リアルタイム変更検出
概要
予期せぬコンフィグ変更が発生した場合、その事実をいち早く検知し、現在の設定を確認することが重要です。
Network Configuration Managerでは、対象装置のコンフィグが変更された際に、syslogメッセージをもとにリアルタイムで検知し、バックアップを実行します。
このセクションでは、変更検出機能について説明します。
リアルタイムの変更検出の仕組み
多くのネットワーク装置では、コンフィグが変更されるとsyslogメッセージを生成します。
Network Configuration Managerでは、対象装置からこのsyslogメッセージを受信することで、コンフィグ変更を検出します。
また、変更を検出した際には、自動でコンフィグバックアップが行われ、最新のコンフィグ世代を取得します。
変更管理と通知とあわせて使用することで、変更検出とユーザーへの通知を実現します。
- 本機能は、対象機器に適用されている装置テンプレートが、「Syslog変更検出の有効化/無効化」に対応している必要があります。
- ビルド12.5.334以降の場合:
[コンフィグ自動化]→[装置テンプレート]→[CLI Device Templates]より、ご利用の装置テンプレートをご確認ください。 - ビルド12.5.221以下の場合:
[設定]→[装置管理]→[装置テンプレート]より、ご利用の装置テンプレートをご確認ください。
リアルタイム変更検出のメリット
- 変更発生時にコンフィグを自動で取得
- 作業時間外などに発生した予期せぬ変更をリアルタイムで検出
- 変更検出の発生を通知で受信
リアルタイム変更検出の有効化、無効化
変更検出の有効化は、単一装置または複数装置に対して実行できます。
※事前に[NCM認証]が有効になっていることを確認してください。
コンフィグ変更検出の有効化
コンフィグ変更の検出を有効化するには、以下の手順で設定します。
- [インベントリ]→[装置]画面を表示
- 変更検出を有効化する装置名左のチェックボックスにチェック
- 画面右上の[・・・]より、[変更の有効化]をクリック
- [Syslog経由でのコンフィグ変更検出]が有効になっていることを確認
・Network Configuration Managerには、syslogサーバーがバンドルされており、デフォルトでは、そのIPが指定されています(※syslogの保管はしません)。
・syslogサーバーのIPアドレスを変更する場合、[設定]→[一般設定]→[サーバー設定]画面の[Syslogサーバー]で変更可能です(※変更後、サーバーの再起動が必要です)。 - syslogサーバーのIPアドレスを選択
- [Logging Level]を指定し、選択している装置に誤りがないことを確認
- [更新]ボタンをクリック
上記により、syslogメッセージをサーバーに転送するよう対象装置にコマンドを実行します。
※対象装置の装置テンプレートに実装されているコマンドが投入されます。
コンフィグ変更検出の無効化
コンフィグ変更の検出を無効化するには、以下の手順で設定します。
すでに有効になっているコンフィグ変更検出を無効化する場合は、次のようにします。
- 有効化手順の1~3までを実施
- [syslog経由でのコンフィグ変更検出]で[無効]を選択
- syslogサーバーのIPアドレス、Logging Level、対象装置に誤りがないことを確認し、[更新]をクリック
上記により、syslogメッセージをサーバーに転送する設定を削除するよう対象装置にコマンドを実行します。
変更検出ステータスを有効化として表示
変更検出機能を有効化した場合、[インベントリ]→[装置]画面で対象装置をクリック→装置スナップショット画面[概要]タブで、
[syslog変更検出]のステータスが有効(緑色のアイコン)になります。
このステータスは、[コンフィグ自動化]→[装置テンプレート]→[変更検出ステータスを有効化]で、装置テンプレートに適用されているパターンに一致するコンフィグが装置に設定されている場合に、有効(緑色のアイコン)として表示されます。
一致するコンフィグのパターンが存在しない場合には、任意のパターンを追加することができます。
※複数のパターンを追加した場合、すべてのパターンに一致するコンフィグが存在することを条件に、有効化のステータスが表示されます。
syslogメッセージ転送のIPアドレスの変更
Network Configuration Managerでは、以下の2つの方法でsyslogを受信、転送します。
- 対象機器からインストールサーバーに、直接syslogを転送する場合
[設定]→[一般設定]→[サーバー設定]で、サーバーIPを確認し、[インベントリ]画面より有効化
- サードパーティのsyslogサーバーにsyslogメッセージを転送する場合
[設定]→[一般]→[サードパーティsyslogサーバー]画面で、syslogサーバーのIPアドレスを指定し、保存後、[インベントリ]画面より、保存した「Forwarder IP」を指定し、有効化
サードパーティのsyslogサーバーにsyslogメッセージを転送する場合、
syslogを転送するのみでNetwork Configuration Manager上では、変更検出は行なわれません。
変更検出を行うには、インストールサーバーのIPアドレスをsyslog転送先として設定する必要があります。
コンフィグが変更された際の情報
コンフィグ変更が発生した場合、最新のコンフィグが自動でバックアップされます。
バックアップされた最新のコンフィグは、[インベントリ]→[装置]画面で対象機器をクリックし、[概要]タブの[設定保存]ウィジェットに一覧表示されます。
※ビルド12.5.221以下の場合、[コンフィグ詳細]タブの[すべてのコンフィグ変更]に変更日時と変更者の情報、変更が発生した装置が表示されます。
- Network Configuration Managerの機能(コンフィグレット、アップロード)で変更を行なった場合、「変更者」には、Network Configuration Manager上で操作を実行したユーザー名が記録されます。
- 外部(Teraterm等)から変更を加えた場合には、対象機器にログインするログインユーザー名が記録されます。
※ターミナル機能によるコンフィグ変更も、外部からの変更とみなされます。
スケジュールによる変更検出の自動化
コンフィグ変更は、スケジュールバックアップを設定することで、以前とのコンフィグ内容に差分がある場合には、最新世代としてコンフィグを取得します。
設定の詳細は、スケジュールタスクセクションを参照してください。
トラブルシュートのヒント
変更検出を有効化する際に、以下のメッセージが表示されることがあります。
Device(s) not supporting Configuration Detection through Syslog
<device1>, <device2>, <device 3>
装置はSyslogによるコンフィグレーション検知をサポートしていません。
このメッセージが表示される場合に考えられる原因は以下の通りです。
- 装置がsyslogメッセージを生成していないため、syslogでの変更検出が不可である可能性があります。
- 装置ではコンフィグの変更イベントのためのsyslogメッセージを生成できるのに対し、"Network Configuration Managerは この装置のための変更検知サポートを追加されていません"と表示される場合には、
適用されている装置テンプレートで、本機能が対応していないことが考えられます。その場合には、こちらを確認の上、保守サポートまでご連絡ください。 - Cisco IOS RouterやSwitchに対して、SNMPプロトコルが装置との認証に使用されている場合、"syslogベースの変更検出"のための自動コンフィグ投入はサポートされません。
その場合、Network Configuration Managerのsyslogサーバーにsyslogメッセージを転送するため、手動でルーター/スイッチのコンフィグを設定する必要があります。