Извиняюсь что долго не реагировал. Что-то мне оповещения на почту не приходят.
По пунктам.
Евгений Т писал(а):1) Выгрузка бэкапа с заданным периодом.
Это не очень удобно. Бакапить каждые 15 минут довольно нагрузно. Раз в сутки, могут наколбасить конфиги так что концов не соберёш.
Евгений Т писал(а):2) Приучить людей использовать команду wr
Тут проще пристрелить. Полтора года ушло чтоб приучить менять пароль 1234 на другой, не стандартный. Тут от меня ничего не зависит. Набираю людей не я, а даже еслиб и набирал то лучше всё равно нет.
Евгений Т писал(а):3) Логировать команды cli, выгружать при необходимости syslog. Если допущена ошибка при настройке коммутатора, то всегда можно по логам найти виновного.
Это есть. Но задача бэкапа это не отменяет. Всегда возникает необходимость оперативно восстановить конфиг в случае прихода оного в неработоспособность.
В моей системе в 99.5% всегда есть актуальный бэкап. А регулярный бакап этого не даст, только если каждые 15 минут, а у меня 500 свичей и это уже нагрузка будет на сервер.
Евгений Т писал(а): По %SYS-5-CONFIG_I запускается скрипт, который всё это делает.
Все это - это что? По какому принципу работает скрипт? Что ищет? Почему нельзя привязать в случае меса скрипт к строчке залогинивания пользователя?
- Syslog сервер получая %SYS-5-CONFIG_I запускает скрипт.
- Скрипт по SNMP отдаёт команду свичу сохранить конфиг.
- Потом файл копируется в папочку типа 2018/2018-03/010.016.1.1_1.conf
- Генерируется diff из первого и последнего файла в папке
Евгений Т писал(а):Почему нельзя привязать в случае меса скрипт к строчке залогинивания пользователя?
Конечно можно, так мне сделать и придётся. Но это костыль. Я пытаюсь выяснить правильный идеальный способ. %SYS-5-CONFIG_I на мой взгляд идеальный.
У вас команда
exit всегда выводит в лог
user:admin cmd:exit. А
user:admin cmd:end как по команде
end так и по
Ctrl+C. Вот если бы при выходе из режима config всегда был бы
user:admin cmd:end, было бы тоже идеальным вариантом.