未经授权的配置更改可能会对业务连续性造成严重破坏,这就是为什么使用实时更改检测来检测和跟踪更改是网络管理员的一项关键任务。尽管可以手动跟踪更改,但此方法往往非常耗时,并且通常会导致人为错误,例如在跟踪时错过关键网络设备的配置。
必须在要检测其更改的网络设备中启用实时更改检测,网络配置管理器(也称为网络更改监控工具)提供实时配置更改管理和检测,使用 NCM 实时更改检测,管理员可以使用 NCM 实时更改检测设置实时跟踪和检测更改,这有助于完全控制其网络环境中的所有设备。
监控网络更改
- 当管理员、操作员或用户登录和注销网络设备时,设备会生成系统日志消息。
- 这些系统日志消息将发送到网络配置管理器中的内置系统日志服务器,该服务器查找注销消息。
- 收到注销消息后,网络配置管理器或网络更改监视软件会触发该网络设备的配置备份。这是因为每当有人注销设备时,该人都可能在该设备的配置文件中进行更改。
- 然后将此备份配置文件与该设备的最新配置版本进行比较,并检查是否有任何更改。
- 如果检测到任何更改,备份的配置文件将被加密并存储在网络配置管理器的数据库中。
网络设备的实时更改通知
手动检查每个配置以查看是否进行了更改是一项不可能完成的任务,网络配置管理器使用其 NCM 实时更改检测设置,通过以下方式提供实时通知,从而简化管理配置和监控网络更改:
- 电子邮件:在这里,管理员可以指定希望将这些通知发送到哪个电子邮件,可以提供多个电子邮件地址,还可以编辑主题以及通知中的内容,使用不同的主题行有助于在查看收件箱时快速识别通知。
- SNMP 陷阱:若要有效地监视网络更改,最好向网络监视解决方案发出有关对设备所做的更改的警报。网络监视解决方案通过网络更改检测发出有关使用 SNMP 陷阱的更改的警报。使用网络更改监视工具(如Network Configuration Manager),可以将 SNMP 陷阱发送到网络监视应用程序。如下所示,管理员可以为 SNMP 陷阱配置 IP 地址/主机名、目标端口和社区(专用/公共)。
- 系统日志消息:在关联的设备中进行更改时,系统日志服务器会触发系统日志消息。如果对安全设备或核心路由器进行了这些更改,则必须将系统日志消息发送到 SIEM 应用程序。使用网络配置管理器的实时更改检测设置,管理员可以配置要从 NCM 服务器发送到 SIEM 应用程序的系统日志消息。
- 故障单:网络配置管理器等网络更改监控软件以故障单的形式向负责特定设备或设备组的操作员发送通知,管理员可以使用自定义消息配置要发送到票证工具的故障单。
- 恢复:如果在易受攻击和关键的设备(如核心路由器或防火墙)中不希望进行任何更改,管理员可以设置回滚机制将设备设置为在每次进行更改时恢复到其以前的版本或基线配置。
网络配置中实时更改检测的优势
- 主动变更管理:实时配置更改管理可帮助管理员立即检测更改。它还提供了有关谁进行了更改的详细报告,是否是授权更改,以及更改的确切内容。这使管理员能够更好地了解其网络,并帮助他们有效地管理和监控网络更改。
- 还原不需要的更改:实时更改检测允许管理员在关键设备中不需要的更改影响该网络设备的功能之前还原它们。一旦在监控网络更改时检测到更改,管理员可以当场决定是否需要更改。这有助于避免可能的网络中断,并减少网络设备的停机时间。
- 颜色编码变化区分: 当通过网络更改检测检测到更改时,管理员可以使用差异视图查看更改的内容。使用差异视图,管理员可以查看已删除、添加和修改的配置行,这些配置行以各种不同的颜色显示,便于识别。
- 有关配置更改的报告:使用提供更改的日期、时间和其他详细信息的配置更改报告在 NCM 中配置实时更改检测。
Network Configuration Manager 是一种网络配置和更改管理工具 (NCCM),它通过网络配置更改管理提供高效的配置更改通知,让管理员随时了解网络中所做的所有更改,利用系统日志消息实时检测配置更改并发送通知。