syslogプロトコルの概要

BY admin
|

Syslogサーバを使用するためのCiscoデバイスの設定

ほとんどのシスコデバイスは、システムログとアラートを管理するためにsyslogプロトコルを使用しています。 しかしPCおよびサーバ同等とは違って、Ciscoデバイスはこれらのログを貯えるための大きい内部記憶空間に欠けています。 この制限を克服するために、シスコデバイスには次の2つのオプションがあります:

  • Internal buffer—デバイスのオペレーティングシステムは、最新のメッセージを記録するためにメモリバッファの小さな部分を割り当てます。 バッファサイズは数キロバイトに制限されています。 このオプションはデフォルトで有効になっています。 ただし、デバイスが再起動すると、これらのsyslogメッセージは失われます。
  • Syslog—メッセージを保存するために外部デバイスに送信するには、UNIXスタイルのSYSLOGプロトコルを使用します。 ストレージサイズはルータのリソースに依存せず、外部syslogサーバの利用可能なディスク領域によってのみ制限されます。 このオプションはデフォルトでは有効になっていません。Ciscoネットワークでsyslog機能を有効にするには、Ciscoデバイス内で組み込みのsyslogクライアントを設定する必要があります。

    Ciscoデバイスは、緊急時の警告の重大度レベルを使用して、ソフトウェアまたはハードウェアの誤動作に関するエラーメッセージを生成します。 デバッグレベルには、デバッグコマンドの出力が表示されます。 通知レベルには、インターフェイスの上下の遷移とシステム再起動メッセージが表示されます。 情報レベルは、要求と低プロセススタックメッセージをリロードします。外部syslogサーバにsyslogメッセージを送信するようにCisco IOSベースのルータを設定するには、特権EXECモードを使用して、表4-11の手順に従います。

    表4-11. Syslog用のCiscoルータの設定

    ステップ

    コマンド

    目的

    ルータ#端末の設定

    グローバル設定モードに入ります。

    Router(config)#サービスタイムスタンプタイプdatetime

    システムにsyslogメッセージをタイムスタンプするように指示します。typeキーワードのオプションはdebugおよびlogです。

    Router(config)#ログホスト

    syslogサーバをIPアドレスまたはホスト名で指定します。

    Router(config)#ログトラップレベル

    syslogサーバに送信されるメッセージの種類を重大度レベルで指定します。 デフォルトはinformationalおよびlowerです。 Levelに使用できる値は次のとおりです。

    Emergency:0
    Alert:1
    Critical:2
    Error:3
    Warning:4
    Notice:5
    Information:6
    Debug:7

    デバッグレベルは、ビジーネットワークで大量のsyslogトラフィッ

    Router(config)#logging facility facility-type

    syslogメッセージで使用される機能レベルを指定します。 使用可能な値は、local0、local1、local2、local3、local4、local5、local6、およびlocal7です。

    ルータ(設定)#終了

    特権EXECモードに戻ります。

    ルータ#ログを表示する

    ログ設定を表示します。

    例4-12は、施設local3でsyslogメッセージを送信するようにCiscoルータを準備します。 また、ルータは警告またはそれ以上の重大度のメッセージだけを送信します。 Syslogサーバは、IPアドレスが192.168.0.30のマシン上にあります。

    例4-12. 外部syslogサーバにsyslogメッセージを送信するようにCisco CatOSベースのスイッチを設定するには、表4-12に示す特権EXECモードコマンドを使用します。

    表4-12. Syslog用のCiscoスイッチの設定

    ステップ

    コマンド

    目的

    Switch>(enable)set logging timestamp{enable|disable}

    メッセージをタイムスタンプするようにシステムを設定します。

    スイッチ>(有効)ログサーバのipアドレスを設定

    syslogサーバのIPアドレスを指定します。

    Switch>(enable)set logging server severity_levelログサーバーの重大度server_severity_level

    syslogサーバにログに記録されるメッセージを重大度レベルで制限します。

    Switch>(enable)set logging server facility server_facility_parameter

    メッセージで使用される機能レベルを指定します。 デフォルトはlocal7です。 Cisco Catalystスイッチでは、表4-1に示す標準の機能名とは別に、スイッチに固有の機能名が使用されます。 次の施設レベルでは、重大度が固定されたsyslogメッセージが生成されます。

    5:System,Dynamic-Trunking-Protocol,Port-Aggregation-Protocol,Management,Multilayer Switching

    4:CDP,UDLD

    2:その他の施設

    Switch>(enable)set logging server enable

    スイッチがsyslogサーバにsyslogメッセージを送信できるようにします。

    スイッチ>(有効)ログを表示

    ログ設定を表示します。

    例4-13は、catosベースのスイッチが施設local4でsyslogメッセージを送信するように準備します。 また、スイッチは、重大度がwarning以上のメッセージのみを送信します。 Syslogサーバは、IPアドレスが192.168.0.30のマシン上にあります。

    例4-13. SyslogのためのCatOSベースのスイッチ設定

    Console> (enable) set logging timestamp enableSystem logging messages timestamp will be enabled.Console> (enable) set logging server 192.168.0.30192.168.0.30 added to System logging server table.Console> (enable) set logging server facility local4System logging server facility set to <local4>Console> (enable) set logging server severity 4System logging server severity set to <4>Console> (enable) set logging server enableSystem logging messages will be sent to the configured syslog servers.Console> (enable) show loggingLogging buffered size: 500timestamp option: enabledLogging history size: 1Logging console: enabledLogging server: enabled{192.168.0.30}server facility: LOCAL4server severity: warnings(4Current Logging Session: enabledFacility Default Severity Current Session Severity------------- ----------------------- ------------------------cdp 3 4drip 2 4dtp 5 4dvlan 2 4earl 2 4fddi 2 4filesys 2 4gvrp 2 4ip 2 4kernel 2 4mcast 2 4mgmt 5 4mls 5 4pagp 5 4protfilt 2 4pruning 2 4radius 2 4security 2 4snmp 2 4spantree 2 4sys 5 4tac 2 4tcp 2 4telnet 2 4tftp 2 4udld 4 4vmps 2 4vtp 2 40(emergencies) 1(alerts) 2(critical)3(errors) 4(warnings) 5(notifications)6(information) 7(debugging)Console> (enable)

    SyslogのためのCisco PIXファイアウォールの設定

    ファイアウォールログの順向監視はNetadminの義務の不可欠な部分です。 ファイアウォールシログは、フォレンジック、ネットワークトラブルシューティング、セキュリティ評価、ワームやウイルスの攻撃の軽減などに役立ちます。 Pixでsyslogメッセージングを有効にするための設定手順は、概念的にはIOSまたはCatOSベースのデバイスの設定手順と似ています。 Pix OS4.4以上でCisco Pixファイアウォールを設定するには、特権EXECモードで表4-13に示す手順を実行します。

    表4-13. SyslogのためのPIX設定

    ステップ

    コマンド

    目的

    Pixfirewall#コンフィグ端末

    グローバル設定モードに入ります。

    Pixfirewall(config)#ログタイムスタンプ

    各syslogメッセージにtimestamp値を設定することを指定します。

    Pixfirewall(config)#ロギングホストip_address

    Cisco Pix Firewallから送信されたメッセージを受信するsyslogサーバを指定します。 複数のlogging hostコマンドを使用して、すべてのsyslogメッセージを受信する追加のサーバを指定できます。 プロトコルはUDPまたはTCPです。 ただし、サーバーはUDPまたはTCPのいずれかを受信するようにのみ指定でき、両方を受信するように指定することはできません。 Cisco PIX FirewallはTCP syslogメッセージのみをCisco Pix Firewall syslogサーバに送信します。

    Pixfirewall(config)#ロギング機能

    syslog機能番号を指定します。 名前を指定する代わりに、PIXは次のように2桁の数字を使用します。

    local0-16

    local1-17

    local2-18

    local3-19

    local4-20

    local5-21

    local6-22

    local7-23

    デフォルトは20です。

    pixfirewall(config)#ログトラップレベル

    syslogメッセージレベルを数値または文字列で指定します。 指定するレベルは、そのレベルとそれらの値がそのレベルよりも小さいことを意味します。 たとえば、levelが3の場合、syslogには0、1、2、および3のメッセージが表示されます。 可能な数値と文字列レベルの値は次のとおりです。

    0:緊急;システム使用不可メッセージ

    1:Alert;即時アクションを実行

    2:Critical;critical condition

    3:Error;エラーメッセージ

    4: 警告;警告メッセージ

    5:通知;正常だが重要な状態

    6:情報:情報メッセージ

    7:デバッグ;デバッグメッセージとログFTPコマンドとWWW Url

    pixfirewall(config)#ログオン

    すべての出力場所へのsyslogメッセージの送信を開始します。

    pixfirewall(config)#ログなしメッセージ<メッセージid>

    抑制するメッセージを指定します。

    pixfirewall(config)#exit

    グローバル設定モードを終了します。

    例4-14は、施設local5および重大度debug以下のsyslogメッセージをsyslogサーバに送信するようにCisco PIX Firewallを準備します。 Netadminは、PIXにメッセージ111005のログを記録させたくありません。 SyslogサーバのIPアドレスは192.168.0.30です。

    例4-14. 信頼性を高めるために、TCPを介してsyslogメッセージを送信するようにCisco PIX Firewallを設定できます。 Syslogサーバーのディスクがいっぱいになると、TCP接続を閉じることができます。 Cisco PIX Firewallはsyslogサーバのディスク領域が解放されるまですべてのトラフィックを停止するため、サービス拒否が発生します。 Kiwi SyslogdサーバーとPFSSの両方がこの機能を提供します。 Kiwi Syslogdには、ディスクの容量に近づいたときに電子メールまたはポケットベルを介してNetadminに警告する警告メカニズムがあります。 この設定は、図4-9に示すように、Kiwi syslog設定のSyslog Daemon Setupウィンドウから設定できます。

    ディスクがいっぱいの状態でPIXが停止した場合は、最初にディスク領域を解放する必要があります。 次に、no logging host hostコマンドを使用してpix上のsyslogメッセージングを無効にし、次にlogging host hostコマンドを使用してsyslogメッセージングを再度有効にします。例4-15は、TCPポート1468でsyslogメッセージを送信するためのCisco Pix Firewallの設定手順を示しています。

    例4-15. TCP SyslogのPIX設定Cisco VPN Concentrator For Syslogの設定Cisco VPN3000シリーズConcentratorは、リモートネットワーク間でVPN機能を展開するためのアプライアンスベースのソリューションを提供します。 VPNコンセントレータは、多くの場合、図4-1に示すように、ファイアウォールに並列に接続されています。 この設計により、ネットワークの管理は簡素化されますが、セキュリティ上の懸念が生じます。 ユーザーがVPNコンセントレータを介して認証されると、そのユーザーはネットワークに完全にアクセスできます。 これは、VPNコンセントレータからのメッセージを記録するための強力なケースになります。 Syslogメッセージを送信するためにCisco VPN3000シリーズConcentratorを設定するには、次の手順を実行します。:

    1. webブラウザを使用してVPN concentratorにログインします。図4-12に示すように、Configuration>System>Events>Syslogサーバを選択して、[syslogサーバsyslog server]ページに移動します。図4-12VPN Concentrator-Syslogサーバ
    2. [Syslog Servers]ページで、[Add]ボタンをクリックします図4-12を参照。
    3. 図4-13に示すように、syslogサーバのIPアドレスを入力し、Facilityドロップダウンメニューからfacility levelを選択します。 これらの設定を保存し、[Add]ボタンをクリックして[Syslog Servers]ページに戻ります。
      04fig13.jpg

      図4-13VPN Concentrator-Syslogサーバの追加

    4. syslogサーバに送信するメッセージの種類を選択するには、Configuration>System>Events>Generalを選択してGeneralページに移動します。[General]ページで、[Severity to Syslog]ドロップダウンメニューからオプションを選択し、[Apply]ボタンをクリックします。
      04fig14.jpg

      図4-14VPN Concentrator-一般的な設定

    5. 設定の変更を保存するには、必要な保存アイコンをクリックします。この例で設定されているように、VPN concentratorは、施設local6、重大度1-5のsyslogメッセージをサーバ192.168.0.30に送信する準備ができました。