ログは、AsyncOS の電子メール動作に関する重要な情報を収集する、簡潔で効率的な方法です。これらのログには、電子メールゲートウェイでのアクティビティに関する情報が記録されます。情報は、バウンス ログや配信ログなど、表示するログによって異なります。

ほとんどのログは、プレーン テキスト（ASCII）形式で記録されますが、配信ログはリソースの効率性を保つためにバイナリ形式で記録されます。ASCII テキスト情報は、任意のテキスト エディタで読むことができます。

シスコは、複数の電子メールゲートウェイからのログに対応する集中化レポーティングおよびトラッキングツールとして、M シリーズ Cisco Secure Manager Email and Web Gateway を提供しています。詳細については、シスコの担当者にお問い合わせください。

ログ サブスクリプションはログ タイプを名前、ログ レベル、およびサイズや宛先情報などのその他の制約に関連付けます。同じログ タイプで複数のサブスクリプションを使用できます。

ログ タイプは、メッセージ データ、システム統計情報、バイナリまたはテキスト データなど、生成されたログにどの情報が記録されるかを示します。ログ タイプは、ログ サブスクリプションを作成するときに選択します。詳細については、ログ サブスクリプションを参照してください。

AsyncOS では、次のログ タイプが生成されます。

ログ ファイルは、次のいずれかのファイル転送プロトコルに基づいて取得できます。プロトコルは、グラフィカル ユーザ インターフェイスでサブスクリプションを作成または編集するときに設定するか、ログ サブスクリプションのプロセス中に logconfig コマンドを使用して設定します。

（注）	特定のログで「ログ プッシュ」の方法を使用している場合、そのログは CLI を使用してトラブルシューティングまたは検索目的でローカルで使用することはできません。

次のログ ファイルには、ログ自体の開始日と終了日、AsyncOS のバージョン、および GMT オフセット（秒単位でログの始まりにのみ表示）が含まれます。

• アンチウイルス ログ
• LDAP ログ
• システム ログ
• メール ログ

これらのログには、電子メールの受信、電子メールの配信、およびバウンスの詳細が記録されます。これらのログは、特定のメッセージの配信を理解し、システム パフォーマンスを分析するうえで有益な情報源となります。

これらのログに、特別な設定は必要ありません。ただし、添付ファイル名を表示するには、適切なシステムの設定が必要です。添付ファイル名は、常に記録されるわけではありません。詳細については、メッセージ トラッキングの有効化およびメッセージ トラッキングの概要を参照してください。

次の表に、テキスト メール ログに表示される情報を示します。

配信ログには、AsyncOS の電子メール配信動作に関する重要な情報が記録されます。ログ メッセージは「ステートレス」です。つまり、関連するすべての情報が各ログ メッセージに記録されるので、ユーザは、現在の配信試行に関する情報について前のログ メッセージを参照する必要がありません。

配信ログには、受信者ごとの電子メール配信動作に関連するすべての情報が記録されます。すべての情報は、論理的にレイアウトされ、シスコが提供するユーティリティを使用して変換した後は、人による読み取りが可能になります。変換ツールは、次の場所にあります。 https://supportforums.cisco.com/document/33721/cisco-ironport-systems-contributed-tools

配信ログは、リソースの効率性を保つためにバイナリ形式で記録されて転送されます。次の表に、配信ログに記録される情報を示します。

配信ステータスが bounce であった場合は、次の追加情報が配信ログに表示されます。

ログヘッダーを設定している場合（メッセージ ヘッダーのロギングを参照）、ヘッダー情報は配信情報の後に表示されます。

バウンス ログには、バウンスされた各受信者に関するすべての情報が記録されます。次の表に、バウンス ログに記録される情報を示します。

また、ログに記録するメッセージ サイズを指定しているか、ログヘッダーを設定している（メッセージ ヘッダーのロギングを参照）場合、メッセージおよびヘッダー情報はバウンス情報の後に表示されます。

ステータス ログには、status、status detail、および dnsstatus などの CLI ステータス コマンドで検出されたシステム統計情報が記録されます。記録期間は、logconfig の setup サブコマンドを使用して設定します。ステータス ログでレポートされるカウンタまたはレートは、前回カウンタがリセットされた時点からの値です。

ドメインデバッグログには、電子メールゲートウェイと指定の受信者ホスト間の SMTP 会話でのクライアントとサーバの通信が記録されます。このログ タイプは主に、特定の受信者ホストに関する問題のデバッグに使用されます。

インジェクション デバッグ ログには、電子メールゲートウェイと、システムに接続している指定のホスト間の SMTP 会話が記録されます。インジェクション デバッグ ログは、インターネットから接続を開始するクライアントと電子メールゲートウェイ間の通信に関する問題をトラブルシューティングするのに役立ちます。このログでは、2 つのシステム間で伝送されたすべてのバイトが記録され、接続ホストに「送信」または接続ホストから「受信」に分類されます。

記録するホストの会話を指定するには、IP アドレス、IP 範囲、ホスト名、または部分ホスト名を指定する必要があります。IP 範囲内で接続している IP アドレスがすべて記録されます。部分ドメイン内のホストがすべて記録されます。システムは、接続している IP アドレスに対してリバース DNS ルックアップを実行して、ホスト名に変換します。DNS に対応する PTR レコードがない IP アドレスは、ホスト名に一致しません。

記録するセッション数も指定する必要があります。

インジェクション デバッグ ログ内の各行には、次の表に示す情報が含まれます。

スキャンログには、電子メールゲートウェイのスキャンエンジンのすべての LOG および COMMON メッセージが含まれています。使用可能な COMMON および LOG アラート メッセージのリストについては、「システム管理」の章の「アラート」を参照してください。

AMP エンジン ログには、次の詳細が含まれます。

• ファイル レピュテーション サーバに送信されたファイル レピュテーション クエリーと、ファイル レピュテーション サーバから受信された応答。
• ファイル分析（ファイル分析サーバにファイルがアップロードされている場合）。ファイル分析の状態は、ファイル分析サーバから応答が受信されるまで定期的に記録されます。

次の表に、セーフリスト/ブロックリスト ログに記録される統計情報を示します。

次の表は、レポート ログに記録された統計情報を示しています。

次の表に、レポーティング クエリー ログに記録される統計情報を示します。

トラッキング ログには、AsyncOS の電子メール動作に関する情報が記録されます。ログ メッセージは、メール ログに記録されたメッセージのサブセットです。

トラッキングログは、メッセージ トラッキング データベースを作成するため、電子メールゲートウェイのメッセージ トラッキング コンポーネントで使用されます。ログ ファイルはデータベースの作成プロセスで消費されるので、トラッキング ログは一過性のものになります。トラッキング ログの情報は、人による読み取りや解析を目的とした設計になっていません。

Cisco Secure Manager Email and Web Gateway を使用することで、複数の電子メールゲートウェイからのトラッキング情報の表示もできます。

認証ログには、成功したユーザ ログインと失敗したログイン試行が記録されます。

コンフィギュレーション履歴ログは、ユーザの名前、ユーザが変更を行った設定の場所の説明、および変更を保存するときにユーザが入力したコメントがリストされた追加のセクションを持つコンフィギュレーション ファイルで構成されます。ユーザが変更を保存するたびに、変更後のコンフィギュレーション ファイルを含む新しいログが作成されます。

ETF ログには、ETF エンジン、ステータス、設定などに関する情報が含まれます。ほとんどの情報は [情報（Info）] または [デバッグ（Debug）] レベルです。

ログ タイプを統合イベント ログとしてログ サブスクリプションを設定する場合、ログ出力の 1 行に特定のメッセージ属性を含めるには、[ログフィールド（Log Fields）] オプションを使用します。

ログタイプが統合イベントログのログサブスクリプションを設定すると、次のログフィールドがデフォルトで選択されます。

• ICID

• DCID

• シリアル番号

• MID

（注）	[選択されたログフィールド（Selected Log Fields）] リストからはデフォルトのログフィールドを削除できません。

統合イベント ログの例

この例のログには、ログ タイプが統合イベント ログのログ サブスクリプションを設定するときに選択された使用可能なすべてのフィールドが表示されます。

Thu Jun 30 08:04:50 2022: CEF:0|Cisco|C100V Email Security Virtual Appliance|14.0.0-657
|ESA_CONSOLIDATED_LOG_EVENT|Consolidated Log Event|5|deviceExternalId=42127C7DDEE76852677B-F80CE8074CD3
ESACustomLogs={'label2': ['value20'], 'label1': ['value1', 'value2']} 
ESALogHeaders={'reply-to': ['test@esa.com ', 'newsletter@esa.com'], 'from': ['any@esa.com']}
ESAMID=1053 ESAICID=134 ESAAMPVerdict=UNKNOWN ESAASVerdict=NEGATIVE ESAAVVerdict=NEGATIVE 
ESACFVerdict=MATCH end=Thu Mar 18 08:04:46 2021 ESADLPVerdict=NOT_EVALUATED 
dvc=10.10.193.13 ESAAttachmentDetails={'test.txt': {'AMP': {'Verdict': 'FILE UNKNOWN', 
'fileHash': '7f843d263304fb0516d6210e9de4fa7f01f2f623074aab6e3ee7051f7b785cfa'}, 'BodyScanner':
{'fsize': 10059}}} ESAFriendlyFrom=test@esa.com ESAGMVerdict=NEGATIVE start=Thu Mar 18 08:04:29 2021 
deviceInboundInterface=Incomingmail deviceDirection=0 ESAMailFlowPolicy=ACCEPT suser=test@esa.com 
cs1Label=MailPolicy cs1=DEFAULT ESAMFVerdict=NOT_EVALUATED act=QUARANTINED ESAFinalActionDetails=To POLICY 
cs4Label=ExternalMsgID cs4='<20210318070601.40490.18684@mail1.example.com>' ESAMsgSize=11873 ESAOFVerdict=POSITIVE 
duser=9076@testing.com ESAHeloIP=10.11.1.2 cfp1Label=SBRSScore cfp1=None ESASDRDomainAge=27 years 2 months 15 days
cs3Label=SDRThreatCategory cs3=N/A cs6Label=SDRRepScore cs6=Weak ESASPFVerdict={'mailfrom': {'result': 'None', 
'sender': 'test@esa.com'}, 'helo': {'result': 'None', 'sender': 'postmaster'}, 'pra': {'result': 'None', 'sender':
'test@esa.com'}}shost=unknown ESASenderGroup=UNKNOWNLIST src=10.11.1.2 msg='Testing'

（注）	AsyncOS 15.5 リリース以降では、DLP 判定の [DLPの詳細（DLP Details）] ログフィールドを確認できます。

この例では、DLP の詳細でログサブスクリプションを設定した場合に使用可能なすべてのフィールドがログに表示されます。

Tue Nov 21 13:51:13 2023: CEF:0|Cisco|C100V Secure Email Gateway Virtual|15.2.0-334|
ESA_CONSOLIDATED_LOG_EVENT|Consolidated Log Event|5|deviceExternalId=4215DA06E2F3F6D98116-2AADF0566888 ESAMID=2 ESAICID=2 
ESAAMPVerdict=NOT_EVALUATED ESAASVerdict=NOT_EVALUATED ESAAVVerdict=NOT_EVALUATED ESACFVerdict=NOT_EVALUATED end=Tue Nov 21 13:51:09 2023 
ESADLPVerdict=VIOLATION dvc=10.10.11.115 ESAAttachmentDetails={'dlp-ssn.txt': {'BodyScanner': {}}} ESAFriendlyFrom=Tvh759350c@vm09centos0118.cs21 
ESAGMVerdict=NOT_EVALUATED start=Tue Nov 21 13:51:09 2023 deviceOutboundInterface=outbound deviceDirection=1 ESAMailFlowPolicy=RELAY 
suser=Tvh759350c@vm09centos0118.cs21 cs1Label=MailPolicy cs1=DEFAULT cs2Label=SenderCountry cs2=not enabled ESAMFVerdict=NOT_EVALUATED 
act=DELIVERED cs4Label=ExternalMsgID cs4='<20231121082130.88757.94440@localhost>' ESAMsgSize=815 ESAOFVerdict=NOT_EVALUATED 
duser=senthrad@abc.com ESAHeloIP=10.10.4.16 cfp1Label=SBRSScore cfp1=not enabled shost=unknown src=10.10.4.16 msg='te@@st' 
ESADLPDetails={'DLPSeverity': 'MEDIUM', 'DLPScore': '46', 'DLPPolicy': "'Social Security Numbers (US)'"}

（注）	選択されたログフィールドに値がない場合（たとえば、DKIM が電子メールゲートウェイで有効になっていないときの「DKIMVerdict」）、そのログフィールドはログメッセージに含まれません。

CSN ログには、CSN データのアップロードに関する詳細が記録されます。CSN データ（電子メールゲートウェイおよび機能の使用状況の詳細）は、トレースレベルで確認できます。

CSN データログエントリの例：

• この例では、電子メールゲートウェイのスマートライセンスが Cisco Smart Software Manager（CSSM）に登録されていないため、CSN データがシスコに送信されなかったことが、ログに示されています。

  Tue Apr 7 12:52:47 2020 Warning: Device is not 
  registered with CSSM. Skipping upload of CSN data

  解決策：Cisco Smart Software Manager（CSSM）に電子メールゲートウェイのスマートライセンスを登録します。

• この例では、security services exchange の接続エラーが原因で、電子メールゲートウェイはCSN データをシスコに送信できなかったことがログに示されています。

  Thu Apr 9 13:32:46 2020 Warning: The appliance
  failed to upload CSN data. reason for failure: 
  SSE error: HTTP Error 503: Service Unavailable

  解決策：電子メールゲートウェイで CSN を無効にしてから、もう一度有効にします。

Advanced Phishing Protection のログには、Cisco Advanced Phishing Protection クラウドサービスに関連する情報が記録されます。ほとんどの情報は [情報（Info）] または [クリティカル（Critical）] レベルです。

Advanced Phishing Protection のデータログのエント例：

• この例では、サービスが期限切れになったため、電子メールゲートウェイが Cisco Advanced Phishing Protection クラウドサービスにメッセージヘッダーを転送できなかったことが、ログに示されています。

  Wed May 6 18:21:40 2020 Info: eaas : You cannot
  forward the MID [877] Message Headers to Cisco Advanced 
  Phishing Protection Cloud Service as the service has 
  expired

• この例では、Cisco Advanced Phishing Protection クラウドサービスが期限切れになり、電子メールゲートウェイで無効になっていることが、ログに示されています。

  Wed May 6 18:21:40 2020 Info: eaas : Cisco 
  Advanced Phishing Protection Cloud Service has expired
  and is disabled. Contact your Cisco Account manager to
  renew the service and then enable it.

  解決策：シスコアカウントマネージャに連絡して、サービスを更新してから有効にします。

• この例では、Cisco Advanced Phishing Protection クラウドサービスが特定の日付に期限切れになることが、ログで示されています。

  Fri May 8 04:50:26 2020 Info: eaas : Cisco 
  Advanced Phishing Protection Cloud Service expires on 
  2020-05-10 07:00:00. You need to contact your Cisco Account 
  manager to renew the service.

  解決策：シスコアカウントマネージャに連絡して、サービスを更新します。

監査ログで認証、許可、アカウンティングのイベント（AAA：Authentication、Authorization、および Accounting）を記録します。ほとんどの情報は、デバッグレベルまたはトレースレベルです。

監査ログエントリの例：

• この例では、ユーザ（admin など）が次の場合にログが表示されます。

  • 電子メールゲートウェイの Web インターフェイスにログインする必要があります。

  • 電子メールゲートウェイの Web インターフェイスからログアウトしました。

  Tue Aug 25 12:33:17 2020 Info: Appliance: mail1.example.com, 
  Interaction Mode: GUI, User: admin, Source IP: 192.168.1.1, Destination IP: 192.168.2.2, 
  Event: Successful login
  Tue Aug 25 12:33:17 2020 Info: Appliance: mail1.example.com, 
  Interaction Mode: GUI, User: admin, Source IP: 192.168.1.1, Event: Session established successfully
  Tue Aug 25 12:33:58 2020 Info: Appliance: mail1.example.com, 
  Interaction Mode: GUI, User: admin, Source IP: 192.168.1.1, Event: User logged out
  Tue Aug 25 12:33:58 2020 Info: Appliance: mail1.example.com, 
  Interaction Mode: GUI, User: admin, Source IP: 192.168.1.1, Event: Session terminated

• この例では、ユーザー（admin）が logconfig CLI コマンドを入力したことがログに示されています。

  Thu Oct  8 13:33:38 2020 Info: Appliance: mail1.example.com, Interaction Mode: CLI, User: admin, 
  Source IP: 192.168.1.1, Event: User input was 'logconfig'
  Thu Oct  8 13:33:46 2020 Info: Appliance: mail1.example.com, Interaction Mode: CLI, User: admin, 
  Source IP: 192.168.1.1, Event: User input was 'Enter'

• この例では、ユーザー（admin）が電子メールゲートウェイのレガシー Web インターフェイスで GUI ページを表示したことがログに示されています。

  Thu Oct  8 13:35:07 2020 Info: Appliance: mail1.example.com, Interaction Mode: GUI, User: admin, 
  Source IP: 192.168.1.1, Location: /network/dns, Event: User visited the web page.
  Thu Oct  8 13:35:13 2020 Info: Appliance: mail1.example.com, Interaction Mode: GUI, User: admin, 
  Source IP: 192.168.1.1, Location: /system_administration/sslconfig, Event: User visited the web page.
  Thu Oct  8 13:35:24 2020 Info: Appliance: mail1.example.com, Interaction Mode: GUI, User: admin, 
  Source IP: 192.168.1.1, Location: /monitor/mail_reports/threatfeeds_report, Event: User visited the web page.
  

• この例では、新しいユーザ（admin）が Web インターフェイスを使用して電子メールゲートウェイに追加されても、変更はコミットされていないことがログに示されています。

  Thu Oct  8 13:36:30 2020 Info: Appliance: mail1.example.com, Interaction Mode: GUI, User: admin, 
  Source IP: 192.168.1.1, Location: /system_administration/access/users, Event: Added user "admin" and changes 
  will reflect after commit.
  Thu Oct  8 13:37:22 2020 Info: Appliance: mail1.example.com, Interaction Mode: GUI, User: admin, 
  Source IP: 192.168.1.1, Location: /system_administration/access/users, Event: Deleted user "admin" and changes 
  will reflect after commit.
  

• この例では、電子メールゲートウェイの Web インターフェイスでコミットされなかったすべての変更がユーザ（admin）によって破棄されたことがログに示されています。

  Thu Oct  8 13:39:44 2020 Info: Appliance: mail1.example.com, Interaction Mode: GUI, User: admin, 
  Source IP: 192.168.1.1, Location: /commit, Event: User discarded all uncommitted changes.
  

• この例では、ユーザ（adminなど）がCLIを介してコミットされなかったすべての変更を破棄したことがログに示されています。

  Thu Oct  8 13:41:38 2020 Info: Appliance: mail1.example.com, Interaction Mode: CLI, User: admin, 
  Source IP: 192.168.1.1, Event: User discarded all uncommitted changes.
  

• この例では、ユーザ（adminなど）がWeb UIセッションタイムアウトの設定を変更したことがログに示されています。

  （注）	電子メールゲートウェイで行われた設定変更の詳細を表示するには、設定履歴ログを表示するか、監査ログのデバッグモードを有効にします。

  Thu Oct  8 13:45:46 2020 Info: Appliance: mail1.example.com, User: admin, 
  Event: The following configuration changes were commited with comment - 'N/A'
  Thu Oct  8 13:45:46 2020 Info: * [standalone] Number of seconds before the Web UI session times out.
  

• この例では、認証に失敗したため、AsyncOS API がログサブスクリプションを取得できなかったことがログに示されています。

  Thu Oct  8 13:52:28 2020 Debug: 08/Oct/2020 13:52:28 +0000 Error - Code: 401, 
  Details: Unauthorized (No permission -- see authorization schemes)
  Thu Oct  8 13:52:28 2020 Info: Appliance: mail1.example.com, Interaction Mode: API, 
  User: admin, Role: Role Not Available, Source IP: 192.168.1.1, Destination IP: 192.168.2.2, 
  Location: GET /esa/api/v2.0/config/logs/subscriptions/ HTTP/1.0, Event: User is not valid.
  

• この例では、認証に成功したため、AsyncOS API がログサブスクリプションを取得できたことがログに示されています。

  Thu Oct  8 13:52:37 2020 Info: Appliance: mail1.example.com, Interaction Mode: API, 
  User: admin, Role: Administrator, Source IP: 192.168.1.1, Destination IP: 192.168.2.2, 
  Location: GET /esa/api/v2.0/config/logs/subscriptions/ HTTP/1.0, Event: API Access Success.
  

• この例では、ログに次の内容が表示されています。

  • CLI を使用して電子メールゲートウェイに新しいユーザ（admin）が追加されましたが、変更はコミットされませんでした。

  • 既存のユーザアカウントの詳細は、CLI を使用して電子メールゲートウェイで更新されましたが、変更はコミットされませんでした。

  Thu Oct  8 13:42:48 2020 Info: Appliance: mail1.example.com, Interaction Mode: CLI, 
  User: admin, Source IP: 192.168.1.1, Event: Added user "hops" and changes will reflect after commit
  Thu Oct  8 13:43:26 2020 Info: Appliance: mail1.example.com, Interaction Mode: CLI, User: admin, 
  Source IP: 192.168.1.1, Event: Updated user "hops" and changes will reflect after commit

• この例では、ユーザー（admin）が電子メールゲートウェイの新しい Web インターフェイスでメッセージトラッキング検索を実行したことがログに示されています。

  
  Mon Oct 12 04:04:47 2020 Info: Appliance: mail1.example.com, Interaction Mode: API, User: admin, 
  Role: Administrator, Source IP: 192.168.1.1, Destination IP: 192.168.2.2, 
  Location: GET /esa/api/v2.0/message-tracking/messages?startDate=2020-10-12T00:00:00.000Z
  &endDate=2020-10-12T04:13:00.000Z&ciscoHost=All_Hosts&searchOption=messages&offset=0&limit=100 HTTP/1.0,
  Event: API Access Success.

  （注）	電子メールゲートウェイの新しい Web インターフェイスで実行するアクション（トラッキング、レポート、隔離の検索など）は、これらのアクションに使用される対応する API に基づき、ログとして記録されます。

Cisco Secure Awareness クラウドサービスの情報はメールログに記録されます。ほとんどの情報は [情報（Info）] または [デバッグ（Debug）] レベルです。

Cisco Secure Awareness ログエントリの例：

• この例では、無効なトークンが原因で Cisco Secure Awareness クラウドサービスからのリピートクリッカーリストのダウンロードが失敗したことがログに示されています。

  Tue Oct 13 10:12:59 2020 Warning: CSA: 
  The download of the Repeat Clickers list from
  the Cisco Security Awareness cloud service failed because 
  of an invalid token.

  解決策：Cisco Secure Awareness クラウドサービスから有効な認証トークンを取得してください。

• この例では、接続エラーが原因で Cisco Secure Awareness クラウドサービスからのリピートクリッカーリストのダウンロードが失敗したことがログに示されています。

  Wed Oct 14 10:59:36 2020 Warning: CSA: 
  The download of the Repeat Clickers list from
  the Cisco Security Awareness cloud service failed because
  of a connection error.

  解決策：電子メールゲートウェイを Cisco Secure Awareness クラウドサービスに接続するために使用するファイアウォール設定を確認します。

• この例では、内部サーバエラーが原因で Cisco Secure Awareness クラウドサービスからのリピートクリッカーリストのダウンロードが失敗したことがログに示されています。

  Wed Oct 14 10:59:36 2020 Warning: CSA: 
  The download of the Repeat Clickers list from
  the Cisco Security Awareness cloud service failed because 
  of an internal server error.

  解決策：詳細については、シスコ テクニカル サポートにお問い合わせください。

• この例では、SSL 証明書の検証の失敗が原因で Cisco Secure Awareness クラウドサービスからのリピートクリッカーリストのダウンロードが失敗したことがログに示されています。

  Wed Oct 14 11:02:46 2020 Warning: CSA:
   The download of the Repeat Clickers list from
  the Cisco Security Awareness cloud service failed because
  the SSL certificate verification failed.

  解決策：必要なプロキシサーバの CA 証明書を電子メールゲートウェイのカスタム認証局リストに追加します。

• この例では、プロキシ認証の失敗が原因で Cisco Secure Awareness クラウドサービスからのリピートクリッカーリストのダウンロードが失敗したことがログに示されています。

  Wed Oct 14 11:09:48 2020 Warning: CSA: 
  The download of the Repeat Clickers list from
  the Cisco Security Awareness cloud service failed 
  because the proxy authentication failed.

  解決策：電子メールゲートウェイでプロキシサーバが正しい認証ログイン情報を使用して設定されているかどうかを確認します。

• この例では、Cisco Secure Awareness クラウドサービスでレポート API が有効になっていなかったことが原因で、Cisco Secure Awareness クラウドサービスへの要求が失敗したことがログに示されています。

  Mon Aug 17 15:35:42 2020 Warning: CSA: 
  The download of the Repeat Clickers list failed.
  A request to the CSA cloud service failed because
  the Report API was not enabled on the CSA cloud service

  解決策：Cisco Secure Awareness クラウドサービスの [環境（Environment）] > [設定（Settings）] > [レポートAPI（Report API）] タブで [レポートAPIを有効にする（Enable Report API）] チェックボックスをオンにします。

• この例では、Cisco Secure Awareness 機能が特定の日付で期限切れになることがログに示されています。

  2020-10-15 08:00:11,968 INFO csa The Cisco Security
  Awareness feature expires on 2029-12-28T23:59:59Z. You need to
  contact your Cisco Account Manager to renew the license.

  解決策：シスコアカウントマネージャに連絡して、ライセンスを更新します。

• この例では、Cisco Secure Awareness 機能のライセンスの有効期限が切れており、電子メールゲートウェイでこの機能が無効になっていることがログに示されています。

  2020-10-27 13:33:21,714 CRITICAL csa The Cisco Security 
  Awareness feature license has expired, and the feature is 
  disabled on your email gateway. Contact your Cisco Account Manager 
  to renew the license.

  解決策：シスコアカウントマネージャに連絡して、ライセンスを更新します。

• この例では、ダウンロードされたリピートクリッカーリストが空であることがログに示されています。

  Tue Oct 13 10:10:18 2020 Info: CSA: The downloaded 
  Repeat Clickers list is empty.

  解決策：Cisco Secure Awareness クラウドサービスでシミュレートされたフィッシングメッセージを作成し、組織内の受信者に送信します。

• この例では、ダウンロード試行の最大数に達したため、Cisco Secure Awareness クラウドサービスからのリピートクリッカーリストのダウンロードが失敗したことがログに示されています。

  Fri Oct 16 05:22:08 2020 Warning: CSA: The download 
  of the Repeat Clickers list from the Cisco Security Awareness
  cloud service failed because you have reached the maximum
  number of attempts.

  解決策：Cisco Secure Awareness クラウドサービスからリピートクリッカーリストをダウンロードする試行回数を増やすには、シスコサポートに連絡してください。

修復ログには、AMP レトロスペクティブ脅威判定および URL レトロスペクティブ判定に基づいた、修復ステータス、実行されたアクション、エラーなどに関連する情報が含まれています。

修復ログエントリの例：

• この例では、メッセージがメールボックスで見つからなかったため、メールゲートウェイが URL レトロスペクティブ判定に基づいてメールボックスからのメッセージを修復できなかったことがログに示されています。

  MID: 35 No messages in recipient's secondcloud@mar-esa.com 
  mailbox matched the criteria for which remediation was initiated due to 
  URL retrospection.

  解決策：

• • メッセージが配信され、ユーザーのメールボックスに存在するかどうかを確認します。

  • 電子メールゲートウェイと Exchange Online サービスの接続をテストします。アカウント プロファイルの作成 を参照してください。

  • 「電子メールゲートウェイと Exchange Online サービスおよび Exchange オンプレミスサービス間の接続の問題が検出されました。（Connectivity Issues Between Appliance and Exchange online and Exchange on-premise Services Detected.）」というアラートを受信しているかどうかを確認します。アラート を参照してください。

Email Cloud Scanner ログには、URL レトロスペクティブポーリングおよび URL 修復サービスに関する情報が含まれています。ほとんどの情報は [情報（Info）] または [デバッグ（Debug）] レベルです。

Email Cloud Scanner のログエントリの例

• この例では、ログは、無効なトークンが原因でクラウドクエリが失敗したことを示しています。

  Fri Feb 11 10:51:51 2022 Warning: ECS: Cloud query failed. 
  'Invalid token.'

  解決策：詳細については、シスコ テクニカル サポートにお問い合わせください。

• この例では、登録が完了しなかったためにクラウドクエリが失敗したことがログに示されています。

  Fri Feb 11 12:11:11 2022 Warning: ECS: Cloud query failed. 
  'Registration not complete.'

  解決策：詳細については、シスコ テクニカル サポートにお問い合わせください。

• この例では、ログは、不正なリクエストが原因でクラウドクエリが失敗したことを示しています。

  Fri Feb 11 10:56:05 2022 Warning: ECS: Cloud query failed. 
  'Received bad request with error: {\n  "message": "Bad Request"\n}'

  解決策：詳細については、シスコ テクニカル サポートにお問い合わせください。

電子メールゲートウェイでは、既存のログサブスクリプションを削除しないようにすることを推奨します。

[システム管理（System Administration）] の [ログサブスクリプション（Log Subscriptions）] ページ（または CLI の logconfig コマンド）を使用して、ログ サブスクリプションを設定します。ログ サブスクリプションによって、エラーを含む AsyncOS アクティビティの情報を保存するログ ファイルが作成されます。ログ サブスクリプションは、取得されるか、または別のコンピュータに配信（プッシュ）されるかのどちらかです。一般に、ログ サブスクリプションには次の属性があります。

システムは、テキスト メール ログおよびステータス ログ内にシステムの測定を定期的に記録します。[システム管理（System Administration）] > [ログサブスクリプション（Log Subscriptions）] ページの [グローバル設定（Global Settings）] セクションにある [設定を編集（Edit Settings）] ボタン（または、CLI の logconfig -> setup コマンド）を使用して、次の情報を設定します。

• システムの測定頻度。これは、システムが測定を記録するまで待機する時間（秒単位）です。
• メッセージ ID ヘッダーを記録するかどうか。
• リモート応答ステータス コードを記録するかどうか。
• 元のメッセージのサブジェクト ヘッダーを記録するかどうか。
• メッセージごとにログに記録するヘッダーのリスト。

すべてのログには、次の 3 つのデータを任意で記録できます。

1. メッセージ ID

   このオプションを設定すると、可能な場合はすべてのメッセージのメッセージ ID ヘッダーがログに記録されます。このメッセージ ID は、受信したメッセージから取得される場合と、AsyncOS 自体で生成される場合があります。次に例を示します。

   
   Tue Apr 6 14:38:34 2004 Info: MID 1 Message-ID Message-ID-Content
   
   

2. リモート応答

   このオプションを設定すると、可能な場合はすべてのメッセージのリモート応答ステータス コードがログに記録されます。次に例を示します。

   
   Tue Apr 6 14:38:34 2004 Info: MID 1 RID [0] Response 'queued as 9C8B425DA7'
   
   

   リモート応答文字列は、SMTP カンバセーション配信時の DATA コマンドへの応答後に受信される、人が読み取ることのできるテキストです。この例では、接続ホストが data コマンドを実行した後のリモート応答が、「queued as 9C8B425DA7」となります。

   [...]
   
   250 ok hostname
   
   250 Ok: queued as 9C8B425DA7
   
   

   文字列の先頭にある空白や句読点（および、250 応答の場合は OK 文字）は除去されます。文字列の末尾については、空白だけが除去されます。たとえば、 電子メールゲートウェイはデフォルトで、DATA コマンドに対して「250 Ok: Message MID accepted」という文字列で応答します。したがって、リモートホストが別の 電子メールゲートウェイである場合は、文字列「Message MID accepted」がログに記録されます。

3. オリジナルの件名

   このオプションをイネーブルにすると、各メッセージの元のサブジェクト ヘッダーがログに記録されます。

   Tue May 31 09:20:27 2005 Info: Start MID 2 ICID 2
   
   Tue May 31 09:20:27 2005 Info: MID 2 ICID 2 From: <mary@example.com>
   
   Tue May 31 09:20:27 2005 Info: MID 2 ICID 2 RID 0 To: <joe@example.com>
   
   Tue May 31 09:20:27 2005 Info: MID 2 Message-ID '<44e4n$2@example.com>'
   
   Tue May 31 09:20:27 2005 Info: MID 2 Subject 'Monthly Reports Due'
   
   

電子メールゲートウェイ上のログファイルが大きくなりすぎないようにするために、ログファイルがユーザ指定の最大ファイルサイズまたは時間間隔に達すると、AsyncOS は「ロールオーバー」を実行してログファイルをアーカイブし、着信するログデータ用の新しいファイルを作成します。ログサブスクリプション用に定義された取得方法に基づいて、古いログファイルは取得のために電子メールゲートウェイ上に保管されるか、または外部のコンピュータに配信されます。電子メールゲートウェイからログファイルを取得する方法の詳細については、ログ取得方法を参照してください。

AsyncOS は、ログ ファイルをロールオーバーするときに次のアクションを実行します。

• ロールオーバーのタイムスタンプと、saved（保存済み）を示す文字「s」拡張子を使用して、現在のログ ファイルの名前を変更します。
• 新しいログ ファイルを作成し、「current」の拡張子を使用して、そのファイルを最新として指定します。
• 新しく保存されたログ ファイルをリモート ホストに転送します（プッシュ ベースの取得方法を使用している場合）。
• 同じサブスクリプションから、以前に失敗したログ ファイルをすべて転送します（プッシュ ベースの取得方法を使用している場合）。

• 保存すべきファイルの総数を超えた場合は、ログ サブスクリプション内の最も古いファイルを削除します（ポーリング ベースの取得方法を使用している場合）。

  ログ サブスクリプションのロールオーバーの設定は、GUI の [システム管理（System Administration）] > [ログサブスクリプション（Log Subscriptions）] ページ、または CLI の logconfig コマンドを使用して、サブスクリプションを作成または編集するときに定義します。ログ ファイルのロールオーバーをトリガーするために使用できる 2 つの設定は次のとおりです。

• 最大ファイル サイズ。
• 時間間隔。

AsyncOS は、電子メールゲートウェイに設定されたログの最新エントリを表示する tail コマンドをサポートしています。tail コマンドを実行して現在設定されているログの番号を選択すると、そのログが表示されます。Ctrl+ C を押して、tail コマンドを終了します。

logconfig -> hostkeyconfig サブコマンドを使用して、電子メールゲートウェイから他のサーバにログをプッシュするときに、SSH で使用するホストキーを管理します。SSH サーバには、秘密キーと公開キーの 2 つのホスト キーが必要です。秘密ホスト キーは SSH サーバにあり、リモート マシンから読み取ることはできません。公開ホスト キーは、SSH サーバと対話する必要のある任意のクライアント マシンに配信されます。

（注）	ユーザ キーを管理するには、セキュア シェル（SSH）キーの管理を参照してください。

hostkeyconfig サブコマンドによって、次の機能が実行されます。

次の例では、AsyncOS によってホスト キーがスキャンされ、ホスト用に追加されます。

mail3.example.com> logconfig

Currently configured logs:

[ list of logs ]

Choose the operation you want to perform:

- NEW - Create a new log.

- EDIT - Modify a log subscription.

- DELETE - Remove a log subscription.

- SETUP - General settings.

- LOGHEADERS - Configure headers to log.

- HOSTKEYCONFIG - Configure SSH host keys.

[]> hostkeyconfig

Currently installed host keys:

1. mail3.example.com ssh-dss [ key displayed ]

Choose the operation you want to perform:

- NEW - Add a new key.

- EDIT - Modify a key.

- DELETE - Remove a key.

- SCAN - Automatically download a host key.

- PRINT - Display a key.

- HOST - Display system host keys.

- FINGERPRINT - Display system host key fingerprints.

- USER - Display system user keys.



[]> scan

Please enter the host or IP address to lookup.

[]> mail3.example.com

Choose the ssh protocol type:

1. SSH1:rsa

2. SSH2:rsa

3. SSH2:dsa

4. All

[4]>

SSH2:dsa

mail3.example.com ssh-dss

[ key displayed ]

SSH2:rsa

mail3.example.com ssh-rsa

[ key displayed ]

SSH1:rsa

mail3.example.com 1024 35

[ key displayed ]


Add the preceding host key(s) for mail3.example.com? [Y]>

Currently installed host keys:

1. mail3.example.com ssh-dss [ key displayed ]

2. mail3.example.com ssh-rsa [ key displayed ]

3. mail3.example.com 1024 35 [ key displayed ]

Choose the operation you want to perform:

- NEW - Add a new key.

- EDIT - Modify a key.

- DELETE - Remove a key.

- SCAN - Automatically download a host key.

- PRINT - Display a key.

- HOST - Display system host keys.

- FINGERPRINT - Display system host key fingerprints.

- USER - Display system user keys


[]>

Currently configured logs:

[ list of configured logs ]

Choose the operation you want to perform:

- NEW - Create a new log.

- EDIT - Modify a log subscription.

- DELETE - Remove a log subscription.

- SETUP - General settings.

- LOGHEADERS - Configure headers to log.

- HOSTKEYCONFIG - Configure SSH host keys.

[]>