Cisco Clean Access (NAC アプライアンス) Manager インストレーション アドミニストレーション ガイド Release 4.1(1)
モニタリング
モニタリング
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

モニタリング

概要

オンライン ユーザ リスト

アクティブ ユーザの意味

オンライン ユーザの表示

IB ユーザ

OOB ユーザ

設定の表示

イベント ログの意味

ログの表示

イベント ログの例

ログ対象イベント数の制限

Syslog ロギングの設定

ログ ファイル

SNMP

SNMP ポーリング/アラートのイネーブル化

新しいトラップ シンクの追加

モニタリング

この章では、Cisco NAC アプライアンスの Monitoring モジュールについて説明します。この章の内容は次のとおりです。

「概要」

「オンライン ユーザ リスト」

「イベント ログの意味」

「ログ ファイル」

「SNMP」

概要

 

Monitoring ページには、ユーザ アクティビティ、Syslog イベント、ネットワーク設定変更に関する情報など、配置に関する処理情報が表示されます。Monitoring モジュールには基本的な SNMP(簡易ネットワーク管理プロトコル)ポーリングおよびアラート機能もあります。Monitoring Summary ステータス ページには、重要な統計情報の概要が表示されます(図13-1 を参照)。

図13-1 Monitoring > Summary Page

 

このページには、 表13-1 に示された情報が表示されます。

 

表13-1 Monitoring > Summary Page

項目
説明

Current Windows Clean Access Agent Version:

Clean Access Manager(CAM)ソフトウェアとともにインストールされた、または手動でアップロードされた、Clean Access Agent(CAA)の現在の Windows バージョン( Version フィールドの内容を反映)

Current Windows Clean Access Agent Patch Version:

CAM および Clean Access Server(CAS)にダウンロードされた、クライアント自動アップグレードで入手可能な最新の Windows CAA パッチ

Current Macintosh Clean Access Agent Version:

CAM ソフトウェアとともにインストールされた、または手動でアップロードされた、Mac OS X CAA の現在のバージョン( Version フィールドの内容を反映)

Clean Access Servers configured:

CAM ドメインの CAS 管理ページで設定された CAS の数

Global MAC addresses configured (addresses/ranges):

MAC(メディア アクセス制御)/IP デバイス フィルタ パススルー リストに現在記述されているアドレス数と範囲。MAC パススルー リストの詳細については、「デバイスおよびサブネットのグローバル フィルタリング」を参照してください。

Global Subnets configured:

サブネットベース パススルー リストに現在記述されているサブネット アドレス数。詳細については、「デバイスおよびサブネットのグローバル フィルタリング」を参照してください。

Online users (In-Band / Out-of-Band):

これらのエントリには、次の項目が表示されます。

In-Band(IB; インバンド)の合計数または Out-of-Band(OOB; アウトオブバンド)オンライン ユーザ名、もしくは両方

IB の合計数または OOB オンライン MAC アドレス、もしくは両方

ユーザ ロールあたりの IB 数および OOB オンライン ユーザの数


) ロール単位のユーザ数は、Monitoring > Online Users > View Online Users ページにリンクされています。リンクをクリックすると、特定のロールに対応する IB または OOB ユーザ リストが表示されます。


オンライン ユーザ リスト

Monitoring > Online Users > View Online Users タブから、2 つの Online Users リストが表示されます。

In-Band Online Users

ネットワークにログインした、認証済みの IB ユーザを追跡します。ネットワーク上にアクティブ セッションを持つ IB ユーザは、IP アドレス、MAC アドレス(使用可能な場合)、認証プロバイダー、ユーザ ロールなどの特性別に表示されます。

In-Band Online Users リストからユーザを削除すると、そのユーザは IB ネットワークからログオフします。

Out-of-Band Online Users

アクセス VLAN(信頼できるネットワーク)上の認証済みの OOB ユーザをすべて追跡します。OOB ユーザは、IP アドレス、MAC アドレス(使用可能な場合)、認証プロバイダー、ユーザ ロールだけでなく、スイッチ IP、ポート、およびアクセス VLAN を基準として表示することもできます。

Out-of-Band Online Users リストからユーザを削除すると、ポートの VLAN がアクセス VLAN から認証 VLAN に変更されます。さらに、ポートにバウンスするポート プロファイルを設定できます(Real-IP/NAT ゲートウェイ用)。詳細は、「OOB ユーザ」および「アウトオブバンド ユーザ リストの概要」を参照してください。

両方の Online Users リストは、ユーザの IP アドレスに基づいています。以下の点に注意してください。

L2 配置の場合、 User MAC アドレス フィールドは有効です。

L3 配置の場合、 User MAC アドレス フィールドは無効です(00:00:00:00:00:00 など)。

クライアント MAC アドレスに基づくのは、Certified List のみであるため、L3 配置のユーザに Certified List は適用されません。

OOB 配置の場合、OOB ユーザは常に In-Band Online Users リストに最初に表示され、その後 Out-of-Band Online Users リストに表示されます。管理対象スイッチの制御ポートからユーザ トラフィックが着信している場合、認証プロセス中はこのユーザが最初に In-Band Online Users リストに表示されます。その後ユーザが認証され、アクセス VLAN に移動してから、Out-of-Band Online Users リストにユーザが移動します。

最後に、 Display Settings タブで、各 Online Users ページに表示するユーザ特性を選択できます。


) ユーザ デバイスが、VPN3000/ASA デバイスの背後から Cisco Clean Access に接続している場合、CAS/CAM が使用可能な最初の物理アダプタの MAC アドレスを使用して、Online User List 上のユーザを特定します。ユーザがネットワークに接続するために使用しているデバイスは、必ずしもアダプタであるとは限りません。有線(イーサネット カード)インターフェイスを使用してネットワークに接続している場合は、無線インターフェイスをディセーブルにする必要があります。


アクティブ ユーザの意味

Cisco NAC アプライアンス ネットワークにログオンした場合、次のいずれかのイベントが発生するまで、アクティブなユーザ セッションは存続します。

ブラウザのログアウト ページまたは Clean Access Agent(CAA)ログアウトを通して、ユーザがネットワークからログアウトした場合

ネットワーク上のユーザは、コンピュータのシャットダウン/再起動後も、ログオンし続けることができます。ユーザがネットワークをログアウトするには、Web ログアウト ページ、または CAA ログアウトを使用します。

CAA ユーザが Windows をログオフしたり、Windows マシンをシャットダウンした場合

ユーザが Windows ドメインからログオフした場合に、Clean Access システムから In-Band ユーザのみをログオフするように(Start->Shutdown->Log off current user)、またはマシンをシャットダウンするように(Start->Shutdown->Shutdown machine)、CAM および Agent を設定できます。

管理者がネットワークからユーザを手動で削除した場合

Monitoring > Online Users > View Online Users ページ(IB または OOB)を使用すると、Certified List からクライアントを削除しないで、ネットワークからユーザを削除することができます。

セッション タイマーを使用してセッションがタイムアウトした場合

セッション タイマーは、マルチホップ L3(IB)配置でも L2(IB または OOB)配置と同じ方法で機能します。設定は、 User Management > User Roles> Schedule > Session Timer で行います。このタイマーはユーザ ロール単位で設定され、設定時間が経過すると、選択されたロール内のユーザをすべてネットワークからログアウトします。詳細は、「セッション タイマーの設定(ユーザ ロール単位)」を参照してください。

CAS がハートビート タイマーを使用して、ユーザが接続されていないと判断し、CAM がセッションを終了した場合

ハートビート タイマーは L2 IB 配置にのみ適用され、ロールに関係なくすべてのユーザに設定されます。このタイマーをすべての CAS にグローバルに設定するには、フォーム User Management > User Roles> Schedule > Heartbeat Timer を使用します。特定の CAS に設定するするには、ローカル フォーム Device Management > CCA Servers > Manage [CAS_IP] > Misc > Heartbeat Timer を使用します。詳細は、「ハートビート タイマー(ユーザ非アクティブ タイムアウト)の設定」を参照してください。

ハートビート タイマーは L3 配置では機能せず、OOB ユーザには適用されません。ただし、CAS が Virtual Private Network(VPN; バーチャル プライベート ネットワーク)コンセントレータの背後にある最初のホップである場合は、ハートビート タイマーが機能します。この場合、VPN コンセントレータは、その現在のトンネル クライアントの IP アドレスに対する ARP クエリに応答するからです。

Certified Device リストが消去され(自動または手動で)、そのユーザがネットワークから削除された場合

Certified List は L2(IB または OOB)配置にのみ適用され、グローバル Certified Devices タイマー フォーム( Device Management > Clean Access > Certified Devices > Timer )を使用して、自動的または手動で削除されるようにスケジュールすることができます。Certified List から特定の CAS の認証済みデバイスを手動で削除するには、ローカル フォーム Device Management > CCA Servers > Manage [CAS_IP] > Filters > Clean Access > Certified Devices を使用します。すべての CAS の Certified Device リストを手動で削除するには、グローバル フォーム Device Management > Clean Access > Certified Devices を使用します。詳細は、「証明済みデバイスの管理」を参照してください。

Certified Device リストには、リモート VPN/L3 クライアントは表示されません(これらのセッションは MAC アドレスベースでなく IP ベースです)。

VPN コンセントレータに SSO および自動ログアウトが設定されていて、ユーザが VPN から切断された場合

自動ログアウトがイネーブルな場合に、ユーザが VPN クライアントから切断されると、そのユーザは Online Users リストから自動的に削除されます(IB)。

マルチホップ L3 VPN コンセントレータに SSO が設定されているときに、CAS 上のユーザ セッションがタイムアウトしたにもかかわらず、VPN コンセントレータに引き続きログインしている場合、そのユーザはユーザ名/パスワードを入力しなくても、CAS に再ログインすることができます。


) CAS または別のサーバが DHCP に使用されているときに、ユーザの DHCP リース期間が切れた場合、そのユーザは Online Users リストにとどまります(IB または OOB)リース期限が切れると、クライアント マシンはリースの更新を試みます。


詳細については、「ユーザ セッション タイムアウトおよびハートビート タイムアウトの設定」および「アウトオブバンド ユーザ リストの概要」も参照してください。

オンライン ユーザの表示

View Online Users タブには、 In-Band Out-of-Band の 2 つのオンライン ユーザ リストに対応した 2 つのリンクが表示されます。

デフォルトでは、 View Online User ページには各ユーザのログイン ユーザ名、IP および MAC アドイス(使用可能な場合)、プロバイダー、およびロールが表示されます。OS バージョン、スイッチ ポート(OOB ユーザの場合)など、表示するカラム情報を選択する方法については、「設定の表示」を参照してください。

エントリの 緑色 のバックグラウンドは、Clean Access ネットワークにアクセス中のユーザ デバイスが、Quarantine ロールまたは CAA Temporary ロールのどちらかの一時ロールであることを示しています。

エントリの 青色 のバックグラウンドは、Clean Access ネットワークにアクセス中のユーザ デバイスが CAA 制限付きネットワーク アクセス ロールであることを示しています。

View Online Users ページに表示されているにもかかわらず、Clean Access の Certified List にないデバイスは、一般に、認証プロセス中のデバイスです。

IB ユーザ

In-Band リンクをクリックすると、IB ユーザの View Online Users ページが表示されます(図13-2)。In-Band Online Users リストは、Clean Access ネットワークにログインしている IB ユーザを追跡します。

ユーザが Web ログインまたは CAA を介してネットワークにログインすると、CAM はこのリストにクライアント IP および MAC アドレス(使用可能な場合)を追加します。

Online Users リストからユーザを削除すると、そのユーザは IB ネットワークからログオフします。

図13-2 View Online Users ページ -- IB

 


) AD SSO ユーザの場合は、Online Users ページと Certified Devices ページで、Provider フィールドに AD_SSO と表示され、User/User Name フィールドにはユーザ名とユーザのドメインの両方が示されます(たとえば、user1@domain.name.com)。


OOB ユーザ

Out-of-Band リンクをクリックすると、OOB ユーザの View Online Users ページが表示されます(図13-3)。

Out-of-Band Online Users リストは、(信頼できるネットワーク上の)アクセス VLAN にある認証済みの OOB ユーザをすべて追跡します。クライアントがアクセス VLAN に切り替わると、CAM はユーザ IP アドレスを Out-of-Band Online Users リストに追加します。


) OOB オンライン ユーザの [User IP] は、認証 VLAN 上のそのユーザの IP アドレスです。定義上は、CCA はユーザが一旦アクセス VLAN 上に配置されると、そのユーザを追跡しません。したがって、OOB ユーザは CCA ネットワーク内に存在する間、認証 VLAN IP アドレスによって追跡されます。


Out-of-Band Online Users リストからユーザが削除されると、通常は次のようになります。

1. CAM がスイッチ ポートをバウンスする(オフおよびオン)。

2. スイッチが CAM に SNMP トラップを再送信する。

3. CAM は、制御ポートに対応する設定済みポート プロファイルに基づいて、ポートの VLAN を変更します。


) Certified List から OOB ユーザを削除すると、Out-of-Band Online Users リストからもそのユーザが削除され、ポートはアクセス VLAN から認証 VLAN に変更されます。



) ポート プロファイルの [Remove Out-of-Band online user without bouncing port] オプションをオンにすると、以下の場合に、OOB Virtual Gateways のスイッチ ポートがバウンスしません。

OOB Online Users List からユーザが削除された場合

Certified Devices List からデバイスが削除された場合

代わりに、ポートに接続されたアクセス VLAN が認証 VLAN に変更されます(詳細は、 ポート プロファイルの追加を参照)。


 

図13-3 View Online Users ページ -- OOB

 


) AD SSO ユーザの場合は、Online Users ページと Certified Devices ページで、Provider フィールドに AD_SSO と表示され、User/User Name フィールドにはユーザ名とユーザのドメインの両方が示されます(たとえば、user1@domain.name.com)。


詳細については、 第 4 章「スイッチ管理:アウトオブバンド(OOB)配置の設定」 を参照してください。

表13-2 に、オンライン ユーザ ページからユーザを削除する場合の検索基準、情報/ナビゲーション要素、およびオプションを示します。カラム ヘッダーをクリックすると、そのカラムを基準としてページのエントリが並べ替えられます。

 

表13-2 View Online Users ページの設定項目

項目
説明

User Name

ログインに使用したユーザ名が表示されます。

検索基準:

Clean Access Server

Any Clean Access Server(任意の CAS)

<特定の CAS IP アドレス>

Provider

Any Provider(任意のプロバイダー)

<特定の認証プロバイダー>

Role

Any Role(任意のロール)

Unauthenticated Role

Temporary Role

Quarantine Role

<特定のロール>

Switch (OOB のみ)

Any Switch(任意のスイッチ)

<特定のスイッチ IP アドレス>

Select Field

User Name(ユーザ名)

IP Address(IP アドレス)

MAC Address(MAC アドレス)

Operator

equals:テキスト値がこの演算子と完全一致する必要があります。
starts with:
ends with:
contains:

Search Text

選択された演算子を使用して検索する値を入力します。

制御:

View

検索基準を選択したら、View をクリックして、結果を表示します。CAS、プロバイダー、ユーザ ロール、ユーザ名、IP アドレス、MAC アドレス(使用可能な場合)、またはスイッチ(OOB のみ)別にユーザを表示できます。

Reset View

デフォルト ビューに戻します(検索基準は [Any] にリセットされます)。

Kick Users

Kick Users をクリックすると、検索基準を使用してフィルタリングされたユーザ セッションが、適用可能な複数のページにわたってすべて終了します。ユーザへの View 操作に使用された任意の検索基準に従って、ネットワークからユーザを選択的に削除することができます。図13-2 の「フィルタリング済みユーザ インジケータ」には、Kick Users をクリックした場合に終了するフィルタリング済みユーザの総数が表示されます。

Reset Max Users

最大ユーザ数を、[Active users:] ステータス フィールドに表示されるユーザの実数にリセットします(図13-2)。

Kick User

ページに表示されたユーザ数と同数のユーザを削除するには、各ユーザの横にあるチェックボックスをオンにして、Kick User ボタンをクリックします。

ナビゲーション:

First/Previous/Next/Last

これらのナビゲーション リンクを使用すると、オンライン ユーザ リストのページを移動することができます。各ページには最大で 25 のエントリが表示されます。

CAS、認証プロバイダー、またはロール別のユーザ表示

1. View Online Users ページで、特定の CAS を選択するか、または先頭フィールドを Any CCA Server のまま残します。

2. 特定の認証プロバイダーを選択するか、または Any Provider のまま残します。

3. 特定のユーザ ロールを選択するか、 Any Role のまま残します。

4. View をクリックして、CAS、プロバイダー、ロール、またはこれらの任意の組み合わせを基準として、ユーザを表示します。

ユーザ名、IP、または MAC アドレスによる検索

1. Search For: の横にある Select Field ドロップダウン メニューで、 User Name IP Address 、または MAC Address をクリックします。

2. 4 つの演算子 starts with ends with contains exact match のいずれかを選択します。

3. Search For: テキスト フィールドに検索するテキストを入力します。 exact match 演算子を使用する場合は、入力した検索テキストに完全一致したエントリだけが返されます。

4. View をクリックして、結果を表示します。

ネットワークからのユーザのログオフ

Kick Users をクリックすると、検索基準を使用してフィルタリングされたユーザ セッションが、適用可能な複数のページにわたってすべて終了します。各ページには最大で 25 のエントリが表示されます。ユーザへの View 操作に使用された任意の検索基準に従って、ネットワークからユーザを選択的に削除することができます。図13-2 の「フィルタリング済みユーザ インジケータ」には、Kick Users ボタンをクリックした場合に終了するフィルタリング済みユーザ セッションの総数が表示されます。

1. Monitoring > Online Users > View Online Users に移動します。

2. ユーザ セッションを終了するには、次のいずれかを実行します。

Kick Users をクリックして、ネットワークからすべてのユーザ(検索基準に従ってフィルタリングされたユーザ)を削除します。

各ユーザの横にあるチェックボックスをオンにし、 Kick User ボタンをクリックして、ユーザを個別に削除します。

オンライン ユーザ リスト(およびネットワーク)からユーザを削除しても、 Certified List からユーザは削除されません。ただし、Certified List からユーザを削除すると、このユーザはネットワークからもログオフします。詳細は、「Certified List」を参照してください。

設定の表示

図13-4 に、IB ユーザの Display Settings ページを示します。

図13-4 Display Settings ページ -- IB

 

 


) • Role:ログイン時にユーザに割り当てられるロール

IPSec Type: 暗号化接続上のユーザには、次のようなロックが付加されます。

何もないロックは、IPSec 接続を示します。

左下に [L] のラベルがあるロックは、L2TP(レイヤ 2 トンネリング プロトコル)接続を示します。

左下に [P] のラベルがあるロックは、PPTP(ポイントツーポイント トンネリング プロトコル)接続を示します。

Foreign CCA Server: 詳細は、「ローミング ユーザのモニタ」を参照してください。


 

図13-5 に、OOB ユーザの Display Settings ページを示します。

図13-5 Display Settings ページ -- OOB

 

View Online Users ページに表示される情報を選択する手順:

1. Display Settings タブをクリックします。

2. リストに表示する項目の横にあるチェックボックスをオンにします。

3. Update をクリックします。

4. View Online Users タブをクリックして、目的の設定が表示されるか確認します。

イベント ログの意味

Monitoring モジュールの Event Logs リンクをクリックして、管理コンソールの Syslog ベース イベント ログを表示します。Log Viewer、Logs Settings、および Syslog Settings の 3 つのイベント ログ タブがあります。

ログの表示

図13-6 に Log Viewer ペインを示します。

図13-6 Log Viewer ペイン

 

Log Viewer タブには次の情報が表示されます。

CAS のシステム統計情報(デフォルトでは 4 時間おきに生成)

ユーザ ログオン時刻、ログオフ時刻、ログオン失敗回数などを含む、ユーザ アクティビティ

MAC または IP パススルー リストの変更、CAS の追加や削除を含む、ネットワーク設定イベント

リンクダウン トラップを受信した場合、および認証 VLAN やアクセス VLAN のポートが変更された場合を含む、スイッチ管理イベント(OOB の場合)

Clean Access チェック、規則、および Supported AV/AS Product List に対する変更やアップデート

CAS DHCP 設定に対する変更

システム統計情報は、CAM が管理する CAS ごとに、デフォルトで 1 時間おきに生成されます。システム チェックの発生頻度を変更する手順については、「Syslog ロギングの設定」を参照してください。


) Events カラムには、最新のイベントが最初に表示されます。


表13-3 に、ナビゲーション、検索機能、および Log Viewer ペインに実際に表示される Syslog を示します。

 

表13-3 Log Viewer ページ

カラム
説明

ナビゲーション

First Page/Previous Page/ Previous Entry/Specific Page/Next Entry/Next Page/Last Page

Page Size

ウィンドウ内に表示されるログ エントリの数。ページあたり、10、25、または 100 のエントリを指定できます。

Column

カラム見出し(Type や Category など)をクリックし、このカラムを基準としてイベント ログを並べ替えます。

検索基準

Type

Type カラムを基準として検索します(その後、 Filter をクリックします)。

Any Type

Failure

Information

Success

Category

Category カラムを基準として検索します(その後、 Filter をクリックします)。

Authentication 1

Administration

Client

Clean Access Server

Clean Access

SW_Management(OOB がイネーブルの場合)

Miscellaneous

DHCP

Time

次の時間基準に基づいて検索します(その後、 Filter をクリックします)。

Within one hour

Within one day

Within two days

Within one week

Anytime

One hour ago

One day ago

Two days ago

One week ago

Search in log text

目的の検索テキストを入力し、 Filter をクリックします。

制御

Filter

目的の検索基準を選択したら、 Filter をクリックして、結果を表示します。

Reset

Reset をクリックすると、デフォルト ビューに戻り、1 日以内のログが表示されます。

Delete

Delete をクリックすると、検索基準を使用してフィルタリングされたイベントが、適用可能な複数のページにわたってすべて削除されます。Delete をクリックすると、CAM ストレージからフィルタリング済みイベントが削除されます。Delete を使用して削除しなかった場合は、システムがシャットダウンしても、イベント ログは維持されます。図13-6に示されたフィルタリング済みイベント インジケータを使用して、削除対象のフィルタリング済みイベントの総数を表示します。

ステータス表示

Type

レッドのフラグ( ) = 失敗。エラー、または予期せぬイベントを示します。

グリーンのフラグ( ) = 成功。ログインや設定アクティビティの成功など、成功したイベントあるいは標準使用イベントを示します。

イエローのフラグ( ) = 情報。負荷情報やメモリ使用率など、システム パフォーマンス情報を示します。

Category

ログ イベントを開始したモジュールまたはシステム コンポーネントを示します(リストについては、Categoryを参照)。システム統計情報は、CAM が管理する CAS ごとに、デフォルトで 1 時間おきに生成されます。

Time

イベントの日時(hh:mm:ss)を、最新のイベントから順に表示します。

Event

モジュールのイベントを、最新のイベントから順に表示します。CAS イベントの例については、 表13-4 を参照してください。

1.Authentication タイプのエントリに、[Provider:<プロバイダー タイプ>, Access point:N/A, Network:N/A] という項目が含まれる場合があります。廃止されたレガシー無線クライアントを引き続きサポートするために(既に存在し、Manager 内で事前に設定されている場合)、[Access point:N/A, Network:N/A] フィールドに、それぞれレガシー クライアントの AP MAC 情報と SSID 情報が表示されます。

イベント ログの例

表13-4 に、次に示す一般的な CAS ヘルス イベントの例を示します。

CleanAccessServer 2007-04-05 09:03:31 10.201.15.2 System Stats: Load factor 0 (max since reboot: 2) Mem (bytes) Total: 528162816 Used: 295370752 Free: 232792064 Shared: 0 Buffers: 41537536 Cached: 179576832 CPU User: 0% Nice: 0% System: 1% Idle: 99%
 

 

表13-4 Event カラム フィールド

説明

CleanAccessServer

CAS はイベントを報告しています。

2007-04-05 09:03:31

イベントの日時

10.201.15.2

報告元 CAS の IP アドレス

System Stats:

システム統計情報は、CAM が管理する CAS ごとに、デフォルトで 1 時間おきに生成されます。

Load factor 0

負荷係数は、CAS で処理するために待機しているパケット数(現在 CAS で処理している負荷)を示す数値です。負荷係数が大きい場合は、キュー内で処理を待機しているパケットがあります。負荷係数が一定時間(5 分間など)500 を超えた場合、CAS には着信トラフィック/パケットによる大量の負荷が発生しています。この数値が 500 以上になったら、注意が必要です。

(max since reboot:<n>)

キュー内に一度に格納できる最大パケット数(CAS で処理される最大負荷)

Mem Total:528162816 bytes

メモリ使用率に関する統計情報。ここには、メモリ合計、使用メモリ、空きメモリ、共有メモリ、バッファ メモリ、キャッシュ メモリの 6 つの数値が表示されます。

Used:295370752 bytes

Free:232792064 bytes

Shared:0 bytes

Buffers:41537536 bytes

Cached:179576832 bytes

CPU User: 0%

これらの数値は、ハードウェアの CPU プロセッサ負荷をパーセントで示します。4 つの数値は、ユーザ プロセス、正常なプロセス、システム プロセス、およびアイドル プロセスのシステム消費時間です。


) CAS の場合、システム プロセスで CPU が消費する時間は、通常 90% を超えています。この値はシステムが正常なことを示します。


Nice: 0%

System: 1%

Idle: 99%

ログ対象イベント数の制限

イベント ログしきい値は、CAM データベースに格納されるイベント数です。CAM に保持されるログ イベントの最大数は、デフォルトで 100,000 です。CAM データベースに一度に格納されるイベント ログのしきい値には、最大で 200,000 エントリを指定できます。イベント ログは循環ログです。ログ数がイベント ログしきい値を超えると、最も古いエントリが上書きされます。

最大イベント数を変更する手順:

1. Monitoring > Event Logs ページの Logs Setting タブをクリックします。

2. Maximum Event Logs フィールドに新しい数値を入力します。

3. Update をクリックします。

Syslog ロギングの設定

システム統計情報は、CAM が管理する CAS ごとに、デフォルトで 1 時間おきに生成されます。デフォルトでは、イベント ログは CAM に書き込まれます。CAM イベント ログは、別のサーバ(ユーザ専用の syslog サーバなど)にリダイレクトすることもできます。

さらに、 Syslog Health Log Interval フィールドに値(デフォルトは 60 分)を設定して、CAM がシステム ステータス情報を記録する頻度を設定できます。

Syslog ロギングの設定手順:

1. Monitoring > Event Logs > Syslog Settings に移動します。

2. Syslog Server Address フィールドで、syslog サーバの IP アドレス(デフォルトは 127.0.0.1 )を入力します。

3. Syslog Server Port フィールドで、syslog サーバのポート番号(デフォルトは 514 )を入力します。

4. System Health Log Interval フィールドで、CAM がシステム ステータス情報を記録する頻度を分単位(デフォルトは 60 分)で入力します。この設定により、CAS 統計情報がイベント ログに記録される頻度が決まります。

5. Update ボタンをクリックして、変更を保存します。


) CAM で syslog サーバを設定したあと、一旦ログオフし、再度 CAM 管理コンソールにログインすると設定をテストできます。この操作により、syslog イベントが生成されます。CAM イベントが syslog サーバに表示されない場合は、syslog サーバが UDP 514 パケットを受信していること、さらに、ネットワークのいずれかの場所でそれらがブロックされていないことを確認してください。


ログ ファイル

イベント ログは CAM データベース テーブルに格納され、log_info という名前が付けられます。 表13-5 に CAM 内のその他のログを示します。

 

表13-5 CAM のログ ファイル

ファイル
説明
/var/log/messages

起動

/var/log/dhcplog

DHCP リレー、DHCP ログ

/tmp/perfigo-log0.log.*

3.5(4) 以前の Perfigo サービス ログ 2

/perfigo/logs/perfigo-log0.log.*

3.5(5) 以上の Perfigo サービス ログ 13

/perfigo/logs/perfigo-redirect-log0.log.0

証明書関連の CAM/CAS 接続エラー

/var/nessus/logs/nessusd.messages
Nessus plugin test logs
/perfigo/control/apache/logs/*

SSL(証明書)、Apache エラーログ

/perfigo/control/tomcat/logs/localhost*.

Tomcat、リダイレクト、JSP ログ

/var/log/ha-log

ハイ アベイラビリティ ログ(CAM および CAS 用)

2.* でなく 0 の場合は、最新ログを示します。

3.スイッチから CAM に着信した通知に関するスイッチ管理イベントが書き込まれるのは、ファイル システム
(/perfigo/logs/perfigo-log0.log.0)のログのみです。また、これらのイベントがディスクに書き込まれるのは、ログ レベルが INFO 以上に設定されている場合のみです。

詳細については、「サポート ログ」および「証明書関連ファイル」も参照してください。

SNMP

SNMP 管理ツール(HP OpenView など)で管理/モニタされるように、CAM を設定できます。この機能を使用すると、SNMP(v1)を使用した最小限の管理を実行できます。今後のリリースでは、SNMP を介してさらに多くの情報/アクションが公開されると予測されます。

Monitoring > SNMP を使用して、CAM に基本的な SNMP ポーリングおよびアラートを設定できます。SNMP ポーリングおよびアラートは、デフォルトでディセーブルです。 Monitoring > SNMP Enable ボタンをクリックすると、次の機能がアクティブになります。

SNMP ポーリング ― SNMP rocommunity(「読み取り専用コミュニティ」)ストリングを指定すると、CAM は snmpget および snmpwalk 要求に正しいコミュニティ ストリングで応答します。

SNMP トラップ ― トラップ シンクを追加して、トラップを送信するように CAM を設定できます。 トラップ シンク は、トラップを受信するように設定された任意のコンピュータ(通常は管理ボックス)です。送信されるすべてのトラップは、バージョン 1(v1)トラップです。トラップ シンクごとに、各トラップのコピーが 1 つ送信されます。

イネーブルな場合、SNMP モジュールは次のプロセスをモニタします。

SSH デーモン

Postgres データベース

CAM

Apache Web サーバ

CAM は次の場合にもトラップを送信します。

CAM がオンラインになった場合

CAM がシャットダウンした場合

CAM が管理対象の CAS と接続した場合、または切断された場合

SNMP サービスが起動した場合(Cold Start Trap が送信された場合)

ここでは、次の項目について説明します。

SNMP ポーリング/アラートのイネーブル化

新しいトラップ シンクの追加

SNMP ポーリング/アラートのイネーブル化

1. Monitoring > SNMP に移動して、SNMP 設定ページを起動します(図13-7)。

図13-7 Monitoring > SNMP ページ

 

2. Enable ボタンをクリックして、SNMP ポーリングおよび SNMP トラップをアクティブにします。

3. 次のフィールドの値を指定します。

Read-Only Community String:
CAM が snmpget および snmpwalk 要求に正しいコミュニティ ストリングで応答できるようにする文字列を指定します。
ブランクのまま残すと、CAM の SNMP ポーリングに対するすべての CAM 応答がディセーブルになります。

Disk Trap Threshold%:(デフォルトは 50%)
ルート パーティションの空きスペースが指定割合よりも小さくなると、トラップが送信されます。

One-Minute Load Average Threshold: (デフォルトは 3.0)
1 分間の負荷平均がここに設定したしきい値を超えると、トラップが送信されます。標準 UNIX 定義に従って負荷平均を入力します。たとえば、1 分間の負荷平均が 1.0 の場合、CPU 時間不足によりブロックされたプロセスが、1 分間に少なくとも 3 つあったことを意味します。

Five-Minute Load Average Threshold: (デフォルトは 2.0)
5 分間の負荷平均がここに設定したしきい値を超えると、トラップが送信されます。標準 UNIX 定義に従って負荷平均を入力します。

Fifteen-Minute Load Average Threshold: (デフォルトは 1.0)
15 分間の負荷平均がここに設定したしきい値を超えると、トラップが送信されます。標準 UNIX 定義に従って負荷平均を入力します。

4. Update をクリックして、SNMP 設定を新しいしきい値で更新します。

5. Download をクリックして、SNMP MIB(管理情報ベース)アーカイブを .tar.gz 形式でダウンロードします。

新しいトラップ シンクの追加

トラップ シンクを追加して、トラップを送信するように CAM を設定できます。送信されるすべてのトラップは、バージョン 1(v1)トラップです。トラップ シンクごとに、各トラップのコピーが 1 つ送信されます。

1. ペインの右上にある Add New Trapsink リンクをクリックして、Add New Trapsink フォームを起動します。

2. Trapsink IP を入力します。

3. Trapsink Community ストリングを入力します。

4. オプションの Trapsink Description を入力します。

5. Update をクリックして、SNMP Trapsink テーブルを更新します。

図13-8 新しいトラップ シンクの追加

 

トラップ シンク設定が完了すると、CAM は UDP テーブル エントリを参照する DISMAN-EVENT 形式のトラップを送信します。ルート パーティションの残りのスペース サイズが設定値(デフォルトは 50%)を下回って、CPU 負荷が 1、5、または 15 分間にわたって設定値を超えた場合も、CAM はトラップを送信します。

トラップには次の内容が含まれます。

 

トラップの内容
説明

タイプ:エンタープライズープライズ固有(1)

SNMP トラップ OID(1.3.6.1.6.3.1.1.4.1.0)

DISMAN-EVENT-MIB 2.0.1(1.3.6.1.2.1.88.2.0.1)に設定されます。

DISMAN mteObjectsEntry の内容:

mteHotTrigger(OID 1.3.6.1.2.1.88.2.1.1)

一般に次のようになります。
プロセスの場合は「プロセス テーブル」
負荷平均アラートの場合は「laTable」
ディスク容量アラートの場合は「dskTable」」
仮想メモリ アラートの場合は「メモリ」

mteHotTargetName(OID 1.3.6.1.2.1.88.2.1.2)

常にブランクです。

mteHotContextName(OID 1.3.6.1.2.1.88.2.1.3)

常にブランクです。

mteHotOID(OID 1.3.6.1.2.1.88.2.1.4)

イベントをトリガーしたデータを格納する UCD テーブルの OID に設定されます。

mteHotValue(OID 1.3.6.1.2.1.88.2.1.5)

トラップがエラーでない場合は、0 に設定されます。
エラー 条件が報告されている場合は ゼロ以外の値に設定されます(通常は 1)。

mteFailedReason(OID 1.3.6.1.2.1.88.2.1.6)

アラート送信理由を示すストリングに設定されます。