思科IOS

Cisco IOS是InsightIDR DHCP事件源之一，因此为InsightIDR提供数据，以生成资产详细信息、IP地址历史记录、来自网络的事件详细信息和其他非常有用的见解。

在你开始之前

为了让InsightIDR拥有Cisco IOS数据，您需要在Cisco设备中打开日志记录。

按照以下方向：https://supportforums.cisco.com/document/24661/how-configure-logging-cisco-ios.。

1. 运行以下命令打开日志记录:>调试IP DHCP服务器事件
2. 运行以下命令以打开Rapid7解析器所需的时间戳：

         

          

           
          
         

          

           

            1
           >服务时间戳调试DateTime年MSEC Show-TimeZone
          
          

           

            2
           >服务时间戳日志Datetime年MSEC Show-TimeZone
          

动态IP分配

Cisco IOS设备可用于动态分配网络中的IP地址;但是，这些设备不会记录它租用IP地址的机器的主机名。

为了将DHCP租赁与网络内的真实机器相关联，InsightIdr收集器将对机器主机名进行反向DNS请求。因此，为了适当地摄取Cisco IOS DHCP数据，必须在网络的DNS服务器上允许反向DNS请求。

如何配置此事件源

1. 从仪表板中，选择数据采集在左边的菜单上。
2. 当出现“数据采集”页面时，单击设置事件源下拉选择添加事件源。
3. 从“安全数据”部分，单击DHCP图标。出现“添加事件源”面板。
4. 选择收集器和事件源。如果需要，还可以命名事件源。
5. 选择时区匹配事件源日志的位置。
6. 可选择发送未经过滤的日志。
7. 配置任何高级事件源设置。
8. 选择一个集合方法。
   • 如果通过下载选择TCP，可以选择加密事件源Rapid7证书。
9. 点击保存。

故障排除

使用以下解决方案之一来解决Cisco IOS问题：

• 调试模式
• 无法执行反向DNS查找

调试模式

以下命令可确保调试模式求生存服务器重新启动：

          

           文本

            
           
          

           

            

             1
            >事件管理器小程序启用调试
           
           

            

             2
            > event syslog occurred 1 pattern "%SYS-5-RESTART"
           
           

            

             3.
            >动作1.0 CLI命令“启用”
           
           

            

             4.
            > Action 2.0 CLI命令“Debug IP DHCP服务器事件”
           

有关如何在路由器上启用调试的更多信息，请参阅本文:http://blog.ipspace.net/2007/06/re-enable-debugging-on-router-reload.html。

无法执行反向DNS查找

如果您在收集器上遇到启用或执行反向DNS查找的问题，则可能是因为InsightIdr无法将IP地址与主机相关联，这可以防止用户归因和数据相关性。

要解决此问题，请执行以下操作：

1. 安装必威体育app登录你所有的资产;Insi必威体育app登录ght Agent自动向InsightIDR报告主机名IP地址。
2. 添加Cisco IOS盒的静态IP地址，而不是作为事件源。在下面做这件事设置>静态IP范围。

这会强制收集器对IP地址执行反向DNS查找，它无法通过DHCP或Insight代理找到。必威体育app登录