Вы здесь

Просмотр Audit Logs on Cisco Unified Communications Manager (CUCM)

Иногда у Администратора возникают ситуации когда необходимо посмотреть какие административные изменения производились в системе, кем и когда.
Данная статья описывает как включить и просматривать Audit logs в системе CUCM 6,7,8
В основном необходимость просмотра Audit logs возникает в больших организациях, когда права делегированы между несколькими администраторами. При аварийной ситуации это также полезно когда причиной аварии является человеческий фактор, т.е. чтобы посмотреть "что изменилось", быстро найти баг и исправить его.

Включение Audit logs

По умолчанию Audit logs для административного уровня включен. Для доступа к включению Audit logs:
1. Подключаемся к кластеру CUCM, Cisco Unified Serviceability: https://mypublisher/ccmservice/
2. Выбираем Tools>Audit Log Configuration
audit_logs_settings_access.jpg

3. Рабочие настройки:
audit_logs_settingss.jpg

Просмотр Audit logs

Мы включили Audit logs, для административных изменений. Как и для другие логи, мы можем их просматривать несколькими путями. Рассмотрим как их посмотреть с использованием RTMT.
RTMT (Real Time Monitoring Tool) - очень полезный инструмент для мониторинга состояния кластера и всей системы телефонии.

1. Установка RTMT: CUCM Administration -> Application -> Plugins
2. Запускаем RTMT. Подключаемся к кластеру CUCM используя учетную запись с правами "Standard Audit Log Administration" role.
3. Выбираем System>Tools>Trace>Trace and Logs Central
4. В разделе "Trace and Logs Central" мы увидим папку "Audit Logs". Открываем ее двойным щелчком.
Выбираем "Browse audit logs"
RTMT_logs_collection.jpg

RTMT_logs_collection2.jpg
Логи можно просмотреть тут же, либо загрузить в виде файла.
Ниже приведен пример логов, которые остаются при заведении телефона, где:
User ID админа: vgkoles
IP админа: 10.38.101.16
Админ создал пользователя vbaz, затем создал телефон и дал ему номер 421

04/24/2012 07:59:43.575 |LogMessage UserID :vgkoles ClientAddress :10.38.101.16 Severity :3 EventType :UserLogging ResourceAccessed:Cisco CallManager Administration EventStatus :Success AuditDetails :Successfully Logged into Cisco CCM Webpages ComponentID :Cisco CCM Application App ID:Cisco Tomcat Cluster ID: Node ID:gc1cm01|
04/24/2012 08:05:48.661 |LogMessage UserID :vgkoles ClientAddress :10.38.101.16 Severity :5 EventType :GeneralConfigurationUpdate ResourceAccessed:CUCMAdmin EventStatus :Success AuditDetails : record in table enduser with key field userid = vbaz added ComponentID :Cisco CUCM Administration App ID:Cisco Tomcat Cluster ID: Node ID:gc1cm01|
04/24/2012 08:06:50.603 |LogMessage UserID :vgkoles ClientAddress :10.38.101.16 Severity :5 EventType :UserRoleMembershipUpdate ResourceAccessed:CUCMAdmin EventStatus :Success AuditDetails :End user vbaz added to usergroup Standard CCM End Users ComponentID :Cisco CUCM Administration App ID:Cisco Tomcat Cluster ID: Node ID:gc1cm01|
04/24/2012 08:06:50.643 |LogMessage UserID :vgkoles ClientAddress :10.38.101.16 Severity :5 EventType :GeneralConfigurationUpdate ResourceAccessed:CUCMAdmin EventStatus :Success AuditDetails : record in table enduser with key field userid = vbaz updated ComponentID :Cisco CUCM Administration App ID:Cisco Tomcat Cluster ID: Node ID:gc1cm01|
04/24/2012 08:14:05.329 |LogMessage UserID :vgkoles ClientAddress :10.38.101.16 Severity :5 EventType :GeneralConfigurationUpdate ResourceAccessed:CUCMAdmin EventStatus :Success AuditDetails : record in table device with key field name = F0257278E436 updated ComponentID :Cisco CUCM Administration App ID:Cisco Tomcat Cluster ID: Node ID:gc1cm01|
04/24/2012 08:24:43.785 |LogMessage UserID :vgkoles ClientAddress :10.38.101.16 Severity :5 EventType :GeneralConfigurationUpdate ResourceAccessed:CUCMAdmin EventStatus :Success AuditDetails : record in table numplan with key field dnorpattern = 421 updated ComponentID :Cisco CUCM Administration App ID:Cisco Tomcat Cluster ID: Node ID:gc1cm01|
04/24/2012 08:26:57.391 |LogMessage UserID :vgkoles ClientAddress :10.38.101.16 Severity :5 EventType :GeneralConfigurationUpdate ResourceAccessed:CUCMAdmin EventStatus :Success AuditDetails : record in table numplan with key field dnorpattern = 421 updated ComponentID :Cisco CUCM Administration App ID:Cisco Tomcat Cluster ID: Node ID:gc1cm01|
04/24/2012 08:27:02.999 |LogMessage UserID :vgkoles ClientAddress :10.38.101.16 Severity :5 EventType :GeneralConfigurationUpdate ResourceAccessed:CUCMAdmin EventStatus :Success AuditDetails : record in table numplan with key field dnorpattern = 421 updated ComponentID :Cisco CUCM Administration App ID:Cisco Tomcat Cluster ID: Node ID:gc1cm01|
04/24/2012 09:00:01.380 |LogMessage UserID :vgkoles ClientAddress :10.38.101.16 Severity :5 EventType :UserLogging ResourceAccessed:CUCMAdmin EventStatus :Success AuditDetails :Successfully Logged out Cisco CCM Web Pages ComponentID :Cisco CUCM Administration App ID:Cisco Tomcat Cluster ID: Node ID:gc1cm01|
04/24/2012 09:30:06.570 |LogMessage UserID :vgkoles ClientAddress :10.38.101.16 Severity :5 EventType :UserLogging ResourceAccessed:CUCMAdmin EventStatus :Success AuditDetails :Successfully Logged out Cisco CCM Web Pages ComponentID :Cisco CUCM Administration App ID:Cisco Tomcat Cluster ID: Node ID:gc1cm01|

Что еще логируется

Также в данных логах можно найти такие вещи как, какие команды вводились через CLI. Это удобно для определения кто перезапустил к примеру сервис TomCat service или кто перезагрузил сервер.

Где находится Audit Log

Напрямую файлы лога находятся в папке:
activelog audit/AuditApp/*
Файлы нужно загрузить на локальную машину, и затем уже с нее их просматривать.

Заключение

Audit Log бесспорно полезная вещь, позволяющая ответить на такие важные вопросы как "кто", "когда" и "что делал".
Конечно они не ответят на вопросы "почему" и "что делать дальше", но в любом случае это уже будет неплохое начало в решении проблемы.

Комментарии

Добрый день, спасибо за статью. очень познавательная.
Вот у меня что то не получается. CUCM ver. 6.1.5.13039-1 но в Сisco Unified Serviceability в Tools> нету Audit Log Configuration.?
Может надо как то включить данный сервис !!

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image