音声とユニファイド コミュニケーション : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX syslog のセットアップ

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2003 年 1 月 7 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントは、PIX 4.x のみに関連しています。 ソフトウェア バージョン 5.x、6.x、7.x については、次のドキュメントを参照してください。

PIX により生成され、通常はコンソールに送信されるメッセージを収集するには、syslogd デーモン(syslogd)が稼働するデバイスにこれらのメッセージを送信します。 syslogd は syslog 用のポートである UDP ポート 514 をリッスンします。 syslog を実行することで、PIX のトラフィックとパフォーマンスに関する情報を取得できるほか、ログを分析して疑わしいアクティビティを調べたり、問題のトラブルシューティングを行ったりできます。

syslogd はさまざまなオペレーティング システム プラットフォームで実行できます。 syslogd は UNIX のインストール時にインストールされますが、設定が必要です。 syslogd は通常は Windows ベースのシステムのネイティブではありませんが、Windows NT では syslogd ソフトウェアを使用できます。 これには、たとえば、PIX Firewall Manager(PFM)、PIX Firewall Syslog Server(PFSS)、Private-I など、各種 syslog ソフトウェアが含まれます。

ポート番号 514 を使用する他のアプリケーションがネットワークにある場合、syslog メッセージは syslog サーバに正常に到達しない可能性があります。

このドキュメントでは、syslog の動作、syslogd が稼働するデバイスに syslog メッセージを送信するための PIX の設定方法、および UNIX ベースの syslogd サーバの設定方法について説明しています。

PIX syslog メッセージの実際の意味については、「PIX documentation」を参照してください。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、Cisco Secure PIX ソフトウェア リリース 4.0 以降に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

syslog の仕組み

すべての syslog メッセージにはロギング ファシリティとレベルが設定されています。 ロギング ファシリティは場所(どこなのか)、レベルは内容(何なのか)と考えることができます。

ロギング ファシリティ

1 つの syslog デーモン(syslogd)には複数のパイプがあると考えることができます。 このパイプを使用して、情報が到着したパイプに基づいて、着信した情報を送信する場所を決めます。 この意味ではロギング ファシリティはパイプであり、それによって syslogd は受信した情報をどこに送信すべきかを決めます。

syslog で通常使用されるロギング ファシリティは local0 ~ local7 の 8 つです。

local0
local1
local2
local3
local4
local5
local6
local7

レベル

受信メッセージにはさまざまな重要度も付けられています。 レベルは「内容」を示すものと考えることができます。 PIX はさまざまなレベルでメッセージを送信するように設定できます(これらは重要度の高いものから低いものの順にリストされています)。

レベル 数値コード
緊急事態 0
アラート 1
重大 2
エラー 3
警告 4
通知 5
情報 6
デバッグ 7

syslog メッセージを送信するように PIX をセットアップするとき、重要度の低いレベルを設定するとそれよりも高い重要度のレベルが含まれます。 たとえば、「警告」を送信するように PIX を設定した場合は、「警告」だけでなく、「エラー」、「重大」、「アラート」、「緊急」のメッセージも送信されます。 「デバッグ」に設定した場合は、8 つの全レベルのメッセージが含められます。

syslog を送信するよう PIX を設定

PIX 4.0.x ~ 4.1.x

syslog の構文は次のとおりです。

syslog host #.#.#.#(#.#.#.# の部分には syslog サーバのアドレスが入ります)

syslog output X.Y(X にはロギング ファシリティ、および Y にはレベルが入ります)

X 数値からロギング ファシリティへの変換の仕組み

数値 X を 2 進数に変換します。 最後の 4 ビットがローカル ファシリティを表します。

  • 16 = 00010000 = local0

  • 17 = 00010001 = local1

  • 18 = 00010010 = local2

  • 19 = 00010011 = local3

  • 20 = 00010100 = local4

  • 21 = 00010101 = local5

  • 22 = 00010110 = local6

  • 23 = 00010111 = local7

たとえば、22 = 00010110 の場合、下位 4 ビットの 0110 は 10 進数の 6 になり、これは local6 を表しています。 (これをさらに簡単に計算するには、X の数値から 16 を引きます。 たとえば、22-16=6、つまり local6 になります)。

Y の数値はレベルを表します。 たとえば Y=2 の場合、送信されたメッセージにはレベル 2(重大)、レベル 1(アラート)、およびレベル 0(緊急事態)のメッセージが含まれます。 PIX レベルは 0 ~ 7 です。 これらとロギング ファシリティ(local0 ~ local7)とを混同しないでください。

PIX 4.0.x ~ 4.1.x での例

  • syslog 20.7

    20 は local4 のロギング ファシリティに相当します。

    .7 はレベルです。 7 は PIX にとって debug を意味します(すべてのメッセージが記録されます)。

  • syslog 23.2

    23 は local7 のロギング ファシリティです。

    .2 はレベルです。 2 は PIX にとって critical を意味します(critical、alert、および、emergency の各メッセージがログに記録されます)。

PIX 4.2.x 以降

PIX ソフトウェア リリース 4.2.X では syslog の構文が変更されました。 syslog host #.#.#.# コマンドの代わりに新しい logging host #.#.#.# コマンドを使用します。 4.2.x では、ロギング ファシリティおよびレベルの定義は同じですが、syslog output X.Y コマンドの代わりに次の 2 つの文が必要です。

  • logging facility X

  • logging trap Y

レベルは数値として表現されなくなり、 レベルの名前として表現されます。 次に例を示します。

  • 古い構文

    syslog output 20.7

  • 新しい構文

    logging facility 20 (local4)

    logging trap debugging(デバッグ~緊急事態)

PIX 4.3.x 以降

4.3.X 以降では、特定の syslog メッセージの送信を避けることができ、送信されるメッセージにタイムスタンプを付けることができます。

以下のコマンド

  • logging host #.#.#.#

  • logging facility X

  • logging trap Y

に加えて、次のコマンドも発行できます。

  • clock set 13:18:00 Apr 25 1999

  • logging timestamp

  • no logging message 111005

これで、メッセージ 111005(つまり「End configuration」)を除くすべてのメッセージがタイムスタンプ付きで送信されます。

111005 メッセージは通知レベルのメッセージであるため、PIX のレベルが Emergency、Alert、Critical、Error、または Warning に設定されている場合は出力されません。

111005 以外のタイムスタンプ付きメッセージの例を次に示します。 (1 番目のタイムスタンプは UNIX サーバからのもので、2 番目のタイムスタンプは PIX からのものです)。

Apr 25 13:15:35 10.31.1.53 Apr 25 1999 13:23:00: %PIX-5-111007:
	 Begin configuration: nobody reading from terminal

PIX ソフトウェア バージョン 4.3.X 以降では、TCP syslog も実行できます。 PFSS はこれをサポートします。 それ以外のほとんどの syslog サーバでは、再設定を行わない限りサポートしません。 PIX で PFSS TCP ロギングを有効にするコマンドは、logging host #.#.#.# tcp 1740 です。

このトラフィックは TCP(つまり確認応答付き)であるため、PFSS がダウンした場合、PIX 経由のトラフィックは停止します。 この理由から、この種の機能を必要とする場合を除き、tcp syslog コマンドは実装しないでください。 UDP/514 による syslog ではこの影響はありません。

syslogd サーバの設定方法

syslogd は本来 UNIX の概念であるため、UNIX 以外のシステムで使用できる syslogd 製品の機能は、ベンダーの実装に依存します。 受信したメッセージをファシリティまたはデバッグ レベル(または、その両方)に基づいて分類したり、送信元デバイスの名前を解決したり、ファシリティを報告するなどの機能があります。 UNIX 以外の syslog サーバの設定については、ベンダーのマニュアルを参照してください。

シスコでは、PIX Firewall Syslog Server(PFSS)と呼ばれる syslog サーバを提供しています。このサーバは PC プラットフォームで利用できます。 [Downloads](登録ユーザ専用)に移動し、[Download PIX Firewall Software] を選択して Cisco PFSS をダウンロードします。

UNIX で syslog を設定するには、次の手順を実行します。

  1. SunOS、AIX、HPUX、または Solaris で root として/etc/syslog.conf ファイルのバックアップを作成してから変更を行ってください。

  2. /etc/syslog.conf を修正し、送信元デバイスから送られる syslog メッセージをどのように分類するのか、つまり、どの logging_facility.level をどのファイルに送るのかについて、UNIX システムに指示を与えます。 logging_facility.level と file_name の間にタブがあることに注意してください。

  3. 出力先のファイルが存在し、書き込み可能になっていることを確認します。

  4. 通常、syslog.conf ファイルの先頭にある #Comment セクションには、UNIX システム用の構文説明があります。

  5. ファイル情報は、ifdef セクションには置かないようにしてください。

  6. ルート ユーザとして syslogd を再起動して変更を検出します。

  • /etc/syslog.conf が次のように設定されている場合:

    local7.warn     /var/log/local7.warn
    

    local7 ロギング ファシリティで受信した「warning」、「error」、「critical」、「alert」、および「emergency」メッセージは local7.warn ファイルに記録されます。 local7 ファシリティで受信した「通知」、「情報」、および「デバッグ」のメッセージはどこにも記録されません。

  • /etc/syslog.conf が次のように設定されている場合:

    local7.debug    /var/log/local7.debug
    

    local7 のロギング ファシリティで受信したデバッグ、情報、通知、警告、エラー、重大、アラート、緊急事態の各メッセージは local7.debug ファイルに記録されます。

  • /etc/syslog.conf が次のように設定されている場合:

    local7.warn     /var/log/local7.warn
    local7.debug    /var/log/local7.debug
    

    local7 ロギング ファシリティで受信した「警告」、「エラー」、「重大」、「アラート」、および「緊急」のメッセージは local7.warn ファイルに記録されます。 local7 のロギング ファシリティで受信したデバッグ、情報、通知、警告、エラー、重大、アラート、緊急事態の各メッセージは local7.debug ファイルに記録されます。 (つまり、一部のメッセージは両方のファイルに送られます)。

  • /etc/syslog.conf が次のように設定されている場合:

    *.debug         /var/log/all.debug
    

    ロギング ファシリティからのすべてのメッセージ レベルはこのファイルに送信されます。

syslog のデバッグ

syslog をデバッグで開始するには、root としてログオンする必要があります(SunOS、AIX、HPUX、または Solaris)。

ps -ef | grep syslogd
kill -9 <pid>
syslogd -d

syslogd が syslog.conf を読み込んでいる時は、最初に次のようなメッセージが表示されます。

cfline(local7.info                              /var/log/local7.info)
cfline(local7.debug                             /var/log/local7.debug)
X X X X X X X X X X X X X X X X X X X X X X X 6 X FILE: /var/log/local7.info
X X X X X X X X X X X X X X X X X X X X X X X 7 X FILE: /var/log/local7.debug

スクロールが速すぎる場合は、次のコマンドを使用してみてください。

  • syslogd -d | more

次のようなメッセージが表示される場合は

cfline(local7.info                              /var/log/local7.junk)
syslogd: /var/log/local7.junk: No such file or directory
logmsg: pri 53, flags 8, from pinecone, msg syslogd: /var/log/local7.junk: 
No such file or directory

セットアップに問題があります。 この例では、ファイルが存在していませんでした。

デバッグで実行すると、syslog の受信メッセージとそれらの送信先ファイルも表示されます。

logmsg: pri 275, flags 0, from 10.8.1.76, MSG 14: %SYS-5-CONFIG_I: Configured 
from console by vty0 (171.68.118.108)
Logging to UNUSED
Logging to FILE /var/log/local7.debug

この場合は、local7.junk および local7.debug に送られたはずのメッセージを受信していますが、local7.junk は存在しないため、次のメッセージも受信しています。

Logging to UNUSED.

syslogd -d が何も受信していないことを示している場合は、PIX の show syslog または show logging コマンドを使用し、PIX からの送信があることを確認してください。 syslogd 情報が UNIX システムに到着しているのに、適切なファイルに書き込まれない場合は、UNIX システムの管理者またはオペレーティング システム ベンダーのサポート窓口に相談して問題を解決してください。

それでも問題の原因が判明しない場合は、次のように syslog がデバッグで実行されていて、出力がファイルにリダイレクトされている可能性があります。

  • sh または ksh:

    syslogd -d<>target_file>2>&1

    または

  • csh

    syslogd -d>&<target_file>

Red Hat Linux の syslogd でネットワーク出力をキャプチャするには、-r オプションを付けて syslogd を起動する必要があります。

この表は、レベルを定義する UNIX の一般的な syslog 拡張子を示します。

UNIX の拡張子 意味
.emerg システムは使用不可、緊急事態
.alert 即時処置が必要、アラート
.crit 「critical」条件、クリティカル
.err エラー メッセージ、エラー
.warn 警告メッセージ、警告
.notice 正常であるが重要な状態、通知
.info 情報メッセージ、情報
.debug デバッグ メッセージ、デバッグ

TAC のサービス リクエストをオープンする場合に収集しておく情報

上記のトラブルシューティング手順を実行した後も、依然としてサポートが必要で、Cisco TAC でサービスリクエストをオープンする必要がある場合は、PIX ファイアウォールのトラブルシューティングに必要な次の情報を必ず収集してください。
  • サービス リクエストをオープンする前に実行したトラブルシューティング
  • show tech-support コマンドの出力
  • logging buffered debugging コマンドを実行した後の show log コマンドの出力、または問題を示すコンソール キャプチャ(利用可能な場合)
収集したデータは、圧縮しないプレーンなテキスト形式(.txt)でサービス リクエストに添付してください。 情報をサービス リクエストに添付するには、TAC Service Request Tool登録ユーザ専用)を使用してアップロードします。 TAC Service Request Tool にアクセスできない場合は、情報を電子メールの添付ファイルとし、メッセージの件名にサービス リクエスト番号を付けて attach@cisco.com 宛てに送信してください。


関連情報


Document ID: 15248