Cisco Secure ACS Express 5.0.1 ユーザ ガイド User Guide for the Cisco Secure ACS Express 5.0.1
レポートおよびトラブルシューティング
レポートおよびトラブルシューティング
発行日;2012/02/02 | 英語版ドキュメント(2009/11/29 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

レポートおよびトラブルシューティング

[Reports and Logs] メニュー

レポート

使用状況の概要レポート

認証レポート

デバイス コマンド レポート

アカウンティング ログ

トラブルシューティング

接続テスト

プロセスのステータス

サーバ ログ

ロギングの設定

サーバ ログ

レポートおよびトラブルシューティング

レポートおよびトラブルシューティング ドロワーを使用すると、[Reports and Logs] セクションと [Troubleshooting] セクションにアクセスできます。

図 6-1 に、[Reports and Troubleshooting] メニューを示します。

この章は、次の内容で構成されています。

「[Reports and Logs] メニュー」

「レポート」

「トラブルシューティング」

図 6-1 [Reports and Troubleshooting] メニュー

 

[Reports and Logs] メニュー

[Reports and Logs] メニューを使用すると、次の操作を実行できます。

RADIUS/TACACS+ 使用状況の概要に関するレポート、認証レポート、デバイス コマンド レポート、アカウンティング ログを表示およびダウンロードする

ユーザが使用状況の統計情報、認証、RADIUS アカウンティングに関するログおよびレポートの表示やダウンロードを実行できるようにする

認証レポートを表示する

使用状況の概要レポート

[Usage Summary Report] では、過去 7 日間におけるネットワーク アクセスおよびデバイス管理に関する概要レポートが提供されます。このウィンドウには、次のタブがあります。

「RADIUS アクセス」

「TACACS+ アクセス」

RADIUS アクセス

[RADIUS Access Report] では、過去 7 日間におけるネットワーク アクセスの統計情報がグラフ形式と表形式の両方で提供されます。グラフには、一意のユーザ ログイン試行(オレンジ色の行)、成功した認証(青色の行)、および失敗した認証試行(赤色の行)がプロットで示されます。

表には、一意なユーザの数、認証要求の総数、成功した認証試行、失敗した認証試行が示されます。

TACACS+ アクセス

[TACACS+ Access Report] では、過去 7 日間におけるデバイス管理の統計情報がグラフ形式と表形式の両方で提供されます。グラフには、成功した認証(青色の行)と失敗した認証(赤色の行)がプロットで示されます。

表には、認証要求の総数、成功した認証試行、失敗した認証試行が示されます。

認証レポート

[Authentication Report] 機能を使用すると、すべてのユーザおよびデバイスによって試行された認証に関する情報を含む認証レポートが生成されます。デフォルトの認証レポートには、当日にすべてのユーザおよびデバイスによって実行された認証試行の一覧が示されます。

特定の日、ユーザ、またはデバイスに関するレポートを生成するには、該当のチェックボックスをオンにし、日付を選択するか、表示されたフィールドにユーザ名またはデバイス名を入力します。

レポートの生成を開始してレポートを表示するには、[Generate Report] をクリックします。表示されたレポートで [Download] をクリックすると、レポートがコンピュータにダウンロードされます。認証レポートのデータは、31 日間保存されます。

認証レポートのダウンロード

ACS Express の GUI を使用して、Microsoft Office Excel のカンマ区切り( .csv )のファイル形式で、認証レポートをコンピュータにダウンロードできます。レポートをダウンロードしようとすると、ダイアログ ボックスが開きます。この画面を使用して、ダウンロードするファイルを指定し、Microsoft Office Excel を使用してファイルを開くか、ディスクに保存するかを選択できます。

レポートのダウンロードに Microsoft オペレーティング システム(Windows XP など)と Microsoft Internet Explorer(IE)ブラウザを使用する場合、IE は、Microsoft Excel(またはインストールされているその他のスプレッドシート アプリケーション)ではなく、ブラウザ ウィンドウでこれらのレポート ファイルを開こうとすることがあります。

IE が .csv レポート ファイルを開かないようにするには、次の手順を実行します。


ステップ 1 コンピュータで、ディスクまたはフォルダ( C:¥ My Documents など)を開きます。

ステップ 2 [Tools] > [Folder Options] を選択し、[File Types] タブをクリックします。

登録されているすべてのファイルの種類をロードするのにしばらく時間がかかることがあります。

ステップ 3 XLS-Excel ワークシート エントリが表示されるまで、登録されているファイルの種類のリストをスクロール ダウンし、選択して強調表示します(図 6-2 を参照)。

図 6-2 .CSV 形式ファイルのダウンロード

 

ステップ 4 [Advanced] をクリックし、[Edit File Type] ウィンドウの下部付近にある [Browse in same window] チェックボックスをオフにします。

ステップ 5 [OK] をクリックします。


 

デバイス コマンド レポート

[Device Commands Report] オプションを使用すると、すべてのユーザおよびデバイスによって使用されたデバイス コマンドに関する情報を含むデバイス コマンド レポートを生成できます。デフォルトのデバイス コマンド レポートには、当日にすべてのユーザおよびデバイスによって使用されたデバイス コマンドの一覧が示されます。

特定の日、ユーザ、またはデバイスに関するレポートを生成するには、該当のチェックボックスをオンにし、日付を選択するか、表示されたフィールドにユーザ名またはデバイス名を入力します。

レポートの生成を開始するには、[Generate Report] をクリックします。レポートを開くか、またはファイルをディスクに保存するかを確認するダイアログ ボックスが表示されます。デフォルトのレポート形式は、Microsoft Office Excel 形式です。

アカウンティング ログ

ACS Express サーバは、次に示すような、アカウンティング要求パケットで受信されるすべてのアトリビュートを自動的に記録します。

[Date and time]

[User Name]

[NAS Port]

[NAS Identifier]

[Accounting] ステータス

[Accounting session ID]

アカウンティング ログのサイズが 10 MB に達すると、ログは自動的にロールオーバーされ、新しいアカウンティング ログが開始します。また、日ごとに、新しいアカウンティング ログが開始します。[Accounting Logs] ウィンドウで、表示、ダウンロード、または削除するログのチェックボックスをオンにします。すべてのアカウンティング ログのチェックボックスをオンにしてダウンロードまたは削除を行うこともできます。

トラブルシューティング

[Troubleshooting] セクションでは、ネットワーク接続テスト、デバッグ ログのダウンロード、AAA の ACS Express サーバ プロセスの確認や手動での再起動を実行できます。この項では、次の内容について説明します。

「接続テスト」

「プロセスのステータス」

「サーバ ログ」

接続テスト

[Connectivity Tests] ウィンドウを使用すると、次の接続テストを実行できます。

ping

traceroute

nslookup

AD ドメイン診断

接続テストを行うには、接続先のネットワークのホスト名または IP アドレスを入力し、3 つの接続テスト ボタンのうちいずれかをクリックする必要があります。

図 6-3 に、[Connectivity Tests] ウィンドウの例を示します。

図 6-3 [Connectivity Tests] ウィンドウ

 

ping

ping を使用して、IP ネットワークを介して特定のホストに接続できるかどうかを確認します。 ping 機能は、接続先のネットワークにパケットを送信し、応答を待機することで動作します。

図 6-4 に、 ping 出力の例を示します。

図 6-4 ping の出力

 

traceroute

tracerroute を使用して、ネットワーク上でパケットが通るルートを確認します。 tracerroute は、ネットワーク問題のトラブルシューティングに役立ちます。 tracerroute には、パケットが経由するルータの一覧が表示されます。これにより、接続先の特定のネットワークに到達するまでに通るパスを識別できます。

nslookup

nslookup name server lookup )を使用すると、DNS ルックアップを使用する特定のコンピュータの IP アドレスを特定できます。 nslookup の出力には、サーバ名と IP アドレスが含まれます。

AD ドメイン診断

ACS Express サーバを AD ドメインに参加させるときに問題が生じた場合は [AD Domain Diagnostics] を使用します。[AD Domain Diagnostics] は、いくつかの診断チェックを実行し、ドメイン コントローラ、グローバル カタログ、ドメイン ポートに関する情報を提供します。

[AD Domain Diagnostics] をクリックすると、GUI に診断結果が表示されます。次に、出力の例を示します。

IP Diagnostics
Local host name: acsxp-srv15
Local IP Address: 209.165.200.224
 
Domain Diagnostics:
Domain: acsxpdev.cisco.com
Subnet site: Default-First-Site-Name
DNS query for: _gc._tcp.acsxpdev.cisco.com
DNS query for: _ldap._tcp.acsxpdev.cisco.com
Found SRV records:
acsxp-ad01.acsxpdev.cisco.com:3268
Found SRV records:
acsxp-ad01.acsxpdev.cisco.com:389
Testing Active Directory TCP connectivity:
Global Catalog: acsxp-ad01.acsxpdev.cisco.com
gc: 3268/tcp - good
Domain Controller: acsxp-ad01.acsxpdev.cisco.com
ldap: 389/udp - good
ldap: 389/tcp - good
smb: 445/tcp - good
kdc: 88/tcp - good
kpasswd: 464/tcp - good
Domain Controller: acsxp-ad01.acsxpdev.cisco.com:3268
Domain controller type: Windows 2003
Domain Name: ACSXPDEV.CISCO.COM
isGlobalCatalogReady: TRUE
domainFunctionality: 0 = (DS_BEHAVIOR_WIN2000)
forestFunctionality: 0 = (DS_BEHAVIOR_WIN2000)
domainControllerFunctionality: 2 = (DS_BEHAVIOR_WIN2003)
Domain Controller: acsxp-ad01.acsxpdev.cisco.com:389
Domain controller type: Windows 2003
Domain Name: ACSXPDEV.CISCO.COM
isGlobalCatalogReady: TRUE
domainFunctionality: 0 = (DS_BEHAVIOR_WIN2000)
forestFunctionality: 0 = (DS_BEHAVIOR_WIN2000)
domainControllerFunctionality: 2 = (DS_BEHAVIOR_WIN2003)
Forest Name: ACSXPDEV.CISCO.COM
 
Retrieving zone data from acsxpdev.cisco.com
 
Computer Account Diagnostics
Joined as: acsxp-srv15
Key Version: 6
Service Principal Names: host/acsxp-srv15.acsxpdev.cisco.com
host/acsxp-srv15
HTTP/acsxp-srv15.acsxpdev.cisco.com
HTTP/acsxp-srv15
 
AD Agent Process Status: Running in connected mode
 

プロセスのステータス

[Process Status] ウィンドウには、次の ACS Express サーバおよびプロセスのステータスが表示されます。

ACS Express Server:RADIUS および TACACS+ サーバ

ACS Express Server Agent:データベース エージェント

ACS Express Database (DB) Lock Manager:データベースのトランザクション マネージャ

ACS Express Web Server:管理コンソールの Web サーバ

ACS Express Active Directory (AD) Agent:Active Directory エージェント

図 6-5 に、[Process Status] ウィンドウの例を示します。

図 6-5 [Process Status] ウィンドウ

 

サーバ ログ

[Server Logs] ウィンドウには、ACS Express およびオペレーティング システム(OS)のロギングに関する設定領域があります。また、現在のサーバ ログを一覧が表示されます。

図 6-6 に、[Server Logs] ウィンドウの例を示します。

図 6-6 [Server Logs] ウィンドウ

 

ACS Express ロギングの設定

ACS Express のロギングを設定するには、次の手順を実行します。


ステップ 1 [Reports & Troubleshooting] > [Reports & Logs] > [Server Logs] に移動します。

[ACS ExpressServer Logs] ウィンドウが表示されます。

ステップ 2 [ACS Express Logging configuration] 領域でプルダウン メニューを使用して、必要なトレース レベルを設定します。

表 6-1 に、さまざまな ACS Express サーバ トレース レベルと、 trace コマンドで返される情報を示します。

 

表 6-1 サーバの トレース レベルおよび返される情報

トレース レベル
Trace コマンドによって返される情報

0

トレースは実行されませんでした。

(注) サーバを再起動すると、トレース レベルは 0 にリセットされます。

1

パケットが送受信されたとき、またはリモート サーバのステータスが変更されたときを報告します。

2

次の情報が提示されます。

パケットの処理に使用されたサービスとセッション マネージャ

パケットの処理に使用されたクライアント オブジェクトとベンダー オブジェクト

LDAP および RADIUS の詳細なリモート サーバ情報(パケットの送信、タイムアウトなど)

正しく構成されていないパケットに関する詳細情報

トレース レベル 1 に含まれる詳細情報

3

次の情報が提示されます。

無効な RADIUS アトリビュートを参照した場合の TCL スクリプトに含まれるエラーのトレース

実行されたスクリプト

ローカルな UserList 処理に関する詳細情報

トレース レベル 1 および 2 に含まれる詳細情報

4

次の情報が提示されます。

高度な重複検出処理に関する情報

作成、更新、および削除のセッションに関する詳細情報

呼び出されたすべての スクリプト API に関するトレースの詳細

トレース レベル 1、2、および 3 に含まれる詳細情報

5

次の情報が提示されます。

ポリシー エンジンの使用に関する詳細情報

実行された規則

強制された規則

規則の成否

呼び出されたポリシーに関する詳細情報

トレース レベル 1、2、3、および 4 に含まれる詳細情報

ステップ 3 [Web Server Trace Level] を目的のレベルに設定します。

ステップ 4 [Enable Syslog] チェックボックスをオンにして、ロギングを有効にします。

ステップ 5 外部の Syslog サーバに対してロギングを行う場合は、[Syslog Server IP Address] フィールドにサーバの IP アドレスを入力します。

ステップ 6 変更を保存する場合は [Save] をクリックします。中止する場合は [Cancel] をクリックします。


 

サーバ ログ

[Server Logs] ウィンドウのこのセクションには、現在のサーバ ログがファイル名別に表示されます。ファイルのサイズと、最後に変更された日付も表示されます。対応するログのチェックボックスをオンにして [Download] をクリックすると、1 つまたは複数のサーバ ログをダウンロードできます。

利用できるログは次のとおりです。

WebGUI.log :Web GUI ログには、現在のユーザ インターフェイス トランザクションに関する情報が格納されます。

このログは、10 MB に達するとロールオーバーされます。ACS Express サーバは、 WebGui-01.log WebGui-02.log という 2 つのロールオーバー バージョンの Web GUI ログ ファイルのうち、古い方のログを保持します。

acsxp_adagent.log :ACS Express AD エージェント ログには、AD ドメイン接続に関する情報が格納されます。ここには、AD に対するすべての参加トランザクションと脱退トランザクションが記録されます。

acsxp_agent_server.log :ACS Express サーバ エージェント ログには、サーバ エージェント(watchdog)プロセスに関する情報が格納されます。プロセスの再開とトランザクションに関するすべての情報は、このログで特定できます。

acsxp_mcd.log :MCD 内部データベースのログです。

acsxp_server.log :ACS Express 認証サーバ プロセスのログです。このログには、RADIUS および TACACS+ 認証試行のすべての記録が格納されます。

ADE.log アプリケーション配置エンジンのログには、ACS Express オペレーティング システムおよびコマンドライン インターフェイスに関する情報が格納されます。