Cisco Secure ACS ユーザ ガイド Windows 版 Version 3.3
ログとレポート
ログとレポート
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

ログとレポート

ロギングの形式

特殊なロギング アトリビュート

ログ内の NAC アトリビュート

アカウンティング ログでのアップデート パケット

Cisco Secure ACS ログとレポートについて

アカウンティング ログ

ダイナミック管理レポート

Logged-in Users レポートの表示

ログイン ユーザの削除

Disabled Accounts レポートの表示

Cisco Secure ACS システム ログ

Administration Audit ログの設定

CSV ログの操作

CSV ログ ファイルの名前

CSV ログ ファイルの名前

CSV ログのイネーブル化またはディセーブル化

CSV レポートの表示

CSV ログの設定

ODBC ログの操作

ODBC ロギングの準備

ODBC ロギング用のシステム データ ソース名の設定

ODBC ログの設定

リモート ロギング

リモート ロギング機能について

集中リモート ロギングの実装

リモート ロギング オプション

Remote Logging のイネーブル化と設定

リモート ロギング機能のディセーブル化

サービス ログ

ロギングされるサービス

サービス ログの設定

ログとレポート

Cisco Secure ACS for Windows Server はさまざまなログを生成します。これらのログのほとんどは、Cisco Secure ACS HTML インターフェイスで HTML レポートとして表示することができます。

この章は、次の項で構成されています。

「ロギングの形式」

「特殊なロギング アトリビュート」

「ログ内の NAC アトリビュート」

「アカウンティング ログでのアップデート パケット」

「Cisco Secure ACS ログとレポートについて」

「CSV ログの操作」

「ODBC ログの操作」

「リモート ロギング」

「サービス ログ」

ロギングの形式

Cisco Secure ACS は、ユーザおよびシステムのさまざまなアクティビティをロギングします。Cisco Secure ACS の設定方法およびログに応じて、次の 2 つの形式のいずれかでログを記録できます。

Comma-separated value(CSV)ファイル :CSV 形式では、カンマで区切られたカラム単位でデータが記録されます。この形式のファイルは、Microsoft Excel や Microsoft Access など、さまざまなサードパーティ製アプリケーションに簡単にインポートできます。このようなサードパーティ製アプリケーションに、CSV ファイルからデータをインポートすると、グラフを作成することや、ユーザが特定の期間にネットワークにロギングしていた時間を確認するなどのクエリーを実行できます。Microsoft Excel などのサードパーティ製アプリケーションでの CSV ファイルの使用方法については、サードパーティ ベンダーから供給されるマニュアルを参照してください。CSV ファイルは、HTML インターフェイスからダウンロードするか、または Cisco Secure ACS サーバのハード ドライブ上でアクセスできます。HTML インターフェイスから CSV ファイルをダウンロードする方法の詳細については、「CSV レポートの表示」を参照してください。

ODBC 準拠データベース テーブル :ODBC ロギングを使用すると、テーブル単位で格納されている ODBC 準拠リレーショナル データベースで、1 つのログにつき 1 つのテーブルを直接ロギングするように Cisco Secure ACS を設定できます。リレーショナル データベースにデータをエクスポートすると、あらゆる必要性に応じてデータを使用できます。リレーショナル データベース内のデータに対するクエリーの詳細については、リレーショナル データベース ベンダーから供給されるマニュアルを参照してください。

特定のログに使用できる形式については、「Cisco Secure ACS ログとレポートについて」を参照してください。

特殊なロギング アトリビュート

ログに Cisco Secure ACS が記録できる多数のアトリビュートの中には、特に重要なものがいくつかあります。次のリストでは、Cisco Secure ACS が提供する特別なロギング アトリビュートを説明します。

User Attributes :これらのロギング アトリビュートは、すべてのログ設定ページの Attributes リストに表示されます。Cisco Secure ACS では、これらのアトリビュートは、Real Name、Description、User Field 3、User Field 4、User Field 5 などのデフォルト名を使用してリストに表示されます。ユーザ定義アトリビュートの名前を変更しても、新しい名前ではなくデフォルト名が Attributes リストに表示されます。

これらのアトリビュートの内容は、ユーザ アカウントの対応するフィールドに入力されている値によって決まります。ユーザ アトリビュートの詳細については、「ユーザ データの設定オプション」を参照してください。

ExtDB Info外部ユーザ データベースを使用してユーザが認証されるときに、外部ユーザ データベースの返す値がこのアトリビュートに格納されます。Windows ユーザ データベースの場合、このアトリビュートには、ユーザを認証したドメインの名前が格納されます。

Failed Attempts ログのエントリでは、このアトリビュートには、最後に正常にユーザを認証したデータベースが格納されます。ユーザの認証に失敗したデータベースは示されません。

Access Device :Cisco Secure ACS にロギング データを送信した AAA クライアントの名前です。

Network Device Group :アクセス デバイス(AAA クライアント)の属するネットワーク デバイス グループです。

Filter Information :ユーザに適用されたネットワークアクセス制限(NAR)の結果です(適用された場合)。このフィールド内のメッセージには、適用されたすべての NAR がユーザ アクセスを許可したか、適用されたすべての NAR がユーザ アクセスを拒否したか、または、どの NAR がユーザ アクセスを拒否したかが示されます。NAR がユーザに適用されていない場合は、このロギング アトリビュートには、NAR が適用されていないことが表示されます。

Filter Information アトリビュートは、Passed Authentication ログおよび Failed Attempts ログに使用できます。

Device Command Set :コマンド許可要求を満たすために使用されたデバイス コマンド セットの名前です(使用された場合)。

Device Command Set アトリビュートは、Failed Attempts ログに使用できます。

Remote Logging Result :転送されたアカウンティング パケットがリモート ロギング サービスによって正常に処理されたかどうかを示します。このアトリビュートは、中央ロギング サービスによってロギングされなかった可能性のあるアカウンティング パケットを特定するために役立ちます。これは、リモート ロギング サービスからの確認メッセージの受信に依存します。確認メッセージは、リモート ロギング サービスが設定通りにアカウンティング パケットを正しく処理したことを示します。
Remote-logging-successful は、リモート ロギング サービスがアカウンティング パケットを正常に処理したことを示します。
Remote-logging-failed は、リモート ロギング サービスがアカウンティング パケットを正常に処理しなかったことを示します。


) Cisco Secure ACS は、リモート ロギング サービスが、転送されたアカウンティング パケットを処理するように設定されているかどうかを判断できません。たとえば、リモート ロギング サービスがアカウンティング パケットを廃棄するように設定されている場合、リモート ロギング サービスは転送されたアカウンティング パケットを廃棄し、確認メッセージで Cisco Secure ACS に応答します。この処理により、Cisco Secure ACS は、そのアカウンティング パケットを記録するローカル ログの Remote Logging Result アトリビュートに値 Remote-logging-successful を書き込みます。


Application-Posture-Token :ポスチャ確認要求中に特定のポリシーによって返される Application Posture Token(APT; アプリケーション ポスチャ トークン)。このアトリビュートは、Passed Authentications ログと Failed Attempts ログでのみ使用できます。詳細については、「ログ内の NAC アトリビュート」を参照してください。

System-Posture-Token :ポスチャ確認要求中に Network Admission Control(NAC; ネットワーク アドミッション コントロール)データベースによって戻される System Posture Token(SPT; システム ポスチャ トークン)。このアトリビュートは、Passed Authentications ログと Failed Attempts ログでのみ使用できます。詳細については、「ログ内の NAC アトリビュート」を参照してください。

その他のポスチャ確認アトリビュート :ポスチャ確認要求で NAC クライアントによって Cisco Secure ACS に送信されるアトリビュート。アトリビュートを固有に識別するベンダー名、アプリケーション名、アトリビュート名で示されます。たとえば、NAI:AV:DAT-Date アトリビュートは、Network Associates, Inc. のアンチウィルス アプリケーションの NAC クライアントにある DAT ファイルの日付情報を含むアトリビュートです。これらアトリビュートは、Passed Authentications ログと Failed Attempts ログでのみ使用できます。詳細については、「ログ内の NAC アトリビュート」を参照してください。

ログ内の NAC アトリビュート

NAC によって使用されるポスチャ確認アトリビュートは、Passed Authentications ログと Failed Attempts ログで使用できます。受信アトリビュートはすべてログに使用できます。ログに記録できる送信アトリビュートは、Application-Posture- Token と System-Posture-Token の 2 つだけです。

ポスチャ確認要求の結果、Healthy のシステム ポスチャ トークン(SPT)が生成された場合は、Passed Authentications ログに記録されます。ポスチャ確認要求の結果、Healthy 以外の SPT が生成された場合は、Failed Attempts ログに記録されます。ポスチャ トークンの詳細については、「ポスチャ トークン」を参照してください。

アカウンティング ログでのアップデート パケット

ユーザ セッションのアカウンティング データを記録するように Cisco Secure ACS を設定すると、Cisco Secure ACS は必ず開始パケットと停止パケットを記録します。必要であれば、アップデート パケットも記録するように Cisco Secure ACS を設定できます。ユーザ セッション時に仮のアカウンティング情報を提供することに加えて、アップデート パケットは、CiscoSecure Authentication Agent 経由でパスワード失効メッセージを送信します。アップデート パケットをこの用途に使用する場合は、ウォッチドッグ パケットと呼ばれます。


) Cisco Secure ACS アカウンティング ログにアップデート パケットを記録するには、AAA クライアントがアップデート パケットを送信するように設定する必要があります。アップデート パケットを送信するように AAA クライアントを設定する方法の詳細については、AAA クライアントのマニュアルを参照してください。


Logging Update Packets Locally :ローカルの Cisco Secure ACS のロギング設定に従ってアップデート パケットをロギングするには、Network Configuration で各 AAA クライアントに対して、この Access Server オプションから、Log Update/Watchdog Packets をイネーブルにします。

AAA クライアントに対してこのオプションを設定する方法の詳細については、「AAA クライアントの追加」を参照してください。

Logging Update Packets Remotely :リモート ロギング サーバにアップデート パケットをロギングするには、このリモート AAA Server オプションから、ローカル Cisco Secure ACS 上にあるリモート ロギング サーバの AAA Server テーブル エントリに対して、Log Update/Watchdog Packets をイネーブルにします。

AAA サーバに対してこのオプションを設定する方法の詳細については、「AAA サーバの追加」を参照してください。

Cisco Secure ACS ログとレポートについて

Cisco Secure ACS が生成するログは、次の 4 つのタイプに分類できます。

アカウンティング ログ

ダイナミック Cisco Secure ACS 管理レポート

Cisco Secure ACS システム ログ

サービス ログ

ここでは、最初の 3 つのログ タイプについて説明します。サービス ログについては、「サービス ログ」を参照してください。

この項では、次のトピックについて取り上げます。

「アカウンティング ログ」

「ダイナミック管理レポート」

「Cisco Secure ACS システム ログ」

アカウンティング ログ

アカウンティング ログには、ユーザによるリモート アクセス サービスの利用に関する情報が格納されます。デフォルトでは、アカウンティング ログは CSV 形式で生成されます。Passed Authentication ログ以外のログについては、ログ データの保存先として設定した ODBC 準拠のリレーショナル データベースにこれらのログのデータをエクスポートするように、Cisco Secure ACS を設定できます。 表 11-1 では、すべてのアカウンティング ログについて説明しています。

HTML インターフェイスでは、すべてのアカウンティング ログのイネーブル化、設定、および表示を実行できます。 表 11-2 では、Cisco Secure ACS HTML インターフェイスでアカウンティング ログに関して実行可能な操作について説明しています。

 

表 11-1 アカウンティング ログの説明

ログ
説明

TACACS+ Accounting

次の情報を格納します。

ユーザ セッションの開始時刻と停止時刻

ユーザ名付き AAA クライアント メッセージ

発信者番号識別(CLID)情報

セッション継続時間

TACACS+ Administration

AAA クライアントで TACACS+ (Cisco IOS) を使用して入力された設定コマンドを記録します。特に、コマンド許可の実行に Cisco Secure ACS を使用している場合は、このログを使用することを推奨します。


) TACACS+ Administration ログを使用するには、コマンド アカウンティングの実行時に Cisco Secure ACS を使用するように TACACS+ AAA クライアントを設定する必要があります。


RADIUS Accounting

次の情報を格納します。

ユーザ セッションの開始時刻と停止時刻

ユーザ名付き AAA クライアント メッセージ

発信者番号識別情報

セッション継続時間

Cisco Secure ACS では、Voice over IP(VoIP)に対するアカウンティング情報を、RADIUS アカウンティング ログ、個別の VoIP アカウンティング ログ、またはその両方に格納できます。

VoIP Accounting

次の情報を格納します。

VoIP セッションの停止時刻と開始時刻

ユーザ名付き AAA クライアント メッセージ

CLID 情報

VoIP セッション継続時間

VoIP に対するアカウンティング情報を、この個別の VoIP アカウンティング ログ、RADIUS アカウンティング ログ、またはその両方のログに格納するように Cisco Secure ACS を設定できます。

Failed Attempts

認証と許可の失敗を、それらの原因とともに記録します。ポスチャ確認要求について、このログは、Healthy 以外のポスチャ トークンを返すポスチャ確認の結果を記録します。


) Failed Attempts ログのエントリでは、ExtDB Info アトリビュートには、最後に正常にユーザを認証したデータベースが格納されます。ユーザの認証に失敗したデータベースは示されません。


Passed Authentications

成功した認証要求を記録します。このログは、AAA クライアントからのアカウンティング パケットに依存していないため、AAA クライアントが RADIUS アカウンティングをサポートしていない場合、または AAA クライアント上のアカウンティングをディセーブルにした場合でも使用できます。ポスチャ確認要求について、このログは、Healthy のポスチャ トークンを返すポスチャ確認の結果を記録します。


) Passed Authentications ログは、ODBC 形式を使用するようには設定できません。


表 11-2 アカウンティング ログでの可能な操作

可能な操作
説明および関連項目

アカウンティング ログのイネーブル化

CSV 形式または ODBC 形式でログをイネーブルにできます。

CSV :CSV 形式でアカウンティング ログをイネーブルにする方法については、「CSV ログのイネーブル化またはディセーブル化」を参照してください。

ODBC :ODBC 形式でアカウンティング ログをイネーブルにする方法については、「ODBC ログの設定」を参照してください。

アカウンティング レポートの表示

HTML インターフェイスでアカウンティング レポートを表示する方法については、「CSV レポートの表示」を参照してください。

アカウンティング ログの設定

アカウンティング ログを設定する手順は、使用する形式によって異なります。ログ形式の詳細については、「ロギングの形式」を参照してください。

CSV :CSV アカウンティング ログの設定方法については、「CSV ログの設定」を参照してください。

ODBC :ODBC アカウンティング ログの設定方法については、「ODBC ログの設定」を参照してください。

ダイナミック管理レポート

このレポートは、Cisco Secure ACS HTML インターフェイスでこのレポートにアクセスした時点でのユーザ アカウントのステータスを示します。このレポートは、HTML インターフェイスだけで利用でき、常にイネーブルで、設定を必要としません。

表 11-3 は、すべてのダイナミック管理レポートについて説明し、ダイナミック管理レポートに関して実行可能な操作についての情報を示しています。

 

表 11-3 ダイナミック管理レポートの説明および関連項目

レポート
説明および関連項目

Logged-In Users

単一の AAA クライアントまたは全 AAA クライアントのサービスを受信しているすべてのユーザを一覧表示します。Cisco Aironet Access Point 上のファームウェア イメージがキー再生成の認証用の RADIUS Service-Type アトリビュートの送信をサポートしている場合、Cisco Aironet 装置を使用してネットワークにアクセスしているユーザは、現在関連付けられているアクセス ポイントのリストに表示されます。

マシンの認証を実行するよう設定されているコンピュータでは、コンピュータの起動時にマシンの認証が行われます。コンピュータが起動されると、ユーザがそのコンピュータにログインする前に、Reports and Activity セクションの Logged-In Users List にそのコンピュータが表示されます。ユーザの認証が開始されると、コンピュータは Logged-In Users List に表示されなくなります。マシン認証の詳細については、「EAP および Windows 認証」を参照してください。


) ログイン ユーザのリスト機能を使用するには、AAA クライアントが TACACS+ または RADIUS のいずれかの同一プロトコルで認証およびアカウンティングを実行するように設定する必要があります。


HTML インターフェイスで Logged-in User レポートを表示する方法については、「Logged-in Users レポートの表示」を参照してください。

特定の AAA クライアントまたはすべての AAA クライアントからログイン ユーザを削除する方法については、「ログイン ユーザの削除」を参照してください。

Disabled Accounts

無効になっているすべてのユーザ アカウントおよび無効になった理由を一覧表示します。

HTML インターフェイスで Disable Accounts レポートを表示する方法については、「Disabled Accounts レポートの表示」を参照してください。

Logged-in Users レポートの表示

Logged-in Users レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Logged-in Users をクリックします。

Select a AAA Client ページに、各 AAA クライアント、その IP アドレス、およびその AAA クライアントを介してログインしたユーザの数が表示されます。テーブルの一番下にある All AAA Clients エントリには、ログインしたユーザの合計数が表示されます。


ヒント このテーブルは、任意のカラムのエントリによって昇順または降順でソートできます。カラムのエントリによって昇順でテーブルをソートするには、カラムのタイトルを一度クリックします。カラムのエントリによって降順でテーブルをソートするには、カラムのタイトルを再度クリックします。

ステップ 3 次のいずれか 1 つを実行します。

ログインした全ユーザのリストを表示するには、 All AAA Clients をクリックします。

特定の AAA クライアントを介してログインしたすべてのユーザのリストを表示するには、その AAA クライアントの名前をクリックします。

Cisco Secure ACS によって、次の情報が含まれるログイン ユーザのテーブルが表示されます。

日時

ユーザ

グループ

割り当てられている IP

ポート

ソース AAA クライアント


ヒント このテーブルは、任意のカラムのエントリによって昇順または降順でソートできます。カラムのエントリによって昇順でテーブルをソートするには、カラムのタイトルを一度クリックします。カラムのエントリによって降順でテーブルをソートするには、カラムのタイトルを再度クリックします。


 

ログイン ユーザの削除

Logged-in Users レポートでは、特定の AAA クライアントにログインしたユーザの削除を Cisco Secure ACS に指示できます。ユーザがセッションを終了したときに、AAA クライアントがアカウンティング停止パケットを Cisco Secure ACS に送信しなかった場合、そのユーザは Logged-in Users レポートに継続して表示されます。AAA クライアントからログインしているユーザを削除することにより、そのユーザ セッションのアカウンティングが終了します。


) ログイン ユーザを削除しても、特定の AAA クライアントにログインしたユーザの Cisco Secure ACS アカウンティング レコードが終了するだけです。アクティブ ユーザ セッションを終了させることや、ユーザ レコードに影響することはありません。


ログイン ユーザを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Logged-in Users をクリックします。

Select a AAA Client ページに、各 AAA クライアント、その IP アドレス、およびその AAA クライアントを介してログインしたユーザの数が表示されます。テーブルの一番下にある All AAA Clients エントリには、ログインしたユーザの合計数が表示されます。

ステップ 3 Logged-in Users レポートから、削除するユーザがログインした AAA クライアントの名前をクリックします。

AAA クライアントを介してログインした全ユーザのテーブルが表示されます。Purge Logged in Users ボタンがテーブルの下に表示されます。

ステップ 4 Purge Logged in Users をクリックします。

レポートから削除したユーザの数および AAA クライアントの IP アドレスを示すメッセージが表示されます。


 

Disabled Accounts レポートの表示

Disabled Accounts レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Disabled Accounts をクリックします。

Select a user account to edit ページに、無効なユーザ アカウント、アカウント ステータス、およびユーザ アカウントが割り当てられているグループが表示されます。

ステップ 3 リスト内のユーザ アカウントを編集するには、User カラムでユーザ名をクリックします。

Cisco Secure ACS によって編集対象のユーザ アカウントが表示されます。

ユーザ アカウントの編集方法の詳細については、「基本ユーザ設定オプション」を参照してください。


 

Cisco Secure ACS システム ログ

システム ログは、Cisco Secure ACS システム自体に関するログであるため、システム関連イベントが記録されます。システム ログは、トラブルシューティングや監査に役立ちます。システム ログは、常にイネーブルで、CSV 形式だけで生成されます。一部のシステム ログは設定可能です。どのシステム ログが設定可能であるかなど、各システム ログについては、 表 11-4 を参照してください。

HTML インターフェイスで CSV レポートを表示する方法については、「CSV レポートの表示」を参照してください。

 

表 11-4 アカウンティング ログの説明および関連項目

ログ
説明および関連項目

ACS Backup and Restore

Cisco Secure ACS のバックアップおよび復元アクティビティを記録します。このログは設定できません。

RDBMS Syncronization

RDBMS 同期化アクティビティを記録します。このログは設定できません。

Database Replication

データベース複製アクティビティを記録します。このログは設定できません。

Administration Audit

ユーザの追加、グループの編集、AAA クライアントの設定、またはレポートの表示など、各システム管理者の行ったアクションを記録します。

Administration Audit ログの設定方法については、「Administration Audit ログの設定」を参照してください。

User Password Changes

パスワードの変更に使用された方式に関係なく、ユーザによって実行されたユーザ パスワード変更を記録します。したがって、このログには、CiscoSecure Authentication Agent、User Changeable Password HTML インターフェイス、または TACACS+ を使用するネットワーク デバイス上の Telnet セッションによって行われたパスワード変更のレコードが含まれます。このログには、Cisco Secure ACS HTML インターフェイスで管理者によって実行されたパスワード変更は記録されません。

User Password Changes ログの設定については、「ローカル パスワード管理の設定」を参照してください。

ACS Service Monitoring

Cisco Secure ACS サービスの開始時刻と停止時刻を記録します。

ACS Service Monitoring ログの設定については、「Cisco Secure ACS Active Service Management」を参照してください。

Administration Audit ログの設定

次の手順で、Cisco Secure ACS で新規 Administration Audit ログ ファイルを生成する頻度やサイズ制限を設定できます。また、Administration Audit ログ ファイルのディスク容量の制限を数値または経過時間で設定できます。

Administration Audit ログを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

ステップ 2 Audit Policy をクリックします。

Audit Policy Setup ページが表示されます。

ステップ 3 一定の間隔で新しい Administration Audit CSV ファイルを生成するには、次のいずれかのオプションを選択します。

Every day :Cisco Secure ACS によって、毎日午前 12:01 に新しい Administration Audit CSV ファイルが生成されます。

Every week :Cisco Secure ACS によって、毎週日曜日の午前 12:01 に新しい Administration Audit CSV ファイルが生成されます。

Every month :Cisco Secure ACS によって、毎月 1 日の午前 12:01 に新しい Administration Audit CSV ファイルが生成されます。

ステップ 4 現在のファイルが特定のサイズに達したときに、新しい Administration Audit CSV ファイルを生成するには、 When size is greater than X KB オプションを選択してから、 X ボックスにキロバイト単位でファイル サイズのしきい値を入力します。

ステップ 5 Cisco Secure ACS がどの Administration Audit CSV ファイルを保持するかを管理するには、次の手順を実行します。

a. Manage Directory チェックボックスをオンにします。

b. Cisco Secure ACS が保持する Administrative Audit CSV ファイルの数を制限するには、 Keep only the last X files オプションを選択し、次に Cisco Secure ACS に保持するファイルの数を X ボックスに入力します。

c. Cisco Secure ACS に Administration Audit CSV ファイルを保持する期間を制限するには、 Delete files older than X days オプションを選択し、Cisco Secure ACS による削除が行われるまで Administration Audit CSV ファイルを保持しておく日数を入力します。

ステップ 6 Submit をクリックします。

指定した Administration Audit ログの設定が Cisco Secure ACS に保存および実装されます。


 

CSV ログの操作

この項では、次のトピックについて取り上げます。

「CSV ログ ファイルの名前」

「CSV ログ ファイルの名前」

「CSV ログのイネーブル化またはディセーブル化」

「CSV レポートの表示」

「CSV ログの設定」

CSV ログ ファイルの名前

Reports and Activity 内のレポートにアクセスすると、Cisco Secure ACS によって、現在の CSV ファイルを一番上位にして、新しい順に CSV ファイルが一覧表示されます。現在のファイルは、 log .csv という名前になります。 log にはログの名前が表示されます。

これよりも古いファイルには、次の形式で名前が付けられます。

logyyyy-mm-dd.csv

ここで、

log はログの名前です。

yyyy は CSV ファイルが開始された暦年です。

mm は CSV ファイルが開始された月を数字で表したものです。

dd は CSV ファイルが開始された日付です。

たとえば、2002 年 10 月 13 日に生成された Database Replication ログ ファイルは、 Database Replication 2002-10-13.csv という名前になります。

CSV ログ ファイルの名前

デフォルトでは、Cisco Secure ACS は、ログ ファイルをそのログに固有のディレクトリに保存します。一部のログの中は、HTML インターフェイスでログ ファイルの格納場所を設定できますが、ログ ファイルの場所を設定できないものもあります。すべてのログのデフォルトのディレクトリは、
sysdrive
:\Program Files\CiscoSecure ACS v x.x の中にあります。この場所にある、特定のログ用のサブディレクトリについては、 表 11-5 を参照してください。

 

表 11-5 CSV ログ ファイルのデフォルトの場所

ログ
デフォルトの場所
設定の可否

TACACS+ Accounting

Logs\TACACS+Accounting

Yes

CSV TACACS+ Administration

Logs\TACACS+Administration

Yes

CSV RADIUS Accounting

Logs\RADIUS Accounting

Yes

CSV VoIP Accounting

Logs\VoIP Accounting

Yes

CSV Failed Attempts

Logs\Failed Attempts

Yes

Passed Authentications

Logs\Passed Authentications

Yes

Cisco Secure ACS Backup and Restore

Logs\Backup and Restore

No

RDBMS Synchronization

Logs\DbSync

No

RDBMS Synchronization

Logs\DBReplicate

No

Administration Audit

Logs\AdminAudit

No

User Password Changes

CSAuth\PasswordLogs

No

Cisco Secure ACS Active Service Monitoring

Logs\ServiceMonitoring

No

CSV ログのイネーブル化またはディセーブル化

ここでは、CSV ログをイネーブルまたはディセーブルにする手順について説明します。CSV ログ内容の設定方法については、「CSV ログの設定」を参照してください。


) 一部の CSV ログは、常にイネーブルになっています。特定のログをディセーブルにできるかどうかなど、特定のログについては、「Cisco Secure ACS ログとレポートについて」を参照してください。


CSV ログをイネーブルまたはディセーブルにするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

ステップ 3 イネーブルにする CSV ログの名前をクリックします。

CSV log Comma-Separated Values File Configuration ページが表示されます。 log には選択した CSV ログの名前が表示されます。

ステップ 4 ログをイネーブルにするには、Enable Logging の Log to CSV log report チェックボックスをオンにします。 log には、ステップ 3 で選択した CSV ログの名前が表示されます。

ステップ 5 ログをディセーブルにするには、Enable Logging で Log to CSV report log チェックボックスをオフにします。 log には、ステップ 3 で選択した CSV ログの名前が表示されます。

ステップ 6 Submit をクリックします。

ログをイネーブルにした場合は、Cisco Secure ACS によって、選択したログの情報のロギングが開始されます。ログをディセーブルにした場合は、Cisco Secure ACS によって、選択したログの情報のロギングが停止されます。


 

CSV レポートの表示

Logged-in Users または Disabled Accounts を選択すると、Web ブラウザの右側のフレームにある表示領域に、ログイン ユーザまたは無効アカウントが表示されます。ほかのレポートを選択すると、適用可能なレポートのリストが表示されます。ファイルは作成日付の順番にリストされ、最新のファイルがリストの先頭に表示されます。レポートは、作成された日付の名前が付けられて、日付順にリストに表示されます。たとえば、 2002-10-13.csv で終わるレポートは、2002 年 10 月 13 日に作成されたものです。

CSV 形式のファイルは、最も一般的に利用されている表計算アプリケーション ソフトウェアを使用してスプレッドシートにインポートできます。詳細については、表計算ソフトウェアのマニュアルを参照してください。サード パーティ製のレポート ツールを使用してレポート データを管理することもできます。たとえば、Extraxi の aaa-reports! は Cisco Secure ACS をサポートしています
http://www.extraxi.com )。

任意の CSV レポートとして CSV ファイルをダウンロードし、Cisco Secure ACS で表示できます。次の手順には、この方法も含まれています。

CSV レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 表示する CSV レポートの名前をクリックします。

Cisco Secure ACS によって、ブラウザの右側に、現在の CSV レポート ファイル名と、それ以前のすべての CSV レポート ファイルの名前が一覧表示されます。


ヒント 以前の CSV レポート ファイルを Cisco Secure ACS がどのように処理するかを設定できます。詳細については、「CSV ログの設定」を参照してください。

ステップ 3 内容を表示する CSV レポート ファイルの名前をクリックします。

CSV レポート ファイルに情報が格納されている場合は、情報が表示領域に表示されます。


ヒント このテーブルは、カラムのエントリによって昇順または降順でソートできます。カラムのエントリによって昇順でテーブルをソートするには、カラムのタイトルを一度クリックします。カラムのエントリによって降順でテーブルをソートするには、カラムのタイトルを再度クリックします。


ヒント 現在の CSV レポートで、更新された情報を確認するには、Refresh をクリックします。

ステップ 4 表示しているレポートの CSV ログ ファイルをダウンロードするには、次の手順を実行します。

a. Download をクリックします。

使用中のブラウザによって、CSV ファイルを受け入れ、保存するかどうかを確認するダイアログボックスが表示されます。

b. CSV ファイルを保存する場所を選択し、ファイルを保存します。


 

CSV ログの設定

ここでは、CSV ログの内容を設定する方法について説明します。CSV ログをイネーブルまたはディセーブルにする方法については、「CSV ログのイネーブル化またはディセーブル化」を参照してください。

この手順が適用されるログは、次のとおりです。

TACACS+ Accounting

TACACS+ Administration

RADIUS Accounting

VoIP Accounting

Failed Attempts

Passed Authentications


) ACS Backup and Restore、RDBMS Synchronization、および Database Replication CSV ログを設定することはできません。


CSV ログについて、いくつかの設定ができます。

ログの内容 :ログに格納するデータ アトリビュートを選択できます。

ログの生成頻度 :新しいログを指定時間の経過後に開始するか、または現在の CSV ファイルが特定のサイズに達したときに開始するかを決定できます。

CSV ファイルの格納場所 :Cisco Secure ACS が CSV ファイルを書き込むローカル ハード ドライブ上の場所を指定できます。

CSV ファイルの保持 :Cisco Secure ACS に保持する古い CSV ファイルの数、または最大数を設定できます。

CSV ログを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

ステップ 3 イネーブルにする CSV ログの名前をクリックします。

CSV log Comma-Separated Values File Configuration ページが表示されます。 log には選択した CSV ログの名前が表示されます。

Select Columns To Log テーブルには、Attributes と Logged Attributes という 2 つのリストがあります。Logged Attributes リスト内のアトリビュートが、選択したログ上に表示されます。

ステップ 4 ログにアトリビュートを追加するには、Attributes リストでアトリビュートを選択してから、 --> (右矢印ボタン)をクリックします。

アトリビュートが Logged Attributes リストに移動します。


ヒント リスト ボックス内にすべてのアトリビュートが表示されていない場合は、垂直スクロール バーを使用します。

ステップ 5 ログからアトリビュートを削除するには、Logged Attributes リストで削除するアトリビュートを選択してから、 <-- (左矢印ボタン)をクリックします。

アトリビュートが Attributes リストに移動します。


ヒント リスト ボックス内にすべてのアトリビュートが表示されていない場合は、垂直スクロール バーを使用します。

ステップ 6 Logged Attributes リストで選択されているアトリビュートをデフォルトの状態に戻すには、ブラウザ ウィンドウの最下部にある Reset Columns をクリックします。

ステップ 7 一定の間隔で新しい CSV ファイルを生成するには、次のオプションのいずれかを選択します。

Every day :Cisco Secure ACS によって、毎日午前 12:01 に新しい CSV ファイルが生成されます。

Every week :Cisco Secure ACS によって、毎週日曜日の午前 12:01 に新しい CSV ファイルが生成されます。

Every month :Cisco Secure ACS によって、毎月 1 日の午前 12:01 に新しい CSV ファイルが生成されます。

ステップ 8 現在のファイルが特定のサイズに達したときに、新しい CSV ファイルを生成するには、 When size is greater than X KB オプションを選択し、 X ボックスにキロバイト単位でファイル サイズのしきい値を入力します。

ステップ 9 Cisco Secure ACS に保持する CSV ファイルを管理するには、次の手順を実行します。

a. Manage Directory チェックボックスをオンにします。

b. Cisco Secure ACS に保持される CSV ファイルの数を制限するには、 Keep only the last X files オプションを選択し、Cisco Secure ACS に保持しておくファイル数を X ボックスに入力します。

c. Cisco Secure ACS に CSV ファイルを保持する期間を制限するには、 Delete files older than X days オプションを選択し、Cisco Secure ACS による削除が行われるまで CSV ファイルを保持しておく日数を入力します。

ステップ 10 Submit をクリックします。

指定した CSV ログ設定が Cisco Secure ACS に実装されます。


 

ODBC ログの操作

この項では、次のトピックについて取り上げます。

「ODBC ロギングの準備」

「ODBC ロギング用のシステム データ ソース名の設定」

「ODBC ログの設定」

ODBC ロギングの準備

ODBC ロギングの準備として、完了しておく必要のある手順があります。ODBC ロギングを準備した後、個々の ODBC ログを設定できます。

ODBC ロギングの準備として、次の手順を実行します。


ステップ 1 ロギング データをエクスポートするリレーショナル データベースを設定します。詳細については、リレーショナル データベースのマニュアルを参照してください。

ステップ 2 Cisco Secure ACS を実行しているコンピュータで、システム Data Source Name(DSN; データ ソース名)を設定します。その方法については、「ODBC 外部ユーザ データベース用のシステム データ ソース名の設定」を参照してください。

ステップ 3 Cisco Secure ACS HTML インターフェイスで ODBC ロギングをイネーブルにします。

a. ナビゲーション バーの Interface Configuration をクリックします。

b. Advanced Options をクリックします。

c. ODBC Logging チェックボックスをオンにします。

d. Submit をクリックします。

Cisco Secure ACS によって ODBC ロギング機能がイネーブルにされます。Cisco Secure ACS によって、Logging ページの System Configuration セクションに、ODBC ログ設定用のリンクが表示されます。

個々の ODBC ログを設定できます。その方法については、「ODBC ログの設定」を参照してください。


 

ODBC ロギング用のシステム データ ソース名の設定

ロギング データを格納するリレーショナル データベースと通信するには、Cisco Secure ACS を実行するコンピュータ上で、Cisco Secure ACS のシステム DSN を作成する必要があります。

ODBC ロギングに使用するシステム DSN を作成するには、次の手順を実行します。


ステップ 1 Windows の Control Panel で ODBC Data Sources をダブルクリックします。

ステップ 2 ODBC Data Source Administrator ページで System DSN タブをクリックします。

ステップ 3 Add をクリックします。

ステップ 4 新しい DSN で使用するドライバを選択してから、 Finish をクリックします。

ダイアログボックスが開き、選択した ODBC ドライバ固有の情報を入力するためのフィールドが表示されます。

ステップ 5 Data Source Name ボックスに DSN を説明する名前を入力します。

ステップ 6 選択した ODBC ドライバに必要な他のフィールドすべてに入力します。ここのフィールドには、ODBC 準拠リレーショナル データベースが動作しているサーバの IP アドレスなどを入力できます。

ステップ 7 OK をクリックします。

ステップ 8 ODBC ウィンドウと Windows の Control Panel を閉じます。

Cisco Secure ACS がリレーショナル データベースとの通信に使用するシステム DSN が、Cisco Secure ACS を実行するコンピュータ上に作成されます。DSN に割り当てた名前が、各 ODBC ログ設定ページの Data Source リストに表示されます。


 

ODBC ログの設定

この手順が適用されるログは、次のとおりです。

TACACS+ Accounting

TACACS+ Administration

RADIUS Accounting

VoIP Accounting

Failed Attempts


) ODBC ログを設定する前に、ODBC ロギングの準備を行う必要があります。詳細については、「ODBC ロギングの準備」を参照してください。


ODBC ログを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

ステップ 3 イネーブルにする ODBC ログの名前をクリックします。

ODBC log Configuration ページが表示されます。 log には選択した ODBC ログの名前が表示されます。

Select Columns To Log テーブルには、Attributes と Logged Attributes という 2 つのリストがあります。ログ用の ODBC 設定ページに初めてアクセスしたときは、Logged Attributes リストには、デフォルトのアトリビュート セットが含まれています。Cisco Secure ACS では、Logged Attributes リストにあるアトリビュートだけがログの対象になります。

ステップ 4 Cisco Secure ACS からリレーショナル データベースに送信するアトリビュートを指定します。

a. ログにアトリビュートを追加するには、Attributes リストでアトリビュートを選択してから、 --> (右矢印ボタン)をクリックします。

アトリビュートが Logged Attributes リストに移動します。


ヒント リスト ボックス内にすべてのアトリビュートが表示されていない場合は、垂直スクロール バーを使用します。

b. ログからアトリビュートを削除するには、Logged Attributes リストで削除するアトリビュートを選択してから、 <-- (左矢印ボタン)をクリックします。

アトリビュートが Attributes リストに移動します。


ヒント リスト ボックス内にすべてのアトリビュートが表示されていない場合は、垂直スクロール バーを使用します。

c. Logged Attributes リストで選択されているアトリビュートをデフォルトの状態に戻すには、 Reset Columns をクリックします。

ステップ 5 ODBC Connection Settings テーブルで、ODBC データベースと通信するように Cisco Secure ACS を設定します。複製先を指定するには、次の手順を実行します。

a. Cisco Secure ACS からリレーショナル データベースに ODBC ロギング データを送信するために作成したシステム DSN を、Data Source リストから選択します。

b. Username ボックスに、リレーショナル データベースのユーザ アカウントのユーザ名(最大 80 文字)を入力します。


) 適切なテーブルに ODBC ロギング データを書き込むためには、リレーショナル データベースでの適切な特権がユーザに付与されている必要があります。


c. Password ボックスに、ステップ B で指定したリレーショナル データベースのユーザ アカウントに対するパスワード(最大 80 文字)を入力します。

d. Table Name ボックスに、ODBC ロギング データを追加するテーブルの名前(最大 80 文字)を入力します。

ステップ 6 Submit をクリックします。

Cisco Secure ACS はログ設定内容を保存します。

ステップ 7 現在設定している ODBC ログの名前をクリックします。

Cisco Secure ACS はログ設定ページを再度表示します。

ステップ 8 Show Create Table をクリックします。

ブラウザの右側に、Microsoft SQL Server に対するテーブル作成 SQL 文が表示されます。テーブル名は、Table Name ボックスで指定された名前です。カラム名は、Logged Attributes リストで指定されたアトリビュートです。


) 生成された SQL は、Microsoft SQL Server に対してだけ有効です。別のリレーショナル データベースを使用する場合は、テーブル作成コマンドの書き方について、そのリレーショナル データベースのマニュアルを参照してください。


ステップ 9 生成された SQL によって提供される情報を使用して、リレーショナル データベースにこの ODBC ログのテーブルを作成します。


) ODBC ロギングが機能するためには、テーブル名とカラム名が、生成された SQL で使用されている名前と正確に一致する必要があります。


ステップ 10 Cisco Secure ACS での操作を継続するには、現在設定している ODBC ログの設定ページにアクセスします。

a. ナビゲーション バーの System Configuration をクリックします。

b. Logging をクリックします。

c. 現在設定している ODBC ログの名前をクリックします。

ODBC log Configuration ページが表示されます。 log には選択した ODBC ログの名前が表示されます。

ステップ 11 Log to ODBC log report チェックボックスをオンにします。 log には選択した ODBC の名前が表示されます。

ステップ 12 Submit をクリックします。

設定したシステム DSN を使用して、指定したリレーショナル データベースのテーブルに、Cisco Secure ACS からロギング データの送信が開始されます。


 

リモート ロギング

ここでは、Cisco Secure ACS のリモート ロギング機能について説明します。

この項では、次のトピックについて取り上げます。

「リモート ロギング機能について」

「集中リモート ロギングの実装」

「リモート ロギング オプション」

「Remote Logging のイネーブル化と設定」

「リモート ロギング機能のディセーブル化」

リモート ロギング機能について

リモート ロギング機能を使用すると、複数の Cisco Secure ACS により生成されたアカウンティング ログを集中管理できます。1 つの Cisco Secure ACS を中央ロギング サーバとして使用するように、各 Cisco Secure ACS を設定できます。中央ロギング Cisco Secure ACS は、受信するアカウンティング ログのレポジトリであると同時に、本来の AAA としても機能します。Cisco Secure ACS アカウンティング ログの詳細については、「アカウンティング ログ」を参照してください。

リモート ロギング機能を使用すると、Cisco Secure ACS から、リモートのロギング サーバ上でアカウンティング データがログに書き込まれる CSLog サービスに対して、AAA クライアントから受信したアカウンティング データを直接送信できます。ロギング サーバでは、データを中央ロギング サーバに送信する Cisco Secure ACS のローカルなロギング設定には関係なく設定されている形式、つまり CSV および ODBC 形式でアカウンティング ログが生成されます。

Cisco Secure ACS は、リモート ロギング通信用の TCP ポート 2001 で受信します。リモート ロギング データは、128 ビットの独自アルゴリズムによって暗号化されます。


) リモート ロギング機能は、プロキシ処理された認証要求のアカウンティング データの転送には影響しません。Cisco Secure ACS では、プロキシにより認証されたセッションのアカウンティング データがローカルでロギングされる場合には、そのアカウンティング データに対してだけ リモート ロギング設定を適用します。プロキシ処理された認証要求およびプロキシにより認証されたセッションのアカウンティング データに関する詳細については、「Proxy Distribution Table の設定」を参照してください。


集中リモート ロギングの実装

始める前に

中央ロギング Cisco Secure ACS が TCP ポート 2001 でデータを受信することを、リモート Cisco Secure ACS と中央ロギング Cisco Secure ACS の間のゲートウェイ デバイスが許可しているかどうかを確認します。

集中リモート ロギングを実装するには、次の手順を実行します。


ステップ 1 集中ロギング データの格納先として使用するコンピュータに、Cisco Secure ACS Windows サーバ版をインストールします。Cisco Secure ACS をインストールする方法については、『 Installation Guide for Cisco Secure ACS for Windows Server 』を参照してください。

ステップ 2 中央ロギング サーバ上で動作する Cisco Secure ACS で、次の手順を実行します。

a. 必要に応じてアカウンティング ログを設定します。中央ロギング サーバに送信されたすべてのアカウンティング データは、この Cisco Secure ACS でのアカウンティング ログの設定通りに記録されます。アカウンティング ログについては、「アカウンティング ログ」を参照してください。

アカウンティング ログは、CSV 形式または ODBC 形式で記録できます。CSV ログを設定する方法については、「CSV ログの操作」を参照してください。ODBC ログを設定する方法については、「ODBC ログの設定」を参照してください。

b. 中央ロギング サーバが受信するアカウンティング データの送信元となる各 Cisco Secure ACS を AAA Servers テーブルに追加します。詳細については、「AAA サーバの設定」を参照してください。


) 中央ロギング サーバによって Cisco Secure ACS のウォッチドッグ パケットとアップデート パケットがロギングされる場合は、その Cisco Secure ACS の Log Update/Watchdog Packets from this remote AAA Server チェックボックスが AAA Servers テーブルでオンになっていることを確認します。


ステップ 3 アカウンティング データを中央ロギング サーバに送信する各 Cisco Secure ACS に対して、次の手順を実行します。

a. Network Configuration で中央ロギング サーバを AAA Servers テーブルに追加します。詳細については、「AAA サーバの設定」を参照してください。

b. リモート ロギングをイネーブルにします。詳細については、「Remote Logging のイネーブル化と設定」を参照してください。

ステップ 4 セカンダリ サーバまたはミラー ロギング サーバとして使用する他の中央ロギング サーバを作成する場合は、追加するサーバごとにステップ 1 ~ 3 を実行します。


 

リモート ロギング オプション

Cisco Secure ACS では、次に列挙したリモート ロギング オプションが使用できます。これらのオプションは、Remote Logging Setup ページに表示されます。

Do not log Remotely :Cisco Secure ACS は、ローカルに認証されたセッションのアカウンティング データを、イネーブルになっているローカル ログにだけ書き込みます。

Log to all selected remote log services :Cisco Secure ACS は、ローカルで認証されたセッションのアカウンティング データを、Selected Log Services リスト内のすべての Cisco Secure ACS に送信します。

Log to subsequent remote log services on failure :Cisco Secure ACS は、ローカルに認証されたセッションのアカウンティング データを、Selected Log Services リスト内で稼働している最初の Cisco Secure ACS に送信します。この機能を使用することで、1 つまたは複数のバックアップ中央ロギングサーバを設定して、最初の中央ロギング サーバに障害が発生した場合でもアカウンティング データが失われないようにできるため、Cisco Secure ACS からのアカウンティング データ送信先が使用できなくなることはありません。

Remote Log Services :このリストには、Network Configuration 内の Remote Agents テーブルに設定されている Cisco Secure ACS のうち、Cisco Secure ACS から、ローカルで認証されたセッションのアカウンティング データが送信されない Cisco Secure ACS が表示されます。

Selected Log Services :このリストには、Network Configuration 内の Remote Agents テーブルに設定されている Cisco Secure ACS のうち、Cisco Secure ACS から、ローカルで認証されたセッションのアカウンティング データが送信される Cisco Secure ACS が表示されます。

Remote Logging のイネーブル化と設定


Cisco Secure ACS で Remote Logging 機能を設定する前に、中央ロギング Cisco Secure ACS の設定が終了していることを確認してください。詳細については、「集中リモート ロギングの実装」を参照してください。


Remote Logging 機能をイネーブルにして設定するには、次の手順を実行します。


ステップ 1 HTML インターフェイスで Remote Logging 機能をイネーブルにする場合は、次の手順を実行します。

a. Interface Configuration をクリックします。

b. Advanced Options をクリックします。

c. Remote Logging チェックボックスをオンにします。

d. Submit をクリックします。

Cisco Secure ACS によって、System Configuration セクションの Logging ページに Remote Logging リンクが表示されます。

ステップ 2 System Configuration をクリックします。

ステップ 3 Logging をクリックします。

Logging Configuration ページが開きます。

ステップ 4 Remote Logging をクリックします。

ステップ 5 適用するリモート ロギング オプションを選択します。

a. この Cisco Secure ACS のアカウンティング情報を複数の Cisco Secure ACS に送信するには、 Log to all selected remote log services オプションを選択します。

b. この Cisco Secure ACS のアカウンティング情報を 1 つの Cisco Secure ACS に送信するには、 Log to subsequent remote log services on failure オプションを選択します。


) 最初の Cisco Secure ACS に障害が発生したときに、アカウンティング データを 2 番目のリモート Cisco Secure ACS に送信する場合は、Log to subsequent remote log services on failure オプションを使用します。


ステップ 6 Selected Log Services リストに設定する各リモート Cisco Secure ACS について、次の手順を実行します。

a. Remote Log Servers リストで、ローカルに認証されたセッションのアカウティング データを送信する Cisco Secure ACS の名前を選択します。


) Remote Log Services リストで使用可能な Cisco Secure ACS は、Network Configuration の AAA Servers テーブルによって決まります。AAA Servers テーブルの詳細については、「AAA サーバの設定」を参照してください。


b. --> (右矢印ボタン)をクリックして、選択した Cisco Secure ACS を Selected Log Services リストに移動します。

ステップ 7 Selected Log Services リスト内のサーバの順序を変更するには、 Up または Down をクリックして、選択した Cisco Secure ACS が適切な順序になるまで移動します。


) Log to subsequent remote log services on failure オプションを選択すると、Cisco Secure ACS では、Selected Log Services リスト内の最初にアクセス可能な Cisco Secure ACS にロギングします。


ステップ 8 Submit をクリックします。

指定したリモート ロギングの設定が Cisco Secure ACS に保存および実装されます。


 

リモート ロギング機能のディセーブル化

リモート ロギング機能をディセーブルにすると、Cisco Secure ACS では、中央ロギング Cisco Secure ACS に対するアカウンティング情報の送信が停止されます。

Remote Logging をディセーブルにするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

ステップ 3 Remote Logging をクリックします。

ステップ 4 Do not log Remotely オプションを選択します。

ステップ 5 Submit をクリックします。

Cisco Secure ACS が、ローカルで認証されたセッションのアカウンティング情報を、リモート ロギング サーバに送信しなくなります。


 

サービス ログ

サービス ログは、診断用ログとして扱われ、トラブルシューティングやデバッグ目的に限定して使用されます。これらのログは、Cisco Secure ACS 管理者の一般的使用を目的としていません。これらのサービス ログは、シスコ サポート要員の主な情報源となります。サービス ログには、Cisco Secure ACS サービスの動作とアクティビティのすべての記録が含まれます。サービス ログがイネーブルになっている場合は、サービスを使用しているかどうかに関わらず、各サービスが実行中のときに必ずログが生成されます。たとえば、ネットワークで RADIUS プロトコルを使用していない場合でも、RADIUS サービス ログは生成されます。

Cisco Secure ACS サービスの詳細については、 第1章「概要」 を参照してください。

ロギングされるサービス

Cisco Secure ACS は、次のサービスに対してログを生成します。

CSAdmin

CSAuth

CSDBSync

CSLog

CSMon

CSRadius

CSTacacs

これらのファイルは、該当するサービス ディレクトリの \Logs サブディレクトリに格納されます。たとえば、CiscoSecure 認証サービスのデフォルト ディレクトリは次の場所になります。

c:\Program Files\CiscoSecure ACS vx.x\CSAuth\Logs

最新のデバッグ ログには、次の名前が付けられます。

SERVICE.log
where SERVICE is the name of the applicable service.
 

これより古いデバッグ ログには、作成年月日でファイル名が付けられます。たとえば、1999 年 7 月 13 日に作成されたファイルは次のファイル名になります。

SERVICE 1999-07-13.log

SERVICE には該当するサービスの名前が表示されます。

Day/Month/Year の形式を選択する場合は、次のファイル名になります。

SERVICE 13-07-1999.log

サービス ログの設定

Cisco Secure ACS によるサービス ログ ファイルの生成および管理の方法を設定できます。サービス ログ ファイルの設定用オプションを次に列挙します。

Level of detail :サービス ログ ファイルに格納する情報の詳細レベルを、次の 3 つのうちいずれかに設定できます。

None :ログ ファイルは生成されません。

Low :起動動作と停止動作だけがロギングされます。これがデフォルト設定です。

Full :すべてのサービス動作がロギングされます。

Generate new file :サービス ログ ファイルの生成頻度を制御できます。

Every Day :Cisco Secure ACS によって、毎日午前 12:01 に新しいログ ファイルが生成されます。

Every Week :Cisco Secure ACS によって、毎週日曜日の午前 12:01 に新しいログ ファイルが生成されます。

Every Month :Cisco Secure ACS によって、毎月 1 日の午前 12:01 に新しいログ ファイルが生成されます。

When Size is Greater than x KB :Cisco Secure ACS では、現在のサービス ログ ファイルが、 x で指定されたキロバイト単位のサイズに達すると、新しいログ ファイルが生成されます。

Manage Directory :サービス ログ ファイルの保存期間を制御できます。

Keep only the last x files :Cisco Secure ACS は、最大、 x で指定された数のファイルを保持します。

Delete files older than x days :Cisco Secure ACS は、 x で指定された日数を経過していないサービス ログだけを保持します。

Cisco Secure ACS によるサービス ログ ファイルの生成および管理の方法を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Service Control をクリックします。

サービスのステータスが hostname テーブルに表示されます。 hostname は Cisco Secure ACS を実行しているコンピュータの名前です。

ステップ 3 サービス ログ ファイルをディセーブルにするには、Level of detail で None オプションを選択します。

Restart をクリックした後は、Cisco Secure ACS による新しいサービス ログ ファイルの生成は停止されます。

ステップ 4 Cisco Secure ACS によるサービス ログ ファイルの生成頻度を設定するには、Generate New File の下にあるオプションを 1 つ選択します。


) Generate New File の下にある設定は、Level of detail の下で None を選択した場合は無効になります。


ステップ 5 Cisco Secure ACS がどのサービス ログ ファイルを保持するかを管理するには、次の手順を実行します。

a. Manage Directory チェックボックスをオンにします。

b. Cisco Secure ACS が保持するバックアップ ファイルの数を制限するには、 Keep only the last X files オプションを選択し、次に Cisco Secure ACS で保持するファイルの数を X ボックスに入力します。

c. Cisco Secure ACS がサービス ログ ファイルを保持できる期間を制限するには、 Delete files older than X days オプションを選択し、 X ボックスに Cisco Secure ACS によるサービス ログ ファイルの削除が行われるまで保持しておく日数を入力します。

ステップ 6 Restart をクリックします。

指定したサービス ログの設定が Cisco Secure ACS に保存および実装されます。