Cisco PIX Firewall システム ログ メッセージ
概要
概要
発行日;2012/01/10 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

概要

新規メッセージと削除されたメッセージ

バージョン 6.3.1 の新規メッセージ

バージョン 6.2.3 の新規メッセージと削除されたメッセージ

バージョン 6.2.3 の新規メッセージ

バージョン 6.2.3 で削除されたメッセージ

ロギング コマンドの概要

ロギングのイネーブル化

ロギング出力をテストする

syslog 出力場所の設定

バッファに syslog メッセージを送信する

Telnet コンソール セッションに syslog メッセージを送信する

syslog サーバへ syslog メッセージを送信する

syslog メッセージを SNMP 管理ステーションに送信する

SNMP 要求を受信する

SNMP トラップを送信する

特定の syslog メッセージをディセーブルおよびイネーブルにする

特定の syslog メッセージをディセーブルにする

ディセーブルに設定した syslog メッセージのリストを表示する

ディセーブルに設定した特定の syslog メッセージをイネーブルにする

ディセーブルに設定したすべての syslog メッセージをイネーブルにする

ログ メッセージの理解

ログ メッセージの形式

重大度レベル

変数

その他のリモート管理/監視ツール

Cisco PIX Device Manager

Cisco Secure Policy Manager

SNMP トラップ

Telnet

概要

ここでは、PIX Firewall ソフトウェアの最近のバージョンの新規メッセージ、および最近のバージョンで削除されたメッセージのリストを示します。 また、syslog メッセージを表示および管理する方法、syslog メッセージを理解する方法、および他のリモート管理ツールとリモート監視ツールの入手場所についても説明します。


) すべてのシステム ログ メッセージがエラーを示すわけではありません。正常なイベントを伝えるだけのメッセージもあります。


この章では、次の項目について説明します。

新規メッセージと削除されたメッセージ (P.1-2)

ロギング コマンドの概要 (P.1-6)

ロギングのイネーブル化 (P.1-8)

syslog 出力場所の設定 (P.1-9)

特定の syslog メッセージをディセーブルおよびイネーブルにする (P.1-13)

ログ メッセージの理解 (P.1-14)

その他のリモート管理/監視ツール (P.1-19)

新規メッセージと削除されたメッセージ

ここでは、各ソフトウェア リリースの新規メッセージ、および各ソフトウェア リリースで削除されたメッセージを示します。

バージョン 6.3.1 の新規メッセージ (P.1-2)

バージョン 6.2.3 の新規メッセージと削除されたメッセージ (P.1-4)

バージョン 6.3.1 の新規メッセージ

バージョン 6.3.1 では次のメッセージが追加されました。バージョン 6.3.1 で削除されたメッセージはありません。

%PIX-n-106100: access-list acl_ID {permitted | denied | est-allowed} protocol interface_name/source_address(source_port) -> interface_name/dest_address(dest_port) hit-cnt number ({first hit | number-second interval})

%PIX-1-106101 The number of ACL log deny-flows has reached limit (number).

%PIX-7-109021: Uauth null proxy error

%PIX-4-109022: exceeded HTTPS proxy process limit

%PIX-2-215001:Bad route_compress() call, sdb= number

%PIX-3-302019: H.323 library_name ASN Library failed to initialize, error code number

%PIX-3-317001: No memory available for limit_slow

%PIX-3-317002: Bad path index of number for IP_address, number max

%PIX-3-317003: IP routing table creation failure - reason

%PIX-3-317004: IP routing table limit warning

%PIX-3-317005: IP routing table limit exceeded - reason, IP_address netmask

%PIX-3-318001: Internal error: reason

%PIX-3-318002: Flagged as being an ABR without a backbone area

%PIX-3-318003: Reached unknown state in neighbor state machine

%PIX-3-318004: area string lsid IP_address mask netmask adv IP_address type number

%PIX-3-318005: lsid IP_address adv IP_address type number gateway gateway_address metric number network IP_address mask netmask protocol hex attr hex net-metric number

%PIX-3-318006: if interface_name if_state number

%PIX-3-318007: OSPF is enabled on interface_name during idb initialization

%PIX-3-318008: OSPF process number is changing router-id. Reconfigure virtual link neighbors with our new router-id

%PIX-3-320001: The subject name of the peer cert is not allowed for connection

%PIX-4-405001: Received ARP {request | response} collision from IP_address/mac_address on interface interface_name (P.2-59)

%PIX-4-405002: Received mac mismatch collision from IP_address/mac_address for authenticated host (P.2-60)

%PIX-4-408001: IP route counter negative - reason, IP_address Attempt: number

%PIX-4-409001: Database scanner: external LSA IP_address netmask is lost, reinstalls

%PIX-4-409002: db_free: external LSA IP_address netmask

%PIX-4-409003: Received invalid packet: reason from IP_address, interface_name

%PIX-4-409004: Received reason from unknown neighbor IP_address

%PIX-4-409005: Invalid length number in OSPF packet from IP_address (ID IP_address), interface_name

%PIX-4-409006: Invalid lsa: reason Type number, LSID IP_address from IP_address, IP_address, interface_name

%PIX-4-409007: Found LSA with the same host bit set but using different mask LSA ID IP_address netmask New: Destination IP_address netmask

%PIX-4-409008: Found generating default LSA with non-zero mask LSA type : number Mask : IP_address metric : number area : string

%PIX-4-409009: OSPF process number cannot start. There must be at least one up IP interface, for OSPF to use as router ID

%PIX-4-409010: Virtual link information found in non-backbone area: string

%PIX-4-409011: OSPF detected duplicate router-id IP_address from IP_address on interface interface_name

%PIX-4-409012: Detected router with duplicate router ID IP_address in area string

%PIX-4-409013: Detected router with duplicate router ID IP_address in Type-4 LSA advertised by IP_address

%PIX-5-503001: Process number, Nbr IP_address on interface_name from string to string, reason

%PIX-5-611104: Serial console idle timeout exceeded

%PIX-6-611312: VPNClient: Backup Server List: reason

%PIX-3-611313: VPNClient: Backup Server List Error: reason

%PIX-6-611314: VPNClient: Load Balancing Cluster with Virtual IP: IP_address has redirected the PIX to server IP_address

%PIX-6-611315: VPNClient: Disconnecting from Load Balancing Cluster member IP_address

%PIX-6-611316: VPNClient: Secure Unit Authentication Enabled

%PIX-6-611317: VPNClient: Secure Unit Authentication Disabled

%PIX-6-611318: VPNClient: User Authentication Enabled: Auth Server IP: IP_address Auth Server Port: port Idle Timeout: time

%PIX-6-611319: VPNClient: User Authentication Disabled

%PIX-6-611320: VPNClient: Device Pass Thru Enabled

%PIX-6-611321: VPNClient: Device Pass Thru Disabled

%PIX-6-611322: VPNClient: Extended XAUTH conversation initiated when SUA disabled

%PIX-6-611323: VPNClient: Duplicate split nw entry

%PIX-6-613001: Checksum Failure in database in area string Link State Id IP_address Old Checksum number New Checksum number

%PIX-6-613002: interface interface_name has zero bandwidth

%PIX-6-613003: IP_address netmask changed from area string to area string

%PIX-6-620001: Pre-allocate CTIQBE {RTP | RTCP} secondary channel for interface_name:outside_address[/outside_port] to interface_name:inside_address[/inside_port] from CTIQBE_message_name message

%PIX-4-620002: Unsupported CTIQBE version: hex: from interface_name:IP_address/port to interface_name:IP_address/port

%PIX-7-703001: H.225 message received from interface_name:ip_address/port to interface_name:ip_address/port is using an unsupported version number

%PIX-7-703002: Received H.225 Release Complete with newConnectionNeeded for interface_name:ip_address to interface_name:ip_address/port

バージョン 6.2.3 の新規メッセージと削除されたメッセージ

ここでは、バージョン 6.2.3 で追加および削除されたメッセージを示します。

バージョン 6.2.3 の新規メッセージ (P.1-4)

バージョン 6.2.3 で削除されたメッセージ (P.1-5)

バージョン 6.2.3 の新規メッセージ

バージョン 6.2.3 では次のメッセージが追加されました。

%PIX-6-605004: Login denied from {source_address/source_port | serial} to {interface_name:dest_address/service | console} for user "user"

%PIX-6-605005: Login permitted from {source_address/source_port | serial} to {interface_name:dest_address/service | console} for user "user"

%PIX-7-710001: TCP access requested from source_address/source_port to interface_name:dest_address/service

%PIX-7-710002: {TCP|UDP} access permitted from source_address/source_port to interface_name:dest_address/service

%PIX-3-710003: {TCP|UDP} access denied by ACL from source_address/source_port to interface_name:dest_address/service

%PIX-4-710004: TCP connection limit exceeded from source_address/source_port to interface_name:dest_address/service

%PIX-7-710005: {TCP|UDP} request discarded from source_address/source_port to interface_name:dest_address/service

%PIX-7-710006: protocol request discarded from source_address to interface_name:dest_address

バージョン 6.2.3 で削除されたメッセージ

表 1-1 に、バージョン 6.2.3 で削除されたメッセージを示します。

 

表 1-1 バージョン 6.2.3 で削除されたメッセージ

メッセージ
削除の理由
%PIX-5-111006: Console Login from user at IP_addr

メッセージ番号 605005 で置き換えられました。

%PIX-6-307001: Denied Telnet login session from IP_addr on interface int_name

メッセージ番号 710003 で置き換えられました。

%PIX-6-307002: Permitted Telnet login session from IP_addr

メッセージ番号 605005 で置き換えられました。

%PIX-6-307003: telnet login session failed from IP_addr (num attempts) on interface int_name

メッセージ番号 605004 で置き換えられました。

%PIX-4-307004: Telnet session limit exceeded. Connection request from IP_addr on interface int_name

メッセージ番号 710004 で置き換えられました。

%PIX-3-309001: Denied manager connection from IP_addr.

メッセージ番号 710003 で置き換えられました。

%PIX-4-309004: Manager session limit exceeded. Connection request from IP_addr on interface int_name

メッセージ番号 710004 で置き換えられました。

%PIX-3-315001: Denied SSH session from IP_addr on interface int_name

メッセージ番号 710003 で置き換えられました。

%PIX-6-315002: Permitted SSH session from IP_addr on interface int_name for user user_id

メッセージ番号 605005 で置き換えられました。

%PIX-6-315003: SSH login session failed from IP_addr on (num attempts) on interface int_name by user user_id

メッセージ番号 605004 で置き換えられました。

%PIX-4-315005: SSH session limit exceeded. Connection request from IP_addr on interface int_name

メッセージ番号 710004 で置き換えられました。

%PIX-6-605001: HTTP daemon interface interface_name: connection denied from IP_address

メッセージ番号 710003 で置き換えられました。

%PIX-6-605002: HTTP daemon connection limit exceeded

メッセージ番号 710004 で置き換えられました。

%PIX-6-605003: HTTP daemon: Login failed from IP_address for user user

メッセージ番号 605004 で置き換えられました。

ロギング コマンドの概要

表 1-2 に、PIX Firewall の logging コマンドをリストします。これらのコマンドは、ロギング機能の設定と管理に使用します。コマンドの詳細とその他の logging コマンドについては、『 Cisco PIX Firewall Command Reference 』を参照してください。 logging コマンドを使用するには、PIX Firewall 上で configure terminal コマンドを入力して、設定モードを起動します。

logging コマンドの多くについては、重大度のしきい値を指定して、出力場所に送信できる syslog メッセージを特定する必要があります。番号が小さいほど、重大度の高いエラーです。 デフォルトの重大度はレベル 3 です。 表 1-3 の説明を参考にして、番号またはキーワードのどちらかで重大度を指定してください。PIX Firewall は指定された重大度か、それよりも低い重大度のメッセージを出力場所に送ります。たとえば、重大度 3 を指定した場合、重大度 1、2、および 3 のメッセージが出力場所に送信されます。


syslog 機能では、レベル 0 の緊急メッセージは生成されません。レベル 0 は、UNIX の syslog 機能と互換性を保つために logging コマンドで提供されていますが、PIX Firewall では使用しません。


 

表 1-2 PIX Firewall の logging コマンド

種類
コマンド
説明

ロギングをイネーブルにする

logging on

syslog メッセージをあらゆる出力場所に送信します。syslog メッセージの送信をディセーブルにする場合は、no logging on コマンドを使用します。

ログの参照場所となる、ロギング出力場所も設定する必要があります。

logging trap severity_level

syslog メッセージのロギング レベル(1 ~ 7)を設定します。 デフォルトはレベル 3 (エラー)です。 レベル名も入力できます。詳細については、 表 1-3 を参照してください。

show logging

現在の syslog メッセージ、およびイネーブルになっている logging コマンド オプションのリストを表示します。

特定のロギング メッセージをディセーブルにする

no logging message message_number

特定の syslog メッセージをディセーブルにします。 logging message message_number コマンドを使用すると、ディセーブルにしたメッセージのロギングが再開します。

show logging disabled

ディセーブルに設定されている syslog メッセージのリストを表示します。

clear logging message

ディセーブルにしたすべての syslog メッセージを再度イネーブルにします。

出力場所を指定および管理する

logging buffered severity_level

PIX Firewall に syslog メッセージを保管し、show logging コマンドで表示できるようにします。

clear logging

logging buffered コマンドで作成されたメッセージ バッファを消去します。

logging console severity_level

syslog メッセージが生成されるたびに、PIX Firewall のコンソールに表示します。このコマンドはデバッグ時、またはネットワークの負荷が最小限の場合に使用します。ネットワークの利用率が高いときは、このコマンドを使用しないでください。PIX Firewall のパフォーマンスが低下する原因になります。

logging monitor severity_level

Telnet で PIX Firewall のコンソールへアクセスするときに、発生する syslog メッセージを表示します。 terminal monitor コマンドも入力して、各 Telnet セッションのロギングもイネーブルにする必要があります。

logging host [ interface_name ] ip_address [ tcp [ / port ] | udp [ / port ]] [ format emblem ]

syslog メッセージを受信するホスト(syslog サーバ)を指定します。 PIX Firewall は、UDP または TCP を使用してメッセージを送信できます。 デフォルトのプロトコルとポートは UDP/514 です。デフォルトの TCP ポート(指定した場合)は 1468 です。
format emblem
オプションを指定すると、EMBLEM 形式がイネーブルになります(UDP のみ)。

logging facility number

syslog サーバのロギング ファシリティを設定します。 デフォルトは 20 です。

logging history severity_level

SNMP トラップのロギング レベルを設定します。

ロギングのオプション

logging device-id {hostname | ipaddress if_name | string text}

イネーブルにすると、syslog サーバに送信されるすべての syslog メッセージの中にデバイス ID が表示されます。 デバイス ID は、EMBLEM 形式のメッセージ、SNMP トラップ、ファイアウォール コンソール上、管理セッション、およびバッファには表示されません。 ipaddress オプションを使用する場合、デバイス ID は、メッセージの送信元となったインターフェイスが何であるかにかかわらず、指定した PIX Firewall インターフェイスの IP アドレスになります。 このオプションを指定すると、デバイスから送信されるすべてのメッセージに対して、1 つの一貫したデバイス ID が付与されます。

logging queue msg_count

処理を待つ間にメッセージ キューに表示できる syslog メッセージの数を指定します。デフォルトは 512 メッセージです。0 (ゼロ)が設定されていると無制限を表します。 show logging queue コマンドでは、キュー統計情報を表示できます。

ロギングのイネーブル化

ロギングをイネーブルにするには、次の手順を実行します。 この手順によってロギングはイネーブルになりますが、この他に、ログ メッセージの参照場所となる出力場所も設定する必要があります。詳細については、「syslog 出力場所の設定」を参照してください。


ステップ 1 ロギングをイネーブルにするには、次のコマンドを入力します。

logging on
 

ロギング レベルは、デフォルトでは 3 (エラー)に設定されています。

ステップ 2 ロギング レベルを変更するには、次のコマンドを入力します。

logging trap severity_level (1-7)
 

ステップ 3 ロギング設定を表示するには、次のコマンドを入力します。

show logging
 


 

ロギング出力をテストする

ロギング出力をテストするには、次の手順を実行します。


ステップ 1 コンソールに送信するログ メッセージの記録を開始するには、次のコマンドを入力します。

logging console 7
quit
 

次の syslog メッセージが生成されます。

111005: nobody End configuration: OK
 

このメッセージは、設定モードが終了したことを示しています。 「111005」はメッセージ識別番号です。このメッセージの詳細については、 第2章「システム ログ メッセージ」 を参照してください。「nobody」は、シリアル コンソール ポートから PIX Firewall コンソールにアクセスしていることを意味します。

ステップ 2 コンソールへのロギングをディセーブルにするには、次のコマンドを入力します。

no logging console 7
quit
 


 

テストでは、logging console コマンドだけを使用してください。PIX Firewall の実行中は、メッセージの保存には logging buffered コマンド、メッセージの表示には show logging コマンド、および logging buffered コマンドで表示したメッセージの消去には clear logging コマンドを使用してください。

syslog 出力場所の設定

ここでは、次の内容について説明します。

「バッファに syslog メッセージを送信する」

「Telnet コンソール セッションに syslog メッセージを送信する」

「syslog サーバへ syslog メッセージを送信する」

「syslog メッセージを SNMP 管理ステーションに送信する」

PIX Firewall のシステム ソフトウェアを設定することで、選択した出力場所に syslog メッセージを送信できます。 syslog メッセージの送信先として、次の出力場所を指定できます。

コンソール

テスト中は、syslog メッセージをコンソールだけに直接送信することを推奨します。「ロギング出力をテストする」を参照してください。

バッファ

Telnet 接続

syslog サーバを実行しているホスト

SNMP 管理ステーション


) Cisco PIX Device Manager(PDM)の Monitoring タブを使用して syslog メッセージを表示することもできます。詳細については、PDM のオンライン ヘルプを参照してください。


バッファに syslog メッセージを送信する

syslog メッセージをロギング バッファに送信する場合は、次の手順を実行してから、PIX Firewall コンソールでバッファを表示します。


ステップ 1 次のコマンドを入力して、表示するメッセージを保存します。

logging buffered severity_level (1-7)
 

ステップ 2 メッセージをコンソール上に表示するには、次のコマンドを入力します。

show logging
 

ステップ 3 新しいメッセージを簡単に表示できるようにバッファを消去するには、次のコマンドを入力します。

clear logging
 

ステップ 4 メッセージ ロギングをディセーブルにするには、次のコマンドを入力します。

no logging buffered
 

新しいメッセージはリストの最後に追加されます。


 

Telnet コンソール セッションに syslog メッセージを送信する

Telnet コンソール セッションで syslog メッセージを表示するには、次の手順を実行します。


ステップ 1 内部インターフェイス上のホストが PIX Firewall にアクセスできるように設定します。

a. 次のコマンドを入力します。

telnet ip_address [subnet_mask] [if_name]
 

たとえば、ホストの IP アドレスが 192.168.1.2 の場合、コマンドを次のように入力します。

telnet 192.168.1.2 255.255.255.255
 

b. さらに、PIX Firewall が切断されるまで Telnet セッションがアイドル状態になる時間を設定します(デフォルト値は 5 分、それよりも大きな値に設定)。次のように入力して、15 分以上に設定することを推奨します。

telnet timeout 15
 

ステップ 2 ホスト上で Telnet を起動し、PIX Firewall の内部インターフェイスを指定します。

Telnet 接続が確立されると、PIX passwd: というプロンプトが表示されます。

ステップ 3 Telnet パスワード(デフォルトは cisco)を入力します。

ステップ 4 設定モードをイネーブルにするには、次のコマンドを入力します。

enable
(Enter your password at the prompt)
configure terminal
 

ステップ 5 メッセージ ロギングを開始するには、次のコマンドを入力します。

logging monitor severity_level (1-7)
 

ステップ 6 ログをこの Telnet セッションに送信するには、次のコマンドを入力します。

terminal monitor
 

このコマンドでロギングがイネーブルになるのは、現在の Telnet セッションに対してだけです。 logging monitor コマンドは、すべての Telnet セッションを対象としてロギング初期設定値を設定するのに対し、 terminal monitor (および terminal no monitor )コマンドは個々の Telnet セッションのロギングを制御します。

ステップ 7 ホストに ping を送信するか、または Web ブラウザを起動して、イベントをいくつか発生させます。Telnet セッション ウィンドウに syslog メッセージが表示されます。

ステップ 8 終了したら、次のコマンドを使用してこの機能をディセーブルにします。

terminal no monitor
no logging monitor
 


 

syslog サーバへ syslog メッセージを送信する

ホストにメッセージを送る場合は、UDP または TCP が使用されます。ホストでは syslogd というプログラム(サーバ)を実行する必要があります。UNIX では、オペレーティング システムの一部として syslog サーバが用意されています。Windows 95 または Windows 98 の場合は、別のベンダーの syslog サーバを利用する必要があります。

syslogd の設定手順については、『 Cisco PIX Firewall and VPN Configuration Guide 』を参照してください。ログ収集サーバでは、特定のタイプのメッセージが記録された場合に実行するアクション(電子メールの送信、ログ ファイルへのレコードの保存、ワークステーションでのメッセージの表示など)を指定できます。

syslog サーバにメッセージが送信されるようにファイアウォールを設定するには、次の手順を実行します。


ステップ 1 メッセージ受信ホストを指定するには、次のコマンドを入力します。

logging host [interface] ip_address [tcp[/port] | udp[/port]] [format emblem]
 

次に例を挙げます。

logging host dmz1 192.168.1.5
 

このコマンドを複数回入力してサーバを複数指定し、1 台のサーバがオフラインになった場合に他のサーバがメッセージを受信できるようにすることも可能です。

ステップ 2 ロギング レベルを設定するには、次のコマンドを入力します。

logging trap severity_level (1-7)
 

初期設定時およびテスト時には debugging ( 7 )レベルの使用を推奨します。その後、実稼働する際には、debugging から errors ( 3 )に設定を変更します。

ステップ 3 各メッセージにデバイス ID を含める場合は、次のコマンドを入力します。

logging device-id {hostname | ipaddress if_name | string text}
 

指定したデバイス ID (ホスト名および指定したインターフェイスの IP アドレス、または文字列)がメッセージに含められます。メッセージが他のインターフェイスから送信された場合でも、指定したインターフェイスの IP アドレスが含められます。 デバイス ID は、EMBLEM 形式のメッセージ、SNMP トラップ、ファイアウォール コンソール上、管理セッション、およびバッファには表示されません。

ステップ 4 必要に応じて、ロギング ファシリティをデフォルト値の 20 以外の値に設定します。 大部分の UNIX システムでは、ファシリティ 20 にメッセージが送信されると考えられます。

logging facility number
 


 

すべての syslog サーバがオフライン状態の場合、PIX Firewall は最大 100 のメッセージをメモリに保管します。100 を超えるメッセージが着信すると、バッファの最初の行から上書きされていきます。

syslog メッセージを SNMP 管理ステーションに送信する

syslog メッセージを SNMP 管理ステーションで受信するには、次の手順を実行します。

「SNMP 要求を受信する」

「SNMP トラップを送信する」

SNMP 要求を受信する

PIX Firewall が SNMP 管理ステーションからの要求を受信するには、次の手順を実行します。


ステップ 1 SNMP 管理ステーションの IP アドレスを設定するには、次のコマンドを入力します。

snmp-server host [if_name] ip_addr
 

ステップ 2 必要に応じて、他の SNMP サーバ設定値を設定します。

snmp-server location text
snmp-server contact text
snmp-server community key
 

詳細については、『 Cisco PIX Firewall Command Reference 』を参照してください。


 

SNMP トラップを送信する

ログ メッセージを PIX Firewall から SNMP 管理ステーションにトラップとして送信するには、次の手順を実行します。コールド スタート、リンク アップ、およびリンク ダウンの汎用トラップは「SNMP 要求を受信する」の手順ですでにイネーブルになっています。


ステップ 1 次のコマンドを入力します。

snmp-server enable traps
 

ステップ 2 ロギング レベルを設定するには、次のコマンドを入力します。

logging history severity_level (1-7)
 

初期設定時およびテスト時には debugging ( 7 )レベルの使用を推奨します。その後、実稼働する際には、debugging より低い値に指定を変更します。

ステップ 3 syslog トラップの送信をディセーブルにするには、次のコマンドを入力します。

no snmp-server enable traps
 


 

特定の syslog メッセージをディセーブルおよびイネーブルにする

ここでは、syslog メッセージをディセーブルにする方法、再度イネーブルにする方法、およびディセーブルにした syslog メッセージを表示する方法について説明します。

「特定の syslog メッセージをディセーブルにする」

「ディセーブルに設定した syslog メッセージのリストを表示する」

「ディセーブルに設定した特定の syslog メッセージをイネーブルにする」

「ディセーブルに設定したすべての syslog メッセージをイネーブルにする」

特定の syslog メッセージをディセーブルにする

特定の syslog メッセージをディセーブルにするには、次のコマンドを入力します。

no logging message message_number
 

ここで、 message_number がディセーブルにするメッセージです。


) 次のメッセージはディセーブルにできません。
%PIX-6-199002: PIX startup completed.Beginning operation.


ディセーブルに設定した syslog メッセージのリストを表示する

ディセーブルにした syslog メッセージのリストを表示するには、次のコマンドを入力します。

show logging disabled
 

ディセーブルに設定した特定の syslog メッセージをイネーブルにする

ディセーブルにした syslog メッセージを、再度イネーブルにするには、次のコマンドを入力します。

logging message message_number
 

ここで、 message_number がイネーブルにするメッセージです。

ディセーブルに設定したすべての syslog メッセージをイネーブルにする

ディセーブルにしたすべての syslog メッセージを再度イネーブルにするには、次のコマンドを入力します。

clear logging message
 

ログ メッセージの理解

ここでは、次の内容について説明します。

「ログ メッセージの形式」

「重大度レベル」

「変数」

ログ メッセージの形式

システム ログ メッセージは、パーセント記号(%)から始まり、構造は次のようになります。

%PIX-Level-Message_number: Message_text
 

次の説明を参照してください。

 

PIX

PIX Firewall によって生成されたメッセージのファシリティ コードです。 この値は常に PIX です。

レベル

1-7. レベルは、メッセージが示している状況の重大度を表します。番号が小さいほど、重大度レベルが高くなります。詳細については、 表 1-3 を参照してください。

Message_number

メッセージを識別するための 6 桁の一意番号です。

Message_text

状況を記述した文字列です。 メッセージのこの部分には、IP アドレス、ポート番号、またはユーザ名が含まれる場合があります。 表 1-4 に、変数フィールドとその変数に含まれる情報のタイプを示します。


) PIX Firewall のシリアル コンソールで受信される syslog メッセージには、メッセージのコード部分だけが含まれます。第2章「システム ログ メッセージ」のメッセージの説明には、重大度レベルも記述されています。


重大度レベル

表 1-3 重大度レベルを示します。ロギングは、デフォルトではレベル 3 (エラー)に設定されています。


) syslog 機能では、レベル 0 の緊急メッセージは生成されません。レベル 0 は、UNIX の syslog 機能と互換性を保つために logging コマンドで提供されていますが、PIX Firewall では使用しません。


 

表 1-3 ログ メッセージの重大度レベル

レベル番号
レベル キーワード
説明

0

emergency

システムが使用不可。

1

alert

ただちに対処が必要。

2

critical

危険な状態。

3

error

エラー状態。

4

warning

警告状態。

5

notification

正常だが重要な状態。

6

informational

情報メッセージのみ。

7

debugging

デバッグ時に限り表示。

各重大度レベルで生成されるメッセージについては、 付録A「重大度レベル別メッセージ リスト」 に示します。

変数

ログ メッセージには、多くの場合変数が含まれています。 表 1-4 に、ログ メッセージを説明するためにこのマニュアルで使用しているほとんどの変数を示します。 1 つのログ メッセージだけで使用される一部の変数については、示していません。

 

表 1-4 syslog メッセージの変数フィールド

種類
変数
情報のタイプ

汎用

acl_ID

ACL 名。

command

コマンド名。

command_modifier

command_modifier は、次のいずれかの文字列。

cmd (この文字列は、コマンドに修飾子がないことを示す)

clear

no

show

connection_type

接続のタイプ。

SIGNALLING UDP

SIGNALLING TCP

SUBSCRIBE UDP

SUBSCRIBE TCP

Via UDP

Route

RTP

RTCP

device

記録用のストレージ デバイス。 たとえば、フロッピー ディスク、フラッシュ メモリ、TFTP、フェールオーバー スタンバイ装置、コンソール ターミナルなどです。

filename

PIX Firewall イメージ、PDM ファイル、またはコンフィギュレーション ファイルの名前。

privilege_level

ユーザの優先順位レベル。

reason

メッセージの生成理由を説明する文字列。

string

文字列(ユーザ名など)。

tcp_flags

TCP ヘッダのフラグ。次に例を示します。

ACK

FIN

PSH

RST

SYN

URG

url

URL。

user

ユーザ名。

数値

number

数値。 正確な形式は、ログ メッセージによって異なります。

bytes

バイト数。

code

メッセージによって返される 10 進数。エラーの原因または発生場所(メッセージによって異なる)を示します。

connections

接続数。

elimit

static コマンドまたは nat コマンドで指定した初期接続の数。

econns

初期接続の数。

nconns

スタティック テーブルまたは xlate テーブルで許容される接続の数。

time

hh : mm : ss 形式で表した時間。

dec

10 進数。

hex

16 進数。

octal

8 進数。

アドレス

IP_address

n . n . n . n 形式で表した IP アドレス。 n は1 ~ 255 の整数です。

MAC_address

MAC アドレス。

outside_address

外部 IP アドレス。通常、外部ルータの外側にあるネットワークの低セキュリティ レベル インターフェイスにあるホストのアドレスです。

inside_address

内部(ローカル) IP アドレス。高セキュリティ レベル インターフェイス上のアドレスです。

global_address

グローバル IP アドレス。低セキュリティ レベル インターフェイス上のアドレスです。

source_address

パケットの発信元アドレス。

dest_address

パケットの宛先アドレス。

real_address

ネットワーク アドレス変換(NAT)が実行される前の実際の IP アドレス。

mapped_address

変換後の IP アドレス。

gateway_address

ネットワーク ゲートウェイの IP アドレス。

netmask

サブネット マスク。

インターフェイス

interface_number

interface_name

インターフェイスに割り当てられる名前。 インターフェイスとその名前を表示するには、 show nameif コマンドを使用します。

ポート、サービス、およびプロトコル

port

TCP ポートまたは UDP ポートの番号。

outside_port

外部ポート番号。

inside_port

内部ポート番号。

source_port

発信元ポート番号。

dest_port

宛先ポート番号。

real_port

NAT を実行する前の、実際のポート番号。

mapped_port

変換後のポート番号。

global_port

グローバル ポート番号。

protocol

パケットのプロトコル(ICMP、TCP、UDP など)。

service

パケットによって指定されているサービス(SNMP や Telnet など)。

その他のリモート管理/監視ツール

システム ログ機能に加えて、次のツールを使用して PIX Firewall をリモートで監視する機能があります。

Cisco PIX Device Manager (P.1-19)

Cisco Secure Policy Manager (P.1-19)

SNMP トラップ (P.1-19)

Telnet (P.1-19)

Cisco PIX Device Manager

Cisco PIX Device Manager(PDM)は、PIX Firewall のコマンドライン インターフェイス(CLI)に関する広範な知識がなくても、グラフィカルに PIX Firewall のセットアップ、設定、および監視を行えるように設計されたブラウザ ベースの設定ツールです。 PDM は、バージョン 6.0(1) 以降のソフトウェアを実行する PIX Firewall に付属しています。詳細については、『 Cisco PIX Device Manager Installation Guide 』を参照してください。

Cisco Secure Policy Manager

Cisco Secure Policy Manager (CSPM)は、中央からネットワーク全体のセキュリティ ポリシーを定義、配布、制御、および監査する、セキュリティ ポリシー管理システムです。 CSPM では、境界アクセス制御、ネットワーク アドレス変換(NAT)、IDS、IPSec ベース VPN など、複雑なネットワーク セキュリティ イベントの管理タスクを合理的に行うことができます。 CSPM には、監視、イベント通知、および Web ベースでのレポート作成などのシステム監査機能があります。

CSPM は PIX Firewall から syslog メッセージを受け取り、指定した syslog に対して電子メール、ポケット ベル、スクリプティングなどによる通知を行います。また、上位 10 人のユーザと上位 10 までの Web サイトを含めた、PIX Firewall syslog のレポートも作成します。このレポートは、オンデマンドおよびスケジューリングのどちらでも作成できます。レポートは、SSL 対応 Web ブラウザからリモートで電子メール送信または表示が可能です。

詳細については、次の Web サイトを参照してください。

http://www.cisco.com/go/policymanager

http://www.cisco.com/univercd/cc/td/doc/product/ismg/policy/index.htm

SNMP トラップ

PIX Firewall のイベントを、SNMP を使用してレポートできます。この機能を利用するには、Cisco SYSLOG MIB と Cisco SMI MIB を、SNMP 管理ステーションにロードする必要があります。

Telnet

内部ホストから Telnet を使用して PIX Firewall コンソールにログインし、システム ステータスを監視することができます。IPSec がイネーブルの場合は、外部ホストからもコンソールにアクセスできます。debug icmp trace および debug sqlnet コマンドを使用して、Telnet から ICMP (ping)トレースおよび SQL*Net アクセスを表示できます。

Telnet コンソール セッションで、logging monitor および terminal monitor コマンドを使用して syslog メッセージを表示することもできます。詳細については、「Telnet コンソール セッションに syslog メッセージを送信する」を参照してください。