当記事では、Cisco 製品からSNMP 並びにSyslog を取得するための設定を記載します。

タイトルの通り、対象となる製品は

• Catalyst (L2 / L3 Switch)
• Router
• ASA (Firewall)

とします。

 

事前準備

1. 対象となるCisco 製品のコマンドラインを開く手段を用意します。(Console ケーブル / telnet (SSH) 接続に用いるIPアドレス)
2. (設定されている場合) Cisco 製品に設定されているパスワードを確認します。
   なお、コマンドラインを開く手段によって、確認するパスワードは違います。下記の通りです。

• • ログインに必要なパスワード (いずれか)
    • Console password (Console ケーブル接続)
    • VTY password (Telnet 接続)
    • User Name / Passowd (SSH 接続)
  • 設定変更に必要なパスワード
    • Enable パスワード

3. [2]で確認したパスワードを基に端末にアクセスし、コンフィグレーションモードまで移行します。

   Switch>enable
   Switch#configure terminal
   Switch(config)#

4. LogStare Collector を起動しているサーバ・端末のIPアドレスを調べておきます。 (当記事では 192.168.0.1 とします。)

 

設定内容 (SNMP)

SNMP ポーリング

Switch(config)#snmp-server community SNMPCommunity ro

基本的にはこれだけです。

• snmp-server community [SNMP コミュニティ名] ro
  ... [SNMP コミュニティ名]に入力した値を、読み取り専用の権限で
  SNMP コミュニティとして扱うコマンドです。

オプションとして、

Switch(config)#access-list 1 permit host 192.168.0.1
Switch(config)#snmp-server community SNMPCommunity ro 1

上記の設定を追加する事も出来ます。

• access-list 1 permit host [192.168.0.1 (IPアドレス)]
  ... 指定したIP アドレスからの通信のみ許可するルールを、
  アクセスリストの1番に追加するコマンドです。

作成したアクセスリストを、基本となるSNMP ポーリングの末尾に追加することで、アクセスリストが反映され、
SNMP コミュニティ名[SNMPCommunity]は、LogStare Collector 間でのみSNMP ポーリングを行うようになりました。

 

SNMP トラップ

Switch(config)#snmp-server host 192.168.0.1 version 2c TrapCommunity
Switch(config)#snmp-server enable traps

SNMP トラップを利用する場合は、上記の設定が必要です。

• snmp-server host 192.168.0.1 version 2c TrapCommunity
  ... SNMP コミュニティ名[TrapCommunity] を用いて、[192.168.0.1]にSNMP トラップを送信出来るようにするコマンドです。
• snmp-server enable traps
  ... SNMP トラップを有効化します。 (デフォルトでは無効です。)

 

以上で、Cisco 製品でのSNMP を利用する準備が整いました。

 

設定内容 (Syslog)

Catalyst / Routerでの設定

Syslog は、SNMP と違い、考慮する点が多いです。
まず、NTP が対象機器に設定されているかを確認しましょう。

Switch(config)#do show ntp associations

サーバ情報が表示されない場合は、NTPの設定が無いので、新たに追加します。
※当記事では、NICT (情報通信研究機構)様のNTP サーバを設定いたします。

Switch(config)#ntp server 133.243.238.164
Switch(config)#ntp server 133.243.238.163 prefer

NTPの確認が取れましたら、下記設定を投入します。

Switch(config)#service timestamps log datetime localtime show-timezone
Switch(config)#service sequence-numbers
Switch(config)#logging buffered 512000
Switch(config)#logging host 192.168.0.1
Switch(config)#logging trap informational

• service timestamps log datetime msec localtime show-timezone
  ... ログにタイムスタンプを付与するコマンドです。下記項目を追加で付与しております。
  • localtime (設定したタイムゾーンを利用)
  • show-timezone (タイムゾーン)
• service sequence-numbers
  ... ログにシーケンス番号を付与するコマンドです。

• logging buffered 512000
  Cisco 製品は、デフォルトのログ バッファサイズが[4096 byte]と、とても小さいので、容量を大きくします。
  ※メモリの空き容量に注意してください。心もとない場合は、半分の[256000]でも十分です。特権EXECモードで[show memory] と入力すると確認できます。

• logging host 192.168.0.1
  Syslog サーバを指定するコマンドです。 LogStare Collector を起動するサーバ・端末を指定しましょう。

• logging trap informational
  ... Syslog サーバに転送する最低の重要度を選択するコマンドです。Cisco 製品の重要度は下記の通りです。
  0. emergencies
  1. alerts
  2. critical
  3. errors
  4. warnings
  5. notifications
  6. informational - ここより上を転送
  7. debugging

 

ASA での設定

基本的な内容は、Catalyst や、Router と同じです。
まず、NTP が対象機器に設定されているかを確認します。

ASA(config)#do show ntp associations

サーバ情報が表示されない場合は、NTPの設定が無いので、新たに追加します。

ASA(config)#ntp server 133.243.238.164
ASA(config)#ntp server 133.243.238.163 prefer

NTPの確認が取れましたら、下記設定を投入します。

ASA(config)#logging enable
ASA(config)#logging timestamp
ASA(config)#logging standby
ASA(config)#logging host 192.168.0.1
ASA(config)#logging trap informational
ASA(config)#logging asdm informational

• logging enable
  ... Syslog 転送を有効化するコマンドです。
• logging enable
  ... Syslog にタイムスタンプを追加するコマンドです。

• logging standby
  ... [冗長化している前提]アクティブ機のログだけでなく、スタンバイ機側のログも取得します。 トラフィック量が増加する為、設定前には注意が必要です。

• logging host 192.168.0.1
  ... Syslog サーバを指定するコマンドです。

• logging trap informational
  ... Syslog サーバに転送する最低の重要度を選択するコマンドです。Catalyst / Router 同様、0～7の8段階で評価されます。

• logging asdm informational
  ... Cisco ASDM (ASA のGUI) に転送する最低の重要度を選択するコマンドです。

以上で、Cisco 製品からSyslog サーバへログを転送する準備が整いました。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。