Normalmente, o seu log de detecção de invasão para um endereço IP não autorizado listaria o MAC, mas, como isso não acontece, você pode tentar o seguinte.
Faça o login no seu dispositivo Cisco. Ping o IP desonesto. Claro, se você ACL está bloqueando o acesso, isso pode ser problemático.
ping 169.254.X.X
Esperamos que o endereço MAC do dispositivo entre na tabela ARP da Cisco.
show arp | include 169.254.X.X
Isso listará o endereço MAC e o IP ao qual está associado. Será algo parecido com:
Internet 169.254.X.X 0 2222.aaaa.bbbb ...
Onde 2222.aaaa.bbbb é o endereço MAC.
Finalmente execute:
show mac-address-table dynamic | include 2222.aaaa.bbbb
Para mostrar a porta. Onde 2222.aaaa.bbbb é o endereço mac.