セキュリティ : Cisco Security Monitoring, Analysis and Response System

CS-MARS: テクニカルノートのトラブルシューティング

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Cisco Security Monitoring, Analysis, and Response System(CS-MARS)のエラー メッセージについて説明します。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、Cisco Secure MARS バージョン 4.2x/5.2x に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

デバイスを追加する場合のエラー メッセージ

問題

次のエラー メッセージは、Cisco IOS ルータやスイッチなどのデバイスを追加しようとするときに CS-MARS で表示されます。

ssh_rsa_verify: n too small: 512 bits 
key_verify failed for server_host_key

http://www.cisco.com/c/dam/en/us/support/docs/security/security-monitoring-analysis-response-system/99790-CSMARSSSH-01.gif

解決策

問題を解決するには、このソリューションを使用してください。

このエラー メッセージの原因は、ルータ(デバイス)によって生成される 512 ビット キーによりますが、MARS は 1024 ビット以上のキーを想定しています。

この問題を解決するには、次のコマンドを実行し、キーをゼロ化し、ルータで 1024 ビット キーを生成します。

Router#config terminal
Router(config)#crypto key zeroize rsa 
Router(config)#crypto key generate rsa general-keys modulus 1024

警告 警告: シスコでは、デフォルトのキー ペアのゼロ化が VPN トンネル ターミネーションを引き起こす可能性があるため、デフォルトのキー ペアの代わりにラベル付きのキー ペアを使用することを推奨します。 また、デフォルト キーに依存する認証局(CA)のデータにも影響を及ぼす可能性もあります。以下に例を示します。

Router(config)#crypto key generate rsa general-keys label sshkey modulus 1024 exportable
Router(config)#ip ssh rsa keypair-name sshkey

詳細については、『Cisco IOS セキュリティ コマンド リファレンス』を参照してください。

デバイスの追加時にブランク ポップアップ画面が表示される

問題

CS-MARS にデバイスを追加しようとすると、ブランク ポップアップ画面が表示されます。 この問題は、Internet Explorer バージョン 7 ブラウザを使用する場合にのみ発生します。

解決策

これは、Internet Explorer バージョン 7 の既知の問題であり、ブランク ポップアップ画面が機能に影響を及ぼすことはありません。 ブランク画面を閉じて、デバイスの追加を続行することができます。 ブランク ポップアップ画面の問題を回避するには、Internet Explorer バージョン 6 またはその他のブラウザを使用してください。

MARS ドロップ ルール

問題

バージョン 6.0.2 から 6.0.3 にアップグレードした後、ドロップ ルールが無視されるように思われます。

解決策

ドロップ ルールの潜在的問題を修正するには、パッチ リリース 6.0.3(3188)(csmars-6.0.3.3190-customerpatch.zip)で MARS を更新します。

CSM MARS の統合:クロス起動問題

問題

次のエラー メッセージが表示されます。 An internal error has occurred. Please close all the browser windows and ensure that the specific device is added and submitted in Cisco Security Manager (CSM)

解決策

この問題は、ファイアウォールから生成されたアラートが IP アドレスではなく、名前を使用し、CSM MARS の統合が名前を使用するファイアウォール アラートをサポートしていない場合に発生します。

この問題を解決するには、ファイアウォールで no names コマンドを発行し、すべてのファイアウォール アラートに対してクロス起動機能を有効にします。

NFS アーカイブが動作しない

問題

NFS がアーカイブしている間に、「Invalid remote IP or path」エラーを受信する場合があります。

解決策

この問題を解決するには、ウィンドウ サーバの特権レベルを変更するか、サービスを再起動します。

NFS を設定する方法の詳細については、「Windows で NFS サーバを設定する」を参照してください。 ロギングを有効にする方法の詳細については、「NFS イベントのロギングを有効にする」を参照してください。

Oracle データベースの破損

問題

Oracle データベースが破損した場合、次のエラー メッセージを受信する場合があります。

program aborted due to: ORA-01034: ORACLE not available

ORA-27101: shared memory realm does not exist

Linux Error: 2: No such file or directory

解決策

この問題を解決するには、MARS アプライアンスを再イメージします。 MARS を再イメージする方法の詳細については、「ローカル コントローラの再イメージング」を参照してください。

シード ファイルを使用してデバイスを追加できない

問題

CS-MARS にシード ファイルを使用してデバイスを追加しようとすると、次のエラー メッセージが表示されます。

Status: Errors occured while retrieving csv file from ftp server.

解決策

この問題は、シード ファイルがカンマ区切り値(CSV)の形式で保存されていない場合に発生します。 シード ファイルを真の CSV ファイルとして保存する必要があります。 ファイルを Microsoft Excel ファイル(.xls ファイル)として保存しないでください。 MARS は、Microsoft Excel でフォーマットされた .xls ファイルを解釈できないため、シード データのアップロード中にハングアップします。 CS-MARS では、このデータは真のカンマ区切りファイル形式である必要があります。 シード ファイルをセットアップする方法の詳細については、「シード ファイルを使用して複数のレポーティング デバイスと移行デバイスを追加する」を参照してください。

デバイスに接続できない

問題

MARS から 3550 スイッチにアクセスできないときに、このエラーを受信する場合があります。

spawn ssh -c 3des -l marssys 10.15.110.16 
The authenticity of host '10.15.110.16 (10.15.110.16)' can't be established. 
RSA key fingerprint is ca:d6:ca:2c:ea:09:d6:2c:e2:78:d5:97:b6:f6:de:a5. 
Are you sure you want to continue connecting (yes/no)? yes 
Failed to add the host to the list of known hosts
(/opt/janus/release/bin/.ssh/known_hosts). 
ssh_rsa_verify: n too small: 512 bits 
key_verify failed for server_host_key

解決策

このエラーは、スイッチの SSH キーのモジュラス設定が 512 に設定されている場合に発生します。 値は、この数値より大きくする必要があります。

Windows からのログ プリング時のエラー

問題

ンバックエンドからログをプルするときに、次のエラーを受信する場合があります。 Thread 3075656624:winpull: repeated error pulling from 10.1.1.52, look in backend log for full info of the error

解決策

このエラーは、イベント ログをプルするために使用する学習済み Windows アカウントが、サーバの MARS アカウントに対する権限を付与されていない場合に発生します。

System Rule: Inactive CS-MARS Reporting Device

問題

MARS が次のルールをレポートします。

System Rule: Inactive CS-MARS Reporting Device. And did not receive syslogs.

解決策

このルールは、この時間内にイベントをレポートしていないレポーティング デバイスを検出します。 ファイアウォールや IDS などのチャティ デバイスの場合、このエラーは接続の問題またはデバイス自体の問題を示す場合があります。 このルールは、チャティ ネットワーク インフラストラクチャ デバイスのみを組み込むように範囲を限定する必要があります。

デバイス設定のエクスポート範囲内のエラー

問題

デバイス設定をエクスポートしようとするときに、プロセスが実行されるように見えますが、SFTP サーバに設定ファイルがありません(プロセスが作成したフォルダは空でした)。 また、Error: failed to save file to the remote host を受信する場合もあります。

解決策

ユーザが使用するアカウントに書き込みアクセス権があることを確認します。 Cisco では、Windows で Cygwin SFTP サーバを使用することを推奨します。

Cisco Security MARS は、4.x から 6.0.1 にデータをアーカイブまたは移行するストレージ メディアとして、SFTP サーバをサポートします。 Windows で Cygwin および OpenSSH を設定する方法の詳細については、「Windows で Cygwin SFTP サーバを設定する」を参照してください。 これは、Windows XP 上の Cygwin SFTP サーバを対象とします。

CS-MARS でパスワードをリセットできない

問題

CS-MARS のパスワードをリセットできません。

解決策

ユーザ名およびパスワードとして pnadmin を使用します。 このパスワードが機能しない場合、MARS センサーでパスワードをリセットする唯一の方法は、アプライアンスを基本的に再イメージするリカバリ DVD を使用することです。 リカバリ CD/DVD を使用する前に、ライセンス キーが書き込まれていることを確認します。 CS-MARS のパスワードをリセットする方法の詳細については、「失われた管理パスワードの回復」を参照してください。

ローカル コントローラがグローバル コントローラと正しく同期しない

問題

ローカル コントローラ(LC)がグローバル コントローラ(GC)と正しく同期しません。

解決策

LC と GC の両方に同じシグニチャがあることを確認します。 LC と GC が支障なく同期するには、両方に同じシグニチャがなければなりません。

CS-MARS のバージョン 4.3.6 から 6.0.2 に設定をインポートする場合のエラー

問題

CS-MARS のバージョン 4.3.6 から 6.0.2 に設定をインポートするときに、Configuration import failed with error code: 111 エラーを受信する場合があります。

解決策

設定は、CS-MARS バージョン 4.3.6 からバージョン 6.0.1 にのみインポートできます。 6.0.2 にインポートすることはできません。 この問題を解決するには、4.3.6 から 6.0.1 に設定をインポートしてから、CS-MARS を 6.0.2 に再イメージします。

CS-MARS バージョン 6.0.4 から設定をインポートする場合のエラー

問題

CS-MARS でバージョン 4.x から 6.0.4 に設定をインポートするときに、Error: no configuration archive found. This tool only supports importing configuration archive generated by 4.3.1 release or later with the exception of 5.x.x releases. を受信する場合があります。

解決策

設定は、CS-MARS バージョン 4.x からバージョン 6.0.1 にのみインポートできます。 6.0.2 にインポートすることはできません。 この問題を解決するには、4.x から 6.0.1 に設定をインポートしてから、CS-MARS を 6.0.4 に再イメージします。

CS-MARS の移行の詳細については、「Cisco Security MARS 4.x から 6.0.X へのデータ移行」を参照してください。

エラー: Configuration error: host name does not match janus.conf:: janusBoxName.

問題

CS-MARS をアップグレード後、次のエラーを受信する場合があります:

エラー: Configuration error: host name does not match janus.conf:: janusBoxName. Please contact Cisco for support.

解決策

このエラーは、Cisco Bug ID CSCsh82939登録ユーザ専用)が原因で発生します。 今後この問題を回避するには、再イメージ後および pnrestore の前に、新しいデフォルト「ホスト名」で pnrestore を実行する代わりに、ホスト名を元のホスト名に変更することを推奨します。

CS-MARS のバージョン 6.0.1(2990) からメインライン リリース 6.0.3(3188) に設定をインポートができない

問題

CS-MARS のバージョン 6.0.1 から 6.0.3 に設定をインポートするときに、次のエラーを受信する場合があります。

File gen_or_06_0_13.sql missing from schema.
Configuration import failed with error code: 1
Configrestore failed!
Error: failed to import config data

解決策

pnexp および pnimp コマンドを使用する場合、設定は同じ MARS のバージョンにのみバックアップされ、復元されます。 唯一の例外は、バージョン 4.x からバージョン 6.0.1 への移行です。 この手順は、バージョン 6.0.1 からバージョン 6.0.3 への移行では動作しません。

元のバージョン 6.0.1(以前に pnexp コマンドを実行した)を使用して MARS を再イメージし、pnimp を使用して設定を復元し、pnupgrade ユーティリティを使用して 6.0.1 から 6.0.2 へと 6.0.2 から 6.0.3 への 2 つの逐次アップグレードを完了します。

注: CS-MARS の大きなモデルから小さなモデルへのデータの復元はサポートされません。 たとえば、MARS 100 から MARS 50 にデータを復元することはできません。

すべての重大度レベル RED ルールに対応する MARS での電子メール アラートを設定できない

問題

すべての重大度レベル RED ルールに対応する MARS で電子メール アラートを設定できません。

解決策

すべての重大度レベルの赤色のルールに対応する電子メール アラートを 1 ステップで設定することはできません。 ルールごとに電子メール アラートを設定する必要があります。 カスタム ルール([Rules] > [Add])を作成し、重大度を除くすべてのパラメータに any 選択します。 重大度パラメータでは、RED 選択し、すべての重大度レベル RED に対応する MARS の電子メール アラートを設定する電子メールを送信するアクションを設定します。 詳細については、「アラート アクションを送信するルールの設定」を参照してください。

詳細については、Cisco Bug ID CSCse89349登録ユーザ専用)を参照してください。

MARS 自動シグニチャ アップデート機能が動作しない

問題

インターネットにアクセスするためにプロキシまたはプロキシ/キャッシングを使用する場合、MARS の自動シグニチャ アップデートの機能が動作しません。 自動シグニチャ アップデート時に、次のエラー メッセージを受信する場合があります。 unable to connect to the server, please check the URL,User name and password

解決策

インターネットにアクセスするためにプロキシまたはプロキシ/キャッシング サーバを使用する場合、MARS はダイナミック IPS シグニチャ アップデートをダウンロードできません。 プロキシ/キャッシング サーバを使用する場合、次の URL から手動でシグニチャ アップデート ファイルをダウンロードできます。 http://www.cisco.com/cgi-bin/tablebuild.pl/mars-ips-sigup/登録ユーザ専用)。 MARS の自動シグニチャ アップデートに関する詳細については、「IPS シグニチャのダイナミック アップデートの設定」を参照してください。

Unknown Device Event Type

問題

CS-MARS は、より高度なシグニチャ アップデート中に次のエラーをレポートします。 Unknown Device Event Type

解決策

CS-MARS は、センサーよりも高度なシグニチャ アップデートを行うため、 解析において問題が起きることはありません。 ただし、センサーが CS-MARS よりも高度なシグニチャ アップデートを行う場合、CS-MARS は最新のシグニチャを直接解析できないため、CS-MARS は未知のデバイス イベント タイプを生成する場合がありますが、 未処理のイベント データは引き続き存在します。 潜在的に目立たないイベント メッセージ以外に、CS-MARS へのパフォーマンスの影響はありません。

注: カスタム シグニチャは、CS-MARS の「未知のデバイス イベント タイプ」として分類されます。 ただし、シグニチャ検索機能は予定どおり動作します。

NetFlow に対応する MARS を設定できない

問題

NetFlow 対応 MARS を設定すると問題が発生します。

解決策

NetFlow は、ネットワーク トラフィックのモニタリングをサポートするシスコの技術であり、すべての基本的な IOS イメージでサポートされます。 MARS は、レポーティング デバイスから送信される NetFlow を収集し、(データベースに保存するかどうかに応じて)さまざまなレベルの機能を提供します。 保存されると、NetFlow は照会が可能になり、そのためのレポート、ルール、およびインシデントを用意することができます。 NetFlow 対応 MARS の設定方法と NetFlow が動作する仕組みの詳細については、「NetFlow の異常検出の概要」を参照してください。 また、NetFlow 設定の詳細については、「MARS での NetFlow セキュリティ イベント ロギング(NSEL)設定のタスクフロー」を参照してください。

CS-MARS が複数の宛先をポート 0 としてレポートする

問題

CS-MARS は、複数の宛先をポート 0 としてレポートします。 宛先ポートは 0 であり、宛先 IP アドレスは 0.0.0.0 になる場合があります。

解決策

これは、レポーティング デバイスのイベント タイプの一部が複数の宛先ポートまたは IP アドレスをレポートするために予期される CS-MARS の動作です。 MARS は、この情報を単一の値(0)に統合するだけです。 この動作をトリガーした MARS にレポートされたデータに懸念がある場合、複数の宛先ポートまたは IP アドレスを含む、MARS にレポートされる情報を表示するには、この動作をトリガーした 1 つ以上のレポーティング デバイスに対して All Matching Events Raw Messages タイプのクエリーを実行できます。 未処理のイベントを選択した [All Matching Events Raw Messages] では、[Event ID]、[Event Type]、[Time]、[Reporting Device]、および [Raw Message] がフィールドとして表示されます。

CS-MARS イベントが送信元を 0.0.0.0 ポート 0 としてレポートする

問題

CS-MARS で、送信元を 0.0.0.0 ポート 0 としてレポートするイベントが発生します。

解決策

CS-MARS では、IP アドレス 0.0.0.0 は、このフィールドの情報が存在しないことを意味します。 これは CS-MARS で使用される表記法です。 IP アドレスとポート 0.0.0.0 と 0 は、それぞれ次の 2 つの場合に表示されます。

  1. syslog で指定されなかった場合

  2. 複数の値がある場合(IP またはポートが 2 つ以上ある場合)

program aborted due to: ORA-01033: Oracle initializing or shutdown in progress.

問題

このエラーは、CS-MARS の CLI で pnstart または pnstop によってサービスを開始または停止しようとすると発生します。

program aborted due to: ORA-01033: Oracle initializing or shutdown in progress.

このエラー メッセージは、データベースがクラッシュしたことを示します。

解決策

このエラーは、CS-MARS を再イメージしてから設定をインポートすることで解決します。

CS-MARS で設定のみバックアップできない

問題

CS-MARS 内にデータなしで、デバイスの設定をバックアップすることはできません。

解決策

MARS アプライアンスからデータをアーカイブし、そのデータを使用して、オペレーティング システム(OS)、システム設定、ダイナミック データ(イベント データ)、または完全なシステムを復元できます。 このアプライアンスは、Network File System(NFS)プロトコルによって、外部ネットワーク接続ストレージ(NAS)システムとの間でデータをアーカイブおよび復元します。 すべてのデータとデバイスの設定をアーカイブすると、デバイス設定のみが復元されるようにデバイス設定情報のみを復元します。 CS-MARS でのアプライアンス データ バックアップの詳細については、「アプライアンス データ バックアップの設定および実行」を参照してください。

DVD によるソフトウェアのアップグレード

問題

CS-MARS で DVD によりイメージをアップグレードできません。

解決策

CS-MARS は、DVD をリカバリ イメージとして認識しません。 この問題を解決するには、CD を 4 倍速で書き込みます。 CS-MARS での DVD によるアプライアンス ソフトウェアのアップグレードの詳細については、「リカバリ DVD のダウンロードおよび焼き付け」を参照してください。

raidstatus コマンドを実行できない

問題

CS-MARS で raidstatus コマンドを実行できません。

解決策

CS-MARS は、低価格モデル(20 または 50)では raidstatus コマンドをサポートしておりません。 このコマンドは、モデル 100、100E、および 200 でのみサポートされます。

未知のレポーティング デバイス IP

問題

デバイスは、MARS システムでは未知のレポーティング デバイス IP としてレポートされます。

解決策

この問題は、データが発信された送信元 IP アドレスに基づいて受信され、その設定(設定されたレポーティング デバイスの送信元 IP アドレスに一致する)で検索を実行するため、CS-MARS タグのイベント データが原因で発生します。 一致が見つからない場合、デバイスは「未知のレポート デバイス IP」としてタグ付けされます。これは、IP アドレスのデバイスのタイプおよび実行するソフトウェア/コードのバージョンなどのイベント データを MARS が解析/理解できるようにするためのすべての要件を認識するように、ユーザが MARS を設定しなかったことを意味します。

確認するには、対象の IP アドレス(複数可)に注目し、MARS GUI で [ADMIN] > [System Setup] > [Security and Monitor Devices] ページに移動します。 同じ IP アドレス(複数可)がリストされていないことを確認します。 確認後、この問題を解決するには、適切なレポーティング デバイス(および未知として表示されたその他すべてのネットワーク デバイス)を追加します。

CS-MARS でアップデート パッケージをダウンロードするときに受信したエラー

問題

CS-MARS のアップデート パッケージをダウンロードする際、次のエラーを受信する場合があります。

Cisco.com Package List\n An error occurred while accessing Cisco.com: An error occurred accessing Cisco.com. Error Code: ERR_INTERNAL

解決策

このエラーは、origin-www.cisco.com(HTTPS/443 経由)および software-sj.cisco.com(HTTP/80 経由)への完全な発信アクセスがファイアウォールに設定されていない場合に発生します。 この問題を解決するには、origin-www.cisco.com(HTTPS/443 経由)および software-sj.cisco.com(HTTP/80 経由)への完全な発信アクセスを許可するようにファイアウォール(存在する場合)が設定されていることを確認します。

CS-MARS で FWSM を追加できない

問題

CS-MARS で FWSM を追加できません。

解決策

FWSM モジュールをスイッチに追加する前に、MARS に基本モジュール(Cisco スイッチ)を追加して設定する必要があります。 詳細については、「シスコ製ファイアウォール デバイスの設定」を参照してください。

NTLMv2 が CS-MARS で動作しない

問題

CS-MARS で NTLMv2 を使用できません。

解決策

NTLMv2 は CS-MARS ではサポートされていません。 したがって、CS-MARS で NTLMv2 を使用することはできません。

CS-MARS が「kernel panic 5」コンソール メッセージによりクラッシュする

問題

CS-MARS は、コンソール上に「kernel panic 5」というメッセージを表示してクラッシュします。 メッセージには、次の情報が含まれています。 CET Fatal ./csips Thread 62385072:Exiting the process as OUT_OF_MEMORY returned by CURL. superV will restart the process.

解決策

通常、この問題は CS-MARS アプライアンスのメモリの高使用率と一緒に表示されます。 システム インベントリ情報を表示するコマンドを実行すると、この問題が発生する可能性があります。 詳細については、Cisco Bug ID CSCsm40349登録ユーザ専用)を参照してください。

起動中の CS-MARS でのエラー

問題

CS-MARS の起動時に、次のエラーを受信する場合があります。

//dev/hda2 UNEXPECTED INCONSISTENCY; RUN fsck MANUALLY.

解決策

この問題を解決するには、CS-MARS デバイスを再イメージします。 デバイスを再イメージする前に、手動で fsck を実行することもできます。

CS-MARS デバイスを再イメージする方法の詳細については、「ローカル コントローラの再イメージング」を参照してください。

デバイス アップグレード中の CS-MARS でのエラー

問題

csmars-6.0.2.2102.30 から csmars-6.0.3.3188.32 にアップグレードする際に、次のエラーを受信する場合があります。

[[Error][check_dependency/541]: minimal allowed version(6.0.2.3102.31) > current version(6.0.2.3102.30)

解決策

このエラーは、以前のバージョンのアップグレード時に、データ バージョンが正しく更新されなかった場合に発生する可能性があります。

この問題を解決するには、CLI から 6.0.2 へのアップグレードを実行します。 ソフトウェア バージョンのアップグレードはスキップされますが、データ バージョンのアップグレードは実行されます。 その後、バージョン 6.0.3 にアップグレードできます。

version CLI コマンドを使用して、現在のバージョンを確認します。

CS-MARS デバイスをアップグレードする方法の詳細については、「CLI からのアップグレード」を参照してください。

MARS GUI ナビゲーションが 5.x から 6.0(4) にアップグレード後遅くなる

問題

5.3.1 から 6.0 にアップグレード後、MARS GUI によるパフォーマンスの問題が発生する場合があります。

解決策

この問題を解決するには、バージョン 6.0.6 にアップグレードします。

レポートが他のアプリケーションにエクスポートされない

問題

PowerPoint、PDF、Word、または Excel などの見栄えのよい形式では、MARS からレポートをエクスポートできません。

解決策

CS-MARS には、レポートを他のアプリケーションにエクスポートする機能が組み込まれています。 CS-MARS は、次の 2 つのレポート形式のみサポートします。

  • カンマ区切り値(CSV)

  • HTML

注: レポートを CSV ファイルとして表示するように選択した場合は、ファイルをコンピュータに保存し、サードパーティ製アプリケーションで CSV ファイルを開く必要があります。 詳細については、「既存のレポートでの操作」参照してください。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 99790