Cisco ACE XML ゲートウェイ インストレーション アドミニストレーションガイド Software Version 5.1
ACE XML アプライアンスのリモート監視
ACE XML アプライアンスのリモート監視
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 597KB) | フィードバック

ACE XML アプライアンスのリモート監視

アプライアンスの監視

  • ACE XML Manager のイベント ログ ビューアは、ACE XML アプライアンスのアクティビティや状態についての広範な情報を提供し、主な監視およびトラブルシューティング ツールとして、ほとんどの用途に対応できます。
  • ただし、一部のイベントには、外部ツールによる監視が必要となる場合もあります。たとえば、ACE XML アプライアンスの状態やサービス トランザクションの障害に関する情報を SNMP 管理システムに表示すると便利です。
  • ACE XML Gateway には Syslog や SNMP ネットワーク管理ツールが統合されているので、これらの監視ツールからシステムの状態やアクティビティに関する情報を見ることができます。

SNMP と ACE XML アプライアンス

  • SNMP(簡易ネットワーク管理プロトコル)は、ネットワーク上のリソースを監視する技術として広く使用されています。ACE XML アプライアンスには、NMS(network management system; ネットワーク管理システム)に情報を提供できる SNMP エージェントが含まれています。バージョン 4 以降の ACE XML Gateway は SNMP バージョン 3、バージョン 2c、およびバージョン 1 をサポートしています。
  • ACE XML Gateway には、ベンダー固有の SNMP MIB があり、動作状態、作業負荷、ディスク利用率など、SNMP 監視用のプロパティを定義できます。Gateway は、アプライアンスの状態プロパティだけでなく、サービス エラーやトランザクションの成功など、サービス アクティビティに関する情報を SNMP システムに提供することもできます。
  • この章では、SNMP による内部システムの監視方法について説明します。SNMP によるサービス アクティビティの監視については、『 Cisco ACE XML User's Guide 』を参照してください。
  • SNMP 情報の取得には 2 つの形式があり、1 つはクエリー可能プロパティ、もう 1 つはトラップです。クエリー可能プロパティは SNMP クエリーに対して応答するシステム値です。トラップは、エージェントからのアラートで、管理システムに送信されます。
  • ACE XML アプライアンスでは、オープン ソース パッケージである NET-SNMP パッケージに基づいて SNMP が実装されています。SNMP についての基本的な知識を必要とする場合は、NET-SNMP Web サイト(http://net-snmp.sourceforge.net/)で該当事項を参照してください。
  • ACE XML アプライアンスに対する SNMP クエリーの取得には特別な設定は必要ありませんが、トラップや暗号化などの高度な SNMP 機能を使用するためには、SNMP 関連の値をいくつか設定する必要があります。ここでは、SNMP のサポート、トラップ、およびシステムに関連するその他の SNMP 設定オプションについて説明します。

SNMP デーモン

  • ACE XML アプライアンスでは、デフォルトで SNMP デーモンがイネーブルに設定され、実行されます。SNMP デーモンは、SNMP 用の一般的なポート番号であるポート 161 で SNMP 要求を待ち受け、応答します。NMS を通じたアプライアンスのクエリーやポーリングのセットアップには、特にアプライアンスを設定する必要はありません。

コミュニティ名

  • デフォルトでは、ACE XML システムはコミュニティ名 reactivity を使用します。トラップはコミュニティ名 public で送信されます。

ACE XML アプライアンス MIB

  • ACE XML アプライアンスの MIB は、アプライアンス ファイルシステム内の次の位置にあります。
  • /etc/reactivity/snmp/REACTIVITY-MIB.txt
  • MIB には、次の管理対象オブジェクトがあります。これらのオブジェクトは、platform、software、traps という 3 つのカテゴリに分類されています。
 

オブジェクト

説明

platform

ACE XML アプライアンスのハードウェア プラットフォームに関する情報

 

platformDescr

ACE XML システムが稼働しているプラットフォーム(オペレーティング システム、プロセッサなど)

 

storage

アプライアンスのハード ドライブに関する情報

 

 

diskUtilization

ストレージの使用容量(ハード ドライブの総容量に対する割合)。

一般的にディスク使用量は 90% を超えないようにしてください。超過すると、トラップが生成されます。

バックアップ ログ ファイルをアプライアンスから移動すると、ディスク利用率を改善できます。そのために、バックアップ手順を変更して、ログ ファイルの削除頻度を大きくしなければならない場合もあります。

 

 

diskStatus

ハード ドライブの現在の状態(値は、ok(1)、failure(2)、または not Available(4))。

diskStatus の値が failure になった場合は、シスコのサポート担当者に連絡してください。

 

load

負荷平均は、CPU に適用される作業負荷を表します。この値は、おおまかに言えば、一定の計測期間におけるアクティブ プロセス数の平均値です。この値には、入出力待機中のプロセスが含まれます。負荷値のいずれかが 80 に達すると、このプロパティのトラップが送信されます。

値が高い(70 または 80)場合は、メッセージ トラフィックの送信過多のため、Gateway による処理の信頼性が低下している可能性があります。この問題を解決するためには、ロード バランスを再設定し、より多くの Gateway インスタンスにトラフィックを分散させるか、過負荷状態のクラスタに Gateway インスタンスを追加する必要があります。

 

 

loadAverage1Min

SNMP 要求前 1 分間におけるスケジュール キュー内の平均プロセス数

 

 

loadAverage5Min

SNMP 要求前 5 分間におけるスケジュール キュー内の平均プロセス数

 

 

loadAverage15Min

SNMP 要求前 15 分間におけるスケジュール キュー内の平均プロセス数

 

temperature

複数の内部センサーによるハードウェア アプライアンスの温度情報

 

 

temperatureStatus

ハードウェア内部の温度センサーの総合的な状態。システムで使用される温度センサーは、モデルによって異なります。この状態値は、ご使用のプラットフォームがサポートしているデバイスまたはカードの温度に関する潜在的な問題を表します。

値は、ok (1)、warning (2)、critical (3)、または not available (4) です。

いずれかのセンサーが正常許容範囲を超える値を検出すると、値は warning または critical になります。このような場合は、デバイスのエアーフローが妨げられていないかどうか、デバイスが設置されている部屋の温度が高すぎないかどうかを確認してください。問題を解決できない場合は、シスコのサポート担当者に連絡してください。

 

 

temperatureStatus Message

報告された障害すべてのエラー メッセージ

 

devices

ACE XML アプライアンスに搭載されているサードパーティ製デバイス

 

 

cryptoAccelerator

ACE XML アプライアンスの暗号化アクセラレータ デバイスに関する情報。

:Cavium Nitrox XL Accelerator で、このカテゴリのオブジェクトすべてを使用できるとは限りません。

 

 

 

cryptoInstalled

システムにサードパーティ製の暗号化アクセラレータがインストールされているかどうか。

 

 

 

cryptoVendor

暗号化アクセラレータ カードのサードパーティ ベンダー

 

 

 

cryptoVersion

暗号化アクセラレータ カードのバージョン

 

 

 

cryptoSerialNumber

暗号化アクセラレータ カードのシリアル番号。Cavium Nitrox XL Accelerator では、この値は使用できません。

 

 

 

cryptoStatus

暗号化アクセラレータ カードの状態。値は、ok (1)、warning (2)、failure (3)、または not Available (4) です。この値が warning または failure の場合は、シスコのサポート担当者に連絡してください。

 

 

 

statusMessage

報告された障害すべてのエラー メッセージ

 

 

xmlAccelerator

ACE XML アプライアンスの XML アクセラレータ デバイスに関する情報。

:廃止予定のオブジェクトです。このオブジェクトが対象とする XML アクセラレータ ハードウェア アドオン カードは、現在、ACE XML Gateway アプライアンスには使用できません。

 

 

 

xmlAccInstalled

XML アクセラレータ カードが搭載されているかどうか。値は、yes (1)、またはno (2) です。

:廃止予定のオブジェクトです。このオブジェクトが対象とする XML アクセラレータ ハードウェア アドオン カードは、現在、ACE XML Gateway アプライアンスには使用できません。

 

 

 

xmlAccVendor

システムに XML アクセラレータ カードが搭載されている場合、そのカードのベンダー。

:廃止予定のオブジェクトです。このオブジェクトが対象とする XML アクセラレータ ハードウェア アドオン カードは、現在、ACE XML Gateway アプライアンスには使用できません。

 

 

 

xmlAccVersion

XML アクセラレータ カードのバージョン

:廃止予定のオブジェクトです。このオブジェクトが対象とする XML アクセラレータ ハードウェア アドオン カードは、現在、ACE XML Gateway アプライアンスには使用できません。

 

 

 

xmlAccSerialNumber

XML アクセラレータ カードのシリアル番号。

:廃止予定のオブジェクトです。このオブジェクトが対象とする XML アクセラレータ ハードウェア アドオン カードは、現在、ACE XML Gateway アプライアンスには使用できません。

 

 

 

xmlAccStatus

XML アクセラレータ カードの状態。値は、ok (1)、warning (2)、failure (3)、または not Available (4) です。

この値が warning または failure の場合は、シスコのサポート担当者に連絡してください。

:廃止予定のオブジェクトです。このオブジェクトが対象とする XML アクセラレータ ハードウェア アドオン カードは、現在、ACE XML Gateway アプライアンスには使用できません。

 

 

 

xmlAccStatus Message

XML アクセラレータ カードのステータス メッセージ。

:廃止予定のオブジェクトです。このオブジェクトが対象とする XML アクセラレータ ハードウェア アドオン カードは、現在、ACE XML Gateway アプライアンスには使用できません。

software

ACE XML アプライアンスに現在インストールされているソフトウェアに関する情報

 

buildNumber

廃止予定。現在は、release identifier が使用されています。

 

versionString

ACE XML Gateway ソフトウェアのシステム バージョン

 

releaseIdentifier

現在インストールされているソフトウェアおよびファームウェアに関連付けられているリリース識別ストリング。これは、コンソールの System Management ページ上部に表示される System Version ID と同じです。シスコのサポート担当者が問題を診断する際に、この情報が必要になる場合もあります。

 

status

システム内の各種プロセッサの状態

 

 

coreProcess

Gateway システムを制御するメイン プロセスの状態。値は、up(1)(Gateway プロセスが実行中)、または down(2)(停止中)です。この値が表しているのは Manager プロセスの状態ではありません。

このオブジェクトが down の場合は、シスコのサポート担当者に連絡してください。

 

 

ioProcesses

Gateway が要求と応答の処理に使用する入出力プロセスの状態。この状態は、すべての Gateway の入出力プロセスが起動されると up(1) になります。

いずれかの入出力プロセスが停止していると、値は
somedown(2) になります。downProcesses エレメントを調べることによって、停止しているプロセスを特定できます。Gateway の入出力プロセスがすべて停止している場合、このオブジェクトは alldown(3) になります。この値が表しているのは、Manager のプロセスの状態ではありません。

入出力プロセスの停止と開始は、ACE XML Manager の Web コンソールにある System Management ページで実行できます。

入出力プロセスに計画外の停止が発生した場合は、シスコのサポート担当者に連絡してください。

 

 

downProcesses

停止している Gateway の入出力プロセスの名前。このノードが空白の場合は、すべての Gateway の入出力プロセスが起動しています。この値が表しているのは、Manager のプロセスの状態ではありません。

 

 

processing

メッセージ処理に関連した情報

 

 

 

notificationTrap
Message

サービス処理に関して生成された SNMP トラップによって配信されたメッセージ

traps

注意が必要な状態を通知するために Gateway が使用する SNMP トラップ

 

diskUsageNotification

Gateway は最小許容量以下のディスク容量を使用することはできません。ACE XML アプライアンスは、ディスク使用率が 90% を超えると、このトラップを送信します。

この通信が送信された場合は、迅速に対処することを推奨します。ディスクがいっぱいになって通常の動作が実行不能になると、ACE XML Gateway がシャットダウンし、トラフィック フローは停止します。停止までの正確な時間は、Gateway が記録するロギング データの量や、ディスク アレイ全体のサイズ、攻撃によって通常よりも高速でリソースが消費されているのかどうかによって異なります。

この状態からの回復については、 ディスク容量が不足している場合の復元を参照してください。

バックアップ ログ ファイルをアプライアンスから移動すると、ディスク利用率を改善できます。そのために、バックアップ手順を変更して、ログ ファイルの削除頻度を大きくしなければならない場合もあります。

 

diskFailureNotification

ACE XML アプライアンス上のディスクに障害が発生しています。このトラップが発生した場合は、シスコのサポート担当者に連絡してください。

 

cpuOverloadNotification

1 つ以上の CPU 負荷平均値が、ACE XML アプライアンスの動作の信頼性を保証できる最大値を超えています。監視対象の CPU 負荷平均値のいずれかが 80 以上になると、このトラップが送信されます。

ACE XML アプライアンスは、CPU が過負荷状態になると、エラーを記録し、シャットダウンします。Gateway として設定されている場合、アプライアンスは再起動を試行します。

この通知は、ACE XML Gateway が送信している正規のメッセージ トラフィックが多すぎるために、処理の信頼性が低下している場合にも生成される可能性があります。この問題を解決するためには、ロード バランスを再設定して、トラフィックをより多くの Gateway インスタンスに分散させるか、過負荷状態のクラスタに Gateway インスタンスを追加する必要があります。

 

temperatureAlert Notification

CPU などの内部デバイスの温度が許容範囲を超えています。この通知が送信された場合は、アプライアンスの状態を実際に調べて、迅速に対処することが重要です。デバイスのエアーフローが妨げられていないかどうか、デバイスが設置されている部屋の温度が高すぎないかどうかを確認してください。問題を解決できない場合は、シスコのサポート担当者に連絡してください。

 

coreDownNotification

ACE XML Gateway または Manager のコア プロセスが停止しています。コア プロセスが停止すると、必ずこのトラップが送信されます(Web ベース インターフェイスまたはシェル インターフェイスで管理者が開始した Manager または Gateway の計画的なシャットダウンと再起動も含まれます)。

Gateway のコア プロセスに計画外のシャットダウンが生じると、Gateway はこのプロセスを自動的に再起動します。たとえ再起動に成功しても、コア プロセスの計画外のシャットダウンは重大な問題です。一方、Manager は、コア プロセスに計画外のシャットダウンが生じても、コア プロセスの再起動を試行しません。ACE XML Gateway または Manager に原因不明のコア プロセス シャットダウンが生じた場合は、シスコのサポート担当者に支援を要請してください。

 

ioProcessesDown Notification

1 つ以上の入出力プロセスが停止しています。停止しているプロセスのリストは、downProcesses エレメントで調べることができます。

停止した入出力プロセスの再起動は、ACE XML Manager コンソール の System Administration ページで実行できます。入出力プロセスに計画外の停止が発生した場合は、シスコのサポート担当者に連絡してください。

 

xmlAcceleratorStatus Notification

この通知は、XML 処理アクセラレータ モジュールが搭載されていて、その機能が良好でない場合に送信されます。

このトラップの送信原因となる問題は、動作時の過熱状態からモジュールの完全な故障まで、さまざまです。この問題を診断する際には、まず、他のトラップで障害状態を確認するとともに、Gateway のパフォーマンス統計を調べます。

問題を切り分けて解決する必要がある場合は、シスコのサポート担当者に連絡してください。必要に応じて、XML アクセラレータをディセーブルにし、問題が解決されるまで、アクセラレータなしで Gateway を稼働させることもできます。

 

cryptoAcceleratorStatus Notification

搭載されている暗号化アクセラレータ モジュールに機能不良が生じています。このトラップの送信原因となる問題は、動作時の過熱状態からモジュールの完全な故障まで、さまざまです。暗号化アクセラレータが故障すると、Gateway は、暗号化モジュールが管理するキーを必要とする動作の試行時や、暗号化モジュールが加速する SSL 接続時にエラーを記録します。このような場合は、シスコのサポート担当者に連絡してください。

 

softwareNotificationTrap

この通知は、ACE XML Gateway のメッセージ トラフィック アクティビティに関して生成されます。

このトラップの適切な解決方法は、発信元の状態によってさまざまです。ポリシーのサービス定義に、あらゆるアクティビティに関してトラップを送信するよう設定されている場合もあります。その場合、正常な要求および応答処理でも、このトラップが送信されます。ただし、通常このトラップは、サーバの使用不能状態やクライアント認証のエラーなど、サービス エラーの通知に役立ちます。

SNMP の設定

  • ここでは、ACE XML アプライアンスの SNMP 動作の設定方法を説明します。ACE XML Manager と Gateway はどちらも SNMP 情報を生成します。したがって、ここで説明する手順は、配置した各 Gateway および Manager に対して実行する必要があります。
  • root ユーザが SNMP 設定値を操作する際には、アプライアンス設定ページから、 Main Menu Advanced Options SNMP Configuration の順に進みます。
  • ここから、SNMP アクセスのセキュリティ設定値、SNMP バージョン 3 アクセスのユーザ名/パスワード、トラップの宛先を指定できます。以降のセクションでは、設定画面の使用方法について詳しく説明します。

セキュリティの設定

  • デフォルトでは、Gateway が SNMP アクセスに要求するセキュリティは、共有秘密として機能するコミュニティ ストリングだけです。追加のセキュリティとして、SNMP アクセスへのパスワード要求の適用や SNMP 関連トラフィックの暗号化を選択できます。
  • ユーザ名/パスワード アクセスは、SNMP バージョン 3 の機能です。そのため、この機能を使用するためには、バージョン 3 SNMP ユーザとして機能できる NMS を使用する必要があります。
  • セキュリティ値を設定するには、シェル インターフェイスから、 Main Menu Advanced Options SNMP Configuration Security の順に進みます。
  • SNMP セキュリティのオプションは次のとおりです。
  • No Authentication ― ACE XML アプライアンスは SNMP 要求の認証を実行しません。これは、デフォルトの設定です。適切なコミュニティ ストリングが与えられた場合、未認証のバージョン 1 およびバージョン 2c 形式で要求が許可されます。バージョン 3 ユーザが設定されている場合(SNMP バージョン 3 のユーザ設定を参照)は、適切なユーザ名とパスワードを伴うバージョン 3 スタイルの要求も許可されますが、必須ではありません。
  • Authentication Only ― 正しいユーザ名とパスワードを提供した要求だけが許可されます。これらの値の設定については、SNMP バージョン 3 のユーザ設定を参照してください。このタイプの要求の例については、認証を必要とする要求の例(バージョン 3)を参照してください。
  • Authentication and Privacy (Encryption) ― SNMP 要求の認証と暗号化が実行されます。要求は、あらかじめ設定されたユーザ名とパスワードの組み合わせに加え、バージョン 3 ユーザのパス フレーズを提供する必要があります。このタイプの要求の例については、認証とプライバシを必要とする要求の例(バージョン 3)を参照してください。
  • Security メニューから、目的のオプションを選択します。バージョン 3 認証アクセスの場合は、 Authentication Only または Authentication and Privacy を選択してください。
  • 認証をイネーブルにした場合は、ユーザ名とパスワードも設定する必要があります。また、暗号化をイネーブルにした場合は、システム アクセス用のパス フレーズを設定する必要があります。これらについては、次のセクションを参照してください。

SNMP バージョン 3 のユーザ設定

  • バージョン 3 ユーザ認証を使用する場合(イネーブルに設定する手順はセキュリティの設定を参照)は、SNMP 情報の要求を認証する際にユーザ名とパスワードが必要です。新たに導入されたデフォルト状態のシステムには SNMP ユーザ用のクレデンシャルは設定されていません。
  • SNMP 認証用のユーザ設定は、次の手順で行います。
  • アプライアンス シェルの SNMP Configuration 画面で、 Version 3 User 項目を選択します。
  • Enter user name 画面に、SNMP 情報へのアクセスを許可するユーザのユーザ名を入力します。
  • ユーザ認証用のパスワードを入力します。
  • セキュリティ上の理由から、入力中、パスワードとパス フレーズは画面に表示されませんが、これらは次のいくつかの手順で必要となります。入力には細心の注意を払ってください。パスワードとパス フレーズを2回ずつ正確に入力しないと、再入力が要求されます。
  • 確認のため、パスワードを再入力します。
  • Please enter the new SNMP V3 User pass phrase 画面に、認証アクセス用のパス フレーズを入力します。
  • このパス フレーズは、Gateway と SNMP ユーザの間の通信のプライバシ(暗号化)保証に使用される共有秘密です。認証だけを使用する場合、パス フレーズを設定する必要はありません。
  • セキュリティ上の理由から、入力するパス フレーズは画面に表示されません。
  • 再入力を求められたら、もう一度パス フレーズを入力します。
  • User configuration has been changed 画面で、 OK をクリックするか、 Enter キーを押します。
  • ユーザ設定が完了し、 SNMP Configuration 画面が表示されます。

ACE XML アプライアンスのトラップの設定

  • Gateway によるトラップの生成をイネーブルにするには、宛先の NMS を IP アドレスまたはホスト名で指定する必要があります。この手順は、システム内のアプライアンスごとに実行しなければなりません。
  • トラップの宛先を設定するには、次の手順を実行します。
  • アプライアンス シェルの SNMP Configuration メニューから、 Traps 項目を選択します。
  • 宛先システムのホスト名または IP アドレスを入力します。設定できる宛先システムは 1 つだけです。
  • Enter community string to send traps with 画面が表示されます。
  • トラップに使用するコミュニティ ストリングを入力します。デフォルトのトラップ コミュニティ ストリングは public です。ほとんどの管理システムはこのコミュニティ ストリングをデフォルトで許可するように設定されています。必要であれば、別のコミュニティ ストリングを入力し、OK をクリックします。
  • その NMS が受け入れ可能な SNMP バージョンに応じて、 1 または 2 を入力します。
  • SNMP バージョン 1 NMS は、クエリー時にのみフィードバックを送信します。
  • SNMP バージョン 2 NMS は、連続的にフィードバックを送信します。
  • SNMP Traps are reconfigured 画面が表示されます。
  • OK をクリックするか、 Enter キーを押します。
  • SNMP Configuration 画面が表示されます。
  • ここで、別の SNMP 設定オプションを選択できます。あるいは、終了して Advanced Options 画面に戻ることもできます。
  • ACE XML アプライアンスが生成するトラップには、次の Object Identifier(OID; オブジェクト ID)が適用されます。
  • snmp.trap.oid [=.1.3.6.1.4.1.9.9.147.2.0.7] ― Gateway が送信するトラップの OID
  • snmp.trap.message.oid [=.1.3.6.1.4.1.9.9.147.1.1.1.2.1.9.1] ― Gateway が送信する SNMP トラップ メッセージに属すデータであることを示す OID

SNMP 監視の例

  • MIB から取得できる情報を表示するには、snmpwalk コマンドを使用します。snmpwalk コマンドは、SNMP GETNEXT 要求を使用して、MIB 内の各オブジェクトに対するクエリーを実行し、クエリー対象のシステムからそれぞれの値を戻します。これは、アプライアンス上の SNMP デーモンの動作状態を調べる最初のテストとして利用できます。

要求の例(バージョン 1 または 2)

  • SNMP バージョン 1 では、次の形式でコマンドが実行されます。
  • snmpwalk -v 1 -c reactivity -m /path/to/REACTIVITY-MIB.txt host_name_or_ip REACTIVITY-MIB::reactivity
  • 次に例を示します。
  • [root@mini root]# snmpwalk -v 1 -c reactivity -m /etc/reactivity/snmp/REACTIVITY-MIB.txt localhost REACTIVITY-MIB::reactivity
  • ツリー全体ではなく、MIB の特定オブジェクトの値を取得するには、snmpget コマンドを使用して、次のように管理対象オブジェクトの名前を渡します。
  • snmpget -v 1 -c reactivity -m /etc/reactivity/snmp/REACTIVITY-MIB.txt sf4200.eng.example.com REACTIVITY-MIB::diskUtilization
  • このクエリーでは、次の形式で値が戻されます。
  • REACTIVITY-MIB::diskUtilization.0 = INTEGER: 22

認証を必要とする要求の例(バージョン 3)

  • 認証を要するバージョン 3 SNMP アクセスでは、snmpwalk の呼び出し時に、コミュニティ ストリングではなく、ユーザ名とパスワードの組み合わせを入力する必要があります。そのためには、事前に SNMP の設定として、使用するユーザ名およびパスワードを指定しておかなければなりません(SNMP バージョン 3 のユーザ設定を参照)。
  • 設定が完了していれば、次のような方法でシステムのクエリーを実行できます。
  • snmpwalk -v 3 -u v3user -l authNoPriv -a MD5 -A swordfish mini.eng.example.com .1.3.6.1.4.1.14709
  • このコマンド例では、ユーザ名は v3user、パスワードは swordfish、認証プロトコルは MD5 です。MIB 名によるクエリーではなく、MIB の共通 OID である 1.3.6.1.4.1.14709 が要求に使用されている点にも注意してください。同様に、識別名ではなく OID 値であらゆる MIB オブジェクトのクエリーが可能です。

認証とプライバシを必要とする要求の例(バージョン 3)

  • 認証とプライバシがイネーブルに設定されている場合は、このコマンドの実行時に、SNMP の設定で指定したパス フレーズも入力する必要があります。次のように入力します。
  • snmpwalk -v 3 -u v3user -l authPriv -a MD5 -A swordfish -x DES -X swordfish mini.eng.example.com .1.3.6.1.4.1.14709
  • このコマンドでは、パス フレーズ swordfish が -X スイッチとともに渡されています。

出力の例

  • snmpwalk コマンドの出力はシステムによって異なりますが、一般的には次のような出力が表示されます。
 
snmpwalk の出力の例

REACTIVITY-MIB::platformDescr.0 = STRING: Linux mini.eng.example.com 2.4.21-47.ELsmp #1 SMP Wed Jul 5
20:38:41 EDT 2006 i686
REACTIVITY-MIB::diskUtilization.0 = INTEGER: 9
REACTIVITY-MIB::diskStatus.0 = INTEGER: ok(1)
REACTIVITY-MIB::loadAverage1Min.0 = STRING: 0.16
REACTIVITY-MIB::loadAverage5Min.0 = STRING: 0.05
REACTIVITY-MIB::loadAverage15Min.0 = STRING: 0.01
REACTIVITY-MIB::temperatureStatus.0 = INTEGER: ok(1)
REACTIVITY-MIB::temperatureStatusMessage.0 = STRING:
REACTIVITY-MIB::cryptoInstalled.0 = INTEGER: yes(1)
REACTIVITY-MIB::cryptoVendor.0 = STRING: ncipher
REACTIVITY-MIB::cryptoVersion.0 = STRING: version string
2.23.2cam4, 2.18.13cam1 built on Jun 28 2004 15:29:08
REACTIVITY-MIB::cryptoSerialNumber.0 = STRING: 2778-2DAF-B7B9
REACTIVITY-MIB::cryptoStatus.0 = INTEGER: ok(1)
REACTIVITY-MIB::statusMessage.0 = STRING: ok
REACTIVITY-MIB::xmlAccInstalled.0 = INTEGER: yes(1)
REACTIVITY-MIB::xmlAccVendor.0 = STRING: Tarari
REACTIVITY-MIB::xmlAccVersion.0 = STRING: Driver=3.1.2 CPP=00000003
CPC=0004023d
REACTIVITY-MIB::xmlAccSerialNumber.0 = STRING: 04430008
REACTIVITY-MIB::xmlAccStatus.0 = INTEGER: ok(1)
REACTIVITY-MIB::xmlAccStatusMessage.0 = STRING: ok
REACTIVITY-MIB::buildNumber.0 = STRING: Release_Build832 832
REACTIVITY-MIB::versionString.0 = STRING: 5.0.1
REACTIVITY-MIB::releaseIdentifier.0 = STRING: 5.0.1-2007-01-26T20
REACTIVITY-MIB::coreProcess.0 = INTEGER: up(1)
REACTIVITY-MIB::ioProcesses.0 = INTEGER: somedown(2)
REACTIVITY-MIB::downProcesses.0 = STRING: reactor

SNMP トラップの例

  • SNMP トラップは、管理対象のエージョント(この場合は Gateway)が開始するアラートで、注意が必要な状態またはイベントの受信を監視システムに通知するために送信されます。
  • システムからは次の 2 種類のトラップを送信できます。
  • サービス アクティビティ関連のトラップ ― サービス アクティビティに関する情報を提供します(サーバ使用不能エラー、認証エラーのほか、Gateway を介した正常なサービス トランザクションも含めることができます)。
  • アプライアンス状態のトラップ ― 配置されているアプライアンスの機械レベルの状態に関する情報を提供します(CPU 利用率または温度のアラートなど)。
  • SNMP の設定には、アプライアンス設定画面と Manager の Web コンソールという 2 つの場所が用意されています。サービス関連のトラップは Manager の Web コンソールで設定します。サービス トラップの使用方法に関する詳細は、『 Cisco ACE XML Gateway User's Guide 』を参照してください。
  • デフォルトでは、コミュニティ ストリング public がトラップに使用されます。
  • 無料で取得できる NET-SNMP パッケージには、トラップ リスナー、snmptrapd が含まれています。アプライアンスのトラップ生成テストには、このトラップ リスナーを使用できます。
  • アプライアンスからのトラップのリストは、次の例のように表示されます。
 
トラップ出力の例

Feb 8 22:36:51 mini snmptrapd[29530]: localhost.localdomain [127.0.0.1]: Trap SNMPv2-MIB::sysUpTime.0 = Timeticks: (17402186) 2 days, 0:20:21.86, SNMPv2-MIB::snmpTrapOID.0 = OID: REACTIVITY-MIB::softwareNotificationTrap, REACTIVITY-MIB::notificationTrapMessage = STRING: Accepted: retrieveQuote (9df761d2b611a379) response

Feb 8 22:36:56 mini snmptrapd[29530]: localhost.localdomain [127.0.0.1]: Trap SNMPv2-MIB::sysUpTime.0 = Timeticks: (17402678) 2 days, 0:20:26.78, SNMPv2-MIB::snmpTrapOID.0 = OID: REACTIVITY-MIB::softwareNotificationTrap, REACTIVITY-MIB::notificationTrapMessage = STRING: Denied: retrieveQuote (9df761d2b611a379): -1 Validation Error Actor: internal-firewall The message was found to be invalid.

Feb 9 00:11:01 target203 snmptrapd[2223]: 10.50.1.203: Enterprise Specific Trap (60) Uptime: 5:24:33.98, REACTIVITY-MIB::ioProcesses = INTEGER: somedown(2), REACTIVITY-MIB::downProcesses = STRING: http-server reactor

  • この例には、正常なサービス トランザクションの報告、サービス エラー(無効な要求)、停止プロセスという 3 つのトラップが表示されています。図12-1 にトラップの各部を示します。

図12-1 トラップの形式

 

MIB 結果の適時性

  • ACE XML アプライアンスへの SNMP 要求で返される情報は、リアルタイムの結果ではなくキャッシュ情報です。ACE XML アプライアンスは、このキャッシュ情報を 10 分ごとにアップデートします。したがって、SNMP 要求の結果に、アプライアンスの最新の情報が反映されていない場合もあります。
  • たとえば、Gateway プロセスをシャットダウンし、すぐに software.status.coreProcess オブジェクトの値を取得した場合、予想どおり down(2) の結果が戻るとは限りません。その後、このプロセスを再起動し、その直後にこのトラップ値を取得した場合も、up(1) の結果が戻るとは限りません。
  • 最新の状態情報を取得するには、Web コンソールまたはシェル インターフェイスを使用し、ACE XML アプライアンスにアクセスします。最新情報の必要性が高くなければ、10 分後に SNMP 要求を再試行します。多くの場合、その時までに、アプライアンスが報告するキャッシュ結果にマシンの最新の状態が反映されます。

Syslog によるシステムの監視

  • ACE XML システムは、内部で syslog を使用し、ACE XML Gateway が生成したロギング メッセージを収集します。ACE XML Gateway は、トラフィック処理およびその他のイベントの情報を、syslog 経由で ACE XML Manager に送信します。
  • ACE XML Gateway システムが使用する syslog は UDP ベースで実装されています。UDP は、ベストエフォート型伝送プロトコルなので、メッセージの伝送は保証されません。したがって、高負荷のネットワークや、その他の特別なネットワーク状態の場合には、Gateway と Manager の間でイベント損失が発生する可能性があります。
  • ACE XML Gateway は、Manager だけでなく、その他の宛先にも Syslog イベントを送信するように設定できます。宛先ホストは、Syslog サーバまたは Syslog デーモンが稼働しているホストでなければなりません。ACE XML Gateway からの Syslog メッセージは UDP を通じて送信されます。そのため、Syslog の宛先と Gateway の間にあるファイアウォールは、Gateway からの UDP トラフィックを許可するように設定する必要があります。
  • Gateway によって生成され、Syslog の宛先に転送する必要がある Syslog 情報は、/var/log/reactivity/user ファイルに保存されます。このファイルには、通常、Gateway イベント用のイベント ログ ビューアに表示される情報が保存されています。Gateway には、Syslog 形式のログ ファイルがもう 1 つあるので注意してください(internal ファイル)。ただし、このファイルは内部デバッグのみに使用されるため、Syslog 転送への使用はサポートされていません。

Syslog の宛先の追加設定

  • 追加の Syslog ホストを設定するには、各 XML Gateway で次の設定ファイルを修正します。
    /etc/syslog.conf
  • /etc/syslog.conf ファイルの設定値を修正する場合は、事前にシスコの ACE XML Gateway のサポート担当者に相談してください。
  • このファイルの最後には、次の 3 行があります。

# uncomment this line if you would like /
XML Firewall event logs to be

# additionally sent to a remote logging server

#local0.* @myloghost.mydomain.com

  • リモート Syslog サーバを設定するには、最後の行を非コメント化し、プレースホルダの宛先を、実際に宛先とする Syslog ホストのロケーション(IP アドレスまたはホスト名)に置き換えます。
  • このファイルのその他の Syslog 設定を変更しないように注意してください。デフォルトでは、 /etc/syslog.conf ファイル内の各ロギング エントリは '-' の文字で開始されます。この文字は、各メッセージを記録したあとでログ ファイルを同期化しないように syslog に伝えます。この設定オプションは重要です。'-' 文字を削除すると、 syslog は各メッセージを記録したあとで、対応するログ ファイルの同期化を試行します。負荷の高い Gateway で、このように頻繁にログ ファイルの同期化が試行された場合、イベント ログ情報が失われる可能性があります。

ACE XML Gateway の Syslog 形式

  • 通常、宛先 Syslog システムはなんらかの方法で、ACE XML Gateway から受信したログ イベントを処理する必要があります。
  • Gateway が生成した Syslog イベントの例を示します。

Sep 25 20:48:17 rg450 approuter[12199]: 1159217297224 [core /network/input 0A0064C6014C5B378A02317CB9C6792B D] Successfully received message

  • ログ エントリの内容は、次のようにフィールド別に見ていくと簡単に理解できます。
  • Sep 25 20:48:17
  • 最初のセグメントは Syslog 形式のタイムスタンプです。秒まで含まれていますが、年と時間帯の情報は含まれていません。Gateway は常に時間帯としてグリニッジ標準時(GMT)を使用します。
  • rg450
  • このイベントを生成した特定のGateway アプライアンスのホスト名
  • approuter[12199]
  • このセグメントは、このイベントを生成したプロセスの名前と、その UNIX プロセス ID です。外部システムの場合は通常、必要とされません。
  • 1159217297224
  • Gateway 自体が生成したタイムスタンプです。これは、Unix 時間の起点である 1970 年 1 月 1 日 0 時 0 分(GMT)からのミリ秒数を表しています。可能であれば、Syslog が生成したタイムスタンプではなく、この時間値を使用してください。この時間値の方が正確であり、年や時間帯を解釈する必要もありません。
  • [core /network/input 0A0064C6014C5B378A02317CB9C6792B D]
  • このセグメントには、Gateway が生成したイベントについての情報が含まれています。さらに細かく分けてみていきます。
core
  • このイベントを生成した Gateway 内のコンポーネントの名前です。
/network/input
  • イベント カテゴリです。このイベントの生成時に、メッセージ処理のどの部分が実行されていたのかを示します。
0A0064C6014C5B378A02317CB9C6792B
  • Gateway が処理している SOAP メッセージを識別する ID です。同じ SOAP メッセージの Syslog イベントが多数存在する場合もあるので、同じ ID を持つイベントも多数存在する可能性があります。この ID は、すべての Gateway 全体で一意の ID です。この ID は、実際にメッセージのテーブルでプライマリ キーとして使用できます。常に 6 桁のストリングです。システムの起動のようにメッセージ処理以外を示す Syslog イベントの場合は、これにより短いテキスト ストリングがこのフィールドに表示される場合もあります。また、同じ SOAP トランザクションに含まれる要求と応答の ID が異なる点にも注意してください。
D
  • このイベントのレベルを示します。使用されるレベルを、プライオリティの低いものから高いものへ順に示します。
  • D:デバッグ
  • I:Info
  • N:通知
  • W:警告
  • E:エラー
  • A:アラート
  • 受信成功メッセージ
  • 何が発生したかのかを示すテキストの記述です。このフィールドには決まった形式はありません。ログ イベントのタイプによってテキストは異なります。
  • 例として、内部メッセージ交換を示すデバッグ レベルのイベントを示します。監視システムでは多くの場合、トラフィック アクティビティに関する情報が重要視されます。Gateway によって正常に処理されたメッセージの Syslog イベントを示します。

'Password Validation', access OK for 'retrieveQuote': HTTP POST SOAP request (SOAPAction: "http://oakinsurance.com/order/retrieveQuote") for /service/order from 10.0.101.198

  • この例の中で、次の情報に注目してください。
  • Password Validation
  • Gateway のポリシーで、メッセージの進行を許可する認証ルールの名前です。
  • retrieveQuote
  • Gateway ポリシーで、メッセージの送信先となる特定の SOAP 呼び出しの名前です。
  • 10.0.101.198
  • SOAP メッセージの送信元システムの IP アドレスです。
  • 正常なメッセージ トランザクションで作成されるのは、多くとも、この例に示されているような通知レベルのイベントが 1 つだけです。Gateway がメッセージを拒否した場合、あるいはメッセージに何か問題を発見した場合は、警告レベルのイベントが 1 つ以上記録される可能性があります。警告レベルのイベントは、Gateway の動作上の問題ではなく、メッセージの問題を示す点に注意してください。Gateway 自体に問題が発生した場合には、エラーまたはアラート レベルのイベントが記録されます。