Cisco Secure ACS Appliance ユーザガイド 3.2
ログとレポート
ログとレポート
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

ログとレポート

ロギングの形式

特殊なロギング アトリビュート

アカウンティング ログの更新パケット

Cisco Secure ACS のログおよびレポートについて

アカウンティング ログ

ダイナミック管理レポート

Logged-In Users レポートの表示

ログインしたユーザの削除

Disabled Accounts レポートの表示

Appliance Status レポートの表示

Cisco Secure ACS システム ログ

各種の CSV ログの使用

CSV ログのサイズと保存

CSV ログの使用可能または使用不可の設定

CSV レポートの表示

CSV ログの設定

リモート ロギング

リモート ロギングについて

中央リモート ロギングの設定

リモート ロギングのローカル設定

リモート ロギングのオプション

リモート ロギングの使用可能設定

リモート ロギングの使用不可設定

リモート エージェント ロギングの設定

リモート エージェント ロギングのオプション

リモート エージェントのログの設定

サービス ログ

ログに記録されるサービス

サービス ログのレベル設定

ログとレポート

Cisco Secure ACS Appliance では、各種のログが作成されます。これらのログのほとんどを Cisco Secure ACS HTML インターフェイス内で HTML レポートとして表示できます。

この章では、次のトピックについて取り上げます。

「ロギングの形式」

「特殊なロギング アトリビュート」

「アカウンティング ログの更新パケット」

「Cisco Secure ACS のログおよびレポートについて」

「各種の CSV ログの使用」

「リモート ロギング」

「サービス ログ」

ロギングの形式

Cisco Secure ACS では、各種のユーザ アクティビティおよびシステム アクティビティのログが作成されます。Cisco Secure ACS Appliance では、内容にかかわらず、すべてのログが CSV(カンマ区切り)形式のファイルで作成されます。CSV 形式は、データがカンマで区切られたカラムに記録される形式です。

CSV 形式のファイルは、Microsoft Excel、Microsoft Access など各種のサードパーティ製のアプリケーションへのインポートが容易です。CSV ファイルのデータをこうしたアプリケーションにインポートすると、図を作成したり、ある期間中にユーザがネットワークにどのくらいの時間ログインしていたかなどのクエリーを実行できます。Microsoft Excel などサードパーティ製のアプリケーションで CSV ファイルを使用する方法については、サードパーティ ベンダーのマニュアルを参照してください。

CSV ファイルにアクセスするには、HTML インターフェイスから CSV ファイルをダウンロードします。HTML インターフェイスからの CSV ファイルのダウンロード方法の詳細については、「CSV レポートの表示」を参照してください。

特殊なロギング アトリビュート

Cisco Secure ACS でログに記録できる多くのアトリビュートの中でも、特に重要なものがいくつかあります。Cisco Secure ACS の特殊なロギング アトリビュートを次に示します。

User Attributes :ユーザ アトリビュートは、ログ設定ページの Attributes リストに表示されます。 このリストには、Real Name、Description、User Field 3、User Field 4、User Field 5 というデフォルト名でユーザ アトリビュートが表示されます。ユーザ定義アトリビュートの名前を変更した場合でも、変更後の名前ではなくデフォルト名でリストに表示されます。

これらのアトリビュートの内容は、ユーザ アカウント内の対応するフィールドに入力された値によって決まります。ユーザ アトリビュートの詳細については、「ユーザ データの設定オプション」を参照してください。

ExtDB Infoユーザが外部ユーザ データベースで認証された場合は、データベースから返された値がこのアトリビュートに表示されます。Windows ユーザ データベースの場合は、ユーザを認証したドメインの名前がこのアトリビュートに表示されます。

Failed Attempts ログのエントリでは、ユーザの認証に最後に成功したデータベースがこのアトリビュートに表示されます。ユーザ認証試行に失敗したデータベースは表示されません。

Access Device :Cisco Secure ACS にロギング データを送信した AAA クライアントの名前です。

Network Device Group :アクセス デバイス(AAA クライアント)が属するネットワーク デバイス グループです。

Filter Information :ユーザに Network Access Restriction (NAR; ネットワーク アクセス制限)が適用される場合のアクセス制限の結果です。このフィールドには、適用されるすべての NAR によってユーザのアクセスが許可されたことを知らせるメッセージ、適用されるすべての NAR によってユーザのアクセスが拒否されたことを知らせるメッセージ、どの NAR によってユーザのアクセスが拒否されたかの詳細情報のいずれかが表示されます。ユーザに適用される NAR がない場合は、適用される NAR がなかったことを知らせるメッセージが表示されます。

フィルタ情報アトリビュートは Passed Authentication ログと Failed Attempts ログに使用できます。

Device Command Set :コマンド許可要求を満たすために使用されたデバイス コマンド セットがある場合のデバイス コマンド セットの名前です。

デバイス コマンド セット アトリビュートは Failed Attempts ログに使用できます。

Remote Logging Result :転送されたアカウンティング パケットがリモート ロギング サービスによって正常に処理されたかどうかを示します。このアトリビュートは、どのアカウンティング パケットが中央ロギング サービスによってログ処理されなかったかを判別するのに役立ちます。リモート ロギング サービスから確認応答メッセージを受信したかどうかで、正常に処理されたかどうかがわかります。 確認応答メッセージを受信した場合は、リモート ロギング サービスの設定どおりにアカウンティング パケットが正常に処理されたことを意味します。値 Remote-logging-successful は、リモート ロギング サービスによってアカウンティング パケットが正常に処理されたことを示します。値 Remote-logging-failed は、リモート ロギング サービスによってアカウンティング パケットが正常に処理されなかったことを示します。


) Cisco Secure ACS では、転送されたアカウンティング パケットの処理方法についてのリモート ロギング サービスの設定は判別できません。たとえば、アカウンティング パケットを廃棄するようリモート ロギング サービスが設定されている場合は、転送されたアカウンティング パケットが廃棄され、確認応答メッセージが Cisco Secure ACS に送信されます。この場合、Cisco Secure ACS のアカウンティング パケットが記録されるローカル ログのリモート ロギング結果アトリビュートに値 Remote-logging-successful が記録されます。


アカウンティング ログの更新パケット

ユーザ セッションのアカウンティング データを記録するよう Cisco Secure ACS を設定すると、開始パケットと終了パケットが記録されます。更新パケットも記録するよう Cisco Secure ACS を設定することもできます。更新パケットは、ユーザ セッション中に中間アカウンティング情報を送信するほか、CiscoSecure 認証エージェントを通じてパスワード期限満了メッセージを送信します。このため、更新パケットはウォッチドッグ パケットとも呼ばれます。


) Cisco Secure ACS のアカウンティング ログに更新パケットを記録するには、更新パケットを送信するよう AAA クライアントを設定する必要があります。更新パケットを送信するよう AAA クライアントを設定する方法の詳細については、AAA クライアントのマニュアルを参照してください。


Logging Update Packets Locally :ローカルの Cisco Secure ACS のロギング設定に従って更新パケットを記録するには、このアクセス サーバ オプションから、Network Configuratin に含まれる各 AAA クライアントに対して Log Update/Watchdog Packets を使用可能にします。

AAA クライアントに対するこのオプションの設定の詳細については、「AAA クライアントの追加」を参照してください。

Logging Update Packets Remotely :リモートのロギング サーバで更新パケットを記録するには、このリモート AAA サーバ オプションから、ローカルの Cisco Secure ACS 内の AAA Server テーブルに含まれるリモート サーバに対して Log Update/Watchdog Packets を使用可能にします。

AAA サーバに対するこのオプションの設定の詳細については、「AAA サーバの追加」を参照してください。

Cisco Secure ACS のログおよびレポートについて

Cisco Secure ACS によって作成されるログは次の 4 つのタイプに分けられます。

アカウンティング ログ

Dynamic Cisco Secure ACS 管理レポート

Cisco Secure ACS システム ログ

サービス ログ

この項では、最初の 3 タイプのログについて説明します。サービス ログについては、「サービス ログ」を参照してください。

この項では、次のトピックについて取り上げます。

「アカウンティング ログ」

「ダイナミック管理レポート」

「Cisco Secure ACS システム ログ」

アカウンティング ログ

アカウンティング ログには、ユーザによるリモート アクセス サービスの利用状況についての情報が記録されます。 アカウンティング ログは、CSV 形式で使用できます。 表11-1 に、すべてのアカウンティング ログの説明を示します。

どのアカウンティング ログも HTML インターフェイス内で使用可能にしたり、設定したり、表示できます。 表11-2 に、Cisco Secure ACS の HTML インターフェイス内で行うことができるアカウンティング ログの操作を説明します。

 

表11-1 アカウンティング ログの説明

ログ
説明

TACACS+ Accounting

次の情報が記録されます。

ユーザ セッションの終了時刻と開始時刻

AAA クライアント メッセージとユーザ名

Caller Line Identification(CLID; 発信者回線識別)情報

セッションの持続時間

TACACS+ Administration

AAA クライアントで TACACS+(Cisco IOS)を使用して入力された設定コマンドが記録されます。特に、Cisco Secure ACS を使用してコマンド許可を実行する場合は、このログの使用が推奨されます。


) TACACS+ Administration ログを使用するには、Cisco Secure ACS でコマンド アカウンティングを実行するよう TACACS+ AAA クライアントを設定する必要があります。


RADIUS Accounting

次の情報が記録されます。

ユーザ セッションの終了時刻と開始時刻

AAA クライアント メッセージとユーザ名

CLID 情報

セッションの持続時間

Voice-over-IP(VoIP)アカウンティングの記録場所として、RADIUS Accounting ログ、個別の VoIP Accounting ログ、その両方のいずれかを Cisco Secure ACS に設定できます。

VoIP Accounting

次の情報が記録されます。

VoIP セッションの終了時刻と開始時刻

AAA クライアント メッセージとユーザ名

CLID 情報

VoIP セッションの持続時間

Voice-over-IP(VoIP)アカウンティングの記録場所として、この個別の VoIP Accounting ログ、RADIUS Accounting ログ、その両方のいずれかを Cisco Secure ACS に設定できます。

Failed Attempts

認証および許可の失敗とその原因が記録されます。

Passed Authentications

成功した認証要求が記録されます。このログは AAA クライアントからのアカウンティング パケットに依存しないため、AAA クライアントが RADIUS アカウンティングをサポートしない場合、および AAA クライアント上のアカウンティングを使用不可にした場合でもログを使用できます。

 

表11-2 アカウンティング ログで可能な操作

操作
説明と関連項目

アカウンティング ログの使用可能設定

方法については、「CSV ログの使用可能または使用不可の設定」を参照してください。

アカウンティング レポートの表示

方法については、「CSV レポートの表示」を参照してください。

アカウンティング ログの設定

方法については、「CSV ログの設定」を参照してください。

ダイナミック管理レポート

Cisco Secure ACS の HTML インターフェイス内でユーザ アカウントにアクセスしたとき、そのユーザ アカウントのステータスがダイナミック管理レポートに表示されます。これらのレポートは HTML インターフェイス内でだけ使用でき、常時使用可能であり、設定は不要です。

表11-3 に、すべてのダイナミック管理レポートの説明とこれらのレポートで可能な操作を示します。

 

表11-3 ダイナミック管理レポートの説明と関連項目

レポート
説明と関連項目

Logged-In Users

特定の 1 つの AAA クライアントまたはすべての AAA クライアントからサービスを受けているすべてのユーザが表示されます。Cisco Aironet 機器でネットワークにアクセスしているユーザは、Cisco Aironet Access Point 上のファームウェア イメージによってキー再生成認証用の RADIUS サービスタイプ アトリビュートの送信がサポートされることを条件に、現在対応しているアクセス ポイントのリストに表示されます。

マシン認証の実行が設定されているコンピュータでは、コンピュータの起動時にマシン認証が実行されます。コンピュータが起動されると、ユーザがコンピュータにログインする前に、Reports and Activity セクションの Logged-In Users リストにそのコンピュータが表示されます。ユーザ認証が開始されると、Logged-In Users リストからそのコンピュータの表示が消えます。マシン認証の詳細については、「EAP と Windows 認証」を参照してください。


) Logged-in User リスト機能を使用するには、TACACS+ または RADIUS のどちらか同じプロトコルを使用して認証とアカウンティングを実行するよう AAA クライアントを設定する必要があります。


HTML インターフェイス内で Logged-in User レポートを表示する方法については、「Logged-In Users レポートの表示」を参照してください。

ログインしたユーザを特定の AAA クライアントまたはすべての AAA クライアントから削除する方法については、「ログインしたユーザの削除」を参照してください。

Disabled Accounts

現在使用不可になっているすべてのユーザ アカウントとその理由が表示されます。

HTML インターフェイス内で Disabled Accounts レポートを表示する方法については、「Disabled Accounts レポートの表示」を参照してください。

Appliance Status

Cisco Secure ACS Appliance のリソース使用状況に関する統計情報と、ネットワーク インターフェイス カードの MAC アドレスを含む IP 設定に関する詳細情報が表示されます。

Logged-In Users レポートの表示

Logged-in Users レポートを表示するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Logged-in Users をクリックします。

Select a AAA Client ページに、各 AAA クライアントの名前、IP アドレス、その AAA クライアントにログインしたユーザ数が表示されます。テーブルの下部の All AAA Clients エントリに、ログインしたユーザの総数が表示されます。


ヒント テーブルのいずれかのカラムのエントリを基準にして、昇順または降順にテーブルをソートできます。カラムのタイトルを一度クリックすると、エントリが昇順にソートされます。カラムのタイトルをもう一度クリックすると、エントリが降順にソートされます。

ステップ 3 次のいずれかの操作をします。

ログインしたすべてのユーザのリストを表示するには、 All AAA Clients をクリックします。

特定の AAA クライアントにログインしたユーザのリストを表示するには、その AAA クライアントの名前をクリックします。

ログインしたユーザと次の関連情報を含むテーブルが表示されます。

日付と時刻

ユーザ

グループ

割り当てられた IP

ポート

ソース AAA クライアント


ヒント テーブルのいずれかのカラムのエントリを基準にして、昇順または降順にテーブルをソートできます。カラムのタイトルを一度クリックすると、エントリが昇順にソートされます。カラムのタイトルをもう一度クリックすると、エントリが降順にソートされます。


 

ログインしたユーザの削除

特定の AAA クライアントにログインしたユーザを Logged-in Users レポートから削除することを、Cisco Secure ACS に指定できます。AAA クライアントから Cisco Secure ACS にアカウンティング終了パケットが送信されずにユーザ セッションが終了した場合、Logged-in Users レポートにそのユーザが表示されたままになります。ログインしたユーザを AAA クライアントから削除すると、それらのユーザ セッションのアカウンティングが終了します。


) ログインしたユーザを削除すると、特定の AAA クライアントにログインしたユーザの Cisco Secure ACS 内のアカウンティング レコードだけが終了します。アクティブなユーザ セッションは終了せず、ユーザ レコードにも影響はありません。


ログインしたユーザを削除するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Logged-in Users をクリックします。

Select a AAA Client ページに、各 AAA クライアントの名前、IP アドレス、その AAA クライアントにログインしたユーザ数が表示されます。テーブルの下部の All AAA Clients エントリに、ログインしたユーザの総数が表示されます。

ステップ 3 Logged-in Users レポートからユーザを削除する AAA クライアントの名前をクリックします。

その AAA クライアントにログインしたすべてのユーザを含むテーブルが表示されます。テーブルの下に Purge Logged in Users ボタンが表示されます。

ステップ 4 Purge Logged in Users をクリックします。

そのレポートから削除されたユーザの数と AAA クライアントの IP アドレスを知らせるメッセージが表示されます。


 

Disabled Accounts レポートの表示

Disabled Accounts レポートを表示するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Disabled Accounts をクリックします。

Select a user account to edit ページに、使用不可になっているユーザ アカウント、アカウント ステータス、そのユーザ アカウントが割り当てられているグループが表示されます。

ステップ 3 表示されているユーザ アカウントを編集するには、User カラムのユーザ名をクリックします。

編集するユーザ アカウントが表示されます。

ユーザ アカウントの編集の詳細については、「User Setup の基本オプション」を参照してください。


 

Appliance Status レポートの表示

Appliance Status レポートを表示するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Appliance Status をクリックします。

Cisco Secure ACS Appliance のリソース使用状況に関する情報が表示されます。Cisco Secure ACS Appliance の IP 設定とネットワーク インターフェイス カードの MAC アドレスの情報も表示されます。


ヒント Appliance Status レポートのページに表示された情報を更新するには、Refresh をクリックします。


 

Cisco Secure ACS システム ログ

システム ログは Cisco Secure ACS システムに関するログで、システム関連イベントが記録されます。これらのログはトラブルシューティングや監査に役立ちます。システム ログは常時使用可能であり、CSV 形式で使用できます。各システム ログの詳細については、 表11-4 を参照してください。

HTML インターフェイス内で CSV レポートを表示する方法については、「CSV レポートの表示」を参照してください。

 

表11-4 システム ログの説明と関連項目

ログ
説明と関連項目

ACS Backup and Restore

Cisco Secure ACS のバックアップ アクティビティと復元アクティビティが記録されます。このログは設定できません。

RDBMS Synchronization

RDBMS 同期化アクティビティが記録されます。このログは設定できません。

Database Replication

データベース複製アクティビティが記録されます。このログは設定できません。

Administration Audit

各システム管理者が行った、ユーザの追加、グループの編集、AAA クライアントの設定、レポートの表示などの処理が記録されます。

User Password Changes

ユーザによるユーザ パスワードの変更が記録されます。使用されたパスワード変更メカニズムの種類は関係ありません。CiscoSecure 認証エージェント、User Changeable Password HTML インターフェイス、TACACS+ を使用するネットワーク デバイス上の Telnet セッションによって行われたパスワードの変更がすべて記録されます。Cisco Secure ACS HTML インターフェイス内で管理者が行ったパスワードの変更は記録されません。

ACS Service Monitoring

Cisco Secure ACS サービスの開始時刻と終了時刻が記録されます。

Appliance Administration Audit

管理者がシリアル コンソール上で行った、ログイン、ログアウト、コマンドの実行などのアクティビティが記録されます。

各種の CSV ログの使用

この項では、次のトピックについて取り上げます。

「CSV ログのサイズと保存」

「CSV ログの使用可能または使用不可の設定」

「CSV レポートの表示」

「CSV ログの設定」

CSV ログのサイズと保存

Cisco Secure ACS では、CSV ログの種類ごとに個別のログ ファイルが作成されます。ログ ファイルのサイズが 10 MB に達すると、新しいログ ファイルが作成されます。CSV ログの種類ごとに最新の 7 つのログ ファイルが保存されます。

CSV ログの使用可能または使用不可の設定

ここでは、CSV ログを使用可能または使用不可に設定する手順を説明します。CSV ログの内容の設定方法については、「CSV ログの設定」を参照してください。


) 一部の CSV ログは常時使用可能です。特定のログを使用不可にできるかどうかなど、個々のログの詳細については、「Cisco Secure ACS のログおよびレポートについて」を参照してください。


CSV ログを使用可能または使用不可に設定するには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

ステップ 3 使用可能にする CSV ログの名前をクリックします。

CSV log Comma-Separated Values File Configuration ページが表示されます。 log は、選択した CSV ログの名前です。

ステップ 4 ログを使用可能にするには、Enable Logging の Log to CSV log report チェックボックスをオンにします。 log は、ステップ 3 で選択した CSV ログの名前です。

ステップ 5 ログを使用不可にするには、Enable Logging の Log to CSV report log チェックボックスをオフにします。 log は、ステップ 3 で選択した CSV ログの名前です。

ステップ 6 Submit をクリックします。

ログを使用可能にした場合は、そのログの情報のロギングが開始されます。ログを使用不可にした場合は、そのログの情報のロギングが停止されます。


 

CSV レポートの表示

Logged-in Users または Disabled Accounts を選択すると、ログインしたユーザまたは使用不可になっているアカウントのリストが、Web ブラウザの右側のフレームの表示領域に表示されます。それ以外の種類のレポートについては、そのレポートのリストが表示されます。ファイルは作成順に表示され、最新のファイルがリストの一番上に表示されます。レポートの名前には作成された日付が付けられ、日付順に表示されます。たとえば、名前の最後に 2002-10-13.csv が付いているレポートは 2002 年 10 月 13 日に作成されたことを意味します。

CSV 形式のファイルは、一般的な表計算アプリケーション ソフトウェアを使用してスプレッドシートにインポートできます。インポート方法については、使用するスプレッドシート ソフトウェアのマニュアルを参照してください。サードパーティ製のレポーティング ツールを使用してレポート データを管理することもできます。たとえば、Extraxi 製の aaa-reports!( http://www.extraxi.com )は Cisco Secure ACS をサポートしています。

Cisco Secure ACS に表示される CSV レポートの CSV ファイルは、すべてダウンロードできます。ダウンロードする手順を次に説明します。

CSV レポートを表示するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 表示する CSV レポートの名前をクリックします。

ブラウザの右側に、現在の CSV レポートとそれ以前のレポートの名前が表示されます。


ヒント 以前の CSV レポートのファイルの処理方法を設定できます。詳細については、「CSV ログの設定」を参照してください。

ステップ 3 内容を表示する CSV レポートのファイル名をクリックします。

その CSV レポートのファイルに情報が含まれている場合は、表示領域に情報が表示されます。


ヒント テーブルのいずれかのカラムのエントリを基準にして、昇順または降順にテーブルをソートできます。カラムのタイトルを一度クリックすると、エントリが昇順にソートされます。カラムのタイトルをもう一度クリックすると、エントリが降順にソートされます。


ヒント 現在の CSV レポートより新しい情報がないかをチェックするには、Refresh をクリックします。

ステップ 4 そのレポートの CSV ログ ファイルをダウンロードするには、次の手順に従います。

a. Download をクリックします。

CSV ファイルの受信と保存に関するダイアログボックスがブラウザに表示されます。

b. CSV ファイルの保存場所を選択し、ファイルを保存します。


 

CSV ログの設定

ここでは、CSV ログの内容を構成するデータ アトリビュートを設定する手順を説明します。CSV ログを使用可能または使用不可に設定する方法については、「CSV ログの使用可能または使用不可の設定」を参照してください。

この手順で設定できるのは次の CSV ログです。

TACACS+ Accounting

TACACS+ Administration

RADIUS Accounting

VoIP Accounting

Failed Attempts

Passed Authentications


) ACS Backup and Restore ログ、RDBMS Synchronization ログ、Database Replication ログは設定できません。


CSV ログを設定するには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

ステップ 3 使用可能にする CSV ログの名前をクリックします。

CSV log Comma-Separated Values File Configuration ページが表示されます。 log は、選択した CSV ログの名前です。

Select Columns To Log テーブルに、Attributes と Logged Attributes の 2 つのリストが表示されます。Logged Attributes リスト内のアトリビュートが、選択したログに記録されます。

ステップ 4 ログにアトリビュートを追加するには、Attributes リスト内でそのアトリビュートを選択し、 --> (右矢印ボタン)をクリックします。

選択したアトリビュートが Logged Attributes リストに移動します。


ヒント リストボックスの垂直スクロールバーを操作すると、隠れているアトリビュートが表示されます。

ステップ 5 ログからアトリビュートを削除するには、Logged Attributes リスト内で削除するアトリビュートを選択し、 <-- (左矢印ボタン)をクリックします。

そのアトリビュートが Attributes リストに移動します。


ヒント リストボックスの垂直スクロールバーを操作すると、隠れているアトリビュートが表示されます。

ステップ 6 Logged Attributes リスト内のアトリビュートをデフォルト選択に戻すには、ブラウザのウィンドウの下部にある Reset Columns をクリックします。

ステップ 7 Submit をクリックします。

指定した CSV ログ設定が実装されます。


 

リモート ロギング

この項では、Cisco Secure ACS のリモート ロギング機能について説明します。

この項では、次のトピックについて取り上げます。

「リモート ロギングについて」

「中央リモート ロギングの設定」

「リモート ロギングのローカル設定」

「リモート エージェント ロギングの設定」

リモート ロギングについて

Cisco Secure ACS のリモート ロギングは、AAA クライアントから受信したアカウンティング データを Cisco Secure ACS リモート エージェントに送信する機能です。リモート エージェントはネットワークに接続されたコンピュータ上で実行されます。Cisco Secure ACS から受信したアカウンティング データは、リモート エージェントで CSV ファイルに書き込まれます。複数の Cisco Secure ACS Appliance から単一のリモート エージェントにアカウンティング データを送信するよう設定すると、リモート エージェントを実行するコンピュータを中央ロギング サーバにすることができます。Cisco Secure ACS アカウンティング ログの詳細については、「アカウンティング ログ」を参照してください。Cisco Secure ACS Remote Agent のインストールと設定の詳細については、『 Installation and Configuration Guide for Cisco Secure ACS Remote Agent 』を参照してください。


) リモート ロギング機能は、プロキシ認証要求用のアカウンティング データの転送には影響を及ぼしません。Cisco Secure ACS のリモート ロギング設定は、プロキシ認証セッションのアカウンティング データがローカルでログに記録されるときにだけ、アカウンティング データに適用されます。プロキシ認証要求とプロキシ認証セッションのアカウンティング データの詳細については、「Proxy Distribution Table の設定」を参照してください。


アカウンティング データのリモート ロギングを実行するよう Cisco Secure ACS を設定するには、Remote Logging Setup ページを使用します。このページは、System Configuration セクションの Logging Configuration ページから表示できます。アカウンティング データを単一のリモート エージェントに送信するようにも、多くのリモート エージェントに送信するようにも設定できます。リモート ロギングの使用可能設定の詳細については、「リモート ロギングのローカル設定」を参照してください。

中央ロギング サーバにアカウンティング データを送信する Cisco Secure ACS の数にかかわらず、リモート エージェントが設定を受信するのは 1 つの Cisco Secure ACS Appliance からだけです。この Cisco Secure ACS がリモート エージェントの設定プロバイダーです。設定プロバイダーである Cisco Secure ACS の HTML インターフェイス内で、リモート エージェントの設定を確認できます。Logging Configuration ページの Remote Agent Logging Configuration の下にあるリンクを使用して、リモート エージェントに保持されているログ、各ログに記録されているデータ、ログ ファイルの管理方法を確認できます。リモート エージェントのロギングの詳細については、「リモート エージェント ロギングの設定」を参照してください。

中央リモート ロギングの設定

中央リモート ロギングを設定するには、次の手順に従います。


ステップ 1 中央ロギング データを保存するコンピュータに Cisco Secure ACS Remote Agent をインストールし、設定します。Cisco Secure ACS Remote Agent のインストールと設定の詳細については、『 Installation and Configuration Guide for Cisco Secure ACS Remote Agent 』を参照してください。

ステップ 2 各 Cisco Secure ACS Appliance にリモート エージェントを追加します。詳細については、「リモート エージェントの設定」を参照してください。

ステップ 3 各 Cisco Secure ACS Appliance のリモート ロギングを使用可能にします。詳細については、「リモート ロギングのローカル設定」を参照してください。

ステップ 4 リモート エージェントの設定プロバイダーとして使用する Cisco Secure ACS Appliance にリモート エージェント ロギングを設定します。詳細については、「リモート エージェント ロギングの設定」を参照してください。

ステップ 5 セカンダリ サーバまたはミラー サーバとしてもう 1 つ中央ロギング サーバを作成する場合は、もう一度ステップ 1 からステップ 4 を実行します。


 

リモート ロギングのローカル設定

リモート ロギングのローカル設定には、Cisco Secure ACS Appliance からリモート エージェントへのアカウンティング データの送信を使用可能にする設定と、アカウンティング データの送信先のリモート エージェントの指定があります。

リモート ロギングのローカル設定は、Remote Logging Setup ページで行います。このページは、Logging Configuration ページの Local Logging Configuration の下にある Remote Logging リンクから表示できます。


) リモート ロギングのローカル設定は、リモート エージェントに送信するログの種類、リモート エージェントに送信するログに含まれるデータの設定には影響を及ぼしません。リモート エージェントに送信するログの種類およびそのログに含めるデータの設定については、「リモート エージェント ロギングの設定」を参照してください。


リモート ロギングのオプション

Cisco Secure ACS のリモート ロギング機能では次のオプションを使用できます。これらのオプションは Remote Logging Setup ページに表示されます。

Do not log Remotely :このオプションを選択すると、ローカル認証セッションのアカウンティング データが、使用可能になっているローカル ログにだけ書き込まれます。

Log to all selected remote log services :このオプションを選択すると、ローカル認証セッションのアカウンティング データが、Selected Log Services リスト内のすべてのリモート エージェントに送信されます。

Log to subsequent remote log services on failure :このオプションを選択すると、ローカル認証セッションのアカウンティング データが、Selected Log Services リスト内の、ロギング サービスを提供できる最初のリモート エージェントに送信されます。このオプションは、最初の中央ロギング サーバが障害の発生などにより利用できなくなった場合に、アカウンティング データが失われないよう、中央ロギング サーバのバックアップ サーバを設定するときに使用します。

Remote Log Services :Network Configuration 内の Remote Agents テーブルで設定されているリモート エージェントのうち、Cisco Secure ACS からローカル認証セッションのアカウンティング データを 送信しない リモート エージェントです。

Selected Log Services :Network Configuration 内の Remote Agents テーブルで設定されているリモート エージェントのうち、Cisco Secure ACS からローカル認証セッションのアカウンティング データを 送信する リモート エージェントです。

リモート ロギングの使用可能設定

始める前に

中央ロギング サーバの設定が正しく完了しているか確認します。詳細については、「中央リモート ロギングの設定」を参照してください。

リモート ロギングを使用可能にし、設定するには、次の手順に従います。


ステップ 1 リモート ロギングを使用可能にするには、次の手順に従います。

a. Interface Configuration をクリックします。

b. Advanced Options をクリックします。

c. Remote Logging チェックボックスをオンにします。

d. Submit をクリックします。

Cisco Secure ACS の System Configuration セクションの Logging ページに Remote Logging リンクが表示されます。

ステップ 2 System Configuration をクリックします。

ステップ 3 Logging をクリックします。

Logging Configuration ページが表示されます。

ステップ 4 Local Logging Configuration の Remote Logging をクリックします。

ステップ 5 リモート ロギング オプションを選択します。

a. この Cisco Secure ACS のアカウンティング情報を複数のリモート エージェントに送信するには、 Log to all selected remote log services オプションを選択します。

b. この Cisco Secure ACS のアカウンティング情報を 1 つのリモート エージェントに送信するには、 Log to subsequent remote log services on failure オプションを選択します。


) 最初のリモート エージェントに障害が発生した場合に 2 番目のリモート エージェントにアカウンティング データが送信されるよう Cisco Secure ACS を設定するには、Log to subsequent remote log services on failure オプションを使用します。


ステップ 6 Selected Log Services リストに含めるリモート エージェントごとに、次の手順を実行します。

a. ローカル認証セッションのアカウンティング データの送信先にするリモート エージェントの名前を、Remote Log Services リストで選択します。


) Remote Log Services リストに表示されるリモート エージェントは、Network Configuration の Remote Agents テーブルによって決まります。Remote Agents テーブルの詳細については、「リモート エージェントの設定」を参照してください。


b. --> (右矢印ボタン)をクリックします。選択したリモート エージェントが Selected Log Services リストに移動します。

ステップ 7 Selected Log Services リスト内のリモート エージェントを並び替えるには、 Up または Down をクリックして、リモート エージェントを適当な位置に移動します。


) Log to subsequent remote log services on failure オプションを選択すると、Selected Log Services リスト内の最初にアクセス可能なリモート エージェントにログが送信されます。


ステップ 8 Submit をクリックします。

指定したリモート ロギング設定が保存され、実装されます。


 

リモート ロギングの使用不可設定

Cisco Secure ACS によってアカウンティング情報がリモート エージェントに送信されないよう、リモート ロギング機能を使用不可にすることができます。

リモート ロギングを使用不可にするには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

ステップ 3 Local Logging Configuration の Remote Logging をクリックします。

ステップ 4 Do not log Remotely オプションを選択します。

ステップ 5 Submit をクリックします。

ローカル認証セッションのアカウンティング情報がリモート エージェントに送信されなくなります。


 

リモート エージェント ロギングの設定

リモート エージェント ロギングの設定には、リモート エージェントに保持するログを使用可能にする設定と、リモート エージェントに送信するロギング アトリビュートの設定があります。Logging Configuration ページの Remote Agent Logging Configuration テーブルに、Cisco Secure ACS からリモート エージェントに送信するよう設定できる CSV ログが表示されます。各ログは個別に設定できます。

どのリモート エージェントに Cisco Secure ACS からログ データを送信するかの設定については、「リモート ロギングのローカル設定」を参照してください。

リモート エージェント ロギングのオプション

リモート エージェントに保持するログに関して、次のオプションがあります。

Log to log name report :リモート ログを使用可能にするかどうかを指定します。

Attributes :使用可能なアトリビュートのうち、リモート エージェントにロギング用データが 送信されない アトリビュートです。

Logged Attributes :リモート エージェントにロギング用データが 送信される アトリビュートです。

Generate New File :新しい CSV ログ ファイルを作成する頻度を指定します。次のオプションがあります。

Every day :毎日午前 12 時に新しい CSV ログ ファイルが作成されます。

Every week :毎週日曜日の午前 12 時に新しい CSV ログ ファイルが作成されます。

Every month :毎月初日の午前 12 時に新しい CSV ログ ファイルが作成されます。

When size is greater than X KB :現在のログ ファイルがここで指定したキロバイト数を超えると、新しい CSV ログ ファイルが作成されます。

Directory :CSV ログ ファイルが書き込まれるディレクトリです。リモート エージェントを実行しているサーバ上のフル パスを指定する必要があります。サーバで Microsoft Windows が使用されている場合は、ドライブ名で始まるパスを指定する必要があります(例: c:/acs-logs )。サーバで Sun Solaris が使用されている場合は、ルート ディレクトリで始まるパスを指定する必要があります(例: /usr/data/acs-logs )。

Manage Directory :古いログ ファイルを削除するかどうかを指定します。次のオプションを使用して、削除するログ ファイルの決定方法を指定できます。

Keep only the last X files :指定した数の最新のログ ファイルが保存されます。ログ ファイルの数が指定数を超えた場合、最も古いログ ファイルが削除されます。

Delete files older than X days :指定した日数を経過したログ ファイルが削除されます。ログ ファイルが指定日数を経過した場合、削除されます。

リモート エージェントのログの設定

ここでは、リモート エージェントの CSV ログの内容を設定する手順を説明します。すべてのリモート エージェント ロギングを使用可能または使用不可に設定する方法については、「リモート ロギングのローカル設定」を参照してください。

この手順は、リモート エージェントで記録されるすべてのログ、つまり、Logging Configuration ページの Remote Agent Logging Configuration テーブルに含まれるすべてのログに適用されます。

始める前に

リモート エージェントのログの設定に使用できるオプションについては、「リモート エージェント ロギングのオプション」を参照してください。

リモート エージェントの CSV ログを設定するには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

ステップ 3 Remote Agent Logging Configuration で、設定するリモート エージェントのログの名前をクリックします。

CSV log File Configuration ページが表示されます。 log は、選択したリモート エージェント ログの名前です。

ステップ 4 ログを使用可能にするには、 Log to CSV log name report チェックボックスをオンにします。


) Log to CSV log name report チェックボックスがオンになっていないと、このログのデータがリモート エージェントに送信されません。


ステップ 5 リモート エージェントのログに記録するアトリビュートを Attributes リスト内で選択し、 --> (右矢印ボタン)をクリックします。記録するアトリビュートごとにこの操作を繰り返します。

選択したアトリビュートが Logged Attributes リストに移動します。


ヒント リストボックスの垂直スクロールバーを操作すると、隠れているアトリビュートが表示されます。

ステップ 6 リモート エージェントのログからアトリビュートを削除する場合は、
Logged Attributes リスト内でそのアトリビュートを選択し、 <-- (左矢印ボタン)をクリックします。

そのアトリビュートが Attributes リストに移動します。


ヒント リストボックスの垂直スクロールバーを操作すると、隠れているアトリビュートが表示されます。

ステップ 7 Logged Attributes リスト内のアトリビュートをデフォルト選択に戻すには、ブラウザのウィンドウの下部にある Reset Columns をクリックします。

ステップ 8 Generate New File で、新しいログ ファイルを作成する頻度を指定します。

ステップ 9 リモート エージェントに保存される CSV ファイルを管理するには、次の手順に従います。

a. Manage Directory チェックボックスをオンにします。

b. Cisco Secure ACS で保存する CSV ファイルをファイル数で指定するには、 Keep only the last X files オプションを選択し、保存するファイル数を X ボックスに入力します。

c. Cisco Secure ACS で保存する CSV ファイルを経過日数で指定するには、 Delete files older than X days オプションを選択し、保存日数を入力します。この日数を経過するとファイルは削除されます。

ステップ 10 Submit をクリックします。

指定したリモート エージェントのログ設定が実装されます。


 

サービス ログ

サービス ログは、診断ログとしてトラブルシューティングやデバッグにのみ使用されます。サービス ログはシスコのサポート担当者が情報源として使用するもので、Cisco Secure ACS 管理者用のログではありません。サービス ログには Cisco Secure ACS サービスのあらゆるアクションとアクティビティが記録されます。サービス ロギングが使用可能になっている場合、そのサービスを使用しているかどうかにかかわらず、サービスの実行中は必ずサービス ログが生成されます。たとえば、AAA クライアントまたはそれ以外の AAA サーバとの通信に RADIUS が使用されていなくても、RADIUS サービス ログが生成されます。

System Configuration セクションの Support 機能には、Run Support Now をクリックしたとき生成される package.cab ファイル内のサービス ログが含まれます。この機能の詳細については、「サポート」を参照してください。

Cisco Secure ACS のサービスの詳細については、「概要」を参照してください。

ログに記録されるサービス

Cisco Secure ACS では次のサービスのログが生成されます。

CSAdmin

CSAuth

CSDBSync

CSLog

CSMon

CSRadius

CSTacacs

これらのサービス ログは、System Configuration セクションの Support 機能を使用するか、シリアル コンソールから support コマンドを使用して、アプライアンスから取得できます。

Cisco Secure ACS では、サービスの種類ごとに個別のログ ファイルが作成されます。ログ ファイルのサイズが 10 MB に達すると、新しいログ ファイルが作成されます。サービスの種類ごとに最新の 30 個のログ ファイルが保存されます。

最新のデバッグ ログには次の名前が付けられます。

SERVICE .log

SERVICE はサービスの名前です。

これより古いデバッグ ログには、作成された年月日が名前に付けられます。たとえば、2003 年 7 月 13 日に作成されたファイルには次の名前が付けられます。

SERVICE 2003-07-13.log

SERVICE はサービスの名前です。

Day/Month/Year フォーマットを選択した場合、ファイルの名前は次のようになります。

SERVICE 13-07-2003.log

サービス ログのレベル設定

Cisco Secure ACS が生成するサービス ログ ファイルに記録する内容のレベルを設定できます。このレベルには、次の 3 種類があります。

None :ログ ファイルは生成されません。

Low :開始アクションと停止アクションだけが記録されます。これがデフォルト設定です。

Full :すべてのサービス アクションが記録されます。

Cisco Secure ACS でのサービス ログ ファイルの生成と管理の方法を設定するには、次の手順に従います。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Service Control をクリックします。

CiscoSecure ACS on hostname テーブルにサービスのステータスが表示されます。 hostname には、Cisco Secure ACS Appliance の名前が入ります。

ステップ 3 サービス ログ ファイルを使用不可にするには、Level of detail の None オプションを選択します。

Restart をクリックすると、Cisco Secure ACS で新しいサービス ログ ファイルが生成されなくなります。

ステップ 4 サービスのロギングを使用可能にするには、Level of detail の Low オプションまたは Full オプションを選択します。

Restart をクリックすると、指定した詳細レベルのサービス ログが Cisco Secure ACS で生成されるようになります。

ステップ 5 Restart をクリックします。

サービスが再起動され、指定したサービス ログの設定が実装されます。