Cisco Secure ACS Solution Engine ユーザ ガイド Version 4.0
ログとレポート
ログとレポート
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

ログとレポート

ロギングの形式

特殊なロギング アトリビュート

ログ内のポスチャ確認アトリビュート

HCAP エラーのレポート

アカウンティング ログでのアップデート パケット

ACS ログとレポートについて

アカウンティング ログ

ダイナミック管理レポート

Logged-in Users レポートの表示

ログイン ユーザの削除

Disabled Accounts レポートの表示

ACS システム ログ

CSV ログの操作

CSV ログ ファイルの名前

CSV ログのサイズと保持

CSV ログのイネーブル化またはディセーブル化

CSV レポートの表示

ログ フィルタリング

CSV ログの設定

リモート ロギング

リモート ロギング機能について

集中リモート ロギングの実装

リモート ロギングのローカル設定

リモート ロギング オプション

リモート ロギング機能のイネーブル化と設定

リモート ロギング機能のディセーブル化

リモート エージェントのロギング設定

リモート エージェントのロギング オプション

リモート エージェントのログ設定

サービス ログ

ロギングされるサービス

サービス ログの設定

カスタマー サポートのためのデータ収集

ログとレポート

Cisco Secure Access Control Server Release 4.0 Solution Engine(以降は ACS と表記)はさまざまなログを生成します。これらのログのほとんどは、ACS の Web インターフェイスで HTML レポートとして表示することができます。

この章は、次の項で構成されています。

「ロギングの形式」

「特殊なロギング アトリビュート」

「ログ内のポスチャ確認アトリビュート」

「アカウンティング ログでのアップデート パケット」

「ACS ログとレポートについて」

「CSV ログの操作」

「リモート ロギング」

「サービス ログ」

ロギングの形式

ACS は、ユーザおよびシステムのさまざまなアクティビティをロギングします。ログは、カンマ区切り形式(CSV)のファイルに記録できます。CSV 形式では、カンマ(,)で区切られたカラム単位でデータが記録されます。この形式のファイルは、Microsoft Excel や Microsoft Access など、さまざまなサードパーティ製アプリケーションに簡単にインポートできます。このようなサードパーティ製アプリケーションに、CSV ファイルからデータをインポートすると、グラフを作成することや、ユーザが特定の期間にネットワークにロギングしていた時間を確認するなどのクエリーを実行できます。Microsoft Excel などのサードパーティ製アプリケーションでの CSV ファイルの使用方法については、サードパーティ ベンダーから供給されるマニュアルを参照してください。CSV ファイルは、Web インターフェイスからダウンロードするか、または ACS サーバのハード ドライブ上でアクセスできます。Web インターフェイスから CSV ファイルをダウンロードする方法の詳細については、「CSV レポートの表示」を参照してください。

特定のログに使用できる形式については、「ACS ログとレポートについて」を参照してください。

特殊なロギング アトリビュート

ログに ACS が記録できる多数のアトリビュートの中には、特に重要なものがいくつかあります。次のリストでは、ACS が提供する特別なロギング アトリビュートを説明します。

User Attributes :これらのロギング アトリビュートは、すべてのログ設定ページの Attributes リストに表示されます。ACS では、これらのアトリビュートは、Real Name、Description、User Field 3、User Field 4、User Field 5 などのデフォルト名を使用してリストに表示されます。ユーザ定義アトリビュートの名前を変更しても、新しい名前ではなくデフォルト名が Attributes リストに表示されます。

ユーザ アカウントの対応するフィールドに入力する値によって、これらのアトリビュートの内容が決まります。ユーザ アトリビュートの詳細については、「ユーザ データの設定オプション」を参照してください。

ExtDB Info外部ユーザ データベースを使用してユーザが認証されるときに、外部ユーザ データベースの返す値がこのアトリビュートに格納されます。Windows ユーザ データベースの場合、このアトリビュートには、ユーザを認証したドメインの名前が格納されます。

Failed Attempts ログのエントリでは、このアトリビュートには、最後に正常にユーザを認証したデータベースが格納されます。ユーザの認証に失敗したデータベースは示されません。

Access Device :ACS にロギング データを送信した AAA クライアントの名前です。

Network Device Group :アクセス デバイス(AAA クライアント)の属するネットワーク デバイス グループです。

Filter Information :ユーザに適用されたネットワークアクセス制限(NAR)の結果です(適用された場合)。このフィールド内のメッセージには、適用されたすべての NAR がユーザ アクセスを許可したか、適用されたすべての NAR がユーザ アクセスを拒否したか、または、どの NAR がユーザ アクセスを拒否したかが示されます。NAR がユーザに適用されていない場合は、このロギング アトリビュートには、NAR が適用されていないことが表示されます。

Filter Information アトリビュートは、Passed Authentication ログおよび Failed Attempts ログに使用できます。

Device Command Set :コマンド認可要求を満たすために使用されたデバイス コマンド セットの名前です(使用された場合)。

Device Command Set アトリビュートは、Failed Attempts ログに使用できます。

Remote Logging Result :リモート ロギング サービスが、転送されたアカウンティング パケットを正常に処理したかどうかを示します。このアトリビュートは、中央ロギング サービスによってロギングされなかったアカウンティング パケットがある場合、そのパケットを特定するために役立ちます。これは、リモート ロギング サービスからの確認メッセージの受信に依存します。確認メッセージは、リモート ロギング サービスが設定どおりにアカウンティング パケットを正しく処理したことを示します。値 Remote-logging-successful は、リモート ロギング サービスがアカウンティング パケットを正常に処理したことを示します。
Remote-logging-failed は、リモート ロギング サービスがアカウンティング パケットを正常に処理しなかったことを示します。


) ACS は、リモート ロギング サービスが、転送されたアカウンティング パケットを処理するように設定されているかどうかを判断できません。たとえば、リモート ロギング サービスがアカウンティング パケットを廃棄するように設定されている場合、リモート ロギング サービスは転送されたアカウンティング パケットを廃棄し、確認メッセージで ACS に応答します。この処理により、ACS は、そのアカウンティング パケットを記録するローカル ログの Remote Logging Result アトリビュートに
Remote-logging-successful を書き込みます。


Application-Posture-Token :ポスチャ確認要求中に特定のポリシーによって返される Application Posture Token(APT; アプリケーション ポスチャ トークン)。このアトリビュートは、Passed Authentications ログと Failed Attempts ログでのみ使用できます。詳細については、「ログ内のポスチャ確認アトリビュート」を参照してください。

System-Posture-Token :ポスチャ確認要求中に返される System Posture Token(SPC; システム ポスチャ トークン)。このアトリビュートは、Passed Authentications ログと Failed Attempts ログでのみ使用できます。詳細については、「ログ内のポスチャ確認アトリビュート」を参照してください。

その他のポスチャ確認アトリビュート:ポスチャ確認要求中に NAC クライアントが ACS に送信するアトリビュート。これらのアトリビュートは、ベンダー名、アプリケーション名、およびアトリビュート名で一意に識別されます。たとえば、NAI:AV:DAT-Date アトリビュートは、Network Associates, Inc. のアンチウイルス アプリケーションの NAC クライアントにある DAT ファイルの日付情報を含むアトリビュートです。これらのアトリビュートは、
Passed Authentications ログと Failed Attempts ログに限り使用できます。詳細については、「ログ内のポスチャ確認アトリビュート」を参照してください。

ログ内のポスチャ確認アトリビュート

Passed Authentications ログおよび Failed Attempts ログにポスチャ確認アトリビュートを記録できます。受信アトリビュートはすべてログに使用できます。ログに記録できる送信アトリビュートは、 Application-Posture-Assessment System-Posture-Assessment の 2 つだけです。

ポスチャ確認要求の結果、システム ポスチャ アセスメント/トークン(SPT)が生成された場合は、必ず、Passed Authentications ログに記録されます。ポスチャ確認要求の結果 Healthy 以外の SPT が生成された場合は、Failed Attempts ログに記録されます。ポスチャ トークンの詳細については、「ポスチャ トークン」を参照してください。

HCAP エラーのレポート

Failed-Attempts レポートの Authen-Failure-Code エントリは、Host Credentials Authentication Protocol(HCAP)が失敗した場合に次のいずれかのエラーを表示することがあります。

Version failure - Could not communicate with external policy server - wrong HCAP version

Connection failure - Could not open a connection to external policy server

Authentication failure - Could not communicate with external policy server - authentication failure

Timeout error - Could not connect to external policy server - timeout error

Other - Posture Validation Failure on External Policy

アカウンティング ログでのアップデート パケット

ユーザ セッションのアカウンティング データを記録するように ACS を設定すると、ACS は必ず開始パケットと停止パケットを記録します。必要であれば、アップデート パケットも記録するように ACS を設定できます。ユーザ セッション時に仮のアカウンティング情報を提供することに加えて、アップデート パケットは、ACS Authentication Agent 経由でパスワード失効メッセージを送信します。アップデート パケットをこの用途に使用する場合は、ウォッチドッグ パケットと呼ばれます。


) ACS アカウンティング ログにアップデート パケットを記録するには、AAA クライアントがアップデート パケットを送信するように設定する必要があります。アップデート パケットを送信するように AAA クライアントを設定する方法の詳細については、AAA クライアントのマニュアルを参照してください。


Logging Update Packets Locally :ローカルの ACS のロギング設定に従ってアップデート パケットをロギングするには、Network Configuration で各 AAA クライアントに対して、
Log Update/Watchdog Packets from this Access Server オプションをイネーブルにします。

AAA クライアントに対してこのオプションを設定する方法の詳細については、「AAA クライアントの追加」を参照してください。

Logging Update Packets Remotely :リモート ロギング サーバにアップデート パケットをロギングするには、ローカル ACS 上にあるリモート ロギング サーバの AAA Server テーブル エントリに対して、Log Update/Watchdog Packets from this remote AAA Server オプションをイネーブルにします。

AAA サーバに対してこのオプションを設定する方法の詳細については、「AAA サーバの追加」を参照してください。

ACS ログとレポートについて

ACS が生成するログは、次の 4 つのタイプに分類できます。

アカウンティング ログ

ダイナミック ACS 管理レポート

ACS システム ログ

サービス ログ

ここでは、これらの項目について説明します。サービス ログについては、「サービス ログ」を参照してください。

この項では、次のトピックについて取り上げます。

「アカウンティング ログ」

「ダイナミック管理レポート」

「ACS システム ログ」

アカウンティング ログ

アカウンティング ログには、ユーザによるリモート アクセス サービスの利用に関する情報が格納されます。デフォルトでは、Passed Authentications ログを除いて、アカウンティング ログは CSV 形式で生成されます。 表11-1 で、すべてのアカウンティング ログを説明します。

Web インターフェイスでは、すべてのアカウンティング ログのイネーブル化、設定、および表示を実行できます。 表11-2 で、アカウンティング ログに関して実行可能な操作について説明します。

 

表11-1 アカウンティング ログの説明

ログ
説明

TACACS+ Accounting

次の情報を格納します。

ユーザ セッションの開始時刻と停止時刻

ユーザ名付き AAA クライアント メッセージ

Caller Line Identification(CLID; 発信番号識別)

セッション継続時間

TACACS+ Administration

RADIUS Accounting

次の情報を格納します。

ユーザ セッションの開始時刻と停止時刻

ユーザ名付き AAA クライアント メッセージ

発信者番号識別情報

セッション継続時間

Voice over IP(VoIP)に対するアカウンティング情報を、RADIUS アカウンティング ログまたは個別の VoIP アカウンティング ログ、あるいはその両方のログに格納するように ACS を設定できます。

VoIP Accounting

次の情報を格納します。

VoIP セッションの停止時刻と開始時刻

ユーザ名付き AAA クライアント メッセージ

CLID 情報

VoIP セッション継続時間

VoIP に対するアカウンティング情報を、この個別の VoIP アカウンティング ログまたは RADIUS アカウンティング ログ、あるいはその両方のログに格納するように ACS を設定できます。

Failed Attempts

Passed Authentications

成功した認証要求を記録します。このログは、AAA クライアントからのアカウンティング パケットに依存していないため、AAA クライアントが RADIUS アカウンティングをサポートしていない場合、または AAA クライアント上のアカウンティングをディセーブルにした場合でも使用できます。ポスチャ確認要求について、このログは、SPT が生成されたすべてのポスチャ確認要求の結果を記録します。

 

表11-2 アカウンティング ログでの可能な操作

可能な操作
説明および関連項目

アカウンティング ログのイネーブル化

CSV 形式でログをイネーブルにできます。CSV 形式でアカウンティング ログをイネーブルにする方法については、「CSV ログのイネーブル化またはディセーブル化」を参照してください。リモート ロギングの詳細については、「リモート ロギング」を参照してください。

アカウンティング レポートの表示

Web インターフェイスでアカウンティング レポートを表示する方法については、「CSV レポートの表示」を参照してください。リモート ロギングの詳細については、「リモート ロギング」を参照してください。

アカウンティング ログの設定

CSV アカウンティング ログの設定方法については、「CSV ログの設定」を参照してください。

ダイナミック管理レポート

このレポートは、ACS Web インターフェイスでこのレポートにアクセスした時点でのユーザ アカウントのステータスを示します。このレポートは、Web インターフェイスだけで利用でき、常にイネーブルで、設定を必要としません。

表11-3 は、すべてのダイナミック管理レポートについて説明し、ダイナミック管理レポートに関して実行可能な操作についての情報を示しています。

 

表11-3 ダイナミック管理レポートの説明および関連項目

レポート
説明および関連項目

Logged-In Users

単一の AAA クライアントまたは全 AAA クライアントのサービスを受信しているすべてのユーザを一覧表示します。Cisco Aironet Access Point 上のファームウェア イメージがキー再生成の認証用の RADIUS Service-Type アトリビュートの送信をサポートしている場合、Cisco Aironet 装置を使用してネットワークにアクセスしているユーザは、現在関連付けられているアクセス ポイントのリストに表示されます。

マシンの認証を実行するよう設定されているコンピュータでは、コンピュータの起動時にマシンの認証が行われます。コンピュータが起動されると、ユーザがそのコンピュータにログインする前に、Reports and Activity セクションの Logged-In Users List にそのコンピュータが表示されます。ユーザの認証が開始されると、コンピュータは Logged-In Users List に表示されなくなります。マシン認証の詳細については、「EAP および Windows 認証」を参照してください。


) ログイン ユーザのリスト機能を使用するには、認証とアカウンティングを同一プロトコル(TACACS+ または RADIUS のどちらか一方)で実行するように AAA クライアントを設定する必要があります。


Web インターフェイスで Logged-in User レポートを表示する方法については、「Logged-in Users レポートの表示」を参照してください。

特定の AAA クライアントまたはすべての AAA クライアントからログイン ユーザを削除する方法については、「ログイン ユーザの削除」を参照してください。

Disabled Accounts

無効になっているすべてのユーザ アカウントおよび無効になった理由を一覧表示します。

Web インターフェイスで Disable Accounts レポートを表示する方法については、「Disabled Accounts レポートの表示」を参照してください。

Appliance Status ページ

ACS Solution Engine のリソースの利用率についての情報を示します。ACS Solution Engine の IP 設定とそのネットワーク インターフェイス カードの MAC アドレスについての情報も表示されます。このログは設定できません。

Logged-in Users レポートの表示

Logged-in Users レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Logged-in Users をクリックします。

Select a AAA Client ページに、各 AAA クライアント、その IP アドレス、およびその AAA クライアントを介してログインしたユーザの数が表示されます。テーブルの一番下にある All AAA Clients エントリには、ログインしたユーザの合計数が表示されます。


ヒント このテーブルは、任意のカラムのエントリによって昇順または降順でソートできます。カラムのエントリによって昇順でテーブルをソートするには、カラムのタイトルを一度クリックします。カラムのエントリによって降順でテーブルをソートするには、カラムのタイトルを再度クリックします。

ステップ 3 次のいずれか 1 つを実行します。

ログインしたすべてのユーザのリストを表示するには、 All AAA Clients をクリックします。

特定の AAA クライアントを介してログインしたすべてのユーザのリストを表示するには、その AAA クライアントの名前をクリックします。

ログインしたユーザのテーブルが表示されます。このテーブルには、次の情報が含まれます。

日時

ユーザ

グループ

割り当てられている IP

ポート

ソース AAA クライアント


ヒント このテーブルは、任意のカラムのエントリによって昇順または降順でソートできます。カラムのエントリによって昇順でテーブルをソートするには、カラムのタイトルを一度クリックします。カラムのエントリによって降順でテーブルをソートするには、カラムのタイトルを再度クリックします。


 

ログイン ユーザの削除

Logged-in Users レポートでは、特定の AAA クライアントにログインしたユーザの削除を ACS に指示できます。ユーザがセッションを終了したときに、AAA クライアントがアカウンティング停止パケットを ACS に送信しなかった場合、そのユーザは Logged-in Users レポートに継続して表示されます。AAA クライアントからログインしているユーザを削除することにより、そのユーザ セッションのアカウンティングが終了します。


) ログイン ユーザを削除しても、特定の AAA クライアントにログインしたユーザの ACS アカウンティング レコードが終了するだけです。アクティブ ユーザ セッションを終了させることや、ユーザ レコードに影響することはありません。


ログイン ユーザを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Logged-in Users をクリックします。

Select a AAA Client ページに、各 AAA クライアント、その IP アドレス、およびその AAA クライアントを介してログインしたユーザの数が表示されます。テーブルの一番下にある All AAA Clients エントリには、ログインしたユーザの合計数が表示されます。

ステップ 3 Logged-in Users レポートから、削除するユーザがログインした AAA クライアントの名前をクリックします。

その AAA クライアントを介してログインしたすべてのユーザのテーブルが表示されます。Purge Logged in Users ボタンがテーブルの下に表示されます。

ステップ 4 Purge Logged in Users をクリックします。

レポートから削除したユーザの数および AAA クライアントの IP アドレスを示すメッセージが表示されます。


 

Disabled Accounts レポートの表示

Disabled Accounts レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 Disabled Accounts をクリックします。

Select a user account to edit ページに、無効なユーザ アカウント、アカウント ステータス、およびユーザ アカウントが割り当てられているグループが表示されます。

ステップ 3 リスト内のユーザ アカウントを編集するには、User カラムでユーザ名をクリックします。

編集対象のユーザ アカウントが表示されます。

ユーザ アカウントの編集方法の詳細については、「基本ユーザ設定オプション」を参照してください。


 

ACS システム ログ

システム ログは、ACS システム自体に関するログであるため、システム関連イベントが記録されます。システム ログは、トラブルシューティングや監査に役立ちます。システム ログは、常にイネーブルで、CSV 形式だけで生成されます。どのシステム ログが設定可能であるかなど、各システム ログについては、 表11-4 を参照してください。

Web インターフェイスで CSV レポートを表示する方法については、「CSV レポートの表示」を参照してください。

 

表11-4 システム ログの説明

ログ
説明

ACS Backup and Restore

ACS のバックアップおよび復元アクティビティを記録します。このログは設定できません。

RDBMS Syncronization

RDBMS 同期化アクティビティを記録します。このログは設定できません。

Database Replication

データベース複製アクティビティを記録します。このログは設定できません。

Administration Audit

ユーザの追加、グループの編集、AAA クライアントの設定、またはレポートの表示など、各システム管理者の行ったアクションを記録します。

User Password Changes

パスワードの変更に使用された方式に関係なく、ユーザによって実行されたユーザ パスワード変更を記録します。したがって、このログには、ACS Authentication Agent、User Changeable Password Web インターフェイス、または TACACS+ を使用するネットワーク デバイス上の Telnet セッションによって行われたパスワード変更のレコードが含まれます。このログには、ACS Web インターフェイスで管理者によって実行されたパスワード変更は記録されません。

User Password Changes ログの設定については、「ローカル パスワード管理の設定」を参照してください。

ACS Service Monitoring

ACS サービスの開始時刻と停止時刻を記録します。

ACS Service Monitoring ログの設定については、「ACS Active Service Management」を参照してください。

Appliance Administration Audit

ログイン、ログアウト、コマンドの実行などのシリアル コンソールの管理者アクティビティを一覧表示します。このログは設定できません。

CSV ログの操作

この項では、次のトピックについて取り上げます。

「CSV ログ ファイルの名前」

「CSV ログのサイズと保持」

「CSV ログのイネーブル化またはディセーブル化」

「CSV レポートの表示」

「ログ フィルタリング」

「CSV ログの設定」

CSV ログ ファイルの名前

Reports and Activity 内のレポートにアクセスすると、ACS によって、現在の CSV ファイルを一番上位にして、新しい順に CSV ファイルが一覧表示されます。現在のファイルは、 log .csv という名前になります。ここで log はログの名前です。

これよりも古いファイルには、次のような名前が付けられます。

logyyyy-mm-dd.csv

ここで、

log はログの名前です。

yyyy は CSV ファイルが開始された暦年です。

mm は CSV ファイルが開始された月を数字で表したものです。

dd は CSV ファイルが開始された日付です。

たとえば、2002 年 10 月 13 日に生成された Database Replication ログ ファイルは、Database Replication 2002-10-13.csv という名前になります。

CSV ログのサイズと保持

各 CSV ログは、個別のログ ファイルに書き込まれます。ログ ファイルのサイズが 10 MB に到達すると、新しいログ ファイルへの書き込みが開始されます。ACS は各 CSV ログについて最新の 7 ファイルを保持します。

CSV ログのイネーブル化またはディセーブル化

ここでは、CSV ログをイネーブルまたはディセーブルにする手順について説明します。CSV ログ内容の設定方法については、「CSV ログの設定」を参照してください。


) 一部の CSV ログは、常にイネーブルになっています。特定のログをディセーブルにできるかどうかなど、特定のログについては、「ACS ログとレポートについて」を参照してください。


CSV ログをイネーブルまたはディセーブルにするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

ステップ 3 イネーブルにする CSV ログの名前をクリックします。

CSV log Comma-Separated Values File Configuration ページが表示されます。 log には選択した CSV ログの名前が表示されます。

ステップ 4 ログをイネーブルにするには、Enable Logging の Log to CSV log report チェックボックスをオンにします。 log には、ステップ 3 で選択した CSV ログの名前が表示されます。

ステップ 5 ログをディセーブルにするには、Enable Logging で Log to CSV log report チェックボックスをオフにします。 log には、ステップ 3 で選択した CSV ログの名前が表示されます。

ステップ 6 Submit をクリックします。

ログをイネーブルにした場合は、ACS によって、選択したログの情報のロギングが開始されます。ログをディセーブルにした場合は、ACS によって、選択したログの情報のロギングが停止されます。


 

CSV レポートの表示

Logged-in Users または Disabled Accounts を選択すると、Web ブラウザの右側のペインにある表示領域に、ログイン ユーザまたは無効アカウントのリストが表示されます。他のレポートを選択すると、適用可能なレポートのリストが表示されます。ファイルは作成日付の順番に表示され、最新のファイルがリストの先頭に表示されます。レポートは、作成された日付の名前が付けられて、日付順にリストに表示されます。たとえば、 2002-10-13.csv で終わるレポートは、2002 年 10 月 13 日に作成されたものです。

CSV 形式のファイルは、最も一般的に利用されている表計算アプリケーション ソフトウェアを使用してスプレッドシートにインポートできます。詳細については、表計算ソフトウェアのマニュアルを参照してください。サード パーティ製のレポート ツールを使用してレポート データを管理することもできます。たとえば、Extraxi の aaa-reports! は ACS をサポートしています。

ACS で表示できる任意の CSV レポートの CSV ファイルをダウンロードできます。

CSV レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 表示する CSV レポートの名前をクリックします。

ACS によって、ブラウザの右側に、現在の CSV レポート ファイル名と、それ以前のすべての CSV レポート ファイルの名前が一覧表示されます。

ステップ 3 内容を表示する CSV レポート ファイルの名前をクリックします。

CSV レポート ファイルに情報が格納されている場合は、情報が表示領域に表示されます。


ヒント このテーブルは、カラムのエントリによって昇順または降順でソートできます。カラムのエントリによって昇順でテーブルをソートするには、カラムのタイトルを一度クリックします。カラムのエントリによって降順でテーブルをソートするには、カラムのタイトルを再度クリックします。


ヒント 現在の CSV レポートで、更新された情報を確認するには、Refresh をクリックします。

ステップ 4 表示しているレポートの CSV ログ ファイルをダウンロードするには、次の手順を実行します。

a. Download をクリックします。

使用中のブラウザによって、CSV ファイルを受け入れ、保存するかどうかを確認するダイアログボックスが表示されます。

b. CSV ファイルを保存する場所を選択し、Save をクリックしてファイルを保存します。


 

ログ フィルタリング

ACS を使用して CSV ログ レポートをフィルタリングできます。使用可能なレポート タイプのリストからレポート タイプを選択すると、選択したレポート タイプのレポート履歴(ログ)ファイルのリストが表示されます。特定の CSV ログ ファイルを選択して、その内容を表示した後、フィルタリング基準を指定できます。元のログ ファイルにフィルタリング基準が適用され、基準を満たす行だけが表示されます。

フィルタリング基準には、正規表現、時間範囲、またはその両方が含まれます。

正規表現ベースのフィルタリングでは、行ごとに、各カラムの値の少なくとも 1 つが、指定された正規表現に一致するかどうか調べられます。正規表現フィルタリングを使用する場合、ACS は各カラムを調べ、フィルタリング基準を満たす行だけを表示します。

Start Date & Time および End Date & Time に値を指定して、時間ベースのフィルタリングを使用できます。指定した日時範囲内の行が表示されます。

フィルタリング用の正規表現、時間ベースのフィルタ、またはその両方を組み合せて入力できます。正規表現を入力し、時間ベースのフィルタリングも使用する場合、レポートには両方の基準を満たす行だけが表示されます。


) Refresh リンクと Download リンクの機能は変わりません(フィルタリングなし)。「CSV レポートの表示」を参照してください。


ログ フィルタを適用するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの Reports and Activity をクリックします。

ステップ 2 表示する CSV レポート タイプの名前をクリックします。

ACS によって、ブラウザの右側に、現在の CSV レポート ファイル名と、それ以前のすべての CSV(ログ)レポート ファイルの名前が一覧表示されます。

ステップ 3 ログ ファイルを選択します。内容が表示されます。

ここで、フィルタリング基準を指定して、ログ ファイルの内容にフィルタを適用できます。

ステップ 4 Regular Expression テキスト ボックスに文字列値を入力します。最大 100 文字の正規表現を入力できます。

ステップ 5 Start Date & Time テキスト ボックスと End Date & Time テキスト ボックスに文字列値を入力します。日時の形式は、ACS システム設定の日付形式に定義されているとおりで、 dd/mm/yyyy,hh:mm:ss または mm/dd/yyyy,hh:mm:ss です。

ステップ 6 Rows per Page ボックスで、1 ページあたりに表示する行数を選択します(デフォルトは 50 です)。

ステップ 7 Apply Filter をクリックします。ACS Web サーバによって、指定したフィルタリング基準がレポート ファイルに適用され、フィルタリングされた結果がレポートのテーブルに表示されます。

フィルタリング パラメータをデフォルト値にリセットするには、 Clear Filter をクリックします。このオプションを使用すると、フィルタリングされずにレポート全体が表示されます。

ステップ 8 Next ボタンおよび Previous ボタンを使用すると、レポート ページ間を前後に移動できます。


 

CSV ログの設定

ここでは、CSV ログの内容を設定する方法について説明します。CSV ログをイネーブルまたはディセーブルにする方法については、「CSV ログのイネーブル化またはディセーブル化」を参照してください。

この手順が適用されるログは、次のとおりです。

TACACS+ Accounting

TACACS+ Administration

RADIUS Accounting

VoIP Accounting

Failed Attempts

Passed Authentications

CSV ログの内容は設定可能です。CSV ログの内容を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

ステップ 3 イネーブルにする CSV ログの名前をクリックします。

CSV log Comma-Separated Values File Configuration ページが表示されます。 log には選択した CSV ログの名前が表示されます。

Select Columns To Log テーブルには、Attributes と Logged Attributes という 2 つのリストがあります。Logged Attributes リスト内のアトリビュートが、選択したログ上に表示されます。

ステップ 4 ログにアトリビュートを追加するには、Attributes リストでアトリビュートを選択してから、 --> (右矢印ボタン)をクリックします。

アトリビュートが Logged Attributes リストに移動します。


ヒント リスト ボックス内にすべてのアトリビュートが表示されていない場合は、垂直スクロール バーを使用します。

ステップ 5 ログからアトリビュートを削除するには、Logged Attributes リストで削除するアトリビュートを選択してから、 <-- (左矢印ボタン)をクリックします。

アトリビュートが Attributes リストに移動します。


ヒント リスト ボックス内にすべてのアトリビュートが表示されていない場合は、垂直スクロール バーを使用します。

ステップ 6 Logged Attributes リストで選択されているアトリビュートをデフォルトの状態に戻すには、ブラウザ ウィンドウの最下部にある Reset Columns をクリックします。

ステップ 7 Submit をクリックします。

指定した CSV ログ設定が ACS に実装されます。


 

リモート ロギング

ここでは、ACS Solution Engine のリモート ロギング機能について説明します。

この項では、次のトピックについて取り上げます。

「リモート ロギング機能について」

「集中リモート ロギングの実装」

「リモート ロギングのローカル設定」

「リモート エージェントのロギング設定」

リモート ロギング機能について

リモート ロギング機能を使用すると、AAA クライアントから受信したアカウンティング データを ACS Remote Agent に送信できます。リモート エージェントはネットワーク上のコンピュータで動作します。このリモート エージェントは、ACS が送信したアカウンティング データを CSV ファイルに書き込みます。多数の ACS Solution Engine が 1 つのリモート エージェントをポイントするように設定できるので、リモート エージェントを実行しているコンピュータを中央ロギング サーバにできます。ACS Remote Agent のインストールと設定の詳細については、
Installation and Configuration Guide for Cisco Secure ACS Remote Agents 4.0 』を参照してください。


) リモート ロギング機能は、プロキシ処理された認証要求のアカウンティング データの転送には影響しません。ACS では、プロキシにより認証されたセッションのアカウンティング データがローカルでロギングされる場合には、そのアカウンティング データに対してだけリモート ロギング設定を適用します。プロキシ処理された認証要求およびプロキシにより認証されたセッションのアカウンティング データに関する詳細については、「Proxy Distribution Table の設定」を参照してください。


System Configuration セクションの Logging Configuration ページから使用できる Remote Logging Setup ページでは、アカウンティング データのリモート ロギングを実行するように ACS を設定できます。アカウント データを 1 つのリモート エージェントに送信するか、または多くのリモート エージェントに送信するように指定できます。リモート ロギングのイネーブル化の詳細については、「リモート ロギングのローカル設定」を参照してください。

アカウンティング データを中央ロギング サーバに送信する ACS の数には関係なく、リモート エージェントはその設定を 1 つの ACS Solution Engine から受信します。この ACS は、リモート エージェントの設定プロバイダーです。その HTML インターフェイスでは、リモート エージェント設定を決定します。Logging Configuration ページの Remote Agent Logging Configuration の下のリンクを使用することで、次を項目を決定できます。

リモート エージェントが保持するログ

保存されている各ログに記録するデータ

リモート エージェントがログ ファイルを管理する方法

リモート エージェントのロギング設定の詳細については、「リモート エージェントのロギング設定」を参照してください。

集中リモート ロギングの実装

集中リモート ロギングを実装するには、次の手順を実行します。


ステップ 1 集中ロギング データを格納するコンピュータに、ACS Remote Agent をインストールして設定します。ACS Remote Agent のインストールと設定の詳細については、『 Installation and Configuration Guide for Cisco Secure ACS Remote Agent 』を参照してください。

ステップ 2 各 ACS Solution Engine で、リモート エージェントを追加します。詳細については、「リモート エージェントの設定」を参照してください。

ステップ 3 各 ACS Solution Engine で、リモート ロギングをイネーブルにします。詳細については、「リモート ロギングのローカル設定」を参照してください。

ステップ 4 リモート エージェントが設定プロバイダーとして使用するように設定されている ACS Solution Engine で、リモート エージェント ロギングを設定します。詳細については、「リモート エージェントのロギング設定」を参照してください。

ステップ 5 セカンダリ サーバまたはミラー サーバとして使用するために、別の集中ロギング サーバを作成する場合は、追加するサーバごとにステップ 1 ~ 4 を実行します。


 

リモート ロギングのローカル設定

リモート ロギングのローカル設定では、ACS Solution Engine を有効にし、アカウンティング データをリモート エージェントに送信すること、およびアカウンティング データの送信先のリモート エージェントを指定します。

リモート ロギングのローカル設定は、Remote Logging リンクからアクセスできる Remote Logging Setup ページ上で行うことができます。このリンクは、Logging Configurationページの Local Logging Configuration の下にあります。


) リモート ロギングのローカル設定は、リモート エージェントに送信されるログの種類、またはリモート エージェントに送信されるログに含まれるデータの設定には影響を与えません。リモート エージェントに送信されるログを設定する方法とログに含まれるデータの詳細については、「リモート エージェントのロギング設定」を参照してください。


リモート ロギング オプション

ACS では、次のリモート ロギング オプションを使用できます。これらのオプションは、Remote Logging Setup ページに表示されます。

Do not log Remotely :ACS は、ローカルで認証されたセッションのアカウンティング データを、イネーブルになっているローカル ログにだけ書き込みます。

Log to all selected remote log services :ACS は、ローカルで認証されたセッションのアカウンティング データを、Selected Log Services リスト内のすべてのリモート エージェントに送信します。

Log to subsequent remote log services on failure :ACS は、ローカルで認証されたセッションのアカウンティング データを、ロギング サービスを提供可能な、Selected Log Services リスト内の最初のリモート エージェントに送信します。したがって、1 つまたは複数のバックアップ中央ロギング サーバを設定することにより、最初の中央ロギング サーバに障害が発生した場合や、ACS が最初の中央ロギング サーバを使用できなくなった場合でもアカウンティング データが失われないようにすることができます。

Remote Log Services :このリストには、Network Configuration 内の Remote Agents テーブルに設定されているリモート エージェントのうち、ACS から、ローカルで認証されたセッションのアカウンティング データが送信されない ACS が表示されます。

Selected Log Services :このリストには、Network Configuration 内の Remote Agents テーブルに設定されているリモート エージェントのうち、ACS から、ローカルで認証されたセッションのアカウンティング データが送信される ACS が表示されます。

リモート ロギング機能のイネーブル化と設定

始める前に

集中ロギング サーバの設定が終了していることを確認してください。詳細については、「集中リモート ロギングの実装」を参照してください。

リモート ロギング機能をイネーブルにして設定するには、次の手順を実行します。


ステップ 1 リモート ロギングをイネーブルにするには、次の手順を実行します。

a. Interface Configuration をクリックします。

b. Advanced Options をクリックします。

c. Remote Logging チェックボックスをオンにします。

d. Submit をクリックします。

ACS によって、System Configuration セクションの Logging ページに Remote Logging リンクが表示されます。

ステップ 2 System Configuration をクリックします。

ステップ 3 Logging をクリックします。

Logging Configuration ページが開きます。

ステップ 4 Local Logging Configuration の下で、 Remote Logging をクリックします。

ステップ 5 適用するリモート ロギング オプションを選択します。

a. この ACS のアカウンティング情報を複数のリモート エージェントに送信するには、 Log to all selected remote log services オプションを選択します。

b. この ACS のアカウンティング情報を 1 つのリモート エージェントに送信するには、 Log to subsequent remote log services on failure オプションを選択します。


) 最初のリモート エージェントに障害が発生したときに、アカウンティング データを 2 番目のリモート エージェントに送信する場合は、Log to subsequent remote log services on failure オプションを使用します。


ステップ 6 Selected Log Services リストを表示する各リモート エージェントについて、次の手順を実行します。

a. Remote Log Servers リストで、ローカルで認証されたセッションのアカウティング データを送信するリモート エージェントの名前を選択します。


) Remote Log Services リストに表示されるリモート エージェントは、Network Configuration の Remote Agents テーブルによって決まります。Remote Agents テーブルの詳細については、「リモート エージェントの設定」を参照してください。


b. --> (右矢印ボタン)をクリックして、選択したリモート エージェントを Selected Log Services リストに移動します。

ステップ 7 Selected Log Services リスト内のリモート エージェントの順序を変更するには、 Up または Down をクリックして、選択したリモート エージェントが適切な順序になるまで移動します。


) Log to subsequent remote log services on failure オプションを選択すると、ACS では、Selected Log Services リスト内の最初にアクセス可能なリモート エージェントにロギングします。


ステップ 8 Submit をクリックします。

指定したリモート ロギングの設定が ACS に保存および実装されます。


 

リモート ロギング機能のディセーブル化

リモート ロギング機能をディセーブルにすると、ACS では、リモート エージェントに対するアカウンティング情報の送信が停止されます。

リモート ロギング機能をディセーブルにするには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

ステップ 3 Local Logging Configuration の下で、 Remote Logging をクリックします。

ステップ 4 Do not log Remotely オプションを選択します。

ステップ 5 Submit をクリックします。

ACS は、ローカルで認証されたセッションのアカウンティング情報を、リモート エージェントに送信しなくなります。


 

リモート エージェントのロギング設定

リモート エージェントのロギング設定では、リモート エージェントが保持するログのイネーブル化、およびリモート エージェントに送信するロギング アトリビュートの設定を実行できます。Logging Configuration ページの Remote Agent Logging Configuration テーブルには、リモート エージェントに送信するように設定できる CSV ログがリストされます。各ログは、個別に設定できます。

ACS がログ データを送信するリモート エージェントを設定する方法については、「リモート ロギングのローカル設定」を参照してください。

リモート エージェントのロギング オプション

リモート エージェントが保持できる各ログには、次の設定オプションがあります。

Log to log name report :リモート ログがイネーブルかどうかを定義します。

Attributes :ロギングのためにリモート エージェントにデータが送信されないアトリビュートです。

Logged Attributes :ロギングのためにリモート エージェントにデータが送信されるアトリビュートです。

Generate New File :リモート エージェントがロギング用に新しい CSV ファイルを開始する頻度です。

オプションを次に示します。

Every day :リモート エージェントは、毎日 12 AM に新しい CSV ログ ファイルを開始します。

Every week :リモート エージェントは、毎週日曜日の 12 AM に新しい CSV ログ ファイルを開始します。

Every month :リモート エージェントは、毎月1日の 12 AM に新しい CSV ログ ファイルを開始します。

When size is greater than X KB :現在のログ ファイルがこのボックスで指定したキロバイト数に到達すると、リモート エージェントは新しい CSV ログ ファイルを開始します。

Directory :リモート エージェントが CSV ログ ファイルを書き込むディレクトリです。このディレクトリは、リモート エージェントが動作するサーバ上のフル パスで指定する必要があります。サーバが Microsoft Windows を使用する場合、そのパスは c:/acs-logs などのドライブ文字で始まる必要があります。サーバが Sun Solaris を使用する場合、そのパスは /usr/data/acs-logs などのルート ディレクトリで始まる必要があります。

Manage Directory :リモート エージェントが古いログ ファイルを削除するかどうかを決定します。リモート エージェントが削除するログ ファイルを決める方法は、次のオプションを使用して指定できます。

Keep only the last X files :最近作成されたバックアップ ファイルを、指定した数だけ保持します。指定したファイル数を超えると、最も古いファイルが削除されます。

Delete files older than X days :リモート エージェントは指定した日数が経過したバックアップ ファイルを削除します。指定した日数が経過すると、リモート エージェントはそのログ ファイルを削除します。

リモート エージェントのログ設定

ここでは、リモート エージェントの CSV ログの内容を設定する方法について説明します。すべてのリモート エージェントのロギングをイネーブルまたはディセーブルにする方法については、「リモート ロギングのローカル設定」を参照してください。

この手順は、リモート エージェントが記録したすべてのログ、つまり Logging Configuration ページの Remote Agent Logging Configuration テーブルにリストされたすべてのログに適用されます。

始める前に

リモート エージェントのログ設定で利用できるオプションについては、「リモート エージェントのロギング オプション」を参照してください。

リモート エージェントの CSV ログを設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Logging をクリックします。

ステップ 3 Remote Agent Logging Configuration で、設定するリモート エージェント ログの名前をクリックします。

CSV log File Configuration ページが表示されます。 log には選択したリモート エージェント ログの名前が表示されます。

ステップ 4 ログをイネーブルにするには、 Log to CSV log name report チェックボックスをオンにします。


) Log to CSV log name report チェックボックスがオフである場合、このログのデータはリモート エージェントに送信されません。


ステップ 5 リモート エージェント ログに含める各アトリビュートについて、Attributes リストでアトリビュートを選択して、 --> (右矢印ボタン)をクリックします。

アトリビュートが Logged Attributes リストに移動します。


ヒント リスト ボックス内にすべてのアトリビュートが表示されていない場合は、垂直スクロール バーを使用します。

ステップ 6 リモート エージェント ログからアトリビュートを削除するには、Logged Attributes リストで削除するアトリビュートを選択してから、 <-- (左矢印ボタン)をクリックします。

アトリビュートが Attributes リストに移動します。


ヒント リスト ボックス内にすべてのアトリビュートが表示されていない場合は、垂直スクロール バーを使用します。

ステップ 7 Logged Attributes リストで選択されているアトリビュートをデフォルトの状態に戻すには、ブラウザ ウィンドウの最下部にある Reset Columns をクリックします。

ステップ 8 Generate New File の下で、リモート エージェントがいつ新しいログ ファイルを開始するかを指定します。

ステップ 9 リモート エージェントが保持する CSV ファイルを管理するには、次の手順を実行します。

a. Manage Directory チェックボックスをオンにします。

b. ACS が保持する CSV ファイルの数を制限するには、 Keep only the last X files オプションをクリックし、ACS が保持するファイルの数を X ボックスに入力します。

c. ACS が CSV ファイルを保持する期間を制限するには、 Delete files older than X days オプションを選択し、ACS が CSV ファイルを保持する日数を入力します。この日数が経過すると、ACS はファイルを削除します。

ステップ 10 Submit をクリックします。

指定したリモート エージェントのログ設定が ACS に実装されます。


 

サービス ログ

サービス ログは、診断用ログとして扱われ、トラブルシューティングやデバッグ目的に限定して使用されます。これらのログは、ACS 管理者の一般的使用を目的としていません。これらのサービス ログは、シスコ サポート要員の主な情報源となります。サービス ログには、ACS サービスの動作とアクティビティのすべての記録が含まれます。サービス ログがイネーブルになっている場合は、サービスを使用しているかどうかにかかわらず、各サービスが実行中のときに必ずログが生成されます。たとえば、ネットワークで RADIUS プロトコルを使用していない場合でも、RADIUS サービス ログは生成されます。

この項では、次のトピックについて取り上げます。

「ロギングされるサービス」

「サービス ログの設定」

「カスタマー サポートのためのデータ収集」

ACS サービスの詳細については、 第 1 章「概要」 を参照してください。

ロギングされるサービス

ACS は、次のサービスに対してログを生成します。

CSAdmin

CSAuth

CSDBSync

CSLog

CSMon

CSRadius

CSTacacs

最新のデバッグ ログには、次の名前が付けられます。

SERVICE.log

SERVICE には該当するサービスの名前が表示されます。

これより古いデバッグ ログには、作成年月日でファイル名が付けられます。たとえば、1999 年 7 月 13 日に作成されたファイルは次のファイル名になります。

SERVICE 1999-07-13.log

SERVICE には該当するサービスの名前が表示されます。

Day/Month/Year の形式を選択する場合は、次のファイル名になります。

SERVICE 13-07-1999.log

サービス ログの設定

ACS によるサービス ログ ファイルの生成および管理の方法を設定できます。サービス ログ ファイルの Level of Detail に対して次のオプションを設定できます。

None :ログ ファイルは生成されません。

Low :起動動作と停止動作だけがロギングされます。これがデフォルト設定です。

Full :すべてのサービス動作がロギングされます。

ACS によるサービス ログ ファイルの生成および管理の方法を設定するには、次の手順を実行します。


ステップ 1 ナビゲーション バーの System Configuration をクリックします。

ステップ 2 Service Control をクリックします。

サービスのステータスが hostname テーブルに表示されます。 hostname は ACS を実行しているコンピュータの名前です。

ステップ 3 サービス ログ ファイルをディセーブルにするには、Level of Detail で None オプションを選択します。

Restart をクリックした後は、ACS による新しいサービス ログ ファイルの生成は停止されます。

ステップ 4 Restart をクリックします。

ACS がサービスを再開し、指定したサービス ログの設定が ACS に実装されます。


 

カスタマー サポートのためのデータ収集

カスタマー サポートに問題の調査を依頼するときに十分なデータを提供できるよう、サービス ログの設定を適切に行う必要があります。 System Configuration > Service Control を選択し、 Full を選択します。ログ エントリを処理するための十分なディスク容量があることを確認します。

System Configuration セクションの Support 機能には、Run Support Now をクリックすると生成される package.cab ファイル内のサービス ログが含まれています。この機能の詳細については、「Support ページ」を参照してください。