Cisco Secure ACS Solution Engine ユーザ ガイド 4.2
ログとレポート
ログとレポート
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

ログとレポート

ACS ログとレポートについて

AAA 関連ログ

ACS 監査ログ

ACS ロギングの形式とターゲット

CSV ロガー

syslog ロガー

ODBC ロガー(ACS for Windows のみ)

ACS for Windows のリモート ロギング

ACS リモート エージェントによる ACS SE のリモート ロギング

ダイナミック管理レポート

エンタイトルメント レポート

サービス ログ

CSAuth 診断ログへのセッション ID の追加

CSAuth 診断ログのエラー コードの説明

ACS ログの設定

クリティカル ロガーの設定

CSV ログの設定

syslog ロギングの設定

ODBC ログの設定(ACS for Windows のみ)

リモート ロギングの設定とイネーブル化(ACS for Windows のみ)

リモート ロギング サーバの設定

ACS のリモート ロガーへのデータ送信設定

リモート エージェントへのロギングの設定(ACS SE のみ)

ACS SE のリモート エージェントへのデータ送信設定

設定プロバイダーでのリモート エージェント ログの設定

サービス ログの設定

カスタマー サポートへのサービス ログの提供

レポートの表示とダウンロード

CSV レポートの表示とダウンロード

CSV ログ ファイルの名前

CSV レポートの表示

CSV レポートのダウンロード

ダイナミック管理レポートの表示

Logged-in Users レポートの表示

Disabled Accounts レポートの表示

Appliance Status レポートの表示

エンタイトルメント レポートの表示とダウンロード

アカウンティング ログでのアップデート パケット

Logging Configuration ページのリファレンス

Logging Configuration ページ

Critical Loggers Configuration ページ

Remote Logging Setup ページ

Remote Agents Reports Configuration ページ(ACS SE のみ)

CSV

Syslog log Configuration ページ

ODBC

Service Control ページのリファレンス

Reports ページのリファレンス

監査ログのアトリビュート

ログとレポート

Cisco Secure Access Control Server Release 4.2(以降は ACS と表記)は、さまざまなログを生成します。それらのログの多くは、ダウンロードしたり、ACS Web インターフェイスで HTML レポートとして表示したりすることができます。

次のトピックでは、ACS ログとレポートの設定および表示方法を説明します。

「ACS ログとレポートについて」

「ACS ログの設定」

「レポートの表示とダウンロード」

「アカウンティング ログでのアップデート パケット」

「Logging Configuration ページのリファレンス」

「Service Control ページのリファレンス」

「Reports ページのリファレンス」

ACS ログとレポートについて

ACS は、ユーザおよびシステムのさまざまなアクティビティを、異なる形式で異なるターゲットに記録します。次のトピックでは、ログに記録できる情報について説明します。

「AAA 関連ログ」

「ACS 監査ログ」

「ACS ロギングの形式とターゲット」

「ダイナミック管理レポート」

「エンタイトルメント レポート」

「サービス ログ」

AAA 関連ログ

AAA 関連の各ログには、ユーザによるリモート アクセス サービスの利用に関する情報が格納されます。 表10-1 に、すべての AAA 関連ログの説明を示します。

適切な権限があれば、Web インターフェイスで AAA 関連ログのイネーブル化、設定、および表示を行うことができます。

 

表10-1 AAA 関連ログの説明

ログ
説明

TACACS+ Accounting

次の情報を格納します。

ユーザ セッションの開始時刻と停止時刻

ユーザ名付き AAA クライアント メッセージ

Caller Line Identification(CLID; 発信番号識別)

セッション継続時間

TACACS+ Administration

AAA クライアントで TACACS+ (Cisco IOS) を使用して入力された設定コマンドを記録します。特に、コマンド認可の実行に ACS を使用している場合は、このログを使用することを推奨します。


) TACACS+ Administration ログを使用するには、コマンド アカウンティングの実行時に ACS を使用するように TACACS+ AAA クライアントを設定する必要があります。アクセス サーバまたはルータの設定のファイルには、次の行が含まれている必要があります。
aaa accounting commands start-stop tacacs+


RADIUS Accounting

次の情報を格納します。

ユーザ セッションの開始時刻と停止時刻

ユーザ名付き AAA クライアント メッセージ

発信者番号識別情報

セッション継続時間

Voice over IP(VoIP)に対するアカウンティング情報を、RADIUS アカウンティング ログまたは個別の VoIP アカウンティング ログ、あるいはその両方のログに格納するように ACS を設定できます。

VoIP Accounting

次の情報を格納します。

VoIP セッションの停止時刻と開始時刻

ユーザ名付き AAA クライアント メッセージ

CLID 情報

VoIP セッション継続時間

cisco-av-pair アトリビュート情報

VoIP に対するアカウンティング情報を、この個別の VoIP アカウンティング ログまたは RADIUS アカウンティング ログ、あるいはその両方のログに格納するように ACS を設定できます。

Failed Attempts

認証と認可の失敗を、それらの原因とともに記録します。ポスチャ確認要求について、このログは、Healthy 以外のポスチャ トークンを返すポスチャ確認の結果を記録します。

期限満了情報に従って数回の試行失敗が有効になっている場合は、これらのレポートを使用して、アカウントを無効にしたユーザを見つけることができます。また、侵入の試行について調査を行うことができ、トラブルシューティングでは有用なツールとなります。

Passed Authentications

成功した認証要求を記録します。このログは、AAA クライアントからのアカウンティング パケットに依存していないため、AAA クライアントが RADIUS アカウンティングをサポートしていない場合、または AAA クライアント上のアカウンティングをディセーブルにした場合でも使用できます。ポスチャ確認要求について、このログは、SPT が生成されたすべてのポスチャ確認要求の結果を記録します。

ロギング アトリビュート

情報は、ロギング アトリビュートのセットとしてログに記録されます。次のアトリビュートがあります。

シスコ汎用。

RADIUS 汎用:これらのアトリビュートの詳細については、 付録 B「RADIUS アトリビュート」 を参照してください。

TACACS 汎用:これらのアトリビュートの詳細については、 付録 A「TACACS+ の AV ペア」 を参照してください。

ACS 固有:ACS に固有のその他の監査ログのアトリビュートについては、 表10-17 を参照してください。

ログに ACS が記録できる多数のアトリビュートの中には、特に重要なものがいくつかあります。次のリストでは、ACS が提供する特別なロギング アトリビュートを説明します。

User Attributes :これらのロギング アトリビュートは、すべてのログ設定ページの Attributes リストに表示されます。ACS では、これらのアトリビュートは、Real Name、Description、User Field 3、User Field 4、User Field 5 などのデフォルト名を使用してリストに表示されます。ユーザ定義アトリビュートの名前を変更しても、新しい名前ではなくデフォルト名が Attributes リストに表示されます。

ユーザ アカウントの対応するフィールドに入力する値によって、これらのアトリビュートの内容が決まります。ユーザ アトリビュートの詳細については、「ユーザ データのカスタマイズ」を参照してください。

ExtDB Info :外部ユーザ データベースを使用してユーザが認証されるときに、外部ユーザ データベースの返す値がこのアトリビュートに格納されます。Windows ユーザ データベースの場合、このアトリビュートには、ユーザを認証したドメインの名前が格納されます。

Failed Attempts ログのエントリでは、このアトリビュートには、最後に正常にユーザを認証したデータベースが格納されます。ユーザの認証に失敗したデータベースは示されません。

Access Device :ACS にロギング データを送信する AAA クライアントの名前です。

Network Device Group :アクセス デバイス(AAA クライアント)が属するネットワーク デバイス グループです。

Filter Information :ユーザに適用されたネットワークアクセス制限(NAR)の結果です(適用された場合)。このフィールド内のメッセージには、適用されたすべての NAR がユーザ アクセスを許可したか、適用されたすべての NAR がユーザ アクセスを拒否したか、または、どの NAR がユーザ アクセスを拒否したかが示されます。NAR がユーザに適用されていない場合は、このロギング アトリビュートには、NAR が適用されていないことが表示されます。

Filter Information アトリビュートは、Passed Authentication ログおよび Failed Attempts ログに使用できます。

Device Command Set :コマンド認可要求を満たすために使用されたデバイス コマンド セットの名前です(使用された場合)。

Device Command Set アトリビュートは、Failed Attempts ログに使用できます。

Bypass info :MAC 認証バイパス機能についての情報です。このフィールドのメッセージは、MAC アドレスが検出されたかどうかを示します。

Bypass info アトリビュートは、Failed Attempts ログと Passed Authentications ログで使用できます。

Remote Logging Result :リモート ロギング サービスが、転送されたアカウンティング パケットを正常に処理したかどうかを示します。このアトリビュートは、中央ロギング サービスによってロギングされなかったアカウンティング パケットがある場合、そのパケットを特定するために役立ちます。これは、リモート ロギング サービスからの確認メッセージの受信に依存します。確認メッセージは、リモート ロギング サービスが、その設定に従ってアカウンティング パケットを正常に処理したことを示します。値 Remote-logging-successful は、リモート ロギング サービスがアカウンティング パケットを正常に処理したことを示します。
値 Remote-logging-failed は、リモート ロギング サービスがアカウンティング パケットを正常に処理しなかったことを示します。


) ACS は、リモート ロギング サービスに設定されている、転送したアカウンティング パケットの処理方法を判断できません。たとえば、アカウンティング パケットを破棄するようにリモート ロギング サービスが設定されている場合、そのサービスは転送されたアカウンティング パケットを破棄し、確認メッセージを送信して ACS に応答します。ACS は、このメッセージを受け取ると、アカウント パケットを記録するローカル ログで、Remote Logging Result アトリビュートに値 Remote-logging-successful を書き込みます。


ポスチャ確認ロギング アトリビュート

Application-Posture-Token :ポスチャ確認要求中に特定のポリシーが返す Application
Posture Token(APT; アプリケーション ポスチャ トークン)。このアトリビュートは、Passed Authentications ログと Failed Attempts ログでのみ使用できます。

System-Posture-Token :ポスチャ確認要求中に特定のポリシーが返す System Posture Token(SPC; システム ポスチャ トークン)。このアトリビュートは、Passed Authentications ログと Failed Attempts ログでのみ使用できます。

その他のポスチャ確認アトリビュート:ポスチャ確認要求中に NAC クライアントが ACS に送信するアトリビュート。これらのアトリビュートは、ベンダー名、アプリケーション名、およびアトリビュート名で一意に識別されます。たとえば、NAI:AV:DAT-Date アトリビュートは、Network Associates, Inc. のアンチウイルス アプリケーションの NAC クライアントにある DAT ファイルの日付情報を含むアトリビュートです。これらのアトリビュートは、Passed Authentications ログと Failed Attempts ログに限り使用できます。

Passed Authentications ログおよび Failed Attempts ログにポスチャ確認アトリビュートを記録できます。受信アトリビュートはすべてログに使用できます。ログに記録できる送信アトリビュートは、Application-Posture-Assessment と System-Posture-Assessment の 2 つだけです。

SPT を生成するすべてのポスチャ確認要求は、システム ポスチャ アセスメントとも呼ばれ、Passed Authentications ログに記録されます。Healthy 以外の SPT を生成するポスチャ確認要求は、Failed Attemps ログに記録されます。ポスチャ トークンの詳細については、「ポスチャ トークン」を参照してください。

HCAP エラーの Authen-Failure-Code アトリビュート:

Host Credentials Authorization Protocol(HCAP)が失敗すると、Failed Attempts レポートの Authen-Failure-Code アトリビュート エントリが次のいずれかのエラーを表示することがあります。

Version failure - Could not communicate with external policy server - wrong HCAP version

Connection failure - Could not open a connection to external policy server

Authentication failure - Could not communicate with external policy server - authentication failure

Timeout error - Could not connect to external policy server - timeout error

Other - Posture Validation Failure on External Policy

関連項目

「ACS ログの設定」

「CSV レポートの表示とダウンロード」

ACS 監査ログ

監査ログには、ACS システムとアクティビティについての情報が含まれるため、システム関連イベントが記録されます。システム ログは、トラブルシューティングや監査に役立ちます。カンマ区切り形式(CSV)の監査ログは常にイネーブルになっています。ユーザは、他のロガーに対して監査ログをイネーブルまたはディセーブルにすることができます。監査ログの内容は設定できません。

監査ログは、管理者が各ユーザに行った実際の変更を表示します。ACS 監査ログには、所定のユーザの変更されたアトリビュートがすべて一覧表示されます。監査ログの 95 個のアトリビュートの一覧については、「監査ログのアトリビュート」を参照してください。

表10-2 に、各監査ログの説明を示します。

 

表10-2 監査ログの説明

ログ
説明および関連項目

ACS Backup and Restore

ACS システム情報がバックアップおよび復元された日時とアクションが正常に実行されたかどうかを一覧表示します。

スケジュールまたはバックアップファイルと復元ファイルの場所の変更については、「ACS バックアップ」「ACS システムの復元」を参照してください。

RDBMS Syncronization

RDBMS データベースが同期化された時刻、および同期が手動によるものかスケジュールされたものかどうかを一覧表示します。

RDBMS 同期化スケジュールの変更については、「RDBMS 同期化」を参照してください。

Database Replication

ACS 内部データベースがバックアップ サーバに複製された時刻、およびその複製が手動によるものかスケジュールされたものかを一覧表示します。

データベースの複製スケジュールの変更については、「ACS 内部データベースの複製」を参照してください。

Administration Audit

ユーザの追加、グループの編集、AAA クライアントの設定、またはレポートの表示など、各システム管理者の行ったアクションを記録します。

User Password Changes

パスワードの変更に使用された方式に関係なく、ユーザによって実行されたユーザ パスワード変更を記録します。したがってこのログには、TACACS+ を使用するネットワーク デバイス上で、ACS Authentication Agent、User Changeable Password Web インターフェイス、または Telnet セッションによって行われたパスワード変更のレコードが含まれます。このログには、ACS Web インターフェイスで管理者が実行するパスワード変更は記録されません。

ACS Service Monitoring

ACS サービスの開始時刻と停止時刻を記録します。

Appliance Administration Audit

ログイン、ログアウト、コマンドの実行などのシリアル コンソールの管理者アクティビティを一覧表示します。

関連項目

「ACS ログの設定」

「CSV レポートの表示とダウンロード」

ACS ロギングの形式とターゲット

ACS の ロガー は、AAA 関連ログと監査ログを、異なる形式で、異なるターゲットに記録するためのロギング インターフェイスを提供します。次のロガーを使用できます。

「CSV ロガー」

「syslog ロガー」

「ODBC ロガー(ACS for Windows のみ)」

「ACS for Windows のリモート ロギング」

「ACS リモート エージェントによる ACS SE のリモート ロギング」

ACS を設定して、複数のロガーに情報を記録することができます。ログ設定の詳細については、「ACS ログの設定」を参照してください。

アカウンティング ログに クリティカル ロガー を設定して、これらのログが少なくとも 1 つのロガーに確実に配信されるようにできます。詳細については、「クリティカル ロガーの設定」を参照してください。

CSV ロガー

CSV ロガーは、カンマ(,)で区切られたカラム単位でロギング アトリビュートのデータを記録します。この形式のファイルは、Microsoft Excel や Microsoft Access など、さまざまなサードパーティ製アプリケーションに簡単にインポートできます。このようなサードパーティ製アプリケーションに CSV ファイルのデータをインポートすると、グラフを作成したり、クエリーを実行したりすることにより、所定の期間にユーザがネットワークにログインしていた時間を確認することができます。Microsoft Excel などのサードパーティ製アプリケーションでの CSV ファイルの使用方法については、サードパーティ ベンダーから供給されるマニュアルを参照してください。


ヒント たとえば、Word や Excel などのプログラムにインポートする場合など、言語やロケールによっては CSV ファイルを正しく処理できないことがあります。必要に応じて、カンマ(,)をセミコロン(;)に置き換えてください。


ACS サーバのハード ドライブにある CSV ファイルにアクセスするか、Web インターフェイスから CSV ファイルをダウンロードすることができます。

CSV ログ ファイルの場所

デフォルトでは、ACS は、ログに固有なディレクトリにログ ファイルを保存します。CSV ログのログ ファイルの場所は設定することができます。すべてのログのデフォルト ディレクトリは、 sysdrive :\Program Files\CiscoSecure ACS v x.x にあります。特定のログを格納するこの場所のサブディレクトリについては、 表10-3 を参照してください。

 

表10-3 デフォルトの CSV ログ ファイルの場所

ログ
デフォルトの場所

TACACS+ Accounting

Logs\TACACS+Accounting

CSV TACACS+ Administration

Logs\TACACS+Administration

CSV RADIUS Accounting

Logs\RADIUS Accounting

CSV VoIP Accounting

Logs\VoIP Accounting

CSV Failed Attempts

Logs\Failed Attempts

Passed Authentications

Logs\Passed Authentications

ACS Backup and Restore

Logs\Backup and Restore

RDBMS Synchronization

Logs\DbSync

RDBMS Synchronization

Logs\DBReplicate

Administration Audit

Logs\AdminAudit

User Password Changes

CSAuth\PasswordLogs

ACS Active Service Monitoring

Logs\ServiceMonitoring

CSV ログのサイズと保持

各 CSV ログは、個別のログ ファイルに書き込まれます。ログ ファイルのサイズが 10 MB に到達すると、新しいログ ファイルへの書き込みが開始されます。ACS は各 CSV ログについて最新の 7 ファイルを保持します。

関連項目

「CSV ログの設定」

「CSV レポートの表示とダウンロード」

syslog ロガー

ACS の syslog ロガーは、標準の syslog 形式をサポートしています。任意のレポートのログ データを 2 つまでの syslog サーバに送信できます。syslog サーバは、レポートごとに個別に設定します。syslog を使用することにより、複数の ACS からのデータを集中させることができます。

ACS syslog ロギングは、標準の syslog プロトコル(RFC 3164)に従います。メッセージは、非セキュアな UDP ポートを使用することによって、データを暗号化せずに syslog サーバにコネクションレスで送信されます。


) syslog プロトコルには配信を保証するメカニズムが組み込まれておらず、基盤となる転送プロトコルが UDP であるため、メッセージの配信は保証されていません。


syslog メッセージ形式

ACS syslog メッセージの内容の形式は次の通りです。

<n> mmm dd hh:mm:ss XX:XX:XX:XX TAG msg_id total_seg seg# A1=V1
 

説明

<n>:メッセージのプライオリティ値。syslog メッセージのファシリティとシビラティの組み合せです。プライオリティ値は、まず ファシリティ 値を 8 倍し、それを シビラティ 値に加算することにより、RFC 3164 に従って計算されます。

ACS syslog メッセージには、次のファシリティ値が使用されます。

4(Auth):セキュリティと認可のメッセージ。この値は、すべての AAA 関連メッセージ(失敗した試行、成功した試行、アカウンティングなど)で使用されます。

13(System3):ログ監査。この値は、他のすべての ACS レポート メッセージで使用されます。

すべての ACS syslog メッセージには、シビラティ値として 6(Info)が使用されます。

たとえば、ファシリティ値が 13 でシビラティ値が 6 の場合は、プライオリティ値が 110((8 x 13) + 6) となります。プライオリティ値は、syslog サーバのセットアップに従って表示され、次のいずれかで表示されます。

System3.Info

<110>


) syslog ファシリティとシビラティの形式は、ACS では設定できません。


mmm dd hh:mm:ss:メッセージの日時。

XX:XX:XX:XX:この syslog メッセージを生成しているマシンの IP アドレス。

TAG:ACS レポート名を表す値。

CisACS_01_PassedAuth:Cisco ACS Passed Authentications

CisACS_02_FailedAuth:Cisco ACS Failed Attempts

CisACS_03_RADIUSAcc:Cisco ACS RADIUS Accounting

CisACS_04_TACACSAcc:Cisco ACS TACACS+ Accounting

CisACS_05_TACACSAdmin:Cisco ACS TACACS+ Administration

CisACS_06_VoIPAcc:Cisco ACS VoIP Accounting

CisACS_11_BackRestore:Cisco ACS Backup and Restore ログ メッセージ

CisACS_12_Replication:Cisco ACS Database Replication ログ メッセージ

CisACS_13_AdminAudit :Cisco ACS Administration Audit ログ メッセージ

CisACS_14_PassChanges:Cisco ACS User Password Changes ログ メッセージ

CisACS_15_ServiceMon:Cisco ACS Service Monitoring ログ メッセージ

CisACS_16_RDBMSSync:Cisco ACS RDBMS Synchronization Audit ログ メッセージ

CisACS_17_ApplAdmin:Cisco ACS Appliance Administration Audit ログ メッセージ

msg_id:一意のメッセージ ID。1 つのメッセージのすべてのセグメントは同じメッセージ ID を共有します。

total_seg:このメッセージのセグメント合計数。詳細については、「syslog のメッセージ長の制限」を参照してください。

seg#:このメッセージ セグメンテーション内のセグメント シーケンス番号。詳細については、「syslog のメッセージ長の制限」を参照してください。

A1=V1:Cisco ACS ログ メッセージおよびメッセージ自体にデリミタとしてカンマを入れたアトリビュート値のペア。

syslog のメッセージ長の制限

ACS syslog メッセージの最大長を設定できます。最大メッセージ長は、標準 syslog サーバに送信するメッセージの場合は 1,024 バイトにすることをお勧めしますが、設定はターゲット サーバの仕様に対応させる必要があります。

ヘッダーとデータを含めた ACS メッセージの長さが syslog の標準長の制限またはターゲットの長さ制限を超過すると、メッセージの内容は数個のセグメントに分割されます。

メッセージは、アトリビュート値のペア間で分割され、セグメント内でのアトリビュート値ペアは可能な限り完全な状態に保たれます。各セグメントはデリミタのカンマ(,)で終わり、次のセグメントはヘッダーで始まり、その後に次のアトリビュート値ペアが続きます。

同じメッセージのすべてのセグメントには、同じヘッダーがあります。<msg_id> と <total_seg> の値は、すべてのセグメント間で共有されます。<seg#> は、セグメントの順序に従って設定されます。

syslog ログのイネーブル化と設定の詳細については、「syslog ロギングの設定」を参照してください。

関連項目

「syslog ロギングの設定」

ODBC ロガー(ACS for Windows のみ)

次のトピックでは、ODBC ロギングと、ACS で ODBC ログを設定する前に行う作業について説明します。

「ODBC ロギングについて」

「ODBC ロギングの準備」

ODBC ロギングについて

Open DataBase Connectivity(ODBC; 開放型データベース接続)ロガーにより、ログあたり 1 つのテーブルにログ単位でデータが格納されている ODBC 準拠リレーショナル データベースにログを直接記録することができます。データをリレーショナル データベースにエクスポートした後は、データを必要に応じて使用できます。リレーショナル データベースでデータを問い合せる方法の詳細については、リレーショナル データベース ベンダーが提供するマニュアルを参照してください。

ODBC ロギングの準備

ACS で ODBC ログを設定する前に、次の手順を実行する必要があります。

1. ロギング データのエクスポート先となるリレーショナル データベースをセットアップします。詳細については、使用するリレーショナル データベースのドキュメントを参照してください。

2. ACS を実行しているコンピュータで、ロギング データを保存するリレーショナル データベースと通信を行うACS のシステム データ ソース名(DSN)をセットアップします。

ODBC ロギングで使用するシステム DSN をセットアップするには、次の手順を実行します。


ステップ 1 Windows のコントロール パネルで、 ODBC Data Sources をダブルクリックします。

ステップ 2 ODBC Data Source Administrator ページで、 System DSN タブをクリックします。

ステップ 3 Add をクリックします。

ステップ 4 新しい DSN で使用するドライバを選択してから、 Finish をクリックします。

ダイアログボックスが開き、選択した ODBC ドライバ固有の情報を入力するためのフィールドが表示されます。

ステップ 5 Data Source Name ボックスに、DSN の説明的な名前を入力します。

ステップ 6 選択した ODBC ドライバで必要な他のフィールドすべてに入力します。これらのフィールドには、たとえば、ODBC 準拠のリレーショナル データベースが稼働するサーバの IP アドレスが含まれています。

ステップ 7 OK をクリックします。

ステップ 8 ODBC ウィンドウと Windows のコントロール パネルを閉じます。

ACS がリレーショナル データベースとの通信で使用するシステム DSN が、ACS を実行しているコンピュータに作成されます。DSN に指定した名前が、ODBC ログの各設定ページの Data Source リストに表示されます。


 

関連項目

「ODBC ログの設定(ACS for Windows のみ)」

ACS for Windows のリモート ロギング

リモート ロガーを使用して、複数の ACS が生成する AAA 関連ログと監査ログを集中させることができます。各 ACS を設定して、リモート ロガー サーバとして使用する ACS を 1 つ以上指定することができます。リモート ロギング ACS は引き続き AAA 機能を実行しますが、受信するログのリポジトリとしても機能します。

ACS は、リモート ロギング機能により、リモート ロギング サーバの CSLog サービスにデータを直接送信できます。データはそのサーバのログに書き込まれます。リモート ロギング サーバは、データの送信元である ACS のローカル ロギング設定に関係なく、使用するように設定されている形式でログを生成します。

ACS は、TCP ポート 2001 でリモート ロギング通信を傍受します。リモート ロギング データは、独自の 128 ビット アルゴリズムによって暗号化されます。


) リモート ロギング機能は、プロキシ処理された認証要求のデータの転送には影響しません。ACS では、プロキシにより認証されたセッションのデータがローカルでロギングされる場合には、プロキシが認証するセッションのデータにのみリモート ロギング設定を適用します。プロキシ処理された認証要求およびプロキシにより認証されたセッションのデータに関する詳細については、「Proxy Distribution Table の設定」を参照してください。



) ACS で双方向にリモート ロギングを設定しないでください。たとえば、ACS_SERVER_1 がリモート ロガーとして ACS_SERVER_2 を参照し、ACS_SERVER_2 が リモート ロガーとして
ACS_SERVER_1 を参照している状態にはしないでください。


関連項目

「リモート ロギングの設定とイネーブル化(ACS for Windows のみ)」

ACS リモート エージェントによる ACS SE のリモート ロギング

リモート ロギング機能により、ACS は 1 つ以上の ACS リモート エージェントにデータを送信できます。リモート エージェントはネットワーク上のコンピュータで動作します。リモート エージェントは、ACS が送信したデータを CSV ファイルに書き込みます。多数の ACS SE が 1 つのリモート エージェントをポイントするように設定できるので、リモート エージェントを実行しているコンピュータを中央ロギング サーバにできます。

ACS リモート エージェントのインストールと設定の詳細については、『 Installation and Configuration Guide for Cisco Secure ACS Remote Agents Release 4.2 』を参照してください。


) リモート ロギング機能は、プロキシ処理された認証要求のデータの転送には影響しません。ACS は、プロキシにより認証されたセッションのアカウンティング データがローカルでロギングされる場合には、プロキシによって認証されるセッションのデータに対してのみリモート ロギング設定を適用します。プロキシ処理された認証要求およびプロキシにより認証されたセッションのデータに関する詳細については、「Proxy Distribution Table の設定」を参照してください。


アカウンティング データをリモート エージェント サーバに送信する ACS SE の数に関係なく、リモート エージェントはその設定を 1 つの ACS SE から受信します。この ACS は、リモート エージェントの設定プロバイダーです。次の内容を決定します。

リモート エージェントが保持するログ。

保存されている各ログに記録するデータ。

リモート エージェントがログ ファイルを管理する方法。

関連項目

「リモート エージェントへのロギングの設定(ACS SE のみ)」

ダイナミック管理レポート

このレポートは、ACS Web インターフェイスでこのレポートにアクセスした時点でのユーザ アカウントのステータスを示します。このレポートは、Web インターフェイスだけで利用でき、常にイネーブルで、設定を必要としません。

表10-4 に、ACS 管理レポートの説明を示します。

 

表10-4 ダイナミック管理レポートの説明

レポート
説明および関連項目

Logged-In Users

単一の AAA クライアントまたは全 AAA クライアントのサービスを受信しているすべてのユーザを一覧表示します。特定の AAA クライアントまたはすべての AAA クライアントからログイン ユーザを削除できます。

Cisco Aironet Access Point 上のファームウェア イメージがキー再生成の認証用の RADIUS Service-Type アトリビュートの送信をサポートしている場合、Cisco Aironet 装置を使用してネットワークにアクセスしているユーザは、現在関連付けられているアクセス ポイントのリストに表示されます。

マシンの認証を実行するよう設定されているコンピュータでは、コンピュータの起動時にマシンの認証が行われます。コンピュータ起動すると、ユーザがそのコンピュータにログインする前に、ACS Web インターフェイスの Reports and Activity セクションにある Logged-In Users List にそのコンピュータが表示されます。ユーザの認証が開始されると、コンピュータは Logged-In Users List に表示されなくなります。マシン認証の詳細については、「EAP および Windows 認証」を参照してください。


) ログイン ユーザのリスト機能を使用するには、認証とアカウンティングを同一プロトコル(TACACS+ または RADIUS のどちらか一方)で実行するように AAA クライアントを設定する必要があります。


Web インターフェイスでの Logged-in User レポートの表示、およびログイン ユーザの削除の詳細については、「Logged-in Users レポートの表示」を参照してください。

Disabled Accounts

無効になっているすべてのユーザ アカウントおよび無効になった理由を一覧表示します。それらのアカウントは、手動でディセーブルにされたか、または User Setup セクションで定義されたエージング情報に基づいて自動的にディセーブルにされた可能性があります。

Web インターフェイスで Disable Accounts レポートを表示する方法については、「Disabled Accounts レポートの表示」を参照してください。

Appliance Status

ACS SE のリソースの利用率についての情報を示します。また、ACS SE の IP 設定とそのネットワーク インターフェイス カードの MAC アドレスについての情報も表示されます。

Web インターフェイスで Appliance Status レポートを表示する方法については、「Appliance Status レポートの表示」を参照してください。

関連項目

「ダイナミック管理レポートの表示」

エンタイトルメント レポート

これらのレポートは、管理者特権とグループへのユーザ マッピングについての情報を提供します。これらのレポートは、すべて CSV 形式のテキスト ファイルとしてダウンロードできます。個々の管理者のレポートは、ACS Web インターフェイスに表示できます。エンタイトルメント レポートは、常にイネーブルにされており、設定は不要です。

表10-5 に、ACS のエンタイトルメント レポートの説明を示します。

 

表10-5 エンタイトルメント レポートの説明

レポート
説明および関連項目

ユーザ エンタイトルメント

ユーザ エンタイトルメント レポートでは、ユーザとグループのマッピング情報を提供します。このレポートには、すべてのユーザとそのグループ、関連する場合は Network Access Profile(NAP; ネットワーク アクセス プロファイル)、およびマッピング タイプ(スタティックまたはダイナミック)が一覧表示されます。このレポートは CSV 形式でダウンロードできますが、サイズが大きくなる可能性があるため、ACS Web インターフェイスには表示できません。

管理者エンタイトルメント

管理者エンタイトルメント レポートには、次の 2 つのタイプがあります。

すべての管理者の特権レポート:各管理者の特権を一覧表示します。このレポートは CSV 形式でダウンロードできますが、サイズが大きくなる可能性があるため、ACS Web インターフェイスには表示できません。

個々の管理者の特権レポート:選択した管理者の特権を一覧表示します。個々の管理者のレポートは、ACS Web インターフェイスで表示したり、CSV 形式のテキスト ファイルとしてダウンロードしたりすることができます。

関連項目

「エンタイトルメント レポートの表示とダウンロード」

サービス ログ

サービス ログは、診断用ログとして扱われ、トラブルシューティングやデバッグ目的に限定して使用されます。これらのログは、ACS 管理者の一般的使用を目的としていません。これらのサービス ログは、シスコ サポート要員の主な情報源となります。サービス ログには、ACS サービスの動作とアクティビティのすべての記録が含まれます。サービス ログがイネーブルになっている場合は、サービスを使用しているかどうかにかかわらず、各サービスが実行中のときに必ずログが生成されます。たとえば、ネットワークで RADIUS プロトコルを使用していない場合でも、RADIUS サービス ログは生成されます。ACS サービスの詳細については、 第 1 章「概要」 を参照してください。

サービス ログ ファイルは、該当するサービスのディレクトリの \Logs サブディレクトリにあります。たとえば、ACS 認証サービスのデフォルト ディレクトリは次のとおりです。

c:\Program Files\CiscoSecure ACS vx.x\CSAuth\Logs

ロギングされるサービス

ACS は、次のサービスに対してログを生成します。

CSAdmin

CSAuth

CSDBSync

CSLog

CSMon

CSRadius

CSTacacs

最新のデバッグ ログには、次の名前が付けられます。

SERVICE.log

ここで、 SERVICE には該当するサービスを表す名前が表示されます。たとえば auth は、 CSAuth サービスを表します。

これより古いデバッグ ログには、作成年月日でファイル名が付けられます。たとえば、1999 年 7 月 13 日に作成されたファイルは次のファイル名になります。

SERVICE 1999-07-13.log

ここで、 SERVICE には該当するサービスを表す名前が表示されます。

Day/Month/Year の形式を選択する場合は、次のファイル名になります。

SERVICE 13-07-1999.log

日付形式の変更については、「日付形式と時刻形式の制御」を参照してください。

関連項目

「サービス ログの設定」

CSAuth 診断ログへのセッション ID の追加

ACS では、 CSAuth 診断ログのセッション ID パラメータがサポートされています。 CSAuth 診断ログでは、セッション データ構造を使用してアクティブな各認証セッションを追跡します。ACS サービスでは、セッション ID でこれらの構造を参照します。一意のセッション ID を使用して CSAuth 診断ログのログ スレッドを区別できます。

例10-1 では、ネットワーク モデル スレッドで 2 つの異なるスレッド(2560、2548)を使用してセッション ID 1000 が処理されています。セッション ID でログをフィルタリングし、各セッションの出力を制限できます。

例10-1 CSAuth 診断ログとセッション ID

AUTH 09/08/2006 18:29:57 I 5081 2560 1000 Start RQ1040, client 1 (127.0.0.1)
AUTH 09/08/2006 18:30:13 I 5094 2548 Worker 1 processing message 17.
AUTH 09/08/2006 18:30:14 I 0991 2368 0000 pvNASMonitorThreadMain: start NM
update ...
AUTH 09/08/2006 18:30:14 I 1006 2368 0000 pvNASMonitorThreadMain: commit NM
update ...
AUTH 09/08/2006 18:30:14 I 5081 2560 1000 Done RQ1040, client 1, status 0
AUTH 09/08/2006 18:30:14 I 1011 2368 0000 pvNASMonitorThreadMain: succeeded
to commit NM update
AUTH 09/08/2006 18:30:28 I 5081 2548 1000 Start RQ1012, client 2 (127.0.0.1)
AUTH 09/08/2006 18:30:28 I 5081 2548 1000 Done RQ1012, client 2, status 0

) ACS 診断ログの session ID フィールドを追加するには、各認証セッションで少なくとも 1 行あたり 8 バイトのオーバーヘッドが必要になります。


別の認証セッションでも同じセッション ID を使用します。このことは、診断ログでは、複数のセッションで同じセッション ID が表示される可能性があることを意味します。各認証セッションで一意のセッション ID を使用することをお勧めします。セッション ID は最大 120 秒間保持されます。

CSAuth 診断ログのエラー コードの説明

CSAuth 診断ログには、クライアントの要求と応答の説明が表示されます。ACS の以前のバージョンでは、クライアントの要求と応答に数値コードを使用していました。説明は、 CSAuth 診断ログにあるクライアントの要求と応答を特定するのに役立ちます。

次に CSAuth 診断ログ エントリの例を 2 つ示します。例10-2 は、以前のバージョンの CSAuth 診断ログのエントリを表しています。例10-3 は、このリリースの CSAuth 診断ログでエントリがどのように表示されるかを表しています。

例10-3 では、次のように CSAuth 診断ログが表示されます。

最初の例の要求コード RQ1026 が UDB_AUTHENTICATE_USER に置き換えられます。

最初の例のステータス コード 2046 が UDB_CHALLENGE_REQUIRED に置き換えられます。

例10-2 CSAuth 診断ログ エントリ

AUTH 09/11/2006 09:55:27 I 5081 2512 Done RQ1026, client 50, status -2046

例10-3 CSAuth 診断ログ エントリ(説明テキスト付き)

AUTH 09/11/2006 09:55:27 I 5081 2512 Done UDB_AUTHENTICATE_USER, client 50, status
UDB_CHALLENGE_REQUIRED
 

CSAuth 診断ログの要求の説明テキスト

表10-6 および表10-7 に、 CSAuth 診断ログに表示される要求およびステータスの説明テキストの一覧を示します。

表10-6 に、 CSAuth 診断ログの説明テキストおよび対応する要求コードの一覧を示します。

 

表10-6 要求の説明テキストおよび要求コード

要求のテキスト
要求コード

UDB_BASE_CMD

1000

UDB_HAIL

1001

UDB_OPEN

1002

UDB_CLOSE

1003

UDB_GOODBYE

1004

UDB_PING

1005

UDB_REFRESH

1006

UDB_REFRESH_EX

1007

UDB_RESET_HOST_CACHE

1008

UDB_USER_ADD

1010

UDB_USER_REMOVE

1011

UDB_VALID_USER

1012

UDB_USER_ENUM_BY_GROUP

1013

UDB_CHANGE_PASSWORD

1014

UDB_SET_PASS_STATUS

1015

UDB_GET_PASS_STATUS

1016

UDB_USER_ENUM

1017

UDB_USER_GET_INFO

1018

UDB_USER_PAP_CHECK

1019

UDB_USER_PROF_ASSIGN

1020

UDB_USER_PROF_COUNT

1021

UDB_USER_PROF_GET

1022

UDB_USER_CHAP_CHECK

1023

UDB_USER_CHECK_EXPIRY

1024

UDB_USER_SET_INFO

1025

UDB_AUTHENTICATE_USER

1026

UDB_SEND_RESPONSE

1027

UDB_SET_PASSWORD

1028

UDB_USER_LOCN_CHECK

1029

UDB_SET_VALUE

1030

UDB_GET_VALUE

1031

UDB_GET_NEXT_VALUE

1032

UDB_DEL_VALUE

1033

UDB_FIND_VALUE

1034

UDB_GET_VALUE_BY_NAME

1035

UDB_LOG

1040

UDB_SET_APPDATA

1041

UDB_GET_APPDATA

1042

UDB_DEL_DB

1043

UDB_AVERT_LOG

1044

UDB_DIR_CREATE

1050

UDB_FILE_CREATE

1051

UDB_FILE_WRITE

1052

UDB_FILE_READ

1053

UDB_FILE_CLOSE

1054

UDB_FILE_EXISTS

1055

UDB_FILE_APPEND

1056

UDB_FILE_SET_PTR

1057

UDB_USER_LIST_ADD

1070

UDB_USER_LIST_DEL

1071

UDB_USER_LIST_GET

1072

UDB_USER_LIST_COUNT

1073

UDB_USER_LIST_UPDATE

1074

UDB_USER_ALIAS_SET

1080

UDB_USER_ALIAS_DEL

1081

UDB_USER_ALIAS_VALID

1082

UDB_START_TRANSACTION

1090

UDB_END_TRANSACTION

1091

UDB_KICK_SYNC_TX

1092

UDB_KICK_SYNC_RX

1093

UDB_EXCHANGE_SYNC_INFO

1094

UDB_AQUIRE_IP_ADDRESS

1095

UDB_VALIDATE_PASSWORD

1096

UDB_EXTRACT_AGING_DATA

1097

UDB_AUTH_FAILED

1098

UDB_RESET_USER_PASSWORD_AGING_DATA

1099

UDB_GET_AGING_INFO

1100

UDB_DO_BACKUP_NOW

1101

UDB_AQUIRE_CALLBACK

1102

UDB_GET_AGING_LIMIT

1103

UDB_PURGE_NAS

1104

UDB_SEND_FAKE_STOPS

1105

UDB_SERVICE_CONTROL

1106

UDB_RESET_GROUP

1107

UDB_SET_ENABLE_PASS_STATUS

1108

UDB_UPDATE_AGING_POLICY

1109

UDB_ADD_HOST

1110

UDB_DEL_HOST

1111

UDB_GET_HOST

1112

UDB_UPDATE_HOST

1113

UDB_ADD_PROXY

1114

UDB_DEL_PROXY

1115

UDB_ADD_PROXY_TARGET

1116

UDB_ADD_NDG

1117

UDB_DEL_NDG

1118

UDB_GET_NDG_ID

1119

UDB_SET_USER_FEATURE_FLAG

1120

UDB_GET_USER_COUNTER

1121

UDB_RESET_USER_COUNTER

1122

UDB_RESET_GROUP_USERS_COUNTER

1123

UDB_GET_FIRST_QUOTA_TYPE

1124

UDB_GET_NEXT_QUOTA_TYPE

1125

UDB_SET_QUOTA

1126

UDB_HAS_USER_QUOTA_EXHAUSTED

1127

UDB_SHARED_PROFILE

1128

UDB_ADD_UDV

1140

UDB_DEL_UDV

1141

UDB_GET_VID_FROM_IETF

1142

UDB_ADD_UDV_VSA

1143

UDB_ADD_UDV_VSA_ENUM

1144

UDB_ADD_UDV_VSA_PROFILE

1145

UDB_SET_REP_DIRTY_FLAG

1150

UDB_USER_COMMIT_NOW

1151

UDB_POLICY_CREATE_CONTEXT

1152

UDB_USER_REMOVE_DYNAMIC

1153

表10-7 に、 CSAuth 診断ログの説明テキストおよび対応するステータス コードの一覧を示します。

 

表10-7 ステータスの説明テキストおよび要求コード

ステータスの説明
ステータス コード

UDB_BASE_ERR

1000

UDB_DB_NOT_OPEN

1001

UDB_INVALID_ENTRY

1002

UDB_CANT_CREATE_MAP

1003

UDB_CANT_CREATE_VIEW

1004

UDB_CANT_OPEN_INDEX

1005

UDB_DB_IS_OPEN

1006

UDB_SIZE_MISMATCH

1007

UDB_CANT_OPEN_FILE

1008

UDB_CRC_FAILED

1009

UDB_CANT_INIT_INDEX

1010

UDB_INVALID_DATA

2011

UDB_CANT_GROW_FILE

1012

UDB_USER_INVALID

2013

UDB_DUPLICATE_NAME

1014

UDB_INVALID_PASSWORD

2015

UDB_IPC_DATA_INVALID

1016

UDB_FEATURE_NOT_READY

1017

UDB_SERVER_BUSY

1018

UDB_REGISTRY_READ_FAIL

1019

UDB_UNKNOWN_VARIABLE

2020

UDB_NO_FILE_HANDLES

1021

UDB_DIR_CREATE_FAILED

1022

UDB_FILE_WRITE_FAILED

1023

UDB_FILE_READ_FAILED

1024

UDB_INVALID_DIR_NAME

1025

UDB_INVALID_FILE_NAME

1026

UDB_MALLOC_FAIL

1027

UDB_INVALID_HANDLE

1028

UDB_USER_NOT_OWNER

1029

UDB_CANT_REBUILD_INDEX

1030

UDB_CANT_REMOVE_OLD_DB

1031

UDB_USER_REMOVED

2032

UDB_NO_VARIABLE

1033

UDB_PASSWORD_DISABLED

2034

UDB_FILE_SET_PTR_FAILED

1035

UDB_USER_LICENCE_LIMIT

1036

UDB_APP_NOT_LICENSED

1037

UDB_BAD_SECRET

1038

UDB_DB_VERSION_MISMATCH

1039

UDB_DIR_REMOVE_FAILED

1040

UDB_CANT_ASSIGN_PROFILE

1041

UDB_LOGGER_OFFLINE

1042

UDB_CANT_ACCESS_USERLIST

1043

UDB_SESSION_COUNT_EXCEEDED

2044

UDB_PASSWORD_REQUIRED

2045

UDB_CHALLENGE_REQUIRED

2046

UDB_NO_SESSION

1047

UDB_INTERNAL_ERROR

1048

UDB_BAD_TODDOW

2049

UDB_CANT_LOCK_RECORD

1050

UDB_NT_DIALIN_REQUIRED

2051

UDB_NT_PW_WRONG

2052

UDB_NT_AC_RESTRICTED

2053

UDB_NT_TOD_DOW

2054

UDB_NT_PW_EXPIRED

2055

UDB_NT_AC_DISABLED

2056

UDB_NT_BAD_WORKSTATION

2057

UDB_NT_UNKNOWN_ERR

1058

UDB_NT_PASS_CHANGE

2059

UDB_NT_NO_DOMAIN

2060

UDB_NT_AC_LOCKED

2061

UDB_NT_NO_BROWSER

2062

UDB_INVALID_CHAP_PW

2063

UDB_INVALID_ARAP_PW

2064

UDB_INVALID_TOKEN_PW

2065

UDB_INVALID_UNIX_PW

2066

UDB_TOKEN_SERVER_DOWN

1067

UDB_USER_CLI_FILTERED

2068

UDB_NO_SENDAUTH_PW

1069

UDB_NO_TOKENSRV

1070

UDB_NT_NO_LOGON_NOT_GRANTED

2071

UDB_CANT_START_TRANSACTION

1072

UDB_VARDB_NOT_OPEN

1073

UDB_NOT_IN_CACHE

1074

UDB_CANT_OPEN_ODBC_DB

1075

UDB_DLL_MISMATCH

1076

UDB_NOT_INSTALLED

1077

UDB_CHAP_ENFORCED

2078

UDB_ACCESS_DENIED

2079

UDB_REPLICATION_DENIED

1080

UDB_FAILED_TO_AQUIRE_IP_ADDR

1081

UDB_PASSWORD_DEAD

2082

UDB_PASSWORD_STATE_NOT_ACCESSIBLE

1083

UDB_PASSWORD_AGE_CHECK_FAILED

1084

UDB_NEW_PASSWORD_NOT_GOOD

2085

UDB_FAILED_TO_EXTRACT_DATA

1086

UDB_EXTERN_DB_ERROR

2087

UDB_BACKUP_FAILED_TO_START

1088

UDB_FAILED_TO_AQUIRE_CALLBACK

1089

UDB_FAILED_TO_PERFORM_SERVICE_OP

1090

UDB_TIME_OUT_WAITING_TO_START_AUTH

1091

UDB_AUTH_NOT_SUPPORTED_BY_EXT_DB

2092

UDB_CACHED_TOKEN_REJECTED

2093

UDB_TOKEN_PIN_CHANGED

2094

UDB_INVALID_MSCHAP_PW

2095

UDB_INVALID_EXT_CHAP_PW

2096

UDB_INVALID_EXT_ARAP_PW

2097

UDB_INVALID_EXT_MSCHAP_PW

2098

UDB_INVALID_EXT_USER

2099

UDB_NT_AC_EXPIRED

2100

UDB_AUTH_DENIED_DUE_TO_VOIP

2101

UDB_MALFORMED_USERNAME

2102

UDB_CANT_OPEN_HOST_DB

1103

UDB_CANT_OPEN_PROXY_DB

1104

UDB_CANT_OPEN_NDG_DB

1105

UDB_HOST_DB_FAILURE

1106

UDB_PROXY_DB_FAILURE

1107

UDB_NDG_DB_FAILURE

1108

UDB_INVALID_COUNTER_TYPE

1109

UDB_EXTERN_DB_TRANSIENT_ERROR

1110

UDB_INVALID_QUOTA_INDEX

1111

UDB_USAGE_QUOTA_EXCEEDED

2112

UDB_NT_CHANGE_PASS_FAILED

2113

UDB_CANT_LOAD_DLL

1114

UDB_EXTN_DLL_REJECTED

2115

UDB_INVALID_EXT_EAP_PW

2116

UDB_EAP_METHOD_NOT_SUPPORTED

2117

UDB_EAP_TLS_PASS_HS_USER_NOT_FOUND

2118

UDB_EAP_NO_MATCH_NAME_IN_CERT

2119

UDB_EAP_TLS_HANDSHAKE_FAILED

2120

UDB_EAP_IGNORE

2121

UDB_SUPPLIER_NOT_CONFIGURED

2122

UDB_UDV_CONFIG_ERROR

1123

UDB_USER_FOUND

2124

UDB_USER_NOT_FOUND

2125

UDB_EAP_FAILED

1126

UDB_MISSING_MPPE_DATA

2127

UDB_EAP_MACHINE_AUTH_DISABLED

2128

UDB_NT_NO_REMOTE_AGENT

2129

UDB_EAP_FAST_PAC_PROVISIONING

2130

UDB_EAP_FAST_USER_AND_IID_NOT_MATCH

2131

UDB_EAP_FAST_PAC_INVALID

2132

UDB_EAP_FAST_INBAND_NOT_ALLOWED

2133

UDB_EAP_FAST_INVALID_MASTER_KEY

2134

UDB_GROUP_DISABLED

2135

UDB_AVERT_NO_MAPPING

2136

UDB_EAP_PASSWORD_CHANGE_DISABLED

2137

UDB_AVERT_PROCEED_TO_UUP

2138

UDB_AVERT_LOCAL_POLICY_FAILED

2139

UDB_AVERT_EX_POLICY_FAILED

2140

UDB_AVERT_GENERAL_FAILURE

2141

UDB_ACCESS_DENIED_FAST_REC_NO_USER

2142

UDB_ACCESS_DENIED_MAR_RESTRICTION

2143

UDB_AVERT_UNKNOWN_ATTRIBUTE

2144

UDB_AUTH_PROTOCOL_NOT_ALLOWED

2145

UDB_EAP_FAST_ANON_INBAND_NOT_ALLOWED

2146

UDB_AUDIT_BAD_RESPONSE

2147

UDB_AUDIT_TOO_MANY_ROUND_TRIPS

2148

UDB_POSTURE_VALIDATION_FAILED

2149

UDB_MAC_AUTH_BYPASS_NOT_ALLOWED

2150

UDB_ACCESS_DENIED_NO_SERVICE

2151

UDB_AUTHORIZATION_REJECT

2152

UDB_PV_FAILED_NO_SERVICE

2153

UDB_LOCAL_USER_HAS_EXT_DB_AUTH

2154

UDB_SERVICE_EXT_DB_NOT_ALLOWED

2155

UDB_NT_LOGON_FAILURE

2156

UDB_MAC_AUTH_BYPASS_GROUP_DISABLE

2157

UDB_BADLY_FORMED_DACL_RQ

2158

UDB_INTERNAL_DACL_ERROR

2159

UDB_DACL_ASSIGN_ERROR

2160

UDB_INTERNAL_RAC_ERROR

2161

UDB_RAC_MISSING_ERROR

2162

UDB_AUDIT_RECIEVED_ERROR

2163

UDB_AUDIT_SERVER_UNREACHEABLE

2164

UDB_AUDIT_PARSE_ERROR

2165

UDB_EXT_POLICY_VER_ERROR

2166

UDB_EXT_POLICY_CONN_ERROR

2167

UDB_EXT_POLICY_AUTH_ERROR

2168

UDB_EXT_POLICY_TIMEOUT_ERROR

2169

UDB_ERR_PROFILE_TOO_BIG

1170

UDB_EXT_POLICY_CONN_ERROR_CA_UNKNOWN

2171

UDB_BASE_WARN

1000

UDB_ALREADY_OPEN

1001

UDB_PASSWORD_EXPIRED

1002

UDB_UNKNOWN_PASS_STATUS

1003

UDB_UDB_VALUE_OVERWRITE

1004

UDB_BUFFER_TOO_SMALL

1005

UDB_SIZE_SMALLER

1006

UDB_USER_NOT_ALIAS

1007

UDB_NO_MORE_QUOTA_TYPES

1008

診断ログの行番号

ACS 診断ログ ファイルには、エラーを生成したソース コードの正確な行番号が含まれています。以前のバージョンの ACS では、ACS 診断ログに格納されるハード コード化されたソース コードの行番号は dzlog 機能に含まれていました。

汎用 EAP コード デバッグ メッセージ

ACS では、すべての EAP デバッグ メッセージを CSAuth 診断ログに記録します。

ACS ログの設定

個々のログのロギングをイネーブル化および設定することができます。ACS は、複数のロガーの情報をログに同時に記録できます。

サービス ログのイネーブル化と設定を行うには、Service Control ページを最初に開きます。このページを表示するには、 System Configuration > Service Control を選択します。他のすべてのログおよびロガーのイネーブル化と設定を行うには、Logging Configuration ページを最初に開きます。このページを表示するには、 System Configuration > Logging を選択します。Logging Configuration ページには、現在イネーブルになっている ACS ログが表示されます。

次のトピックでは、ACS ログを設定およびイネーブル化する方法を説明します。

「クリティカル ロガーの設定」

「CSV ログの設定」

「syslog ロギングの設定」

「ODBC ログの設定(ACS for Windows のみ)」

「リモート ロギングの設定とイネーブル化(ACS for Windows のみ)」

「リモート エージェントへのロギングの設定(ACS SE のみ)」

「サービス ログの設定」

「カスタマー サポートへのサービス ログの提供」

クリティカル ロガーの設定

アカウンティング ログにクリティカル ロガーを設定して、これらのログが少なくとも 1 つのロガーへ確実に配信されるようにできます。

クリティカル ロガーを設定する場合、ACS が認証デバイスに送信する応答は、クリティカル ロガーのみに送信される関連メッセージのロギングの成功または失敗によって決まります。ACS は、他のロガーにオフストリーム(ベスト エフォートで保証されない)でメッセージを送信します。この方法の場合、認証の結果に影響はありません(Failed Attempts、Passed Authentications、および TACACS+ Administration などの他のすべての AAA 関連レポートの場合は、ロギングがオフストリームで実行され、認証の試行結果に影響はありません)。

アカウンティング レポートごとに異なるクリティカル ロガーを設定できます。各レポートのデフォルトのクリティカル ロガーは、ローカル CSV ログです。クリティカル ロガーを選択しないと、アカウンティング メッセージの配信は保証されません。


) syslog 標準によると、syslog メッセージのロギングは保証されていないため、クリティカル ロガーとして syslog ロガーを設定することはお勧めできません。


アカウンティング レポートにクリティカル ロガーを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

Logging Configuration ページが開きます。

ステップ 3 Critical Loggers Configuration をクリックします。

Critical Loggers Configuration ページが表示されます。

ステップ 4 アカウンティング レポートごとにクリティカル ロガーを選択します。クリティカル ロガーを選択する場合のオプションの詳細については、「Critical Loggers Configuration ページ」を参照してください。

ステップ 5 Submit をクリックします。

指定したクリティカル ロガーの設定が ACS に実装されます。


 


) クリティカル ロガーが選択されていても、指定したログがディセーブルになっている場合は、特定レポートのクリティカル ロガーは実装されません。


CSV ログの設定

AAA 関連ログと監査ログを CSV ロガーに記録するように、ACS を設定できます。

CSV ログを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。Logging Configuration ページが開きます。

ステップ 3 ACS Reports テーブルで、設定する CSV ログの Configure をクリックします。

CSV log File Configuration ページが表示されます。 log には選択した CSV ログの名前が表示されます。

ステップ 4 ログをイネーブルまたはディセーブルにするには、Enable Logging で、 Log to log report チェックボックスをオンまたはオフにします。 log には、選択したログの名前が表示されます。

ステップ 5 AAA 関連レポートの場合は、ログに記録するアトリビュートを設定します。アトリビュートの設定オプションの詳細については、「CSV log File Configuration ページ」を参照してください。

ステップ 6 (ACS for Windows のみ)CSV ファイルのファイル管理オプションを指定します。ファイル管理オプションの詳細については、「CSV log File Configuration ページ」を参照してください。

ステップ 7 Submit をクリックします。

指定した CSV ログ設定が ACS に実装されます。


 

関連項目

「CSV レポートの表示とダウンロード」

syslog ロギングの設定

AAA 関連ログと監査ログを syslog ロガーに記録するように、ACS を設定できます。

syslog ログを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。Logging Configuration ページが開きます。

ステップ 3 ACS Reports テーブルで、設定する syslog ログの Configure をクリックします。

log Configuration ページが表示されます。 log には選択した syslog ログの名前が表示されます。

ステップ 4 ログをイネーブルまたはディセーブルにするには、Enable Logging で、 Log to log report チェックボックスをオンまたはオフにします。 log には、選択したログの名前が表示されます。

ステップ 5 AAA 関連レポートの場合は、ログに記録するアトリビュートを設定します。アトリビュートの設定オプションの詳細については、「Syslog log Configuration ページ」を参照してください。

ステップ 6 syslog メッセージの送信先にする syslog サーバを設定します。syslog サーバの設定オプションの詳細については、「Syslog log Configuration ページ」を参照してください。

ステップ 7 Submit をクリックします。

指定した syslog ログ設定が ACS に実装されます。


 

ODBC ログの設定(ACS for Windows のみ)

AAA 関連ログと監査ログを ODBC ロガーに記録するように ACS を設定できます。SQL create table 文は、ACS で ODBC ログの設定を行う前後に設定できます。


) ODBC ログを設定する前に、ODBC ロギングの準備をする必要があります。詳細については、「ODBC ロギングの準備」を参照してください。


ODBC ログを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。Logging Configuration ページが開きます。

ステップ 3 ACS Reports テーブルで、設定する ODBC ログの Configure をクリックします。

ODBC log Configuration ページが表示されます。 log には、選択した ODBC ログの名前が表示されます。

ステップ 4 ログをイネーブルまたはディセーブルにするには、Enable Logging で、 Log to log report チェックボックスをオンまたはオフにします。 log には、選択したログの名前が表示されます。

ステップ 5 AAA 関連レポートの場合は、リレーショナル データベースに送信するアトリビュートを設定します。アトリビュートの設定オプションの詳細については、「ODBC log Configuration ページ(ACS for Windows のみ)」を参照してください。

ステップ 6 ODBC データベースと通信するように ACS を設定します。Connection Settings オプションの詳細については、「ODBC log Configuration ページ(ACS for Windows のみ)」を参照してください。

ステップ 7 Submit をクリックします。

ACS はログ設定を保存します。Logging Configuration ページが開きます。


 

SQL create table 文を設定するには、次の手順を実行します。


ステップ 1 Logging Configuration ページで、設定する ODBC ログの Configure をクリックします。

ODBC log configuration ページが開きます。

ステップ 2 SQL create table 文を表示するには、 Show Create Table をクリックします。

ACS ウィンドウの右パネルに、Microsoft SQL Server の SQL create table 文が表示されます。テーブル名は、Table Name フィールドで指定する名前です。カラム名は、Logged Attributes リストで指定されているアトリビュートです。


) 生成された SQL は、Microsoft SQL Server でのみ有効です。別のリレーショナル データベースを使用する場合は、使用するリレーショナル データベースのマニュアルで、テーブルを作成するコマンドの記述方法を参照してください。


ステップ 3 生成された SQL で提供される情報を使用して、この ODBC ログのリレーショナル データベースにテーブルを作成します。ODBC ロギングを動作させるには、テーブル名とカラム名が生成された SQL の名前と完全一致する必要があります。


 

ログをイネーブルにすると、ACS は、設定したシステム DSN を使用してユーザが作成したリレーショナル データベースへのロギング データの送信を開始します。

リモート ロギングの設定とイネーブル化(ACS for Windows のみ)

AAA 関連ログと監査ログ用に、リモート ロギングを設定できます。まずリモート ロギング サーバを設定してから、リモート ロギング サーバに情報を送信する各 ACS でリモート ロギングを設定する必要があります。

次のトピックでは、リモート ロギングのセットアップ方法を説明します。

「リモート ロギング サーバの設定」

「ACS のリモート ロガーへのデータ送信設定」

リモート ロギング サーバの設定

始める前に

すべてのロギング データを保存するリモート ロギング サーバとして使用するコンピュータに、ACS をインストールします。ACS のインストール方法については、『 Installation Guide for Cisco Secure ACS for Windows Release 4.2 』を参照してください。

データを送信する ACS とリモート ロギング ACS サーバの間にあるゲートウェイ デバイスの設定を調べ、TCP ポート 2001 を使用してリモート ロギング ACS サーバがデータを受信できるようになっていることを確認します。

リモート ロギング サーバを設定するには、次の手順を実行します。


ステップ 1 必要に応じて、個々のログを設定しイネーブルにします。リモート ロギング サーバに送信されるすべてのデータは、この ACS でのログ設定に従って記録されます。詳細については、次を参照してください。

CSV ログの設定については、「CSV ログの設定」を参照してください。

syslog ログの設定については、「syslog ロギングの設定」を参照してください。

ODBC ログの設定については、「ODBC ログの設定(ACS for Windows のみ)」を参照してください。


) リモート ロギング サーバでリモート ロギングを設定し、そのサーバから別のリモート ロギング サーバにすべてのデータを送信することができます。ただし、エンドレスのロギング ループを作成してしまう可能性があるため、このオプションを使用するときには注意が必要です。


ステップ 2 AAA Servers テーブルに、リモート ロギング サーバがロギング データを受信する ACS をそれぞれ追加します。詳細については、「AAA サーバの設定」を参照してください。


) リモート ロギング サーバが ACS のウォッチドッグ パケットとアップデート パケットをログに記録する場合、AAA Servers テーブルで、その ACS の Log Update/Watchdog Packets from this remote AAA Server チェックボックスをオンにする必要があります。


セカンダリ サーバまたはミラー ロギング サーバとして使用するために他のリモート ロギング サーバにリモート ロギングを実装する場合は、追加する各リモート ロギング サーバでこの手順を繰り返します。


 

関連項目

「ACS のリモート ロガーへのデータ送信設定」

ACS のリモート ロガーへのデータ送信設定


) リモート ロギング サーバにデータを送信する各 ACS サーバでリモート ロギング機能を設定する前に、リモート ロギング ACS サーバの設定が終了していることを確認してください。詳細については、「リモート ロギング サーバの設定」を参照してください。


リモート ロギング サーバにデータを送信する 各 ACS で、次の手順を実行します。


ステップ 1 リモート ロギング サーバを AAA Servers テーブルに追加します。詳細については、「AAA サーバの設定」を参照してください。複数のリモート ロギング サーバを作成した場合は、リモート ロギング サーバごとにこの手順を繰り返します。

ステップ 2 ナビゲーション バーの System Configuration をクリックします。

ステップ 3 Logging をクリックします。

Logging Configuration ページが開きます。

ステップ 4 Remote Logging Servers Configuration をクリックします。

Remote Logging Setup ページが表示されます。

ステップ 5 該当する Remote Logging Services Configuration オプションを設定します。これらのオプションの詳細については、「Remote Logging Setup ページ」を参照してください。

ステップ 6 Submit をクリックします。

指定したリモート ロギングの設定が ACS に保存および実装されます。


 

関連項目

「リモート ロギング サーバの設定」

リモート エージェントへのロギングの設定(ACS SE のみ)

インストールした ACS リモート エージェントに、AAA 関連ログと監査ログのリモート ロギングを設定できます。

ACS リモート エージェントのインストールと設定の詳細については、『 Installation and Configuration Guide for Cisco Secure ACS Remote Agents Release 4.2 』を参照してください。

リモート ロギングをセットアップするには、次の手順を実行する必要があります。

1. 各 ACS SE で、リモート エージェントを追加します。詳細については、「リモート エージェントの設定(ACS SE のみ)」を参照してください。

2. リモート エージェントにログを送信するように各 ACS SE を設定します。詳細については、「ACS SE のリモート エージェントへのデータ送信設定」を参照してください。

3. リモート エージェントを設定プロバイダーとして使用するように設定されている ACS SE で、そのリモート エージェントに記録されるすべてのログの内容とログファイルの管理方法を設定します。詳細については、「設定プロバイダーでのリモート エージェント ログの設定」を参照してください。

セカンダリ サーバまたはミラー サーバとして使用する場合は、これらの手順を繰り返すことで、別のリモート エージェントへのリモート ロギングをセットアップできます。

ACS SE のリモート エージェントへのデータ送信設定

リモート エージェントにデータを送信するようにローカルの各 ACS SE を設定します。リモート ロギングのローカル設定は、リモート エージェントに送信されるログの種類、またはリモート エージェントに送信されるログに含まれるデータの設定には影響を与えません。リモート エージェントに送信されるログを設定する方法とログに含まれるデータの詳細については、「設定プロバイダーでのリモート エージェント ログの設定」を参照してください。

始める前に

リモート エージェントをインストールおよび設定してから、リモート エージェントにデータを送信する各 ACS SE でリモート ロギング機能を設定します。

リモート エージェントにデータを送信する各 ACS SE で、次の手順を実行します。


ステップ 1 ACS SE でリモート エージェントを追加します。詳細については、「リモート エージェントの設定(ACS SE のみ)」を参照してください。

ステップ 2 ナビゲーション バーの System Configuration をクリックします。

ステップ 3 Logging をクリックします。

Logging Configuration ページが開きます。

ステップ 4 Remote Logging Servers Configuration をクリックします。

Remote Logging Setup ページが表示されます。

ステップ 5 該当する Remote Logging Services Configuration オプションを設定します。これらのオプションの詳細については、「Remote Logging Setup ページ」を参照してください。

ステップ 6 Submit をクリックします。

指定したリモート ロギングの設定が ACS に保存および実装されます。


 

関連項目

「設定プロバイダーでのリモート エージェント ログの設定」

設定プロバイダーでのリモート エージェント ログの設定

設定プロバイダーで、リモート エージェントに保存するログ、ログの内容、およびリモート エージェントによるログ ファイルの管理方法を設定します。

ACS がログ データを送信するリモート エージェントを指定する方法については、「ACS SE のリモート エージェントへのデータ送信設定」を参照してください。

リモート エージェントの CSV ログを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

Logging Configuration ページが開きます。

ステップ 3 Remote Agent Reports Configuration をクリックします。

Remote Agent Reports Configuration ページが表示されます。

ステップ 4 設定するリモート ロギング レポートの Configure をクリックします。

CSV log File Configuration ページが表示されます。 log には選択したリモート エージェント ログの名前が表示されます。

ステップ 5 ログをイネーブルまたはディセーブルにするには、 Log to CSV log name report チェックボックスをオンまたはオフにします。 log name には、選択したリモート エージェント ログの名前が表示されます。

ステップ 6 AAA 関連レポートの場合は、ログに記録するアトリビュートを設定します。アトリビュートの設定オプションの詳細については、「CSV log File Configuration ページ」を参照してください。

ステップ 7 CSV ファイルのファイル管理オプションを指定します。ファイル管理オプションの詳細については、「CSV log File Configuration ページ」を参照してください。

ステップ 8 Submit をクリックします。

指定したリモート エージェントのログ設定が ACS に実装されます。


 

関連項目

「ACS SE のリモート エージェントへのデータ送信設定」

サービス ログの設定

ACS によるサービス ログ ファイルの生成および管理の方法を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Service Control をクリックします。

サービスのステータスが hostname テーブルに表示されます。 hostname は ACS を実行しているコンピュータの名前です。

ステップ 3 Services Log File Configuration ページでサービス ログ オプションを設定します。このページのオプションの詳細については、「Service Control ページのリファレンス」を参照してください。

サービス ログ ファイルをディセーブルにするには、Level of Detail で None オプションを選択します。

ステップ 4 Restart をクリックします。

ACS がサービスを再起動し、指定したサービス ログの設定が ACS に実装されます。


 

関連項目

「カスタマー サポートへのサービス ログの提供」

カスタマー サポートへのサービス ログの提供

カスタマー サポートに潜在的な問題を調査するための十分なデータを提供するには、Services Log File Configuration ページで、Level of Detail を Full に設定します。詳細については、「Service Control ページのリファレンス」を参照してください。ログ エントリを処理するための十分な空きディスク容量があることを確認します。

使用する ACS に問題が存在すると、カスタマー サポートは package.cab ファイルの作成を依頼します。package.cab ファイルには、次に示すさまざまなファイルが含まれています。

証明書ファイル :ACS サーバの証明書、および証明書の CA。

Admin.txt :ACS 管理者に関する情報が記載されています。

Host.txt および HostServices.txt :ホストおよびホストの設定に関する情報が記載されています。

NDG.txt :設定されたネットワーク デバイス グループが記載されています。

DictionaryKey.txt および DictionaryValue.txt :ACS ディクショナリ ファイルが含まれています。

package.cab ファイルを作成するには、次の手順を実行します。


ステップ 1 コマンド プロンプトで、drwtsn32 と入力します。

Dr. Watson の設定をチェックし、デフォルトのオプションの他に、Dump Symbol Table オプションと Dump All Thread Contents オプションが選択されていることを確認します。

ステップ 2 ACS のインストール ディレクトリの bin サブディレクトリに移動します。

ステップ 3 CSSupport.exe と入力します。

すべてのデフォルト オプションを指定してこの実行ファイルを実行します。このプログラムにより、Dr. Watson のログを含む必要な情報すべてが収集され、package.cab というファイルに書き込まれます。ファイルの場所は、実行ファイルの実行が完了すると表示されます。


 

ACS Web インターフェイスの System Configuration セクションにある Support 機能により、Run Support Now をクリックすると生成される package.cab ファイル内にサービス ログが組み込まれます。この機能の詳細については、「Support ページ」を参照してください。


) 2 GB を超える package.cab ファイルを作成すると、パッケージのサイズ制限により、追加の .cab ファイルが作成されます。最初のパッケージ名は package.cab、2 つ目のパッケージ名は package1.cab とされ、以後 N パッケージ目の packageN.cab まで同様に名前が付けられます。N は、パッケージ数から 1 を引いた数を指します。追加ファイルは、パックを開始する前に指定した場所と同じ場所に保存されます。これらは単独のファイルではないため、すべてを送信してパッケージする必要があります。ハードディスクの空き容量が不十分だと、パッケージ ファイル(package.cab)で問題が生じる可能性があります。


関連項目

「サービス ログの設定」

レポートの表示とダウンロード

レポートを表示およびダウンロードするには、Reports ページを最初に開きます。このページには、ナビゲーション バーの Reports and Activity からアクセスします。このページからアクセス可能なすべてのレポートのリストについては、「Reports ページのリファレンス」を参照してください。


) RDBMS Synchronization レポートと Database Replication レポートは、これらのオプションが Interface Configuration > Advanced Options でイネーブルになっている場合にのみアクセスできます。


次のトピックでは、ACS Web インターフェイスでレポートを表示する方法、およびレポートをダウンロードする方法を説明します。

「CSV レポートの表示とダウンロード」

「ダイナミック管理レポートの表示」

「エンタイトルメント レポートの表示とダウンロード」

CSV レポートの表示とダウンロード

次のトピックでは、ACS CSV レポートを表示およびダウンロードする方法を説明します。

「CSV ログ ファイルの名前」

「CSV レポートの表示」

「CSV レポートのダウンロード」

CSV ログ ファイルの名前

Reports and Activity 内のレポートにアクセスすると、ACS によって、現在の CSV ファイルを一番上位にして、新しい順に CSV ファイルが一覧表示されます。現在のファイルは、 log .csv という名前になります。ここで log はログの名前です。

これよりも古いファイルには、次のような名前が付けられます。

logyyyy-mm-dd.csv

説明

log はログの名前です。

yyyy は CSV ファイルが開始された暦年です。

mm は CSV ファイルが開始された月を数字で表したものです。

dd は CSV ファイルが開始された日付です。

たとえば、2002 年 10 月 13 日に生成された Database Replication ログ ファイルは、Database Replication 2002-10-13.csv という名前になります。

関連項目

「CSV レポートの表示」

「CSV レポートのダウンロード」

CSV レポートの表示

ACS Web インターフェイスで、CSV レポートの内容を表示できます。カラムのエントリによってテーブルをソートしたり、CSV ログ レポートをフィルタリングしたりすることができます。

フィルタリング基準には、正規表現、時間範囲、またはその両方が含まれます。

正規表現ベースのフィルタリングでは、行ごとに、各カラムの値の少なくとも 1 つが、指定された正規表現に一致するかどうか調べられます。正規表現フィルタリングを使用する場合、ACS は各カラムを調べ、フィルタリング基準を満たす行だけを表示します。

Start Date & Time および End Date & Time に値を指定して、時間ベースのフィルタリングを使用できます。指定した日時範囲内の行が表示されます。

正規表現を入力し、時間ベースのフィルタリングも使用する場合、レポートには両方の基準を満たす行だけが表示されます。

CSV レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 表示する CSV レポートの名前をクリックします。

ACS によって、ブラウザの右側に、現在の CSV レポート ファイル名と、それ以前のすべての CSV レポート ファイルの名前が一覧表示されます。

ステップ 3 内容を表示する CSV レポート ファイルの名前をクリックします。

CSV レポート ファイルに情報が格納されている場合は、情報が表示領域に表示されます。

ステップ 4 現在の CSV レポートで、更新された情報を確認するには、 Refresh をクリックします。

ステップ 5 Next ボタンおよび Previous ボタンを使用すると、レポート ページ間を前後に移動できます。

ステップ 6 カラムのエントリによって昇順または降順にテーブルをソートするには、次の手順を実行します。カラムのエントリによって昇順でテーブルをソートするには、カラムのタイトルを一度クリックします。カラムのエントリによって降順でテーブルをソートするには、カラムのタイトルを再度クリックします。

ステップ 7 フィルタリング基準を指定し、ログ ファイルの内容にフィルタを適用するには、次の手順を実行します。

a. Regular Expression テキスト ボックスに文字列値を入力します。最大 100 文字の正規表現を入力できます。正規表現の文字と構文の定義については、 表10-8 を参照してください。

b. Start Date & Time テキスト ボックスと End Date & Time テキスト ボックスに文字列値を入力します。日時の形式は、ACS システム設定の日付形式に定義されているとおりで、
dd/mm/yyyy,hh:mm:ss
または mm/dd/yyyy,hh:mm:ss です。

c. Rows per Page ボックスで、1 ページあたりに表示する行数を選択します(デフォルトは 50 です)。

d. Apply Filter をクリックします。ACS Web サーバによって、指定したフィルタリング基準がレポート ファイルに適用され、フィルタリングされた結果がレポートのテーブルに表示されます。

e. フィルタリング パラメータをデフォルト値にリセットするには、 Clear Filter をクリックします。このオプションを使用すると、フィルタリングされずにレポート全体が表示されます。


 

 

表10-8 正規表現の構文の定義

文字
正規表現の使用法

^

キャレット(^)は、文字列の先頭と照合します。「begins with」と解釈されます。
たとえば ^A は、ABc や A123 と一致し、1A234 とは一致しません。キャレットの別の使用法については、最後のテーブル エントリを参照してください。

$

ドル記号($)は、文字列の末尾と照合します。「end with」と解釈されます。
たとえば yz$ は、xyz や 0123yz で終わる文字列と一致し、12yzA とは一致しません。

\

バックスラッシュ(\)は、任意の場所の任意の文字列と照合します。「contains」として解釈されます。
バックスラッシュは、特定の正規表現の「特殊文字」を表すために使用されることもあります(たとえば \+ は、プラス記号(+)に対して一致し、正規表現でプラス記号(+)を使用する場合と区別されます)。

.

ドット(.)は任意の 1 文字と照合します。

*

アスタリスク(*)は、正規表現でのアスタリスクの左にある文字が、任意の数のインスタンス(0 回以上連続するもの)と照合することを示します。

+

プラス記号(+)はアスタリスク(*)に似ていますが、正規表現でのプラス記号(+)の左に一致文字が 1 回以上連続している必要があります。

?

疑問符(?)は、その左側の表現または文字が 0 回または 1 回連続しているものと照合します。

|

パイプ(|)では、パイプの両方の側の表現をターゲット文字列と照合することができます。
たとえば A|a は、A と共に a にも一致します。

-

ハイフン(-)は、値の範囲を示します。たとえば、a-z と指定します。

()

括弧は、表現のグループ化に使用され、パターン評価の順番に影響します。

[]

文字セットを囲む角カッコ([ ])は、囲まれた文字のいずれかをターゲット文字と照合することを示します。角カッコ内の値は、1 つ以上の文字または範囲を指定することができます。たとえば、[02468]、[0-9] と指定します。

[^

左角カッコ([)の直後にキャレット(^)が続く場合は、カッコ内の残りの文字が、ターゲット文字列の一致対象から除外されます。たとえば [^0-9] は、ターゲット文字が数字ではなくアルファベットであることを示します。

関連項目

「CSV ログ ファイルの名前」

「CSV レポートのダウンロード」

CSV レポートのダウンロード

ACS で表示できる任意の CSV レポートの CSV ファイルをダウンロードできます。

CSV ログ ファイルをダウンロードした後は、一般的に利用されている表計算アプリケーション ソフトウェアを使用してスプレッドシートにインポートできます。詳細については、表計算ソフトウェアのマニュアルを参照してください。サード パーティ製のレポート ツールを使用してレポート データを管理することもできます。たとえば、Extraxi の aaa-reports! は ACS をサポートしています。

CSV レポートをダウンロードするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 必要とされる CSV レポートの名前をクリックします。

ACS によって、ブラウザの右側に、現在の CSV レポート ファイル名と、それ以前のすべての CSV レポート ファイルの名前が一覧表示されます。

ステップ 3 ダウンロードする CSV レポートのファイル名をクリックします。

CSV レポート ファイルに情報がある場合は、その情報が右ペインの表示領域に表示されます。

ステップ 4 ブラウザの右ペインで、 Download をクリックします。

ブラウザに、CSV ファイルを受け入れ、保存するかどうかを確認するダイアログボックスが表示されます。

ステップ 5 CSV ファイルを保存する場所を選択し、Save をクリックしてファイルを保存します。


 

関連項目

「CSV ログ ファイルの名前」

「CSV レポートの表示」

ダイナミック管理レポートの表示

次のトピックでは、ダイナミック管理レポートを表示および使用する方法を説明します。

「Logged-in Users レポートの表示」

「Disabled Accounts レポートの表示」

「Appliance Status レポートの表示」

Logged-in Users レポートの表示


) Logged-In Users レポートは、開くまでに最大で 20 秒かかることがあります。特定のユーザ情報は、表示されるまでに数分かかる場合もあります。


Logged-in Users レポートは ACS Web インターフェイスで表示できます。


) このユーザ リストは、ACS サービスが再起動されるときには必ずクリアおよび再起動されます。このリストには、リストが手動で削除されていない限り、ACS の最後の起動以降にログインしたユーザの名前が表示されます。


このレポートから、特定の AAA クライアントにログインしているユーザを削除するように ACS に指示することができます。ユーザがセッションを終了したときに、AAA クライアントがアカウンティング停止パケットを ACS に送信しなかった場合、そのユーザは Logged-in Users レポートに継続して表示されます。AAA クライアントからログインしているユーザを削除することにより、そのユーザ セッションのアカウンティングが終了します。


) ログイン ユーザを削除しても、特定の AAA クライアントにログインしたユーザの ACS アカウンティング レコードが終了するだけです。アクティブ ユーザ セッションを終了させることや、ユーザ レコードに影響することはありません。


Logged-in Users レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Logged-in Users をクリックします。

Select a AAA Client ページに、各 AAA クライアント、その IP アドレス、およびその AAA クライアントを介してログインしたユーザの数が表示されます。テーブルの一番下にある All AAA Clients エントリには、ログインしたユーザの合計数が表示されます。

ステップ 3 ログインしたすべてのユーザのリストを表示するには、 All AAA Clients をクリックします。

ステップ 4 特定の AAA クライアントを介してログインしたすべてのユーザのリストを表示するには、その AAA クライアントの名前をクリックします。

ACS は、ユーザのリストごとに、ログインしているすべてのユーザの情報をテーブル形式で表示します。次の情報が含まれます。

日時

ユーザ

グループ

割り当てられている IP

ポート

ソース AAA クライアント


ヒント このリストを印刷するには、右側のウィンドウの一部をクリックし、ブラウザからウィンドウを印刷します。

ステップ 5 このテーブルを任意のカラムのエントリによって昇順または降順にソートするには、次の手順を実行します。カラムのエントリによって昇順でテーブルをソートするには、カラムのタイトルを一度クリックします。カラムのエントリによって降順でテーブルをソートするには、カラムのタイトルを再度クリックします。

ステップ 6 特定の AAA クライアントからログインしているユーザを削除するには、次の手順を実行します。

a. AAA クライアントの名前をクリックします。

その AAA クライアントを介してログインしたすべてのユーザのテーブルが表示されます。Purge Logged in Users ボタンがテーブルの下に表示されます。

b. Purge Logged in Users をクリックします。

ACS に、レポートから削除されたユーザの数と AAA クライアントの IP アドレスを示すメッセージが表示されます。


 

Disabled Accounts レポートの表示

Disabled Accounts レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Disabled Accounts をクリックします。

Select a user account to edit ページに、無効なユーザ アカウント、アカウント ステータス、およびユーザ アカウントが割り当てられているグループが表示されます。


ヒント このリストを印刷するには、右側のウィンドウの一部をクリックし、ブラウザからウィンドウを印刷します。

ステップ 3 リスト内のユーザ アカウントを編集するには、User カラムでユーザ名をクリックします。

編集対象のユーザ アカウントが表示されます。

ユーザ アカウントの編集方法の詳細については、「基本ユーザ設定オプション」を参照してください。


 

Appliance Status レポートの表示

Appliance Status レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Appliance Status Page をクリックします。

Appliance Status レポートがブラウザの右ペインに表示されます。


ヒント このリストを印刷するには、右側のウィンドウの一部をクリックし、ブラウザからウィンドウを印刷します。


 

エンタイトルメント レポートの表示とダウンロード

ユーザとグループのマッピング情報を示す CSV ユーザ エンタイトルメント レポートをダウンロードできます。すべての管理者とその特権をまとめた 1 つのレポートと共に、個々の管理者のレポートまたは特権をダウンロードできます。個々の管理者のレポートは、ACS Web インターフェイスに表示することもできます。

エンタイトルメント レポートを表示およびダウンロードするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Entitlement Reports をクリックします。

Entitlement Reports ページが表示されます。

ステップ 3 ユーザ エンタイトルメント レポートをダウンロードするには、次の手順を実行します。

a. Download report for mappings of users to groups をクリックします。

ブラウザに、CSV ファイルを受け入れ、保存するかどうかを確認するダイアログボックスが表示されます。

b. CSV ファイルを保存する場所を選択し、Save をクリックします。

ステップ 4 すべての管理者の特権レポートをダウンロードするには、次の手順を実行します。

a. Download Privilege Report for All Administrators をクリックします。

ブラウザに、CSV ファイルを受け入れ、保存するかどうかを確認するダイアログボックスが表示されます。

b. CSV ファイルを保存する場所を選択し、Save をクリックします。

ステップ 5 個々の管理者の特権レポートを表示およびダウンロードするには、次の手順を実行します。

a. Privilege Report for Admin をクリックします。 Admin には、管理者アカウントの名前が表示されます。

ブラウザの右ペインにレポートが表示されます。


ヒント このリストを印刷するには、右ペインの一部をクリックし、ブラウザからウィンドウを印刷します。

b. CSV ログ ファイルをダウンロードするには、ブラウザの右ペインで Download をクリックします。

ブラウザに、CSV ファイルを受け入れ、保存するかどうかを確認するダイアログボックスが表示されます。

c. CSV ファイルを保存する場所を選択し、Save をクリックします。


 

アカウンティング ログでのアップデート パケット

ユーザ セッションのアカウンティング データを記録するように ACS を設定すると、ACS は必ず開始パケットと停止パケットを記録します。必要であれば、アップデート パケットも記録するように ACS を設定できます。ユーザ セッション時に仮のアカウンティング情報を提供することに加えて、アップデート パケットは、ACS Authentication Agent 経由でパスワード失効メッセージを送信します。アップデート パケットをこの用途に使用する場合は、ウォッチドッグ パケットと呼ばれます。


) ACS アカウンティング ログにアップデート パケットを記録するには、AAA クライアントがアップデート パケットを送信するように設定する必要があります。アップデート パケットを送信するように AAA クライアントを設定する方法の詳細については、AAA クライアントのマニュアルを参照してください。


Logging Update Packets Locally :ローカルの ACS のロギング設定に従ってアップデート パケットをロギングするには、Network Configuration で各 AAA クライアントに対して、Log Update/Watchdog Packets from this Access Server オプションをイネーブルにします。

AAA クライアントに対してこのオプションを設定する方法の詳細については、「AAA クライアントの追加」を参照してください。

Logging Update Packets Remotely :リモート ロギング サーバにアップデート パケットをロギングするには、ローカル ACS 上にあるリモート ロギング サーバの AAA Server テーブル エントリに対して、Log Update/Watchdog Packets from this remote AAA Server オプションをイネーブルにします。

AAA サーバに対してこのオプションを設定する方法の詳細については、「AAA サーバの追加」を参照してください。

Logging Configuration ページのリファレンス

次のトピックでは、Logging Configuration ページについて説明します。

「Logging Configuration ページ」

「Critical Loggers Configuration ページ」

「Remote Logging Setup ページ」

「Remote Agents Reports Configuration ページ(ACS SE のみ)」

「CSV log File Configuration ページ」

「Syslog log Configuration ページ」

「ODBC log Configuration ページ(ACS for Windows のみ)」

Logging Configuration ページ

Logging Configuration ページは、ロガーと個々のログを設定するときに開く最初のページです。

このページを開くには、 System Configuration > Logging を選択します。

 

表10-9 Logging Configuration ページ

オプション
説明

Critical Loggers Configuration

「Critical Loggers Configuration ページ」を開きます。ACS がアカウンティング メッセージを複数のロガーに記録する場合、このページで クリティカル ロガー を設定できます。

Remote Logging Services Configuration

「Remote Logging Setup ページ」を開き、リモート ロガーを設定します。

Remote Agent Reports Configuration

(ACS SE のみ)

「Remote Agents Reports Configuration ページ(ACS SE のみ)」を開き、リモート エージェントにあるログの内容とファイル管理方法を設定します。

ACS Reports table

イネーブルになっているログを表示します。Configure リンクを選択すると、ログごとに次に示す個々の設定ページが開かれます。

「CSV log File Configuration ページ」

「Syslog log Configuration ページ」

「ODBC log Configuration ページ(ACS for Windows のみ)」

関連項目

「ACS ログの設定」

「ACS for Windows のリモート ロギング」

「ACS リモート エージェントによる ACS SE のリモート ロギング」

Critical Loggers Configuration ページ

Critical Loggers Configuration ページでは、アカウンティング ログに クリティカル ロガー を設定して、これらのログが少なくとも 1 つのロガーに配信されるよう保証します。

このページを開くには、 System Configuration > Logging を選択します。Logging Configuration ページで、 Critical Loggers Configuration リンクをクリックします。

 

表10-10 Critical Loggers Configuration ページ

オプション
説明

RADIUS accounting critical logger

RADIUS Accounting ログにクリティカル ロガーを指定します。

TACACS+ accounting critical logger

TACACS+ Accounting ログにクリティカル ロガーを指定します。

VoIP accounting critical logger

VoIP Accounting ログにクリティカル ロガーを指定します。


) syslog 標準によると、syslog メッセージのロギングは保証されていないため、クリティカル ロガーとして syslog ロガーを設定することはお勧めできません。


関連項目

「クリティカル ロガーの設定」

Remote Logging Setup ページ

Remote Logging Setup ページを使用して、ローカル ACS のログ送信先となるリモート ロガーを設定します。

このページを開くには、 System Configuration > Logging を選択します。Logging Configuration ページで、Remote Logging Servers Configuration リンクをクリックします。

 

表10-11 Remote Logging Setup ページ

オプション
説明

Do not log remotely

リモート ロガーへのロギングをディセーブルにします。

Log to all selected remote log services

ロギング データを Selected Log Services リスト内のすべてのリモート ロガーに送信します。

Log to subsequent remote log services on failure

この ACS サーバのロギング情報を 1 つのリモート ロガーに送信します。ACS は、Selected Log Services リスト内で最初にアクセス可能なリモート ロガーにログを記録します。

このオプションは、最初のリモート ロガーが失敗した場合にのみ、Selected Log Services リスト内の次のリモート ロガーにロギング データが送信されるように ACS を設定する場合に使用します。

Log Services lists

これらのリストには、AAA Services テーブルで設定される ACS サーバが含まれます。

右(->)および左(<-)の矢印ボタンにより、Selected Log Services リストのロギング サービスを追加および削除します。

Up ボタンと Down ボタンにより、Selected Log Services リストのロギング サービスを並べ替えます。

関連項目

「ACS for Windows のリモート ロギング」

「ACS リモート エージェントによる ACS SE のリモート ロギング」

Remote Agents Reports Configuration ページ(ACS SE のみ)

設定プロバイダーとして使用するようにリモート エージェントが設定されている ACS SE の Remote Agent Reports Configuration ページを使用して、 そのリモート エージェントに記録されるすべてのログの内容とログ ファイルの管理方法を設定します。

このページを開くには、 System Configuration > Logging を選択します。Logging Configuration ページで、Remote Agent Reports Configuration リンクをクリックします。

 

表10-12 Logging Configuration ページ

オプション
説明

Remote Logging Reports table

リモート エージェントへの送信がイネーブルになっているログを表示します。Configure リンクを選択すると、ログごとに個々の設定ページが開かれます。

関連項目

「設定プロバイダーでのリモート エージェント ログの設定」

CSV log File Configuration ページ

CSV log File Configuration ページでは、ローカルまたはリモートの個々の CSV ロガーへのロギングをイネーブルにし、そのログの内容とファイル管理方法を設定します。

このページを開くには、 System Configuration > Logging を選択します。Reports Configurations テーブルで、CSV カラムにあるログの Configure をクリックします。

ACS SE 設定プロバイダーの場合、リモート エージェントへのリモート ロギングをイネーブルにするには、 Remote Agent Reports Configuration をクリックしてから、ログの Configure をクリックします。


) ACS SE の場合、ローカル CSV 監査ログに設定可能なオプションはありません。


 

表10-13 CSV log File Configuration ページ

オプション
説明
Enable Logging

ログをイネーブルまたはディセーブルにするオプションが表示されます。

Log to CSV log report チェックボックス

選択したロガーへのロギングをイネーブルまたはディセーブルにします。


) CSV 監査ログの場合は常にイネーブルになっているため、このチェックボックスはグレー表示されます。


Configure Log Content

(AAA 関連レポートのみ)

ログに記録するアトリビュートを指定するオプションが表示されます。

Select Columns to Log

Attribute リストには、ロギング用に選択されていないアトリビュートが表示されます。Logged Attributes リストには、ロギング用に選択されているアトリビュートが表示されます。

右(->)および左(<-)の矢印ボタンにより、Logged Atttibutes リストのアトリビュートを追加および削除します。

Up ボタンと Down ボタンにより、Logged Attributes リスト内のアトリビュートを並べ替えます。

Reset Columns ボタン

Logged Attributes リスト内のアトリビュートをデフォルトの選択に戻します。

Log File Management

(ACS for Windows と Remote Agent Reports 設定のみ)

ログ ファイル管理オプションが表示されます。

Generate New File

ACS またはリモート エージェントで新しい CSV ファイルを生成するタイミングを指定します。

Every day :毎日、現地時間の午前 12:01 に実行。

Every week :毎週日曜日の現地時間午前 12:01 に実行。

Every month :毎月 1 日の現地時間午前 12:01 に実行。

When size is greater than x KB :現在のファイル サイズが、キロバイト単位で X ボックスに入力した値に到達したときに実行。

Directory

ACS またはリモート エージェントが、CSV ログ ファイルを書き込む先のディレクトリ。ドライブ文字を含むフル パスで指定することをお勧めします。フル パスでない場合、ファイルの場所はインストール ディレクトリからの相対パスになります。リモート エージェント サーバが Sun Solaris を使用する場合、そのパスは /usr/data/acs-logs などのルート ディレクトリで始まる必要があります。

Manage Directory

保持する CSV ファイルを管理します。

Keep only the last X files

保持する CSV ファイルの数を制限します。保持するファイルの最大数を X ボックスに入力します。

Delete files older than X days

保持する CSV ファイルの経過日数を制限します。CSV ファイルを削除するまでの日数を入力します。

関連項目

「CSV ログの設定」

「リモート ロギング サーバの設定」

「設定プロバイダーでのリモート エージェント ログの設定」

Syslog log Configuration ページ

Syslog log File Configuration ページでは、最大 2 つの syslog ロガーへのロギングをイネーブルにし、それらのログの内容を設定します。

このページを開くには、 System Configuration > Logging を選択します。Reports Configurations テーブルで、Syslog カラムにあるログの Configure をクリックします。

 

表10-14 Syslog log File Configuration ページ

オプション
説明
Enable Logging

ログをイネーブルまたはディセーブルにするオプションが表示されます。

Log to syslog log report チェックボックス

選択したロガーへのロギングをイネーブルまたはディセーブルにします。デフォルトはディセーブルです。

Configure Log Content

(AAA 関連レポートのみ)

ログに記録するアトリビュートを指定するオプションが表示されます。

Select Columns to Log

Attribute リストには、ロギング用に選択されていないアトリビュートが表示されます。Logged Attributes リストには、ロギング用に選択されているアトリビュートが表示されます。

右(->)および左(<-)の矢印ボタンにより、Logged Atttibutes リストのアトリビュートを追加および削除します。

Up ボタンと Down ボタンにより、Logged Attributes リスト内のアトリビュートを並べ替えます。

Reset Columns ボタン

Logged Attributes リスト内のアトリビュートをデフォルトの選択に戻します。

Syslog Servers

最大 2 つの syslog ロギング サーバを設定するオプションが表示されます。

IP

syslog サーバの IP アドレスを指定します。

Port

ログ メッセージの送信先となる syslog サーバのポートを指定します。

Max message length (bytes)

syslog メッセージの最大メッセージ長をバイト単位で指定します。デフォルト長は、標準 syslog サーバで推奨されるメッセージ長の 1024 バイトです。syslog をプロキシとして使用する場合は、メッセージ長を短くして、プロキシ ヘッダー用のスペースを確保します。

許容最小値は 200 バイトです。

関連項目

「syslog ロギングの設定」

「リモート ロギング サーバの設定」

ODBC log Configuration ページ(ACS for Windows のみ)

ODBC log Configuration ページでは、個々の ODBC ロガーへのロギングをイネーブルにし、ACS の内容と接続の設定内容を ODBC データベースに設定します。

このページを開くには、 System Configuration > Logging を選択します。Reports Configurations テーブルで、ODBC カラムにあるログの名前の近くにあるアイコンをクリックします。

 

表10-15 ODBC log Configuration ページ

オプション
説明
Enable Logging

ログをイネーブルまたはディセーブルにするオプションが表示されます。

Log to ODBC log report チェックボックス

選択したロガーへのロギングをイネーブルまたはディセーブルにします。デフォルトはディセーブルです。

Configure Log Content

(AAA 関連レポートのみ)

ログに記録するアトリビュートを指定するオプションが表示されます。

Select Columns to Log

Attribute リストには、ロギング用に選択されていないアトリビュートが表示されます。Logged Attributes リストには、ロギング用に選択されているアトリビュートが表示されます。

右(->)および左(<-)の矢印ボタンにより、Logged Atttibutes リストのアトリビュートを追加および削除します。

Up ボタンと Down ボタンにより、Logged Attributes リスト内のアトリビュートを並べ替えます。

Reset Columns ボタン

Logged Attributes リスト内のアトリビュートをデフォルトの選択に戻します。

ODBC Connection Settings

ACS が ODBC データベースと通信するためのオプションが表示されます。

Data Source list

ACS が ODBC ロギング データを使用するリレーショナル データベースに送信できるようにするために作成したシステム DSN。

Username

リレーショナル データベース内のユーザ アカウントのユーザ名(最大 80 文字)。


) ユーザは、ODBC ロギング データを適切なテーブルに書き込むために、リレーショナル データベースで十分な特権を持っている必要があります。


Password

指定したリレーショナル データベースのユーザ アカウントのパスワード(最大 80 文字)

Table Name

ODBC ロギング データを付加するテーブルの名前(最大 80 文字)

Create Table Statement

SQL create table 文を表示するオプションが表示されます。

Show Create Table ボタン

Microsoft SQL Server の SQL create table 文を表示します。create table 文は、ACS ウィンドウの右パネルに表示されます。

テーブル名は、Table Name フィールドで指定する名前です。カラム名は、Logged Attributes リストで指定されているアトリビュートです。


) 生成された SQL は、Microsoft SQL Server でのみ有効です。別のリレーショナル データベースを使用する場合は、使用するリレーショナル データベースのマニュアルで、テーブルを作成するコマンドの記述方法を参照してください。


関連項目

「ODBC ログの設定(ACS for Windows のみ)」

「リモート ロギング サーバの設定」

Service Control ページのリファレンス

Services Log File Configuration ページでは、サービス ログのロギングをイネーブルまたはディセーブルにし、そのログの詳細とファイル管理方法を設定します。

このページを開くには、 System Configuration > Service Control を選択します。

これらのオプションを有効にするには、Restart ボタンをクリックする必要があります。

 

表10-16 Services Log File Configuration ページ

オプション
説明

Cisco Secure ACS on <server>

ACS サービスが実行中かまたは停止しているかを表示します。

Services Log File Configuration

サービスのロギングをイネーブル、ディセーブル、および設定するオプションが表示されます。

Level of Detail

ロギングをディセーブルにするか、またはロギングのレベルを設定します。

None :ログ ファイルは生成されません。

Low :起動動作と停止動作だけがロギングされます。これがデフォルト設定です。

Full :すべてのサービス動作がロギングされます。このオプションは、カスタマー サポート向けにデータを収集するときに使用します。このオプションにより、潜在的な問題の調査に十分なデータをカスタマー サポートに提供します。ログ エントリを処理するための十分な空きディスク容量があることを確認します。

Log File Management

(ACS for Windows のみ)

ログ ファイル管理オプションが表示されます。

Generate New File

ACS またはリモート エージェントで新しい CSV ファイルを生成するタイミングを選択します。

Every day :毎日、現地時間の午前 12:01 に実行。

Every week :毎週日曜日の現地時間午前 12:01 に実行。

Every month :毎月 1 日の現地時間午前 12:01 に実行。

When size is greater than x KB :現在のファイル サイズが、キロバイト単位で X ボックスに入力した値に到達したときに実行。

Manage Directory

保持する CSV ファイルを管理する場合にオンにします。

Keep only the last X files

保持する CSV ファイルの制限数を選択します。保持するファイルの最大数を X ボックスに入力します。

Delete files older than X days

保持する CSV ファイルの経過日数の制限を選択します。CSV ファイルを削除するまでの日数を入力します。

関連項目

「サービス ログの設定」

Reports ページのリファレンス

このページを使用して、ACS CSV レポートにアクセスし、ダウンロードします。

このページを開くには、ナビゲーション バーの Reports and Activity をクリックします。

 

表10-17 Reports ページ

オプション
説明

TACACS+ Accounting Reports

TACACS+ Accounting レポートを表示します。このレポートには、レポートの対象期間に該当項目が成功した認証のすべてのレコードが表示されます。

TACACS+ Administration Reports

TACACS+ Administration レポートを表示します。このレポートには、レポートの対象期間に要求されたすべての TACACS+ コマンドが表示されます。通常この情報は、ACS を使用してルータへのアクセスを管理する場合に使用されます。

RADIUS Accounting Report

RADIUS Accounting レポートを表示します。このレポートには、レポートの対象期間に該当項目が成功した認証のすべてのレコードが表示されます。

VoIP Accounting Reports

VoIP Accounting レポートを表示します。このレポートには、レポートの対象期間に該当項目が成功した認証のすべてのレコードが表示されます。

Passed Authentications

Passed Authentications レポートを表示します。このレポートには、レポートの対象期間に成功した認証のすべてが一覧表示されます。

Failed Attempts

Failed Attempts レポートを表示します。このレポートには、TACACS+ と RADIUS のレポートの対象期間に成功しなかったすべての認証のレコードが表示されます。このレポートには、試行されたユーザ名、日時、および失敗の原因も記録されています。

Logged-In Users

現在ログインしているすべてのユーザを AAA クライアントごとにグループ化して表示します。特定の AAA クライアントまたはすべての AAA クライアントからログイン ユーザを削除できます。

Disabled Accounts

無効になっているアカウントを表示します。

ACS Backup and Restore

ACS Backup and Restore レポートを表示します。このレポートには、ACS システム情報がバックアップおよび復元された日時、およびアクションが正常に実行されたかどうかが一覧表示されます。

RDBMS Synchronization

RDBMS Synchronization レポートを表示します。このレポートには、RDBMS データベースが同期化された時刻、および同期が手動によるものかスケジュールされたものかどうかが表示されます。

このレポートは、Interface Configuration > Advanced Options ページでこのオプションをイネーブルにした場合にのみ表示できます。

Database Replication

Database Replication レポートを表示します。このレポートには、ACS 内部データベースがバックアップ サーバに複製された時刻、および複製が手動によるものかスケジュールされたものかどうかが表示されます。

このレポートは、Interface Configuration > Advanced Options ページでこのオプションをイネーブルにした場合にのみ表示できます。

Administration Audit

Administration Audit レポートを表示します。このレポートには、該当する日付に ACS にアクセスした管理者、ACS で管理者が行ったアクションまたは操作、およびその操作の時刻が一覧表示されます。ログに記録されるアクションは、管理セッションの開始と停止、ユーザおよびグループ データの編集、ネットワーク設定の変更などです。

User Password Changes

User Password Changes レポートを表示します。このレポートには、ACS 内部データベースに保存されているパスワードに対して、ユーザが開始した変更についての情報が表示されます。

ACS Service Monitoring

ACS Service Monitoring レポートを表示します。このレポートには、CSAdmin などのサービスを監視しようとして ACS で発生したイベントのログが表示されます。この情報には、Active Service Monitor や CSMon サービスのイベントなどがあります。

Entitlement Reports

表示可能なユーザおよび管理者のエンタイトルメント レポートを一覧表示します。ユーザのエンタイトルメント レポートには、すべてのユーザとそのグループ、関連する場合は NAP、およびマッピング タイプ(スタティックまたはダイナミック)が一覧表示されます。管理者のエンタイトルメント レポートには、管理者の特権が一覧表示されます。

Appliance Status Page(ACS SE のみ)

IP ネットワーク設定、および ACS アプライアンスのネットワーク インターフェイス カードの情報と共に、ハードウェア リソースの利用率に関する現在の統計情報を表示します。

Appliance Administration Audit(ACS SE のみ)

Appliance Administration Audit レポートを表示します。このレポートには、ACS アプライアンスのシリアル コンソールでのアクティビティのリストが表示されます。ログインのためにアプライアンス管理者アカウントが使用された時刻、シリアル コンソール セッション時に発行されたコマンド、および管理者がログアウトしてセッションが終了した時刻が記録されます。

関連項目

「ACS ログとレポートについて」

「レポートの表示とダウンロード」

監査ログのアトリビュート

表10-18 に、ACS で監視され、ユーザ ページのフィールドを編集するための管理ユーザのアクションを指定するアトリビュートの一覧を示します。

 

表10-18 監査ログのアトリビュート

コード
編集フィールド

1

Account_Disabled

2

Real_Name

3

Description

4

Password_Authentication

5

PAP_Passowrd

6

Separate_PWD_For_CHAP

7

CHAP_Password

8

User_Group

9

Callback_setting

10

Client_IP_ADDR_Assignment

11

Selected_Pools

12

Shared_NAR

13

Selected_NARs

14

PerUser_NAR

15

Per_User_Def_Net_Access_Restriction_Table

16

CLI/DNIS-based_Access_Restrictions

17

CLI/DNIS-based_Access_Restrictions_Table

18

MAX_Sessions

19

User_Usage_Quotas

20

reset_Usage_Counters

21

Advanced_Account_Disable_options

22

Time_Bound_Alternate_Group

23

DownloadableACL

24

Tacacs+Enable_Control

25

AssociationTable

26

Tacacs+Enable_Passwd_settings

27

Tacacs+Passwd

28

Tacacs+OutBoundPasswd

29

Tacacs+Settings_PPP_IP

30

Tacacs+Settings_Custom_Attr_PPP_IP

31

Tacacs+Settings_PPP_IPX

32

Tacacs+Settings_Custom_Attr_PPP_IPX

33

Tacacs+Settings_PPP_Multilink

34

Tacacs+Settings_Custom_Attr_PPP_MultiLink

35

Tacacs+Settings_PPP_Apple_Talk

36

Tacacs+Settings_Custom_Attr_PPP_Apple_Talk

37

Tacacs+Settings_PPP_VPDN

38

Tacacs+Settings_Custom_Attr_PPP_VPDN

39

Tacacs+Settings_PPP_LCP

40

Tacacs+Settings_Custom_Attr_PPP_LCP

41

Tacacs+Settings_ARAP

42

Tacacs+Settings_Custom_Attr_ARAP

43

Tacacs+Settings_Shell_exec

44

Tacacs+Settings_Custom_shell_exec

45

Tacacs+Settings_PIXShell

46

Tacacs+Settings_PIXShell_Custom_Attributes

47

Tacacs+Settings_Slip

48

Tacacs+Settings_Slip_Custom_Attributes

49

Tacacs+Settings_shell_cmd_Auth_Set

50

Shell_Cmd_Auth_Set_Table

51

Per_User_Command_Authorization

52

PIX/ASA_Command_Authorization

53

PIX/ASA_Command_Authorization_Table

54

Tacacs+UnknownServices

55

IETF_RADIUS_Attributes_Service_Type

56

IETF_RADIUS_Attributes_Framed_Protocol

57

IETF_RADIUS_Attributes_Framed-IP-Netmask

58

IETF_RADIUS_Attributes_Framed-Routing

59

IETF_RADIUS_Attributes_Filter-ID

60

IETF_RADIUS_Attributes_Framed-MTU

61

IETF_RADIUS_Attributes_Framed-Compression

62

IETF_RADIUS_Attributes_Login-IP-Host

63

IETF_RADIUS_Attributes_Login-Service

64

IETF_Radius_Attributes_Login-TCP-Port

65

IETF_RADIUS_Attributes_Reply-Message

66

IETF_RADIUS_Attributes_CallBack-ID

67

IETF_RADIUS_Attributes_Framed-Route

68

IETF_RADIUS_Attributes_Framed-IPX-Network

69

IETF_RADIUS_Attributes_State

70

IETF_RADIUS_Attributes_Class

71

IETF_RADIUS_Attributes_Session-Timeout

72

IETF_RADIUS_Attributes_Termination-Action

73

IETF_RADIUS_Attributes_Proxy-State

74

IETF_RADIUS_Attributes_Login-LAT-Service

75

IETF_RADIUS_Attributes_Login-LAT-Node

76

IETF_RADIUS_Attributes_Login-LAT-Group

77

IETF_RADIUS_Attributes_Framed-AppleTalk-Link

78

IETF_RADIUS_Attributes_Framed-AppleTalk-Network

79

IETF_RADIUS_Attributes_Framed-AppleTalk-Zone

80

IETF_RADIUS_Attributes_Port-Limit

81

IETF_RADIUS_Attributes_Login-LAT-Port

82

IETF_RADIUS_Attributes_Tunnel-Type

83

IETF_RADIUS_Attributes_Tunnel-Medium-Type

84

IETF_RADIUS_Attributes_Tunnel-Client-Endpoint

85

IETF_RADIUS_Attributes_Tunnel-Server-Endpoint

86

IETF_RADIUS_Attributes_Tunnel-Password

87

IETF_RADIUS_Attributes_ARAP-Features

88

IETF_RADIUS_Attributes_ARAP-Zone-Access

89

IETF_RADIUS_Attributes_Configuration-Token

90

IETF_RADIUS_Attributes_Tunnel-Private-Group-ID

91

IETF_RADIUS_Attributes_Tunnel-Assignment-ID

92

IETF_RADIUS_Attributes_Tunnel-Preference

93

IETF_RADIUS_Attributes_Acct-Interim-Interval

94

IETF_RADIUS_Attributes_Tunnel-Client-Auth-ID

95

IETF_RADIUS_Attributes_Tunnel-Server-Auth-ID