Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Firewall Services Module システム メッセージ ガイド Version 2.3
概要
概要
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

概要

変更されたメッセージ

リリース2.3で変更されたメッセージ

loggingコマンドの概要

ロギングのイネーブル化

ロギング出力のテスト

Syslog出力先の設定

バッファへのSyslogメッセージの送信

TelnetセッションへのSyslogメッセージの送信

SyslogサーバへのSyslogメッセージの送信

SNMP管理ステーションへのSyslogメッセージの送信

SNMP要求の受信

SNMPトラップの送信

特定のSyslogメッセージのディセーブル/イネーブル化

特定のSyslogメッセージのディセーブル化

ディセーブルにしたSyslogメッセージのリスト表示

ディセーブルにした特定のSyslogメッセージの再イネーブル化

ディセーブルにしたすべてのSyslogメッセージの再イネーブル化

ログ メッセージの解釈

ログ メッセージの形式

重大度

変数

その他のリモート管理ツールおよびモニタリング ツール

Cisco PIX Device Manager

Cisco Secure Policy Manager

SNMPトラップ

Telnet

概要

この章では、Firewall Services Module(FWSM)ソフトウェアの最新バージョンで新しく追加されたメッセージおよび削除されたメッセージを紹介します。また、システム メッセージの表示方法と管理方法、メッセージの解釈方法、および利用可能なその他のリモート管理ツールおよびモニタリング ツールについても説明します。


) システム メッセージはエラー状況を示すものだけではありません。通常のイベントを報告するメッセージもあります。


この章の内容は、次のとおりです。

変更されたメッセージ(p.1-2)

loggingコマンドの概要(p.1-2)

ロギングのイネーブル化(p.1-5)

Syslog出力先の設定(p.1-6)

特定のSyslogメッセージのディセーブル/イネーブル化(p.1-10)

ログ メッセージの解釈(p.1-11)

その他のリモート管理ツールおよびモニタリング ツール(p.1-15)

変更されたメッセージ

ここでは、このソフトウェア リリースで変更されたメッセージを説明します。

リリース2.3で変更されたメッセージ

リリース2.3で(リリース2.2から)番号が変更されたメッセージは、次のとおりです。

%FWSM-6-109024: Authorization denied from source_IP_Address/src_port to dest_IP_Address/dest_port (not authenticated) on interface interface_name using protocol(リリース2.2では%FWSM-6-109009)

%FWSM-6-109025: Authorization denied (acl=acl_ID) for user 'user' from source_address/source_port to dest_address/dest_port on interface interface_name using protocol(リリース2.2では%FWSM-6-109015)

loggingコマンドの概要

表 1-1 に、ログの設定と管理に使用できるFWSMのloggingコマンドを示します。これらのコマンドの詳細とその他のloggingコマンドについては、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』を参照してください。loggingコマンドを使用するには、FWSM上でconfigure terminalコマンドを使用してコンフィギュレーション モードにアクセスします。

多くのloggingコマンドでは、出力先に送信するSyslogメッセージを指示するために、ユーザが重大度のスレッシュホールドを指定します。レベルの値が小さいほど、重大なエラーを意味します。デフォルトの重大度は3です。重大度は、数値またはキーワードで指定します( 表 1-2 を参照)。FWSMはユーザが指定した重大度以下のメッセージを出力先に送信します。たとえば、重大度3を指定すると、FWSMは重大度1、2、および3のメッセージを出力先に送信します。


) Syslogではレベル0(emergency)メッセージは生成されません。loggingコマンドには、UNIXのSyslog機能との互換性を確保するためにレベル0が用意されていますが、FWSMではこのレベルを使用しません。


 

表 1-1 FWSM のloggingコマンド

タイプ
Command
Description

ログのイネーブル化

logging on

Syslogメッセージをすべての出力先へ送信します。Syslogメッセージの送信をディセーブルにするには、no logging onコマンドを使用します。

ログを表示するには、ロギングの出力先も設定する必要があります。

特定のログ メッセージのディセーブル化

no logging message syslog_id level level

特定のSyslogメッセージをディセーブルにします。ディセーブルにしたメッセージのロギングを再開するには、 logging message syslog_id コマンドを使用します。

show logging disabled

ディセーブルになっているSyslogメッセージの全リストを表示します。

clear logging disabled

ディセーブルになっているSyslogメッセージをすべてイネーブルにします。

出力先の指定と管理

logging buffered level

内部バッファへのロギングをイネーブルにして、show loggingコマンドでSyslogメッセージを表示できるようにします。

clear logging

logging bufferedコマンドで作成したメッセージ バッファをクリアします。

logging console level

システム コンソールへのロギングをイネーブルにして、Syslogメッセージをリアルタイムで表示します。このコマンドは、問題をデバッグするとき、またはネットワークの負荷が少ないときに使用します。このコマンドはFWSMのパフォーマンスを低下させる可能性があるので、ネットワークがビジーのときは使用しないでください。

logging monitor level

Telnetによるセッションへの接続を有効にして、TelnetでFWSMコンソールに接続しているときにSyslogメッセージをリアルタイムで表示します。 terminal monitor コマンドも入力し、Telnetセッションごとにロギングをイネーブルにする必要があります。

logging host in_intf ip_addr [ prot/port ] [format emblem] [ i nterface if1 [ if2 ] ... ]

Syslogメッセージを受信するホスト(Syslogサーバ)を指定します。FWSMは、UDPまたはTCPを使用してメッセージを送信できます。デフォルトのプロトコルおよびポートはUDP/514です。デフォルトのTCPポート(指定する場合)は1468です。
format emblem
オプションを指定すると、EMBLEMフォーマットがイネーブルになります(UDPのみ)。interfaceオプションを使用すると、指定したインターフェイスに対応するメッセージのみがホストに送信されます。

logging facility number

Syslogサーバのロギング ファシリティを設定します。デフォルトは20です。

logging history level

SNMPロギングをイネーブルにして、SNMPトラップのログ レベルを設定します。

logging trap level

サーバへのロギングをイネーブルにします。詳細については、 表 1-2 を参照してください。

ロギング オプション

logging rate-limit num [interval] message syslog_id

FWSMが生成するSyslogの数をレート制限します。コンフィギュレーションからレート制限を削除するには、このコマンドのno形式を使用します。

logging queue queue_size

メッセージ キューに保管して待機させることのできるSyslogメッセージの数を指定します。デフォルトは512メッセージです。0(ゼロ)を指定すると、メッセージ数は無限という意味になります。キューの統計情報を表示するには、 show logging queue コマンドを使用します。

show logging

現在のSyslogメッセージと、イネーブルに設定されているloggingコマンド オプションのリストを表示します。

show logging message all

すべてのSyslogメッセージについて、現在のレベルおよびステートを表示します。

show logging message syslog id

特定のメッセージについて、現在のレベルを表示します。

logging message

logging message syslog id new_level

Syslogメッセージのデフォルトのレベルを変更します。

no logging message syslog_id new_level

特定のメッセージをデフォルトのレベルに戻します。

ロギングのイネーブル化

次の手順ではロギングをイネーブルにします。ただし、ログ メッセージを表示するための出力先も設定する必要があります。詳細については、「Syslog出力先の設定」を参照してください。ロギングをイネーブルにする手順は、次のとおりです。


ステップ 1 ロギングをイネーブルにします。

logging on
 

デフォルトでは、ログ レベルは3(error)に設定されています。

ステップ 2 ログ レベルを変更するには、次のように入力します。

logging trap level (1-7)
 

ステップ 3 ロギング設定を表示するには、次のように入力します。

show logging
 


 

ロギング出力のテスト

ロギング出力をテストする手順は、次のとおりです。


ステップ 1 コンソールへのログ メッセージの送信を開始します。

logging console 7
quit
 

このテストでは、次のSyslogメッセージが生成されます。

111005: nobody End configuration: OK
 

このメッセージは、コンフィギュレーション モードが終了したことを示しています。[111005]はメッセージ識別番号です(このメッセージの詳細は、 第2章「システム メッセージ」 を参照してください)。[nobody]という語は、ユーザがシリアル コンソール ポートからFWSMコンソールにアクセスしていることを意味します。

ステップ 2 コンソールへのロギングをディセーブルにするには、次のように入力します。

no logging console 7
quit
 


 

logging consoleコマンドは、テストの場合にのみ使用してください。FWSMがアクティブのときは、次のコマンドのみを使用してください。

logging buffered(メッセージを保管する場合)

show logging(メッセージを表示する場合)

clear logging(logging bufferedコマンドで表示したメッセージをクリアする場合)

Syslog出力先の設定

ここで説明する内容は、次のとおりです。

「バッファへのSyslogメッセージの送信」

「TelnetセッションへのSyslogメッセージの送信」

「SyslogサーバへのSyslogメッセージの送信」

「SNMP管理ステーションへのSyslogメッセージの送信」

FWSMのシステム ソフトウェアの設定によって、Syslogメッセージを任意の出力先に送信できます。FWSMでは、Syslogメッセージを送信できる出力先がいくつか提供されています。

コンソール

Syslogメッセージをコンソールに直接送信するのは、テストの場合だけにすることを推奨します。「ロギング出力のテスト」を参照してください。

バッファ

Telnet接続

Syslogサーバが稼働しているホスト

SNMP管理ステーション

バッファへのSyslogメッセージの送信

Syslogメッセージをロギング バッファに送信し、FWSMコンソールでバッファを表示する手順は、次のとおりです。


ステップ 1 表示するメッセージを保管するには、次のコマンドを入力します。

logging buffered level (1-7)
 

ステップ 2 コンソールでメッセージを表示するには、次のコマンドを入力します。

show logging
 

ステップ 3 新しいメッセージを容易に表示できるようにバッファをクリアするには、次を入力します。

clear logging
 

ステップ 4 ログをディセーブルにするには、次を入力します。

no logging buffered
 

リストの最後に新しいメッセージが表示されます。


 

TelnetセッションへのSyslogメッセージの送信

TelnetセッションでSyslogメッセージを表示する手順は、次のとおりです。


ステップ 1 まだ設定していない場合は、内部インターフェイス上のホストがFWSMにアクセスするようにFWSMを設定します。

a. 次のように入力します。

telnet ip_address [subnet_mask] [if_name]
 

たとえば、ホストのIPアドレスが192.168.1.2である場合、このコマンドは次のようになります。

telnet 192.168.1.2 255.255.255.255
 

b. Telnetセッションがアイドル状態のときにFWSMがセッションを切断するまでのタイムアウト時間を、デフォルトの5分より大きい値に設定します。タイムアウトは最低でも15分にすることを推奨します。この場合、次のように設定します。

telnet timeout 15
 

ステップ 2 ホスト上でTelnetを起動し、FWSMの内部インターフェイスを指定します。

Telnet接続が確立されると、FWSMによって次のプロンプトが表示されます。

FWSM passwd
 

ステップ 3 Telnetパスワードを入力します。このパスワードは、デフォルトではciscoです。

ステップ 4 コンフィギュレーション モードをイネーブルにするには、次を入力します。

enable
(Enter your password at the prompt)
configure terminal
 

ステップ 5 メッセージのロギングを開始するには、次を入力します。

logging monitor level (1-7)
 

ステップ 6 このTelnetセッションにログを送信するには、次を入力します。

terminal monitor
 

このコマンドでは、現在のTelnetセッションに関してのみロギングがイネーブルになります。 logging monitor コマンドはすべてのTelnetセッションについてロギングの基本設定を行うのに対し、 terminal monitor (および terminal no monitor )コマンドは個々のTelnetセッションについてのロギングを制御します。

ステップ 7 ホストにpingを実行したり、Webブラウザを起動するなど、何らかのイベントをトリガーします。

その結果、Telnetセッション ウィンドウにSyslogメッセージが表示されます。

ステップ 8 作業が終わったら、次のコマンドを使用してこの機能をディセーブルにします。

terminal no monitor
no logging monitor
 


 

SyslogサーバへのSyslogメッセージの送信

ホストに出力するメッセージは、UDPまたはTCPのいずれかを使用して送信されます。送信先のホストは、syslogdというプログラム(サーバ)を稼働させる必要があります。UNIXでは、OS(オペレーティング システム)の一部としてSyslogサーバが提供されています。Windows 95またはWindows 98の場合は、他のベンダーからSyslogサーバを入手してください。

syslogd の設定手順は、『 Cisco PIX Firewall and VPN Configuration Guide 』を参照してください。ログ サーバでは、ある種のメッセージが記録されたときに実行するアクション(たとえば電子メールを送信する、ログ ファイルにレコードを保存する、ワークステーションにメッセージを表示するなど)を指定できます。

Syslogサーバにメッセージを送信するようにファイアウォールを設定する手順は、次のとおりです。


ステップ 1 メッセージを受信するホストを指定するには、次を入力します。

logging host [interface] ip_address [tcp[/port] | udp[/port]] [format emblem]
 

次に例を示します。

logging host dmz1 192.168.1.5
 

このコマンドを何回か使用して、複数のサーバを指定すると、サーバがオフラインになったときは別のサーバがメッセージを受信できます。

ステップ 2 ロギング レベルを設定するには、次を入力します。

logging trap level (1-7)
 

初期設定およびテスト中は、debugging( 7 )レベルを使用することを推奨します。設定後は、レベルをdebuggingからerror( 3 )に変更してネットワークで使用します。

ステップ 3 各メッセージにデバイスIDを含める場合は、次のように入力します。

logging device-id {hostname | ipaddress if_name | string text}
 

Syslogサーバに送信されるメッセージに、指定したデバイスID(特定のインターフェイスのホスト名およびIPアドレス[他のインターフェイスからメッセージが着信する場合でも]、またはストリング)が含まれます。このデバイスIDは、EMBLEMフォーマットのメッセージ、SNMPトラップ、ファイアウォール コンソール、管理セッション、またはバッファには含まれません。

ステップ 4 必要に応じて、ロギング ファシリティの値をデフォルトの20以外に設定します。ほとんどのUNIXシステムでは、メッセージがファシリティ20で着信することが前提となっています。

logging facility number
 


 

すべてのSyslogサーバがオフラインの場合、FWSMは自らのメモリに最大100のメッセージを保管します。後続のメッセージが着信すると、バッファが最初の行から上書きされます。

SNMP管理ステーションへのSyslogメッセージの送信

SNMP管理ステーションでSyslogメッセージを受信する手順は、次のとおりです。

「SNMP要求の受信」

「SNMPトラップの送信」

SNMP要求の受信

FWSMがSNMP管理ステーションからの要求を受信できるように設定する手順は、次のとおりです。


ステップ 1 SNMP管理ステーションのIPアドレスを設定するには、次を入力します。

snmp-server host [if_name] ip_addr
 

ステップ 2 必要に応じてその他のSNMPサーバ設定を行います。

snmp-server location text
snmp-server contact text
snmp-server community key
 

詳細については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』を参照してください。


 

SNMPトラップの送信

FWSMからSNMP管理ステーションへのトラップとしてログ メッセージを送信する手順は、次のとおりです(コールド スタート、リンク アップ、およびリンク ダウンの汎用トラップは、すでに「SNMP要求の受信」の手順でイネーブルに設定されています)。


ステップ 1 Syslogトラップの送信をイネーブルにするには、次を入力します。

snmp-server enable traps
 

ステップ 2 ロギング レベルを設定するには、次を入力します。

logging history level (1-7)
 

初期設定およびテスト中は、debugging( 7 )レベルを使用することを推奨します。設定後は、レベルをdebugging(7)から小さい値に変更してネットワークで使用します。

ステップ 3 Syslogトラップの送信をディセーブルにするには、次を入力します。

no snmp-server enable traps
 


 

特定のSyslogメッセージのディセーブル/イネーブル化

ここでは、Syslogメッセージをディセーブルにする方法と再びイネーブルにする方法、ディセーブルにしたSyslogメッセージを表示する方法を説明します。

「特定のSyslogメッセージのディセーブル化」

「ディセーブルにしたSyslogメッセージのリスト表示」

「ディセーブルにした特定のSyslogメッセージの再イネーブル化」

「ディセーブルにしたすべてのSyslogメッセージの再イネーブル化」

特定のSyslogメッセージのディセーブル化

特定のSyslogメッセージをディセーブルにするには、次のコマンドを使用します。

no logging message message_number
 

message_number 値は、ディセーブルにする特定のメッセージの番号です。


) 次のメッセージは、ディセーブルにできません
%FWSM-6-199002:FWSM startup completed.Beginning operation.


ディセーブルにしたSyslogメッセージのリスト表示

ディセーブルにしたSyslogメッセージのリストを表示するには、次のコマンドを使用します。

show logging disabled
 

ディセーブルにした特定のSyslogメッセージの再イネーブル化

ディセーブルにしたSyslogメッセージを再びイネーブルにするには、次のコマンドを使用します。

logging message message_number
 

message_number 値は、再びイネーブルにする特定のメッセージの番号です。

ディセーブルにしたすべてのSyslogメッセージの再イネーブル化

ディセーブルにしたすべてのSyslogメッセージを再びイネーブルにするには、次のコマンドを使用します。

clear logging message
 

ログ メッセージの解釈

ここで説明する内容は、次のとおりです。

「ログ メッセージの形式」

「重大度」

「変数」

ログ メッセージの形式

システム ログ メッセージは、パーセント符号(%)で始まります。メッセージの形式は、次のとおりです。

%FWSM-Level-Message_number: Message_text

 

FWSM

FWSMが生成したメッセージのメッセージ ファシリティ コードを表します。この値は常にFWSMです。

Level

メッセージで記述される状態の重大度を表します。重大度は1~7です。この値が小さいほど、重大な状況を意味します。詳細については、 表 1-2 を参照してください。

Message_number

メッセージを一意に識別する6桁の番号

Message_text

状況を説明するテキスト ストリング。メッセージのテキストには、IPアドレス、ポート番号、またはユーザ名が含まれていることがあります。 表 1-3 に、変数フィールドと、各フィールドの情報タイプを示します。


) FWSMのシリアル コンソールで受信するSyslogメッセージには、メッセージ コードしか表示されません。第2章「システム メッセージ」に示すメッセージの説明では、重大度も記載されています。


重大度

表 1-2 に重大度を示します。ロギングは、デフォルトでレベル3(error)に設定されています。


) Syslogではレベル0(emergency)メッセージは生成されません。loggingコマンドには、UNIXのSyslog機能との互換性を確保するためにレベル0が用意されていますが、FWSMではこのレベルを使用しません。


 

表 1-2 ログ メッセージの重大度

レベル番号
レベル キーワード
説明

0

emergency

システム使用不可

1

alert

ただちに対応が必要

2

critical

危険な状態

3

error

エラー状態

4

warning

警告状態

5

notification

正常だが注意を要する状態

6

informational

情報メッセージのみ

7

debugging

デバッグ時に限り表示

重大度別のメッセージの一覧は、 付録A「重大度別のメッセージ」 を参照してください。

変数

ログ メッセージには変数が含まれる場合が多くあります。 表 1-3 に、このマニュアルでログ メッセージの説明に使用されている変数のほとんどを示します。1種類のログ メッセージでしか使用されない変数は省略しています。

 

表 1-3 Syslogメッセージの変数フィールド

タイプ
変数
情報タイプ

汎用

acl_ID

ACL(アクセス制御リスト)名

command

コマンド名

command_modifier

command_modifier は、次のいずれかのストリングです。

cmd(このストリングは、コマンドに修飾子がないことを意味します)

clear

no

show

connection_type

接続タイプ

SIGNALLING UDP

SIGNALLING TCP

SUBSCRIBE UDP

SUBSCRIBE TCP

Via UDP

Route

RTP

RTCP

device

メモリのストレージ装置。たとえば、フロッピー ディスク、フラッシュ メモリ、TFTP、フェールオーバー スタンバイ装置、コンソール端末など

filename

FWSMのイメージ、PDMファイル、またはコンフィギュレーションのタイプ別ファイル名

privilege_level

ユーザ権限レベル

reason

メッセージの理由を説明するテキスト ストリング

ストリング

テキスト ストリング(ユーザ名など)

tcp_flags

TCPヘッダー内のフラグ

ACK

FIN

PSH

RST

SYN

URG

url

URL

user

ユーザ名

数値

number

数値(形式はログ メッセージによって異なる)

bytes

バイト数

code

メッセージに応じてエラーの原因または送信元を表す10進数

connections

接続数

elimit

staticまたはnatコマンドで指定される初期接続の数

econns

初期接続の数

nconns

スタティック テーブルまたはxlate(変換)テーブルで許可される接続数

time

経過時間、 hh : mm : ss 形式

dec

10進数

hex

16進数

octal

8進数

アドレス

IP_address

IPアドレス、 n . n . n . n 形式( n は1~255の整数)

MAC_address

MACアドレス

outside_address

外部IPアドレス、通常は外部ルータの外側にあるネットワークのセキュリティ レベルの低いインターフェイス上のホストのアドレス

inside_address

内部(ローカル)IPアドレス、セキュリティ レベルの高いインターフェイスのアドレス

global_address

グローバルIPアドレス、セキュリティ レベルの低いインターフェイスのアドレス

source_address

パケットの送信元アドレス

dest_address

パケットの宛先アドレス

real_address

Network Address Translation(NAT;ネットワーク アドレス変換)前の実IPアドレス

mapped_address

変換後のIPアドレス

gateway_address

ネットワーク ゲートウェイIPアドレス

netmask

サブネット マスク

インターフェイス

interface_number

interface_name

インターフェイスに割り当てられた名前。インターフェイスおよびその名前を表示するには、 show nameif コマンドを使用します。

ポート、サービス、およびプロトコル

port

TCPまたはUDPポート番号

outside_port

外部ポート番号

inside_port

内部ポート番号

source_port

送信元ポート番号

dest_port

宛先ポート番号

real_port

NAT前の実ポート番号

mapped_port

変換後のポート番号

global_port

グローバル ポート番号

protocol

パケットのプロトコル(ICMP、TCP、UDPなど)

service

パケットが指定するサービス(SNMP、Telnetなど)

その他のリモート管理ツールおよびモニタリング ツール

ここでは、FWSMを遠隔からモニタするために使用できる、システム ログ機能以外のツールについて説明します。

Cisco PIX Device Manager(p.1-15)

Cisco Secure Policy Manager(p.1-15)

SNMPトラップ(p.1-15)

Telnet(p.1-15)

Cisco PIX Device Manager

Cisco PIX Device Manager(PDM)は、FWSMの管理に使用できる単一デバイスのGUI(グラフィカル ユーザ インターフェイス)です。詳細については、『 Cisco PIX Device Manager Installation Guide 』を参照してください。

Cisco Secure Policy Manager

Cisco Secure Policy Manager(CSPM)は、ネットワーク全体でのセキュリティ ポリシーの定義、配布、実施、および監査を一元的に実行できるセキュリティ ポリシー管理システムです。CSPMを使用すると、境界部でのアクセス制御、NAT、IDS、IPSecベースVPNなど、複雑なネットワーク セキュリティ イベントの管理作業を簡単に行えます。CSPMは、モニタリング、イベント通知、Webベース レポートなどのシステム監査機能を提供します。

CSPMはFWSMからSyslogメッセージを受信し、所定のSyslogに電子メール、ページング、スクリプティングなどで通知できます。また、CSPMはFWSMによるSyslog(上位10ユーザ、上位10のWebサイトなど)も提供します。これらのレポートは、必要な時点で取得することも、あらかじめ設定したスケジュールで取得することもできます。レポートは電子メールで送信したり、SSL対応のWebブラウザで表示したりできます。

詳細については、次のWebサイトを参照してください。

http://www.cisco.com/go/policymanager

http://www.cisco.com/univercd/cc/td/doc/product/ismg/policy/index.htm

SNMPトラップ

FWSMイベントをレポートするには、SNMPを使用できます。この機能を使用するには、SNMP管理ステーションにCisco SYSLOG MIBおよびCisco SMI MIBをロードする必要があります。

Telnet

内部ホストからTelnetを使用してFWSMコンソールにログインし、システム ステータスをモニタできます。IPSecがイネーブルの場合には、外部ホストからもコンソールにアクセスできます。Telnetからdebug icmp traceおよびdebug sqlnetコマンドを使用して、ICMP(ping)トレースおよびSQL*Netアクセスを表示できます。

Telnetによるコンソール セッションでは、logging monitorおよびterminal monitorコマンドを使用してSyslogメッセージを表示することもできます(「TelnetセッションへのSyslogメッセージの送信」を参照)。