ACL 契約の許可および拒否ログについて
契約ルールのトラフィック フローをログ記録および監視するには、契約の許可ルールのため送信されることが許可されたパケットまたはフローのログを有効化および表示するか、契約の許可ルールのためドロップされたフローのログを有効化および表示できます。
-
禁止契約拒否ルール
-
契約の件名でアクションを拒否する
-
契約または件名の例外
-
ACI ファブリックの ACL コントラクト許可は、EX または FX で終わる名前の Nexus 9000 シリーズ スイッチ、およびそれ以降のすべてのモデルでのみサポートされます。たとえば、N9K-C93180LC-EX や N9K-C9336C-FX のように指定してください。
-
ACI ファブリックでのログの拒否は、すべてのプラットフォームでサポートされています。
-
管理契約のフィルタでログ directive を使用することはサポートされていません。ログ directive を設定すると、ゾーン分割ルールの展開エラーが発生します。
標準および禁止契約と件名についての詳細は、『CiscoApplication Centric Infrastructure Fundamentals』および『Cisco APIC Basic Configuration Guide』を参照してください。
ACL 許可および拒否ログ出力に含まれる EPG データ
Cisco APIC、リリース 3.2(1) まで、ACL 許可および拒否ログでは、記録されている契約に関連付けられた EPG を識別していませんでした。リリース 3.2(1) では、送信元 EPG と 送信先 EPG が ACI 許可および拒否ログの出力に追加されます。ACL 許可および拒否ログには、次の制限を持つ関連 EPG を含めます。
-
ネットワーク内の EPG の配置によっては、ログの EPG データを使用できない場合があります。
-
設定の変更が発生するとき、ログ データが期限切れになっている可能性があります。安定した状態では、ログ データは正確です。
ログが次にフォーカスされているとき、許可および拒否ログの EPG データは最も正確になります。
-
入力 TOR で入力ポリシーがインストールされており、出力 TOR で出力ポリシーがインストールされている場合の EPG から EPG へのフロー。
-
境界リーフ TOR で 1 個のポリシーが適用され、非 BL TOR で他のポリシーが適用されている場合の EPG から L3Out へのフロー。
ログ出力の EPG は、共有サービス(共有 L3Outs を含む)で使用される uSeg Epg または Epg ではサポートされていません。