Cisco Trust Agent アドミニストレータ ガイド
Cisco Trust Agent のイベント ロギング
Cisco Trust Agent のイベント ロギング
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco Trust Agent のイベント ロギング

ロギングの機能

ロギング設定について

ロギング レベルについて

ログ ファイルについて

ログ ファイルの作成と命名

ログ ファイルの形式

のロギングのコマンドライン インターフェイス

CTALOGD ユーティリティについて

コマンドラインからロギングをイネーブルおよびディセーブルにする方法

コマンドラインからログ ファイルを消去する方法

ロギングに関する検討事項

Cisco Trust Agent のイベント ロギング

Cisco Trust Agent は、Cisco Trust Agent のコンポーネントによって生成されたイベント、およびシステムに常駐する NAC 対応のアプリケーション用のポスチャ プラグインによって生成されたイベントをロギングすることができます。 デフォルトでは、ロギングはイネーブルになっていません。

この章は、次の項で構成されています。

「ロギングの機能」

「ロギング設定について」

「ロギング レベルについて」

「ログ ファイルについて」

「Cisco Trust Agent のロギングのコマンドライン インターフェイス」

「ロギングに関する検討事項」

ロギングの機能

イベント ロギングは、ネットワーク クライアント上のサービスとして実装されます。 Cisco Trust Agent Event Logging サービスは、起動時に設定ファイルを読み取ってロギング設定を判別します。 ロギング設定には、ロギングをイネーブルにするかどうかの識別、ログ ファイルの最大サイズと格納場所、および Cisco Trust Agent の各種コンポーネントに対するロギング レベルなどがあります。 設定ファイルが存在しない場合、ロギング サービスはデフォルト値を使用します。

Cisco Trust Agent Event Logging サービスは、Cisco Trust Agent のコンポーネントからのイベント情報、およびシステムに常駐する NAC 対応のアプリケーションからのイベント情報を受信します。 ロギングがイネーブルになっている場合は、イベントを送信したコンポーネントに設定されているロギング レベルに従ってイベントが評価され、そのイベントをログに追加する必要があるかどうかが判別されます。 ロギング レベルを満たすイベントは、フォーマットされてログ ファイルに書き込まれます。

ロギング設定について

ロギングは ctalogd.ini 設定ファイルで設定されます。 このファイルで設定できるロギング設定は次のとおりです。

デフォルトのロギング ステート(イネーブルまたはディセーブル)。

ログ ファイルが格納されるディレクトリ。

ログ ファイルの最大サイズ。 このサイズに達したログ ファイルは閉じられ、新しいログ ファイルが作成されます。

Cisco Trust Agent のコンポーネントとポスチャ プラグインのロギング レベル。


) ロギング ステートは、コマンドライン インターフェイスを使用して変更することもできます。詳細については、「Cisco Trust Agent のロギングのコマンドライン インターフェイス」を参照してください。


設定ファイルが存在しない場合は、これらの設定に対してデフォルト値が使用されます。 各項目の値を変更するには、設定ファイルを作成し、それを適切な場所に保存する必要があります。 デフォルトのロギング設定の内容、および設定ファイルを作成または編集して設定を変更する方法については、 付録 A「Cisco Trust Agent の設定ファイルのリファレンス」 で、「ctalogd.ini 設定ファイル」を参照してください。

ctalogd.ini 設定ファイルに加えた変更は、Cisco Trust Agent Event Logging サービスが次にログ イベントを受信したときに検出して実装します。

ロギング レベルについて

ロギング レベルを設定すると、受信されたイベントのうち、ログ ファイルに追加するイベントが判別されます。 Cisco Trust Agent のコンポーネントごとに次のロギング レベルを選択できます。

1-LOW :低レベルのロギング。重大イベントをロギングします。

2-MEDIUM :中レベルのロギング。警告イベントおよび重大イベントをロギングします。

3-HIGH :高レベルのロギング。情報イベント(正常終了のメッセージなど)、警告イベント、および重大イベントをロギングします。

15-Debug :デバッグ レベルのロギング。Cisco Trust Agent のコンポーネントからのデバッグ情報を含め、すべてのイベントをロギングします。 デバッグ レベルのロギングは、ポスチャ プラグインには使用できません。

HIGH は、ロギングがイネーブルになっているときに使用されるデフォルトのレベルです。 Cisco Trust Agent の各コンポーネントのロギング レベルは、ctalogd.ini 設定ファイルの [loglevel] セクションで変更することができます。

一般的なガイドラインとしては、Cisco Trust Agent を実行しているシステムの問題をトラブルシュートする場合は、システム運用に関する大部分の情報を受信するために、ロギング レベルを HIGH または Debug に設定します。 また、ロギングをデフォルトでイネーブルに設定する場合は、ロギング レベルを MEDIUM または LOW に設定します。 ロギング レベルを中レベルまたは低レベルに設定することで、ログ ファイルの急激な増大によるディスク容量の消費を防止できると同時に、Cisco Trust Agent、ポスチャ プラグイン、またはシステム態勢の問題を診断するのに十分な情報も得られます。

ログ ファイルについて

Cisco Trust Agent のログ ファイルは、Cisco Trust Agent Event Logging サービスによって作成されるテキスト ファイルです。 シンプルな ASCII テキスト ファイルなので、任意のテキスト エディタを使用して内容を確認することができます。

この項では、次のトピックについて取り上げます。

「ログ ファイルの作成と命名」

「ログ ファイルの形式」

ログ ファイルの作成と命名

ログ ファイルの名前は、ログ ファイルが作成されるたびにイベント ロガーによって自動的に生成されます。 新しいログ ファイルが作成されるのは、次のいずれかの場合です。

ロギングがイネーブルになっている状態で、Cisco Trust Agent Event Logging サービスが起動または再起動した。

ロギングがイネーブルになっている状態で、ログ ファイルが消去された。

ロギングがディセーブルからイネーブルに変更された。

現在のログ ファイルが最大ファイル サイズに達した。 最大ファイル サイズはデフォルトで 4 MB ですが、ctalogd.ini 設定ファイルの MaxFileSize パラメータを使用して変更することができます。


) ログ ファイルが実際に作成されるのは、ロギングがイネーブルになっている状態で最初のイベントが受信されたときです。


デフォルトでは、ログ ファイルは all_users_profile\Application Data\Cisco Systems\CiscoTrustAgent\Logs ディレクトリに作成されます( all_users_profile は All Users プロファイル ディレクトリのパスです)。 この場所は、ctalogd.ini 設定ファイルの LogDir パラメータを使用して変更することができます。


) All Users プロファイルが格納されているターゲット システム上の場所を確認するには、コマンド プロンプトを開いて set と入力し、その出力結果の中から ALLUSERSPROFILE= という行を探します。


一意のファイル名にするために、ファイル名には、イベント ロガーが起動した日付と時刻が使用されます。 ログ ファイル名の形式は、
CTALOG-YYYY-MM-DDTHH-MM-SS_N.txt になります。

CTALOG :固定のプレフィックス。Cisco Trust Agent が作成したログであることを示します。

YYYY :年を表す 4 桁の数値。

MM :月を表す 2 桁の数値。

DD :日を表す 2 桁の数値。

T :日付と時刻を区切る固定のセパレータ。

HH :時を表す 2 桁の数値。

MM :分を表す 2 桁の数値。

SS :秒を表す 2 桁の数値。

N :イベント ロガーが起動してから N 番目に作成されたログ ファイルであることを示します。 この値が増えるのは、現在のログ ファイルが最大サイズに達した場合、またはロギングをディセーブルにしてからイネーブルにした場合です。

たとえば、イベント ロガーが 2003 年 10 月 20 日の 17 時 12 分 58 秒に起動した場合、生成されるログ ファイル名は CTALOG-2003-10-20T17-12-58_1.txt となります。

ログ ファイルの形式

ログ ファイルは次のフィールドで構成されています。

ロギング インスタンス :ログ エントリの増分番号。

日付と時刻 :エントリがロギングされた日付と時刻。

重大度 :ロギングされたイベントの重大度。 重大度の有効な値は次のとおりです。

Debug(プラグインに対してはサポートされていません)

Critical

Informational

Warning

ロギング レベル :イベントを送信したコンポーネントのロギング レベル。 有効な値は次のとおりです。

15(デバッグ レベル。プラグインに対してはサポートされていません)

1(低レベル)

2(中レベル)

3(高レベル)

コンポーネント名 :イベントを生成したコンポーネントの名前。 コンポーネント名は、次のいずれかの規則に従って表示されます。

ベンダー ID:アプリケーション名

ベンダー名:アプリケーション名

ベンダー ID は、次のいずれかの値になります。

0 :予約済み

9 :Cisco Systems, Inc.

393 :Symantec Corporation

3401 :Network Associates, Inc.

6101 :Trend Micro, Inc.

たとえば、Cisco Host Intrusion Protection System のコンポーネント名は、9:HIPS(9 はシスコのベンダー ID、HIPS はアプリケーション名)または Cisco:HIPS と表示されます。

エラー コード :イベントに関連付けられたエラー コード。

メッセージ本文 :イベントを説明するテキスト。

ログ ファイルの表示例を次に示します。

Cisco Systems Trust Agent Version 1.0.14
Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.
Trust Agent Type(s): Windows, WinNT Running on: 5.1.2600
 
1 15:29:57.748 09/13/03 Sev=Info/3 PADaemon/0x6300000C
Starting service:
 
2 15:29:58.779 09/13/03 Sev=Info/3 PADaemon/0x6300000E
Service initialization is complete

3 15:30:40.719 09/13/03 Sev=Info/3 NetTrans/0x63100016
NAD proposed AssociationID 56789

4 15:29:57.748 09/13/03 Sev=Info/3 9:HIP/0x00000001
Starting


) ログ エントリは 4 KB に制限されています。 このサイズを超えたイベント ログは切り捨てられます。


Cisco Trust Agent のロギングのコマンドライン インターフェイス

Cisco Trust Agent は、イベント ロギング サービスに対するコマンドライン インターフェイスを提供しています。 コマンドライン インターフェイスを使用すると、プログラム的にロギング サービスを制御してロギングをイネーブルまたはディセーブルにすることができます。

この項では、次のトピックについて取り上げます。

「CTALOGD ユーティリティについて」

「コマンドラインからロギングをイネーブルおよびディセーブルにする方法」

「コマンドラインからログ ファイルを消去する方法」

CTALOGD ユーティリティについて

ctalogd ユーティリティを使用すると、コマンドラインからロギング サービスを起動、停止、および再起動することができます。 また、コマンドラインから、ロギングをイネーブルまたはディセーブルにすることも、現在のログ ファイルを消去することもできます。

コマンド構文

ctalogd {start| stop | restart | enable [-t] | disable | clear}
 

コマンド オプション

ctalogd ユーティリティのコマンド オプションを 表 5-1 に示します。

 

表 5-1 ctalogd ユーティリティのコマンド オプション

オプション
説明

start

Cisco Trust Agent Event Logging サービスを起動します。

stop

Cisco Trust Agent Event Logging サービスを停止します。

restart

Cisco Trust Agent Event Logging サービスを再起動します。

enable

ロギングをイネーブルにします。

enable オプションに -t パラメータを使用すると、ロギングは一時的にイネーブルになります。 ロギング サービスを再起動したときに、ロギングはディセーブルになります。

disable

ロギングをディセーブルにします。

clear

現在のログ ファイルを消去します。 ロギングがイネーブルになっている場合は、新しいログ ファイルが作成されます。

次の例は、Cisco Trust Agent がインストールされているディレクトリからコマンドが実行されることを前提としています。

現在のログ ファイルを消去するには、次のコマンドを入力します。

ctalogd clear

ロギングを一時的にイネーブルにするには、次のコマンドを入力します。

ctalogd enable -t

Cisco Trust Agent Event Logging サービスを再起動するには、次のコマンドを入力します。

ctalogd restart

コマンドラインからロギングをイネーブルおよびディセーブルにする方法

コマンドラインからロギングをイネーブルおよびディセーブルにすることができます。 コマンドライン オプションを使用した場合、ctalogd.ini 設定ファイルは、ロギング ステートを反映するように自動的にアップデートされます。

コマンドラインからロギングをイネーブルにするには、次の手順を実行します。


ステップ 1 システムでコマンド プロンプトを開きます。

ステップ 2 Cisco Trust Agent がインストールされているディレクトリに移動します。

ステップ 3 ロギングをイネーブルにするには、 ctalogd enable と入力します。 この方法では、手動でロギングを停止しない限り、ロギングはイネーブルのままになっています。

ロギングを一時的にイネーブルにするには、 ctalogd enable -t と入力します。 この方法では、サービスを再起動したときにロギングがディセーブルになります。

ステップ 4 ロギングをディセーブルにするには、 ctalogd disable と入力します。


 

コマンドラインからログ ファイルを消去する方法

ディスク容量が残り少なくなってきた場合、システムからログ ファイルを消去しなければならないことがあります。 ログイン スクリプトにコマンドライン オプションを使用して、ログ ファイルを定期的に消去することもできます。

コマンド プロンプトからログ ファイルを消去するには、次の手順を実行します。


ステップ 1 システムでコマンド プロンプトを開きます。

ステップ 2 Cisco Trust Agent がインストールされているディレクトリに移動します。

ステップ 3 ctalogd clear と入力します。

現在のログ ファイルがシステムから消去されます。 ロギングがイネーブルになっている場合は、次のログ イベントが受信されたときに、新しいログ ファイルが作成されます。


 

ロギングに関する検討事項

デフォルトでは、ログ ファイルは all_users_profile \Application Data\Cisco Systems\CiscoTrustAgent\Logs ディレクトリに格納されます。 このディレクトリは、ゲスト アカウント特権のユーザを含め、すべてのシステム ユーザが使用できます。 Cisco Trust Agent のログへのアクセスを制限する必要がある場合は、より安全な場所にログ ファイルを移動します。

ログ ファイルは永続的なファイルです。 ユーザまたは管理者が削除しない限り、ログ ファイルはディスク上に保持されます。 高レベルのロギングをイネーブルにした場合、時間の経過とともにディスクがいっぱいになる可能性があります。 ロギングをデフォルトでイネーブルにする場合は、ログファイルを定期的に削除またはアーカイブするためのポリシーを必ず設定してください。 また、ログイン スクリプトにコマンドライン ユーティリティを使用して、現在のログ ファイルを定期的に消去することもできます。