Cisco Secure ACS ユーザ ガイド Windows版 version 4.0
ログとレポート
ログとレポート
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

ログとレポート

ロギングの形式

特殊なロギング アトリビュート

ログ内のポスチャ確認アトリビュート

HCAP エラーのレポート

アカウンティング ログでのアップデート パケット

ACS ログとレポートについて

アカウンティング ログ

ダイナミック管理レポート

Logged-in Users レポートの表示

ログイン ユーザの削除

Disabled Accounts レポートの表示

ACS システム ログ

Administration Audit ログの設定

CSV ログの操作

CSV ログ ファイルの名前

CSV ログ ファイルの場所

CSV ログのイネーブル化またはディセーブル化

CSV レポートの表示

ログ フィルタリング

正規表現の基本的な構文のリファレンス

CSV ログの設定

ODBC ログの操作

ODBC ロギングの準備

ODBC ロギング用のシステム データ ソース名の設定

ODBC ログの設定

リモート ロギング

リモート ロギング機能について

集中リモート ロギングの実装

リモート ロギング オプション

リモート ロギング機能のイネーブル化と設定

リモート ロギング機能のディセーブル化

サービス ログ

ロギングされるサービス

サービス ログの設定

カスタマー サポートのためのデータ収集

ログとレポート

Cisco Secure Access Control Server Releas 4.0 for Windows(以降は ACS と表記)はさまざまなログを生成します。これらのログのほとんどは、ACS Web インターフェイスで HTML レポートとして表示することができます。

この章は、次の項で構成されています。

「ロギングの形式」

「特殊なロギング アトリビュート」

「ログ内のポスチャ確認アトリビュート」

「アカウンティング ログでのアップデート パケット」

「ACS ログとレポートについて」

「CSV ログの操作」

「ODBC ログの操作」

「リモート ロギング」

「サービス ログ」

ロギングの形式

ACS は、ユーザおよびシステムのさまざまなアクティビティをロギングします。ACS の設定方法およびログに応じて、次の 2 つの形式のいずれかでログを記録できます。

Comma-Separated Value(CSV; カンマ区切り形式)ファイル :CSV 形式では、カンマで区切られたカラム単位でデータが記録されます。この形式のファイルは、Microsoft Excel や Microsoft Access など、さまざまなサードパーティ製アプリケーションに簡単にインポートできます。このようなサードパーティ製アプリケーションに、CSV ファイルからデータをインポートすると、グラフを作成することや、ユーザが特定の期間にネットワークにロギングしていた時間を確認するなどのクエリーを実行できます。Microsoft Excel などのサードパーティ製アプリケーションでの CSV ファイルの使用方法については、サードパーティ ベンダーから供給されるマニュアルを参照してください。CSV ファイルは、Web インターフェイスからダウンロードするか、または ACS サーバのハード ドライブ上でアクセスできます。Web インターフェイスから CSV ファイルをダウンロードする方法の詳細については、「CSV レポートの表示」を参照してください。

ODBC 準拠データベース テーブル :Open DataBase Connectivity(ODBC; 開放型データベース接続)ロギングを使用して、テーブル単位で格納されている ODBC 準拠リレーショナル データベースで、1 つのログにつき 1 つのテーブルを直接ロギングするように ACS を設定できます。リレーショナル データベースにデータをエクスポートすると、あらゆる必要性に応じてデータを使用できます。リレーショナル データベース内のデータに対するクエリーの詳細については、リレーショナル データベース ベンダーから供給されるマニュアルを参照してください。

特定のログに使用できる形式については、「ACS ログとレポートについて」を参照してください。

特殊なロギング アトリビュート

ログに ACS が記録できる多数のアトリビュートの中には、特に重要なものがいくつかあります。次のリストでは、ACS が提供する特別なロギング アトリビュートを説明します。

User Attributes :これらのロギング アトリビュートは、すべてのログ設定ページの Attributes リストに表示されます。ACS では、これらのアトリビュートは、Real Name、Description、User Field 3、User Field 4、User Field 5 などのデフォルト名を使用してリストに表示されます。ユーザ定義アトリビュートの名前を変更しても、新しい名前ではなくデフォルト名が Attributes リストに表示されます。

ユーザ アカウントの対応するフィールドに入力する値によって、これらのアトリビュートの内容が決まります。ユーザ アトリビュートの詳細については、「ユーザ データの設定オプション」を参照してください。

ExtDB Info外部ユーザ データベースを使用してユーザが認証されるときに、外部ユーザ データベースの返す値がこのアトリビュートに格納されます。Windows ユーザ データベースの場合、このアトリビュートには、ユーザを認証したドメインの名前が格納されます。

Failed Attempts ログのエントリでは、このアトリビュートには、最後に正常にユーザを認証したデータベースが格納されます。ユーザの認証に失敗したデータベースは示されません。

Access Device :ACS にロギング データを送信した AAA クライアントの名前です。

Network Device Group :アクセス デバイス(AAA クライアント)の属するネットワーク デバイス グループです。

Filter Information :ユーザに適用されたネットワークアクセス制限(NAR)の結果です(適用された場合)。このフィールド内のメッセージには、適用されたすべての NAR がユーザ アクセスを許可したか、適用されたすべての NAR がユーザ アクセスを拒否したか、または、どの NAR がユーザ アクセスを拒否したかが示されます。NAR がユーザに適用されていない場合は、このロギング アトリビュートには、NAR が適用されていないことが表示されます。

Filter Information アトリビュートは、Passed Authentication ログおよび Failed Attempts ログに使用できます。

Device Command Set :コマンド認可要求を満たすために使用されたデバイス コマンド セットの名前です(使用された場合)。

Device Command Set アトリビュートは、Failed Attempts ログに使用できます。

Remote Logging Result :リモート ロギング サービスが、転送されたアカウンティング パケットを正常に処理したかどうかを示します。このアトリビュートは、中央ロギング サービスによってロギングされなかったアカウンティング パケットがある場合、そのパケットを特定するために役立ちます。これは、リモート ロギング サービスからの確認メッセージの受信に依存します。確認メッセージは、リモート ロギング サービスが設定どおりにアカウンティング パケットを正しく処理したことを示します。値 Remote-logging-successful は、リモート ロギング サービスがアカウンティング パケットを正常に処理したことを示します。値
Remote-logging-failed は、リモート ロギング サービスがアカウンティング パケットを正常に処理しなかったことを示します。


) ACS は、リモート ロギング サービスが、転送されたアカウンティング パケットを処理するように設定されているかどうかを判断できません。たとえば、リモート ロギング サービスがアカウンティング パケットを廃棄するように設定されている場合、リモート ロギング サービスは転送されたアカウンティング パケットを廃棄し、確認メッセージで ACS に応答します。この処理により、ACS は、そのアカウンティング パケットを記録するローカル ログの Remote Logging Result アトリビュートに値
Remote-logging-successful
を書き込みます。


Application-Posture-Token :ポスチャ確認要求中に特定のポリシーによって返される
Application Posture Token(APT; アプリケーション ポスチャ トークン)。このアトリビュートは、Passed Authentications ログと Failed Attempts ログでのみ使用できます。詳細については、「ログ内のポスチャ確認アトリビュート」を参照してください。

System-Posture-Token :ポスチャ確認要求中に返される System Posture Token(SPC; システム ポスチャ トークン)。このアトリビュートは、Passed Authentications ログと Failed Attempts ログでのみ使用できます。詳細については、「ログ内のポスチャ確認アトリビュート」を参照してください。

その他のポスチャ確認アトリビュート:ポスチャ確認要求中に NAC クライアントが ACS に送信するアトリビュート。これらのアトリビュートは、ベンダー名、アプリケーション名、およびアトリビュート名で一意に識別されます。たとえば、NAI:AV:DAT-Date アトリビュートは、Network Associates, Inc. のアンチウイルス アプリケーションの NAC クライアントにある DAT ファイルの日付情報を含むアトリビュートです。これらのアトリビュートは、
Passed Authentications ログと Failed Attempts ログに限り使用できます。詳細については、
「ログ内のポスチャ確認アトリビュート」を参照してください。

ログ内のポスチャ確認アトリビュート

Passed Authentications ログおよび Failed Attempts ログにポスチャ確認アトリビュートを記録できます。受信アトリビュートはすべてログに使用できます。ログに記録できる送信アトリビュートは、 Application-Posture-Assessment System-Posture-Assessment の 2 つだけです。

ポスチャ確認要求の結果、システム ポスチャ アセスメント/トークン(SPT)が生成された場合は、必ず、Passed Authentications ログに記録されます。ポスチャ確認要求の結果 Healthy 以外の SPT が生成された場合は、Failed Attempts ログに記録されます。ポスチャ トークンの詳細については、「ポスチャ トークン」を参照してください。

HCAP エラーのレポート

Failed-Attempts レポートの Authen-Failure-Code エントリは、HCAP が失敗した場合に次のいずれかのエラーを表示できます。

Version failure - Could not communicate with external policy server - wrong HCAP version

Connection failure - Could not open a connection to external policy server

Authentication failure - Could not communicate with external policy server - authentication failure

Timeout error - Could not connect to external policy server - timeout error

Other - Posture Validation Failure on External Policy

アカウンティング ログでのアップデート パケット

ユーザ セッションのアカウンティング データを記録するように ACS を設定すると、ACS は必ず開始パケットと停止パケットを記録します。必要であれば、アップデート パケットも記録するように ACS を設定できます。ユーザ セッション時に仮のアカウンティング情報を提供することに加えて、アップデート パケットは、ACS Authentication Agent 経由でパスワード失効メッセージを送信します。アップデート パケットをこの用途に使用する場合は、ウォッチドッグ パケットと呼ばれます。


) ACS アカウンティング ログにアップデート パケットを記録するには、AAA クライアントがアップデート パケットを送信するように設定する必要があります。アップデート パケットを送信するように AAA クライアントを設定する方法の詳細については、AAA クライアントのマニュアルを参照してください。


Logging Update Packets Locally :ローカルの ACS のロギング設定に従ってアップデート パケットをロギングするには、Network Configuration で各 AAA クライアントに対して、Log Update/Watchdog Packets from this Access Server オプションをイネーブルにします。

AAA クライアントに対してこのオプションを設定する方法の詳細については、「AAA クライアントの追加」を参照してください。

Logging Update Packets Remotely :リモート ロギング サーバにアップデート パケットをロギングするには、ローカル ACS 上にあるリモート ロギング サーバの AAA Server テーブル エントリに対して、Log Update/Watchdog Packets from this remote AAA Server オプションをイネーブルにします。

AAA サーバに対してこのオプションを設定する方法の詳細については、「AAA サーバの追加」を参照してください。

ACS ログとレポートについて

ACS が生成するログは、次の 4 つのタイプに分類できます。

アカウンティング ログ

ダイナミック ACS 管理レポート

ACS システム ログ

サービス ログ

ここでは、これらの項目について説明します。サービス ログについては、「サービス ログ」を参照してください。

この項では、次のトピックについて取り上げます。

「アカウンティング ログ」

「ダイナミック管理レポート」

「ACS システム ログ」

アカウンティング ログ

アカウンティング ログには、ユーザによるリモート アクセス サービスの利用に関する情報が格納されます。デフォルトでは、Passed Authentications ログを除いて、アカウンティング ログは CSV 形式で生成されます。ログ データの保存先として設定した ODBC 準拠のリレーショナル データベースにこれらのログのデータをエクスポートするよう、ACS を設定することもできます。 表11-1 で、すべてのアカウンティング ログについて説明します。

Web インターフェイスでは、すべてのアカウンティング ログのイネーブル化、設定、および表示を実行できます。 表11-2 で、アカウンティング ログに関して実行可能な操作について説明します。

 

表11-1 アカウンティング ログの説明

ログ
説明

TACACS+ Accounting

次の情報を格納します。

ユーザ セッションの開始時刻と停止時刻

ユーザ名付き AAA クライアント メッセージ

Caller Line Identification(CLID; 発信番号識別)

セッション継続時間

TACACS+ Administration

AAA クライアントで TACACS+ (Cisco IOS) を使用して入力された設定コマンドを記録します。特に、コマンド認可の実行に ACS を使用している場合は、このログを使用することを推奨します。


) TACACS+ Administration ログを使用するには、コマンド アカウンティングの実行時に ACS を使用するように TACACS+ AAA クライアントを設定する必要があります。


 

RADIUS Accounting

次の情報を格納します。

ユーザ セッションの開始時刻と停止時刻

ユーザ名付き AAA クライアント メッセージ

発信者番号識別情報

セッション継続時間

Voice over IP(VoIP)に対するアカウンティング情報を、RADIUS アカウンティング ログまたは個別の VoIP アカウンティング ログ、あるいはその両方のログに格納するように ACS を設定できます。

VoIP Accounting

次の情報を格納します。

VoIP セッションの停止時刻と開始時刻

ユーザ名付き AAA クライアント メッセージ

CLID 情報

VoIP セッション継続時間

VoIP に対するアカウンティング情報を、この個別の VoIP アカウンティング ログまたは RADIUS アカウンティング ログ、あるいはその両方のログに格納するように ACS を設定できます。

Failed Attempts

認証と認可の失敗を、それらの原因とともに記録します。ポスチャ確認要求について、このログは、 Healthy 以外のポスチャ トークンを返すポスチャ確認の結果を記録します。


) Failed Attempts ログのエントリでは、ExtDB Info アトリビュートには、最後に正常にユーザを認証したデータベースが格納されます。ユーザの認証に失敗したデータベースは示されません。


 

Passed Authentications

成功した認証要求を記録します。このログは、AAA クライアントからのアカウンティング パケットに依存していないため、AAA クライアントが RADIUS アカウンティングをサポートしていない場合、または AAA クライアント上のアカウンティングをディセーブルにした場合でも使用できます。ポスチャ確認要求について、このログは、SPT が生成されたすべてのポスチャ確認要求の結果を記録します。

表11-2 アカウンティング ログでの可能な操作

可能な操作
説明および関連項目

アカウンティング ログのイネーブル化

CSV 形式または ODBC 形式でログをイネーブルにできます。

CSV :CSV 形式でアカウンティング ログをイネーブルにする方法については、「CSV ログのイネーブル化またはディセーブル化」を参照してください。

ODBC :ODBC 形式でアカウンティング ログをイネーブルにする方法については、「ODBC ログの設定」を参照してください。

アカウンティング レポートの表示

Web インターフェイスでアカウンティング レポートを表示する方法については、「CSV レポートの表示」を参照してください。

アカウンティング ログの設定

アカウンティング ログを設定する手順は、使用する形式によって異なります。ログ形式の詳細については、「ロギングの形式」を参照してください。

CSV :CSV アカウンティング ログの設定方法については、「CSV ログの設定」を参照してください。

ODBC :ODBC アカウンティング ログの設定方法については、「ODBC ログの設定」を参照してください。

ダイナミック管理レポート

このレポートは、ACS Web インターフェイスでこのレポートにアクセスした時点でのユーザ アカウントのステータスを示します。このレポートは、Web インターフェイスだけで利用でき、常にイネーブルで、設定を必要としません。

表11-3 は、すべてのダイナミック管理レポートについて説明し、ダイナミック管理レポートに関して実行可能な操作についての情報を示しています。

 

表11-3 ダイナミック管理レポートの説明および関連項目

レポート
説明および関連項目

Logged-In Users

単一の AAA クライアントまたは全 AAA クライアントのサービスを受信しているすべてのユーザを一覧表示します。Cisco Aironet Access Point 上のファームウェア イメージがキー再生成の認証用の RADIUS Service-Type アトリビュートの送信をサポートしている場合、Cisco Aironet 装置を使用してネットワークにアクセスしているユーザは、現在関連付けられているアクセス ポイントのリストに表示されます。

マシンの認証を実行するよう設定されているコンピュータでは、コンピュータの起動時にマシンの認証が行われます。コンピュータが起動されると、ユーザがそのコンピュータにログインする前に、Reports and Activity セクションの Logged-In Users List にそのコンピュータが表示されます。ユーザの認証が開始されると、コンピュータは Logged-In Users List に表示されなくなります。マシン認証の詳細については、「EAP および Windows 認証」を参照してください。


) ログイン ユーザのリスト機能を使用するには、認証とアカウンティングを同一プロトコル(TACACS+ または RADIUS のどちらか一方)で実行するように AAA クライアントを設定する必要があります。


Web インターフェイスで Logged-in User レポートを表示する方法については、「Logged-in Users レポートの表示」を参照してください。

特定の AAA クライアントまたはすべての AAA クライアントからログイン ユーザを削除する方法については、「ログイン ユーザの削除」を参照してください。

Disabled Accounts

無効になっているすべてのユーザ アカウントおよび無効になった理由を一覧表示します。

Web インターフェイスで Disable Accounts レポートを表示する方法については、「Disabled Accounts レポートの表示」を参照してください。

Logged-in Users レポートの表示

Logged-in Users レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Logged-in Users をクリックします。

Select a AAA Client ページに、各 AAA クライアント、その IP アドレス、およびその AAA クライアントを介してログインしたユーザの数が表示されます。テーブルの一番下にある All AAA Clients エントリには、ログインしたユーザの合計数が表示されます。


ヒント このテーブルは、任意のカラムのエントリによって昇順または降順でソートできます。カラムのエントリによって昇順でテーブルをソートするには、カラムのタイトルを一度クリックします。カラムのエントリによって降順でテーブルをソートするには、カラムのタイトルを再度クリックします。

ステップ 3 次のいずれか 1 つを実行します。

ログインしたすべてのユーザのリストを表示するには、 All AAA Clients をクリックします。

特定の AAA クライアントを介してログインしたすべてのユーザのリストを表示するには、その AAA クライアントの名前をクリックします。

ログインしたユーザのテーブルが表示されます。このテーブルには、次の情報が含まれます。

日時

ユーザ

グループ

割り当てられている IP

ポート

ソース AAA クライアント


ヒント このテーブルは、任意のカラムのエントリによって昇順または降順でソートできます。カラムのエントリによって昇順でテーブルをソートするには、カラムのタイトルを一度クリックします。カラムのエントリによって降順でテーブルをソートするには、カラムのタイトルを再度クリックします。


 

ログイン ユーザの削除

Logged-in Users レポートでは、特定の AAA クライアントにログインしたユーザの削除を ACS に指示できます。ユーザがセッションを終了したときに、AAA クライアントがアカウンティング停止パケットを ACS に送信しなかった場合、そのユーザは Logged-in Users レポートに継続して表示されます。AAA クライアントからログインしているユーザを削除することにより、そのユーザ セッションのアカウンティングが終了します。


) ログイン ユーザを削除しても、特定の AAA クライアントにログインしたユーザの ACS アカウンティング レコードが終了するだけです。アクティブ ユーザ セッションを終了させることや、ユーザ レコードに影響することはありません。


ログイン ユーザを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Logged-in Users をクリックします。

Select a AAA Client ページに、各 AAA クライアント、その IP アドレス、およびその AAA クライアントを介してログインしたユーザの数が表示されます。テーブルの一番下にある All AAA Clients エントリには、ログインしたユーザの合計数が表示されます。

ステップ 3 Logged-in Users レポートから、削除するユーザがログインした AAA クライアントの名前をクリックします。

その AAA クライアントを介してログインしたすべてのユーザのテーブルが表示されます。Purge Logged in Users ボタンがテーブルの下に表示されます。

ステップ 4 Purge Logged in Users をクリックします。

レポートから削除したユーザの数および AAA クライアントの IP アドレスを示すメッセージが表示されます。


 

Disabled Accounts レポートの表示

Disabled Accounts レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Disabled Accounts をクリックします。

Select a user account to edit ページに、無効なユーザ アカウント、アカウント ステータス、およびユーザ アカウントが割り当てられているグループが表示されます。

ステップ 3 リスト内のユーザ アカウントを編集するには、User カラムでユーザ名をクリックします。

編集対象のユーザ アカウントが表示されます。

ユーザ アカウントの編集方法の詳細については、「基本ユーザ設定オプション」を参照してください。


 

ACS システム ログ

システム ログは、ACS システム自体に関するログであるため、システム関連イベントが記録されます。システム ログは、トラブルシューティングや監査に役立ちます。システム ログは、常にイネーブルで、CSV 形式だけで生成されます。一部のシステム ログは設定可能です。どのシステム ログが設定可能であるかなど、各システム ログについては、 表11-4 を参照してください。

Web インターフェイスで CSV レポートを表示する方法については、「CSV レポートの表示」を参照してください。

 

表11-4 アカウンティング ログの説明および関連項目

ログ
説明および関連項目

ACS Backup and Restore

ACS のバックアップおよび復元アクティビティを記録します。このログは設定できません。

RDBMS Syncronization

RDBMS 同期化アクティビティを記録します。このログは設定できません。

Database Replication

データベース複製アクティビティを記録します。このログは設定できません。

Administration Audit

ユーザの追加、グループの編集、AAA クライアントの設定、またはレポートの表示など、各システム管理者の行ったアクションを記録します。

Administration Audit ログの設定方法については、「Administration Audit ログの設定」を参照してください。

User Password Changes

パスワードの変更に使用された方式に関係なく、ユーザによって実行されたユーザ パスワード変更を記録します。したがって、このログには、ACS Authentication Agent、User Changeable Password Web インターフェイス、または TACACS+ を使用するネットワーク デバイス上の Telnet セッションによって行われたパスワード変更のレコードが含まれます。このログには、ACS Web インターフェイスで管理者によって実行されたパスワード変更は記録されません。

User Password Changes ログの設定については、「ローカル パスワード管理の設定」を参照してください。

ACS Service Monitoring

ACS サービスの開始時刻と停止時刻を記録します。

ACS Service Monitoring ログの設定については、「ACS Active Service Management」を参照してください。

Administration Audit ログの設定

次の手順で、ACS が新規 Administration Audit ログ ファイルを生成する頻度やサイズの制限を設定できます。また、Administration Audit ログ ファイルのディスク容量の制限を数値または経過時間で設定できます。

Administration Audit ログを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Administration Control をクリックします。

ステップ 2 Audit Policy をクリックします。

Audit Policy Setup ページが表示されます。

ステップ 3 一定の間隔で新しい Administration Audit CSV ファイルを生成するには、頻度を選択します。

Every day :ACS によって、毎日午前 12:01 に新しい Administration Audit CSV ファイルが生成されます。

Every week :ACS によって、毎週日曜日の午前 12:01 に新しい Administration Audit CSV ファイルが生成されます。

Every month :ACS によって、毎月 1 日の午前 12:01 に新しい Administration Audit CSV ファイルが生成されます。

ステップ 4 現在のファイルが特定のサイズに達したときに、新しい Administration Audit CSV ファイルを生成するには、 When size is greater than x KB オプションを選択してから、 X ボックスにキロバイト単位でファイル サイズのしきい値を入力します。

ステップ 5 ACS がどの Administration Audit CSV ファイルを保持するかを管理するには、次の手順を実行します。

a. Manage Directory チェックボックスをオンにします。

b. ACS が保持する Administration Audit CSV ファイルの数を制限するには、 Keep only the last X files オプションを選択し、ACS が保持するファイルの数を X ボックスに入力します。

c. ACS が Administration Audit CSV ファイルを保持する期間を制限するには、 Delete files older than X days オプションを選択し、ACS が Administration Audit CSV ファイルを保持する日数を入力します。この日数が経過すると、ACS はファイルを削除します。

ステップ 6 Submit をクリックします。

指定した Administration Audit ログの設定が ACS に保存および実装されます。


 

CSV ログの操作

この項では、次のトピックについて取り上げます。

「CSV ログ ファイルの名前」

「CSV ログ ファイルの場所」

「CSV ログのイネーブル化またはディセーブル化」

「CSV レポートの表示」

「ログ フィルタリング」

「CSV ログの設定」


ヒント 国が異なると、CSV ファイルを正しく処理できないことがあります(たとえば、Word や Excel などのプログラムにインポートする場合)。必要に応じて、カンマ(,)をセミコロン(;)に置き換えてください。


CSV ログ ファイルの名前

Reports and Activity 内のレポートにアクセスすると、ACS によって、現在の CSV ファイルを一番上位にして、新しい順に CSV ファイルが一覧表示されます。現在のファイルは、 log .csv という名前になります。 log にはログの名前が表示されます。

これよりも古いファイルには、次のような名前が付けられます。

logyyyy-mm-dd.csv

ここで、

log はログの名前です。

yyyy は CSV ファイルが開始された暦年です。

mm は CSV ファイルが開始された月を数字で表したものです。

dd は CSV ファイルが開始された日付です。

たとえば、2002 年 10 月 13 日に生成された Database Replication ログ ファイルは、Database Replication 2002-10-13.csv という名前になります。

CSV ログ ファイルの場所

デフォルトでは、ACS は、ログ ファイルをそのログに固有のディレクトリに保存します。一部のログは、Web インターフェイスでログ ファイルの格納場所を設定できますが、ログ ファイルの場所を設定できないものもあります。すべてのログのデフォルトのディレクトリは、
sysdrive
:\Program Files\CiscoSecure ACS v x.x の中にあります。この場所にある、特定のログ用のサブディレクトリについては、 表11-5 を参照してください。

 

表11-5 CSV ログ ファイルのデフォルトの場所

ログ
デフォルトの場所
設定の可否

TACACS+ Accounting

Logs\TACACS+Accounting

Yes

CSV TACACS+ Administration

Logs\TACACS+Administration

Yes

CSV RADIUS Accounting

Logs\RADIUS Accounting

Yes

CSV VoIP Accounting

Logs\VoIP Accounting

Yes

CSV Failed Attempts

Logs\Failed Attempts

Yes

Passed Authentications

Logs\Passed Authentications

Yes

ACS Backup and Restore

Logs\Backup and Restore

No

RDBMS Synchronization

Logs\DbSync

No

RDBMS Synchronization

Logs\DBReplicate

No

Administration Audit

Logs\AdminAudit

No

User Password Changes

CSAuth\PasswordLogs

No

ACS Active Service Monitoring

Logs\ServiceMonitoring

No

CSV ログのイネーブル化またはディセーブル化

ここでは、CSV ログをイネーブルまたはディセーブルにする手順について説明します。CSV ログ内容の設定方法については、「CSV ログの設定」を参照してください。


) 一部の CSV ログは、常にイネーブルになっています。特定のログをディセーブルにできるかどうかなど、特定のログについては、「ACS ログとレポートについて」を参照してください。


CSV ログをイネーブルまたはディセーブルにするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

ステップ 3 イネーブルにする CSV ログの名前をクリックします。

CSV log Comma-Separated Values File Configuration ページが表示されます。 log には選択した CSV ログの名前が表示されます。

ステップ 4 ログをイネーブルにするには、Enable Logging の Log to CSV log report チェックボックスをオンにします。 log には、ステップ 3 で選択した CSV ログの名前が表示されます。

ステップ 5 ログをディセーブルにするには、Enable Logging で Log to CSV report log チェックボックスをオフにします。 log には、ステップ 3 で選択した CSV ログの名前が表示されます。

ステップ 6 Submit をクリックします。

ログをイネーブルにした場合は、ACS によって、選択したログの情報のロギングが開始されます。ログをディセーブルにした場合は、ACS によって、選択したログの情報のロギングが停止されます。


 

CSV レポートの表示

Logged-in Users または Disabled Accounts を選択すると、Web ブラウザの右側のペインにある表示領域に、ログイン ユーザまたは無効アカウントが表示されます。他のレポートを選択すると、適用可能なレポートのリストが表示されます。ファイルは作成日付の順番に表示され、最新のファイルがリストの先頭に表示されます。レポートは、作成された日付の名前が付けられて、日付順にリストに表示されます。たとえば、 2002-10-13.csv で終わるレポートは、2002 年 10 月 13 日に作成されたものです。

CSV 形式のファイルは、最も一般的に利用されている表計算アプリケーション ソフトウェアを使用してスプレッドシートにインポートできます。詳細については、表計算ソフトウェアのマニュアルを参照してください。サード パーティ製のレポート ツールを使用してレポート データを管理することもできます。たとえば、Extraxi の aaa-reports! は ACS をサポートしています
http://www.extraxi.com )。

任意の CSV レポートとして CSV ファイルをダウンロードし、ACS で表示できます。

CSV レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 表示する CSV レポートの名前をクリックします。

ACS によって、ブラウザの右側に、現在の CSV レポート ファイル名と、それ以前のすべての CSV レポート ファイルの名前が一覧表示されます。


ヒント 以前の CSV レポート ファイルを ACS がどのように処理するかを設定できます。詳細については、「CSV ログの設定」を参照してください。

ステップ 3 内容を表示する CSV レポート ファイルの名前をクリックします。

CSV レポート ファイルに情報が格納されている場合は、情報が表示領域に表示されます。


ヒント このテーブルは、カラムのエントリによって昇順または降順でソートできます。カラムのエントリによって昇順でテーブルをソートするには、カラムのタイトルを一度クリックします。カラムのエントリによって降順でテーブルをソートするには、カラムのタイトルを再度クリックします。


ヒント 現在の CSV レポートで、更新された情報を確認するには、Refresh をクリックします。

ステップ 4 表示しているレポートの CSV ログ ファイルをダウンロードするには、次の手順を実行します。

a. Download をクリックします。

使用中のブラウザによって、CSV ファイルを受け入れ、保存するかどうかを確認するダイアログボックスが表示されます。

b. CSV ファイルを保存する場所を選択し、Save をクリックしてファイルを保存します。


 

ログ フィルタリング

ACS を使用して CSV ログ レポートをフィルタリングできます。使用可能なレポート タイプのリストからレポート タイプを選択すると、選択したレポート タイプのレポート履歴(ログ)ファイルのリストが表示されます。特定の CSV ログ ファイルを選択して、その内容を表示した後、フィルタリング基準を指定できます。元のログ ファイルにフィルタリング基準が適用され、基準を満たす行だけが表示されます。

フィルタリング基準には、正規表現、時間範囲、またはその両方が含まれます。

正規表現ベースのフィルタリングでは、行ごとに、各カラムの値の少なくとも 1 つが、指定された正規表現に一致するかどうか調べられます。正規表現フィルタリングを使用する場合、ACS は各カラムを調べ、フィルタリング基準を満たす行だけを表示します。

Start Date & Time および End Date & Time に値を指定して、時間ベースのフィルタリングを使用できます。指定した日時範囲内の行が表示されます。

フィルタリング用の正規表現、時間ベースのフィルタ、またはその両方を組み合せて入力できます。正規表現を入力し、時間ベースのフィルタリングも使用する場合、レポートには両方の基準を満たす行だけが表示されます。


) Refresh リンクと Download リンクの機能は変わりません(フィルタリングなし)。「CSV レポートの表示」を参照してください。


ログ フィルタを適用するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 表示する CSV レポート タイプの名前をクリックします。

ACS によって、ブラウザの右側に、現在の CSV レポート ファイル名と、それ以前のすべての CSV(ログ)レポート ファイルの名前が一覧表示されます。

ステップ 3 ログ ファイルを選択します。内容が表示されます。

ここで、フィルタリング基準を指定して、ログ ファイルの内容にフィルタを適用できます。

ステップ 4 Regular Expression テキスト ボックスに文字列値を入力します。最大 100 文字の正規表現を入力できます。

ステップ 5 Start Date & Time テキスト ボックスと End Date & Time テキスト ボックスに文字列値を入力します。日時の形式は、ACS システム設定の日付形式に定義されているとおりで、dd/mm/yyyy,hh:mm:ss または mm/dd/yyyy,hh:mm:ss です。

ステップ 6 Rows per Page ボックスで、1 ページあたりに表示する行数を選択します(デフォルトは 50 です)。

ステップ 7 Apply Filter をクリックします。ACS Web サーバによって、指定したフィルタリング基準がレポート ファイルに適用され、フィルタリングされた結果がレポートのテーブルに表示されます。

フィルタリング パラメータをデフォルト値にリセットするには、 Clear Filter をクリックします。このオプションを使用すると、フィルタリングされずにレポート全体が表示されます。

ステップ 8 Next ボタンおよび Previous ボタンを使用すると、レポート ページ間を前後に移動できます。


 

正規表現の基本的な構文のリファレンス

表11-6 に、正規表現用の文字とその構文定義を示します。

 

表11-6 正規表現の構文定義

文字
正規表現で使用する場合

^

カレット(^)は、文字列の先頭と一致します。「begins with(~で始まる)」を意味します。
たとえば、^A は ABc や A123 と一致しますが、1A234 とは一致しません。カレットの別の使用方法については、この表の最後のエントリを参照してください。

$

ドル記号($)は、文字列の末尾と一致します。「ends with(~で終わる)」を意味します。
たとえば、yz$ は xyz や 0123yz で終わる文字列と一致しますが、12yzA で終わる文字列とは一致しません。

\

バックスラッシュ(\)は、任意の場所の所定の文字列と一致します。「contains(~を含む)」を意味します。
バックスラッシュは、所定の正規表現内で「特殊文字」を表現する場合にも使用されます(たとえば、\+ はプラス記号(+)と一致し、正規表現におけるプラス記号(+)の用法と区別されます)。

.

ドット(.)は、任意の文字と一致します。

*

アスタリスク(*)は、正規表現内でアスタリスクの直前にある文字が、その文字の 0 回以上の繰り返しと一致することを示します。

+

プラス記号(+)はアスタリスク(*)に似ていますが、正規表現内でプラス記号(+)の直前にある文字が、その文字の 1 回以上の繰り返しと一致することを示します。

?

疑問符(?)は、その直前の表現または文字が、その表現または文字の 0 回あるいは 1 回の繰り返しと一致することを示します。

|

パイプ(|)は、その直前または直後のいずれかの表現が、対象文字列と一致すればよいことを意味します。
たとえば、A|a は A にも a にも一致します。

-

ハイフン(-)は、値の範囲を示します。たとえば、a-z。

()

丸カッコは、表現のグループ化に使用され、パターン評価の順序に影響を及ぼします。

[]

文字セットを囲む角カッコ([ ])は、囲まれた文字のいずれかが対象の文字と一致すればよいことを示します。角カッコ内の値は 1 つ以上の文字、または範囲です。たとえば、[02468]、[0-9]。

[^

左角カッコ([)の直後にカレット(^)がある場合、角カッコ内の残りの文字が、対象文字列との一致から除外されます。たとえば、[^0-9] は、対象の文字が数字ではなくアルファベットであることを示します。

CSV ログの設定

ここでは、CSV ログの内容を設定する方法について説明します。CSV ログをイネーブルまたはディセーブルにする方法については、「CSV ログのイネーブル化またはディセーブル化」を参照してください。

この手順が適用されるログは、次のとおりです。

TACACS+ Accounting

TACACS+ Administration

RADIUS Accounting

VoIP Accounting

Failed Attempts

Passed Authentications


) ACS Backup and Restore、RDBMS Synchronization、および Database Replication CSV ログを設定することはできません。


CSV ログについて、次のようないくつかの設定ができます。

ログの内容 :ログに格納するデータ アトリビュートを選択します。

ログの生成頻度 :新しいログを指定時間の経過後に開始するか、または現在の CSV ファイルが特定のサイズに達したときに開始するかを決定します。

CSV ファイルの格納場所 :ACS が CSV ファイルを書き込むローカル ハード ドライブ上の場所を指定します。

CSV ファイルの保持 :ACS に CSV ファイルを保持する期間を指定するか、または保持するファイルの最大数を設定します。

CSV ログを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

ステップ 3 イネーブルにする CSV ログの名前をクリックします。

CSV log Comma-Separated Values File Configuration ページが表示されます。 log には選択した CSV ログの名前が表示されます。

Select Columns To Log テーブルには、Attributes と Logged Attributes という 2 つのリストがあります。Logged Attributes リスト内のアトリビュートが、選択したログ上に表示されます。

ステップ 4 ログにアトリビュートを追加するには、Attributes リストでアトリビュートを選択してから、 --> (右矢印ボタン)をクリックします。

アトリビュートが Logged Attributes リストに移動します。


ヒント リスト ボックス内にすべてのアトリビュートが表示されていない場合は、垂直スクロール バーを使用します。

ステップ 5 ログからアトリビュートを削除するには、Logged Attributes リストで削除するアトリビュートを選択してから、 <-- (左矢印ボタン)をクリックします。

アトリビュートが Attributes リストに移動します。


ヒント リスト ボックス内にすべてのアトリビュートが表示されていない場合は、垂直スクロール バーを使用します。

ステップ 6 Logged Attributes リストで選択されているアトリビュートをデフォルトの状態に戻すには、ブラウザ ウィンドウの最下部にある Reset Columns をクリックします。

ステップ 7 一定の間隔で新しい CSV ファイルを生成するには、頻度を選択します。

Every day :ACS によって、毎日午前 12:01 に新しい CSV ファイルが生成されます。

Every week :ACS によって、毎週日曜日の午前 12:01 に新しい CSV ファイルが生成されます。

Every month :ACS によって、毎月 1 日の午前 12:01 に新しい CSV ファイルが生成されます。

ステップ 8 現在のファイルが特定のサイズに達したときに、新しい CSV ファイルを生成するには、 When size is greater than x KB オプションを選択し、 X ボックスにキロバイト単位でファイル サイズのしきい値を入力します。

ステップ 9 ACS がどの CSV ファイルを保持するかを管理するには、次の手順を実行します。

a. Manage Directory チェックボックスをオンにします。

b. ACS が保持する CSV ファイルの数を制限するには、 Keep only the last X files オプションを選択し、ACS が保持するファイルの数を X ボックスに入力します。

c. ACS が CSV ファイルを保持する期間を制限するには、 Delete files older than X days オプションを選択し、ACS が CSV ファイルを保持する日数を入力します。この日数が経過すると、ACS はファイルを削除します。

ステップ 10 Submit をクリックします。

指定した CSV ログ設定が ACS に実装されます。


 

ODBC ログの操作

この項では、次のトピックについて取り上げます。

「ODBC ロギングの準備」

「ODBC ロギング用のシステム データ ソース名の設定」

「ODBC ログの設定」

ODBC ロギングの準備

ここでは、ODBC ロギングを準備する方法について説明します。ODBC ロギングを準備した後、個々の ODBC ログを設定できます。

ODBC ロギングを準備するには、次の手順を実行します。


ステップ 1 ロギング データをエクスポートするリレーショナル データベースを設定します。詳細については、リレーショナル データベースのマニュアルを参照してください。

ステップ 2 ACS を実行しているコンピュータで、システム Data Source Name(DSN; データ ソース名)を設定します。その方法については、「ODBC 外部ユーザ データベース用のシステム データ ソース名の設定」を参照してください。

ステップ 3 ACS Web インターフェイスで ODBC ロギングをイネーブルにします。

a. ナビゲーション バーの Interface Configuration をクリックします。

b. Advanced Options をクリックします。

c. ODBC Logging チェックボックスをオンにします。

d. Submit をクリックします。

ACS によって ODBC ロギング機能がイネーブルにされます。ACS によって、Logging ページの System Configuration セクションに、ODBC ログ設定用のリンクが表示されます。

個々の ODBC ログを設定できます。その方法については、「ODBC ログの設定」を参照してください。


 

ODBC ロギング用のシステム データ ソース名の設定

ロギング データを格納するリレーショナル データベースと通信するには、ACS を実行するコンピュータ上で、ACS のシステム DSN を作成する必要があります。

ODBC ロギングに使用するシステム DSN を作成するには、次の手順を実行します。


ステップ 1 Windows の Control Panel で ODBC Data Sources をダブルクリックします。

ステップ 2 ODBC Data Source Administrator ページで System DSN タブをクリックします。

ステップ 3 Add をクリックします。

ステップ 4 新しい DSN で使用するドライバを選択してから、 Finish をクリックします。

ダイアログボックスが開き、選択した ODBC ドライバ固有の情報を入力するためのフィールドが表示されます。

ステップ 5 Data Source Name ボックスに DSN の説明的な名前を入力します。

ステップ 6 選択した ODBC ドライバに必要な他のフィールドすべてに入力します。ここのフィールドには、ODBC 準拠リレーショナル データベースが動作しているサーバの IP アドレスなどを入力できます。

ステップ 7 OK をクリックします。

ステップ 8 ODBC ウィンドウと Windows の Control Panel を閉じます。

ACS がリレーショナル データベースとの通信に使用するシステム DSN が、ACS を実行するコンピュータ上に作成されます。DSN に割り当てた名前が、各 ODBC ログ設定ページの Data Source リストに表示されます。


 

ODBC ログの設定

この手順が適用されるログは、次のとおりです。

TACACS+ Accounting

TACACS+ Administration

RADIUS Accounting

VoIP Accounting

Failed Attempts

Passed Authentications


) ODBC ログを設定する前に、ODBC ロギングの準備を行う必要があります。詳細については、「ODBC ロギングの準備」を参照してください。


ODBC ログを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

ステップ 3 イネーブルにする ODBC ログの名前をクリックします。

ODBC log Configuration ページが表示されます。 log には選択した ODBC ログの名前が表示されます。

Select Columns To Log テーブルには、Attributes と Logged Attributes という 2 つのリストがあります。ログ用の ODBC 設定ページに初めてアクセスしたときは、Logged Attributes リストには、デフォルトのアトリビュート セットが含まれています。ACS では、Logged Attributes リストにあるアトリビュートだけがログの対象になります。

ステップ 4 ACS からリレーショナル データベースに送信するアトリビュートを指定します。

a. ログにアトリビュートを追加するには、Attributes リストでアトリビュートを選択してから、 --> (右矢印ボタン)をクリックします。

アトリビュートが Logged Attributes リストに移動します。


ヒント リスト ボックス内にすべてのアトリビュートが表示されていない場合は、垂直スクロール バーを使用します。

b. ログからアトリビュートを削除するには、Logged Attributes リストで削除するアトリビュートを選択してから、 <-- (左矢印ボタン)をクリックします。

アトリビュートが Attributes リストに移動します。


ヒント リスト ボックス内にすべてのアトリビュートが表示されていない場合は、垂直スクロール バーを使用します。

c. Logged Attributes リストで選択されているアトリビュートをデフォルトの状態に戻すには、 Reset Columns をクリックします。

ステップ 5 ODBC Connection Settings テーブルで、ODBC データベースと通信するように ACS を設定します。

a. ACS からリレーショナル データベースに ODBC ロギング データを送信するために作成したシステム DSN を、Data Source リストから選択します。

b. Username ボックスに、リレーショナル データベースのユーザ アカウントのユーザ名(最大 80 文字)を入力します。


) 適切なテーブルに ODBC ロギング データを書き込むためには、リレーショナル データベースでの適切な特権がユーザに付与されている必要があります。


c. Password ボックスに、ステップ b で指定したリレーショナル データベースのユーザ アカウントに対するパスワード(最大 80 文字)を入力します。

d. Table Name ボックスに、ODBC ロギング データを追加するテーブルの名前(最大 80 文字)を入力します。

ステップ 6 Submit をクリックします。

ACS によってログ設定内容が保存されます。

ステップ 7 現在設定している ODBC ログの名前をクリックします。

ODBC ログ設定ページが再度表示されます。

ステップ 8 Show Create Table をクリックします。

ブラウザの右側に、Microsoft SQL Server に対するテーブル作成 SQL 文が表示されます。テーブル名は、Table Name ボックスで指定された名前です。カラム名は、Logged Attributes リストで指定されたアトリビュートです。


) 生成された SQL は、Microsoft SQL Server に対してだけ有効です。別のリレーショナル データベースを使用する場合は、テーブル作成コマンドの書き方について、そのリレーショナル データベースのマニュアルを参照してください。


ステップ 9 生成された SQL によって提供される情報を使用して、リレーショナル データベースにこの ODBC ログのテーブルを作成します。


) ODBC ロギングが機能するためには、テーブル名とカラム名が、生成された SQL で使用されている名前と正確に一致する必要があります。


ステップ 10 ACS での操作を継続するには、現在設定している ODBC ログの設定ページにアクセスします。

a. ナビゲーション バーの System Configuration をクリックします。

b. Logging をクリックします。

c. 現在設定している ODBC ログの名前をクリックします。

ODBC log Configuration ページが表示されます。 log には選択した ODBC ログの名前が表示されます。

ステップ 11 Log to ODBC log report チェックボックスをオンにします。 log には選択した ODBC の名前が表示されます。

ステップ 12 Submit をクリックします。

設定したシステム DSN を使用して、指定したリレーショナル データベースのテーブルに、ACS からロギング データの送信が開始されます。


 

リモート ロギング

ここでは、ACS のリモート ロギング機能について説明します。

この項では、次のトピックについて取り上げます。

「リモート ロギング機能について」

「集中リモート ロギングの実装」

「リモート ロギング オプション」

「リモート ロギング機能のイネーブル化と設定」

「リモート ロギング機能のディセーブル化」

リモート ロギング機能について

リモート ロギング機能を使用すると、複数の ACS によって生成されたアカウンティング ログを集中管理できます。1 つの ACS を中央ロギング サーバとして使用するように、各 ACS を設定できます。中央ロギング ACS は、受信するアカウンティング ログのリポジトリであると同時に、本来の AAA としても機能します。ACS アカウンティング ログの詳細については、「アカウンティング ログ」を参照してください。

リモート ロギング機能を使用すると、ACS から、リモートのロギング サーバ上でアカウンティング データがログに書き込まれる CSLog サービスに対して、AAA クライアントから受信したアカウンティング データを直接送信できます。ロギング サーバでは、データを中央ロギング サーバに送信する ACS のローカルなロギング設定には関係なく設定されている形式、つまり CSV および ODBC 形式でアカウンティング ログが生成されます。

ACS は、リモート ロギング通信用の TCP ポート 2001 で受信します。リモート ロギング データは、128 ビットの独自アルゴリズムによって暗号化されます。


) リモート ロギング機能は、プロキシ処理された認証要求のアカウンティング データの転送には影響しません。ACS では、プロキシにより認証されたセッションのアカウンティング データがローカルでロギングされる場合には、そのアカウンティング データに対してだけリモート ロギング設定を適用します。プロキシ処理された認証要求およびプロキシにより認証されたセッションのアカウンティング データに関する詳細については、「Proxy Distribution Table の設定」を参照してください。


集中リモート ロギングの実装

始める前に

中央ロギング ACS が TCP ポート 2001 でデータを受信することを、リモート ACS と中央ロギング ACS の間のゲートウェイ デバイスが許可しているかどうかを確認します。

集中リモート ロギングを実装するには、次の手順を実行します。


ステップ 1 集中ロギング データを格納するコンピュータに、ACS をインストールします。ACS をインストールする方法については、『 Installation Guide for Cisco Secure ACS for Windows 』を参照してください。

ステップ 2 中央ロギング サーバ上で動作する ACS で、次の手順を実行します。

a. 必要に応じてアカウンティング ログを設定します。中央ロギング サーバに送信されたすべてのアカウンティング データは、この ACS でのアカウンティング ログの設定どおりに記録されます。アカウンティング ログについては、「アカウンティング ログ」を参照してください。

アカウンティング ログは、CSV 形式または ODBC 形式で記録できます。CSV ログを設定する方法については、「CSV ログの操作」を参照してください。ODBC ログを設定する方法については、「ODBC ログの設定」を参照してください。

b. 中央ロギング サーバが受信するアカウンティング データの送信元となる各 ACS を AAA Servers テーブルに追加します。詳細については、「AAA サーバの設定」を参照してください。


) 中央ロギング サーバによって ACS のウォッチドッグ パケットとアップデート パケットがロギングされる場合は、その ACS の Log Update/Watchdog Packets from this remote AAA Server チェックボックスを AAA Servers テーブルでオンにする必要があります。


ステップ 3 アカウンティング データを中央ロギング サーバに送信する各 ACS に対して、次の手順を実行します。

a. Network Configuration で中央ロギング サーバを AAA Servers テーブルに追加します。詳細については、「AAA サーバの設定」を参照してください。

b. リモート ロギングをイネーブルにします。詳細については、「リモート ロギング機能のイネーブル化と設定」を参照してください。

ステップ 4 セカンダリ サーバまたはミラー ロギング サーバとして使用する他の中央ロギング サーバを作成する場合は、追加するサーバごとにステップ 1 ~ 3 を実行します。


 

リモート ロギング オプション

ACS では、次のリモート ロギング オプションを使用できます。これらのオプションは、Remote Logging Setup ページに表示されます。

Do not log Remotely :ACS は、ローカルで認証されたセッションのアカウンティング データを、イネーブルになっているローカル ログにだけ書き込みます。

Log to all selected remote log services :ACS は、ローカルで認証されたセッションのアカウンティング データを、Selected Log Services リスト内のすべての ACS に送信します。

Log to subsequent remote log services on failure :ACS は、ローカルで認証されたセッションのアカウンティング データを、Selected Log Services リスト内で稼働している最初の ACS に送信します。したがって、1 つまたは複数のバックアップ中央ロギング サーバを設定することにより、最初の中央ロギング サーバに障害が発生した場合や、ACS が最初の中央ロギング サーバを使用できなくなった場合でもアカウンティング データが失われないようにすることができます。

Remote Log Services :このリストには、Network Configuration 内の Remote Agents テーブルに設定されている ACS のうち、ACS から、ローカルで認証されたセッションのアカウンティング データが送信されない ACS が表示されます。

Selected Log Services :このリストには、Network Configuration 内の Remote Agents テーブルに設定されている ACS のうち、ACS から、ローカルで認証されたセッションのアカウンティング データが送信される ACS が表示されます。

リモート ロギング機能のイネーブル化と設定


ACS でリモート ロギング機能を設定する前に、中央ロギング ACS の設定が終了していることを確認してください。詳細については、「集中リモート ロギングの実装」を参照してください。


リモート ロギング機能をイネーブルにして設定するには、次の手順を実行します。


ステップ 1 Web インターフェイスでリモート ロギング機能をイネーブルにするには、次の手順を実行します。

a. Interface Configuration をクリックします。

b. Advanced Options をクリックします。

c. Remote Logging チェックボックスをオンにします。

d. Submit をクリックします。

ACS によって、System Configuration セクションの Logging ページに Remote Logging リンクが表示されます。

ステップ 2 System Configuration をクリックします。

ステップ 3 Logging をクリックします。

Logging Configuration ページが開きます。

ステップ 4 Remote Logging をクリックします。

ステップ 5 適用するリモート ロギング オプションを選択します。

a. この ACS のアカウンティング情報を複数の ACS に送信するには、 Log to all selected remote log services オプションを選択します。

b. この ACS のアカウンティング情報を 1 つの ACS に送信するには、 Log to subsequent remote log services on failure オプションを選択します。


) 最初の ACS に障害が発生したときに、アカウンティング データを 2 番目のリモート ACS に送信する場合は、Log to subsequent remote log services on failure オプションを使用します。


ステップ 6 Selected Log Services リストに設定する各リモート ACS について、次の手順を実行します。

a. Remote Log Servers リストで、ローカルで認証されたセッションのアカウティング データを送信する ACS の名前を選択します。


) Remote Log Services リストで使用可能な ACS は、Network Configuration の AAA Servers テーブルによって決まります。AAA Servers テーブルの詳細については、「AAA サーバの設定」を参照してください。


b. --> (右矢印ボタン)をクリックして、選択した ACS を Selected Log Services リストに移動します。

ステップ 7 Selected Log Services リスト内のサーバの順序を変更するには、 Up または Down をクリックして、選択した ACS が適切な順序になるまで移動します。


) Log to subsequent remote log services on failure オプションを選択すると、ACS では、Selected Log Services リスト内の最初にアクセス可能な ACS にロギングします。


ステップ 8 Submit をクリックします。

指定したリモート ロギングの設定が ACS に保存および実装されます。


 

リモート ロギング機能のディセーブル化

リモート ロギング機能をディセーブルにすると、ACS では、中央ロギング ACS に対するアカウンティング情報の送信が停止されます。

リモート ロギング機能をディセーブルにするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

ステップ 3 Remote Logging をクリックします。

ステップ 4 Do not log Remotely オプションを選択します。

ステップ 5 Submit をクリックします。

ACS が、ローカルで認証されたセッションのアカウンティング情報を、リモート ロギング サーバに送信しなくなります。


 

サービス ログ

サービス ログは、診断用ログとして扱われ、トラブルシューティングやデバッグ目的に限定して使用されます。これらのログは、ACS 管理者の一般的使用を目的としていません。これらのサービス ログは、シスコ サポート要員の主な情報源となります。サービス ログには、ACS サービスの動作とアクティビティのすべての記録が含まれます。サービス ログがイネーブルになっている場合は、サービスを使用しているかどうかにかかわらず、各サービスが実行中のときに必ずログが生成されます。たとえば、ネットワークで RADIUS プロトコルを使用していない場合でも、RADIUS サービス ログは生成されます。

この項では、次のトピックについて取り上げます。

「ロギングされるサービス」

「サービス ログの設定」

「カスタマー サポートのためのデータ収集」

ACS サービスの詳細については、「概要」を参照してください。

ロギングされるサービス

ACS は、次のサービスに対してログを生成します。

CSAdmin

CSAuth

CSDBSync

CSLog

CSMon

CSRadius

CSTacacs

これらのファイルは、該当するサービス ディレクトリの \Logs サブディレクトリに格納されます。たとえば、ACS 認証サービスのデフォルト ディレクトリは次の場所になります。

c:\Program Files\CiscoSecure ACS vx.x\CSAuth\Logs

最新のデバッグ ログには、次の名前が付けられます。

SERVICE.log

SERVICE には該当するサービスの名前が表示されます。

これより古いデバッグ ログには、作成年月日でファイル名が付けられます。たとえば、1999 年 7 月 13 日に作成されたファイルは次のファイル名になります。

SERVICE 1999-07-13.log

SERVICE には該当するサービスの名前が表示されます。

Day/Month/Year の形式を選択する場合は、次のファイル名になります。

SERVICE 13-07-1999.log

サービス ログの設定

ACS によるサービス ログ ファイルの生成および管理の方法を設定できます。サービス ログ ファイルの設定用オプションは、次のとおりです。

Level of detail :サービス ログ ファイルに格納する情報の詳細レベルを、次の 3 つのうちいずれかに設定できます。

None :ログ ファイルは生成されません。

Low :起動動作と停止動作だけがロギングされます。これがデフォルト設定です。

Full :すべてのサービス動作がロギングされます。

Generate new file :サービス ログ ファイルの生成頻度を制御できます。

Every Day :ACS によって、毎日午前 12:01 に新しいログ ファイルが生成されます。

Every Week :ACS によって、毎週日曜日の午前 12:01 に新しいログ ファイルが生成されます。

Every Month :ACS によって、毎月 1 日の午前 12:01 に新しいログ ファイルが生成されます。

When Size is Greater than x KB :現在のサービス ログ ファイルが、 x で指定されたキロバイト単位のサイズに達すると、ACS によって新しいログ ファイルが生成されます。

Manage Directory :サービス ログ ファイルの保存期間を制御できます。

Keep only the last x files x で指定された数までのファイルが ACS によって保持されます。

Delete files older than x days x で指定された日数を経過していないサービス ログだけが ACS によって保持されます。

ACS によるサービス ログ ファイルの生成および管理の方法を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Service Control をクリックします。

サービスのステータスが hostname テーブルに表示されます。 hostname は ACS を実行しているコンピュータの名前です。

ステップ 3 サービス ログ ファイルをディセーブルにするには、Level of detail で None オプションを選択します。

Restart をクリックした後は、ACS による新しいサービス ログ ファイルの生成は停止されます。

ステップ 4 ACS によるサービス ログ ファイルの生成頻度を設定するには、Generate New File の下にあるオプションを 1 つ選択します。


) Generate New File の下にある設定は、Level of detail の下で None を選択した場合は無効になります。


ステップ 5 ACS がどのサービス ログ ファイルを保持するかを決めるには、次の手順を実行します。

a. Manage Directory チェックボックスをオンにします。

b. ACS が保持するサービス ログ ファイルの数を制限するには、 Keep only the last x files オプションを選択し、ACS が保持するファイルの数を x ボックスに入力します。

c. ACS が サービス ログ ファイルを保持する期間を制限するには、 Delete files older than x days オプションを選択し、ACS がサービス ログ ファイルを保持する日数を入力します。この日数が経過すると、ACS はファイルを削除します。

ステップ 6 Restart をクリックします。

ACS がサービスを再開し、指定したサービス ログの設定が ACS に実装されます。


 

カスタマー サポートのためのデータ収集

始める前に

カスタマー サポートに問題の調査を依頼するときに十分なデータを提供できるよう、サービス ログの設定を適切に行う必要があります。 System Configuration > Service Control を選択し、 Full を選択します。ログ エントリを処理するための十分なディスク容量があることを確認します。

ACS に問題がある場合、カスタマー サポートは package.cab ファイルを作成するように依頼します。package.cab ファイルには、次のようなさまざまなファイルが含まれています。

証明書ファイル :ACS サーバ証明書、および証明書の CA。

Admin.txt :ACS 管理者に関する情報が格納されています。

Host.txt および HostServices.txt :ホストおよびホスト設定に関する情報が格納されています。

NDG.txt :設定済みのネットワーク デバイス グループが格納されています。

DictionaryKey.txt および DictionaryValue.txt :ACS ディクショナリ ファイルが格納されています。

package.cab ファイルを作成するには、次の手順を実行します。


ステップ 1 コマンド プロンプトで、drwtsn32 と入力します。

Dr. Watson の設定で、デフォルトのオプションに加えて Dump all Symbol Table オプションと Dump All Thread Contents オプションが選択されていることを確認します。

ステップ 2 ACS がインストールされているディレクトリに移動します。

ステップ 3 CSSupport.exe と入力します。

すべてデフォルトのオプションのままで、この実行ファイルを実行します。必要な情報(Dr. Watson ログなど)がすべて収集され、package.cab という名前のファイルに格納されます。実行ファイルが終了すると、ファイルの場所が表示されます。