イベントログ(監査ログ)
イベントログの概要
ユーザーがApstra環境で作業していると、その操作が記録されます。これらのイベントログは、一般的な使用状況、ネットワーク停止、および疑わしいアクティビティの可能性を調査するのに役立ちます。収集される情報については、以下を参照してください。
ログに記録されるイベントの種類
以下のイベントタイプのイベントがログに記録されます。
| 出来事 |
形容 |
|---|---|
| ログイン |
ユーザーがログインした(成功および失敗)。 |
| ログアウト |
ユーザーがログアウトしました。 |
| ブループリントコミット |
ステージングされたブループリントからアクティブなブループリントに変更が適用されました。 |
| ブループリント元に戻す |
ステージングされた設計図の変更は破棄されました。 |
| ブループリントロールバック |
ステージングされたブループリントは、以前のバージョンにロールバックされました。 |
| ブループリント削除 |
設計図全体が削除されました。 |
| デバイス構成変更 |
デバイスの設定が変更されました。これには、Apstraが管理対象デバイス(Time Voyagerを含む)にプッシュする構成変更も含まれます。イベントは、変更を行ったログイン ユーザーに起因します。 |
| マイグレーションチェックポイント | 新しいVM(VM-VM)上のApstraサーバーをバージョン5.0.0以降にアップグレードすると、MigrationCheckpointイベントがログに記録されます。このイベントには、古いApstraサーバーのApstraバージョン(ソース)、新しいApstraサーバーのApstraバージョン(ターゲット)、アップグレードプロセス中のタイムスタンプなどのアップグレードの詳細が含まれます。アップグレードの後には Metricdb データの移行が行われ、新しい VM での移行が成功すると、タイムスタンプの前の Metricdb データは古い VM からのものであり、タイムスタンプの後のデータは新しい VM からのものです。 |
| OperationModeChangeToMaintenance |
ブループリントの運用モードがユーザーによってメンテナンスに変更されました。 |
| OperatonModeChangeToNormal |
ブループリント操作モードは、ユーザーによって、またはディスク使用量とメモリーが使用率しきい値を下回ったとき(操作が読み取り/書き込みモードの場合)にシステムによって通常に変更されました。 |
| OperationModeChangeを読み取り専用にする |
ブループリント操作モードは、ユーザーによって、または使用率しきい値を超えた場合(操作が読み取り専用モードになっている)にシステムによって、読み取り専用に変更されました。 |
| レート制限例外追加 |
レート制限例外が追加されました。 |
| レート制限例外削除 |
レート制限例外が削除されました。 |
| レート制限クリア |
レート制限がクリアされました。 |
| Syslog作成 |
Syslogが作成されました。 |
| Syslogの更新 |
Syslogが更新されました。 |
| Syslog削除 |
Syslogが削除されました。 |
| ユーザー作成 |
ユーザープロファイルが(作成または複製によって)作成されました。 |
| ユーザー更新 |
ユーザープロファイルが更新されました。 |
| ユーザー削除 |
ユーザープロファイルが削除されました。 |
| AuthAcl有効化 |
アクセス制御ルールが有効になりました。 |
| AuthACl無効化 |
アクセス制御ルールが無効になりました。 |
| AuthAclルール追加 |
アクセス制御ルールが追加されました。 |
| AuthAclRuleUpdate |
アクセス制御ルールが更新されました。 |
| AuthAclRule削除 |
アクセス制御ルールが削除されました。 |
収集されるイベントの詳細の種類
各イベントについて、以下の詳細がログに記録されます(該当する場合)。
| 財産 |
形容 |
|---|---|
| 時間範囲 |
イベントが発生した時間枠(時間フィールドにカーソルを合わせると、日付と時刻が表示されます)。 |
| 利用者 |
アクティビティを実行したユーザー、 システム 、 またはadminなどのユーザー名 |
| ユーザーIPアドレス |
変更を行ったユーザーに関連付けられたIPアドレス。 |
| タイプ(イベント) |
イベントのタイプ(上の表を参照)。 |
| ブループリント名(ブループリントID) |
変更が行われたブループリントのID。 |
| ブループリントコミットメッセージ |
ブループリントにコミットされた変更の説明(提供されている場合)。 |
| デバイスキー(デバイスID) |
通常は、変更が行われた管理対象デバイスのシリアル番号です。 |
| デバイス構成 |
デバイスにプッシュされて適用される設定 |
| 結果 |
アクティビティの結果。成功は、操作がシステムによって承認されたことを意味します。エラーが発生した場合は、エラー文字列が含まれます(例えば、無許可)。 |
イベントログの検索
- 左側のナビゲーションメニューから、Platform > Event Log に移動し、ログに記録されたイベントのテーブルに移動します。
- クエリビルダーをクリックし、使用可能な検索フィールドからクエリを入力または選択します。一部のフィールドには複数の値を入力できます。すべてのフィールドの条件に一致するイベントが返されます。結果については、[適用] をクリックします。
手記:イベントログはイベント数に基づいています。最大10,000個のイベントが保持されます。これらは、2 番目のリポジトリとしてログ ローテーションされたファイルに書き込まれます。logrotateパラメーターは、Apstraサーバー構成ファイル(
/etc/aos/aos.conf)で構成できます。
イベントログをCSVファイルにエクスポート
- 左側のナビゲーションメニューから、Platform >イベントログに移動し、CSVにエクスポート(右上)をクリックします。
- エクスポートするデータをフィルターするには、クエリを入力します。
- CSVファイルとして保存をクリックして、CSVファイルをダウンロードします。
外部syslogサーバーにイベントログを送信する
Syslogプロトコルを使用して外部システムにイベントログを送信する方法の詳細については、 Syslogの設定を参照してください。
Apstraログの解析
Apstraは、イベントまたはログ生成デバイスとアプリケーションの相互運用性の標準であるCommon Event Format(CEF)を使用しています。この標準は、ログ・レコードの構文を定義しています。これは、標準プレフィックスと、キーと値のペアとしてフォーマットされた変数拡張子で構成されています。
Apstraログフォーマット
'{timestamp} {host} '
'CEF:{version}|{device_vendor}|{device_product}|{device_version}|'
'{device_event_class_id}|{name}|{severity}|{extension}
どこ:
-
versionは常に「0」です -
device_vendor常に「Apstra」 -
device_product常に「Apstra」 -
device_version現在のApstraバージョンです -
device_event_class_idは、監査ログの場合は「100」、異常ログの場合は「101」です -
name監査ログは常に「監査」、異常ログは常に「アラート」です -
severity監査ログは常に「中」、異常ログは常に「非常に高」です
そして、どこ:
-
{extension} は次のいずれかです。
-
異常ログの場合: msg=<json ペイロード>
-
監査ログの場合: cat=<activity> src=
suser=<ユーザー名> act=<activity result> cs1Label= cs1= cs2Label= cs2= cs3Label= cs2=
-
監査ログのフィールド
| 畑 | 形容 | 適用対象 |
| 猫 | 実行されたアクティビティ。有効な値: "Login"、"Logout"、"BlueprintCommit"、"DeviceConfigChange"、"BlueprintDelete" | 全てのメッセージ |
| 出典 | HTTPリクエストを行うクライアントの送信元IP | 全てのメッセージ |
| サージュ | アクティビティを実行したユーザー | 全てのメッセージ |
| 行為 | アクティビティの結果 - 自由形式文字列。「成功」は、システムによって操作が承認されたことを意味します。エラーが発生した場合は、エラー文字列を含めます。例:Unauthorized | 全てのメッセージ |
| cs1ラベル | 文字列「Blueprint Name」 | cat = "BlueprintCommit" または "BlueprintDelete" |
| CS1 | アクションが実行されたブループリントの名前。 | cat = "BlueprintCommit" または "BlueprintDelete" |
| cs2ラベル | 文字列「Blueprint ID」 | cat = "BlueprintCommit" または "BlueprintDelete" |
| CS2 | アクションが実行されたブループリントのID。 | cat = "BlueprintCommit" または "BlueprintDelete" |
| cs3ラベル | 文字列 "Commit Message"ユーザーがコミットメッセージを追加した場合にのみ存在します(オプション) | cat = "BlueprintCommit" または "BlueprintDelete" |
| CS3 | コミットメッセージ。ユーザーがコミットメッセージを追加した場合にのみ存在します(オプション) | cat = "BlueprintCommit" |
| デバイスExternalId | アクションが実行された管理対象デバイスのID(通常はシリアル番号)。 | cat = "デバイス構成変更" |
| deviceConfig | ログコレクターとパーサーへの改行を示すために「#012」が使用されているデバイス上でプッシュおよび適用される設定。 | cat = "デバイス構成変更" |
異常JSONフィールド
| 畑 | 形容 | 適用対象 |
| u'blueprint_label' | 糸。異常が発生した設計図の名前。 | 全てのメッセージ |
| u'タイムスタンプ' | 糸。異常が発生した設計図の名前。 | 全てのメッセージ |
| u'origin_name' | 糸。異常が発生した設計図の名前。 | 全てのメッセージ |
| u'alert' | 値は、実際の異常を含むJSONペイロードです(次の表を参照) | |
| u'origin_hostname' | 糸。異常が影響するデバイスのホスト名。 | 全てのメッセージ |
| u'device_hostname' | 糸。異常が影響するデバイスのホスト名。 | 全てのメッセージ |
| origin_role | 糸。異常が影響するデバイスのホスト名。 | 全てのメッセージ |
| 畑 | 形容 | 適用対象 |
| u'first_seen' | 糸。異常が初めて発生したときのUnixタイムスタンプ。 | 全てのメッセージ |
| u'raised' | 常に真実 | 全てのメッセージ |
| 重大度 | 異常の重大度レベル現在、Apstraでは、すべての異常が重大度レベル3で発生しています。 | 全てのメッセージ |
異常ログの例
IBA異常「MLAG異常」
すべての異常についてdevice_event_class_id = 101
06 04 2020 08:42:50 10.23.59.188 <SLOG:INFO> 1 2020-06-04T13:26:54.195385Z aos-server - - - 2020-06-04T13:26:54.194168+0000 aos-server CEF:0|Apstra|Apstra|3.2.2-12|101|Alert|Very-High|msg={u'blueprint_label': u'LAB', u'timestamp': 1591277214194168, u'origin_name': u'FDO21260P7L', u'alert': {u'first_seen': 1591277214194141, u'raised': True, u'severity': 3, u'mlag_alert': {u'peer_link_status': u'down', u'actual_domain_state': 1, u'mlag_id': 0, u'expected_intf_state': 0, u'hostname': u'USDAL1-LAB93108-LF1', u'peer_link': u'port-channel3', u'expected_peer_link_status': u'up', u'actual_intf_state': 0, u'expected_domain_state': 4, u'ifname': u'', u'domain_id': u'1'}, u'id': u'6656a961-3139-4825-b89d-93f071271891'}, u'origin_hostname': u'LAB1_HOST1', 'device_hostname': 'LAB1_HOST1', u'origin_role': u'leaf'}
IBA異常「予期しないホスト名」
Jun 8 21:35:25 aos-server - 2020-06-08T21:35:25.757009+0000 aos-server CEF:0|Apstra|Apstra|3.3.0-299|101|Alert|Very-High|msg={u'blueprint_label': u'test', u'timestamp': 1591652125757009, u'origin_name': u'505400C5CAAA', u'alert': {u'first_seen': 1591652125757001, u'raised': True, u'severity': 3, u'hostname_alert': {u'expected_hostname': u'spine1', u'actual_hostname': u'localhost'}, u'id': u'7f693f1d-2aeb-44a4-93f1-656400cfff7e'}, u'origin_hostname': u'localhost', 'device_hostname': 'localhost', u'origin_role': u''}
ユーザーのログアウトとログ記録
すべてのイベントのdevice_event_class_id = 100
Jun 8 19:43:33 aos-server - 2020-06-08T19:43:33.392984+0000 aos-server CEF:0|Apstra|Apstra|3.3.0-299|100|Audit event|medium|cat=Logout src=10.1.253.6 suser=admin act=Success Jun 8 19:43:39 aos-server - 2020-06-08T19:43:39.267262+0000 aos-server CEF:0|Apstra|Apstra|3.3.0-299|100|Audit event|medium|cat=Login src=10.1.253.6 suser=admin act=Success
ブループリントの削除
Jun 8 21:23:41 aos-server - 2020-06-08T21:23:41.426107+0000 aos-server CEF:0|Apstra|Apstra|3.3.0-299|100|Audit event|medium|cat=BlueprintDelete src=10.1.253.6 suser=admin act=Success cs1Label=Blueprint Name cs1=test cs2Label=Blueprint ID cs2=2bd8f38f-9242-461c-855e-8146a4f68bb9
設計図のコミット
Jun 8 21:42:19 aos-server - 2020-06-08T21:42:19.550216+0000 aos-server CEF:0|Apstra|Apstra|3.3.0-299|100|Audit event|medium|cat=BlueprintCommit src=10.1.253.6 suser=admin act=Success cs1Label=Blueprint Name cs1=test cs2Label=Blueprint ID cs2=5ba55c14-6c01-4537-9dd7-d32c8c41616b cs3Label=Commit Message cs3=New_Virtual_Network
デバイス構成の変更
完全なDay 0 BP導入を元に戻す
Jun 8 21:35:27 aos-server - 2020-06-08T21:35:27.132831+0000 aos-server CEF:0|Apstra|Apstra|3.3.0-299|100|Audit event|medium|cat=DeviceConfigChange src=10.1.253.6 suser=admin act=Success deviceExternalId=505400C5CAAA deviceConfig= ... <Device Config, see next table> ...
デバイス構成
なお、「#012」は改行として使用されています
service interface inactive expose#012
!#012
spanning-tree mode none#012
!#012
hostname spine1#012
interface Ethernet1#012
description facing_l2-virtual-ext-001-leaf1:Ethernet1#012
no switchport#012
ip address 203.0.113.4/31#012
no shutdown#012
description facing_l2-virtual-ext-002-leaf1:Ethernet1/1#012
no switchport#012
ip address 203.0.113.6/31#012
no shutdown#012
exit#012
!#012
interface Ethernet3#012
description facing_l2-virtual-ext-003-leaf1:Ethernet1/1#012
no switchport#012
ip address 203.0.113.8/31#012
no shutdown#012
exit#012!#012
interface Ethernet4#012
description facing_l2-virtual-ext-004-leaf1:Ethernet1#012
no switchport#012
ip address 203.0.113.10/31#012
no shutdown#012
exit#012!#012
interface Ethernet5#012
no switchport#012
no shutdown#012
exit#012
!#012
interface Ethernet6#012
no switchport#012
no shutdown#012
exit#012
!#012
interface Ethernet7#012
no switchport#012
no shutdown#012
exit#012
!#012
ip routing#012!#012
service routing protocols model multi-agent#012
interface loopback 0#012
ip address 203.0.113.20/32#012
exit#012
!#012
ip prefix-list AllPodNetworks seq 5 permit 0.0.0.0/0 le 32#012
ip as-path access-list MyASN permit ^$#012
route-map AllPodNetworks permit 10#012
match ip address prefix-list AllPodNetworks#012
exit#012
!#012
route-map EVPN permit 10#012
set ip next-hop unchanged#012
exit#012
!#012
router bgp 4200000000#012
router-id 203.0.113.20#012
no bgp default ipv4-unicast#012
bgp log-neighbor-changes#012
bgp bestpath as-path multipath-relax#012
redistribute connected route-map AllPodNetworks#012!#012
neighbor l3clos-s peer-group#012
neighbor l3clos-s timers 1 3#012
neighbor l3clos-s soft-reconfiguration inbound#012
neighbor l3clos-s maximum-routes 0 warning-limit 90 percent#012
neighbor l3clos-s-evpn peer-group#012
neighbor l3clos-s-evpn ebgp-multihop 2#012
neighbor l3clos-s-evpn timers 1 3#012
neighbor l3clos-s-evpn send-community extended#012
neighbor l3clos-s-evpn soft-reconfiguration inbound#012
neighbor l3clos-s-evpn update-source loopback0#012
neighbor l3clos-s-evpn maximum-routes 0 warning-limit 90 percent#
!#012
!#012
neighbor 203.0.113.0 remote-as 64512#012
neighbor 203.0.113.0 peer-group l3clos-s-evpn#012
neighbor 203.0.113.0 description facing_l2-virtual-ext-001-leaf1-evpn-overlay#012
neighbor 203.0.113.5 remote-as 64512#012
neighbor 203.0.113.5 peer-group l3clos-s#012
neighbor 203.0.113.5 description facing_l2-virtual-ext-001-leaf1#012
neighbor 203.0.113.1 remote-as 64513#012
neighbor 203.0.113.1 peer-group l3clos-s-evpn#012
neighbor 203.0.113.1 description facing_l2-virtual-ext-002-leaf1-evpn-overlay#012
neighbor 203.0.113.7 remote-as 64513#012
neighbor 203.0.113.7 peer-group l3clos-s#012
neighbor 203.0.113.7 description facing_l2-virtual-ext-002-leaf1#012
neighbor 203.0.113.2 remote-as 64514#012
neighbor 203.0.113.2 peer-group l3clos-s-evpn#012
neighbor 203.0.113.2 description facing_l2-virtual-ext-003-leaf1-evpn-overlay#012
neighbor 203.0.113.9 remote-as 64514#012
neighbor 203.0.113.9 peer-group l3clos-s#012
neighbor 203.0.113.9 description facing_l2-virtual-ext-003-leaf1#012
neighbor 203.0.113.3 remote-as 64515#012
neighbor 203.0.113.3 peer-group l3clos-s-evpn#012
neighbor 203.0.113.3 description facing_l2-virtual-ext-004-leaf1-evpn-overlay#012
neighbor 203.0.113.11 remote-as 64515#012
neighbor 203.0.113.11 peer-group l3clos-s#012
neighbor 203.0.113.11 description facing_l2-virtual-ext-004-leaf1#012
address-family evpn#012
neighbor l3clos-s-evpn route-map EVPN out#012
neighbor 203.0.113.0 activate#012
neighbor 203.0.113.1 activate#012
neighbor 203.0.113.2 activate#012
neighbor 203.0.113.3 activate#012
exit#012
address-family ipv4#012
neighbor 203.0.113.11 activate#012
neighbor 203.0.113.5 activate#012
neighbor 203.0.113.7 activate#012
neighbor 203.0.113.9 activate#012
exit#012
maximum-paths 32#012
exit#012