システム メッセージ ロギングの設定

この章は、次の項で構成されています。

システム メッセージ ロギングの概要

システム メッセージ ロギングを使用して宛先を制御し、システム プロセスが生成するメッセージの重大度をフィルタリングできます。端末セッション、ログ ファイル、およびリモート システム上の Syslog サーバへのロギングを設定できます。

システム メッセージ ロギングは RFC 3164 に準拠しています。システム メッセージのフォーマットおよびデバイスが生成するメッセージの詳細については、『Cisco NX-OS System Messages Reference』を参照してください。

デフォルトでは、Cisco Nexus デバイスはメッセージをターミナル セッションへ出力します。

デフォルトでは、スイッチはシステム メッセージをログ ファイルに記録します。

次の表に、システム メッセージで使用されている重大度を示します。重大度を設定する場合、システムはそのレベル以下のメッセージを出力します。

表 1. システム メッセージの重大度

レベル

説明

0:緊急

システムが使用不可

1:アラート

即時処理が必要

2:クリティカル

クリティカル状態

3:エラー

エラー状態

4:警告

警告状態

5:通知

正常だが注意を要する状態

6:情報

単なる情報メッセージ

7:デバッグ

デバッグ実行時にのみ表示

重大度 0、1、または 2 の最新のメッセージを 100 個まで不揮発性 RAM(NVRAM)ログに記録します。NVRAM へのロギングは設定できません。

メッセージを生成したファシリティと重大度に基づいて記録するシステム メッセージを設定できます。

Syslog サーバ

syslog サーバは、syslog プロトコルに基づいてシステム メッセージを記録するよう設定されたリモート システムで稼働します。最大 8 台の syslog サーバにログを送信するように Cisco Nexus シリーズ スイッチを設定できます。

ファブリック内のすべてのスイッチで syslog サーバの同じ設定をサポートするために、Cisco Fabric Services(CFS)を使用して syslog サーバ設定を配布できます。


(注)  

スイッチを最初に初期化する場合、ネットワークが初期化されてからメッセージが Syslog サーバに送信されます。

セキュアな Syslog サーバ

Cisco NX-OS リリース 9.2(1) 以降では、リモート ロギング サーバへのセキュアな TLS トランスポート接続をサポートするように Syslog サーバを設定できます。さらに、相互認証の設定によって NX-OS スイッチ(クライアント)のアイデンティティを強化することができます。NX-OS スイッチの場合、この機能は TLSv1.1 および TLSv1.2 をサポートします。

セキュアな Syslog サーバの機能では、デバイス認証および暗号化を提供するために TCP/TLS トランスポートおよびセキュリティ プロトコルを使用します。この機能を使用すると、(クライアントとして機能している)Cisco NX-OS デバイスが、ロギングにセキュアな接続をサポートする(サーバとして機能している)リモート Syslog サーバに対してセキュアな暗号化されたアウトバウンド接続を確立できるようになります。認証と暗号化により、この機能では、セキュリティ保護されていないネットワーク上でもセキュアな通信を実現できます。

システム メッセージ ロギングのライセンス要件

製品

ライセンス要件

Cisco NX-OS

システム メッセージ ロギングにライセンスは不要です。ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。

システム メッセージ ロギングの注意事項および制約事項

システム メッセージ ロギングには、次の注意事項と制約事項があります。

  • システム メッセージは、デフォルトでコンソールおよびログ ファイルに記録されます。

  • Cisco Nexus 3000 シリーズのプラットフォームの Syslog は、MAC の衝突イベントを示します。syslog メッセージには、送信元 MAC アドレス、VLAN、内部ポートの番号情報などの詳細が含まれています。さまざまなセットアップで観察されるように、テーブルの使用率が約 75 % になると、MAC の衝突は普通に発生し、予想されるものです。次の syslog の例を参照してください。 2015 Mar 26 06:20:37 switch%-SLOT1-5-BCM_L2_HASH_COLLISION: L2 ENTRY unit=0 mac=00:11:11:f7:46:40 vlan=1998 port=0x0800082e.

  • Cisco NX-OS リリース 9.2(1) 以降では、リモート ロギング サーバへのセキュアな TLS トランスポート接続をサポートするように Syslog サーバを設定できます。この機能は、TLSv1.1 および TLSv1.2 をサポートします。

システム メッセージ ロギングのデフォルト設定

次の表に、システム メッセージ ロギング パラメータのデフォルト設定を示します。

表 2. デフォルトのシステム メッセージ ロギング パラメータ

パラメータ(Parameters)

デフォルト

コンソール ロギング

重大度 2 でイネーブル

モニタ ロギング

重大度 2 でイネーブル

ログ ファイル ロギング

重大度 5 のメッセージ ロギングがイネーブル

モジュール ロギング

重大度 5 でイネーブル

ファシリティ ロギング

イネーブル

タイムスタンプ単位

Syslog サーバ ロギング

ディセーブル

Syslog サーバ設定の配布

ディセーブル

システム メッセージ ロギングの設定

ターミナル セッションへのシステム メッセージ ロギングの設定

コンソール、Telnet、およびセキュア シェル セッションに対する重大度によって、メッセージを記録するようスイッチを設定できます。

デフォルトでは、ターミナル セッションでロギングはイネーブルです。

手順

  コマンドまたはアクション 目的
ステップ 1

switch# terminal monitor

コンソールから現在の端末セッションに syslog メッセージをコピーします。

ステップ 2

switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

switch(config)# logging console [severity-level]

指定された重大度(またはそれ以上)に基づくコンソール セッションへのメッセージの記録をイネーブルにします(数字が小さいほうが重大度が高いことを示します)。重大度は 0 ~ 7 の範囲です。

  • 0:緊急

  • 1:アラート

  • 2:クリティカル

  • 3:エラー

  • 4:警告

  • 5:通知

  • 6:情報

  • 7:デバッグ

重大度が指定されていない場合、デフォルトの 2 が使用されます。

ステップ 4

(任意) switch(config)# no logging console [severity-level]

(任意)

コンソールへのロギング メッセージをディセーブルにします。

ステップ 5

switch(config)# logging monitor [severity-level]

指定された重大度(またはそれ以上)に基づくモニタへのメッセージの記録をイネーブルにします(数字が小さいほうが重大度が高いことを示します)。重大度は 0 ~ 7 の範囲です。

  • 0:緊急

  • 1:アラート

  • 2:クリティカル

  • 3:エラー

  • 4:警告

  • 5:通知

  • 6:情報

  • 7:デバッグ

重大度が指定されていない場合、デフォルトの 2 が使用されます。

設定は Telnet および SSH セッションに適用されます。

ステップ 6

(任意) switch(config)# no logging monitor [severity-level]

(任意)

Telnet および SSH セッションへのメッセージ ロギングをディセーブルにします。

ステップ 7

(任意) switch# show logging console

(任意)

コンソール ロギング設定を表示します。

ステップ 8

(任意) switch# show logging monitor

(任意)

モニタ ロギング設定を表示します。

ステップ 9

(任意) switch# copy running-config startup-config

(任意)

実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

次に、コンソールのロギング レベルを 3 に設定する例を示します。 

switch# configure terminal

switch(config)# logging console 3

次に、コンソールのロギングの設定を表示する例を示します。 

switch# show logging console

Logging console:                enabled (Severity: error)

次に、コンソールのロギングをディセーブルにする例を示します。 

switch# configure terminal

switch(config)# no logging console

次に、ターミナル セッションのロギング レベルを 4 に設定する例を示します。 

switch# terminal monitor

switch# configure terminal

switch(config)# logging monitor 4

次に、ターミナル セッションのロギングの設定を表示する例を示します。 

switch# show logging monitor

Logging monitor:                enabled (Severity: warning)

次に、ターミナル セッションのロギングをディセーブルにする例を示します。 

switch# configure terminal

switch(config)# no logging monitor

ファイルへのシステム メッセージ ロギングの設定

システム メッセージをファイルに記録するようスイッチを設定できます。デフォルトでは、システム メッセージはファイル log:messages に記録されます。

手順

  コマンドまたはアクション 目的
ステップ 1

switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# logging logfile logfile-name severity-level [ size bytes]

システム メッセージを保存するのに使用するログ ファイルの名前と、記録する最小重大度を設定します。任意で最大ファイル サイズを指定できます。デフォルトの重大度は 5 です。ファイル サイズは 4194304 です。

重大度は 0 ~ 7 の範囲です。

  • 0:緊急

  • 1:アラート

  • 2:クリティカル

  • 3:エラー

  • 4:警告

  • 5:通知

  • 6:情報

  • 7:デバッグ

ファイル サイズは 4096 ~ 10485760 バイトです。

ステップ 3

(任意) switch(config)# no logging logfile [logfile-name severity-level [ size bytes]]

(任意)

ログ ファイルへのロギングをディセーブルにします。任意で最大ファイル サイズを指定できます。デフォルトの重大度は 5 です。ファイル サイズは 4194304 です。

ステップ 4

(任意) switch# show logging info

(任意)

ロギング設定を表示します。任意で最大ファイル サイズを指定できます。デフォルトの重大度は 5 です。ファイル サイズは 4194304 です。

ステップ 5

(任意) switch# copy running-config startup-config

(任意)

実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

次に、システム メッセージをファイルに記録するようスイッチを設定する例を示します。 

switch# configure terminal
switch(config)# logging logfile my_log 6 size 4194304

次の例は、ロギング設定の表示方法を示しています(簡潔にするため、一部の出力が削除されています)。 

switch# show logging info
Logging console:                enabled (Severity: debugging)
Logging monitor:                enabled (Severity: debugging)

Logging timestamp:              Seconds
Logging server:                 disabled
Logging logfile:                enabled
        Name - my_log: Severity - informational Size - 4194304
Facility        Default Severity        Current Session Severity
--------        ----------------        ------------------------
aaa                     3                       3
aclmgr                  3                       3
afm                     3                       3
altos                   3                       3
auth                    0                       0
authpriv                3                       3
bootvar                 5                       5
callhome                2                       2
capability              2                       2
cdp                     2                       2
cert_enroll             2                       2
...

モジュールおよびファシリティ メッセージのロギングの設定

モジュールおよびファシリティに基づいて記録するメッセージの重大度およびタイムスタンプの単位を設定できます。

手順

  コマンドまたはアクション 目的
ステップ 1

switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# logging module [severity-level]

指定された重大度またはそれ以上の重大度であるモジュール ログ メッセージをイネーブルにします。重大度は 0 ~ 7 の範囲です。

  • 0:緊急

  • 1:アラート

  • 2:クリティカル

  • 3:エラー

  • 4:警告

  • 5:通知

  • 6:情報

  • 7:デバッグ

重大度が指定されていない場合、デフォルトの 5 が使用されます。

ステップ 3

switch(config)# logging level facility severity-level

指定された重大度またはそれ以上の重大度である指定のファシリティからのロギング メッセージをイネーブルにします。重大度は 0 ~ 7 です。

  • 0:緊急

  • 1:アラート

  • 2:クリティカル

  • 3:エラー

  • 4:警告

  • 5:通知

  • 6:情報

  • 7:デバッグ

同じ重大度をすべてのファシリティに適用するには、all ファシリティを使用します。デフォルト値については、show logging level コマンドを参照してください。

(注)   

リリース 7.0(3)I2(1) 以降、BCM_USD、ETHPC、FWM、および NOHMS プロセスのログ レベルは設定できません。BCM_USD プロセスの場合、attach module 1 コマンドを使用して、ログ レベルを設定します。

(注)   

コンポーネントの現行セッションの重大度がデフォルトの重大度と同じ場合には、実行中のコンフィギュレーションでそのコンポーネントのログ レベルが表示されないことが予想されます。デフォルトのログ レベルは、実行中のコンフィギュレーションでは表示されませんが、show logging level コマンドで表示されます。

ステップ 4

(任意) switch(config)# no logging module [severity-level]

(任意)

モジュール ログ メッセージをディセーブルにします。

ステップ 5

(任意) switch(config)# no logging level [facility severity-level]

(任意)

指定されたファシリティのロギング重大度をデフォルト レベルにリセットします。ファシリティおよび重大度を指定しないと、スイッチはすべてのファシリティをデフォルト レベルにリセットします。

ステップ 6

(任意) switch# show logging module

(任意)

モジュール ロギング設定を表示します。

ステップ 7

(任意) switch# show logging level [facility]

(任意)

ファシリティごとに、ロギング レベル設定およびシステムのデフォルト レベルを表示します。ファシリティを指定しないと、スイッチはすべてのファシリティのレベルを表示します。

ステップ 8

(任意) switch# copy running-config startup-config

(任意)

実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

次に、モジュールおよび特定のファシリティ メッセージの重大度を設定する例を示します。 

switch# configure terminal

switch(config)# logging module 3

switch(config)# logging level aaa 2

ロギング タイムスタンプの設定

Cisco Nexus シリーズ スイッチによって記録されるメッセージのタイムスタンプの単位を設定できます。

手順

  コマンドまたはアクション 目的
ステップ 1

switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# logging timestamp {microseconds | milliseconds | seconds }

ロギング タイムスタンプ単位を設定します。デフォルトでは、単位は秒です。

ステップ 3

(任意) switch(config)# no logging timestamp {microseconds | milliseconds | seconds }

(任意)

ロギング タイムスタンプ単位をデフォルトの秒にリセットします。

ステップ 4

(任意) switch# show logging timestamp

(任意)

設定されたロギング タイムスタンプ単位を表示します。

ステップ 5

(任意) switch# copy running-config startup-config

(任意)

実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

次に、メッセージのタイムスタンプ単位を設定する例を示します。 

switch# configure terminal
switch(config)# logging timestamp milliseconds
switch(config)# exit
switch# show logging timestamp
Logging timestamp:              Milliseconds

ACL ロギング キャッシュの設定

手順

  コマンドまたはアクション 目的
ステップ 1

switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# logging ip access-list cache entries num_entries

ソフトウェア内にキャッシュする最大ログ エントリ数を設定します。範囲は 0 ~ 1000000 エントリです。デフォルト値は 8000 エントリです。
ステップ 3

switch(config)# logging ip access-list cache interval seconds

ログの更新の間隔を秒数で設定します。この時間中エントリが非アクティブの場合、キャッシュから削除されます。指定できる範囲は 5 ~ 86400 秒です。デフォルト値は 300 秒です。
ステップ 4

switch(config)# logging ip access-list cache threshold num_packets

エントリがログに記録されるまでに一致するパケット数を設定します。範囲は 0 ~ 1000000 パケットです。デフォルト値は 0 パケットです。つまり、パケットの一致数によってロギングがトリガーされることはありません。
ステップ 5

(任意) switch(config)# copy running-config startup-config

(任意)

リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。

次に、ログ エントリの最大数を 5000、間隔を 120 秒、しきい値を 500000 に設定する例を示します。

switch# configure terminal
switch(config)# logging ip access-list cache entries 5000
switch(config)# logging ip access-list cache interval 120
switch(config)# logging ip access-list cache threshold 500000
switch(config)# copy running-config startup-config

インターフェイスへの ACL ロギングの適用

始める前に

  • ロギング用に設定された少なくとも 1 つのアクセス コントロール エントリ(ACE)で IP アクセス リストを作成します。

  • ACL ロギング キャッシュを設定します。

  • ACL ログの一致レベルを設定します。

手順

  コマンドまたはアクション 目的
ステップ 1

switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# interface mgmt0

mgmt0 インターフェイスを指定します。
ステップ 3

switch(config-if)# ip access-group name in

指定したインターフェイスの入力トラフィックで ACL ロギングをイネーブルにします。
ステップ 4

(任意) switch(config-if)# copy running-config startup-config

(任意)

リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。

次に、すべての入力トラフィックに対して acl1 で指定されたロギングに mgmt0 インターフェイスを適用する例を示します。 

switch# configure terminal
switch(config)# interface mgmt0
switch(config-if)# ip access-group acl1 in
switch(config-if)# copy running-config startup-config

Source-Interface ロギングの設定

syslog メッセージがどのインターフェイスを使用してルータを出るかにかかわらず、syslog サーバに送信されるすべてのシステム ロギング(syslog)メッセージに、送信元アドレスと同じ IP アドレスを含めるように設定できます。送信元インターフェイスで指定されている syslog パケットにユーザ設定の送信元 IP を設定できます。


(注)  

有効な IP アドレスが割り当てられていない場合、syslog が作成され、メッセージが出口インターフェイス IP アドレスとともに送信されます。

手順

  コマンドまたはアクション 目的
ステップ 1

switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# [no ] logging source-interface [ ethernet slot/port | loopback interface-number | mgmt interface-number | port-channel port channel-number | vlan interface-number | tunnel interface-number]

  • ethernet:イーサネット オプションの送信元インターフェイスの範囲は 1 ~ 253 です。

  • loopback:ループバック オプションの送信元インターフェイスの範囲は 1 ~ 1023 です。

  • mgmt:管理オプションの送信元インターフェイスのインターフェイス番号は 0 です。

  • port-channel:ポート チャネル オプションの送信元インターフェイスの範囲は 1 ~ 4096 です。

ステップ 3

(任意) switch(config)# copy running-config startup-config

(任意)

リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。

次に、送信元インターフェイスをイーサネット インターフェイスとして設定する例を示します。

switch# configure terminal
switch(config)# logging source-interface ethernet 2/1
switch(config)# copy running-config startup-config

ACL ログの一致レベルの設定

手順

  コマンドまたはアクション 目的
ステップ 1

switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# acllog match-log-level number

ACL ログ(acllog)で記録されるエントリと一致するようにログ レベルを指定します。number は 0 ~ 7 までの値です。デフォルト値は 6 です。
(注)   

ログに入力するログ メッセージでは、ACL ログ ファシリティ(acllog)のログ レベルとログ ファイルのロギング重大度は、ACL ログの一致ログ レベル設定よりも大きいか、同じです。詳細については、モジュールおよびファシリティ メッセージのロギングの設定およびファイルへのシステム メッセージ ロギングの設定を参照してください。

ステップ 3

(任意) switch(config)# copy running-config startup-config

(任意)

リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。

syslog サーバの設定

システム メッセージを記録する、リモート システムを参照する syslog サーバを最大で 8 台設定できます。


(注)  
シスコは、管理仮想ルーティングおよび転送(VRF)インスタンスを使用するサーバとして、syslog サーバを設定することを推奨します。VRF の詳細情報については、『Cisco Nexus 3000 Series NX-OS Unicast Routing Configuration Guide』を参照してください。

手順

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

switch# configure terminal
switch(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

logging server host [severity-level [ use-vrf vrf-name [ facility facility]]]

例:

switch(config)# logging server 172.28.254.254 5 
use-vrf default facility local3

ホストが syslog メッセージを受信するように設定します。

  • host 引数は、syslog サーバ ホストのホスト名または IPv4 または IPv6 アドレスを示します。

  • severity-level 引数は、指定したレベルに syslog サーバへのメッセージのロギングを制限します。重大度は 0 ~ 7 の範囲です。表 1を参照してください。

  • use vrf vrf-name キーワードと引数は、Virtual Routing and Forwarding(VRF)名の default または management 値を示します。特定の VRF が指定されない場合は、management がデフォルトです。ただし、management が設定されているときは、それがデフォルトであるため、show-running コマンドの出力には表示されません。特定の VRF が設定されている場合、show-running コマンドの出力には、各サーバの VRF が表示されます。

    (注)   

    現在の Cisco Fabric Services(CFS)配信では VRF をサポートしていません。CFS 配信がイネーブルの場合、デフォルト VRF で設定されているロギング サーバは管理 VRF として配布されます。

  • facility 引数は syslog ファシリティ タイプを指定します。デフォルトの発信ファシリティは local7 です。

    ファシリティは、使用している Cisco Nexus シリーズ ソフトウェアのコマンド リファレンスに記載されています。

(注)   

デバッグは CLI ファシリティですが、デバッグの syslog はサーバに送信されません。

ステップ 3

(任意) no logging server host

例:

switch(config)# no logging server 172.28.254.254 5
 (任意)

指定されたホストのロギング サーバを削除します。

ステップ 4

(任意) show logging server

例:

switch# show logging server
 (任意)

Syslog サーバ設定を表示します。

ステップ 5

(任意) copy running-config startup-config

例:

switch(config)# copy running-config startup-config
(任意)

リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。

次に、syslog サーバを設定する例を示します。 

switch# configure terminal
switch(config)# logging server 172.28.254.254 5 
use-vrf default facility local3

switch# configure terminal
switch(config)# logging server 172.28.254.254 5 use-vrf management facility local3

UNIX または Linux システムでの syslog の設定

/etc/syslog.conf ファイルに次の行を追加して、UNIX または Linux システム上に syslog サーバを設定できます。 

facility.level <five tab characters> action

次の表に、設定可能な syslog フィールドを示します。

表 3. syslog.conf の syslog フィールド

フィールド

説明

Facility

メッセージの作成者。auth、authpriv、cron、daemon、kern、lpr、mail、mark、news、syslog、user、local0 ~ local7 です。アスタリスク(*)を使用するとすべてを指定します。これらのファシリティ指定により、発信元に基づいてメッセージの宛先を制御できます。

(注)   

ローカル ファシリティを使用する前に設定をチェックします。

Level

メッセージを記録する最小重大度。debug、info、notice、warning、err、crit、alert、emerg です。アスタリスク(*)を使用するとすべてを指定します。none を使用するとファシリティをディセーブルにできます。

Action

メッセージの宛先。ファイル名、前にアット マーク(@)が付いたホスト名、カンマで区切られたユーザ リストです。アスタリスク(*)を使用するとすべてのログイン ユーザを指定します。

手順

ステップ 1

/etc/syslog.conf ファイルに次の行を追加して、ファイル /var/log/myfile.log に local7 ファシリティのデバッグ メッセージを記録します。 

debug.local7             /var/log/myfile.log
ステップ 2

シェル プロンプトで次のコマンドを入力して、ログ ファイルを作成します。 

$ touch /var/log/myfile.log
$ chmod 666 /var/log/myfile.log
ステップ 3

次のコマンドを入力して、システム メッセージ ロギング デーモンが myfile.log をチェックして、新しい変更を取得するようにします。 

$ kill -HUP ~cat /etc/syslog.pid~

セキュアな Syslog サーバの設定

手順

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

switch# configure terminal
switch(config)#

グローバル コンフィギュレーション モードを開始します。
ステップ 2

[no ] logging server host [severity-level [ port port-number][secure [trustpoint client-identity trustpoint-name]][use-vrf vrf-name]]

例:

switch(config)# logging server 192.0.2.253 secure

例:

switch(config)# logging server 2001::3 5 secure trustpoint client-identity myCA use-vrf red

指定されたホスト名、あるいは IPv4 または IPv6 アドレスで Syslog サーバを設定します。必要に応じて、CA によって署名されるクライアント アイデンティティ証明書をインストールし、trustpoint client-identity オプションを使用することで相互認証を適用できます。

セキュアな TLS 接続のデフォルト宛先ポートは 6514 です。

ステップ 3

(任意) logging source-interface interface name

例:

switch(config)# logging source-interface lo0
 (任意)

リモート Syslog サーバの送信元インターフェイスをイネーブルにします。
ステップ 4

(任意) show logging server

例:

switch(config)# show logging server
 (任意)

Syslog サーバ設定を表示します。secure オプションを設定する場合、出力のエントリにトランスポート情報が含まれるようになります。デフォルトでは、secure オプションが設定されていない場合、トランスポートは UDP です。

ステップ 5

(任意) copy running-config startup-config

例:

switch(config)# copy running-config startup-config
(任意)

実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

CA 証明書の設定

セキュアな Syslog 機能のサポートには、トラストポイントの設定によってリモート サーバを認証する必要があります。

手順

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

switch# configure terminal
switch(config)#

グローバル コンフィギュレーション モードを開始します。
ステップ 2

[no ] crypto ca trustpoint trustpoint-name

例:

switch(config)# crypto ca trustpoint winca
switch(config-trustpoint)#

トラストポイントを設定します。

(注)   
トラストポイントの設定の前に ip domain-name を設定する必要があります。
ステップ 3

crypto ca authenticate trustpoint-name

例:

switch(config-trustpoint)# crypto ca authenticate winca

トラストポイントの CA 証明書を設定します。
ステップ 4

(任意) show crypto ca certificate

例:

switch(config)# show crypto ca certificates
 (任意)

設定されている証明書/チェーンと、関連付けられているトラストポイントを表示します。
ステップ 5

(任意) copy running-config startup-config

例:

switch(config)# copy running-config startup-config
(任意)

デバイスのリロード後にトラストポイントが持続されるように、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

CA 証明書の登録

NX-OS スイッチ(クライアント)が識別するようリモートサーバによって要求される相互認証では、ピア認証が必須であるため、これは証明書をスイッチに登録するための追加設定です。

手順

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

switch# configure terminal
switch(config)#

グローバル コンフィギュレーション モードを開始します。
ステップ 2

crypto key generate rsa label key name exportable modules 2048

例:

switch(config-trustpoint)# crypto key generate rsa label myKey exportable modulus 2048

RSA キー ペアを設定します。デフォルトでは、Cisco NX-OS ソフトウェアは 1024 ビットの RSA キーを作成します。
ステップ 3

[no ] crypto ca trustpoint trustpoint-name

例:

switch(config)# crypto ca trustpoint myCA
switch(config-trustpoint)#

トラストポイントを設定します。

(注)   
トラストポイントの設定の前に ip domain-name を設定する必要があります。
ステップ 4

rsakeypair key-name

例:

switch(config-trustpoint)# rsakeypair myKey

トラストポイント CA に生成されたキーペアを関連付けます。
ステップ 5

crypto ca trustpoint trustpoint-name

例:

switch(config)# crypto ca authenticate myCA

トラストポイントの CA 証明書を設定します。
ステップ 6

[no ] crypto ca enroll trustpoint-name

例:

switch(config)# crypto ca enroll myCA

CA に登録するスイッチのアイデンティティ証明書を生成します。
ステップ 7

crypto ca import trustpoint-namecertificate

例:

switch(config-trustpoint)# crypto ca import myCA certificate

CA によって署名されたアイデンティティ証明書をスイッチにインポートします。
ステップ 8

(任意) show crypto ca certificates

例:

switch# show crypto ca certificates
 (任意)

設定されている証明書またはチェーンと、関連付けられているトラストポイントを表示します。
ステップ 9

copy running-config startup-config

例:

switch# copy running-config startup-config

実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

syslog サーバ設定の配布の設定

Cisco Fabric Services(CFS)インフラストラクチャを使用して、ネットワーク内の他のスイッチへ Syslog サーバ設定を配布できます。

Syslog サーバ設定の配布をイネーブルにすると、配布設定をコミットする前に Syslog サーバ設定を変更し、保留中の変更を表示できます。配布がイネーブルである限り、スイッチは Syslog サーバ設定に対する保留中の変更を維持します。


(注)  

スイッチを再起動すると、揮発性メモリに保存されている syslog サーバ設定の変更は失われることがあります。

始める前に

1 つまたは複数の syslog サーバを設定しておく必要があります。

手順

  コマンドまたはアクション 目的
ステップ 1

switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# logging distribute

CFS インフラストラクチャを使用して、ネットワーク スイッチへの syslog サーバ設定の配布をイネーブルにします。デフォルトでは、配布はディセーブルです。

ステップ 3

switch(config)# logging commit

ファブリック内のスイッチへ配布するための Syslog サーバ設定に対する保留中の変更をコミットします。

ステップ 4

switch(config)# logging abort

Syslog サーバ設定に対する保留中の変更をキャンセルします。

ステップ 5

(任意) switch(config)# no logging distribute

(任意)

CFS インフラストラクチャを使用して、ネットワーク スイッチへの syslog サーバ設定の配布をディセーブルにします。設定変更が保留中の場合は、配布をディセーブルにできません。logging commit および logging abort コマンドを参照してください。デフォルトでは、配布はディセーブルです。

ステップ 6

(任意) switch# show logging pending

(任意)

Syslog サーバ設定に対する保留中の変更を表示します。

ステップ 7

(任意) switch# show logging pending-diff

(任意)

syslog サーバ設定の保留中の変更に対して、現在の syslog サーバ設定との違いを表示します。

ステップ 8

(任意) switch# copy running-config startup-config

(任意)

実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

ログ ファイルの表示およびクリア

ログ ファイルおよび NVRAM のメッセージを表示したり消去したりできます。

手順

  コマンドまたはアクション 目的
ステップ 1

switch# show logging last number-lines

ロギング ファイルの最終行番号を表示します。最終行番号には 1 ~ 9999 を指定できます。

ステップ 2

switch# show logging logfile [ start-time yyyy mmm dd hh:mm:ss] [ end-time yyyy mmm dd hh:mm:ss]

入力されたスパン内にタイム スタンプがあるログ ファイルのメッセージを表示します。終了時間を入力しないと、現在の時間が使用されます。月の時間フィールドには 3 文字を、年と日の時間フィールドには数値を入力します。

ステップ 3

switch# show logging nvram [ last number-lines]

NVRAM のメッセージを表示します。表示される行数を制限するには、表示する最終行番号を入力できます。最終行番号には 1 ~ 100 を指定できます。

ステップ 4

switch# clear logging logfile

ログ ファイルの内容をクリアします。

ステップ 5

switch# clear logging nvram

NVRAM の記録されたメッセージをクリアします。

次に、ログ ファイルのメッセージを表示する例を示します。 

switch# show logging last 40

switch# show logging logfile start-time 2007 nov 1 15:10:0

switch# show logging nvram last 10

次に、ログ ファイルのメッセージをクリアする例を示します。 

switch# clear logging logfile

switch# clear logging nvram

システム メッセージ ロギングの設定確認

システム メッセージのロギング設定情報を確認するには、次のコマンドを使用します。

コマンド

目的

show logging console

コンソール ロギング設定を表示します。

show logging info

ロギング設定を表示します。

show logging ip access-list cache

IP アクセス リスト キャッシュを表示します。

show logging ip access-list cache detail

IP アクセス リスト キャッシュに関する詳細情報を表示します。

show logging ip access-list status

IP アクセス リスト キャッシュのステータスを表示します。

show logging last number-lines

ログ ファイルの末尾から指定行数を表示します。

show logging level [facility]

ファシリティ ロギング重大度設定を表示します。

show logging logfile [ start-time yyyy mmm dd hh:mm:ss] [ end-time yyyy mmm dd hh:mm:ss]

ログ ファイルのメッセージを表示します。

show logging module

モジュール ロギング設定を表示します。

show logging monitor

モニタ ロギング設定を表示します。

show logging nvram [ last number-lines]

NVRAM ログのメッセージを表示します。

show logging pending

Syslog サーバの保留中の配布設定を表示します。

show logging pending-diff

Syslog サーバの保留中の配布設定の違いを表示します。

show logging server

Syslog サーバ設定を表示します。

show logging session

ロギング セッションのステータスを表示します。

show logging status

ロギング ステータスを表示します。

show logging timestamp

ロギング タイムスタンプ単位設定を表示します。

show running-config acllog

ACL ログ ファイルの実行コンフィギュレーションを表示します。