show access-log flow

アクセスリストログ統計情報を表示します。

［入力形式］

非IP

show access-log flow mac [{untagged | tag-vlan <tag vlan id>}] [<ethernet type>] [{<source mac> <source mac mask> | host <source mac> | any} {<destination mac> <destination mac mask> | host <destination mac> | any}] [interface <interface type> <interface number>] [packets-sort]

IPv4

show access-log flow ip [{untagged | tag-vlan <tag vlan id>}] [<protocol>] [{<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any} {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any}] [interface <interface type> <interface number>] [packets-sort]

IPv6

show access-log flow ipv6 [{untagged | tag-vlan <tag vlan id>}] [<next header>] [{<source ipv6>/<length> | host <source ipv6> | any} {<destination ipv6>/<length> | host <destination ipv6> | any}] [interface <interface type> <interface number>] [packets-sort]

全プロトコル

show access-log flow [interface <interface type> <interface number>] [packets-sort]

［入力モード］

一般ユーザモードおよび装置管理者モード

［パラメータ］

{mac | ip | ipv6}

表示対象のプロトコルを指定します。

mac: 非IPのアクセスリストログ統計情報を表示対象とします。
ip: IPv4のアクセスリストログ統計情報を表示対象とします。
ipv6: IPv6のアクセスリストログ統計情報を表示対象とします。
本パラメータ省略時の動作: 全プロトコルのアクセスリストログ統計情報を表示対象とします。

{untagged | tag-vlan <tag vlan id>}

表示対象のVLAN IDを指定します。

untagged: Untaggedフレームのアクセスリストログ統計情報を表示します。
tag-vlan <tag vlan id>: 指定したVLAN IDのアクセスリストログ統計情報を表示します。指定できる値の範囲は0〜4095（10進数）です。
本パラメータ省略時の動作: すべてのVLAN IDのアクセスリストログ統計情報を表示します。

<ethernet type>

指定したイーサネットタイプのアクセスリストログ統計情報だけを表示します。指定できる値の範囲は0x0000〜0xffff（16進数）です。

本パラメータ省略時の動作: すべてのイーサネットタイプのアクセスリストログ統計情報を表示します。

{<source mac> <source mac mask> | host <source mac> | any} {<destination mac> <destination mac mask> | host <destination mac> | any}

指定した送信元MACアドレスおよび宛先MACアドレスが一致するアクセスリストログ統計情報を表示します。

<source mac> <source mac mask>

<source mac>には送信元MACアドレスを指定します。

<source mac mask>にはMACアドレスの中で任意の値を許可するビットを立てたマスクをMACアドレス形式で指定します。

host <source mac>

<source mac>には送信元MACアドレスを指定します。<source mac>と完全一致する送信元MACアドレスのアクセスリストログ統計情報だけを表示します。

<destination mac> <destination mac mask>

<destination mac>には宛先MACアドレスを指定します。

<destination mac mask>にはMACアドレスの中で任意の値を許可するビットを立てたマスクをMACアドレス形式で指定します。

host <destination mac>

<destination mac>には宛先MACアドレスを指定します。<destination mac>と完全一致する宛先MACアドレスのアクセスリストログ統計情報だけを表示します。

any

すべてのMACアドレスのアクセスリストログ統計情報を表示します。

本パラメータ省略時の動作

送信元MACアドレスおよび宛先MACアドレスを表示条件にしません。

<protocol>

指定した上位プロトコル条件と一致するアクセスリストログ統計情報を表示します。<protocol>には，プロトコル番号またはプロトコル名称を指定します。指定できるプロトコル番号は0〜255（10進数）です。指定できるプロトコル名称を次に示します。

icmp
igmp
tcp
udp

本パラメータ省略時の動作: すべての上位プロトコル条件のアクセスリストログ統計情報を表示します。

<next header>

指定した次ヘッダ番号と一致するアクセスリストログ統計情報を表示します。<next header>には，次ヘッダ番号または次ヘッダ名称を指定します。指定できる次ヘッダ番号は0〜255（10進数）です。指定できる次ヘッダ名称を次に示します。

icmp
tcp
udp

本パラメータ省略時の動作: すべての次ヘッダ番号のアクセスリストログ統計情報を表示します。

{<source ipv4> <source ipv4 wildcard> | host <source ipv4> | any} {<destination ipv4> <destination ipv4 wildcard> | host <destination ipv4> | any}

指定した送信元IPv4アドレスおよび宛先IPv4アドレスが一致するアクセスリストログ統計情報を表示します。

<source ipv4> <source ipv4 wildcard>

<source ipv4>には送信元IPv4アドレスを指定します。

<source ipv4 wildcard>にはIPv4アドレスの中で任意の値を許可するビットを立てたワイルドカードをIPv4アドレス形式で指定します。

host <source ipv4>

<source ipv4>には送信元IPv4アドレスを指定します。<source ipv4>と完全一致する送信元IPv4アドレスのアクセスリストログ統計情報だけを表示します。

<destination ipv4> <destination ipv4 wildcard>

<destination ipv4>には宛先IPv4アドレスを指定します。

<destination ipv4 wildcard>にはIPv4アドレスの中で任意の値を許可するビットを立てたワイルドカードをIPv4アドレス形式で指定します。

host <destination ipv4>

<destination ipv4>には宛先IPv4アドレスを指定します。<destination ipv4>と完全一致する宛先IPv4アドレスのアクセスリストログ統計情報だけを表示します。

any

すべてのIPv4アドレスのアクセスリストログ統計情報を表示します。

本パラメータ省略時の動作

送信元IPv4アドレスおよび宛先IPv4アドレスを表示条件にしません。

{<source ipv6>/<length> | host <source ipv6> | any} {<destination ipv6>/<length> | host <destination ipv6> | any}

指定した送信元IPv6アドレスおよび宛先IPv6アドレスが一致するアクセスリストログ統計情報を表示します。

<source ipv6>/<length>

<source ipv6>には送信元IPv6アドレスを指定します。

<length>にはIPv6アドレスの中で一致条件となる部分をアドレスの先頭からのbit数で指定します。

host <source ipv6>

<source ipv6>には送信元IPv6アドレスを指定します。<source ipv6>と完全一致する送信元IPv6アドレスのアクセスリストログ統計情報だけを表示します。

<destination ipv6>/<length>

<destination ipv6>には宛先IPv6アドレスを指定します。

<length>にはIPv6アドレスの中で一致条件となる部分をアドレスの先頭からのbit数で指定します。

host <destination ipv6>

<destination ipv6>には宛先IPv6アドレスを指定します。<destination ipv6>と完全一致するIPv6アドレスのアクセスリストログ統計情報だけを表示します。

any

すべてのIPv6アドレスのアクセスリストログ統計情報を表示します。

本パラメータ省略時の動作

送信元IPv6アドレスおよび宛先IPv6アドレスを表示条件にしません。

interface <interface type> <interface number>

指定したインタフェースのアクセスリストログ統計情報を表示します。

<interface type> <interface number>には，次に示すインタフェース種別グループに対応するインタフェース名およびインタフェース番号を指定できます。詳細は，「パラメータに指定できる値」の「■インタフェースの指定方法」を参照してください。

イーサネットインタフェース

本パラメータ省略時の動作: すべてのインタフェースのアクセスリストログ統計情報を表示します。

packets-sort

パケット数の降順にソートして，アクセスリストログ統計情報を表示します。

本パラメータ省略時の動作: 非IP，IPv4，IPv6の順に，かつ各送信元アドレスの昇順にソートして，アクセスリストログ統計情報を表示します。

すべてのパラメータ省略時の動作

すべてのアクセスリストログ統計情報を表示します。

［実行例］

図8‒3　アクセスリストログ統計情報の表示
> show access-log flow Date 20XX/04/01 12:00:00 UTC denied:0012.e25a.9839(4095)(Ethernet1/1) -> 0012.e25a.7840, 2 packets denied:(4095)tcp 192.168.1.3(1)(Ethernet1/1) -> 192.168.2.1(12), 1 packet denied:(4095)255 fe80::39fe:9a30:53dd:1234(1)(Ethernet1/1) -> fe80::39fe:9a30:53dd:5678(12), 1 packet >

図8‒3　アクセスリストログ統計情報の表示

> show access-log flow
Date 20XX/04/01 12:00:00 UTC
denied:0012.e25a.9839(4095)(Ethernet1/1) -> 0012.e25a.7840, 2 packets
denied:(4095)tcp 192.168.1.3(1)(Ethernet1/1) -> 192.168.2.1(12), 1 packet
denied:(4095)255 fe80::39fe:9a30:53dd:1234(1)(Ethernet1/1) -> fe80::39fe:9a30:53dd:5678(12), 1 packet
>

［表示説明］

表8‒4　show access-log flowコマンドの表示内容（非IPの場合）
表示項目	表示内容	表示詳細情報
<source mac>	送信元MACアドレス	−
<mac header>	MACヘッダ	<ethernet type>：イーサネットタイプ（VLAN Tagなしの場合） <tag vlan id>, <ethernet type>：VLAN ID，イーサネットタイプ（VLAN Tagが1段または2段の場合） <tag vlan id>：VLAN ID（VLAN Tagが3段以上の場合）
<received interface>	受信インタフェース	−
<destination mac>	宛先MACアドレス	−
packet	該当パケット数	packet：表示パケット数が1以下の場合 packets：表示パケット数が2以上の場合

表8‒5　show access-log flowコマンドの表示内容（IPv4の場合）
表示項目	表示内容	表示詳細情報
<tag vlan id>	VLAN ID	−
<protocol no.>	上位プロトコル番号	−
<source ip address>	送信元IPv4アドレス	−
<source port>	送信元ポート番号	−
<received interface>	受信インタフェース	−
<destination ip address>	宛先IPv4アドレス	−
<destination port>	宛先ポート番号	−
packet	該当パケット数	packet：表示パケット数が1以下の場合 packets：表示パケット数が2以上の場合

表8‒6　show access-log flowコマンドの表示内容（IPv6の場合）
表示項目	表示内容	表示詳細情報
<tag vlan id>	VLAN ID	−
<next header>	次ヘッダ番号	−
<source ip address>	送信元IPv6アドレス	−
<source port>	送信元ポート番号	−
<received interface>	受信インタフェース	−
<destination ip address>	宛先IPv6アドレス	−
<destination port>	宛先ポート番号	−
packet	該当パケット数	packet：表示パケット数が1以下の場合 packets：表示パケット数が2以上の場合

［通信への影響］

なし

［応答メッセージ］

表8‒7　show access-log flowコマンドの応答メッセージ一覧
メッセージ	内容
Access-list logging is not enabled.	アクセスリストロギングが有効ではありません。コンフィグレーションを確認してください。
The command cannot be executed in the standby system.	このコマンドは待機系では実行できません。
The command cannot be executed. Try again.	コマンドを実行できません。再実行してください。
The command is not authorized by the RADIUS/TACACS+ server or the configuration.	このコマンドはRADIUSサーバ，TACACS+サーバ，またはコンフィグレーションで承認されていません。
The specified interface type is incorrect.	指定した<interface type>が不正です。指定パラメータを確認して再実行してください。
There is no access-list logging entry.	表示対象のアクセスリストログ統計情報がありません。パラメータの指定内容を確認してください。

［注意事項］

なし