ロギングの概要
システム ロギングは、デバイスから syslog デーモンを実行するサーバへのメッセージを収集する方法です。中央 syslog サーバへロギングは、ログおよびアラートの集約に役立ちます。シスコ デバイスでは、これらのログ メッセージを UNIX スタイルの syslog サービスに送信できます。syslog サービスは、簡単なコンフィギュレーション ファイルに従って、メッセージを受信してファイルに保存するか、出力します。この形式のロギングは、ログ用の保護された長期ストレージを提供します。ログは、ルーチンのトラブルシューティングおよびインシデント処理の両方で役立ちます。
ASA のシステムログにより、ASA のモニタリングおよびトラブルシューティングに必要な情報が得られます。ロギング機能を使用して、次の操作を実行できます。
-
ログに記録する syslog メッセージを指定する。
-
syslog メッセージの重大度を無効化または変更する。
-
次のような syslog メッセージ送信先を 1 つ以上指定する。
-
内部バッファ
-
1 台以上の syslog サーバ
-
ASDM
-
SNMP 管理ステーション
-
指定の電子メール アドレス
-
コンソール
-
Telnet および SSH セッション。
-
-
重大度レベルやメッセージ クラスなどによる、グループ内での syslog メッセージを設定および管理する。
-
syslog の生成にレート制限を適用するかどうかを指定する。
-
内部ログ バッファがいっぱいになった場合に、その内容に対して実行する処理(バッファを上書きする、バッファの内容を FTP サーバに送信する、または内容を内部フラッシュ メモリに保存する)を指定する。
-
場所、重大度レベル、クラス、またはカスタム メッセージ リストにより、syslog メッセージをフィルタリングする。
マルチ コンテキスト モードでのロギング
それぞれのセキュリティ コンテキストには、独自のロギング コンフィギュレーションが含まれており、独自のメッセージが生成されます。システム コンテキストまたは管理コンテキストにログインし、別のコンテキストに変更した場合、セッションで表示されるメッセージは現在のコンテキストに関連するメッセージに限定されます。
システム実行スペースで生成されるフェールオーバー メッセージなどの syslog メッセージは、管理コンテキストで生成されるメッセージとともに管理コンテキストで表示できます。システム実行スペースでは、ロギングの設定やロギング情報の表示はできません。
ASA は、各メッセージとともにコンテキスト名を含めるように設定できます。これによって、単一の syslog サーバーに送信されるコンテキストメッセージを区別できます。この機能は、管理コンテキストから送信されたメッセージとシステムから送信されたメッセージの判別にも役立ちます。これが可能なのは、送信元がシステム実行スペースであるメッセージではシステムのデバイス ID が使用され、管理コンテキストが送信元であるメッセージではデバイス ID として管理コンテキストの名前が使用されるからです。
syslog メッセージ分析
次に、さまざまな syslog メッセージを確認することで取得できる情報タイプの例を示します。
-
ASA セキュリティ ポリシーで許可された接続。これらのメッセージは、セキュリティ ポリシーで開いたままのホールを発見するのに役立ちます。
-
ASA セキュリティ ポリシーで拒否された接続。これらのメッセージは、セキュアな内部ネットワークに転送されているアクティビティのタイプを示します。
-
ACE 拒否率ロギング機能を使用すると、使用している ASA に対して発生している攻撃が表示されます。
-
IDS アクティビティ メッセージには、発生した攻撃が示されます。
-
ユーザー認証とコマンドの使用により、セキュリティ ポリシーの変更を監査証跡することができます。
-
帯域幅使用状況メッセージには、確立および切断された各接続のほか、使用された時間とトラフィック量が示されます。
-
プロトコル使用状況メッセージには、各接続で使用されたプロトコルとポート番号が示されます。
-
アドレス変換監査証跡メッセージは、確立または切断されている NAT または PAT 接続を記録します。この情報は、内部ネットワークから外部に送信される悪意のあるアクティビティのレポートを受信した場合に役立ちます。
syslog メッセージ形式
syslog メッセージは、次のように構造化されています。
[<PRI>] [Timestamp] [Device-ID] : %ASA-Level-Message_number: Message_text
次の表に、フィールドの説明を示します。
<PRI> | プライオリティ値。ロギング EMBLEM が有効になっている場合は、この値が syslog メッセージに表示されます。ロギング EMBLEM は、TCP ではなく UDP と互換性があります。 |
Timestamp | イベントの日時が表示されます。タイムスタンプのロギングが有効になっており、そのタイムスタンプが RFC 5424 形式になるように設定されている場合は、syslog メッセージのすべてのタイムスタンプで、RFC 5424 標準規格に従って UTC の時刻が表示されます。 |
Device-ID | ユーザーインターフェイスを介して logging device-id オプションを有効にするときに設定されたデバイス識別子文字列。イネーブルにすると、EMBLEM 形式の syslog メッセージにデバイス ID は表示されません。 |
ASA |
ASA が生成するメッセージの syslog メッセージ ファシリティ コード。この値は常に |
Level |
0 ~ 7。レベルは、syslog メッセージに記述されている状況の重大度を示します。値が低いほどその状況の重大度は高くなります。 |
Message_number |
syslog メッセージを特定する 6 桁の固有の番号。すべてのメッセージは、『Cisco Secure Firewall ASA Series Syslog Messages』ガイドに記載されています。 |
Message_text |
状況を説明するテキスト文字列。syslog メッセージのこの部分には、IP アドレス、ポート番号、またはユーザー名が含まれていることがあります。 |
ロギング EMBLEM、logging timestamp rfc5424、および device-id が有効になっている syslog メッセージの例。
<166>2018-06-27T12:17:46Z: %ASA-6-110002: Failed to locate egress interface for protocol from src interface :src IP/src port to dest IP/dest port
logging timestamp rfc5424 と device-id が有効になっている syslog メッセージの例。
2018-06-27T12:17:46Z ASA : %ASA-6-110002: Failed to locate egress interface for protocol from src interface :src IP/src port to dest IP/dest port
syslog メッセージは、次のように構造化されています。
[<PRI>] [Timestamp] [Device-ID] : %ASA-Level-Message_number: Message_text
次の表に、フィールドの説明を示します。
<PRI> | プライオリティ値。ロギング EMBLEM が有効になっている場合は、この値が syslog メッセージに表示されます。ロギング EMBLEM は、TCP ではなく UDP と互換性があります。 |
Timestamp | イベントの日時が表示されます。タイムスタンプのロギングが有効になっており、そのタイムスタンプが RFC 5424 形式になるように設定されている場合は、syslog メッセージのすべてのタイムスタンプで、RFC 5424 標準規格に従って UTC の時刻が表示されます。 |
Device-ID | ユーザーインターフェイスを介して logging device-id オプションを有効にするときに設定されたデバイス識別子文字列。イネーブルにすると、EMBLEM 形式の syslog メッセージにデバイス ID は表示されません。 |
ASA |
ASA が生成するメッセージの syslog メッセージ ファシリティ コード。この値は常に |
Level |
0 ~ 7。レベルは、syslog メッセージに記述されている状況の重大度を示します。値が低いほどその状況の重大度は高くなります。 |
Message_number |
syslog メッセージを特定する 6 桁の固有の番号。 |
Message_text |
状況を説明するテキスト文字列。syslog メッセージのこの部分には、IP アドレス、ポート番号、またはユーザー名が含まれていることがあります。 |
デバイスによって生成されるすべての syslog メッセージは、『Cisco Secure Firewall ASA Series Syslog Messages』ガイドに記載されています。
ロギング EMBLEM、logging timestamp rfc5424、および device-id が有効になっている syslog メッセージの例。
<166>2018-06-27T12:17:46Z: %ASA-6-110002: Failed to locate egress interface for protocol from src interface :src IP/src port to dest IP/dest port
logging timestamp rfc5424 と device-id が有効になっている syslog メッセージの例。
2018-06-27T12:17:46Z ASA : %ASA-6-110002: Failed to locate egress interface for protocol from src interface :src IP/src port to dest IP/dest port
シビラティ(重大度)
次の表に、syslog メッセージの重大度の一覧を示します。ASDM ログ ビューアで重大度を区別しやすくするために、重大度のそれぞれにカスタム カラーを割り当てることができます。syslog メッセージの色設定を行うには、[ツール(Tools)] > [設定(Preferences)] > [Syslog(Syslog)] タブを選択するか、またはログビューア自体のツールバーで [色の設定(Color Settings)] をクリックします。
レベル番号 |
重大度 |
説明 |
---|---|---|
0 |
emergencies |
システムが使用不可能な状態です。 |
1 |
alert |
すぐに措置する必要があります。 |
2 |
critical |
深刻な状況です。 |
3 |
error |
エラー状態です。 |
4 |
warning |
警告状態です。 |
5 |
Notification(通告) |
正常ですが、注意を必要とする状況です。 |
6 |
informational |
情報メッセージです。 |
7 |
debugging |
デバッグ メッセージです。 問題をデバッグするときに、このレベルで一時的にのみログに記録します。このログレベルでは、非常に多くのメッセージが生成される可能性があるため、システムパフォーマンスに影響を与える可能性があります。 |
(注) |
ASA および は、重大度 0(緊急)の syslog メッセージを生成しません。 |
syslog メッセージ フィルタリング
生成される syslog メッセージは、特定の syslog メッセージだけが特定の出力先に送信されるようにフィルタリングできます。たとえば、ASA を設定して、すべての syslog メッセージを 1 つの出力先に送信し、それらの syslog メッセージのサブセットを別の出力先に送信することができます。
具体的には、syslog メッセージが次の基準に従って出力先に転送されるようにできます。
-
syslog メッセージの ID 番号
-
syslog メッセージの重大度
-
syslog メッセージ クラス(機能エリアと同等)
これらの基準は、出力先を設定するときに指定可能なメッセージ リストを作成して、カスタマイズできます。あるいは、メッセージ リストとは無関係に、特定のメッセージ クラスを各タイプの出力先に送信するように ASA を設定することもできます。
syslog メッセージ クラス
syslog メッセージのクラスは次の 2 つの方法で使用できます。
-
syslog メッセージのカテゴリ全体の出力場所を指定します。
-
メッセージ クラスを指定するメッセージ リストを作成します。
syslog メッセージ クラスは、デバイスの特徴または機能と同等のタイプによって syslog メッセージを分類する方法を提供します。たとえば、RIP クラスは RIP ルーティングを示します。
特定のクラスに属する syslog メッセージの ID 番号はすべて、最初の 3 桁が同じです。たとえば、611 で始まるすべての syslog メッセージ ID は、vpnc(VPN クライアント)クラスに関連付けられています。VPN クライアント機能に関連付けられている syslog メッセージの範囲は、611101 ~ 611323 です。
また、ほとんどの ISAKMP syslog メッセージには先頭に付加されたオブジェクトの共通セットが含まれているため、トンネルを識別するのに役立ちます。これらのオブジェクトは、使用可能なときに、syslog メッセージの説明テキストの前に付加されます。syslog メッセージ生成時にオブジェクトが不明な場合、特定の heading = value の組み合わせは表示されません。
オブジェクトは次のように先頭に付加されます。
Group = groupname, Username = user, IP = IP_address
Group はトンネル グループ、Username はローカル データベースまたは AAA サーバから取得したユーザ名、IP アドレスはリモート アクセス クライアントまたはレイヤ 2 ピアのパブリック IP アドレスです。
次の表に、メッセージ クラスと各クラスのメッセージ ID の範囲をリストします。
クラス |
定義 |
Syslog メッセージ ID 番号 |
---|---|---|
auth |
ユーザ認証 |
109、113 |
— |
アクセス リスト |
106 |
— |
アプリケーション ファイアウォール |
415 |
— |
ボットネット トラフィック フィルタ |
338 |
ブリッジ |
トランスペアレント ファイアウォール |
110、220 |
ca |
PKI 証明機関 |
717 |
citrix |
Citrix クライアント |
723 |
— |
クラスタリング |
747 |
— |
カード管理 |
323 |
config |
コマンド インターフェイス |
111、112、208、308 |
csd |
セキュアなデスクトップ |
724 |
cts |
Cisco TrustSec |
776 |
dap |
ダイナミック アクセス ポリシー |
734 |
eap、eapoudp |
ネットワーク アドミッション コントロール用の EAP または EAPoUDP |
333、334 |
eigrp |
EIGRP ルーティング |
336 |
|
電子メール プロキシ |
719 |
— |
環境モニタリング |
735 |
ha |
フェールオーバー |
101、102、103、104、105、210、311、709 |
— |
Identity-Based ファイアウォール |
746 |
ids |
侵入検知システム |
400、733 |
— |
IKEv2 ツールキット |
750、751、752 |
ip |
IP スタック |
209、215、313、317、408 |
ipaa |
IP アドレスの割り当て |
735 |
ips |
侵入防御システム |
400、401、420 |
— |
IPv6 |
325 |
— |
ライセンシング |
444 |
mdm-proxy |
MDM プロキシ |
802 |
nac |
ネットワーク アドミッション コントロール |
731、732 |
nacpolicy |
NAC ポリシー |
731 |
nacsettings |
NAC ポリシーを適用するための NAC 設定 |
732 |
— |
NAT および PAT |
305 |
— |
ネットワーク アクセス ポイント |
713 |
np |
ネットワーク プロセッサ |
319 |
— |
NP SSL |
725 |
ospf |
OSPF ルーティング |
318、409、503、613 |
— |
パスワードの暗号化 |
742 |
— |
Phone Proxy |
337 |
rip |
RIP ルーティング |
107、312 |
rm |
Resource Manager |
321 |
— |
Smart Call Home |
120 |
session |
ユーザ セッション |
106、108、201、202、204、302、303、304、305、314、405、406、407、500、502、607、608、609、616、620、703、710 |
snmp |
SNMP |
212 |
— |
ScanSafe |
775 |
ssl |
SSL スタック |
725 |
svc |
SSL VPN クライアント |
722 |
sys |
システム |
199、211、214、216、306、307、315、414、604、605、606、610、612、614、615、701、711、741 |
— |
脅威の検出 |
733 |
tag-switching |
サービス タグ スイッチング |
779 |
vm |
VLAN マッピング |
730 |
vpdn |
PPTP および L2TP セッション |
213、403、603 |
vpn |
IKE および IPsec |
316、320、402、404、501、602、702、713、714、715 |
vpnc |
VPN クライアント |
611 |
vpnfo |
VPN フェールオーバー |
720 |
vpnlb |
VPN ロード バランシング |
718 |
— |
VXLAN |
778 |
webfo |
WebVPN フェールオーバー |
721 |
webvpn |
WebVPN と セキュアクライアント |
716 |
ログ ビューアのメッセージのソート
すべての ASDM ログ ビューア(Real-Time Log Viewer、Log Buffer Viewer、および Latest ASDM Syslog Events Viewer)でメッセージをソートできます。複数のカラムでテーブルをソートするには、ソートの基準とする、最初のカラムのヘッダーをクリックし、Ctrl キーを押したまま、同時にソート順に含める他のカラムのヘッダーをクリックします。時間順にメッセージをソートするには、日付と時刻のカラムを両方選択します。どちらか一方だけを選択した場合は、(時刻に関係なく)日付のみまたは(日付に関係なく)時刻のみでメッセージがソートされます。
Real-Time Log Viewer および Latest ASDM Syslog Events Viewer でメッセージをソートすると、記録された新しいメッセージは通常の表示位置となる一番上ではなく、ソートされた順序で表示されます。つまり、メッセージはその他のメッセージの中に混ざって表示されます。
カスタム メッセージ リスト
-
重大度
-
メッセージ ID
-
syslog メッセージ ID の範囲
-
メッセージ クラス
たとえば、メッセージ リストを使用して次の操作を実行できます。
-
重大度が 1 および 2 の syslog メッセージを選択し、1 つ以上の電子メール アドレスに送信する。
-
メッセージ クラス(「ha」など)に関連付けられたすべての syslog メッセージを選択し、内部バッファに保存する。
メッセージ リストには、メッセージを選択するための複数の基準を含めることができます。 ただし、メッセージ選択基準の追加は、それぞれ個別のコマンド エントリで行う必要があります。重複したメッセージ選択基準を含むメッセージ リストが作成される可能性もあります。メッセージ リストの 2 つの基準によって同じメッセージが選択される場合、そのメッセージは一度だけログに記録されます。
クラスタ
syslog メッセージは、クラスタリング環境でのアカウンティング、モニタリング、およびトラブルシューティングのための非常に重要なツールです。クラスタ内の各 ASA ユニット(最大 8 ユニットを使用できます)は、syslog メッセージを個別に生成します。特定の logging コマンドを使用すると、タイム スタンプおよびデバイス ID を含むヘッダー フィールドを制御できます。syslog サーバーは、syslog ジェネレータを識別するためにデバイス ID を使用します。logging device-id コマンドを使用すると、同一または異なるデバイス ID 付きで syslog メッセージを生成することができ、クラスタ内の同一または異なるユニットからのメッセージのように見せることができます。
(注) |
クラスタの装置から syslog メッセージをモニターするには、モニターする各装置に対して ASDM セッションを開く必要があります。 |