ログ
動作中の各機能から出力されるログメッセージの参照、およびSyslogによるリモート送信機能を提供します。
メインメモリ上のログ保存と参照
メインメモリ上のにログ保存に関する仕様と参照方法
| 機能 | 状態 | 備考 |
|---|---|---|
| ログ保存 | 有効 | 無効化できません |
概要
メインメモリ上のログ記憶には容量の上限があり、上限を超えると古いログから消去されます。限られた容量で運用上必要なログを残すためにログの記憶領域をログの発生源となる機能ごとに分割しており、それぞれの分割領域に記憶容量を割り当てることができます。
ログの記憶容量の割当
メインメモリ上のログの記憶領域は「ブロック」と呼ぶ単位に分割されています。ブロックは64個用意されており、1ブロックあたり2000行まで保存します。また、ログ1行ごとに行頭から256文字まで保存します。
ログの発生源となる機能ごとに最低1ブロック割り当てられていますが(システム予約)、残りのブロックは設定により任意の機能に割り当てることができます。
| 初期状態で未割り当てのブロック数 | 初期状態で割り当て済みのブロック数 |
|---|---|
| 47 | 17 |
割り当てるブロック数を変更した場合、次のように動作します。
- 変更前より変更後のブロック数が小さい場合、変更後のブロックに納まるように古いログから破棄されます。
- 変更前より変更後のブロック数が大きい場合、既存のログは全て保持されます。
記憶容量を超えたログの破棄
記憶容量の上限に達し古いログが破棄され始めるタイミングは機能ごとに異なるため、 "show log"コマンドによりログを参照する際は、全体的なログの残存期間と機能ごとの残存期間が必ずしも一致しないことに注意する必要があります。
- 例えば、「etherは1月以降のログが表示されるがikeは2月以降のログしか表示されない(ikeについての2月以前のログはすでに破棄されている可能性がある)」 という見え方をする場合があります。
- 古いログが破棄された場合、次のようなログがshow log 内に挿入されます。
91 May 22 18:50:41 notice system == OLDER "system" LOG MESSAGES WERE TRIMMED ==- このログは、ログが破棄され始めた機能について最も古いログの直前に表示されます。
- このログは最も古いログと同時刻、同ファシリティを持ちログレベルが「Notice」のものとして表示されます。
- このログはリモートホストへ送信しません。
- clear log コマンドを実行するとこのログは表示されなくなります。 以後ログの破棄が発生した際に再び表示されるようになります。
注:
- ログはメモリ(RAM)上に記憶するため、再起動により消失します。
- 長期間のログを保存するためにはログサーバを用意し送信してください。
リモートサーバへの送信
動作中の各機能が出力するログメッセージを外部のログサーバへ送信できます。
| 機能 | IPv4 | IPv6 | 備考 |
|---|---|---|---|
| Syslog送信 | ○ | × |
概要
| プロトコル | Syslog/UDP |
| 送信先ポート番号 | 514(変更可) |
| 送信先ホストの設定上限 | 4 |
| 送信文字数の上限 | ログ1行あたり1024文字 |
| フォーマット | BSD形式(RFC3164) |
- 送信先の指定
- 送信先は複数指定でき、送信先ごとに設定パラメータを指定できます。
- ファシリティの設定
- 送信するログメッセージにファシリティ(local0 - local7)を設定できます。
- デフォルトではlocal1を使用します。
- シーケンス番号の付加
- 送信するログメッセージにシーケンス番号を付加できます。
- シーケンス番号は1から999999999までの値をとり、999999999を超えると1に戻ります。
- 送信時刻の付加
- 送信するログメッセージのメッセージ部に送信タイムスタンプを付加できます。
- ログレベルによる抽出
- 指定したレベル以上のログメッセージのみを送信するよう設定できます。
ログの書式
- ログに含まれる内容は基本的に「事象(結果)」のみを示すものであり、直接的な「発生原因」を示さないことに注意してください。
- 何らかの不具合現象の発生に伴いログを精査する際は、注目した一行のログのみではなく、前後のログや記録頻度、ステータス情報等にも注目する必要があります。
ログメッセージの構成
ログを参照すると、次のような表示が得られます。15 Jan 1 09:00:19 info auth sshd[667]: Server listening on :: port 22. 16 Jan 1 09:00:19 info auth sshd[667]: Server listening on 0.0.0.0 port 22. 17 Jan 1 09:00:22 info dhcp dhcp[-]: Reconfigure Server 18 Jan 1 09:00:25 notice auth login[-]: ROOT LOGIN (admin) on tty tty00 19 Jan 1 09:00:25 notice auth login[-]: ROOT LOGIN (admin) ON tty00 20 Jan 1 09:04:00 info syslog syslogd[49]: syslogd: restart 21 Jan 1 09:04:00 info syslog syslogd[49]: syslogd: host name changed, "" to "capt" 22 Jan 1 09:04:20 info dhcp dhcp[-]: Reconfigure Server 23 Jan 1 09:04:25 crit ether ge0p0: link down 24 Jan 1 09:04:26 crit ether ge0: link down 25 Jan 1 09:04:29 crit ether ge0p0: link up (1000baseT-FDX) 26 Jan 1 09:04:30 crit ether ge0: link uppaddr: 172.16.10.10
ログの各行は、次の内容で構成されます。
| 行番号 | タイムスタンプ | レベル | 機能 | メッセージ |
|---|---|---|---|---|
15 |
Jan 1 09:00:19 |
info |
auth |
sshd[667]: Server listening on :: port 22. |
17 |
Jan 1 09:00:22 |
info |
dhcp |
dhcp[-]: Reconfigure Server |
23 |
Jan 1 09:04:25 |
crit |
ether |
ge0p0: link down |
- 行番号
- 表示用の通し番号です。表示時点で保持している最も古いログが1となり昇順で表示されます。
- タイムスタンプ
- ログが記録された日時です。システム時刻を使用するため、時刻合わせが完了していない状態での記録は実際の日時と異なります。
- レベル
- 注意を必要とする度合いを示します。
- 機能
- ログを出力した機能の大まかな分類を示します。
- メッセージ
- 出力されたログメッセージです。メッセージ先頭の "xxx:"(英数字とそれに続くコロン)は、ログの出力元を示します。
| ファンクション(ファシリティ) | 機能 |
|---|---|
| appgw | アプリケーションゲートウェイ機能に関わるログ |
| auth | SSHなどの認証に関わるログ |
| daemon | 常駐デーモンプログラムに関わるログ |
| dhcp | DHCP機能に関わるログ |
| ether | イーサネットポート等に関わるログ |
| ike | IKE機能に関わるログ |
| ipf | パケットフィルターに関わるログ |
| kern | システムに関わるログ |
| l2tp | L2TP機能に関わるログ |
| nat | NAT/NAPT機能に関わるログ |
| ntp | NTP機能に関わるログ |
| ppp | PPPoEやモバイルデータ通信端末(PPP)に関わるログ |
| pppac | リモートアクセスサーバに関わるログ |
| route | ルーティングに関わるログ |
| smf | SMFv2に関わるログ |
| syslog | Syslog機能に関わるログ |
| user | ユーザ操作に関わるログ |