Cisco Secure Access Control Server View ユーザ ガイド Release 4.0
ACS View でのアラートの操作
ACS View でのアラートの操作
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

ACS View でのアラートの操作

アラートの概要

ACS データ アラート

ACS View のシステム アラート

Alert Inbox

Alert Inbox の要素について

しきい値

サブタイプの説明

Passed Authentications

Failed Authentications

Authentication Inactivity

TACACS+ Command Audit

ACS Administration Audit

ACS Backup/Restore

ACS Replication

ACS Service Status

しきい値要素について

ACS View でのアラートの操作

この章では、ACS サーバでクリティカルな状態になった場合のアラートを生成するために、Cisco Secure Access Control Server(ACS)View を使用してしきい値条件を定義する方法を説明します。また、アラート カテゴリとそれぞれの機能について詳しく説明します。この章は、次の項で構成されています。

「アラートの概要」

「ACS データ アラート」

「ACS View のシステム アラート」

「Alert Inbox」

「しきい値」

アラートの概要

アラートとは、ACS サーバで通知されるように設定するクリティカル条件または何らかの規則です。アラートは、ACS サーバからのリアルタイム データを監視します。ACS View は 15 分に 1 回の割合でデータベース内の ACS データを監視し、設定されたしきい値に到達するとアラートを生成します。しきい値条件はトリガー条件とも呼ばれます。

ACS View は、次のアラートを生成します。

ACS データ アラート:ACS View が syslog から受信する ACS データについて生成されます。

システム アラート:CPU やメモリなどのシステム リソースについて生成されます。

Administrator および Operator は、アラートのしきい値を作成、編集、削除したり、イネーブルまたはディセーブルにしたりできます。Administrator はすべてのユーザが作成するトリガーをイネーブルまたはディセーブルにでき、Operatotr は自分で定義したトリガーだけをイネーブルまたはディセーブルにできます。

アラート エンジンは、ACS データがトリガー条件に到達するとアラートを生成します。ACS View は、次の方法で通知します。

Alert Inbox:ログイン ユーザに通知するように設定されている、生成アラートのリストが表示されます。アラートは、複数のユーザの Alert Inbox に表示できます。Alert Inbox からアラートを削除しても、他のユーザの Alert Inbox には残ります。

ダッシュボード:最新のアラート 5 件の要約を表示します。

電子メール:これはオプションです。しきい値条件を定義するときに通知方法を設定できます。システム アラートの場合は、 System Administration > Server Management > System Settings ページで設定できます。


) syslog を使用して収集したデータが失われると、ACS View は一部の有効なアラートを生成しません。リモート環境によっては、誤ったアラートが生成されることもあります。


ACS データ アラート

ACS View は、ACS サーバから受信するログを使用して ACS データ アラートを生成します。ACS View は、これらのログに対して設定されているしきい値条件を監視し、そのしきい値に到達するとアラートを生成します。これらのアラートは、指定されたユーザの Alert Inbox に表示されます。設定されていれば、ユーザの電子メール アカウントにもアラートが送信されます。

アラート タイプごとに、さまざまなトリガー条件を設定できます。たとえば、User に Alert On を選択し、失敗認証の数を 30 分間で 1000 回以上に設定すると、そのユーザの失敗認証の数が任意の 30 分間で 1000 回に到達または超過した場合にはいつでもアラートが生成されます。データ アラートのさまざまなタイプ、トリガー条件、その他のパラメータの詳細については、 表6-1 を参照してください。


) データ アラートを生成する場合、ACS View は syslog で収集する新規データだけを監視します。ACS View は、データ アラートを処理する場合に、カンマ区切り形式(CSV)で受信する設定データは監視しません。また、package.cab ファイルを ACS View データベースにダウンロードまたはアップロードするときに受信したデータについては、アラートをトリガーしません。


 

表6-1 データに基づくアラートのリスト

アラート タイプ
設定されるトリガー条件
設定される Alert On パラメータ

Passed Authentications

対象の Alert On パラメータについて、任意の時間範囲(Y 分間、Y 時間、または Y 日間)に成功した認証の数が X 以上または X 以下の場合。

次の値を入力します。

User

User Group

ACS server

NAD

NAP

NDG

これらのパラメータそれぞれに対して、すべての値または特定の値を選択できます。

Failed Authentications

対象の Alert On パラメータについて、任意の時間範囲(Y 分間、Y 時間、または Y 日間)に失敗した認証の数が X 以上または X 以下の場合。

現在サポートされている失敗の理由は次のとおりです。

Access denied because no profile matched

Access rejected due to authorization policy in the network access profiles

Could not communicate with the Audit server

Could not open a connection to External Policy server

EAP type is not configured

EAP-FAST user was provisioned with a new PAC

Invalid EAP-FAST users PAC

EAP-TLS or PEAP authentication failed during SSL handshake

External DB is not configured

Invalid external DB user or bad password

MAC-Authentication-Bypass is not allowed

MAC-Authentication-Bypass group is disabled

Posture Validation failure

次の値を入力します。

User

User Group

ACS server

NAD

NAP

NDG

これらのパラメータそれぞれに対して、すべての値または特定の値を選択できます。

Authentication Inactivity

ここで選択する Alert On パラメータが X 時間または X 日間にわたって非アクティブの場合。

次の値を入力します。

User

User Group

ACS server

NAD

NAP

NDG

これらのパラメータそれぞれに対して、すべての値または特定の値を選択できます。

TACACS+ Command Audit

いずれかの X コマンドが実行された場合(X 特権レベル)。

次の値を入力します。

User

User Group

ACS server

NAD

NDG

これらのパラメータそれぞれに対して、すべての値または特定の値を選択できます。

TACACS+ Command Audit

いずれかの X コマンドが実行された場合。

次の値を入力します。

User

User Group

ACS server

NAD

NDG

これらのパラメータそれぞれに対して、すべての値または特定の値を選択できます。

ACS Administration Audit

ACS サーバにログインした管理者のアクティビティまたはアクションのいずれかに、ここで入力するキーワードが含まれている場合。

リストから ACS サーバを選択し、テキスト ボックスにキーワードを入力します。

ACS Backup

選択された ACS サーバでのバックアップに失敗した場合。

リストから ACS サーバを選択します。

ACS Backup

バックアップを完了するまで(ユーザ定義間隔よりも)長い時間を要する場合。

リストから ACS サーバを選択します。期間を分または時間単位で表します。

ACS Restore

選択された ACS サーバでの復元に失敗した場合。

リストから ACS サーバを選択します。

ACS Restore

復元を完了するまで(ユーザ定義間隔よりも)長い時間を要する場合。

リストから ACS サーバを選択します。期間を分または時間単位で表します。

ACS Replication

選択された ACS サーバでの複製に失敗した場合。

リストから ACS サーバを選択します。

ACS Replication

複製を完了するまで(ユーザ定義間隔よりも)長い時間を要する場合。

リストから ACS サーバを選択します。期間を分または時間単位で表します。

ACS Service Status

ACS サービス X のステータスが停止または再起動の場合。

サービスのリスト ボックスの項目は次のとおりです。

CSAdmin

CSAuth

CSDBSync

CSLog

CSRadius

CSTacacs+

ACS Server

ACS View のシステム アラート

ACS View は、サーバのリソースに対して設定されたしきい値条件に到達すると、システム アラートを生成します。

システム アラートは即座に生成され、事前に定義されます。ACS View は、事前に定義されたしきい値条件またはエラー条件に基づいてシステム アラートを生成します。

表6-2 にシステム アラートの一覧を示します。

 

表6-2 システム アラート リスト

アラート名
アラート タイプ
アラートの生成理由

CPU Utilization

システム アラート

システムの CPU 使用率が 95% を超えた状態が 15 分以上続く場合。

Memory Utilization

システム アラート

システムの RAM 使用率が 95% を超えた状態が 15 分以上続く場合。

Disk-space Utilization

システム アラート

設定されたしきい値にディスク使用率が近づくと、ACS View は、ディスク容量の使用率と後続のデータベース削除でアラートを生成します。


) ディスク容量の使用率を設定するには、
System Administration > Data Management > Database Purge
を選択します。


Database Purging

システム アラート

データの削除が開始される場合。

The package.cab file corrupted

データ収集

ファイルが破壊されているために package.cab ファイルの抽出に失敗した場合。

The package.cab file download failure

データ収集

次の理由で package.cab のダウンロードに失敗した場合。

ACS サーバの接続に問題がある。

複数のユーザが同じ ACS サーバから同時に
package.cab
をダウンロードしようとしたために、ACS サーバ上の package.cab の作成が失敗した。

ディスク容量が不足している。

Syslog received from unknown server

データ収集

ACS View が、登録されていない ACS サーバから syslog メッセージを受け取る場合。ACS View は、未登録サーバのアラートを 1 日に 1 回だけ生成します。

Empty AAA Server value in log

データ収集

ACS View が受け取る CSV ログの AAA サーバの値が空の場合。

Unknown AAA Server value in log

データ収集

CSV ログに、ACS View に登録されていない AAA サーバの値が記録されている場合。

Alert Inbox

ACS View が生成するアラートは、Alert Inbox に表示されます。Alert Inbox は、 My Workspace > Alerts > Inbox ページ、または My Workspace > Dashboard ページの Alert Inbox リンクから表示できます。

Alert Inbox では、次の操作を実行できます。

通知するように設定したアラートのリストを表示する。

マウスのポインタを置くときに表示されるポップアップでアラートの詳細を確認する。

キーワードを使用してアラートのリストをフィルタリングする。


) アラートを削除すると、そのアラートは自分の Alert Inbox に表示されなくなりますが、他のユーザの Alert Inbox には残ります。


Alert Inbox の要素について

生成されたアラートは、Alert Inbox 内のテーブルに表示されます。テーブル内の各カラムについて理解しておく必要があります。

表6-3 で、Alert Inbox のカラムについて説明します。

 

表6-3 Alert Inbox

タイトル
説明

Severity

次のようにアラートの重大度を示します。

CRITICAL

WARNING

INFO

Alert Name

トリガーの名前。しきい値条件を設定するときに指定します。

Alert Type

アラートのタイプ。しきい値条件を設定するときに指定します。

Triggered On

しきい値条件に到達した時刻。

しきい値

しきい値は、ACS サーバで定義するクリティカル条件です。ACS View は、データベースを定期的にポーリングし、ACS データがしきい値に到達するとアラートを生成します。


) トリガー条件を定義すると、ACS View は、syslog を使用して収集した新しいデータだけにそのトリガーを適用します。古いデータにはトリガーを適用しません。


トリガーしきい値を作成するには、次の手順を実行します。


ステップ 1 My Workspace > Alerts > Thresholds を選択します。

Thresholds ページが表示されます。

ステップ 2 Create をクリックします。

ステップ 3 次の情報を入力します。

Name:定義するトリガーの名前です。定義するすべてのトリガーに固有の名前を付ける必要があります。

Type:ドロップダウン リストからトリガーを作成する対象のアラート カテゴリを選択します。

Sub Type:ドロップダウン リストからサブタイプを選択します。Sub Type フィールドは、先に選択したアラート タイプごとに異なります。各アラート サブタイプの詳細については、「サブタイプの説明」を参照してください。


) 適用可能な場合にはいつでも、規則を使用してしきい値条件を設定できます。たとえば、Passed Authentications のしきい値以上(>=)やしきい値以下(<=)、および他のアラート タイプがあります。規則は、選択するアラート タイプとサブタイプに応じて決まります。


Alert On:必要に応じて Alert On パラメータを指定します。

Severity:CRITICAL、WARNING、または INFORMATION の中からアラートの重大度を指定します。

Time Range:オプションとして、1 日の中で ACS View がしきい値条件を監視する時間を指定できます。値として、時間範囲、曜日、またはその両方を設定できます。

Time Duration:アラートを監視する時間を指定します。時間を指定し、Days フィールドで値を何も指定しない場合、ACS View は 1 週間のすべての曜日の指定された時刻にアラートを監視します。


) Passed Authentication、Failed Authentication、および Authentication Inactivity についてのアラートに対して指定する期間は、これらのアラートを監視するために指定したしきい値期間以下にする必要があります(この期間は、Sub Type's In Any フィールドで指定する値です)。

たとえば、user_x の成功した認証の数が 4 時間で 100 件に到達するかどうかを監視するしきい値を定義する場合は、Time Range 領域で指定する時間を 4 時間以下にする必要があります。


Days of the Week:アラートを監視する曜日を指定します。このフィールドで曜日を選択すると、ACS View は選択された曜日にだけアラートを監視します。曜日を何も選択しないと、ACS View は 1 週間のすべての曜日にアラートを監視します。


) アラートを監視する曜日を指定すると、ACS View はその日に受信するデータを監視しません。前の各曜日に受信したデータだけを監視します。1 日の時間範囲は、0000 ~ 2359(GMT)です。


アラートを生成する時間範囲を指定しない場合、ACS View は毎日 24 時間、しきい値条件を監視します。


) ACS View は ACS サーバから受信するすべてのデータを GMT に従って処理するため、ACS サーバの時刻と同じ GMT を入力する必要があります。


ステップ 4 生成されたアラートについて通知する対象のユーザを指定します。デフォルトでは、Administrator と Operator を含むすべてのユーザに通知されます。

オプションとして E-mail チェックボックスをオンにして、Alert Inbox とダッシュボードでアラートを通知し、さらに電子メールで通知を送信できます。

また、任意の注釈を入力することもできます。注釈は、Alert Inbox に入っている各アラートの Alert Details にポップアップ表示されます。

ステップ 5 Create Trigger をクリックします。


 

トリガーを編集するには、リストからトリガーを選択して Edit をクリックし、編集可能なパラメータの値を変更します。

トリガーを削除するには、リストからトリガーを選択して Delete をクリックします。

トリガーをディセーブルにするには、 My Workspace > Alerts > Thresholds でトリガーを選択して、 Disable をクリックします。トリガーをディセーブルにすると、ACS View は指定されたトリガー条件に基づくデータベースの監視を停止します。

トリガーをイネーブルにするには、 My Workspace > Alerts > Thresholds でトリガーを選択して、 Enable をクリックします。トリガーをイネーブルにすると、ACS View は指定されたトリガー条件に基づくデータベースの監視を再開します。

時間範囲を指定して定義されるしきい値条件の場合、その条件の監視対象となるデータ セットは、それ以降の監視サイクルでは使用されません。また、定義された時間範囲内に ACS データがしきい値条件に 2 回以上到達しても、ACS View はその期間内にアラートを 1 つだけ送信します。その後、何度しきい値条件に到達しても、アラートは一切生成されません。

サブタイプの説明

アラート タイプごとにしきい値を定義する場合、対応するサブタイプはそれぞれ異なります。

次のアラート タイプがあります。

「Passed Authentications」

「Failed Authentications」

「Authentication Inactivity」

「TACACS+ Command Audit」

「ACS Administration Audit」

「ACS Backup/Restore」

「ACS Replication」

「ACS Service Status」

Passed Authentications

ACS View は、User、User Group、ACS server、NAD、および NAP による成功した認証の回数に対して定義されたしきい値を監視した後、成功した認証についてアラートを生成します。

アラート タイプとして Passed Authentications を選択すると、 表6-4 に示すように、対応するアラート サブタイプのフィールドが表示されます。

 

表6-4 サブタイプ:Passed Authentications

GUI サブタイプのフィールド
説明

Sub Type

Passed Authentications。

<= または >=

隣接するテキスト ボックスに認証しきい値の値を入力します。

Minutes/Hours/Days

ドロップダウン リストから、成功した認証を監視する時間範囲を指定します。


) ここで指定する時間は、Time Range 領域で指定する時間範囲以上にする必要があります。


Failed Authentications

このアラートは、User、User Group、ACS server、NAD、NDG、および NAP による失敗した認証の回数に対して定義されるしきい値を監視します。

アラート タイプとして Failed Authentications を選択すると、 表6-5 に示すように、対応するアラート サブタイプのフィールドが表示されます。

 

表6-5 サブタイプ:Failed Authentications

GUI サブタイプのフィールド
説明

Sub Type

Failed Authentications。

<= または >=

隣接するテキスト ボックスに認証しきい値の値を入力します。

Minutes/Hours/Days

ドロップダウン リストから、失敗した認証を監視する時間範囲を指定します。


) ここで指定する時間は、Time Range 領域で指定する時間範囲以上にする必要があります。


Failure Reason

ドロップダウン リストから、認証に失敗する理由を選択して定義します。 System Administration > Data Management > Authentication Failure Code を選択し、このリストに理由を追加できます。

Authentication Inactivity

このアラートは、指定された期間、選択された Alert On パラメータ(User、User Group、ACS server、NAD、および NAP)について Authentication Inactivity を監視します。

ACS View は、成功した認証のデータを観察し、指定された期間中に ACS サーバで成功した認証が存在しない場合には、Authentication Inactivity アラートを生成します。たとえば、このしきい値定義を使用して、特定のユーザが 2 日間非アクティブになっているかどうか、あるいは指定された NAD が 5 時間にわたって非アクティブになっているかどうかを調べることができます。

アラート タイプとして Authentication Inactivity を選択すると、 表6-6 に示すように、対応するアラート サブタイプのフィールドが表示されます。

 

表6-6 サブタイプ:Authentication Inactivity

GUI サブタイプのフィールド
説明

Sub Type

Inactivity。

Hours/Days

ドロップダウン リストから、失敗した認証を監視する時間範囲を指定します。


) ここで指定する時間は、Time Range 領域で指定する時間範囲以上にする必要があります。


TACACS+ Command Audit

このアラートは、ACS サーバで設定された(または ACS サーバに接続された)デバイスで発行されるコマンドを監視します。ACS View は指定されるコマンドを検索し、一致するコマンドを検出するとアラートを生成します。

アラート タイプとして TACACS+ Command Audit を選択すると、 表6-7 に示すように、対応するアラート サブタイプのフィールドが表示されます。

 

表6-7 サブタイプ:TACACS+ Command Audit

GUI サブタイプのフィールド
説明

Sub Type

Command Audit。

Command

監視対象のコマンドを入力します(たとえば reload )。

複数のコマンドを指定する場合は、カンマ区切りのリストとしてコマンドを入力できます。ACS View は、入力するテキストがデバイス コマンドの一部と一致する場合でもアラートを生成します。

有効なデバイス コマンドに含まれる特殊文字以外の特殊文字は使用できません。

テキストの大文字と小文字は区別されません。

Select Privilege

該当する場合は、コマンドの特権レベルを指定します。ここで選択する特権レベルは、ACS に接続された Cisco デバイスで入力されるコマンドの特権レベルと一致する必要があります。このフィールドはオプションです。

ACS Administration Audit

このアラートは、管理者が ACS で実行するすべてのアクティビティを監視します。

アラート タイプとして ACS Administration Audit を選択すると、 表6-8 に示すように、対応するアラート サブタイプのフィールドが表示されます。

 

表6-8 サブタイプ:ACS Administration Audit

GUI サブタイプのフィールド
説明

Sub Type

デフォルトでは Admin Audit です。

Search

指定された ACS サーバにログインした管理アクションのキーワードを入力します。

複数の値をカンマで区切って入力できます。ACS View は、ログに記録されたいずれかの管理アクションにキーワードすべてが一致する場合にのみアラートを生成します。

このフィールドでは大文字と小文字が区別されません。

ACS Backup/Restore

このアラートは、ACS でのバックアップや復元アクティビティの監視を行い、アクティビティが失敗に終わったり定義されたしきい値時間を超過したりした場合に、アラートを生成します。

アラート タイプとして ACS Backup/Restore を選択すると、 表6-9 に示すように、対応するアラート サブタイプのフィールドが表示されます。

 

表6-9 サブタイプ:ACS Backup/Restore

GUI サブタイプのフィールド
説明

Sub Type

ドロップダウン リストから次の項目を選択できます。

Backup Failed

Backup Time

Restore Failed

Restore Time

バックアップまたは復元に失敗したときにアラートを生成するには、Backup Failed または Restore Failed を選択します。指定された時間よりアクティビティの実行時間が長い場合にアラートを生成するには、Backup Time または Restore Time を選択し、隣接するテキスト ボックスにしきい値時間を入力します。

ACS Replication

ACS View は、ACS での複製アクティビティが失敗した場合や、設定されたしきい値時間を超過した場合に、ACS Replication のアラートを生成します。

アラート タイプとして ACS Replication を選択すると、 表6-10 に示すように、対応するアラート サブタイプのフィールドが表示されます。

 

表6-10 サブタイプ:ACS Replication

GUI サブタイプのフィールド
説明

Sub Type

ドロップダウン リストから次の項目を選択できます。

Replication Failed

Replication Time

選択した項目に応じて、複製に失敗したり時間が超過したりするとアラートが生成されます。

ACS Service Status

このアラートは、いずれかの ACS サービスが停止または再起動されたかどうかを監視します。

アラート タイプとして ACS Service Status を選択すると、 表6-11 に示すように、対応するアラート サブタイプのフィールドが表示されます。

 

表6-11 サブタイプ:ACS Service Status

GUI サブタイプのフィールド
説明

Sub Type

ドロップダウン リストから次の項目を選択できます。

CSAdmin

CSAuth

CSDBSync

CSLog

CSRadius

CSTacacs+

System

Stopped/Restarted

ドロップダウン リストから Stopped または Restarted を選択します。

しきい値要素について

定義されるしきい値は、 My Workspace > Alerts > Thresholds を選択すると表示される Thresholds ページのテーブルに一覧表示されます。このテーブルの各タイトルについて理解しておく必要があります。

表6-12 に、Thresholds GUI の要素の説明を示します。

 

表6-12 Thresholds GUI の要素

タイトル
説明

Trigger Name

トリガーの名前。

Type

アラートのタイプ。

Created By

しきい値を定義したユーザの名前。

Created On

トリガー定義の作成時刻。

Total Alerts

特定のトリガーについて、現在時刻までに通知されたアラートの総数。

Last Triggered On

このトリガーで記録された最後のアラートの日時。

Status

トリガーのステータス(enabled または disabled)。