Cisco NAC アプライアンス - Clean Access Manager インストレーション コンフィギュレーショ ン ガイド
オンライン ユーザとイベント ログのモニタリ ング
オンライン ユーザとイベント ログのモニタリング
発行日;2012/02/26 | 英語版ドキュメント(2011/06/03 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 29MB) | フィードバック

目次

オンライン ユーザとイベント ログのモニタリング

概要

オンライン ユーザ リスト

アクティブ ユーザの意味

オンライン ユーザの表示

インバンド ユーザ

アウトオブバンド ユーザ

設定の表示

イベント ログの意味

ログの表示

イベント ログの例

ログ対象イベント数の制限

Syslog ロギングの設定

Cisco NAC アプライアンスのログ ファイル

ログ ファイル サイズ

SNMP

SNMP ポーリング/アラートのイネーブル化

新しいトラップ シンクの追加

オンライン ユーザとイベント ログのモニタリング

この章では、Cisco NAC アプライアンスの Monitoring モジュールについて説明します。この章の内容は次のとおりです。

「概要」

「オンライン ユーザ リスト」

「イベント ログの意味」

「Syslog ロギングの設定」

「Cisco NAC アプライアンスのログ ファイル」

「SNMP」

概要

図 15-1 Monitoring モジュール

 

[Monitoring] ページには、ユーザ アクティビティ、Syslog イベント、ネットワーク設定変更に関する情報など、配置に関する操作情報が表示されます。Monitoring モジュールには基本的な SNMP(簡易ネットワーク管理プロトコル)ポーリングおよびアラート機能もあります。[Monitoring Summary] ステータス ページには、重要な統計情報の要約が表示されます(図 15-2を参照してください)。

図 15-2 [Monitoring] > [Summary] ページ

 

このページには、 表 15-1 に示された情報が表示されます。

 

表 15-1 [Monitoring] > [Summary] ページ

項目
説明

Current Windows Clean Access Agent Version

CAM ソフトウェアとともにインストールされた、または手動でアップロードされた、Clean Access Agent の現在の Windows バージョン([Version] フィールドの内容を反映)

Current Windows Clean Access Agent Patch Version

CAM および CAS にダウンロードされた、クライアント自動アップグレードで入手可能な最新の Windows Clean Access Agent パッチ

Current Macintosh Clean Access Agent Version

CAM ソフトウェアとともにインストールされた、または手動でアップロードされた、Mac OS X Clean Access Agent の現在のバージョン([Version] フィールドの内容を反映)

Current Cisco NAC Web Agent Version

CAM ソフトウェアとともにインストールされた、または手動でアップロードされた、Cisco NAC Web Agent の現在のバージョン([Version] フィールドの内容を反映)

Clean Access Servers configured

Clean Access Manager ドメインの CAS 管理ページで設定された Clean Access Server の数

Global MAC addresses configured (addresses/ranges)

MAC(メディア アクセス制御)/IP デバイス フィルタ パススルー リストに現在記述されているアドレス数と範囲。MAC パススルー リストの詳細については、「デバイスおよびサブネットのグローバル フィルタリング」を参照してください。

Global Subnets configured

サブネットベース パススルー リストに現在記述されているサブネット アドレス数。詳細については、「デバイスおよびサブネットのグローバル フィルタリング」を参照してください。

Online users (In-Band / Out-of-Band)

これらのエントリには、次の項目が表示されます。

IB の合計数または OOB オンライン ユーザ名、もしくは両方

IB の合計数または OOB オンライン MAC アドレス、もしくは両方

ユーザ ロールあたりの IB 数および OOB オンライン ユーザの数

(注) ロール単位のユーザ数は、[Monitoring] > [Online Users] > [View Online Users] ページにリンクされています。リンクをクリックすると、特定のロールに対応する IB または OOB オンライン ユーザ リストが表示されます。

オンライン ユーザ リスト

[Monitoring] > [Online Users] > [View Online Users] タブから、2 つの [Online Users] リストが表示されます。

In-Band Online Users

ネットワークにログインした、認証済みの IB ユーザを追跡します。ネットワーク上にアクティブ セッションを持つ IB ユーザは、IP アドレス、MAC アドレス(使用可能な場合)、認証プロバイダー、ユーザ ロールなどの特性別に表示されます。

[In-Band Online Users] リストからユーザを削除すると、そのユーザはインバンド ネットワークからログオフします。

Out-of-Band Online Users

アクセス VLAN(信頼できるネットワーク)上の認証済みのアウトオブバンド ユーザをすべて追跡します。アウトオブバンド ユーザは、IP アドレス、MAC アドレス(使用可能な場合)、認証プロバイダー、ユーザ ロールだけでなく、スイッチ IP、ポート、およびアクセス VLAN を基準としてリストすることもできます。

[Out-of-Band Online Users] リストからユーザを削除すると、ポートの VLAN がアクセス VLAN から認証 VLAN に変更されます。さらに、ポートにバウンスするポート プロファイルを設定できます(Real-IP/NAT ゲートウェイ用)。詳細については、「アウトオブバンド ユーザ」および「OOB ユーザ」を参照してください。

両方の [Online Users] リストは、ユーザの IP アドレスに基づいています。次の点に注意してください。

レイヤ 2 配置の場合、[User MAC] アドレス フィールドは有効です。

レイヤ 3 配置の場合、[User MAC] アドレス フィールドは 無効 です(00:00:00:00:00:00 など)。

クライアント MAC アドレスに基づくのは、[Certified Devices] リストだけであるため、レイヤ 3 配置のユーザに [Certified Devices] リストは適用されません。

アウトオブバンド配置の場合、OOB ユーザは常に [In-Band Online Users] リストに最初に表示され、その後 [Out-of-Band Online Users] リストに表示されます。管理対象スイッチの制御ポートからユーザ トラフィックが着信している場合、認証プロセス中はこのユーザが最初に [In-Band Online Users] リストに表示されます。その後ユーザが認証され、アクセス VLAN に移動してから、[Out-of-Band Online Users] リストにユーザが移動します。

最後に、[Display Settings] タブで、各 [Online Users] ページに表示するユーザ特性を選択できます。


) ユーザ デバイスが、VPN3000/ASA デバイスの背後から Cisco NAC アプライアンスに接続している場合、CAS/CAM が使用可能な最初の物理アダプタの MAC アドレスを使用して、Online Users リスト上のユーザを特定します。ユーザがネットワークに接続するために使用しているデバイスは、必ずしもアダプタであるとは限りません。有線(イーサネット カード)インターフェイスを使用してネットワークに接続しているユーザは、マシンの無線インターフェイスを「ディセーブル」にする必要があります。


アクティブ ユーザの意味

Cisco NAC アプライアンス ネットワークにログインした場合、次のいずれかのイベントが発生するまで、アクティブなユーザ セッションは存続します。

ブラウザのログアウト ページまたは Clean Access Agent/Cisco NAC Web Agent ログアウトを通じて、ユーザがネットワークからログアウトした場合

ネットワーク上のユーザは、コンピュータのシャットダウン/再起動後も、ログインし続けることができます。ユーザがネットワークからログアウトするには、Web ログアウト ページまたは Clean Access Agent/Cisco NAC Web Agent ログアウトを使用します。

Clean Access Agent/Cisco NAC Web Agent ユーザが Windows からログオフしたり、Windows マシンをシャットダウンしたりした場合

ユーザが Windows ドメインからログオフした場合に、Clean Access システムからインバンド ユーザだけをログオフするように([スタート] > [シャットダウン] > [現在のユーザーのログオフ])、またはマシンをシャットダウンするように([スタート] > [シャットダウン] > [シャットダウン])、CAM および Agent を設定できます。

管理者がネットワークからユーザを手動で削除した場合

[Monitoring] > [Online Users] > [View Online Users] ページ(IB または OOB)を使用すると、Certified Devices List からクライアントを削除しないで、ネットワークからユーザを削除できます。

セッション タイマーを使用してセッションがタイムアウトした場合

セッション タイマーは、マルチホップ L3(IB)配置でも L2(IB または OOB)配置と同じ方法で機能します。設定は、[User Management] > [User Roles]> [Schedule] > [Session Timer] で行います。このタイマーはユーザ ロール単位で設定され、設定時間が経過すると、選択されたロール内のユーザをすべてネットワークからログアウトします。詳細については、「セッション タイマーの設定(ユーザ ロール単位)」を参照してください。

CAS がハートビート タイマーを使用して、そのユーザが接続されていないと判断し、CAM がそのセッションを終了した場合

ハートビート タイマーは L2 IB 配置にだけ適用され、ロールに関係なくすべてのユーザに設定されます。このタイマーをすべての Clean Access Server にグローバルに設定するには、フォーム [User Management] > [User Roles] > [Schedule] > [Heartbeat Timer] を使用します。特定の Clean Access Server に設定するには、ローカル フォーム [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Misc] > [Heartbeat Timer] を使用します。詳細については、「ハートビート タイマー(ユーザ非アクティブ タイムアウト)の設定」を参照してください。

ハートビート タイマーは L3 配置では機能せず、OOB ユーザには適用されません。ただし、CAS が VPN コンセントレータの背後にある最初のホップである場合は、ハートビート タイマーが機能することに注意してください。この場合、VPN コンセントレータは、その現在のトンネル クライアントの IP アドレスに対する ARP クエリに応答するからです。

Certified Device リストが消去され(自動または手動で)、そのユーザがネットワークから削除された場合

Certified Devices List は L2(IB または OOB)配置にだけ適用され、グローバル Certified Devices タイマー フォーム([Device Management] > [Clean Access] > [Certified Devices] > [Timer])を使用して、自動的かつ定期的に削除されるようにスケジュールできます。Certified Devices List から特定の Clean Access Server の認証済みデバイスを手動で削除するには、ローカル フォーム [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Filters] > [Clean Access] > [Certified Devices] を使用します。すべての Clean Access Server の Certified Devices List を手動で削除するには、グローバル フォーム [Device Management] > [Clean Access] > [Certified Devices] を使用します。詳細については、「証明済みデバイスの管理」を参照してください。

Certified Devices List には、リモート VPN/L3 クライアントは表示されないことを覚えておいてください(これらのセッションは MAC アドレスベースでなく IP ベースです)。

VPN コンセントレータに SSO および自動ログアウトが設定されていて、ユーザが VPN から切断された場合

自動ログアウトがイネーブルな場合に、ユーザが VPN クライアントから切断されると、そのユーザは Online Users リストから自動的に削除されます(IB)。

マルチホップ L3 VPN コンセントレータ統合に SSO が設定されているときに、CAS 上のユーザのセッションがタイムアウトしたにもかかわらず、VPN コンセントレータに引き続きログインしている場合、そのユーザはユーザ名/パスワードを入力しなくても、CAS に再ログインできることに注意してください。


) CAS または別のサーバが DHCP に使用されているときに、ユーザの DHCP リース期間が切れた場合、そのユーザは Online Users リストにとどまります(インバンドまたはアウトオブバンド)。リース期限が切れると、クライアント マシンはリースの更新を試みます。


詳細については、「ユーザ セッション タイムアウトおよびハートビート タイムアウトの設定」および「OOB ユーザ」も参照してください。

オンライン ユーザの表示

[View Online Users] タブには、[In-Band] と [Out-of-Band] の 2 つのオンライン ユーザ リストに対応した 2 つのリンクが表示されます。

デフォルトでは、[View Online User] ページには各ユーザのログイン ユーザ名、IP および MAC アドイス(使用可能な場合)、プロバイダー、およびロールが表示されます。OS バージョン、スイッチ ポート(アウトオブバンド ユーザの場合)など、表示するカラム情報を選択する方法については、「設定の表示」を参照してください。

エントリの 緑色 のバックグラウンドは、Clean Access ネットワークにアクセス中のユーザ デバイスが、Quarantine ロールまたは Agent Temporary ロールのいずれかの一時ロールであることを示しています。

エントリの 青色 のバックグラウンドは、Clean Access ネットワークにアクセス中のユーザ デバイスが制限付きネットワーク アクセス ロールであることを示しています。

[View Online Users] ページに表示されているにもかかわらず、Clean Access の Certified Devices List にないデバイスは、一般に、認証プロセス中のデバイスです。

インバンド ユーザ

[In-Band] リンクをクリックすると、インバンド ユーザの [View Online Users] ページが表示されます(図 15-3)。In-Band Online Users リストは、Clean Access ネットワークにログインしているインバンド ユーザを追跡します。

ユーザが Web ログインまたは Clean Access Agent /Cisco NAC Web Agent のいずれかを介してネットワークにログインすると、Clean Access Manager によって、このリストにクライアント IP および MAC アドレス(使用可能な場合)が追加されます。

Online Users リストからユーザを削除すると、そのユーザはインバンド ネットワークからログオフします。

図 15-3 View Online Users ページ:In-Band

 


) AD SSO ユーザの場合は、[Online Users] ページと [Certified Devices] ページで、[Provider] フィールドに AD_SSO と表示され、[User]/[User Name] フィールドにはユーザ名とユーザのドメインの両方が示されます(たとえば、user1@domain.name.com)。


アウトオブバンド ユーザ

[Out-of-Band] リンクをクリックすると、アウトオブバンド ユーザの [View Online Users] ページが表示されます(図 15-4)。

Out-of-Band Online Users リストは、(信頼できるネットワーク上の)アクセス VLAN にある認証済みのアウトオブバンド ユーザをすべて追跡します。クライアントがアクセス VLAN に切り替わると、CAM はユーザ IP アドレスを Out-of-Band Online Users リストに追加します。


アウトオブバンド オンライン ユーザの「User IP」は、認証 VLAN 上のユーザの IP アドレスです。定義上は、CCA はユーザが一旦アクセス VLAN 上に配置されると、そのユーザを追跡しません。したがって、OOB ユーザは CCA ネットワーク内に存在する間、認証 VLAN IP アドレスによって追跡されます。


Out-of-Band Online Users リストからユーザが削除されると、通常は次のようになります。

1. CAM がスイッチ ポートをバウンスする(オフおよびオン)。

2. スイッチが CAM に SNMP トラップを再送信する。

3. CAM は、制御ポートに対応する設定済みポート プロファイルに基づいて、ポートの VLAN を変更します。


) Certified Devices List から OOB ユーザを削除すると、Out-of-Band Online Users リストからもそのユーザが削除され、ポートはアクセス VLAN から認証 VLAN に変更されます。



) ポート プロファイルの [Remove Out-of-Band online user without bouncing port] オプションをオンにすると、次の場合に、OOB Virtual Gateway のスイッチ ポートがバウンスしません。

OOB Online Users リストからユーザが削除された場合

Certified Devices List からデバイスが削除された場合

代わりに、ポートのアクセス VLAN が認証 VLAN に変更されます(詳細については、「ポート プロファイルの追加」を参照してください)。


 

図 15-4 [View Online Users] ページ:Out-of-Band

 


) AD SSO ユーザの場合は、[Online Users] ページと [Certified Devices] ページで、[Provider] フィールドに AD_SSO と表示され、[User]/[User Name] フィールドにはユーザ名とユーザのドメインの両方が示されます(たとえば、user1@domain.name.com)。


詳細については、「スイッチ管理:アウトオブバンド配置の設定」を参照してください。

表 15-2 に、オンライン ユーザ ページからユーザを削除する場合の検索基準、情報/ナビゲーション要素、およびオプションを示します。カラム見出しをクリックすると、そのカラムを基準としてページのエントリがソートされることに注意してください。

 

表 15-2 [View Online Users] ページのコントロール

項目
説明

User Name

ログインに使用したユーザ名が表示されます。

検索基準:

CCA Server

任意の Clean Access Server

<特定の CAS IP アドレス>

Provider

任意のプロバイダー

<特定の認証プロバイダー>

Role

任意のロール

Unauthenticated ロール

Temporary ロール

Quarantine ロール

<特定のロール>

Location

任意のスイッチまたはワイヤレス LAN コントローラ

<特定のスイッチ/WLC IP アドレス>

Select Field

ユーザ名

IP アドレス

MAC アドレス

Operator

[equals]:検索テキスト値がこの演算子と完全一致する必要があります。
[starts with]
[ends with]
[contains]

Search Text

選択された演算子を使用して検索する値を入力します。

コントロール:

View

検索基準を選択したら、[View] をクリックして、結果を表示します。CAS、プロバイダー、ユーザ ロール、ユーザ名、IP アドレス、MAC アドレス(使用可能な場合)、またはスイッチ(OOB だけ)別にユーザを表示できます。

Reset View

デフォルト ビューに戻します(検索基準は Any にリセットされます)。

Kick Users

[Kick Users] をクリックすると、検索基準を使用してフィルタリングされたユーザ セッションが、適用可能な複数のページにわたってすべて終了します。ユーザへの [View] 操作に使用された任意の検索基準に従って、ネットワークからユーザを選択的に削除することができます。図 15-3 の「フィルタリング済みユーザ インジケータ」には、[Kick Users] をクリックした場合に終了するフィルタリング済みユーザの総数が表示されます。

Reset Max Users

最大ユーザ数を、[Active users] ステータス フィールドに表示されるユーザの実数にリセットします(図 15-3)。

Kick User

「ページ」に表示されたユーザ数と同数のユーザを削除するには、各ユーザの横にあるチェックボックスをオンにして、[Kick User] ボタンをクリックします。

ナビゲーション:

First/Previous/Next/Last

これらのナビゲーション リンクを使用すると、オンライン ユーザ リストのページを移動することができます。各ページには最大で 25 のエントリが表示されます。

Clean Access Server、認証プロバイダー、またはロール別のユーザ表示

1. [View Online Users] ページで、特定の Clean Access Server を選択するか、先頭フィールドを [Any CCA Server] のまま残します。

2. 特定の認証プロバイダーを選択するか、[Any Provider] のまま残します。

3. 特定のユーザ ロールを選択するか、[Any Role] のまま残します。

4. [View] をクリックして、Clean Access Server、プロバイダー、ロール、またはこれらの任意の組み合わせを基準として、ユーザを表示します。

ユーザ名、IP、または MAC アドレスによる検索

1. [Search For] の横にある [Select Field] ドロップダウン メニューで、[User Name]、[IP Address]、または [MAC Address] を選択します。

2. [starts with]、[ends with]、[contains]、[exact match] の 4 つの演算子のうち 1 つを選択します。

3. [Search For] テキスト フィールドに検索するテキストを入力します。[exact match] 演算子を使用する場合は、入力した検索テキストに完全一致したエントリだけが返されます。

4. [View] をクリックして、結果を表示します。

ネットワークからのユーザのログオフ

[Kick Users] をクリックすると、検索基準を使用してフィルタリングされたユーザ セッションが、適用可能な複数のページにわたってすべて終了します (1 ページに表示される最大エントリ数は 25 であることに注意してください)。ユーザの [View] 操作に使用された任意の検索基準に従って、ネットワークからユーザを選択的に削除できます。図 15-3 の「フィルタリング済みユーザ インジケータ」には、[Kick Users] ボタンをクリックした場合に終了するフィルタリング済みユーザ セッションの総数が表示されます。

1. [Monitoring] > [Online Users] > [View Online] [Users]に移動します。

2. ユーザ セッションを終了するには、次のいずれかを実行します。

[Kick Users] をクリックして、ネットワークからすべてのユーザ(検索基準に従ってフィルタリングされたユーザ)を削除します。

各ユーザの横にあるチェックボックスをオンにし、[Kick User] ボタンをクリックして、ユーザを個別に削除します。

オンライン ユーザ リスト(およびネットワーク)からユーザを削除しても、[Certified Devices] リストからユーザは削除されないことに注意してください。ただし、Certified Devices List からユーザを削除すると、このユーザはネットワークからもログオフします。詳細については、「Certified Devices List」を参照してください。

設定の表示

図 15-5 に、インバンド ユーザの [Display Settings] ページを示します。

図 15-5 Display Settings:In-Band

 


) [Role]:ログイン時にユーザに割り当てられるロールです。



 

図 15-6 に、アウトオブバンド ユーザの [Display Settings] ページを示します。

図 15-6 [Display Settings] ページ:Out-of-Band

 

[View Online Users] ページに表示される情報を選択する手順を実行します。

1. [Display Settings] タブをクリックします。

2. リストに表示する項目の横にあるチェックボックスをオンにします。

3. [Update] をクリックします。

4. [View Online Users] タブをクリックして、目的の設定が表示されるか確認します。

イベント ログの意味

[Monitoring] モジュールの [Event Logs] リンクをクリックして、管理コンソールの Syslog ベース イベント ログを表示します。[Event Logs] タブには、[Log Viewer]、[Logs Settings]、および [Syslog Settings] の 3 つがあります。

ログの表示

図 15-7 に [Log Viewer] ペインを示します。

図 15-7 [Log Viewer] ペイン

 

[Log Viewer] タブには次の情報が表示されます。

Clean Access Server のシステム統計情報(デフォルトでは 4 時間おきに生成)

ユーザ ログイン時刻、ログオフ時刻、ログイン失敗回数などを含む、ユーザ アクティビティ

MAC または IP パススルー リストの変更、Clean Access Server の追加や削除を含む、ネットワーク設定イベント

リンクダウン トラップを受信した場合、およびポートが認証 VLAN またはアクセス VLAN に変更された場合を含む、デバイス管理イベント(OOB の場合)

Clean Access チェック、規則、および Supported AV/AS Product List に対する変更やアップデート

Clean Access Server DHCP 設定に対する変更

システム統計情報は、Clean Access Manager によって管理される CAS ごとに、デフォルトで 1 時間おきに生成されます。システム チェックの発生頻度を変更する手順については、「Syslog ロギングの設定」を参照してください。


) [Events] カラムには、最新のイベントが最初に表示されます。


表 15-3 に、ナビゲーション、検索機能、および [Log Viewer] ページに実際に表示される Syslog を示します。

 

表 15-3 Log Viewer ページ

 
カラム
説明

ナビゲーション

First Page/Previous Page/ Previous Entry/Specific Page/Next Entry/Next Page/Last Page

これらのナビゲーション リンクを使用すると、イベント ログのページが切り替わります。[Events] カラムには、最新のイベントが最初に表示されます。[Last] リンクは、ログ内の最も古いイベントを示します。

 

Page Size

ウィンドウ内に表示されるログ エントリの数。ページあたり、10、25、または 100 のエントリを指定できます。

Column

カラム見出し([Type] や [Category] など)をクリックし、このカラムを基準としてイベント ログをソートします。

検索基準

Type

[Type] カラムを基準として検索します(その後、[Filter] をクリックします)。

Any Type

Failure

Information

Success

Category

[Category] カラムを基準として検索します(その後、[Filter] をクリックします)。

Authentication 1

Administration

Client

Clean Access Server

Clean Access

SW_Management(OOB がイネーブルの場合)

DHCP

Guest Registration

SSL Communication

Miscellaneous

Time

次の時間基準に基づいて検索します(その後、[Filter] をクリックします)。

Within one hour

Within one day

Within two days

Within one week

Anytime

One hour ago

One day ago

Two days ago

One week ago

 

Search in log text

目的の検索テキストを入力し、[Filter] をクリックします。

コントロール

Filter

目的の検索基準を選択したら、[Filter] をクリックして、結果を表示します。

Reset

[Reset] をクリックすると、デフォルト ビューに戻り、1 日以内のログが表示されます。

Delete

[Delete] をクリックすると、検索基準を使用してフィルタリングされたイベントが、適用可能な複数のページにわたってすべて削除されます。[Delete] をクリックすると、Clean Access Manager ストレージからフィルタリング済みイベントが削除されます。[Delete] を使用して削除しなかった場合は、システムがシャットダウンしても、イベント ログは維持されます。図 15-7に示されたフィルタリング済みイベント インジケータを使用して、削除対象のフィルタリング済みイベントの総数を表示します。

ステータス表示

Type

レッドのフラグ( ) = 失敗。エラー、または予期せぬイベントを示します。

グリーンのフラグ( ) = 成功。ログインや設定アクティビティの成功など、成功したイベントあるいは標準使用イベントを示します。

イエローのフラグ( ) = 情報。負荷情報やメモリ使用率など、システム パフォーマンス情報を示します。

Category

ログ イベントを開始したモジュールまたはシステム コンポーネントを示します (リストについては、「Category」を参照してください)。システム統計情報は、Clean Access Manager によって管理される Clean Access Server ごとに、デフォルトで 1 時間おきに生成されることに注意してください。

Time

イベントの日時(hh:mm:ss)を、最新のイベントから順に表示します。

Event

モジュールのイベントを、最新のイベントから順に表示します。Clean Access Server イベントの例については、表 15-4を参照してください。

1.Authentication タイプのエントリには、Provider: <provider type>、Access point: N/A、Network: N/A という項目が含まれる場合があります。廃止されたレガシー無線クライアント(存在し、Manager 内で設定済みの場合)を引き続きサポートするために、Access point: N/A フィールドと Network: N/A フィールドには、それぞれレガシー クライアントの AP MAC 情報と SSID 情報が表示されます。

イベント ログの例

表 15-4 に、次に示す一般的な Clean Access Server ヘルス イベントの例を示します。

CleanAccessServer 2007-04-05 09:03:31 10.201.15.2 System Stats: Load factor 0 (max since reboot: 2) Mem (bytes) Total: 528162816 Used: 295370752 Free: 232792064 Shared: 0 Buffers: 41537536 Cached: 179576832 CPU User: 0% Nice: 0% System: 1% Idle: 99%

 

表 15-4 Event カラム フィールド

説明

CleanAccessServer

Clean Access Server はイベントを報告しています。

2007-04-05 09:03:31

イベントの日時です。

10.201.15.2

報告元 Clean Access Server の IP アドレスです。

System Stats:

システム統計情報は、Clean Access Manager によって管理される Clean Access Server ごとに、デフォルトで 1 時間おきに生成されます。

Load factor 0

負荷係数は、Clean Access Server で処理するために待機しているパケット数(現在 CAS で処理している負荷)を示す数値です。負荷係数が大きい場合は、キュー内で処理を待機しているパケットがあります。負荷係数が一定時間(5 分間など)500 を超えた場合、Clean Access Server には着信トラフィック/パケットによる大量の負荷が発生していることを示しています。この数値が 500 以上になったら、注意が必要です。

(max since reboot: <n>)

キュー内に一度に格納できる最大パケット数です(Clean Access Server で処理される最大負荷)。

Mem Total: 528162816 bytes

メモリ使用率に関する統計情報です。ここには、メモリ合計、使用メモリ、空きメモリ、共有メモリ、バッファ メモリ、キャッシュ メモリの 6 つの数値が表示されます。

Used: 295370752 bytes

Free: 232792064 bytes

Shared: 0 bytes

Buffers: 41537536 bytes

Cached: 179576832 bytes

CPU User: 0%

これらの数値は、ハードウェアの CPU プロセッサ負荷をパーセントで示します。4 つの数値は、ユーザ プロセス、正常なプロセス、システム プロセス、およびアイドル プロセスのシステム消費時間です。

(注) Clean Access Server の場合、システム プロセスで CPU が消費する時間は、通常 90% を超えています。この値はシステムが正常なことを示します。

Nice: 0%

System: 1%

Idle: 99%

ログ対象イベント数の制限

イベント ログしきい値は、Clean Access Manager データベースに格納されるイベント数です。CAM に保持されるログ イベントの最大数は、デフォルトでは 100,000 です。CAM データベースに一度に格納されるイベント ログのしきい値には、最大で 200,000 エントリを指定できます。イベント ログは循環ログです。ログ数がイベント ログ しきい値を超えると、最も古いエントリが上書きされます。

最大イベント数を変更する手順

1. [Monitoring] > [Event Logs] ページの [Logs Setting] タブをクリックします。

2. [Maximum Event Logs] フィールドに新しい数値を入力します。

3. [Update] をクリックします。

Syslog ロギングの設定

システム統計情報は、Clean Access Manager によって管理される Clean Access Server ごとに、デフォルトで 1 時間おきに生成されます。デフォルトでは、イベント ログは CAM に書き込まれます。CAM イベント ログは、別のサーバ(ユーザ専用の syslog サーバなど)にリダイレクトすることもできます。

さらに、[Syslog Health Log Interval] フィールドに値(デフォルトは 60 分)を設定して、CAM がシステム ステータス情報を記録する頻度を設定できます。

Syslog ロギングの設定手順


ステップ 1 [Monitoring] > [Event Logs] > [Syslog Settings] に移動します。

 

ステップ 2 [Syslog Server Address] フィールドで、Syslog サーバの IP アドレス(デフォルトは 127.0.0.1 )を入力します。

ステップ 3 [Syslog Server Port] フィールドで、Syslog サーバのポート(デフォルトは 514 )を入力します。

ステップ 4 ドロップダウン リストで [Syslog Facility] を指定します。この設定では、オプションで、CAM から送信された Syslog メッセージに別の Syslog ファシリティ タイプを指定できます。デフォルトの「User-Level」ファシリティ タイプを使用するか、Syslog RFC で定義された任意の「ローカル使用」Syslog ファシリティ タイプ(「ローカル使用 0」から「ローカル使用 7」)を割り当てることができます。この機能を使用すると、Cisco Clean Access Syslog メッセージを、すでに生成した可能性がある他の「User-Level」Syslog エントリと区別して、他のネットワーク コンポーネントから Syslog サーバに送信できます。

ステップ 5 [System Health Log Interval] フィールドで、CAM がシステム ステータス情報を記録する頻度を分単位(デフォルトは 60 分)で指定します。この設定により、CAS 統計情報がイベント ログに記録される頻度が決まります。

ステップ 6 [CPU Utilization Interval] フィールドで、CAM が CPU 使用率の統計情報を記録する頻度を秒単位で指定します。CPU ステータス情報を約 1 分おきに記録するよう CAM を設定できます。デフォルトは 3 秒おきです。

ステップ 7 [Update] ボタンをクリックして、変更を保存します。


 


) CAM で Syslog サーバを設定した後で、一旦ログオフし、再度 CAM 管理コンソールにログインすると、設定をテストできます。この操作により、Syslog イベントが生成されます。CAM イベントが Syslog サーバに表示されない場合は、Syslog サーバが UDP 514 パケットを受信していること、およびネットワークのいずれかの場所でそれらがブロックされていないことを確認してください。



) 1 つの Syslog サーバだけに転送できます。必要に応じて、その Syslog サーバが別のサーバに転送するようにできます。


Cisco NAC アプライアンスのログ ファイル

表 15-5 に、Cisco NAC アプライアンスでの共通する Clean Access Manager ログと Clean Access Server ログを示します。

 

表 15-5 Cisco NAC アプライアンスのログ ファイル

ファイル
説明
/var/log/messages

起動

/perfigo/control/tomcat/logs/nac_manager.log

リリース 4.5 以降の Perfigo サービス ログ23

/perfigo/control/data/details.html
/perfigo/control/data/upgrade.html

CAM アップグレード ログ

/var/nessus/logs/nessusd.messages

Nessus プラグイン テスト ログ

/perfigo/control/apache/logs/*

SSL(証明書)、Apache エラー ログ

/perfigo/control/tomcat/logs/catalina.out

Tomcat 初期化ログ

/var/log/ha-log

ハイ アベイラビリティ ログ(CAM および CAS の両方)

/var/log/dhcplog

DHCP リレー、DHCP ログ(CAS)

/perfigo/access/data/details.html
/perfigo/access/data/upgrade.html

CAS アップグレード ログ

/perfigo/access/ tomcat/logs/nac_server.log

証明書関連の CAM/CAS 接続エラー(CAS)

2.CAM がスイッチから受信した通知に関するデバイス管理イベントが書き込まれるのは、ファイル システム(/perfigo/control/tomcat/logs/nac_manager.log)のログだけです。これらのイベントがディスクに書き込まれるのは、ログ レベルが INFO 以上に設定されている場合だけです。

3.前のリリースの Cisco NAC アプライアンスの Perfigo サービス ログ ファイルは、/perfigo/logs/perfigo-log0.log.* または /tmp/perfigo-log0.log.*(プレリリース 3.5(5))ディレクトリにあります。これらの古いログでは、* ではなく 0 が、最新のログを示しています。

ログ ファイル サイズ

最大サイズが 20 MB の /perfigo/control/tomcat/logs/nac_manager.log ログ ファイルには、10 のログがあります。

/perfigo/(control | access)/apache/logs にある、最大サイズが 20 MB の各ログ ファイルには、20 のログがあります。

詳細については、次のリンクも参照してください。

「サポート ログ」

「証明書関連ファイル」

「CAM データベースのバックアップ」

SNMP

 

SNMP 管理ツール(HP OpenView など)で管理/モニタされるように、Clean Access Manager を設定できます。この機能を使用すると、SNMP(v1)を使用した最小限の管理を実行できます。今後のリリースでは、SNMP を介してさらに多くの情報/アクションが公開されると予測されます。

[Monitoring] > [SNMP] を使用して、Clean Access Manager に基本的な SNMP ポーリングおよびアラートを設定できます。SNMP ポーリングおよびアラートは、デフォルトでディセーブルになっていることに注意してください。[Monitoring] > [SNMP] の [Enable] ボタンをクリックすると、次の機能がアクティブになります。

SNMP ポーリング:SNMP rocommunity (「読み取り専用コミュニティ」)ストリングを指定すると、Clean Access Manager は snmpget および snmpwalk 要求に正しいコミュニティ ストリングで応答します。

SNMP トラップ:トラップ シンクを追加して、トラップを送信するように Clean Access Manager を設定できます。「トラップ シンク」は、トラップを受信するように設定された任意のコンピュータ(通常は管理ボックス)です。送信されるすべてのトラップは、バージョン 1(v1)トラップです。トラップ シンクごとに、各トラップのコピーが 1 つ送信されます。

イネーブルな場合、SNMP モジュールは次のプロセスをモニタします。

SSH デーモン

Postgres データベース

Clean Access Manager

Apache Web サーバ

Clean Access Manager は次の場合にもトラップを送信します。

Clean Access Manager がオンラインになった場合

Clean Access Manager がシャットダウンした場合

Clean Access Manager が管理対象の Clean Access Server と接続した場合、または切断された場合

SNMP サービスが起動した場合(Cold Start Trap が送信された場合)

ここでは、次の項目について説明します。

SNMP ポーリング/アラートのイネーブル化

新しいトラップ シンクの追加

SNMP ポーリング/アラートのイネーブル化

1. [Monitoring] > [SNMP] に移動して、SNMP 設定ページを起動します(図 15-8)。

図 15-8 [Monitoring] > [SNMP] ページ

 

2. [Enable] ボタンをクリックして、SNMP ポーリングおよび SNMP トラップをアクティブにします。

3. 次のフィールドの値を指定します。

[Read-Only Community String]:
Clean Access Manager が snmpget および snmpwalk 要求に正しいコミュニティ ストリングで応答できるようにする文字列を指定します。
ブランクのままにすると、Clean Access Manager の SNMP ポーリングに対するすべての Clean Access Manager 応答がディセーブルになります。

[Disk Trap Threshold%]:(デフォルトは 50%)
ルート パーティションの空きスペースが指定割合よりも小さくなると、トラップが送信されます。

One-Minute Load Average Threshold:(デフォルトは 3.0)
1 分間の負荷平均がここに設定したしきい値を超えると、トラップが送信されます。標準 UNIX 定義に従って負荷平均を入力します。たとえば、1 分間の負荷平均が 1.0 の場合、CPU 時間不足によりブロックされたプロセスが、1 分間に少なくとも 3 つあったことを意味します。

[Five-Minute Load Average Threshold]:(デフォルトは 2.0)
5 分間の負荷平均がここに設定したしきい値を超えると、トラップが送信されます。標準 UNIX 定義に従って負荷平均を入力します。

[Five-Minute Load Average Threshold]:(デフォルトは 1.0)
15 分間の負荷平均がここに設定したしきい値を超えると、トラップが送信されます。標準 UNIX 定義に従って負荷平均を入力します。

4. [Update] をクリックして、SNMP 設定を新しいしきい値で更新します。

5. [Download] をクリックして、SNMP MIB(管理情報ベース)アーカイブを .tar.gz 形式でダウンロードします。

新しいトラップ シンクの追加

トラップ シンクを追加して、トラップを送信するように Clean Access Manager を設定できます。送信されるすべてのトラップは、バージョン 1(v1)トラップです。トラップ シンクごとに、各トラップのコピーが 1 つ送信されます。

1. ペインの右上にある [Add New Trapsink] リンクをクリックして、Add New Trapsink フォームを起動します。

2. [Trapsink IP] を入力します。

3. [Trapsink Community] ストリングを入力します。

4. オプションの [Trapsink Description] を入力します。

5. [Update] をクリックして、SNMP Trapsink テーブルを更新します。

図 15-9 新しいトラップ シンクの追加

 

トラップ シンク設定が完了すると、Clean Access Manager は UCD テーブル エントリを参照する DISMAN-EVENT 形式のトラップを送信します。ルート パーティションの残りのスペース サイズが設定値(デフォルトは 50%)を下回って、CPU 負荷が 1、5、または 15 分間にわたって設定値を超えた場合も、Clean Access Manager はトラップを送信します。

トラップには次の内容が含まれます。

 

トラップの内容
説明

タイプ:エンタープライズ固有(1)

 

SNMP トラップ OID(1.3.6.1.6.3.1.1.4.1.0)

DISMAN-EVENT-MIB 2.0.1(1.3.6.1.2.1.88.2.0.1)に設定されます。

DISMAN mteObjectsEntry の内容:
 

 

mteHotTrigger(OID 1.3.6.1.2.1.88.2.1.1)

一般に次のようになります。
プロセスの場合は「プロセス テーブル」
負荷平均アラートの場合は「laTable」
ディスク容量アラートの場合は「dskTable」
仮想メモリ アラートの場合は「メモリ」

 

mteHotTargetName(OID 1.3.6.1.2.1.88.2.1.2)

常にブランクです。

 

mteHotContextName(OID 1.3.6.1.2.1.88.2.1.3)

常にブランクです。

 

mteHotOID(OID 1.3.6.1.2.1.88.2.1.4)

イベントをトリガーしたデータを格納する UCD テーブルの OID に設定されます。

 

mteHotValue(OID 1.3.6.1.2.1.88.2.1.5)

トラップがエラーでない場合は、0 に設定されます。
エラー 条件が報告されている場合は ゼロ以外の値に設定されます(通常は 1)。

 

mteFailedReason(OID 1.3.6.1.2.1.88.2.1.6)

アラート送信理由を示すストリングに設定されます。