CCNA学習62日目|Syslog 入門(第3回)show logging の読み方と、ログから何が起きたか判断する練習

CCNA学習62日目のSyslog入門(第3回)アイキャッチ画像。show logging の読み方と、ログから何が起きたか判断する練習を、Router・Switch・Syslog Server・CLIログ画面を使って分かりやすく表したCCNA学習記事用サムネイル 資格学習ログ

こんばんは。CCNA学習62日目です。
今回は Packet Tracer を使って、Syslog の確認コマンド show logging の読み方を整理しました。設定した内容が正しく動いているかを見るだけでなく、ログを読んで「何が起きたか」を判断する練習も今回の大事なテーマです。

今回の学習テーマ

第3回のテーマは、show logging の出力を見て意味をつかめるようになることです。
Syslog は設定するだけで終わりではなく、実際に表示されたログを見て、「設定変更が入った」「インターフェースが落ちた」「外部Syslogサーバへ送信できている」といった状況を読み取れるようになることが大切です。

show logging はどこを見るのか

show logging の基本的な見方を整理した図です。まずは Syslog が有効か、外部送信の設定がどうなっているか、そして実際のログ本文がどこに出るかを押さえると読みやすくなります。

show logging は情報量が多く見えますが、最初は見る場所を絞ると分かりやすくなります。

まず Syslog logging: enabled は、Syslog 機能そのものが有効になっているかを確認する項目です。ここが無効なら、そもそもログ確認の前提が崩れてしまいます。

次に Trap logging は、外部の Syslog サーバへどの深刻度まで送る設定かを見る場所です。どのレベルのログを外に送るのか、ここで目安を確認できます。

そして Logging to 192.168.1.10 ... link up のような表示は、送信先IPアドレス・ポート・送信状態を確認するためのものです。特に link up と表示されていれば、送信設定が有効であることをつかみやすいです。

最後に Log Buffer は、実際のログ本文を読む場所です。機器の中に残っているログを見ながら、何が起きたかを判断していきます。

代表ログの読み方

Cisco の Syslog は、基本的に Facility・Severity・内容 の形で読みます。代表的なログの意味を一つずつ押さえると、何が起きたかを判断しやすくなります。

Cisco のログは、基本的に 「Facility – Severity – 内容」 の形で表示されます。
ここでのポイントは、数字が小さいほど深刻ということです。

たとえば %SYS-5-CONFIG_I: Configured from console by console は、System 系のログで、レベル5の通知系メッセージです。意味としては、コンソールから設定変更が行われたことを表しています。設定を入れた直後にこのログが見えれば、「変更が入ったんだな」と確認できます。

また %SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 192.168.1.10 port 514 started は、外部 Syslog サーバへの送信が開始されたことを示すログです。logging host の設定が反映されているかを確認するときに役立ちます。

さらに %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to down のようなログは、インターフェースの状態変化を示しています。これは「物理的または論理的に回線状態が変わった」という意味なので、障害の入口としてかなり重要です。 down なのか up なのかを見れば、何が起きたかをイメージしやすくなります。

ログが出ないときの確認手順

Syslogのログが出ないときの確認手順を示した図。logging の有効化確認、logging host の送信先確認、show logging の状態確認、イベント発生、再確認までの流れを順番に整理した図解
ログが出ないときは、設定の有無だけでなく、実際にイベントを発生させてから再度 show logging を確認する流れが大切です。順番を決めて見ると切り分けしやすくなります。

もし「設定したのにログが出ない」と感じたら、次の順番で見ると整理しやすいです。

まず logging が有効か を確認します。次に logging host の送信先IPアドレスが正しいか を見ます。そのうえで show logging を実行し、現在の状態を確認します。
それでも変化が見えなければ、shutdown → no shutdown のようにイベントを意図的に発生させると、ログが出るか試しやすくなります。最後にもう一度 show logging を見て、ログが増えているかを確認します。

この流れで見ると、設定ミスなのか、イベントがまだ起きていないだけなのかを切り分けやすくなります。

Packet Tracer での注意点

Packet Tracer では、実機と少し表示や挙動が違うことがあります。そのため、細かい表示の差に引っ張られすぎず、まずは show logging で何を確認したいのかを押さえることが大事です。
今回であれば、Syslog が有効か、送信先が見えているか、Log Buffer にどんなログが残っているかを優先して見れば十分学習になります。

まとめ

今回の学習で大事なのは、「設定したら終わり」ではなく、「イベントを起こしてログで確認する」までを1セットで考えることでした。
show logging を読めるようになると、機器の中で何が起きたかを少しずつ言葉で説明できるようになります。Syslog はトラブル対応の出発点にもなるので、今回の内容は今後の学習にもかなりつながりそうです。

コメント

タイトルとURLをコピーしました