当記事では、Cisco 製品からSNMP 並びにSyslog を取得するための設定を記載します。
タイトルの通り、対象となる製品は
- Catalyst (L2 / L3 Switch)
- Router
- ASA (Firewall)
とします。
目次
事前準備
- 対象となるCisco 製品のコマンドラインを開く手段を用意します。(Console ケーブル / telnet (SSH) 接続に用いるIPアドレス)
- (設定されている場合) Cisco 製品に設定されているパスワードを確認します。
なお、コマンドラインを開く手段によって、確認するパスワードは違います。下記の通りです。
-
- ログインに必要なパスワード (いずれか)
- Console password (Console ケーブル接続)
- VTY password (Telnet 接続)
- User Name / Passowd (SSH 接続)
- 設定変更に必要なパスワード
- Enable パスワード
- ログインに必要なパスワード (いずれか)
- [2]で確認したパスワードを基に端末にアクセスし、コンフィグレーションモードまで移行します。
Switch>enable Switch#configure terminal Switch(config)#
- LogStare Collector を起動しているサーバ・端末のIPアドレスを調べておきます。 (当記事では 192.168.0.1 とします。)
設定内容 (SNMP)
SNMP ポーリング
Switch(config)#snmp-server community SNMPCommunity ro
基本的にはこれだけです。
- snmp-server community [SNMP コミュニティ名] ro
... [SNMP コミュニティ名]に入力した値を、読み取り専用の権限で
SNMP コミュニティとして扱うコマンドです。
オプションとして、
Switch(config)#access-list 1 permit host 192.168.0.1 Switch(config)#snmp-server community SNMPCommunity ro 1
上記の設定を追加する事も出来ます。
- access-list 1 permit host [192.168.0.1 (IPアドレス)]
... 指定したIP アドレスからの通信のみ許可するルールを、
アクセスリストの1番に追加するコマンドです。
作成したアクセスリストを、基本となるSNMP ポーリングの末尾に追加することで、アクセスリストが反映され、
SNMP コミュニティ名[SNMPCommunity]は、LogStare Collector 間でのみSNMP ポーリングを行うようになりました。
SNMP トラップ
Switch(config)#snmp-server host 192.168.0.1 version 2c TrapCommunity Switch(config)#snmp-server enable traps
SNMP トラップを利用する場合は、上記の設定が必要です。
- snmp-server host 192.168.0.1 version 2c TrapCommunity
... SNMP コミュニティ名[TrapCommunity] を用いて、[192.168.0.1]にSNMP トラップを送信出来るようにするコマンドです。 - snmp-server enable traps
... SNMP トラップを有効化します。 (デフォルトでは無効です。)
以上で、Cisco 製品でのSNMP を利用する準備が整いました。
設定内容 (Syslog)
Catalyst / Routerでの設定
Syslog は、SNMP と違い、考慮する点が多いです。
まず、NTP が対象機器に設定されているかを確認しましょう。
Switch(config)#do show ntp associations
サーバ情報が表示されない場合は、NTPの設定が無いので、新たに追加します。
※当記事では、NICT (情報通信研究機構)様のNTP サーバを設定いたします。
Switch(config)#ntp server 133.243.238.164 Switch(config)#ntp server 133.243.238.163 prefer
NTPの確認が取れましたら、下記設定を投入します。
Switch(config)#service timestamps log datetime localtime show-timezone Switch(config)#service sequence-numbers Switch(config)#logging buffered 512000 Switch(config)#logging host 192.168.0.1 Switch(config)#logging trap informational
- service timestamps log datetime msec localtime show-timezone
... ログにタイムスタンプを付与するコマンドです。下記項目を追加で付与しております。- localtime (設定したタイムゾーンを利用)
- show-timezone (タイムゾーン)
- service sequence-numbers
... ログにシーケンス番号を付与するコマンドです。
- logging buffered 512000
Cisco 製品は、デフォルトのログ バッファサイズが[4096 byte]と、とても小さいので、容量を大きくします。
※メモリの空き容量に注意してください。心もとない場合は、半分の[256000]でも十分です。特権EXECモードで[show memory] と入力すると確認できます。
- logging host 192.168.0.1
Syslog サーバを指定するコマンドです。 LogStare Collector を起動するサーバ・端末を指定しましょう。
- logging trap informational
... Syslog サーバに転送する最低の重要度を選択するコマンドです。Cisco 製品の重要度は下記の通りです。- emergencies
- alerts
- critical
- errors
- warnings
- notifications
- informational - ここより上を転送
- debugging
ASA での設定
基本的な内容は、Catalyst や、Router と同じです。
まず、NTP が対象機器に設定されているかを確認します。
ASA(config)#do show ntp associations
サーバ情報が表示されない場合は、NTPの設定が無いので、新たに追加します。
ASA(config)#ntp server 133.243.238.164 ASA(config)#ntp server 133.243.238.163 prefer
NTPの確認が取れましたら、下記設定を投入します。
ASA(config)#logging enable ASA(config)#logging timestamp ASA(config)#logging standby ASA(config)#logging host 192.168.0.1 ASA(config)#logging trap informational ASA(config)#logging asdm informational
- logging enable
... Syslog 転送を有効化するコマンドです。 - logging enable
... Syslog にタイムスタンプを追加するコマンドです。
- logging standby
... [冗長化している前提]アクティブ機のログだけでなく、スタンバイ機側のログも取得します。 トラフィック量が増加する為、設定前には注意が必要です。
- logging host 192.168.0.1
... Syslog サーバを指定するコマンドです。
- logging trap informational
... Syslog サーバに転送する最低の重要度を選択するコマンドです。Catalyst / Router 同様、0~7の8段階で評価されます。
- logging asdm informational
... Cisco ASDM (ASA のGUI) に転送する最低の重要度を選択するコマンドです。
以上で、Cisco 製品からSyslog サーバへログを転送する準備が整いました。
記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。
当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。