ロギングの概要
システム ロギングは、デバイスから syslog デーモンを実行するサーバへのメッセージを収集する方法です。中央 syslog サーバへロギングは、ログおよびアラートの集約に役立ちます。シスコ デバイスでは、これらのログ メッセージを UNIX スタイルの syslog サービスに送信できます。syslog サービスは、簡単なコンフィギュレーション ファイルに従って、メッセージを受信してファイルに保存するか、出力します。この形式のロギングは、ログ用の保護された長期ストレージを提供します。ログは、ルーチンのトラブルシューティングおよびインシデント処理の両方で役立ちます。
ASA のシステムログにより、ASA のモニタリングおよびトラブルシューティングに必要な情報が得られます。ロギング機能を使用して、次の操作を実行できます。
-
ログに記録する syslog メッセージを指定する。
-
syslog メッセージの重大度を無効化または変更する。
-
次のような syslog メッセージ送信先を 1 つ以上指定する。
-
内部バッファ
-
1 台以上の syslog サーバ
-
ASDM
-
SNMP 管理ステーション
-
指定の電子メール アドレス
-
コンソール
-
Telnet および SSH セッション。
-
-
重大度レベルやメッセージ クラスなどによる、グループ内での syslog メッセージを設定および管理する。
-
syslog の生成にレート制限を適用するかどうかを指定する。
-
内部ログ バッファがいっぱいになった場合に、その内容に対して実行する処理(バッファを上書きする、バッファの内容を FTP サーバに送信する、または内容を内部フラッシュ メモリに保存する)を指定する。
-
場所、重大度レベル、クラス、またはカスタム メッセージ リストにより、syslog メッセージをフィルタリングする。
マルチ コンテキスト モードでのロギング
それぞれのセキュリティ コンテキストには、独自のロギング コンフィギュレーションが含まれており、独自のメッセージが生成されます。システム コンテキストまたは管理コンテキストにログインし、別のコンテキストに変更した場合、セッションで表示されるメッセージは現在のコンテキストに関連するメッセージに限定されます。
システム実行スペースで生成されるフェールオーバー メッセージなどの syslog メッセージは、管理コンテキストで生成されるメッセージとともに管理コンテキストで表示できます。システム実行スペースでは、ロギングの設定やロギング情報の表示はできません。
ASA は、各メッセージとともにコンテキスト名を含めるように設定できます。これによって、単一の syslog サーバーに送信されるコンテキストメッセージを区別できます。この機能は、管理コンテキストから送信されたメッセージとシステムから送信されたメッセージの判別にも役立ちます。これが可能なのは、送信元がシステム実行スペースであるメッセージではシステムのデバイス ID が使用され、管理コンテキストが送信元であるメッセージではデバイス ID として管理コンテキストの名前が使用されるからです。
syslog メッセージ分析
次に、さまざまな syslog メッセージを確認することで取得できる情報タイプの例を示します。
-
ASA セキュリティ ポリシーで許可された接続。これらのメッセージは、セキュリティ ポリシーで開いたままのホールを発見するのに役立ちます。
-
ASA セキュリティ ポリシーで拒否された接続。これらのメッセージは、セキュアな内部ネットワークに転送されているアクティビティのタイプを示します。
-
ACE 拒否率ロギング機能を使用すると、使用している ASA に対して発生している攻撃が表示されます。
-
IDS アクティビティ メッセージには、発生した攻撃が示されます。
-
ユーザー認証とコマンドの使用により、セキュリティ ポリシーの変更を監査証跡することができます。
-
帯域幅使用状況メッセージには、確立および切断された各接続のほか、使用された時間とトラフィック量が示されます。
-
プロトコル使用状況メッセージには、各接続で使用されたプロトコルとポート番号が示されます。
-
アドレス変換監査証跡メッセージは、確立または切断されている NAT または PAT 接続を記録します。この情報は、内部ネットワークから外部に送信される悪意のあるアクティビティのレポートを受信した場合に役立ちます。
syslog メッセージ形式
syslog メッセージはパーセントの記号(%)で始まり、次のように構造化されています。
%ASA Level Message_number: Message_text
次の表に、フィールドの説明を示します。
ASA |
ASA が生成するメッセージの syslog メッセージ ファシリティ コード。この値は常に ASA です。 |
レベル |
1 ~ 7。レベルは、syslog メッセージに記述されている状況の重大度を示します。値が低いほどその状況の重大度は高くなります。 |
Message_number |
syslog メッセージを特定する 6 桁の固有の番号。 |
Message_text |
状況を説明するテキスト文字列。syslog メッセージのこの部分には、IP アドレス、ポート番号、またはユーザー名が含まれていることがあります。 |
重大度
次の表に、syslog メッセージの重大度の一覧を示します。ASDM ログ ビューアで重大度を区別しやすくするために、重大度のそれぞれにカスタム カラーを割り当てることができます。syslog メッセージの色設定を行うには、[ツール(Tools)] > [設定(Preferences)] > [Syslog(Syslog)] タブを選択するか、またはログビューア自体のツールバーで [色の設定(Color Settings)] をクリックします。
レベル番号 |
重大度 |
説明 |
---|---|---|
0 |
emergencies |
システムが使用不可能な状態です。 |
1 |
alert |
すぐに措置する必要があります。 |
2 |
critical |
深刻な状況です。 |
3 |
error |
エラー状態です。 |
4 |
warning |
警告状態です。 |
5 |
Notification(通告) |
正常ですが、注意を必要とする状況です。 |
6 |
informational |
情報メッセージです。 |
7 |
debugging |
デバッグ メッセージです。 問題をデバッグするときに、このレベルで一時的にのみログに記録します。このログレベルでは、非常に多くのメッセージが生成される可能性があるため、システムパフォーマンスに影響を与える可能性があります。 |
(注) |
ASA および は、重大度 0(緊急)の syslog メッセージを生成しません。 |
syslog メッセージ フィルタリング
生成される syslog メッセージは、特定の syslog メッセージだけが特定の出力先に送信されるようにフィルタリングできます。たとえば、ASA を設定して、すべての syslog メッセージを 1 つの出力先に送信し、それらの syslog メッセージのサブセットを別の出力先に送信することができます。
具体的には、syslog メッセージが次の基準に従って出力先に転送されるようにできます。
-
syslog メッセージの ID 番号
-
syslog メッセージの重大度
-
syslog メッセージ クラス(機能エリアと同等)
これらの基準は、出力先を設定するときに指定可能なメッセージ リストを作成して、カスタマイズできます。あるいは、メッセージ リストとは無関係に、特定のメッセージ クラスを各タイプの出力先に送信するように ASA を設定することもできます。
syslog メッセージ クラス
syslog メッセージのクラスは次の 2 つの方法で使用できます。
-
syslog メッセージのカテゴリ全体の出力場所を指定します。logging class コマンドを使用します。
-
メッセージ クラスを指定するメッセージ リストを作成します。logging list コマンドを使用します。
syslog メッセージ クラスは、デバイスの特徴または機能と同等のタイプによって syslog メッセージを分類する方法を提供します。たとえば、RIP クラスは RIP ルーティングを示します。
特定のクラスに属する syslog メッセージの ID 番号はすべて、最初の 3 桁が同じです。たとえば、611 で始まるすべての syslog メッセージ ID は、vpnc(VPN クライアント)クラスに関連付けられています。VPN クライアント機能に関連付けられている syslog メッセージの範囲は、611101 ~ 611323 です。
また、ほとんどの ISAKMP syslog メッセージには先頭に付加されたオブジェクトの共通セットが含まれているため、トンネルを識別するのに役立ちます。これらのオブジェクトは、使用可能なときに、syslog メッセージの説明テキストの前に付加されます。syslog メッセージ生成時にオブジェクトが不明な場合、特定の heading = value の組み合わせは表示されません。
オブジェクトは次のように先頭に付加されます。
Group = groupname, Username = user, IP = IP_address
Group はトンネル グループ、Username はローカル データベースまたは AAA サーバから取得したユーザ名、IP アドレスはリモート アクセス クライアントまたはレイヤ 2 ピアのパブリック IP アドレスです。
次の表に、メッセージ クラスと各クラスのメッセージ ID の範囲をリストします。
クラス |
定義 |
Syslog メッセージ ID 番号 |
---|---|---|
auth |
ユーザ認証 |
109、113 |
— |
アクセス リスト |
106 |
— |
アプリケーション ファイアウォール |
415 |
bridge |
トランスペアレント ファイアウォール |
110、220 |
ca |
PKI 証明機関 |
717 |
citrix |
Citrix クライアント |
723 |
— |
クラスタリング |
747 |
— |
カード管理 |
323 |
config |
コマンド インターフェイス |
111、112、208、308 |
csd |
セキュアなデスクトップ |
724 |
cts |
Cisco TrustSec |
776 |
dap |
ダイナミック アクセス ポリシー |
734 |
eap、eapoudp |
ネットワーク アドミッション コントロール用の EAP または EAPoUDP |
333、334 |
eigrp |
EIGRP ルーティング |
336 |
|
電子メール プロキシ |
719 |
— |
環境モニタリング |
735 |
ha |
フェールオーバー |
101、102、103、104、105、210、311、709 |
— |
Identity-Based ファイアウォール |
746 |
ids |
侵入検知システム |
400、733 |
— |
IKEv2 ツールキット |
750、751、752 |
ip |
IP スタック |
209、215、313、317、408 |
ipaa |
IP アドレスの割り当て |
735 |
ips |
侵入防御システム |
400、401、420 |
— |
IPv6 |
325 |
— |
ボットネット トラフィック フィルタリング |
338 |
— |
ライセンシング |
444 |
mdm-proxy |
MDM プロキシ |
802 |
nac |
ネットワーク アドミッション コントロール |
731、732 |
nacpolicy |
NAC ポリシー |
731 |
nacsettings |
NAC ポリシーを適用するための NAC 設定 |
732 |
— |
ネットワーク アクセス ポイント |
713 |
np |
ネットワーク プロセッサ |
319 |
— |
NP SSL |
725 |
ospf |
OSPF ルーティング |
318、409、503、613 |
— |
パスワードの暗号化 |
742 |
— |
Phone Proxy |
337 |
rip |
RIP ルーティング |
107、312 |
rm |
Resource Manager |
321 |
— |
Smart Call Home |
120 |
session |
ユーザ セッション |
106、108、201、202、204、302、303、304、305、314、405、406、407、500、502、607、608、609、616、620、703、710 |
snmp |
SNMP |
212 |
— |
ScanSafe |
775 |
ssl |
SSL スタック |
725 |
svc |
SSL VPN クライアント |
722 |
sys |
システム |
199、211、214、216、306、307、315、414、604、605、606、610、612、614、615、701、711、741 |
— |
脅威の検出 |
733 |
tre |
トランザクション ルール エンジン |
780 |
— |
UC-IME |
339 |
tag-switching |
サービス タグ スイッチング |
779 |
vm |
VLAN マッピング |
730 |
vpdn |
PPTP および L2TP セッション |
213、403、603 |
vpn |
IKE および IPsec |
316、320、402、404、501、602、702、713、714、715 |
vpnc |
VPN クライアント |
611 |
vpnfo |
VPN フェールオーバー |
720 |
vpnlb |
VPN ロード バランシング |
718 |
— |
VXLAN |
778 |
webfo |
WebVPN フェールオーバー |
721 |
webvpn |
WebVPN と AnyConnect クライアント |
716 |
— |
NAT および PAT |
305 |
カスタム メッセージ リスト
-
重大度
-
メッセージ ID
-
syslog メッセージ ID の範囲
-
メッセージ クラス
たとえば、メッセージ リストを使用して次の操作を実行できます。
-
重大度が 1 および 2 の syslog メッセージを選択し、1 つ以上の電子メール アドレスに送信する。
-
メッセージ クラス(「ha」など)に関連付けられたすべての syslog メッセージを選択し、内部バッファに保存する。
メッセージ リストには、メッセージを選択するための複数の基準を含めることができます。 ただし、メッセージ選択基準の追加は、それぞれ個別のコマンド エントリで行う必要があります。重複したメッセージ選択基準を含むメッセージ リストが作成される可能性もあります。メッセージ リストの 2 つの基準によって同じメッセージが選択される場合、そのメッセージは一度だけログに記録されます。
クラスタ
syslog メッセージは、クラスタリング環境でのアカウンティング、モニタリング、およびトラブルシューティングのための非常に重要なツールです。クラスタ内の各 ASA ユニット(最大 8 ユニットを使用できます)は、syslog メッセージを個別に生成します。特定の logging コマンドを使用すると、タイム スタンプおよびデバイス ID を含むヘッダー フィールドを制御できます。syslog サーバーは、syslog ジェネレータを識別するためにデバイス ID を使用します。logging device-id コマンドを使用すると、同一または異なるデバイス ID 付きで syslog メッセージを生成することができ、クラスタ内の同一または異なるユニットからのメッセージのように見せることができます。