to post messages and comments.

Удивителен человек по натуре своей, его в дверь выгоняют, он в окно обратно лезет. Написал на коленке workaround отсылки snmp трапа при удачном, либо неудачном логине на железку. Транспорт не имеет значения:


login on-failure log every 3
login on-success log

event manager applet userAuth
 event syslog occurs 1 pattern "%SEC_LOGIN-"
  action 010 set userName "none"
  action 011 set authResult "none"
  action 012 set userIp "none"
  action 014 info type routername
  action 100 regexp "([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)" "$_syslog_msg" userIp
  action 101 regexp ": ([a-z]+)" "$_syslog_msg" userName
  action 102 regexp "(SUCCESS|FAILED)" "$_syslog_msg" authResult
  action 200 snmp-trap strdata "User$userName Login $authResult From $userIp on $_info_routername"

В результате посылается трап, внутри которого, помимо всех ништяков присутствует что-то навроде

ciscoExperiment.91.1.2.3.1.11.17 (OctetString): User: fd Login SUCCESS From 8.8.8.8 on blg-s101-pb50

либо

ciscoExperiment.91.1.2.3.1.11.17 (OctetString): User: fd Login FAILED From 8.8.8.8 on blg-s101-pb50

Хочется сказать спасибо тем людям, которые догадались таки сделать embedded event manager на базе интерпретируемого языка, и не важно, что это tcl.

Как это не печально и удивительно, но с 2006 года до сих пор не исправлены баги с отсутствием отсылки snmp трапа по snmp-server enable traps tty даже в ветке Version 15.0(2) для 4500 Catalyst. Точнее даже два бага: CSCsa67252 и CSCsg99865. Собственно, login on-success|on-failure trap тоже не работает в моём случае с ssh. Начинаю думать о плохом и смотреть в сторону embedded event manager и tcl, предвкушая размеры костыля.