ロギングの概要
システム ロギングは、デバイスから syslog デーモンを実行するサーバへのメッセージを収集する方法です。中央の syslog サーバへロギングは、ログおよびアラートの集約に役立ちます。シスコ デバイスでは、これらのログ メッセージを UNIX スタイルの syslog サービスに送信できます。syslog サービスは、シンプル コンフィギュレーション ファイルに従って、メッセージを受信してファイルに保存するか、出力します。この形式のロギングは、保護された長期的な保存場所をログに提供します。ログは、ルーチン トラブルシューティングおよびインシデント処理の両方で役立ちます。
ASAのシステム ログにより、ASAのモニタリングおよびトラブルシューティングで必要な情報を得ることができます。ロギング機能を使用して、次の操作を実行できます。
-
ログに記録する syslog メッセージを指定する。
-
Syslog メッセージの重大度のディセーブル化または変更
-
次を含む、syslog メッセージ送信先となる、1 つ以上の場所を指定する。 -
内部バッファ
-
1 台以上の syslog サーバ
-
ASDM
-
SNMP 管理ステーション
-
指定の電子メール アドレス
-
コンソール
-
Telnet と SSH セッション
-
-
重大度レベルやメッセージ クラスなどによる、グループ内での syslog メッセージを設定および管理する。
-
syslog の生成にレート制限を適用するかどうかを指定する。
-
内部ログ バッファがいっぱいになった場合に、その内容に対して実行する処理(バッファを上書きする、バッファの内容を FTP サーバに送信する、または内容を内部フラッシュ メモリに保存する)を指定する。
-
場所、重大度レベル、クラス、またはカスタム メッセージ リストにより、syslog メッセージをフィルタリングする。
マルチ コンテキスト モードでのロギング
それぞれのセキュリティ コンテキストには、独自のロギング コンフィギュレーションが含まれており、独自のメッセージが生成されます。システム コンテキストまたは管理コンテキストにログインし、別のコンテキストに変更した場合、セッションで表示されるメッセージは現在のコンテキストに関連するメッセージに限定されます。
システム実行スペースで生成されるフェールオーバー メッセージなどの syslog メッセージは、管理コンテキストで生成されるメッセージとともに管理コンテキストで表示できます。システム実行スペースでは、ロギングの設定やロギング情報の表示はできません。
ASA は、各メッセージとともにコンテキスト名を含めるように設定できます。これによって、単一の syslog サーバに送信されるコンテキストメッセージを区別できます。この機能は、管理コンテキストから送信されたメッセージとシステムから送信されたメッセージの判別にも役立ちます。これが可能なのは、送信元がシステム実行スペースであるメッセージではシステムのデバイス ID が使用され、管理コンテキストが送信元であるメッセージではデバイス ID として管理コンテキストの名前が使用されるからです。
syslog メッセージ分析
次に、さまざまな syslog メッセージを確認することで取得できる情報タイプの例を示します。
-
ASA セキュリティ ポリシーで許可された接続。これらのメッセージは、セキュリティ ポリシーで開いたままのホールを発見するのに役立ちます。
-
ASA セキュリティ ポリシーで拒否された接続。これらのメッセージは、セキュアな内部ネットワークに転送されているアクティビティのタイプを示します。
-
ACE 拒否率ロギング機能を使用すると、使用している ASA に対して発生している攻撃が表示されます。
-
IDS アクティビティ メッセージには、発生した攻撃が示されます。
-
ユーザ認証とコマンドの使用により、セキュリティ ポリシーの変更を監査証跡することができます。
-
帯域幅使用状況メッセージには、確立および切断された各接続のほか、使用された時間とトラフィック量が示されます。
-
プロトコル使用状況メッセージには、各接続で使用されたプロトコルとポート番号が示されます。
-
アドレス変換監査証跡メッセージは、確立または切断されている NAT または PAT 接続を記録します。この情報は、内部ネットワークから外部に送信される悪意のあるアクティビティのレポートを受信した場合に役立ちます。
syslog メッセージ形式
syslog メッセージはパーセントの記号(%)で始まり、次のように構造化されています。
%ASA Level Message_number: Message_text
次の表に、フィールドの説明を示します。
ASA |
ASA が生成するメッセージの syslog メッセージ ファシリティ コード。この値は常に ASA です。 |
レベル |
1 ~ 7。レベルは、syslog メッセージに記述されている状況の重大度を示します。値が低いほどその状況の重大度は高くなります。 |
Message_number |
syslog メッセージを特定する 6 桁の固有の番号。 |
Message_text |
状況を説明するテキスト文字列。syslog メッセージのこの部分には、IP アドレス、ポート番号、またはユーザ名が含まれていることがあります。 |
重大度
次の表に、syslog メッセージの重大度の一覧を示します。それぞれの重大度にカスタム カラーを割り当て、ASDM ログ ビューアで重大度を識別しやすくできます。syslog メッセージの色設定を行うには、[Tools] > [Preferences] > [Syslog] タブを選択するか、またはログ ビューア自体のツールバーで [Color Settings] をクリックします。
レベル番号 |
重大度 |
説明 |
---|---|---|
0 |
緊急 |
システムが使用不可能な状態。 |
1 |
アラート |
すぐに措置する必要があります。 |
2 |
重大 |
深刻な状況です。 |
3 |
エラー |
エラー状態です。 |
4 |
警告 |
警告状態。 |
5 |
通知 |
正常ですが、注意を必要とする状況です。 |
6 |
情報 |
情報メッセージです。 |
7 |
デバッグ |
デバッグ メッセージです。 |
(注) |
ASAは、重大度 0(emergencies)の syslog メッセージを生成しません。 |
syslog メッセージ フィルタリング
生成される syslog メッセージは、特定の syslog メッセージだけが特定の出力先に送信されるようにフィルタリングできます。たとえば、ASAを設定して、すべての syslog メッセージを 1 つの出力先に送信し、それらの syslog メッセージのサブセットを別の出力先に送信することができます。
具体的には、syslog メッセージが次の基準に従って出力先に転送されるようにできます。
-
syslog メッセージの ID 番号
-
syslog メッセージの重大度
-
syslog メッセージ クラス(機能エリアと同等)
これらの基準は、出力先を設定するときに指定可能なメッセージ リストを作成して、カスタマイズできます。あるいは、メッセージ リストとは無関係に、特定のメッセージ クラスを各タイプの出力先に送信するようにASAを設定することもできます。
syslog メッセージ クラス
syslog メッセージのクラスは次の 2 つの方法で使用できます。
-
syslog メッセージのカテゴリ全体の出力場所を指定します。
-
メッセージ クラスを指定するメッセージ リストを作成します。
syslog メッセージ クラスは、デバイスの特徴または機能と同等のタイプによって syslog メッセージを分類する方法を提供します。たとえば、RIP クラスは RIP ルーティングを示します。
特定のクラスに属する syslog メッセージの ID 番号はすべて、最初の 3 桁が同じです。たとえば、611 で始まるすべての syslog メッセージ ID は、vpnc(VPN クライアント)クラスに関連付けられています。VPN クライアント機能に関連付けられている syslog メッセージの範囲は、611101 ~ 611323 です。
また、ほとんどの ISAKMP syslog メッセージには先頭に付加されたオブジェクトの共通セットが含まれているため、トンネルを識別するのに役立ちます。これらのオブジェクトは、使用可能なときに、syslog メッセージの説明テキストの前に付加されます。syslog メッセージ生成時にオブジェクトが不明な場合、特定の heading = value の組み合わせは表示されません。
オブジェクトは次のように先頭に付加されます。
Group = groupname, Username = user, IP = IP_address
Group はトンネル グループ、Username はローカル データベースまたは AAA サーバから取得したユーザ名、IP アドレスはリモート アクセス クライアントまたはレイヤ 2 ピアのパブリック IP アドレスです。
次の表に、メッセージ クラスと各クラスのメッセージ ID の範囲をリストします。
クラス |
定義 |
Syslog メッセージ ID 番号 |
---|---|---|
auth |
User Authentication |
109、113 |
— |
アクセス リスト |
106 |
— |
アプリケーション ファイアウォール |
415 |
bridge |
トランスペアレント ファイアウォール |
110、220 |
ca |
PKI 認証局 |
717 |
citrix |
Citrix Client |
723 |
— |
クラスタ |
747 |
— |
カード管理 |
323 |
config |
コマンド インターフェイス |
111、112、208、308 |
csd |
Secure Desktop |
724 |
cts |
Cisco TrustSec |
776 |
dap |
ダイナミック アクセス ポリシー |
734 |
eap、eapoudp |
ネットワーク アドミッション コントロールの EAP または EAPoUDP |
333、334 |
eigrp |
EIGRP ルーティング |
336 |
電子メール |
電子メール プロキシ |
719 |
— |
環境モニタリング |
735 |
ha |
フェールオーバー |
101、102、103、104、105、210、311、709 |
— |
Identity-Based ファイアウォール |
746 |
ids |
侵入検知システム |
400、733 |
— |
IKEv2 ツールキット |
750、751、752 |
ip |
IP スタック |
209、215、313、317、408 |
ipaa |
IP アドレス割り当て |
735 |
ips |
侵入防御システム |
400、401、420 |
— |
IPv6 |
325 |
— |
ブラック リスト、ホワイト リスト、およびグレー リスト |
338 |
— |
ライセンス |
444 |
mdm-proxy |
MDM プロキシ |
802 |
nac |
ネットワーク アドミッション コントロール |
731、732 |
nacpolicy |
NAC ポリシー |
731 |
nacsettings |
NAC ポリシーを適用する NAC 設定 |
732 |
— |
ネットワーク アクセス ポイント |
713 |
np |
ネットワーク プロセッサ |
319 |
— |
NP SSL |
725 |
ospf |
OSPF ルーティング |
318、409、503、613 |
— |
パスワードの暗号化 |
742 |
— |
電話プロキシ |
337 |
rip |
RIP ルーティング |
107、312 |
rm |
Resource Manager |
321 |
— |
Smart Call Home |
120 |
session |
ユーザ セッション |
106、108、201、202、204、302、303、304、305、314、405、406、407、500、502、607、608、609、616、620、703、710 |
snmp |
SNMP |
212 |
— |
ScanSafe |
775 |
ssl |
SSL スタック |
725 |
svc |
SSL VPN クライアント |
722 |
sys |
システム |
199、211、214、216、306、307、315、414、604、605、606、610、612、614、615、701、711、741 |
— |
脅威の検出 |
733 |
tre |
トランザクション ルール エンジン |
780 |
— |
UC-IME |
339 |
tag-switching |
サービス タグ スイッチング |
779 |
vm |
VLAN マッピング |
730 |
vpdn |
PPTP および L2TP セッション |
213、403、603 |
vpn |
IKE および IPsec |
316、320、402、404、501、602、702、713、714、715 |
vpnc |
VPN クライアント |
611 |
vpnfo |
VPN フェールオーバー |
720 |
vpnlb |
VPN ロード バランシング |
718 |
— |
VXLAN |
778 |
webfo |
WebVPN フェールオーバー |
721 |
webvpn |
WebVPN と AnyConnect Client |
716 |
— |
NAT および PAT |
305 |
ログ ビューアのメッセージのソート
すべての ASDM ログ ビューア(Real-Time Log Viewer、Log Buffer Viewer、および Latest ASDM Syslog Events Viewer)でメッセージをソートできます。複数のカラムでテーブルをソートするには、ソートの基準とする、最初のカラムのヘッダーをクリックし、Ctrl キーを押したまま、同時にソート順に含める他のカラムのヘッダーをクリックします。時間順にメッセージをソートするには、日付と時刻のカラムを両方選択します。どちらか一方だけを選択した場合は、(時刻に関係なく)日付のみまたは(日付に関係なく)時刻のみでメッセージがソートされます。
Real-Time Log Viewer および Latest ASDM Syslog Events Viewer でメッセージをソートすると、記録された新しいメッセージは通常の表示位置となる一番上ではなく、ソートされた順序で表示されます。つまり、メッセージはその他のメッセージの中に混ざって表示されます。
カスタム メッセージ リスト
-
重大度
-
メッセージ ID
-
syslog メッセージ ID の範囲
-
メッセージ クラス
たとえば、メッセージ リストを使用して次の操作を実行できます。
-
重大度が 1 および 2 の syslog メッセージを選択し、1 つ以上の電子メール アドレスに送信する。
-
メッセージ クラス(「ha」など)に関連付けられたすべての syslog メッセージを選択し、内部バッファに保存する。
メッセージ リストには、メッセージを選択するための複数の基準を含めることができます。 ただし、メッセージ選択基準の追加は、それぞれ個別のコマンド エントリで行う必要があります。重複したメッセージ選択基準を含むメッセージ リストが作成される可能性もあります。メッセージ リストの 2 つの基準によって同じメッセージが選択される場合、そのメッセージは一度だけログに記録されます。
クラスタ
syslog メッセージは、クラスタリング環境でのアカウンティング、モニタリング、およびトラブルシューティングのための非常に重要なツールです。クラスタ内の各 ASA ユニット(最大 8 ユニットを使用できます)は、syslog メッセージを個別に生成します。特定の logging コマンドを使用すると、タイム スタンプおよびデバイス ID を含むヘッダー フィールドを制御できます。syslog サーバは、syslog ジェネレータを識別するためにデバイス ID を使用します。logging device-id コマンドを使用すると、同一または異なるデバイス ID 付きで syslog メッセージを生成することができ、クラスタ内の同一または異なるユニットからのメッセージのように見せることができます。
(注) |
クラスタの装置から syslog メッセージをモニタするには、モニタする各装置に対して ASDM セッションを開く必要があります。 |