シスコ機器に限らずログ管理は運用上、重要だと思います。組織によっては独自のセキュリティポリシーなるものが策定されており機器ログに関しては○ヶ月以上保存する事、といったことを取り決めているところも多いのではないでしょうか。
ここではシスコ機器を扱う際のSyslogに関する基本的なTipsを取り扱います。
■Syslogの設定
まずログを扱う上で、そのイベントが発生した日時が正確でなくてはなりません。そしてデフォルトではConsole / Monitor / Bufferの3種類があります。
Consoleとは文字通りコンソール接続していた際にターミナルに表示されるものです。あくまでコンソールで接続していた際に表示されるものであってSSHやTelnetで接続していた場合にはログは表示されません。リモートで接続してログを表示したい場合に使うのがMonitorです。以下のコマンドで有効にします。下記コマンドを打つことでTelnetやSSHで接続しているターミナル上にもログを表示することが可能です。
# terminal monitor |
Bufferとはシスコ機器内部にログを保存する領域が存在しており、れがBufferです。Bufferのサイズはデフォルトで4096byteです。( 正確には機種によってデフォルト無効であったりすることもあるのでまちまちです )
また、機器内部だけではなくリモートにある機器に対して自身のログを送信することで外部にある機器にログを保存することも可能です。シスコは機器を再起動するとログは綺麗さっぱり消去されてしまいますので、外部にあるサーバに保存することを強く奨励いたします。
これらは以下のコマンドで確認することが可能です。
# show logging
Syslog logging: enabled (0 messages dropped, 0 messages rate-limited, \
0 flushes, 0 overruns, xml disabled, filtering disabled)
No Active Message Discriminator.
No Inactive Message Discriminator.
Console logging: level debugging, 163 messages logged, xml disabled,
filtering disabled
Monitor logging: level debugging, 0 messages logged, xml disabled,
filtering disabled
Buffer logging: level debugging, 163 messages logged, xml disabled,
filtering disabled
Exception Logging: size (4096 bytes)
Count and timestamp logging messages: disabled
File logging: disabled
Persistent logging: disabled
No active filter modules.
Trap logging: level notifications, 162 message lines logged
Logging to xx.yy.xx.yy (udp port 514, audit disabled,
authentication disabled, encryption disabled, link up),
162 message lines logged,
0 message lines rate-limited,
0 message lines dropped-by-MD,
xml disabled, sequence number disabled
filtering disabled
Log Buffer (4096 bytes):
<以下、省略>
|
それぞれにはロギングレベルというものが設定されており、それによって出力されるログを限定することも可能ですが、基本的にはすべてのログを出力するdebuggingで良いと思います。ロギングレベルには以下のものがあります。
| プライオリティ | 用途 |
| debug | デバッグレベルメッセージ |
| info | 情報メッセージ |
| notice | 通知状態 |
| warning | 警告状態 |
| error | エラー状態 |
| crit | 致命的な状態 |
| emerg | システムが利用できないような緊急状態 |
これらのシスコのsyslog設定が以下のようになります。
(config)# logging console debugging (config)# logging monitor debugging (config)# logging buffered debugging (config)# logging buffered 8192 (config)# logging trap debugging (config)# logging source-interface VlanXX (config)# logging xx.yy.xx.yy |
console / monitor / bufferedに関してはデフォルトでdebuggingになっている機種が多いように思いますが、informationになっていたりする機種もあります。logging bufferd [数字]で内部に保存するログの容量を指定することが可能ですが、外部に吐き出すようにしていれば特に明示的な指定の必要性も薄いかと。logging trapがリモートにシスログを送信する際のロギングレベルを指定しており、logging source interfaceでシスログを送信するときの送信元IPを指定します。
また、コンソールorリモートからログインした際にそれを履歴として残すコマンドが以下です。後追い作業などが発生した際にはそれなりに使えるかと。
line vty 0 4 (or line con 0) exec prompt timestamp |
show historyコマンドで確認できます。