セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

syslog に関する PIX/ASA 7.x の設定例

2008 年 2 月 27 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2007 年 8 月 21 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
基本的な syslog
      ASDM を使用した基本的な syslog の設定
      VPN 経由での syslog サーバへの syslog メッセージの送信
拡張 syslog
      メッセージ リストの使用
      メッセージ クラスの使用
      ACL ACE ヒットのロギング
VPN トラフィック syslog メッセージのキャプチャ
確認
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

この設定例では、syslog に関する PIX/ASA セキュリティ アプライアンス 7.x の設定方法を示しています。

PIX 7.0 では、非常に詳細なフィルタリング技法が導入され、指定した特定の syslog メッセージのみを表示できるようになりました。 このドキュメントの「基本的な syslog」セクションでは、従来の syslog の設定について説明しています。 このドキュメントの「拡張 syslog」セクションでは、7.0 での新しい syslog の機能について説明しています。

システム ログ メッセージの詳細なガイドについては、『Cisco セキュリティ アプライアンス システム ログ メッセージ ガイド、バージョン 7.x』を参照してください。

Cisco Secure PIX ソフトウェア リリース 4.0.x で syslog を設定する方法の詳細は、『PIX syslog のセットアップ』を参照してください。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • PIX ソフトウェア バージョン 7.0 が稼働する PIX 515E

  • Cisco Adaptive Security Device Manager(ASDM)バージョン 5.01

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定から作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

基本的な syslog

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ロギングの有効化、ログの表示、および設定の表示には、次のコマンドを使用します。

  • logging enable:すべての出力場所への syslog メッセージの送信を有効にします。

  • no logging enable:すべての出力場所へのロギングを無効にします。

  • show logging:syslog バッファの内容およびロギングの現在の設定を一覧表示します。

PIX では、さまざまな宛先に syslog メッセージを送信できます。 メッセージの送信先の場所を指定するには、ここで説明するコマンドを使用します。

内部バッファ

logging buffered severity_level 

PIX の内部バッファに syslog メッセージを格納する場合は、外部のソフトウェアまたはハードウェアは必要ありません。 格納されている syslog メッセージを表示するには show logging を使用します。

syslog メッセージ サーバ

logging host interface_name ip_address [tcp[/port] | udp[/port]] [format emblem] 

    logging trap severity_level 

    logging facility number

syslog メッセージを外部ホストに送信するには、syslog アプリケーションを実行するサーバが必要です。 デフォルトでは、PIX は UDP ポート 514 で syslog を送信します。

電子メール アドレス

logging mail severity_level 

    logging recipient-address email_address

    logging from-address email_address

    smtp-server ip_address

電子メールで syslog メッセージを送信する場合は、SMTP サーバが必要です。 PIX から、指定した電子メール クライアントに電子メールを確実にリレーするには、SMTP サーバで正しく設定を行うことが必要です。

コンソール

logging console severity_level 

コンソール ロギングを使用すると、発生した syslog メッセージを PIX コンソール(tty)に表示できます。 このコマンドは、問題をデバッグする場合、またはネットワーク上の負荷が最小の場合に使用します。 ネットワークがビジーの場合は、パフォーマンスが低下する可能性があるので、このコマンドを使用しないでください。

Telnet/SSH セッション

logging monitor severity_level 

    terminal monitor

ロギング モニタを使用すると、Telnet または SSH を使用して PIX コンソールにアクセスしている際に発生する syslog メッセージを表示できます。

ASDM

logging asdm severity_level 

ASDM には、syslog メッセージの格納に使用できるバッファも備わっています。 ASDM syslog バッファの内容を表示するには、show logging asdm コマンドを使用します。

SNMP 管理ステーション

logging history severity_level 

    snmp-server host [if_name] ip_addr

    snmp-server location text

    snmp-server contact text

    snmp-server community key

    snmp-server enable traps 

Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)を使用して syslog メッセージを送信するには、稼働中の SNMP 環境がすでに存在している必要があります。

出力先の設定と管理に使用できるコマンドの詳細については、『出力先を設定および管理するためのコマンド』を参照してください。

重大度別にまとめたメッセージについては、『重大度別メッセージ一覧』を参照してください。

例 1

この出力には、デバッグの重大度によりコンソールにロギングするための設定例が示されています。

logging enable

logging buffered debugging

次に、出力例を示します。

%PIX|ASA-6-308001: console enable password incorrect for number tries (from 10.1.1.15)

ASDM を使用した基本的な syslog の設定

次に示すのは、「例 1」の設定に従って、すべての使用可能な syslog 宛先を ASDM で設定する例です。

  1. ASDM Home ウィンドウに移動します。

  2. Configuration > Features > Properties > Logging > Logging Setup の順に選択します。

  3. Enable logging をオンにして syslog を有効にします。

    pix70-syslog-1.gif

    Logging Setup
    ※ 画像をクリックすると、大きく表示されます。

  4. syslog サーバを追加するには、Logging で Syslog Servers を選択して Add をクリックします。

  5. Add Syslog Server ボックスで syslog サーバの詳細を入力してから、OK をクリックします。

    pix70-syslog-2.gif

    Add Syslog Server ボックス
    ※ 画像をクリックすると、大きく表示されます。

  6. syslog メッセージを電子メールに送信するには、Logging で E-Mail Setup を選択します。

  7. Source E-Mail Address ボックスで送信元の電子メール アドレスを指定し、Add をクリックして、電子メール受信者の宛先アドレスとメッセージの重大度を設定します。 終了したら OK をクリックします。

    pix70-syslog-3.gif

    宛先の設定
    ※ 画像をクリックすると、大きく表示されます。

  8. SMTP サーバの IP アドレスを指定するには、Device Administration を選択し、SMTP を選択して、サーバの IP アドレスを入力します。

    pix70-syslog-4.gif

    SMTP サーバの IP アドレスの指定
    ※ 画像をクリックすると、大きく表示されます。

  9. SNMP 管理ステーションのアドレスとプロパティを指定するには、SNMP を選択します。

    pix70-syslog-5.gif

    SNMP 管理ステーションのアドレスとプロパティの指定
    ※ 画像をクリックすると、大きく表示されます。

  10. SNMP 管理ステーションを追加するには、Add をクリックします。 SNMP ホストの詳細を入力して、OK をクリックします。

    pix70-syslog-6.gif

    SNMP ホストの詳細の入力

  11. syslog メッセージの宛先を選択するには、Configuration の Properties をクリックし、Logging の Logging Filters を選択します。

  12. 目的の Logging Destination を選択して、Edit をクリックします。

    この手順では、例 1logging buffered debugging を使用しています。

  13. Internal Buffer を選択し、Edit をクリックします。

    pix70-syslog-7.gif

    Logging Filters
    ※ 画像をクリックすると、大きく表示されます。

  14. Filter on severity を選択し、ドロップダウン メニューから Debugging を選択します。 終了したら OK をクリックします。

    pix70-syslog-8.gif

    Edit Logging Filters
    ※ 画像をクリックすると、大きく表示されます。

  15. Logging Filters ウィンドウに戻ったら、Apply をクリックします。

    pix70-syslog-9.gif

    Logging Filters ウィンドウ
    ※ 画像をクリックすると、大きく表示されます。

VPN 経由での syslog サーバへの syslog メッセージの送信

単純なサイト間 VPN デザインでも、もっと複雑なハブアンドスポーク デザインでも、中央サイトにある syslog サーバと SNMP サーバですべての PIX ファイアウォールを監視する必要がある場合があります。

サイト間の IPsec VPN の設定については、『ASDM を使用した PIX/ASA 7.x 簡易 PIX 間 VPN トンネリングの設定例』を参照してください。 VPN の設定とは別に、SNMP、および、syslog サーバの対象のトラフィックを、中央サイトとローカル サイトの両方で設定する必要があります。

pix2pix-vpn-pix70-1.gif

中央サイトとローカル サイトの設定
※ 画像をクリックすると、大きく表示されます。

中央 PIX の設定


!--- このアクセス コントロール リスト(ACL)では、
!--- IPsec の対象トラフィックが定義されます。
!--- 次の行では、2 つの PIX の背後にある LAN セグメント間の
!--- トラフィックがカバーされます。
!--- また、SNMP/syslog サーバと PIX 515 の
!--- 背後のイーサネット セグメントに存在する
!--- ネットワーク デバイスの間の SNMP/syslog 
!--- トラフィックも含まれます。

access-list 101 permit ip 172.22.1.0 255.255.255.0 172.16.1.0 255.255.255.0


!--- 次の数行では、SNMP/syslog サーバからリモート PIX の外側の
!--- インターフェイスへの
!--- SNMP(TCP/UDP ポート:161)、SNMP TRAPS(TCP/UDP ポート:162)、
!--- および syslog(UDP ポート:514)の各トラフィックがカバーされます。
 

 
access-list 101 permit tcp host 172.22.1.5 host 10.20.20.1 eq 161
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 161
access-list 101 permit tcp host 172.22.1.5 host 10.20.20.1 eq 162
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 162
access-list 101 permit udp host 172.22.1.5 host 10.20.20.1 eq 514
logging on
logging trap debugging
logging history debugging


!--- ロギング ホストの情報を定義します。


logging facility 16
logging host inside 172.22.1.5



!--- SNMP の設定を定義します。


snmp-server host inside 172.22.1.5
snmp-server community test
snmp-server enable traps

リモート PIX の設定


!--- この ACL では、IPsec の対象トラフィックが定義されます。
!--- 次の行では、2 つの PIX の背後にある LAN セグメント間の
!--- トラフィックがカバーされます。
!--- また、SNMP/syslog サーバと PIX 515 の
!--- 背後のイーサネット セグメントに存在する
!--- ネットワーク デバイスの間の SNMP/syslog 
!--- トラフィックもカバーされます。


access-list 101 permit ip 172.16.1.0 255.255.255.0 172.22.1.0 255.255.255.0

!--- 次の数行では、この PIX の外側のインターフェイスから 
!--- SYSLOG サーバに送信される
!--- SNMP(TCP/UDP ポート:161)、SNMP TRAPS(TCP/UDP ポート:162)、
!--- および syslog(UDP ポート:514)の各トラフィックがカバーされます。



access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 161
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 161
access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 162
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 162
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 514

!--- syslog サーバを定義します。


logging facility 23
logging host outside 172.22.1.5


!--- SNMP サーバを定義します。


snmp-server host outside 172.22.1.5
snmp-server community test
snmp-server enable traps

PIX 6.x の設定方法の詳細は、『VPN トンネルを通過する SNMP と syslog を使用した Cisco Secure PIX Firewall のモニタリング』を参照してください。

拡張 syslog

PIX 7.0 が備えるメカニズムを使用すると、syslog メッセージのグループを設定して管理できます。 このメカニズムには、メッセージの重大度、メッセージのクラス、メッセージの ID、またはユーザが作成するカスタム メッセージ リストが含まれます。 このメカニズムを使用することで、単一のコマンドを入力して大小のメッセージ グループに適用できます。 この方法で syslog を設定すると、指定したメッセージ グループからのメッセージをキャプチャでき、同じ重大度のメッセージをすべてキャプチャする必要はなくなります。

メッセージ リストの使用

メッセージ リストを使用して、関心のある syslog メッセージだけを重大度と ID でグループ化し、このメッセージ リストを目的の宛先と関連付けます。

メッセージ リストを設定するには、次の手順を実行します。

  1. 指定した重大度またはメッセージ クラスのメッセージを含むメッセージ リストを作成するには、logging list message_list | level severity_level [class message_class] コマンドを使用します。

  2. 作成したメッセージ リストにメッセージを追加するには、logging list message_list message syslog_id-syslog_id2 コマンドを使用します。

  3. 作成したメッセージ リストの宛先を指定するには、logging destination message_list コマンドを使用します。

例 2

すべての重大度 2(クリティカル)メッセージと 611101 〜 611323 の追加メッセージを含むメッセージ リストを作成し、メッセージをコンソールに送信するには、次のコマンドを発行します。

logging list my_critical_messages level 2
logging list my_critical_messages message 611101-611323
logging console my_critical_messages 

ASDM の設定

次の例では、メッセージ リストを使用した「例 2」を ASDM で設定する方法を示しています。

  1. メッセージ リストを作成するには、Logging で Event Lists を選択して Add をクリックします。

    pix70-syslog-10.gif

    Event Lists
    ※ 画像をクリックすると、大きく表示されます。

  2. Name ボックスにメッセージ リストの名前を入力します。 この場合は、my_critical_messages が使用されています。 Event Class/Severity Filters の Add をクリックします。

    pix70-syslog-11.gif

    Add Even List
    ※ 画像をクリックすると、大きく表示されます。

  3. ドロップダウン メニューから Event Class と Severity を選択します。

    この場合は、それぞれ AllCritical が選択されています。 終了したら OK をクリックします。

    pix70-syslog-12.gif

    Add Class and Severity Filter

  4. さらにメッセージが必要な場合は、Message ID Filters の Add をクリックします。

    この場合は、ID が 611101 〜 611323 のメッセージを指定する必要があります。

    pix70-syslog-13.gif

    Add Even List
    ※ 画像をクリックすると、大きく表示されます。

  5. Message IDs ボックスに ID の範囲を入力し、OK をクリックします。

    pix70-syslog-14.gif

    Add Syslog Message ID Filter
    ※ 画像をクリックすると、大きく表示されます。

  6. Logging Filters メニューに戻り、宛先として Console を選択します。

  7. Use event list をクリックし、ドロップダウン メニューから my_critical_messages を選択します。 終了したら OK をクリックします。

    pix70-syslog-15.gif

    Edit Logging Filters
    ※ 画像をクリックすると、大きく表示されます。

  8. Logging Filters ウィンドウに戻ったら、Apply をクリックします。

    pix70-syslog-16.gif

    Logging Filters
    ※ 画像をクリックすると、大きく表示されます。

    以上で、「例 2」で示されているメッセージ リストを使用する ASDM の設定は終了です。

メッセージ クラスの使用

特定のクラスに関連するすべてのメッセージを指定した出力場所に送信するには、メッセージ クラスを使用します。 重大度しきい値を指定すると、出力場所に送信されるメッセージの数を制限できます。

logging class message_class destination | severity_level 

例 3

重大度が緊急(Emergencies)以上のすべての ca クラス メッセージをコンソールに送信するには、次のコマンドを入力します。

logging class ca console emergencies

ASDM の設定

次の例では、メッセージ リストを使用した「例 3」を ASDM で設定する方法を示しています。

  1. Logging Filters メニューを選択し、宛先として Console を選択します。

  2. Disable logging from all event classes をクリックします。

  3. Syslogs from Specific Event Classes で、追加する Event Class と Severity を選択します。

    この例では、それぞれ caEmergencies を使用しています。

  4. Add をクリックしてこれをメッセージ クラスに追加し、OK をクリックします。

    pix70-syslog-17.gif

    Edit Logging Filters
    ※ 画像をクリックすると、大きく表示されます。

  5. Logging Filters ウィンドウに戻ったら、Apply をクリックします。

    Logging Filters ウィンドウで示されるように、コンソールは ca クラスのメッセージで重大度が緊急(Emergencies)のものを収集するようになります。

    pix70-syslog-18.gif

    Logging Filters ウィンドウ
    ※ 画像をクリックすると、大きく表示されます。

    これで、ASDM による「例 3」の設定は終了です。

    ログ メッセージの重大度の一覧は、『重大度別メッセージ一覧』を参照してください。

ACL ACE ヒットのロギング

アクセス リストにヒットした際にログを取得するには、目的の各アクセス リスト要素(ACE)に log を追加します。 次の構文を使用します。

access-list id {deny | permit protocol} {source_addr source_mask}  
{destination_addr destination_mask} {operator port} {log}

例:

pixfirewall(config)#access-list 101 line 1 extended permit icmp any any log

log オプションを指定すると、適用される ACE に対する syslog メッセージ 106100 が生成されます。 syslog メッセージ 106100 は、PIX ファイアウォールを通過するすべての一致する許可または拒否 ACE フローに対して生成されます。 最初に一致したフローがキャッシュされます。 以降の一致では、show access-list コマンドで表示されるヒット カウントが増分されます。

ACE に対する Unable to connect to remote host:Connection timed out、および新しい 106100 メッセージは、そのフローに対するヒット カウントがゼロでない場合に、インターバル秒数で定義される間隔の最後で生成されます。 log キーワードが指定されていないアクセス リストのデフォルトのロギング動作では、パケットが拒否されるとメッセージ 106023 が生成され、パケットが許可されると syslog メッセージは生成されません。

生成される syslog メッセージ(106100)に対しては、オプションの syslog レベル(0 〜 7)を指定できます。 レベルを指定しないと、新しい ACE はデフォルトのレベル 6(情報提供)になります。 ACE がすでに存在する場合、既存のログ レベルは変更されません。 log disable オプションを指定すると、アクセス リストのロギングは完全に無効になり、メッセージ 106023 を含むすべての syslog メッセージが生成されません。 デフォルトの log オプションにより、アクセス リストのデフォルトのロギング動作が回復されます。

syslog メッセージ 106100 をコンソール出力で表示するには、次の手順を実行します。

  1. すべての出力場所への syslog メッセージの送信を有効にするには、logging enable コマンドを発行します。 ログを表示するには、ロギング出力場所を設定する必要があります。

  2. 特定の syslog メッセージの重大度を設定するには、logging message <message_number> level <severity_level> コマンドを発行します。

    この場合、メッセージ 106100 を有効にするには logging message 106100 コマンドを発行します。

  3. 発生した syslog メッセージをセキュリティ アプライアンス コンソール(tty)で表示できるようにするには、logging console message_list | severity_level コマンドを発行します。 severity_level を 1 〜 7 に設定するか、またはレベル名を使用します。 message_list 変数で送信されるメッセージを指定することもできます。

  4. デフォルトの設定から変更された syslog メッセージの一覧、つまり異なる重大度が割り当てられたメッセージおよび無効にされたメッセージの一覧を表示するには、show logging message コマンドを発行します。

    show logging message コマンドの出力例を次に示します。

    pixfirewall#show logging message 106100 
    syslog 106100: default-level informational (enabled)
    pixfirewall# %PIX-7-111009: User 'enable_15' executed cmd: show logging mess 106
    100
    

VPN トラフィック syslog メッセージのキャプチャ

LAN 間メッセージおよびリモート アクセス IPsec VPN メッセージのみの syslog をキャプチャするには、logging list コマンドを使用します。 次の例では、すべての VPN(IKE および IPsec)クラスの syslog メッセージでデバッグ レベル以上のものがキャプチャされます。

例:

hostname(config)#logging enable
hostname(config)#logging timestamp
hostname(config)#logging list my-list level debugging class vpn
hostname(config)#logging trap my-list
hostname(config)#logging host inside 192.168.1.1

注:logging list コマンドは、7.2(1) 以降でサポートされます。

確認

現在のところ、この設定を確認する手順はありません。

トラブルシューティング

syslog 304001 メッセージが受信されない場合は、ASA で inspect http コマンドが有効になっていることを確認してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 63884