access-list hardware-deny-log
- モード
- グローバルコンフィグモード
- カテゴリー
- トラフィック制御 / アクセスリスト
構文
(config)# access-list hardware-deny-log [warn|info] [rate <1-1000>] [burst <1-1000>] [timeout <1-3600>]
(config)# no access-list hardware-deny-log
コマンド説明
ハードウェアACLで破棄されたパケットをログに記録する機能を有効にする。no形式で実行した場合はログ記録を無効にする。
初期設定は無効。
本機能有効時は、logオプション付きのdenyエントリーにマッチしたパケットがログに記録される。
パラメーター
warn- ログをwarningsレベルで出力する
info- ログをinformationalレベルで出力する(省略時設定)
rate <1-1000>- 1時間あたりに出力するログの数(フローごと)。初期値は12
burst <1-1000>- バースト的に出力可能なログの上限数(フローごと)。初期値は5
timeout <1-3600>- フローを受信しなくなった後、製品内部でフローの情報を破棄するまでの時間。初期値は3600(秒)
使用例
ハードウェアACLで破棄されたパケットをログに記録する機能を有効にする。awplus(config)# access-list hardware-deny-log
注意・補足事項
DENYログ機能を使用する場合はcopy-to-cpuアクションとsend-to-cpuアクションを使用しないこと。DENYログ使用時、これらのアクションは正しく動作しない。logオプションを指定したルールによるパケットの破棄はすべてCPUで処理される。破棄対象のトラフィック量によっては高いCPU負荷が発生する可能性があるため、設定を追加する際はCPU負荷に注意しながら実施し、設定後にCPU負荷の高騰が見られた場合は当該破棄ルールからlogオプションを外して利用を停止すること。