5. 遠隔設定と監視

本章では、UNIVERGE IX-R/IX-V シリーズの遠隔設定と監視方法について説明します。

5.1. Telnetを利用した遠隔設定

UNIVERGE IX-R/IX-V シリーズでは、Telnet機能による遠隔からの設定ができます。

注意

UNIVERGE IX-V シリーズでは、Telnet機能は利用できません。

詳細なログデータをTelnetクライアントに出力することで、ネットワークトラブル等の解析ができるようになります。

インタフェースコンフィグモードにサーバーの起動コマンドを設定することで特定のインタフェースでのみ機能を有効にすることができます。意図しないインタフェースへのTelnetを防止することが可能です。

また、アクセスリストにより不特定アドレスからのTelnetアクセスを防止することが可能です。

Telnetサーバーの設定および確認は次のコマンドを使用します。

項目

説明

telnet-server ip enable

IPv4用Telnetサーバーの起動

telnet-server ip access-list

IPv4用Telnetサーバーへのアクセス制限

telnet-server ip port

IPv4用Telnetサーバーの受信ポートを変更

telnet-server ipv6 enable

IPv6用Telnetサーバーの起動

telnet-server ipv6 access-list

IPv6用Telnetサーバーへのアクセス制限

telnet-server ipv6 port

IPv6用Telnetサーバーの受信ポートを変更

次に、192.168.10.10のTelnetクライアントのみ、Telnetサーバーへのアクセスを許可する場合の例を示します。

リスト 5.1.1 設定例
ip access-list telnet4 permit ip src 192.168.10.10/32 dest any
telnet-server ip access-list telnet4
!
interface GigaEthernet1.0
  ip address 192.168.10.254/24
  telnet-server ip enable
  no shutdown

  • Telnet送信パケットサイズ

    showコマンドなどでデータを表示させると、約500バイトに到達するか、あるいは約1/60秒間の時間が経た際にデータがまとめて送信されます。

5.2. SSHを利用した遠隔設定

5.2.1. SSHサーバーの設定

UNIVERGE IX-R/IX-V シリーズでは、SSHサーバー機能に対応しています。SSHでは通信が暗号化されるため、より安全に遠隔からの操作ができるようになります。

インタフェースコンフィグモードにサーバーの起動コマンドを設定することで特定のインタフェースでのみ機能を有効にすることができます。意図しないインタフェースへのSSHを防止することが可能です。

また、アクセスリストにより不特定アドレスからのSSHアクセスを防止することが可能です。

SSHサーバーの設定は次のコマンドを使用します。

項目

説明

ssh-server ip enable

IPv4用SSHサーバーの起動

ssh-server ip access-list

IPv4用SSHサーバーへのアクセス制限

ssh-server ip port

IPv4用SSHサーバーの受信ポートを変更

ssh-server ipv6 enable

IPv6用SSHサーバーの起動

ssh-server ipv6 access-list

IPv6用SSHサーバーへのアクセス制限

ssh-server ipv6 port

IPv6用SSHサーバーの受信ポートを変更

GigaEthernet1.0経由の192.168.10.10のSSHクライアントのみ、SSHサーバーへのアクセスを許可する場合の例を示します。

リスト 5.2.1 設定例
ip access-list ssh4 permit ip src 192.168.10.10/32 dest any
ssh-server ip access-list ssh4
!
interface GigaEthernet1.0
  ip address 192.168.10.254/24
  ssh-server ip enable
  no shutdown

5.2.2. 秘密鍵の操作

SSHサーバー機能ではサーバー認証には公開鍵認証を使用します。このため、秘密鍵が必要となります。UNIVERGE IX-R/IX-V シリーズは初回起動時に秘密鍵を生成します。

バージョンアップ時に新たなバージョンのUNIVERGE IX-R/IX-V シリーズを起動した場合は秘密鍵も新たに生成されます。

秘密鍵の操作および確認には以下のコマンドを使用します。

項目

説明

ssh-server host-key regenerate

秘密鍵の更新

show ssh-server host-key fingerprint

秘密鍵のfingerprintの表示

SSHクライアント側において表示されるfingerprintと、秘密鍵のfingerprint表示の内容が一致していることを確認することで、正しくUNIVERGE IX-R/IX-V シリーズに接続していることを判断できます。

5.2.3. 仕様

5.2.3.1. SSHサーバー仕様

項目

説明

対応バージョン

SSHv2

鍵交換アルゴリズム
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256

暗号アルゴリズム
aes256-ctr
aes192-ctr
aes128-ctr

MACアルゴリズム
hmac-sha2-512
hmac-sha2-256

認証方式
サーバー認証:RSA
クライアント認証:パスワード認証

5.2.3.2. 秘密鍵仕様

項目

説明

鍵長

RSA(2048bit)

5.3. SNMPを利用した監視

UNIVERGE IX-R/IX-V シリーズでは、管理オブジェクトを実装しています。SNMP(Simple Network Management Protocol)を使用することにより、UNIVERGE IX-R/IX-V シリーズの動作状態を遠隔監視することができます。UNIVERGE IX-R/IX-V シリーズの機種ごとのsysObjectIDについては設定パラメータの一覧を参照してください。

IPv6での管理オブジェクトへのアクセスにも対応しています。

5.3.1. Trapと管理オブジェクト

UNIVERGE IX-R/IX-V シリーズで監視可能なTrapと管理オブジェクトを下記に示します。

5.3.1.1. Trap

注意

UNIVERGE IX-V シリーズでは、一部のenterpriseSpecificのTrapは発行できません。

  • generic-trap

    Trap-ID

    内容

    備考

    0

    cold-start

    RFC1215, RFC3418

    2

    link-down

    RFC1215, RFC2863

    3

    link-up

    RFC1215, RFC2863

    4

    authentication-failure

    RFC1215, RFC3418

  • enterpriseSpecific

    Trap-ID

    内容

    備考

    zp10

    3

    zp10TemperatureFault

    温度アラーム発生

    zp10

    4

    zp10TemperatureRestoration

    温度アラーム復旧

    zp10

    5

    zp10VoltageFault

    電圧異常発生

    zp10

    6

    zp10VoltageRestoration

    電圧異常復旧

    zp10

    7

    zp10FanFault

    ファン異常発生

    zp10

    8

    zp10FanRestoration

    ファン異常復旧

    zp10

    13

    zp10LoginSession

    ログイン

    zp10

    14

    zp10LoginFailure

    ログイン失敗

    zp10

    15

    zp10ConfigMode

    モード変更

    zp10

    16

    zp10ConfigModified

    コンフィグ変更

    zp10

    17

    zp10ExtIfLinkDown

    SW-HUBポートダウン

    zp10

    18

    zp10ExtIfLinkUp

    SW-HUBポートアップ

    zp10PostMIBNotificationPrefix

    1

    zp10PostFailMessage

    起動時自己診断NG

注釈

Trapの詳細については付録を参照してください。

5.3.1.2. 管理オブジェクト

注意

UNIVERGE IX-V シリーズでは、一部のプライベート管理オブジェクトは取得できません。

  • 標準管理オブジェクト

    項目

    内容

    備考

    SNMPv2-MIB
    sysDescr
    sysObjectID
    sysUpTime
    sysContact
    sysName
    sysLocation
    sysServices

    RFC3418

    IF-MIB
    interface
    ifXTable

    RFC2863

    IP-MIB
    ipForwarding
    ipDefaultTTL
    ipReasmTimeout
    ipv6IpForwarding
    ipv6IpDefaultHopLimit
    ipAddressTable

    • ipAddressIfIndex

    • ipAddressType

    • ipAddressOrigin

    • ipAddressStatus

    • ipAddressRowStatus

    • ipAddressStorageType

    RFC4293

    IP-FORWARD-MIB
    inetCidrRouteNumber(IPv4のみ)
    inetCidrRouteTable(IPv4のみ)

    RFC4292

  • プライベート管理オブジェクト

    項目

    内容

    システムMIB

    zp10System

    ログイン状態MIB

    zp10LoginMIB

    コンフィグ状態MIB

    zp10ConfigEventMIB

    SW-HUB MIB

    zp10ExtIfMIB

    起動時ハードウェア自己診断MIB

    zp10PostMIB

    IPv4キャッシュMIB

    zp10IPv4MIB

    IPv6キャッシュMIB

    zp10IPv6MIB

    NAPT MIB

    zp10NAPTMIB

    トンネルMIB

    zp10TunnelMIB

    IPsec MIB

    zp10IPsecMIB

注釈

プライベート管理オブジェクトの詳細については付録を参照してください。

5.3.1.3. sysObjectID

装置毎にsysObjectIDが設定されています。

値は以下のとおりです。

装置名(IX-Rシリーズ)

sysObjectID

IX-R2530

1.3.6.1.4.1.119.1.293.2.1

装置名(IX-Vシリーズ)

sysObjectID

IX-V100

1.3.6.1.4.1.119.1.293.1.1

5.3.1.4. IF-MIB

5.3.1.4.1. ifIndex

UNIVERGE IX-R/IX-V シリーズでは、ifIndexはインタフェースごとに決まった値が設定されます。インタフェースのifIndexはshow interfacesコマンドで確認できます。

設定されるifIndexの規則は以下のとおりです。

インタフェース

ifIndex算出式
物理インタフェース
GigaEthernet[port].0

ifIndex = [port] + 100
サブインタフェース
GigaEthernet[port].[sub-interface]
ifIndex = [port] * 10,000
+ [sub-interface]
+ 1,000,000
ポートVLANグループ
GigaEthernet[port]:[group].[sub-interface]
ifIndex = [port] * 1,000,000
+ [group] * 10,000
+ [sub-interface]
+ 100,000,000
BVIインタフェース
BVI[port]

ifIndex = [port] + 7,000,000
トンネルインタフェース
Tunnel[port].0

ifIndex = [port] + 8,000,000
Loopbackインタフェース
Loopback[port].0

ifIndex = [port] + 9,100,000
Nullインタフェース
Null[port].0

ifIndex = [port] + 9,200,000

設定されるifIndexの例は以下のとおりです。ポート番号やサブインタフェース番号、ポートVLANグループ番号が、ifIndexの特定の桁に対応しています。

../_images/05_remote1.svg

図 5.3.1 設定されるifIndexの例

5.3.1.4.2. ifDescr

ifDescrにはインタフェース名が入ります。

5.3.1.4.3. ifType

各インタフェースのifTypeは以下のようになっています。

インタフェース

ifType

GigaEthernet

ethernetCsmacd(6)

BVI

propVirtual(53)

Tunnel

Tunnel(131)

Loopback

softwareLoopback(24)

Null

softwareLoopback(24)
5.3.1.4.4. ifAdminStatusとifOperStatus

インタフェース設定および状態と、ifAdminStatusおよびifOperStatusの関係を以下に示します。

インタフェース設定

インタフェース状態

ifAdminStatus

ifOperStatus

shutdown

リンクダウン

down(2)

down(2)

shutdown

正常状態

down(2)

down(2)

no shutdown

リンクダウン

up(1)

down(2)

no shutdown

正常状態

up(1)

up(1)
5.3.1.4.5. ポートVLAN

VLANグループの設定を行ったインタフェースのMIBの値は以下のようになります。MIBはインタフェース単位となります。物理ポート単位のMIBはプライベートMIBでサポートしています。

Object

ifSpeed

同一VLANグループ内において各ポートの設定が異なる場合、最も速いインタフェーススピード

ifAdminStatus

インタフェース単位(no shutdownでup)

ifOperStatus

同一VLANグループ内の全ポートDown時にDown

5.3.2. SNMPバージョン

UNIVERGE IX-R/IX-V シリーズでは、SNMPv1, SNMPv2c, SNMPv3に対応しています。それぞれ、以下の機能に対応しています。

機能

SNMPv1

SNMPv2

SNMPv3

Get

Getnext

Getbulk

×

Trap

×

×

SNMPv2-Trap

×

Get/Getnext/Getbulkについては、SNMPマネージャからの要求がSNMPv1であればSNMPv1で、SNMPv2であればSNMPv2、SNMPv3であればSNMPv3で応答を返します。

SNMPマネージャからSNMPv1を使用し、SNMPv1ではサポートしていないMIBをアクセスしようとした場合は、そのオブジェクトがサポートされていない場合と同様な動作となります。Getの場合は、“No Such Name(2)”を返し、Getnextの場合は、次のアクセス可能なオブジェクトを返します。

SNMPv2およびSNMPv3で、獲得できるMIBのタイプは以下のとおりです。

SYNTAX

使用している主なオブジェクト

Counter64

ifXTableのifHCInOctetsなど

バージョンによって、対応しているエラーコードが異なります。SNMPv1, SNMPv2c, SNMPv3でサポートしているエラー種別は以下のとおりです。

  • SNMPv1のエラーコード

    エラーステータス

    エラーコード

    内容

    no Error

    0

    エラーがありません

    too Big

    1

    SNMPメッセージに応答が入りきりません

    no such Name

    2

    指定したオブジェクトが存在しません

    gen Err

    5

    受信したパケットにて異常を検出しました

  • SNMPv2cのエラーコード

    エラーステータス

    エラーコード

    内容

    no Error

    0

    エラーがありません

    too Big

    1

    SNMPメッセージに応答が入りきりません

    no such Name

    2

    指定したオブジェクトが存在しません

    gen Err

    5

    受信したパケットにて異常を検出しました

    no Access

    6

    アクセスできないオブジェクトです。

    Not Writable

    17

    セットできないオブジェクトです。

  • SNMPv3のエラーコード

    エラーステータス

    エラーコード

    内容

    no Error

    0

    エラーがありません

    too Big

    1

    SNMPメッセージに応答が入りきりません

    no such Name

    2

    指定したオブジェクトが存在しません

    gen Err

    5

    受信したパケットにて異常を検出しました

    no Access

    6

    アクセスできないオブジェクトです。

    authorization Error

    16

    認証に失敗しました。

    Not Writable

    17

    セットできないオブジェクトです。

Trapは設定したバージョンで送信します。ホストとコミュニティの組み合わせ毎にSNMPv1で送信するか、SNMPv2cで送信するかを指定することができます。

5.3.3. SNMPの設定

SNMPを使用した監視を行うためには、装置側にコミュニティ名とトラップ送信先の設定を事前に行うことが必要です。以下にその設定概要を示します。

SNMPを利用した監視を行わない場合は、設定は必要ありません。

5.3.3.1. SNMPの有効化

SNMPを使用した監視を行うために、SNMP機能を有効にする必要があります。

SNMPデータの転送(SNMPマネージャからのアクセス、トラップの送信)にIPv4/IPv6ともに使用可能です。有効化はIPv4/IPv6で別々に行うことができます。

SNMP設定を有効にすることで、SNMPv1, SNMPv2c, SNMPv3すべてが有効となります。いずれか1つのみ有効にすることはできません。

設定は以下のとおりです。

項目

説明

snmp-agent ip enable

SNMP(IPv4)の有効化

snmp-agent ipv6 enable

SNMP(IPv6)の有効化

5.3.3.2. コミュニティ名の設定

コミュニティ名の設定を行います。

下記の手順にしたがって、設定を行ってください。

  1. アクセスを許可するSNMPマネージャを制限する

アクセスリストを使用して、アクセスを許可するSNMPマネージャを登録してください。制限する必要がなければ設定は不要です。アクセスリストはsrcアドレスのみ設定し、destはanyとしてください。

リスト 5.3.1 設定例
ip access-list <アクセスリスト名> permit ip src <SNMPマネージャアドレス> dest any
ipv6 access-list <アクセスリスト名> permit ip src <SNMPマネージャアドレス> dest any

  1. アクセスリストを指定する

アクセスリストによる制限を行う場合は、ここで登録します。

項目

説明

snmp-agent ip access-list

アクセスを許可するSNMPマネージャの設定(IPv4)

snmp-agent ipv6 access-list

アクセスを許可するSNMPマネージャの設定(IPv6)

  1. アクセスを許可するビュー名を制限する

特定のオブジェクトIDのみアクセスを許可したい場合に設定してください。通常設定する必要はありません。設定しない場合はすべてのオブジェクトのアクセスを許可します。

項目

説明

snmp-agent view

アクセス制限するビュー(ObjectID)の設定

  1. コミュニティ名を指定する

ビューによる制限を行う場合は、ここで登録します。

項目

説明

snmp-agent ip community

コミュニティの設定(IPv4)

snmp-agent ipv6 community

コミュニティの設定(IPv6)

コミュニティ名をtestとし、GigaEthernet2.0経由の10.0.0.1/32からifTable(1.3.6.1.2.1.2.2)のみアクセス可能とする場合の例を示します。

リスト 5.3.2 設定例
ip access-list snmp-manager permit ip src 10.0.0.1/32 dest any
!
snmp-agent view test-view 1.3.6.1.2.1.2.2
snmp-agent ip access-list snmp-manager
snmp-agent ip community test view test-view
!
interface GigaEthernet2.0
  ip address 10.0.0.254/24
  snmp-agent ip enable
  no shutdown

5.3.3.3. トラップ送信先の設定

トラップの送信先SNMPマネージャとして、送信先アドレスとコミュニティ名、送信SNMPバージョンを設定します。

項目

説明

snmp-agent ip trap

送信するトラップの選択(IPv4)

snmp-agent ip host

送信先SNMPマネージャの設定(IPv4)

snmp-agent ip trap-source

送信元インタフェースの設定(IPv4)

snmp-agent ipv6 trap

送信するトラップの選択(IPv6)

snmp-agent ipv6 host

送信先SNMPマネージャの設定(IPv6)

snmp-agent ipv6 trap-source

送信元インタフェースの設定(IPv6)

トラップの送信元アドレスの設定で、エージェントアドレス(Trap PDU Source Address Field)も任意に設定することができます。

IPv6を使用する場合、エージェントアドレスはIPv4アドレス形式となっています。エージェントアドレスを指定しない場合は、ルータID選択と同様の論理でエージェントアドレスが設定されます。IPv4アドレスが1つも設定されていない場合は、0.0.0.0が設定されます。

SNMPv2cで送信する場合は、エージェントアドレスは送信されません。

インタフェース単位にトラップの送信設定が可能です。これは、該当インタフェースのトラップの送信設定となります。トラップの送信はルーティング情報にしたがって出力されますので、該当インタフェースからトラップの送信設定を行う訳ではありません。

認証エラーのトラップを出力せず、GigaEthernet1.0のlink-up/downのトラップを送信しない設定の例を示します。

リスト 5.3.3 設定例
no snmp-agent ip trap com_pub snmp auth-fail
!
interface GigaEthernet1.0
  no snmp-agent ip trap com_pub link-status

5.3.3.4. トラップ送信タイマー設定

トラップの送信タイマーを変更することができます。

IPv4/IPv6共通となります。

項目

説明

snmp-agent trap-timeout

トラップ送信タイマー設定

5.3.3.5. SNMPメッセージサイズ設定

SNMPメッセージサイズを変更することができます。

項目

説明

snmp-agent message-size

SNMPメッセージサイズ設定

5.3.3.6. 設定例

リスト 5.3.4 設定例
snmp-agent ip community com_pub
snmp-agent ip host 192.168.1.1 com_pub
snmp-agent contact NEC
snmp-agent location Floor1
!
interface GigaEthernet2.0
  ip address 192.168.1.254/24
  snmp-agent ip enable
  no shutdown

5.3.3.7. グループの設定(SNMPv3)

ユーザーごとのMIBの参照範囲を設定可能にするため、MIBビューとユーザーをつなぐためのグループを作成することができます。グループは最大253件作成できます。

項目

説明

snmpv3 group

SNMPv3セキュリティグループの設定

グループには以下のパラメータを設定することができます。

  • 認証レベル

    グループに所属するユーザーが必要とするセキュリティレベルをnoauth/auth/privから設定できます。設定したレベルに満たないユーザーが所属する場合、そのユーザーはすべてのMIBオブジェクトに対してアクセスすることができず、すべてのMIBオブジェクトに関するトラップも発送されません。

    セキュリティレベルは以下のような包含関係で設定されることになります。たとえば、noauthを設定した場合、auth/privレベルのユーザーも条件を満たします。privを設定した場合、noauth/authレベルのユーザーは条件を満たしません。

    ../_images/05_remote2.svg

    図 5.3.2 包含関係

  • Readビュー

    所属ユーザーは設定されたMIBビューの範囲内でMIBを読み出すことができます。

    存在しないビュー名を設定することはできません。

    設定を省略した場合、ユーザーはすべてのMIBを読み出し可能となります。

  • Notifyビュー

    所属ユーザーにトラップ(PDUタイプがSNMPv2-TrapのSNMPパケット)を送信する際に、設定されたMIBビューの範囲内でのみMIBの通知を送信することができます。

    存在しないビュー名を設定することはできません。

    設定を省略した場合、ユーザーへすべてのMIBについてトラップにより通知可能となります。

  • アクセスリスト

    ユーザーの認証を許可/拒否するIPアドレスのアクセスリストを設定することができます。

    ユーザー名/パスワードが正しくても、アクセスリストで許可されないIPアドレスの場合は認証を拒否します。

    設定を省略した場合、IPアドレスの確認は行われません。

5.3.3.8. ユーザーの設定(SNMPv3)

USMに必要となるユーザー名および認証/暗号化アルゴリズムを設定することができます。

ユーザーのセキュリティレベルはユーザーの認証/暗号化アルゴリズムの設定に有無に応じて決定します。

“snmpv3 user”コマンドでは所属するグループの設定が必須となりますが、作成されていないグループ名に設定することはできないため「グループの設定」で先にグループの作成をしてください。

項目

説明

snmpv3 user

SNMPv3ユーザーの設定

認証の設定

暗号化の設定

セキュリティレベル

設定しない

設定しない

noauth

設定する

設定しない

auth

設定する

設定する

priv

認証/暗号化では以下のアルゴリズムをサポートしています。

項目

説明

認証アルゴリズム

  • MD5

  • SHA-1

  • SHA-224

  • SHA-256

  • SHA-384

  • SHA-512

暗号化アルゴリズム

  • DES

  • AES-128

noauth/authレベルのユーザーはデフォルトでは設定が正しい場合でも無条件で認証に失敗します。

noauth/authレベルのユーザーでの認証を許可する場合、以下の設定が必要です。

項目

説明

snmpv3 no-password enable

SNMPv3パスワード省略による認証の許可の設定

5.3.3.9. エンジンIDの設定(SNMPv3)

SNMPエンジンの識別、および暗号化の共通鍵生成に使われるエンジンIDを設定することができます。このエンジンIDはエンティティとは1対1の関係にあるため、1つのみ設定することができます。

マネージャ側がエンジンIDによりエージェントを識別する必要がない場合、エンジンIDはユーザーが任意の値を設定する必要はありません。

コマンド未設定の場合、エンジンIDは装置のGE0のMACアドレスをベースとした固定のエンジンIDが装置に設定されます。

現在のエンジンIDは”show snmp-agent statistics”コマンドで確認することができます。

項目

説明

snmpv3 engine-id

SNMPv3エンジンIDの設定

エンジンIDのフォーマットは以下になります。

項目

コマンド未設定

コマンド設定済み

1~4オクテット

80000077

80000077

5オクテット

03

04

6オクテット以降

GE0のMACアドレス

設定値(ASCIIコード)

5.3.3.10. トラップの設定(SNMPv3)

トラップ送信先のアドレス設定および送信するトラップの設定ができます。

  • トラップ送信先アドレスの設定

    ユーザーごとにトラップ送信先のIPアドレスを設定することができます。

    項目

    説明

    snmpv3 ip host

    SNMPv3トラップ送信先のIPアドレスの設定

    snmpv3 ipv6 host

    SNMPv3 IPv6用トラップ送信先のIPアドレスの設定

    存在しないユーザー名を指定することはできません。「ユーザーの設定」で先にユーザー名の作成をしてください。

  • 送信するトラップの選択

    ユーザー毎に送信可能なトラップの種別を設定することができます。

    項目

    説明

    snmpv3 trap

    SNMPv3トラップの設定

    存在しないユーザー名を指定することはできません。「ユーザーの設定」で先にユーザー名の作成をしてください。

5.3.3.11. 設定例(SNMPv3)

リスト 5.3.5 設定例
snmpv3 group admin_group priv
snmpv3 user admin_user admin_group auth md5 plain auth_pass priv des plain priv_pass
snmpv3 ip host 192.168.1.1 admin_user
!
interface GigaEthernet2.0
  ip address 192.168.1.254/24
  snmp-agent ip enable
  no shutdown

5.4. syslogによるイベントログ監視

UNIVERGE IX-R/IX-V シリーズでは各機能で発生した事象をイベントログとして監視することが出来ます。

ネットワークトラブルの解析に重要な情報を取得することができますので、なるべく設定するようにしてください。

5.4.1. syslog機能

syslog機能によって本装置の各機能ごとに指定した取得レベルのイベントログを採取し確認することができます。イベントログ情報は内部バッファに保存され、showコマンドにより保存された情報が表示されます。

5.4.1.1. syslogの設定

イベントログの採取と保存は次のsyslogコマンドで設定します。

項目

説明

syslog enable <バッファサイズ>

イベントログの採取と保存の有効化、および保存バッファサイズの設定

syslog function <機能名> <レベル>

イベントログ採取対象とする機能と取得レベルの設定
リスト 5.4.1 設定例
syslog enable 1000000
syslog function all warn
syslog function ikev2 info

バッファサイズの指定単位はバイト数になります。1行あたり80バイト程度が目安となります。

指定可能な機能の種類やレベルの設定については後述の項を参照してください。設定によっては膨大な数のログが取得されることがあり、性能が激しく劣化する可能性があります。

機能名allを指定した場合はすべての機能が対象となります。全機能指定allと異なるレベルで各機能個別のsyslog functionまたはno syslog functionが設定された場合、コンフィグ上にはallの設定と個別設定したコマンドの両方が表示されます。この場合のイベントログの出力について、設定された個別機能以外はallの設定で動作します。

リスト 5.4.2 設定例:IPv4機能のみdebugレベルで出力、それ以外すべてwarnレベルで出力
syslog function all warn
syslog function ipv4 debug
リスト 5.4.3 設定例:IPv4機能のみsyslog出力なし、それ以外すべてwarnレベルで出力
syslog function all warn
no syslog function ipv4

5.4.1.2. 指定可能な機能と取得レベル

イベントログ収集対象として指定可能な機能は以下のようになります。

機能名

機能名

補足

all

全機能

個別指定されない機能についてのデフォルト設定となります。

acl

アクセスリスト

arp

ARP

bgp4

BGP

ddns

ダイナミックDNS

dhcp6

IPv6 DHCP

dhcp4c

IPv4 DHCPクライアント

dhcp4s

IPv4 DHCPサーバー

dns

DNS

env

Environment Monitor

電圧、温度など

ether

イーサネット

http-sv

HTTP Server

icmp4

IPv4 ICMP

icmp6

IPv6 ICMP

ikev1

IKEv1

ikev2

IKEv2

ip-flt

IPトラフィックフィルタ

ipsec

IPsec

ipv4

IPv4

ipv6

IPv6

irb

ブリッジ

l2tpv2

L2TPv2

macacl

MACアクセスリスト

mac-flt

MACフィルタ

map-e

MAP-E

nat

NAT/NAPT

netmon

ネットワークモニタ

nm

NetMeister

ntp

SNTP

pbr

ポリシールーティング

pdns

プロキシDNS

ppp

PPP

pppoe

PPPoE

qos

QoS

rtmap

ルートマップ

scp

SCPクライアント

snmp

SNMP

ssh

SSH

svc-edge

マルチベンダ管理

system

システム

個別機能に含まれないイベントログに対する設定となります。

tcp

TCP

telnet

Telnetサーバー

udp

UDP

usb

USB

url-list

URLリスト

v6pv

IPv6国内標準プロビジョニング

vrrp

VRRP

イベントログ収集対象として指定可能なレベルは以下のようになります。

レベル

意味

error

エラー状態レベル

warn

警告状態レベル

notice

注意レベル

info

情報レベル

debug

デバッグレベル

レベル指定は以下のような包含関係で設定されることになります。たとえば、warnレベルを設定すると、errorレベルのイベントログも同時に収集対象となります。

../_images/05_remote3.svg

図 5.4.1 包含関係

5.4.1.3. 注意事項

debugレベルはパケットトレースを行うものが多いので、運用時には表示量が多く性能が激しく劣化することがありますので注意してください。

5.4.2. イベントログの出力

保存されたイベントログ情報は、以下の方法で出力できます。

  • コマンドによる出力

  • syslogによる出力

5.4.2.1. コマンドによる出力

以下のコマンドで、イベントログ情報をターミナル画面やUSBメモリに出力できます。

項目

説明

show syslog

取得イベントログを表示

copy syslog <USBメモリ>

取得イベントログをUSBメモリのファイルに書き込み

5.4.2.2. syslogによる出力

UNIVERGE IX-R/IX-V シリーズでは、イベントログ情報をsyslogサーバーへ転送することで、syslogサーバー側にイベントログを保存することができます。

これにより、syslogサーバー側でのデータを基に、ネットワークトラブル等の解析ができるようになります。ただし、あらかじめsyslogの設定を実施しておく必要があります。

syslogは、次のコマンドにより設定することができます。送信先サーバーを複数設定することができます。

項目

説明

syslog facility

送信するファシリティ設定

syslog ip host

送信先IPv4 syslogサーバーの設定

syslog ipv6 host

送信先IPv6 syslogサーバーの設定

syslog ip source

送信元IPv4アドレスの設定

syslog ipv6 source

送信元IPv6アドレスの設定

syslogのメッセージ部分に内容が出力されます。

ファシリティは、UNIVERGE IX-R/IX-V シリーズからsyslogパケットを送信する際に付加するラベルのようなもので、syslogサーバー側での判断のために使用します。デフォルトでは、local0(16)が割り当てられています。

ファシリティは、すべてのイベントに対して、1つのファシリティを選択します。設定できるファシリティは以下です。

イベント

ファシリティ

local0

16

local1

17

local2

18

local3

19

local4

20

local5

21

local6

22

local7

23

セビリティ(重要度)については、ロギングの重要度と以下のように対応します。

セビリティ

error

3

warn

4

notice

5

info

6

debug

7

注釈

  • syslogは、イベント発生時に送信されます。syslog送信を停止している状態でのイベントログ情報最大保持件数は、0件です。

  • infoやdebugを利用する場合は、syslogパケット送信ログでsyslogが生成されるなどによる大量パケット送信に注意してください。