Cisco Content Security and Control SSM アドミニストレータ ガイド Version 6.1
Trend Micro InterScan for Cisco CSC SSM のトラブルシューティング
Trend Micro InterScan for Cisco CSC SSM のトラブルシューティング
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

Trend Micro InterScan for Cisco CSC SSM のトラブルシューティング

インストール時のトラブルシューティング

インストールに失敗した場合の対処法

アクティベーションのトラブルシューティング

基本機能のトラブルシューティング

ログインできない

失ったパスワードの回復

要約ステータスとログ エントリが同期していない

HTTP 接続の遅延

一部の Web サイトへのアクセス速度が遅い、またはアクセスできない

パケット キャプチャの実施

FTP ダウンロードが実行できない

CSC モジュールの再イメージまたは回復

スキャン機能のトラブルシューティング

パターン ファイルをアップデートできない

スパムが検出されない

スパム スタンプ識別情報が作成できない

許容できない数のスパムの false positive が検出される

スパムの false positive を許容できない

許容できない大量のスパムが検出される

ウイルスは検出されるがクリーニングされない

ウイルスのスキャンが動作しない

不正な ASA ファイアウォール ポリシー設定のためにスキャンが動作しない

CSC SSM が障害ステータスにあるためにスキャンが動作しない

大容量ファイルのダウンロード

スキャン サービスの再起動

パフォーマンスのトラブルシューティング

CSC SSM コンソールがタイムアウトした

ステータス LED が 1 分以上点滅する

SSM が ASDM と通信できない

ASDM を使用しないログイン

CSC SSM のスループットが ASA よりはるかに低い

Knowledge Base の使用

Security Information Center の使用

CSC SSM Syslog の概要

SSM アプリケーションのミスマッチ [1-105048]

CSC カードの障害のためにトラフィックが破棄された [3-421001]

適用外のトラフィックをスキップする [6-421002]

無効なカプセル化によって ASDP パケットが破棄された [3-421003]

パケットを挿入できない [7-421004]

アカウント ホスト数がライセンスの上限に近づいている [6-421005]

日単位のノード カウント [5-421006]

CSC カードの障害のためにトラフィックが破棄された [6-421007]

新しいアプリケーションが検出された [5-505011]

アプリケーションが停止した [5-505012]

アプリケーションのバージョンが変更されている [5-505013]

データ チャネルの通信障害 [3-323006]

データ チャネルの通信は正常 [5-505010]

ウイルス検出イベント

スパイウェア/グレーウェアの検出イベント

SMTP/POP3 アンチスパム イベント

HTTP URL フィルタリング イベント

HTTP URL ブロッキング イベント

Syslog アダプタの起動

ライセンス アップグレードの通知

スキャン サービスに障害が発生

スキャン サービスが回復

CSC SSM ステータス メッセージ

CSC SSM のリソース アベイラビリティが必要なレベルを下回る

CSC SSM のリソース アベイラビリティが復元された

システム モニタが開始した

CSC が接続をアクティブに切断した

接続キャパシティに達した

接続キャパシティが復元された

スケジュール アップデート レポート

フェールオーバー サービスに内部エラーが発生

フェールオーバー サービス通信に障害が発生

フェールオーバー サービス電子メールを送信できなかった

サービス モジュール情報レポート

サービス モジュールが module 1 の詳細を表示

ASA シャーシとの時刻の同期化に失敗

サービス モジュールは FIFO を作成できなかった

サービス モジュールの内部通信エラー

ASA シャーシとの通信中にサービス モジュールに問題が発生

Cisco TAC にお問い合せになる前に

Trend Micro InterScan for Cisco CSC SSM のトラブルシューティング

この章では、サポートについて Cisco TAC にお問い合せになる前に、潜在的な問題を解決するための有益な情報を提供します。次の項で構成されています。

「インストール時のトラブルシューティング」

「インストールに失敗した場合の対処法」

「アクティベーションのトラブルシューティング」

「基本機能のトラブルシューティング」

「ログインできない」

「失ったパスワードの回復」

「要約ステータスとログ エントリが同期していない」

「HTTP 接続の遅延」

「一部の Web サイトへのアクセス速度が遅い、またはアクセスできない」

「FTP ダウンロードが実行できない」

「スキャン機能のトラブルシューティング」

「パターン ファイルをアップデートできない」

「スパムが検出されない」

「スパム スタンプ識別情報が作成できない」

「許容できない数のスパムの false positive が検出される」

「スパムの false positive を許容できない」

「許容できない大量のスパムが検出される」

「ウイルスは検出されるがクリーニングされない」

「ウイルスのスキャンが動作しない」

「大容量ファイルのダウンロード」

「スキャン サービスの再起動」

「パフォーマンスのトラブルシューティング」

「CSC SSM コンソールがタイムアウトした」

「ステータス LED が 1 分以上点滅する」

「SSM が ASDM と通信できない」

「ASDM を使用しないログイン」

「CSC SSM のスループットが ASA よりはるかに低い」

「CSC SSM Syslog の概要」

「SSM アプリケーションのミスマッチ [1-105048]」

「CSC カードの障害のためにトラフィックが破棄された [3-421001]」

「適用外のトラフィックをスキップする [6-421002]」

「無効なカプセル化によって ASDP パケットが破棄された [3-421003]」

「パケットを挿入できない [7-421004]」

「アカウント ホスト数がライセンスの上限に近づいている [6-421005]」

「日単位のノード カウント [5-421006]」

「CSC カードの障害のためにトラフィックが破棄された [6-421007]」

「新しいアプリケーションが検出された [5-505011]」

「アプリケーションが停止した [5-505012]」

「アプリケーションのバージョンが変更されている [5-505013]」

「データ チャネルの通信障害 [3-323006]」

「データ チャネルの通信は正常 [5-505010]」

「Knowledge Base の使用」

「Security Information Center の使用」

「CSC SSM Syslog の概要」

「Cisco TAC にお問い合せになる前に」

インストール時のトラブルシューティング

次に、インストールを正しく実行するためのコマンドライン バージョンについて説明します。インストール中に問題が発生した場合は、「インストールに失敗した場合の対処法」を参照してください。

コマンドライン インターフェイスを通じて CSC SSM をインストールするには、次の手順を実行します。


ステップ 1 コマンドライン プロンプトから次のように入力してインストールを開始します。

hostname# hw-module module 1 recover configure
 

次のような出力が表示されます。

Image URL [tftp://171.69.1.129/dqu/sg-6.0-1345-tftp.img]:
Port IP Address [30.0.0.3]:
VLAN ID [0]:
Gateway IP Address [30.0.0.254]:
hostname# hw-module module 1 recover boot
 
The module in slot 1 will be recovered. This may
erase all configuration and all data on that device and
attempt to download a new image for it.
Recover module in slot 1? [confirm]
Recover issued for module in slot 1
hostname#
hostname# debug module-boot
debug module-boot enabled at level 1
 

ステップ 2 約 1 分後に、CSC-SSM の ROMMON が実行され、次のようなメッセージが出力されます。

hostname# Slot-1 206> Cisco Systems ROMMON Version (1.0(10)0) #0: Sat Mar 26 00:13:50 PST 2005
Slot-1 207> morlee@bowmore:/pixab/biosbuild/1.0.10.0/boot/rommon
Slot-1 208> Platform ASA-SSM-AIP-10-K9
Slot-1 209> GigabitEthernet0/0
Slot-1 210> Link is UP
Slot-1 211> MAC Address: 000b.fcf8.01b3
Slot-1 212> ROMMON Variable Settings:
Slot-1 213> ADDRESS=30.0.0.3
Slot-1 214> SERVER=171.69.1.129
Slot-1 215> GATEWAY=30.0.0.254
Slot-1 216> PORT=GigabitEthernet0/0
Slot-1 217> VLAN=untagged
Slot-1 218> IMAGE=dqu/sg-6.0-1345-tftp.img
Slot-1 219> CONFIG=
Slot-1 220> LINKTIMEOUT=20
Slot-1 221> PKTTIMEOUT=2
Slot-1 222> RETRY=20
Slot-1 223> tftp dqu/sg-6.0-1345-tftp.img@171.69.1.129 via 30.0.0.254
 

ステップ 3 SSM は、イメージをダウンロードするために TFTP サーバに接続を試みます。数分後に、次のような出力が表示されます。

Slot-1 224> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Slot-1 225> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Slot-1 226> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Slot-1 227> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Slot-1 228> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
. . . [ output omitted ]. . .
Slot-1 400> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Slot-1 401> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Slot-1 402> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Slot-1 403> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Slot-1 404> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Slot-1 405> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Slot-1 406> Received 59501255 bytes
 

ステップ 4 TFTP のダウンロードが終了します。受信したバイト数に注意してください。このバイト数はユーザの CSC SSM イメージと同じサイズになるはずです。次に、ROMMON がこのイメージを起動します。

Slot-1 407> Launching TFTP Image...
 

ステップ 5 イメージが解凍され、インストールされます。数分すると、CSC SSM がリブートします。次のようなメッセージが表示されます。

Slot-1 408> Cisco Systems ROMMON Version (1.0(10)0) #0: Sat Mar 26 00:13:50 PST 2005
Slot-1 409> morlee@bowmore:/pixab/biosbuild/1.0.10.0/boot/rommon
Slot-1 410> Platform ASA-SSM-AIP-10-K9
Slot-1 411> Launching BootLoader...
 

ステップ 6 1、2 分後に、CSC SSM がブートします。システムのブート時に次のように表示されることを確認してください。

hostname# show module 1
 

次のような出力が表示されます。

Mod Card Type Model Serial No.
--- -------------------------------------------- ------------------ -----------
1 ASA 5520/5530 AIP Security Service Module-10 ASA-SSM-AIP-10-K9 P00000000TT
 
Mod MAC Address Range Hw Version Fw Version Sw Version
--- --------------------------------- ------------ ------------ ---------------
1 000b.fcf8.01b3 to 000b.fcf8.01b3 1.0 1.0(10)0 CSC SSM 6.0 (Build#1345)
 
Mod SSM Application Name Status SSM Application Version
--- ------------------------------ ---------------- --------------------------
1 CSC SSM Down 6.0 (Build#1345)
 
Mod Status Data Plane Status Compatibility
--- ------------------ --------------------- -------------
1 Up Up

Mod Status テーブル(出力の最終行)に「Up」というインスタンスが 2 つ表示されているかどうか確認してください。SSM Application Name テーブルの Status フィールドに「Down」と表示されている場合は、カードがまだアクティブ化されていないことを示しています。


 

インストールに失敗した場合の対処法

表8-1 に、「インストール時のトラブルシューティング」で説明したインストールに失敗した場合の対処法を手順別に示します。

 

表8-1 インストールに失敗した場合の対処法

インストールの失敗が発生したステップ
処置

ステップ 2

Cisco TAC にお問い合せください。

ステップ 3

1. ユーザの TFTP サーバが CSC SSM と同じ IP サブネットにある場合は、ゲートウェイの IP アドレスを 0.0.0.0 に設定したことを確認してください。

2. ルータまたはファイアウォールが CSC SSM とユーザの TFTP サーバとの間に存在する場合は、これらのゲートウェイで UDP ポート 69 を介して TFTP トラフィックが通過できることを確認してください。また、該当するルータがこれらのゲートウェイに正しく設定されていることも確認します。

3. イメージ パスが TFTP サーバ上に存在し、ディレクトリとファイルがすべてのユーザから読み取り可能であることを確認します。

ステップ 4

ダウンロードされた合計バイト数を確認します。このバイト数が CSC SSM イメージのサイズと異なる場合は、ユーザの TFTP サーバがそのサイズのイメージのファイルをサポートしていない可能性があります。この場合は、別の TFTP サーバを使用してください。

ステップ 5

イメージを再びダウンロードし、再度インストールします。2 度目もインストールできなかった場合は、Cisco TAC にお問い合せください。

ステップ 6

イメージを再びダウンロードし、再度インストールします。2 度目もインストールできなかった場合は、Cisco TAC にお問い合せください。

アクティベーションのトラブルシューティング

他の処置を講じる前に、ASA にクロックが正しく設定されていることを確認してください。詳細については、『 Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide 』および ASDM のオンライン ヘルプを参照してください。

次に、 show module show module 1 、および show module 1 details コマンドを使用して CSC SSM のアクティブ化が正しく実行されていることを確認してください。これらのコマンドの出力を使用しても問題を解決できない場合は、Cisco TAC にお問い合せください。

基本機能のトラブルシューティング

次の項では、ログインまたはパスワードの回復といった、基本機能で発生する可能性のある問題の対処法について説明します。

「ログインできない」

「失ったパスワードの回復」

「要約ステータスとログ エントリが同期していない」

「HTTP 接続の遅延」

「一部の Web サイトへのアクセス速度が遅い、またはアクセスできない」

「FTP ダウンロードが実行できない」

「Knowledge Base の使用」

ログインできない

セットアップ ウィザードを使用して Trend Micro InterScan for Cisco CSC SSM をインストールしたときに、管理者パスワードを指定しています。ログインするには、インストレーション時に作成したこのパスワードを使用する必要があります。このパスワードは、ASDM にアクセスするのに使用するパスワードとは異なります。パスワードは大文字と小文字を区別するため、文字を正確に入力する必要があります。

パスワードを忘れた場合は、回復することができます。詳細については、「失ったパスワードの回復」 を参照してください。

失ったパスワードの回復

ASDM および CSC SSM を管理するには、次の 3 種類のパスワードを使用します。

ASDM および Web のインターフェイス パスワード

CLI パスワード

ルート アカウント パスワード

この 3 種類のパスワードとも、デフォルトのエントリは「cisco」です。

これらのうちのいずれか、または複数のパスワードをなくした場合に回復する方法は、次のとおりです。

ASDM および Web のインターフェイス パスワードはあるが、シスコおよびルート アカウントのパスワードをなくした場合は、Web インターフェイスを通じて CSC SSM の管理を継続できます。ただし、将来の必要時にコマンドライン インターフェイスまたはルート アカウントを使用できません。 この 2 種類のパスワードを回復するには、後述の手順で CSC SSM の再イメージとコンフィギュレーションの復元を行ってください。

CLI パスワードしかない場合は、CSC SSM にログインして Restore Factory Defaults オプションに移動し、SSM をリセットしてください。これでデバイスの再イメージと同じ効果があります。その後、保存済みのコンフィギュレーションをインポートします。Restore Factory Defaults オプションについては、「工場出荷時のデフォルトの復元」を参照してください。

ルート アカウント パスワードしかない場合は、ログインして password コマンドを使用して CLI パスワードを設定します。その後、上の項目と同様の手順に進みます。


注意 ルート アカウントへのアクセスは、Cisco TAC の監視のもとでのみ行ってください。ルート アカウント経由で行われた、認められていない変更はサポートされません。適正な動作を保証するためにデバイスを再イメージすることが必要になります。

3 種類のパスワードすべてをなくした場合には、次の手順でデバイスを再イメージし、コンフィギュレーションを復元する必要があります。

CSC SSM を再イメージしてコンフィギュレーションを回復するには、次の手順を実行します。


ステップ 1 CSC SSM を再イメージして、工場出荷時のデフォルト設定に戻します。再イメージすると、工場出荷時のデフォルトのソフトウェア イメージが SSM に転送されます。イメージの転送については、「コマンドラインを使用した CSC SSM の再イメージと設定」で説明されています。

ステップ 2 再イメージ後は、すべてのパスワードがデフォルト値に復元されます。これで、デフォルトのパスワード「cisco」を使用してログインし、ASDM および Web のインターフェイス パスワードを新たに作成できるようになります。

ステップ 3 作成した新規 ASDM および Web のインターフェイス パスワードを使用して、CSC SSM インターフェイスにアクセスします。Administration > Configuration Backup の順にクリックします。

ステップ 4 最新のコンフィギュレーションのバックアップをインポートして、コンフィギュレーション設定を復元します。

ステップ 5 デフォルトのパスワード「cisco」を使用して、コマンドライン インターフェイスおよびルート アカウントにアクセスし、デフォルトの CLI およびルート アカウント パスワードをアップデートします。


 

要約ステータスとログ エントリが同期していない

場合によっては、Summary ウィンドウの Mail (SMTP)、Mail (POP3)、Web (HTTP)、および File Transfer (FTP)の各種タブに表示されるカウンタが、ログ レポートに表示される統計情報と同期していない場合があります(CSC SSM コンソールで Logs > Query をクリックしてログにアクセスします)。この「不整合」は次の理由によるものです。

デバイス エラーまたはパッチ インストール後のリブートのいずれかで発生したリブートによって、ログがリセットされている。

SSM のメモリ ストレージが足りないために、ログが消去されることがある。

HTTP 接続の遅延

CSC SSM で URL のフィルタリングをイネーブルにしている場合は、30 秒程度の遅延が発生することがありますが、CSC SSM はインターネットに接続するのに HTTP を使用しません。Trend Micro では、異なるカテゴリの URL を保管するオンライン データベースを維持しています。CSC SSM は、クライアントからの HTTP 要求を代行受信する場合に、URL データベースへのアクセスを試みます。CSC SSM へのインターネット アクセスが実行できない場合は(直接またはプロキシ経由で)、URL フィルタリングをディセーブルにしてください。

一部の Web サイトへのアクセス速度が遅い、またはアクセスできない

銀行やオンライン ショッピング サイトなどの Web サイトや、他の特定の用途のサーバでは、クライアントの要求に応答する前に、追加のバックエンド処理を必要とする場合があります。CSC SSM では、クライアント要求とサーバ応答の間に 90 秒のタイムアウトがハードコードされており、これによってトランザクションが CSC SSM のリソースを長時間占有することを防止します。これは、トランザクションの処理が長時間に及ぶと失敗することを意味しています。

これを回避するには、サイトをスキャンの対象から外します。コマンドライン インターフェイスでこれを行う場合は、たとえば IP アドレスが 192.168.10.10 の外部ネットワークに対して、次のように実行します。

! exempt http traffic to 192.168.10.10
access-list 101 deny tcp any host 192.168.10.10 eq http
! catch everything else
access-list 101 permit tcp any eq http
class-map my_csc_class
match access-list 101
policy-map my_csc_policy
class my_csc_class
csc fail-close
service-policy my_csc_policy interface inside
 

このように設定すると、192.168.10.10 までの HTTP トラフィックは CSC SSM からスキャンされなくなります。

パケット キャプチャの実施

CSC SSM を経由せずにアクセス可能なサイトはあるが、トラフィックがスキャンされているためにアクセスできない場合は、Cisco TAC にこの URL を報告してください。可能な場合は、パケット キャプチャを実施し、結果を Cisco TAC にも送信してください。たとえば、クライアントの IP アドレスが 1.1.1.1、外部 Web サイトの IP アドレスが 2.2.2.2 だとすると、次のようになります。

access-list cap_acl permit tcp host 1.1.1.1 host 2.2.2.2
access-list cap_acl permit tcp host 2.2.2.2 host 1.1.1.1
capture cap access-list cap_acl interface inside
capture cap access-list cap_acl interface outside
 

FTP ダウンロードが実行できない

FTP にログインはできるが FTP 経由のダウンロードが実行できない場合は、 inspect ftp 設定が ASA でイネーブルになっているか確認してください。詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。

CSC モジュールの再イメージまたは回復

CSC モジュールの再イメージまたは回復の間、誤ったTFTPサーバのアドレスまたはファイル名が入力される可能性があります。このような事態が発生すると、CSC モジュールは継続的にリブートし、提供された無効な設定情報を使用して再イメージを試みます。再イメージのプロセスを停止して設定を修正するには、指定された設定モードで hw module 1 recover stop コマンドを入力します。

スキャン機能のトラブルシューティング

次の項では、ウイルスまたはスパムのスキャンで発生する可能性のある問題の対処法について説明します。

「パターン ファイルをアップデートできない」

「スパムが検出されない」

「スパム スタンプ識別情報が作成できない」

「許容できない数のスパムの false positive が検出される」

「スパムの false positive を許容できない」

「許容できない大量のスパムが検出される」

「ウイルスは検出されるがクリーニングされない」

「ウイルスのスキャンが動作しない」

「大容量ファイルのダウンロード」

「スキャン サービスの再起動」

パターン ファイルをアップデートできない

パターン ファイルが期限切れでアップデートできない場合は、ご使用の Maintenance Agreement が失効している可能性が高いです。Administration > Product License ウィンドウの Expiration Date フィールドを確認してください。過去の日付が表示されている場合は、Maintenance Agreement を更新するまではパターン ファイルをアップデートできません。

これ以外に考えられる原因は、Trend Micro ActiveUpdate サーバが一時的にダウンしていることです。数分後に、再度アップデートを試みてください。

スパムが検出されない

アンチスパム機能が動作していないように見える場合は、次の点を確認してください。

Plus ライセンスをインストールしてある。

この機能をイネーブルにしていても、アンチスパムのオプションはデフォルトではイネーブルになっていません(詳細については、「SMTP および POP3 スパム フィルタリングのイネーブル化」を参照してください)。

着信メール ドメインを設定している(詳細については、「SMTP メッセージ フィルタ、免責条項、および着信メール ドメインの設定」を参照してください)。

スパム スタンプ識別情報が作成できない

スパム スタンプ識別情報とは、電子メール メッセージの件名に表示されるメッセージです。たとえば、「Q3 Report」という見出しのメッセージに対して、スパム スタンプ識別情報で「Spam:」と定義された場合、メッセージの件名には「Spam:Q3 Report」と表示されます。

スパム識別情報の作成で問題が発生している場合は、英字の大文字と小文字、数字の 0 ~ 9、図8-1 に示す特殊文字の組み合わせのみを使用していることを確認してください。

図8-1 スパム スタンプ識別情報で使用可能な特殊文字

 

指定以外の文字を使用しようとすると、SMTP および POP3 メッセージでスパム識別情報を使用できません。

許容できない数のスパムの false positive が検出される

スパム フィルタリングしきい値を、過度に高いレベルに設定している場合があります。しきい値を Medium または High に合わせている場合、Mail (SMTP) > Anti-spam > SMTP Incoming Anti-spam ウィンドウと Mail (POP3) > Anti-spam > POP3 Anti-spam ウィンドウで、しきい値のフィールドを低くしてみてください。また、SMTP Incoming Anti-spam ウィンドウと POP3 Anti-spam ウィンドウで、アンチスパムの「stamp message」機能をイネーブルにします。この 2 種類のウィンドウの詳細については、オンライン ヘルプを参照してください。

さらに、ネットワーク上のユーザがニュースレターを受信している場合は、この種のメッセージによって多数の false positive がトリガーされる傾向があります。承認済みの送信者リストにこのニュースレターの電子メール アドレスまたはドメイン名を追加して、これらのメッセージに対するスパム フィルタリングを省略してください。

スパムの false positive を許容できない

銀行や保険会社などの企業では、メッセージが false positive と識別されるようなリスクを負うことはできません。このような場合は、SMTP および POP3 に対するアンチスパム機能をディセーブルにしてください。

許容できない大量のスパムが検出される

スパム フィルタリングのしきい値を、低すぎるレベルに設定している場合があります。この場合は、Mail (SMTP) > Anti-spam > SMTP Incoming Anti-spam ウィンドウと Mail (POP3) > Anti-spam > POP3 Anti-spam ウィンドウのしきい値のフィールドで、設定を高くしてください。

ウイルスは検出されるがクリーニングされない

ウイルスに感染したすべてのファイルをクリーニングできるわけではありません。たとえば、パスワードで保護されたファイルは、スキャンもクリーニングもできません。

クリーニングに反応しないウイルスに感染したと思われる場合は、次の URL にアクセスしてください。

http://subwiz.trendmicro.com/SubWiz/Default.asp

このリンクからアクセスする Trend Micro Submission Wizard には、ウイルス感染が疑わしいファイルについて TrendLabs に評価を依頼する際の提出方法など、対処法に関する情報が含まれています。

ウイルスのスキャンが動作しない

SMTP Incoming、SMTP Outgoing、POP3、HTTP、および FTP Scanning の各ウィンドウで、ウイルスのスキャン機能をディセーブルにしているユーザがいないことを確認します。スキャンがイネーブルにも関わらずウイルスが検出されない場合は、カスタマー サポートにお問い合せください。

また、「アンチウイルス機能のテスト」の手順に従ってウイルスのスキャン機能をテストしてください。

不正な ASA ファイアウォール ポリシー設定のためにスキャンが動作しない

スキャンが動作しない原因として考えられるもう一つの原因は、ASA ファイアウォール ポリシー設定が正しくないために、ファイルがスキャンされていないことです。CLI で ASA show service-policy csc コマンドを使用して、SSM でトラフィックを処理するように設定します。次の例を参考にしてください。

show service-policy flow tcp host [clientIP] host [server IP] eq [proto]
 

次の例を参考にしてください。

hostname(config)# show service-policy flow tcp host 192.168.10.10 host 10.69.1.129 eq http
Global policy:
Service-policy: global_policy
Class-map: trend
Match: access-lit trend
Access rule: permit tcp any any eq www
Action:
Output flow: csc fail-close
Input flow set connection timeout tcp 0:05:00
Class-map: perclient
Match: access-lit perclient
Access rule: permit IP any any
Action:
Input flow: set connection per-client-max 5 per-client-embryonic-max 2

CSC SSM が障害ステータスにあるためにスキャンが動作しない

CSC SSM がリブートのプロセス中か、ソフトウェアに障害が発生していると、syslog エラーの 421007 が生成されます。CLI で次のコマンドを入力して SSM カードのステータスを表示します。

hostname# show module 1
 

次の例に示すように、出力にはいくつかのテーブルが表示されます。3 番目のテーブル(SSM Application Name)にステータスが表示されます。この例では、SSM のステータスは「Down」です。

Mod Card Type Model Serial No.
--- -------------------------------------------- -----------------------------
1 ASA 5500 Series Security Services Module-10 ASA-SSM-10 JAB092400TX
 
Mod MAC Address Range Hw Version Fw Version Sw Version
--- --------------------------------- ------------ ---------------------------
1 0013.c480.ae4c to 0013.c480.ae4c 1.0 1.0(10)0 CSC SSM 6.0 (Build#1345)
 
Mod SSM Application Name Status SSM Application Version
--- ------------------------------ ------------------------------------------
1 CSC SSM Down 6.0 (Build#1345)
 
Mod Status Data Plane Status Compatibility
--- ------------------ --------------------- -------------
1 Up Up

3 番目のテーブルの Status フィールドに表示可能なステータスは、次の 3 種類です。

Down:無効なアクティベーション コードが使用された、ライセンスが失効している、ファイルが壊れている、などの永続的なエラーの場合に表示されます。

Reload:パターン ファイルのアップデート中など、スキャンが再起動中の場合に表示されます。

Up:通常の操作時を表すステータスです。

各プロセスのステータスを個別に表示するには、CLI で次のコマンドを実行してください。

hostname# show module 1 detail

次のような出力が表示されます。

Getting details from the Service Module, please wait...
ASA 5500 Series Security Services Module-10
Model: ASA-SSM-10
Hardware version: 1.0
Serial Number: JAB092400TX
Firmware version: 1.0(10)0
Software version: CSC SSM 6.0 (Build#1345)
MAC Address Range: 0013.c480.ae4c to 0013.c480.ae4c
App. name: CSC SSM
App. Status: Down
App. Status Desc: CSC SSM scan services are not available
App. version: 6.0 (Build#1345)
Data plane Status: Up
Status: Up
HTTP Service: Down
 
Mail Service: Down
 
FTP Service: Down
 
Activated: No
 
Mgmt IP addr: <not available>
 
Mgmt web port: 8443
 
Peer IP addr: <not enabled>
 

CSC SSM のステータスは、App.Status フィールドに表示されます。前述の例ではステータスは「Down」です。このフィールドで可能なステータスは次のとおりです。

Not Present:SSM カードは未検出

Init:SSM カードはブート中

Up:SSM カードは稼動中

Unresponsive:SSM カードは応答していない

Reload:SSM カードはリロード中

Shutting Down:SSM カードはシャットダウンしている

Down:SSM カードはダウン状態にあり、スロットから安全に取り外しが可能

Recover:SSM カードは再イメージ中

大容量ファイルのダウンロード

非常に大きいサイズのファイルを扱うと、HTTP プロトコル、または FTP プロトコル上の問題が発生しやすくなります。HTTP Scanning ウィンドウ、および FTP Scanning ウィンドウの Target タブで設定した大容量ファイルの処理フィールドに、遅延スキャン オプションが含まれています。

遅延スキャンをイネーブルにしなかった場合は、InterScan for Cisco CSC SSM は、ファイル全体を受信およびスキャンしてから、要求しているユーザにファイル内容を渡す必要があります。ファイル サイズによっては、次のようになることもあります。

ファイルはダウンロードされるが、最初は非常に低速でダウンロードが進むにつれて高速になる

ブラウザの自動タイムアウト時間が超過して、ユーザはファイルの内容をまったく受信できない(ダウンロードが完了する前にブラウザがタイムアウトしたため)

遅延スキャンをイネーブルにした場合は、タイムアウトになるのを防ぐため、大規模ファイルの一部の内容はスキャンされずに配信されます。それ以降の部分はバックグラウンドでスキャンされ、その後、脅威が検出されなければダウンロードされます。脅威が検出された場合は、残りのファイルはダウンロードされませんが、大規模ファイルのスキャンしていない部分はすでにユーザのマシンに保存されているため、セキュリティ リスクとなる可能性があります。

スキャン サービスの再起動

Summary ウィンドウの Mail (SMTP および POP3)タブでは、ウィンドウの Message Activity 領域に、Messages processed since the service was started のカウント数が表示されます。図8-2 に、表示例を示します。

図8-2 Summary ウィンドウのMail(POP3)タブに表示されたメッセージ処理カウンタ

 

 

1

メッセージ アクティビティ カウンタ

イベントによってはこのカウンタをゼロにリセットするものがあります。次のようなイベントです。

パターン ファイルまたはスキャン エンジンのアップデート

コンフィギュレーションの変更

パッチの適用

Detection Summary 領域はリセットされません。これらの統計情報は、上記のイベントに関わらず、トリガー イベントが発生するたびにアップデートされます。

カウンタがリセットされても問題はありません。ただし、Messages processed... フィールドでゼロの状態が続いた場合は、電子メール トラフィックがスキャンされていないことを示しているため、状況を調査する必要があります。

パフォーマンスのトラブルシューティング

次の項では、パフォーマンスについて発生する可能性のある問題について説明します。

「CSC SSM コンソールがタイムアウトした」

「ステータス LED が 1 分以上点滅する」

「SSM が ASDM と通信できない」

「ASDM を使用しないログイン」

「CSC SSM のスループットが ASA よりはるかに低い」

CSC SSM コンソールがタイムアウトした

CSC SSM コンソールをアクティブにしてから約 10 分間、アクティビティが 1 つも検出されない状態のままにしておくと、セッションはタイムアウトします。処理を続行するには再びログインしてください。保存していない作業上の変更は失われます。席を離れる場合は、作業内容を保存して戻るまでログオフすることを推奨します。

ステータス LED が 1 分以上点滅する

ステータス LED が 1 分以上点滅を繰り返している場合は、スキャン サービスが利用できない状態になっています。この問題を解決するには、システムを ASDM からリブートするか、カスタマー サポートにお問い合せください。


注意 ダウンロードするファイルが Do not scan files larger than... フィールドの指定よりも大きいと、ファイルはスキャンされずに配信され、セキュリティ リスクとなる場合があります。

SSM が ASDM と通信できない

ポート アクセス制御をリセットすることで、この問題を解決できる可能性があります。手順については、「管理ポートのアクセス コントロールのリセット」を参照してください。

ASDM を使用しないログイン

何らかの理由で ASDM が利用できない場合は、Web サーバから直接 CSC SSM にログインすることができます。ログインするには、次の手順を実行します。


ステップ 1 ブラウザのウィンドウに、次の URL を入力します。

https://{SSM IP addresss}:8443
 

次の例を参考にしてください。

https://10.123.123.123:8443/
 

ステップ 2 Logon ウィンドウが表示されます。セットアップ ウィザードでPassword Configuration インストール ウィンドウで作成したパスワードを入力し、Log On をクリックします。

ステップ 3 CSC SSM コンソールのデフォルト ビューは、次に示すように、Summary ウィンドウの Status タブです。

図8-3 CSC SSM コンソールの Summary 画面に表示された Status タブ

 


 

CSC SSM のスループットが ASA よりはるかに低い

TCP 接続からファイルを復元してスキャンする処理はプロセッサの負荷が大きいため、ファイアウォールで通常実行されるプロトコル準拠チェックに比べ、はるかに大きいオーバーヘッドが必要となります。対応策としては、スキャンが必要な接続だけを CSC SSM に誘導して、パフォーマンスのミスマッチを軽減する方法があります。

たとえば、HTTP トラフィックは、発信トラフィック(内部ユーザから外部 Web サイトへのアクセス)、着信トラフィック(外部ユーザから内部サーバへのアクセス)、イントラネット トラフィック(内部サイトと信頼済みパートナー間でのトラフィック)に分けることができます。発信トラフィックのみウイルスをスキャンして、着信トラフィックはスキャンしないように CSC SSM を設定することができます。

詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』の「Managing AIP SSM and CSC SSM」の章を参照してください。

Knowledge Base の使用

Trend Micro のオンライン Knowledge Base を使用すると、より詳細な情報を検索することができます。Knowledge Base の URL は、次のとおりです。

http://esupport.trendmicro.com

Knowledge Base の検索エンジンでは、製品名、問題カテゴリ、キーワードを入力して検索を絞り込むことができます。Knowledge Base には、数千種類のソリューションが用意されており、毎週追加されます。

Security Information Center の使用

Trend Micro では、無料のオンライン リソースである Security Information Center から、包括的なセキュリティ情報が 24 時間週 7 日利用できます。Security Information Center の URL は次のとおりです。

http://trendmicro.com/vinfo/

Security Information Center では、次の情報を提供しています。

Virus Encyclopedia:ウイルス、ワーム、トロイの木馬、その他すべての既知の脅威に関する知識をまとめたもの

Security Advisories:マルウェアのアラート、最も顕著なリスクの危険度レーティング、最新のパターン ファイルとスキャン エンジンのバージョン、その他の有益な情報の表示

Scams and Hoaxes:マルウェアによるデマ情報、チェーン メールまたは金銭的損失を与えるような詐欺情報、都市伝説などの情報

Joke Programs:Trend Micro のスキャン エンジンで検出された、既知のジョーク プログラムに関する情報のリポジトリ

Spyware/Grayware:検出されたスパイウェア/グレーウェア プログラムのトップ 10 情報、スパイウェア/グレーウェア プログラムの検索可能なデータベース

Phishing Encyclopedia:既知のフィッシング詐欺のリストおよび犯行の手口の説明

Virus Map:世界の地域別に脅威を表示

図8-4 Virus Map

 

Weekly Virus Report:その週に検出された脅威についての最新ニュース(Weekly Virus Report を購読すると、週に 1 度レポートが電子メールで自動配信されます)。

General virus information に含まれる情報は次のとおりです。

Virus Primer:ウイルスの用語解説とウイルスのライフサイクルに関する説明

Safe Computing Guide:感染のリスクを減らすための安全基準

Risk ratings:マルウェアおよびスパイウェア/グレーウェアによる脅威を、グローバル IT コミュニティに対する危険度から Very Low、Low、Medium、または High とレーティング

White papers:「The Real Cost of a Virus Outbreak」または「The Spyware Battle--Privacy vs. Profits」という見出しのセキュリティ概念を説明したドキュメントへのリンク

Test files:Trend Micro InterScan for Cisco CSC SSM をテストするためのテスト ファイル、およびテストの実施手順

Webmaster tools:Webmasters に関する無料の情報およびツール

TrendLabs:ISO 9002 認定の、ウイルス調査および製品サポート センターである TrendLab に関する情報

CSC SSM Syslog の概要

CSC SSM 関連の syslog メッセージを、次に解説します。

SSM アプリケーションのミスマッチ [1-105048]

エラーメッセージ %ASA-1-105048: ( unit ) Mate's service module ( application ) is different from mine ( application )

説明 フェールオーバー プロセスで、アクティブ ユニットとスタンバイ ユニットのサービス モジュール間で、異なるアプリケーションが動作していることが検出されました。複数のサービス モジュールが使用されている場合、2 種類のフェールオーバー ユニットの間に互換性はありません。

unit :プライマリまたはセカンダリ。

application :InterScan Security Card などのアプリケーションの名前。

推奨処置 フェールオーバーを再度イネーブルにする前に、両ユニットに同一のサービス モジュールがインストールされていることを確認してください。

CSC カードの障害のためにトラフィックが破棄された [3-421001]

エラーメッセージ %ASA-3-421001: TCP|UDP flow from interface_name : ip / port to interface_name : ip / port is dropped because application has failed.

説明 CSC SSM アプリケーションの障害のためにパケットが破棄されました。デフォルトでは、このメッセージは、10 秒に 1 回しか表示されないように制限されています。

interface_name :インターフェイス名。

IP_address :IP アドレス。

port :ポート番号。

application :CSC SSM が現在のリリースでサポートされている唯一のアプリケーションです。

推奨処置 すぐにサービス モジュールの問題を調査してください。

適用外のトラフィックをスキップする [6-421002]

エラーメッセージ %ASA-6-421002: TCP|UDP flow from interface_name : IP_address / port to interface_nam : IP_address / port bypassed application checking because the protocol is not supported.

説明 サービス モジュールで使用するプロトコルがスキャンされないために、サービス モジュールのセキュリティ チェックの接続がバイパスされました。たとえば、CSC SSM は TELNET トラフィックをスキャンできません。ユーザが TELNET トラフィックをスキャンするように設定している場合は、トラフィックがスキャン サービスをバイパスします。デフォルトでは、このメッセージは、10 秒に 1 回しか表示されないように制限されています。

IP_address :IP アドレス。

port :ポート番号。

interface_name :ポリシーが適用されているインターフェイス名。

application :CSC SSM が現在のリリースでサポートされている唯一のアプリケーションです。

推奨処置 サービス モジュールでサポートされているプロトコルのみを含めるように、設定を変更する必要があります。

無効なカプセル化によって ASDP パケットが破棄された [3-421003]

エラーメッセージ %ASA-3-421003: Invalid data plane encapsulation.

説明 サービス モジュールで挿入されたパケットには、正しいデータ プレーン ヘッダーがありませんでした。シスコ専用プロトコルに準拠するデータ バックプレーンで交換されるパケットは、ASDP と呼ばれます。適切な ASDP ヘッダーのないパケットは破棄されます。

推奨処置 capture name type asp-drop [ ssm-asdp-invalid-encap ] コマンドを実行して有害なパケットをキャプチャし、Cisco TAC にお問い合せください。

パケットを挿入できない [7-421004]

エラーメッセージ %ASA-7-421004: Failed to inject {TCP|UDP} packet from IP_address / port to IP_address / port

説明 セキュリティ アプライアンスは、サービス モジュールで指示されたパケットを挿入できませんでした。これは、セキュリティ アプライアンスがすでに解放されたフローにパケットを挿入しようとして発生した可能性があります。

IP_address :IP アドレス。

port :ポート番号。

推奨処置 この状態は、セキュリティ アプライアンスがその接続テーブルをサービス モジュールに依存せず、独自に維持しているために発生した可能性があります。通常は、これによって問題は発生しません。セキュリティ アプライアンスのパフォーマンスに影響が生じた場合は、Cisco TAC にお問い合せください。

アカウント ホスト数がライセンスの上限に近づいている [6-421005]

エラーメッセージ %ASA-6-421005: interface_name : IP_address is counted as a user of application

説明 ホストがライセンスの上限に近づいているとカウントされました。指定されたホストは application のユーザであるとカウントされました。午前 0 時に、ライセンス検証のために、過去 24 時間分のユーザの合計数が計算されます。

interface_name :インターフェイス名。

IP_address :IP アドレス。

application :CSC SSM が現在のリリースでサポートされている唯一のアプリケーションです。

推奨処置 処置は不要です。ただし、全体のカウント数が購入したユーザ ライセンス数を上回る場合は、ライセンスのアップグレードについてシスコにお問い合せください。

日単位のノード カウント [5-421006]

エラーメッセージ %ASA-6-421006: There are number users of application accounted during the past 24 hours.

説明 過去 24 時間に application を使用したユーザの合計数を特定します。このメッセージは、サービス モジュールが提供するサービスを使用したホストの合計数を算出するために、24 時間ごとに生成されます。

推奨処置 処置は不要です。ただし、全体のカウント数が購入したユーザ ライセンス数を上回る場合は、ライセンスのアップグレードについてシスコにお問い合せください。

CSC カードの障害のためにトラフィックが破棄された [6-421007]

エラーメッセージ %ASA-3-421007: TCP|UDP flow from interface_name : IP_address / port to interface_name : IP_address / port is skipped because application has failed.

説明 このメッセージは、サービス モジュール アプリケーションに障害が発生し、フローがスキップされた場合に生成されます。デフォルトでは、このメッセージは、10 秒に 1 回しか表示されないように制限されています。

IP_address :IP アドレス。

port :ポート番号。

interface_name :ポリシーが適用されているインターフェイス名。

application :CSC SSM が現在のリリースでサポートされている唯一のアプリケーションです。

推奨処置 すぐにサービス モジュールの問題を調査してください。

新しいアプリケーションが検出された [5-505011]

エラーメッセージ %ASA-5-505011: Module in slot slot , application detected application , version version .

説明 新しいアプリケーションが 4GE SSM 上に検出されました。このメッセージは、システムのブート時、4GE SSM のブート時、または 4GE SSM の新規アプリケーションの起動時に生成される可能性があります。

slot :アプリケーションが検出されたスロット。

application :検出されたアプリケーションの名前。

version :検出されたアプリケーションのバージョン。

推奨処置 記述されたアクティビティが正常または正常と予期される場合は、処置は不要です。

アプリケーションが停止した [5-505012]

エラーメッセージ %ASA-5-505012: Module in slot slot , application stopped application , version version

説明 このメッセージは、アプリケーションが停止したか、4GE SSM から削除されるたびに生成されます。4GE SSM がアプリケーションをアップグレードしたか、4GE SSM 上のアプリケーションが停止またはアンインストールされた場合に発生する場合があります。

slot :アプリケーションが停止したスロット。

application :停止したアプリケーションの名前。

version :停止したアプリケーションのバージョン。

推奨処置 アップグレードが 4GE SSM で実行されなかったか、アプリケーションが予期せずに停止またはアンインストールされた場合は、4GE SSM のログを確認して、アプリケーションが停止した原因を特定してください。

アプリケーションのバージョンが変更されている [5-505013]

エラーメッセージ %ASA-5-505013: Module in slot slot application changed from: application version version to: newapplication version newversion .

説明 このメッセージは、アップグレード後など、アプリケーションのバージョンが変更されるたびに生成されます。これはアプリケーションのソフトウェア アップグレードがモジュールで完了すると発生します。

slot :アプリケーションがアップグレードしたスロット。

application :アップグレードしたアプリケーションの名前。

version :アップグレードしたアプリケーションのバージョン。

newapplication :新規アプリケーションの名前。

newversion :新規アプリケーションのバージョン。

推奨処置 アップグレードが予期されていることと、新規バージョンが正しいことを確認します。

データ チャネルの通信障害 [3-323006]

エラーメッセージ %ASA-3-323006: Module in slot slot experienced a data channel communication failure, data channel is DOWN.

説明 このメッセージは、データ チャネル通信に障害が発生して、システムが 4GE SSM にトラフィックを転送できなかったことを示します。この障害がフェールオーバー ペアのアクティブなアプライアンスで発生すると、フェールオーバーがトリガーされます。また、通常は 4GE SSM に送信される、設定済みのフェール オープンまたはフェール クローズのポリシーが強制的に実行されます。このメッセージは、システム モジュールと 4GE SSM との間で、セキュリティ アプライアンスのデータプレーンを介した通信上の問題が発生するたびに生成されます。これは 4GE SSM が停止、リセット、または削除されると発生します。

slot :障害が発生したスロット。

推奨処置 このメッセージが 4GE SSM のリロードまたはリセットの結果ではなく、また、4GE SSM のステータスが UP に戻った後に、対応するメッセージ 5-505010 が表示されない場合、 hw-module module 1 reset コマンドでモジュールのリセットが必要な場合があります。

データ チャネルの通信は正常 [5-505010]

エラーメッセージ %ASA-5-505010: Module in slot slot data channel communication is UP.

説明 このメッセージは、データ チャネルの通信が DOWN 状態から回復するたびに生成されます。このメッセージは、チャネル通信が正常に動作していることを示します。データ チャネル通信の失敗後、回復するとこのメッセージが表示されます。

slot :データ チャネル通信が確立されたスロット。

推奨処置 直前にデータ チャネル通信障害(メッセージ 3-323006)が発生した結果を受けこのメッセージが生成されたのでなければ、処置は不要です。通信障害の場合は、4GE SSM のメッセージを確認して、通信障害の原因を判定してください。

ウイルス検出イベント

エラーメッセージ is- protocol -virus: time | malware_name | malware_type | from_address | to_address | email_subject | action_on_the_content | action_on_the_email |

例:

is-protocol-virus: 2006/01/01 16:33:01| WORM_GREW.A|grayware|fromtester@trendmicro.com|totester@trendmicro.com|subject|Delete|Deliver|

説明 この syslog メッセージは、CSC SSM が接続にウイルス イベントを検出した場合に生成されます。感染したファイルは、ポリシー設定に従って処理またはブロックされました。

protocol:関連するプロトコル

time:イベントの日付と時刻

malware_name:マルウェアの名前

malware_type:マルウェアのタイプ

from_address:電子メールの送信元アドレス

to_address:電子メールの宛先アドレス

action_on_the_content:電子メールの内容に対して実行されるアクション

action_on_the_email:電子メール全体に対して実行されるアクション

推奨処置 ファイルが内部マシンから発信されている場合は、そのマシンにウイルス スキャンを実行します。

スパイウェア/グレーウェアの検出イベント

エラーメッセージ is- mail -grayware: time | malware_name | malware_type | from_address | to_address | email_subject | action_on_the_content | action_on_the_email |

例:

is-mail-grayware: 2006/01/01 16:33:01| |Spyware|fromtester@trendmicro.com|totester@trendmicro.com|subject|Delete|Deliver|

説明 この syslog メッセージは、CSC SSM が接続にスパイウェアまたはグレーウェアを検出した場合に生成されます。不審なファイルは、ポリシー設定に従って処理またはブロックされました。

mail:関連する電子メールのメッセージ

time:イベントの日付と時刻

malware_name:マルウェアの名前

malware_type:マルウェアのタイプ

from_address:電子メールの送信元アドレス

to_address:電子メールの宛先アドレス

action_on_the_content:電子メールの内容に対して実行されるアクション

action_on_the_email:電子メール全体に対して実行されるアクション

推奨処置 ファイルが内部マシンから発信されている場合は、そのマシンにウイルス スキャンを実行します。

SMTP/POP3 アンチスパム イベント

エラーメッセージ is-anti-spam: time | from_email_address | to_email_address | email_subject | action_on_the_content | action_on_the_email |

例:

is-anti-spam: 2006/01/01 19:37:02|fromtester@trendmicro|totester@trendmicro.com|subject|Delete|Deliver|

説明 この syslog メッセージは、CSC SSM が SMTP または POP3 スキャンでアンチスパム イベントを検出した場合に生成されます。スパム メールは、ポリシー設定に従って処理またはブロックされました。

time :イベントの日付と時刻

from_address :電子メールの送信元アドレス

to_address :電子メールの宛先アドレス

action_on_the_content :電子メールの内容に対して実行されるアクション

action_on_the_email :電子メール全体に対して実行されるアクション

推奨処置 処置は不要です。スパム メールが同様の送信元から生成されている場合、この送信元を Blocked Sender リストに追加して、電子メールの量を減らすことができます。

HTTP URL フィルタリング イベント

エラーメッセージ is-url-filtering: time | filtered_url | client_ip | url_category

例:

is-url-filtering: 2006/01/01 17:10:59|forbidden.com/|10.2.3.4|Company Prohibited Sites|

説明 この syslog メッセージは、CSC SSM が HTTP スキャンで URL フィルタリング イベントを検出した場合に生成されます。

time :イベントの日付と時刻

blocked_url :フィルタリングされた URL

client_ip :クライアントの IP アドレス

url_category :URL ブロッキングまたはフィルタリングのカテゴリ

推奨処置 処置は不要です。この URL(カテゴリ)が許可されるようにする場合は、URL フィルタリング設定を調整します。

HTTP URL ブロッキング イベント

エラーメッセージ is-url-blocking: time | blocked_url | client_ip | blocking_rule

例:

is-url-blocking: 2006/01/01 17:10:59|blocked.com/|10.2.3.4|PhishTrap|

説明 この syslog メッセージは、CSC SSM が HTTP スキャンで URL ブロッキング イベントを検出した場合に生成されます。

time :イベントの日付と時刻

blocked_url :ブロックされた URL

client_ip :クライアントの IP アドレス

blocking_rule :URL をブロックした規則

推奨処置 処置は不要です。

Syslog アダプタの起動

エラーメッセージ is-syslog: ISSyslog Adaptor 1.0

例:

is-syslog: ISSyslog Adaptor 1.0

説明 この syslog メッセージは、CSC SSM が InterScan Syslog Adaptor を起動した場合に生成されます。

推奨処置 処置は不要です。

ライセンス アップグレードの通知

エラーメッセージ license-upgrade-notice: Your daily node counts ( daily _ count ) has exceeded your licensed seats ( seats ) by offset . Please upgrade your license.

例:

License-upgrade-notice: Your daily node counts (300) has exceeded your licensed seats (100) by 200. Please upgrade your license.

説明 この syslog メッセージは、CSC SSM が、現行ライセンスで指定されているよりも多くのノードが CSC SSM に接続されていることを検出した場合に生成されます。この syslog に加えて、電子メール通知が管理者に送信されます。

daily_count :CSC SSM に接続された日単位のノード カウント

seats :CSC SSM ライセンスの許諾数

offset :日単位のカウントから許諾数を引いた数に相当

推奨処置 ライセンスのアップグレードについては、Trend Micro の営業担当者にお問い合せください。

スキャン サービスに障害が発生

エラーメッセージ SysMonitor: INFO: service_title service is DOWN, count = counter , restarting

例:

SysMonitor: INFO: FTP service is DOWN, count = 1, restarting

説明 この syslog メッセージは、スキャン サービスが停止した場合に生成されます。再起動を試行するたびにカウンタが増加します。

推奨処置 サービスがダウンする場合は、CSC SSM の CLI メニューにアクセスしてすべてのサービスを再起動します。障害が解消されない場合、CSC SSM をリセットするか、または Cisco TAC にお問い合せください。

スキャン サービスが回復

エラーメッセージ SysMonitor: INFO: service_title service is UP.

例:

SysMonitor: INFO: FTP service is UP.

説明 この syslog メッセージは、スキャン サービスが前述の障害から回復した場合に生成されます。

service_title :サービスの名前

推奨処置 処置は不要です。

CSC SSM ステータス メッセージ

エラーメッセージ SysMonitor: INFO: Set CSC SSM Application Status to data_channel_status .

例:

SysMonitor: INFO: Set CSC SSM Application Status to UP.

説明 この syslog メッセージは、CSC SSM の現在のステータスを示すために生成されます。CSC SSM が正常であれば、ステータスは UP に設定され、トラフィックは処理されます。CSC SSM がコンフィギュレーションまたはエンジン/パターンを更新している場合、ステータスは RELOAD に設定され、ASA はフェール オープンまたはフェール クローズを実行します。CSC SSM がトラフィックを処理できない場合、ステータスは DOWN に設定され、トラフィックは CSC SSM の処理をバイパスします。ASA は、ASA での設定方法に応じて、フェール オープン、フェール クローズ、またはフェールオーバーを実行します。

data_channel_status :UP、RELOAD、および DOWN

推奨処置 UP および RELOAD ステータスの場合には、処置は不要です。ステータスが DOWN の場合、CSC SSM でサービスを再起動するか、または Cisco TAC にお問い合せください。

CSC SSM のリソース アベイラビリティが必要なレベルを下回る

エラーメッセージ SysMonitor: INFO: RESOURCE: resource_name free space current_free_space K is below desired_free_space K

例:

SysMonitor: INFO: RESOURCE: Compact Flash free space 1234K is below 5120K.

説明 この syslog メッセージは、CSC SSM のストレージ スペースの 1 つが必要なレベルを下回る場合に生成されます。

resource_name :リソースの名前

Compact Flash

Active Update Temp

Scanning TempDir

Log

current_free_space :現在のリソースの空き容量

desired_free_space :必要なリソースの空き容量

推奨処置 メッセージが複数回送信される場合は、Cisco TAC にお問い合せください。

CSC SSM のリソース アベイラビリティが復元された

エラーメッセージ SysMonitor: INFO: RESOURCE: resource_title free space is back to normal (more than desired_free_space K)

例:

SysMonitor: INFO: RESOURCE: Compact Flash free space is back to normal (more than 5120K).

説明 この syslog メッセージは、CSC SSM が前述のストレージ不足から回復した場合に生成されます。

resource_title :リソースの名前

Compact Flash

Active Update Temp

Scanning TempDir

Log

desired_free_space :必要なリソースの空き容量

推奨処置 処置は不要です。

システム モニタが開始した

エラーメッセージ SysMonitor: INFO: SysMonitor started.

例:

SysMonitor: INFO: SysMonitor started.

説明 この syslog メッセージは、システム モニタが開始した場合に生成されます。

推奨処置 処置は不要です。

CSC が接続をアクティブに切断した

エラーメッセージ CSCSSM: A protocol session has been disconnected from the client at client_ip to the server at server_ip due to internal error or timeout.

例:

CSCSSM: A HTTP session has been disconnected from the client at 1.1.1.1 to the server at 2.2.2.2 due to internal error or timeout.

説明 この syslog メッセージは、CSC SSM が接続を代行したときにソケット タイムアウトが発生した場合、または内部の問題が発生した場合に生成されます。

protocol :関連するプロトコル

client_ip :クライアントの IP アドレス

server_ip :サーバの IP アドレス

推奨処置 処置は不要です。

接続キャパシティに達した

エラーメッセージ The maximum number of connections for protocol has been reached. New connections will be kept in a backlog and may time out.

例:

The maximum number of connections for HTTP has been reached. New connections will be kept in a backlog and may time out.

説明 この syslog メッセージは、CSC SSM が所定のプロトコルに設定されている同時接続の最大数に到達した場合に生成されます。

protocol :関連するプロトコル

推奨処置 CSC SSM スキャンから特定のトラフィックをバイパスするように ASA を設定するか、またはネットワークを別の ASA デバイスに分割します。

接続キャパシティが復元された

エラーメッセージ The number of current protocol connections has returned to normal.

例:

ActiveUpdate: VirusScanEngine/uptodate, VirusPattern/3.189.00, AntiSpamEngine/failed, GraywarePattern/unlicensed, PhishTrap/187

説明 この syslog メッセージは、同時接続の数が、CSC SSM に即座に処理可能な範囲に戻った場合に生成されます。

protocol :関連するプロトコル

推奨処置 処置は不要です。

スケジュール アップデート レポート

エラーメッセージ ActiveUpdate: component / status component / status .

例:

ActiveUpdate: VirusScanEngine/uptodate, VirusPattern/3.189.00, AntiSpamEngine/failed, GraywarePattern/unlicensed, PhishTrap/187

説明 この syslog メッセージは、スケジュールされたパターンまたはエンジンのアップデートが発生した場合に生成されます。

component :ActiveUpdate によってアップデートされるコンポーネント

status :コンポーネントのステータスまたはバージョン

推奨処置 アップデートが連続して失敗する場合は、インターネット接続または CSC SSM アップデート設定のトラブルシューティングを行うか、Cisco TAC にお問い合せください。

フェールオーバー サービスに内部エラーが発生

エラーメッセージ is-failover-daemon[ process _ id ]: Could not create failover sync server socket; Could not open failover sync server socket; Could not create failover request handler thread; Could not create failover sync server thread; Could not create failover sync server; Could not create failover IPC server thread; Could not create failover IPC server; Cannot open IPC sockets; Could not create heartbeat thread

例:

is-failover-daemon[process_id]: Could not create failover sync server socket

説明 この syslog メッセージは、フェールオーバー サービスに回復不能な内部エラーが発生した場合に生成されます。

process_id :デーモンのプロセス ID

起こりうるフェールオーバー デーモンのエラーは、次のとおりです。

接続を受け入れるための TCP リスニング ソケットを作成できなかった

SSM カード管理ポート IP アドレスを TCP リスニング ソケットにバインドできなかった

ピアからの接続のリッスンを開始できなかった

ピアからのハートビートまたは同期化要求に応じるためのスレッドを作成できなかった

ピアからの接続を受け入れるためのスレッドを作成できなかった

ピアからの接続および処理要求を受け入れるためのサーバ オブジェクトを作成できなかった

CSC 管理システムからの IPC 要求を処理するためのスレッドを作成できなかった

CSC 管理システムからの IPC 要求を処理するための IPC サーバ オブジェクトを作成できなかった

CSC 管理システムからの要求を受信し、ハートビートまたは同期化要求をピアに送信するための IPC FIFO を開けなかった

ピアに周期的ハートビートを送信するためのスレッドを作成できなかった

推奨処置 CSC SSM のすべてのサービスを再起動するか、CSC SSM をリロードするか、または Cisco TAC にお問い合せください。

フェールオーバー サービス通信に障害が発生

エラーメッセージ is-failover-daemon[ process_id ]: request_type FAILED. Status code code ; Status description: text

例:

is-failover-daemon[5532]: HEARTBEAT FAILED. Status code 403; Status description: Connection or request timed out.

説明 この syslog メッセージは、フェールオーバー デーモンがそのピアにハートビートを送信できず、ネットワーク接続性を確認できなかった場合に生成されます。

process_id :デーモンのプロセス ID

request_type :HELLO、HEARTBEAT、SYNCH

code :ステータス コード

text :ステータス説明

推奨処置 CSC フェールオーバーの設定中にこのエラーが発生する場合は、CSC 管理コンソールの Device Failover Settings 画面で推奨される処置の表示に従います。それ以外の場合は、ASA アプライアンス間のすべてのハードウェア接続を調べるか、または Cisco TAC にお問い合せください。

フェールオーバー サービス電子メールを送信できなかった

エラーメッセージ is-failover-daemon[ process_id ]: action_type failed notification could not be sent

例:

is-failover-daemon[5532]: HELLO failed notification could not be sent.

説明 この syslog メッセージは、管理者に電子メールで送信される自動通知「ハートビート障害」が送信できなかった場合に生成されます。

process_id :デーモンのプロセス ID

action_type :HELLO、SYNCH

推奨処置 CSC SSM のすべてのサービスを再起動するか、CSC SSM をリロードするか、または Cisco TAC にお問い合せください。

サービス モジュール情報レポート

エラーメッセージ is-service-module[process_id]: Software version: text ; Increased process priority to -5; Application name: text; Application version: text ; Application state: up / down

例:

is-service-module[553]: Software version: CSC SSM 6.0 (Build#1349)

説明 この syslog メッセージは、サービス モジュールの起動中に CSC アプリケーション名、バージョン、実行状態を表示します。

process_id :デーモンのプロセス ID

text :名前またはバージョンの説明

up/down :サービスは稼動中またはダウン中

推奨処置 処置は不要です。

サービス モジュールが module 1 の詳細を表示

エラーメッセージ is-service-module[ process_id ]: Syslog Number and Format: Software version: text ; HTTP Service: up/down ; Mail Service: up/down ; FTP Service: up/down ; Activated: Yes/No ; Mgmt IP addr: IP_address ; Mgmt web port: port ; Peer IP addr: ip/not_enabled

例:

is-service-module[553]: Software version: CSC SSM 6.0 (Build#1349)

説明 この syslog メッセージは、サービス モジュールによって生成された「show module 1 details」コマンドの出力を表示します。

process_id :サービス モジュールのプロセス ID

text :名前またはバージョンの説明

up/down :サービスは稼動中またはダウン中

yes/no :Yes または No

ip_address :IP アドレス

port :ポート番号

ip/not_enabled :IP アドレスまたはイネーブルになっていない

推奨処置 処置は不要です。

ASA シャーシとの時刻の同期化に失敗

エラーメッセージ is-service-module[ process_id ]: ASA time sync failed

例:

is-service-module[5532]: ASA time sync failed.

説明 この syslog メッセージは、サービス モジュールが SSM システム時刻を PIX システム時刻と同期化できない場合に生成されます。

process_id :サービス モジュールのプロセス ID

推奨処置 処置は不要です。

サービス モジュールは FIFO を作成できなかった

エラーメッセージ is-service-module[ process_id ]: Cannot create fifo_name ; Cannot open csc subsystem IPC fifos

例:

is-service-module[5532]: Cannot create /var/run/isvw/servmodfifo.1

説明 この syslog メッセージは、システムが別の CSC サブシステムとの IPC に FIFO を作成できない場合に生成されます。

process_id :サービス モジュールのプロセス ID

fifo_name :FIFO の名前

csc_subsystem :CSC サブシステムの名前

推奨処置 CSC SSM のすべてのサービスを再起動するか、CSC SSM をリロードするか、または Cisco TAC にお問い合せください。

サービス モジュールの内部通信エラー

エラーメッセージ is-service-module[ process_id ]: Received unrecognized ipc_operation request; ipc_operation peer closed with no request sent; Bad ipc_operation request from InterScan

例:

is-service-module[5532]: Received unrecognized time sync request

説明 この syslog メッセージは、IPC が別の CSC サブシステムと通信できない場合に生成されます。

process_id :サービス モジュールのプロセス ID

ipc_operation :IPC(Inter-process Communication)オペレーション

推奨処置 処置は不要です。

ASA シャーシとの通信中にサービス モジュールに問題が発生

エラーメッセージ is-service-module[ process_id ]: Could not send the node count request to the ASA; Could not get time from the ASA; Could not send the time sync request to the ASA; ASA auto time sync failed on SSM reboot; Management port IP change report to the ASA failed; Management port IP change report failed; Could not increase the process priority

例:

is-service-module[5532]: Could not send the node count request to the ASA.

説明 この syslog メッセージは、サービス モジュールが ASA シャーシとの通信に失敗した場合に生成されます。

process_id :プロセス ID

推奨処置 処置は不要です。

Cisco TAC にお問い合せになる前に

Technical Assistance Center (TAC) にお問い合せになる前に、マニュアルやオンライン ヘルプに必要な回答が記載されていないか確認してください。マニュアルや Knowledge Base を調べても回答が見つからない場合は、問題を効率良く解決するために、次の情報をお手元に用意してください。

製品のアクティベーション コード(複数の場合もあります)

製品のバージョン番号

パターン ファイルおよびスキャン エンジンのバージョン番号

ユーザ数

エラー メッセージを受信した場合はその正確な文面

問題の発生手順

詳細については、 P.xv の「テクニカル サポート」 を参照してください。