セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA Syslog 設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2008 年 2 月 27 日) | 英語版 (2015 年 9 月 23 日) | フィードバック

概要

この資料は適応性があるセキュリティ アプライアンス モデル(ASA)の異なるロギング オプションを設定する方法をその実行コードバージョン 8.4 またはそれ以降示す設定 例を提供したものです。

ASA バージョン 8.4 は非常にある特定の規定 された syslog メッセージだけ示されるように粒状フィルタ 技術をもたらしました。 このドキュメントの「基本的な syslog」セクションでは、従来の syslog の設定について説明しています。 この資料の高度 Syslog セクションはバージョン 8.4 で新しい syslog 機能を示します。 完全なシステムログメッセージ ガイドのための Ciscoセキュリティ アプライアンス システムログメッセージ ガイドを参照して下さい。 

Atri Basu、マグナス Mortensen、および Dinkar Sharma によって貢献される、Cisco TAC エンジニア。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ASA ソフトウェア バージョン 8.4 が付いている ASA 5515

  • Cisco Adaptive Security Device Manager (ASDM)バージョン 7.1.6

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

ASA 8.2 を参照して下さい: ASDM バージョン 7.1 および それ 以降で同じようなコンフィギュレーションの詳細の詳細については ASDM を使用して Syslog を設定して下さい

基本的な syslog

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ロギングを有効に するためにこれらのコマンドを入力しログを調べ、コンフィギュレーションの設定を表示して下さい。

  • logging enable -すべての出力場所に syslog メッセージの伝達を有効に します。

  • no logging enable -すべての出力場所に記録 する無効。

  • show logging - syslog バッファのコンテンツをリストします、また現在のコンフィギュレーションに関係する統計情報および情報。

ASA はさまざまな宛先に syslog メッセージを送信できます。 送信 される syslog 情報のように場所を規定 するためにこれらのセクションでコマンドを入力して下さい:

内部バッファにログ情報を送信 して下さい

logging buffered severity_level

ASA 内部バッファで syslog メッセージを保存するとき外部ソフトウェアがかハードウェアは必要となりません。 保存された syslog メッセージを表示するために show logging コマンドを入力して下さい。 内部バッファに 1 MB の最大サイズがあります(ロギング buffer-size コマンドと設定可能な)。 その結果、それは非常にすぐにラップするかもしれません。 記録のより冗長なレベルがすぐに一杯になるかもしれませんおよびラップ、内部バッファ選択するように内部バッファのログ レベルをときこれに留意して下さい。

Syslog サーバにログ情報を送信 して下さい

logging host interface_name ip_address [tcp[/port] | udp[/port]] [format emblem]
logging trap severity_level
logging facility number

syslog メッセージを外部ホストに送信するには、syslog アプリケーションを実行するサーバが必要です。 ASA は UDP ポート 514 の syslog をデフォルトで送信 します、プロトコルおよびポートは選択することができます。 TCP がロギング プロトコルとして選択される場合、これにより ASA は syslog サーバへの TCP 接続によって syslog を送信 します。 サーバが得難いか、またはサーバへの TCP 接続が確立することができなければ場合 ASA は、デフォルトで、すべての新しい接続をブロックします。 この動作はロギング許可hostdown を有効に する場合無効である場合もあります。 ロギング許可hostdown に関する詳細についてはコンフィギュレーション ガイドが命じるのを参照して下さい。

電子メールとしてログ情報を送信 して下さい

logging mail severity_level
logging recipient-address email_address
logging from-address email_address
smtp-server ip_address

電子メールで syslog メッセージを送信する場合は、SMTP サーバが必要です。 SMTP サーバの正しい設定は正常に ASA から規定 された電子メール クライアントに電子メールを中継で送ることができるようにして必要です。 このログ レベルがデバッグのような非常に冗長なレベルに、または情報設定 されれば各 E メールが生成されるべき 4 の上向きのこのログコンフィギュレーション原因によって送信 したまたは追加ログかもしれませんので syslog の重要な数を生成する。

シリアルコンソールへの送信ログ情報

logging console severity_level 

それらが発生するように ASA コンソール(tty)で表示するべきコンソール ロギング有効 syslog メッセージ。 コンソール ロギングが設定される場合、すべては 9800 ビット/秒に ASA の生成を ratelimited、ASA シリアルコンソールの速度記録 します。 これは syslog を内部バッファを含むすべての宛先に廃棄しますかもしれません。 冗長な syslog のためにコンソール ロギングをこのような理由で使用しないで下さい。

Telnet/SSH セッションにログ情報を送信 して下さい

logging monitor severity_level
terminal monitor

Logging monitor は Telnet の ASA コンソールにアクセスするか、または SSH および terminal monitorコマンドがそのセッションから実行されると発生すると同時に表示する syslog メッセージが可能にします。 ログの印刷をセッションに停止するために、terminal no monitor コマンドを入力して下さい。

ASDM のログメッセージを表示する

logging asdm severity_level 

ASDM には、syslog メッセージの格納に使用できるバッファも備わっています。 ASDM syslog バッファのコンテンツを表示するために show logging asdm コマンドを入力して下さい。

SNMP 管理ステーションにログを送信 して下さい

logging history severity_level
snmp-server host [if_name] ip_addr
snmp-server location text
snmp-server contact text
snmp-server community key
snmp-server enable traps

ユーザは SNMP の syslog メッセージを送信 することを既存の機能簡易ネットワーク管理プロトコル(SNMP) 環境が必要とします。 設定についてはコマンドを出力先を設定 し、管理するのに使用できるコマンドの完全な参照用に出力先を管理すること参照すれば。 重大度によってリストされている重大度によってリストされているメッセージについてはメッセージを参照して下さい。

Syslog にタイムスタンプを追加して下さい

一直線に並ぶのを助けるために順序イベントは syslog に、タイムスタンプ追加され。 これは時間通りに基づいて問題のトレースを助けるために推奨されます。 タイムスタンプを有効に するために、ロギングタイムスタンプ コマンドを入力して下さい。 2 つの syslog 例、1 およびタイムスタンプなしの 1 は下記のもののここにあります:

%ASA-6-302016: Teardown UDP connection 806353 for outside:172.18.123.243/24057 to
identity:172.18.124.136/161 duration 0:02:01 bytes 313

Jul 03 2014 14:33:09: %ASA-6-302014: Teardown TCP connection 806405 for
inside:10.0.0.100/50554 to identity:172.18.124.136/51358 duration 0:00:00 bytes
442 TCP Reset-I 

例 1

この出力はデバッグの重大度とのバッファにログイン するための設定 例を示したものです。

logging enable
logging buffered debugging

次に、出力例を示します。

%ASA-6-308001: console enable password incorrect for number tries (from 10.1.1.15)

ASDM で基本的な Syslog を設定して下さい

このプロシージャはすべての利用可能 な syslog 宛先のための ASDM 設定を示します。

  1. ASA をログオンすることを有効に するために、最初に基本的なロギング パラメータを設定して下さい。 Configuration > Features > Properties > Logging > Logging Setup の順に選択 して下さい。 syslog を有効に するために Enable Logging チェックボックスをチェックして下さい。

  2. 外部サーバを syslog のための宛先で設定し、ロギングで『Syslog Servers』 を選択 し、syslog サーバを追加するために『Add』 をクリック するため。 Add Syslog Server ボックスで syslog サーバの詳細を入力してから、OK をクリックします。

  3. 特定の受信者に電子メールとして syslog メッセージを送信 するためにログオン順序で『E-Mail Setup』 を選択 して下さい。 Source E-Mail Address ボックスで送信元の電子メール アドレスを指定し、Add をクリックして、電子メール受信者の宛先アドレスとメッセージの重大度を設定します。 完了したら、[OK] をクリックします。

  4. 入力して下さい、『Device Administration』 を選択 し『SMTP』 を選択 し、SMTP サーバのIPアドレスを規定 するためにプライマリ サーバ IP アドレスを記録 します

  5. SNMPトラップとして syslog を送信 したいと思う場合最初に SNMP サーバを定義して下さい。 SNMP 管理ステーションおよび特定のプロパティのアドレスを規定 するために管理アクセス メニューで『SNMP』 を選択 して下さい。

  6. SNMP 管理ステーションを追加するには、Add をクリックします。 SNMP ホストの詳細を入力して、OK をクリックします。

  7. 前述べられた宛先の何れかに送信 されるべきログをイネーブルに設定するためにロギング セクションで『Logging Filters』 を選択 して下さい。 これはログの各々の可能性のある ロギング宛先およびそれらの宛先に送信 される 現在 の レベルと示します。 目的の Logging Destination を選択して、Edit をクリックします。 この例では、「Syslog サーバの宛先は修正されます。

  8. 重大度 ドロップダウン リストのフィルタから適切な重大度を、この場合 Informational、選択して下さい。 完了したら、[OK] をクリックします。

  9. Logging Filters ウィンドウに戻ったら、Apply をクリックします。

VPN 経由での syslog サーバへの syslog メッセージの送信

簡単なサイト間VPN 設計かより複雑なハブ アンド スポーク型設計では、管理者はセントラルサイトにいる SNMP サーバおよび syslog サーバとのすべてのリモート ASA ファイアウォールを監視したいと思うかもしれません。

サイト間 の IPSec VPN 設定を設定するために、PIX/ASA 7.x を以上に参照して下さい: PIX-to-PIX VPN トンネルの設定例』を参照してください。 VPN の設定とは別に、SNMP、および、syslog サーバの対象のトラフィックを、中央サイトとローカル サイトの両方で設定する必要があります。

中央 ASA 設定


!--- This access control list (ACL) defines IPsec interesting traffic.
!--- This line covers traffic between the LAN segment behind two ASA.
!--- It also includes the SNMP/syslog traffic between the SNMP/syslog server
!--- and the network devices located on the Ethernet segment behind the ASA 5515.

access-list 101 permit ip 172.22.1.0 255.255.255.0 172.16.1.0 255.255.255.0

!--- This lines covers SNMP (TCP/UDP port - 161), SNMP TRAPS(TCP/UDP port - 162)
!--- and syslog traffic (UDP port - 514) from SNMP/syslog server
!--- to the outside interface of the remote ASA.

access-list 101 permit tcp host 172.22.1.5 host 10.20.20.1 eq 161
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 161
access-list 101 permit tcp host 172.22.1.5 host 10.20.20.1 eq 162
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 162
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 514


logging enable
logging trap debugging

!--- Define logging host information.
logging facility 16
logging host inside 172.22.1.5


!--- Define the SNMP configuration.
snmp-server host inside 172.22.1.5 community ***** version 2c
snmp-server community *****

リモート ASA 設定


!--- This ACL defines IPsec interesting traffic.
!--- This line covers traffic between the LAN segment behind two ASA.
!--- It also covers the SNMP/syslog traffic between the SNMP/syslog server
!--- and the network devices located on the Ethernet segment behind ASA 5515.
access-list 101 permit ip 172.16.1.0 255.255.255.0 172.22.1.0 255.255.255.0

!--- This lines covers SNMP (TCP/UDP port - 161), SNMP TRAPS (TCP/UDP port - 162) and
!--- syslog traffic (UDP port - 514) sent from this ASA outside
!--- interface to the SYSLOG server.
access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 161
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 161
access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 162
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 162
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 514


!--- Define syslog server.
logging facility 23
logging host outside 172.22.1.5


!--- Define SNMP server.
snmp-server host outside 172.22.1.5 community ***** version 2c
snmp-server community *****

ASA バージョン 8.4 を設定する方法に関する詳細については VPN トンネル経由 の SNMP および Syslog を使用してモニタリング Cisco Secure ASA ファイアウォールを参照して下さい

拡張 syslog

ASA バージョン 8.4 はグループの syslog メッセージを設定・管理することを可能にする複数のメカニズムを提供します。 このメカニズムには、メッセージの重大度、メッセージのクラス、メッセージの ID、またはユーザが作成するカスタム メッセージ リストが含まれます。 このメカニズムを使用することで、単一のコマンドを入力して大小のメッセージ グループに適用できます。 この方法で syslog を設定すると、指定したメッセージ グループからのメッセージをキャプチャでき、同じ重大度のメッセージをすべてキャプチャする必要はなくなります。

メッセージ リストの使用

メッセージ リストを使用して、関心のある syslog メッセージだけを重大度と ID でグループ化し、このメッセージ リストを目的の宛先と関連付けます。

メッセージ リストを設定するためにこれらのステップを完了して下さい:

  1. ロギング リスト message_list を入力して下さい | 水平な severity_level [クラス message_class]コマンド 規定 された 重大度またはメッセージ リストが付いているメッセージを含むメッセージ リストを作成するため。

  2. 作成したメッセージ リストにメッセージを追加するには、logging list message_list message syslog_id-syslog_id2 コマンドを使用します。

  3. 作成したメッセージ リストの宛先を指定するには、logging destination message_list コマンドを使用します。

例 2

入力して下さいすべての重大度がメッセージ 611101 に 611323 の付加が付いている 2 つの(重要な)メッセージ含まれている、およびまたコンソールに送信 して下さいメッセージ リストを作成するためにこれらのコマンドを:

logging list my_critical_messages level 2
logging list my_critical_messages message 611101-611323
logging console my_critical_messages

ASDM の設定

次の例では、メッセージ リストを使用した「例 2」を ASDM で設定する方法を示しています。

  1. メッセージ リストを作成するには、Logging で Event Lists を選択して Add をクリックします。

  2. Name ボックスにメッセージ リストの名前を入力します。 この場合は、my_critical_messages が使用されています。 Event Class/Severity Filters の Add をクリックします。

  3. イベント クラス ドロップダウン リストから『All』 を選択 して下さい。 重大度 ドロップダウン リストから重要選択して下さい。 完了したら、[OK] をクリックします。

  4. さらにメッセージが必要な場合は、Message ID Filters の Add をクリックします。 この場合は、ID が 611101 〜 611323 のメッセージを指定する必要があります。

  5. Message IDs ボックスに ID の範囲を入力し、OK をクリックします。

  6. Logging Filters メニューに戻り、宛先として Console を選択します。

  7. 使用 イベント リスト ドロップダウン リストから『my_critical_messages』 を選択 して下さい。 完了したら、[OK] をクリックします。

  8. Logging Filters ウィンドウに戻ったら、Apply をクリックします。

これは Example 2.:に示すようにメッセージ リストの使用の ASDM コンフィギュレーションを完了します

メッセージ クラスの使用

特定のクラスに関連するすべてのメッセージを指定した出力場所に送信するには、メッセージ クラスを使用します。 重大度しきい値を指定すると、出力場所に送信されるメッセージの数を制限できます。

logging class message_class destination | severity_level 

例 3

重大度が緊急(Emergencies)以上のすべての ca クラス メッセージをコンソールに送信するには、次のコマンドを入力します。

logging class ca console emergencies

ASDM の設定

このプロシージャは ASDM コンフィギュレーション メッセージ リストの使用とのたとえば 3 を示します。

  1. Logging Filters メニューを選択し、宛先として Console を選択します。

  2. Disable logging from all event classes をクリックします。

  3. Syslogs from Specific Event Classes で、追加する Event Class と Severity を選択します。

    この例では、それぞれ ca と Emergencies を使用しています。

  4. Add をクリックしてこれをメッセージ クラスに追加し、OK をクリックします。

  5. Logging Filters ウィンドウに戻ったら、Apply をクリックします。 コンソールは Logging Filters ウィンドウで示されているように今重大度緊急事態のカリフォルニア クラス メッセージを収集します。

これは ASDM 設定たとえば 3.を示しますログメッセージ 重大度のリストの重大度によってリストされているメッセージを完了します。

Syslog サーバへの送信デバッグ ログメッセージ

高度 な トラブルシューティングに関しては、機能が/プロトコル対応デバッグ ログは必要となります。 デフォルトで、これらのログメッセージはターミナル(SSH/Telnet)で表示する。 デバッグが有効に なる場合デバッグの種類の依存、および生成されるデバッグ メッセージの比率は CLI の使用困難証明するかもしれません。 任意で、デバッグ メッセージは syslogプロセスにリダイレクトされ、syslog として生成することができます。 これらの syslog はあらゆる syslog desination に他のどの syslog もように送信 することができます。 デバッグを syslog に転換するために、ロギング debug trace コマンドを入力して下さい。 この設定は syslog サーバに、syslog のように、デバッグ 出力を送ります。

logging trap debugging
logging debug-trace
logging host inside 172.22.1.5

一緒のロギング リストおよびメッセージ クラスの使用

単独で LAN-to-LAN なおよびリモートアクセス IPSec VPN メッセージのための syslog をキャプチャ するためにロギング list コマンドを入力して下さい。 次の例では、すべての VPN(IKE および IPsec)クラスの syslog メッセージでデバッグ レベル以上のものがキャプチャされます。

hostname(config)#logging enable
hostname(config)#logging timestamp
hostname(config)#logging list my-list level debugging class vpn
hostname(config)#logging trap my-list
hostname(config)#logging host inside 192.168.1.1

ログ ACL ヒット

各アクセス リスト 要素(ACE)にログをアクセス リストが見つかるとき記録 するために希望する追加して下さい。 次の構文を使用します。

access-list id {deny | permit protocol} {source_addr source_mask}
{destination_addr destination_mask} {operator port} {log}

ASAfirewall(config)#access-list 101 line 1 extended permit icmp any any log

ACL は、デフォルトで、各拒否されたパケットを記録 します。 拒否されたパケットのための syslog を生成するために ACL を否定するログ オプションを追加する必要がありません。 log オプションを指定すると、適用される ACE に対する syslog メッセージ 106100 が生成されます。 Syslog メッセージ 106100 は ASA ファイアウォールを通る拒否 ACE フローか各一致する割り当てのために生成されます。 最初に一致したフローがキャッシュされます。 以降の一致では、show access-list コマンドで表示されるヒット カウントが増分されます。 log キーワードが指定されていないアクセス リストのデフォルトのロギング動作では、パケットが拒否されるとメッセージ 106023 が生成され、パケットが許可されると syslog メッセージは生成されません。

生成される syslog メッセージ(106100)に対しては、オプションの syslog レベル(0 〜 7)を指定できます。 レベルを指定しないと、新しい ACE はデフォルトのレベル 6(情報提供)になります。 既に存在 する ACE がそれから水平な現在のログ変更されなければ。 ログ Disable オプションが規定 される場合、アクセス リスト ロギングは完全に無効です。 syslog メッセージは、メッセージ 106023 を含む、生成されません。 デフォルトの log オプションにより、アクセス リストのデフォルトのロギング動作が回復されます。

syslog メッセージ 106100 をコンソール出力で表示するには、次の手順を実行します。

  1. すべての出力位置にシステムログメッセージの伝達を有効に するために logging enable コマンドを入力して下さい。 ログを表示するには、ロギング出力場所を設定する必要があります。

  2. 特定のシステムログメッセージの重大度を設定 するためにロギングメッセージ <message_number> レベル <severity_level> コマンドを入力して下さい。

    この場合、メッセージ 106100 を有効に するためにロギングメッセージ 106100 コマンドを入力して下さい。

  3. logging console message_list を入力して下さい | 発生するように severity_level コマンド システムログメッセージがセキュリティ アプライアンス モデル コンソール(tty)で表示する可能にするため。 severity_level を 1 〜 7 に設定するか、またはレベル名を使用します。 message_list 変数で送信されるメッセージを指定することもできます。

  4. デフォルト設定から修正されたシステムログメッセージ メッセージのリストを表示するために show logging メッセージ コマンドを入力して下さい、ディセーブルにされたメッセージおよび別の重大度を割り当てられたメッセージである。

    show logging message コマンドの出力例を次に示します。

    ASAfirewall#show logging message 106100 
    syslog 106100: default-level informational (enabled)
    ASAfirewall# %ASA-7-111009: User 'enable_15' executed cmd: show logging mess 106
    100

スタンバイ ASA の syslog 生成のブロック

 

ASA ソフトウェア リリース 9.4.1 以降前に今次のコマンドを使用してスタンバイユニットの生成からの特定の syslog をブロックできます: 

no logging message syslog-id standby

 

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

syslog サーバに送信 されるべき特定の syslog メッセージを抑制したいと思う場合示されているようにコマンドを入力して下さい。

hostname(config)#no logging message <syslog_id>

詳細についてはロギングメッセージ コマンドを参照して下さい。

%ASA-3-201008: 新しい接続の拒否

%ASA-3-201008: 新しい接続の拒否。 エラーメッセージは ASA が syslog サーバを接続することができない、新しい接続が割り当てられないとき見られます。

解決策

Cisco ASA Syslog サーバ(PFSS)を使用するとき syslog サーバが有効に したまたはおよび Windows NT システムのディスク完全達することができないか TCP システムログ メッセージングをであるとこのメッセージが現れ。 このエラーメッセージを解決するためにこれらのステップを完了して下さい:

  • 有効に なる場合 TCP システムログ メッセージングをディセーブルにして下さい。

  • PFSS を使用する場合、PFSS が常駐する Windows NT システムの領域を自由に使えるようにして下さい。

  • syslog サーバがアップであり、Cisco ASA コンソールからホストを ping できることを確認して下さい。

  • トラフィックを許可するために TCP システムメッセージ ログオン順序を再起動して下さい。

syslog サーバがおよびダウン状態になれば TCP ロギングは設定されます、ロギング許可hostdown コマンドを使用するか、または UDP ロギングに切り替えて下さい。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 63884