ACL Syslog 相関の前提条件
ACL Syslog 相関機能を設定する前に、「IP アクセス リストの概要」モジュールでその概念を理解する必要があります。
ACL Syslog 相関機能は、ユーザー定義の cookie またはデバイスで生成されるハッシュ値を syslog 内の ACE メッセージに追加します。ログ オプションが ACE に対してイネーブルになっている場合、これらの値は ACE メッセージにのみ追加されます。
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
アクセス コントロール リスト(ACL)Syslog 相関機能では、アクセス コントロール エントリ(ACE)Syslog エントリにタグ(ユーザー定義の Cookie またはデバイスが生成した MD5 ハッシュ値)を追加します。このタグは Syslog エントリを生成した ACL 内で ACE を一意に特定します。
ACL Syslog 相関機能を設定する前に、「IP アクセス リストの概要」モジュールでその概念を理解する必要があります。
ACL Syslog 相関機能は、ユーザー定義の cookie またはデバイスで生成されるハッシュ値を syslog 内の ACE メッセージに追加します。ログ オプションが ACE に対してイネーブルになっている場合、これらの値は ACE メッセージにのみ追加されます。
ACL Syslog 相関機能では、アクセス コントロール エントリ(ACE)Syslog エントリにタグ(ユーザー定義の Cookie またはデバイスが生成した MD5 ハッシュ値)を追加します。このタグは Syslog エントリを生成した ACE を一意に特定します。
ネットワーク管理ソフトウェアでは、どの ACE が特定の Syslog イベントを生成したかを特定するためにタグを使用できます。たとえば、ネットワーク管理者はネットワーク管理アプリケーションで ACE 規則を選択し、次にその ACE ルールに対応する Syslog イベントを表示できます。
Syslog メッセージにタグを追加するには、Syslog イベントを生成する ACE でログ オプションが有効になっている必要があります。システムは各メッセージに 1 つのタイプのタグ(ユーザー定義の Cookie またはデバイスで生成した MD5 ハッシュ値)のみを追加します。
ユーザー定義の Cookie タグを指定するには、ユーザーは ACE ログ オプションを構成する際に Cookie 値を入力する必要があります。Cookie は英数字形式である必要があります。64 文字以上にはできず、16 進数表記(0x など)で始めることはできません。
デバイスで生成した MD5 ハッシュ値タグを指定するには、ハッシュ生成機能をデバイスで有効にする必要があります。また、ACE ログ オプションを構成するときにユーザーは Cookie 値を入力してはいけません。
パケットが ACL 内のアクセス コントロール エントリ(ACE)と一致すると、そのイベントのログ オプションが有効になっているかどうかシステムでチェックされます。ログ オプションが有効な場合、ACL Syslog 相関機能がデバイスで構成されていると、システムは syslog メッセージにタグを付けます。タグは、標準情報に加えて syslog メッセージの最後に表示されます。
次は、ユーザー定義の Cookie タグを示すサンプル syslog メッセージです。
Jun 5 12:55:44.359: %SEC-6-IPACCESSLOGP: list logacl permitted tcp 192.168.16.1(38402) -> 192.168.16.2(23), 1 packet [User_permiited_ACE]
次は、ハッシュ値タグを示すサンプル syslog メッセージです。
Jun 5 12:55:44.359: %SEC-6-IPACCESSLOGP: list logacl permitted tcp 192.168.16.1(38402) -> 192.168.16.2(23), 1 packet [0x723E6E12]
ユーザー定義 Cookie を使用して設定されていないシステム内でログをイネーブルにした各アクセス コントロール エントリ(ACE)の MD5 ハッシュ値を生成するデバイスを設定するには、このタスクを実行します。
ハッシュ値生成設定をイネーブルにすると、システムは既存のすべての ACE をチェックし、ハッシュ値を必要とする各 ACE のハッシュ値を生成します。ハッシュ値生成の設定をディセーブルにすると、これまでに生成されたすべてのハッシュ値がシステムから削除されます。
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
特権 EXEC モードを有効にします。
|
Step 2 |
configure terminal Example:
|
グローバル コンフィギュレーション モードを開始します。 |
Step 3 |
ip access-list logging hash-generation Example:
|
デバイスでハッシュ値生成を有効にします。
|
Step 4 |
end Example:
|
(任意)グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
Step 5 |
次のいずれかを実行します。
Example:
Example:
|
(任意)番号付きまたは名前付き IP アクセス リストの内容を表示します。
|
デバイスでのハッシュ値生成をディセーブルにするには、このタスクを実行します。ハッシュ値生成の設定をディセーブルにすると、これまでに生成されたすべてのハッシュ値がシステムから削除されます。
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
特権 EXEC モードを有効にします。
|
Step 2 |
configure terminal Example:
|
グローバル コンフィギュレーション モードを開始します。 |
Step 3 |
no ip access-list logging hash-generation Example:
|
デバイスでのハッシュ値生成をディセーブルにします。
|
Step 4 |
end Example:
|
(任意)グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
Step 5 |
次のいずれかを実行します。
Example:
Example:
|
(任意)IP アクセス リストの内容を表示します。
|
syslog メッセージ タグとしてユーザー定義の Cookie クッキーを使用し、特定のアクセス リストのデバイス上の ACL syslog 相関機能を設定するには、このタスクを実行します。
このセクションでは、番号付きアクセス リストのユーザー定義の Cookie を使用して、ACL Syslog 相関機能を設定する方法について例を示します。ただし、番号付きおよび名前付きアクセス リストの両方、標準および拡張アクセス リストの両方について、ユーザー定義の Cookie を使用し、ACL Syslog 相関機能を設定できます。
Note |
次の制限事項は、ユーザー定義の Cookie 値を選択する場合に適用されます。
|
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
特権 EXEC モードを有効にします。
|
Step 2 |
configure terminal Example:
|
グローバル コンフィギュレーション モードを開始します。 |
Step 3 |
access-list access-list-number permit protocol source destination log word Example:
|
拡張 IP アクセス リストとユーザー定義の Cookie 値を定義します。
|
Step 4 |
end Example:
|
(任意)グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
Step 5 |
show ip access-list access-list-number Example:
|
(任意)IP アクセス リストの内容を表示します。
|
次に、ユーザー定義の Cookie 値を使用したアクセス リストに show ip access-list コマンドを使用した際の出力例を示します。
Device# show ip access-list
101
Extended IP access list 101
30 permit tcp host 10.1.1.1 host 10.1.1.2 log (tag = UserDefinedValue)
syslog メッセージ タグとしてデバイスで生成されたハッシュ値を使用し、特定のアクセス リストのデバイス上の ACL Syslog 相関機能を設定するには、このタスクを実行します。
このセクションでは、番号付きアクセス リストのデバイスで生成されたハッシュ値を使用して、ACL Syslog 相関機能を設定する方法についてステップを示します。ただし、番号付きおよび名前付きアクセス リストの両方、標準および拡張アクセス リストの両方について、デバイスで生成されたハッシュ値を使用し、ACL Syslog 相関機能を設定できます。
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
特権 EXEC モードを有効にします。
|
Step 2 |
configure terminal Example:
|
グローバル コンフィギュレーション モードを開始します。 |
Step 3 |
ip access-list logging hash-generation Example:
|
デバイスでハッシュ値生成を有効にします。
|
Step 4 |
access-list access-list-number permit protocol source destination log Example:
|
拡張 IP アクセス リストを定義します。
|
Step 5 |
end Example:
|
(任意)グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
Step 6 |
show ip access-list access-list-number Example:
|
(任意)IP アクセス リストの内容を表示します。
|
次に、デバイスで生成されたハッシュ値を使用したアクセス リストに show ip access-list コマンドを使用した際の出力例を示します。
Device# show ip access-list
102
Extended IP access list 102
10 permit tcp host 10.1.1.1 host 10.1.1.2 log (hash = 0x7F9CF6B9)
ユーザー定義の Cookie の値を変更したり、ユーザー定義の Cookie とデバイスで生成したハッシュ値を置き換えたりするには、このタスクを実行します。
この手順は、番号付きアクセス リストの ACL Syslog 相関タグ値を変更する方法について示しています。ただし、番号付きおよび名前付きアクセス リストの両方と、標準および拡張アクセス リストの両方について、ACL Syslog 相関タグ値を変更できます。
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
特権 EXEC モードを有効にします。
|
Step 2 |
show access-list Example:
|
(任意)アクセス リストの内容を表示します。 |
Step 3 |
configure terminal Example:
|
グローバル コンフィギュレーション モードを開始します。 |
Step 4 |
access-list access-list-number permit protocol source destination log word Example:
Example:
Example:
Example:
|
Cookie を修正したり、ハッシュ値を Cookie に変更したりします。
|
Step 5 |
end Example:
|
(任意)グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
Step 6 |
show ip access-list access-list-number Example:
|
(任意)IP アクセス リストの内容を表示します。
|
アクセス リストのデバッグ情報を表示するには、debug ip access-list hash-generation コマンドを使用します。debug コマンドの出力例を次に示します。
Device# debug ip access-list hash-generation
Syslog hash code generation debugging is on
Device# show debug
IP ACL:
Syslog hash code generation debugging is on
Device# no debug ip access-list hash-generation
Syslog hash code generation debugging is off
Device# show debug
Device#
次に、ユーザー定義 Cookie を使用して、デバイス上で ACL Syslog 相関機能を設定する方法について説明します。
Device#
Device# debug ip access-list hash-generation
Syslog MD5 hash code generation debugging is on
Device# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Device(config)# access-list 33 permit 10.10.10.6 log cook_33_std
Device(config)# do show ip access 33
Standard IP access list 33
10 permit 10.10.10.6 log (tag = cook_33_std)
Device(config)# end
次の例では、デバイスで生成されたハッシュ値を使用して、デバイス上で ACL Syslog 相関機能を設定する方法について説明します。
Device# debug ip access-list hash-generation
Syslog MD5 hash code generation debugging is on
Device# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Device(config)# access-list 33 permit 10.10.10.7 log
Device(config)#
*Nov 7 13:51:23.615: %IPACL-HASHGEN: Hash Input: 33 standard permit 10.10.10.7
Hash Output: 0xCE87F535
Device(config)#
do show ip access 33
Standard IP access list 33
10 permit 10.10.10.6 log (tag = cook_33_std)
20 permit 10.10.10.7 log (hash = 0xCE87F535)
次に、既存のアクセス リストのユーザー定義 Cookie と新しい Cookie 値を交換する方法と、デバイス生成ハッシュ値とユーザー定義 Cookie 値を交換する方法について示します。
Device# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Device(config)# do show ip access-list 101
Extended IP access list 101
10 permit tcp host 10.1.1.1 host 10.1.1.2 log (tag = MyCookie)
20 permit tcp any any log (hash = 0x75F078B9)
Device(config)# access-list 101 permit tcp host 10.1.1.1 host 10.1.1.2 log NewUDV
Device(config)# do show access-list
Extended IP access list 101
10 permit tcp host 10.1.1.1 host 10.1.1.2 log (tag = NewUDV)
20 permit tcp any any log (hash = 0x75F078B9)
Device(config)# access-list 101 permit tcp any any log replacehash
Device(config)# do show access-list
Extended IP access list 101
10 permit tcp host 10.1.1.1 host 10.1.1.2 log (tag = NewUDV)
20 permit tcp any any log (tag = replacehash)
関連項目 |
マニュアル タイトル |
---|---|
セキュリティ コマンド |
|
IPv6 コマンド |
|
IPv6 アドレッシングと接続 |
『IPv6 Configuration Guide』 |
Cisco IOS IPv6 機能 |
標準/RFC |
タイトル |
---|---|
IPv6 に関する RFC |
IPv6 RFCs |
説明 |
リンク |
---|---|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
ACL Syslog 相関 |
Cisco IOS XE リリース 3.6S |
ACL Syslog 相関機能は、ACE Syslog エントリにタグ(ユーザー定義の Cookie またはデバイスが生成した MD5 ハッシュ値)を追加します。このタグは Syslog エントリを生成した ACL 内で ACE を一意に特定します。 |