キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

Syslog を活用して VPN セッションの記録を残す

IOS の crypto logging session と同機能のコマンドが ASA に無いですが、%ASA-6-602303 および %ASA-6-602304 という二つの Syslog メッセージを活用すれば、類似の機能を実現できます。VPN セッションの記録やモニタリングに役立ちます。

設定方法(ここでは Syslog サーバにログを残す):

logging enable

logging host inside <Syslog サーバの IP アドレス>

logging list vpnrecord message 602303-602304
logging trap vpnrecord

%ASA-6-602303: IPSEC: An direction tunnel_type SA (SPI=spi) between  local_IP and remote_IP (username) has been created.

%ASA-6-602304: IPSEC: An direction tunnel_type SA (SPI=spi) between  local_IP and remote_IP (username) has been deleted.

説明   新しい SA が作成・削除されました。


direction—SA の方向(インバウンド、もしくはアウトバウンド)


tunnel_type—SA の種類(リモートアクセス、もしくはサイト to サイト)


spi—IPSec SPI の値


local_IP—ASA 側の VPN トンネルに使われる IP アドレス


remote_IP—対向側の VPN トンネルに使われる IP アドレス


username—(リモートアクセス VPN の場合)該当 VPN トンネルと紐付けたユーザ名

http://www.cisco.com/en/US/docs/security/asa/asa82/system/message/logmsgs.html より)

出力例:

%ASA-3-602303: IPSEC: An outbound LAN-to-LAN SA (SPI= 0xAD284E3F) between 192.168.10.1 and 192.168.10.2 (user= 192.168.10.2) has been created.
%ASA-3-602303: IPSEC: An inbound LAN-to-LAN SA (SPI= 0x5D6286E6) between 192.168.10.1 and 192.168.10.2 (user= 192.168.10.2) has been created.



%ASA-3-602304: IPSEC: An inbound LAN-to-LAN SA (SPI= 0x5D6286E6) between 192.168.10.1 and 192.168.10.2 (user= 192.168.10.2) has been deleted.
%ASA-3-602304: IPSEC: An outbound LAN-to-LAN SA (SPI= 0xAD284E3F) between 192.168.10.1 and 192.168.10.2 (user= 192.168.10.2) has been deleted.

バージョン履歴
改訂番号
1/1
最終更新:
‎07-26-2010 11:52 PM
更新者: