シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA: TCP Syslog 利用時の注意点について

  

はじめに

ASAはTCPコネクションを用いて シスログメッセージを TCP Syslogサーバに送付する事が可能です。しかし、当TCPベースのSysloggingは、UDPベースのSysloggingの 純粋な代替とならない事に注意してください。

本ドキュメントは、以下ハードウェアとソフトウェアバージョンを元に確認・作成しております。

  ASA5506 with ASA software version 9.4(1), ASDM software version 7.4(1)



 

%ASA-3-201008: Disallowing New Connections

TCP Syslogを利用時、TCP Syslogサーバへの疎通性が失われた時や、ASA自身のロギングキューが溢れそうな時に、ASAは自身が正しいログを残せない状態であると判断し、以下のようなシスログメッセージと共に、FirewallやVPNの新規コネクションをブロックする状態に移行します。

May 19 2015 02:48:22: %ASA-3-414003: TCP Syslog Server inside:192.168.1.111/1470 not responding, New connections are denied based on logging permit-hostdown policy
May 19 2015 02:48:23: %ASA-3-201008: Disallowing new connections.
May 19 2015 02:48:23: %ASA-3-201008: Disallowing new connections.
May 19 2015 02:48:23: %ASA-3-201008: Disallowing new connections.


ブロックの原因となったTCP Syslogサーバへの疎通性が回復した時や、ASA自身のロギングキューがクリアされると、ブロック状態は解除されます。


以下はそのイメージ図となります。

TCP Syslogサーバへの疎通性がある時 


TCP Syslogサーバとの疎通性が失われた時 
 例:Syslogサーバの再起動や停止、通信経路のダウン、Syslogサーバの指定TCPポート(デフォルト1470)と疎通が取れない時など


当動作は、新規接続のロギングメッセージを送付できずに失われる事を避ける為の保護処理です。新たな新規コネクションを許可しない事で、結果的に 新規ロギングメッセージの生成を抑えます。

当新規コネクションのブロックを無効化したい場合は、以下コマンドの有効化、もしくは ASDMで「Allow user traffic to pass when TCP syslog server is down」のチェックボックスをオンにしてください。

ciscoasa(config)# logging permit-hostdown


 

新規コネクションのブロックを無効化した場合、TCP syslogサーバとの疎通性が取れない時は、以下のようなシスログメッセージと共に、新規コネクションは許可されます。

 May 20 2015 13:09:54: %ASA-3-414003: TCP Syslog Server inside:192.168.1.111/1470 not responding, New connections are permitted based on logging permit-hostdown policy



 

TCP Syslogと UDP Syslogの パフォーマンス影響

TCPベースのSysloggingは、細かな処理が必要となる為、負荷が高く、また マルチコアの分散処理に対応しておりません。その為、Syslogging負荷が高くなると想定される環境での、TCP Syslogの利用は控えてください。

UDPベースのSysloggingは、TCPベースに比べ負荷が低く、かつマルチコアの分散処理に対応します。その為、より多量のSyslogメッセージの生成・送付を低負荷で行えます。



 

参考情報

ASA Syslog 設定例
http://www.cisco.com/cisco/web/support/JP/100/1004/1004833_63884-config-asa-00.html

ASA Syslog Configuration Example (原本)
http://www.cisco.com/c/en/us/support/docs/security/pix-500-series-security-appliances/63884-config-asa-00.html

ASA トラブルシューティング ガイド: Syslog 宛先のログがない
http://www.cisco.com/cisco/web/support/JP/111/1116/1116050_asa-missing-logs-00.html

バージョン履歴
改訂番号
2/2
最終更新:
‎08-30-2017 04:24 AM
更新者:
 
ラベル(1)
添付
寄稿者:
コメント
New Member

セキュリティ機器のログ採取の重要性を改めて気づかされます。

今後の導入・検討に有効な情報を有難うございます。