Cisco Secure ACS Solution Engine ユーザ ガイド Release 4.1
ログとレポート
ログとレポート
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

ログとレポート

ACS ログとレポートについて

AAA 関連ログ

ACS 監査ログ

ACS ロギングの形式とターゲット

CSV ロガー

syslog ロガー

ODBC ロガー(ACS for Windows のみ)

ACS for Windows のリモート ロギング

ACS リモート エージェントによる ACS SE のリモート ロギング

ダイナミック管理レポート

エンタイトルメント レポート

サービス ログ

ACS ログの設定

クリティカル ロガーの設定

CSV ログの設定

syslog ロギングの設定

ODBC ログの設定(ACS for Windows のみ)

リモート ロギングの設定とイネーブル化(ACS for Windows のみ)

リモート ロギング サーバの設定

ACS のリモート ロガーへのデータ送信設定

リモート エージェントへのロギングの設定(ACS SE のみ)

ACS SE のリモート エージェントへのデータ送信設定

設定プロバイダーでのリモート エージェント ログの設定

サービス ログの設定

カスタマー サポートへのサービス ログの提供

レポートの表示とダウンロード

CSV レポートの表示とダウンロード

CSV ログ ファイルの名前

CSV レポートの表示

CSV レポートのダウンロード

ダイナミック管理レポートの表示

Logged-in Users レポートの表示

Disabled Accounts レポートの表示

Appliance Status レポートの表示

エンタイトルメント レポートの表示とダウンロード

アカウンティング ログでのアップデート パケット

Logging Configuration ページのリファレンス

Logging Configuration ページ

Critical Loggers Configuration ページ

Remote Logging Setup ページ

Remote Agents Reports Configuration ページ(ACS SE のみ)

CSV log File Configuration ページ

Syslog log Configuration ページ

ODBC log Configuration ページ(ACS for Windows のみ)

Service Control ページのリファレンス

Reports ページのリファレンス

ログとレポート

Cisco Secure Access Control Server Release 4.1(以降は ACS と表記)は、さまざまなログを生成します。それらのログの多くは、ダウンロードしたり、ACS Web インターフェイスで HTML レポートとして表示したりすることができます。

次のトピックでは、ACS ログとレポートの設定および表示方法を説明します。

「ACS ログとレポートについて」

「ACS ログの設定」

「レポートの表示とダウンロード」

「アカウンティング ログでのアップデート パケット」

「Logging Configuration ページのリファレンス」

「Service Control ページのリファレンス」

「Reports ページのリファレンス」

ACS ログとレポートについて

ACS は、ユーザおよびシステムのさまざまなアクティビティを、異なる形式で異なるターゲットに記録します。次のトピックでは、ログに記録できる情報について説明します。

「AAA 関連ログ」

「ACS 監査ログ」

「ACS ロギングの形式とターゲット」

「ダイナミック管理レポート」

「エンタイトルメント レポート」

「サービス ログ」

AAA 関連ログ

AAA 関連の各ログには、ユーザによるリモート アクセス サービスの利用に関する情報が格納されます。 表10-1 に、すべての AAA 関連ログの説明を示します。

適切な権限があれば、Web インターフェイスで AAA 関連ログのイネーブル化、設定、および表示を行うことができます。

 

表10-1 AAA 関連ログの説明

ログ
説明

TACACS+ Accounting

次の情報を格納します。

ユーザ セッションの開始時刻と停止時刻

ユーザ名付き AAA クライアント メッセージ

Caller Line Identification(CLID; 発信番号識別)

セッション継続時間

TACACS+ Administration

AAA クライアントで TACACS+ (Cisco IOS) を使用して入力された設定コマンドを記録します。特に、コマンド認可の実行に ACS を使用している場合は、このログを使用することを推奨します。


) TACACS+ Administration ログを使用するには、コマンド アカウンティングの実行時に ACS を使用するように TACACS+ AAA クライアントを設定する必要があります。アクセス サーバまたはルータの設定のファイルには、次の行が含まれている必要があります。
aaa accounting commands start-stop tacacs+


RADIUS Accounting

次の情報を格納します。

ユーザ セッションの開始時刻と停止時刻

ユーザ名付き AAA クライアント メッセージ

発信者番号識別情報

セッション継続時間

Voice over IP(VoIP)に対するアカウンティング情報を、RADIUS アカウンティング ログまたは個別の VoIP アカウンティング ログ、あるいはその両方のログに格納するように ACS を設定できます。

VoIP Accounting

次の情報を格納します。

VoIP セッションの停止時刻と開始時刻

ユーザ名付き AAA クライアント メッセージ

CLID 情報

VoIP セッション継続時間

VoIP に対するアカウンティング情報を、この個別の VoIP アカウンティング ログまたは RADIUS アカウンティング ログ、あるいはその両方のログに格納するように ACS を設定できます。

Failed Attempts

認証と認可の失敗を、それらの原因とともに記録します。ポスチャ確認要求について、このログは、Healthy 以外のポスチャ トークンを返すポスチャ確認の結果を記録します。

期限満了情報に従って数回の試行失敗が有効になっている場合は、これらのレポートを使用して、アカウントを無効にしたユーザを見つけることができます。また、侵入の試行について調査を行うことができ、トラブルシューティングでは有用なツールとなります。

Passed Authentications

成功した認証要求を記録します。このログは、AAA クライアントからのアカウンティング パケットに依存していないため、AAA クライアントが RADIUS アカウンティングをサポートしていない場合、または AAA クライアント上のアカウンティングをディセーブルにした場合でも使用できます。ポスチャ確認要求について、このログは、SPT が生成されたすべてのポスチャ確認要求の結果を記録します。

ロギング アトリビュート

情報は、ロギング アトリビュートのセットとしてログに記録されます。次のアトリビュートがあります。

シスコ汎用。

RADIUS 汎用:これらのアトリビュートの詳細については、 付録 C「RADIUS アトリビュート」 を参照してください。

TACACS 汎用:これらのアトリビュートの詳細については、 付録 B「TACACS+ の AV ペア」 を参照してください。

ACS 固有。

ログに ACS が記録できる多数のアトリビュートの中には、特に重要なものがいくつかあります。次のリストでは、ACS が提供する特別なロギング アトリビュートを説明します。

User Attributes :これらのロギング アトリビュートは、すべてのログ設定ページの Attributes リストに表示されます。ACS では、これらのアトリビュートは、Real Name、Description、User Field 3、User Field 4、User Field 5 などのデフォルト名を使用してリストに表示されます。ユーザ定義アトリビュートの名前を変更しても、新しい名前ではなくデフォルト名が Attributes リストに表示されます。

ユーザ アカウントの対応するフィールドに入力する値によって、これらのアトリビュートの内容が決まります。ユーザ アトリビュートの詳細については、「ユーザ データのカスタマイズ」を参照してください。

ExtDB Info :外部ユーザ データベースを使用してユーザが認証されるときに、外部ユーザ データベースの返す値がこのアトリビュートに格納されます。Windows ユーザ データベースの場合、このアトリビュートには、ユーザを認証したドメインの名前が格納されます。

Failed Attempts ログのエントリでは、このアトリビュートには、最後に正常にユーザを認証したデータベースが格納されます。ユーザの認証に失敗したデータベースは示されません。

Access Device :ACS にロギング データを送信する AAA クライアントの名前です。

Network Device Group :アクセス デバイス(AAA クライアント)が属するネットワーク デバイス グループです。

Filter Information :ユーザに適用されたネットワークアクセス制限(NAR)の結果です(適用された場合)。このフィールド内のメッセージには、適用されたすべての NAR がユーザ アクセスを許可したか、適用されたすべての NAR がユーザ アクセスを拒否したか、または、どの NAR がユーザ アクセスを拒否したかが示されます。NAR がユーザに適用されていない場合は、このロギング アトリビュートには、NAR が適用されていないことが表示されます。

Filter Information アトリビュートは、Passed Authentication ログおよび Failed Attempts ログに使用できます。

Device Command Set :コマンド認可要求を満たすために使用されたデバイス コマンド セットの名前です(使用された場合)。

Device Command Set アトリビュートは、Failed Attempts ログに使用できます。

Bypass info :MAC 認証バイパス機能についての情報です。このフィールドのメッセージは、MAC アドレスが検出されたかどうかを示します。

Bypass info アトリビュートは、Failed Attempts ログと Passed Authentications ログで使用できます。

Remote Logging Result :リモート ロギング サービスが、転送されたアカウンティング パケットを正常に処理したかどうかを示します。このアトリビュートは、中央ロギング サービスによってロギングされなかったアカウンティング パケットがある場合、そのパケットを特定するために役立ちます。これは、リモート ロギング サービスからの確認メッセージの受信に依存します。確認メッセージは、リモート ロギング サービスが、その設定に従ってアカウンティング パケットを正常に処理したことを示します。値 Remote-logging-successful は、リモート ロギング サービスがアカウンティング パケットを正常に処理したことを示します。値 Remote-logging-failed は、リモート ロギング サービスがアカウンティング パケットを正常に処理しなかったことを示します。


) ACS は、リモート ロギング サービスに設定されている、転送したアカウンティング パケットの処理方法を判断できません。たとえば、アカウンティング パケットを破棄するようにリモート ロギング サービスが設定されている場合、そのサービスは転送されたアカウンティング パケットを破棄し、確認メッセージを送信して ACS に応答します。ACS は、このメッセージを受け取ると、アカウント パケットを記録するローカル ログで、Remote Logging Result アトリビュートに値 Remote-logging-successful を書き込みます。


ポスチャ確認ロギング アトリビュート

Application-Posture-Token :ポスチャ確認要求中に特定のポリシーが返す Application
Posture Token(APT; アプリケーション ポスチャ トークン)。このアトリビュートは、Passed Authentications ログと Failed Attempts ログでのみ使用できます。

System-Posture-Token :ポスチャ確認要求中に特定のポリシーが返す System Posture Token(SPC; システム ポスチャ トークン)。このアトリビュートは、Passed Authentications ログと Failed Attempts ログでのみ使用できます。

その他のポスチャ確認アトリビュート:ポスチャ確認要求中に NAC クライアントが ACS に送信するアトリビュート。これらのアトリビュートは、ベンダー名、アプリケーション名、およびアトリビュート名で一意に識別されます。たとえば、NAI:AV:DAT-Date アトリビュートは、Network Associates, Inc. のアンチウイルス アプリケーションの NAC クライアントにある DAT ファイルの日付情報を含むアトリビュートです。これらのアトリビュートは、Passed Authentications ログと Failed Attempts ログに限り使用できます。

Passed Authentications ログおよび Failed Attempts ログにポスチャ確認アトリビュートを記録できます。受信アトリビュートはすべてログに使用できます。ログに記録できる送信アトリビュートは、Application-Posture-Assessment と System-Posture-Assessment の 2 つだけです。

SPT を生成するすべてのポスチャ確認要求は、システム ポスチャ アセスメントとも呼ばれ、Passed Authentications ログに記録されます。Healthy 以外の SPT を生成するポスチャ確認要求は、Failed Attemps ログに記録されます。ポスチャ トークンの詳細については、「ポスチャ トークン」を参照してください。

HCAP エラーの Authen-Failure-Code アトリビュート:

Host Credentials Authentication Protocol(HCAP)が失敗すると、Failed Attempts レポートの Authen-Failure-Code アトリビュート エントリが次のいずれかのエラーを表示することがあります。

Version failure - Could not communicate with external policy server - wrong HCAP version

Connection failure - Could not open a connection to external policy server

Authentication failure - Could not communicate with external policy server - authentication failure

Timeout error - Could not connect to external policy server - timeout error

Other - Posture Validation Failure on External Policy

関連項目

「ACS ログの設定」

「CSV レポートの表示とダウンロード」

ACS 監査ログ

監査ログには、ACS システムとアクティビティについての情報が含まれるため、システム関連イベントが記録されます。システム ログは、トラブルシューティングや監査に役立ちます。カンマ区切り形式(CSV)の監査ログは常にイネーブルになっています。ユーザは、他のロガーに対して監査ログをイネーブルまたはディセーブルにすることができます。監査ログの内容は設定できません。

表10-2 に、各監査ログの説明を示します。

 

表10-2 監査ログの説明

ログ
説明および関連項目

ACS Backup and Restore

ACS システム情報がバックアップおよび復元された日時とアクションが正常に実行されたかどうかを一覧表示します。

スケジュールまたはバックアップファイルと復元ファイルの場所の変更については、「ACS バックアップ」「ACS システムの復元」を参照してください。

RDBMS Syncronization

RDBMS データベースが同期化された時刻、および同期が手動によるものかスケジュールされたものかどうかを一覧表示します。

RDBMS 同期化スケジュールの変更については、「RDBMS 同期化」を参照してください。

Database Replication

ACS 内部データベースがバックアップ サーバに複製された時刻、およびその複製が手動によるものかスケジュールされたものかを一覧表示します。

データベースの複製スケジュールの変更については、「ACS 内部データベースの複製」を参照してください。

Administration Audit

ユーザの追加、グループの編集、AAA クライアントの設定、またはレポートの表示など、各システム管理者の行ったアクションを記録します。

User Password Changes

パスワードの変更に使用された方式に関係なく、ユーザによって実行されたユーザ パスワード変更を記録します。したがってこのログには、TACACS+ を使用するネットワーク デバイス上で、ACS Authentication Agent、User Changeable Password Web インターフェイス、または Telnet セッションによって行われたパスワード変更のレコードが含まれます。このログには、ACS Web インターフェイスで管理者が実行するパスワード変更は記録されません。

ACS Service Monitoring

ACS サービスの開始時刻と停止時刻を記録します。

Appliance Administration Audit

ログイン、ログアウト、コマンドの実行などのシリアル コンソールの管理者アクティビティを一覧表示します。

関連項目

「ACS ログの設定」

「CSV レポートの表示とダウンロード」

ACS ロギングの形式とターゲット

ACS の ロガー は、AAA 関連ログと監査ログを、異なる形式で、異なるターゲットに記録するためのロギング インターフェイスを提供します。次のロガーを使用できます。

「CSV ロガー」

「syslog ロガー」

「ODBC ロガー(ACS for Windows のみ)」

「ACS for Windows のリモート ロギング」

「ACS リモート エージェントによる ACS SE のリモート ロギング」

ACS を設定して、複数のロガーに情報を記録することができます。ログ設定の詳細については、「ACS ログの設定」を参照してください。

アカウンティング ログに クリティカル ロガー を設定して、これらのログが少なくとも 1 つのロガーに確実に配信されるようにできます。詳細については、「クリティカル ロガーの設定」を参照してください。

CSV ロガー

CSV ロガーは、カンマ(,)で区切られたカラム単位でロギング アトリビュートのデータを記録します。この形式のファイルは、Microsoft Excel や Microsoft Access など、さまざまなサードパーティ製アプリケーションに簡単にインポートできます。このようなサードパーティ製アプリケーションに CSV ファイルのデータをインポートすると、グラフを作成したり、クエリーを実行したりすることにより、所定の期間にユーザがネットワークにログインしていた時間を確認することができます。Microsoft Excel などのサードパーティ製アプリケーションでの CSV ファイルの使用方法については、サードパーティ ベンダーから供給されるマニュアルを参照してください。


ヒント たとえば、Word や Excel などのプログラムにインポートする場合など、言語やロケールによっては CSV ファイルを正しく処理できないことがあります。必要に応じて、カンマ(,)をセミコロン(;)に置き換えてください。


ACS サーバのハード ドライブにある CSV ファイルにアクセスするか、Web インターフェイスから CSV ファイルをダウンロードすることができます。

CSV ログ ファイルの場所

デフォルトでは、ACS は、ログに固有なディレクトリにログ ファイルを保存します。CSV ログのログ ファイルの場所は設定することができます。すべてのログのデフォルト ディレクトリは、 sysdrive :\Program Files\CiscoSecure ACS v x.x にあります。特定のログを格納するこの場所のサブディレクトリについては、 表10-3 を参照してください。

 

表10-3 デフォルトの CSV ログ ファイルの場所

ログ
デフォルトの場所

TACACS+ Accounting

Logs\TACACS+Accounting

CSV TACACS+ Administration

Logs\TACACS+Administration

CSV RADIUS Accounting

Logs\RADIUS Accounting

CSV VoIP Accounting

Logs\VoIP Accounting

CSV Failed Attempts

Logs\Failed Attempts

Passed Authentications

Logs\Passed Authentications

ACS Backup and Restore

Logs\Backup and Restore

RDBMS Syncronization

Logs\DbSync

RDBMS Syncronization

Logs\DBReplicate

Administration Audit

Logs\AdminAudit

User Password Changes

CSAuth\PasswordLogs

ACS Active Service Monitoring

Logs\ServiceMonitoring

CSV ログのサイズと保持

各 CSV ログは、個別のログ ファイルに書き込まれます。ログ ファイルのサイズが 10 MB に到達すると、新しいログ ファイルへの書き込みが開始されます。ACS は各 CSV ログについて最新の 7 ファイルを保持します。

関連項目

「CSV ログの設定」

「CSV レポートの表示とダウンロード」

syslog ロガー

ACS の syslog ロガーは、標準の syslog 形式をサポートしています。任意のレポートのログ データを 2 つまでの syslog サーバに送信できます。syslog サーバは、レポートごとに個別に設定します。syslog を使用することにより、複数の ACS からのデータを集中させることができます。

ACS syslog ロギングは、標準の syslog プロトコル(RFC 3164)に従います。メッセージは、非セキュアな UDP ポートを使用することによって、データを暗号化せずに syslog サーバにコネクションレスで送信されます。


) syslog プロトコルには配信を保証するメカニズムが組み込まれておらず、基盤となる転送プロトコルが UDP であるため、メッセージの配信は保証されていません。


syslog メッセージ形式

ACS syslog メッセージの内容の形式は次の通りです。

<n> mmm dd hh:mm:ss XX:XX:XX:XX TAG msg_id total_seg seg# A1=V1
 

説明

<n>:メッセージのプライオリティ値。syslog メッセージのファシリティとシビラティの組み合せです。プライオリティ値は、まず ファシリティ 値を 8 倍し、それを シビラティ 値に加算することにより、RFC 3164 に従って計算されます。

ACS syslog メッセージには、次のファシリティ値が使用されます。

4(Auth):セキュリティと認可のメッセージ。この値は、すべての AAA 関連メッセージ(失敗した試行、成功した試行、アカウンティングなど)で使用されます。

13(System3):ログ監査。この値は、他のすべての ACS レポート メッセージで使用されます。

すべての ACS syslog メッセージには、シビラティ値として 6(Info)が使用されます。

たとえば、ファシリティ値が 13 でシビラティ値が 6 の場合は、プライオリティ値が 110((8 x 13) + 6) となります。プライオリティ値は、syslog サーバのセットアップに従って表示され、次のいずれかで表示されます。

System3.Info

<110>


) syslog ファシリティとシビラティの形式は、ACS では設定できません。


mmm dd hh:mm:ss:メッセージの日時。

XX:XX:XX:XX:この syslog メッセージを生成しているマシンの IP アドレス。

TAG:ACS レポート名を表す値。

CisACS_01_PassedAuth:Cisco ACS Passed Authentications

CisACS_02_FailedAuth:Cisco ACS Failed Attempts

CisACS_03_RADIUSAcc:Cisco ACS RADIUS Accounting

CisACS_04_TACACSAcc:Cisco ACS TACACS+ Accounting

CisACS_05_TACACSAdmin:Cisco ACS TACACS+ Administration

CisACS_06_VoIPAcc:Cisco ACS VoIP Accounting

CisACS_11_BackRestore:Cisco ACS Backup and Restore ログ メッセージ

CisACS_12_Replication:Cisco ACS Database Replication ログ メッセージ

CisACS_13_AdminAudit :Cisco ACS Administration Audit ログ メッセージ

CisACS_14_PassChanges:Cisco ACS User Password Changes ログ メッセージ

CisACS_15_ServiceMon:Cisco ACS Service Monitoring ログ メッセージ

CisACS_16_RDBMSSync:Cisco ACS RDBMS Synchronization Audit ログ メッセージ

CisACS_17_ApplAdmin:Cisco ACS Appliance Administration Audit ログ メッセージ

msg_id:一意のメッセージ ID。1 つのメッセージのすべてのセグメントは同じメッセージ ID を共有します。

total_seg:このメッセージのセグメント合計数。詳細については、「syslog のメッセージ長の制限」を参照してください。

seg#:このメッセージ セグメンテーション内のセグメント シーケンス番号。詳細については、「syslog のメッセージ長の制限」を参照してください。

A1=V1:Cisco ACS ログ メッセージおよびメッセージ自体にデリミタとしてカンマを入れたアトリビュート値のペア。

syslog のメッセージ長の制限

ACS syslog メッセージの最大長を設定できます。最大メッセージ長は、標準 syslog サーバに送信するメッセージの場合は 1,024 バイトにすることをお勧めしますが、設定はターゲット サーバの仕様に対応させる必要があります。

ヘッダーとデータを含めた ACS メッセージの長さが syslog の標準長の制限またはターゲットの長さ制限を超過すると、メッセージの内容は数個のセグメントに分割されます。

メッセージは、アトリビュート値のペア間で分割され、セグメント内でのアトリビュート値ペアは可能な限り完全な状態に保たれます。各セグメントはデリミタのカンマ(,)で終わり、次のセグメントはヘッダーで始まり、その後に次の属性値ペアが続きます。

同じメッセージのすべてのセグメントには、同じヘッダーがあります。<msg_id> と <total_seg> の値は、すべてのセグメント間で共有されます。<seg#> は、セグメントの順序に従って設定されます。

syslog ログのイネーブル化と設定の詳細については、「syslog ロギングの設定」を参照してください。

関連項目

「syslog ロギングの設定」

ODBC ロガー(ACS for Windows のみ)

次のトピックでは、ODBC ロギングと、ACS で ODBC ログを設定する前に行う作業について説明します。

「ODBC ロギングについて」

「ODBC ロギングの準備」

ODBC ロギングについて

Open DataBase Connectivity(ODBC; 開放型データベース接続)ロガーにより、ログあたり 1 つのテーブルにログ単位でデータが格納されている ODBC 準拠リレーショナル データベースにログを直接記録することができます。データをリレーショナル データベースにエクスポートした後は、データを必要に応じて使用できます。リレーショナル データベースでデータを問い合せる方法の詳細については、リレーショナル データベース ベンダーが提供するマニュアルを参照してください。

ODBC ロギングの準備

ACS で ODBC ログを設定する前に、次の手順を実行する必要があります。

1. ロギング データのエクスポート先となるリレーショナル データベースをセットアップします。詳細については、使用するリレーショナル データベースのドキュメントを参照してください。

2. ACS を実行しているコンピュータで、ロギング データを保存するリレーショナル データベースと通信を行うACS のシステム データ ソース名(DSN)をセットアップします。

ODBC ロギングで使用するシステム DSN をセットアップするには、次の手順を実行します。


ステップ 1 Windows のコントロール パネルで、 ODBC Data Sources をダブルクリックします。

ステップ 2 ODBC Data Source Administrator ページで、 System DSN タブをクリックします。

ステップ 3 Add をクリックします。

ステップ 4 新しい DSN で使用するドライバを選択してから、 Finish をクリックします。

ダイアログボックスが開き、選択した ODBC ドライバ固有の情報を入力するためのフィールドが表示されます。

ステップ 5 Data Source Name ボックスに、DSN の説明的な名前を入力します。

ステップ 6 選択した ODBC ドライバで必要な他のフィールドすべてに入力します。これらのフィールドには、たとえば、ODBC 準拠のリレーショナル データベースが稼働するサーバの IP アドレスが含まれています。

ステップ 7 OK をクリックします。

ステップ 8 ODBC ウィンドウと Windows のコントロール パネルを閉じます。

ACS がリレーショナル データベースとの通信で使用するシステム DSN が、ACS を実行しているコンピュータに作成されます。DSN に指定した名前が、ODBC ログの各設定ページの Data Source リストに表示されます。


 

関連項目

「ODBC ログの設定(ACS for Windows のみ)」

ACS for Windows のリモート ロギング

リモート ロガーを使用して、複数の ACS が生成する AAA 関連ログと監査ログを集中させることができます。各 ACS を設定して、リモート ロガー サーバとして使用する ACS を 1 つ以上指定することができます。リモート ロギング ACS は引き続き AAA 機能を実行しますが、受信するログのリポジトリとしても機能します。

ACS は、リモート ロギング機能により、リモート ロギング サーバの CSLog サービスにデータを直接送信できます。データはそのサーバのログに書き込まれます。リモート ロギング サーバは、データの送信元である ACS のローカル ロギング設定に関係なく、使用するように設定されている形式でログを生成します。

ACS は、TCP ポート 2001 でリモート ロギング通信を傍受します。リモート ロギング データは、独自の 128 ビット アルゴリズムによって暗号化されます。


) リモート ロギング機能は、プロキシ処理された認証要求のデータの転送には影響しません。ACS では、プロキシにより認証されたセッションのデータがローカルでロギングされる場合には、プロキシが認証するセッションのデータにのみリモート ロギング設定を適用します。プロキシ処理された認証要求およびプロキシにより認証されたセッションのデータに関する詳細については、「Proxy Distribution Table の設定」を参照してください。


関連項目

「リモート ロギングの設定とイネーブル化(ACS for Windows のみ)」

ACS リモート エージェントによる ACS SE のリモート ロギング

リモート ロギング機能により、ACS は 1 つ以上の ACS リモート エージェントにデータを送信できます。リモート エージェントはネットワーク上のコンピュータで動作します。リモート エージェントは、ACS が送信したデータを CSV ファイルに書き込みます。多数の ACS Solution Engine が 1 つのリモート エージェントをポイントするように設定できるので、リモート エージェントを実行しているコンピュータを中央ロギング サーバにできます。

ACS リモート エージェントのインストールと設定の詳細については、『 Installation and Configuration Guide for Cisco Secure ACS Remote Agents Release 4.1 』を参照してください。


) リモート ロギング機能は、プロキシ処理された認証要求のデータの転送には影響しません。ACS は、プロキシにより認証されたセッションのアカウンティング データがローカルでロギングされる場合には、プロキシによって認証されるセッションのデータに対してのみリモート ロギング設定を適用します。プロキシ処理された認証要求およびプロキシにより認証されたセッションのデータに関する詳細については、「Proxy Distribution Table の設定」を参照してください。


アカウンティング データをリモート エージェント サーバに送信する ACS Solution Engine の数に関係なく、リモート エージェントはその設定を 1 つの ACS Solution Engine から受信します。この ACS は、リモート エージェントの設定プロバイダーです。次の内容を決定します。

リモート エージェントが保持するログ。

保存されている各ログに記録するデータ。

リモート エージェントがログ ファイルを管理する方法。

関連項目

「リモート エージェントへのロギングの設定(ACS SE のみ)」

ダイナミック管理レポート

このレポートは、ACS Web インターフェイスでこのレポートにアクセスした時点でのユーザ アカウントのステータスを示します。このレポートは、Web インターフェイスだけで利用でき、常にイネーブルで、設定を必要としません。

表10-4 に、ACS 管理レポートの説明を示します。

 

表10-4 ダイナミック管理レポートの説明

レポート
説明および関連項目

Logged-In Users

単一の AAA クライアントまたは全 AAA クライアントのサービスを受信しているすべてのユーザを一覧表示します。特定の AAA クライアントまたはすべての AAA クライアントからログイン ユーザを削除できます。

Cisco Aironet Access Point 上のファームウェア イメージがキー再生成の認証用の RADIUS Service-Type アトリビュートの送信をサポートしている場合、Cisco Aironet 装置を使用してネットワークにアクセスしているユーザは、現在関連付けられているアクセス ポイントのリストに表示されます。

マシンの認証を実行するよう設定されているコンピュータでは、コンピュータの起動時にマシンの認証が行われます。コンピュータ起動すると、ユーザがそのコンピュータにログインする前に、ACS Web インターフェイスの Reports and Activity セクションにある Logged-In Users List にそのコンピュータが表示されます。ユーザの認証が開始されると、コンピュータは Logged-In Users List に表示されなくなります。マシン認証の詳細については、「EAP および Windows 認証」を参照してください。


) ログイン ユーザのリスト機能を使用するには、認証とアカウンティングを同一プロトコル(TACACS+ または RADIUS のどちらか一方)で実行するように AAA クライアントを設定する必要があります。


Web インターフェイスでの Logged-in User レポートの表示、およびログイン ユーザの削除の詳細については、「Logged-in Users レポートの表示」を参照してください。

Disabled Accounts

無効になっているすべてのユーザ アカウントおよび無効になった理由を一覧表示します。それらのアカウントは、手動でディセーブルにされたか、または User Setup セクションで定義されたエージング情報に基づいて自動的にディセーブルにされた可能性があります。

Web インターフェイスで Disable Accounts レポートを表示する方法については、「Disabled Accounts レポートの表示」を参照してください。

Appliance Status

ACS Solution Engine のリソースの利用率についての情報を示します。また、ACS Solution Engine の IP 設定とそのネットワーク インターフェイス カードの MAC アドレスについての情報も表示されます。

Web インターフェイスで Appliance Status レポートを表示する方法については、「Appliance Status レポートの表示」を参照してください。

関連項目

「ダイナミック管理レポートの表示」

エンタイトルメント レポート

これらのレポートは、管理者特権とグループへのユーザ マッピングについての情報を提供します。これらのレポートは、すべて CSV 形式のテキスト ファイルとしてダウンロードできます。個々の管理者のレポートは、ACS Web インターフェイスに表示できます。エンタイトルメント レポートは、常にイネーブルにされており、設定は不要です。

表10-5 に、ACS のエンタイトルメント レポートの説明を示します。

 

表10-5 エンタイトルメント レポートの説明

レポート
説明および関連項目

ユーザ エンタイトルメント

ユーザ エンタイトルメント レポートでは、ユーザとグループのマッピング情報を提供します。このレポートには、すべてのユーザとそのグループ、関連する場合は Network Access Profile(NAP; ネットワーク アクセス プロファイル)、およびマッピング タイプ(スタティックまたはダイナミック)が一覧表示されます。このレポートは CSV 形式でダウンロードできますが、サイズが大きくなる可能性があるため、ACS Web インターフェイスには表示できません。

管理者エンタイトルメント

管理者エンタイトルメント レポートには、次の 2 つのタイプがあります。

すべての管理者の特権レポート:各管理者の特権を一覧表示します。このレポートは CSV 形式でダウンロードできますが、サイズが大きくなる可能性があるため、ACS Web インターフェイスには表示できません。

個々の管理者の特権レポート:選択した管理者の特権を一覧表示します。個々の管理者のレポートは、ACS Web インターフェイスで表示したり、CSV 形式のテキスト ファイルとしてダウンロードしたりすることができます。

関連項目

「エンタイトルメント レポートの表示とダウンロード」

サービス ログ

サービス ログは、診断用ログとして扱われ、トラブルシューティングやデバッグ目的に限定して使用されます。これらのログは、ACS 管理者の一般的使用を目的としていません。これらのサービス ログは、シスコ サポート要員の主な情報源となります。サービス ログには、ACS サービスの動作とアクティビティのすべての記録が含まれます。サービス ログがイネーブルになっている場合は、サービスを使用しているかどうかにかかわらず、各サービスが実行中のときに必ずログが生成されます。たとえば、ネットワークで RADIUS プロトコルを使用していない場合でも、RADIUS サービス ログは生成されます。ACS サービスの詳細については、「概要」を参照してください。

サービス ログ ファイルは、該当するサービスのディレクトリの \Logs サブディレクトリにあります。たとえば、ACS 認証サービスのデフォルト ディレクトリは次のとおりです。

c:\Program Files\CiscoSecure ACS vx.x\CSAuth\Logs

ロギングされるサービス

ACS は、次のサービスに対してログを生成します。

CSAdmin

CSAuth

CSDBSync

CSLog

CSMon

CSRadius

CSTacacs

最新のデバッグ ログには、次の名前が付けられます。

SERVICE.log

ここで、 SERVICE には該当するサービスを表す名前が表示されます。たとえば auth は、CSAuth サービスを表します。

これより古いデバッグ ログには、作成年月日でファイル名が付けられます。たとえば、1999 年 7 月 13 日に作成されたファイルは次のファイル名になります。

SERVICE 1999-07-13.log

ここで、 SERVICE には該当するサービスを表す名前が表示されます。

Day/Month/Year の形式を選択する場合は、次のファイル名になります。

SERVICE 13-07-1999.log

日付形式の変更については、「日付形式の制御」を参照してください。

関連項目

「サービス ログの設定」

ACS ログの設定

個々のログのロギングをイネーブル化および設定することができます。ACS は、複数のロガーの情報をログに同時に記録できます。

サービス ログのイネーブル化と設定を行うには、Service Control ページを最初に開きます。このページを表示するには、 System Configuration > Service Control を選択します。他のすべてのログおよびロガーのイネーブル化と設定を行うには、Logging Configuration ページを最初に開きます。このページを表示するには、 System Configuration > Logging を選択します。Logging Configuration ページには、現在イネーブルになっている ACS ログが表示されます。

次のトピックでは、ACS ログを設定およびイネーブル化する方法を説明します。

「クリティカル ロガーの設定」

「CSV ログの設定」

「syslog ロギングの設定」

「ODBC ログの設定(ACS for Windows のみ)」

「リモート ロギングの設定とイネーブル化(ACS for Windows のみ)」

「リモート エージェントへのロギングの設定(ACS SE のみ)」

「サービス ログの設定」

「カスタマー サポートへのサービス ログの提供」

クリティカル ロガーの設定

アカウンティング ログにクリティカル ロガーを設定して、これらのログが少なくとも 1 つのロガーへ確実に配信されるようにできます。

クリティカル ロガーを設定する場合、ACS が認証デバイスに送信する応答は、クリティカル ロガーのみに送信される関連メッセージのロギングの成功または失敗によって決まります。ACS は、他のロガーにオフストリーム(ベスト エフォートで保証されない)でメッセージを送信します。この方法の場合、認証の結果に影響はありません(Failed Attempts、Passed Authentications、および TACACS+ Administration などの他のすべての AAA 関連レポートの場合は、ロギングがオフストリームで実行され、認証の試行結果に影響はありません)。

アカウンティング レポートごとに異なるクリティカル ロガーを設定できます。各レポートのデフォルトのクリティカル ロガーは、ローカル CSV ログです。クリティカル ロガーを選択しないと、アカウンティング メッセージの配信は保証されません。


) syslog 標準によると、syslog メッセージのロギングは保証されていないため、クリティカル ロガーとして syslog ロガーを設定することはお勧めできません。


アカウンティング レポートにクリティカル ロガーを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

Logging Configuration ページが開きます。

ステップ 3 Critical Loggers Configuration をクリックします。

Critical Loggers Configuration ページが表示されます。

ステップ 4 アカウンティング レポートごとにクリティカル ロガーを選択します。クリティカル ロガーを選択する場合のオプションの詳細については、「Critical Loggers Configuration ページ」を参照してください。

ステップ 5 Submit をクリックします。

指定したクリティカル ロガーの設定が ACS に実装されます。


 


) クリティカル ロガーが選択されていても、指定したログがディセーブルになっている場合は、特定レポートのクリティカル ロガーは実装されません。


CSV ログの設定

AAA 関連ログと監査ログを CSV ロガーに記録するように、ACS を設定できます。

CSV ログを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。Logging Configuration ページが開きます。

ステップ 3 ACS Reports テーブルで、設定する CSV ログの Configure をクリックします。

CSV log File Configuration ページが表示されます。 log には選択した CSV ログの名前が表示されます。

ステップ 4 ログをイネーブルまたはディセーブルにするには、Enable Logging で、 Log to log report チェックボックスをオンまたはオフにします。 log には、選択したログの名前が表示されます。

ステップ 5 AAA 関連レポートの場合は、ログに記録するアトリビュートを設定します。アトリビュートの設定オプションの詳細については、「CSV log File Configuration ページ」を参照してください。

ステップ 6 (ACS for Windows のみ)CSV ファイルのファイル管理オプションを指定します。ファイル管理オプションの詳細については、「CSV log File Configuration ページ」を参照してください。

ステップ 7 Submit をクリックします。

指定した CSV ログ設定が ACS に実装されます。


 

関連項目

「CSV レポートの表示とダウンロード」

syslog ロギングの設定

AAA 関連ログと監査ログを syslog ロガーに記録するように、ACS を設定できます。

syslog ログを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。Logging Configuration ページが開きます。

ステップ 3 ACS Reports テーブルで、設定する syslog ログの Configure をクリックします。

log Configuration ページが表示されます。 log には選択した syslog ログの名前が表示されます。

ステップ 4 ログをイネーブルまたはディセーブルにするには、Enable Logging で、 Log to log report チェックボックスをオンまたはオフにします。 log には、選択したログの名前が表示されます。

ステップ 5 AAA 関連レポートの場合は、ログに記録するアトリビュートを設定します。アトリビュートの設定オプションの詳細については、「Syslog log Configuration ページ」を参照してください。

ステップ 6 syslog メッセージの送信先にする syslog サーバを設定します。syslog サーバの設定オプションの詳細については、「Syslog log Configuration ページ」を参照してください。

ステップ 7 Submit をクリックします。

指定した syslog ログ設定が ACS に実装されます。


 

ODBC ログの設定(ACS for Windows のみ)

AAA 関連ログと監査ログを ODBC ロガーに記録するように ACS を設定できます。SQL create table 文は、ACS で ODBC ログの設定を行う前後に設定できます。


) ODBC ログを設定する前に、ODBC ロギングの準備をする必要があります。詳細については、「ODBC ロギングの準備」を参照してください。


ODBC ログを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。Logging Configuration ページが開きます。

ステップ 3 ACS Reports テーブルで、設定する ODBC ログの Configure をクリックします。

ODBC log Configuration ページが表示されます。 log には、選択した ODBC ログの名前が表示されます。

ステップ 4 ログをイネーブルまたはディセーブルにするには、Enable Logging で、 Log to log report チェックボックスをオンまたはオフにします。 log には、選択したログの名前が表示されます。

ステップ 5 AAA 関連レポートの場合は、リレーショナル データベースに送信するアトリビュートを設定します。アトリビュートの設定オプションの詳細については、「ODBC log Configuration ページ(ACS for Windows のみ)」を参照してください。

ステップ 6 ODBC データベースと通信するように ACS を設定します。Connection Settings オプションの詳細については、「ODBC log Configuration ページ(ACS for Windows のみ)」を参照してください。

ステップ 7 Submit をクリックします。

ACS はログ設定を保存します。Logging Configuration ページが開きます。


 

SQL create table 文を設定するには、次の手順を実行します。


ステップ 1 Logging Configuration ページで、設定する ODBC ログの Configure をクリックします。

ODBC log configuration ページが開きます。

ステップ 2 SQL create table 文を表示するには、 Show Create Table をクリックします。

ACS ウィンドウの右パネルに、Microsoft SQL Server の SQL create table 文が表示されます。テーブル名は、Table Name フィールドで指定する名前です。カラム名は、Logged Attributes リストで指定されているアトリビュートです。


) 生成された SQL は、Microsoft SQL Server でのみ有効です。別のリレーショナル データベースを使用する場合は、使用するリレーショナル データベースのマニュアルで、テーブルを作成するコマンドの記述方法を参照してください。


ステップ 3 生成された SQL で提供される情報を使用して、この ODBC ログのリレーショナル データベースにテーブルを作成します。ODBC ロギングを動作させるには、テーブル名とカラム名が生成された SQL の名前と完全一致する必要があります。


 

ログをイネーブルにすると、ACS は、設定したシステム DSN を使用してユーザが作成したリレーショナル データベースへのロギング データの送信を開始します。

リモート ロギングの設定とイネーブル化(ACS for Windows のみ)

AAA 関連ログと監査ログ用に、リモート ロギングを設定できます。まずリモート ロギング サーバを設定してから、リモート ロギング サーバに情報を送信する各 ACS でリモート ロギングを設定する必要があります。

次のトピックでは、リモート ロギングのセットアップ方法を説明します。

「リモート ロギング サーバの設定」

「ACS のリモート ロガーへのデータ送信設定」

リモート ロギング サーバの設定

始める前に

すべてのロギング データを保存するリモート ロギング サーバとして使用するコンピュータに、ACS をインストールします。ACS のインストール方法については、『 Installation Guide for Cisco Secure ACS for Windows, Release 4.1 』を参照してください。

データを送信する ACS とリモート ロギング ACS サーバの間にあるゲートウェイ デバイスの設定を調べ、TCP ポート 2001 を使用してリモート ロギング ACS サーバがデータを受信できるようになっていることを確認します。

リモート ロギング サーバを設定するには、次の手順を実行します。


ステップ 1 必要に応じて、個々のログを設定しイネーブルにします。リモート ロギング サーバに送信されるすべてのデータは、この ACS でのログ設定に従って記録されます。詳細については、次を参照してください。

CSV ログの設定については、「CSV ログの設定」を参照してください。

syslog の設定については、「syslog ロギングの設定」を参照してください。

ODBC ログの設定については、「ODBC ログの設定(ACS for Windows のみ)」を参照してください。


) リモート ロギング サーバでリモート ロギングを設定し、そのサーバから別のリモート ロギング サーバにすべてのデータを送信することができます。ただし、エンドレスのロギング ループを作成してしまう可能性があるため、このオプションを使用するときには注意が必要です。


ステップ 2 AAA Servers テーブルに、リモート ロギング サーバがロギング データを受信する ACS をそれぞれ追加します。詳細については、「AAA サーバの設定」を参照してください。


) リモート ロギング サーバが ACS のウォッチドッグ パケットとアップデート パケットをログに記録する場合、AAA Servers テーブルで、その ACS の Log Update/Watchdog Packets from this remote AAA Server チェックボックスをオンにする必要があります。


セカンダリ サーバまたはミラー ロギング サーバとして使用するために他のリモート ロギング サーバにリモート ロギングを実装する場合は、追加する各リモート ロギング サーバでこの手順を繰り返します。


 

関連項目

「ACS のリモート ロガーへのデータ送信設定」

ACS のリモート ロガーへのデータ送信設定


) リモート ロギング サーバにデータを送信する各 ACS サーバでリモート ロギング機能を設定する前に、リモート ロギング ACS サーバの設定が終了していることを確認してください。詳細については、「リモート ロギング サーバの設定」を参照してください。


リモート ロギング サーバにデータを送信する 各 ACS で、次の手順を実行します。


ステップ 1 リモート ロギング サーバを AAA Servers テーブルに追加します。詳細については、「AAA サーバの設定」を参照してください。複数のリモート ロギング サーバを作成した場合は、リモート ロギング サーバごとにこの手順を繰り返します。

ステップ 2 ナビゲーション バーの System Configuration をクリックします。

ステップ 3 Logging をクリックします。

Logging Configuration ページが開きます。

ステップ 4 Remote Logging Servers Configuration をクリックします。

Remote Logging Setup ページが表示されます。

ステップ 5 該当する Remote Logging Services Configuration オプションを設定します。これらのオプションの詳細については、「Remote Logging Setup ページ」を参照してください。

ステップ 6 Submit をクリックします。

指定したリモート ロギングの設定が ACS に保存および実装されます。


 

関連項目

「リモート ロギング サーバの設定」

リモート エージェントへのロギングの設定(ACS SE のみ)

インストールした ACS リモート エージェントに、AAA 関連ログと監査ログのリモート ロギングを設定できます。

ACS リモート エージェントのインストールと設定の詳細については、『 Installation and Configuration Guide for Cisco Secure ACS Remote Agents Release 4.1 』を参照してください。

リモート ロギングをセットアップするには、次の手順を実行する必要があります。

1. 各 ACS SE で、リモート エージェントを追加します。詳細については、「リモート エージェントの設定(ACS Solution Engine のみ)」を参照してください。

2. リモート エージェントにログを送信するように各 ACS SE を設定します。詳細については、「ACS SE のリモート エージェントへのデータ送信設定」を参照してください。

3. リモート エージェントを設定プロバイダーとして使用するように設定されている ACS SE で、そのリモート エージェントに記録されるすべてのログの内容とログファイルの管理方法を設定します。詳細については、「設定プロバイダーでのリモート エージェント ログの設定」を参照してください。

セカンダリ サーバまたはミラー サーバとして使用する場合は、これらの手順を繰り返すことで、別のリモート エージェントへのリモート ロギングをセットアップできます。

ACS SE のリモート エージェントへのデータ送信設定

リモート エージェントにデータを送信するようにローカルの各 ACS SE を設定します。リモート ロギングのローカル設定は、リモート エージェントに送信されるログの種類、またはリモート エージェントに送信されるログに含まれるデータの設定には影響を与えません。リモート エージェントに送信されるログを設定する方法とログに含まれるデータの詳細については、「設定プロバイダーでのリモート エージェント ログの設定」を参照してください。

始める前に

リモート エージェントをインストールおよび設定してから、リモート エージェントにデータを送信する各 ACS SE でリモート ロギング機能を設定します。

リモート エージェントにデータを送信する各 ACS SE で、次の手順を実行します。


ステップ 1 ACS SE でリモート エージェントを追加します。詳細については、「リモート エージェントの設定(ACS Solution Engine のみ)」を参照してください。

ステップ 2 ナビゲーション バーの System Configuration をクリックします。

ステップ 3 Logging をクリックします。

Logging Configuration ページが開きます。

ステップ 4 Remote Logging Servers Configuration をクリックします。

Remote Logging Setup ページが表示されます。

ステップ 5 該当する Remote Logging Services Configuration オプションを設定します。これらのオプションの詳細については、「Remote Logging Setup ページ」を参照してください。

ステップ 6 Submit をクリックします。

指定したリモート ロギングの設定が ACS に保存および実装されます。


 

関連項目

「設定プロバイダーでのリモート エージェント ログの設定」

設定プロバイダーでのリモート エージェント ログの設定

設定プロバイダーで、リモート エージェントに保存するログ、ログの内容、およびリモート エージェントによるログ ファイルの管理方法を設定します。

ACS がログ データを送信するリモート エージェントを指定する方法については、「ACS SE のリモート エージェントへのデータ送信設定」を参照してください。

リモート エージェントの CSV ログを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

Logging Configuration ページが開きます。

ステップ 3 Remote Agent Reports Configuration をクリックします。

Remote Agent Reports Configuration ページが表示されます。

ステップ 4 設定するリモート ロギング レポートの Configure をクリックします。

CSV log File Configuration ページが表示されます。 log には選択したリモート エージェント ログの名前が表示されます。

ステップ 5 ログをイネーブルまたはディセーブルにするには、 Log to CSV log name report チェックボックスをオンまたはオフにします。 log name には、選択したリモート エージェント ログの名前が表示されます。

ステップ 6 AAA 関連レポートの場合は、ログに記録するアトリビュートを設定します。アトリビュートの設定オプションの詳細については、「CSV log File Configuration ページ」を参照してください。

ステップ 7 CSV ファイルのファイル管理オプションを指定します。ファイル管理オプションの詳細については、「CSV log File Configuration ページ」を参照してください。

ステップ 8 Submit をクリックします。

指定したリモート エージェントのログ設定が ACS に実装されます。


 

関連項目

「ACS SE のリモート エージェントへのデータ送信設定」

サービス ログの設定

ACS によるサービス ログ ファイルの生成および管理の方法を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Service Control をクリックします。

サービスのステータスが hostname テーブルに表示されます。 hostname は ACS を実行しているコンピュータの名前です。

ステップ 3 Services Log File Configuration ページでサービス ログ オプションを設定します。このページのオプションの詳細については、「Service Control ページのリファレンス」を参照してください。

サービス ログ ファイルをディセーブルにするには、Level of Detail で None オプションを選択します。

ステップ 4 Restart をクリックします。

ACS がサービスを再起動し、指定したサービス ログの設定が ACS に実装されます。


 

関連項目

「カスタマー サポートへのサービス ログの提供」

カスタマー サポートへのサービス ログの提供

カスタマー サポートに潜在的な問題を調査するための十分なデータを提供するには、Services Log File Configuration ページで、Level of Detail を Full に設定します。詳細については、「Service Control ページのリファレンス」を参照してください。ログ エントリを処理するための十分な空きディスク容量があることを確認します。

使用する ACS に問題が存在すると、カスタマー サポートは package.cab ファイルの作成を依頼します。package.cab ファイルには、次に示すさまざまなファイルが含まれています。

証明書ファイル :ACS サーバの証明書、および証明書の CA。

Admin.txt :ACS 管理者に関する情報が記載されています。

Host.txt および HostServices.txt :ホストおよびホストの設定に関する情報が記載されています。

NDG.txt :設定されたネットワーク デバイス グループが記載されています。

DictionaryKey.txt および DictionaryValue.txt :ACS ディクショナリ ファイルが含まれています。

package.cab ファイルを作成するには、次の手順を実行します。


ステップ 1 コマンド プロンプトで、drwtsn32 と入力します。

Dr. Watson の設定をチェックし、デフォルトのオプションの他に、Dump Symbol Table オプションと Dump All Thread Contents オプションが選択されていることを確認します。

ステップ 2 ACS のインストール ディレクトリの bin サブディレクトリに移動します。

ステップ 3 CSSupport.exe と入力します。

すべてのデフォルト オプションを指定してこの実行ファイルを実行します。このプログラムにより、Dr. Watson のログを含む必要な情報すべてが収集され、package.cab というファイルに書き込まれます。ファイルの場所は、実行ファイルの実行が完了すると表示されます。


 

ACS Web インターフェイスの System Configuration セクションにある Support 機能により、Run Support Now をクリックすると生成される package.cab ファイル内にサービス ログが組み込まれます。この機能の詳細については、「Support ページ (ACS Solution Engine のみ)」を参照してください。


) 2 GB を超える package.cab ファイルを作成すると、パッケージのサイズ制限により、追加の .cab ファイルが作成されます。最初のパッケージ名は package.cab、2 つ目のパッケージ名は package1.cab とされ、以後 N パッケージ目の packageN.cab まで同様に名前が付けられます。N は、パッケージ数から 1 を引いた数を指します。追加ファイルは、パックを開始する前に指定した場所と同じ場所に保存されます。これらは単独のファイルではないため、すべてを送信してパッケージする必要があります。ハードディスクの空き容量が不十分だと、パッケージ ファイル(package.cab)で問題が生じる可能性があります。


関連項目

「サービス ログの設定」

レポートの表示とダウンロード

レポートを表示およびダウンロードするには、Reports ページを最初に開きます。このページには、 ナビゲーション バー Reports and Activity からアクセスします。このページからアクセス可能なすべてのレポートのリストについては、「Reports ページのリファレンス」を参照してください。


) RDBMS Synchronization レポートと Database Replication レポートは、これらのオプションが
Interface Configuration > Advanced Options でイネーブルになっている場合にのみアクセスできます。


次のトピックでは、ACS Web インターフェイスでレポートを表示する方法、およびレポートをダウンロードする方法を説明します。

「CSV レポートの表示とダウンロード」

「ダイナミック管理レポートの表示」

「エンタイトルメント レポートの表示とダウンロード」

CSV レポートの表示とダウンロード

次のトピックでは、ACS CSV レポートを表示およびダウンロードする方法を説明します。

「CSV ログ ファイルの名前」

「CSV レポートの表示」

「CSV レポートのダウンロード」

CSV ログ ファイルの名前

Reports and Activity 内のレポートにアクセスすると、ACS によって、現在の CSV ファイルを一番上位にして、新しい順に CSV ファイルが一覧表示されます。現在のファイルは、 log .csv という名前になります。ここで log はログの名前です。

これよりも古いファイルには、次のような名前が付けられます。

logyyyy-mm-dd.csv

説明

log はログの名前です。

yyyy は CSV ファイルが開始された暦年です。

mm は CSV ファイルが開始された月を数字で表したものです。

dd は CSV ファイルが開始された日付です。

たとえば、2002 年 10 月 13 日に生成された Database Replication ログ ファイルは、Database Replication 2002-10-13.csv という名前になります。

関連項目

「CSV レポートの表示」

「CSV レポートのダウンロード」

CSV レポートの表示

ACS Web インターフェイスで、CSV レポートの内容を表示できます。カラムのエントリによってテーブルをソートしたり、CSV ログ レポートをフィルタリングしたりすることができます。

フィルタリング基準には、正規表現、時間範囲、またはその両方が含まれます。

正規表現ベースのフィルタリングでは、行ごとに、各カラムの値の少なくとも 1 つが、指定された正規表現に一致するかどうか調べられます。正規表現フィルタリングを使用する場合、ACS は各カラムを調べ、フィルタリング基準を満たす行だけを表示します。

Start Date & Time および End Date & Time に値を指定して、時間ベースのフィルタリングを使用できます。指定した日時範囲内の行が表示されます。

正規表現を入力し、時間ベースのフィルタリングも使用する場合、レポートには両方の基準を満たす行だけが表示されます。

CSV レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 表示する CSV レポートの名前をクリックします。

ACS によって、ブラウザの右側に、現在の CSV レポート ファイル名と、それ以前のすべての CSV レポート ファイルの名前が一覧表示されます。

ステップ 3 内容を表示する CSV レポート ファイルの名前をクリックします。

CSV レポート ファイルに情報が格納されている場合は、情報が表示領域に表示されます。

ステップ 4 現在の CSV レポートで、更新された情報を確認するには、 Refresh をクリックします。

ステップ 5 Next ボタンおよび Previous ボタンを使用すると、レポート ページ間を前後に移動できます。

ステップ 6 カラムのエントリによって昇順または降順にテーブルをソートするには、次の手順を実行します。カラムのエントリによって昇順でテーブルをソートするには、カラムのタイトルを一度クリックします。カラムのエントリによって降順でテーブルをソートするには、カラムのタイトルを再度クリックします。

ステップ 7 フィルタリング基準を指定し、ログ ファイルの内容にフィルタを適用するには、次の手順を実行します。

a. Regular Expression テキスト ボックスに文字列値を入力します。最大 100 文字の正規表現を入力できます。正規表現の文字と構文の定義については、 表10-6 を参照してください。

b. Start Date & Time テキスト ボックスと End Date & Time テキスト ボックスに文字列値を入力します。日時の形式は、ACS システム設定の日付形式に定義されているとおりで、
dd/mm/yyyy,hh:mm:ss
または mm/dd/yyyy,hh:mm:ss です。

c. Rows per Page ボックスで、1 ページあたりに表示する行数を選択します(デフォルトは 50 です)。

d. Apply Filter をクリックします。ACS Web サーバによって、指定したフィルタリング基準がレポート ファイルに適用され、フィルタリングされた結果がレポートのテーブルに表示されます。

e. フィルタリング パラメータをデフォルト値にリセットするには、 Clear Filter をクリックします。このオプションを使用すると、フィルタリングされずにレポート全体が表示されます。


 

 

表10-6 正規表現の構文の定義

文字
正規表現の使用法

^

キャレット(^)は、文字列の先頭と照合します。「begins with」と解釈されます。
たとえば ^A は、ABc や A123 と一致し、1A234 とは一致しません。キャレットの別の使用法については、最後のテーブル エントリを参照してください。

$

ドル記号($)は、文字列の末尾と照合します。「end with」と解釈されます。
たとえば yz$ は、xyz や 0123yz で終わる文字列と一致し、12yzA とは一致しません。

\

バックスラッシュ(\)は、任意の場所の任意の文字列と照合します。「contains」として解釈されます。
バックスラッシュは、特定の正規表現の「特殊文字」を表すために使用されることもあります(たとえば \+ は、プラス記号(+)に対して一致し、正規表現でプラス記号(+)を使用する場合と区別されます)。

.

ドット(.)は任意の 1 文字と照合します。

*

アスタリスク(*)は、正規表現でのアスタリスクの左にある文字が、任意の数のインスタンス(0 回以上連続するもの)と照合することを示します。

+

プラス記号(+)はアスタリスク(*)に似ていますが、正規表現でのプラス記号(+)の左に一致文字が 1 回以上連続している必要があります。

?

疑問符(?)は、その左側の表現または文字が 0 回または 1 回連続しているものと照合します。

|

パイプ(|)では、パイプの両方の側の表現をターゲット文字列と照合することができます。
たとえば A|a は、A と共に a にも一致します。

-

ハイフン(-)は、値の範囲を示します。たとえば、a-z と指定します。

()

括弧は、表現のグループ化に使用され、パターン評価の順番に影響します。

[]

文字セットを囲む角カッコ([ ])は、囲まれた文字のいずれかをターゲット文字と照合することを示します。角カッコ内の値は、1 つ以上の文字または範囲を指定することができます。たとえば、[02468]、[0-9] と指定します。

[^

左角カッコ([)の直後にキャレット(^)が続く場合は、カッコ内の残りの文字が、ターゲット文字列の一致対象から除外されます。たとえば [^0-9] は、ターゲット文字が数字ではなくアルファベットであることを示します。

関連項目

「CSV ログ ファイルの名前」

「CSV レポートのダウンロード」

CSV レポートのダウンロード

ACS で表示できる任意の CSV レポートの CSV ファイルをダウンロードできます。

CSV ログ ファイルをダウンロードした後は、一般的に利用されている表計算アプリケーション ソフトウェアを使用してスプレッドシートにインポートできます。詳細については、表計算ソフトウェアのマニュアルを参照してください。サード パーティ製のレポート ツールを使用してレポート データを管理することもできます。たとえば、Extraxi の aaa-reports! は ACS をサポートしています。

CSV レポートをダウンロードするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 必要とされる CSV レポートの名前をクリックします。

ACS によって、ブラウザの右側に、現在の CSV レポート ファイル名と、それ以前のすべての CSV レポート ファイルの名前が一覧表示されます。

ステップ 3 ダウンロードする CSV レポートのファイル名をクリックします。

CSV レポート ファイルに情報がある場合は、その情報が右ペインの表示領域に表示されます。

ステップ 4 ブラウザの右ペインで、 Download をクリックします。

ブラウザに、CSV ファイルを受け入れ、保存するかどうかを確認するダイアログボックスが表示されます。

ステップ 5 CSV ファイルを保存する場所を選択し、Save をクリックしてファイルを保存します。


 

関連項目

「CSV ログ ファイルの名前」

「CSV レポートの表示」

ダイナミック管理レポートの表示

次のトピックでは、ダイナミック管理レポートを表示および使用する方法を説明します。

「Logged-in Users レポートの表示」

「Disabled Accounts レポートの表示」

「Appliance Status レポートの表示」

Logged-in Users レポートの表示


) Logged-In Users レポートは、開くまでに最大で 20 秒かかることがあります。特定のユーザ情報は、表示されるまでに数分かかる場合もあります。


Logged-in Users レポートは ACS Web インターフェイスで表示できます。


) このユーザ リストは、ACS サービスが再起動されるときには必ずクリアおよび再起動されます。このリストには、リストが手動で削除されていない限り、ACS の最後の起動以降にログインしたユーザの名前が表示されます。


このレポートから、特定の AAA クライアントにログインしているユーザを削除するように ACS に指示することができます。ユーザがセッションを終了したときに、AAA クライアントがアカウンティング停止パケットを ACS に送信しなかった場合、そのユーザは Logged-in Users レポートに継続して表示されます。AAA クライアントからログインしているユーザを削除することにより、そのユーザ セッションのアカウンティングが終了します。


) ログイン ユーザを削除しても、特定の AAA クライアントにログインしたユーザの ACS アカウンティング レコードが終了するだけです。アクティブ ユーザ セッションを終了させることや、ユーザ レコードに影響することはありません。


Logged-in Users レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Logged-in Users をクリックします。

Select a AAA Client ページに、各 AAA クライアント、その IP アドレス、およびその AAA クライアントを介してログインしたユーザの数が表示されます。テーブルの一番下にある All AAA Clients エントリには、ログインしたユーザの合計数が表示されます。

ステップ 3 ログインしたすべてのユーザのリストを表示するには、 All AAA Clients をクリックします。

ステップ 4 特定の AAA クライアントを介してログインしたすべてのユーザのリストを表示するには、その AAA クライアントの名前をクリックします。

ACS は、ユーザのリストごとに、ログインしているすべてのユーザの情報をテーブル形式で表示します。次の情報が含まれます。

日時

ユーザ

グループ

割り当てられている IP

ポート

ソース AAA クライアント


ヒント このリストを印刷するには、右側のウィンドウの一部をクリックし、ブラウザからウィンドウを印刷します。

ステップ 5 このテーブルを任意のカラムのエントリによって昇順または降順にソートするには、次の手順を実行します。カラムのエントリによって昇順でテーブルをソートするには、カラムのタイトルを一度クリックします。カラムのエントリによって降順でテーブルをソートするには、カラムのタイトルを再度クリックします。

ステップ 6 特定の AAA クライアントからログインしているユーザを削除するには、次の手順を実行します。

a. AAA クライアントの名前をクリックします。

その AAA クライアントを介してログインしたすべてのユーザのテーブルが表示されます。Purge Logged in Users ボタンがテーブルの下に表示されます。

b. Purge Logged in Users をクリックします。

ACS に、レポートから削除されたユーザの数と AAA クライアントの IP アドレスを示すメッセージが表示されます。


 

Disabled Accounts レポートの表示

Disabled Accounts レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Disabled Accounts をクリックします。

Select a user account to edit ページに、無効なユーザ アカウント、アカウント ステータス、およびユーザ アカウントが割り当てられているグループが表示されます。


ヒント このリストを印刷するには、右側のウィンドウの一部をクリックし、ブラウザからウィンドウを印刷します。

ステップ 3 リスト内のユーザ アカウントを編集するには、User カラムでユーザ名をクリックします。

編集対象のユーザ アカウントが表示されます。

ユーザ アカウントの編集方法の詳細については、「基本ユーザ設定オプション」を参照してください。


 

Appliance Status レポートの表示

Appliance Status レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Appliance Status Page をクリックします。

Appliance Status レポートがブラウザの右ペインに表示されます。


ヒント このリストを印刷するには、右側のウィンドウの一部をクリックし、ブラウザからウィンドウを印刷します。


 

エンタイトルメント レポートの表示とダウンロード

ユーザとグループのマッピング情報を示す CSV ユーザ エンタイトルメント レポートをダウンロードできます。すべての管理者とその特権をまとめた 1 つのレポートと共に、個々の管理者のレポートまたは特権をダウンロードできます。個々の管理者のレポートは、ACS Web インターフェイスに表示することもできます。

エンタイトルメント レポートを表示およびダウンロードするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Entitlement Reports をクリックします。

Entitlement Reports ページが表示されます。

ステップ 3 ユーザ エンタイトルメント レポートをダウンロードするには、次の手順を実行します。

a. Download report for mappings of users to groups をクリックします。

ブラウザに、CSV ファイルを受け入れ、保存するかどうかを確認するダイアログボックスが表示されます。

b. CSV ファイルを保存する場所を選択し、Save をクリックします。

ステップ 4 すべての管理者の特権レポートをダウンロードするには、次の手順を実行します。

a. Download Privilege Report for All Administrators をクリックします。

ブラウザに、CSV ファイルを受け入れ、保存するかどうかを確認するダイアログボックスが表示されます。

b. CSV ファイルを保存する場所を選択し、Save をクリックします。

ステップ 5 個々の管理者の特権レポートを表示およびダウンロードするには、次の手順を実行します。

a. Privilege Report for Admin をクリックします。 Admin には、管理者アカウントの名前が表示されます。

ブラウザの右ペインにレポートが表示されます。


ヒント このリストを印刷するには、右ペインの一部をクリックし、ブラウザからウィンドウを印刷します。

b. CSV ログ ファイルをダウンロードするには、ブラウザの右ペインで Download をクリックします。

ブラウザに、CSV ファイルを受け入れ、保存するかどうかを確認するダイアログボックスが表示されます。

c. CSV ファイルを保存する場所を選択し、Save をクリックします。


 

アカウンティング ログでのアップデート パケット

ユーザ セッションのアカウンティング データを記録するように ACS を設定すると、ACS は必ず開始パケットと停止パケットを記録します。必要であれば、アップデート パケットも記録するように ACS を設定できます。ユーザ セッション時に仮のアカウンティング情報を提供することに加えて、アップデート パケットは、ACS Authentication Agent 経由でパスワード失効メッセージを送信します。アップデート パケットをこの用途に使用する場合は、ウォッチドッグ パケットと呼ばれます。


) ACS アカウンティング ログにアップデート パケットを記録するには、AAA クライアントがアップデート パケットを送信するように設定する必要があります。アップデート パケットを送信するように AAA クライアントを設定する方法の詳細については、AAA クライアントのマニュアルを参照してください。


Logging Update Packets Locally :ローカルの ACS のロギング設定に従ってアップデート パケットをロギングするには、Network Configuration で各 AAA クライアントに対して、Log Update/Watchdog Packets from this Access Server オプションをイネーブルにします。

AAA クライアントに対してこのオプションを設定する方法の詳細については、「AAA クライアントの追加」を参照してください。

Logging Update Packets Remotely :リモート ロギング サーバにアップデート パケットをロギングするには、ローカル ACS 上にあるリモート ロギング サーバの AAA Server テーブル エントリに対して、Log Update/Watchdog Packets from this remote AAA Server オプションをイネーブルにします。

AAA サーバに対してこのオプションを設定する方法の詳細については、「AAA サーバの追加」を参照してください。

Logging Configuration ページのリファレンス

次のトピックでは、Logging Configuration ページについて説明します。

「Logging Configuration ページ」

「Critical Loggers Configuration ページ」

「Remote Logging Setup ページ」

「Remote Agents Reports Configuration ページ(ACS SE のみ)」

「CSV log File Configuration ページ」

「Syslog log Configuration ページ」

「ODBC log Configuration ページ(ACS for Windows のみ)」

Logging Configuration ページ

Logging Configuration ページは、ロガーと個々のログを設定するときに開く最初のページです。

このページを開くには、 System Configuration > Logging を選択します。

 

表10-7 Logging Configuration ページ

オプション
説明

Critical Loggers Configuration

「Critical Loggers Configuration ページ」を開きます。ACS がアカウンティング メッセージを複数のロガーに記録する場合、このページで クリティカル ロガー を設定できます。

Remote Logging Services Configuration

「Remote Logging Setup ページ」を開き、リモート ロガーを設定します。

Remote Agent Reports Configuration

(ACS SE のみ)

「Remote Agents Reports Configuration ページ(ACS SE のみ)」 を開き、リモート エージェントにあるログの内容とファイル管理方法を設定します。

ACS Reports table

イネーブルになっているログを表示します。Configure リンクを選択すると、ログごとに次に示す個々の設定ページが開かれます。

「CSV log File Configuration ページ」

「Syslog log Configuration ページ」

「ODBC log Configuration ページ(ACS for Windows のみ)」

関連項目

「ACS ログの設定」

「ACS for Windows のリモート ロギング」

「ACS リモート エージェントによる ACS SE のリモート ロギング」

Critical Loggers Configuration ページ

Critical Loggers Configuration ページでは、アカウンティング ログに クリティカル ロガー を設定して、これらのログが少なくとも 1 つのロガーに配信されるよう保証します。

このページを開くには、 System Configuration > Logging を選択します。Logging Configuration ページで、 Critical Loggers Configuration リンクをクリックします。

 

表10-8 Critical Loggers Configuration ページ

オプション
説明

RADIUS accounting critical logger

RADIUS Accounting ログにクリティカル ロガーを指定します。

TACACS+ accounting critical logger

TACACS+ Accounting ログにクリティカル ロガーを指定します。

VoIP accounting critical logger

VoIP Accounting ログにクリティカル ロガーを指定します。


) syslog 標準によると、syslog メッセージのロギングは保証されていないため、クリティカル ロガーとして syslog ロガーを設定することはお勧めできません。


関連項目

「クリティカル ロガーの設定」

Remote Logging Setup ページ

Remote Logging Setup ページを使用して、ローカル ACS のログ送信先となるリモート ロガーを設定します。

このページを開くには、 System Configuration > Logging を選択します。Logging Configuration ページで、Remote Logging Servers Configuration リンクをクリックします。

 

表10-9 Remote Logging Setup ページ

オプション
説明

Do not log remotely

リモート ロガーへのロギングをディセーブルにします。

Log to all selected remote log services

ロギング データを Selected Log Services リスト内のすべてのリモート ロガーに送信します。

Log to subsequent remote log services on failure

この ACS サーバのロギング情報を 1 つのリモート ロガーに送信します。ACS は、Selected Log Services リスト内で最初にアクセス可能なリモート ロガーにログを記録します。

このオプションは、最初のリモート ロガーが失敗した場合にのみ、Selected Log Services リスト内の次のリモート ロガーにロギング データが送信されるように ACS を設定する場合に使用します。

Log Services lists

これらのリストには、AAA Services テーブルで設定される ACS サーバが含まれます。

右(->)および左(<-)の矢印ボタンにより、Selected Log Services リストのロギング サービスを追加および削除します。

Up ボタンと Down ボタンにより、Selected Log Services リストのロギング サービスを並べ替えます。

関連項目

「ACS for Windows のリモート ロギング」

「ACS リモート エージェントによる ACS SE のリモート ロギング」

Remote Agents Reports Configuration ページ(ACS SE のみ)

設定プロバイダーとして使用するようにリモート エージェントが設定されている ACS SE の Remote Agent Reports Configuration ページを使用して、 そのリモート エージェントに記録されるすべてのログの内容とログ ファイルの管理方法を設定します。

このページを開くには、 System Configuration > Logging を選択します。Logging Configuration ページで、Remote Agent Reports Configuration リンクをクリックします。

 

表10-10 Logging Configuration ページ

オプション
説明

Remote Logging Reports table

リモート エージェントへの送信がイネーブルになっているログを表示します。Configure リンクを選択すると、ログごとに個々の設定ページが開かれます。

関連項目

「設定プロバイダーでのリモート エージェント ログの設定」

CSV log File Configuration ページ

CSV log File Configuration ページでは、ローカルまたはリモートの個々の CSV ロガーへのロギングをイネーブルにし、そのログの内容とファイル管理方法を設定します。

このページを開くには、 System Configuration > Logging を選択します。Reports Configurations テーブルで、CSV カラムにあるログの Configure をクリックします。

ACS SE 設定プロバイダーの場合、リモート エージェントへのリモート ロギングをイネーブルにするには、 Remote Agent Reports Configuration をクリックしてから、ログの Configure をクリックします。


) ACS SE の場合、ローカル CSV 監査ログに設定可能なオプションはありません。


 

表10-11 CSV log File Configuration ページ

オプション
説明
Enable Logging

ログをイネーブルまたはディセーブルにするオプションが表示されます。

Log to CSV log report チェックボックス

選択したロガーへのロギングをイネーブルまたはディセーブルにします。


) CSV 監査ログの場合は常にイネーブルになっているため、このチェックボックスはグレー表示されます。


Configure Log Content

(AAA 関連レポートのみ)

ログに記録するアトリビュートを指定するオプションが表示されます。

Select Columns to Log

Attribute リストには、ロギング用に選択されていないアトリビュートが表示されます。Logged Attributes リストには、ロギング用に選択されているアトリビュートが表示されます。

右(->)および左(<-)の矢印ボタンにより、Logged Atttibutes リストのアトリビュートを追加および削除します。

Up ボタンと Down ボタンにより、Logged Attributes リスト内のアトリビュートを並べ替えます。

Reset Columns ボタン

Logged Attributes リスト内のアトリビュートをデフォルトの選択に戻します。

Log File Management

(ACS for Windows と Remote Agent Reports 設定のみ)

ログ ファイル管理オプションが含まれています。

Generate New File

ACS またはリモート エージェントで新しい CSV ファイルを生成するタイミングを指定します。

Every day :毎日、現地時間午前 12:01 に実行。

Every week :毎週日曜日の現地時間午前 12:01 に実行。

Every month :毎月 1 日の現地時間午前 12:01 に実行。

When size is greater than x KB :現在のファイル サイズが、キロバイト単位で X ボックスに入力した値に到達したときに実行。

Directory

ACS またはリモート エージェントが、CSV ログ ファイルを書き込む先のディレクトリ。ドライブ文字を含むフル パスで指定することをお勧めします。フル パスでない場合、ファイルの場所はインストール ディレクトリからの相対パスになります。リモート エージェント サーバが Sun Solaris を使用する場合、そのパスは
/usr/data/acs-logs
などのルート ディレクトリで始まる必要があります。

Manage Directory

保持する CSV ファイルを管理します。

Keep only the last X files

保持する CSV ファイルの数を制限します。保持するファイルの最大数を X ボックスに入力します。

Delete files older than X days

保持する CSV ファイルの経過日数を制限します。CSV ファイルを削除するまでの日数を入力します。

関連項目

「CSV ログの設定」

「リモート ロギング サーバの設定」

「設定プロバイダーでのリモート エージェント ログの設定」

Syslog log Configuration ページ

Syslog log File Configuration ページでは、最大 2 つの syslog ロガーへのロギングをイネーブルにし、それらのログの内容を設定します。

このページを開くには、 System Configuration > Logging を選択します。Reports Configurations テーブルで、Syslog カラムにあるログの Configure をクリックします。

 

表10-12 Syslog log File Configuration ページ

オプション
説明
Enable Logging

ログをイネーブルまたはディセーブルにするオプションが表示されます。

Log to syslog log report チェックボックス

選択したロガーへのロギングをイネーブルまたはディセーブルにします。デフォルトはディセーブルです。

Configure Log Content

(AAA 関連レポートのみ)

ログに記録するアトリビュートを指定するオプションが表示されます。

Select Columns to Log

Attribute リストには、ロギング用に選択されていないアトリビュートが表示されます。Logged Attributes リストには、ロギング用に選択されているアトリビュートが表示されます。

右(->)および左(<-)の矢印ボタンにより、Logged Atttibutes リストのアトリビュートを追加および削除します。

Up ボタンと Down ボタンにより、Logged Attributes リスト内のアトリビュートを並べ替えます。

Reset Columns ボタン

Logged Attributes リスト内のアトリビュートをデフォルトの選択に戻します。

Syslog Servers

最大 2 つの syslog ロギング サーバを設定するオプションが表示されます。

IP

syslog サーバの IP アドレスを指定します。

Port

ログ メッセージの送信先となる syslog サーバのポートを指定します。

Max message length (bytes)

syslog メッセージの最大メッセージ長をバイト単位で指定します。デフォルト長は、標準 syslog サーバで推奨されるメッセージ長の 1024 バイトです。syslog をプロキシとして使用する場合は、メッセージ長を短くして、プロキシ ヘッダー用のスペースを確保します。

許容最小値は 200 バイトです。

関連項目

「syslog ロギングの設定」

「リモート ロギング サーバの設定」

ODBC log Configuration ページ(ACS for Windows のみ)

ODBC log Configuration ページでは、個々の ODBC ロガーへのロギングをイネーブルにし、ACS の内容と接続の設定内容を ODBC データベースに設定します。

このページを開くには、 System Configuration > Logging を選択します。Reports Configurations テーブルで、ODBC カラムにあるログの名前の近くにあるアイコンをクリックします。

 

表10-13 ODBC log Configuration ページ

オプション
説明
Enable Logging

ログをイネーブルまたはディセーブルにするオプションが含まれています。

Log to ODBC log report チェックボックス

選択したロガーへのロギングをイネーブルまたはディセーブルにします。デフォルトはディセーブルです。

Configure Log Content
(AAA 関連レポートのみ)

ログに記録するアトリビュートを指定するオプションが表示されます。

Select Columns to Log

Attribute リストには、ロギング用に選択されていないアトリビュートが表示されます。Logged Attributes リストには、ロギング用に選択されているアトリビュートが表示されます。

右(->)および左(<-)の矢印ボタンにより、Logged Atttibutes リストのアトリビュートを追加および削除します。

Up ボタンと Down ボタンにより、Logged Attributes リスト内のアトリビュートを並べ替えます。

Reset Columns ボタン

Logged Attributes リスト内のアトリビュートをデフォルトの選択に戻します。

ODBC Connection Settings

ACS が ODBC データベースと通信するためのオプションが表示されます。

Data Source list

ACS が ODBC ロギング データを使用するリレーショナル データベースに送信できるようにするために作成したシステム DSN。

Username

リレーショナル データベース内のユーザ アカウントのユーザ名(最大 80 文字)。


) ユーザは、ODBC ロギング データを適切なテーブルに書き込むために、リレーショナル データベースで十分な特権を持っている必要があります。


Password

指定したリレーショナル データベースのユーザ アカウントのパスワード(最大 80 文字)

Table Name

ODBC ロギング データを付加するテーブルの名前(最大 80 文字)

Create Table Statement

SQL create table 文を表示するオプションが表示されます。

Show Create Table ボタン

Microsoft SQL Server の SQL create table 文を表示します。create table 文は、ACS ウィンドウの右パネルに表示されます。

テーブル名は、Table Name フィールドで指定する名前です。カラム名は、Logged Attributes リストで指定されているアトリビュートです。


) 生成された SQL は、Microsoft SQL Server でのみ有効です。別のリレーショナル データベースを使用する場合は、使用するリレーショナル データベースのマニュアルで、テーブルを作成するコマンドの記述方法を参照してください。


関連項目

「ODBC ログの設定(ACS for Windows のみ)」

「リモート ロギング サーバの設定」

Service Control ページのリファレンス

Services Log File Configuration ページでは、サービス ログのロギングをイネーブルまたはディセーブルにし、そのログの詳細とファイル管理方法を設定します。

このページを開くには、 System Configuration > Service Control を選択します。

これらのオプションを有効にするには、Restart ボタンをクリックする必要があります。

 

表10-14 Services Log File Configuration ページ

オプション
説明

Cisco Secure ACS on <server>

ACS サービスが実行中かまたは停止しているかを表示します。

Services Log File Configuration

サービスのロギングをイネーブル、ディセーブル、および設定するオプションが表示されます。

Level of Detail

ロギングをディセーブルにするか、またはロギングのレベルを設定します。

None :ログ ファイルは生成されません。

Low :起動動作と停止動作だけがロギングされます。これがデフォルト設定です。

Full :すべてのサービス動作がロギングされます。このオプションは、カスタマー サポート向けにデータを収集するときに使用します。このオプションにより、潜在的な問題の調査に十分なデータをカスタマー サポートに提供します。ログ エントリを処理するための十分な空きディスク容量があることを確認します。

Log File Management

(ACS for Windows のみ)

ログ ファイル管理オプションが含まれています。

Generate New File

ACS またはリモート エージェントで新しい CSV ファイルを生成するタイミングを選択します。

Every day :毎日、現地時間の午前 12:01 に実行。

Every week :毎週日曜日の現地時間午前 12:01 に実行。

Every month :毎月 1 日の現地時間午前 12:01 に実行。

When size is greater than x KB :現在のファイル サイズが、キロバイト単位で X ボックスに入力した値に到達したときに実行。

Manage Directory

保持する CSV ファイルを管理する場合にオンにします。

Keep only the last X files

保持する CSV ファイルの制限数を選択します。保持するファイルの最大数を X ボックスに入力します。

Delete files older than X days

保持する CSV ファイルの経過日数の制限を選択します。CSV ファイルを削除するまでの日数を入力します。

関連項目

「サービス ログの設定」

Reports ページのリファレンス

このページを使用して、ACS CSV レポートにアクセスし、ダウンロードします。

このページを開くには、ナビゲーション バーの Reports and Activity をクリックします。

 

表10-15 Reports ページ

オプション
説明

TACACS+ Accounting Reports

TACACS+ Accounting レポートを表示します。このレポートには、レポートの対象期間に該当項目が成功した認証のすべてのレコードが表示されます。

TACACS+ Administration Reports

TACACS+ Administration レポートを表示します。このレポートには、レポートの対象期間に要求されたすべての TACACS+ コマンドが表示されます。通常この情報は、ACS を使用してルータへのアクセスを管理する場合に使用されます。

RADIUS Accounting Report

RADIUS Accounting レポートを表示します。このレポートには、レポートの対象期間に該当項目が成功した認証のすべてのレコードが表示されます。

VoIP Accounting Reports

VoIP Accounting レポートを表示します。このレポートには、レポートの対象期間に該当項目が成功した認証のすべてのレコードが表示されます。

Passed Authentications

Passed Authentications レポートを表示します。このレポートには、レポートの対象期間に成功した認証のすべてが一覧表示されます。

Failed Attempts

Failed Attempts レポートを表示します。このレポートには、TACACS+ と RADIUS のレポートの対象期間に成功しなかったすべての認証のレコードが表示されます。このレポートには、試行されたユーザ名、日時、および失敗の原因も記録されています。

Logged-In Users

現在ログインしているすべてのユーザを AAA クライアントごとにグループ化して表示します。特定の AAA クライアントまたはすべての AAA クライアントからログイン ユーザを削除できます。

Disabled Accounts

無効になっているアカウントを表示します。

ACS Backup and Restore

ACS Backup and Restore レポートを表示します。このレポートには、ACS システム情報がバックアップおよび復元された日時、およびアクションが正常に実行されたかどうかが一覧表示されます。

RDBMS Syncronization

RDBMS Synchronization レポートを表示します。このレポートには、RDBMS データベースが同期化された時刻、および同期が手動によるものかスケジュールされたものかどうかが表示されます。

このレポートは、Interface Configuration > Advanced Options ページでこのオプションをイネーブルにした場合にのみ表示できます。

Database Replication

Database Replication レポートを表示します。このレポートには、ACS 内部データベースがバックアップ サーバに複製された時刻、および複製が手動によるものかスケジュールされたものかどうかが表示されます。

このレポートは、Interface Configuration > Advanced Options ページでこのオプションをイネーブルにした場合にのみ表示できます。

Administration Audit

Administration Audit レポートを表示します。このレポートには、該当する日付に ACS にアクセスした管理者、ACS で管理者が行ったアクションまたは操作、およびその操作の時刻が一覧表示されます。ログに記録されるアクションは、管理セッションの開始と停止、ユーザおよびグループ データの編集、ネットワーク設定の変更などです。

User Password Changes

User Password Changes レポートを表示します。このレポートには、ACS 内部データベースに保存されているパスワードに対して、ユーザが開始した変更についての情報が表示されます。

ACS Service Monitoring

ACS Service Monitoring レポートを表示します。このレポートには、CSAdmin などのサービスを監視しようとして ACS で発生したイベントのログが表示されます。この情報には、Active Service Monitor や CSMon サービスのイベントなどがあります。

Entitlement Reports

表示可能なユーザおよび管理者のエンタイトルメント レポートを一覧表示します。ユーザのエンタイトルメント レポートには、すべてのユーザとそのグループ、関連する場合は NAP、およびマッピング タイプ(スタティックまたはダイナミック)が一覧表示されます。管理者のエンタイトルメント レポートには、管理者の特権が一覧表示されます。

Appliance Status Page(ACS SE のみ)

IP ネットワーク設定、および ACS アプライアンスのネットワーク インターフェイス カードの情報と共に、ハードウェア リソースの利用率に関する現在の統計情報を表示します。

Appliance Administration Audit
(ACS SE のみ)

Appliance Administration Audit レポートを表示します。このレポートには、ACS アプライアンスのシリアル コンソールでのアクティビティのリストが表示されます。ログインのためにアプライアンス管理者アカウントが使用された時刻、シリアル コンソール セッション時に発行されたコマンド、および管理者がログアウトしてセッションが終了した時刻が記録されます。

関連項目

「ACS ログとレポートについて」

「レポートの表示とダウンロード」