ファイアウォール内のアクセス制御エントリのロギング

Question

Cisco ASA5520ファイアウォール、 インターフェイスごとにアクセスルールが定義されています。

Explicit deny allコマンドがインターフェイスで指定されていません。

ファイアウォールでログが有効になっています。私の質問がある

、アクセスに許可されたIPアドレスを試みる以外のIPアドレスは、それが記録されます

？

例えば：それはしようとした場合にB許可証ログへ

いかなるへの

しかし

任意のログを否定していない= = yesが故に

が言及されていないが、IP Aが記録されますCにアクセスするには？

有効なファイアウォールログとアクセス制御エントリのログ機能の違いは何ですか？

Answer 1

答えが時々あります。拒否を確実に記録するには、ACLの最後にdeny ip any any logを明示的に指定することをお勧めします。デフォルトでは、ASAはACLの拒否をログに記録しません。トラフィックが多すぎますが機能は存在するからです。残念ながら、それは一連のさまざまなログメッセージに広がっています。 tcp/udp/icmpと他のプロトコルのための別々のメッセージがあります。それらはsyslogメッセージ106001で始まります。ファイアウォールで有効になっているログメッセージを確認するには、をcliに入力します。