コンフィグレーションガイド Vol.2


11.1.1 概要

アクセスリストロギングは,フィルタで検出したパケットの情報とその統計情報を収集して,システムメッセージで運用端末に表示したり,syslogサーバに送信したりする機能です。これによって,不正アクセスや不正パケットを監視したり,フィルタの設定誤りによる意図しないパケットの廃棄を確認したりできます。

アクセスリストロギングを動作に指定できるアクセスリストを次の表に示します。

表11‒1 アクセスリストロギングの対象アクセスリスト

アクセスリスト種別

フィルタアクション

通過

廃棄

MACアクセスリスト

IPv4アクセスリスト

IPv6アクセスリスト

Advanceアクセスリスト

(凡例) ○:対象 −:対象外

アクセスリストロギングが出力するシステムメッセージをアクセスリストログと呼びます。また,アクセスリストロギングが収集するパケットの情報とその統計情報をアクセスリストログ統計情報と呼びます。アクセスリストロギングでは,パケット情報の内容ごとに,検出したパケット数をカウントします。

アクセスリストロギングの動作概要を次の図に示します。

図11‒1 アクセスリストロギングの動作概要

[図データ]

出力するアクセスリストログの例を次の図に示します。

図11‒2 出力するアクセスリストログの例
>
20XX/01/01 12:00:00 UTC 1-1(A) S6 ACLLOG 2d000003 00 000000000001 denied:0012.e25a.9839(4095)(Ethernet1/1) -> 0012.e25a.7840, 2 packets
20XX/01/01 12:00:00 UTC 1-1(A) S6 ACLLOG 2d000004 00 000000000001 denied:(4095)tcp 192.168.1.3(1)(Ethernet1/1) -> 192.168.2.1(12), 1 packet
20XX/01/01 12:00:00 UTC 1-1(A) S6 ACLLOG 2d000005 00 000000000001 denied:(4095)255 fe80::39fe:9a30:53dd:1234(1)(Ethernet1/1) -> fe80::39fe:9a30:53dd:5678(12), 1 packet
>