Cisco Traffic Anomaly Detector Web-Based Management ユーザ ガイド
Detector でのイベントの操作 および監視
Detector でのイベントの操作および監視
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

Detector でのイベントの操作および監視

Summary(ホーム)ページ

の診断の表示

カウンタ

イベント ログ

アクセス コントロールの設定

ユーザ認証の管理

ユーザの作成

Users リスト

パスワードの変更

許可の設定

権限レベルの割り当て

Detector でのイベントの操作および監視

ここでは、Web-Based Management(WBM)を使用して Cisco Traffic Anomaly Detector でイベントを操作および監視する方法について説明します。

この章は、次の項で構成されています。

Detector Summary(ホーム)ページ

Detector の診断の表示

アクセス コントロールの設定

ゾーンの作成と管理については、「ゾーンの作成と設定」を参照してください。


) Detector では、スイッチが備えるポート ミラーリング機能(SPAN など)または光スプリッタを使用してトラフィックのコピーを取得する必要があります。CLI を使用して実行できるのは、Detector、リモート Guard のリスト、およびネットワークの設定のみです。詳細については、『Cisco Traffic Anomaly Detector User Guide』を参照してください。


Detector Summary(ホーム)ページ

Detector Summary(ホーム)ページ(図 3-1)には、現在の Detector アクティビティの要約が示されます。このページは、Detector WBM に接続すると自動的に表示されます。

Detector Summary ホーム ページには、インターフェイス(図 1-1)のさまざまな位置から次の手順で到達できます。

ナビゲーション ペインで Detector Summary を選択する。

情報領域で Home を選択する。

ゾーンのページに表示されるナビゲーション パスの Home を選択する。

図 3-1 Detector Summary(ホーム)ページ

 

 

Detector Summary には、次の 2 つのセクションがあります。

Detector Summary :最近 2 時間に Detector が処理した受信トラフィック レートの要約を bps 単位でグラフに示します。

表 3-1 に、グラフの下に表示される情報の説明を示します。

 

表 3-1 Detector Summary のグラフに含まれているフィールドの説明

フィールド
説明

Min

最近 2 時間に計測されたトラフィック レートの最小値(bps 単位)。

Max

最近 2 時間に計測されたトラフィック レートの最大値(bps 単位)。

Avg

最近 2 時間に計測されたトラフィック レートの平均値(bps 単位)。

Cur

現在のトラフィック レート(bps 単位)。

Zones Under Detection :検出実行中のゾーンのリスト、および各ゾーンのステータスの簡単な要約を示します。ゾーンは攻撃を受けた順に表示されます。この時点で最後に攻撃を受けているゾーンが、リストの最上部に表示されます。

表 3-2 に、Zones Under Detection に含まれているフィールドの説明を示します。

 

表 3-2 Zones Under Detection に含まれているフィールドの説明

フィールド
説明

Zone

ゾーンの名前。ゾーンの名前は、ゾーンのホーム ページへのリンクにもなっています。

Activation Time

ゾーン検出が有効になった日時。

Attack Start Time

ゾーンに対する攻撃が最後に検出された日時。

Receive Rate

このゾーンが送信先となっているトラフィックの現時点でのレートを示します(bps 単位)。

ゾーン トラフィックの要約のサムネール

最近 30 分間のゾーン トラフィックの要約を表示するグラフ。トラフィック レートは bps 単位で表示されます。正当なトラフィックのレートは緑色で表示されます。悪意のあるトラフィックのレートは赤色で表示されます。

Detector の診断の表示

Detector では、トラブルシューティングおよびイベントの監視に役立つ診断情報が提供されます。

Detector の診断を表示するには、メイン メニューの Diagnostics を選択します。

次の診断情報を取得できます。

カウンタ

イベント ログ

カウンタ

Detector Global Current Counters レポート(図 3-2)では、Detector Summary よりも詳細な情報が提供されます。

Detector のグローバル カウンタを表示するには、メイン メニューの Diagnostics > Counters を選択します。

図 3-2 Detector のグローバル カウンタおよびレート

 

 


 

受信パケットのカウンタは、Detector が受信して分析したパケットの総数を示します。

表 3-3 に、受信パケットのカウンタに含まれているフィールドの説明を示します。

 

表 3-3 受信パケットのカウンタに含まれているフィールドの説明

フィールド
説明

Packets

Detector がリロードされた後のパケットの総数を示します。

Bits

Detector がリロードされた後の総ビット数を示します。

pps

現在のトラフィック レートを示します(パケット/秒単位)。

bps

現在のトラフィック レートを示します(bps 単位)。

イベント ログ

イベント ログ(図 3-3)には、保護されているゾーンの関連イベントと Detector の動作の関連イベントについて、監視情報とトラブルシューティング情報が表示されます。

イベント ログを表示するには、Detector のメイン メニューで Diagnostics > Event log を選択します。

図 3-3 イベント ログ

 

表 3-4 に、表示される可能性のあるイベント重大度レベルを示します。

 

表 3-4 イベントの重大度レベル

イベントのレベル
説明

Emergencies

システムが使用不能

Alerts

ただちに対処が必要

Critical

深刻な状態

Errors

エラー状態

Warnings

警告状態

Notifications

通常、ただし注意が必要

Informational

情報メッセージ

Debugging

デバッグ メッセージ

イベントを重大度レベルに基づいてフィルタリングするには、重大度レベルの隣にあるチェックボックスをオンにし、 Filter Events をクリックします。


) イベント ログに表示されるのは、ゾーンに関係するイベントとその重大度レベル(Emergency、Alert、Critical、Error、Warning、または Notification)のみです。ゾーンのイベント ログの詳細については、「ゾーンの統計情報と診断」を参照してください。


アクセス コントロールの設定

アクセス コントロールとは、ネットワーク サーバにアクセスできるユーザ、およびアクセス権を持ったユーザが使用できるサービスを制御することです。アクセスをセットアップするための主要なフレームワークを提供するのは、認証ネットワーク セキュリティ サービスと許可ネットワーク セキュリティ サービスです。

認証 :システムとシステム サービスへのアクセスをユーザに許可するとき、事前にユーザを識別する方法。

許可 :ユーザがシステムへのアクセスを取得したとき、ユーザの実行できる操作を決定するプロセス。通常は、ユーザが認証され、システムの操作を開始しようとしたときに実行されます。

ユーザ認証の管理

Detector には、管理者権限を持つユーザ名があらかじめ設定されています。このユーザ名を使用して新しいユーザを作成できます。ユーザを定義すると、Detector のユーザ コミュニティをドメインに分割して、必要に応じてパスワードを割り当てることができるため、セキュリティで保護され、管理されたアクセスを確立できます。

ユーザが Detector にログインしようとしたときに Detector で使用される認証方式は、Administrator が設定できます。ローカル認証では、ローカル コンピュータに設定されているログイン パスワードが認証に使用されます。これはデフォルトの認証方式です。

ユーザの作成

Administrator 権限を持つユーザは、ローカル ユーザを設定できます。

新しいユーザを作成するには、メイン メニューの Users > Create user を選択します。

ユーザごとに、 表 3-5 のパラメータを定義します。

 

表 3-5 ユーザ パラメータの説明

パラメータ
説明

User name

ユーザの名前。

Initial password

6 ~ 24 文字(スペース使用不可)。

Type

ユーザの権限レベル。値をドロップダウン リストから選択して権限レベルを割り当てます。

新しいユーザは、Users リストページの Add をクリックして作成することもできます。

Users リスト

Detector に定義されているユーザのリストを表示するには、メイン メニューの
Users > Users list
を選択します。

ユーザのリストは、次の 2 つのカテゴリに分かれています。

System users :システムが定義したユーザ。システム ユーザを削除することはできません。システム ユーザは admin と riverhead です。

Users :オペレータが定義したユーザ。

ユーザを削除するには、ユーザ名の隣にあるチェックボックスをオンにし、 Delete をクリックします。

ユーザを追加するには、 Add をクリックします。

各ユーザの権限レベルが表示されます( 表 3-6 を参照)。

ユーザを再設定するには、ユーザ名をクリックし、パラメータを変更します。

パスワードの変更

パスワードを変更するには、次の手順を実行します。


ステップ 1 Detector のメイン メニューの Users > Change password を選択します。 Change Password ウィンドウが表示されます。

ステップ 2 既存のパスワードを Old Password ボックスに入力します。

ステップ 3 新しいパスワードを New Password ボックスに入力し、確認のためにもう一度入力して、 OK をクリックします。

ステップ 4 無効なパスワードを入力した場合、および新しいパスワードの確認入力が正しくなかった場合は、エラー メッセージが表示されます。 Go Back をクリックして手順を繰り返してください。


 

Administrator 権限を持つユーザは、Detector に定義されているすべてのユーザのパスワードを設定および変更できます。

ユーザのパスワード(現在のユーザを除く)を再設定または変更するには、次の手順を実行します。


ステップ 1 メイン メニューの Users > Users list を選択し、ユーザ名をクリックします。

ステップ 2 Config をクリックします。

ステップ 3 新しいパスワードを入力し、 OK をクリックします。


 

許可の設定

Detector のサービスにアクセスできるかどうかは、ユーザの権限レベルによって決まります。システム管理者は、ユーザが使用できるサービスを制限することができます。Detector は、ローカル ユーザ データベースにあるユーザのプロファイルをチェックして、ユーザのアクセス権を確認します。ユーザのプロファイルで許可されていた場合のみ、ユーザは要求したサービスへのアクセスが許可され、アクセス権を付与されます。

ローカル許可では、ローカル コンピュータ上に設定されているユーザ プロファイルがコマンド グループのアクセス コントロールに使用されます。許可は、すべてのコマンドについて特定の権限レベルを持つユーザが実行できるように定義されています。これはデフォルトの許可方式です。

権限レベルの割り当て

Detector には、Administrator の権限レベルがあらかじめ設定されています。
Administrator を使用して、別のユーザ タイプを定義することができます。ユーザを定義すると、Detector のユーザ コミュニティをグループに分割して、それぞれ別のアクセス権限を付与することができます。

表 3-6 に、権限レベルおよび対応する操作を示します。

 

表 3-6 ユーザの権限レベル

ユーザ グループ
コマンド グループ

Administrator(Admin

すべての操作に完全にアクセスできます。

Configuration(Config

ユーザの定義、削除、および修正に関連する操作を除いて、すべての操作に完全にアクセスできます。

Dynamic

監視と診断、検出、およびラーニングに関する操作にアクセスできます。Dynamic 権限を持つユーザは、フレックス フィルタと動的フィルタを設定することもできます(下の記述を参照)。

Show

監視操作と診断操作にアクセスできます。

フィルタの設定は、Administrator 権限または Configuration 権限を持つユーザのみが実行することをお勧めします。Configuration 未満の権限を持つユーザは、動的フィルタを追加および削除できます。

ユーザ名 admin には、Administrator 権限が付与されています。ユーザ名 riverhead には、Dynamic 権限が付与されています。

権限レベルは、ユーザが最初に作成されたときに割り当てられます。詳細については、「ユーザの作成」を参照してください。

ユーザの権限レベルを変更するには、ユーザを Users リストからいったん削除して、もう一度追加します。