементу данных, но я использую в одном ключе сразу несколько Event ID, чтобы хранить все полученные записи в одном месте, что позволяет быстрее производить поиск необходимой информации, не переключаясь между разными элементами данных.
Хочу заметить что в данном ключе в качестве имени мы используем журнал событий Security.
Теперь, когда элемент данных мы получили, следует настроить триггер. Триггер – это механизм Zabbix, позволяющий сигнализировать о том, что наступило какое-либо из отслеживаемых событий. В нашем случае – это событие из журнала сервера или рабочей станции MS Windows.
Теперь все что будет фиксировать журнал аудита с указанными Event ID будет передано на сервер мониторинга. Указание конкретных Event ID полезно тем, что мы получаем только необходимую информацию, и ничего лишнего.
Вот одно из выражений триггера:
Данное выражение позволит отображать на Dashboard информацию о том что «Вход с учётной записью выполнен успешно», что соответствует Event ID 4624 для MS Windows Server 2008. Событие исчезнет спустя 5 минут, если в течение этого времени не был произведен повторный вход.
Если же необходимо отслеживать определенного пользователя, например “Администратор”, можно добавить к выражению триггера проверку по regexp:
Тогда триггер сработает только в том случае если будет осуществлён вход в систему именно под учетной записью с именем “Администратор”.
Мы рассматривали простейший пример, но так же можно использовать более сложные конструкции. Например с использованием типов входа в систему, кодов ошибок, регулярных выражений и других параметров.
Таким образом тонны сообщений, генерируемых системами Windows будет проверять Zabbix, а не наши глаза. Нам остаётся только смотреть на панель Zabbix Dashboard.
Дополнительно, у меня настроена отправка уведомлений на e-mail. Это позволяет оперативно реагировать на события, и не пропустить события произошедшие например в нерабочее время.
Мониторинг событий безопасности Unix систем
Система мониторинга Zabbix так же позволяет собирать информацию из лог-файлов ОС семейства Unix.
События ИБ в Unix системах, подходящие для всех
Такими проблемами безопасности систем семейства Unix являются всё те же попытки подбора паролей к учётным записям, а так же поиск уязвимостей в средствах аутентификации, например, таких как SSH, FTP и прочих.
Некоторые критически важные события в Unix системах
Исходя из вышеуказанного следует, что нам необходимо отслеживать действия, связанные с добавлением, изменением и удалением учётных записей пользователей в системе.
Так же немаловажным фактом будет отслеживание попыток входа в систему. Изменения ключевых файлов типа sudoers, passwd, etc/rc.conf, содержимое каталогов /usr/local/etc/rc.d наличие запущенных процессов и т.п.
Способы мониторинга ИБ в Unix системах
Рассмотрим следующий пример. Нужно отслеживать входы в систему, неудачные попытки входа, попытки подбора паролей в системе FreeBSD по протоколу SSH.
Вся информация об этом, содержится в лог-файле /var/log/auth.log.
По умолчанию права на данный файл — 600, и его можно просматривать только с привилегиями root. Придется немного пожертвовать локальной политикой безопасности, и разрешить читать данный файл группе пользователей zabbix:
Меняем права на файл:
Нам понадобится новый элемент данных со следующим ключом:
Все строки в файле /var/log/auth.log содержащие слово ”sshd” будут переданы агентом на сервер мониторинга.
Далее можно настроить триггер со следующим выражением:
Это выражение определяется как проблема, когда в лог-файле появляются записи, отобранные по регулярному выражению “error:”. Открыв историю полученных данных, мы увидим ошибки, которые возникали при авторизации по протоколу SSH.
Вот пример последнего значения элемента данных, по которому срабатывает данный триггер:
Рассмотрим ещё один пример мониторинга безопасности в ОС FreeBSD:
С помощью агента Zabbix мы можем осуществлять проверку контрольной суммы файла /etc/passwd.
Ключ в данном случае будет следующий:
Это позволяет контролировать изменения учётных записей, включая смену пароля, добавление или удаление пользователей. В данном случае мы не узнаем, какая конкретная операция была произведена, но если к серверу кроме Вас доступ никто не имеет, то это повод для быстрого реагирования. Если необходимо более детально вести политику то можно использовать другие ключи, например пользовательские параметры.
Например, если мы хотим получать список пользователей, которые на данный момент заведены в системе, можно использовать такой пользовательский параметр:
И, например, настроить триггер на изменение в получаемом списке.
Или же можно использовать такой простой параметр:
Так мы увидим на Dashboard, кто на данный момент находится в системе:
Мониторинг событий ИБ на сетевых устройствах
С помощью Zabbix можно так же очень эффективно отслеживать события ИБ на сетевых устройствах Cisco и Juniper, используя протокол SNMP. Передача данных с устройств осуществляется с помощью так называемых трапов (SNMP Trap).
С точки зрения ИБ можно выделить следующие события, которые необходимо отслеживать — изменения конфигураций оборудования, выполнение команд на коммутаторе/маршрутизаторе, успешную авторизацию, неудачные попытки входа и многое другое.
Способы мониторинга
Рассмотрим опять же пример с авторизацией:
В качестве стенда я буду использовать эмулятор GNS3 с маршрутизатором Cisco 3745. Думаю многим знакома данная схема.
Для начала нам необходимо настроить отправку SNMP трапов с маршрутизатора на сервер мониторинга. В моём случае это будет выглядеть так:
Будем отправлять события из Syslog и трапы аутентификации. Замечу, что удачные и неудачные попытки авторизации пишутся именно в Syslog.
Далее необходимо настроить прием нужных нам SNMP трапов на сервере мониторинга.
Добавляем следующие строки в snmptt.conf:
В нашем примере будем ловить трапы Syslog.
Теперь необходимо настроить элемент данных для сбора статистики со следующим ключом:
Если трап не настроен на сервере мониторинга, то в логе сервера будут примерно такие записи:
В результате в полученном логе будет отражаться информация о попытках входа с детализированной информацией (user, source, localport и reason в случае неудачи):
Ну и можно настроить триггер для отображения события на Dashboard:
В сочетании с предыдущим пунктом у нас на Dashboard будет информация вот такого плана:
Аналогично вышеописанному примеру можно осуществлять мониторинг большого количества событий, происходящих на маршрутизаторах Cisco, для описания которых одной статьей явно не обойтись.
Хочу заметить что приведённый пример не будет работать на продуктах Cisco ASA и PIX, так как там несколько иначе организована работа с логированием авторизации.
Juniper и Syslog
Ещё одним примером мы разберем мониторинг авторизации в JunOS 12.1 для устройств Juniper.
Тут мы не сможем воспользоваться трапами SNMP, потому как нет поддержки отправки трапов из Syslog сообщений. Нам понадобится Syslog сервер на базе Unix, в нашем случае им будет тот же сервер мониторинга.
На маршрутизаторе нам необходимо настроить отправку Syslog на сервер хранения:
Теперь все сообщения об авторизации будут отправляться на Syslog сервер, можно конечно отправлять все сообщения (any any), но переизбыток информации нам не нужен, отправляем только необходимое.
Далее переходим к Syslog серверу
Смотрим tcpdump, приходят ли сообщения:
По умолчанию в настройках syslog.conf все что приходит с auth.info должно записываться в /var/log/auth.log. Далее делаем все аналогично примеру с мониторингом входов в Unix.
Вот пример строки из лога:
Остается только настроить триггер на данное событие так же как это было рассмотрено в примере с авторизацией на Unix сервере.
Таким способом можно отслеживать множество событий, среди которых такие как: сохранение конфигурации устройства (commit), вход и выход из режима редактирования конфигурации (edit).
Так же хочу заметить, что аналогичным способом можно осуществлять мониторинг и на устройствах Cisco, но способ с SNMP трапами мне кажется более быстрым и удобным, и исключается необходимость в промежуточном Syslog сервере.