Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Firewall Services Module システム メッセージ ガイド Version 3.1
FWSM のログと SNMP の設定
FWSM のログと SNMP の設定
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

FWSM のログと SNMP の設定

SNMP の設定

SNMP の概要

SNMP のイネーブル化

ログの設定および管理

ログの概要

複数コンテキスト モードでのログ

ログのイネーブル化とディセーブル化

設定したすべての出力先へのログのイネーブル化

設定したすべての出力先へのログのディセーブル化

ログ設定の表示

ログの出力先の設定

ログの出力先の概要

出力先としての Syslog サーバの設定

出力先としての E メール アドレスの指定

出力先としての ASDM の指定

Telnet セッションによるログの表示

出力先としてのログ バッファの指定

出力先に送信するシステム ログ メッセージのフィルタリング

メッセージ フィルタリングの概要

クラスによるシステム ログ メッセージのフィルタリング

カスタム メッセージ リストによるシステム ログ メッセージのフィルタリング

ログ設定のカスタマイズ

ロギング キューの設定

システム ログ メッセージでの日付と時刻の表示

システム ログ メッセージでのデバイス ID の表示

EMBLEM フォーマットでのシステム ログ メッセージの生成

システム ログ メッセージのディセーブル化

システム ログ メッセージの重大度の変更

ログに使用できる内部フラッシュ メモリの容量の変更

システム ログ メッセージの概要

システム ログ メッセージのフォーマット

重大度

システム ログ メッセージで使用される変数

ロギング コマンドの一覧

FWSM のログと SNMP の設定

この章では、FWSM に関するログと SNMP を設定する方法について説明します。さらに、システム ログ メッセージの内容とフォーマットについても説明します。

この章では、モニタリングおよびロギング用の全コマンドおよびオプションについて包括的に説明するわけではありません。詳しい説明とその他のコマンドについては、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』を参照してください。

この章の内容は、次のとおりです。

「SNMP の設定」

「ログの設定および管理」

SNMP の設定

ここでは、SNMP の使用法について説明します。内容は次のとおりです。

「SNMP の概要」

「SNMP のイネーブル化」

SNMP の概要

FWSM では、SNMP V1 および V2c によるネットワーク モニタリングのサポートが提供されます。FWSM は、トラップおよび SNMP 読み取りアクセスをサポートしていますが、SNMP 書き込みアクセスはサポートしていません。

Network Management Station(NMS; ネットワーク管理ステーション)にトラップ(イベント通知)を送信するように FWSM を設定することも、NMS を使用して FWSM 上の MIB をブラウズすることもできます。MIB は定義の集合であり、FWSM は定義ごとに値のデータベースを 1 つずつ維持します。MIB をブラウズすると、NMS から SNMP get 要求が発行されます。SNMP トラップを受信したり MIB のブラウズするには、CiscoWorks for Windows、または SNMP V1、MIB-II に準拠する他の任意のブラウザを使用します。

表1-1 に、FWSM でコンテキスト別に複数のモードでサポートされている MIB およびトラップを示します。シスコの MIB は、次の URL からダウンロードできます。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

ダウンロードした MIB を、使用する NMS 用にコンパイルしてください。

 

表1-1 SNMP MIB およびトラップのサポート

MIB またはトラップのサポート
説明

SNMP コア トラップ

FWSM は、次のコア SNMP トラップを送信します。

authentication ― NMS が正しいコミュニティ ストリングで認証できなかったので、SNMP 要求はエラーになります。

linkup ― インターフェイスは「up」ステートに移行しました。

linkdown ― インターフェイスがダウンしています(たとえば、 nameif コマンドを削除した場合)。

coldstart ― リロード後、FWSM が動作しています。

MIB-II

FWSM は、次のグループおよびテーブルのブラウズをサポートしています。

system

IF-MIB

FWSM は、次のテーブルのブラウズをサポートしています。

ifTable

ifXTable

RFC1213-MIB

FWSM は、次のテーブルのブラウズをサポートしています。

ip.ipAddrTable

SNMPv2-MIB

FWSM は、次のブラウズをサポートしています。

snmp

ENTITY-MIB

FWSM は、次のグループおよびテーブルのブラウズをサポートしています。

entPhysicalTable

entLogicalTable

FWSM は、次のトラップのブラウズをサポートしています。

config-change

fru-insert

fru-remove

CISCO-IPSEC-FLOW-MONITOR-MIB

FWSM は、この MIB のブラウズをサポートしています。

FWSM は、次のトラップのブラウズをサポートしています。

start

stop

CISCO-REMOTE-ACCESS-MONITOR-MIB

FWSM は、この MIB のブラウズをサポートしています。

FWSM は、次のトラップのブラウズをサポートしています。

session-threshold-exceeded

CISCO-CRYPTO-ACCELERATOR-MIB

FWSM は、この MIB のブラウズをサポートしています。

ALTIGA-GLOBAL-REG

FWSM は、この MIB のブラウズをサポートしています。

Cisco Firewall MIB

FWSM は、次のグループのブラウズをサポートしています。

cfwSystem

この情報はフェールオーバー ステータスに関連する cfwSystem.cfwStatus であり、1 つのコンテキストではなくデバイス全体に関係します。

Cisco Memory Pool MIB

FWSM は、次のテーブルのブラウズをサポートしています。

ciscoMemoryPoolTable ― このテーブルで記述されるメモリ使用状況は、ネットワーク プロセッサではなく、FWSM の汎用プロセッサだけに該当します。

Cisco Process MIB

FWSM は、次のテーブルのブラウズをサポートしています。

cpmCPUTotalTable

Cisco Syslog MIB

FWSM は、次のトラップをサポートしています。

clogMessageGenerated

この MIB はブラウズできません。

SNMP のイネーブル化

FWSM 上で動作する SNMP エージェントは、次の 2 つの機能を実行します。

NMS からの SNMP 要求への応答

NMS へのトラップ(イベント通知)の送信

SNMP エージェントをイネーブルにして、FWSM に接続できる NMS を識別するには、次の作業を行います。


ステップ 1 次のコマンドを入力して、FWSM 上の SNMP サーバがイネーブルであることを確認します。

hostname(config)# snmp-server enable
 

SNMP サーバは、デフォルトでイネーブルです。

ステップ 2 FWSM に接続できる NMS の IP アドレスを識別するには、次のコマンドを入力します。

hostname(config)# snmp-server host interface_name ip_address [trap | poll] [community text] [version {1 | 2c}] [udp-port port]
 

NMS をトラップの受信のみ、またはブラウズ(ポーリング)のみに限定するには、 trap または poll を指定します。デフォルトでは、NMS は両方の機能を使用できます。

SNMP トラップは、デフォルトでは UDP ポート 162 に送信されます。ポート番号を変更するには、 udp-port キーワードを使用します。

ステップ 3 コミュニティ ストリングを指定するには、次のコマンドを入力します。

hostname(config)# snmp-server community key
 

SNMP コミュニティ ストリングは、FWSM と NMS の共有秘密鍵です。この鍵は、32 文字以内で大文字と小文字の区別があります。スペースは使用できません。

ステップ 4 (任意)SNMP サーバのロケーションまたはコンタクト情報を設定するには、次のコマンドを入力します。

hostname(config)# snmp-server {contact | location} text
 

ステップ 5 FWSM が NMS にトラップを送信できるようにするには、次のコマンドを入力します。

hostname(config)# snmp-server enable traps [all | syslog | snmp [trap] [...] | entity [trap] [...] | ipsec [trap] [...] | remote-access [trap]]
 

このコマンドを機能タイプごとに入力して、個々のトラップまたはトラップの集合をイネーブルにします。 all キーワードを入力すると、すべてのトラップがイネーブルになります。

デフォルトの設定では、すべての snmp トラップがイネーブルです( snmp-server enable traps snmp authentication linkup linkdown coldstart )。これらのトラップをディセーブルにするには、 snmp キーワードとともに、このコマンドの no 形式を使用します。 clear configure snmp-server コマンドを使用すると、デフォルトでイネーブルの SNMP トラップが復元されます。

このコマンドを入力し、トラップ タイプを指定しない場合、デフォルトは syslog です( syslog トラップとともに、デフォルトの snmp トラップが引き続きイネーブルになります)。

snmp トラップには、次のものが含まれます。

authentication

linkup

linkdown

coldstart

entity トラップには、次のものが含まれます。

config-change

fru-insert

fru-remove

ipsec トラップには、次のものが含まれます。

start

stop

remote-access トラップには、次のものが含まれます。

session-threshold-exceeded

ステップ 6 システム メッセージをトラップとして NMS に送信できるようにするには、次のコマンドを入力します。

hostname(config)# logging history level
 

前述の snmp-server enable traps コマンドを使用して、 syslog トラップもイネーブルにする必要があります。

ステップ 7 ログをイネーブルにして、システム メッセージを生成し NMS に送信できるようにするには、次のコマンドを入力します。

hostname(config)# logging enable
 


 

次に、内部インターフェイス上のホスト 192.168.3.2 から要求を受信するように FWSM を設定する例を示します。

hostname(config)# snmp-server host 192.168.3.2
hostname(config)# snmp-server location building 42
hostname(config)# snmp-server contact Pat lee
hostname(config)# snmp-server community ohwhatakeyisthee
 

ログの設定および管理

ここでは、ログ機能および設定について説明します。また、システム ログ メッセージのフォーマット、オプション、および変数についても説明します。

「ログの概要」

「複数コンテキスト モードでのログ」

「ログのイネーブル化とディセーブル化」

「ログの出力先の設定」

「出力先に送信するシステム ログ メッセージのフィルタリング」

「ログ設定のカスタマイズ」

「システム ログ メッセージの概要」

ログの概要

FWSM のシステム ログは、FWSM のモニタおよびトラブルシューティングのためのログ情報を提供します。ログ設定は非常に柔軟性があり、FWSM によるシステム ログ メッセージの処理方法をさまざまにカスタマイズすることができます。

ログ機能を使用して、次のことが可能です。

記録する必要のあるシステム ログ メッセージの指定

システム ログ メッセージのディセーブル化または重大度の変更

システム ログ メッセージを送信する 1 つまたは複数のロケーション(内部バッファ、Syslog サーバ、ASDM、SNMP 管理ステーション、特定の E メール アドレス、または Telnet および SSH セッション)

重大度やメッセージ クラスなど、グループ別のシステム ログ メッセージの設定および管理

内部バッファが満杯になり、ラップ アラウンドしたときの動作の指定。バッファの内容を FTP サーバに送信するか、または内部フラッシュ メモリに保存するように FWSM を設定できます。

FTP サーバへのログ ファイルの送信

フラッシュ メモリへのログ ファイルの保存

システム ログ メッセージのリモートからのモニタ(ASDM、Telnet および SSH セッションを使用するか、または内部ログ バッファの内容を Web ブラウザにダウンロード)

全部または一部のシステム ログ メッセージを、全部または一部の出力先ロケーションに送信できます。システム ログ メッセージの重大度やクラスに応じて、またはカスタム ログ メッセージ リストを作成して、各ロケーションに送信するシステム ログ メッセージをフィルタできます。

複数コンテキスト モードでのログ

セキュリティ コンテキストごとに独自の設定があるように、セキュリティ コンテキストごとに独自のログ設定およびシステム メッセージ ログもあります。セキュリティ コンテキストのメッセージ ログには、そのコンテキストでイネーブルに設定される機能に関連するメッセージが含まれます。たとえば、コンテキスト ログには、そのコンテキストのセキュリティ ポリシー、ルーティング、および設定変更に関連するメッセージが含まれます。単一コンテキスト モードで動作する FWSM と同様、セキュリティ コンテキストでのログは、デフォルトではイネーブルではありません。セキュリティ コンテキストのログを保存するには、そのセキュリティ コンテキストにアクセスしてログ動作を設定する必要があります。同様に、セキュリティ コンテキストのログ メッセージを表示する場合にも、そのコンテキストにアクセスする必要があります。

system または admin コンテキストにログインし、他のコンテキストを変更すると、セッションで表示されるメッセージは現在コンテキストに関連するものだけになります。

システム実行スペースで生成されるシステム メッセージ(フェールオーバー メッセージを含む)は、admin コンテキストで生成されたメッセージとともに、admin コンテキストで表示されます。admin コンテキストのログを設定しイネーブルにすると、システム実行スペースで生成されるメッセージは、自動的に admin コンテキスト メッセージに含まれます。システム実行スペース内では、ログを設定したり、ログ情報を表示したりすることはできません。

各メッセージにセキュリティ コンテキストのロギング デバイス ID が含まれるようにログを設定することができます。その場合、各メッセージには、そのメッセージが発生したコンテキストの名前が含まれます。admin コンテキストのロギング デバイス ID をイネーブルにすると、システム実行スペースで発生したメッセージは「 system 」というデバイス ID を使用し、admin コンテキストで発生したメッセージはコンテキスト名をデバイス ID として使用します。ロギング デバイス ID についての詳細は、「システム ログ メッセージでのデバイス ID の表示」を参照してください。

セキュリティ コンテキストについての詳細は、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide 』の「Enabling Multiple Context Mode」を参照してください。

ログのイネーブル化とディセーブル化

ここでは、FWSM でログをイネーブルおよびディセーブルにする方法について説明します。内容は次のとおりです。

「設定したすべての出力先へのログのイネーブル化」

「設定したすべての出力先へのログのディセーブル化」

「ログ設定の表示」

設定したすべての出力先へのログのイネーブル化

ここでは、ログをイネーブルにする手順を示します。ただし、ロギングしたメッセージを表示または保存できるように、少なくとも 1 つの出力先を指定する必要があります。出力先を指定しない場合、イベントが発生しても、FWSM は生成されたシステム ログ メッセージを保存しません。

ログの出力先の設定については、「ログの出力先の設定」を参照してください。

ログをイネーブルにするには、次の作業を行います。


ステップ 1 次のコマンドを入力し、コンフィギュレーション モードにアクセスします。

hostname># config t
 

ステップ 2 次のコマンドを入力し、ログを開始します。

hostname(config)# logging enable
 

ステップ 3 どのタイプのログがイネーブルになっているかを表示するには、次のコマンドを入力します。

hostname(config)# show logging
Syslog logging: enabled
Facility: 20
Timestamp logging: disabled
Standby logging: disabled
Deny Conn when Queue Full: disabled
Console logging: disabled
Monitor logging: disabled
Buffer logging: disabled
Trap logging: disabled
History logging: disabled
Device ID: disabled
Mail logging: disabled
ASDM logging: disabled
 


 

設定したすべての出力先へのログのディセーブル化

設定したすべてのログ出力先へのログをディセーブルにするには、次のコマンドを入力します。

hostname(config)# no logging enable
 

ログ設定の表示

実行中のログ設定を表示するには、次のコマンドを入力します。

hostname(config)# show logging
 

show logging コマンドの出力例を示します。

Syslog logging: enabled
Facility: 16
Timestamp logging: disabled
Standby logging: disabled
Deny Conn when Queue Full: disabled
Console logging: disabled
Monitor logging: disabled
Buffer logging: disabled
Trap logging: level errors, facility 16, 3607 messages logged
Logging to infrastructure 10.1.2.3
History logging: disabled
Device ID: 'inside' interface IP address "10.1.1.1"
Mail logging: disabled
ASDM logging: disabled
 

各ステータス行エントリの意味は、次のとおりです。

 

ログ ステータス行
説明

System Log logging

全体的なシステム ログのステータス

Facility

Syslog サーバへのシステム ログ メッセージの送信に使用されるロギング ファシリティ

Timestamp logging

システム ログ メッセージ内でのタイムスタンプの有無を表します。

Standby logging

イネーブルの場合、フェールオーバー スタンバイ FWSM のシステム ログ メッセージは、フェールオーバーが発生しても同期化されたままになります。

Deny Conn when Queue Full

イネーブルの場合、ログ キューが満杯になるとすべてのトラフィックが拒否されます。

Monitor logging

コンソールへのログを Telnet または SSH セッションで表示できるかどうかを表します。

Buffer logging

内部ログ バッファがログの出力先としてイネーブルかどうかを表します。

Trap logging

1 つまたは複数の Syslog サーバへのログの送信がイネーブルかどうかを表します。

History logging

SNMP 管理ステーションへのログの送信がイネーブルかどうかを表します。

Device ID

システム ログ メッセージにデバイス ID が含まれるかどうかを表します。

Mail logging

1 つまたは複数の E メール アドレスへのログの送信がイネーブルかどうかを表します。

ASDM logging

ASDM へのログの送信がイネーブルかどうかを表します。

ログの出力先の設定

ここでは、FWSM で生成されるログ メッセージの保存または送信先を指定する方法について説明します。内容は次のとおりです。

「ログの出力先の概要」

「出力先としての Syslog サーバの設定」

「出力先としての E メール アドレスの指定」

「出力先としての ASDM の指定」

「Telnet セッションによるログの表示」

ログの出力先の概要

FWSM が生成したログを表示するには、ログの出力先を指定する必要があります。ログの出力先を指定しないでログをイネーブルにすると、FWSM はメッセージを生成しても、ユーザが表示できる場所にメッセージを保存しません。

FWSM が次の場所にログを送信するように設定できます。

1 つまたは複数の Syslog サーバ

1 つまたは複数の E メール アドレス

ASDM(Adaptive Security Device Manager)

Telnet セッション

内部ログ バッファ

出力先としての Syslog サーバの設定

ここでは、Syslog サーバにログを送信するように FWSM を設定する方法を説明します。

Syslog サーバにログを送信するように FWSM を設定すると、サーバ上のディスクの空き容量の範囲内でログをアーカイブすることができ、保存後のログ データの操作が可能になります。たとえば、特定のタイプのシステム ログ メッセージが記録された場合に実行すべきアクションを指定したり、ログからデータを抽出してレポート用に別のファイルにレコードを保存したり、サイト固有のスクリプトを使用して統計情報を追跡したりできます。

Syslog サーバは、syslogd という名前のプログラム(サーバ)を実行している必要があります。UNIX では、OS(オペレーティング システム)の一部として Syslog サーバが提供されています。Windows 95 および Windows 98 の場合は、他のベンダーから syslogd サーバを入手してください。

FWSM から Syslog サーバへのデータの送信に使用するプロトコルとしては、UDP または TCP を指定できますが、両方を指定することはできません。TCP を指定した場合、FWSM は Syslog サーバに障害が発生すると、ログの送信を停止します。UDP を指定すると、FWSM は Syslog サーバが正常に動作しているかどうかに関わらず、ログの送信を続行します。

各ログ メッセージにタイムスタンプを含めるには、ロギング タイムスタンプをイネーブルにします。Syslog サーバへのログ送信に UDP を選択した場合、各 Syslog サーバに EMBLEM フォーマットのログをイネーブルにできます。

Syslog サーバにシステム ログ メッセージを送信するように FWSM を設定するには、次の作業を行います。


ステップ 1 次のコマンドを入力し、ログの出力先として Syslog サーバを指定します。

hostname(config)# logging host if_name ip_address {[tcp/port] | udp/port]} [format emblem]
 

ここで、

format emblem ― Syslog サーバで EMBLEM フォーマットのログをイネーブルにします(UDP のみ)。

interface_name ― Syslog サーバが存在するインターフェイスを指定します。

port ― Syslog サーバがシステム ログ メッセージを待ち受けるポートを指定します。どちらのプロトコルでも、有効な port 値は 1025 ~ 65535 です。前に入力したコマンドで使用した port および protocol 値を表示するには、 show running-config logging コマンドを使用し、リストの中からコマンドを探します。TCP プロトコルは 6、UDP プロトコルは 17 でリストされます。

ip_address ― Syslog サーバの IP アドレスを指定します。

tcp ― FWSM が TCP を使用してシステム ログ メッセージを Syslog サーバに送信することを指定します。

udp ― FWSM が UDP を使用してシステム ログ メッセージを Syslog サーバに送信することを指定します。

次に例を示します。

hostname(config)# logging host dmz1 192.168.1.5
 

出力先として複数の Syslog サーバを指定する場合は、Syslog サーバごとに 1 つずつコマンドを入力します。

ステップ 2 次のコマンドを入力し、Syslog サーバに送信するシステム ログ メッセージを指定します。

hostname(config)# logging trap {severity_level (1-7) | message_list}
 

ここで、

severity_level ― Syslog サーバに送信するメッセージの重大度を指定します。たとえば、重大度を 3 に設定すると、FWSM は重大度 3、2、1、および 0 のシステム ログ メッセージを送信します。番号(2 など)または名前(critical など)のどちらを指定しても構いません。

メッセージの重大度についての詳細は、「重大度」を参照してください。

message_list ― Syslog サーバに送信するシステム ログ メッセージを表す、カスタムなメッセージ リストを指定します。カスタムなメッセージ リストの作成については、「カスタム メッセージ リストによるシステム ログ メッセージのフィルタリング」を参照してください。

次に、重大度 3(error)以上のシステム ログ メッセージを Syslog サーバに送信するように FWSM を設定する例を示します。FWSM は、重大度3、2、1 のメッセージを送信します。

hostname(config)# logging trap errors

 

ステップ 3 サーバに送信する各システム ログ メッセージにデバイス ID を含めるには、次のコマンドを入力します。

hostname(config)# logging device-id {hostname | ipaddress if_name | string text}
 

Syslog サーバに送信されるシステム ログ メッセージには、指定のデバイス ID(指定のインターフェイスのホスト名と IP アドレス、またはストリング)が含まれます。

ステップ 4 必要に応じて、ロギング ファシリティの値をデフォルトの 20 以外に設定します(ほとんどの UNIX システムでは、システム ログ メッセージがファシリティ 20 で着信することが前提となっています)。

ロギング ファシリティの設定を変更するには、次のコマンドを入力します。

hostname(config)# logging facility number
 

次に例を示します。

hostname(config)# logging facility 16
 

ステップ 5 設定の変更を確認するには、次のコマンドを入力します。

hostname(config)# show logging
 

次に、 show logging コマンドの出力例を示します。

Syslog logging: enabled
Facility: 16
Timestamp logging: disabled
Standby logging: disabled
Deny Conn when Queue Full: disabled
Console logging: disabled
Monitor logging: disabled
Buffer logging: disabled
Trap logging: level errors, facility 16, 3607 messages logged
Logging to infrastructure 10.1.2.3
History logging: disabled
Device ID: 'inside' interface IP address "10.1.1.1"
Mail logging: disabled
ASDM logging: disabled
 


 

出力先としての E メール アドレスの指定

特定の E メール アドレスに一部または全部のシステム ログ メッセージを送信するように FWSM を設定できます。E メールで送信した場合、システム ログ メッセージは E メール メッセージの件名に表示されます。したがって、このオプションは重大度の高いシステム ログ メッセージ(critical、alert、emergency など)を管理者に通知する目的で設定することを推奨します。

出力先として E メール アドレスを指定するには、次の作業を行います。


ステップ 1 1 つまたは複数の E メール アドレスに送信するシステム ログ メッセージを指定します。システム ログ メッセージの重大度またはシステム ログ メッセージ リスト変数を使用して、送信するシステム ログ メッセージを指定します。

送信するシステム ログ メッセージを指定するには、次のコマンドを入力します。

hostname(config)# logging mail {message_list | severity_level}
 

次の例では、事前に logging list コマンドで設定済みの「high-priority」という message_list を使用しています。

hostname(config)# logging mail high-priority
 

ステップ 2 次のコマンドを入力し、システム ログ メッセージを特定の E メール アドレスに送信するとき使用する送信元の E メール アドレスを指定します。

hostname(config)# logging from-address email_address

次に例を示します。

hostname(config)# logging from-address xxx-001@example.com
 

ステップ 3 システム ログ メッセージを特定の E メール宛先に送信するとき使用する受信者の E メール アドレスを指定します。最大 5 つの受信者アドレスを設定できます。各受信者を個別に入力する必要があります。

受信者のアドレスを入力するには、次のコマンドを入力します。

hostname(config)# logging recipient-address e-mail_address [severity_level]
 

次に例を示します。

hostname(config)# logging recipient-address admin@example.com
 

) 重大度を指定しない場合、デフォルトの重大度(error 条件、重大度 3)が使用されます。


ステップ 4 システム ログ メッセージを特定の E メール宛先に送信するとき使用する SMTP サーバを指定するには、次のコマンドを入力します。

hostname(config)# smtp-server hostname

次に例を示します。

hostname(config)# smtp-server smtp-host-1


 

出力先としての ASDM の指定

ASDM にシステム ログ メッセージを送信するように FWSM を設定できます。FWSM は ASDM への送信待ちのシステム ログ メッセージを格納するバッファ領域を確保し、発生したメッセージをそこに保存します。ASDM ログ バッファは、内部ログ バッファとは別です。内部ログ バッファについての詳細は、「ログ バッファの概要」 を参照してください。

ASDM ログ バッファが満杯になると、FWSM は最も古いシステム ログ メッセージを削除して、新しいシステム ログ メッセージを格納できるようにします。このバッファのサイズを変更することにより、ASDM ログ バッファに格納されるシステム ログ メッセージ数を制御できます。

出力先として ASDM を指定するには、次の作業を行います。


ステップ 1 次のコマンドを入力し、ASDM に送信するシステム ログ メッセージを指定します。

hostname(config)# logging asdm {message_list | severity_level}
 

コマンド オプションについて次に説明します。

level

システム ログ メッセージの最大の重大度を設定します。たとえば、level を 3 に設定すると、FWSM は重大度 3、2、1、0 のシステム ログ メッセージを生成します。次のように、番号または名前のどちらを指定しても構いません。

0 または emergencies ― システムが使用不能

1 または alerts ― ただちに対応が必要

2 または critical ― クリティカル条件

3 または errors ― エラー

4 または warnings ― 警告

5 または notifications ― 正常だが注意を要する状態

6 または informational ― 情報

7 または debugging ― デバッグ メッセージ、ログ FTP コマンド、および WWW URL

message_list

ASDM ログ バッファに送信するシステム ログ メッセージを表すリストを指定します。リストの作成方法については、 「カスタム メッセージ リストによるシステム ログ メッセージのフィルタリング」 を参照してください。

次に、ログをイネーブルにして、重大度 0、1、2 のシステム ログ メッセージを ASDM ログ バッファに送信する例を示します。

hostname(config)# logging asdm 2
 

ステップ 2 ASDM ログ バッファに格納するシステム ログ メッセージ数を指定するには、次のようにグローバル コンフィギュレーション モードで logging asdm-buffer-size コマンドを使用します。

hostname(config)# logging asdm-buffer-size num_of_msgs
 

ここで、 num_of_msgs は、FWSM が ASDM ログ バッファに格納するシステム ログ メッセージ数を表します。

次に、ASDM ログ バッファのサイズを 200 個のシステム ログ メッセージに設定する例を示します。

hostname(config)# logging asdm-buffer-size 200
 


 

ASDM ログ バッファの現在の内容を消去するには、次のコマンドを入力します。

hostname(config)# clear logging asdm
 

Telnet セッションによるログの表示

Telnet セッションで Syslog メッセージを表示するには、次の作業を行います。


ステップ 1 内部インターフェイス上のホストが FWSM をアクセスするように、FWSM を設定します。

a. 次のコマンドを入力し、IP アドレスおよびインターフェイス名を指定します。

hostname(config)# telnet ip_address [subnet_mask] [if_name]
 

たとえば、ホストの IP アドレスが 192.168.1.2 である場合、このコマンドは次のようになります。

hostname(config)# telnet 192.168.1.2 255.255.255.255
 

b. Telnet セッションがアイドル状態のときに FWSM がセッションを切断するまでのタイムアウト時間を、デフォルトの 5 分より大きい値に設定します。タイムアウトは最低でも 15 分にすることを推奨します。この場合、次のように設定します。

hostname(config)# telnet timeout 15
 

ステップ 2 ホスト上で Telnet を起動し、FWSM の内部インターフェイスを指定します。

Telnet 接続が確立されると、FWSM によって次のプロンプトが表示されます。

FWSM passwd
 

ステップ 3 Telnet パスワードを入力します。このパスワードは、デフォルトでは cisco です。

ステップ 4 次のコマンドを入力し、コンフィギュレーション モードをイネーブルにします。

hostname(config)# enable
 
(Enter your password at the prompt)
 

hostname(config)# configure terminal

ステップ 5 次のコマンドを入力し、メッセージのログを開始します。

hostname(config)# logging monitor level (1-7)
 

ステップ 6 次のコマンドを入力し、この Telnet セッションにログを送信します。

hostname(config)# terminal monitor

このコマンドでは、現在の Telnet セッションに関してのみログがイネーブルになります。 logging monitor コマンドはすべての Telnet セッションについてログの基本設定を行うのに対し、 terminal monitor (および terminal no monitor )コマンドは個々の Telnet セッションについてのログを制御します。

ステップ 7 ホストに ping を実行したり、Web ブラウザを起動するなど、何らかのイベントをトリガーします。

その結果、Telnet セッション ウィンドウに Syslog メッセージが表示されます。

ステップ 8 作業が終わったら、次のコマンドを使用してこの機能をディセーブルにします。

hostname(config)# terminal no monitor
hostname(config)# no logging monitor
 


 

出力先としてのログ バッファの指定

ここでは、システム ログ メッセージを内部ログ バッファに保存するように FWSM を設定する方法について説明します。内容は次のとおりです。

「出力先としてのログ バッファのイネーブル化」

「ログ バッファが満杯になったときの動作の指定」

「内部フラッシュ メモリへのログ バッファ内容の保存」

「ログ バッファ内容のクリア」

ログ バッファの概要

ログ バッファを出力先に設定した場合、ログ バッファはシステム ログ メッセージの一時的な保存場所として動作します。リストの最後に新しいメッセージが追加されます。バッファが満杯になると(つまり、バッファがラップすると)、新しいメッセージが生成された時点で古いメッセージが上書きされます。ログ メッセージを保存するには、古いメッセージが上書きされないよう、バッファが満杯になるたびにバッファの内容を FTP サーバまたは内部フラッシュ メモリに保存するように FWSM を設定できます。

バッファがラップするまでに格納できるメッセージ数は、ログ バッファのサイズによって決まります。デフォルトのログ バッファ サイズは 4 KB です。

出力先としてログ バッファをイネーブルにする場合、保存するメッセージも指定できます。指定しない場合、生成されたすべてのメッセージがログ バッファに保存されます。メッセージの重大度に基づいてメッセージを保存するか、またはカスタムなメッセージ リストで指定する基準に基づいてメッセージを保存するように、FWSM を設定できます。保存するメッセージを制限する方法については、「出力先に送信するシステム ログ メッセージのフィルタリング」を参照してください。

出力先としてのログ バッファのイネーブル化

ログの出力先としてログ バッファをイネーブルにし、ログ バッファの設定オプションを指定するには、次の作業を行います。


ステップ 1 次のコマンドを入力し、FWSM がログ バッファにシステム ログ メッセージを保存できるようにするとともに、保存するメッセージを指定します。

hostname(config)# logging buffered {level | message_list}
 

ここで、 level は、保存するメッセージの重大度を表します。 message_list は、ログ バッファに保存するメッセージを選択するためのカスタム リストの名前を表します。

level オプションには、重大度を番号(3 など)または名前(error など)のどちらかで指定します。指定した重大度以上のメッセージが選択されます。つまり、重大度 3 を指定すると、重大度 3、2、1 のメッセージがログ バッファに保存されます。

たとえば、重大度 1 および 2 のメッセージをログ バッファに保存するには、次のいずれかのコマンドを入力します。

hostname(config)# logging buffered critical
 

または

hostname(config)# logging buffered level 2
 

message_list オプションには、ログ バッファに保存するメッセージを選択するための基準を表すメッセージ リストの名前を指定します。

hostname(config)# logging buffered notif-list
 

カスタムなメッセージ リストを作成するには、 logging list コマンドを使用します。カスタムなメッセージ リストの作成方法については、「カスタム メッセージ リストによるシステム ログ メッセージのフィルタリング」 を参照してください。

ステップ 2 (任意)ログ バッファのサイズを変更するには、次のコマンドを入力します。

hostname(config)# logging buffer-size bytes
 

ここで、 bytes オプションはログ バッファのメモリ容量(バイト数)を設定します。たとえば、8192 を指定すると、FWSM はログ バッファに 8 KB のメモリを使用します。

次に、ログ バッファに 16 KB のメモリを使用するように FWSM を設定する例を示します。

hostname(config)# logging buffer-size 16384
 


 

ログ バッファが満杯になったときの動作の指定

デフォルトでは、FWSM は継続的にログ バッファにメッセージを書き込み、バッファが満杯になると古いメッセージを上書きします。ログの履歴を残すには、バッファが満杯になるたびに別の出力先にバッファの内容を送信するように FWSM を設定できます。内部フラッシュ メモリまたは FTP サーバに、バッファの内容を保存できます。

バッファの内容を別の場所に保存するとき、FWSM が作成するログ ファイル名は、デフォルトでは次のようなタイムスタンプ フォーマットになります。

LOG-YYYY-MM-DD-HHMMSS.TXT
 

ここで、 YYYY は年、 MM は月、 DD は日、 HHMMSS は時、分、秒です。

FWSM は内部フラッシュ メモリまたは FTP サーバにログ バッファの内容を書き込むと同時に、ログ バッファへの新しいメッセージの保存を続けます。

ログ バッファが満杯になるたびに内部フラッシュ メモリにバッファ内のメッセージを保存するように指定するには、次のコマンドを入力します。

hostname(config)# logging flash-bufferwrap
 

ログ バッファが満杯になるたびに FTP サーバにバッファ内のメッセージを保存するように指定するには、次の作業を行います。


ステップ 1 次のコマンドを入力し、ログ バッファが満杯になるたびにバッファの内容を FTP サーバに送信できるように FWSM を設定します。

hostname(config)# logging ftp-bufferwrap
 

ステップ 2 次のコマンドを入力し、FTP サーバの詳細情報を指定します。

hostname(config)# logging ftp-server {server_address | server_hostname} path username password
 

ここで、

server_address ― 外部 FTP サーバの IP アドレスを指定します。

server_hostname ― 外部 FTP サーバのホスト名を指定します。

path ― ログ バッファのデータを保存する FTP サーバ上のディレクトリ パスを指定します。このパスは、FTP ルート ディレクトリに相対します。次に例を示します。
/security_appliances/syslogs/appliance107

username ― FTP サーバにログインできるユーザ名を指定します。

password ― 指定したユーザ名に対応するパスワードを指定します。

次の例では、サーバ名 logserver-352、パス /syslogs、ユーザ名 logsupervisor、パスワード 1luvMy10gs を指定しています。

hostname(config)# logging ftp-server logserver-352 /syslogs logsupervisor 1luvMy10gs
 


 

内部フラッシュ メモリへのログ バッファ内容の保存

任意の時点で、バッファの内容を内部フラッシュ メモリに保存できます。ログ バッファの現在の内容を内部フラッシュ メモリに保存するには、次のコマンドを入力します。

hostname(config)# logging savelog [savefile]
 

たとえば、ファイル名 latest-logfile.txt を使用して内部フラッシュ メモリにログ バッファの内容を保存するには、次のように指定します。

hostname(config)# logging savelog latest-logfile.txt
 

ログ バッファ内容のクリア

ログ バッファの内容を消去するには、次のコマンドを入力します。

hostname(config)# clear logging buffer
 

出力先に送信するシステム ログ メッセージのフィルタリング

ここでは、特定の出力先に送信するシステム ログ メッセージを指定する方法について説明します。内容は次のとおりです。

「メッセージ フィルタリングの概要」

「クラスによるシステム ログ メッセージのフィルタリング」

「カスタム メッセージ リストによるシステム ログ メッセージのフィルタリング」

メッセージ フィルタリングの概要

生成されたシステム ログ メッセージの中から、特定のシステム ログ メッセージだけを特定の出力先に送信するように、フィルタリングを行うことができます。たとえば、すべてのシステム ログ メッセージを 1 つの出力先に送信するとともに、その一部については別の出力先にも送信するように、FWSM を設定できます。

具体的には、次の基準に基づいてシステム ログ メッセージを特定の出力先に送信するように、FWSM を設定できます。

システム ログ メッセージの ID 番号

システム ログ メッセージの重大度

システム ログ メッセージのクラス(FWSM の機能分野)

ユーザ側で作成するシステム ログ メッセージ リスト

たとえば、重大度 1、2、3 のすべてのシステム ログ メッセージを内部ログ バッファに送信したり、「ha」クラスのすべてのシステム ログ メッセージを特定の Syslog サーバに送信することができます。また、特定の E メール アドレスに送信する「high-priority」という名前のメッセージ リストを作成して、システム管理者に問題の発生を通知するように、FWSM を設定することもできます。

クラスによるシステム ログ メッセージのフィルタリング

システム ログ メッセージのクラスは、FWSM の機能分野と同じように、システム ログ メッセージをタイプ別に分類する手段となります。たとえば、「vpnc」クラスは VPN クライアントを表します。

ロギング クラスを使用すると、1 つのカテゴリに属するすべてのシステム ログ メッセージの出力先を、1 つのコマンドで指定できます。

システム メッセージ クラスは、次の 2 通りの方法で使用できます。

logging class コマンドを使用して、1 つのカテゴリに属するすべてのシステム ログ メッセージの出力先を指定します。

システム ログ メッセージのカスタム リストを作成するときに、 message_class 変数を使用して、そのクラスに属するすべてのシステム ログ メッセージをカスタム リストに含めます。

特定のクラスのシステム ログ メッセージは、システム ログ メッセージ ID 番号の先頭 3 桁が共通しています。たとえば、611 で始まるシステム ログ メッセージ ID は、vpnc(VPN クライアント)クラスに対応します。VPN クライアント機能に関係するシステム ログ メッセージは、611101 ~ 611323 の範囲です。

クラスの全メッセージを特定の出力先に送信

特定のクラスに属するすべてのシステム ログ メッセージを、特定の出力先に送信するように FWSM を設定するには、次のコマンドを入力します。

hostname(config)# logging class message_class {buffered | console | history | mail | monitor | trap} [severity_level]
 

ここで、

message_class ― 特定の出力先に送信するシステム ログ メッセージのクラスを指定します。システム ログ メッセージのクラスの一覧は、 表1-2 を参照してください。

buffered | console | history | mail | monitor | trap ― このクラスのシステム ログ メッセージを送信する出力先を指定します。コマンドライン エントリごとに 1 つの出力先を選択します。1 つのクラスを複数の出力先に送信する場合は、出力先ごとに新しいコマンドを入力します。

severity_level ― 出力先に送信するシステム ログ メッセージを、重大度によってさらに制限します。メッセージの重大度についての詳細は、「重大度」を参照してください。

次の例では、クラス ha(ハイ アベイラビリティ、別名フェールオーバー)に関係する重大度 1(alert)のすべてのシステム ログ メッセージを、内部ログ バッファに送信します。

hostname(config)# logging ha buffered alerts
hostname(config)#
 

表1-2 に、システム ログ メッセージのクラスと、各クラスのシステム ログ メッセージ ID の範囲を示します。

 

表1-2 システム ログ メッセージのクラスと対応するメッセージ ID 番号

クラス
定義
システム ログ メッセージ ID 番号

ha

フェールオーバー(ハイ アベイラビリティ)

101、102、103、104、210、311、709

rip

RIP ルーティング

107、312

auth

ユーザ認証

109、113

bridge

透過的ファイアウォール

110、220

config

コマンド インターフェイス

111、112、208、308

sys

システム

199、211、214、216、306、307、315、414、604、605、606、610、612、614、615,701、711

session

ユーザ セッション

106、108、201、202、204、302、303、304、305、314、405、406、407、500、502、607、608、609、616、620、703、710

ip

IP スタック

209、215、313、317、408

snmp

SNMP

212

vpdn

PPTP および L2TP セッション

213、403、603

vpn

IKE および IPSec

316、320、402、404、501、602、702、713、714、715

ospf

OSPF ルーティング

318、409、503、613

np

ネットワーク プロセッサ

319

rm

リソース マネージャ

321

ids

侵入検知システム

400、401、415

vpnc

VPN クライアント

611

ca

PKI 認証局

717

e-mail

E メール プロキシ

719

vpnlb

VPN ロードバランシング

718

vpnfo

VPN フェールオーバー

720

カスタム メッセージ リストによるシステム ログ メッセージのフィルタリング

カスタムなメッセージ リストを作成すると、特定の出力先に送信するシステム ログ メッセージをフレキシブルに制御することができます。カスタムなシステム ログ メッセージで、メッセージのグループを指定するには、重大度、メッセージ ID、システム メッセージ ID の範囲、またはメッセージ クラスの各基準を使用できます。

たとえば、メッセージ リストを使用すると次のことが可能です。

重大度 1 および 2 のシステム ログ メッセージを選択し、それらを 1 つまたは複数の E メール アドレスに送信する。

特定のメッセージ クラス(「ha」など)に対応するすべてのシステム ログ メッセージを、内部バッファに保存する。

メッセージ リストでは、複数の基準を使用してメッセージを選択できます。ただし、メッセージの選択基準ごとに、新しいコマンドを追加する必要があります。重複したメッセージ選択基準を含むメッセージ リストを作成できます。1 つのメッセージ リストで 2 つの基準によって同じメッセージが選択された場合、そのメッセージは 1 回しか記録されません。


) システム ログ メッセージ リストの名前には、重大度と同じ名前を使用しないでください。
message_list
名として使用できない名前としては、「emergencies」、「alert」、「critical」、「error」、「warning」、「notification」、「informational」、「debugging」があります。同様に、これらの語の先頭 3 文字も、ファイル名の先頭に使用しないでください。たとえば、「err」で始まるファイル名を使用してはなりません。


ログ バッファに保存するメッセージを選択するために FWSM が使用するカスタム リストを作成するには、次の作業を行います。


ステップ 1 次のコマンドを入力し、メッセージの選択基準を含むメッセージ リストを作成します。

hostname(config)# logging list {message_list | [severity_level | message_class | message_ID | range_of_IDs]}
 

ここで、

message_list ― メッセージの選択基準を含むリストの名前を指定します。

severity_level ― 指定する重大度のすべてのメッセージをログ バッファに送信します。

message_class ― 指定するメッセージ クラスのすべてのメッセージをログ バッファに保存します。

message_ID ― 固有のシステム ログ メッセージ ID 番号を指定します。

range_of_IDs ― メッセージ ID 番号の範囲を指定します(例:103401-103599)。

次の例では、重大度 3 以上のメッセージをログ バッファに保存する、notif-list というメッセージ リストを作成します。

hostname(config)# logging list notif-list level 3
 

ステップ 2 (任意)リストにメッセージ選択基準をさらに追加するには、上記のステップと同じコマンドを入力し、既存のメッセージ リスト名および追加の基準を指定します。リストに追加する基準ごとに、新しいコマンドを入力します。

次に、このメッセージ リストに基準を追加する例を示します。メッセージ ID 番号の範囲、およびメッセージ クラス ha(ハイ アベイラビリティまたはフェールオーバー)を追加します。メッセージ クラスについての詳細は、「クラスによるシステム ログ メッセージのフィルタリング」 を参照してください。

hostname(config)# logging list notif-list 104024-105999
hostname(config)# logging list my-list level critical
hostname(config)# logging list notif-list class ha
(config)# logging list my-list level warning class vpn
 

上記の例では、指定した基準に一致するシステム ログ メッセージがログ バッファに送信されます。このリストで、システム ログ メッセージに関して指定されている基準は、次のとおりです。

100100 ~ 100110 の範囲内のシステム ログ メッセージ ID

critical レベル以上(emergency、alert、または critical)のすべてのシステム ログ メッセージ

warning レベル以上(emergency、alert、critical、error、または warning)のすべての VPN クラスのシステム ログ メッセージ

これらの条件のいずれかが満たされる場合、そのシステム ログ メッセージが記録されます。1 つのシステム ログ メッセージが複数の条件を満たしていても、そのメッセージは 1 回しか記録されません。


 

ロギング キューの設定

FWSM には、設定された出力先に送信するまでの間、システム ログ メッセージを格納しておくバッファ用に割り当て可能な固定数のメモリ ブロックがあります。必要なブロック数は、システム ログ メッセージ キューの長さと、指定された Syslog サーバの数によって左右されます。

FWSM が設定された出力先に送信するまで、キューに格納できるシステム ログ メッセージ数を指定するには、次のコマンドを入力します。

hostname(config)# logging queue message_count
 

ここで、 message_count 変数は、処理に先立ってシステム ログ メッセージ キューに格納できるシステム ログ メッセージ数を表します。デフォルトでは、512 個のシステム ログ メッセージを格納できます。0(ゼロ)の設定値は、無限のシステム ログ メッセージを表します。つまり、使用可能なブロック メモリによってのみキューのサイズが制限されます。

キューおよびキューの統計情報を表示するには、次のコマンドを入力します。

hostname(config)# show logging queue
 

システム ログ メッセージでの日付と時刻の表示

システム ログ メッセージが生成された日付および時刻をメッセージに含めるには、次のコマンドを入力します。

hostname(config)# logging timestamp
 

システム ログ メッセージでのデバイス ID の表示

EMBLEM 以外のフォーマットのシステム ログ メッセージにデバイス ID を含めるように FWSM を設定するには、次のコマンドを入力します。

hostname(config)# logging device-id {context-name | hostname | ipaddress interface_name | string text}
 

ここで、

context-name ― 現在のコンテキスト名をデバイス ID として使用します(複数コンテキスト モードで動作している FWSM にのみ適用されます)。

hostname ― FWSM のホスト名をデバイス ID として使用します。

ipaddress interface_name interface_name で指定するインターフェイスの IP アドレスをデバイス ID として使用します。

ipaddress オプションを使用すると、システム ログ メッセージの送信元のインターフェイスとは無関係に、デバイス ID は特定の FWSM インターフェイスの IP アドレスになります。このキーワードは、デバイスから送信されたすべてのシステム ログ メッセージに、一定のデバイス ID を提供します。

string text text オプションで入力する文字をデバイス ID として使用します。最大 16 文字のストリングを指定できます。 text には、スペース文字または次の文字を使用することはできません。

&(アンパーサンド)

'(一重引用符)

"(二重引用符)

<(より小記号)

>(より大記号)

? (疑問符)


) デバイス ID をイネーブルにしても、EMBLEM フォーマットのシステム ログ メッセージまたは SNMP トラップには、デバイス ID は表示されません。


次に、FWSM でロギング デバイス ID をイネーブルにする例を示します。

hostname(config)# logging device-id hostname
 

次に、FWSM 上のセキュリティ コンテキストでロギング デバイス ID をイネーブルにする例を示します。

hostname(config)# logging device-id context-name
 

複数コンテキスト モードの admin コンテキストでロギング デバイス ID をイネーブルにすると、システム実行スペースで発生したメッセージは、 system というデバイス ID を使用し、admin コンテキストで発生したメッセージは、その admin コンテキストの名前をデバイス ID として使用します。

EMBLEM フォーマットでのシステム ログ メッセージの生成

Syslog サーバ以外の出力先に送信されるシステム ログ メッセージに、EMBLEM フォーマットを使用するには、次のコマンドを入力します。

hostname(config)# logging emblem
 

UDP を使用して Syslog サーバに送信するシステム ログ メッセージに、EMBLEM フォーマットを適用するには、Syslog サーバを出力先として設定するときに、 format emblem オプションを指定します。次のコマンドを入力します。

hostname(config)# logging host interface_name ip_address {tcp[/port] | udp[/port]} [format emblem]
 

ここで、

interface_name および IP_address は、システム ログ メッセージを受信する Syslog サーバを指定します。 tcp [/ port ] および udp [/ port ] は、使用するプロトコルおよびポートを表します。 format emblem は、Syslog サーバに送信されるメッセージについて EMBLEM フォーマットを有効にします。

FWSM は、UDP または TCP のどちらのプロトコルを使用してもシステム ログ メッセージを送信できます。ただし、EMBLEM フォーマットを有効にできるのは、UDP を使用して送信されるメッセージだけです。デフォルトのプロトコルおよびポートは、UDP/514 です。

次に例を示します。

hostname(config)# logging host interface_1 122.243.006.123 udp format emblem
 

システム ログ メッセージのディセーブル化

FWSM が特定のシステム ログ メッセージを生成しないようにするには、次のコマンドを入力します。

hostname(config)# no logging message message_number
hostname(config)#
 

次に例を示します。

hostname(config)# no logging message 113019
hostname(config)#
 

ディセーブルにしたシステム ログ メッセージを再びイネーブルにするには、次のコマンドを入力します。

hostname(config)# logging message message_number
 

次に例を示します。

hostname(config)# logging message 113019
hostname(config)#
 

ディセーブルになっているシステム ログ メッセージの一覧を表示するには、次のコマンドを入力します。

hostname(config)# show logging message
 

ディセーブルにしたすべてのシステム ログ メッセージのログを再びイネーブルにするには、次のコマンドを入力します。

hostname(config)# clear config logging disabled
 

システム ログ メッセージの重大度の変更

システム ログ メッセージのログ レベルを指定するには、次のコマンドを入力します。

hostname(config)# logging message message_ID level severity_level
 

次に、システム ログ メッセージ ID 113019 の重大度を 4(warning)から 5(notification)に変更する例を示します。

hostname(config)# logging message 113019 level 5
hostname(config)#
 

システム ログ メッセージのログ レベルをデフォルトの重大度に戻すには、次のコマンドを入力します。

hostname(config)# logging message message_ID level severity_level
 

次に、システム ログ メッセージ ID 113019 の重大度をデフォルト値の 4(warning)に戻す例を示します。

hostname(config)# no logging message 113019 level 5
hostname(config)#

 

重大度を変更しているシステム ログ メッセージの一覧を表示するには、次のコマンドを入力します。

hostname(config)# show logging message
 

変更したシステム ログ メッセージの重大度をすべてデフォルトに戻すには、次のコマンドを入力します。

hostname(config)# clear config logging level
hostname(config)#
 

次に示す一連のコマンドは、 logging message コマンドを使用して、システム ログ メッセージの有無および重大度を制御する例を示しています。

hostname(config)# show logging message 403503
syslog 403503: default-level errors (enabled)
 
hostname(config)# logging message 403503 level 1
hostname(config)# show logging message 403503
syslog 403503: default-level errors, current-level alerts (enabled)
 
hostname(config)# no logging message 403503
hostname(config)# show logging message 403503
syslog 403503: default-level errors, current-level alerts (disabled)
 
hostname(config)# logging message 403503
hostname(config)# show logging message 403503
syslog 403503: default-level errors, current-level alerts (enabled)
 
hostname(config)# no logging message 403503 level 3
hostname(config)# show logging message 403503
syslog 403503: default-level errors (enabled)
 

ログに使用できる内部フラッシュ メモリの容量の変更

FWSM でログ バッファの内容を内部フラッシュ メモリに保存する方法には、次の 2 通りがあります。

ログ バッファが満杯になるたびに、バッファの内容を内部フラッシュ メモリに保存するようにログ動作を設定する。

ログ バッファの現在の内容を内部フラッシュ メモリに即時に保存するコマンドを、FWSM に入力する。

デフォルトでは、FWSM は最大 1 MB の内部フラッシュ メモリをデータのログに使用できます。FWSM がログ データを保存するために最低限必要な内部フラッシュ メモリの空き容量は、デフォルトで 3 MB です。

内部フラッシュ メモリに保存するログ ファイルによって、内部フラッシュ メモリの空き容量が、設定済みの最小値に満たなくなる場合には、FWSM は最も古いログ ファイルを削除して、新しいログ ファイルの保存後に最小の空き容量が確保されるようにします。削除するファイルがない場合、または古いファイルをすべて削除しても空き容量が最小値に達しない場合は、FWSM は新しいログ ファイルを保存できません。

ログに使用できる内部フラッシュ メモリの容量を変更するには、次の作業を行います。


ステップ 1 次のコマンドを入力し、ログ ファイルに使用できる内部フラッシュ メモリの最大容量を指定します。

hostname(config)# logging flash-maximum-allocation kbytes
 

ここで、 kbytes は、ログ ファイルの保存に使用できる内部フラッシュ メモリの最大容量(単位:キロバイト)を表します。

次の例では、ログ ファイルに使用できる内部フラッシュ メモリの最大容量を約 1.2 MB に設定します。

hostname(config)# logging flash-maximum-allocation 1200
 

ステップ 2 次のコマンドを入力し、FWSM がログ ファイルを保存するために最低限必要な内部フラッシュ メモリの空き容量を指定します。

hostname(config)# logging flash-minimum-free kbytes

 

ここで、 kbytes は、FWSM が新しいログ ファイルを保存するために最低限必要な内部フラッシュ メモリの空き容量(単位:キロバイト)を表します。

次の例では、FWSM が新しいログ ファイルを保存するために最低限必要な内部フラッシュ メモリの空き容量を 4000 KB に設定します。

hostname(config)# logging flash-minimum-free 4000
 


 

システム ログ メッセージの概要

ここでは、FWSM で生成されるシステム ログ メッセージの内容について説明します。内容は次のとおりです。

「システム ログ メッセージのフォーマット」

「重大度」

「システム ログ メッセージで使用される変数」

「ロギング コマンドの一覧」

システム ログ メッセージのフォーマット

システム ログ メッセージは、パーセント符号(%)で始まります。メッセージの形式は、次のとおりです。

%FWSM Level Message_number: Message_text
 

各フィールドの意味は次のとおりです。

 

FWSM

FWSM が生成したメッセージのシステム ログ メッセージ ファシリティ コードを表します。この値は常に FWSM です。

Level

1~7。システム ログ メッセージで記述される状態の重大度を表します。番号が小さいほど、重大度が高くなります。詳細については、 表1-3 を参照してください。

Message_number

システム ログ メッセージを一意に識別する 6 桁の番号

Message_text

状況を説明するテキスト ストリング。システム ログ メッセージのテキストには、IP アドレス、ポート番号、またはユーザ名が含まれていることがあります。 表1-4 に、変数フィールドと、各フィールドの情報タイプを示します。

重大度

表1-3 に、システム ログ メッセージの重大度を示します。

 

表1-3 システム ログ メッセージの重大度

レベル番号
レベル キーワード
説明

0

emergencies

システム使用不可

1

alert

ただちに対応が必要

2

critical

クリティカル条件

3

error

エラー条件

4

warning

警告条件

5

notification

正常だが注意を要する状態

6

informational

情報メッセージのみ

7

debugging

デバッグ時に限り表示

付録 A「重大度別のメッセージ」 に、重大度別のシステム ログ メッセージを記載しています。


) FWSM では、重大度 0(emergencies)のシステム ログ メッセージは生成されません。logging コマンドには、UNIX のシステム ログ機能との互換性を確保するためにレベル 0 が用意されていますが、FWSM ではこのレベルを使用しません。


システム ログ メッセージで使用される変数

システム ログ メッセージには変数が含まれる場合が多くあります。 表1-4 に、このマニュアルでシステム ログ メッセージの説明に使用されている主な変数を示します。1 種類のシステム ログ メッセージでしか使用されない変数は省略しています。

 

表1-4 システム ログ メッセージ内の可変フィールド

変数
情報タイプ

acl_ID

ACL(アクセス制御リスト)名

bytes

バイト数

code

システム ログ メッセージに応じてエラーの原因または送信元を表す 10 進数

command

コマンド名

command_modifier

command_modifier は、次のいずれかのストリングです。

cmd(このストリングは、コマンドに修飾子がないことを意味します)

clear

no

show

connections

接続数

connection_type

接続タイプ

SIGNALLING UDP

SIGNALLING TCP

SUBSCRIBE UDP

SUBSCRIBE TCP

Via UDP

Route

RTP

RTCP

dec

10 進数

dest_address

パケットの宛先アドレス

dest_port

宛先ポート番号

device

メモリのストレージ装置。たとえば、フロッピー ディスク、内部フラッシュ メモリ、TFTP、フェールオーバー スタンバイ装置、コンソール端末など。

econns

初期接続の数

elimit

static または nat コマンドで指定される初期接続の数

filename

FWSM のイメージ、ASDM ファイル、またはコンフィギュレーションのタイプ別ファイル名

ftp-server

外部 FTP サーバの名前または IP アドレス

gateway_address

ネットワーク ゲートウェイ IP アドレス

global_address

グローバル IP アドレス、セキュリティ レベルの低いインターフェイスのアドレス

global_port

グローバル ポート番号

hex

16 進数

inside_address

内部(ローカル)IP アドレス、セキュリティ レベルの高いインターフェイスのアドレス

inside_port

内部ポート番号

interface_name

インターフェイス名

IP_address

IP アドレス、 n . n . n . n 形式( n は 1 ~ 255 の整数)

MAC_address

MAC アドレス

mapped_address

変換後の IP アドレス

mapped_port

変換後のポート番号

message_class

FWSM の機能分野に対応するシステム ログ メッセージのカテゴリ

message_list

システム ログ メッセージの ID 番号、クラス、または重大度のリストを含む、ユーザ側で作成するファイルの名前

message_number

システム ログ メッセージ ID

nconns

スタティック テーブルまたは xlate(変換)テーブルで許可される接続数

netmask

サブネット マスク

number

数値。形式はシステム ログ メッセージによって異なります。

octal

8 進数

outside_address

外部 IP アドレス、通常は外部ルータの外側にあるネットワークのセキュリティ レベルの低いインターフェイス上の Syslog サーバのアドレス

outside_port

外部ポート番号

port

TCP または UDP ポート番号

privilege_level

ユーザ権限レベル

protocol

パケットのプロトコル(ICMP、TCP、UDP など)

real_address

Network Address Translation(NAT; ネットワーク アドレス変換)前の実 IP アドレス

real_port

NAT 前の実ポート番号

reason

システム ログ メッセージの理由を説明するテキスト ストリング

service

パケットが指定するサービス(SNMP、Telnet など)

severity_level

システム ログ メッセージの重大度

source_address

パケットの送信元アドレス

source_port

送信元ポート番号

string

テキスト ストリング(ユーザ名など)

tcp_flags

TCP ヘッダー内のフラグ

ACK

FIN

PSH

RST

SYN

URG

time

経過時間、形式は hh : mm : ss

url

URL

user

ユーザ名

ロギング コマンドの一覧

ここでは、システム ログの設定およびモニタ用に FWSM 上で使用できるロギング コマンドの一覧と、各コマンドの簡単な説明を示します。コマンドに関する詳しい説明は、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』を参照してください。

表1-5 に、FWSM 上でシステム ログの設定およびモニタに使用できるコマンドを示します。

 

表1-5 ロギング コマンドの一覧

コマンド
説明

clear configure logging

ログの設定値をデフォルト値に戻します。

clear logging asdm

ASDM ログ バッファからすべてのシステム ログ メッセージを削除します。

clear logging buffer

システム ログ バッファからすべてのシステム ログ メッセージを削除します。

clear running-config logging rate-limit

ロギングのレート リミットをデフォルトに戻します。

logging asdm

一部または全部のシステム ログ メッセージを ASDM に送信するように FWSM を設定します。

logging asdm-buffer-size

ASDM に送信する前のメッセージを格納するバッファのサイズを設定します。

logging buffered

一部または全部のシステム ログ メッセージをシステム ログ バッファに保存するように FWSM を設定します。

logging buffer-size

システム メッセージを格納するバッファのサイズを設定します。

logging class

特定のメッセージ クラスの全メッセージを、特定の出力先に送信するように指定します。

logging console

FWSM コンソール セッション中にシステム ログ メッセージが表示されるようにします。

logging debug trace

システム ログへのデバッグ メッセージの保存をイネーブルにします。

logging device-id

EMBLEM 以外のフォーマットのシステム ログ メッセージにデバイス ID を含めるように FWSM を設定します。

logging emblem

Syslog サーバ以外の出力先に送信するシステム ログ メッセージに、EMBLEM フォーマットを使用するように FWSM を設定します。

logging enable

すべての設定済みの出力先へのログをイネーブルにします。

logging facility

システム メッセージ サーバに送信するメッセージに使用するロギング ファシリティを指定します。

logging flash-bufferwrap

バッファがラップする(つまり、バッファが満杯になる)たびにログ バッファの内容を内部フラッシュ メモリに書き込むように、FWSM を設定します。

logging flash-maximum-allocation

FWSM がログ データを保存する内部フラッシュ メモリの最大容量を指定します。

logging flash-minimum-free

FWSM が新しいログ ファイルを保存するときに最低限必要な内部フラッシュ メモリの空き容量を指定します。

logging from-address

FWSM が E メールで送信するシステム ログ メッセージの送信元 E メール アドレスを指定します。

logging ftp-bufferwrap

バッファがラップする(つまり、バッファが満杯になる)たびにログ バッファの内容を FTP サーバに書き込むように、FWSM を設定します。

logging ftp-server

logging ftp-bufferwrap がイネーブルの場合に、FWSM がログ バッファのデータを送信する FTP サーバに関する詳細情報を指定します。

logging history

SNMP ロギングをイネーブルにし、SNMP サーバに送信するメッセージを指定します。

logging host

ログの出力先として Syslog サーバを定義します。

logging list

特定の出力先に送信するメッセージのフィルタリングに使用する、メッセージ選択基準のリストを作成または編集します。

logging mail

ログ メッセージを E メールで送信できるように FWSM を設定し、E メールで送信するメッセージを指定します。

logging message

システム ログ メッセージの重大度を抑制または変更できるようにします。

logging monitor

システム ログ メッセージを SSH および Telnet セッションで表示できるように FWSM を設定します。

logging permit-hostdown

正常に動作していない TCP ベースの Syslog サーバに関する新しいネットワーク アクセス セッションを、FWSM が許可するか、それとも拒否するかを指定します。

logging queue

設定された出力先にシステム ログ メッセージを送信する前に、FWSM がシステム ログ キューに格納できるメッセージ数を指定します。

logging rate limit

システム メッセージを生成するレートを制限します。

logging recipient-address

FWSM が E メールで送信するシステム ログ メッセージの受信側の E メール アドレスを指定します。

logging savelog

ログ バッファの現在の内容を内部フラッシュ メモリに保存します。

logging standby

フェールオーバーのスタンバイ FWSM が、この FWSM のシステム ログ メッセージをログ出力先に送信できるようにします。

logging timestamp

システム ログ メッセージに、メッセージが生成された日付と時刻が含まれるようにします。

logging trap

FWSM が Syslog サーバに送信するシステム ログ メッセージを指定します。

remote access threshold

FWSM がトラップを送信する、アクティブなリモート アクセス セッション数を指定します。

show logging

現在のログ設定と、システム ログ内部バッファの現在の内容を表示します。

show running-config logging

現在実行中のすべてのログ設定を表示します。

show running config logging rate-limit

システム メッセージの生成に関するレート制限を表示します。