Cisco ASDM ユーザ ガイド バージョン 6.0(3)
ロギングの設定
ロギングの設定
発行日;2013/07/08 | 英語版ドキュメント(2010/04/13 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

ロギングの設定

ロギングについて

ロギングのセキュリティ コンテキスト

ロギングの使用方法

ロギングの設定

FTP の設定

ロギングに使用するフラッシュ メモリの設定

syslog の設定

syslog ID 設定の編集

高度な syslog 設定

E メールの設定

E メール受信者の追加と編集

SMTP

イベント リスト

イベント リストの追加と編集

syslog メッセージ ID フィルタの追加と編集

Logging Filters

ロギング フィルタの編集

クラスおよび重大度によるフィルタの追加と編集

syslog メッセージ ID フィルタの追加と編集

Rate Limit

syslog ロギング レベルに対するレート制限の編集

syslog メッセージに対するレート制限の追加と削除

Syslog サーバ

syslog サーバの追加と編集

SMTP

ロギングの設定

ロギング機能では、ロギングをイネーブルにしてログ情報の処理方法を指定できます ログ表示機能では、システム ログ メッセージをリアルタイムで表示できます。ログ表示機能の詳細については、「ロギングのモニタリング」を参照してください。

ロギングについて

セキュリティ アプライアンスでは、システム ログ メッセージの監査証跡を生成できます。この監査証跡は、実行されたアクティビティ(許可または拒否されたネットワーク トラフィックのタイプなど)の内容を記録するためのもので、システム ロギングの設定に使用できます。

すべてのシステム ログ メッセージにデフォルトの重大度があります。必要に応じて、メッセージを新しい重大度に再割り当てすることができます。重大度を選択すると、そのレベルおよびより低いレベルのロギング メッセージが生成されます。より高いレベルのメッセージは生成されません。重大度が高くなるほど、生成されるメッセージが増えます。ロギングおよびシステム ログ メッセージの詳細については、『 Cisco Security Appliance System Log Messages Guide 』を参照してください。

ロギングのセキュリティ コンテキスト

それぞれのセキュリティ コンテキストには、独自のロギング コンフィギュレーションが含まれており、独自のメッセージが生成されます。システム コンテキストまたは管理コンテキストにログインし、他のコンテキストに変更した場合、セッションで表示されるメッセージは現在のコンテキストに関連するメッセージだけです。

システム実行スペースで生成されるフェールオーバー メッセージなどのシステム ログ メッセージは、管理コンテキストで生成されるメッセージとともに管理コンテキストで表示できます。システム実行スペースでは、ロギングの設定やロギング情報の表示はできません。

セキュリティ アプライアンスは、それぞれのメッセージとともにコンテキスト名を含めるように設定できます。これによって、単一の syslog サーバに送信されるコンテキスト メッセージを区別できます。この機能は、管理コンテキストから送信されたメッセージとシステムから送信されたメッセージの判別にも役立ちます。これが可能なのは、送信元がシステム実行スペースであるメッセージでは システム のデバイス ID が使用され、管理コンテキストが送信元であるメッセージではデバイス ID として管理コンテキストの名前が使用されるからです。デバイス ID の使用方法については、「高度な syslog 設定」を参照してください。

ロギングの使用方法

セキュリティ コンテキストを定義したら、[Configuration] > [Device Management] > [Logging] を選択します。[Logging] では、次の操作を実行できます。


ステップ 1 [Logging Setup] ペインでは、ロギングをイネーブルにしたり、ロギング パラメータを設定したりできます。詳細については、「ロギングの設定」を参照してください。

ステップ 2 [Syslog Setup] ペインでは、syslog サーバに送信されるシステム ログ メッセージにファシリティ コードを含めるように設定したり、各メッセージにタイムスタンプを含めるように指定したり、メッセージの重大度レベルを表示または変更したり、メッセージを抑止したりできます。詳細については、「syslog の設定」を参照してください。

ステップ 3 [E-Mail Setup] ペインでは、通知を目的として電子メールで送信されるシステム ログ メッセージを指定できます。詳細については、「syslog の設定」を参照してください。

ステップ 4 [Event Lists] ペインでは、記録するメッセージを指定するイベントのカスタム リストを作成できます。ここで作成したリストは、ログ フィルタの設定時に使用されます。詳細については、「イベント リスト」を参照してください。

ステップ 5 [Logging Filters] ペインでは、各ログの宛先に送信されるメッセージのフィルタリングに使用する基準を指定できます。作成するフィルタの基準としては、重大度レベル、メッセージ クラス、メッセージ ID、またはイベント リストが使用できます。詳細については、「Logging Filters」を参照してください。

ステップ 6 [Rate Limit] ペインでは、指定した期間内に生成可能なメッセージ数を制限できます。詳細については、「「Rate Limit」」を参照してください。

ステップ 7 [Syslog Server] ペインでは、セキュリティ アプライアンスから送信されるシステム ログ メッセージの宛先となる syslog サーバを指定できます(複数可)。詳細については、「Syslog サーバ」を参照してください。

ステップ 8 [SMTP] ペインでは、ASDM から送信される E メール アラートおよび通知メッセージの宛先となる SMTP サーバを指定できます(複数可)。詳細については、「SMTP」を参照してください。


 

ロギングの設定

[Logging Setup] ペインでは、セキュリティ アプライアンスに対してシステム ロギングをイネーブルにし、スタンバイ装置でロギングを引き継ぐことが可能かどうか、デバッグ メッセージを送信するかどうか、EMBLEM 形式を使用するかどうかなど、一般的なロギング パラメータを指定できます。また、内部ログ バッファやセキュリティ アプライアンスのロギング キューのデフォルト設定を変更することもできます。このペインにアクセスするには、[Configuration] > [Device Management] > [Logging] > [Logging Setup] を選択します。

フィールド

[Enable logging]:メイン セキュリティ アプライアンスのロギングをオンにします。

[Enable logging on the failover standby unit]:スタンバイ セキュリティ アプライアンスに対するロギングをオンにします(可能な場合)。

[Send debug messages as syslogs]:すべてのデバッグ トレース出力をシステム ログにリダイレクトします。このオプションがイネーブルになっている場合、システム ログ メッセージはコンソールに表示されません。そのため、デバッグ メッセージを表示するには、コンソールでロギングをイネーブルにし、デバッグ システム ログ メッセージ番号および重大度レベルの宛先としてコンソールを設定する必要があります。使用するシステム ログ メッセージ番号は 711001 です。このシステム ログ メッセージに対するデフォルトの重大度レベルは debug です。

[Send syslogs in EMBLEM format]:EMBLEM 形式をイネーブルにします。これにより、syslog サーバを除くログの宛先すべてに対して EMBLEM 形式が使用されます。

[Buffer Size]:ロギング バッファがイネーブルの場合にシステム ログ メッセージが保存される内部ログ バッファのサイズを指定します。バッファの空き容量がなくなると、FTP サーバまたは内部フラッシュ メモリにログを保存していない限り、メッセージは上書きされます。デフォルトのバッファ サイズは 4096 バイトです。有効な範囲は 4096 ~ 1048576 です。

[Save Buffer To FTP Server] :バッファ内のデータが上書きされる前に、それらを FTP サーバに保存する場合は、このチェックボックスをオンにします。バッファ内のデータが上書きされるようにする場合は、このチェックボックスをオフにします。

[Configure FTP Settings]:FTP サーバを指定し、バッファ内のデータを保存する際に使用する FTP パラメータを設定する場合にクリックします。

[Save Buffer To Flash] :バッファ内のデータが上書きされる前に、それらを内部フラッシュ メモリに保存する場合は、このチェックボックスをオンにします。


このオプションは、ルーテッドまたはトランスペアレント シングル モードだけで使用できます。


[Configure Flash Usage] :ロギングに使用する内部フラッシュ メモリの最大容量、および最低限維持すべき空き容量を KB 単位で指定する場合にクリックします。このオプションをイネーブルにすると、メッセージが格納されるデバイス ディスク上に、「syslog」という名前のディレクトリが作成されます。


このオプションは、ルーテッドまたはトランスペアレント シングル モードだけで使用できます。


[Queue Size]:セキュリティ アプライアンスに表示するシステム ログのキュー サイズを指定します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

詳細情報

「FTP の設定」を参照してください。

「ロギングに使用するフラッシュ メモリの設定」を参照してください。

FTP の設定

[Configure FTP Settings] ダイアログボックスでは、ログ バッファ内のデータを保存する際に使用する FTP サーバのコンフィギュレーションを指定できます。

フィールド

[Enable FTP client]:FTP クライアントのコンフィギュレーションをイネーブルにします。

[Server IP Address]:FTP サーバの IP アドレスを指定します。

[Path]:保存済みログ バッファ データの格納先となる FTP サーバ上のディレクトリ パスを指定します。

[Username]:FTP サーバにログインするためのユーザ名を指定します。

[Password]:FTP サーバへログインするためのユーザ名に関連付けられたパスワードを指定します。

[Confirm Password]:確認のためにパスワードを再入力します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

ロギングに使用するフラッシュ メモリの設定

[Configure Logging Flash Usage] ダイアログボックスでは、ログ バッファ内のデータを内部フラッシュ メモリに保存する際の制限事項を指定できます。

フィールド

[Maximum Flash to Be Used by Logging]:ロギングに使用できる内部フラッシュ メモリの最大容量を、KB 単位で指定します。

[Minimum Free Space to Be Preserved]:最低限維持すべき内部フラッシュ メモリの空き容量を、KB 単位で指定します。内部フラッシュ メモリがこの制限値に近づくと、新しいログが保存されなくなります。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

syslog の設定

[Syslog Setup] ペインでは、syslog サーバを宛先とするメッセージにファシリティ コードを含めるように設定できるほか、システム ログ メッセージにタイムスタンプを含めるかどうかを指定できます。このペインでは、メッセージの重大度レベルを変更したり、ログに記録しないメッセージを抑止したりすることもできます。このペインにアクセスするには、[Configuration] > [Device Management] > [Logging] > [Syslog Setup] を選択します。

フィールド

[Facility code to include in syslogs]:syslog サーバでメッセージを保存する際の基準として使用するシステム ログ ファシリティを選択します。デフォルトは LOCAL(4)20 です。これは、ほとんどの UNIX システムで必要となるコードです。ただし、ネットワーク デバイス間では 8 つのファシリティが共用されているため、システム ログではこの値を変更しなければならない場合があります。

[Include timestamp in syslogs]:送信される各システム ログ メッセージに日時を含めます。

[Syslog ID Setup]:[Syslog ID] テーブルに表示される情報を選択します。オプションは次のように定義されています。

[Show all syslog IDs]:すべての syslog メッセージ ID が [Syslog ID] テーブルに表示されるよう指定します。

[Show suppressed syslog IDs]:明示的に抑止されたシステム ログ メッセージ ID のみが [Syslog ID] テーブルに表示されるよう指定します。

[Show syslog IDs with changed logging]:重大度がデフォルト値から変更されたシステム ログ メッセージ ID のみが [Syslog ID] テーブルに表示されるよう指定します。

[Show syslog IDs that are suppressed or with a changed logging level]:重大度レベルが変更されたシステム ログ メッセージ ID と、明示的に抑止されたシステム ログ メッセージ ID のみが [Syslog ID] テーブルに表示されるよう指定します。

[Syslog ID Table]:[Syslog ID Table View] にある設定に基づいてシステム ログ メッセージのリストを表示します。変更する個々のメッセージ ID またはメッセージ ID の範囲を選択します。選択したメッセージ ID は、抑止することも、その重大度レベルを変更することもできます。リストから複数のメッセージ ID を選択する場合は、その範囲の先頭にあたる ID を選択し、Shift キーを押しながらその範囲の最後にあたる ID をクリックします。

[Advanced]:システム ログ メッセージにデバイス ID を含めるように設定します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

詳細情報

「syslog ID 設定の編集」を参照してください。

「高度な syslog 設定」を参照してください。

syslog ID 設定の編集

[Edit Syslog ID Settings] ダイアログボックスでは、選択したシステム ログ メッセージの重大度レベルを変更できるほか、選択したシステム ログ メッセージを抑止することもできます。

フィールド

[Syslog ID(s)]: 表示専用 。この領域に表示される値は、[Syslog Setup] ペインにある [Syslog ID] テーブルで選択されたエントリにより決まります。

[Suppress Message(s)]:[Syslog ID(s)] リストに表示されるシステム ログ メッセージ ID のメッセージを抑止するには、このチェックボックスをオンにします。

[Logging Level]:[Syslog ID(s)] リストに表示されるシステム ログ メッセージ ID に送信されるメッセージの重大度レベルを選択します。重大度レベルは次のように定義されています。

Emergency(レベル 0、システムが使用不能)

Alert(レベル 1、即時対処が必要)

Critical(レベル 2、クリティカル条件)

Error(レベル 3、エラー条件)

Warning(レベル 4、警告条件)

Notification(レベル 5、正常だが顕著な条件)

Informational(レベル 6、情報メッセージのみ)

Debugging(レベル 7、デバッグ中のみ表示)

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

高度な syslog 設定

セキュリティ アプライアンスが非 EMBLEM 形式のシステム ログ メッセージにデバイス ID を含めるように設定できます。システム ログ メッセージには、1 つのタイプのデバイス ID だけを指定できます。デバイス ID としては、適応型セキュリティ アプライアンスのホスト名、インターフェイス IP アドレス、コンテキスト、またはテキスト文字列を使用できます。

[Advanced Syslog Configuration] ダイアログボックスでは、システム ログ メッセージにデバイス ID を含めるかどうかを指定できます。この機能をイネーブルにすると、非 EMBLEM 形式のシステム ログ メッセージすべてに、デバイス ID が追加されます。

フィールド

[Enable Syslog Device ID]:デバイス ID をすべての非 EMBLEM 形式のシステム ログ メッセージに含めるように指定します。

[Hostname]:デバイス ID としてホスト名を使用するように指定します。

[IP Address]:デバイス ID としてインターフェイスの IP アドレスを使用するように指定します。

[Interface Name]:指定した IP アドレスに対応するインターフェイス名を指定します。

[String]:デバイス ID としてユーザ定義の文字列を使用するように指定します。

[User-defined ID]:英数字のユーザ定義文字列を指定します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

E メールの設定

[E-Mail Setup] ペインでは、送信元の電子メール アドレスを設定できるほか、通知用の電子メール メッセージとして送信される指定済みシステム ログ メッセージの受信者リストを設定することもできます。宛先電子メール アドレスに送信されるシステム ログ メッセージは、重大度レベルでフィルタリングできます。テーブルには、どのエントリの作成が完了しているかが表示されます。このペインにアクセスするには、[Configuration] > [Device Management] > [Logging] > [E-Mail Setup] を選択します。

宛先の電子メール アドレスのメッセージ フィルタリングに使用されるシステム ログ メッセージの重大度レベルは、[Logging Filters] ペインですべての電子メール受信者に対して設定されたグローバル フィルタに比べ、ここで選択した方がより高くなっています。

宛先の電子メール アドレスに使用されるシステム ログ メッセージの重大度フィルタにより、指定された重大度レベル以上のメッセージが送信されます。[Logging Filters] ペインで指定されたグローバル フィルタも、各電子メール受信者に適用されます。

フィールド

[Source E-Mail address]:電子メール メッセージとして送信されるシステム ログ メッセージの送信元アドレスとなる電子メール アドレスを指定します。

[Destination E-Mail Address]:指定したシステム ログ メッセージの受信者の電子メール アドレスを指定します。

[Syslog Severity]:この受信者に送信されるシステム ログ メッセージの重大度レベルを指定します。指定した重大度またはそれ以上の重大度を持つメッセージが送信されます。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

詳細情報

「E メール受信者の追加と編集」を参照してください。

「SMTP」を参照してください。

「Logging Filters」を参照してください。

E メール受信者の追加と編集

[Add/Edit E-Mail Recipient] ダイアログボックスでは、指定した重大度を持つシステム ログ メッセージを電子メール メッセージとして送信する、宛先の電子メール アドレスを設定できます。

宛先電子メール アドレスへのメッセージのフィルタリングに使用する重大度レベルは、ここで選択した重大度レベルと、[Logging Filters] ペインですべての電子メール受信者に対して設定したグローバル フィルタの重大度レベルのうち、上位にある方が使用されます。

フィールド

[Destination E-Mail Address]:選択したシステム ログ メッセージの受信者の電子メール アドレスを指定します。

[Syslog Severity]:この受信者に送信されるシステム ログ メッセージの重大度レベルを指定します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

SMTP

[SMTP] ペインでは、発生した重要イベントをアラートなどの電子メールで通知する SMTP クライアントをイネーブルまたはディセーブルにできます。SMTP サーバの IP アドレスを追加でき、オプションとしてバックアップ SMTP サーバの IP アドレスも追加できます。ASDM は IP アドレスが有効かどうかを確認しません。このため、アドレスを正確に入力してください。このペインにアクセスするには、[Configuration] > [Properties] > [Logging] > [Email Setup] を選択します。

フィールド

[Remote SMTP Server]:プライマリ SMTP サーバとセカンダリ SMTP サーバを設定できます。

[Primary Server IP Address]:SMTP サーバの IP アドレスを指定します。

[Secondary Server IP Address (Optional)]:セカンダリ SMTP サーバの IP アドレスをオプションで指定します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

イベント リスト

[Event Lists] ペインでは、イベントのカスタム リストを作成できます。このリストは、特定の宛先に送信するシステム ログ メッセージを選択する際に使用します。ロギングをイネーブルにし、[Logging Setup] ペインを使用してロギング パラメータを設定したら、[Event Lists] ペインでイベントのリストを作成します(複数可)。これらのイベント リストは、[Logging Filters] ペインでイベントのリストごとにロギングの宛先を指定する際に使用します。このペインにアクセスするには、[Configuration] > [Device Management] > [Logging] > [Event Lists] を選択します。

イベント リストの定義には、次の 3 つの基準を使用します。

メッセージ クラス

重大度

メッセージ ID

メッセージ クラスとは、セキュリティ アプライアンスの機能に関連するシステム ログ メッセージのグループです。メッセージ クラスを使用すると、メッセージごとに個別にクラスを指定するのではなく、複数のメッセージから成るクラス全体を指定できます。たとえば、auth クラスを使用すると、ユーザ認証に関連するすべてのシステム ログ メッセージを選択できます。

重大度レベルは、ネットワークの通常機能におけるイベントの相対的な重要度に基づいて、システム ログ メッセージを分類するためのものです。最も高い重大度レベルは [Emergency] で、リソースが使用不能になっていることを表します。最も低い重大度レベルは [Debugging] で、各ネットワーク イベントに関する詳細情報が通知されます。

メッセージ ID は、各メッセージを一意に識別する数値です。イベント リストのメッセージ ID を使用すれば、ある範囲( 101001 ~ 101010 など)に属するシステム ログ メッセージを識別できます。

フィールド

[Name]:イベント リストの名前を示します。

[Event Class/Severity] :ロギング メッセージのイベント クラスと重大度を示します。イベント クラスには、次のものが含まれます。

[All]:すべてのイベント クラス

[auth]:ユーザ認証

[bridge]:トランスペアレント ファイアウォール

[ca]:PKI 認証局

[config]:コマンド インターフェイス

[ha]:フェールオーバー

[ips]:侵入防御サービス

[ip]:IP スタック

[np]:ネットワーク プロセッサ

[ospf]:OSPF ルーティング

[rip]:RIP ルーティング

[rm]:リソース マネージャ

[session]:ユーザ セッション

[snmp]:SNMP

[sys]:システム

重大度レベルは次のとおりです。

Emergency(レベル 0、システムが使用不能)

Alert(レベル 1、即時対処が必要)

Critical(レベル 2、クリティカル条件)

Error(レベル 3、エラー条件)

Warning(レベル 4、警告条件)

Notification(レベル 5、正常だが顕著な条件)

Informational(レベル 6、情報メッセージのみ)

Debugging(レベル 7、デバッグ中のみ表示)

[Message IDs] :フィルタに含めるシステム ログ メッセージ ID または ID の範囲(101001-101010 など)を一覧表示します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

詳細情報

「イベント リストの追加と編集」を参照してください。

「syslog メッセージ ID フィルタの追加と編集」を参照してください。

「Logging Filters」を参照してください。

イベント リストの追加と編集

[Add/Edit Event List] ダイアログボックスでは、イベント リストの作成や編集ができます。イベント リストは、ログの宛先に送信するメッセージを指定する場合に使用できます。作成したイベント リストでは、メッセージ クラスと重大度レベル、またはメッセージ ID に基づいてメッセージをフィルタリングできます。

メッセージ クラスは、適応型セキュリティ アプライアンスの機能に関連するシステム ログ メッセージのグループです。イベント リストを作成するとき、各メッセージを個々に指定するのではなく、メッセージのクラス全体を指定できます。たとえば、auth クラスを使用すると、ユーザ認証に関連するすべてのシステム ログ メッセージを選択できます。

重大度レベルは、ネットワークの通常機能におけるイベントの相対的な重要度に基づいて、システム ログ メッセージを定義するためのものです。最も高い重大度レベルは [Emergency] で、リソースが使用不能になっていることを表します。最も低い重大度レベルは [Debugging] で、各ネットワーク イベントに関する詳細情報が通知されます。

メッセージ ID は、各メッセージを一意に識別する数値です。イベント リストのメッセージ ID を使用すれば、ある範囲( 101001 ~ 101010 など)に属するシステム ログ メッセージを識別できます。

フィールド

[Name] :イベント リストの名前を入力します。

[Event Class] :イベント クラスを一覧表示します。イベント クラスには、次のものが含まれます。

[All]:すべてのイベント クラス

[auth]:ユーザ認証

[bridge]:トランスペアレント ファイアウォール

[ca]:PKI 認証局

[config]:コマンド インターフェイス

[ha]:フェールオーバー

[ips]:侵入防御サービス

[ip]:IP スタック

[np]:ネットワーク プロセッサ

[ospf]:OSPF ルーティング

[rip]:RIP ルーティング

[rm]:リソース マネージャ

[session]:ユーザ セッション

[snmp]:SNMP

[sys]:システム

[Severity] :ロギング メッセージのレベルを一覧表示します。重大度レベルは次のとおりです。

Emergency(レベル 0、システムが使用不能)

Alert(レベル 1、即時対処が必要)

Critical(レベル 2、クリティカル条件)

Error(レベル 3、エラー条件)

Warning(レベル 4、警告条件)

Notification(レベル 5、正常だが顕著な条件)

Informational(レベル 6、情報メッセージのみ)

Debugging(レベル 7、デバッグ中のみ表示)

[Message IDs Filters] :フィルタに含めるシステム ログ メッセージ ID またはシステム ログ メッセージ ID の範囲(101001-101010 など)を一覧表示します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

syslog メッセージ ID フィルタの追加と編集

[Add/Edit Syslog Message ID Filter] ダイアログボックスでは、イベント リストに含めるシステム ログ メッセージ ID を指定できます(複数可)。

フィールド

[Message IDs] :記録するシステム ログ メッセージ ID または ID の範囲を指定します。範囲を指定するには、ハイフンを使用します(101001-101010 など)。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

Logging Filters

[Logging Filters] ペインでは、メッセージ フィルタをログの宛先に適用できます。ログの宛先に適用されたフィルタにより、その宛先に送信するメッセージが選択されます。メッセージ クラスおよび重大度レベルに従ってメッセージをフィルタリングできるほか、[Event Lists] ペインで作成可能なイベント リストを使用することもできます。このペインにアクセスするには、[Configuration] > [Device Management] > [Logging] > [Logging Filters] を選択します。

フィールド

[Logging Destination]:フィルタを適用できるロギングの宛先の名前を一覧表示します。ロギング先は次のとおりです。

コンソール

セキュリティ アプライアンス

Syslog サーバ

SNMP トラップ

電子メール

内部バッファ

Telnet セッション

[Syslogs From All Event Classes]:ログの宛先へのメッセージをフィルタリングする際に使用する重大度やイベント クラスが一覧表示されるほか、すべてのイベント クラスに対してロギングをディセーブルにするかどうかを選択することもできます。

[Syslogs From Specific Event Classes]:ログの宛先へのメッセージのフィルタリングに使用するイベント クラスを一覧表示します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

詳細情報

「ロギング フィルタの編集」を参照してください。

「syslog メッセージ ID フィルタの追加と編集」を参照してください。

「クラスおよび重大度によるフィルタの追加と編集」を参照してください。

「イベント リスト」を参照してください。

ロギング フィルタの編集

[Edit Logging Filters] ダイアログボックスでは、ログの各宛先に対するフィルタの適用、すでにログの宛先に適用されているフィルタの編集、ログの宛先に対するフィルタのディセーブル化が可能です。メッセージ クラスおよび重大度レベルに従ってメッセージをフィルタリングできるほか、[Event Lists] ペインで作成可能なイベント リストを使用することもできます。

フィールド

[Logging Destination]:このフィルタに対してロギングの宛先を指定します。

[Filter on severity]:重大度レベルに従って、システム ログ メッセージをフィルタリングします。

[Filter on severity]:フィルタリングを行うシステム ログ メッセージのレベルを指定します。

[Use event list]:このフィルタへのイベント リストの使用を指定します。

[Use event]:使用するイベント リストを指定します。

[New]:新しいイベント リストを追加できます。

[Disable logging from all event classes]:選択した宛先へのすべてのロギングをディセーブルにします。

[Event Class] :イベント クラスを指定します。イベント クラスには、次のものが含まれます。

[All]:すべてのイベント クラス

[auth]:ユーザ認証

[bridge]:トランスペアレント ファイアウォール

[ca]:PKI 認証局

[config]:コマンド インターフェイス

[ha]:フェールオーバー

[ips]:侵入防御サービス

[ip]:IP スタック

[np]:ネットワーク プロセッサ

[ospf]:OSPF ルーティング

[rip]:RIP ルーティング

[rm]:リソース マネージャ

[session]:ユーザ セッション

[snmp]:SNMP

[sys]:システム

[Severity]:ロギング メッセージのレベルを指定します。重大度は次のとおりです。

Emergency(レベル 0、システムが使用不能)

Alert(レベル 1、即時対処が必要)

Critical(レベル 2、クリティカル条件)

Error(レベル 3、エラー条件)

Warning(レベル 4、警告条件)

Notification(レベル 5、正常だが顕著な条件)

Informational(レベル 6、情報メッセージのみ)

Debugging(レベル 7、デバッグ中のみ表示)

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

クラスおよび重大度によるフィルタの追加と編集

[Add/Edit Class and Severity Filter] ダイアログボックスでは、メッセージのフィルタリングに使用するメッセージ クラスおよび重大度レベルを指定できます。

メッセージ クラスは、適応型セキュリティ アプライアンスの機能に関連するシステム ログ メッセージのグループです。イベント リストを作成するとき、各メッセージを個々に指定するのではなく、メッセージのクラス全体を指定できます。たとえば、auth クラスを使用すると、ユーザ認証に関連するすべてのシステム ログ メッセージを選択できます。

重大度レベルは、ネットワークの通常機能におけるイベントの相対的な重要度に基づいて、システム ログを定義するためのものです。最も高い重大度レベルは [Emergency] で、リソースが使用不能になっていることを表します。最も低い重大度レベルは [Debugging] で、各ネットワーク イベントに関する詳細情報が通知されます。

フィールド

[Event Class] :イベント クラスを指定します。イベント クラスには、次のものが含まれます。

[All]:すべてのイベント クラス

[auth]:ユーザ認証

[bridge]:トランスペアレント ファイアウォール

[ca]:PKI 認証局

[config]:コマンド インターフェイス

[ha]:フェールオーバー

[ips]:侵入防御サービス

[ip]:IP スタック

[np]:ネットワーク プロセッサ

[ospf]:OSPF ルーティング

[rip]:RIP ルーティング

[rm]:リソース マネージャ

[session]:ユーザ セッション

[snmp]:SNMP

[sys]:システム

[Severity]:ロギング メッセージのレベルを指定します。重大度は次のとおりです。

Emergency(レベル 0、システムが使用不能)

Alert(レベル 1、即時対処が必要)

Critical(レベル 2、クリティカル条件)

Error(レベル 3、エラー条件)

Warning(レベル 4、警告条件)

Notification(レベル 5、正常だが顕著な条件)

Informational(レベル 6、情報メッセージのみ)

Debugging(レベル 7、デバッグ中のみ表示)

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

syslog メッセージ ID フィルタの追加と編集

[Add/Edit Syslog Message ID Filter] ダイアログボックスでは、イベント リスト フィルタに含める個々のシステム ログ メッセージ ID またはシステム ログ メッセージ ID の範囲を指定できます。

フィールド

[Message IDs] :システム ログ メッセージ ID、または ID の範囲を指定します。範囲を指定するには、ハイフンを使用します(101001-101010 など)。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

Rate Limit

[Rate Limit] ペインでは、ファイアウォールから送信できるシステム ログ メッセージの数を指定できます。メッセージ ロギング レベルのレート制限を具体的に指定して、特定のメッセージのレートを制限することができます。レート レベルは、重大度レベルまたはメッセージ ID には適用されますが、宛先には適用されません。そのため、レート制限の程度によっては、設定済みの宛先すべてに送信されるメッセージの量が変更されることになります。このペインにアクセスするには、[Configuration] > [Device Management] > [Logging] > [Rate Limit] を選択します。

フィールド

syslog ロギング レベルのレート制限セクション

[Logging Level]:メッセージの重大度レベルを一覧表示します。レベルは次のように定義されています。

Disabled(ロギングなし)

Emergency(レベル 0、システムが使用不能)

Alert(レベル 1、即時対処が必要)

Critical(レベル 2、クリティカル条件)

Error(レベル 3、エラー条件)

Warning(レベル 4、警告条件)

Notification(レベル 5、正常だが顕著な条件)

Informational(レベル 6、情報メッセージのみ)

Debugging(レベル 7、デバッグ中のみ表示)

[No of Messages]:送信されるメッセージ数を表示します。メッセージ数を制限なしにする場合は、[Number of Messages] フィールドおよび [Time Interval] フィールドをともにブランクのままにします。

[Interval (Seconds)]:このロギング レベルで送信できるメッセージ数を制限するのに使用される間隔を、秒数で表示します。メッセージ数を制限なしにする場合は、[Number of Messages] および [Time Interval] をともにブランクのままにします。

[Edit]:テーブルからロギング レベルを選択し、このボタンをクリックして [Edit Rate Limit] ダイアログボックスを開きます。このダイアログボックスでは、選択したロギング レベルのプロパティを編集できます。

個別にレート制限された syslog メッセージ セクション

[Syslog ID]:制限されているシステム ログ メッセージの ID を表示します。

[Logging Level]:メッセージの重大度レベルを表示します。重大度レベルのリストについては、「syslog ロギング レベルのレート制限セクション」を参照してください。

[No of Messages]:指定した時間内に送信できるメッセージの最大数を表示します。

[Interval (Seconds)]:システム ログ メッセージの制限に使用される間隔を秒数で表示します。

[Add]:特定のメッセージのレートを制限する場合にクリックします。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

詳細情報

「syslog ロギング レベルに対するレート制限の編集」を参照してください。

「syslog メッセージに対するレート制限の追加と削除」を参照してください。

syslog ロギング レベルに対するレート制限の編集

[Edit Rate Limit for Syslog Logging Level] ボックスでは、指定した時間間隔にファイアウォールが送信できるメッセージ数を制限します。

フィールド

syslog ロギング レベルのレート制限セクション

[Logging Level]:選択したメッセージの重大度レベルを表示します。特定のメッセージ ID のレート制限を変更すると、ロギング レベルを指定できる場合があります。レベルは次のように定義されています。

Disabled(ロギングなし)

Emergency(レベル 0、システムが使用不能)

Alert(レベル 1、即時対処が必要)

Critical(レベル 2、クリティカル条件)

Error(レベル 3、エラー条件)

Warning(レベル 4、警告条件)

Notification(レベル 5、正常だが顕著な条件)

Informational(レベル 6、情報メッセージのみ)

Debugging(レベル 7、デバッグ中のみ表示)

[No of Messages]:このロギング レベルで送信可能なメッセージの最大数を指定します。

[Time Interval (seconds)]:このロギング レベルでのメッセージのレートを制限するときに使用される時間を、秒数で指定します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

syslog メッセージに対するレート制限の追加と削除

[Add/Edit Rate Limit for Syslog Message] ダイアログボックスでは、レート制限を特定のシステム ログ メッセージに割り当てることができます。

フィールド

[Syslog Message ID]:制限するシステム ログ メッセージのメッセージ ID を指定します。

[Number of Messages]:指定された時間間隔にこのメッセージを送信できる最大回数を指定します。

[Time Interval]:指定したメッセージの制限に使用される時間を秒数で指定します。


) メッセージ数を制限なしにする場合は、[Number of Messages] フィールドおよび [Time Interval] フィールドをともにブランクのままにします。


モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

Syslog サーバ

[Syslog Servers] ペインでは、セキュリティ アプライアンスから送信されるシステム ログ メッセージの宛先となる syslog サーバを指定できます。指定した syslog サーバを使用するには、[Logging Setup] ペインを使用してロギングをイネーブルにし、[Logging Filters] ペインで使用可能な宛先を設定する必要があります。このペインにアクセスするには、[Configuration] > [Device Management] > [Logging] > [Syslog Server] を選択します。


) セキュリティ コンテキストごとに最大 4 つの syslog サーバを設定できます。


フィールド

[Interface]:syslog サーバとの通信に使用するインターフェイスを表示します。

[IP Address]:syslog サーバとの通信に使用されるインターフェイスの IP アドレスを表示します。

[Protocol/Port]:syslog サーバがセキュリティ アプライアンスとの通信に使用するプロトコルおよびポートを表示します。

[EMBLEM]:メッセージを Cisco EMBLEM 形式([Protocol/Port] 設定で UDP が選択されている場合にのみ使用可能)で記録するかどうかを指定します。

[Queue Size]:syslog サーバがビジー状態の場合、セキュリティ アプライアンスでキューに入れることができるメッセージ数を指定します。値がゼロの場合は、キューに入れられるメッセージ数が無制限になります。

[Allow user traffic to pass when TCP syslog server is down]:syslog サーバがダウンしている場合に、すべてのトラフィックを制限するかどうかを指定します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

詳細情報

「syslog サーバの追加と編集」を参照してください。

「ロギングの設定」を参照してください。

「Logging Filters」を参照してください。

syslog サーバの追加と編集

[Add/Edit Syslog Server] ダイアログボックスでは、セキュリティ アプライアンスから送信されるシステム ログ メッセージの宛先となる syslog サーバを追加または編集できます。指定した syslog サーバを使用するには、[Logging Setup] ペインでロギングをイネーブルにし、[Logging Filters] ペインで、指定したフィルタをログの宛先に対して設定する必要があります。


) コンテキストごとに最大 4 つの syslog サーバを設定できます。


フィールド

[Interface]:syslog サーバとの通信に使用するインターフェイスを指定します。

[IP Address]:syslog サーバとの通信に使用する IP アドレスを指定します。

[Protocol]:syslog サーバがセキュリティ アプライアンスとの通信に使用するプロトコル(TCP または UDP)を表示します。

[Port]:syslog サーバがセキュリティ アプライアンスとの通信に使用するポートを指定します。

[Log messages in Cisco EMBLEM format (UDP only)]:メッセージを Cisco EMBLEM 形式([Protocol] で UDP が選択されている場合にのみ使用可能)で記録するかどうかを指定します。

[Enable secure logging using SSL/TLS (TCP only)]:syslog サーバへの接続が SSL/TLS over TCP の使用により保護され、システム ログ メッセージの内容が暗号化されるよう指定します。


) PIX セキュリティ アプライアンスは、セキュア ロギング オプションをサポートしていません。


モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

SMTP

[SMTP] ペインでは、特定のイベントが発生したときに送信される電子メール アラートと通知の宛先となるリモート SMTP サーバの IP アドレスを設定できます。このペインにアクセスするには、[Configuration] > [Device Setup] > [Logging] > [SMTP] を選択します。

フィールド

[Primary Server IP Address]:プライマリ SMTP サーバの IP アドレスを指定します。

[Secondary Server IP Address (optional)]:スタンバイ SMTP サーバの IP アドレスを指定します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--