SGACL でロギングが有効になっている場合、デバイスは次の情報を記録します。
ログオプションは個々の ACE に適用され、ACE に一致するパケットがログに記録されます。log キーワードで記録された最初のパケットは、syslog メッセージを生成します。後続のログメッセージは 5 分間隔で生成および報告されます。ロギング対応
ACE が別のパケット(ログメッセージを生成したパケットと同一の特性を持つ)と一致する場合、一致したパケットの数が増加(カウンタ)し、レポートされます。
ロギングを有効にするには、SGACL 構成の ACE 定義の前に log キーワードを使用します。たとえば、permit ip log のようになります。
SGACL ロギングが有効の場合、デバイスからクライアントへの ICMP 要求メッセージは、IPv4 および IPv6 プロトコルについては記録されません。ただし、クライアントからデバイスへの ICMP 応答メッセージがログに記録されます。
次に、送信元と宛先の SGT、ACE の一致(許可または拒否アクション)、およびプロトコル、つまり TCP、UDP、IGMP、および ICMP 情報を表示するサンプルログを示します。
*Jun 2 08:58:06.489: %C4K_IOSINTF-6-SGACLHIT: list deny_udp_src_port_log-30 Denied
udp 24.0.0.23(100) -> 28.0.0.91(100), SGT8 DGT 12
show cts role-based counters コマンドを使用して表示できる既存の「セルごとの」SGACL 統計情報に加えて、show ip access-list sgacl_name コマンドを使用して ACE 統計情報も表示できます。これについて追加設定は必要ありません。
次に、show ip access-list コマンドを使用して ACE カウントを表示する例を示します。
Device# show ip access-control deny_udp_src_port_log-30
Role-based IP access list deny_udp_src_port_log-30 (downloaded)
10 deny udp src eq 100 log (283 matches)
20 permit ip log (50 matches)
(注) |
着信トラフィックがセルに一致するが、セルの SGACL に一致しない場合、トラフィックは許可され、セルの HW-許可のカウンタが増加します。
次に、セルの SGACL の動作例を示します。
SGACL ポリシーは「deny icmp echo」で 5 〜 18 に設定され、TCP ヘッダーで 5 〜 18 の着信トラフィックがあります。セルが 5 〜 18 に一致するが、トラフィックが icmp と一致しない場合、トラフィックは許可され、セル
5 〜 18 の HW-許可カウンタが増加します。
Device# show cts role-based permissions from 5 to 18
IPv4 Role-based permissions from group 5:sgt_5_Contractors to group 18:sgt_18_data_user2:sgacl_5_18-01
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE
Device# show ip access-lists sgacl_5_18-01
Role-based IP access list sgacl_5_18-01 (downloaded)
10 deny icmp echo log (1 match)
Device# show cts role-based counters from 5 to 18
Role-based IPv4 counters
From To SW-Denied HW-Denied SW-Permitt HW-Permitt SW-Monitor HW-Monitor
5 18 0 0 0 1673202 0 0
|