この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
システム メッセージ ロギングを使用して宛先を制御し、システム プロセスが生成するメッセージの重大度をフィルタリングできます。 端末セッション、ログ ファイル、およびリモート システム上の syslog サーバへのロギングを設定できます。
システム メッセージ ロギングは RFC 3164 に準拠しています。 システム メッセージのフォーマットおよびデバイスが生成するメッセージの詳細については、『Cisco NX-OS System Messages Reference』を参照してください。
デフォルトでは、Cisco Nexus デバイスはメッセージをターミナル セッションへ出力します。
デフォルトでは、スイッチはシステム メッセージをログ ファイルに記録します。
次の表に、システム メッセージで使用されている重大度を示します。 重大度を設定する場合、システムはそのレベル以下のメッセージを出力します。
レベル |
説明 |
---|---|
0:緊急 |
システムが使用不可 |
1:アラート |
即時処理が必要 |
2:クリティカル |
クリティカル状態 |
3:エラー |
エラー状態 |
4:警告 |
警告状態 |
5:通知 |
正常だが注意を要する状態 |
6:情報 |
単なる情報メッセージ |
7:デバッグ |
デバッグ実行時にのみ表示 |
重大度 0、1、または 2 の最新のメッセージを 100 個まで Nonvolatile RAM(NVRAM; 不揮発性 RAM)ログに記録します。 NVRAM へのロギングは設定できません。
メッセージを生成したファシリティと重大度に基づいて記録するシステム メッセージを設定できます。
syslog サーバは、syslog プロトコルに基づいてシステム メッセージを記録するよう設定されたリモート システムで稼働します。 最大 8 台の syslog サーバにログを送信するように Cisco Nexus シリーズ スイッチを設定できます。
ファブリック内のすべてのスイッチで syslog サーバの同じ設定をサポートするために、Cisco Fabric Services(CFS)を使用して syslog サーバ設定を配布できます。
(注) |
スイッチを最初に初期化する場合、ネットワークが初期化されてからメッセージが syslog サーバに送信されます。 |
製品 |
ライセンス要件 |
---|---|
Cisco NX-OS |
システム メッセージ ロギングにライセンスは不要です。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。 |
システム メッセージは、デフォルトでコンソールおよびログ ファイルに記録されます。
次の表に、システム メッセージ ロギング パラメータのデフォルト設定を示します。
パラメータ |
デフォルト |
---|---|
コンソール ロギング |
重大度 2 でイネーブル |
モニタ ロギング |
重大度 2 でイネーブル |
ログ ファイル ロギング |
重大度 5 でメッセージのロギングをイネーブル |
モジュール ロギング |
重大度 5 でイネーブル |
ファシリティ ロギング |
イネーブル |
タイムスタンプ単位 |
秒 |
syslog サーバ ロギング |
ディセーブル |
syslog サーバ設定の配布 |
ディセーブル |
コンソール、Telnet、およびセキュア シェル セッションに対する重大度によって、メッセージを記録するようスイッチを設定できます。
デフォルトでは、ターミナル セッションでロギングはイネーブルです。
次に、コンソールのロギング レベルを 3 に設定する例を示します。
switch# configure terminal
switch(config)# logging console 3
次に、コンソールのロギングの設定を表示する例を示します。
switch# show logging console
Logging console: enabled (Severity: error)
次に、コンソールのロギングをディセーブルにする例を示します。
switch# configure terminal
switch(config)# no logging console
次に、ターミナル セッションのロギング レベルを 4 に設定する例を示します。
switch# terminal monitor
switch# configure terminal
switch(config)# logging monitor 4
次に、ターミナル セッションのロギングの設定を表示する例を示します。
switch# show logging monitor
Logging monitor: enabled (Severity: warning)
次に、ターミナル セッションのロギングをディセーブルにする例を示します。
switch# configure terminal
switch(config)# no logging monitor
システム メッセージをファイルに記録するようスイッチを設定できます。 デフォルトでは、システム メッセージはファイル log:messages に記録されます。
次に、システム メッセージをファイルに記録するようスイッチを設定する例を示します。
switch# configure terminal switch(config)# logging logfile my_log 6 size 4194304
次の例は、ロギング設定の表示方法を示しています(簡潔にするため、一部の出力が削除されています)。
switch# show logging info
Logging console: enabled (Severity: debugging)
Logging monitor: enabled (Severity: debugging)
Logging linecard: enabled (Severity: notifications)
Logging fex: enabled (Severity: notifications)
Logging timestamp: Seconds
Logging server: disabled
Logging logfile: enabled
Name - my_log: Severity - informational Size - 4194304
Facility Default Severity Current Session Severity
-------- ---------------- ------------------------
aaa 3 3
aclmgr 3 3
afm 3 3
altos 3 3
auth 0 0
authpriv 3 3
bootvar 5 5
callhome 2 2
capability 2 2
cdp 2 2
cert_enroll 2 2
...
モジュールおよびファシリティに基づいて記録するメッセージの重大度およびタイムスタンプの単位を設定できます。
次に、モジュールおよび特定のファシリティ メッセージの重大度を設定する例を示します。
switch# configure terminal
switch(config)# logging module 3
switch(config)# logging level aaa 2
Cisco Nexus シリーズ スイッチによって記録されるメッセージのタイムスタンプの単位を設定できます。
次に、メッセージのタイムスタンプ単位を設定する例を示します。
switch# configure terminal switch(config)# logging timestamp milliseconds switch(config)# exit switch# show logging timestamp Logging timestamp: Milliseconds
システム メッセージを記録する、リモート システムを参照する syslog サーバを最大で 8 台設定できます。
コマンドまたはアクション | 目的 | |||||
---|---|---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
||||
ステップ 2 | logging server host [severity-level [use-vrf vrf-name [facility facility]]] 例: switch(config)# logging server 172.28.254.254 5 use-vrf default facility local3 |
|
||||
ステップ 3 | no logging server host 例: switch(config)# no logging server 172.28.254.254 5 |
(任意) 指定されたホストのロギング サーバを削除します。 |
||||
ステップ 4 | show logging server 例: switch# show logging server |
(任意) syslog サーバ設定を表示します。 |
||||
ステップ 5 | copy running-config startup-config 例: switch(config)# copy running-config startup-config |
(任意) リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を永続的に保存します。 |
次に、syslog サーバを設定する例を示します。
switch# configure terminal switch(config)# logging server 172.28.254.254 5 use-vrf default facility local3 switch# configure terminal switch(config)# logging server 172.28.254.254 5 use-vrf management facility local3
/etc/syslog.conf ファイルに次の行を追加して、UNIX または Linux システム上に syslog サーバを設定できます。
facility.level <five tab characters> action
次の表に、設定可能な syslog フィールドを示します。
フィールド |
説明 |
||
---|---|---|---|
Facility |
メッセージの作成者。auth、authpriv、cron、daemon、kern、lpr、mail、mark、news、syslog、user、local0 ~ local7 です。アスタリスク(*)を使用するとすべてを指定します。 これらのファシリティ指定により、発信元に基づいてメッセージの宛先を制御できます。
|
||
Level |
メッセージを記録する最小重大度。debug、info、notice、warning、err、crit、alert、emerg です。アスタリスク(*)を使用するとすべてを指定します。 none を使用するとファシリティをディセーブルにできます。 |
||
Action |
メッセージの宛先。ファイル名、前にアット マーク(@)が付いたホスト名、カンマで区切られたユーザ リストです。アスタリスク(*)を使用するとすべてのログイン ユーザを指定します。 |
Cisco Fabric Services(CFS)インフラストラクチャを使用して、ネットワーク内の他のスイッチへ syslog サーバ設定を配布できます。
syslog サーバ設定の配布をイネーブルにすると、配布設定をコミットする前に syslog サーバ設定を変更し、保留中の変更を表示できます。 配布がイネーブルである限り、スイッチは syslog サーバ設定に対する保留中の変更を維持します。
(注) |
スイッチを再起動すると、揮発性メモリに保存されている syslog サーバ設定の変更は失われることがあります。 |
1 つまたは複数の syslog サーバを設定しておく必要があります。
ログ ファイルおよび NVRAM のメッセージを表示したりクリアしたりできます。
次に、ログ ファイルのメッセージを表示する例を示します。
switch# show logging last 40
switch# show logging logfile start-time 2007 nov 1 15:10:0
switch# show logging nvram last 10
次に、ログ ファイルのメッセージをクリアする例を示します。
switch# clear logging logfile
switch# clear logging nvram
システム メッセージ ロギングの設定情報を表示するには、次の作業のいずれかを行います。
コマンド |
目的 |
---|---|
show logging console | コンソール ロギング設定を表示します。 |
show logging info | ロギング設定を表示します。 |
show logging internal info | syslog 配布情報を表示します。 |
show logging ip access-list cache | IP アクセス リスト キャッシュを表示します。 |
show logging ip access-list cache detail | IP アクセス リスト キャッシュに関する詳細情報を表示します。 |
show logging ip access-list status | IP アクセス リスト キャッシュのステータスを表示します。 |
show logging last number-lines | ログ ファイルの末尾から指定行数を表示します。 |
show logging level [facility] | ファシリティ ロギング重大度設定を表示します。 |
show logging logfile [start-time yyyy mmm dd hh:mm:ss] [end-time yyyy mmm dd hh:mm:ss] | ログ ファイルのメッセージを表示します。 |
show logging module | モジュール ロギング設定を表示します。 |
show logging monitor | モニタ ロギング設定を表示します。 |
show logging nvram [last number-lines] | NVRAM ログのメッセージを表示します。 |
show logging pending | syslog サーバの保留中の配布設定を表示します。 |
show logging pending-diff | syslog サーバの保留中の配布設定の違いを表示します。 |
show logging server | syslog サーバ設定を表示します。 |
show logging session | ロギング セッションのステータスを表示します。 |
show logging status | ロギング ステータスを表示します。 |
show logging timestamp | ロギング タイムスタンプ単位設定を表示します。 |
show running-config acllog | ACL ログ ファイルの実行コンフィギュレーションを表示します。 |
アクセス コントロール リスト(ACL)のロギング機能により、IPv4 ACL にヒットするパケットのロギングが可能になります。 ログ メッセージはフロー ベースで表示されます。 フローは、送信元 IP アドレス、宛先 IP アドレス、レイヤ 4 プロトコル、およびインターフェイスのレイヤ 4 送信元/宛先ポートの組み合わせを使用して識別されます。 ログ メッセージは、次の基準に基づいて生成されます。
上記に加え、フロー数が指定された間隔内にしきい値を超えると、警告メッセージが記録され、フローはロギング キャッシュに追加されません。
次の表に、Cisco Nexus デバイスの制限について説明します。
機能 |
Cisco Nexus デバイス |
|
---|---|---|
ロギング サポート |
||
PACL |
Yes |
ドロップのみ |
出力 RACL |
Yes |
ドロップのみ |
入力 RACL |
No |
|
出力 VACL |
Yes |
ドロップのみ |
入力 VACL |
Yes |
|
RBACL |
N/A |
|
VTY ACL In/Out |
Yes |
ログのドロップ |
mgmt0 の入力 RACL |
Yes |
許可/ドロップ |
SNMP ACL |
||
NTP ACL |
||
CTS |
Yes |
|
ソフトウェアベース RACL |
Yes |
VTY ACL を除く他のすべての ACL は「拒否」ACE エントリの ACL ロギングのみサポートします。 しかし、同一の ACL は vty ACL と他の機能の両方に適用される場合があるため、「permit <> log」CLI はブロックできません。 ただし、ある ACL をそのようにインターフェイスや VLAN に適用することは回避可能です。 Mgmt0 は、許可のロギングをサポートしています。
Cisco Nexus デバイスでは、CTS はサポートされていないので、RBACL はサポートされません。
IPv6 および MAC ACL の ACL ロギングはサポートされません。 FEX HIF インターフェイスを含め、PACL、RACL、VACL および VTY を適用可能なすべてのインターフェイスでサポートされます。
ACL ロギングはレート制限されます。 ACL にヒットするパケットはすべて、sup に送信されません。 レート リミッタ機能は、スイッチごとに、すべての ASIC と TCAM リージョンに適用されます。 レートを設定するため、次の CLI が提供されます。
次に、ログ エントリの最大数を 5000、間隔を 120 秒、およびしきい値を 500000 に設定する例を示します。
switch# configure terminal switch(config)# logging ip access-list cache entries 5000 switch(config)# logging ip access-list cache interval 120 switch(config)# logging ip access-list cache threshold 500000 switch(config)# copy running-config startup-config
mgmt0 インターフェイスのみで ACL ロギングを適用できます。
次に、すべての入力トラフィックに対して acl1 で指定されたロギングに mgmt0 インターフェイスを適用する例を示します。
switch# configure terminal switch(config)# interface mgmt0 switch(config-if)# ip access-group acl1 in switch(config-if)# copy running-config startup-config
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | switch(config)# acllog match-log-level number |
|
||
ステップ 3 | switch(config)# copy running-config startup-config | (任意) リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を永続的に保存します。 |
キャッシュに記録される、スーパーバイザ(CPU)に送信されるログに記録されるパケット数を制限できます。
次に、1000 パケット/秒にレート リミッタを設定する例を示します。
switch# configure terminal switch(config)# hardware rate-limiter access-list-log packets 1000
ACL ログをクリアできます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# clear logging ip access-list cache | IP コンフィギュレーションのアクセス リスト キャッシュをクリアします。 |
設定を確認するには、次のいずれかのコマンドを使用します。
コマンド |
目的 |
---|---|
show logging ip access-list status |
ACLLOG のステータスを表示します。 |
show logging ip access-list cache [detail] |
キャッシュ内のエントリと任意選択の詳細を表示します。 |
show acllog status |
フロー カウントおよびレート制限を表示します |
show acllog flows |
現在アクティブなログ済みフローを表示します。 |