Cisco IOS ルータにおけるロギング
(注) |
バージョン 4.17 以降、Cisco Security Manager は引き続き IOS の機能をサポートしますが、バグの修正や拡張はサポートしていません。 |
Security Manager には、Cisco IOS ルータでロギングを設定するための次のポリシーが用意されています。
-
[Syslog Logging Setup]:syslog ロギング機能をイネーブルにし、基本的なロギング パラメータを定義します。詳細については、Syslog ロギングの設定パラメータの定義を参照してください。
-
[Syslog Servers]:syslog メッセージの送信先となるリモート サーバを定義します。詳細については、Syslog サーバの定義を参照してください。
-
[NetFlow]:パラメータおよびインターフェイスを指定して、NetFlow ロギングをイネーブルにします。詳細については、NetFlow パラメータの定義を参照してください。
(注) |
ロギングがイネーブルになっているすべてのルータにネットワーク タイム プロトコル(NTP)ポリシーを設定することを強く推奨します。NTP 同期によって、syslog メッセージの正確なタイムスタンプが提供されます。正確なタイムスタンプは、複数のデバイス上のログを比較する場合に不可欠です。 |
Syslog ロギングの設定パラメータの定義
この手順では、ルータ上で syslog ロギングをイネーブルにし、syslog サーバに送信されるメッセージを定義する方法について説明します。また、オプションで次の項目を定義できます。
-
このデバイスから送信されるすべての syslog メッセージの送信元インターフェイス。
-
ローカル バッファに保存されるメッセージ。
-
各メッセージに追加される送信元識別子。
-
送信できるメッセージ数に対するレート制限。
(注) |
ルータから syslog サーバに syslog メッセージを送信するには、syslog サーバの IP アドレスも定義する必要があります。詳細については、Syslog サーバの定義を参照してください。 |
関連項目
手順
ステップ 1 |
次のいずれかを実行して、ルータの [Syslogロギングのセットアップ(Syslog Logging Setup)] ページにアクセスします。
[Syslog Logging Setup] ページが表示されます。このページのフィールドの説明については、表 1を参照してください。 |
||
ステップ 2 |
[ロギングを有効化(Enable Logging)] を選択して、syslog ロギング機能を有効にします。このオプションが選択されていない場合、ログ メッセージは作成されません。
|
||
ステップ 3 |
(任意)[ソースインターフェイス(Source Interface)] フィールドに、インターフェイスまたはインターフェイスロールの名前を入力します。このインターフェイスまたはインターフェイスロールのアドレスが、syslog サーバに送信されるすべてのログメッセージの送信元インターフェイスとして使用されます。あるいは、[選択(Select)] をクリックしてリストからインターフェイスロールを選択するか、または新しいインターフェイスロールを作成します。送信元インターフェイスには IP アドレスが必要です。 このオプションは、syslog サーバが(たとえばファイアウォールが原因で)接続の発生元のアドレスに到達できない場合に役立ちます。このフィールドに値を入力しない場合は、発信インターフェイスのアドレスが使用されます。 |
||
ステップ 4 |
(任意)syslog サーバにログ メッセージを送信するには、次の手順を実行します。
|
||
ステップ 5 |
(任意)ログ メッセージをルータ上のバッファにローカルに保存するには、次の手順を実行します。 |
||
ステップ 6 |
(任意)出力メッセージのフラッドを防止するために、レート制限を定義します。 |
||
ステップ 7 |
(任意)送信元識別子を各 syslog メッセージの先頭に追加するには、次の手順を実行します。 |
Syslog サーバの定義
この手順では、ルータが syslog メッセージを送信するサーバを定義する方法について説明します。syslog サーバを定義する場合、サーバが受信したロギング メッセージをプレーン テキストとして転送するか、XML 形式で転送するかを選択できます。
複数の syslog サーバを定義した場合、ロギング メッセージはこれらすべてのサーバに送信されます。
はじめる前に
-
syslog ロギングをイネーブルにし、[Syslog Logging Setup] ページで基本的なロギング パラメータを定義します。詳細については、Syslog ロギングの設定パラメータの定義を参照してください。
関連項目
手順
ステップ 1 |
次のいずれかの手順を実行して、ルータの [Syslogサーバー(Syslog Servers)] ページにアクセスします。
[Syslog Servers] ページが表示されます。このページのフィールドの説明については、表 1を参照してください。 |
||
ステップ 2 |
ルータから syslog メッセージを受信するサーバーを定義するには、テーブルの下にある [追加(Add)] ボタンをクリックして、[Syslogサーバー(Syslog Server)] ダイアログボックスを開きます。このダイアログボックスの詳細については、表 1を参照してください。 |
||
ステップ 3 |
[IPアドレス(IP Address)] フィールドで、目的の syslog サーバーのアドレスを入力するか、[選択(Select)] をクリックしてリストからネットワーク/ホストオブジェクトを選択するか、または新しいオブジェクトを作成します。詳細については、ポリシー定義中の IP アドレスの指定を参照してください。 |
||
ステップ 4 |
(任意)[XML形式でメッセージを転送(Forward Messages in XML Format)] を選択して、受信した syslog メッセージをプレーンテキストではなく XML 形式で転送します。 |
||
ステップ 5 |
[OK] をクリックして定義を保存し、ダイアログボックスを閉じます。定義した syslog サーバーが、テーブルに表示されます。
|
ログ メッセージの重大度について
Cisco IOS ルータ上の syslog メッセージは、8 つの重大度に分類されます。各重大度は、番号によって識別され、対応する名前が付けられています。次のテーブルに示すように、この番号が低いほど、重大度は高くなります。
レベル番号 |
重大度の名前 |
説明 |
---|---|---|
[0] |
emergency |
システムが使用不可 |
1 |
アラート |
即時処理が必要 |
2 |
critical |
クリティカルな状態 |
3 |
errors |
エラー状態 |
4 |
警告 |
警告状態 |
5 |
通知 |
正常だが注意を要する状態 |
6 |
情報 |
情報メッセージだけ |
7 |
デバッグ |
デバッグ メッセージ |
関連項目
Cisco IOS ルータにおける NetFlow
(注) |
バージョン 4.17 以降、Cisco Security Manager は引き続き IOS の機能をサポートしますが、バグの修正や拡張はサポートしていません。 |
IP トラフィックの特性を明確化し、IP トラフィックが、どのような方法で、どこを通過するかを把握することが、ネットワークの可用性、パフォーマンス、およびトラブルシューティングにとって重要となります。IP トラフィック フローをモニタリングすることで、正確な容量計画を容易に策定でき、ネットワーク リソースが組織の目標をサポートするために適切に使用されていることを確認できます。
NetFlow は、IOS デバイスで使用できるロギング機能であり、IP トラフィック フロー情報の記録、キャッシュ、および送信をインターフェイス単位で実行します。NetFlow の基本的な出力は、フローレコードです。フローレコードでは、「フロー」が、所定の送信元と宛先(両方とも、ネットワークレイヤの IP アドレスおよびトランスポートレイヤの送信元ポート番号と宛先ポート番号で定義されています)の間の、パケットの単方向ストリームとして定義されています。
IOS デバイス上で、NetFlow は 2 つの主要コンポーネント(IP フロー データを格納する NetFlow キャッシュ、およびデータ レポートのために NetFlow レコードを収集サーバに送信する NetFlow エクスポート メカニズム)で構成されています。このため、NetFlow は、イネーブルである場合、着信トラフィックと発信トラフィックのフローに関する統計情報を記録およびキャッシュし、これらのレコードをデバイスから NetFlow Collector にユーザ データグラム プロトコル(UDP)データグラム形式で定期的に送信します。
NetFlow の成熟に伴い、エクスポート パケットまたはフロー レコード用の複数の異なる形式が作成されました。これらの形式は、一般に NetFlow バージョンと呼ばれています。これらのバージョンは詳細に文書化されています。バージョンには 1、5、7、および 9 が存在します。最も一般的に使用される形式は NetFlow バージョン 5 ですが、バージョン 9 が最新の形式であり、拡張性、セキュリティ、トラフィック分析、およびマルチキャストの点で優れています。
Security Manager では、現在、IOS デバイスでの Traditional NetFlow の使用がサポートされています。Traditional NetFlow では、固定フロー レコードを提供します(バージョン 9 の場合も同様)。つまり、デバイスでは、フローを生成するとき、フラグと定義済みレコードの特定の組み合わせを使用します。デバイス設定では、エクスポートの宛先、エクスポート インターフェイス、およびバージョン固有の特定の送信オプションを定義します。
トラフィック フローおよび NetFlow の詳細
ルータまたはスイッチを経由する各パケットに対して、IP パケット属性セットが検査されます。これらの属性は、IP パケット ID、つまり「フィンガープリント」であり、パケットが一意であるか、または他のパケットと関連するかを定義します。
送信元/宛先 IP アドレス、送信元/宛先ポート、プロトコル インターフェイス、およびサービス クラスが同一であるすべてのパケットは、1 つのフローにグループ化され、これらのパケットおよびバイトが集計されます。このフロー決定の方式(または「フィンガープリント」)では、大量のネットワーク情報を NetFlow キャッシュと呼ばれる NetFlow 情報のデータベースに圧縮できるため、スケーラビリティが高くなります。
一般的に、NetFlow キャッシュにはフローが常に入れられ、ルータまたはスイッチのソフトウェアは、終了したフローや期限切れのフローをキャッシュで検索します。これらのフローは NetFlow Collector にエクスポートされます(SNMP ポーリングとは異なり、NetFlow エクスポートは、情報を NetFlow コレクタに定期的に送信します)。NetFlow Collector には、エクスポートされたフローを収集および整理して、トラフィックとセキュリティの分析に使用されるリアルタイムレポートまたは履歴レポートを生成するジョブがあります。
NetFlow の概要
NetFlow の処理概要は次のとおりです。
-
NetFlow は、IP トラフィック フローをキャプチャするために、ルータまたはスイッチ上で設定されます。
-
フロー レコードは、ローカル NetFlow キャッシュに格納されます。
-
定期的に、約 30 ~ 50 のフロー レコードがバンドルされ、NetFlow Collector サーバにエクスポートされます。
-
NetFlow Collector ソフトウェアによって、NetFlow データからレポートが作成されます。
関連項目
NetFlow パラメータの定義
この手順では、ルータ上で NetFlow ロギングをイネーブルにする方法について説明します。
関連項目
手順
ステップ 1 |
ルータの [NetFlow] ページにアクセスするには、次のいずれかを実行します。
ルータの [NetFlow] ページが表示されます。このページのフィールドの詳細な説明については、NetFlow ポリシー ページを参照してください。 |
||||
ステップ 2 |
[NetFlow] ページの [セットアップ(Setup)] タブで、ルータのグローバル NetFlow パラメータを指定します。
ネットワークに BGP が設定されている場合は、NetFlow レコードに送信元またはピア AS 情報を含めることができます。[ASタイプ(AS Type)] ドロップダウンリストから、[origin-as] または [peer-as] を選択します。ブランクのエントリを選択して、このオプションをディセーブルにできます。 [BGPネクストホップの有効化(Enable BGP Nexthop)] をオンにして、BGP ネクストホップ情報をフローキャッシュに含めます。(バージョン 5 では、この情報はキャッシュに表示されますが、エクスポートはされません)。
ネットワークに BGP が設定されている場合は、NetFlow レコードに送信元またはピア AS 情報を含めることができます。[ASタイプ(AS Type)] ドロップダウンリストから、[origin-as] または [peer-as] を選択します。ブランクのエントリを選択して、このオプションをディセーブルにできます。 [BGPネクストホップの有効化(Enable BGP Nexthop)] をオンにして、BGP ネクストホップ情報をフローレコードに含めます。
|
||||
ステップ 3 |
[インタフェース(Interfaces)] タブで、トラフィックフローをレポートするインターフェイスを定義します。
|