この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
監査ロギングは有効になっているが、詳細監査ロギング オプションは選択されていない場合は、システムが標準監査ロギング用に設定されます。
標準監査ロギングを使用すると、監査用の別のログ ファイルにシステムの設定変更が記録されます。Serviceability GUI の [コントロール センター - ネットワーク サービス(Control Center - Network Services)] の下に表示される Cisco Audit Event Service により、ユーザが行った、またはユーザの操作によって発生したシステムへの設定変更がモニタされ、ログに記録されます。
監査ログの設定を行うには、Serviceability GUI の [監査ログの設定(Audit Log Configuration)] ウィンドウにアクセスします。
標準監査ロギングの構成は次のとおりです。
監査ロギング フレームワーク:このフレームワークは、監査ログに監査イベントを書き込むためにアラーム ライブラリを使用する API で構成されます。GenericAlarmCatalog.xml として定義されたアラーム カタログがこれらのアラームに適用されます。各種システム コンポーネントで独自のロギングが提供されます。
次に、アラームを送信するために Cisco Unified Communications Manager のコンポーネントが使用できる API の例を示します。
User ID: CCMAdministratorClient IP Address: 172.19.240.207 Severity: 3 EventType: ServiceStatusUpdated ResourceAccessed: CCMService EventStatus: Successful Description: CallManager Service status is stopped
監査イベント ロギング:監査イベントとは、記録する必要があるあらゆるイベントを指します。次に、監査イベントの例を示します。
CCM_TOMCAT-GENERIC-3-AuditEventGenerated: Audit Event Generated UserID:CCMAdministrator Client IP Address:172.19.240.207 Severity:3 EventType:ServiceStatusUpdated ResourceAccessed: CCMService EventStatus:Successful Description: Call Manager Service status is stopped App ID:Cisco Tomcat Cluster ID:StandAloneCluster Node ID:sa-cm1-3
Cisco Unified Serviceability では次のイベントがログに記録されます。
Cisco Unified Real-Time Monitoring Tool では、監査イベント アラームを含む次のイベントがログに記録されます。
Cisco CDR Analysis and Reporting(CAR)では、次のイベントに関する監査ログが作成されます。
Cisco Unified Communications Manager Administration のさまざまなコンポーネントについて、次のイベントがログに記録されます。
Cisco Unified Communications セルフ ケア ポータルに対するユーザ ロギング(ユーザ ログインとユーザ ログアウト)イベントが記録されます。
コマンドライン インターフェイスで実行されたすべてのコマンドがログに記録されます(Cisco Unified Communications Manager と Cisco Unity Connection の両方)。
Cisco Unity Connection Administration では次のイベントがログに記録されます。
Cisco Personal Communications Assistant クライアントでは次のイベントがログに記録されます。
Cisco Unity Connection Serviceability では次のイベントがログに記録されます。
Representational State Transfer(REST)API を使用する Cisco Unity Connection クライアントでは次のイベントがログに記録されます。
管理者のロギング(Administration、OS Administration、Disaster Recovery System、Reporting などの IM and Presence のインターフェイスへのログインおよびログアウト)
ユーザのロール メンバーシップの更新(ユーザの追加、ユーザの削除、またはユーザのロールの更新)
ロールの更新(新しいロールの追加、削除、または更新)
デバイスの更新(電話機およびゲートウェイ)
サーバ設定の更新(アラームまたはトレースの設定、サービス パラメータ、エンタープライズ パラメータ、IP アドレス、ホスト名、イーサネット設定の変更、および IM and Presence サーバの追加または削除)
コマンドライン インターフェイスで実行されたすべてのコマンドがログに記録されます。
詳細監査ロギングは、標準(デフォルト)監査ログに保存されない追加の設定変更を記録するオプション機能です。標準監査ログに保存されるすべての情報に加えて、詳細監査ロギングには、変更された値も含め、追加、更新、または削除された設定項目も保存されます。詳細監査ロギングはデフォルトで無効になっていますが、[監査ログ設定(Audit Log Configuration)] ウィンドウで有効にすることができます。
監査ログ タイプ
システム監査ログでは、Linux OS ユーザの作成、変更、削除、ログの改ざん、およびファイルまたはディレクトリの権限に対するあらゆる変更をトレースします。このタイプの監査ログは、収集されるデータが大量になるためにデフォルトでディセーブルになっています。この機能を有効にするには、CLI を使用して手動で utils auditd を有効にします。システム監査ログ機能をイネーブルにすると、Real-Time Monitoring Tool の [Trace & Log Central] を使用して、選択したログの収集、表示、ダウンロード、削除を実行できます。システム監査ログは vos-audit.log という形式になります。
この機能をイネーブルにする方法については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』を参照してください。Real-Time Monitoring Tool から収集したログを操作する方法については、『Cisco Unified Real-Time Monitoring Tool Administration Guide』を参照してください。
アプリケーション監査ログは、ユーザによる、またはユーザ操作の結果発生したシステムへの設定変更をモニタし、記録します。
(注) | アプリケーションの監査ログ(Linux auditd)は、CLI からのみイネーブルまたはディセーブルにすることができます。このタイプの監査ログの設定は、Real-Time Monitoring Tool による vos-audit.log の収集以外は変更できません。 |
データベース監査ログは、ログインなど、Informix データベースへのアクセスに関連するすべてのアクティビティを追跡します。
監査ロギングを設定するには、次のタスクを実行します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | 監査ロギングのセットアップ |
[監査ログ設定(Audit Log Configuration)] ウィンドウで監査ログ設定をセットアップします。リモート監査ロギングを使用するかどうかと、[詳細監査ロギング(Detailed Audit Logging)] オプションが必要かどうかを設定できます。 |
ステップ 2 | リモート監査ログの転送プロトコルの設定 | これはオプションです。リモート監査ロギングを設定した場合は、転送プロトコルを設定します。通常の動作モードのシステム デフォルトは UDP ですが、TCP または TLS を設定することもできます。 |
ステップ 3 | アラート通知用の電子メール サーバの設定 |
これはオプションです。RTMT で、電子メール アラート用の電子メール サーバをセットアップします。 |
ステップ 4 | 電子メール アラートの有効化 |
これはオプションです。次の電子メール アラートのいずれかをセットアップします。 |
ステップ 5 | プラットフォーム ログのリモート監査ロギングの設定 |
プラットフォーム監査ログとリモート サーバ ログ用のリモート監査ロギングをセットアップします。この種の監査ログでは、FileBeat クライアントと外部 logstash サーバを設定する必要があります。 |
リモート監査ロギングでは、事前に、リモート syslog サーバをセットアップし、間にあるゲートウェイへの接続も含め、各クラスタ ノードとリモート syslog サーバ間で IPSec を設定しておく必要があります。IPSec 設定については、『Cisco IOS Security Configuration Guide』を参照してください。
リモート監査ログ用の転送プロトコルを変更するには、次の手順を使用します。システム デフォルトは UDP ですが、 に設定し直すこともできます。TCP または TLS。
アラート通知用の電子メール サーバをセットアップするには、次の手順を使用します。
リモート監査ロギングを TCP または TLS で設定した場合は、次の手順を使用して、送信障害を通知する電子メール アラートを設定します。
ステップ 1 | Real-Time Monitoring Tool の [システム(System)] 領域で、[アラート セントラル(Alert Central)] をクリックします。 |
ステップ 2 | [アラート セントラル(Alert Central)] ウィンドウで、 |
ステップ 3 | の順に選択します。 |
ステップ 4 | [アラート アクション(Alert Action)] ポップアップで、[デフォルト(Default)] を選択して、[編集(Edit)] をクリックします。 |
ステップ 5 | [アラート アクション(Alert Action)] ポップアップで、受信者を追加します。 |
ステップ 6 | ポップアップ ウィンドウで、電子メール アラートを送信するアドレスを入力して、[OK] をクリックします。 |
ステップ 7 | [アラート アクション(Alert Action)] ポップアップで、アドレスが [受信者(Recipients)] に表示されていることと、[有効(Enable)] チェックボックスがオンになっていることを確認します。 |
ステップ 8 | [OK] をクリックします。 |
プラットフォーム監査ログ、リモート サポート ログ、および一括管理 CSV ファイルに対するリモート監査ロギング サポートを追加するには、次のタスクを実行します。この種のログでは、FileBeat クライアントと logstash サーバが使用されます。
外部 logstash サーバがセットアップされていることを確認します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | Logstash サーバ情報の設定 | IP アドレス、ポート、ファイル タイプなどの外部 logstash サーバ詳細で FileBeat クライアントを設定します。 |
ステップ 2 | FileBeat クライアントの設定 | リモート監査ロギング用の FileBeat クライアントを有効にします。 |
次の手順を使用して、IP アドレス、ポート番号、ダウンロード可能なファイル タイプなどの外部 Logstash サーバ情報で FileBeat クライアントを設定します。
外部 Logstash サーバがセットアップされていることを確認します。
プラットフォーム監査ログ、リモート サポート ログ、および一括管理 CSV ファイルのアップロード用の FileBeat クライアントを有効または無効にするには、次の手順を使用します。
ステップ 1 | コマンドライン インターフェイスにログインします。 | ||
ステップ 2 | utils FileBeat status コマンドを実行し、Filebeat クライアントが有効になっているかどうかを確認します。 | ||
ステップ 3 | 次のコマンドの 1 つを実行します。
| ||
ステップ 4 | これはオプションです。転送プロトコルとして TLS を使用するには、次の手順を実行します。
| ||
ステップ 5 | 各ノード上でこの手順を繰り返します。
これらのコマンドをすべてのノードで同時に実行しないでください。 |
監査ロールを割り当てられたユーザだけが監査ログの設定を変更できることに注意してください。Cisco Cisco Unified Communications Manager の場合、デフォルトでは、新規インストールまたはアップグレードの後で、CCMAdministrator に監査ロールが与えられます。CCMAdministrator は、Cisco Cisco Unified Communications Manager Administration の [ユーザグループ設定(User Group Configuration)] ウィンドウで標準監査ユーザ グループに監査権限を持つユーザを割り当てることができます。その後必要であれば、標準監査ユーザ グループから CCMAdministrator を削除できます。
IM and Presence Serviceの場合、新規インストールまたはアップグレードの後で管理者に監査ロールが与えられ、監査権限を持つ任意のユーザを標準監査ユーザ グループに割り当てることができます。
Cisco Unity Connection の場合、インストール時に作成されたアプリケーション管理アカウントが Audit Administrator ロールに割り当てられます。このアカウントは、他の管理者ユーザをこのロールに割り当てることができます。このアカウントから Audit Administrator ロールを削除することもできます。
Standard Audit Log Configuration ロールには、監査ログを削除する権限と、Cisco Unified Real-Time Monitoring Tool、IM and Presence Real-Time Monitoring Tool、Trace Collection Tool、Real-Time Monitoring Tool(RTMT)アラート設定、Serviceability ユーザ インターフェイスのコントロール センター - ネットワーク サービス、RTMT プロファイルの保存、Serviceability ユーザ インターフェイスの監査設定、監査トレースというリソースへの読み取り/更新権限が与えられます。
Standard Audit Log Configuration ロールには、監査ログを削除する権限と、Cisco Unified RTMT、Trace Collection Tool、RTMT アラート設定、Cisco Unified Serviceability のコントロール センター - ネットワーク サービス、RTMT プロファイルの保存、Cisco Unified Serviceability の監査設定、監査トレースというリソースへの読み取り/更新権限が与えられます。
Cisco Unity Connection の Audit Administrator ロールに割り当てられたユーザは、Cisco Unified RTMT で監査ログを表示、ダウンロード、および削除できます。
Cisco Cisco Unified Communications Manager のロール、ユーザ、ユーザ グループの詳細については、『Administration Guide for Cisco Unified Communications Manager』を参照してください。
Cisco Unity Connection のロールとユーザの詳細については、『User Moves, Adds, and Changes Guide for Cisco Unity Connection』を参照してください。
IM and Presence のロール、ユーザ、ユーザ グループの詳細については、『Configuration and Administration of IM and Presence Service on Cisco Unified Communications Manager』を参照してください。
クラスタのすべてのノードに監査ログ設定を適用する場合は、[すべてのノードに適用(Apply to All Nodes)] チェックボックスをオンにします。 |
|||||
このチェックボックスをオンにすると、監査ログがアプリケーション監査ログに対して作成されます。 Cisco Cisco Unified Communications Manager の場合、アプリケーションの監査ログは Cisco Cisco Unified Communications Manager Administration、Cisco Unified RTMT、Cisco Cisco Unified Communications Manager CDR Analysis and Reporting、Cisco Unified Serviceability などの Cisco Cisco Unified Communications Manager ユーザ インターフェイスの設定更新をサポートします。 IM and Presence Service の場合、アプリケーション監査ログは Cisco Cisco Unified Communications Manager IM and Presence Administration、Cisco Unified IM and Presence Real-Time Monitoring Tool、Cisco Unified IM and Presence Serviceability などの IM and Presence ユーザ インターフェイスの設定更新をサポートします。 Cisco Unity Connection の場合、アプリケーション監査ログは Cisco Unity Connection Administration、Cisco Unity Connection Serviceability、Cisco Personal Communications Assistant、接続 REST API を使用するクライアントなどの Cisco Unity Connection ユーザ インターフェイスの設定更新をサポートします。
|
|||||
Log Partition Monitor(LPM)は、[消去を有効にする(Enable Purging)] オプションを確認して監査ログを消去する必要があるかどうかを判断します。このチェックボックスをオンにすると、共通パーティションのディスク使用率が上限を超えるたびに LPM によって RTMT のすべての監査ログ ファイルが消去されます。ただし、このチェックボックスをオフにして消去を無効にすることができます。 消去が無効の場合、監査ログの数は、ディスクがいっぱいになるまで増加し続けます。このアクションは、システムの中断を引き起こす可能性があります。[消去を有効にする(Enable Purging)] チェックボックスをオフにすると、消去の無効化のリスクを説明するメッセージが表示されます。このオプションは、アクティブ パーティションの監査ログに使用可能なことに注意してください。監査ログが非アクティブ パーティションにある場合、ディスク使用率が上限を上回ると消去されます。
|
|||||
システムは、このオプションを読み取り、監査ログ ファイルをローテーションする必要があるか、または新しいファイルの作成を続行するかを判断します。ファイルの最大数は 5000 を超えることはできません。[ログローテーションを有効にする(Enable Log Rotation)] チェックボックスをオンにすると、監査ログ ファイルの最大数に達すると最も古いファイルが上書きされます。
|
|||||
詳細監査ロギング(Detailed Audit Logging) |
このチェックボックスをオンにすると、システムは詳細監査ログに対して有効にされます。詳細監査ログは、標準監査ログと同じ項目を提供しますが、設定の変更も含まれています。たとえば、監査ログには、変更された値も含め、追加、更新、または削除された項目が保存されます。 |
||||
サーバ名(Server Name) |
Syslog メッセージ受信のために使用する、リモート Syslog サーバの名前または IP アドレスを入力します。サーバ名が指定されていない場合、Cisco Unified IM and Presence Serviceability は Syslog メッセージを送信しません。Cisco Cisco Unified Communications Manager ノードは別のサーバからの Syslog メッセージを受け入れないため、Cisco Cisco Unified Communications Manager ノードを宛先として指定しないでください。 これは、IM and Presence Service にのみ適用されます。 |
||||
リモート Syslog 監査イベントレベル(Remote Syslog Audit Event Level) |
リモート Syslog サーバの、対象となる Syslog メッセージの重大度を選択します。選択した重大度以上のすべての Syslog メッセージが、リモート Syslog に送信されます。 これは、IM and Presence Service にのみ適用されます。 |
||||
監査ログの最大ファイル サイズを入力します。ファイル サイズの値は 1 ~ 10 MB にする必要があります。1 ~ 10 の間の数を指定します。 |
|||||
ログ ローテーション オーバーライドに到達する際の警告しきい値(%)(Warning Threshold for Approaching Log Rotation Overwrite (%)) |
監査ログが上書きされるレベルに達すると、警告が送信されます。警告を送信するしきい値を設定するには、このフィールドを使用します。 たとえば、2 MB のファイルが 250 個あり、警告しきい値を 80% にデフォルト設定とすると、監査ログが 200 個(80%)収集されると、警告が送信されます。監査履歴を保持する場合は、システムがログを上書きする前に、RTMT を使用してログを取得します。RTMT には、ファイルの収集後にそのファイルを削除するオプションがあります。 1 ~ 99% の範囲で値を入力します。デフォルトは 80% です。このフィールドを設定する場合は、[ログ ローテーションを有効にする(Enable Log Rotation)] オプションもオンにする必要があります。
|
||||
このチェックボックスをオンにすると、監査ログが Cisco Cisco Unified Communications Manager および Cisco Unity Connection データベースに対して作成されます。[デバッグ監査レベル(Debug Audit Level)] の設定とともにこの設定を使用します。これにより、データベースの特定の側面に対してログを作成できます。 |
|||||
この設定では、ログで監査するデータベースの側面を選択できます。ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。各監査ログ フィルタ レベルは累積的であることに注意してください。
|
|||||
システムはこのオプションを読み取り、データベースの監査ログ ファイルをローテーションする必要があるか、または新しいファイルの作成を続行するかどうかを判断します。[監査ログローテーションを有効にする(Enable Audit Log Rotation)] オプションのチェックボックスをオンにすると、監査ログ ファイルが最大数に達すると最も古いファイルが上書きされます。 この設定のチェックボックスがオフの場合、監査ログでは [最大ファイル数(Maximum No. of Files)] 設定は無視されます。 |
|||||
ログに含めるファイルの最大数を入力します。[最大ファイル数(Maximum No. of Files)] 設定に入力した値が、[ログローテーション時に削除されるファイル数(No. of Files Deleted on Log Rotation)] 設定に入力した値を上回っていることを確認します。 |
|||||
データベース監査ログのローテーションが発生したときにシステムが削除できるファイルの最大数を入力します。 このフィールドに入力できる最小値は 1 です。最大値は [最大ファイル数(Max No. of Files)] 設定に入力した値よりも 2 低い数値です。たとえば、[最大ファイル数(Max No. of Files)] フィールドに 40 を入力した場合、[ログ ローテーション時に削除されるファイル数(No. of Files Deleted on Log Rotation)] フィールドに入力できる最大数は 38 です。 |
|||||
デフォルトに設定(Set to Default) |
[デフォルトに設定(Set to Default)] ボタンは、デフォルト値を指定します。監査ログは、詳細なトラブルシューティング用の別のレベルに設定する必要がなければ、デフォルト モードに設定することをお勧めします。[デフォルトに設定(Set to Default)] オプションは、ログ ファイルに使用されるディスク容量を最小限に抑えます。 |
注意 | 有効になっている場合、特にデバッグ監査レベルが [データベースの更新(Database Updates)] または [データベースの読み取り(Database Reads)] に設定されていると、データベース ロギングが短時間で大量のデータを生成する可能性があります。これにより、多用期間中に、パフォーマンスに重大な影響が発生する可能性があります。通常、データベース ロギングは無効のままにすることを推奨します。データベースの変更を追跡するためにロギングを有効にする必要がある場合には、[データベースの更新(Database Updates)] レベルを使用して短時間のみ有効にすることを推奨します。同様に、特にデータベース エントリをポーリングする場合(データベースから 250 台のデバイスを引き出す場合など)、管理ロギングは Web ユーザ インターフェイスの全体的なパフォーマンスに影響を与えます。 |