Ein belastbarer Logging- und Audit Trail auf Cisco-Routern ist die Grundlage für Compliance, Incident-Response und nachvollziehbares Change Management. In der Praxis scheitern Audits selten an „zu wenig Logs“, sondern an fehlender Zeitkorrektheit (kein NTP), fehlender Zentralisierung (Logs nur lokal) oder unklarer Retention (Logs sind bei Bedarf schon überschrieben). Der Mindeststandard besteht aus korrekter Zeitsynchronisation, zentralem Syslog (idealerweise SIEM) und einem Retention-Konzept, das Adminaktionen, Security-Events und Betriebsereignisse getrennt bewertet. Dieser Leitfaden zeigt ein praxistaugliches Setup mit CLI-Beispielen und Prüfchecks.
Compliance-Zielbild: Was ein Audit Trail leisten muss
Ein Audit Trail beantwortet drei Fragen: Wer hat was wann getan? Was ist technisch passiert? Und können Sie es später beweisen? Dafür brauchen Sie Identität (AAA), korrekte Zeit (NTP) und unveränderliche Logs (zentral, retentiert).
- Nachvollziehbarkeit: Admin-Logins, Privilege-Änderungen, Konfigänderungen
- Ereigniskorrelation: WAN/Routing/VPN Events mit Zeitstempel
- Beweiskraft: Logs zentral gespeichert, Retention definiert, Zugriff kontrolliert
NTP: Zeit ist der erste Audit-Check
Ohne korrekte Zeit sind Logs nicht korrelierbar und im Audit praktisch wertlos. NTP ist deshalb Pflicht und muss redundant ausgelegt werden (mindestens zwei Zeitquellen).
- Mindestens zwei NTP-Server (intern oder extern)
- Zeitzone/DST korrekt (für lokale Auswertung, SIEM arbeitet oft in UTC)
- NTP-Status als Gate vor Go-Live
- Quelle: bevorzugt interne, kontrollierte Zeitserver
CLI: NTP-Baseline
service timestamps log datetime msec
ntp server 192.0.2.10 prefer
ntp server 192.0.2.11
Verifikation NTP
show clock
show ntp status
show ntp associationsSyslog: Zentralisierung statt lokale Ringpuffer
Lokale Logs sind für kurze Troubleshooting-Fenster hilfreich, aber nicht auditfähig. Ein Enterprise-Setup nutzt zentrale Syslog-Collector/SIEM, damit Logs bei Routerausfall oder Reload erhalten bleiben.
- Syslog-Server zentral (Collector/SIEM), redundant wenn möglich
- Logging-Level bewusst wählen (zu hoch = Logflut, zu niedrig = Blindheit)
- Source-Interface setzen (stabile Quell-IP, bessere Korrelation)
- Transport: UDP ist üblich, Security-Umgebungen nutzen oft zusätzliche Sicherungen im Netzdesign
CLI: Syslog-Baseline
logging buffered 64000 informational
logging host 192.0.2.20
logging host 192.0.2.21
logging trap informational
logging source-interface GigabitEthernet0/1Verifikation Syslog
show logging | last 50
show running-config | include logging host|logging trap|logging source-interfaceWelche Log-Kategorien für Compliance Pflicht sind
Nicht jedes Log ist auditkritisch. Trennen Sie Kategorien, damit Retention und Alarmierung sinnvoll dimensioniert werden. Admin-/Change-Events sind meist wichtiger als reine Informational-Events.
- Admin-Events: Login/Logout, Privilege, AAA, Accounting
- Config-Events: Konfigänderungen, Save Events, Template-/Change-ID
- Security-Events: ACL denies (selektiv), Managementzugriffsversuche, Policy-Verstöße
- Operational-Events: Link up/down, Routing Neighbor up/down, VPN Events
AAA/Accounting: Der Kern der „Wer hat was getan?“ Frage
Syslog allein zeigt oft nur, dass etwas passiert ist. AAA/Accounting macht es personenbezogen und auditierbar. Im Enterprise ist TACACS+/RADIUS mit Accounting Standard.
- Authentication: zentral (TACACS+/RADIUS), fallback local (Break-Glass)
- Authorization: Rollen/RBAC, reduziert Risiko
- Accounting: Exec-Sessions und (optional) Command Accounting
CLI: AAA Accounting (Muster)
aaa new-model
tacacs server TACACS1
address ipv4 10.10.10.10
key
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
Retention-Design: Wie lange welche Logs aufbewahren?
Retention muss als Policy definiert werden. Sie hängt von Compliance-Anforderungen, Incident-Response und Storage ab. Entscheidend ist die Staffelung nach Logtyp, nicht „alles gleich lang“.
- Admin/Accounting: längere Retention (auditkritisch)
- Config-Events: mindestens so lange, wie Changes nachvollziehbar sein müssen
- Security-Events: abhängig von Bedrohungslage und Auditvorgaben
- Operational-Events: genug für Trend/Incident-Korrelation, aber nicht unendlich
Log-Qualität: Timestamps, Hostnames, Source-Interface und Kontext
Ein Audit Trail ist nur so gut wie seine Qualität. Achten Sie auf konsistente Zeitstempel, eindeutige Hostnames und stabile Quelladressen. Ergänzen Sie Kontexte durch Standards (Naming, Interface-Descriptions).
- Hostname-Standard und Interface-Descriptions (im Incident Gold wert)
- Source-Interface für Syslog und SNMP (stabiler Absender)
- Log-Level abgestimmt (informational ist ein praxistauglicher Startpunkt)
- Lokaler Buffer als Kurzzeit-Backup, zentral als „Source of Truth“
Selective Logging: Warum „deny any any log“ gefährlich ist
Zu viel Logging erzeugt Noise, kostet Ressourcen und kann SIEMs überfluten. Loggen Sie gezielt: policy-relevante Denies (Guest→RFC1918, IoT→Internal) und Managementzugriffsversuche.
- Loggen: strategische Denies, Security-Policy-Verstöße
- Vermeiden: generische Denies mit extrem hohem Volumen
- Regel: Logging muss operational nutzbar bleiben
Compliance-Checkliste: Go-Live Gate für Logging
Nutzen Sie diese Checkliste als Gate vor Produktivbetrieb. Damit ist Auditfähigkeit von Anfang an gegeben und nicht „später“ nachgerüstet.
- NTP synchronized, Zeit plausibel
- Syslog zentral sichtbar (Testevent angekommen)
- AAA/Accounting aktiv (wenn Enterprise-Standard)
- Retention-Policy dokumentiert (wer, wie lange, wo)
- Zugriff auf Logsysteme kontrolliert (RBAC, Audit)
CLI: Logging/Audit Verification Snapshot (Copy/Paste)
show clock
show ntp status
show ntp associations
show logging | last 100
show running-config | include service timestamps|ntp server|logging host|logging trap|logging source-interface
show running-config | include aaa accounting|tacacsOperatives Runbook: Schnelle Evidence für Audits und Incidents
Dieses Runbook liefert die wichtigsten Nachweise: Zeit, Logs und relevante Events. Es eignet sich auch als Appendix im Handover.
show clock
show ntp status
show logging | last 100
show logging | include LINEPROTO|LINK-|OSPF|BGP|IKEV2|IPSEC|AAA
show running-config | include ntp server|logging host|logging trap|logging source-interface
show running-config | include aaa|tacacsKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
