概要
ログ ファイルおよびログ サブスクリプションについて
ログは、AsyncOS の電子メール動作に関する重要な情報を収集する、簡潔で効率的な方法です。これらのログには、 アプライアンスでのアクティビティに関する情報が記録されます。情報は、バウンス ログや配信ログなど、表示するログによって異なります。
ほとんどのログは、プレーン テキスト(ASCII)形式で記録されますが、配信ログはリソースの効率性を保つためにバイナリ形式で記録されます。ASCII テキスト情報は、任意のテキスト エディタで読むことができます。
シスコは、複数の E メール セキュリティ アプライアンスからのログに対応する集中化レポーティングおよびトラッキング ツールとして、M-Series コンテンツ セキュリティ管理アプライアンスを提供しています。詳細については、シスコの担当者にお問い合わせください。
ログ サブスクリプションはログ タイプを名前、ログ レベル、およびサイズや宛先情報などのその他の制約に関連付けます。同じログ タイプで複数のサブスクリプションを使用できます。
ログ タイプ
ログ タイプは、メッセージ データ、システム統計情報、バイナリまたはテキスト データなど、生成されたログにどの情報が記録されるかを示します。ログ タイプは、ログ サブスクリプションを作成するときに選択します。詳細については、ログ サブスクリプションを参照してください。
AsyncOS では、次のログ タイプが生成されます。
ログ |
説明 |
---|---|
テキスト メール ログ |
テキスト メール ログには、電子メール システムの動作に関する情報が記録されます。たとえば、メッセージの受信、メッセージの配信試行、接続のオープンとクローズ、バウンス、TLS 接続などです。 |
qmail 形式メール ログ |
qmail 形式配信ログには、次の配信ログと同じ電子メール システムの動作に関する情報が記録されますが、qmail 形式で格納されます。 |
配信ログ |
配信ログには、E メール セキュリティ アプライアンスの電子メール配信動作に関する重要な情報が記録されます。たとえば、配信試行時の各受信者の配信やバウンスに関する情報などです。ログ メッセージは「ステートレス」です。つまり、関連するすべての情報が各ログ メッセージに記録されるので、ユーザは、現在の配信試行に関する情報について前のログ メッセージを参照する必要がありません。配信ログは、リソースの効率性を保つためにバイナリ形式で記録されます。配信ログ ファイルは、提供されるユーティリティを使用して XML または CSV(カンマ区切り値)形式に変換し、後処理する必要があります。変換ツールは、次の場所にあります。 https://supportforums.cisco.com/document/33721/cisco-ironport-systems-contributed-tools |
バウンス ログ |
バウンス ログには、バウンスされた受信者の情報が記録されます。バウンスされた各受信者を記録する情報には、メッセージ ID、受信者 ID、エンベロープ送信元アドレス、エンベロープ宛先アドレス、受信者がバウンスされる理由、および受信者ホストからの応答コードが含まれます。また、バウンスされた各受信者メッセージの一定量を記録するように選択することもできます。この容量はバイト単位で定義され、デフォルトはゼロです。 |
ステータス ログ |
このログ ファイルには、status detail および dnsstatus などの CLI ステータス コマンドで検出されたシステムの統計情報が記録されます。記録期間は、logconfig の setup サブコマンドを使用して設定します。ステータス ログでレポートされるカウンタまたはレートは、前回カウンタがリセットされた時点からの値です。 |
ドメイン デバッグ ログ |
ドメイン デバッグ ログには、E メール セキュリティ アプライアンスと指定の受信者ホスト間の SMTP 会話でのクライアントとサーバの通信が記録されます。このログ タイプは、特定の受信者ホストに関する問題のデバッグに使用できます。ログ ファイルに記録する SMTP セッションの総数を指定する必要があります。セッションが記録されるにつれ、この数は減少していきます。ログ サブスクリプションを削除または編集して、すべてのセッションが記録される前にドメイン デバッグを停止できます。 |
インジェクション デバッグ ログ |
インジェクション デバッグ ログには、E メール セキュリティ アプライアンスと、システムに接続している指定のホスト間の SMTP 会話が記録されます。インジェクション デバッグ ログは、E メール セキュリティ アプライアンスとインターネット上のホスト間の通信に関する問題をトラブルシューティングするのに役立ちます。 |
システム ログ |
システム ログには、ブート情報、仮想アプライアンス ライセンスの期限切れアラート、DNS ステータス情報、および commit コマンドを使用してユーザが入力したコメントが記録されます。システム ログは、アプライアンスの基本的な状態のトラブルシューティングに役立ちます。 |
CLI 監査ログ |
CLI 監査ログには、システム上のすべての CLI アクティビティが記録されます。 |
FTP サーバ ログ |
FTP ログには、インターフェイスで有効になっている FTP サービスの情報が記録されます。接続の詳細とユーザ アクティビティが記録されます。 |
GUI ログ |
HTTP ログを参照してください。 |
HTTP ログ |
HTTP ログには、インターフェイスでイネーブルになっている HTTP サービス、セキュア HTTP サービス、またはその両方のサービスに関する情報が記録されます。HTTP を介してグラフィカル ユーザ インターフェイス(GUI)にアクセスするため、HTTP ログは基本的に、CLI 監査ログの GUI 版になっています。GUI でアクセスされるセッション データ(新しいセッション、セッションの期限切れ)やページが記録されます。 これらのログには、SMTP トランザクションに関する情報(たとえば、アプライアンスから電子メールで送信されるスケジュール済みレポートに関する情報)も記録されます。 |
NTP ログ |
NTP ログには、設定されている任意のネットワーク タイム プロトコル(NTP)サーバとアプライアンス間の会話が記録されます。詳細については「システム管理」の章の「ネットワーク タイム プロトコル(NTP)設定の編集(Time Keeping Method)」を参照してください。 |
LDAP デバッグ ログ |
LDAP デバッグ ログは、LDAP インストールのデバッグを目的としています(「LDAP クエリー」の章を参照)。E メール セキュリティ アプライアンスが LDAP サーバに送信しているクエリーに関する有用な情報がここに記録されます。 |
アンチスパム ログ |
アンチスパム ログには、最新のアンチスパム ルールのアップデート受信に関するステータスなど、システムのアンチスパム スキャン機能のステータスが記録されます。また、コンテキスト適応スキャンエンジンに関するすべてのログもここに記録されます。 |
アンチスパム アーカイブ |
アンチスパム スキャン機能をイネーブルにすると、スキャンされ、「メッセージのアーカイブ」アクションに関連付けられたメッセージがここにアーカイブされます。この形式は、mbox 形式のログ ファイルです。アンチスパム エンジンの詳細については、「アンチスパム」の章を参照してください。 |
グレイメール エンジン ログ |
グレイメール エンジン、ステータス、設定などの情報が含まれます。ほとんどの情報は [情報(Info)] または [デバッグ(Debug)] レベルです。 |
グレーメール アーカイブ |
アーカイブされたメッセージ(スキャン済みの「アーカイブ メッセージ」アクションに関連付けられているメッセージ)が含まれます。この形式は、mbox 形式のログ ファイルです。 |
アンチウイルス ログ |
アンチウイルス ログには、最新のアンチウイルス アイデンティティ ファイルのアップデート受信に関するステータスなど、システムのアンチウイルス スキャン機能のステータスが記録されます。 |
アンチウイルス アーカイブ |
アンチウイルス エンジンをイネーブルにすると、スキャンされ、「メッセージのアーカイブ」アクションに関連付けられたメッセージがここにアーカイブされます。この形式は、mbox 形式のログ ファイルです。詳細については、「ウイルス対策」の章を参照してください。 |
AMP エンジン ログ |
AMP エンジンのログは、システムの高度なマルウェア防御機能の状態を記録します。詳細については、ファイル レピュテーション フィルタリングとファイル分析を参照してください。 |
AMP アーカイブ |
高度なマルウェア防御エンジンがスキャン不可能またはマルウェアを含む添付ファイルがあると判断したメッセージをアーカイブするために、メール ポリシーを設定している場合、そのメッセージがここにアーカイブされます。この形式は、mbox 形式のログ ファイルです。 |
スキャン ログ |
スキャン ログには、スキャン エンジンに関するすべての LOG および COMMON メッセージが保持されます(アラートを参照してください)。これは一般に、アプリケーションの障害、送信されたアラート、失敗したアラート、およびログ エラー メッセージになります。このログは、システム全体のアラートには適用されません。 |
スパム隔離ログ |
スパム隔離ログには、スパム隔離プロセスに関連付けられたアクションが記録されます。 |
スパム隔離 GUI ログ |
スパム隔離ログには、GUI を介した設定、エンド ユーザ認証、およびエンド ユーザ アクション(電子メールの解放など)を含む、スパム隔離に関連付けられたアクションが記録されます。 |
SMTP 会話ログ |
SMTP 会話ログには、着信および発信 SMTP 会話のすべての部分が記録されます。 |
セーフリスト/ブロックリスト ログ |
セーフリスト/ブロックリスト ログには、セーフリスト/ブロックリストの設定およびデータベースに関するデータが記録されます。 |
レポーティング ログ |
レポーティング ログには、中央集中型レポーティング サービスのプロセスに関連付けられたアクションが記録されます。 |
レポーティング クエリー ログ |
レポーティング クエリー ログには、アプライアンスで実行されるレポーティング クエリーに関連付けられたアクションが記録されます。 |
アップデータ ログ |
アップデータ ログには、McAfee アンチウイルス定義のアップデートなど、システム サービスのアップデートに関するイベントが記録されます。 |
トラッキング ログ |
トラッキング ログには、トラッキング サービスのプロセスに関連付けられたアクションが記録されます。トラッキング ログは、メール ログのサブセットになっています。 |
認証ログ |
認証ログには、成功したユーザ ログインと失敗したログイン試行が記録されます。 |
コンフィギュレーション履歴ログ |
コンフィギュレーション履歴ログは、どのような E メール セキュリティ アプライアンスの変更がいつ行われたかの情報を記録します。ユーザが変更をコミットするたびに、新しいコンフィギュレーション履歴ログが作成されます。 |
アップグレード ログ |
アップグレードのダウンロードとインストールに関するステータス情報。 |
API ログ |
API ログは、Cisco 電子メール セキュリティ アプライアンスの AsyncOS API に関連するさまざまなイベントを記録します。次に例を示します。
|
ログ タイプの特徴
次の表に、各ログ タイプの特徴をまとめます。
記載内容 |
||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
トランザクション関連 |
ステートレス |
テキストとして記録 |
mbox ファイルとして記録 |
バイナリとして記録 |
定期的なステータス情報 |
メッセージ受信情報 |
配信情報 |
個別のハード バウンス |
個別のソフト バウンス |
インジェクション SMTP カンバセーション |
ヘッダーのロギング |
配信 SMTP カンバセーション |
設定情報 |
|
メール ログ |
• |
• |
• |
• |
• |
• |
• |
• |
||||||
qmail 形式配信ログ |
• |
• |
• |
• |
• |
• |
||||||||
配信ログ |
• |
• |
• |
• |
• |
• |
||||||||
バウンス ログ |
• |
• |
• |
• |
• |
|||||||||
ステータス ログ |
• |
• |
• |
|||||||||||
ドメイン デバッグ ログ |
• |
• |
• |
• |
• |
• |
||||||||
インジェクション デバッグ ログ |
• |
• |
• |
• |
||||||||||
システム ログ |
• |
• |
• |
|||||||||||
CLI 監査ログ |
• |
• |
• |
|||||||||||
FTP サーバ ログ |
• |
• |
• |
|||||||||||
HTTP ログ |
• |
• |
• |
|||||||||||
NTP ログ |
• |
• |
• |
|||||||||||
LDAP ログ |
• |
• |
||||||||||||
アンチスパム ログ |
• |
• |
• |
|||||||||||
Anti-Spam Archive |
• |
|||||||||||||
グレーメール エンジン ログ |
• |
• |
• |
|||||||||||
グレーメール アーカイブ |
• |
|||||||||||||
アンチウイルス ログ |
• |
• |
• |
|||||||||||
アンチウイルス アーカイブ |
• |
|||||||||||||
AMP エンジン ログ |
• |
• |
• |
|||||||||||
AMP アーカイブ |
• |
|||||||||||||
スキャン ログ |
• |
• |
• |
• |
||||||||||
スパム隔離 |
• |
• |
• |
|||||||||||
スパム隔離 GUI |
• |
• |
• |
|||||||||||
セーフリスト/ブロックリスト ログ |
• |
• |
• |
|||||||||||
レポーティング ログ |
• |
• |
• |
|||||||||||
レポーティング クエリ ログ |
• |
• |
• |
|||||||||||
アップデータ ログ |
• |
|||||||||||||
トラッキング ログ |
• |
• |
• |
• |
• |
• |
• |
• |
||||||
認証ログ |
• |
• |
||||||||||||
設定履歴ログ |
• |
• |
• |
|||||||||||
API ログ |
• |
• |
ログ取得方法
ログ ファイルは、次のいずれかのファイル転送プロトコルに基づいて取得できます。プロトコルは、グラフィカル ユーザ インターフェイスでサブスクリプションを作成または編集するときに設定するか、ログ サブスクリプションのプロセス中に logconfig コマンドを使用して設定します。
(注) |
特定のログで「ログ プッシュ」の方法を使用している場合、そのログは CLI を使用してトラブルシューティングまたは検索目的でローカルで使用することはできません。 |
手動でダウンロード |
この方法では、[ログサブスクリプション(Log Subscriptions)] ページにあるログ ディレクトリへのリンクをクリックし、アクセスするログ ファイルをクリックすることによって、いつでもログ ファイルにアクセスできます。ブラウザによっては、ブラウザ ウィンドウでのファイルの表示、またはそれをテキスト ファイルとして開いたり保存することができます。この方法は HTTP(S)プロトコルを使用し、デフォルトの取得方法になっています。
|
||
FTP プッシュ[FTPぷっしゅ] |
この方法では、リモート コンピュータ上の FTP サーバに定期的にログ ファイルをプッシュします。サブスクリプションには、リモート コンピュータ上のユーザ名、パスフレーズ、および宛先ディレクトリが必要です。ログ ファイルは、ユーザが設定したロールオーバー スケジュールに基づいて転送されます。 |
||
SCP Push |
この方法では、リモート コンピュータ上の SCP サーバに定期的にログ ファイルをプッシュします。この方法には、SSH1 または SSH2 プロトコルを使用するリモート コンピュータ上の SSH SCP サーバが必要です。サブスクリプションには、リモート コンピュータ上のユーザ名、SSH キー、および宛先ディレクトリが必要です。ログ ファイルは、ユーザが設定したロールオーバー スケジュールに基づいて転送されます。 |
||
Syslog Push |
この方法では、リモート syslog サーバにログ メッセージを送信します。この方法は、RFC 3164 に準拠しています。syslog サーバのホスト名を送信し、ログの転送に UDP または TCP を使用するように選択する必要があります。使用するポートは 514 です。ログのファシリティは選択できますが、ログ タイプのデフォルトはドロップダウン メニューであらかじめ選択されています。syslog プッシュを使用して転送できるのは、テキストベースのログだけです。 |
ログ ファイル名とディレクトリ構造
AsyncOS は、ログ サブスクリプション名に基づいて各ログ サブスクリプションのディレクトリを作成します。ディレクトリ内の実際のログ ファイル名は、ユーザが指定したログ ファイル名、ログ ファイルが開始されたときのタイムスタンプ、および単一文字のステータス コードで構成されます。ログのファイル名は、次の形式で作成されます。
/LogSubscriptionName/LogFilename.@timestamp.statuscode
ステータス コードは、.current または .s(保存済みを示す)になります。保存済みステータスのログ ファイルだけを転送または削除するようにしてください。
ログのロールオーバーおよび転送スケジュール
ログ ファイルはログ サブスクリプションによって作成され、到達したユーザ指定の最初の条件(最大ファイル サイズまたはスケジュール設定されたロールオーバー)に基づいて、ロールオーバー(および、プッシュ ベースの取得オプションが選択されている場合は転送)されます。最大ファイル サイズとスケジュール設定されたロールオーバーの時間間隔の両方を設定するには、CLI で、または GUI の [ログサブスクリプション(Log Subscriptions)] ページで logconfig コマンドを使用します。また、GUI の [今すぐロールオーバー(Rollover Now)] ボタン、または CLI の rollovernow コマンドを使用して、選択したログ サブスクリプションをロールオーバーすることもできます。ロールオーバーのスケジュール設定の詳細については、ログ サブスクリプションのロールオーバーを参照してください。
手動のダウンロードを使用して取得されたログは、指定した最大数(デフォルトは 10 ファイル)に達するか、またはシステムでログ ファイル用にさらにスペースが必要になるまで保存されます。
デフォルトで有効になるログ
E メール セキュリティ アプライアンスは、多数のログ サブスクリプションがデフォルトでイネーブルになった状態で事前に設定されています(適用したライセンス キーによって、その他のログが設定される場合があります)。デフォルトでは、取得方法は「手動でのダウンロード」です。
エラーだけが含まれるように 1 に設定された error_logs を除き、事前に設定されるすべてのログ サブスクリプションのログ レベルは 3 になります。詳細については、ログ レベルを参照してください。新規のログ サブスクリプションの作成、または既存のログ サブスクリプションの変更については、ログ サブスクリプションを参照してください。