この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、FWSM に関するログと SNMP を設定する方法について説明します。さらに、システム ログ メッセージの内容とフォーマットについても説明します。
この章では、モニタリングおよびロギング用の全コマンドおよびオプションについて包括的に説明するわけではありません。詳しい説明とその他のコマンドについては、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』を参照してください。
ここでは、SNMP の使用法について説明します。内容は次のとおりです。
FWSM では、SNMP V1 および V2c によるネットワーク モニタリングのサポートが提供されます。FWSM は、トラップおよび SNMP 読み取りアクセスをサポートしていますが、SNMP 書き込みアクセスはサポートしていません。
Network Management Station(NMS; ネットワーク管理ステーション)にトラップ(イベント通知)を送信するように FWSM を設定することも、NMS を使用して FWSM 上の MIB をブラウズすることもできます。MIB は定義の集合であり、FWSM は定義ごとに値のデータベースを 1 つずつ維持します。MIB をブラウズすると、NMS から SNMP get 要求が発行されます。SNMP トラップを受信したり MIB のブラウズするには、CiscoWorks for Windows、または SNMP V1、MIB-II に準拠する他の任意のブラウザを使用します。
表1-1 に、FWSM でコンテキスト別に複数のモードでサポートされている MIB およびトラップを示します。シスコの MIB は、次の URL からダウンロードできます。
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml
ダウンロードした MIB を、使用する NMS 用にコンパイルしてください。
FWSM 上で動作する SNMP エージェントは、次の 2 つの機能を実行します。
SNMP エージェントをイネーブルにして、FWSM に接続できる NMS を識別するには、次の作業を行います。
ステップ 1 次のコマンドを入力して、FWSM 上の SNMP サーバがイネーブルであることを確認します。
ステップ 2 FWSM に接続できる NMS の IP アドレスを識別するには、次のコマンドを入力します。
NMS をトラップの受信のみ、またはブラウズ(ポーリング)のみに限定するには、 trap または poll を指定します。デフォルトでは、NMS は両方の機能を使用できます。
SNMP トラップは、デフォルトでは UDP ポート 162 に送信されます。ポート番号を変更するには、 udp-port キーワードを使用します。
ステップ 3 コミュニティ ストリングを指定するには、次のコマンドを入力します。
SNMP コミュニティ ストリングは、FWSM と NMS の共有秘密鍵です。この鍵は、32 文字以内で大文字と小文字の区別があります。スペースは使用できません。
ステップ 4 (任意)SNMP サーバのロケーションまたはコンタクト情報を設定するには、次のコマンドを入力します。
ステップ 5 FWSM が NMS にトラップを送信できるようにするには、次のコマンドを入力します。
このコマンドを機能タイプごとに入力して、個々のトラップまたはトラップの集合をイネーブルにします。 all キーワードを入力すると、すべてのトラップがイネーブルになります。
デフォルトの設定では、すべての snmp トラップがイネーブルです( snmp-server enable traps snmp authentication linkup linkdown coldstart )。これらのトラップをディセーブルにするには、 snmp キーワードとともに、このコマンドの no 形式を使用します。 clear configure snmp-server コマンドを使用すると、デフォルトでイネーブルの SNMP トラップが復元されます。
このコマンドを入力し、トラップ タイプを指定しない場合、デフォルトは syslog です( syslog トラップとともに、デフォルトの snmp トラップが引き続きイネーブルになります)。
remote-access トラップには、次のものが含まれます。
ステップ 6 システム メッセージをトラップとして NMS に送信できるようにするには、次のコマンドを入力します。
前述の snmp-server enable traps コマンドを使用して、 syslog トラップもイネーブルにする必要があります。
ステップ 7 ログをイネーブルにして、システム メッセージを生成し NMS に送信できるようにするには、次のコマンドを入力します。
次に、内部インターフェイス上のホスト 192.168.3.2 から要求を受信するように FWSM を設定する例を示します。
ここでは、ログ機能および設定について説明します。また、システム ログ メッセージのフォーマット、オプション、および変数についても説明します。
• 「ログの概要」
• 「出力先に送信するシステム ログ メッセージのフィルタリング」
FWSM のシステム ログは、FWSM のモニタおよびトラブルシューティングのためのログ情報を提供します。ログ設定は非常に柔軟性があり、FWSM によるシステム ログ メッセージの処理方法をさまざまにカスタマイズすることができます。
• システム ログ メッセージのディセーブル化または重大度の変更
• システム ログ メッセージを送信する 1 つまたは複数のロケーション(内部バッファ、Syslog サーバ、ASDM、SNMP 管理ステーション、特定の E メール アドレス、または Telnet および SSH セッション)
• 重大度やメッセージ クラスなど、グループ別のシステム ログ メッセージの設定および管理
• 内部バッファが満杯になり、ラップ アラウンドしたときの動作の指定。バッファの内容を FTP サーバに送信するか、または内部フラッシュ メモリに保存するように FWSM を設定できます。
• システム ログ メッセージのリモートからのモニタ(ASDM、Telnet および SSH セッションを使用するか、または内部ログ バッファの内容を Web ブラウザにダウンロード)
全部または一部のシステム ログ メッセージを、全部または一部の出力先ロケーションに送信できます。システム ログ メッセージの重大度やクラスに応じて、またはカスタム ログ メッセージ リストを作成して、各ロケーションに送信するシステム ログ メッセージをフィルタできます。
セキュリティ コンテキストごとに独自の設定があるように、セキュリティ コンテキストごとに独自のログ設定およびシステム メッセージ ログもあります。セキュリティ コンテキストのメッセージ ログには、そのコンテキストでイネーブルに設定される機能に関連するメッセージが含まれます。たとえば、コンテキスト ログには、そのコンテキストのセキュリティ ポリシー、ルーティング、および設定変更に関連するメッセージが含まれます。単一コンテキスト モードで動作する FWSM と同様、セキュリティ コンテキストでのログは、デフォルトではイネーブルではありません。セキュリティ コンテキストのログを保存するには、そのセキュリティ コンテキストにアクセスしてログ動作を設定する必要があります。同様に、セキュリティ コンテキストのログ メッセージを表示する場合にも、そのコンテキストにアクセスする必要があります。
system または admin コンテキストにログインし、他のコンテキストを変更すると、セッションで表示されるメッセージは現在コンテキストに関連するものだけになります。
システム実行スペースで生成されるシステム メッセージ(フェールオーバー メッセージを含む)は、admin コンテキストで生成されたメッセージとともに、admin コンテキストで表示されます。admin コンテキストのログを設定しイネーブルにすると、システム実行スペースで生成されるメッセージは、自動的に admin コンテキスト メッセージに含まれます。システム実行スペース内では、ログを設定したり、ログ情報を表示したりすることはできません。
各メッセージにセキュリティ コンテキストのロギング デバイス ID が含まれるようにログを設定することができます。その場合、各メッセージには、そのメッセージが発生したコンテキストの名前が含まれます。admin コンテキストのロギング デバイス ID をイネーブルにすると、システム実行スペースで発生したメッセージは「 system 」というデバイス ID を使用し、admin コンテキストで発生したメッセージはコンテキスト名をデバイス ID として使用します。ロギング デバイス ID についての詳細は、「システム ログ メッセージでのデバイス ID の表示」を参照してください。
セキュリティ コンテキストについての詳細は、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide 』の「Enabling Multiple Context Mode」を参照してください。
ここでは、ログをイネーブルにする手順を示します。ただし、ロギングしたメッセージを表示または保存できるように、少なくとも 1 つの出力先を指定する必要があります。出力先を指定しない場合、イベントが発生しても、FWSM は生成されたシステム ログ メッセージを保存しません。
ログの出力先の設定については、「ログの出力先の設定」を参照してください。
ステップ 1 次のコマンドを入力し、コンフィギュレーション モードにアクセスします。
#
config t
#
logging enable
ステップ 3 どのタイプのログがイネーブルになっているかを表示するには、次のコマンドを入力します。
#
show logging
設定したすべてのログ出力先へのログをディセーブルにするには、次のコマンドを入力します。
#
no logging enable
#
show logging
|
|
---|---|
イネーブルの場合、フェールオーバー スタンバイ FWSM のシステム ログ メッセージは、フェールオーバーが発生しても同期化されたままになります。 |
|
ここでは、FWSM で生成されるログ メッセージの保存または送信先を指定する方法について説明します。内容は次のとおりです。
FWSM が生成したログを表示するには、ログの出力先を指定する必要があります。ログの出力先を指定しないでログをイネーブルにすると、FWSM はメッセージを生成しても、ユーザが表示できる場所にメッセージを保存しません。
ここでは、Syslog サーバにログを送信するように FWSM を設定する方法を説明します。
Syslog サーバにログを送信するように FWSM を設定すると、サーバ上のディスクの空き容量の範囲内でログをアーカイブすることができ、保存後のログ データの操作が可能になります。たとえば、特定のタイプのシステム ログ メッセージが記録された場合に実行すべきアクションを指定したり、ログからデータを抽出してレポート用に別のファイルにレコードを保存したり、サイト固有のスクリプトを使用して統計情報を追跡したりできます。
Syslog サーバは、syslogd という名前のプログラム(サーバ)を実行している必要があります。UNIX では、OS(オペレーティング システム)の一部として Syslog サーバが提供されています。Windows 95 および Windows 98 の場合は、他のベンダーから syslogd サーバを入手してください。
FWSM から Syslog サーバへのデータの送信に使用するプロトコルとしては、UDP または TCP を指定できますが、両方を指定することはできません。TCP を指定した場合、FWSM は Syslog サーバに障害が発生すると、ログの送信を停止します。UDP を指定すると、FWSM は Syslog サーバが正常に動作しているかどうかに関わらず、ログの送信を続行します。
各ログ メッセージにタイムスタンプを含めるには、ロギング タイムスタンプをイネーブルにします。Syslog サーバへのログ送信に UDP を選択した場合、各 Syslog サーバに EMBLEM フォーマットのログをイネーブルにできます。
Syslog サーバにシステム ログ メッセージを送信するように FWSM を設定するには、次の作業を行います。
ステップ 1 次のコマンドを入力し、ログの出力先として Syslog サーバを指定します。
format emblem ― Syslog サーバで EMBLEM フォーマットのログをイネーブルにします(UDP のみ)。
interface_name ― Syslog サーバが存在するインターフェイスを指定します。
port ― Syslog サーバがシステム ログ メッセージを待ち受けるポートを指定します。どちらのプロトコルでも、有効な port 値は 1025 ~ 65535 です。前に入力したコマンドで使用した port および protocol 値を表示するには、 show running-config logging コマンドを使用し、リストの中からコマンドを探します。TCP プロトコルは 6、UDP プロトコルは 17 でリストされます。
ip_address ― Syslog サーバの IP アドレスを指定します。
tcp ― FWSM が TCP を使用してシステム ログ メッセージを Syslog サーバに送信することを指定します。
udp ― FWSM が UDP を使用してシステム ログ メッセージを Syslog サーバに送信することを指定します。
出力先として複数の Syslog サーバを指定する場合は、Syslog サーバごとに 1 つずつコマンドを入力します。
ステップ 2 次のコマンドを入力し、Syslog サーバに送信するシステム ログ メッセージを指定します。
severity_level ― Syslog サーバに送信するメッセージの重大度を指定します。たとえば、重大度を 3 に設定すると、FWSM は重大度 3、2、1、および 0 のシステム ログ メッセージを送信します。番号(2 など)または名前(critical など)のどちらを指定しても構いません。
メッセージの重大度についての詳細は、「重大度」を参照してください。
message_list ― Syslog サーバに送信するシステム ログ メッセージを表す、カスタムなメッセージ リストを指定します。カスタムなメッセージ リストの作成については、「カスタム メッセージ リストによるシステム ログ メッセージのフィルタリング」を参照してください。
次に、重大度 3(error)以上のシステム ログ メッセージを Syslog サーバに送信するように FWSM を設定する例を示します。FWSM は、重大度3、2、1 のメッセージを送信します。
ステップ 3 サーバに送信する各システム ログ メッセージにデバイス ID を含めるには、次のコマンドを入力します。
Syslog サーバに送信されるシステム ログ メッセージには、指定のデバイス ID(指定のインターフェイスのホスト名と IP アドレス、またはストリング)が含まれます。
ステップ 4 必要に応じて、ロギング ファシリティの値をデフォルトの 20 以外に設定します(ほとんどの UNIX システムでは、システム ログ メッセージがファシリティ 20 で着信することが前提となっています)。
ロギング ファシリティの設定を変更するには、次のコマンドを入力します。
ステップ 5 設定の変更を確認するには、次のコマンドを入力します。
次に、 show logging コマンドの出力例を示します。
特定の E メール アドレスに一部または全部のシステム ログ メッセージを送信するように FWSM を設定できます。E メールで送信した場合、システム ログ メッセージは E メール メッセージの件名に表示されます。したがって、このオプションは重大度の高いシステム ログ メッセージ(critical、alert、emergency など)を管理者に通知する目的で設定することを推奨します。
出力先として E メール アドレスを指定するには、次の作業を行います。
ステップ 1 1 つまたは複数の E メール アドレスに送信するシステム ログ メッセージを指定します。システム ログ メッセージの重大度またはシステム ログ メッセージ リスト変数を使用して、送信するシステム ログ メッセージを指定します。
送信するシステム ログ メッセージを指定するには、次のコマンドを入力します。
次の例では、事前に logging list コマンドで設定済みの「high-priority」という message_list を使用しています。
ステップ 2 次のコマンドを入力し、システム ログ メッセージを特定の E メール アドレスに送信するとき使用する送信元の E メール アドレスを指定します。
ステップ 3 システム ログ メッセージを特定の E メール宛先に送信するとき使用する受信者の E メール アドレスを指定します。最大 5 つの受信者アドレスを設定できます。各受信者を個別に入力する必要があります。
(注) 重大度を指定しない場合、デフォルトの重大度(error 条件、重大度 3)が使用されます。
ステップ 4 システム ログ メッセージを特定の E メール宛先に送信するとき使用する SMTP サーバを指定するには、次のコマンドを入力します。
ASDM にシステム ログ メッセージを送信するように FWSM を設定できます。FWSM は ASDM への送信待ちのシステム ログ メッセージを格納するバッファ領域を確保し、発生したメッセージをそこに保存します。ASDM ログ バッファは、内部ログ バッファとは別です。内部ログ バッファについての詳細は、「ログ バッファの概要」 を参照してください。
ASDM ログ バッファが満杯になると、FWSM は最も古いシステム ログ メッセージを削除して、新しいシステム ログ メッセージを格納できるようにします。このバッファのサイズを変更することにより、ASDM ログ バッファに格納されるシステム ログ メッセージ数を制御できます。
出力先として ASDM を指定するには、次の作業を行います。
ステップ 1 次のコマンドを入力し、ASDM に送信するシステム ログ メッセージを指定します。
システム ログ メッセージの最大の重大度を設定します。たとえば、level を 3 に設定すると、FWSM は重大度 3、2、1、0 のシステム ログ メッセージを生成します。次のように、番号または名前のどちらを指定しても構いません。 • 0 または emergencies ― システムが使用不能 |
|
ASDM ログ バッファに送信するシステム ログ メッセージを表すリストを指定します。リストの作成方法については、 「カスタム メッセージ リストによるシステム ログ メッセージのフィルタリング」 を参照してください。 |
次に、ログをイネーブルにして、重大度 0、1、2 のシステム ログ メッセージを ASDM ログ バッファに送信する例を示します。
ステップ 2 ASDM ログ バッファに格納するシステム ログ メッセージ数を指定するには、次のようにグローバル コンフィギュレーション モードで logging asdm-buffer-size コマンドを使用します。
ここで、 num_of_msgs は、FWSM が ASDM ログ バッファに格納するシステム ログ メッセージ数を表します。
次に、ASDM ログ バッファのサイズを 200 個のシステム ログ メッセージに設定する例を示します。
ASDM ログ バッファの現在の内容を消去するには、次のコマンドを入力します。
Telnet セッションで Syslog メッセージを表示するには、次の作業を行います。
ステップ 1 内部インターフェイス上のホストが FWSM をアクセスするように、FWSM を設定します。
a. 次のコマンドを入力し、IP アドレスおよびインターフェイス名を指定します。
たとえば、ホストの IP アドレスが 192.168.1.2 である場合、このコマンドは次のようになります。
b. Telnet セッションがアイドル状態のときに FWSM がセッションを切断するまでのタイムアウト時間を、デフォルトの 5 分より大きい値に設定します。タイムアウトは最低でも 15 分にすることを推奨します。この場合、次のように設定します。
ステップ 2 ホスト上で Telnet を起動し、FWSM の内部インターフェイスを指定します。
Telnet 接続が確立されると、FWSM によって次のプロンプトが表示されます。
ステップ 3 Telnet パスワードを入力します。このパスワードは、デフォルトでは cisco です。
ステップ 4 次のコマンドを入力し、コンフィギュレーション モードをイネーブルにします。
hostname(config)# configure terminal
ステップ 5 次のコマンドを入力し、メッセージのログを開始します。
ステップ 6 次のコマンドを入力し、この Telnet セッションにログを送信します。
hostname(config)# terminal monitor
このコマンドでは、現在の Telnet セッションに関してのみログがイネーブルになります。 logging monitor コマンドはすべての Telnet セッションについてログの基本設定を行うのに対し、 terminal monitor (および terminal no monitor )コマンドは個々の Telnet セッションについてのログを制御します。
ステップ 7 ホストに ping を実行したり、Web ブラウザを起動するなど、何らかのイベントをトリガーします。
その結果、Telnet セッション ウィンドウに Syslog メッセージが表示されます。
ステップ 8 作業が終わったら、次のコマンドを使用してこの機能をディセーブルにします。
ここでは、システム ログ メッセージを内部ログ バッファに保存するように FWSM を設定する方法について説明します。内容は次のとおりです。
ログ バッファを出力先に設定した場合、ログ バッファはシステム ログ メッセージの一時的な保存場所として動作します。リストの最後に新しいメッセージが追加されます。バッファが満杯になると(つまり、バッファがラップすると)、新しいメッセージが生成された時点で古いメッセージが上書きされます。ログ メッセージを保存するには、古いメッセージが上書きされないよう、バッファが満杯になるたびにバッファの内容を FTP サーバまたは内部フラッシュ メモリに保存するように FWSM を設定できます。
バッファがラップするまでに格納できるメッセージ数は、ログ バッファのサイズによって決まります。デフォルトのログ バッファ サイズは 4 KB です。
出力先としてログ バッファをイネーブルにする場合、保存するメッセージも指定できます。指定しない場合、生成されたすべてのメッセージがログ バッファに保存されます。メッセージの重大度に基づいてメッセージを保存するか、またはカスタムなメッセージ リストで指定する基準に基づいてメッセージを保存するように、FWSM を設定できます。保存するメッセージを制限する方法については、「出力先に送信するシステム ログ メッセージのフィルタリング」を参照してください。
ログの出力先としてログ バッファをイネーブルにし、ログ バッファの設定オプションを指定するには、次の作業を行います。
ステップ 1 次のコマンドを入力し、FWSM がログ バッファにシステム ログ メッセージを保存できるようにするとともに、保存するメッセージを指定します。
ここで、 level は、保存するメッセージの重大度を表します。 message_list は、ログ バッファに保存するメッセージを選択するためのカスタム リストの名前を表します。
level オプションには、重大度を番号(3 など)または名前(error など)のどちらかで指定します。指定した重大度以上のメッセージが選択されます。つまり、重大度 3 を指定すると、重大度 3、2、1 のメッセージがログ バッファに保存されます。
たとえば、重大度 1 および 2 のメッセージをログ バッファに保存するには、次のいずれかのコマンドを入力します。
message_list オプションには、ログ バッファに保存するメッセージを選択するための基準を表すメッセージ リストの名前を指定します。
カスタムなメッセージ リストを作成するには、 logging list コマンドを使用します。カスタムなメッセージ リストの作成方法については、「カスタム メッセージ リストによるシステム ログ メッセージのフィルタリング」 を参照してください。
ステップ 2 (任意)ログ バッファのサイズを変更するには、次のコマンドを入力します。
ここで、 bytes オプションはログ バッファのメモリ容量(バイト数)を設定します。たとえば、8192 を指定すると、FWSM はログ バッファに 8 KB のメモリを使用します。
次に、ログ バッファに 16 KB のメモリを使用するように FWSM を設定する例を示します。
デフォルトでは、FWSM は継続的にログ バッファにメッセージを書き込み、バッファが満杯になると古いメッセージを上書きします。ログの履歴を残すには、バッファが満杯になるたびに別の出力先にバッファの内容を送信するように FWSM を設定できます。内部フラッシュ メモリまたは FTP サーバに、バッファの内容を保存できます。
バッファの内容を別の場所に保存するとき、FWSM が作成するログ ファイル名は、デフォルトでは次のようなタイムスタンプ フォーマットになります。
ここで、 YYYY は年、 MM は月、 DD は日、 HHMMSS は時、分、秒です。
FWSM は内部フラッシュ メモリまたは FTP サーバにログ バッファの内容を書き込むと同時に、ログ バッファへの新しいメッセージの保存を続けます。
ログ バッファが満杯になるたびに内部フラッシュ メモリにバッファ内のメッセージを保存するように指定するには、次のコマンドを入力します。
ログ バッファが満杯になるたびに FTP サーバにバッファ内のメッセージを保存するように指定するには、次の作業を行います。
ステップ 1 次のコマンドを入力し、ログ バッファが満杯になるたびにバッファの内容を FTP サーバに送信できるように FWSM を設定します。
ステップ 2 次のコマンドを入力し、FTP サーバの詳細情報を指定します。
server_address ― 外部 FTP サーバの IP アドレスを指定します。
server_hostname ― 外部 FTP サーバのホスト名を指定します。
path ― ログ バッファのデータを保存する FTP サーバ上のディレクトリ パスを指定します。このパスは、FTP ルート ディレクトリに相対します。次に例を示します。
/security_appliances/syslogs/appliance107
username ― FTP サーバにログインできるユーザ名を指定します。
password ― 指定したユーザ名に対応するパスワードを指定します。
次の例では、サーバ名 logserver-352、パス /syslogs、ユーザ名 logsupervisor、パスワード 1luvMy10gs を指定しています。
任意の時点で、バッファの内容を内部フラッシュ メモリに保存できます。ログ バッファの現在の内容を内部フラッシュ メモリに保存するには、次のコマンドを入力します。
たとえば、ファイル名 latest-logfile.txt を使用して内部フラッシュ メモリにログ バッファの内容を保存するには、次のように指定します。
ログ バッファの内容を消去するには、次のコマンドを入力します。
ここでは、特定の出力先に送信するシステム ログ メッセージを指定する方法について説明します。内容は次のとおりです。
生成されたシステム ログ メッセージの中から、特定のシステム ログ メッセージだけを特定の出力先に送信するように、フィルタリングを行うことができます。たとえば、すべてのシステム ログ メッセージを 1 つの出力先に送信するとともに、その一部については別の出力先にも送信するように、FWSM を設定できます。
具体的には、次の基準に基づいてシステム ログ メッセージを特定の出力先に送信するように、FWSM を設定できます。
• システム ログ メッセージのクラス(FWSM の機能分野)
たとえば、重大度 1、2、3 のすべてのシステム ログ メッセージを内部ログ バッファに送信したり、「ha」クラスのすべてのシステム ログ メッセージを特定の Syslog サーバに送信することができます。また、特定の E メール アドレスに送信する「high-priority」という名前のメッセージ リストを作成して、システム管理者に問題の発生を通知するように、FWSM を設定することもできます。
システム ログ メッセージのクラスは、FWSM の機能分野と同じように、システム ログ メッセージをタイプ別に分類する手段となります。たとえば、「vpnc」クラスは VPN クライアントを表します。
ロギング クラスを使用すると、1 つのカテゴリに属するすべてのシステム ログ メッセージの出力先を、1 つのコマンドで指定できます。
システム メッセージ クラスは、次の 2 通りの方法で使用できます。
• logging class コマンドを使用して、1 つのカテゴリに属するすべてのシステム ログ メッセージの出力先を指定します。
• システム ログ メッセージのカスタム リストを作成するときに、 message_class 変数を使用して、そのクラスに属するすべてのシステム ログ メッセージをカスタム リストに含めます。
特定のクラスのシステム ログ メッセージは、システム ログ メッセージ ID 番号の先頭 3 桁が共通しています。たとえば、611 で始まるシステム ログ メッセージ ID は、vpnc(VPN クライアント)クラスに対応します。VPN クライアント機能に関係するシステム ログ メッセージは、611101 ~ 611323 の範囲です。
特定のクラスに属するすべてのシステム ログ メッセージを、特定の出力先に送信するように FWSM を設定するには、次のコマンドを入力します。
message_class ― 特定の出力先に送信するシステム ログ メッセージのクラスを指定します。システム ログ メッセージのクラスの一覧は、 表1-2 を参照してください。
buffered | console | history | mail | monitor | trap ― このクラスのシステム ログ メッセージを送信する出力先を指定します。コマンドライン エントリごとに 1 つの出力先を選択します。1 つのクラスを複数の出力先に送信する場合は、出力先ごとに新しいコマンドを入力します。
severity_level ― 出力先に送信するシステム ログ メッセージを、重大度によってさらに制限します。メッセージの重大度についての詳細は、「重大度」を参照してください。
次の例では、クラス ha(ハイ アベイラビリティ、別名フェールオーバー)に関係する重大度 1(alert)のすべてのシステム ログ メッセージを、内部ログ バッファに送信します。
表1-2 に、システム ログ メッセージのクラスと、各クラスのシステム ログ メッセージ ID の範囲を示します。
|
|
|
---|---|---|
199、211、214、216、306、307、315、414、604、605、606、610、612、614、615,701、711 |
||
106、108、201、202、204、302、303、304、305、314、405、406、407、500、502、607、608、609、616、620、703、710 |
||
カスタムなメッセージ リストを作成すると、特定の出力先に送信するシステム ログ メッセージをフレキシブルに制御することができます。カスタムなシステム ログ メッセージで、メッセージのグループを指定するには、重大度、メッセージ ID、システム メッセージ ID の範囲、またはメッセージ クラスの各基準を使用できます。
たとえば、メッセージ リストを使用すると次のことが可能です。
• 重大度 1 および 2 のシステム ログ メッセージを選択し、それらを 1 つまたは複数の E メール アドレスに送信する。
• 特定のメッセージ クラス(「ha」など)に対応するすべてのシステム ログ メッセージを、内部バッファに保存する。
メッセージ リストでは、複数の基準を使用してメッセージを選択できます。ただし、メッセージの選択基準ごとに、新しいコマンドを追加する必要があります。重複したメッセージ選択基準を含むメッセージ リストを作成できます。1 つのメッセージ リストで 2 つの基準によって同じメッセージが選択された場合、そのメッセージは 1 回しか記録されません。
(注) システム ログ メッセージ リストの名前には、重大度と同じ名前を使用しないでください。
message_list 名として使用できない名前としては、「emergencies」、「alert」、「critical」、「error」、「warning」、「notification」、「informational」、「debugging」があります。同様に、これらの語の先頭 3 文字も、ファイル名の先頭に使用しないでください。たとえば、「err」で始まるファイル名を使用してはなりません。
ログ バッファに保存するメッセージを選択するために FWSM が使用するカスタム リストを作成するには、次の作業を行います。
ステップ 1 次のコマンドを入力し、メッセージの選択基準を含むメッセージ リストを作成します。
message_list ― メッセージの選択基準を含むリストの名前を指定します。
severity_level ― 指定する重大度のすべてのメッセージをログ バッファに送信します。
message_class ― 指定するメッセージ クラスのすべてのメッセージをログ バッファに保存します。
message_ID ― 固有のシステム ログ メッセージ ID 番号を指定します。
range_of_IDs ― メッセージ ID 番号の範囲を指定します(例:103401-103599)。
次の例では、重大度 3 以上のメッセージをログ バッファに保存する、notif-list というメッセージ リストを作成します。
ステップ 2 (任意)リストにメッセージ選択基準をさらに追加するには、上記のステップと同じコマンドを入力し、既存のメッセージ リスト名および追加の基準を指定します。リストに追加する基準ごとに、新しいコマンドを入力します。
次に、このメッセージ リストに基準を追加する例を示します。メッセージ ID 番号の範囲、およびメッセージ クラス ha(ハイ アベイラビリティまたはフェールオーバー)を追加します。メッセージ クラスについての詳細は、「クラスによるシステム ログ メッセージのフィルタリング」 を参照してください。
上記の例では、指定した基準に一致するシステム ログ メッセージがログ バッファに送信されます。このリストで、システム ログ メッセージに関して指定されている基準は、次のとおりです。
• 100100 ~ 100110 の範囲内のシステム ログ メッセージ ID
• critical レベル以上(emergency、alert、または critical)のすべてのシステム ログ メッセージ
• warning レベル以上(emergency、alert、critical、error、または warning)のすべての VPN クラスのシステム ログ メッセージ
これらの条件のいずれかが満たされる場合、そのシステム ログ メッセージが記録されます。1 つのシステム ログ メッセージが複数の条件を満たしていても、そのメッセージは 1 回しか記録されません。
ここでは、ログ設定を調整する、その他のオプションについて説明します。内容は次のとおりです。
• 「システム ログ メッセージでのデバイス ID の表示」
FWSM には、設定された出力先に送信するまでの間、システム ログ メッセージを格納しておくバッファ用に割り当て可能な固定数のメモリ ブロックがあります。必要なブロック数は、システム ログ メッセージ キューの長さと、指定された Syslog サーバの数によって左右されます。
FWSM が設定された出力先に送信するまで、キューに格納できるシステム ログ メッセージ数を指定するには、次のコマンドを入力します。
ここで、 message_count 変数は、処理に先立ってシステム ログ メッセージ キューに格納できるシステム ログ メッセージ数を表します。デフォルトでは、512 個のシステム ログ メッセージを格納できます。0(ゼロ)の設定値は、無限のシステム ログ メッセージを表します。つまり、使用可能なブロック メモリによってのみキューのサイズが制限されます。
キューおよびキューの統計情報を表示するには、次のコマンドを入力します。
システム ログ メッセージが生成された日付および時刻をメッセージに含めるには、次のコマンドを入力します。
EMBLEM 以外のフォーマットのシステム ログ メッセージにデバイス ID を含めるように FWSM を設定するには、次のコマンドを入力します。
context-name ― 現在のコンテキスト名をデバイス ID として使用します(複数コンテキスト モードで動作している FWSM にのみ適用されます)。
hostname ― FWSM のホスト名をデバイス ID として使用します。
ipaddress interface_name ― interface_name で指定するインターフェイスの IP アドレスをデバイス ID として使用します。
ipaddress オプションを使用すると、システム ログ メッセージの送信元のインターフェイスとは無関係に、デバイス ID は特定の FWSM インターフェイスの IP アドレスになります。このキーワードは、デバイスから送信されたすべてのシステム ログ メッセージに、一定のデバイス ID を提供します。
string text ― text オプションで入力する文字をデバイス ID として使用します。最大 16 文字のストリングを指定できます。 text には、スペース文字または次の文字を使用することはできません。
(注) デバイス ID をイネーブルにしても、EMBLEM フォーマットのシステム ログ メッセージまたは SNMP トラップには、デバイス ID は表示されません。
次に、FWSM でロギング デバイス ID をイネーブルにする例を示します。
次に、FWSM 上のセキュリティ コンテキストでロギング デバイス ID をイネーブルにする例を示します。
複数コンテキスト モードの admin コンテキストでロギング デバイス ID をイネーブルにすると、システム実行スペースで発生したメッセージは、 system というデバイス ID を使用し、admin コンテキストで発生したメッセージは、その admin コンテキストの名前をデバイス ID として使用します。
Syslog サーバ以外の出力先に送信されるシステム ログ メッセージに、EMBLEM フォーマットを使用するには、次のコマンドを入力します。
#
logging emblem
UDP を使用して Syslog サーバに送信するシステム ログ メッセージに、EMBLEM フォーマットを適用するには、Syslog サーバを出力先として設定するときに、 format emblem オプションを指定します。次のコマンドを入力します。
#
logging host interface_name ip_address {tcp[/port] | udp[/port]} [format emblem]
interface_name および IP_address は、システム ログ メッセージを受信する Syslog サーバを指定します。 tcp [/ port ] および udp [/ port ] は、使用するプロトコルおよびポートを表します。 format emblem は、Syslog サーバに送信されるメッセージについて EMBLEM フォーマットを有効にします。
FWSM は、UDP または TCP のどちらのプロトコルを使用してもシステム ログ メッセージを送信できます。ただし、EMBLEM フォーマットを有効にできるのは、UDP を使用して送信されるメッセージだけです。デフォルトのプロトコルおよびポートは、UDP/514 です。
#
logging host interface_1 122.243.006.123 udp format emblem
FWSM が特定のシステム ログ メッセージを生成しないようにするには、次のコマンドを入力します。
#
no logging message message_number
#
#
no logging message 113019
#
ディセーブルにしたシステム ログ メッセージを再びイネーブルにするには、次のコマンドを入力します。
#
logging message message_number
#
logging message 113019
#
ディセーブルになっているシステム ログ メッセージの一覧を表示するには、次のコマンドを入力します。
#
show logging message
ディセーブルにしたすべてのシステム ログ メッセージのログを再びイネーブルにするには、次のコマンドを入力します。
#
clear config logging disabled
システム ログ メッセージのログ レベルを指定するには、次のコマンドを入力します。
#
logging message message_ID level severity_level
次に、システム ログ メッセージ ID 113019 の重大度を 4(warning)から 5(notification)に変更する例を示します。
#
logging message 113019 level 5
#
システム ログ メッセージのログ レベルをデフォルトの重大度に戻すには、次のコマンドを入力します。
#
logging message message_ID level severity_level
次に、システム ログ メッセージ ID 113019 の重大度をデフォルト値の 4(warning)に戻す例を示します。
#
no logging message 113019 level 5
#
重大度を変更しているシステム ログ メッセージの一覧を表示するには、次のコマンドを入力します。
#
show logging message
変更したシステム ログ メッセージの重大度をすべてデフォルトに戻すには、次のコマンドを入力します。
#
clear config logging level
#
次に示す一連のコマンドは、 logging message コマンドを使用して、システム ログ メッセージの有無および重大度を制御する例を示しています。
FWSM でログ バッファの内容を内部フラッシュ メモリに保存する方法には、次の 2 通りがあります。
• ログ バッファが満杯になるたびに、バッファの内容を内部フラッシュ メモリに保存するようにログ動作を設定する。
• ログ バッファの現在の内容を内部フラッシュ メモリに即時に保存するコマンドを、FWSM に入力する。
デフォルトでは、FWSM は最大 1 MB の内部フラッシュ メモリをデータのログに使用できます。FWSM がログ データを保存するために最低限必要な内部フラッシュ メモリの空き容量は、デフォルトで 3 MB です。
内部フラッシュ メモリに保存するログ ファイルによって、内部フラッシュ メモリの空き容量が、設定済みの最小値に満たなくなる場合には、FWSM は最も古いログ ファイルを削除して、新しいログ ファイルの保存後に最小の空き容量が確保されるようにします。削除するファイルがない場合、または古いファイルをすべて削除しても空き容量が最小値に達しない場合は、FWSM は新しいログ ファイルを保存できません。
ログに使用できる内部フラッシュ メモリの容量を変更するには、次の作業を行います。
ステップ 1 次のコマンドを入力し、ログ ファイルに使用できる内部フラッシュ メモリの最大容量を指定します。
ここで、 kbytes は、ログ ファイルの保存に使用できる内部フラッシュ メモリの最大容量(単位:キロバイト)を表します。
次の例では、ログ ファイルに使用できる内部フラッシュ メモリの最大容量を約 1.2 MB に設定します。
ステップ 2 次のコマンドを入力し、FWSM がログ ファイルを保存するために最低限必要な内部フラッシュ メモリの空き容量を指定します。
ここで、 kbytes は、FWSM が新しいログ ファイルを保存するために最低限必要な内部フラッシュ メモリの空き容量(単位:キロバイト)を表します。
次の例では、FWSM が新しいログ ファイルを保存するために最低限必要な内部フラッシュ メモリの空き容量を 4000 KB に設定します。
ここでは、FWSM で生成されるシステム ログ メッセージの内容について説明します。内容は次のとおりです。
• 「重大度」
システム ログ メッセージは、パーセント符号(%)で始まります。メッセージの形式は、次のとおりです。
FWSM が生成したメッセージのシステム ログ メッセージ ファシリティ コードを表します。この値は常に FWSM です。 |
|
1~7。システム ログ メッセージで記述される状態の重大度を表します。番号が小さいほど、重大度が高くなります。詳細については、 表1-3 を参照してください。 |
|
状況を説明するテキスト ストリング。システム ログ メッセージのテキストには、IP アドレス、ポート番号、またはユーザ名が含まれていることがあります。 表1-4 に、変数フィールドと、各フィールドの情報タイプを示します。 |
表1-3 に、システム ログ メッセージの重大度を示します。
|
|
|
---|---|---|
付録 A「重大度別のメッセージ」 に、重大度別のシステム ログ メッセージを記載しています。
(注) FWSM では、重大度 0(emergencies)のシステム ログ メッセージは生成されません。logging コマンドには、UNIX のシステム ログ機能との互換性を確保するためにレベル 0 が用意されていますが、FWSM ではこのレベルを使用しません。
システム ログ メッセージには変数が含まれる場合が多くあります。 表1-4 に、このマニュアルでシステム ログ メッセージの説明に使用されている主な変数を示します。1 種類のシステム ログ メッセージでしか使用されない変数は省略しています。
|
|
---|---|
command_modifier は、次のいずれかのストリングです。 |
|
メモリのストレージ装置。たとえば、フロッピー ディスク、内部フラッシュ メモリ、TFTP、フェールオーバー スタンバイ装置、コンソール端末など。 |
|
外部 IP アドレス、通常は外部ルータの外側にあるネットワークのセキュリティ レベルの低いインターフェイス上の Syslog サーバのアドレス |
|
ここでは、システム ログの設定およびモニタ用に FWSM 上で使用できるロギング コマンドの一覧と、各コマンドの簡単な説明を示します。コマンドに関する詳しい説明は、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』を参照してください。
表1-5 に、FWSM 上でシステム ログの設定およびモニタに使用できるコマンドを示します。