UnixPower on Networking
  http://www.unix-power.net/

 
 Top - Cisco - Cisco Syslog



シスコ機器に限らずログ管理は運用上、重要だと思います。組織によっては独自のセキュリティポリシーなるものが策定されており機器ログに関しては○ヶ月以上保存する事、といったことを取り決めているところも多いのではないでしょうか。


ここではシスコ機器を扱う際のSyslogに関する基本的なTipsを取り扱います。


■Syslogの設定

まずログを扱う上で、そのイベントが発生した日時が正確でなくてはなりません。これはシスコ機器の時刻設定の記事を参考にしてください。そしてデフォルトではConsole / Monitor / Bufferの3種類があります。


Consoleとは文字通りコンソール接続していた際にターミナルに表示されるものです。あくまでコンソールで接続していた際に表示されるものであってSSHやTelnetで接続していた場合にはログは表示されません。リモートで接続してログを表示したい場合に使うのがMonitorです。以下のコマンドで有効にします。下記コマンドを打つことでTelnetやSSHで接続しているターミナル上にもログを表示することが可能です。


# terminal monitor


Bufferとはシスコ機器内部にログを保存する領域が存在しており、れがBufferです。Bufferのサイズはデフォルトで4096byteです。( 正確には機種によってデフォルト無効であったりすることもあるのでまちまちです )


また、機器内部だけではなくリモートにある機器に対して自身のログを送信することで外部にある機器にログを保存することも可能です。シスコは機器を再起動するとログは綺麗さっぱり消去されてしまいますので、外部にあるサーバに保存することを強く奨励いたします。当然、ログを受けるサーバが必要ですがそれに関してはLinuxのrsyslogの記事を参考にしていただければと思います。


これらは以下のコマンドで確認することが可能です。


# show logging
Syslog logging: enabled (0 messages dropped, 0 messages rate-limited, \
0 flushes, 0 overruns, xml disabled, filtering disabled)

No Active Message Discriminator.



No Inactive Message Discriminator.


    Console logging: level debugging, 163 messages logged, xml disabled,
                     filtering disabled
    Monitor logging: level debugging, 0 messages logged, xml disabled,
                     filtering disabled
    Buffer logging:  level debugging, 163 messages logged, xml disabled,
                     filtering disabled
    Exception Logging: size (4096 bytes)
    Count and timestamp logging messages: disabled
    File logging: disabled
    Persistent logging: disabled

No active filter modules.

    Trap logging: level notifications, 162 message lines logged
        Logging to xx.yy.xx.yy  (udp port 514,  audit disabled,
              authentication disabled, encryption disabled, link up),
              162 message lines logged,
              0 message lines rate-limited,
              0 message lines dropped-by-MD,
              xml disabled, sequence number disabled
              filtering disabled

Log Buffer (4096 bytes):
<以下、省略>


それぞれにはロギングレベルというものが設定されており、それによって出力されるログを限定することも可能ですが、基本的にはすべてのログを出力するdebuggingで良いと思います。ロギングレベルには以下のものがあります。


プライオリティ 用途
debug デバッグレベルメッセージ
info 情報メッセージ
notice 通知状態
warning 警告状態
error エラー状態
crit 致命的な状態
emerg システムが利用できないような緊急状態


これらのシスコのsyslog設定が以下のようになります。


(config)# logging console debugging
(config)# logging monitor debugging
(config)# logging buffered debugging
(config)# logging buffered 8192
(config)# logging trap debugging
(config)# logging source-interface VlanXX
(config)# logging xx.yy.xx.yy


console / monitor / bufferedに関してはデフォルトでdebuggingになっている機種が多いように思いますが、informationになっていたりする機種もあります。logging bufferd [数字]で内部に保存するログの容量を指定することが可能ですが、外部に吐き出すようにしていれば特に明示的な指定の必要性も薄いかと。logging trapがリモートにシスログを送信する際のロギングレベルを指定しており、logging source interfaceでシスログを送信するときの送信元IPを指定します。


また、コンソールorリモートからログインした際にそれを履歴として残すコマンドが以下です。後追い作業などが発生した際にはそれなりに使えるかと。


line vty 0 4 (or line con 0)
 exec prompt timestamp

show historyコマンドで確認できます。



 

 関連記事
 Ciscoルータの初期設定
 Ciscoルータの基本操作
 パスワードリカバリ
 AAA/RADIUSの設定
 時刻修正
 Syslogの設定
 SPAN / Wiresharkの設定
 SNMPの設定
 PerlでCisco機器を操作
 CiscoIOSのアップグレード
 CiscoIOSのバージョン表記(15系)
 Copyright(C) 2003-2015 UnixPower on Networking All rights reserved.