ロギングの概要
ログ ファイルには、システムのアクティビティの例外に加えて、通常の動作が記録されます。Cisco コンテンツ セキュリティ アプライアンスのモニタリング、トラブルシューティング、およびシステム パフォーマンスの評価のためにログを使用します。
ほとんどのログは、プレーン テキスト(ASCII)形式で記録されますが、トラッキング ログはリソースの効率性を保つためにバイナリ形式で記録されます。ASCII テキスト情報は、任意のテキスト エディタで読むことができます。
ロギングとレポーティング
ロギング データは、メッセージ フローのデバッグ、基本的な日常の動作に関する情報の確認(FTP 接続の詳細、HTTP ログ ファイルなど)、アーカイブのコンプライアンスの目的に使用します。
このロギング データには、E メール セキュリティ アプライアンスから直接アクセスすることも、任意の外部 FTP サーバに送信してアーカイブまたは読み取ることもできます。アプライアンスに FTP 接続してログにアクセスすることも、バックアップの目的でプレーン テキストのログを外部サーバにプッシュすることもできます。
レポーティング データを表示するには、アプライアンスのグラフィカル ユーザ インターフェイスの [レポート(Report)] ページを使用します。元データにはアクセスできません。また、Cisco コンテンツ セキュリティ管理アプライアンス以外には送信できません。
(注) |
セキュリティ管理アプライアンスは、スパム隔離データの例外を含む、すべてのレポーティングおよびトラッキング情報を取り出します。このデータは ESA からプッシュされます。 |
ログの取得
ログ ファイルは、次の表に示すファイル転送プロトコルを使用して取得できます。プロトコルは、グラフィカル ユーザ インターフェイスでサブスクリプションを作成または編集するときに設定するか、CLI の logconfig
コマンドを使用して設定します。
FTP ポーリング |
このタイプのファイル転送では、リモート FTP クライアントは管理者レベルまたはオペレータ レベルのユーザのユーザ名およびパスワードを使用して、アプライアンスにアクセスし、ログ ファイルを取得します。FTP ポーリング方法を使用するようにログ サブスクリプションを設定する場合は、保持するログ ファイルの最大数を指定する必要があります。最大数に達すると、最も古いファイルが削除されます。 |
FTP プッシュ |
このタイプのファイル転送では、Cisco コンテンツ セキュリティ アプライアンスがリモート コンピュータの FTP サーバに、定期的にログ ファイルをプッシュします。サブスクリプションには、リモート コンピュータ上のユーザ名、パスワード、および宛先ディレクトリが必要です。ログ ファイルは、設定されたロールオーバー スケジュールに基づいて転送されます。 |
SCP プッシュ |
このタイプのファイル転送では、Cisco コンテンツ セキュリティ アプライアンスがリモート コンピュータの SCP サーバに、定期的にログ ファイルをプッシュします。この方法には、SSH2 プロトコルを使用するリモート コンピュータ上の SSH SCP サーバが必要です。サブスクリプションには、ユーザ名、SSH キー、およびリモート コンピュータ上の宛先ディレクトリが必要です。ログ ファイルは、設定されたロールオーバー スケジュールに基づいて転送されます。 |
Syslog プッシュ |
このタイプのファイル転送では、Cisco コンテンツ セキュリティ アプライアンスがリモート Syslog サーバにログ メッセージを送信します。この方法は、RFC 3164 に準拠しています。Syslog サーバのホスト名を指定し、ログの送信に UDP または TCP を使用する必要があります。使用するポートは 514 です。ログのファシリティは選択できますが、ログ タイプのデフォルトはドロップダウン メニューであらかじめ選択されています。syslog プッシュを使用して転送できるのは、テキストベースのログだけです。 |
ファイル名およびディレクトリ構造
AsyncOS はログ サブスクリプションで指定したログ名に基づいて、各ログ サブスクリプションのディレクトリを作成します。ディレクトリ内のログのファイル名は、ログ サブスクリプションで指定されたファイル名、ログ ファイルが開始されたタイムスタンプ、および単一文字のステータス コードで構成されています。次に、ディレクトリおよびファイル名の規則の例を示します。
/<Log_Name>/<Log_Filename>.@<timestamp>.<statuscode>
ステータス コードは、.c(「current(現在)」の意味)、または .s(「saved(保存済み)」の意味)です。保存済みのステータスのログ ファイルのみを転送する必要があります。
ログのロールオーバーおよび転送スケジュール
ログ サブスクリプションを作成するときに、ログのロールオーバー、古いファイルの転送、および新しいファイルの作成のトリガーを指定します。
次のトリガーのいずれかを選択します。
- ファイルサイズ(File size)
- 時刻(Time)
-
指定した間隔で(秒、分、時間、または日数)
値を入力するときは、画面の例に従います。
2 時間半などの複合間隔を入力するには、例の 2h30m に従います。
または
-
毎日、指定した時刻に
または
-
選択した週の曜日の指定した時刻に
-
時刻を指定する場合は、24 時間形式を使用します。たとえば 11pm は 23:00 です。
1 日に複数のロールオーバー時間をスケジュール設定するには、時間をカンマで区切ります。たとえば、深夜と正午にログをロールオーバーするには、00:00, 12:00 と入力します
アスタリスク(*)をワイルドカードとして使用できます。たとえば、正確に毎時および 30 分ごとにログをロールオーバーするには、*:00, *:30 と入力します
指定した制限に達すると(またはサイズおよび時間の両方に基づいた制限を設定している場合は最初の制限に達すると)、ログ ファイルがロールオーバーされます。FTP ポーリング転送メカニズムに基づいたログ サブスクリプションでは、ファイルが作成されると、それらのファイルが取得されるか、システムでログ ファイル用にさらにスペースが必要になるまで、アプライアンスの FTP ディレクトリにそれらのファイルが保存されます。
(注) |
次の制限に達したときにロールオーバーが実行中の場合、新しいロールオーバーはスキップされます。エラーが記録され、アラートが送信されます。 |
ログ ファイル内のタイムスタンプ
次のログ ファイルには、ログ自体の開始日と終了日、AsyncOS のバージョン、および GMT オフセット(ログの開始時からの秒数)が含まれています。
- メール ログ
- セーフリスト/ブロックリスト ログ
- システム ログ
デフォルトで有効になるログ
セキュリティ管理アプライアンスでは、次のログ サブスクリプションが有効に事前設定されています。
ログ名 |
ログ タイプ |
取得方法 |
---|---|---|
cli_logs |
CLI 監査ログ |
FTP ポーリング |
euq_logs |
スパム隔離ログ |
FTP ポーリング |
euqgui_logs |
スパム隔離 GUI ログ |
FTP ポーリング |
gui_logs |
HTTP ログ |
FTP ポーリング |
mail_logs |
テキスト メール ログ |
FTP ポーリング |
reportd_logs |
レポーティング ログ |
FTP ポーリング |
reportqueryd_logs |
レポーティング クエリ ログ |
FTP ポーリング |
slbld_logs |
セーフリスト/ブロックリスト ログ |
FTP ポーリング |
smad_logs |
SMA ログ |
FTP ポーリング |
system_logs |
システムログ |
FTP ポーリング |
trackerd_logs |
トラッキング ログ |
FTP ポーリング |
事前定義されているすべてのログ サブスクリプションでは、ログ レベルが Information に設定されています。ログ レベルの詳細については、ログ レベルの設定 を参照してください。
適用されているライセンス キーによっては、追加のログ サブスクリプションを設定できます。ログ サブスクリプションの作成および編集については、ログ サブスクリプションを参照してください。