10.1.1　概要

アクセスリストロギングは，フィルタで検出したパケットの情報とその統計情報を収集して，システムメッセージで運用端末に表示したり，syslogサーバに送信したりする機能です。これによって，不正アクセスや不正パケットを監視したり，フィルタの設定誤りによる意図しないパケットの廃棄を確認したりできます。

アクセスリストロギングを動作に指定できるアクセスリストを次の表に示します。

表10‒1　アクセスリストロギングの対象アクセスリスト
アクセスリスト種別	フィルタアクション
アクセスリスト種別	通過	廃棄
MACアクセスリスト	−	○
IPv4アクセスリスト	−	○
IPv6アクセスリスト	−	○
Advanceアクセスリスト	−	○

（凡例）　○：対象　−：対象外

アクセスリストロギングが出力するシステムメッセージをアクセスリストログと呼びます。また，アクセスリストロギングが収集するパケットの情報とその統計情報をアクセスリストログ統計情報と呼びます。アクセスリストロギングでは，パケット情報の内容ごとに，検出したパケット数をカウントします。

アクセスリストロギングの動作概要を次の図に示します。

図10‒1　アクセスリストロギングの動作概要

出力するアクセスリストログの例を次の図に示します。

図10‒2　出力するアクセスリストログの例
> 20XX/01/01 12:00:00 UTC 1-1(A) S6 ACLLOG 2d000003 00 000000000001 denied:0012.e25a.9839(4095)(Ethernet1/1) -> 0012.e25a.7840, 2 packets 20XX/01/01 12:00:00 UTC 1-1(A) S6 ACLLOG 2d000004 00 000000000001 denied:(4095)tcp 192.168.1.3(1)(Ethernet1/1) -> 192.168.2.1(12), 1 packet 20XX/01/01 12:00:00 UTC 1-1(A) S6 ACLLOG 2d000005 00 000000000001 denied:(4095)255 fe80::39fe:9a30:53dd:1234(1)(Ethernet1/1) -> fe80::39fe:9a30:53dd:5678(12), 1 packet >

図10‒2　出力するアクセスリストログの例

>
20XX/01/01 12:00:00 UTC 1-1(A) S6 ACLLOG 2d000003 00 000000000001 denied:0012.e25a.9839(4095)(Ethernet1/1) -> 0012.e25a.7840, 2 packets
20XX/01/01 12:00:00 UTC 1-1(A) S6 ACLLOG 2d000004 00 000000000001 denied:(4095)tcp 192.168.1.3(1)(Ethernet1/1) -> 192.168.2.1(12), 1 packet
20XX/01/01 12:00:00 UTC 1-1(A) S6 ACLLOG 2d000005 00 000000000001 denied:(4095)255 fe80::39fe:9a30:53dd:1234(1)(Ethernet1/1) -> fe80::39fe:9a30:53dd:5678(12), 1 packet
>

10.1.1 概要

10.1.1　概要