Cisco ACI で外部 Syslog サーバへメッセージを送信する設定を行う

Cisco ACI は特に設定をしていなくても、内部的に APIC の /var/log/external/messages へ Syslog メッセージを蓄積しています。例えばこれを tail -f /var/log/external/messages のように実行することで Syslog メッセージをリアルタイムでモニタすることが出来ます。このメッセージを外部の Syslog サーバへ転送する方法をメモしておきます。

設定の流れ
Step.1 出力先 Syslog サーバを定義する
Step.2 Fabric Policy に Syslog Source を設定する
Step.3 Access Policy に Syslog Source を設定する
Step.4 Common Tenant に Syslog Source を設定する
APIC からの syslog 送信テスト (現状でうまく動作しない…？)

設定の流れ

設定の流れは大きく以下のようになります。

出力先の Syslog サーバを定義する
Syslog Source を設定する
1. Fabric Policy
2. Access Policy
3. common Tenant

以降、実際に設定してみます。

Step.1 出力先 Syslog サーバを定義する

Admin → External Data Collectors → Monitoring Desinations → Syslog → Create Syslog Monitoring Destination Group の順にクリックして次へ進みます。

出力先 Syslog サーバをまとめる「グループ」を定義します。このグループの中には以降の手順で複数台の Syslog サーバを含めることが出来ます (1 台しか定義しないことも出来ます。極端に言えば、1 台も定義しないことも出来ます)。グループ名や、その他必要な項目を設定したら Next をクリックして次へ進みます。

次は「Syslog サーバを定義」します。画面右上の「+」マークをクリックして次へ進みます。

Syslog サーバのアドレスや Severity を設定し、OK をクリックします。複数台の Syslog サーバを登録する場合はこの手順を Syslog サーバの台数分、繰り返します。

Step.2 Fabric Policy に Syslog Source を設定する

Step.1 で定義した Syslog 出力先グループを Fabric Policy へ関連付けます。 Fabric → Fabric Policies → Policies → Monitoring → default → Callhome/Smart Callhome/SNMP/Syslog/TACACS をクリックして次へ進みます。

画面上部の Syslog をクリックしてから右上の「+」マークをクリックして次へ進みます。

Syslog Source の名前を任意に決めた後、Dest Group に Step.1 で定義した Syslog Group を定義します。

同様に Fabric → Access Policies → Policies → Monitoring → Common Policy → Callhome/Smart Callhome/SNMP/Syslog/TACACS にも同じ設定をしておきます。

Step.3 Access Policy に Syslog Source を設定する

同様に、Access Policy にも Syslog の設定を行います。 Fabric → Access Policies → Policies → Monitoring → default → Callhome/Smart Callhome/SNMP/Syslog/TACACS をクリックして次へ進みます。

画面上部の Syslog をクリックしてから右上の「+」マークをクリックして次へ進みます。

Syslog Source の名前を任意に決めた後、Dest Group に Step.1 で定義した Syslog Group を定義します。

Step.4 Common Tenant に Syslog Source を設定する

Common Tenant にも同様に Syslog を設定します。 Tenants → common → Policies → Monitoring → default → Callhome/Smart Callhome/SNMP/Syslog/TACACS とクリックした後、右上の Syslog → + とクリックします。表示された「Create Syslog Source」ダイアログに Step.1 で設定した Syslog サーバを指定します。

これで Syslog の設定は完了です。

APIC からの syslog 送信テスト (現状でうまく動作しない…？)

ドキュメントによると APIC から logit コマンドで Syslog の送信テストが出来る、と記載されていますが、実際に試してみるとエラーにもならないのですが、Syslog メッセージも送信されていませんでした… (そのうち、また試してみます)

logit severity 1 dest-grp SyslogDstGroup server 192.168.1.1 "THIS IS A SYSLOG TEST MESSAGE"