コンフィグレーションガイド Vol.2
アクセスリストロギングとは,フィルタで廃棄したパケットの情報とその統計情報を運用ログとして収集し,運用端末に出力したり,syslogサーバに通知したりする機能です。これによって,不正アクセスや不正パケットを監視したり,フィルタの設定誤りによる意図しないパケットの廃棄を確認したりできます。
アクセスリストロギングが通知するログをアクセスリストログと呼びます。また,フィルタで廃棄したパケットの情報とその統計情報をアクセスリストログ情報と呼びます。アクセスリストログでは,パケットの内容ごとに,廃棄したパケット数がカウントされます。
アクセスリストロギングの動作概要を次の図に示します。
図2-1 アクセスリストロギングの動作概要
出力するアクセスリストログの例を次の図に示します。
図2-2 出力するアクセスリストログの例
> ACL 12/14 12:00:00 denied:IN:0012.e25a.9839(vlan10 Ethernet1/1) -> 0012.e25a.7840, 2 packets ACL 12/14 12:00:00 denied:IN:0012.e25a.983a(vlan10 Ethernet1/1) -> 0012.e25a.7840, 1 packet ACL 12/14 12:00:00 denied:IN:tcp 192.168.1.3(1024, vlan10 Ethernet1/1) -> 192.168.2.1(22), 5 packets ACL 12/14 12:00:00 denied:OUT:tcp 2001:db8::1(1024, vlan10 Ethernet1/1) -> 2001:db8::2(22, vlan11 Ethernet3/1), 2 packets >アクセスリストログを通知する契機は次のとおりです。
- フィルタで最初のパケットを廃棄したとき
- パケットを廃棄してから一定時間が経過したとき
- 廃棄したパケット数が一定数に達したとき
フィルタでパケットを廃棄してからアクセスリストログをsyslogサーバへ通知するまでの流れを次の図に示します。
図2-3 アクセスリストログ通知の流れ
- フィルタで最初のパケットを廃棄したときに通知します。
- 同じ内容のパケットを一定数廃棄したときに通知します。
この機能をスレッシュホールド機能と呼びます。
- 最初のパケットを廃棄してから,一定時間が経過したときに通知します。
この機能をログ出力インターバル機能と呼びます。
なお,一定時間が経過すると,通知したアクセスリストログ情報はクリアされます。
All Rights Reserved, Copyright(C), 2006, 2018, ALAXALA Networks, Corp.