Hi All,<br><br>Turns out IOS wasn&#39;t broken after all. It appears that IOS sees a ping command as a priv-lvl 3 command and I didn&#39;t have priv-lvl 3 configured for accounting.<br><br>aaa accounting commands 3 default start-stop group tacacs+<br>
<br>A &#39;debug aaa accounting&#39; helped me figure out that ping command is a priv-lvl 3 command.<br><br>Dec  2 13:56:29 AEDT: AAA/MEMORY: create_user (0x66146308) user=&#39;user1&#39; ruser=&#39;myrouter&#39; ds0=0 port=&#39;tty2&#39; rem_addr=&#39;210.15.210.x&#39; authen_type=ASCII service=NONE priv=3 initial_task_id=&#39;0&#39;, vrf= (id=0)<br>
<br>Once I added priv-lvl 3 commands to aaa accounting, it showed up in the logs now.<br><br>Wed Dec  2 13:55:58 2009        203.17.101.y   user1 tty2    210.15.210.x   stop    task_id=42      timezone=AEDT   service=shell   start_time=1259722589 priv-lvl=3       cmd=ping 210.15.254.x &lt;cr&gt;<br>
<br>Just a caveat with this, ping is priv-lvl3 on the two IOS I tested, but traceroute showed up as priv-lvl3 using 122-31.SB13 and privi-lvl15 using 124-24.T1. That&#39;s Cisco for you with their priv-lvl&#39;s...<br><br>
Glad to finally get to the bottom of this.<br><br>Cheers.<br><br>Andy<br><br><div class="gmail_quote">On Fri, Nov 27, 2009 at 5:19 PM, john heasley <span dir="ltr">&lt;<a href="mailto:heas@shrubbery.net">heas@shrubbery.net</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Thu, Nov 26, 2009 at 11:45:07AM +1100, Andy Saykao:<br>
<div class="im">&gt; Hi All,<br>
&gt;<br>
&gt; I&#39;ve set up a hdtest user that can run privilege commands by using<br>
&gt; privilege-level 3 and going into &quot;enable 3&quot;. Whilst the user can run the<br>
&gt; privilege commands like ping and traceroute, I am not seeing these commands<br>
&gt; appear in the accounting logs for this user.<br>
&gt;<br>
&gt; It looks like the command &#39;ping&#39; does not appear anywhere in the log even<br>
&gt; when I use a privilege-level 15 user, so I can only assume that this is the<br>
&gt; desired behaviour. But with traceroute, I see it appearing in the logs for a<br>
&gt; privilege-level 15 user but not for a privilege-level 3 user? Any ideas why<br>
&gt; this is so or how to see it in the log for a privilege-level 3 user?<br>
<br>
</div>that&#39;d seem a clear indication that your ios is broken.<br>
</blockquote></div><br>