Cisco Secure Access Control Server View ユーザ ガイド Release 4.0
概要
概要
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

概要

製品概要

アーキテクチャ

機能および利点

概要

この章では、ネットワーク上の ACS サーバ用の高度なレポート機能を備えた Cisco Secure Access Control Server(ACS)View の概要を説明します。

この章は、次の項で構成されています。

「製品概要」

「アーキテクチャ」

「機能および利点」

製品概要

ACS View には、ネットワークの ACS サーバ用のレポート機能監視機能、およびトラブルシューティングの機能があります。ACS View を使用して、1 つ以上の ACS サーバから集約されたログ、設定、および診断のデータを抽出し、高度なレポート作成およびトラブルシューティングを行うことができます。

ACS View では、ACS サーバから収集したデータに関するレポートおよび設定可能なアラートを提供します。このデータを使用して、ネットワークを効率的に管理し、該当するネットワーク関連の問題を解決することができます。

この ACS View のリリースには、ACS 4.1.4 および 4.2 の展開を対象としたレポート機能があります。

ACS View は、Linux オペレーティング システムで動作する Cisco Application Deployment Engine(ADE)2120 シリーズのアプライアンスと ACS View サーバ ソフトウェアで構成されています。ACS View 用のソフトウェアは、あらかじめアプライアンスに搭載されています。

アーキテクチャ

図1-1 に ACS View アーキテクチャのさまざまなコンポーネントを示します。

図1-1 ACS View アーキテクチャ

 

機能および利点

ACS View の機能の利点は次のとおりです

システム レポートおよびカスタム レポートを使用した高度な対話形式のレポート

システム レポート:ACS サーバのログおよび設定データに関する事前定義済みのレポート セットです。システム レポートでは、認証、セッション トラフィック、デバイス管理、ACS サーバの設定や管理、およびトラブルシューティングに関する概要または詳細情報を提供します。

作成できるレポートの一部を次に示します。

 

レポート
説明

Failed Authentication

多くの認証が失敗する根本原因を分析します。失敗した認証の全パラメータの中から上位 x 個のデータを分析することもできます。

Inactivity Summary

展開中の非アクティブ エンティティ(ユーザ、ユーザ グループ、NAD、NDG、または AAA サーバ)を識別します。

Abnormal Activity

ACS サーバのユーザ プロファイルに設定したデフォルトのアクセス時間外にネットワークにアクセスしようとするユーザを識別します。

Failed Command Summary

失敗したコマンドのリストを使用して、不適切な権限でコマンドを実行したことが原因で発生した失敗を分析します。

ACS Administration Audit

管理者の設定を分析し、パフォーマンスや機能に関連する問題解決に役立てます。

ACS Backup/Restore

バックアップ操作と復元操作のタイプおよびステータスを識別します。

ACS Replication

手動またはスケジュール ベースで行ったデータベース複製のステータスを表示します。

ACS Service Status

ACS サーバが実行されているシステムのステータスと、サーバに関連付けられた各サービスのステータスを表示します。

カスタム レポート:要件に合せて設計できる動的なレポートです。カスタム レポートでは、データベースで利用可能なすべてのレポートのフィールドを使用できます。テンプレートとレポート タイプを使用してレポートをカスタマイズし、データベースの任意のフィールドのデータを生成できます。次に、カスタム レポートを実行して、要件に一致する ACS データを抽出できます。

ACS View では、主に syslog を使用して( package.cab も使用)ACS サーバから収集したデータのカスタマイズ可能で動的なレポートを生成します。

ACS View を使用して、システム レポートおよびカスタム レポートを毎日、毎週、または毎月実行するようにスケジューリングできます。また、レポートを他のユーザが使用できるかどうか、または参照のみかどうかを指定できます。

ACS View を使用して、表、グラフ、詳細レベルへのドリル ダウンなど任意の形式でレポートを設定できます。要件に基づいてレポートのデータをフィルタリングできます。また、カンマ区切り形式(CSV)でデータをエクスポートしたり、レポートを電子メールに添付したり、印刷したりできます。

監視用に設定可能なアラート

ACS View を使用して、サーバのデータに関するしきい値や規則を設定して ACS サーバのトラフィックを監視できます。設定されたしきい値を超過すると、アラートによって通知されます。たとえば、特定の日に 特定の ACS サーバで失敗試行回数が 100 回を超えた場合にアラートを送信するように ACS View を設定できます。データがしきい値に達すると、Alerts Inbox でアラートを受信します。また、電子メールで通知を受け取ることもできます。

次のようなトリガーの範囲を設定できます。

 

トリガー
説明

Passed Authentications

次のような特定のパラメータに関して渡された認証の数が、特定の期間で指定した数値より大きい、より小さい、または等しい場合。

User

User Group

ACS server

NAD

NAP

NDG

Failed Authentications

次のような特定のパラメータに関して認証に失敗した試行の数が、特定の期間で指定した数値より大きい、より小さい、または等しい場合。

User

User Group

ACS server

NAD

NAP

NDG

Authentication Inactivity

特定の期間でユーザ、ユーザ グループ、ACS サーバ、NAD、NAP、または NDG が非アクティブな場合。

TACACS+ Command Audit

特定の権限モードで特定のコマンドが実行された場合。

さらに、過度の CPU 使用やディスク容量使用率、およびクリティカル条件など、ACS View が直面する ACS View サーバの処理中に発生する問題に関するアラートを受信します。

次のものを使用したトラブルシューティング

レポート:ACS ユーザに関連した認証の失敗のトラブルシューティングに役立ちます。

Authentication Failure Code ユーティリティ:ACS で認証に失敗した場合のトラブルシューティングに使用できるデータの作成および保持に役立ちます。このユーティリティを使用すると、環境に応じてさまざまな ACS 認証の障害コードの根本原因とその解決策を特定できます。認証のレポートでは、障害コードにドリル ダウンし、文脈依存形式で根本原因と解決策を表示できます。これらのコードを使用して、失敗した認証に関連するしきい値を設定できます。

ACS サーバ:ACS サーバとの接続に関する問題のトラブルシューティングと、最後に受信した syslog メッセージまたは package.cab ダウンロードの詳細を参照するのに役立ちます。

接続テスト ツール: ping traceroute 、および nslookup コマンドを使用し、サーバまたはデバイスへの接続のトラブルシューティングに役立ちます。

管理機能:主な機能は次のとおりです。

データベースのバックアップおよび復元:ACS View サーバのデータベースおよび設定ファイルをローカル システムまたはリモート サーバのリポジトリにバックアップしたり、FTP、Network File Sharing(NFS)、Secure File Transfer Protocol(SFTP)、および Trivial File Transfer Protocol(TFTP)を使用して ACS View に復元したりできます。必要なタイミングで、または日次、週次、月次のいずれかの利用しやすいスケジュールで、バックアップを設定することもできます。

データベースのエクスポート:設定したリポジトリに、ACS のログおよび設定に関連する ACS View のデータベース テーブルを CSV 形式でエクスポートできます。エクスポートしたデータを組織内のレポート ソリューションに投入して、より詳細な分析を行うことができます。

バックアップ用ステージング URL:ディスクの空き容量が全容量の 50% を下回る場合、一時的なバックアップ先として外部 NFS サーバを設定できます。バックアップ用のステージング URL を使用すると、バックアップの障害やサーバの過負荷を回避できます。

ログの同期化:ACS ログと ACS View のデータベース レコードを比較して、syslog の未配信が原因で欠落した可能性のあるログを追加します。

次のものを使用した最適なセキュリティ

アクセス コントロール:Administrator ロールおよび Operator ロールという、ACS View で事前に定義済みの 2 つのロールを使用できます。ACS View サーバにログインすると、ロールによってアクセス ポリシーが決定されます。各ロールでは事前に定義済みのタスクおよびページにのみアクセスできます。

HTTP over SSL(HTTPS):セキュアな SSL 接続を使用した GUI へのアクセスを提供します。

パスワード ポリシー:最小パスワード長、パスワードの有効期限と更新、およびログイン失敗時のアカウント ロックを使用して、管理者定義のパスワード ポリシーを適用します。

次のものを使用した高度なユーザ インターフェイス

Interactive Viewer:生成されたレポートの形式設定、フィルタリング、ソート、およびシステム レポートのカスタマイズを行うことができます。レポートは、HTML、PDF、または CSV 形式でエクスポートできます。また、電子メールでの送信および印刷もできます。

動的なダッシュボード:お気に入りのクエリー、生成されたレポートおよびアラートなど、重要かつ有用な情報の中心的な場所を提供します。ACS View にログインすると、最初にダッシュボード ページが表示されます。