Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド Version 7.1(1)
セキュリティ アプライアンスのモニタ リング
セキュリティ アプライアンスのモニタリング
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

セキュリティ アプライアンスのモニタリング

システム ログ メッセージの使用

SNMP の使用方法

SNMP の概要

SNMP のイネーブル化

セキュリティ アプライアンスのモニタリング

この章では、セキュリティ アプライアンスのモニタリングの方法について説明します。次の項で構成されています。

「システム ログ メッセージの使用」

「SNMP の使用方法」

システム ログ メッセージの使用

セキュリティ アプライアンスには、多数のシステム ログ メッセージがあります。ロギングを設定する方法、およびシステム ログ メッセージの説明を表示する方法については、『 Cisco Security Appliance Logging Configuration and System Log Messages 』を参照してください。

SNMP の使用方法

この項では、SNMP を使用する方法について説明します。次の項目を取り上げます。

「SNMP の概要」

「SNMP のイネーブル化」

SNMP の概要

セキュリティ アプライアンスは、SNMP V1 および V2c でのネットワーク モニタリングに対するサポートを提供します。セキュリティ アプライアンスはトラップと SNMP 読み取りアクセスをサポートしますが、SNMP 書き込みアクセスはサポートしません。

トラップ(イベント通知)を Network Management Station(NMS; ネットワーク管理ステーション)に送信するようにセキュリティ アプライアンスを設定することができます。また、NMS を使用してセキュリティ アプライアンスで MIB をブラウズすることもできます。MIB は定義の集合であり、セキュリティ アプライアンスは各定義に対応する値のデータベースを保持しています。MIB のブラウズは、NMS からの SNMP get 要求の発行を伴います。SNMP トラップを受信して MIB を参照(ブラウジング)するには、CiscoWorks for Windows またはその他の SNMP V1、MIB-II 互換ブラウザを使用してください。

表35-1 は、セキュリティ アプライアンスでサポートされる MIB とトラップ、およびマルチモードの場合に各コンテキストでサポートされる MIB とトラップを示しています。次の Web サイトから Cisco MIB をダウンロードできます。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

MIB をダウンロードした後、NMS 用にそれらをコンパイルします。

 

表35-1 SNMP MIB とトラップのサポート

MIB またはトラップのサポート
説明

SNMP コア トラップ

セキュリティ アプライアンスは、次のコア SNMP トラップを送信します。

authentication:NMS が正しいコミュニティ ストリングで認証しなかったため、SNMP 要求は失敗します。

linkup:インターフェイスが「up」状態に移行しました。

linkdown:インターフェイスがダウンします(たとえば、 nameif コマンドを削除した場合)。

coldstart:セキュリティ アプライアンスがリロード後に動作しています。

MIB-II

セキュリティ アプライアンスは、次のグループおよびテーブルのブラウジングをサポートします。

system

IF-MIB

セキュリティ アプライアンスは、次のテーブルのブラウジングをサポートします。

ifTable

ifXTable

RFC1213-MIB

セキュリティ アプライアンスは、次のテーブルのブラウジングをサポートします。

ip.ipAddrTable

SNMPv2-MIB

セキュリティ アプライアンスは、次のブラウジングをサポートします。

snmp

ENTITY-MIB

セキュリティ アプライアンスは、次のグループおよびテーブルのブラウジングをサポートします。

entPhysicalTable

entLogicalTable

セキュリティ アプライアンスは、次のトラップのブラウジングをサポートします。

snmp-server enable traps entity {config-change|fru-insert|fru-remove}

CISCO-IPSEC-FLOW-MONITOR-MIB

セキュリティ アプライアンスは、MIB のブラウジングをサポートします。

セキュリティ アプライアンスは、次のトラップのブラウジングをサポートします。

snmp-server enable traps ipsec {start|stop}

CISCO-REMOTE-ACCESS-MONITOR-MIB

セキュリティ アプライアンスは、MIB のブラウジングをサポートします。

セキュリティ アプライアンスは、次のトラップのブラウジングをサポートします。

snmp-server enable traps remote-access {session-threshold-exceeded}

CISCO-CRYPTO-ACCELERATOR-MIB

セキュリティ アプライアンスは、MIB のブラウジングをサポートします。

ALTIGA-GLOBAL-REG

セキュリティ アプライアンスは、MIB のブラウジングをサポートします。

Cisco Firewall MIB

セキュリティ アプライアンスは、次のグループのブラウジングをサポートします。

cfwSystem

情報は cfwSystem.cfwStatus です。これは、フェールオーバー ステータスに関連する情報であり、シングルコンテキストだけでなく、デバイス全体に関係します。

Cisco Memory Pool MIB

セキュリティ アプライアンスは、次のテーブルのブラウジングをサポートします。

ciscoMemoryPoolTable:このテーブルに示されているメモリ使用量は、セキュリティ アプライアンス汎用プロセッサだけに適用され、ネットワーク プロセッサには適用されません。

Cisco Process MIB

セキュリティ アプライアンスは、次のテーブルのブラウジングをサポートします。

cpmCPUTotalTable

Cisco Syslog MIB

セキュリティ アプライアンスは、次のトラップをサポートします。

clogMessageGenerated

この MIB はブラウズできません。

SNMP のイネーブル化

セキュリティ アプライアンスで動作する SNMP エージェントは、次の 2 つの機能を実行します。

NMS からの SNMP 要求に応答する。

トラップ(イベント通知)を NMS に送信する。

SNMP エージェントをイネーブルにし、セキュリティ アプライアンスに接続できる NMS を識別するには、次の手順を実行します。


ステップ 1 セキュリティ アプライアンスに接続できる NMS の IP アドレスを識別するには、次のコマンドを入力します。

hostname(config)# snmp-server host interface_name ip_address [trap | poll] [community text] [version 1 | 2c] [udp-port port]
 

トラップのみ、またはブラウジング(ポーリング)のみを受信するように NMS を制限する場合は、 trap または poll を指定します。デフォルトでは、NMS は両方の機能を使用します。

SNMP トラップは、デフォルトでは UDP ポート 162 で送信されます。ポート番号は udp-port キーワードを使用して変更できます。

ステップ 2 コミュニティ ストリングを指定するには、次のコマンドを入力します。

hostname(config)# snmp-server community key
 

SNMP コミュニティ ストリングは、セキュリティ アプライアンスと NMS の間の共有秘密情報です。キーは、大文字と小文字が区別される最大 32 文字の値です。スペースは使用できません。

ステップ 3 (オプション)SNMP サーバの位置または接点情報を設定するには、次のコマンドを入力します。

hostname(config)# snmp-server {contact | location} text
 

ステップ 4 セキュリティ アプライアンスでトラップを NMS に送信できるようにするには、次のコマンドを入力します。

hostname(config)# snmp-server enable [traps [all | feature [trap1] [trap2]] [...]]
 

デフォルトでは、SNMP コア トラップがイネーブルになっています( snmp )。コマンドにトラップ タイプを入力しない場合は、 syslog がデフォルトで使用されます。すべてのトラップをイネーブルまたはディセーブルにするには、 all オプションを入力します。 snmp の場合は、各トラップ タイプを個別に識別できます。トラップのリストについては、表35-1 を参照してください。

ステップ 5 システム メッセージをトラップとして NMS に送信できるようにするには、次のコマンドを入力します。

hostname(config)# logging history level
 

また、先行する snmp-server enable traps コマンドを使用して syslog トラップをイネーブルにする必要があります。

ステップ 6 ロギングをイネーブルにして、生成されたシステム メッセージを NMS に送信できるようにするには、次のコマンドを入力します。

hostname(config)# logging on
 


 

次の例では、内部インターフェイス上のホスト 192.168.3.2 から要求を受信するようにセキュリティ アプライアンスを設定します。

hostname(config)# snmp-server host 192.168.3.2
hostname(config)# snmp-server location building 42
hostname(config)# snmp-server contact Pat lee
hostname(config)# snmp-server community ohwhatakeyisthee