動作確認環境
- FPR-1010 (Firepower 1010)
- ASA OS Version 9.18(3)55
デフォルトのログ設定
Firepower ではデフォルトのログ設定は以下のようになっています。
ciscoasa# show logging
Syslog logging: disabled
Facility: 20
Timestamp logging: disabled
Hide Username logging: enabled
Standby logging: disabled
Debug-trace logging: disabled
Console logging: disabled
Monitor logging: disabled
Buffer logging: disabled
Trap logging: disabled
Permit-hostdown logging: disabled
History logging: disabled
Device ID: disabled
Mail logging: disabled
ASDM logging: level informational, 0 messages loggedデフォルトでは logging enable 設定が無効化されているため、ローカルロギング、コンソールロギング等のすべてのロギングが無効になっています。
また、ASDM のログバッファへのログ保存は informational レベルで有効になっていますが、上記の通りロギング自体が無効化されているためデフォルトでは ASDM へのログ保存はされません。
logging asdm informationalログに全般に関わる事項
ロギングの有効化
ロギング機能を有効化するためにはまず logging enable を設定する必要があります。
ciscoasa(config)# logging enableこの有効化設定をしないとすべてのロギング機能が使えません。
ログレベルとは
各種ログ設定では、ログレベルというものを設定します。ログレベルは、どのログを出力・保存するかを決める設定です。ログレベルには以下表の通り 0-7 (emergencies~debugging) があります。
| レベル | レベル名 | 意味 | 該当ログ例 |
| 0 | emergencies | システムが使用不能 | |
| 1 | alerts | すぐに対処が必要 | |
| 2 | critical | 重大な状態 | |
| 3 | errors | エラー状態 | |
| 4 | warnings | 警告状態 | リンク down/up |
| 5 | notifications | 通常の状態だが、重要な状態 | |
| 6 | informational | 情報提供 | |
| 7 | debugging | デバッグ |
指定したログレベル以下のレベルのログが出力される仕様です。例えばレベル 3 を指定した場合、レベル 0-3 のログが出力されます。
運用上確認が必要なログがすべて出力されるように設定するログレベルを決定する必要があります。
ここで、例えばレベル 7 (debugging) を指定するとすべてのログが出力されますが、ログの量が大量になってしまい運用に支障が出てしまうため、ただレベルを大きくすればよいというものではありません。機器で使用している機能を考慮しつつ、必要なログが出力され、かつ不必要なログは出力されないレベルはいくつなのかを見極める必要があります。
タイムスタンプ付加設定
デフォルトではログにはタイムスタンプが付いていません。タイムスタンプをログに付加するためには以下の設定を行います。
logging timestamp [rfc5424]rfc5424:オプション。RFC 5424 に従った形式でタイムスタンプが表示される
設定例:
ciscoasa(config)# logging timestamplogging timestamp 設定後は以下のようにログにタイムスタンプが付加されます。
Sep 16 2023 11:12:21: %ASA-4-411002: Line protocol on Interface Ethernet1/1, changed state to downrfc5424 オプションを使用した場合は以下のように表示されます。
2023-09-16T02:16:55Z: %ASA-4-411002: Line protocol on Interface Ethernet1/1, changed state to downログ関連のコンフィグの確認
show running-config logging コマンドを実行するとログ関連のコンフィグのみ抜粋して表示することが可能です。
ciscoasa# show running-config logging
logging enable
logging timestamp
logging buffer-size 8192
logging asdm-buffer-size 200
logging console warnings
logging monitor warnings
logging buffered warnings
logging trap warnings
logging asdm warnings
logging host management 192.168.45.100また show logging setting コマンドで各ログの設定情報を確認できます。
ciscoasa# show logging setting
Syslog logging: enabled
Facility: 20
Timestamp logging: enabled
Timezone: enabled
Hide Username logging: enabled
Standby logging: disabled
Debug-trace logging: disabled
Console logging: level warnings, 193 messages logged
Monitor logging: level warnings, 80 messages logged
Buffer logging: level warnings, 177 messages logged
Trap logging: level warnings, facility 20, 17 messages logged
Logging to management 192.168.45.100, UDP TX:17
Global TCP syslog stats::
NOT_PUTABLE: 0, ALL_CHANNEL_DOWN: 0
CHANNEL_FLAP_CNT: 0, SYSLOG_PKT_LOSS: 0
PARTIAL_REWRITE_CNT: 0
Permit-hostdown logging: disabled
History logging: disabled
Device ID: disabled
Mail logging: disabled
ASDM logging: level warnings, 1120 messages logged続きはメンバーシップ限定で以下のページで公開しています。
閲覧のためにはメンバーシップに登録してパスワードを入手してください。
