思科IOS

Cisco IOS是InsightIDR DHCP事件源之一，因此为InsightIDR提供数据，以生成资产详细信息、IP地址历史记录、网络事件详细信息以及其他非常有用的信息。

在你开始之前

为了让InsightIDR获得Cisco IOS数据，您需要在Cisco设备中打开登录功能。

请按照以下说明操作：https://supportforums.cisco.com/document/24661/how-configure-logging-cisco-ios.

1. 运行以下命令以打开日志记录：>调试ip dhcp服务器事件
2. 运行以下命令打开Rapid7解析器所需的时间戳:

         

          

           
          
         

          

           

            1.
           >服务时间戳调试日期时间年毫秒显示时区
          
          

           

            2.
           >服务时间戳日志日期时间年毫秒显示时区
          

动态IP分配

Cisco IOS设备可用于在网络中动态分配IP地址；但是，这些设备不会记录其租用IP地址的机器的主机名。

为了将DHCP租约与网络中的真实机器关联起来，InsightIDR收集器将对机器的主机名发出反向DNS请求。因此，为了正确接收Cisco IOS DHCP数据，必须允许在网络的DNS服务器上进行反向DNS请求。

如何配置此事件源

1. 从仪表板中选择数据收集在左边的菜单上。
2. 当数据收集页面出现时，单击设置事件源下拉选择添加事件源.
3. 从“安全数据”部分，单击DHCP偶像此时会出现“添加事件源”面板。
4. 选择收集器和事件源。如果需要，还可以命名事件源。
5. 选择时区与事件源日志的位置匹配的。
6. 选择发送未过滤原木.
7. 配置任何高级事件源设置.
8. 选择一个收集方法.
   • 可以选择加密事件源，如果选择TCP通过下载Rapid7证书.
9. 点击拯救.

故障排除

使用以下解决方案之一解决Cisco IOS问题：

• 调试模式
• 无法执行反向DNS查找

调试模式

以下命令确保调试模式在服务器重新启动后仍然有效：

          

           文本

            
           
          

           

            

             1.
            >事件管理器applet EnableDebugging
           
           

            

             2.
            >事件syslog在模式“%SYS-5-RESTART”下发生
           
           

            

             3.
            >操作1.0 cli命令“启用”
           
           

            

             4.
            >操作2.0 cli命令“调试ip dhcp服务器事件”
           

有关如何在路由器上启用调试的更多信息，请参阅本文：http://blog.ipspace.net/2007/06/re-enable-debugging-on-router-reload.html.

无法执行反向DNS查找

如果在收集器上启用或执行反向DNS查找时遇到问题，可能是因为InsightIDR无法将IP地址与主机关联，这会阻止用户归属和数据关联。

要解决这个问题:

1. 安装必威体育app登录在你所有的资产上；Insight Agent会自动向I必威体育app登录nsightIDR报告其主机名IP地址。
2. 为您的Cisco IOS机器添加静态IP地址，而不是作为事件源。这样做在设置>静态IP范围.

这将强制收集器对无法通过DHCP或Insight代理找到的IP地址执行反向DNS查找。必威体育app登录