Cisco ASA シリーズ コマンド リファレンス、I ~ R コマンド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2020年11月22日
章のタイトル: logging asdm コマンド~ lsp-refresh-interval コマンド
- logging asdm
- logging asdm-buffer-size
- logging buffered
- logging buffer-size
- logging class
- logging console
- logging debug-trace
- logging debug-trace persistent
- logging device-id
- logging emblem
- logging enable
- logging facility
- logging flash-bufferwrap
- logging flash-maximum-allocation
- logging flash-minimum-free
- logging flow-export-syslogs
- logging from-address
- logging ftp-bufferwrap
- logging ftp-server
- logging hide username
- logging history
- logging host
- logging list
- logging mail
- logging message
- logging message standby
- logging monitor
- logging permit-hostdown
- logging queue
- logging rate-limit
- logging recipient-address
- logging savelog
- logging standby
- logging timestamp
- logging trap
- login
- login-button
- login-message
- login-title
- logo
- logout
- logout-message
- lsp-full suppress
- lsp-gen-interval
- lsp-refresh-interval
logging asdm コマンド~ lsp-refresh-interval コマンド
logging asdm
syslog メッセージを ASDM ログ バッファに送信するには、グローバル コンフィギュレーション モードで logging asdm コマンドを使用します。ASDM ログ バッファへのロギングをディセーブルにするには、このコマンドの no 形式を使用します。
logging asdm [ logging_list | level]
no logging asdm [ logging_list | level]
構文の説明
syslog メッセージの最大重大度を設定します。たとえば、重大度を 3 に設定すると、ASA は重大度 3、2、1、0 の syslog メッセージを生成します。次のように、数値または名前のいずれかを指定できます。 |
|
ASDM ログ バッファに送信するメッセージを識別するリストを指定します。リストの作成については、 logging list コマンドを参照してください。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASDM ログ バッファにメッセージが送信される前に、 logging enable コマンドを使用してロギングをイネーブルにしておく必要があります。
ASDM ログ バッファがいっぱいになっている場合、ASA は最も古いメッセージを削除して、バッファに新たなメッセージ分の容量を確保します。ASDM ログ バッファに保持される syslog メッセージの数を制御するには、 logging asdm-buffer-size コマンドを使用します。
ASDM ログ バッファは、 logging buffered コマンドでイネーブルにするログ バッファとは異なります。
例
次に、ロギングをイネーブルにし、重大度レベル 0、1、および 2 のログ バッファ メッセージを ASDM に送信し、ASDM ログ バッファ サイズを 200 メッセージに設定する例を示します。
関連コマンド
|
|
|
|---|---|
logging asdm-buffer-size
ASDM ログ バッファに保持される syslog メッセージの数を指定するには、グローバル コンフィギュレーション モードで logging asdm-buffer-size コマンドを使用します。ASDM ログ バッファをデフォルトのサイズの 100 メッセージにリセットするには、このコマンドの no 形式を使用します。
logging asdm-buffer-size num_of_msgs
no logging asdm-buffer-size num_of_msgs
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASDM ログ バッファがいっぱいになっている場合、ASA は最も古いメッセージを削除して、バッファに新たなメッセージ分の容量を確保します。ASDM ログ バッファへのロギングをイネーブルにするかどうかを制御するには、または ASDM ログ バッファに保持される syslog メッセージの種類を制御するには、 logging asdm コマンドを使用します。
ASDM ログ バッファは、 logging buffered コマンドでイネーブルにするログ バッファとは異なります。
例
次に、ロギングをイネーブルにして、ASDM ログ バッファに重大度 0、1、および 2 のメッセージを送信し、ASDM ログ バッファのサイズを 200 メッセージに設定する例を示します。
関連コマンド
|
|
|
|---|---|
logging buffered
ASA によって syslog メッセージをログ バッファに送信できるようにするには、グローバル コンフィギュレーション モードで logging buffered コマンドを使用します。ログ バッファへのロギングをディセーブルにするには、このコマンドの no 形式を使用します。
logging buffered [ logging_list | level]
no logging buffered [ logging_list | level]
構文の説明
syslog メッセージの最大重大度を設定します。たとえば、重大度を 3 に設定すると、ASA は重大度 3、2、1、0 の syslog メッセージを生成します。次のように、数値または名前のいずれかを指定できます。 |
|
ログ バッファに送信するメッセージを識別するリストを指定します。リストの作成については、 logging list コマンドを参照してください。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ログ バッファにメッセージが送信される前に、 logging enable コマンドを使用してロギングをイネーブルにしておく必要があります。
新しいメッセージは、バッファの最後に追加されます。バッファがいっぱいになると、ASA ではバッファをクリアしてから、メッセージの追加を続行します。ログ バッファがいっぱいになると、ASA では最も古いメッセージを削除して、バッファに新しいメッセージ用の領域を確保します。バッファの内容が「ラップ」されるたびにバッファの内容を自動的に保存することができます。これは、最後に保存されてから追加されたすべてのメッセージが新しいメッセージに置き換えられることを意味します。詳細については、 logging flash-bufferwrap コマンドおよび logging ftp-bufferwrap コマンドを参照してください。
バッファの内容は、いつでもフラッシュ メモリに保存できます。詳細については、 logging savelog コマンドを参照してください。
例
次に、重大度レベルが 0 および 1 のイベントに対して、バッファへのロギングを設定する例を示します。
次の例では、最大重大度 7 の「notif-list」というリストを作成し、「notif-list」リストで識別される syslog メッセージに対して、バッファへのロギングを設定します。
関連コマンド
|
|
|
|---|---|
logging buffer-size
ログ バッファのサイズを指定するには、グローバル コンフィギュレーション モードで logging buffer-size コマンドを使用します。ログ バッファをデフォルトのサイズの 4 KB のメモリにリセットするには、このコマンドの no 形式を使用します。
構文の説明
ログ バッファに使用するメモリ量をバイト単位で設定します。たとえば、8192 を指定した場合、ASA によってログ バッファに 8 KB のメモリが使用されます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトのバッファ サイズと異なるサイズのログ バッファが ASA によって使用されているかどうかを確認するには、 show running-config logging コマンドを使用します。 logging buffer-size コマンドが表示されない場合は、ASA によって 4 KB のログ バッファが使用されています。
例
次に、ロギングをイネーブルにし、ロギング バッファをイネーブルにし、ASA によってログ バッファ用に 16 KB のメモリが使用されることを指定する例を示します。
関連コマンド
|
|
|
|---|---|
logging class
メッセージ クラスに対して、ロギング先ごとの最大重大度レベルを設定するには、グローバル コンフィギュレーション モードで logging class コマンドを使用します。メッセージ クラスの重大度レベル コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
logging class class destination level [ destination level...]
構文の説明
デフォルト
デフォルトでは、重大度レベルは ASA によって、ロギング先およびメッセージ クラスに基づいて適用されません。代わりに、イネーブルにされた各ロギング先では、logging list で決定された重大度レベル、または各ロギング先をイネーブルにしたときに指定された重大度レベルで、すべてのクラスに対するメッセージが受信されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
- auth :ユーザ認証
- bridge :トランスペアレント ファイアウォール
- ca :PKI 認証局
- config :コマンド インターフェイス
- dap :ダイナミック アクセス ポリシー。
- eap :拡張認証プロトコル(EAP)ネットワーク アドミッション コントロールをサポートする、EAP セッション状態の変更、EAP ステータスのクエリー イベントといったタイプのイベント、および EAP ヘッダーおよびパケット内容の 16 進ダンプをログに記録します。
- eapoudp :拡張認証プロトコル(EAP)over UDP ネットワーク アドミッション コントロールをサポートする EAPoUDP のイベントをログに記録し、EAPoUDP ヘッダーおよびパケット内容の完全な記録を生成します。
- eigrp :EIGRP ルーティング。
- email :電子メール プロキシ
- ha :フェールオーバー。
- ids :侵入検知システム
- ip :IP スタック
- ipaa :IP アドレス割り当て。
- nac :ネットワーク アドミッション コントロール初期化、例外リスト照合、ACS トランザクション、クライアントレス認証、デフォルト ACL 適用、および再評価といったタイプのイベントのログを記録します。
- np :ネットワーク プロセッサ
- ospf :OSPF ルーティング
- rip :RIP ルーティング
- rm :リソース マネージャ。
- session :ユーザ セッション
- snmp :SNMP
- sys :システム
- vpn :IKE および IPsec。
- vpnc :VPN クライアント
- vpnfo :VPN フェールオーバー
- vpnlb :VPN ロード バランシング
- asdm :このロギング先については、 logging asdm コマンドを参照してください。
- buffered :このロギング先については、 logging buffered コマンドを参照してください。
- console :このロギング先については、 logging console コマンドを参照してください。
- history :このロギング先については、 logging history コマンドを参照してください。
- mail :このロギング先については、 logging mail コマンドを参照してください。
- monitor :このロギング先については、 logging monitor コマンドを参照してください。
- trap :このロギング先については、 logging trap コマンドを参照してください。
例
次に、フェールオーバー関連のメッセージについて、ASDM ログ バッファの最大重大度が 2 で、syslog バッファの最大重大度が 7 であることを指定する例を示します。
関連コマンド
|
|
|
|---|---|
logging console
ASA で syslog メッセージをコンソール セッションに表示できるようにするには、グローバル コンフィギュレーション モードで logging console コマンドを使用します。コンソール セッションへの syslog メッセージの表示をディセーブルにするには、このコマンドの no 形式を使用します。
logging console [ logging_list | level]
(注
) バッファ オーバーフローによって数多くの syslog メッセージがドロップされる可能性があるため、このコマンドは使用しないことを推奨します。詳細については、「使用上のガイドライン」セクションを参照してください。
構文の説明
syslog メッセージの最大重大度を設定します。たとえば、重大度を 3 に設定すると、ASA は重大度 3、2、1、0 の syslog メッセージを生成します。次のように、数値または名前のいずれかを指定できます。 |
|
コンソール セッションに送信するメッセージを識別するリストを指定します。リストの作成については、 logging list コマンドを参照してください。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
コンソールにメッセージが送信される前に、 logging enable コマンドを使用してロギングをイネーブルにしておく必要があります。
logging console コマンドを使用すると、システム パフォーマンスが大幅に低下する可能性があります。代わりに、logging buffered コマンドを使用してロギングを開始し、show logging コマンドを使用してメッセージを表示します。最新のメッセージをより簡単に表示するには、clear logging
buffer コマンドを使用してバッファをクリアします。
例
次に、重大度レベル 0、1、2、および 3 の syslog メッセージをコンソール セッションに表示できるようにする例を示します。
関連コマンド
|
|
|
|---|---|
logging debug-trace
デバッグ メッセージを重大度レベル 7 で発行される syslog メッセージ 711001 としてログにリダイレクトするには、グローバル コンフィギュレーション モードで logging debug-trace コマンドを使用します。デバッグ メッセージのログへの送信を停止するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デバッグ メッセージは重大度レベル 7 のメッセージとして生成されます。syslog メッセージ番号 711001 でログに表示されますが、モニタリング セッションには表示されません。
例
次に、ロギングをイネーブルにし、ログ メッセージをシステム ログ バッファに送信し、デバッグ出力をログにリダイレクトし、ディスク アクティビティのデバッグをオンにする例を示します。
次に、ログに表示されるデバッグ メッセージの出力例を示します。
関連コマンド
|
|
|
|---|---|
logging debug-trace persistent
特定のセッションでアクティブなデバッグ syslog をセッションの終了後もログに記録されるようにするには、グローバル コンフィギュレーション モードで logging debug-trace persistent コマンドを使用します。特定の永続的なデバッグ設定をディセーブルにするには、このコマンドの no 形式を使用します。これにより、ローカル セッションと永続的なデバッグからエントリがクリアされます。
logging debug-trace persistent
no logging debug-trace persistent
構文の説明
デフォルト
デフォルトでは、セッションが終了すると、その特定のセッションでイネーブルになっているすべてのデバッグ コマンドが設定から削除され、syslog サーバにログが記録されなくなります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging debug-trace persistent コマンドがイネーブルになっている場合、セッションで入力されたデバッグ コマンドはグローバルに保存され、すべてのセションで表示できます。このコマンドは、実行コンフィギュレーションに保存され、再起動後も保持されます。
例
次に、ロギングをイネーブルにし、ログ メッセージをシステム ログ バッファに送信し、デバッグ出力をログにリダイレクトし、ディスク アクティビティの永続的なデバッグをオンにする例を示します。
次に、ログに表示されるデバッグ メッセージの出力例を示します。
関連コマンド
|
|
|
|---|---|
logging device-id
EMBLEM 形式でない syslog メッセージにデバイス ID を含めるように ASA を設定するには、グローバル コンフィギュレーション モードで logging device-id コマンドを使用します。デバイス ID の使用をディセーブルにするには、このコマンドの no 形式を使用します。
logging device-id { cluster-id | context-name | hostname | ipaddress interface_name [ system ] | string text }
no logging device-id { cluster-id | context-name | hostname | ipaddress interface_name [ system ] | string text }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ipaddress キーワードを使用すると、メッセージが送信されるインターフェイスに関係なく、デバイス ID は指定した ASA インターフェイスの IP アドレスとなります。このキーワードにより、そのデバイスから送信されるすべてのメッセージに対して、単一の一貫したデバイス ID が指定されます。 system キーワードを使用すると、指定した ASA で、クラスタのユニットのローカル IP アドレスではなくシステムの IP アドレスが使用されます。 cluster-id キーワードと system キーワードは、ASA 5580 および 5585-X だけに適用されます。
例
次に、「secappl-1」というホストを設定する例を示します。
ホスト名は、次のメッセージに示すように、syslog メッセージの先頭に表示されます。
関連コマンド
|
|
|
|---|---|
logging emblem
syslog サーバ以外のロギング先に送信される syslog メッセージに EMBLEM 形式を使用するには、グローバル コンフィギュレーション モードで logging emblem コマンドを使用します。EMBLEM 形式の使用をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging emblem コマンドを使用すると、syslog サーバ以外のすべてのロギング先に対して、EMBLEM 形式のロギングをイネーブルにすることができます。 logging timestamp キーワードもイネーブルにする場合、タイム スタンプが付与されたメッセージが送信されます。
syslog サーバに対して EMBLEM 形式のロギングをイネーブルにするには、 logging host コマンドで format emblem オプションを使用します。
例
次に、ロギングをイネーブルにし、syslog サーバを除くすべてのロギング先へのロギングに対して EMBLEM 形式の使用をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
logging enable
設定済みの出力場所すべてに対してロギングをイネーブルにするには、グローバル コンフィギュレーション モードで logging enable コマンドを使用します。ロギングをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging enable コマンドを使用すると、サポートされている任意のロギング先への syslog メッセージの送信をイネーブルまたはディセーブルにすることができます。no logging enable コマンドを使用して、すべてのロギングを停止できます。
例
次に、ロギングをイネーブルにする例を示します。 show logging コマンドの出力は、使用可能な各ロギング先を個別にイネーブルにする必要がある状況を示しています。
ciscoasa(config)# logging enable
ciscoasa(config)# show logging
関連コマンド
|
|
|
|---|---|
logging facility
syslog サーバに送信されるメッセージに使用するロギング ファシリティを指定するには、グローバル コンフィギュレーション モードで logging facility コマンドを使用します。ロギング ファシリティをデフォルトの 20 にリセットするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
次の表に、コマンドを入力できるモードを示します。例外については、「構文の説明」を参照してください。
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
syslog サーバでは、メッセージはメッセージの facility 番号に基づいてファイルされます。使用可能なファシリティには、16(LOCAL0)~ 23(LOCAL7)の 8 つがあります。
例
次に、ASA によってロギング ファシリティが syslog メッセージに 16 として示されるように指定する例を示します。 show logging コマンドの出力には、ASA によって使用されているファシリティが含まれます。
関連コマンド
|
|
|
|---|---|
logging flash-bufferwrap
未保存のメッセージでログ バッファがいっぱいになるたびに、ASA でバッファをフラッシュ メモリに書き込めるようにするには、グローバル コンフィギュレーション モードで logging flash-bufferwrap コマンドを使用します。フラッシュ メモリへのログ バッファの書き込みをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA によってログ バッファがフラッシュ メモリに書き込まれるようにするには、バッファへのロギングをイネーブルにする必要があります。イネーブルにしないと、ログ バッファのデータはフラッシュ メモリに書き込まれません。バッファへのロギングをイネーブルにするには、 logging buffered コマンドを使用します。
ASA では、ログ バッファの内容をフラッシュ メモリに書き込む間も、新しいイベント メッセージをログ バッファに保管し続けます。
ASA は、次のようなデフォルトのタイムスタンプ形式を使用した名前のログ ファイルを作成します。
YYYY は年、 MM は月、 DD は日付、 HHMMSS は時間、分、および秒で示された時刻です。
logging flash-bufferwrap コマンドを使用する場合、フラッシュ メモリの可用性が、ASA による syslog メッセージの保存方法に影響します。詳細については、 logging flash-maximum-allocation コマンドおよび logging flash-minimum-free コマンドを参照してください。
例
次に、ロギングをイネーブルにし、ログ バッファをイネーブルにし、ASA によるフラッシュ メモリへのログ バッファの書き込みをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
logging flash-maximum-allocation
ログ データを保管するために ASA で使用するフラッシュ メモリの最大量を指定するには、グローバル コンフィギュレーション モードで logging flash-maximum-allocation コマンドを使用します。この目的に使用するフラッシュ メモリの最大量をデフォルト サイズの 1 MB にリセットするには、このコマンドの no 形式を使用します。
logging flash-maximum-allocation kbytes
no logging flash-maximum-allocation kbytes
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドにより、 logging savelog コマンドと logging flash-bufferwrap コマンドで使用できるフラッシュ メモリの量が決まります。
logging savelog または logging flash-bufferwrap で保存されるログ ファイルにより、ログ ファイル用のフラッシュ メモリの使用が logging flash-maximum-allocation コマンドで指定された最大量を超える場合、ASA によって最も古いログ ファイルが削除され、新しいログ ファイル用に十分なメモリが解放されます。削除するファイルがない場合や、古いファイルをすべて削除しても空きメモリが新しいログ ファイルには小さすぎる場合は、ASA で新しいログ ファイルを保存できません。
デフォルトのサイズとは異なるサイズの最大フラッシュ メモリ割り当てが ASA にあるかどうかを確認するには、 show running-config logging コマンドを使用します。 logging flash-maximum-allocation コマンドが表示されない場合、ASA では保存されるログ バッファ データに対して最大 1 MB が使用されています。割り当てられたメモリは、 logging savelog コマンドと logging flash-bufferwrap コマンドの両方に使用されます。
ASA によるログ バッファの使用方法の詳細については、 logging buffered コマンドを参照してください。
例
次に、ロギングをイネーブルにし、ログ バッファをイネーブルにし、ASA によるフラッシュ メモリへのログ バッファの書き込みをイネーブルにし、ログ ファイルの書き込みに使用されるフラッシュ メモリの最大量を約 1.2 MB に設定する例を示します。
関連コマンド
|
|
|
|---|---|
フラッシュ メモリへのログ バッファの書き込みを許可するために、ASA で使用可能にする必要があるフラッシュ メモリの最小量を指定します。 |
logging flash-minimum-free
ASA で新しいログ ファイルを保存する前に存在している必要があるフラッシュ メモリの最小空き領域を指定するには、グローバル コンフィギュレーション モードで logging flash-minimum-free コマンドを使用します。フラッシュ メモリの必要最小空き領域をデフォルト サイズの 3 MB にリセットするには、このコマンドの no 形式を使用します。
logging flash-minimum-free kbytes
no logging flash-minimum-free kbytes
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging flash-minimum-free コマンドでは、 logging savelog コマンドと logging flash-bufferwrap コマンド用に常に保持しておく必要があるフラッシュ メモリの量を指定します。
logging savelog または logging flash-bufferwrap で保存されるログ ファイルにより、フラッシュ メモリの空き領域が logging flash-minimum-free コマンドで指定された制限を下回る場合、ASAによって最も古いログ ファイルが削除され、新しいログ ファイルの保存後も最小量のメモリが空きのまま残るようにします。削除するファイルがない場合や、古いファイルをすべて削除しても空きメモリがまだ制限を下回る場合、ASA で新しいログ ファイルを保存できません。
例
次に、ロギングをイネーブルにし、ログ バッファをイネーブルにし、ASA によるフラッシュ メモリへのログ バッファの書き込みをイネーブルにし、フラッシュ メモリの最小空き領域が 4000 KB である必要があることを指定する例を示します。
関連コマンド
|
|
|
|---|---|
logging flow-export-syslogs
NetFlow によってキャプチャされるすべての syslog メッセージをイネーブルにするか、またはディセーブルにするには、グローバル コンフィギュレーション モードで logging flow-export-syslogs コマンドを使用します。
logging flow-export-syslogs { enable | disable }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスが NetFlow データをエクスポートするように設定されている場合にパフォーマンスを向上させるには、 logging flow-export-syslogs disable コマンドを入力して、(NetFlow でもキャプチャされる)冗長な syslog メッセージをディセーブルにすることを推奨します。ディセーブルにされる syslog メッセージは、次のとおりです。
|
|
|
|---|---|
access-group コマンドを使用してインターフェイスに付加される入力 ACL または出力 ACL によって拒否されたフロー。 |
|
(注) これはコンフィギュレーション モードのコマンドですが、コンフィギュレーションに格納されません。no logging message xxxxxx コマンドだけがコンフィギュレーションに格納されます。
例
次に、NetFlow によってキャプチャされる冗長な syslog メッセージをディセーブルにする例と表示される出力例を示します。
xxxxx1 および xxxxx2 は、NetFlow によって同じ情報がキャプチャされているために冗長である syslog メッセージです。このコマンドはコマンド エイリアスに似ており、no logging message xxxxxx コマンドのバッチに変換されます。syslog メッセージをディセーブルにした後、 logging message xxxxxx コマンドを使用して個別にイネーブルにすることができます。 xxxxxx は特定の syslog メッセージ番号です。
関連コマンド
|
|
|
|---|---|
NetFlow コレクタの IP アドレスまたはホスト名と、NetFlow コレクタがリッスンする UDP ポートを指定します。 |
|
logging from-address
ASA によって送信される syslog メッセージの送信元電子メール アドレスを指定するには、グローバル コンフィギュレーション モードで logging from-address コマンドを使用します。送信されるすべての syslog メッセージは、指定したアドレスから送信されたように表示されます。送信元電子メール アドレスを削除するには、このコマンドの no 形式を使用します。
logging from-address from-email-address
no logging from-address from-email-address
構文の説明
送信元電子メール アドレス。つまり、syslog メッセージの送信元として表示される電子メール アドレス(cdb@example.com など)。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
ロギングをイネーブルにし、syslog メッセージを電子メールで送信するように ASA を設定するには、次の基準を使用します。
- critical、alert、または emergency レベルのメッセージを送信する
- ciscosecurityappliance@example.com を送信元アドレスに使用して、メッセージを送信する
- admin@example.com にメッセージを送信する
- プライマリ サーバ pri-smtp-host およびセカンダリ サーバ sec-smtp-host を使用して、SMTP でメッセージを送信する
ciscoasa(config)# logging enable
ciscoasa(config)# logging mail critical
ciscoasa(config)# logging from-address ciscosecurityappliance@example.com
ciscoasa(config)# logging recipient-address admin@example.com
ciscoasa(config)# smtp-server pri-smtp-host sec-smtp-host
関連コマンド
|
|
|
|---|---|
ASA の電子メールによる syslog メッセージの送信をイネーブルにし、電子メールで送信するメッセージを決定します。 |
|
logging ftp-bufferwrap
未保存のメッセージでログ バッファがいっぱいになるたびに、ASA が FTP サーバにログ バッファを送信できるようにするには、グローバル コンフィギュレーション モードで logging ftp-bufferwrap コマンドを使用します。FTP サーバへのログ バッファの送信をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging ftp-bufferwrap をイネーブルにすると、ASA により、ログ バッファ データは logging ftp-server コマンドで指定した FTP サーバに送信されます。ASA では、ログ データを FTP サーバに送信する間も、新しいイベント メッセージをログ バッファに保管し続けます。
ASA によってログ バッファの内容が FTP サーバに送信されるようにするには、バッファへのロギングをイネーブルにする必要があります。イネーブルにしないと、ログ バッファのデータはフラッシュ メモリに書き込まれません。バッファへのロギングをイネーブルにするには、 logging buffered コマンドを使用します。
ASA は、次のようなデフォルトのタイムスタンプ形式を使用した名前のログ ファイルを作成します。
例
次に、ロギングをイネーブルにし、ログ バッファをイネーブルにして、FTP サーバを指定し、ASA が FTP サーバにログ バッファを書き込めるようにする例を示します。この例では、ホスト名が logserver-352 である FTP サーバを指定しています。サーバには、ユーザ名 logsupervisor およびパスワード 1luvMy10gs でアクセスできます。ログ ファイルは /syslogs ディレクトリに保存されます。
関連コマンド
|
|
|
|---|---|
logging ftp-server
logging ftp-bufferwrap がイネーブルの場合に ASA によってログ バッファ データが送信される FTP サーバの詳細を指定するには、グローバル コンフィギュレーション モードで logging ftp-server コマンドを使用します。FTP サーバの詳細をすべて削除するには、このコマンドの no 形式を使用します。
logging ftp-server ftp_server path username [ 0 | 8 ] password
no logging ftp-server ftp_server path username [ 0 | 8 ] password
構文の説明
ログ バッファ データが保存される FTP サーバ上のディレクトリ パス。このパスは、FTP ルート ディレクトリに対する相対パスです。次に例を示します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
FTP サーバは 1 つのみ指定できます。ロギング FTP サーバがすでに指定されている場合、 logging ftp-server コマンドを使用すると、この FTP サーバ コンフィギュレーションは入力した新しいコンフィギュレーションに置き換えられます。
指定した FTP サーバ情報は ASA によって検証されません。詳細を誤って設定した場合、ASA によってログ バッファ データを FTP サーバに送信できません。
ASA の起動やアップグレードでは、1 桁の数字のパスワードや、数字で始まりその後にスペースが続くパスワードはサポートされません。たとえば、0 pass や 1 は不正なパスワードです。
例
次に、ロギングをイネーブルにし、ログ バッファをイネーブルにして、FTP サーバを指定し、ASAが FTP サーバにログ バッファを書き込めるようにする例を示します。この例では、logserver というホスト名の FTP サーバを指定します。サーバは、ユーザ名 user1 とパスワード pass1 でアクセスできるものとします。ログ ファイルは /path1 ディレクトリに保存されます。
次に、暗号化されていない(クリア テキストの)パスワードを入力する例を示します。
関連コマンド
|
|
|
|---|---|
logging hide username
ユーザ名の有効性が不明である場合に syslog のユーザ名を非表示(「*****」など)にするには、グローバル コンフィギュレーション モードで logging hide username コマンドを使用します。それらのユーザ名を表示するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging hide username コマンドにより、有効性が確認されていないユーザ名を syslog で非表示にできます。
(注) このコマンドは、バージョン 9.4(1) では使用できません。
例
次に、有効性が確認されていないユーザ名を syslog で非表示にする例を示します。
関連コマンド
|
|
|
|---|---|
logging history
SNMP ロギングをイネーブルにし、SNMP サーバに送信するメッセージを指定するには、グローバル コンフィギュレーション モードで logging history コマンドを使用します。SNMP ロギングをディセーブルにするには、このコマンドの no 形式を使用します。
logging history [ logging_list | level]
構文の説明
syslog メッセージの最大重大度を設定します。たとえば、重大度を 3 に設定すると、ASA は重大度 3、2、1、0 の syslog メッセージを生成します。次のように、数値または名前のいずれかを指定できます。 |
|
SNMP サーバに送信するメッセージを識別するリストを指定します。リストの作成については、 logging list コマンドを参照してください。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging history コマンドを使用すると、SNMP サーバへのロギングをイネーブルにし、SNMP メッセージ レベルまたはイベント リストを設定できます。
例
次に、SNMP ロギングをイネーブルにし、重大度レベル 0、1、2、および 3 のメッセージが設定済みの SNMP サーバに送信されることを指定する例を示します。
関連コマンド
|
|
|
|---|---|
logging host
syslog サーバを定義するには、グローバル コンフィギュレーション モードで logging host コマンドを使用します。syslog サーバ定義を削除するには、このコマンドの no 形式を使用します。
logging host interface_name syslog_ip [ tcp/ port | udp/ port ] [ format emblem ] [ secure [ reference-identity reference_idenity_name ]]
no logging host interface_name syslog_ip [ tcp/ port | udp/ port ] [ format emblem ] [ secure [ reference-identity reference_idenity_name ]]
構文の説明
デフォルト
format emblem オプションのデフォルトの設定は false です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
syslog サーバに IPv6 アドレスを使用できるようになりました。直接接続された syslog サーバがある場合、ASA および syslog サーバの /31 サブネットを使用してポイントツーポイント接続を作成できます。 |
使用上のガイドライン
logging host syslog_ip format emblem コマンドを使用すると、各 syslog サーバに対して EMBLEM 形式のロギングをイネーブルにすることができます。EMBLEM 形式のロギングは、UDP syslog メッセージのみに使用できます。EMBLEM 形式のロギングを特定の syslog サーバに対してイネーブルにすると、メッセージはそのサーバに送信されます。 logging timestamp コマンドを使用すると、タイム スタンプが付与されたメッセージも送信されます。
複数の logging host コマンドを使用して、追加サーバを指定できます。それらすべてで syslog メッセージが受信されます。ただし、UDP と TCP 両方ではなく、いずれかの syslog メッセージのみが受信されるようにサーバを指定できます。
サーバ証明書で提示されるアイデンティティが、設定済みの reference-identity と一致しない場合、接続は確立されず、エラーがログに記録されます。
接続のブロッキングに対するデフォルトの設定は、 logging host コマンドが syslog サーバへのメッセージ送信に TCP を使用するよう設定された場合のみ有効になります。TCP-based syslog サーバが設定されている場合、 logging permit-hostdown コマンドを使用して、接続のブロッキングをディセーブルにできます。
(注) logging host コマンドで tcp オプションを使用すると、syslog サーバに到達できない場合、ファイアウォールを通過する接続は ASA によってドロップされます。
以前に入力した port 値と protocol 値のみを表示するには、 show running-config logging コマンドを使用して、リストからコマンドを見つけます。TCP は 6、UDP は 17 として表示されます。TCP ポートは syslog サーバのみで機能します。 port は、syslog サーバがリッスンするポートと同じである必要があります。
(注) logging host コマンドと secure キーワードを UDP で使用しようとすると、エラー メッセージが表示されます。
例
次に、重大度レベル 0、1、2、および 3 の syslog メッセージを、デフォルトのプロトコルとポート番号を使用する内部インターフェイス上の syslog サーバに送信する例を示します。
関連コマンド
|
|
|
|---|---|
logging list
さまざまな基準(ログ レベル、イベント クラス、およびメッセージ ID)でメッセージを指定するために、他のコマンドで使用するロギング リストを作成するには、グローバル コンフィギュレーション モードで logging list コマンドを使用します。リストを削除するには、このコマンドの no 形式を使用します。
logging list name { level level [ class event_class ] | message start_id [ - end_id ]}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
- logging asdm
- logging buffered
- logging console
- logging history
- logging mail
- logging monitor
- logging trap
- auth :ユーザ認証
- bridge :トランスペアレント ファイアウォール
- ca :PKI 認証局
- config :コマンド インターフェイス
- eap :拡張認証プロトコル(EAP)ネットワーク アドミッション コントロールをサポートする、EAP セッション状態の変更、EAP ステータスのクエリー イベントといったタイプのイベント、および EAP ヘッダーおよびパケット内容の 16 進ダンプをログに記録します。
- eapoudp :拡張認証プロトコル(EAP)over UDP ネットワーク アドミッション コントロールをサポートする EAPoUDP のイベントをログに記録し、EAPoUDP ヘッダーおよびパケット内容の完全な記録を生成します。
- email :電子メール プロキシ
- ha :フェールオーバー。
- ids :侵入検知システム
- ip :IP スタック
- nac :ネットワーク アドミッション コントロール初期化、例外リスト照合、ACS トランザクション、クライアントレス認証、デフォルト ACL 適用、および再評価といったタイプのイベントのログを記録します。
- np :ネットワーク プロセッサ
- ospf :OSPF ルーティング
- rip :RIP ルーティング
- session :ユーザ セッション
- snmp :SNMP
- sys :システム
- vpn :IKE および IPSec
- vpnc :VPN クライアント
- vpnfo :VPN フェールオーバー
- vpnlb :VPN ロード バランシング
例
次に、logging list コマンドの使用例を示します。
上記の例は、指定された基準と一致する syslog メッセージがロギング バッファに送信されることを示しています。この例で指定されている基準は、次のとおりです。
- 100100 ~ 100110 の範囲の syslog メッセージ ID
- critical レベル以上のすべての syslog メッセージ(emergency、alert、または critical)
- warning レベル以上のすべての VPN クラスの syslog メッセージ(emergency、alert、critical、error、または warning)
syslog メッセージがこれらの条件のいずれかを満たしている場合、そのメッセージはバッファにロギングされます。
(注) リストの基準を設計する場合、メッセージを重複して指定する基準でも構いません。複数の基準と一致する syslog メッセージも正常にロギングされます。
関連コマンド
|
|
|
|---|---|
logging mail
ASA で syslog メッセージを電子メールで送信できるようにし、電子メールで送信するメッセージを判別できるようにするには、グローバル コンフィギュレーション モードで logging mail コマンドを使用します。syslog メッセージの電子メール送信をディセーブルにするには、このコマンドの no 形式を使用します。
logging mail [ logging_list | level ]
no logging mail [ logging_list | level ]
構文の説明
syslog メッセージの最大重大度を設定します。たとえば、重大度を 3 に設定すると、ASA は重大度 3、2、1、0 の syslog メッセージを生成します。次のように、数値または名前のいずれかを指定できます。 |
|
電子メールの受信者に送信するメッセージを識別するリストを指定します。リストの作成については、 logging list コマンドを参照してください。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
電子メールで syslog メッセージを送信するように ASA を設定するには、次のような基準を使用します。
- critical、alert、または emergency レベルのメッセージを送信する
- ciscosecurityappliance@example.com を送信元アドレスに使用して、メッセージを送信する
- admin@example.com にメッセージを送信する
- プライマリ サーバ pri-smtp-host およびセカンダリ サーバ sec-smtp-host を使用して、SMTP でメッセージを送信する
ciscoasa(config)# logging mail critical
ciscoasa(config)# logging from-address ciscosecurityappliance@example.com
ciscoasa(config)# logging recipient-address admin@example.com
ciscoasa(config)# smtp-server pri-smtp-host sec-smtp-host
関連コマンド
|
|
|
|---|---|
logging message
syslog メッセージのロギングをイネーブルにする、またはメッセージのレベルを変更するには、グローバル コンフィギュレーション モードで logging message コマンドを使用します。メッセージのロギングをディセーブルにする、またはメッセージをデフォルトのレベルに設定するには、このコマンドの no 形式を使用します。
logging message syslog_id [ level level | standby ]
no logging message syslog_id [ level level | standby ]
構文の説明
デフォルト
デフォルトでは、すべての syslog メッセージはイネーブルであり、すべてのメッセージの重大度レベルはデフォルトのレベルに設定されています。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging message コマンドは、次の目的で使用できます。
show logging コマンドを使用して、メッセージに現在割り当てられている重大度レベルや、メッセージがイネーブルかどうかを判別できます。
ASA で特定の syslog メッセージを生成しないようにするには、グローバル コンフィギュレーション モードで logging message コマンドの no 形式を使用します( level キーワードは指定しません)。ASA で特定の syslog メッセージを生成できるようにするには、 logging message コマンドを使用します( level キーワードは指定しません)。これら 2 つの種類の logging message コマンドは、並行して実行できます。
例
次の例にある一連のコマンドは、 logging message コマンドを使用して、メッセージをイネーブルにするかどうか、およびメッセージの重大度の両方を指定する方法を示しています。
関連コマンド
|
|
|
|---|---|
logging message standby
特定の syslog メッセージについて、スタンバイ ユニットでの生成のブロックを解除するには、グローバル コンフィギュレーション モードで logging message standby コマンドを使用します。スタンバイ装置で特定の syslog メッセージが生成されないようにブロックするには、このコマンドの no 形式を使用します。
logging message syslog_id standby
no logging message syslog_id standby
構文の説明
デフォルト
デフォルトでは、すべての syslog メッセージがスタンバイ ユニットで生成されます(logging standby コマンドがイネーブルの場合のみ)。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
[ no] logging message syslog_id standby コマンドを使用して、スタンバイ ユニットで syslog メッセージを有効にするか無効にするかを指定できます。
syslog メッセージがイネーブルになっているかどうかは、 show logging コマンドを使用して確認できます。
例
次に、 logging message syslog_id standby コマンドの使用例を示します。この一連の例では、スタンバイ ユニットで syslog メッセージがイネーブルになっているかどうかを確認しています。
関連コマンド
|
|
|
|---|---|
logging monitor
ASA で syslog メッセージを SSH セッションおよび Telnet セッションに表示できるようにするには、グローバル コンフィギュレーション モードで logging monitor コマンドを使用します。SSH セッションおよび Telnet セッションへの syslog メッセージの表示をディセーブルにするには、このコマンドの no 形式を使用します。
logging monitor [ logging_list | level]
構文の説明
syslog メッセージの最大重大度を設定します。たとえば、重大度を 3 に設定すると、ASA は重大度 3、2、1、0 の syslog メッセージを生成します。次のように、数値または名前のいずれかを指定できます。 |
|
SSH セッションまたは Telnet セッションに送信するメッセージを識別するリストを指定します。リストの作成については、 logging list コマンドを参照してください。 |
デフォルト
デフォルトでは、ASA によって syslog メッセージは SSH セッションおよび Telnet セッションに表示されません。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging monitor コマンドにより、現在のコンテキストのすべてのセッションに対して syslog メッセージがイネーブルになります。ただし、各セッションでは terminal コマンドによって、syslog メッセージがそのセッションに表示されるかどうかが制御されます。
例
次に、コンソール セッションで syslog メッセージの表示をイネーブルにする例を示します。 errors キーワードの使用は、重大度レベル 0、1、2、および 3 のメッセージが SSH セッションおよび Telnet セッションに表示されることを示しています。 terminal コマンドを使用すると、メッセージを現在のセッションに表示できます。
関連コマンド
|
|
|
|---|---|
logging permit-hostdown
TCP ベースの syslog サーバのステータスを新しいユーザ セッションと無関係にするには、グローバル コンフィギュレーション モードで logging permit-hostdown コマンドを使用します。TCP ベースの syslog サーバが使用できないときに ASA で新しいユーザ セッションを拒否するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
デフォルトでは、TCP 接続を使用する syslog サーバへのロギングをイネーブルにした場合、何らかの理由で syslog サーバが使用できないときに、ASA では新しいネットワーク アクセス セッションを許可しません。 logging permit-hostdown コマンドのデフォルトの設定は false です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
syslog サーバへメッセージを送信するためのロギング トランスポート プロトコルとして TCP を使用している場合、ASA が syslog サーバに到達できないときに、ASA ではセキュリティ対策として新しいネットワーク アクセス セッションを拒否します。 logging permit-hostdown コマンドを使用して、この制限を削除できます。
例
次に、TCP ベースの syslog サーバのステータスを、ASA で新しいセッションが許可されるかどうかと無関係にする例を示します。 logging permit-hostdown コマンドの出力に show running-config logging コマンドが含まれている場合、TCP ベースの syslog サーバのステータスは、新しいネットワーク アクセス セッションと無関係です。
関連コマンド
|
|
|
|---|---|
logging queue
ロギング コンフィギュレーションに従って処理する前に ASA のキューに保持できる syslog メッセージの数を指定するには、グローバル コンフィギュレーション モードで logging queue コマンドを使用します。ロギング キューのサイズをデフォルトの 512 メッセージにリセットするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
トラフィックが多いためにキューがいっぱいになった場合、ASA によってメッセージが廃棄される場合があります。ASA-5505 では、キューの最大サイズは 1024 です。ASA-5510 では 2048 です。その他のすべてのプラットフォームでは 8192 です。
ローエンド プラットフォーム上のロギング キュー サイズを大きくすると、ASDM、WebVPN、DHCP サーバなど、他の機能に使用可能な DMA メモリ容量が減少します。これらの機能は、システムが DMA メモリを使い果たした場合に機能を停止することができます。MEMPOOL_DMA プール内の DMA メモリの空き容量を確認するには、
show memory detail コマンドを使用します。
例
次に、logging queue コマンドおよび show logging queue コマンドの出力を表示する例を示します。
この例では、logging queue コマンドは 0 に設定されています。つまり、キューは最大の 8192 に設定されます。キュー内の syslog メッセージは、ASA によって、ロギング コンフィギュレーションで指定された方法で処理されます。たとえば、syslog メッセージをメールの受信者に送信したり、フラッシュ メモリに保存したりします。
この例の show logging queue コマンドの出力には、5 つのメッセージがキューにあり、ASA が最後に起動されてから同時にキューにあった最大メッセージ数は 3513 メッセージであり、1 つのメッセージが廃棄されたことが示されています。キューのメッセージは無制限に設定されていましたが、メッセージをキューに追加するためのブロック メモリを使用できなかったために、メッセージは廃棄されました。
関連コマンド
|
|
|
|---|---|
logging rate-limit
syslog メッセージの生成レートを制限するには、特権 EXEC モードで logging rate-limit コマンドを使用します。レート制限をディセーブルにするには、特権 EXEC モードでこのコマンドの no 形式を使用します。
logging rate-limit { unlimited | { num [ interval ]}} message syslog_id | level severity_level
[no] logging rate-limit [ unlimited | { num [ interval ]}} message syslog_id ] level severity_level
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
syslog メッセージの生成レートを制限するために、特定のメッセージ ID を入力できます。次に、特定のメッセージ ID と時間間隔を使用して syslog メッセージの生成レートを制限する例を示します。
この例では、指定した 600 秒の間隔でレート制限 100 に達すると、syslog メッセージ 302020 はホストに送信されなくなります。
syslog メッセージの生成レートを制限するために、特定の重大度レベルを入力できます。次に、特定の重大度レベルと時間間隔を使用して syslog メッセージの生成レートを制限する例を示します。
この例では、重大度レベル 6 のすべての syslog メッセージは、指定した 600 秒の時間間隔で指定したレート制限 1000 に抑制されます。重大度レベル 6 の各 syslog メッセージには、レート制限 1000 があります。
関連コマンド
|
|
|
|---|---|
logging recipient-address
ASA によって送信される syslog メッセージの受信者の電子メール アドレスを指定するには、グローバル コンフィギュレーション モードで logging recipient-address コマンドを使用します。受信者の電子メール アドレスを削除するには、このコマンドの no 形式を使用します。
logging recipient-address address [ level level ]
no logging recipient-address address [ level level ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
最大 5 つの受信者アドレスを設定できます。必要に応じて、受信者アドレスごとに、 logging mail コマンドで指定されたメッセージ レベルとは異なるメッセージ レベルを指定できます。電子メールによる syslog メッセージの送信は、 logging mail コマンドでイネーブルにします。
例
電子メールで syslog メッセージを送信するように ASA を設定するには、次のような基準を使用します。
- critical、alert、または emergency レベルのメッセージを送信する
- ciscosecurityappliance@example.com を送信元アドレスに使用して、メッセージを送信する
- admin@example.com にメッセージを送信する
- プライマリ サーバ pri-smtp-host およびセカンダリ サーバ sec-smtp-host を使用して、SMTP でメッセージを送信する
ciscoasa(config)# logging mail critical
ciscoasa(config)# logging from-address ciscosecurityappliance@example.com
ciscoasa(config)# logging recipient-address admin@example.com
ciscoasa(config)# smtp-server pri-smtp-host sec-smtp-host
関連コマンド
|
|
|
|---|---|
ASA の電子メールによる syslog メッセージの送信をイネーブルにし、電子メールで送信するメッセージを決定します。 |
|
logging savelog
ログ バッファをフラッシュ メモリに保存するには、特権 EXEC モードで logging savelog コマンドを使用します。
構文の説明
(任意)保存するフラッシュ メモリ ファイルの名前。ファイル名を指定しない場合は、次に示すように、ログ ファイルは ASA によってデフォルトのタイムスタンプ フォーマットを使用して保存されます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ログ バッファをフラッシュ メモリに保存する前に、バッファへのロギングをイネーブルにする必要があります。イネーブルにしないと、ログ バッファのデータはフラッシュ メモリに保存されません。バッファへのロギングをイネーブルにするには、 logging buffered コマンドを使用します。
(注) logging savelog コマンドによってバッファはクリアされません。バッファをクリアするには、clear logging buffer コマンドを使用します。
例
次に、ロギングとログ バッファをイネーブルにし、グローバル コンフィギュレーション モードを終了し、ファイル名 latest-logfile.txt を使用してログ バッファをフラッシュ メモリに保存する例を示します。
関連コマンド
|
|
|
|---|---|
logging standby
フェールオーバー スタンバイ ASA で syslog メッセージをロギング先に送信できるようにするには、グローバル コンフィギュレーション モードで logging standby コマンドを使用します。syslog メッセージングと SNMP ロギングをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging standby コマンドをイネーブルにして、フェールオーバーの発生時にフェールオーバー スタンバイ ASA の syslog メッセージを同期されたままにすることができます。
(注) logging standby コマンドを使用すると、syslog サーバ、SNMP サーバ、FTP サーバなどの共有ロギング先でのトラフィックは 2 倍になります。
例
次に、ASA で syslog メッセージをフェールオーバー スタンバイ ASA に送信できるようにする例を示します。 show logging コマンドの出力は、この機能がイネーブルになっていることを示しています。
関連コマンド
|
|
|
|---|---|
logging timestamp
メッセージが生成された日付と時刻を syslog メッセージに含めることを指定するには、グローバル コンフィギュレーション モードで logging timestamp コマンドを使用します。日付と時刻を syslog メッセージから削除するには、このコマンドの no 形式を使用します。
構文の説明
(任意)syslog メッセージのすべてのタイムスタンプには、RFC 5424 形式に従って時刻が表示されます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging timestamp コマンドを使用すると、ASA によってすべての syslog メッセージにタイムスタンプが含まれます。バージョン 9.10(1) までは、syslog のタイムスタンプは RFC 3164 に準拠しており、タイムスタンプは「MM DD YYYY HH:MM:SS」形式で表示されていました。
この形式は SIEM では優先されないため、9.10(1) では、RFC 5424 オプションが導入されました。
logging timestamp コマンドで RFC 5424 オプションを使用して、RFC 5424 に従って syslog サポート タイムゾーンを有効にします。
例
次に、すべての syslog メッセージにタイムスタンプ情報が含まれるようにする例を示します。
次に、すべての syslog メッセージに RFC 5424 形式のタイムスタンプ情報が含まれるようにする例を示します。
関連コマンド
|
|
|
|---|---|
logging trap
ASA によって syslog サーバに送信される syslog メッセージを指定するには、グローバル コンフィギュレーション モードで logging trap コマンドを使用します。コンフィギュレーションからこのコマンドを削除するには、このコマンドの no 形式を使用します。
logging trap [ logging_list | level]
構文の説明
syslog メッセージの最大重大度を設定します。たとえば、重大度を 3 に設定すると、ASA は重大度 3、2、1、0 の syslog メッセージを生成します。次のように、数値または名前のいずれかを指定できます。 |
|
syslog サーバに送信するメッセージを識別するリストを指定します。リストの作成については、 logging list コマンドを参照してください。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ロギング トランスポート プロトコルとして TCP を使用している場合、ASA が syslog サーバに到達できないか、syslog サーバが誤って設定されているか、ディスクがいっぱいになると、ASA ではセキュリティ対策として新しいネットワーク アクセス セッションを拒否します。
UDP ベースのロギングでは、syslog サーバに障害が発生しても、ASA によるトラフィックの送信は停止されません。
例
次に、重大度レベル 0、1、2、および 3 の syslog メッセージを、内部インターフェイス上に配置されていてデフォルトのプロトコルとポート番号を使用している syslog サーバに送信する例を示します。
関連コマンド
|
|
|
|---|---|
login
ローカル ユーザ データベースを使用して特権 EXEC モードにログインするか(username コマンドを参照)、ユーザ名を変更するには、ユーザ EXEC モードで login コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ユーザ EXEC モードから、 login コマンドを使用して、ローカル データベース内の任意のユーザ名として特権 EXEC モードにログインできます。認証をオンにした場合、 login コマンドは enable コマンドと類似しています( aaa authentication console コマンドを参照)。enable 認証と異なり、 login コマンドではローカル ユーザ名データベースのみを使用でき、認証が常に必要です。CLI モードから login コマンドを使用して、ユーザを変更することもできます。
ユーザがログイン時に特権 EXEC モード(およびすべてのコマンド)にアクセスできるようにするには、ユーザの特権レベルを 2(デフォルト)~ 15 に設定します。ローカル コマンド認可を設定した場合、ユーザは、その特権レベル以下のレベルに割り当てられているコマンドのみを入力できます。詳細については、 aaa authorization コマンド を参照してください。
CLI にアクセスできるユーザや特権 EXEC モードを開始できないようにするユーザをローカル データベースに追加する場合は、コマンド認可を設定する必要があります。コマンド認可がない場合、特権レベルが 2 以上(2 がデフォルト)のユーザは、CLI で自分のパスワードを使用して特権 EXEC モード(およびすべてのコマンド)にアクセスできます。または、RADIUS または TACACS+ 認証を使用できます。あるいは、すべてのローカル ユーザをレベル 1 に設定して、システム イネーブル パスワードを使用して特権 EXEC モードにアクセスできるユーザを制御できます。
例
次に、 login コマンドを入力した後のプロンプトの例を示します。
関連コマンド
|
|
|
|---|---|
login-button
WebVPN ユーザがセキュリティ アプライアンスに接続するときに表示される WebVPN ページ ログイン ボックスのログイン ボタンをカスタマイズするには、webvpn カスタマイゼーション コンフィギュレーション モードで login-button コマンドを使用します。コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。
login-button { text | style } value
[ no ] login-button { text | style } value
構文の説明
実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。 |
デフォルト
デフォルトのログイン ボタン テキストは「Login」です。
border: 1px solid black;background-color:white;font-weight:bold; font-size:80%
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
style オプションは有効な Cascading Style Sheet(CSS)パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。
ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。
- カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。
- RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。
- HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。
(注) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。
例
次に、ログイン ボタンをテキスト「OK」でカスタマイズする例を示します。
関連コマンド
|
|
|
login-message
WebVPN ユーザがセキュリティ アプライアンスに接続するときに表示される WebVPN ページのログイン メッセージをカスタマイズするには、webvpn カスタマイゼーション コンフィギュレーション モードで login-message コマンドを使用します。コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。
login-message { text | style } value
[ no ] login-message { text | style } value
構文の説明
実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。 |
デフォルト
デフォルトのログイン メッセージは、「Please enter your username and password」です。
デフォルトのログイン メッセージのスタイルは、background-color:#CCCCCC;color:black です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
style オプションは有効な Cascading Style Sheet(CSS)パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。
ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。
- カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。
- RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。
- HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。
(注) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。
例
次の例では、ログイン メッセージのテキストは「username and password」に設定されます。
関連コマンド
|
|
|
login-title
WebVPN ユーザに表示される WebVPN ページのログイン ボックスのタイトルをカスタマイズするには、webvpn カスタマイゼーション コンフィギュレーション モードで login-title コマンドを使用します。コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。
login-title { text | style } value
[ no ] login-title { text | style } value
構文の説明
実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。 |
デフォルト
ログイン タイトルのデフォルトの HTML スタイルは、background-color: #666666; color: white です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
style オプションは有効な Cascading Style Sheet(CSS)パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。
ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。
- カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。
- RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。
- HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。
(注) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。
例
関連コマンド
|
|
|
logo
WebVPN ユーザがセキュリティ アプライアンスに接続するときに表示される WebVPN ページのロゴをカスタマイズするには、webvpn カスタマイゼーション モードで logo コマンドを使用します。コンフィギュレーションからロゴを削除してデフォルト(Cisco ロゴ)にリセットするには、このコマンドの no 形式を使用します。
logo {none | file { path value }}
[ no ] logo {none | file { path value }}
構文の説明
ロゴのファイル名を指定します。最大長は 255 文字です(スペースを含めることはできません)。ファイル タイプは JPG、PNG、または GIF であり、100 KB 未満である必要があります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定したファイル名が存在しない場合は、エラー メッセージが表示されます。ロゴ ファイルを削除したが、コンフィギュレーションがまだそのファイルを指している場合、ロゴは表示されません。
例
次の例では、ファイル cisco_logo.gif にカスタム ロゴが含まれています。
関連コマンド
|
|
|
logout
CLI を終了するには、ユーザ EXEC モードで logout コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logout コマンドを使用すると、ASA からログアウトできます。 exit コマンドまたは quit コマンドを使用して、ユーザ モードに戻ることができます。
例
関連コマンド
|
|
|
|---|---|
logout-message
WebVPN ユーザが WebVPN サービスからログアウトするときに表示される WebVPN ログアウト画面のログアウト メッセージをカスタマイズするには、webvpn カスタマイゼーション コンフィギュレーション モードで logout-message コマンドを使用します。コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。
logout-message { text | style } value
[ no ] logout-message { text | style } value
構文の説明
実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。 |
デフォルト
デフォルトのログアウト メッセージ テキストは「Goodbye」です。
デフォルトのログアウト メッセージのスタイルは、background-color:#999999;color:black です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
style オプションは有効な Cascading Style Sheet(CSS)パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。
ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。
- カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。
- RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。
- HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。
(注) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。
例
次に、ログアウト メッセージのスタイルを設定する例を示します。
関連コマンド
|
|
|
lsp-full suppress
リンクステート プロトコル データ ユニット(PDU)がフルになった場合に、どのルートを抑制するかを制御するには、ルータ ISIS コンフィギュレーション モードで lsp-full suppress コマンドを使用します。再配布されたルートの抑制を停止するには、このコマンドの no 形式を指定します。
lsp-full suppress {external [interlevel] | interlevel [external] | none}
構文の説明
他のレベルからのルートを抑制します。たとえば、レベル 2 の LSP がフルになると、レベル 1 からのルートが抑制されます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドにより、IS-IS 隣接のステート変更のモニタリングが可能になります。これは、大規模なネットワークをモニタリングする場合に非常に役立つことがあります。メッセージは、システム エラー メッセージ機能を使用してロギングされます。メッセージは次の形式になります。
例
次に、LSP がフルになった場合に、再配布ルートと別のレベルからのルートの両方が LSP によって抑制される例を示します。
関連コマンド
lsp-gen-interval
LSP 生成の IS-IS スロットリングをカスタマイズするには、ルータ ISIS コンフィギュレーション モードで lsp-gen-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
lsp-gen-interval [level-1 | level-2] lsp-max-wait [lsp-initial-wait lsp-second-wait]
構文の説明
(オプション)最初と 2 番めの LSP 生成間のホールド タイムを示します。値の範囲は 1 ~ 120,000 ミリ秒です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、LSP 生成スロットリングの時間の間隔を設定する例を示します。
関連コマンド
lsp-refresh-interval
LSP リフレッシュ間隔を設定するには、ルータ ISIS コンフィギュレーション モードで lsp-refresh-interval コマンドを使用します。デフォルトのリフレッシュ間隔に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
リフレッシュ間隔によって、ソフトウェアが定期的に LSP で発信元のルート トポロジ情報を送信するレートが決定されます。これは、データベース情報が古くなるのを避けるために実行されます。
(注) LSP は、ライフタイムが経過するまで定期的にリフレッシュされる必要があります。lsp-refresh-interval コマンドに対して設定される値は max-lsp-lifetime コマンドに対して設定される値よりも小さな値である必要があり、そうでない場合、リフレッシュされる前に LSP がタイムアウトします。LSP 間隔と比べて LSP ライフタイムを大幅に少なく設定する場合、ソフトウェアが LSP リフレッシュ間隔を減らして、LSP がタイムアウトしないようにします。
例
次に、IS-IS LSP リフレッシュ間隔を 1080 秒に設定する例を示します。
フィードバック