Cisco Secure Access Control Server View ユーザ ガイド Release 4.0
トラブルシューティング と FAQ
トラブルシューティング と FAQ
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

トラブルシューティング と FAQ

ACS View のトラブルシューティング

インストール後のプロセスのチェック

プロセス ステータスの変更

ACS View サーバの再起動

レポート生成のトラブルシューティング

データ収集のトラブルシューティング

デバッグ情報の取得

コンポーネント デバッグのイネーブル化

サーバ ログのダウンロードまたは表示

サーバ ログからのデバッグ情報の取得

ACS View アプリケーションのイメージ変更

必要なツールと装置

イメージ変更プロセス

管理者パスワードの再設定

FAQ

データ収集

ACS サーバの設定

レポート

アラート

ライセンス

Admin アクティビティ

トラブルシューティング と FAQ

この章では、ACS View に関する問題のトラブルシューティングに役立つ情報を提供し、FAQ の回答を示します。この章は、次の項で構成されています。

「ACS View のトラブルシューティング」

「FAQ」

ACS View のトラブルシューティング

この項では、ACS View に関する次のトラブルシューティング情報を提供します。

「インストール後のプロセスのチェック」

「プロセス ステータスの変更」

「ACS View サーバの再起動」

「レポート生成のトラブルシューティング」

「データ収集のトラブルシューティング」

「デバッグ情報の取得」

「ACS View アプリケーションのイメージ変更」

「管理者パスワードの再設定」

インストール後のプロセスのチェック

ACS View では、次のバックグラウンド プロセスが実行されています。

Alert Manager

Collector

Job Manager

AppServer

DBServer

GUI を使用して ACS View にログインした後、すべてのプロセスが起動して実行されているかどうかをチェックします。

プロセスのステータスをチェックするには、次の手順を実行します。


ステップ 1 System Administration > System Reports > Process Status を選択します。

図10-1 に示すような Process Status ページが表示されます。

図10-1 Process Status

 

ステップ 2 Process Status ページには、図10-1 に示すように、プロセスとその状態が一覧表示されます。


 


) いずれかのプロセスが停止すると、システムは 100 秒以内にそのプロセスを再起動します。ただし、トラブルシューティングのために CLI を使用して個々のプロセスを起動または停止できます。


「ACS View のトラブルシューティング」を参照してください。

プロセス ステータスの変更

ACS View の個々のプロセスは、CLI から起動または停止できます。

すべてのプロセスを再起動するには、次のように入力します。

process stop all
process start all
 

1 つのプロセスを再起動するには、次のように入力します。

process stop process_name
process start process_name
 

process start all コマンドは、場合によっては同じプロセスの複数のインスタンスが対象となることがあります。このため、すべてのプロセスを再起動する場合は、次のように入力することをお勧めします。
process stop all
process start AppServer
process start AppServer コマンドを使用することで、ACS View サーバに関連するすべてのプロセスを再起動できます。


プロセス ステータスをチェックするには、次のように入力します。

process status

process status と入力すると、ACS View にすべてのプロセスの要約情報が表示されます。ただし、CLI の System <hostname> に続いて表示されるシステム プロセスの要約詳細は無視できます。


「ACS View のトラブルシューティング」を参照してください。

ACS View サーバの再起動

次の場合は、ACS View サーバを再起動する必要があります。

パッチまたはアップデートのインストール後に変更を有効にする。

サーバの日付と時間帯を変更する。

GUI から ACS View サーバを再起動するには、次の手順を実行します。


ステップ 1 System Administration > System Reports > Process Status を選択します。

図10-1 に示すような Process Status ページが表示されます。

ステップ 2 Restart ACS View Server をクリックします。


 

CLI から ACS View を再起動するには、次の手順を実行します。


ステップ 1 管理者クレデンシャルを使用して CLI にログインします。「ACS View CLI へのアクセス」を参照してください。

ステップ 2 process stop all と入力します。

ACS View のすべてのプロセスが停止します。

ステップ 3 process start all と入力します。

ACS View のすべてのプロセスが起動します。


) 自己署名証明書を更新した後は、ACS View サーバを再起動する必要があります。



 

レポート生成のトラブルシューティング

表10-1 に、ACS View でレポートを生成する場合に発生する可能性がある障害のシナリオを示します。

 

表10-1 レポート生成のトラブルシューティング

考えられる問題
解決方法
参照先

次のレポートに不正なデータがある。

Details レポートおよび Summary レポート

Drill-down レポート

ACS の必須アトリビュートの一覧が次の条件に当てはまるかどうかを確認します。

ACS View 用に設定されている。

ACS View で受信した。


 

「ACS View の必須 ACS アトリビュート」

「ACS サーバのステータスの取得」

対応する ACS ログと CSV ファイルに、指定された期間内のデータがあるかどうかをチェックします。

ACS Windows で、 Reports and Activity をクリックし、次に選択可能なカテゴリからレポートを選択してクリックします。

syslog メッセージがドロップされたかどうかをチェックし、オンデマンドのデータ収集を実行します。

「データを収集するための ACS View の設定」

Summary レポートが ACS データと異なる場合は、CLI から database update コマンドを実行してデータ集約を同期します。

「database update」

いくつかのレポート フィールドに値がない。

次の項目について ACS でのデータ収集をイネーブルにしたかどうかをチェックします。

syslog

package.cab


 

「ACS での syslog 用の ACS View の設定」

「ACS での CSV ロギングのイネーブル化」

レポートにデータがない。

次の項目について ACS でのデータ収集をイネーブルにしたかどうかをチェックします。

syslog

package.cab


 

「ACS での syslog 用の ACS View の設定」

「ACS での CSV ロギングのイネーブル化」

syslog によるデータ収集の場合は、次の項目について ACS でのログ設定を確認します。

ACS View サーバの IP アドレス

ポート番号(514)

ACS Windows で、 System Configuration > Logging > Logging Configuration を選択します。

CLI から database update コマンドを実行することにより、データ集約を同期します。

「database update」

「ACS View のトラブルシューティング」を参照してください。

データ収集のトラブルシューティング

表10-2 に、次の場合に発生する可能性がある障害のシナリオを示します。

package.cab のダウンロード

package.cab のアップロード

 

表10-2 データ収集のトラブルシューティング

失敗の原因
解決方法
参照先

package.cab のダウンロード

ジョブの実行時に、ACS サーバが停止しているか、または接続できない。

1. ACS サーバを再起動し、ACS プロセスが起動して実行されるかどうかをチェックします。

2. オンデマンドの package.cab ダウンロードをもう一度実行します。

「package.cab のダウンロード」

ACS の Admin ユーザ名またはパスワードが正しくない。

ACS で設定されている管理者のユーザ名とパスワードが、ACS サーバを ACS View に追加したときに入力したクレデンシャルと一致するかどうかをチェックします。

データが一致しない場合は、次の手順を実行します。

1. ACS View にログインします。

2. System Administration > ACS Servers Configuration > Server List を選択します。

3. ACS サーバの一覧で該当する ACS サーバを選択し、 Edit をクリックします。

4. 管理者のユーザ名フィールドとパスワード フィールドの値を更新し、 Save をクリックします。

ここで、オンデマンドまたはスケジューリング済みのデータ収集が正常に実行されるかどうかをチェックします。




 


 

 



 


 



 

System Administration > ACS Servers Configuration > Data Collection ページで、Data Collection Status 領域のステータスを確認します。

ACS 管理者アカウントがロックされているか、(管理者パスワード ポリシーに基づいて)パスワードの期限が切れている。

既存のアカウントを使用してログインできるかどうかをチェックします。ログインできない場合は、コンソールから ACS での新しい管理者アカウントを作成します。

さらに、次の手順を実行します。

1. ACS View にログインします。

2. System Administration > ACS Servers Configuration > Server List を選択します。

3. 一覧で該当する ACS サーバを選択し、 Edit をクリックします。

4. 管理者のユーザ名フィールドとパスワード フィールドの値を更新し、 Save をクリックします。

ここで、オンデマンドまたはスケジューリング済みのデータ収集が正常に実行されるかどうかをチェックします。

User Guide for Cisco Secure Access Control Server

 

 



 


 



 

System Administration > ACS Servers Configuration > Data Collection ページで、Data Collection Status 領域のステータスを確認します。

ACS 管理者が正しい特権を持っていない。

ACS で Support Operations が設定されているかどうかを検証します。

1. ACS にログインします。

2. Administration Control を選択し、特定の admin ユーザをクリックします。

3. System Configuration 領域で、 Support Operations チェックボックスをオンにします。

4. Submit をクリックします。

ここで、ACS View にログインし、オンデマンドまたはスケジューリング済みのデータ収集が正常に実行されるかどうかをチェックします。

「ACS View に対する ACS 管理者権限のイネーブル化」

ACS でアクセス モードが変更された(HTTP から HTTPS、またはその反対)。

ACS のアクセス モードのステータスをチェックします。

1. ACS > Administration Control > Access Policy にログインします。

2. Use HTTPS Transport for Administration Access チェックボックスをオンにします。

ACS のアクセス モードが変更されている場合は、次の手順を実行します。

1. ACS View にログインします。

2. System Administration > ACS Servers Configuration > Server List を選択します。

3. 一覧で該当する ACS サーバを選択し、 Edit をクリックします。

4. ACS での設定と同じアクセス モード(HTTP または HTTPS)を設定し、 Save をクリックします。

ここで、オンデマンドまたはスケジューリング済みのデータ収集が正常に実行されるかどうかをチェックします。


 


 



 


 

 



 


 



 

System Administration > ACS Servers Configuration > Data Collection ページで、Data Collection Status 領域のステータスを確認します。

ACS の System Configurations > Support ページに別のユーザがアクセスしているために、そのページがロックされる。

ACS にログインし、サポート ページにアクセスできるかどうかをチェックします。ページにアクセスできる場合は、オンデマンドのデータ収集ジョブを実行してデータを同期します。

User Guide for Cisco Secure Access Control Server 4.2

ACS View のディスク容量がいっぱいになっている。

System Administration > Server Management > Summary ページで、ディスク使用率をチェックします。必要に応じて、オンデマンド削除をトリガーします。

「データベース削除」

CSV ログの AAA サーバ アトリビュートが欠落している。

1. ACS サーバにログインします。

2. CSV ロギングの AAA サーバ アトリビュートを選択します。

ここで、オンデマンドまたはスケジューリング済みのデータ収集が正常に実行されるかどうかをチェックします。

「ACS View の必須 ACS アトリビュート」

System Administration > ACS Servers Configuration > Data Collection ページで、
Data Collection Status 領域のステータスを確認します。

ジョブがすでに実行されている可能性がある(同時処理の問題)。

ACS View が現在のダウンロード、アップロード、またはスケジューリング済みジョブを完了した後にのみ、ACS サーバから package.cab をダウンロード、アップロード、またはスケジューリングします。

「データを収集するための ACS View の設定」

package.cab の抽出に失敗した。

ファイルが破壊されているか、接続が終了している可能性があります。アップロードをもう一度試してください。

「データを収集するための ACS View の設定」

package.cab のアップロード

無効な package.cab がアップロードされた。

package.cab は、ダウンロード元の ACS サーバにだけアップロードしてください。

「package.cab のアップロード」

AAA サーバ アトリビュートが欠落している。

アップロードされた package.cab のログに、AAA サーバ アトリビュートがない可能性があります。

「package.cab のアップロード」

ACS View のディスク容量がいっぱいになっている。

System Administration > Server Management > Summary ページで、ディスク使用率をチェックします。必要に応じて、オンデマンド削除をトリガーします。

「データベース削除」

package.cab の抽出に失敗した。

ファイルが破壊されているか、接続が終了している可能性があります。アップロードをもう一度試してください。

「package.cab のアップロード」

デバッグ情報の取得

ACS View では、ACS View のデバッグ情報を含めたさまざまなサーバ ログを記録できます。最初に、イベントのログを記録するサーバのイベント ロギングをイネーブルにする必要があります。その後、デバッグ情報を含むログ ファイルをダウンロードまたは表示できます。サポートについて問い合せる場合、これらのログ ファイルを Cisco Technical Assistance Centre(TAC)に送信する必要が生じる場合もあります。

ここでは、次の項目について説明します。

「コンポーネント デバッグのイネーブル化」

「サーバ ログのダウンロードまたは表示」

「サーバ ログからのデバッグ情報の取得」

コンポーネント デバッグのイネーブル化

ACS View コンポーネントのイベント ロギングをイネーブルにするには、次の手順を実行します。


ステップ 1 System Administration > Server Management > Server Logs を選択します。

図10-2 に示すようなログ表示ページが表示されます。

図10-2 Server Logs

 

ステップ 2 デバッグ モードをイネーブルにする対象のコンポーネント ログの Enable オプション ボタンをクリックします。


) 特定のコンポーネントのイベントをログに記録しない場合は、そのコンポーネントのロギングをディセーブルにできます。


ステップ 3 Save をクリックします。


 

「ACS View のトラブルシューティング」を参照してください。

サーバ ログのダウンロードまたは表示

サーバ ログをダウンロードまたは表示するには、次の手順を実行します。


ステップ 1 System Administration > Server Management > Server Logs を選択します。

図10-2 に示すような View Logs ページが表示されます。Server Logs ボックスに、使用可能なログ ファイルの一覧が表示されます。

ステップ 2 ダウンロードまたは表示するログ ファイルを選択します。

ステップ 3 Download をクリックしてログ ファイルをダウンロードするか、 View をクリックして表示します。


 

「ACS View のトラブルシューティング」を参照してください。

サーバ ログからのデバッグ情報の取得

サーバ ログからデバッグ情報を取得するには、次の手順を実行します。


ステップ 1 System Administration > Server Management > Server Logs を選択します。

Server Logs 領域に、使用可能なログ ファイルの一覧が表示されます。

ステップ 2 Get Debug Info をクリックします。

File Download ポップアップが表示されます。

ステップ 3 Open をクリックしてサーバからファイルを表示するか、 Save As をクリックしてファイルのコピーを自分のマシンに保存します。


 

「ACS View のトラブルシューティング」を参照してください。

ACS View アプリケーションのイメージ変更

データの破損によるアプリケーション ソフトウェアの障害とともに、ハードウェア コンポーネントの障害が発生すると、致命的なシステム クラッシュを招いて、アプライアンスでのアプリケーションの復元を迫られる結果になります。この場合、システム障害の原因(アプリケーション ソフトウェアの破損やハードウェア コンポーネントの故障)に基づいて、システム設定の状態または工場出荷時の状態にアプライアンスをイメージ変更する必要が生じます。

次の項を参照してください。

「必要なツールと装置」

「イメージ変更プロセス」

必要なツールと装置

ACS View アプライアンスをイメージ変更するには、次の品目が必要になります。

ACS View リカバリ CD-ROM

周辺装置:シリアル コンソール、またはキーボードとモニタ

イメージ変更プロセス

アプライアンスをイメージ変更するには、次の手順を実行します。


ステップ 1 アプライアンスの電源を投入します。

ステップ 2 ACS View リカバリ CD を CD ドライブに挿入します。

アプライアンスにリカバリ CD のメッセージが次のように表示されます。

Welcome to Cisco Secure ACS View 4.0 Recovery - Cisco ADE 2120
To boot from hard disk press <Enter>
Available boot options:
[1] Cisco Secure ACS View 4.0 Installation (Keyboard/Monitor)
[2] Cisco Secure ACS View 4.0 Installation (Serial Console)
[3] Reset Administrator Password (Keyboard/Monitor)
[4] Reset Administrator Password (Serial Console)
<Enter> Boot from hard disk
Please enter boot option and press <Enter>.
boot:
 

) 次の値を入力します

キーボードとモニタを使用してアプリケーションをインストールするには、 1 と入力します。

接続されたシリアル コンソールからアプリケーションをインストールするには、 2 と入力します。

接続されたキーボードとマウスから管理者パスワードを再設定するには、 3 と入力します。

接続されたシリアル コンソールから管理者パスワードを再設定するには、 4 と入力します。


 

ステップ 3 ブートアップ オプションを入力し、Enter キーを押してアプリケーションをイメージ変更します。


 

「ACS View のトラブルシューティング」を参照してください。

管理者パスワードの再設定

ACS View の管理者パスワードは再設定できます。管理者パスワードを変更するには、次の手順を実行します。


ステップ 1 アプライアンスの電源を投入します。

ステップ 2 ACS View リカバリ CD を CD ドライブに挿入します。

アプライアンスにリカバリ CD のメッセージが次のように表示されます。

Welcome to Cisco Secure ACS View 4.0 Recovery - Cisco ADE 2120
To boot from hard disk press <Enter>
Available boot options:
[1] Cisco Secure ACS View 4.0 Installation (Keyboard/Monitor)
[2] Cisco Secure ACS View 4.0 Installation (Serial Console)
[3] Reset Administrator Password (Keyboard/Monitor)
[4] Reset Administrator Password (Serial Console)
<Enter> Boot from hard disk
Please enter boot option and press <Enter>.
boot:
 

ステップ 3 接続されたキーボードとマウスを使用して管理者パスワードを再設定するには、 3 と入力します。シリアル コンソール ポートを使用する場合は、 4 と入力します。

ステップ 4 表10-3 の説明に従って情報を入力します。

 

表10-3 管理者パスワードの再設定パラメータ

パラメータ
説明

Admin username

パスワードを再設定する対象の管理者の番号を入力します。

Password

選択した管理者の新しいパスワードを入力します。

Verify password

パスワードを再入力します。

Save change & Reboot

Y と入力して保存します。保存しない場合は、 N と入力します。

管理者パスワードの再設定操作の出力例を次に示します。

Admin username:
[1]:admin
[2]:admin2
[3]:admin3
Enter number of admin for password recovery:1
Password:
Verify password:
Save change&reeboot? [Y/N]:
 


 

「ACS View のトラブルシューティング」を参照してください。

FAQ

この項では、ACS View に関する FAQ への回答の一覧を示します。次の項目に関する質問を取り上げます。

「データ収集」

「ACS サーバの設定」

「レポート」

「アラート」

「ライセンス」

「Admin アクティビティ」

データ収集

Q. ACS View が 2 日間ダウンしたら、損失データを同期すべきですか。

A. 損失データがあってもサーバを手動で同期する必要はありません。ダウンタイムの後に ACS View を再起動すると、起動ジョブが 1 つ以上の ACS サーバからその損失データを自動的に取得し、ACS View データベースを更新します。

Q. アップロード可能な package.cab ファイルの最大サイズはどれくらいですか。

A. package.cab ファイルのサイズに制限はありません。ただし、推奨するファイル サイズは次のとおりです。

LAN リンク:50 MB

WAN リンク:10 MB

Q. .cab 以外の形式のファイルをアップロードできますか。

A. いいえ。ACS View でサポートされるのは .cab ファイルだけです。

Q. 複数の ACS サーバから package.cab ファイルをダウンロードできますか。

A. はい。複数の ACS サーバから package.cab ファイルをダウンロードできます。

Q. ログはどのような場合にドロップされますか。

A. ログは、次の場合にドロップされます。

CSV ログ ファイルに次の情報が記録されていない場合:

アカウント セッション時間(RADIUS Accounting)

経過時間(TACACS+ Accounting)

このような場合、停止パケットはその特定のアカウンティング セッションの開始時刻を更新できません。

AAA サーバ アトリビュートが欠落している場合。

Q. Data Collection Status ページには何日間の情報が表示されますか。

A. Data Collection Status ページには、直前の 2 日間に実行されたジョブの情報が表示されます。

Q. ACS サーバの一部のデータが更新されないのはなぜですか。

A. 次の手順を実行して、スケジューリングされたデータ収集ジョブをディセーブルにしていないかどうかを確認してください。

a. System Administration > ACS Servers Configuration > Data Collection を選択します。

b. Scheduling フィールドがディセーブルになっているかどうかをチェックします。ディセーブルになっている場合は、デフォルトのスケジューリング同期は実行されません。

c. 同期をイネーブルにするには、Scheduled Time に値を入力し、 Schedule をクリックします。

新しいデータまたは syslog によってドロップされたデータがダウンロードされます。

Q. ACS View が ACS サーバからの package.cab のアップロードまたはダウンロードを開始しないのはなぜですか。

A. ACS View のプロセスが停止していないかどうかを確認してください。

a. System Administration > System Reports > Process Status ページで、停止しているプロセスがないかどうかをチェックします。

b. 停止しているプロセスがある場合は、 System Administration > Process Status ページの Restart ACS View Server をクリックしてプロセスを起動します。

コマンドライン インターフェイス(CLI)から ACS View サーバを再起動するには、次の手順を実行します。

a. 管理者クレデンシャルを使用して ACS View にログインし、 process stop all と入力します。

ACS View のすべてのプロセスが停止します。

b. process start all と入力します。

ACS View のすべてのプロセスが起動します。

package.cab のアップロードまたはダウンロードが開始されたかどうかをチェックします。

Q. オンデマンドまたはスケジューリング済みの package.cab のダウンロードに失敗するのはなぜですか。

A. オンデマンドまたはスケジューリング済みの package.cab のダウンロードは、次の問題が 1 つ以上あると失敗する場合があります。

ACS サーバに接続できない。

ACS View アプリケーションが停止している。

別のユーザが同じ ACS サーバを使用して package.cab をダウンロードしている。

ACS サーバを HTTP モードで ACS View に追加し、その後、追加した ACS サーバで HTTPS をイネーブルにしたか、またはその逆のことを行った。

ユーザの 1 人が ACS の GUI サポート ページ( System Configuration > Support )にアクセスしている。

Q. package.cab ファイルは、どのような理由で、いつダウンロードすべきですか。

A. package.cab ファイルは、ACS View が、スケジューリング済みデータ収集の一環として ACS サーバからデータを収集することに失敗した場合にダウンロードします。この動作は、デフォルトで午前 12:01 に実行されます。また、レポートを生成するために ACS の最新のログを使用する場合にも package.cab をダウンロードできます。

Q. package.cab ファイルを ACS View データベースにアップロードすべき理由は何ですか。

A. package.cab ファイルは、 package.cab ファイルのデータを使用する場合に ACS View データベースにアップロードできます。アップロードするのは、レポートを生成するために以前 ACS サーバからダウンロードしたファイルです。

Q. package.cab is corrupted というメッセージが表示され、データ収集ジョブに失敗します。失敗するのはなぜですか。

A. このエラー メッセージは、別のユーザが同じ ACS サーバから package.cab をダウンロードしているときに表示されます。

Q. ACS からリモート ロギング サーバを削除する場合、ACS View は syslog を使用してデータを収集しますか。

A. ACS でリモート ロギング サーバを削除したり、スタンドアロンの ACS サーバに変更したりすると、ACS View は、その削除されたリモート ロギング サーバによって設定されたスタンドアロンの ACS サーバすべてから syslog を使用してデータを収集します。

Q. 特定の ACS サーバのログ タイプごとの syslog ステータスは、どこで調べられますか。

A. すべてのログの syslog ステータスは、ACS View GUI を使用して確認できます。

a. System Administration > ACS Servers > Server List を選択します。

b. Server List ページで、特定の ACS サーバに対応するオプション ボタンをクリックします。

c. Get Status をクリックします。

Server Connectivity ページに必要な情報が表示されます。

Q. 登録されている ACS サーバからの syslog メッセージであってもドロップされるのはなぜですか。

A. 登録されている ACS サーバからの syslog メッセージは、次の場合にドロップされます。

メッセージが RFC の定義に違反している。

元のメッセージに AAA サーバ アトリビュートがない。

AAA サーバ アトリビュートに値がない。

Q. syslog コレクタ プロセスを開始するにはどうすればよいですか。

A. syslog コレクタ を起動するには、次の手順を実行します。

管理者クレデンシャルを使用して ACS View CLI にログインし、 process start collector と入力します。

System Administration > System Reports > Process Status ページで、 Restart ACS View Server ボタンをクリックします。

Q. syslog を使用したデータ収集をディセーブルにすることができますか。

A. はい。次の方法で syslog によるデータ収集をディセーブルにできます。

ACS で、ACS View サーバを syslog サーバとして設定しない。

管理者クレデンシャルを使用して ACS View CLI にログインし、 process stop collector と入力する。

Q. syslog を使用したデータ収集をディセーブルにすると、どんな影響がありますか。

A. syslog を使用したデータ収集をディセーブルにすると、ACS View はスケジューリングされた package.cab ファイルのダウンロードによって ACS サーバからログ データを受け取ることになりますが、このダウンロードは 1 日に 1 回だけ行われます。そのため、アラートの生成が遅れ、場合によってはアラートが生成されなくなります。

Q. syslog コレクタ プロセスを再起動できますか。

A. はい。syslog コレクタ は、プロセス CLI コマンドを使用して停止および起動できます。

Q. syslog コレクタ プロセスを起動できません。原因は何ですか。

A. syslog コレクタ は DBServer に依存しています。そのため、次の手順を実行してください。

a. System Administration > Server Management > Server Logs を選択します。

b. System Administration > Server Management > Server Logs ページを選択し、 monit_process.log を確認して AppServer が実行されているかどうかをチェックします。

Q. ACS View が syslog データを受信しないのはなぜですか。

A. 次の事項を確認してください。

ACS View に syslog をリダイレクトするように ACS が設定されている。

ACS を ACS View に登録するときに値を入力したすべてのフィールドが、ACS サーバと同期されている。

ACS View に有効なライセンスがある。

Q. 登録されている ACS サーバからの syslog メッセージであっても拒否されるのはなぜですか。

A. 次の事項を確認ください。

ACS サーバを登録するとき、または ACS サーバ エントリを編集するときに、DBServer サービス プロバイダーが動作している。

syslog メッセージは、登録されているリモート ロギング ACS サーバで設定された ACS サーバから送信されたメッセージの複製である。

Q. ACS サーバから受信した syslog メッセージが廃棄されるのはどのような場合ですか。

A. ACS サーバからの syslog メッセージは、次の場合に廃棄されます。

ACS サーバが ACS View に登録されていない。

AAA サーバ アトリビュートがどのログにも含まれていない。

Q. データベースのログ データに不正なタイムスタンプが表示されるのはなぜですか。

A. 不正なタイムスタンプは、次に示す ACS View のフィールドのいずれかまたはすべてが、ACS で指定した設定と矛盾する場合に発生します。

Time zone

Date format

Syslog time

Q. ACS サーバを追加するとエラーが表示されます。エラーになるのはなぜですか。

A. 次のようなメッセージが表示される可能性があります。

An error has occurred.Invalid IP address, Incorrect User Credentials, Protocol Mismatch or IP Filter Configured .

使用しているユーザ クレデンシャル、IP アドレス、およびアクセス モードを確認してください。

An error has occurred.Invalid IP Address.

入力した IP アドレスを確認してください。IP アドレスに特殊文字を含めることはできません。

An error has occurred.Admin Password required.

管理者パスワードを入力したかどうかを確認してください。

An error has occurred.Unable to add ACS Server.Server Name 'XXX' already exists .

同じサーバ名を使用して ACS サーバを ACS View に追加していないかどうかを確認してください。同じサーバ名の ACS サーバを ACS View に追加することはできません。

An error has occurred.Unable to add ACS Server.IP Address 'XXX' already exists .

同じ IP アドレスの ACS サーバを追加していないかどうかを確認してください。

Q. Configuration Master を追加すると、 Configuration Master already exists というエラー メッセージが表示されます。エラーになるのはなぜですか。

A. Configuration Master がすでに存在する場合は、別の ACS サーバを Configuration Master として追加することはできません。Configuration Master に指定できる ACS サーバは 1 つだけです。

Q. ACS サーバを追加しているときに Appliance オプション ボタンをクリックすると、Remote Logging server オプション ボタンと Log location オプション ボタンがディセーブルになります。原因は何ですか。

A. リモート ロギングは、ソフトウェア バージョンの ACS にのみ適用され、ACS Solution Engine には適用されません。

Q. ACS サーバを ACS View に登録した後でも syslog データが受信されないのはなぜですか。

A. ACS View サーバを syslog サーバとして ACS に追加し、ポート番号 514 を使用するように syslog を設定する必要があります。

Q. Configuration Master を削除すると、設定の詳細が失われますか。

A. 古い設定は残りますが、新しい設定の更新は使用できなくなります。

Q. ACS でユーザ アカウントを削除した場合、生成されるレポートにそのユーザの関連データは含まれますか。

A. ACS 設定レポートにそのユーザは含まれません。ただし、変更を有効にするには、最新の ACS 設定データを毎日の同期処理を使用して収集する必要があります。

Q. 古い package.cab ファイルをアップロードすると、既存または現在の ACS 設定情報は失われますか。

A. はい。現在の ACS 設定情報は失われます。

Q. ACS View でオンデマンド アップロードに失敗するのはなぜですか。

A. ACS サーバのホスト名が正しく設定されているかどうかを確認してください。ACS サーバのホスト名では、大文字と小文字が区別されません。

Q. 設定詳細が更新されないのはなぜですか。

A. 次の事項を確認してください。

Configuration Master が存在するかどうか。存在しない場合は、Configuration Master を追加してオンデマンド ダウンロードを実行してください。

古い package.cab ファイルをアップロードしていないかどうか。

デフォルトのスケジュール ジョブがディセーブルになっていないかどうか。データの更新とダウンロードをオンデマンドで実行してください。

ACS サーバの設定

Q. ACS View に ACS サーバを新規追加する場合、その ACS サーバは稼働している必要がありますか。

A. はい。ACS View に追加する ACS サーバは、必ず起動および実行されている必要があります。この状態であることが重要な理由は、ACS サーバを追加する前に、ACS View はその ACS サーバに接続して ACS サーバの admin ユーザ クレデンシャルの有効性を確認するからです。

Q. ACS サーバを追加する場合、その ACS サーバは DNS エントリを持っている必要がありますか。

A. 必要とは限りません。ただし、追加する ACS サーバのホスト名は、ACS サーバ名として入力する値と同一である必要があります。ホスト名に不一致があると、データが失われます。

Q. Configuration Master として設定されていた ACS サーバを削除すると、どのような影響がありますか。

A. 古い設定は残りますが、新しい設定の更新は使用できなくなります。

Q. リモート ロギング サーバとして設定されている ACS サーバを削除すると、どのような影響がありますか。

A. その特定の ACS サーバがログ収集を停止します。この機能は、リモート ロギング サーバとして設定するスタンドアロンの ACS サーバでのみイネーブルになります。

Q. ACS View に追加した ACS サーバの接続を確認するにはどうすればよいですか。

A. System Administration > ACS Servers Configuration > Server List を選択します。その ACS サーバに対応するオプション ボタンをクリックし、 Get Status をクリックします。

レポート

Q. スケジューリングされたレポート生成に失敗するのはなぜですか。

A. スケジューリング済みレポートが失敗する場合は、次の事項を確認してください。

Job Manager プロセスが起動および実行されている。

DBServer が起動および実行されている。

これらのプロセスが停止している場合は、 System Administration > System Administration > Process Status ページで Restart ACS Server をクリックし、それらのプロセスを起動します。

Q. スケジューリング済みレポート ジョブの次のインスタンスが実行されないのはなぜですか。

A. スケジューリング済みレポートの次のインスタンスが実行されない場合は、次の事項を確認してください。

System Administration > System Reports > Job Browser ページでレポート ジョブをディセーブルにした。この場合は、そのジョブに対応するオプション ボタンをクリックし、 Enable をクリックします。

そのレポート ジョブを作成したユーザを削除した。

Q. 一部のレポートで、GUI に表示されるデータが対応するドリルダウン レポートと一致しません。修正するにはどうすればよいですか。

A. admin ユーザとしてログインします。プロンプトで次のように入力します。

database update
 

このコマンドを使用すると、Yesterday と Last 7 days のレポート データが更新されます。


) データベースの更新は、システム リソースのほとんどを使用するため高コストになります。このコマンドは、データの不一致問題を解決する場合以外は使用しないでください。


Q. レポート関連のタスクを実行する場合、Operator にはどんな権限がありますか。

A. Operator には、すべてのレポート関連タスクに対する権限があり、システム レポートとカスタム レポートの実行やスケジューリングが含まれます。

Q. パブリック レポートとプライベート レポートとは何ですか。

A. パブリック レポートは、すべてのユーザの Report Inbox に表示され、すべてのユーザが内容を表示できます。一方プライベート レポートは、そのレポートを作成したユーザの Reports Inbox にのみ表示されます。

Q. Authentication Detail レポートと Authentication Query レポートの Authentication Failure Code をクリックすると、「No Record available」というメッセージがポップアップ表示されます。原因は何ですか。

A. ACS View の Authentication Failure Code には共通の障害コードのほとんどが一覧表示されますが、選択する障害コードによっては AFC ページに表示されない場合があります。障害コードは、 System Administration > Data Management > Authentication Failure Code で追加できます。

Q. Query ページで、さまざまな要約レポートと詳細レポートの Show Recent Trends チェックボックスをオンにするとどのような影響がありますか。

A. Show Recent Trends チェックボックスをオンにすると、ACS View には、主要なレポート グラフを使用して、特定のクエリーの直前の 30 日間、24 時間、および 1 時間のレポート グラフが表示されます。

アラート

Q. 先週または先月のデータにしきい値条件を定義できますか。

A. いいえ。過去のデータにしきい値条件を定義することはできません。ACS View は、syslog メッセージによって ACS サーバから受信するリアルタイム データでのみしきい値条件を監視します。

ただし、Passed Authentications、Failed Authentications、および Authentication Inactivity に対して日で定義されたデータにはしきい値条件を定義できます。

Q. 生成されたアラートの合計数を調べるにはどうすればよいですか。

A. Alert Inbox 内のアラートまたは電子メールによるアラートの合計数は、 My Workspace > Alerts > Thresholds ページの Threshold のリストで確認できます。

Q. 一部のアラートが 1 日に 1 回しか報告されないのはなぜですか。

A. 日で定義されたアラートは 1 日に 1 回だけ監視されるため、アラートによっては 1 日に 1 回しか報告されません。条件を評価する間、トリガーは当日を考慮しません。たとえば、ACS サーバで成功した認証の数が 1000 件を超えたときにアラートを生成する場合、(条件が合致して)アラートを受け取るのは次の日になってからです。

当日に同じ条件を監視するには、 My Workspace > Alerts > Thresholds ページのドロップダウン リストで、Minutes または Hours オプションを使用してしきい値を定義する必要があります。

Q. アラートが生成されないのはどのような場合ですか。

A. 次の場合、アラートは生成されません。

コレクタ プロセスが長時間停止している場合。このとき、ACS は ACS サーバから受け取る syslog メッセージの一部をドロップすることがあります。これらのメッセージに対してはしきい値条件による処理ができなくなるため、有効なアラートは生成されません。

毎回のポーリング サイクルの後。以降、ほとんどのアラート タイプは新しいデータを期待します。データ セットが処理されると、重複または誤ったアラートが生成されないように not-to-be-used-again というマークが付けられます。トリガーを実行したまま長時間新しいデータを提供しないと、ACS View にさらにデータが送られて処理できるようになるまで新しいアラートは生成されません。ただし、ACS View のデータ フローが回復すれば、評価プロセスがデータ セットを無視することはありません。

しきい値条件を満たしていない場合。しきい値条件を過度に高くまたは低く定義すると、しきい値条件を満たすことがなくなります。そのため、アラートは生成されません。

Q. 誤ったアラートが生成されるのはなぜですか。

A. ASC サーバからの syslog メッセージが失われると、誤ったアラートが生成されます。syslog メッセージは UDP ベースであるため、信頼できません。そのため、有効なアラートを生成する重要なメッセージの一部が失われます。

たとえば、Passed Authentications メッセージを一定期間受信していない場合、ユーザは非アクティブと見なされます。非アクティブ期間がトリガーで定義されるしきい値期間に達すると、Authentication Inactivity アラートが生成されます。

Q. しきい値を作成するとき、Alert On フィールド( My Workspace > Alerts > Thresholds )のドロップダウン リストにオプションが表示されないのはなぜですか。

A. 次の場合、Alert On フィールドのドロップダウン リストは空になります。

ACS View サーバ データベースに必要な値が取り込まれていない。

ACS View サーバが送られてきた syslog メッセージを受信していない。この場合は、次の事項を確認してください。

ACS で、ACS View サーバを syslog サーバとして設定した。

特定の ACS サーバを ACS View に登録した。

オンデマンドのデータ収集ジョブとして ACS サーバから設定データを手動でダウンロードするか、ACS サーバからダウンロードした package.cab を ACS View にアップロードする必要があります。

Q. 予測されるトリガーのアラートが Alert Inbox に表示されないのはなぜですか。

A. Alert Inbox にアラートの通知が届くのは、しきい値条件を定義したときに、通知対象として設定したユーザ名を持つユーザのみです。

a. My Workspace > Alerts > Thresholds ページで、そのトリガーに対応するチェックボックスをオンにし、 Edit をクリックします。

b. Notify To フィールドで自分のユーザ名が設定されているかどうかを確認してください。

Q. アラートが生成されたときに、電子メールで通知を受信できません。原因は何ですか。

A. 電子メールでアラートが通知されない場合は、次の事項を確認してください。

System Administration > Server Management > System Settings ページの Mail Server フィールドの設定を行った。

My Workspace > Alerts > Thresholds ページでしきい値を定義するとき、次のように設定した。

Notify 領域で E-mail チェックボックスをオンにした。

Notify To フィールドで自分のユーザ名を通知対象として設定した。

これらのフィールドを設定してある場合は、 Edit を使用してトリガーを更新してください。

Q. システム アラートを受信しないのはなぜですか。

A. システム アラートを受け取るのは管理者特権を持つユーザのみです。

Admin 特権を持っているかどうかを確認するには、 System Administration > User Management > Users ページを選択します。

管理者特権を持っているがシステム アラートを受信しないという場合は、
System Administration > Server Management > System Settings ページを選択し、Notify Users フィールドで自分のユーザ名が通知先として設定されているかどうかを確認してください。

ライセンス

Q. ACS View は、ライセンス チェックを実行しますか。

A. はい。ACS View は次のタイミングでライセンス チェックを実行します。

評価ライセンスの期限が切れるとき。その後、登録されている ACS サーバからのデータ収集がディセーブルになります。

購入ライセンスにアップグレードするとき。この場合、評価モードですでに 5 台の ACS サーバを追加しているが、ACS サーバ 3 台分のライセンスしか持っていないと、ACS サーバ 2 台からのデータ収集はディセーブルになります。

Q. ライセンスを購入する場合に、UDI を指定する必要があるのはなぜですか。

A. ACS View は、ノードロック ライセンス メカニズムをサポートしています。このメカニズムでは、ホスト名によってサーバを一意に識別する UDI が記録されたライセンス ファイルが必要になります。このメカニズムによって、特定のサーバに対して発行されたライセンスが、確実にその意図されたサーバにのみインストールされるようにしています。

Q. サーバから UDI 情報を取得するにはどうすばよいですか。

A. admin ユーザとしてログインし、CLI から次のコマンドを入力します。

show udi

Admin アクティビティ

Q. パスワードはどのような場合にロックアウトされますか。

A. System Administration > User Management > Password Policy ページの Number of Invalid Logins フィールドに値を設定すると、パスワードがロックアウトされます。設定後、無効なクレデンシャルを使用して ACS View にログインしようとする試みが、指定された試行回数を超えると、パスワードがロックされます。

Q. ACS View にログインしようとすると、 Invalid Login というエラーが表示されます。原因は何ですか。

A. Invalid Login エラーは、次の場合に表示されます。

次の状態のパスワードを入力した。

不正

期限切れ

ロックアウト中

ユーザ アカウントがディセーブルになっている。

Q. ユーザ パスワードの有効期限が近づくと、システムは警告しますか。

A. はい。ただし、特定の情報を設定した場合に限られます。そのためには、 System Administration > User Management > Password Policy を選択し、Password Expiry Warning Days フィールドに値を入力してください。

Q. GUI バックアップ ジョブを削除できますか。

A. はい。 System Administration > System Reports > Job Browser ページを選択し、バックアップ ジョブに対応するチェックボックスをオンにして、 Delete をクリックします。

Q. パスワード ポリシーと警告の日数の期限を CLI から設定するにはどうすればよいですか。

A. 設定モードで次のコマンドを入力します。

hostname/admin(config)# password-policy
hostname/admin(config-password-policy)# password-expiration-enabled
hostname/admin(config-password-policy)# password-expiration-days X
hostname/admin(config-password-policy)# password-expiration-warning X
 

X には、日数と警告を指定します。

Q. バックアップ ステージング URL を使用する必要があるのはなぜですか。

A. バックアップ ステージング URL を使用することにより、大量のデータをバックアップできます。この機能をイネーブルにするには、NFS モードでコマンドラインからバックアップ ステージング URL を設定する必要があります。設定モードで、次のように入力します。

backup-staging-url nfs://ip_address:/dir_name
 

ip_address :外部 NFS サーバの IP アドレスを指定します。

dir_name :データベースを保存するディレクトリを指定します。

「ステージング URL を使用したデータのバックアップ」を参照してください。

Q. バックアップ ステージング URL を CLI を使用して削除するにはどうすればよいですか。

A. 設定モードで次のコマンドを入力します。

hostname/admin(config)# no backup-staging-url url
 

url には、外部 NFS サーバの URL を指定します。

hostname/admin(config)# do sh run

Q. CLI からユーザを編集するにはどうすればよいですか。

A. 設定モードで次のコマンドを入力します。

hostname/admin(config)# username name password plain | hash password role role [email email_ID]
 

name :ユーザ名を指定します。

password :ユーザ パスワードを指定します。

role :ユーザの役割を指定します。 admin operator のいずれかを選択します。

email_ID :ユーザの電子メール アドレスを指定します。

Q. GUI からスケジューリング済みバックアップを実行する場合のバックアップ ステータスは何ですか。

A. Type、Repository Name、および Initiated By の値はユーザ設定値によって更新されます。ただし、Start Time、End Time、および Status は、前のバックアップ ステータスと同様です。これらの値は、現在のバックアップの実行時にのみ更新されます。

Q. CLI からバックアップ履歴を表示するにはどうすればよいですか。

A. 次のように入力します。

hostname/admin# sh backup history

Q. スタートアップ コンフィギュレーションを実行コンフィギュレーションとして再設定するにはどうすればよいですか。

A. スタートアップ コンフィギュレーションを実行コンフィギュレーションとして使用するには、 write memory コマンドまたは copy running-config startup-config コマンドを使用します。

Q. リポジトリが必要なのはなぜですか。

A. リポジトリは、バックアップとアプリケーションのインストールに関連したファイルを格納するために必要です。

Q. バックアップ コマンドまたは復元コマンド、およびアプリケーション コマンドをデバッグするためのコマンドは何ですか。

A. バックアップ コマンドまたは復元コマンド、およびアプリケーション コマンドを実行する前に、次のコマンドを実行します。

debug command-name
 
Example:
debug backup-restore backup
backup bkpname repository reps
 

Q. プロセスを起動または停止するにはどうすればよいですか。

A. すべてのプロセスまたは任意の個々のプロセスを起動または停止できます。

 

表10-4 プロセス コマンド

コマンド
説明

process start process_name

個々のプロセスを起動します。

process start all

すべてのプロセスを起動します。

process stop process_name

個々のプロセスを停止します。

process stop all

すべてのプロセスを停止します。

process status

すべてのプロセスのステータスを取得します。

この表に示す process_name には、次の要素を指定します。

DBServer

Collector

AppServer

Alertmanager

Jobmanager

Q. 時間帯を設定するにはどうすればよいですか。

A.

a. 管理者クレデンシャルを使用して ACS View CLI にログインし、 show timezones と入力して時間帯の一覧を表示します。

b. config と入力して設定モードを選択します。

c. 次のように入力します。

clock timezone timezone_name

timezone_name :時間帯の名前を指定します。

Q. データベースが破損していないかどうかを確認するにはどうすればよいですか。

A. 次のコマンドを入力します。

database validate

Q. パッチをインストールするにはどうすればよいですか。

A. 次のコマンドを入力します。

patch install application-patch-name repository-name
 

application-patch-name :アプリケーションのパッチ ファイルを指定します。

repository-name :リポジトリへのパスを指定します。

Q. バックアップに失敗した場合はどうすればよいですか。

A. 次のステータスを確認してください。

バックアップ リポジトリとして使用している NFS、FTP、または TFTP サーバ

データベース サーバ

Q. リモート バックアップに失敗した場合はどうすればよいですか。

A. リモート バックアップに失敗した場合は、次の事項を確認してください。

Job Manager プロセスと Database プロセスのステータス。

ファイル サーバ(FTP、SFTP、TFTP、または NFS)が停止しているかどうか。

リモート リポジトリのユーザ名とパスワードに誤りがないかどうか。

Q. 管理者パスワードを忘れてしまいました。パスワードを再設定するにはどうすればよいですか。

A. 管理者パスワードは ACS View で再設定します。

管理者パスワードを変更するには、次の手順を実行します。

a. アプライアンスの電源を投入します。

b. ACS View リカバリ CD を CD ドライブに挿入します。

アプライアンスにリカバリ CD のメッセージが次のように表示されます。

Welcome to Cisco Secure ACS View 4.0 Recovery - Cisco ADE 2120
To boot from hard disk press <Enter>
Available boot options:
[1] Cisco Secure ACS View 4.0 Installation (Keyboard/Monitor)
[2] Cisco Secure ACS View 4.0 Installation (Serial Console)
[3] Reset Administrator Password (Keyboard/Monitor)
[4] Reset Administrator Password (Serial Console)
<Enter> Boot from hard disk
Please enter boot option and press <Enter>.
boot:
 

c. 接続されたキーボートとマウスから管理者パスワードを再設定するには、3 と入力します。シリアル コンソール ポートを使用する場合は、4 と入力します。

d. 表10-5 の説明に従って情報を入力します。

 

表10-5 管理者パスワードの再設定パラメータ

パラメータ
説明

Admin username

パスワードを再設定する対象の管理者の番号を入力します。

Password

選択した管理者の新しいパスワードを入力します。

Verify password

パスワードを再入力します。

Save change & Reboot

Y と入力して保存します。保存しない場合は、 N と入力します。

管理者パスワードを再設定する操作の出力例を次に示します。

Admin username:
[1]:admin
[2]:admin2
[3]:admin3
Enter number of admin for password recovery:1
Password:
Verify password:
Save change&reeboot? [Y/N]:

Q. どのような場合にアプリケーション ソフトウェアで障害が発生しますか。

A. 次のような原因により、アプリケーション ソフトウェアで障害が発生します。

破損

ハードウェア コンポーネントの障害

アプリケーション ソフトウェアでは、データの破損やハードウェア コンポーネントの障害によって障害が発生する場合があります。いずれの場合も致命的なシステム クラッシュにつながる可能性があります。この場合は、アプライアンスでアプリケーションを復元する必要があります。アプライアンスでは、システム障害の原因(アプリケーション ソフトウェアの破損やハードウェア コンポーネントの障害)に基づいて、システム設定状態または工場出荷時の状態にイメージ変更する必要があります。

Q. ACS View アプライアンスをイメージ変更するには何が必要ですか。

A. ACS View アプリアンスをイメージ変更するには、次の品目が必要になります。

ACS View リカバリ CD-ROM

周辺装置:シリアル コンソール、またはキーボードとモニタ。

Q. ACS View アプライアンスをイメージ変更するにはどうすればよいですか。

A. アプライアンスをイメージ変更するには、次の手順を実行します。

1. アプライアンスの電源を投入します。

2. ACS View リカバリ CD を CD ドライブに挿入します。

アプライアンスにリカバリ CD のメッセージが次のように表示されます。

Welcome to Cisco Secure ACS View 4.0 Recovery - Cisco ADE 2120
To boot from hard disk press <Enter>
Available boot options:
[1] Cisco Secure ACS View 4.0 Installation (Keyboard/Monitor)
[2] Cisco Secure ACS View 4.0 Installation (Serial Console)
[3] Reset Administrator Password (Keyboard/Monitor)
[4] Reset Administrator Password (Serial Console)
<Enter> Boot from hard disk
Please enter boot option and press <Enter>.
boot:
 

3. ブートアップ オプションを入力します。次のオプションを使用できます。

[1] キーボードとモニタを使用してアプリケーションをインストールします。

[2] 接続されたシリアル コンソールからアプリケーションをインストールします。

[3] 接続されたキーボードとマウスから管理者パスワードを再設定します。

[4] 接続されたシリアル コンソールから管理者パスワードを再設定します。

4. Enter キーを押します。