シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA Firewall: サポートに必要なログと その取得方法

  

本ドキュメントでは、私達TACへの ASA Firewallに関するお問い合わせの際、事前の取得が推奨される、基本的なログと その取得方法について紹介します。

当ログを提供して頂く事で、素早い機器状況の把握と、問題解決の効率化に役立ちます。

なお、事象によっては、追加ログやキャプチャの収集をお願いする事が御座いますので、予め ご了承ください。

   

<CLIで ログ取得方法>

特権モードから以下ログを取得。

show inventory
show processes cpu-usage non-zero
show asp dropp
show tech
show log
show log asdm
show clock

show logで確認できる Local Bufferのロギングレベルは、Informational もしくは Debuggingレベルで 取得してください。 ロギングレベルの変更やカスタマイズ方法は 以下を参考にしてください。

ASA で syslog (debugging level) を取得する手順
https://supportforums.cisco.com/ja/document/45396

   
  

<ASDMで ログ取得方法>

上部メニュー Tools から、Command Line Interface... を選択。

     
以下画面がポップアップしますので、Multiple Lineをチェックし、コマンドライン(CLI)をペーストした後、Sendボタンをクリック。 Response欄に CLI実行結果が表示されますので、任意のメモ帳などにペーストし 保存してください。

   
  

<ログの取得方法と、ASAの負荷>

show techと show logは 特に出力量が多いため、TelnetやSSH、もしくは ASDMでのログ取得をお勧めいたします。 コンソールでのログ取得は、低速のため、時間がかかります。

通常、show tech 実行時に わずかにCPU負荷が上昇します。 参考情報となりますが、約2000行の設定がある 運用中のASA5555(version 9.4.2)で、show tech取得時のCPU負荷は 2~3%程度です。

   
        

<取得タイミング>

仮にトラブル発生中(もしくは再現可能な状況)の場合は、"発生前"、 "発生時(数回)" 、"発生後"の 各タイミングで、全ログを取得してください。

各タイミングでの、ログの差分比較を行うためです。

    
      

<事前のNTPサーバ同期のお願い>

ログの分析のうえで、その機器の時刻情報が正しいかは重要です。 例えば、複数のログの比較分析を行う際、各ログの時刻がずれていると、十分な分析ができません。

その為、事前に ASAなど通信機器は、特定のNTPサーバに同期し、時刻が常に正しい状態にしてください。

NTPサーバでの時刻同期が難しい環境の場合は、手動での時刻合わせ、及び 時刻がどの程度ずれているかの ご申告も お願いいたします。

    
      

<関連情報>

本ドキュメントで収集頂く情報は、基本的なトラブルシューティング用のログとなります。 事象別の より詳細なログや、トラブルシューティング情報は、以下URLを参考にしてください。

ファイアウォールのトラブルシューティング関連リンク
https://supportforums.cisco.com/ja/document/12725841

バージョン履歴
改訂番号
3/3
最終更新:
‎10-09-2017 01:24 AM
更新者:
 
ラベル(1)
寄稿者:
タグ(1)