ASDM を使用した Cisco セキュリティ アプライアン ス コンフィギュレーション ガイド
ロギングの設定
ロギングの設定
発行日;2012/02/01 | 英語版ドキュメント(2010/03/12 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

ロギングの設定

ロギングの概要

ロギングのセキュリティ コンテキスト

ロギングの使用方法

ロギングの設定

FTP の設定

ロギングに使用するフラッシュ メモリの設定

syslog の設定

syslog ID 設定の編集

高度な syslog 設定

E メールの設定

E メール受信者の追加と編集

イベント リスト

イベント リストの追加と編集

syslog メッセージ ID フィルタの追加と編集

ロギング フィルタ

ロギング フィルタの編集

クラスおよび重大度によるフィルタの追加と編集

syslog メッセージ ID フィルタの追加と編集

レート制限

syslog ロギング レベルに対するレート制限の編集

syslog メッセージに対するレート制限の追加と削除

[Syslog Servers]

syslog サーバの追加と編集

SMTP

NetFlow の使用方法

NetFlow イベントと設定済みコレクタとの対応付け

ロギングの設定

ロギング機能では、ロギングをイネーブルにしてログ情報の処理方法を指定できます。ログ表示機能では、syslog メッセージをリアルタイムで表示できます。ログ表示機能の詳細については、「ロギングのモニタリング」を参照してください。

ロギングの概要

セキュリティ アプライアンスでは、syslog メッセージの監査証跡を生成できます。この監査証跡は、実行されたアクティビティ(許可または拒否されたネットワーク トラフィックのタイプなど)の内容を記録するためのもので、システム ロギングの設定に使用できます。

すべての syslog メッセージには、デフォルトの重大度レベルが設定されています。メッセージの重大度レベルは、必要に応じて変更できます。ロギング メッセージは、選択した重大度レベルまたはそれより下位のレベルに対して生成されます。選択したレベルより上位のレベルに対しては、メッセージは生成されません。重大度レベルが高いほど、生成されメッセージは多くなります。ロギングおよび syslog メッセージの詳細については、『 Cisco ASA 5500 Series System Log Messages 』を参照してください。

ロギングのセキュリティ コンテキスト

ロギングのコンフィギュレーション、および生成されるメッセージは、セキュリティ コンテキストごとに異なります。システム コンテキストまたは管理コンテキストにログインし、他のコンテキストに変更した場合、セッションで表示されるメッセージは現在のコンテキストに関連するメッセージだけです。

フェールオーバー メッセージなど、システム実行スペースで生成された syslog メッセージは、管理コンテキストで生成されたメッセージとともに管理コンテキストで表示されます。システム実行スペースはで、ロギングを設定したり、ロギング情報を表示したりできません。

セキュリティ アプライアンスでは、各メッセージにコンテキスト名が表示されるように設定できます。これにより、同一の syslog サーバに送信されるコンテキスト メッセージどうしを区別できます。また、この機能を使用すると、管理コンテキストで生成されたメッセージとシステムで生成されたメッセージを判別できます。システム実行スペースから送信されたメッセージには、 system というデバイス ID が使用され、管理コンテキストから送信されたメッセージはデバイス ID として管理コンテキスト名が使用されます。デバイス ID の使用方法については、「高度な syslog 設定」を参照してください。

ロギングの使用方法

セキュリティ コンテキストを定義したら、 [Configuration] > [Device Management] > [Logging] を選択します。[Logging] では、次の操作を実行できます。

[Logging Setup] ペインでは、ロギングをイネーブルにしたり、ロギング パラメータを設定したりできます。詳細については、「ロギングの設定」を参照してください。

[Syslog Setup] ペインでは、syslog サーバに送信される syslog メッセージにファシリティ コードを含めるように設定したり、各メッセージにタイムスタンプを含めるように指定したり、メッセージの重大度レベルを表示または変更したり、メッセージをディセーブルにしたりできます。詳細については、「syslog の設定」を参照してください。

[E-Mail Setup] ペインでは、通知を目的として E メールで送信される syslog メッセージを指定できます。詳細については、「syslog の設定」を参照してください。

[Event Lists] ペインでは、記録するメッセージを指定するイベントのカスタム リストを作成できます。ここで作成したリストは、ログ フィルタの設定時に使用されます。詳細については、「イベント リスト」を参照してください。

[Logging Filters] ペインでは、各ログの宛先に送信されるメッセージのフィルタリングに使用する基準を指定できます。作成するフィルタの基準としては、重大度レベル、メッセージ クラス、メッセージ ID、またはイベント リストが使用できます。詳細については、「ロギング フィルタ」を参照してください。

[Rate Limit] ペインでは、指定した期間内に生成可能なメッセージ数を制限できます。詳細については、「レート制限」を参照してください。

[Syslog Server] ペインでは、セキュリティ アプライアンスから送信される syslog メッセージの宛先となる syslog サーバを指定できます(複数可)。詳細については、「[Syslog Servers]」を参照してください。

[SMTP] ペインでは、ASDM から送信される E メール アラートおよび通知メッセージの宛先となる SMTP サーバを指定できます(複数可)。詳細については、「SMTP」を参照してください。

[NetFlow] ペインでは、パケット フローの進行状況に関する情報をエクスポートできます。詳細については、「NetFlow の使用方法」を参照してください。


 

ロギングの設定

[Logging Setup] ペインでは、セキュリティ アプライアンスに対してシステム ロギングをイネーブルにし、スタンバイ装置でロギングを引き継ぐことが可能かどうか、デバッグ メッセージを送信するかどうか、EMBLEM 形式を使用するかどうかなど、一般的なロギング パラメータを指定できます。また、内部ログ バッファやセキュリティ アプライアンスのロギング キューのデフォルト設定を変更することもできます。このペインにアクセスするには、 [Configuration] > [Device Management] > [Logging] > [Logging Setup] を選択します。

ロギングを設定するには、次の手順を実行します。


ステップ 1 [Enable logging] チェックボックスをオンにして、メインセキュリティ アプライアンスに対するロギングを有効にします。

ステップ 2 [Enable logging on the failover standby unit] チェックボックスをオンにして、スタンバイセキュリティ アプライアンスに対するロギングを有効にします(可能な場合)。

ステップ 3 [Send debug messages as syslogs] チェックボックスをオンにして、すべてのデバッグ トレース出力がシステム ログにリダイレクトされるようにします。このオプションがイネーブルになっている場合、syslog メッセージはコンソールには表示されません。そのため、デバッグ メッセージを表示するには、コンソールでロギングをイネーブルにし、デバッグ syslog メッセージ番号および重大度レベルの宛先としてコンソールを設定する必要があります。使用する syslog メッセージ番号は、 711001 です。この syslog メッセージに対するデフォルトの重大度レベルは、[Debugging] です。

ステップ 4 [Send syslogs in EMBLEM format] チェックボックスをオンにして、EMBLEM 形式をイネーブルにします。これにより、syslog サーバを除くログの宛先すべてに対して EMBLEM 形式が使用されます。

ステップ 5 ロギング バッファがイネーブルの場合に syslog メッセージが保存される内部ログ バッファのサイズを、[Buffer Size] フィールドで指定します。バッファの空き容量がなくなると、FTP サーバまたは内部フラッシュ メモリにログを保存していない限り、メッセージは上書きされます。デフォルトのバッファ サイズは 4096 バイトです。指定できる範囲は、4096 ~ 1048576 バイトです。

ステップ 6 バッファ内のデータが上書きされる前に、それらを FTP サーバに保存する場合は、 [Save Buffer To FTP Server] チェックボックスをオンします。バッファ内のデータが上書きされるようにする場合は、このチェックボックスをオフにします。

ステップ 7 [Configure FTP Settings] をクリックして、FTP サーバを指定し、バッファ内のデータを保存する際に使用する FTP パラメータを設定します。詳細については、「FTP の設定」を参照してください。

ステップ 8 バッファ内のデータが上書きされる前に、それらを内部フラッシュ メモリに保存する場合は、 [Save Buffer To Flash] チェックボックスをオンにします。


このオプションは、ルーテッド シングル モードまたはトランスペアレント シングル モードでだけ使用できます。


ステップ 9 [Configure Flash Usage] をクリックし、ロギングに使用する内部フラッシュ メモリの最大容量、および最低限維持すべき空き容量を KB 単位で指定します。このオプションをイネーブルにすると、メッセージが格納されるデバイス ディスク上に、「syslog」という名前のディレクトリが作成されます。詳細については、 「ロギングに使用するフラッシュ メモリの設定」を参照してください。


このオプションは、ルーテッド モードまたはトランスペアレント モードでだけ使用できます。


ステップ 10 [Queue Size] フィールドで、セキュリティ アプライアンスに表示するシステム ログのキュー サイズを指定します。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

FTP の設定

[Configure FTP Settings] ダイアログボックスでは、ログ バッファ内のデータを保存する際に使用する FTP サーバのコンフィギュレーションを指定できます。

FTP の設定を行うには、次の手順を実行します。


ステップ 1 [Enable FTP client] チェックボックスをオンにして、FTP クライアントのコンフィギュレーションをイネーブルにします。

ステップ 2 [Server IP Address] フィールドで、FTP サーバの IP アドレスを指定します。

ステップ 3 [Path] フィールドで、保存済みログ バッファ データの格納先となる FTP サーバ上のディレクトリ パスを指定します。

ステップ 4 FTP サーバへログインするためのユーザ名を、[Username] フィールドに指定します。

ステップ 5 FTP サーバへログインするためのユーザ名に関連付けられたパスワードを、[Password] フィールドに指定します。

ステップ 6 [Confirm Password] フィールドに再度パスワードを入力し、 [OK] をクリックします。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

ロギングに使用するフラッシュ メモリの設定

[Configure Logging Flash Usage] ダイアログボックスでは、ログ バッファ内のデータを内部フラッシュ メモリに保存する際の制限事項を指定できます。

ロギングにフラッシュ メモリを使用するように設定するには、次の手順を実行します。


ステップ 1 [Maximum Flash to Be Used by Logging] フィールドで、ロギングに使用できる内部フラッシュ メモリの最大容量を、KB 単位で指定します。

ステップ 2 [Minimum Free Space to Be Preserved] フィールドで、最低限維持すべき内部フラッシュ メモリの空き容量を、KB 単位で指定します。内部フラッシュメモリがこの制限値に近づくと、新しいログが保存されなくなります。

ステップ 3 [OK] をクリックして、このダイアログボックスを閉じます。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

--

syslog の設定

[Syslog Setup] ペインでは、syslog サーバを宛先とするメッセージにファシリティ コードを含めるように設定できるほか、syslog メッセージにタイムスタンプを含めるかどうかを指定できます。また、メッセージの重大度レベルを変更したり、ログに記録しないメッセージをディセーブルにしたりすることもできます。このペインにアクセスするには、 [Configuration] > [Device Management] > [Logging] > [Syslog Setup] を選択します。

syslog メッセージを設定するには、次の手順を実行します。


ステップ 1 [Facility code to include in syslogs] ドロップダウン リストから、syslog サーバでメッセージを保存する際の基準として使用するシステム ログ ファシリティを選択します。デフォルトは LOCAL(4)20 です。これは、ほとんどの UNIX システムで必要となるコードです。ただし、ネットワーク デバイス間では 8 つのファシリティが共用されているため、システム ログではこの値を変更しなければならない場合があります。

ステップ 2 送信される各 syslog メッセージに日時を追加する場合は、 [Include timestamp in syslogs] チェックボックスをオンにします。

ステップ 3 [Show] ドロップダウン リストから、[Syslog ID] テーブルに表示する情報を選択します。使用できるオプションは次のとおりです。

すべての syslog メッセージ ID が [Syslog ID] テーブルに一覧表示されるよう指定する場合は、 [Show all syslog IDs] を選択します。

明示的にディセーブルにした syslog メッセージ ID だけ [Syslog ID] テーブルに表示されるよう指定する場合は、 [Show disabled syslog IDs] を選択します。

重大度レベルがデフォルトのレベルから変更された syslog メッセージ ID だけ [Syslog ID] テーブルに表示されるよう指定する場合は、 [Show syslog IDs with changed logging] を選択します。

重大度レベルが変更された syslog メッセージ ID および明示的にディセーブルになった syslog メッセージ ID だけ [Syslog ID] テーブルに表示されるよう指定する場合は、 [Show syslog IDs that are disabled or with a changed logging level] を選択します。

ステップ 4 [Syslog ID Setup] テーブルには、その設定内容を基づいて、syslog メッセージのリストが表示されます。変更する個々のメッセージ ID またはメッセージ ID の範囲を選択します。選択したメッセージ ID は、ディセーブルにすることも、その重大度レベルを変更することもできます。リストから複数のメッセージ ID を選択する場合は、その範囲の先頭にあたる ID を選択し、Shift キーを押しながらその範囲の最後にあたる ID をクリックします。

ステップ 5 syslog メッセージにデバイス ID が含まれるよう設定する場合は、 [Advanced] をクリックします。詳細については、「syslog ID 設定の編集」および「高度な syslog 設定」を参照してください。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

syslog ID 設定の編集

[Edit Syslog ID Settings] ダイアログボックスでは、選択した syslog メッセージの重大度レベルを変更できるほか、選択した syslog メッセージをディセーブルにすることもできます。

syslog メッセージの設定を変更するには、次の手順を実行します。


) [Syslog ID(s)] フィールドは表示専用です。この領域に表示される値は、[Syslog Setup] ペインにある [Syslog ID] テーブルで選択されたエントリにより決まります。



ステップ 1 [Disable Message(s)] チェックボックスをオンにして、[Syslog ID(s)] リストに ID が表示されている syslog メッセージをディセーブルにします。

ステップ 2 [Logging Level] ドロップダウン リストから、[Syslog ID(s)] リストに ID が表示されている syslog メッセージのうち、送信する syslog メッセージの重大度レベルを選択します。重大度レベルは次のように定義されています。

[Emergency](レベル 0、システムが使用不能)

[Alert](レベル 1、即時対処が必要)

[Critical](レベル 2、クリティカル条件)

[Error](レベル 3、エラー条件)

[Warning](レベル 4、警告条件)

[Notification](レベル 5、正常だが顕著な条件)

[Informational](レベル 6、情報メッセージのみ)

[Debugging](レベル 7、デバッグ メッセージのみ)

ステップ 3 [OK] をクリックして、このダイアログボックスを閉じます。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

高度な syslog 設定

セキュリティ アプライアンスでは、非 EMBLEM 形式の syslog メッセージにデバイス ID が含まれるよう設定できます。syslog メッセージに対して指定できるデバイス ID のタイプは 1 つだけです。デバイス ID としては、適応型セキュリティ アプライアンスのホスト名、インターフェイス IP アドレス、コンテキスト、またはテキスト文字列を使用できます。

[Advanced Syslog Configuration] ダイアログボックスでは、syslog メッセージにデバイス ID が含まれるようにするかどうかを指定できます。この機能をイネーブルにすると、非 EMBLEM 形式の syslog メッセージすべてに、デバイス ID が自動的に追加されます。

syslog メッセージの追加設定を行うには、次の手順を実行します。


ステップ 1 [Enable syslog device ID] チェックボックスをオンにして、非 EMBLEM 形式の syslog メッセージすべてにデバイス ID が含まれるように指定します。

ステップ 2 次のいずれかのオプションを選択して、どのようなデバイス ID を使用するかを指定します。

[Hostname]

[IP address]

指定した IP アドレスに対応するインターフェイス名を、ドロップダウン リストから選択します。

[String]

[User-Defined ID] フィールドに、ユーザ独自の英数文字列を入力します。

ステップ 3 [OK] をクリックして、このダイアログボックスを閉じます。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

E メールの設定

[E-Mail Setup] ペインでは、送信元の E メール アドレスを設定できるほか、通知用の E メール メッセージとして送信される指定済み syslog メッセージの受信者リストを設定することもできます。宛先 E メール アドレスに送信される syslog メッセージは、重大度レベルでフィルタリングできます。テーブルには、どのエントリの作成が完了しているかが表示されます。このペインにアクセスするには、 [Configuration] > [Device Management] > [Logging] > [E-Mail Setup] を選択します。

選択した syslog メッセージの通知を E メールとして送信するように設定するには、次の手順を実行します。


ステップ 1 syslog メッセージを E メールとして送信する際に、その送信元アドレスとして使用する E メール アドレスを、[Source E-Mail Address] フィールドに指定します。

ステップ 2 [Add] をクリックして、指定した syslog メッセージの受信者の E メール アドレスを入力します。

ステップ 3 その受信者に送信する syslog メッセージの重大度レベルを、ドロップダウン リストから選択します。宛先の E メール アドレスに対して適用される syslog メッセージの重大度フィルタにより、指定された重大度レベル以上のメッセージが送信されます。[Logging Filters] ペインで指定されたグローバル フィルタも、各 E メール受信者に適用されます。詳細については、「ロギング フィルタ」を参照してください。

ステップ 4 [Edit] をクリックして、この受信者へ送信する syslog メッセージの現在の重大度レベルを変更します。

ステップ 5 [OK] をクリックして、このダイアログボックスを閉じます。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

E メール受信者の追加と編集

[Add/Edit E-Mail Recipient] ダイアログボックスでは、指定した重大度を持つ syslog メッセージを E メール メッセージとして送信する、宛先の E メール アドレスを設定できます。

宛先 E メール アドレスへのメッセージをフィルタリングする際は、このダイアログボックスで指定した重大度レベルと、[Logging Filters] ペインですべての E メール受信者に対して設定したグローバル フィルタの重大度レベルのうち、上位にある方が使用されます。

E メールの受信者および重大度レベルを追加または編集する手順については、「syslog の設定」を参照してください。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

イベント リスト

[Event Lists] ペインでは、イベントのカスタム リストを作成できます。このリストは、特定の宛先に送信する syslog メッセージを選択する際に使用します。ロギングをイネーブルにし、[Logging Setup] ペインを使用してロギング パラメータを設定したら、[Event Lists] ペインでイベントのリストを作成します(複数可)。これらのイベント リストは、[Logging Filters] ペインでイベントのリストごとにロギングの宛先を指定する際に使用します。このペインにアクセスするには、 [Configuration] > [Device Management] > [Logging] > [Event Lists] を選択します。

イベント リストの定義には、次の 3 つの基準を使用します。

メッセージ クラス

重大度

メッセージ ID

メッセージ クラスとは、セキュリティ アプライアンスの機能に関連する syslog メッセージのグループです。メッセージ クラスを使用すると、メッセージごとに個別にクラスを指定するのではなく、複数のメッセージから成るクラス全体を指定できます。たとえば、auth クラスを使用すると、ユーザ認証に関連するすべての syslog メッセージを選択できます。

重大度レベルは、ネットワークの通常機能におけるイベントの相対的な重要度に基づいて、syslog メッセージを分類するためのものです。最も高い重大度レベルは [Emergency] で、リソースが使用不能になっていることを表します。最も低い重大度レベルは [Debugging] で、各ネットワーク イベントに関する詳細情報が通知されます。

メッセージ ID は、各メッセージを一意に識別する数値です。イベント リストのメッセージ ID を使用すれば、ある範囲( 101001 ~ 1990120 など)に属する syslog メッセージを識別できます。

ロギングの特定の宛先に送信されるイベントのカスタム リストを作成するには、次の手順を実行します。


ステップ 1 [Add] をクリックして、[Add Event List] ダイアログボックスを表示します。

ステップ 2 [Name] フィールドに、 イベント リストの名前を入力します。スペースは使用できません。

ステップ 3 [Event Class/Severity] 領域で、 [Add] をクリックし、 [Add Class and SeverityFilter] ダイアログボックスを表示します。

ステップ 4 ドロップダウン リストからイベント クラスを選択します。選択できるイベント クラスは次のとおりです。

[All]:すべてのイベント クラス

[auth]:ユーザ認証

[bridge]:トランスペアレント ファイアウォール

[ca]:PKI 認証局

[config]:コマンド インターフェイス

[ha]:フェールオーバー

[ips]:侵入防御サービス

[ip]:IP スタック

[np]:ネットワーク プロセッサ

[ospf]:OSPF ルーティング

[rip]:RIP ルーティング

[rm]:リソース マネージャ

[session]:ユーザ セッション

[snmp]:SNMP

[sys]:システム

ステップ 5 ドロップダウン リストから重大度レベルを選択します。重大度レベルは次のとおりです。

[Emergency](レベル 0、システムが使用不能)

[Alert](レベル 1、即時対処が必要)

[Critical](レベル 2、クリティカル条件)

[Error](レベル 3、エラー条件)

[Warning](レベル 4、警告条件)

[Notification](レベル 5、正常だが顕著な条件)

[Informational](レベル 6、情報メッセージのみ)

[Debugging](レベル 7、デバッグ メッセージのみ)

ステップ 6 [OK] をクリックして、このダイアログボックスを閉じます。

ステップ 7 [Message ID Filters] 領域で、 [Add] をクリックし、[Add Syslog Message ID Filter] ダイアログボックスを表示します。

ステップ 8 [Message IDs] フィールドに、フィルタに含める syslog メッセージ ID または syslog メッセージ ID の範囲(101001 ~ 199012 など)を入力します。

ステップ 9 [OK] をクリックして、このダイアログボックスを閉じます。

目的のイベントがリストに表示されます。このエントリを変更する場合は、[Edit] をクリックします。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

イベント リストの追加と編集

[Add/Edit Event List] ダイアログボックスでは、イベント リストの作成や編集ができます。イベント リストは、ログの宛先に送信するメッセージを指定する場合に使用できます。作成したイベント リストでは、メッセージ クラスと重大度レベル、またはメッセージ ID に基づいてメッセージをフィルタリングできます。

イベント リストを作成または編集する手順については、「イベント リスト」を参照してください。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

syslog メッセージ ID フィルタの追加と編集

[Add/Edit Syslog Message ID Filter] ダイアログボックスでは、イベント リストに含める syslog メッセージ ID を指定できます(複数可)。

syslog メッセージ ID フィルタを作成または編集する手順については、「イベント リスト」を参照してください。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

ロギング フィルタ

[Logging Filters] ペインでは、メッセージ フィルタをログの宛先に適用できます。ログの宛先に適用されたフィルタにより、その宛先に送信するメッセージが選択されます。メッセージ クラスおよび重大度レベルに従ってメッセージをフィルタリングできるほか、[Event Lists] ペインで作成可能なイベント リストを使用することもできます。このペインにアクセスするには、 [Configuration] > [Device Management] > [Logging] > [Logging Filters] を選択します。

ログの宛先にメッセージ フィルタを適用するには、次の手順を実行します。


ステップ 1 フィルタを適用するロギングの宛先の名前を選択します。選択できるロギングの宛先は次のとおりです。

[Console]

[Security appliance]

[Syslog Servers]

[SNMP Trap]

[E-Mail]

[Internal Buffer]

[Telnet Sessions]

このほか、2 番目のカラム [Syslogs From All Event Classes] と 3 番目のカラム [Syslogs From Specific Event Classes] でも選択操作を行います。2 番目のカラムでは、ログの宛先へのメッセージをフィルタリングする際に使用する重大度やイベント クラスが一覧表示されるほか、すべてのイベント クラスに対してロギングをディセーブルにするかどうかを選択することもできます。3 番目のカラムには、選択したログの宛先へのメッセージをフィルタリングする際に使用するイベント リストが一覧表示されます。詳細については、「syslog メッセージ ID フィルタの追加と編集」「クラスおよび重大度によるフィルタの追加と編集」、および「イベント リスト」を参照してください。

ステップ 2 [Edit] をクリックして、[Edit Logging Filters] ダイアログボックスを表示します。フィルタを適用、編集、またはディセーブルにする手順については、「ロギング フィルタの編集」を参照してください。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

ロギング フィルタの編集

[Edit Logging Filters] ダイアログボックスでは、ログの各宛先に対するフィルタの適用、すでにログの宛先に適用されているフィルタの編集、すべのイベント クラスに対するロギングのディセーブル化が可能です。メッセージ クラスおよび重大度レベルに従ってメッセージをフィルタリングできるほか、[Event Lists] ペインで作成可能なイベント リストを使用することもできます。

ダイアログボックスの上部には、このフィルタに対して選択したロギングの宛先が表示されます。

フィルタを適用するには、次の手順を実行します。


ステップ 1 重大度レベルに基づいて syslog メッセージのフィルタリングを行う場合は、 [Filter on severity] オプションを選択します。

ステップ 2 イベント リストに基づいて syslog メッセージのフィルタリングを行う場合は、 [Use event list] オプションを選択します。

ステップ 3 選択した宛先に対するロギングをすべてディセーブルにする場合は、 [Disable logging from all event classes] オプションを選択します。

ステップ 4 [New] をクリックして、新しいイベント リストを追加します。イベント リストを新たに追加する手順については、「イベント リスト」を参照してください。

ステップ 5 ドロップダウン リストからイベント クラスを選択します。選択できるイベント クラスは次のとおりです。

[All]:すべてのイベント クラス

[auth]:ユーザ認証

[bridge]:トランスペアレント ファイアウォール

[ca]:PKI 認証局

[config]:コマンド インターフェイス

[ha]:フェールオーバー

[ips]:侵入防御サービス

[ip]:IP スタック

[np]:ネットワーク プロセッサ

[ospf]:OSPF ルーティング

[rip]:RIP ルーティング

[rm]:リソース マネージャ

[session]:ユーザ セッション

[snmp]:SNMP

[sys]:システム

ステップ 6 ドロップダウン リストから、ロギング メッセージの重大度レベルを選択します。重大度レベルは次のとおりです。

[Emergency](レベル 0、システムが使用不能)

[Alert](レベル 1、即時対処が必要)

[Critical](レベル 2、クリティカル条件)

[Error](レベル 3、エラー条件)

[Warning](レベル 4、警告条件)

[Notification](レベル 5、正常だが顕著な条件)

[Informational](レベル 6、情報メッセージのみ)

[Debugging](レベル 7、デバッグ メッセージのみ)

ステップ 7 [Add] をクリックして、イベント クラスおよび重大度レベルを追加し、 [OK] をクリックします。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

クラスおよび重大度によるフィルタの追加と編集

[Add/Edit Class and Severity Filter] ダイアログボックスでは、メッセージのフィルタリングに使用するメッセージ クラスおよび重大度レベルを指定できます。

メッセージのフィルタリングに使用するメッセージ クラスおよび重大度レベルを追加または編集するには、次の手順を実行します。


ステップ 1 ドロップダウン リストからイベント クラスを選択します。選択できるイベント クラスは次のとおりです。

[All]:すべてのイベント クラス

[auth]:ユーザ認証

[bridge]:トランスペアレント ファイアウォール

[ca]:PKI 認証局

[config]:コマンド インターフェイス

[ha]:フェールオーバー

[ips]:侵入防御サービス

[ip]:IP スタック

[np]:ネットワーク プロセッサ

[ospf]:OSPF ルーティング

[rip]:RIP ルーティング

[rm]:リソース マネージャ

[session]:ユーザ セッション

[snmp]:SNMP

[sys]:システム

ステップ 2 ドロップダウン リストから、ロギング メッセージの重大度レベルを選択します。重大度レベルは次のとおりです。

[Emergency](レベル 0、システムが使用不能)

[Alert](レベル 1、即時対処が必要)

[Critical](レベル 2、クリティカル条件)

[Error](レベル 3、エラー条件)

[Warning](レベル 4、警告条件)

[Notification](レベル 5、正常だが顕著な条件)

[Informational](レベル 6、情報メッセージのみ)

[Debugging](レベル 7、デバッグ メッセージのみ)

ステップ 3 選択が終了したら、 [OK] をクリックします。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

syslog メッセージ ID フィルタの追加と編集

[Add/Edit Syslog Message ID Filter] ダイアログボックスでは、イベント リスト フィルタに含める個々の syslog メッセージ ID または syslog メッセージ ID の範囲を指定できます。

syslog メッセージ ID フィルタを作成または編集する手順については、「イベント リスト」を参照してください。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

レート制限

[Rate Limit] ペインでは、ファイアウォールから送信できる syslog メッセージの数を指定できます。メッセージ ロギング レベルのレート制限を指定できるほか、特定のメッセージのレートを個別に制限することもできます。レート レベルは、重大度レベルまたはメッセージ ID には適用されますが、宛先には適用されません。そのため、レート制限の程度によっては、設定済みの宛先すべてに送信されるメッセージの量が変更されることになります。このペインにアクセスするには、 [Configuration] > [Device Management] > [Logging] > [Rate Limit] を選択します。

あるロギング レベルの syslog メッセージすべてに対してレート制限を割り当てるには、次の手順を実行します。


ステップ 1 レート制限を割り当てるロギング レベル(メッセージの重大度)を選択します。重大度レベルは次のように定義されています。

説明
重大度レベル

[Disabled]

ロギングなし

[Emergency]

0:システムが使用不能

[Alert]

1:即時対処が必要

[Critical]

2:クリティカル条件

[Error]

3:エラー条件

[Warning]

4:警告条件

[Notification]

5:正常だが顕著な条件

[Informational]

6:情報メッセージのみ

[Debugging]

7:デバッグ メッセージのみ

ステップ 2 送信されるメッセージの数が [No of Messages] フィールドに表示されます。また、選択したロギング レベルで送信できるメッセージ数を制限する際の基準となる時間間隔(秒単位)が [Interval (Seconds)] フィールドに表示されます。テーブルからロギング レベルを選択し、 [Edit] をクリックして [Edit Rate Limit for Syslog Logging Level] ダイアログボックスを表示します。以降の手順については、「syslog ロギング レベルに対するレート制限の編集」を参照してください。


 

個々の syslog メッセージにレート制限を割り当てる、またはメッセージごとにレート制限を変更するには、次の手順を実行します。


ステップ 1 特定の syslog メッセージにレート制限を割り当てる場合は、 [Add] をクリックして、[Add Rate Limit for Syslog Message] ダイアログボックスを表示します。以降の手順については、「syslog メッセージに対するレート制限の追加と削除」を参照してください。

ステップ 2 特定の syslog メッセージに対するレート制限を変更する場合は、 [Edit] をクリックして、[Edit Rate Limit for Syslog Message] ダイアログボックスを表示します。以降の手順については、「syslog メッセージに対するレート制限の追加と削除」を参照してください。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

syslog ロギング レベルに対するレート制限の編集

[Edit Rate Limit for Syslog Logging Level] ダイアログ ボックスでは、指定した時間内に適応型セキュリティ アプライアンスから送信できるメッセージ数を制限できます。また、選択したメッセージの重大度レベルが表示されます。

指定したロギング レベルのレート制限を変更するには、次の手順を実行します。


ステップ 1 指定したロギング レベルで送信可能なメッセージの最大数を指定します。

ステップ 2 指定したロギング レベルのメッセージに対するレートを制限する際の基準となる時間間隔を秒単位で入力し、 [OK] をクリックします。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

syslog メッセージに対するレート制限の追加と削除

[Add/Edit Rate Limit for Syslog Message] ダイアログボックスでは、レート制限を特定の syslog メッセージに割り当てることができます。

特定の syslog メッセージに対するレート制限を追加または変更するには、次の手順を実行します。


ステップ 1 特定の syslog メッセージに対するレート制限を追加する場合は、 [Add] をクリックして、[Add Rate Limit for Syslog Message] ダイアログボックスを表示します。特定の syslog メッセージに対するレート制限を変更する場合は、 [Edit] をクリックして、[Edit Rate Limit for Syslog Message] ダイアログボックスを表示します。

ステップ 2 レートを制限する syslog メッセージの ID を入力します。

ステップ 3 指定した時間内に送信できるメッセージの最大数を入力します。

ステップ 4 指定したメッセージのレートを制限する際の基準となる時間間隔を秒単位で入力し、 [OK] をクリックします。


) メッセージ数を制限なしにする場合は、[Number of Messages] フィールドおよび [Time Interval] フィールドをともにブランクのままにします。



 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

[Syslog Servers]

[Syslog Servers] ペインでは、適応型セキュリティ アプライアンスから送信される syslog メッセージの宛先となる syslog サーバを指定できます。指定した syslog サーバを使用するには、[Logging Setup] ペインを使用してロギングをイネーブルにし、[Logging Filters] ペインで使用可能な宛先を設定する必要があります。このペインにアクセスするには、 [Configuration] > [Device Management] > [Logging] > [Syslog Server] を選択します。

適応型セキュリティ アプライアンスから送信される syslog メッセージの宛先となる syslog サーバを指定するには、次の手順を実行します。


ステップ 1 syslog サーバを新たに追加する場合は、 [Add] をクリックし、[Add Syslog Server] ダイアログボックスを表示します。既存の syslog サーバの設定を変更する場合は、 [Edit] をクリックして、[Edit Syslog Server] ダイアログボックスを表示します。

ステップ 2 syslog サーバがビジー状態の場合、適応型セキュリティ アプライアンスでキューに入れることができるメッセージ数を指定します。値がゼロの場合は、キューに入れられるメッセージ数が無制限になります。

ステップ 3 [Allow user traffic to pass when TCP syslog server is down] チェックボックスをオンにして、いずれかの syslog サーバがダウンした場合にすべてのトラフィックを制限するかどうかを指定します。

ステップ 4 以降の手順については、「syslog サーバの追加と編集」を参照してください。


) 1 つのセキュリティ コンテキストに対して設定できる syslog サーバの数は最大で 4 です(合計で 16 まで)。



 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

syslog サーバの追加と編集

[Add/Edit Syslog Server] ダイアログボックスでは、適応型セキュリティ アプライアンスから送信される syslog メッセージの宛先となる syslog サーバを追加または編集できます。指定した syslog サーバを使用するには、[Logging Setup] ペインでロギングをイネーブルにし、[Logging Filters] ペインで、指定したフィルタをログの宛先に対して設定する必要があります。

syslog サーバを追加または編集するには、次の手順を実行します。


ステップ 1 syslog サーバとの通信に使用するインターフェイスを、ドロップダウン リストから選択します。

ステップ 2 syslog サーバとの通信に使用する IP アドレスを入力します。

ステップ 3 syslog サーバにおいて、セキュリティ アプライアンスとの通信に使用されるプロトコル(TCP または UDP)を選択します。

ステップ 4 syslog サーバにおいて、適応型セキュリティ アプライアンスとの通信に使用されるポート番号を入力します。

ステップ 5 [Log messages in Cisco EMBLEM format (UDP only)] チェックボックスをオンにして、シスコの EMBLEM 形式でメッセージをログに記録するかどうかを指定します(プロトコルとして UDP が選択されている場合に限る)。

ステップ 6 [Enable secure logging using SSL/TLS (TCP only)] チェックボックスをオンにして、syslog サーバへの接続が SSL/TLS over TCP の使用により保護され、syslog メッセージの内容が暗号化されるよう指定します。

ステップ 7 [OK] をクリックして設定を完了します。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

SMTP

[SMTP] ペインでは、特定のイベントが発生したときに送信される E メール アラートと通知の宛先となるリモート SMTP サーバの IP アドレスを設定できます。このペインにアクセスするには、 [Configuration] > [Device Setup] > [Logging] > [SMTP] を選択します。

リモート SMTP サーバの設定には、次の手順を実行します。


ステップ 1 プライマリ SMTP サーバの IP アドレスを入力します。

ステップ 2 (オプション)スタンバイ SMTP サーバの IP アドレスを入力し、 [Apply] をクリックします。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

NetFlow の使用方法

[NetFlow] ペインでは、パケットのフローに関するデータの転送をイネーブルにできます。このペインにアクセスするには、 [Configuration] > [Device Management] > [Logging] > [NetFlow] を選択します。


) IP アドレスおよびホスト名の割り当ては、NetFlow のコンフィギュレーション全体で一意的であることが必要です。


NetFlow を使用するには、次の手順を実行します。


ステップ 1 テンプレート タイムアウト レートを分単位で入力します。テンプレート タイムアウト レートとは、設定されたすべてのコレクタにテンプレート レコードが送信される時間間隔です。デフォルト値は 30 分です。

ステップ 2 フロー作成イベントのエクスポートを遅延させ、フロー ティアダウン イベントを フロー作成イベントとは別に単独で処理する場合は、 [Delay export of flow creation events for short-lived flows] チェックボックスをオンにし、遅延の秒数を [Delay By] フィールドに入力します。

ステップ 3 NetFlow パケットの送信先となるコレクタを指定します。設定できるコレクタは、最大で 5 つまでです。コレクタを設定する場合は、まず [Add] をクリックして [Add Collector] ダイアログボックスを表示します。それ以降は、次の手順を実行します。

a. IP アドレスまたはホスト名、および UDP ポート番号を、それぞれ該当するフィールドに入力します。

b. NetFlow パケットの送信先となるインターフェイスを、ドロップダウン リストから選択します。

ステップ 4 さらに別のコレクタも設定する場合は、コレクタごとにステップ 2 の操作を行い、 [OK] をクリックします。

ステップ 5 コレクタの詳細設定を変更する場合は、コレクタを選択し、 [Edit] をクリックします。設定したコレクタを削除する場合は、そのコレクタを選択し、 [Delete] をクリックします。

ステップ 6 NetFlow がイネーブルになっている場合、一部の syslog メッセージに重複が生じます。これは、同一の情報が NetFlow を介してエクスポートされるためです。システムのパフォーマンスを維持するためにも、重複により不要となった syslog メッセージはすべてディセーブルにすることをお勧めします。不要な syslog メッセージをすべてディセーブルにする場合は、 [Disable redundant syslog messages] チェックボックスをオンにします。不要な syslog メッセージおよびそのステータスを表示する場合は、 [Show Redundant Syslog Messages] をクリックします。

[Redundant Syslog Messages] ダイアログボックスが表示されます。不要な syslog メッセージの番号が、[Syslog ID] フィールドに表示されます。[Disabled] フィールドには、指定した syslog メッセージがディセーブルになっているかどうかが表示されます。 [OK] をクリックして、このダイアログボックスを閉じます。

不要な syslog メッセージを個別にディセーブルにする場合は、 [Configuration] > [Device Management] > [Logging] > [Syslog Setup] を選択します。

ステップ 7 以降の手順については、「NetFlow イベントと設定済みコレクタとの対応付け」を参照してください。

ステップ 8 [Apply] をクリックして変更内容を保存します。新しい設定内容を入力する場合は、 [Reset] をクリックします。


 

NetFlow イベントと設定済みコレクタとの対応付け

NetFlow コレクタの設定が完了すると、それらの設定済みコレクタと NetFlow イベントを対応付けることができます。

送信する NetFlow イベントおよびその宛先となるコレクタを指定するには、次の手順を実行します。


ステップ 1 ASDM のメイン アプリケーション ウィンドウで、 [Configuration] > [Firewal] > [Service Policy Rules] を選択します。

ステップ 2 テーブルで [Global Policy] を選択し、 [Add] をクリックして、[Add Service Policy Rule] ダイアログボックスを表示します。サービス ポリシー ルールの詳細については、「通過トラフィックのサービス ポリシー ルールの追加」を参照してください。


) NetFlow のアクションは、グローバル サービス ポリシー ルールに対してだけ使用可能で、その適用対象は class-default トラフィック クラス、およびトラフィック照合基準として [Source and Destination IP Address (uses ACL)] または [Any Traffic] が選択されているトラフィック クラスに限定されます。


ステップ 3 [Rule Actions] タブをクリックし、さらに [NetFlow] タブをクリックします。

ステップ 4 [Add] をクリックして、[Add Flow Event] ダイアログボックスを表示します。

ステップ 5 ドロップダウン リストから、フロー イベント タイプを選択します。選択できるのは、[created]、[torn down]、[denied]、[all events] のいずれかです。

ステップ 6 [Send] カラムで、イベントの宛先となるコレクタを選択します。コレクタは、対応するチェックボックスをオンにすると選択できます。

ステップ 7 コレクタを追加、編集、または削除する場合は、 [Manage] をクリックします。[Manage NetFlow Collectors] ダイアログボックスに、設定済みコレクタのリストが表示されます。以降の手順については、「NetFlow の使用方法」ステップ 3 を参照してください。

ステップ 8 設定済みコレクタの設定内容を変更する場合は、リストから目的のコレクタを選択し、 [Edit] をクリックします。リストからコレクタを削除する場合は、リストから目的のコレクタを選択し、 [Delete] をクリックします。

ステップ 9 現在のパフォーマンス レベルを維持するために不要な syslog メッセージをディセーブルにする場合は、 [Disable redundant syslog messages] チェックボックスをオンにします。 [Show Redundant Syslog Messages] をクリックして、不要な syslog メッセージおよびそのステータス(ディセーブルかどうか)のリストを表示します。後でそれぞれの syslog メッセージを個別にイネーブルまたはディセーブルにすることもできます。その場合は、 [Configuration] > [Device Management] > [Logging] を選択します。 [OK] をクリックして、[Redundant Syslog Messages] ダイアログボックスを閉じます。

ステップ 10 [OK] をクリックして、[Manage NetFlow Collectors] ダイアログボックスを閉じ、[Add Flow Event] ダイアログボックスに戻ります。もう一度 [OK] をクリックして、[Add Flow Event] を閉じ、[NetFlow] タブに戻ります。

ステップ 11 フロー イベント エントリを変更する場合は、リストからエントリを選択し、 [Edit] をクリックします。フロー イベント エントリを削除する場合は、リストからエントリを選択し、 [Delete] をクリックします。

ステップ 12 [Finish] をクリックして、ウィザードを終了します。


 

NetFlow の詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』および『 Implementation Note for NetFlow Collectors 』 を参照してください。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--