ASA Firewall: サポートに必要なログとその取得方法

Taisuke Nakamura · ‎2016-01-17

本ドキュメントでは、私達TACへの ASA Firewallに関するお問い合わせの際、事前の取得が推奨される、基本的なログとその取得方法について紹介します。

当ログを提供して頂く事で、素早い機器状況の把握と、問題解決の効率化に役立ちます。

なお、事象によっては、追加ログやキャプチャの収集をお願いする事が御座いますので、予めご了承ください。

CLIでログ取得方法

特権モードから以下ログを取得。

show inventory
show processes cpu-usage non-zero
show asp drop
show tech
show log
show log asdm
show clock

show logで確認できる Local Bufferのロギングレベルは、Informational もしくは Debuggingレベルで取得してください。ロギングレベルの変更やカスタマイズ方法は以下を参考にしてください。

ASA で syslog (debugging level) を取得する手順
https://supportforums.cisco.com/ja/document/45396

上部メニュー Tools から、Command Line Interface... を選択。

　　　
以下画面がポップアップしますので、Multiple Lineをチェックし、コマンドライン(CLI)をペーストした後、Sendボタンをクリック。 Response欄に CLI実行結果が表示されますので、任意のメモ帳などにペーストし保存してください。

show techと show logは特に出力量が多いため、TelnetやSSH、もしくは ASDMでのログ取得をお勧めいたします。コンソールでのログ取得は、低速のため、時間がかかります。

通常、show tech 実行時にわずかにCPU負荷が上昇します。参考情報となりますが、約2000行の設定がある運用中のASA5555(version 9.4.2)で、show tech取得時のCPU負荷は 2～3%程度です。

仮にトラブル発生中(もしくは再現可能な状況)の場合は、"発生前"、 "発生時(数回)" 、"発生後"の各タイミングで、全ログを取得してください。

各タイミングでの、ログの差分比較を行うためです。

ログの分析のうえで、その機器の時刻情報が正しいかは重要です。例えば、複数のログの比較分析を行う際、各ログの時刻がずれていると、十分な分析ができません。

その為、事前に ASAなど通信機器は、特定のNTPサーバに同期し、時刻が常に正しい状態にしてください。

NTPサーバでの時刻同期が難しい環境の場合は、手動での時刻合わせ、及び時刻がどの程度ずれているかのご申告もお願いいたします。