Cisco機器のSyslogを活用する方法まで設計する
Cisco製品が長年ネットワーク製品のデファクトスタンダードとして選ばれてきた理由は、最先端のネットワーク技術を常に実装し続けてきたこと、製品のスケーラビリティと安定性、そしてネットワーク技術者ならば誰でも使い方を知っていると言っても過言ではないOS、Cisco IOSを搭載していることでしょう。
Ciscoのルーター製品とスイッチ製品には現在、共通のOSとしてCisco IOSが搭載されています。他社製品と同様にCiscoのネットワーク製品にも様々な機能があり、ルーターやスイッチのトラフィック状態やデータパケットを転送を管理するための手段が用意されています。ファイアウォール製品やIDS/IPS製品には、悪意ある操作を検出し、問題を未然に防ぐためのフィルタリングや分析のための機能を有し、ネットワークの安全性を保ちます。
これらの製品はすべて、ネットワーク上のアクティビティと重要なセキュリティ情報を管理します。製品上のアクティビティはすべてログに記録され、一般的にSyslogサーバーで管理します。Syslogには、SNMPでは取得できない情報も記録されています。ネットワーク製品のSyslogを監視し、分析することは、SNMPによる監視と同様に、利用者や管理者にとって重要な情報を提供してくれます。
Cisco機器のSyslogを解析するメリット
Cisco機器が生成したSyslogを分析するメリットには例えば以下があげられます。
- すべてのログオンを追跡し、あらゆる認証エラーを検出できる
- デバイスが常に適切にコンフィグされていることを確認し、コンフィグの変更を監視できる
- すべてのルーターとスイッチの接続 (接続の拒否を含めて) を検証し、最も頻繁に通信している送信元と送信先のデバイスを特定できる
- プロトコル (例:TCP、UDP、ICMP) に基づいてデバイスを通過するトラフィックの詳細を絞り込める
- デバイスのポート使用を分析して、ポートがダウンした日時を把握できる
- 懸念されるすべてのシステムイベントを検証し、注意を払う必要のあるルーターを特定できる
- トラフィックフローのエラーを検出して、最も頻発するエラーを特定できる
これらのログをすべて手動で管理するのは簡単ではありません。そのため、多くの管理者がログ管理ツールを導入することでSyslogサーバーを構築し、ログの監視から長期保管、可視化、解析までを容易に実現する環境を整備し、Cisco機器のログを活用しています。
Syslogもすぐに解析できるログ管理ツール
ManageEngineが提供する統合ログ管理ツール「EventLog Analyzer」は、Syslog管理を行う現場の様々な要求にこたえる機能が充実した、統合ログ管理ソフトウェアです。
Syslogサーバー機能も備え、直感的で使いやすいインターフェースよって、Syslog・Windowsイベントログなど様々な形式のログを集中管理することができます。収集したログはあらかじめ指定しておいたフォルダにまとめて保管され、時系列で複数の機器のイベントを表示する機能や、必要なログメッセージを簡単に検索可能する機能などを有します。
Ciscoログ解析機能
EventLog Analyzerは、Ciscoログ管理のために、次のような機能を提供します:
- ルーターとスイッチのアクティビティを詳細に分析する設定済みのレポートは、データを、リスト、チャート、グラフ形式で直感的に把握できるように視覚化するのに役立ちます
- トレンドレポートはデータのパターンを検出し、上位N位のレポートは特定のイベントと最も頻繁に関係のあるユーザーとデバイスを明らかにしま
- レポートの閲覧からプレーンテキストのログ情報に簡単に切り替えできます
- リアルタイムのカスタムアラートのおかげで、常にレポートを監視している必要がありません
- パワフルなフォレンジックが、必要なログを簡単に見つけ出します
このソリューションは、次のような点において、Ciscoログ管理に役立ちます。
- Ciscoのルーター監視:Ciscoルーターのsyslogを監視して、ログオン、コンフィグの変更、接続の詳細、トラフィックの詳細、システムイベントに関する情報を取得します
- Ciscoのスイッチ監視: トラフィック情報やシステムイベントのようなスイッチアクティビティを監視します
- Ciscoのファイアウォール監視: Cisco ASAおよびCisco PIXデバイスのファイアウォールトラフィック、アカウント変更、ログオン、脅威情報を監視します
- CiscoのVPN監視: Cisco ASAデバイスのリモートVPNログオンおよびVPNユーザー情報を監視します
- Ciscoの IDS/IPS監視: 攻撃情報を監視して、頻繁に標的となるデバイスなどを特定します
ルーターのログオンレポート
- すべてのルーターログオン成功を監査
- SSHおよびVPNログオンの詳細を取得
- すべてのVPN認証および承認エラーを表示
- デバイス、ユーザー、リモートデバイスごとにログオンの成功と失敗を表示
- ログオンのトレンドを確認して、パターンまたは異常を特定
使用可能なレポート
ログオン | ログオン失敗 | 不良認証 | SSHログオン | SSHログオンの失敗 | SSHセッションの終了 | VPNログオンの失敗 | VPN認証のエラー | デバイスごとの上位ログオン | ユーザーごとの上位ログオン | リモートデバイスごとの上位ログオン | デバイスごとの上位の失敗ログオン | ユーザーごとの上位失敗ログオン | リモートデバイスごとの上位失敗ログオン | インターフェイスごとの上位VPN認証エラー | ユーザーごとの上位VPN認証エラー | インターフェイスごとの上位VPN承認エラー | ユーザーごとの上位VPN承認エラー | リモートデバイスごとの上位SSHログオン | ユーザーごとの上位SSHログオン | リモートデバイスごとの上位SSHログオン失敗 | ユーザーごとの上位SSHログオン失敗 | ログオントレンド | ログオン失敗のトレンド
ルーターのコンフィグレポート
- すべてのアップリンクとダウンリンクの詳細を表示します
- すべてのコンフィグとリンク状態の変更を追跡します
- 最も頻発するもののリストを含め、すべてのリンクエラーを特定します
- ユーザーおよびリモートデバイスごとに分類して、上位のコンフィグ変更を表示します
使用可能なレポート
アップリンクのレポート | ダウンリンクのレポート | アップリンクとダウンリンクのレポート | リンク状態の変更 | コンフィグの変更 | システムの再起動 | リンクのエラー | 上位の状態変更 | 上位のコンフィグ変更 | ユーザーごとの上位のコンフィグ変更 | リモートデバイスごとの上位のコンフィグ変更 | 上位のリンクエラー
ルーターの接続レポート
- ルーターの接続許可および拒否すべての詳細を表示します
- これらは、送信元、送信先、プロトコルごとに分類されます
- また、トレンドレポートはすべてのルーター接続で利用可能です
使用可能なレポート
接続認証の成功 | 送信元ごとの上位接続 | 送信先ごとの上位接続 | プロトコルごとの上位接続 | 接続認証成功のトレンド | 接続拒否 | 送信元ごとの上位接続拒否 | 送信先ごとの上位接続拒否 | プロトコルごとの上位接続拒否 | 接続拒否トレンド
プロトコルごとのルータートラフィックレポート
- ルーターを通過するすべてのTCP、UDP、ICMPトラフィックを監査します
- TCP、UDP、ICMPトラフィックを最も多く生成している送信元を特定します
使用可能なレポート
TCPトラフィックの監査 | UDPトラフィックの監査 | ICMPトラフィックの監査 | トラフィックの監査概要 | 送信元ごとの上位TCPトラフィックの監査 | 送信元ごとの上位UDPトラフィックの監査 | 送信元ごとの上位ICMPトラフィックの監査 | 送信元ごとの上位トラフィックの監査
ルーターとスイッチシステムのイベント
- ルーターインターフェイス、ファン、メモリ、クロック、ポート、電源供給に関連する重大なシステムイベントを追跡します
使用可能なレポート
実行コマンド | インターフェイスのアップ | リンクの不良によるインターフェイスのダウン | 個別のポートのダウン | ファンの故障 | ファンの正常性 | 電源供給のレポート | メモリ割り当ての不良 | システムクロックのアップデート | 電源供給スケジュールのレポート | システム温度の超過 | 温度に起因するシステムのシャットダウン | 速度によって停止されたインターフェイスのダウン
ルータートラフィックのエラー
- データ断片の転送や、アドレス解決プロトコル (ARP) リクエストに関係するような通信エラーを特定します。
使用可能なレポート
過剰な断片 | 無効な断片長 | 断片の重複 | DHCPスヌーピングの拒否 | ARPの許可 | ARPの拒否