Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
適応型セキュリティ アプライアンスのモニタ リング
適応型セキュリティ アプライアンスのモニタリング
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

適応型セキュリティ アプライアンスのモニタリング

SNMP の使用方法

SNMP の概要

SNMP のイネーブル化

SNMP トラフィック統計情報出力の差異

インターフェイスのタイプと例

システム ログの設定と管理

システム ロギングの概要

マルチコンテキスト モードでのシステム ロギング

システム ロギングのイネーブル化とディセーブル化

設定したすべての出力先へのシステム ロギングのイネーブル化

設定したすべての出力先へのシステム ロギングのディセーブル化

システム ログのコンフィギュレーションの表示

システム ログの出力先の設定

syslog メッセージの syslog サーバへの送信

syslog メッセージのコンソール ポートへの送信

syslog メッセージの電子メール アドレスへの送信

syslog メッセージの ASDM への送信

syslog メッセージの Telnet または SSH セッションへの送信

syslog メッセージのログ バッファへの送信

syslog メッセージのフィルタリング

メッセージのフィルタリングの概要

クラスを基準にした syslog メッセージのフィルタリング

カスタム メッセージ リストを使用した syslog メッセージのフィルタリング

ログのコンフィギュレーションのカスタマイズ

システム ロギング キューの設定

syslog メッセージに日付と時刻を含める

syslog メッセージにデバイス ID を表示する

EMBLEM 形式の syslog メッセージの生成

syslog メッセージのディセーブル化

syslog メッセージの重大度の変更

syslog メッセージ生成のレート制限

システム ログで使用する内部フラッシュ メモリの容量の変更

syslog メッセージについて

syslog メッセージの形式

重大度

NetFlow セキュア イベント ロギング(NSEL)の設定と使用

NetFlow セキュア イベント ロギングについて

NSEL と syslog メッセージの使用方法

NSEL コレクタの設定

NSEL イベントのフィルタリング

flow-export アクションの設定

テンプレートのタイムアウト間隔の設定

flow-create イベントの遅延

NetFlow 関連の syslog メッセージのディセーブル化と再イネーブル化

NetFlow 関連の syslog メッセージの表示

ランタイム カウンタのクリア

ランタイム カウンタの表示

適応型セキュリティ アプライアンスのモニタリング

この章では、adaptive security applianceのモニタリングの方法について説明します。次の項で構成されています。

「SNMP の使用方法」

「システム ログの設定と管理」

「NetFlow セキュア イベント ロギング(NSEL)の設定と使用」

SNMP の使用方法

この項では、SNMP を使用する方法について説明します。次の項目を取り上げます。

「SNMP の概要」

「SNMP のイネーブル化」

「SNMP トラフィック統計情報出力の差異」

SNMP の概要

adaptive security applianceは、SNMP V1 および V2c でのネットワーク モニタリングに対するサポートを提供します。adaptive security applianceはトラップと SNMP 読み取りアクセスをサポートしますが、SNMP 書き込みアクセスはサポートしません。

トラップ(イベント通知)を NMS に送信するようにadaptive security applianceを設定できます。また、NMS を使用してadaptive security applianceで MIB をブラウズすることもできます。MIB は定義の集合であり、adaptive security applianceは各定義に対応する値のデータベースを保持しています。MIB のブラウズは、NMS からの SNMP get 要求の発行を伴います。SNMP トラップを受信して MIB を参照(ブラウジング)するには、CiscoWorks for Windows またはその他の SNMP V1 または V2c、MIB-II 互換ブラウザを使用してください。

表 39-1 は、adaptive security applianceでサポートされる MIB とトラップ、およびマルチモードの場合に各コンテキストでサポートされる MIB とトラップを示しています。次の Web サイトから Cisco MIB をダウンロードできます。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

MIB をダウンロードした後、NMS 用にそれらをコンパイルします。


) ソフトウェア バージョン 7.2(1)、8.0(2)、およびそれより後のバージョンでは、SNMP 情報は約 5 分ごとにリフレッシュされます。そのため、連続するポーリングの間は少なくとも 5 秒あけることを推奨します。


 

表 39-1 SNMP MIB とトラップのサポート

MIB またはトラップのサポート
説明

SNMP コア トラップ

adaptive security applianceは、次の SNMP コア トラップを送信します。

authentication:NMS が正しいコミュニティ ストリングで認証しなかったため、SNMP 要求は失敗します。

linkup:インターフェイスが「up」状態に移行しました。

linkdown:インターフェイスがダウンしています(たとえば、 nameif コマンドを削除した場合)。

coldstart:adaptive security applianceがリロード後に動作しています。

IF-MIB

RFC1213-MIB

SNMPv2-MIB

adaptive security applianceは、次のブラウジングをサポートします。

snmp

ENTITY-MIB

ENTITY-MIB(続き)

ENTITY-MIB::entPhysicalName.5 = 3

ENTITY-MIB::entPhysicalName.6 = slot 4

ENTITY-MIB::entPhysicalName.7 = slot 5

ENTITY-MIB::entPhysicalName.8 = slot 7

ENTITY-MIB::entPhysicalHardwareRev.1 = V01

ENTITY-MIB::entPhysicalHardwareRev.2 =

ENTITY-MIB::entPhysicalHardwareRev.3 =

ENTITY-MIB::entPhysicalHardwareRev.4 =

ENTITY-MIB::entPhysicalHardwareRev.5 =

ENTITY-MIB::entPhysicalHardwareRev.6 = D5618404

ENTITY-MIB::entPhysicalHardwareRev.7 = D4577407

ENTITY-MIB::entPhysicalHardwareRev.8 = D7555203

ENTITY-MIB::entPhysicalFirmwareRev.1 = 1.1(0)4

ENTITY-MIB::entPhysicalFirmwareRev.2 =

ENTITY-MIB::entPhysicalFirmwareRev.3 =

ENTITY-MIB::entPhysicalFirmwareRev.4 =

ENTITY-MIB::entPhysicalFirmwareRev.5 =

ENTITY-MIB::entPhysicalFirmwareRev.6 =

ENTITY-MIB::entPhysicalFirmwareRev.7 =

ENTITY-MIB::entPhysicalFirmwareRev.8 =

ENTITY-MIB::entPhysicalSoftwareRev.1 = 8.1(0)1

ENTITY-MIB::entPhysicalSoftwareRev.2 =

ENTITY-MIB::entPhysicalSoftwareRev.3 =

ENTITY-MIB::entPhysicalSoftwareRev.4 =

ENTITY-MIB::entPhysicalSoftwareRev.5 =

ENTITY-MIB::entPhysicalSoftwareRev.6 =

ENTITY-MIB::entPhysicalSoftwareRev.7 =

ENTITY-MIB::entPhysicalSoftwareRev.8 =

ENTITY-MIB::entPhysicalSerialNum.1 = JAB12345678

ENTITY-MIB::entPhysicalSerialNum.2 =

ENTITY-MIB::entPhysicalSerialNum.3 =

ENTITY-MIB::entPhysicalSerialNum.4 =

ENTITY-MIB::entPhysicalSoftwareRev.5 =

ENTITY-MIB::entPhysicalSerialNum.6 = 001517154451

ENTITY-MIB::entPhysicalSerialNum.7 = 0015171559DC

ENTITY-MIB::entPhysicalSerialNum.8 = 0015171D9752

ENTITY-MIB::entPhysicalMfgName.1 = Cisco Systems Inc.

ENTITY-MIB::entPhysicalMfgName.2 =

ENTITY-MIB::entPhysicalMfgName.3 =

ENTITY-MIB::entPhysicalMfgName.4 =

ENTITY-MIB::entPhysicalMfgName.5 =

ENTITY-MIB::entPhysicalMfgName.6 =

ENTITY-MIB::entPhysicalMfgName.7 =

ENTITY-MIB::entPhysicalMfgName.8 =

ENTITY-MIB::entPhysicalMfgName.9 =

ENTITY-MIB::entPhysicalModelName.1 = ASA5580-SPE40 or SPE20

ENTITY-MIB::entPhysicalModelName.2 =

ENTITY-MIB::entPhysicalModelName.3 =

ENTITY-MIB::entPhysicalModelName.4 =

ENTITY-MIB::entPhysicalModelName.5 =

ENTITY-MIB::entPhysicalModelName.6 = ASA5580-4GE-FI

ENTITY-MIB::entPhysicalModelName.7 = ASA5580-4GE-CU

ENTITY-MIB::entPhysicalModelName.8 = ASA5580-2X10GE-SR

ENTITY-MIB::entPhysicalAlias.1 =

ENTITY-MIB::entPhysicalAlias.2 =

ENTITY-MIB::entPhysicalAlias.3 =

ENTITY-MIB::entPhysicalAlias.4 =

ENTITY-MIB::entPhysicalAlias.5 =

ENTITY-MIB::entPhysicalAlias.6 =

ENTITY-MIB::entPhysicalAlias.7 =

ENTITY-MIB(続き)

ENTITY-MIB::entPhysicalAlias.8 =

ENTITY-MIB::entPhysicalAssetID.1 =

ENTITY-MIB::entPhysicalAssetID.2 =

ENTITY-MIB::entPhysicalAssetID.3 =

ENTITY-MIB::entPhysicalAssetID.8 =

ENTITY-MIB::entPhysicalIsFRU.1 = false(2)

ENTITY-MIB::entPhysicalIsFRU.2 = false(2)

ENTITY-MIB::entPhysicalIsFRU.4 = false(2)

ENTITY-MIB::entPhysicalIsFRU.5 = false(2)

ENTITY-MIB::entPhysicalIsFRU.6 = true(1)

ENTITY-MIB::entPhysicalIsFRU.7 = true(1)

ENTITY-MIB::entPhysicalIsFRU.8 = true(1)

 

同様の情報を CLI で表示するには、 show interface および show inventory コマンドを入力します。

adaptive security applianceは、次のトラップのブラウジングをサポートします。

config-change

fru-insert

fru-remove

CISCO-IPSEC-FLOW-MONITOR-MIB

adaptive security applianceは、MIB のブラウジングをサポートします。

adaptive security applianceは、次のトラップのブラウジングをサポートします。

start

stop

CISCO-REMOTE-ACCESS-
MONITOR-MIB

adaptive security applianceは、MIB のブラウジングをサポートします。

adaptive security applianceは、次のトラップのブラウジングをサポートします。

session-threshold-exceeded

CISCO-CRYPTO-
ACCELERATOR-MIB

adaptive security applianceは、MIB のブラウジングをサポートします。

ALTIGA-GLOBAL-REG

adaptive security applianceは、MIB のブラウジングをサポートします。

CISCO-FIREWALL-MIB

adaptive security applianceは、次のグループのブラウジングをサポートします。

cfwSystem

cfwSystem.cfwStatus の情報は、フェールオーバー ステータスに関連する情報であり、シングルコンテキストだけでなく、デバイス全体に関係します。

CISCO-MEMORY-POOL-MIB

CISCO-PROCESS- MIB

CISCO-SYSLOG-MIB

adaptive security applianceは、次のトラップをサポートします。

clogMessageGenerated

この MIB はブラウズできません。

CISCO-UNIFIED-FIREWALL
-MIB

adaptive security applianceは、次のテーブルのブラウジングをサポートします。

cuFwConnectionGlobals

cufwUrlFilterGlobals

cufwUrlFilterServers

SNMP のイネーブル化

adaptive security applianceで動作する SNMP エージェントは、次の 2 つの機能を実行します。

NMS からの SNMP 要求に応答する。

トラップ(イベント通知)を NMS に送信する。

SNMP エージェントをイネーブルにし、adaptive security applianceに接続できる NMS を識別するには、次の手順を実行します。


ステップ 1 次のコマンドを入力し、adaptive security appliance上の SNMP サーバをイネーブルにします。

hostname(config)# snmp-server enable
 

SNMP サーバはデフォルトでイネーブルになっています。

ステップ 2 adaptive security applianceに接続できる NMS の IP アドレスを識別するには、次のコマンドを入力します。

hostname(config)# snmp-server host interface_name ip_address [trap | poll] [community text] [version 1 | 2c] [udp-port port]
 

interface_name は NMS の名前で、 ip_address は NMS の IP アドレスです。

NMS でトラップのみ、またはブラウジング(ポーリング)のみを受信するように制限する場合は、 trap または poll を指定します。デフォルトでは、NMS は両方の機能を使用します。

SNMP トラップは、デフォルトでは UDP ポート 162 で送信されます。ポート番号は udp-port キーワードを使用して変更できます。

ステップ 3 コミュニティ ストリングを指定するには、次のコマンドを入力します。

hostname(config)# snmp-server community key
 

SNMP コミュニティ ストリングは、adaptive security applianceと NMS の間の共有秘密情報です。キーは、大文字と小文字が区別される最大 32 文字の値です。スペースは使用できません。

ステップ 4 (オプション)SNMP サーバの位置または接点情報を設定するには、次のコマンドを入力します。

hostname(config)# snmp-server {contact | location} text
 

text は SNMP サーバの場所または連絡先情報を表します。

ステップ 5 adaptive security applianceでトラップを NMS に送信できるようにするには、次のコマンドを入力します。

hostname(config)# snmp-server enable traps [all | syslog | snmp [trap] [...] | entity [trap] [...] | ipsec [trap] [...] | remote-access [trap]]
 

このコマンドを入力すると、機能タイプごとに個々のトラップまたはトラップのセットをイネーブルにできます。すべてのトラップをイネーブルにする場合は all キーワードを入力します。

デフォルトのコンフィギュレーションでは、すべての SNMP コア トラップがイネーブルになっています( snmp-server enable traps snmp authentication linkup linkdown coldstart )。これらのトラップをディセーブルにするには、このコマンドの no 形式で snmp キーワードを使用します。ただし、SNMP トラップをデフォルトのイネーブルに戻すには、 clear configure snmp-server コマンドを使用します。

このコマンドを入力し、トラップのタイプを指定しないと、デフォルトで syslog トラップが使用されます(デフォルトの SNMP トラップと syslog トラップがイネーブルになっています)。

ステップ 6 syslog メッセージをトラップとして NMS に送信できるようにするには、次のコマンドを入力します。

hostname(config)# logging history level
 

level はロギングの重大度を表します。

また、 snmp-server enable traps コマンドで syslog トラップをイネーブルにする必要があります。

ステップ 7 ロギングをイネーブルにして、システム メッセージを生成し NMS に送信できるようにするには、次のコマンドを入力します。

hostname(config)# logging enable
 


 

次の例では、内部インターフェイス上のホスト 192.168.3.2 から要求を受信するようにadaptive security applianceを設定します。

hostname(config)# snmp-server host 192.168.3.2
hostname(config)# snmp-server location building 42
hostname(config)# snmp-server contact system administrator
hostname(config)# snmp-server community ohwhatakeyisthee
 

SNMP トラフィック統計情報出力の差異

ASA 5580 では、 show interface コマンドと show traffic コマンドの間で、物理インターフェイスの統計情報出力と論理インターフェイスの統計情報出力が異なる場合があります。

インターフェイスのタイプと例

SNMP トラフィック統計情報を生成するインターフェイスには、次のタイプがあります。

論理:ソフトウェア ドライバにより収集された統計情報。これは物理統計情報のサブセットです。

物理:ハードウェア ドライバにより収集された統計情報。名前付き物理インターフェイスにはそれぞれ論理統計情報と物理統計情報のセットが関連付けられています。各物理統計情報には、複数の VLAN インターフェイスが関連付けられている場合があります。VLAN インターフェイスには論理統計情報のみがあります。複数の VLAN インターフェイスが関連付けられている物理インターフェイスの場合、次の点に注意してください。


) 複数の VLAN インターフェイスが関連付けられている物理インターフェイスの場合、ifInOctets と ifOutoctets の各 OID の SNMP カウンタはその物理インターフェイスのトラフィック カウンタの総計と一致します。


VLAN 専用:SNMP は ifInOctets と ifOutOctets の論理統計情報を使用します。

表 39-2 の例は、SNMP トラフィック統計情報の差異を示しています。

 

表 39-2 物理インターフェイスと VLAN インターフェイスの SNMP トラフィック統計情報

例 1
例 2

システム ログの設定と管理


) この項の内容は、NetFlow 用の UDP によるシステム ロギング機能と設定には当てはまりません。詳細については、「NetFlow セキュア イベント ロギング(NSEL)の設定と使用」を参照してください。


ここでは、ロギング機能とその設定、syslog メッセージの形式、オプション、変数について説明します。次の項目について説明します。

「システム ロギングの概要」

「システム ロギングのイネーブル化とディセーブル化」

システム ロギングの概要

adaptive security applianceのシステム ログには、adaptive security applianceのモニタリングとトラブルシューティング用の情報が記録されます。システム ロギング機能を使用して、次の作業を実行できます。

どの syslog メッセージをログに記録するかを指定する。

syslog メッセージの重大度を変更またはディセーブルにする。

syslog メッセージを送信する場所を指定する。これには、内部バッファ、syslog サーバ、ASDM、SNMP 管理ステーション、特定の電子メール アドレス、Telnet および SSH セッションがあります。

syslog メッセージを重大度やクラス別にグループに分けて管理する。

syslog メッセージの生成にレート制限を適用するかどうかを指定する。

内部バッファがいっぱいになった場合の処理として、バッファの内容の上書き、FTP サーバへの送信、および内蔵フラッシュ メモリへの保存のいずれかを指定する。

syslog メッセージのすべてまたは一部だけを、出力先のいずれかまたはすべてに送信できます。syslog メッセージは場所、syslog メッセージの重大度、syslog メッセージのクラスを基準にしてフィルタリングできます。また、カスタム メッセージ リストを作成してフィルタリングすることもできます。

マルチコンテキスト モードでのシステム ロギング

各セキュリティ コンテキストは、独自のシステム ロギング コンフィギュレーションを持ち、独自の syslog メッセージを生成します。システム コンテキストまたは管理コンテキストにログインし、他のコンテキストに変更した場合、セッションで表示される syslog メッセージは現在のコンテキストに関連するメッセージだけです。

システム実行スペースで生成された syslog メッセージにはフェールオーバー メッセージが含まれており、管理コンテキストで生成されたメッセージとともに管理コンテキストで表示されます。システム実行スペースで、システム ロギングを設定したり、システム ロギング情報を表示したりすることはできません。

各 syslog メッセージにコンテキスト名を表示するようにadaptive security applianceを設定できます。単一の syslog サーバに送信されるコンテキスト メッセージを区別するのに役立ちます。また、この機能により、管理コンテキストで生成されたメッセージとシステムで生成されたメッセージを判別できます。システム実行スペースから送信されたメッセージは システム のデバイス ID を使用し、管理コンテキストから送信されたメッセージはデバイス ID として管理コンテキスト名を使用するためです。デバイス ID のロギングのイネーブル化の詳細については、「syslog メッセージにデバイス ID を表示する」を参照してください。

システム ロギングのイネーブル化とディセーブル化

ここでは、adaptive security applianceでシステム ロギングをイネーブルおよびディセーブルにする方法について説明します。次の項目を取り上げます。

「設定したすべての出力先へのシステム ロギングのイネーブル化」

「設定したすべての出力先へのシステム ロギングのディセーブル化」

「システム ログのコンフィギュレーションの表示」

設定したすべての出力先へのシステム ロギングのイネーブル化

次のコマンドでシステム ロギングをイネーブルにします。ただし、記録されたメッセージを表示または保存できるように、出力先を少なくとも 1 つ指定する必要があります。出力先を指定しない場合、adaptive security applianceはイベントの発生時に生成された syslog メッセージを保存しません。

システム ログの出力先の設定については、「システム ログの出力先の設定」を参照してください。

システム ロギングをイネーブルにするには、次のコマンドを入力します。

hostname(config)# logging enable
 

設定したすべての出力先へのシステム ロギングのディセーブル化

設定したすべてのシステム ログ出力先へのシステム ロギングをディセーブルにするには、次のコマンドを入力します。

hostname(config)# no logging enable
 

システム ログのコンフィギュレーションの表示

実行しているシステム ログのコンフィギュレーションを表示するには、次のコマンドを入力します。

hostname(config)# show logging
 

次に、 show logging コマンドの出力例を示します。

Syslog logging: enabled
Facility: 16
Timestamp logging: disabled
Standby logging: disabled
Deny Conn when Queue Full: disabled
Console logging: disabled
Monitor logging: disabled
Buffer logging: disabled
Trap logging: level errors, facility 16, 3607 messages logged
Logging to infrastructure 10.1.2.3
History logging: disabled
Device ID: 'inside' interface IP address "10.1.1.1"
Mail logging: disabled
ASDM logging: disabled
 

システム ログの出力先の設定

この項では、adaptive security applianceで、生成されたシステム ログ メッセージを保存または送信する場所を指定する方法を説明します。次の項目を取り上げます。

「syslog メッセージの syslog サーバへの送信」

「syslog メッセージのコンソール ポートへの送信」

「syslog メッセージの電子メール アドレスへの送信」

「syslog メッセージの ASDM への送信」

「syslog メッセージの Telnet または SSH セッションへの送信」

「syslog メッセージのログ バッファへの送信」

syslog メッセージの syslog サーバへの送信

この項では、adaptive security applianceで syslog メッセージを syslog サーバに送信するように設定する方法を説明します。

adaptive security applianceで syslog メッセージを syslog サーバに送信するように設定すると、ログをアーカイブし(受ける制限はサーバの空きディスク容量のみとなります)、ログのデータを保存した後で利用できるようになります。たとえば、特定の syslog メッセージが記録されたときに行われる処理を指定したり、ログのデータを抽出してレポート用に別のファイルに保存したり、サイト独自のスクリプトを使って統計を取ったりすることができます。

adaptive security applianceで生成された syslog メッセージを表示するには、syslog メッセージの出力先を指定する必要があります。syslog メッセージの出力先を指定せずにシステム ロギングをイネーブルにした場合は、adaptive security applianceはメッセージを生成しますが、メッセージを表示できる場所に保存しません。

syslog サーバで、syslogd というサーバ プログラムを実行する必要があります。Windows (Windows 95 と Windows 98 を除く)では、オペレーティング システムの一部に syslog サーバが含まれています。Windows 95 と Windows 98 の場合は、他のベンダーから syslogd サーバを入手する必要があります。


) ここで定義した syslog サーバにシステム ログの送信を開始するときは、必ずすべての出力先へのシステム ロギングをイネーブルにしていることを確認してください。「設定したすべての出力先へのシステム ロギングのイネーブル化」を参照してください。システム ロギングをディセーブルにするには、「設定したすべての出力先へのシステム ロギングのディセーブル化」を参照してください。


adaptive security applianceで syslog メッセージを syslog サーバに送信するには、次の手順を実行します。


ステップ 1 syslog メッセージを受信する syslog サーバを指定するには、次のコマンドを入力します。

hostname(config)# logging host interface_name ip_address [tcp[/port] | udp[/port]] [format emblem]
 

format emblem キーワードは、syslog サーバに EMBLEM 形式でのロギングをイネーブルにします(UDP のみ)。

interface_name 引数で、syslog サーバにアクセスするインターフェイスを指定します。

ip_address 引数で、syslog サーバの IP アドレスを指定します。

tcp[/ port ] または udp[/ port ] 引数で、adaptive security applianceが syslog サーバに syslog メッセージを送信するのに TCP または UDP を使用することを指定します。デフォルト プロトコルは UDP です。UDP と TCP のいずれかを使用して syslog サーバにデータを送信するようにadaptive security applianceを設定できますが、両方を使用することはできません。TCP を指定すると、adaptive security applianceは syslog サーバに障害が発生した時刻を検出し、syslog メッセージの送信を中止します。UDP を指定すると、adaptive security applianceは、syslog サーバが動作中かどうかにかかわらず、syslog メッセージの送信を続行します。 port 引数で、syslog サーバが syslog メッセージを受信するポートを指定します。有効なポートの値は、いずれのプロトコルでも 1025 ~ 65535 です。デフォルトの UDP ポートは 514 です。デフォルトの TCP ポートは 1470 です。

次の例を参考にしてください。

hostname(config)# logging host dmz1 192.168.1.5
 

出力先の syslog サーバを複数指定する場合は、サーバごとに新たにコマンドを入力してください。

ステップ 2 syslog サーバに送信する syslog メッセージを指定するには、次のコマンドを入力します。

hostname(config)# logging trap {severity_level | message_list}
 

severity_level 引数で、syslog サーバに送信する syslog メッセージの重大度を指定します。重大度レベルの番号(0 ~ 7)または名前を指定できます。重大度レベルの説明については、「重大度」を参照してください。たとえば、レベルを 3 に設定すると、adaptive security applianceは、重大度レベルが 3、2、1、および 0 の syslog メッセージを送信します。

message_list 引数で、syslog サーバに送信する syslog メッセージを決めるカスタム メッセージ リストを指定します。カスタム メッセージのリストの作成については、「カスタム メッセージ リストを使用した syslog メッセージのフィルタリング」を参照してください。

次の例では、adaptive security applianceは重大度レベルが 3(エラー)以上のすべての syslog メッセージを syslog サーバに送信するように指定しています。adaptive security applianceは重大度レベルが 3、2、1 の syslog メッセージをすべて送信します。

hostname(config)# logging trap errors
 

ステップ 3 (オプション)syslog サーバがダウンしている場合に TCP ロギングを継続する必要がある場合は、次のコマンドを入力します。

hostname(config)# logging permit-hostdown
 

ステップ 4 (オプション)必要に応じて次のコマンドを入力し、ロギング ファシリティの番号をデフォルトの 20 以外に設定します。

hostname(config)# logging facility number
 

多くの UNIX システムでは、ファシリティ 20 に syslog メッセージが届くことを想定しています。


 

syslog メッセージのコンソール ポートへの送信

この項では、adaptive security applianceで syslog メッセージをコンソール ポートに送信するように設定する方法について説明します。


) ここで定義したコンソール ポートへのシステム ロギングを開始するときは、必ずすべての出力先へのシステム ロギングをイネーブルにしていることを確認してください。「設定したすべての出力先へのシステム ロギングのイネーブル化」を参照してください。ロギングをディセーブルにするには、「設定したすべての出力先へのシステム ロギングのディセーブル化」を参照してください。


コンソール ポートに送信する syslog メッセージを指定するには、次のコマンドを入力します。

hostname(config)# logging console {severity_level | message_list}
 

severity_level 引数で、コンソール ポートに送信するメッセージの重大度を指定します。重大度レベルの番号(0 ~ 7)または名前を指定できます。重大度レベルの説明については、「重大度」を参照してください。たとえば、レベルを 3 に設定すると、adaptive security applianceは、レベルが 3、2、1、および 0 の syslog メッセージを送信します。

message_list 引数で、コンソール ポートに送信する syslog メッセージを決めるカスタム メッセージ リストを指定します。カスタム メッセージのリストの作成については、「カスタム メッセージ リストを使用した syslog メッセージのフィルタリング」を参照してください。

次の例では、adaptive security applianceは重大度レベルが 3(エラー)以上のすべての syslog メッセージを syslog サーバに送信するように指定しています。adaptive security applianceは重大度が 3、2、1 のメッセージをすべて送信します。

hostname(config)# logging console errors
 

syslog メッセージの電子メール アドレスへの送信

adaptive security applianceで syslog メッセージの一部または全部を電子メール アドレスに送信するように設定できます。電子メールで送信すると、syslog メッセージが件名欄に表示されます。そのため、このオプションで、重大度の高い syslog メッセージ(critical、alert、emergency など)を管理者に送信するように設定することをお勧めします。


) ここで定義した電子メール アドレスにログの送信を開始するときは、必ずすべての出力先へのシステム ロギングをイネーブルにしていることを確認してください。「設定したすべての出力先へのシステム ロギングのイネーブル化」を参照してください。ロギングをディセーブルにするには、「設定したすべての出力先へのシステム ロギングのディセーブル化」を参照してください。


送信先の電子メール アドレスを指定するには、次の手順を実行します。


ステップ 1 電子メール アドレスに送信する syslog メッセージを指定するには、次のコマンドを入力します。

hostname(config)# logging mail {severity_level | message_list}
 

severity_level 引数でこの電子メール アドレスに送信する syslog メッセージの重大度を指定します。重大度レベルの番号(0 ~ 7)または名前を指定できます。重大度レベルの名前については、「重大度」を参照してください。たとえば、レベルを 3 に設定すると、adaptive security applianceは、重大度レベルが 3、2、1、および 0 の syslog メッセージを送信します。

message_list 引数で、この電子メール アドレスに送信する syslog メッセージを決めるカスタム メッセージ リストを指定します。カスタム メッセージのリストの作成については、「カスタム メッセージ リストを使用した syslog メッセージのフィルタリング」を参照してください。

次の例では、 message_list を、 logging list コマンドで設定済みの「high-priority」に指定しています。

hostname(config)# logging mail high-priority
 

ステップ 2 syslog メッセージの送信元の電子メール アドレスを指定するには、次のコマンドを入力します。

hostname(config)# logging from-address email_address
 

次の例を参考にしてください。

hostname(config)# logging from-address xxx-001@example.com
 

ステップ 3 syslog メッセージの宛先の電子メール アドレスを指定します。宛先のアドレスは 5 つまで指定できます。各アドレスを別々に入力する必要があります。

宛先のアドレスを指定するには、次のコマンドを入力します。

hostname(config)# logging recipient-address e-mail_address [severity_level]
 

重大度を指定しないと、デフォルトのレベル(エラーの状況、重大度 3)が使用されます。

次の例を参考にしてください。

hostname(config)# logging recipient-address admin@example.com
 

ステップ 4 syslog メッセージを電子メールで送信するときに使用する SMTP サーバを指定するには、次のコマンドを入力します。

hostname(config)# smtp-server ip_address
 

次の例を参考にしてください。

hostname(config)# smtp-server 10.1.1.1
 


 

syslog メッセージの ASDM への送信

adaptive security applianceで syslog メッセージを ASDM に送信するように設定できます。adaptive security applianceは、ASDM に送信する syslog メッセージ用のバッファを別に設定し、メッセージが生成されると、このバッファに保存します。ASDM のログ バッファは、内部ログ バッファとは別のバッファです。内部ログ バッファについては、「syslog メッセージのログ バッファへの送信」を参照してください。

ASDM のログ バッファがいっぱいになると、adaptive security applianceは、古い syslog メッセージを削除して、新しい syslog メッセージ用のスペースを空けます。ASDM のログ バッファに保存しておく syslog メッセージの数を調整するには、バッファのサイズを変更します。

この項は、次の内容で構成されています。

「ASDM へのシステム ロギングの設定」

「セキュア システム ロギングの設定」

「ASDM のログ バッファのクリア」

ASDM へのシステム ロギングの設定


) ここで定義した ASDM へのシステム ロギングを開始するときは、必ずすべての出力先へのシステム ロギングをイネーブルにしていることを確認してください。「設定したすべての出力先へのシステム ロギングのイネーブル化」を参照してください。ロギングをディセーブルにするには、「設定したすべての出力先へのシステム ロギングのディセーブル化」を参照してください。


ASDM をログの出力先に指定するには、次の手順を実行します。


ステップ 1 ASDM に送信する syslog メッセージを指定するには、次のコマンドを入力します。

hostname(config)# logging asdm {severity_level | message_list}
 

severity_level 引数で、ASDM に送信する syslog メッセージの重大度を指定します。重大度レベルの番号(0 ~ 7)または名前を指定できます。重大度レベルの名前については、「重大度」を参照してください。たとえば、レベルを 3 に設定すると、adaptive security applianceは、重大度レベルが 3、2、1、および 0 の syslog メッセージを送信します。

message_list 引数で、ASDM に送信する syslog メッセージを決めるカスタム メッセージ リストを指定します。カスタム メッセージのリストの作成については、「カスタム メッセージ リストを使用した syslog メッセージのフィルタリング」を参照してください。

次の例では、ロギングをイネーブルにして、ASDM のログ バッファに重大度が 0、1、および 2 の syslog メッセージを送信するように設定しています。

hostname(config)# logging asdm 2
 

ステップ 2 ASDM のログ バッファで保持する syslog メッセージの数を指定するには、次のコマンドを入力します。

hostname(config)# logging asdm-buffer-size num_of_msgs
 

num_of_msgs 引数で、adaptive security applianceが ASDM のログ バッファに保存しておく syslog メッセージの数を指定します。

次の例は、ASDM のログ バッファで syslog メッセージを 200 件保持するように設定しています。

hostname(config)# logging asdm-buffer-size 200
 


 

セキュア システム ロギングの設定


) 使用できるのは TCP のみです。セキュア システム ロギングは UDP をサポートしていません。UDP を使用しようとするとエラーが発生します。


セキュア システムロギングをイネーブルにするには、次のコマンドを入力します。

hostname(config)# logging host interface_name syslog_ip [tcp/port | udp/port] [format emblem] [secure]
 

interface_name 引数で syslog サーバがあるインターフェイスを指定し、syslog_ip 引数で syslog サーバの IP アドレスを指定し、port 引数で syslog サーバがシステム ログ メッセージを受信するポートを指定します。

tcp キーワードは、adaptive security applianceが syslog サーバに syslog メッセージを送信するのに TCP を使用することを指定します。 tcp キーワードは、adaptive security applianceが syslog サーバに syslog メッセージを送信するのに UDP を使用することを指定します。 format emblem キーワードは、syslog サーバでの EMBLEM 形式でのロギングをイネーブルにします。 secure キーワードは、リモート ロギングへの接続に TCP 専用の SSL/TLS を使用することを指定します。

次の例は、セキュア システム ロギングの設定方法を示しています。

hostname(config)# logging host inside 10.0.0.1 TCP/1500 secure
 


 

ASDM のログ バッファのクリア

ASDM の現在のログ バッファの内容を消去するには、次のコマンドを入力します。

hostname(config)# clear logging asdm
 

syslog メッセージの Telnet または SSH セッションへの送信

Telnet や SSH セッションで syslog メッセージを表示するには、次の 2 つの手順が必要です。

1. Telnet または SSH セッションに送信する syslog メッセージを指定する。

2. 現在のセッションで syslog メッセージを表示する。

この項は、次の内容で構成されています。

「Telnet セッションと SSH セッションに送信するシステム ロギングの設定」

「現在のセッションでの syslog メッセージの表示」

Telnet セッションと SSH セッションに送信するシステム ロギングの設定


) ここで定義した Telnet または SSH セッションへのシステム ロギングを開始するときは、必ずすべての出力先へのロギングをイネーブルにしていることを確認してください。「設定したすべての出力先へのシステム ロギングのイネーブル化」を参照してください。ロギングをディセーブルにするには、「設定したすべての出力先へのシステム ロギングのディセーブル化」を参照してください。


Telnet または SSH セッションに送信する syslog メッセージを指定するには、次のコマンドを入力します。

hostname(config)# logging monitor {severity_level | message_list}
 

severity_level 引数で、セッションに送信する syslog メッセージの重大度を指定します。重大度レベルの番号(0 ~ 7)または名前を指定できます。重大度レベルの名前については、「重大度」を参照してください。たとえば、レベルを 3 に設定すると、adaptive security applianceは、重大度レベルが 3、2、1、および 0 の syslog メッセージを送信します。

message_list 引数で、セッションに送信する syslog メッセージを決めるカスタム メッセージ リストを指定します。カスタム メッセージのリストの作成については、「カスタム メッセージ リストを使用した syslog メッセージのフィルタリング」を参照してください。

現在のセッションでの syslog メッセージの表示

現在のセッションで syslog メッセージを表示するには、次の手順を実行します。


ステップ 1 adaptive security applianceにログインし、次のコマンドを入力して、現在のセッションでのシステム ロギングをイネーブルにします。

hostname# terminal monitor
 

このコマンドは、現在のセッションのシステム ロギングだけをイネーブルにします。いったんログアウトしてからログインし直した場合は、このコマンドを入力し直す必要があります。

ステップ 2 現在のセッションでのシステム ロギングをディセーブルにするには、次のコマンドを入力します。

hostname(config)# terminal no monitor
 


 

syslog メッセージのログ バッファへの送信

syslog メッセージの出力先をログ バッファに設定すると、ログ バッファがメッセージの一時的な保存場所になります。新しい syslog メッセージは、リストの最後に追加されます。バッファがいっぱいになると、adaptive security applianceで、いっぱいのバッファを別の場所に保存するように設定していない限り、古いメッセージが新しく生成されたメッセージで上書きされます。

この項は、次の内容で構成されています。

「ログ バッファへの出力のイネーブル化」

「ログ バッファの表示」

「いっぱいになったログ バッファをフラッシュ メモリへ自動保存」

「いっぱいになったログ バッファの FTP サーバへの自動保存」

「ログ バッファの現在の内容の内部フラッシュ メモリへの保存」

「ログ バッファの内容のクリア」

ログ バッファへの出力のイネーブル化


) ここで定義したバッファへのシステム ロギングを開始するときは、必ずすべての出力先へのシステム ロギングをイネーブルにしていることを確認してください。「設定したすべての出力先へのシステム ロギングのイネーブル化」を参照してください。ロギングをディセーブルにするには、「設定したすべての出力先へのシステム ロギングのディセーブル化」を参照してください。


ログ バッファを syslog メッセージの出力先としてイネーブルにするには、次のコマンドを入力します。

hostname(config)# logging buffered {severity_level | message_list}
 

severity_level 引数で、バッファに送信するメッセージの重大度を指定します。重大度レベルの番号(0 ~ 7)または名前を指定できます。重大度レベルの名前については、「重大度」を参照してください。たとえば、レベルを 3 に設定すると、adaptive security applianceは、重大度レベルが 3、2、1、および 0 の syslog メッセージを送信します。

message_list 引数で、バッファに送信する syslog メッセージを決めるカスタム メッセージ リストを指定します。カスタム メッセージのリストの作成については、「カスタム メッセージ リストを使用した syslog メッセージのフィルタリング」を参照してください。

たとえば、重大度 1 と 2 のメッセージをログ バッファに保存する場合は、次のコマンドのいずれかを入力します。

hostname(config)# logging buffered critical
 

または

hostname(config)# logging buffered level 2
 

message_list オプションには、ログ バッファに保存するメッセージを選択する基準となるメッセージ リストの名前を指定します。

hostname(config)# logging buffered notif-list
 

ログ バッファの表示

ログ バッファを表示するには、次のコマンドを入力します。

hostname(config)# show logging
 

ログ バッファのサイズの変更

デフォルトでは、ログ バッファのサイズは 4 KB になっています。このサイズを変更するには、次のコマンドを入力します。

hostname(config)# logging buffer-size bytes
 

bytes 引数で、ログ バッファで使用するメモリの量をバイト単位で指定します。たとえば、8192 に指定すると、adaptive security applianceはログ バッファ用にメモリを 8 KB 使用します。

次の例は、adaptive security applianceでログ バッファ用にメモリを 16 KB 使用するように設定しています。

hostname(config)# logging buffer-size 16384
 

いっぱいになったログ バッファをフラッシュ メモリへ自動保存

特に指定しない限り、adaptive security applianceは、ログ バッファがいっぱいになると古いメッセージを上書きして、バッファにメッセージを保存し続けます。ログの履歴を残しておきたい場合は、adaptive security applianceでバッファがいっぱいになるたびに、その内容を別の場所に送信するように設定します。バッファの内容は、内部フラッシュ メモリか FTP サーバに保存できます。

adaptive security applianceがバッファの内容を別の場所に保存するときは、デフォルトのタイムスタンプの付いた、次のような名前のログ ファイルを作成します。

LOG-YYYY-MM-DD-HHMMSS.TXT
 

YYYY は西暦、 MM は月、 DD は日、 HHMMSS は時刻(時、分、秒)を示します。

adaptive security applianceは、ログ バッファの内容を内部フラッシュ メモリや FTP サーバに書き込んでいるときも、adaptive security applianceはログ バッファに新しいメッセージを保存し続けます。

ログ バッファがいっぱいになるたびに、バッファ内のメッセージを内部フラッシュ メモリに保存するように設定するには、次のコマンドを入力します。

hostname(config)# logging flash-bufferwrap
 

いっぱいになったログ バッファの FTP サーバへの自動保存

バッファの内容の保存の詳細については、「ログ バッファの現在の内容の内部フラッシュ メモリへの保存」を参照してください。

ログ バッファがいっぱいになるたびに、バッファ内のメッセージを FTP サーバに保存するように設定するには、次の手順を実行します。


ステップ 1 バッファがいっぱいになるたびに、adaptive security applianceでバッファの内容を FTP サーバに送信するように設定するには、次のコマンドを入力します。

hostname(config)# logging ftp-bufferwrap
 

ステップ 2 FTP サーバを指定するには、次のコマンドを入力します。

hostname(config)# logging ftp-server server path username password
 

server 引数は、外部の FTP サーバの IP アドレスを示します。

path 引数は、ログ バッファにあるデータを保存する、FTP サーバのディレクトリのパスを示します。これは、FTP サーバのルート ディレクトリを基準とした相対パスです。

username 引数は、FTP サーバにログインするための有効なユーザ名を示します。

password 引数は、上で指定したユーザ名のパスワードです。

次の例を参考にしてください。

hostname(config)# logging ftp-server 10.1.1.1 /syslogs logsupervisor 1luvMy10gs
 


 

ログ バッファの現在の内容の内部フラッシュ メモリへの保存

バッファの内容は、いつでも内部フラッシュ メモリに保存できます。ログ バッファの現在の内容を内部フラッシュ メモリに保存するには、次のコマンドを入力します。

hostname(config)# logging savelog savefile
 

たとえば、次の例は、ログ バッファの現在の内容を latest-logfile.txt というファイルとして内部フラッシュ メモリに保存しています。

hostname(config)# logging savelog latest-logfile.txt
 

ログ バッファの内容のクリア

ログ バッファの現在の内容を消去するには、次のコマンドを入力します。

hostname(config)# clear logging buffer
 

syslog メッセージのフィルタリング

この項では、どの syslog メッセージを出力先に送信するかを指定する方法を、次の項目に分けて説明します。

「メッセージのフィルタリングの概要」

「クラスを基準にした syslog メッセージのフィルタリング」

「カスタム メッセージ リストを使用した syslog メッセージのフィルタリング」

メッセージのフィルタリングの概要

生成された syslog メッセージをフィルタリングして、特定の syslog メッセージだけを特定の出力先に送信できます。たとえば、adaptive security applianceで、すべての syslog メッセージを 1 箇所に送信し、syslog メッセージの一部を別の場所に送信するように設定できます。

具体的には、adaptive security applianceが次の基準に従って syslog メッセージを出力先に送信するように設定します。

syslog メッセージの ID 番号

syslog メッセージの重大度

syslog メッセージのクラス(adaptive security applianceの機能の分類と同等)

これらの基準はメッセージ リストを作成してカスタマイズできます。メッセージ リストは「システム ログの出力先の設定」で出力先を設定するときに指定できます。また、syslog メッセージ リストとは関係なく、adaptive security applianceが、各タイプの出力先に特定のクラスのメッセージを送信するように設定することもできます。

たとえば、重大度が 1、2、3 の syslog メッセージはすべて内部フラッシュ メモリに、「ha」クラスの syslog メッセージはすべて特定の syslog サーバに送信するようにadaptive security applianceを設定したり、「high-priority」というメッセージのリストを作成して、問題が発生する可能性があることをシステム管理者に電子メールで知らせるように設定したりできます。

クラスを基準にした syslog メッセージのフィルタリング

syslog メッセージのクラスは syslog メッセージを種類(adaptive security applianceの機能に対応)ごとに分類する手段です。たとえば、「vpnc」クラスは VPN クライアントを示します。

この項は、次の内容で構成されています。

「メッセージ クラスの概要」

「1 クラス内のすべての syslog メッセージの設定済み出力先への送信」

メッセージ クラスの概要

クラスを基準にロギングするときは、あるカテゴリに属する syslog メッセージ全体の出力先を 1 つのコマンドで指定します。

syslog メッセージのクラスは、次の 2 通りの方法で使用します。

logging class コマンドを発行して、あるカテゴリに属する syslog メッセージ全体の出力先を指定する。

logging list コマンドを使用して、メッセージ クラスを指定するメッセージ リストを作成する。この方法については、「カスタム メッセージ リストを使用した syslog メッセージのフィルタリング」を参照してください。

同じクラスに属する syslog メッセージは、すべてその ID 番号の先頭 3 桁が同じになっています。たとえば、ID 番号が 611 で始まる syslog メッセージは、すべて vpnc(VPN クライアント)クラスです。VPN クライアントの機能に関係のある syslog メッセージの範囲は、611101 ~ 611323 です。

さらに、大部分の ISAKMP syslog メッセージには、一連の共通のオブジェクトが前に付加されており、トンネルを識別できるようになっています。これらのオブジェクトが使用できる場合は、syslog メッセージの説明文の前にあります。syslog メッセージの生成時にオブジェクトが未知の場合、特定の「 heading = value 」の対は表示されません。

これらのオブジェクトは次の形式で追加されます。

「Group = groupname , Username = user , IP = IP_address , ...」

Group はトンネル グループ、Username はローカル データベースまたは AAA サーバから取得したユーザ名、IP アドレスはリモート アクセス クライアントまたは L2L ピアのパブリック IP アドレスです。

1 クラス内のすべての syslog メッセージの設定済み出力先への送信

あるクラスのすべてのメッセージを、1 つのタイプの出力先に送信するように設定すると、特定の出力先を指定したコマンドでの設定が上書きされます。たとえば、レベル 7 のメッセージをログ バッファに送信するように設定している場合に、ha クラスのレベル 3 のメッセージもログ バッファに送信するように設定すると、後者が優先されます。

adaptive security applianceで syslog メッセージのクラス全体を設定済みの出力先に送信するように設定するには、次のコマンドを入力します。

hostname(config)# logging class message_class {buffered | console | history | mail | monitor | trap} [severity_level]
 

message_class 引数で、指定した出力先に送信する syslog メッセージのクラスを指定します。syslog メッセージのクラスについては、 Cisco ASA 5580 Adaptive Security Appliance System Log Messages Guide を参照してください。

buffered history mail monitor 、および trap キーワードで、このクラスの syslog メッセージの出力先を指定します。 history キーワードは、SNMP のロギングをイネーブルにします。 monitor キーワードは、Telnet と SSH のロギングをイネーブルにします。 trap キーワードは、syslog サーバへのロギングをイネーブルにします。コマンド 1 行につき、出力先を 1 つ指定します。1 つのクラスの出力先を複数指定する場合は、出力先ごとに新しくコマンドを入力してください。

severity_level 引数で重大度を指定し、この出力先に送信される syslog メッセージを制限します。メッセージの重大度については、「重大度」を参照してください。

次の例は、ha クラス(高可用性、フェールオーバーともいいます)の重要度 1(alert)の syslog メッセージをすべて内部ログ バッファに送信するように設定しています。

hostname(config)# logging class ha buffered alerts
 

カスタム メッセージ リストを使用した syslog メッセージのフィルタリング

どの syslog メッセージをどこに送信するかを細かく調整する場合は、カスタム メッセージ リストを作成すると便利です。このリストで、syslog メッセージの重大度、メッセージ ID、メッセージ ID の範囲、メッセージ クラスのいずれかまたはすべてを基準にして、メッセージのグループを指定します。

たとえば、メッセージ リストを次のように使用できます。

重大度が 1 と 2 の syslog メッセージを選択して、1 つまたは複数の電子メール アドレスに送信する。

あるメッセージ クラス(「ha」など)のすべての syslog メッセージを内部バッファに保存する。

1 つのメッセージ リストに、メッセージを選択する複数の基準を含めることができます。ただし、追加する選択基準ごとに、新たにコマンドを入力する必要があります。1 つのメッセージ リストにある選択基準が重複することもあります。2 つの基準で同じメッセージが選択されても、1 回しか記録されません。

adaptive security applianceでログ バッファに保存するメッセージを選択するのに使用するカスタム メッセージ リストを作成するには、次の手順を実行します。


ステップ 1 メッセージの選択基準を含むメッセージ リストを作成するには、次のコマンドを入力します。

hostname(config)# logging list name {level level [class message_class] | message start_id[-end_id]}
 

name 引数で、リストの名前を指定します。重大度の名前は、カスタマイズ メッセージ リストの名前として使用しないでください。使用できない名前には、「emergencies」、「alert」、「critical」、「error」、「warning」、「notification」、「informational」、「debugging」があります。同様に、これらの語の先頭 3 文字をファイル名の先頭に付けることもできません。たとえば、「err」で始まるファイル名は使用できません。

level level 引数で、重大度を指定します。重大度レベルの番号(0 ~ 7)または名前を指定できます。重大度レベルの名前については、「重大度」を参照してください。たとえば、レベルを 3 に設定すると、adaptive security applianceは、重大度レベルが 3、2、1、および 0 の syslog メッセージを送信します。

class message_class 引数で、特定のメッセージ クラスを指定します。クラス名のリストについては、 Cisco ASA 5580 Adaptive Security Appliance System Log Messages Guide を参照してください。

message start_id [ - end_id ] 引数で、syslog メッセージの個々の番号または番号の範囲を指定します。

次の例では、重大度が 3 以上のメッセージがログ バッファに保存されるようにする、notif-list というメッセージ リストを作成しています。

hostname(config)# logging list notif-list level 3
 

ステップ 2 (オプション)このリストにメッセージの選択基準を追加する場合は、上記の手順と同じコマンドを入力して既存のリスト名と追加基準を指定します。リストに追加する基準ごとに、新たにコマンドを入力してください。

次の例では、前と同じメッセージ リストに、メッセージの ID 番号の範囲とメッセージ クラス ha(高可用性、フェールオーバー)という選択基準を追加しています。

hostname(config)# logging list notif-list 104024-105999
hostname(config)# logging list notif-list level critical
hostname(config)# logging list notif-list level warning class ha
 

上の例では、指定した基準に合った syslog メッセージが出力先に送信されるように指定しています。リストにある基準で選択される syslog メッセージは、次のとおりです。

ID が 104024 ~ 105999 の syslog メッセージ

重大度が critical 以上(emergency、alert および critical)のすべての syslog メッセージ

重大度が warning 以上(emergency、alert、critical、error および warning)の ha クラスのすべての syslog メッセージ

これらの条件のいずれかを満たす syslog メッセージがログに記録されます。1 つの syslog メッセージが複数の条件を満たしても、1 回しか記録されません。


 

システム ロギング キューの設定

adaptive security applianceは、syslog メッセージを指定された出力先に送信するまで入れておくバッファに、メモリの一定の数のブロックを割り当てます。必要なブロックの数は、システム ロギング キューの長さと、指定した syslog サーバの数によって異なります。

adaptive security applianceが、設定済みの出力先に送信するまでキューに保持できる syslog メッセージの数を指定するには、次のコマンドを入力します。

hostname(config)# logging queue message_count
 

message_count 変数に、処理されるまでキューに保持できる syslog メッセージの数を指定します。デフォルトの syslog メッセージの数は、512 件です。0(ゼロ)は、syslog メッセージの数を無制限にするという意味です。つまり、キューのサイズは、使用できるブロック メモリの大きさだけで制限されます。

キューとその統計情報を表示するには、次のコマンドを入力します。

hostname(config)# show logging queue
 

syslog メッセージに日付と時刻を含める

syslog メッセージに生成日時が表示されるようにするには、次のコマンドを入力します。

hostname(config)# logging timestamp
 

syslog メッセージにデバイス ID を表示する

adaptive security applianceで EMBLEM 形式以外の syslog メッセージにデバイス ID を表示するようにするには、次のコマンドを入力します。

hostname(config)# logging device-id {context-name | hostname | ipaddress interface_name | string text}
 

syslog メッセージに、1 つのタイプだけのデバイス ID を表示できます。

context-name キーワードは、現在のコンテキストをデバイス ID として使用することを示します(マルチコンテキスト モードのみ)。管理コンテキストでデバイス ID のロギングをイネーブルにしている場合は、システム実行スペースで生成されたメッセージには、 system というデバイス ID が付き、管理コンテキストで生成されたメッセージでは、管理コンテキストの名前をデバイス ID として使用します。

hostname キーワードは、adaptive security applianceのホスト名をデバイス ID として使用することを指定します。

ipaddress interface_name 引数は、 interface_name で指定されたインターフェイスの IP アドレスをデバイス ID として使用することを示します。 ipaddress キーワードを使用すると、デバイス ID は指定されたadaptive security applianceのインターフェイスの IP アドレスになります。このキーワードによって、デバイスから送信されたすべての syslog メッセージのデバイス ID が 1 つに統一されます。

string text 引数は、テキスト文字列をデバイス ID として使用することを示します。この文字列には最大 16 文字を使用できます。ただし、スペースや次の文字は使用できません。

&(アンパサンド)

'(一重引用符)

"(二重引用符)

<(小なり記号)

>(大なり記号)

?(疑問符)


) この設定をイネーブルにしても、EMBLEM 形式の syslog メッセージや SNMP トラップにデバイス ID は表示されません。


次の例では、adaptive security applianceのデバイス ID のロギングをイネーブルにしています。

hostname(config)# logging device-id hostname
 

次の例では、adaptive security applianceのセキュリティ コンテキストのデバイス ID のロギングをイネーブルにしています。

hostname(config)# logging device-id context-name
 

EMBLEM 形式の syslog メッセージの生成

EMBLEM 形式の syslog メッセージを syslog サーバ以外に送信するには、次のコマンドを入力します。

hostname(config)# logging emblem
 

UDP で syslog サーバに送信する syslog メッセージを EMBLEM 形式にするには、syslog サーバを出力先に設定するときに format emblem オプションを使用します。次のコマンドを入力します。

hostname(config)# logging host interface_name ip_address {tcp[/port] | udp[/port]] [format emblem]
 

interface_name ip_address は、syslog メッセージを受信する syslog サーバ、 tcp [/ port ] と udp [/ port ] に、使用するプロトコルとポートを指定します。 format emblem は、syslog サーバに EMBLEM 形式でメッセージを送信することをイネーブルにします。

adaptive security appliance は、UDP または TCP プロトコルを使用して syslog メッセージを送信できますが、UDP で送信するメッセージしか EMBLEM 形式をイネーブルにできません。デフォルトのプロトコルとポートは、UDP と 514 です。

次の例を参考にしてください。

hostname(config)# logging host interface_1 209.165.201.1 udp format emblem
 

syslog サーバの詳細については、「syslog メッセージの syslog サーバへの送信」を参照してください。

syslog メッセージのディセーブル化

adaptive security applianceで特定の syslog メッセージを生成しないようにするには、次のコマンドを入力します。

hostname(config)# no logging message message_number
 

message_number は生成を停止する syslog メッセージ番号です。

次の例を参考にしてください。

hostname(config)# no logging message 113019
 

ディセーブルにした syslog メッセージをイネーブルに戻すには、次のコマンドを入力します。

hostname(config)# logging message message_number
 

message_number はイネーブルに戻す特定の syslog メッセージ番号です。

次の例を参考にしてください。

hostname(config)# logging message 113019
 

ディセーブルにした syslog メッセージのリストを表示するには、次のコマンドを入力します。

hostname(config)# show logging message
 

ディセーブルにしたすべての syslog メッセージのロギングをイネーブルに戻すには、次のコマンドを入力します。

hostname(config)# clear config logging disabled
 

syslog メッセージの重大度の変更

syslog メッセージのログ レベルを指定するには、次のコマンドを入力します。

hostname(config)# logging message message_ID level severity_level
 

message_ID は特定の syslog メッセージ番号で、 severity_level は syslog メッセージに割り当てた重大度(0 ~ 7)です。

次の例は、syslog メッセージ 113019 の重大度を 4(warnings)から 5(notifications)に変更しています。

hostname(config)# logging message 113019 level 5
 

syslog メッセージのログ レベルをデフォルトに戻すには、次のコマンドを入力します。

hostname(config)# no logging message message_ID level current_severity_level
 

message_ID は特定の syslog メッセージ番号で、 current_severity_level は syslog メッセージの現在の重大度(0 ~ 7)です。

次の例は、syslog メッセージ 113019 の重大度を、デフォルトの 4(warnings)に戻しています。

hostname(config)# no logging message 113019 level 5
 

特定のメッセージの重大度を表示するには、次のコマンドを入力します。

hostname(config)# show logging message message_ID
 

message_ID は特定の syslog メッセージ番号です。

重大度を変更した syslog メッセージのリストを表示するには、次のコマンドを入力します。

hostname(config)# show logging message
 

重大度を変更したすべての syslog メッセージの重大度をデフォルト値に戻すには、次のコマンドを入力します。

hostname(config)# clear configure logging level
 

次の例は、 logging message コマンドを使って、syslog メッセージのイネーブルとディセーブル、および重大度の両方を切り替える方法を示しています。

hostname(config)# show logging message 403503
syslog 403503: default-level errors (enabled)
 
hostname(config)# logging message 403503 level 1
hostname(config)# show logging message 403503
syslog 403503: default-level errors, current-level alerts (enabled)
 
hostname(config)# no logging message 403503
hostname(config)# show logging message 403503
syslog 403503: default-level errors, current-level alerts (disabled)
 
hostname(config)# logging message 403503
hostname(config)# show logging message 403503
syslog 403503: default-level errors, current-level alerts (enabled)
 
hostname(config)# no logging message 403503 level 3
hostname(config)# show logging message 403503
syslog 403503: default-level errors (enabled)
 

syslog メッセージ生成のレート制限

ロギングのレート制限では、syslog メッセージを生成するレートを決定します。syslog メッセージを生成するレートを指定するには、指定された重大度(1 ~ 7)を、指定された期間内のメッセージのセットまたは個別のメッセージに適用します。

ロギング レートを制限するには、次のコマンドを適用します。

hostname(config)# logging rate-limit
 

拒否されているシステム ログ メッセージを表示するには、次のコマンドを入力します。

hostname(config)# show logging rate-limit
 

現在のロギング レート制限設定を表示するには、次のコマンドを入力します。

hostname(config)# show running-config logging rate-limit
 

ロギング レート制限をデフォルト値にリセットするには、次のコマンドを入力します。

hostname(config)# clear running-config logging rate-limit
 

ロギング レートをリセットするには、次のコマンドを適用します。

hostname(config)# clear configure logging rate-limit
 

システム ログで使用する内部フラッシュ メモリの容量の変更

adaptive security applianceでログ バッファの内容を内部フラッシュ メモリに保存する方法は、次の 2 通りがあります。

ログ バッファがいっぱいになるたびに、その内容を内部フラッシュ メモリに保存するようにシステム ロギングを設定する。

adaptive security applianceでログ バッファの現在の内容を今すぐ内部フラッシュ メモリに保存させるコマンドを入力する。

デフォルトでは、adaptive security applianceは、システム ログ データ用に内部フラッシュ メモリを 1 MB まで使用できます。adaptive security applianceでシステム ログ データを保存するために最低限空けておく必要がある内部フラッシュ メモリの容量は、デフォルトで 3 MB になっています。

ログ ファイルが内部フラッシュメモリに保存されたために、内部フラッシュ メモリの空き容量が設定した最低限必要な容量より少なくなる場合、adaptive security applianceは、最も古いログ ファイルを削除して新しいログ ファイルを保存した後、最低限必要な空き容量を確保します。削除するファイルがない場合や、古いファイルをすべて削除しても最低限必要な空き容量を確保できない場合は、adaptive security applianceは新しいファイルを保存できません。

システム ログで使用する内部フラッシュ メモリの容量の設定を変更するには、次の手順を実行します。


ステップ 1 ログ ファイルの保存用に使用できる内部フラッシュ メモリの最大容量を指定するには、次のコマンドを入力します。

hostname(config)# logging flash-maximum-allocation kbytes
 

kbytes に、ログ ファイルの保存用に使用できる内部フラッシュ メモリの最大容量を KB 単位で指定します。

次の例は、ログ ファイル用に使用できる内部フラッシュ メモリの最大容量を約 1.2 MB に設定しています。

hostname(config)# logging flash-maximum-allocation 1200
 

ステップ 2 adaptive security applianceでログ ファイルを保存するために最低限空けておく必要がある内部フラッシュ メモリの容量を指定するには、次のコマンドを入力します。

hostname(config)# logging flash-minimum-free kbytes
 

kbytes に、adaptive security applianceが新しいログ ファイルを保存する前に最低限必要な内部フラッシュ メモリの空き容量を KB 単位で指定します。

次の例は、adaptive security applianceが新しいログ ファイルを保存する前に最低限必要な内部フラッシュ メモリの空き容量を 4000 KB に設定しています。

hostname(config)# logging flash-minimum-free 4000
 


 

syslog メッセージについて

この項では、adaptive security applianceで生成される syslog メッセージの内容を説明します。次の項目について説明します。

「syslog メッセージの形式」

「重大度」

syslog メッセージの形式

パーセント記号(%)から始まる syslog メッセージは、次のような構造になっています。

 
%ASA Level Message_number: Message_text
 

次の表に、各フィールドの説明を示します。

ASA

adaptive security appliance で生成されたメッセージの syslog メッセージ ファシリティのコードを示します。この値は、常にASA です。

Level

1 ~ 7。syslog メッセージで説明されている状況の重大度を示します。番号が小さいほど、重大度は高くなります。詳細は 表 39-3 を参照してください。

Message_number

syslog メッセージの 6 桁の固有な番号。

Message_text

メッセージが生成された状況を説明するテキスト。IP アドレス、ポート番号、ユーザ名が含まれていることがあります。

重大度

表 39-3 に、syslog メッセージの重大度を示します。

 

表 39-3 syslog メッセージの重大度

重大度
レベルのキーワード
説明

0

emergencies

システムを使用できません。

1

alert

緊急の措置が必要です。

2

critical

深刻な状況です。

3

error

エラー状態です。

4

warning

警告状態です。

5

notification

正常ですが、重要な状況です。

6

informational

情報提供用のメッセージです。

7

debugging

デバッグ用のメッセージです。


) adaptive security applianceは、重大度 0(emergencies)の syslog メッセージを生成しません。このレベルは、UNIX システムのログ機能との互換性を保つために、logging コマンドで使用できるようになっていますが、adaptive security appliance では使用されません。


NetFlow セキュア イベント ロギング(NSEL)の設定と使用

NSEL は NetFlow バージョン 9 テクノロジーにより構築されたセキュリティ ロギング メカニズムです。ここでは、NSEL によるイベントと syslog メッセージの処理について説明します。次の項目を取り上げます。

「NetFlow セキュア イベント ロギングについて」

「NSEL と syslog メッセージの使用方法」

「NSEL コレクタの設定」

「NSEL イベントのフィルタリング」

「テンプレートのタイムアウト間隔の設定」

「flow-create イベントの遅延」

「NetFlow 関連の syslog メッセージのディセーブル化と再イネーブル化」

「NetFlow 関連の syslog メッセージの表示」

「ランタイム カウンタのクリア」

「ランタイム カウンタの表示」

NSEL 関連のコマンドと設定の詳細については、『 Cisco ASA 5580 Adaptive Security Appliance Command Reference 』を参照してください。

NetFlow セキュア イベント ロギングについて

adaptive security applianceは NetFlow バージョン 9 のサービスをサポートしています。NetFlow のサービスの詳細については、RFC 3954 を参照してください。

adaptive security applianceに実装されている NSEL はステートフルな IP フロー トラッキング方式で、フロー内の重大なイベントを示すレコードのみをエクスポートします。ステートフルなフロー トラッキングでは、追跡されるフローの状態は次々と変化します。フローのステータスに関するデータのエクスポートには NSEL イベントが使用されます。このイベントは、状態の変化の原因となるイベントによってトリガーされます。

追跡対象の重大なイベントには、フローの作成、フローのティアダウン、フローの拒絶(EtherType ACL により拒絶されたフローは除く)などがあります。各 NSEL レコードにはイベント ID と、フロー イベントを表す拡張イベント ID フィールドがあります。

adaptive security applianceに実装されている NSEL の主な機能は次の通りです。

flow-create flow-teardown flow-dened の各イベントを継続的に追跡し、所定の NSEL データ レコードを生成する。

フローの進捗を表すテンプレートの定義とエクスポートを行う。テンプレートは NetFlow によりエクスポートされるデータ レコードの形式を表します。各イベントには複数のレコード形式や、関連するテンプレートがあります。

設定済み NSEL コレクタを追跡し、UDP での NetFlow によってのみ、これらの設定済み NSEL コレクタにテンプレートとデータ レコードを送信する。

テンプレート情報を定期的に NSEL コレクタに送信する。コレクタはテンプレート定義を受信します。この処理は通常フロー レコードの受信よりも前に行われます。

モジュラ ポリシー フレームワークによりトラフィックとイベントのタイプに基づいて NSEL イベントのフィルタリングを行い、レコードを別のコレクタに送信する。トラフィックはクラスの設定順に従って照合されます。サポートされているイベントの種類は flow-create、flow-denied、flow-teardown、all です。

flow-create イベントのエクスポートを遅延させる。flow-export delay flow-create コマンドが設定されていない場合は遅延は発生せず、flow-create イベントはフローの作成と同時にエクスポートされます。設定された遅延が発生する前にフローがティアダウンした場合、flow-create イベントは送信されず、かわりに拡張 flow-teardown イベントが送信されます。

adaptive security applianceで実装されている NSEL の詳細については、『 Implementation Note for NetFlow Collectors 』を参照してください。

NSEL と syslog メッセージの使用方法

表 39-4 に syslog メッセージとこれに対応する NSEL イベント、イベント ID、拡張イベント ID を示します。拡張イベント ID を使用すると、イベントのより詳細な情報を確認できます(入力と出力のどちらの ACL がフローを拒絶したか、など)。syslog メッセージの詳細については、『 Cisco ASA 5580 Adaptive Security Appliance System Log Messages Guide 』を参照してください。


) NetFlow でフロー情報をエクスポートできるように設定した場合、表 39-4 に記載されている syslog メッセージが重複します。同じ情報が NetFlow からエクスポートされることになるため、パフォーマンス上の理由から、重複する syslog メッセージをディセーブルにすることが推奨されます。個々の syslog メッセージをイネーブルまたはディセーブルにする方法については、「NetFlow 関連の syslog メッセージのディセーブル化と再イネーブル化」を参照してください。


 

表 39-4 syslog メッセージと対応する NSEL イベント

syslog メッセージ
説明
NSEL イベント ID
NSEL 拡張イベント ID

106100

ACL を検知した場合に生成。

1:フローが作成された(ACL によりフローが許可された場合)。

3:フローが拒絶された(ACL によりフローが拒絶された場合)。

0:ACL によりフローが拒絶された場合。

1001:入力 ACL によりフローが拒絶された。

1002:出力 ACL によりフローが拒絶された。

106015

最初のパケットが SYN パケットでなかったため、TCP フローが拒絶された。

3:フローが拒絶された。

1004:最初のパケットが TCP SYN パケットでなかったため、フローが拒絶された。

106023

access-group コマンドによりインターフェイスに接続された ACL によりフローが拒絶された。

3:フローが拒絶された。

1001:入力 ACL によりフローが拒絶された。

1002:出力 ACL によりフローが拒絶された。

302013, 302015, 302017, 302020

TCP、UDP、GRE、および ICMP 接続の作成。

1:フローが作成された。

0:無視。

302014, 302016, 302018, 302021

TCP、UDP、GRE、および ICMP 接続のティアダウン。

2:フローが削除された。

0:無視。

2000 を超える値:フローがティアダウンした。

313001

デバイスへの ICMP パケットが拒絶された。

3:フローが拒絶された。

1003:設定が原因で to-the-box フローが拒絶された。

313008

デバイスへの ICMP v6 パケットが拒絶された。

3:フローが拒絶された。

1003:設定が原因で to-the-box フローが拒絶された。

710003

デバイスのインターフェイスへの接続試行が拒絶された。

3:フローが拒絶された。

1003:設定が原因で to-the-box フローが拒絶された。

NSEL コレクタの設定


) NetFlow コンフィギュレーション全体で IP アドレスとホスト名の割り当てが一意である必要があります。


NetFlow パケットの送信先となる NSEL コレクタを設定するには、次のコマンドを入力します。

hostname (config)# flow-export destination interface-name ipv4-address|hostname udp-port
 

destination キーワードは設定する NSEL コレクタを表します。 interface-name はコレクタへの接続に使用するadaptive security applianceのインターフェイスの名前です。 ipv4-address はコレクタ アプリケーションを実行しているコンピュータの IP アドレスです。 hostname は送信先のコレクタの IP アドレスまたは名前です。 udp-port は NetFlow パケットの送信先となる UDP ポート番号です。最大で 5 個の送信先を設定できます。送信先の設定が完了すると、テンプレート レコードが設定済みのすべての NSEL コレクタに自動的に送信されます。

次の例を参考にしてください。

hostname (config)# flow-export destination inside 209.165.200.225 2002
 

NSEL イベントのフィルタリング

NSEL イベントはトラフィックとイベントのタイプに基づいてフィルタリングでき、レコードはさまざまなコレクタに送信できます。

たとえば、2 個のコレクタがある場合、次の内容を実行できます。

アクセス リスト 1 と一致するすべての flow-denied イベントをコレクタ 1 に記録する。

すべての flow-create イベントをコレクタ 1 に記録する。

すべての flow-teardown イベントをコレクタ 2 に記録する。

NSEL コレクタを設定しないと、モジュラ ポリシー フレームワークでフィルタを設定することはできません。


) バージョン 8.1(1) で flow-export enable コマンドによりすでに flow-export アクションを設定済みで、その後新しいバージョンにアップグレードした場合、設定は自動的に新しいモジュラ ポリシー フレームワークの flow-export event-type コマンドに変換されます。詳細については、8.1(2) のリリース ノートを参照してください。


flow-export アクションの設定

モジュラ ポリシー フレームワークを使用して flow-export アクションを設定し、NSEL イベントをエクスポートできます。トラフィックはクラスの設定順に従って照合されます。一致が見つかると、その他のクラスはチェックされません。

サポートされているイベントの種類は flow-create flow-denied flow-teardown all (前記の 3 種類のイベントすべてを含む)です。

flow-export によるエクスポート先は IP アドレスで一意に識別されます。

NSEL イベントをエクスポートするには、次の手順を実行して、flow-export アクションを伴うすべてのクラスを定義する必要があります。


ステップ 1 次のコマンドを入力して、NSEL イベントのエクスポートが必要なトラフィックを指定するクラス マップを定義します。

hostname (config)# class-map flow_export_class
 

class_map_name にはクラス マップの名前を指定します。

次のコマンドを入力して、特定のトラフィックと照合するためのアクセス リストを設定します。

hostname (config-cmap)# match access-list flow_export_acl
 

flow_export_acl には、アクセス リストの名前を指定します。

また、次のコマンドを入力すると、すべてのトラフィックとの照合が行われます。

hostname (config-cmap)# match any
 

) flow-export アクションはインターフェイス ベースのポリシーではサポートされていません。クラス マップで flow-export アクションを設定する場合、使用できるコマンドは match access-listmatch anyclass-default のみです。flow-export アクションはグローバル サービス ポリシーでのみ適用できます。


ステップ 2 次のコマンドを入力して、定義されたクラスに flow-export アクションを適用するためのポリシー マップを定義します。

hostname(config)# policy-map flow_export_policy
 

flow_export_policy には、ポリシー マップの名前を指定します。

次のコマンドを入力して、flow-export アクションを適用するクラスを定義します。

hostname (config-pmap)# class flow_export_class
 

flow_export_class にはクラスの名前を指定します。

次のコマンドを入力して、flow-export アクションを設定します。

hostname (config-pmap-c)# flow-export event-type event-type destination flow_export_host1 [flow_export_host2]
 

event_type にはフィルタ処理の対象となる、サポートされているイベントの名前を指定します。 flow_export_host にはコレクタの IP アドレスを指定します。

ステップ 3 次のコマンドを入力して、サービス ポリシーをグローバルにアタッチします。

hostname (config)# service-policy flow_export_policy global
 


 

次の例では、NSEL イベントの 4 つのフィルタリングのシナリオを示しています。ここでは、次のコレクタが設定済みであるものとします。

flow-export destination inside 209.165.200.230

flow-export destination outside 209.165.201.29 2055

flow-export destination outside 209.165.201.27 2055

シナリオ 1

ホスト 209.165.200.224 とホスト 209.165.201.224 の間で発生したすべてのイベントを 209.165.200.230 に記録し、それ以外のすべてのイベントを 209.165.201.29 に記録する。

hostname (config)# access-list flow_export_acl permit ip host 209.165.200.224 host 209.165.201.224
hostname (config)# class-map flow_export_class
hostname (config-cmap)# match access-list flow_export_acl
hostname (config)# policy-map flow_export_policy
hostname (config-pmap)# class flow_export_class
hostname (config-pmap-c)# flow-export event-type all destination 209.165.200.230
hostname (config-pmap)# class class-default
hostname (config-pmap-c)# flow-export event-type all destination 209.165.201.29
hostname (config)# service-policy flow_export_policy global
 

シナリオ 2

flow-creation イベントを 209.165.200.230、flow-teardown イベントを 209.165.201.29、flow-denied イベントを 209.165.201.27 にそれぞれ記録する。

hostname (config)# policy-map flow_export_policy
hostname (config-pmap)# class class-default
hostname (config-pmap-c)# flow-export event-type flow-creation destination 209.165.200.230
hostname (config-pmap-c)# flow-export event-type flow-teardown destination 209.165.201.29
hostname (config-pmap-c)# flow-export event-type flow-denied destination 209.165.201.27
hostname (config)# service-policy flow_export_policy global
 

シナリオ 3

ホスト 209.165.200.224 とホスト 209.165.200.230 の間で発生した flow-creation イベントを 209.165.201.29 に記録し、すべての flow-denied イベントを 209.165.201.27 に記録する。

hostname (config)# access-list flow_export_acl permit ip host 209.165.200.224 host 209.165.200.230
hostname (config)# class-map flow_export_class
hostname (config)# match access-list flow_export_acl
hostname (config)# policy-map flow_export_policy
hostname (config-pmap)# class flow_export_class
hostname (config-pmap-c)# flow-export event-type flow-creation destination 209.165.200.29
hostname (config-pmap-c)# flow-export event-type flow-denied destination 209.165.201.27
hostname (config-pmap)# class class-default
hostname (config-pmap-c)# flow-export event-type flow-denied destination 209.165.201.27
hostname (config)# service-policy flow_export_policy global
 

flow_export_acl については次のコマンドを入力する必要があります。

hostname (config-pmap-c)# flow-export event-type flow-denied destination 209.165.201.27

これは、最初の一致が検出された後トラフィックがチェックされないためです。flow_export_acl に一致する flow-denied イベントを記録するには、アクションを明示的に定義する必要があります。


シナリオ 4

ホスト 209.165.201.27 と 209.165.201.50 の間で発生したトラフィックを除くすべてのトラフィックを 209.165.201.27 に記録する。

hostname (config)# access-list flow_export_acl deny ip host 209.165.201.30 host 209.165.201.50
hostname (config)# access-list flow_export_acl permit ip any any
hostname (config)# class-map flow_export_class
hostname (config-cmap)# match access-list flow_export_acl
hostname (config)# policy-map flow_export_policy
hostname (config-pmap)# class flow_export_class
hostname (config-pmap-c)# flow-export event-type all destination 209.165.201.27
hostname (config)# service-policy flow_export_policy global
 

テンプレートのタイムアウト間隔の設定

テンプレートのレコードを設定済みのすべての送信先に送信する間隔を指定するには、次のコマンドを入力します。

hostname (config)# flow-export template timeout-rate minutes
 

template にはテンプレート特有の設定を指定します。 timeout-rate にはテンプレートを再送信するまでの時間を指定します。 minutes はテンプレートを再送信する間隔を分単位で指定します。デフォルト値は 30 分です。

次の例を参考にしてください。

hostname (config)# flow-export template timeout-rate 15
 

flow-create イベントの遅延

flow-create イベントの送信を遅延させるには、次のコマンドを入力します。

hostname (config)# flow-export delay flow-create seconds
 

seconds には遅延を認める時間を秒単位で指定します。このコマンドが設定されていない場合は遅延は発生しません。flow-create イベントはフローの作成と同時にエクスポートされます。

次の例を参考にしてください。

hostname (config)# flow-export delay flow-create 10
 

NetFlow 関連の syslog メッセージのディセーブル化と再イネーブル化

adaptive security applianceは NSEL と syslog メッセージの両方をサポートしていますが、NSEL イベントで表すことができる内容の syslog メッセージはすべてディセーブルにして冗長を避け、パフォーマンスを維持することを推奨します。


) NSEL と syslog メッセージの両方をイネーブルにすると、2 つのロギング タイプ間で時間的順序が保証されなくなります。


NSEL と内容が重複している syslog メッセージをディセーブルにするには、次の手順を実行します。


ステップ 1 次のコマンドを入力します。

hostname (config)# logging flow-export syslogs disable
 

) このコマンドをグローバル コンフィギュレーション モードで実行しても、コンフィギュレーション内に保存されません。コンフィギュレーションに保存されるのは no logging message xxxxxx コマンドのみです。


ステップ 2 ディセーブルにした syslog メッセージを表示するには、次のコマンドを入力します。

hostname (config)# show running-config logging
 
no logging message xxxxx1
no logging message xxxxx2
 

xxxxx1 xxxxx2 は、NSEL でも同じ内容が取得されているため冗長になった syslog メッセージです。

ステップ 3 冗長な syslog メッセージをディセーブルにした後でも、 logging message xxxxxx コマンドで個別に syslog メッセージを再度イネーブルにできます。 xxxxxx は再度イネーブルにする syslog メッセージです。

ステップ 4 すべての NSEL イベントを同時に再度イネーブルにするには、 logging flow-export syslogs enable コマンドを入力します。


 

NetFlow 関連の syslog メッセージの表示

NSEL イベントにより取得されたすべての syslog メッセージのリストを表示するには、次のコマンドを入力します。

hostname# show logging flow-export-syslogs
 
Syslog ID Type Status
302013 Flow Created Enabled
302015 Flow Created Enabled
302017 Flow Created Enabled
302020 Flow Created Enabled
302014 Flow Deleted Enabled
302016 Flow Deleted Enabled
302018 Flow Deleted Enabled
302021 Flow Deleted Enabled
106015 Flow Denied Enabled
106023 Flow Denied Enabled
313001 Flow Denied Enabled
313008 Flow Denied Enabled
710003 Flow Denied Enabled
106100 Flow Created/Denied Enabled
 

adaptive security applianceで実装されている機能のリストについては、「サポートされているプラットフォームと機能」を参照してください。

ランタイム カウンタのクリア

NSEL のすべてのランタイム カウンタを 0 にリセットするには、次のコマンドを入力します。

hostname# clear flow-export counters
 

ランタイム カウンタの表示

ランタイム カウンタには統計データとエラー データが保存されています。NSEL のランタイム カウンタを表示するには、次のコマンドを入力します。

hostname (config)# show flow-export counters
 
destination: inside 209.165.200.225 2055
 
Statistics:
packets sent 250
Errors:
block allocation errors 0
invalid interface 0
template send failure 0