Cisco Traffic Anomaly Detector コンフィギュレーション ガイド (Software Release 5.0)
Detector の診断ツールの使用
Detector の診断ツールの使用
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

Detector の診断ツールの使用

の設定の表示

のゾーンの表示

ゾーンのカウンタの表示

ゾーンのステータスの表示

のログの表示

オンライン イベント ログの表示

オンライン イベント ログのエクスポート

ログ ファイルの表示

ログ ファイルのエクスポート

ログ ファイルのクリア

ネットワーク トラフィックの監視と攻撃シグニチャの抽出

の自動トラフィック記録の設定

の手動トラフィック記録のアクティブ化

の手動トラフィック記録の停止

パケットダンプ キャプチャ ファイルのディスク スペースの管理

手動パケットダンプ設定の表示

自動パケットダンプ設定の表示

パケットダンプ キャプチャ ファイルの自動エクスポート

パケットダンプ キャプチャ ファイルの手動エクスポート

パケットダンプ キャプチャ ファイルのインポート

パケットダンプ キャプチャ ファイルの表示

パケットダンプ キャプチャ ファイルからの攻撃シグニチャの生成

パケットダンプ キャプチャ ファイルのコピー

パケットダンプ キャプチャ ファイルの削除

一般的な診断データの表示

メモリ消費量の表示

CPU 使用率の表示

ARP キャッシュの操作

netstat の使用

traceroute の使用

ping の使用

デバッグ情報の取得

Detector の診断ツールの使用

この章では、Cisco Traffic Anomaly Detector(Detector)に関する統計情報や診断を表示する方法について説明します。この章には、次の項があります。

Detector の設定の表示

Detector のゾーンの表示

ゾーンのカウンタの表示

ゾーンのステータスの表示

Detector のログの表示

ネットワーク トラフィックの監視と攻撃シグニチャの抽出

一般的な診断データの表示

メモリ消費量の表示

CPU 使用率の表示

ARP キャッシュの操作

netstat の使用

traceroute の使用

ping の使用

デバッグ情報の取得

Detector の設定の表示

Detector の設定ファイルを表示することができます。このファイルには、インターフェイスの IP アドレス、デフォルト ゲートウェイ アドレス、設定されているゾーンなど、Detector の設定に関する情報が含まれています。

Detector の設定ファイルを表示するには、次のコマンドを入力します。

show running-config [all | Detector | interfaces interface-name | router | self-protection | zones] ]

表 9-1 で、 show running-config コマンドのキーワードについて説明します。

 

表 9-1 show running-config コマンドのキーワード

パラメータ
説明

all

Detector のすべてのモジュール(Detector、ゾーン、インターフェイス、ルータ、および自己保護)の設定ファイルを表示します。

Detector

Detector の設定ファイルを表示します。

interfaces

Detector のインターフェイスの設定ファイルを表示します。インターフェイス名を入力します。

router

ルータの設定を表示します。

zones

すべてのゾーンの設定ファイルを表示します。

次の例を参考にしてください。

user@DETECTOR# show running-config detector
 

設定ファイルは、Detector を現在の設定値で設定するために実行されるコマンドで構成されています。Detector の設定ファイルをリモート FTP サーバにエクスポートして、バックアップ用にしたり、別の Detector にその Detector の設定パラメータを実装できるようにすることができます。詳細については、「Detector のゾーンの表示」を参照してください。

Detector のゾーンの表示

Detector でゾーンの概要を表示して、アクティブなゾーンやゾーンの現在のステータスを確認できます。ゾーンのリストを表示するには、グローバル モードで show コマンドを使用します。 表 9-2 で、さまざまなゾーン ステータスについて説明します。

 

表 9-2 ゾーンのステータス

ステータス
説明

Auto detect mode

ゾーンは自動検出モードです。ユーザの介入なしに動的フィルタがアクティブになります。

ゾーンが自動検出モードであるときに、Detector がポリシーのしきい値を調整するためにゾーンのトラフィック特性をラーニングしている場合、Detector はゾーン名の隣に (+learning) を表示します。

Interactive detect mode

ゾーンはインタラクティブ検出モードです。動的フィルタは手動でアクティブにされます。

Threshold Tuning phase

ゾーンはしきい値調整フェーズです。Detector は、ゾーンのトラフィックを分析して、ポリシー構築フェーズ中に構築されたポリシーのしきい値を定義します。

Policy Construction phase

ゾーンはポリシー構築フェーズです。ゾーンのポリシーが作成されます。

Standby

ゾーンはアクティブではありません。

user@DETECTOR# show
 

ゾーンのカウンタの表示

ゾーン カウンタの表示およびゾーン トラフィックの分析には、次のコマンドを使用できます。

show rates: Received カウンタ の平均トラフィック レートを表示します。

show rates deta ils:Received カウンタ の平均トラフィック レートを表示します。

show rates history:Received カウンタ の平均トラフィック レートを過去 24 時間にわたり 1 分ごとに表示します。

show counters:Received カウンタ を表示します。

show counters details:Received カウンタ を表示します。

show counters history: 過去の Received カウンタの値を 1 分ごとに表示します。

レート単位は、 bps および pps です。


ゾーンのレートは、ゾーン検出をイネーブルにした場合、またはラーニング プロセスをアクティブにした場合にのみ使用可能です。


Guard は、トラフィックの合計を測定し、平均のトラフィック レートを計算します。値が cleared のレートは、ゾーン検出がイネーブルでなかった時間を示します。

カウンタの単位はパケットおよびキロビットです。カウンタは、ゾーン 検出 をアクティブにしたときにゼロにリセットされます。

表 9-3 で、Detector のカウンタについて説明します。

 

表 9-3 Detector のカウンタ

カウンタ
説明

Received

Detector が処理した、そのゾーンを宛先としたパケットの合計。

次の例を参考にしてください。

admin@GUARD-conf-zone-scannet# show rates

ゾーンのステータスの表示

特定のゾーンの概要を表示して、そのゾーンの全般的な状況と現在のステータスを知ることができます。ゾーンの概要を表示するには、ゾーン設定モードで show コマンドを使用します。概要には、次の情報が含まれます。

ゾーンのステータス :動作状態を示します。動作状態は、保護モード、保護およびラーニングのモード、しきい値調整モード、ポリシー構築モード、または非アクティブのいずれかです。

ゾーンの基本設定 :動作モード(自動またはインタラクティブ)、しきい値とタイマー、IP アドレスなど、ゾーンの基本的な設定を示します。詳細については、「ゾーンのアトリビュートの設定」を参照してください。

ゾーンのフィルタ :フレックスコンテンツ フィルタの設定も含めて、アクティブな動的フィルタおよびユーザ フィルタの設定数を示します。ゾーンがインタラクティブ検出モードの場合、概要には推奨事項の数が表示されます。詳細については、「フレックスコンテンツ フィルタの設定」を参照してください。

ゾーンのトラフィック レート :ゾーンの正当なトラフィックと悪意あるトラフィックのレートを表示します。詳細については、「ゾーンのカウンタの表示」を参照してください。

次の例を参考にしてください。

user@DETECTOR-conf-zone-scannet# show
 

Detector のログの表示

Detector は、システムのアクティビティおよびイベントを自動的にログに記録します。Detector のログを表示して、Detector のアクティビティを確認および追跡できます。

表 9-4 で、イベント ログのレベルについて説明します。

 

表 9-4 イベント ログのレベル

イベントのレベル
数値コード
説明

Emergencies

0

システムが使用不能

Alerts

1

ただちに対処が必要

Critical

2

危険な状態

Errors

3

エラー状態

Warnings

4

警告状態

Notifications

5

通常、ただし注意が必要

Informational

6

情報メッセージ

Debugging

7

デバッグ メッセージ

ログ ファイルには、すべてのログ レベル(emergencies、alerts、critical、errors、warnings、notification、informational、debugging)が表示されます。Detector のログ ファイルには、emergencies、alerts、critical、errors、warnings、および notification という重大度を持つゾーン イベントが含まれます。

イベント ログは、ローカルで表示することも、リモート サーバから表示することもできます。

イベントのリアルタイム ロギング:「オンライン イベント ログの表示」を参照してください。

ログ ファイル:「ログ ファイルの表示」を参照してください。

オンライン イベント ログの表示

Detector のモニタリング メカニズムをアクティブにして、リアルタイムのイベント ログを表示できます。この設定により、Detector のイベントのオンライン ロギングを表示できます。次のコマンドを入力します。

event monitor

次の例を参考にしてください。

user@DETECTOR# event monitor
 

画面はイベントで常にアップデートされます。


) モニタリング メカニズムを非アクティブにするには、no event monitor コマンドを使用してください。


オンライン イベント ログのエクスポート

Detector のオンライン イベント ログをエクスポートして、ログ ファイルに記録されている Detector の動作を表示できます。Detector のイベントは Detector のログ ファイルにオンラインで記録されるため、リモート ホストからそのイベントを表示できます。Detector のログ ファイルは、syslog メカニズムを使用してエクスポートされます。Detector のログ ファイルは、複数の syslog サーバにエクスポートできます。1 つのサーバがオフラインになったときに別のサーバでメッセージを受信できるように、追加のサーバを指定できます。

オンラインの Detector ログ エクスポート機能は、リモート syslog サーバでのみ適用できます。リモート syslog サーバが使用できない場合は、 copy log コマンドを使用して、Detector のログ情報をファイルにエクスポートしてください。

次に、イベント ログの例を示します。

Sep 11 16:34:40 10.4.4.4 cm: scannet, 5 threshold-tuning-start: Zone activation completed successfully.
 

syslog メッセージの構文は次のとおりです。

event-date event-time Guard-IP-address protection-module zone-name event-severity-level event-type event-description

オンライン イベント ログをエクスポートするには、次の手順を実行します。


ステップ 1 (オプション)ロギング パラメータを設定します。次のコマンドを入力します。

logging {facility | trap}
 

表 9-5 で、logging コマンドのキーワードについて説明します。

 

表 9-5 logging コマンドのキーワード

パラメータ
説明

facility

エクスポート syslog ファシリティ。リモート syslog サーバは、ロギング ファシリティを使用してイベントをフィルタリングします。たとえば、リモート ユーザは、ロギング ファシリティを使用して、Detector イベントを 1 つのファイルに取得し、別のファイルを他のネットワーク デバイスからのイベント用に使用できます。

使用できるファシリティは、local0 ~ local7 です。デフォルトは local4 です。

trap

リモート syslog に送信する syslog トラップの重大度。重大度のトラップ レベルには、それより高い重大度のレベルが含まれます。たとえば、トラップ レベルを warning に設定すると、error、critical、alerts、および emergencies も送信されます。指定できるトラップ レベルは、高い方から順に emergencies、
alerts、critical、errors、warnings、notification、informational、debugging です。デフォルトは notification です。


) 動的フィルタの追加および削除に関するイベントを受信するには、トラップ レベルを informational に変更してください。


ステップ 2 リモート syslog サーバの IP アドレスを設定します。次のコマンドを入力します。

logging host remote-syslog-server-ip
 

または

export log remote-syslog-server-ip
 

remote-syslog-server-ip 引数には、リモート syslog サーバの IP アドレスを指定します。

ロギング メッセージを受信する syslog サーバのリストを作成するには、このコマンドを複数回入力してください。


 

次の例は、 local3 ファシリティを使用して、 notification 以上の重大度レベルのトラップが IP アドレス 10.0.0.191 の syslog サーバに送信されるように、Detector を設定する方法を示しています。

user@DETECTOR-conf# logging facility local3
user@DETECTOR-conf# logging trap notifications
user@DETECTOR-conf# logging host 10.0.0.191
 

オンライン イベント ログのエクスポート設定を表示するには、 show logging コマンドまたは show log export-ip コマンドを使用します。

ログ ファイルの表示

診断または監視のために Detector のログを表示できます。Detector のログ ファイルには、emergencies、alerts、critical、errors、warnings、および notification という重大度を持つゾーン イベントが含まれます。

Detector のログを表示するには、次のコマンドを入力します。

show log

次の例を参考にしてください。

user@DETECTOR# show log
 

ゾーンのログを表示して、指定したゾーンだけに関連するイベントを確認できます。

ゾーンのログを表示するには、ゾーン設定モードで show log コマンドを使用します。

ログ ファイルのエクスポート

監視または診断のために、Detector のログ ファイルを FTP サーバにエクスポートできます。グローバル モードで、次のいずれかのコマンドを入力します。

copy [ zone zone-name ] log ftp server full-file-name [ login [ password ]]

copy [ zone zone-name ] log sftp server full-file-name login


copy reports コマンドを入力する前に、Detector が SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続用の鍵の設定」を参照してください。


表 9-6 で、 copy log ftp コマンドの引数とキーワードについて説明します。

表 9-6 copy log ftp コマンドの引数

パラメータ
説明
zone-name

(オプション)ゾーン名。ゾーンのログ ファイルをエクスポートします。 デフォルトでは、Detector のログ ファイルがエクスポートされます。

ftp

ログを FTP サーバにエクスポートします。

sftp

ログを SFTP サーバにエクスポートします。

server

サーバの IP アドレス。

remote-path

ファイルの完全な名前。パスを指定しない場合、サーバはユーザのホーム ディレクトリにファイルを保存します。

login

サーバのログイン名。

login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。パスワードを入力しない場合、入力するよう Detector から要求されます。

次の例を参考にしてください。

user@DETECTOR# copy log ftp 10.0.0.191 log.txt <user> <password>

ログ ファイルのクリア

Detector またはゾーンのログ ファイルが大きい場合、あるいは、テストを行う予定があり、そのテスト セッションからの情報だけをログ ファイルに反映する場合は、ログ ファイルをクリアできます。

すべてのエントリの Detector またはゾーンのログ ファイルをクリアするには、設定モードまたはゾーン設定モードで次のコマンドを入力します。

clear [zone zone-name ] log

zone-name 引数には、ゾーン名を指定します。デフォルトでは、Detector のログ ファイルがクリアされます。 clear log コマンドをゾーン設定モードで発行する場合、 zone zone-name キーワードと引数は使用できません。ゾーン設定モードで clear log コマンドを使用すると、現在のゾーン ログの全エントリが消去されます。

次の例を参考にしてください。

user@DETECTOR-conf# clear log
 

デバイスの電源が切られた回数や再起動された回数などの大部分のハードウェア関連のイベント メッセージを記録した BIOS システム ログをクリアできます。

BIOS システム ログをクリアするには、設定モードで次のコマンドを入力します。

clear log bios

次の例を参考にしてください。

user@DETECTOR-conf# clear log bios

ネットワーク トラフィックの監視と攻撃シグニチャの抽出

ネットワークのトラフィック パターンを記録および観察できます。動作を阻害しないタップを介してネットワークから直接トラフィックを記録するように Detector を設定し、記録されたトラフィックからデータベースを作成できます。記録されたトラフィックのデータベースを問い合せることにより、過去のイベントを分析したり、攻撃のシグニチャを生成したりできます。また、現在のネットワーク トラフィック パターンと、トラフィックが通常状態のときに Detector が以前に記録したトラフィック パターンとを比較することも可能です。

フィルタを設定して、Detector で特定の基準を満たすトラフィックだけを記録できます。また、すべてのトラフィック データを記録し、Detector に表示されるトラフィックをフィルタリングすることもできます。

Detector では、トラフィックは gzip 圧縮された Packet Capture(PCAP)形式で保存され、記録されたデータについて記述する Extensible Markup Language(XML)形式のファイルが付属します。

記録されたトラフィックの重要な用途は、記録された攻撃パケットのペイロードに共通のパターンまたはシグニチャが見られるかどうかを判断するというものです。Detector は、記録されたトラフィックを分析し、シグニチャを抽出することができます。シグニチャを使用すると、そのシグニチャと一致するパケット ペイロードを含むすべてのトラフィックをブロックするようにフレックスコンテンツ フィルタを設定できます。

Detector は、次の 2 つの方法でトラフィックを記録できます。

自動 :Detector は、トラフィック データをパケットダンプ キャプチャ ファイルに常に記録します。

手動 :Detector は、記録するためにアクティブにされたときに、トラフィックをパケットダンプ キャプチャ ファイルに記録します。

以前のパケットダンプ キャプチャ ファイルは新しいファイルに置き換えられます。記録されたトラフィックを保存するには、パケットダンプ キャプチャ ファイルを FTP サーバまたは SFTP サーバにエクスポートしてから、もう一度 Detector でトラフィックの記録をアクティブにします。

1 つのゾーンに対し、手動パケットダンプ キャプチャは一度に 1 つずつしかアクティブにできませんが、手動パケットダンプ キャプチャと自動パケットダンプ キャプチャを同時にアクティブにすることはできます。Detector では、同時に最大 10 ゾーンのトラフィックを手動で記録できます。

デフォルトでは、Detector は、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 5 MB のディスク スペースを割り当てています。すべてのゾーンの手動および自動パケットダンプ キャプチャ ファイルは、50 MB まで保存できます。将来のパケットダンプ キャプチャ ファイルのためにディスク スペースを解放するには、古いパケットダンプ キャプチャ ファイルを削除します。

この項では、次のトピックについて取り上げます。

Detector の自動トラフィック記録の設定

Detector の手動トラフィック記録のアクティブ化

Detector の手動トラフィック記録の停止

パケットダンプ キャプチャ ファイルのディスク スペースの管理

手動パケットダンプ設定の表示

自動パケットダンプ設定の表示

パケットダンプ キャプチャ ファイルの自動エクスポート

パケットダンプ キャプチャ ファイルの手動エクスポート

パケットダンプ キャプチャ ファイルのインポート

パケットダンプ キャプチャ ファイルの表示

パケットダンプ キャプチャ ファイルからの攻撃シグニチャの生成

パケットダンプ キャプチャ ファイルのコピー

パケットダンプ キャプチャ ファイルの削除

Detector の自動トラフィック記録の設定

Detector をアクティブにして、ネットワーク トラフィックを自動的に記録できます。このようにして、ネットワークの問題や攻撃が発生したときに分析または比較に使用可能なトラフィックの記録を入手できます。パケットダンプ キャプチャ フィルタを使用すると、指定した基準を満たすトラフィックだけを記録するように Detector を設定できます。また、すべてのトラフィックを記録し、その記録済みのトラフィックを表示するときにパケットダンプ キャプチャ フィルタを適用することもできます。

Detector は、トラフィックをキャプチャ バッファに記録します。キャプチャ バッファのサイズが 50 MB に達するか、10 分が経過すると、Detector はバッファをローカル ファイルに圧縮形式で保存します。バッファは消去され、トラフィックの記録が続行されます。

Detector は、複数の自動パケットダンプ キャプチャ ファイルを保存します。記録されたトラフィックは、処理方法に基づいて分割されます。したがって、複数の自動パケットダンプ キャプチャ ファイルを 1 つの時間枠から取得できます。自動パケットダンプ キャプチャ ファイルの名前には、Detector がトラフィックを記録した時刻と処理方法に関する情報が示されています。

表 9-7 で、自動パケットダンプ キャプチャ ファイルの名前のセクションについて説明します。

 

表 9-7 自動パケットダンプ キャプチャ ファイルの名前のセクション

セクション
説明

機能

パケットダンプ キャプチャ時に実行された Detector の機能。機能は次のいずれかになります。

protect :Detector は、ゾーン異常検出中にトラフィックを記録しました。

learn :Detector は、ゾーンのラーニング プロセスまたは検出およびラーニング プロセス中にトラフィックを記録しました。

キャプチャ開始時刻

Detector がトラフィックの記録を開始した時刻。

キャプチャ終了時刻

(オプション)Detector がトラフィックの記録を終了した時刻。現在 Detector がファイルにトラフィックを記録している場合、終了時刻は表示されません。

処理

Detector がトラフィックを処理した方法。アクションは次のとおりです。

dropped:Detector が受信したトラフィック。Detector はトラフィックを転送せず、そのトラフィックはドロップされます

ラーニング プロセスまたは検出およびラーニング プロセスをイネーブルにした場合、Detector は作成したパケットダンプ キャプチャ ファイルをすべて保存します。ゾーン検出をイネーブルにした場合、Detector は過去のパケットダンプ キャプチャ ファイルの 1 セットだけを保存します。ゾーン検出がイネーブルの場合にすべてのパケットダンプ キャプチャ ファイルを保存するには、作成したパケットダンプ キャプチャ ファイルを自動的に FTP サーバまたは SFTP サーバにエクスポートするように Detector を設定します。

ゾーン検出をアクティブにした場合、または Detector でネットワーク トラフィックの自動記録をアクティブにした場合、Detector は検出プロセス中に記録した以前のパケットダンプ キャプチャ ファイルをすべて消去し、新しいパケットダンプ キャプチャ ファイルを作成します。

自動的にネットワーク トラフィックを記録するように Detector を設定するには、次の手順を実行します。


ステップ 1 自動的にゾーン トラフィックを記録するように Detector を設定します。ゾーン設定モードで次のコマンドを入力します。

packet-dump auto-capture
 

ステップ 2 (オプション)パケットダンプ キャプチャ データベースを作成するには、パケットダンプ キャプチャ ファイルを FTP サーバまたは SFTP サーバにエクスポートします。「Detector の自動トラフィック記録の設定」を参照してください。


 

次の例を参考にしてください。

user@DETECTOR-conf-zone-scannet# packet-dump auto-capture
 

Detector でゾーンのトラフィック データの自動キャプチャを停止するには、 no packet-dump auto-capture コマンドを使用します。

現在のパケットダンプ設定を表示するには、 show packet-dump コマンドを使用します。

Detector の手動トラフィック記録のアクティブ化

Detector をアクティブにして、トラフィックの記録を開始できます。こうして、特定の期間のトラフィックを記録するか、Detector でトラフィックの記録に使用する基準を変更することができます。

指定された数のパケットが記録された場合、またはラーニング プロセスかゾーン検出のいずれかが終了した場合、Detector はトラフィックの記録を停止し、手動パケットダンプ キャプチャをファイルに保存します。

1 つのゾーンに対し、手動パケットダンプ キャプチャは一度に 1 つずつしかアクティブにできませんが、手動パケットダンプ キャプチャと自動パケットダンプ キャプチャを同時にアクティブにすることはできます。Detector は、最大 10 ゾーンの手動パケットダンプ キャプチャを同時に記録できます。

手動パケットダンプ キャプチャをアクティブにするには、ゾーン設定モードで次のコマンドを入力します。

packet-dump capture [ view ] capture-name pdump-rate pdump-count [ tcpdump-expression ]


) トラフィックをキャプチャする間は、CLI セッションが停止します。キャプチャの実行中に作業を続けるには、Detector との追加のセッションを確立します。


表 9-8 で、 packet-dump コマンドの引数とキーワードについて説明します。

 

表 9-8 packet-dump コマンドの引数とキーワード

パラメータ
説明
view

(オプション)Detector が記録しているトラフィックをリアルタイムで表示します。

capture-name

パケットダンプ キャプチャ ファイルの名前。1 ~ 63 文字の英数字文字列を入力します。文字列にアンダースコア(_)を含めることはできますが、スペースを含めることはできません。

pdump-rate

サンプル レート(pps)。1 ~ 10000 の値を入力します。


) Detector は、すべての同時手動キャプチャに対して 10000 パケット/秒の最大累積パケットダンプ キャプチャ レートをサポートします。


高いサンプル レート値を設定したパケットダンプ キャプチャは、多くのリソースを消費します。パフォーマンスに悪影響を与える可能性があるので、高いレート値を設定するときは注意してください。

pdump-count

記録対象のパケットの数。Detector は指定された数のパケットの記録を終了すると、ファイルに手動パケットダンプ キャプチャ バッファを保存します。1 ~ 5000 の整数を入力します。

tcpdump-expression

(オプション)記録対象のトラフィックを指定するために適用するフィルタ。Detector は、フィルタの式に適合するトラフィックだけをキャプチャします。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです。詳細については、「TCPDump 式の構文について」を参照してください。

次の例を参考にしてください。

user@DETECTOR-conf-zone-scannet# packet-dump capture view 10 1000
 

Detector の手動トラフィック記録の停止

Detector は、ユーザがキャプチャをアクティブにしたときに指定したパケット数を記録すると、手動パケットダンプ キャプチャを停止します。ただし、Detector が指定したパケット数を記録する前に、手動パケットダンプ キャプチャを停止することができます。

Detector で手動トラフィック記録を停止するには、次のいずれかのアクションを実行します。

開かれている CLI セッションで Ctrl+C を押す。

新しい CLI セッションを開き、関連するゾーン設定モードで次のコマンドを入力する。

no packet-dump capture capture-name

capture-name 引数には、停止するキャプチャの名前を指定します。

Detector はパケットダンプ キャプチャ ファイルを保存します。

パケットダンプ キャプチャ ファイルのディスク スペースの管理

デフォルトでは、Detector は、ゾーンの自動パケットダンプ キャプチャ ファイル用に 2 GB のディスク スペースを割り当てています。

Detector がゾーンの自動パケットダンプ キャプチャ ファイル用に割り当てているディスク スペースの容量を変更するには、ゾーン設定モードで次のコマンドを入力します。

packet-dump disk-space disk-space

disk-space 引数には、Detector がゾーンの自動パケットダンプ キャプチャ ファイル用に割り当てるディスク スペースの容量を MB 単位で指定します。1 ~ 51200 の整数を入力します。

次の例を参考にしてください。

user@DETECTOR-conf-zone-scannet# packet-dump disk-space 500
 

Detector は、パケットダンプ キャプチャ ファイルを gzip 圧縮された PCAP 形式で保存します。

割り当てられているディスク スペースの現在の容量を表示する方法については、「手動パケットダンプ設定の表示」を参照してください。

手動パケットダンプ設定の表示

Detector が手動パケットダンプ キャプチャ ファイル用に割り当てたディスク スペースの現在の容量を表示するには、設定モードまたはグローバル モードで show packet-dump コマンドを使用します。Detector は、すべてのゾーンの手動パケットダンプ キャプチャ ファイルに対して 1 ブロックのディスク スペースを割り当てます。

次の例を参考にしてください。

user@DETECTOR-conf# show packet-dump
 

表 9-9 で、 show packet-dump コマンド出力のフィールドについて説明します。

 

表 9-9 show packet-dump コマンド出力のフィールドの説明(手動)

フィールド
説明
Allocated disk-space

Detector がすべてのゾーンの手動パケットダンプ キャプチャ用に割り当てているディスク スペースの合計を MB 単位で示します。

Occupied disk-space

割り当てられたディスク スペースのうち、すべてのゾーンからの手動パケット ダンプ ファイルによって消費されたパーセンテージを示します。

自動パケットダンプ設定の表示

ゾーンの自動パケットダンプ キャプチャ ファイル用に割り当てられたディスク スペースの現在の容量を表示するには、ゾーン設定モードで show packet-dump コマンドを使用します。

次の例を参考にしてください。

user@DETECTOR-conf-zone-scannet# show packet-dump
 

表 9-10 で、 show packet-dump コマンド出力のフィールドについて説明します。

 

表 9-10 show packet-dump コマンド出力のフィールドの説明(自動)

フィールド
説明

Automatic-capture

自動パケットダンプ キャプチャ プロセスの状態。

Allocated disk-space

Detector が自動パケットダンプ キャプチャに割り当てているディスク スペースの容量を MB 単位で示します。

Occupied disk-space

割り当てられたディスク スペースのパーセンテージ(自動パケットダンプ キャプチャによる現在の使用量)を指定します。

パケットダンプ キャプチャ ファイルの自動エクスポート

パケットダンプ キャプチャ ファイルを自動的に FTP サーバまたは SFTP サーバにエクスポートするように Detector を設定できます。自動エクスポート機能をイネーブルにした場合、Detector は、パケットダンプ バッファの内容をローカル ファイルに保存するたびにパケットダンプ キャプチャ ファイルをエクスポートします。パケットダンプ キャプチャ ファイルは gzip 圧縮された PCAP 形式でエクスポートされ、記録されたデータについて記述する XML 形式のファイルが付属します。XML スキーマについては、このバージョンに付属の Capture.xsd ファイルを参照してください。

パケットダンプ キャプチャ ファイルを自動的にエクスポートするには、設定モードで次のいずれかのコマンドを入力します。

export packet-dump ftp server full-file-name [ login [ password ]]

export packet-dump sftp server full-file-name login


copy reports コマンドを入力する前に、Detector が SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続用の鍵の設定」を参照してください。


表 9-11 で、 export packet-dump コマンドの引数について説明します。

 

表 9-11 export packet-dump コマンドの引数

パラメータ
説明

ftp

パケットダンプ キャプチャ ファイルを FTP サーバにエクスポートします。

sftp

パケットダンプ キャプチャ ファイルを SFTP サーバにエクスポートします。

server

サーバの IP アドレス。

remote-path

Detector がパケットダンプ キャプチャ ファイルを保存する場所の完全なパス名。

login

サーバのログイン名。

login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。パスワードを入力しない場合、入力するよう Detector から要求されます。

次の例は、IP アドレスが 10.0.0.191 の FTP サーバにパケットダンプ キャプチャ ファイルを自動的にエクスポートする方法を示しています。

user@DETECTOR# export packet-dump ftp 10.0.0.191 /root/captures/ <user> <password>
 

パケットダンプ キャプチャ ファイルの手動エクスポート

パケットダンプ キャプチャ ファイルを FTP サーバに手動でエクスポートできます。パケットダンプ キャプチャ ファイルを 1 つエクスポートすることも、特定のゾーンのパケットダンプ キャプチャ ファイルをすべてエクスポートすることもできます。パケットダンプ キャプチャ ファイルは Detector によって gzip 圧縮された PCAP 形式でエクスポートされ、記録されたデータについて記述する XML ファイルが付属します。XML スキーマについては、このバージョンに付属の Capture.xsd ファイルを参照してください。

パケットダンプ キャプチャ ファイルを FTP サーバに手動でエクスポートするには、グローバル モードで次のいずれかのコマンドを入力します。

copy zone zone-name packet-dump captures [ capture-name] ftp server full-file-name [login [password]]

copy zone zone-name packet-dump captures [ capture-name] sftp server full-file-name login


copy reports コマンドを入力する前に、Detector が SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続用の鍵の設定」を参照してください。


表 9-12 で、 copy zone packet-dump コマンドの引数とキーワードについて説明します。

 

表 9-12 copy zone packet-dump コマンドの引数とキーワード

パラメータ
説明

zone-name

既存のゾーンの名前。

capture-name

(オプション)既存のパケットダンプ キャプチャ ファイルの名前。パケットダンプ キャプチャ ファイルの名前を指定しない場合、Detector はゾーンのすべてのパケットダンプ キャプチャ ファイルをエクスポートします。詳細については、「パケットダンプ キャプチャ ファイルの表示」を参照してください。

ftp

パケットダンプ キャプチャ ファイルを FTP サーバにエクスポートします。

sftp

パケットダンプ キャプチャ ファイルを SFTP サーバにエクスポートします。

server

サーバの IP アドレス。

remote-path

Detector がパケットダンプ キャプチャ ファイルを保存する場所の完全なパス名。

login

サーバのログイン名。

login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。パスワードを入力しない場合、入力するよう Detector から要求されます。

次の例を参考にしてください。

user@DETECTOR# copy zone scannet packet-dump captures ftp 10.0.0.191 <user> <password>
 

パケットダンプ キャプチャ ファイルのインポート

パケットダンプ キャプチャ ファイルを FTP サーバから Detector にインポートできます。こうして、過去のイベントを分析したり、現在のネットワーク トラフィック パターンと、トラフィックが通常状態のときに Detector が以前に記録したトラフィック パターンとを比較したりすることができます。Detector は、パケットダンプ キャプチャ ファイルを XML 形式と PCAP 形式の両方でインポートします。

パケットダンプ キャプチャ ファイルをインポートするには、グローバル モードで次のいずれかのコマンドを入力します。

copy ftp zone zone-name packet-dump captures server full-file-name [login [password]]

copy sftp zone zone-name packet-dump captures server full-file-name login


copy reports コマンドを入力する前に、Detector が SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続用の鍵の設定」を参照してください。


表 9-13 で、 copy zone packet-dump コマンドの引数について説明します。

 

表 9-13 copy zone packet-dump コマンドの引数

パラメータ
説明

zone-name

パケットダンプ キャプチャ ファイルをインポートする既存のゾーンの名前。

ftp

パケットダンプ キャプチャ ファイルを FTP サーバからインポートします。

sftp

パケットダンプ キャプチャ ファイルを SFTP サーバからインポートします。

server

サーバの IP アドレス。

full-file-name

インポート対象のファイルの完全なパスとファイル名。ファイル拡張子は除きます。パスを指定しない場合、サーバはユーザのホーム ディレクトリからファイルをコピーします。


) ファイル拡張子を指定しないでください。指定すると、インポート プロセスは失敗します。


 

login

サーバのログイン名。

login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。パスワードを入力しない場合、入力するよう Detector から要求されます。

次の例を参考にしてください。

user@DETECTOR# copy ftp zone scannet packet-dump captures 10.0.0.191 capture-1 <user> <password>
 

パケットダンプ キャプチャ ファイルの表示

パケットダンプ キャプチャ ファイルのリスト、または 1 つのパケットダンプ キャプチャ ファイルの内容を表示できます。デフォルトでは、Detector はゾーンのすべてのパケットダンプ キャプチャ ファイルのリストを表示します。

パケットダンプ キャプチャ ファイルを表示するには、ゾーン設定モードで次のコマンドを入力します。

show packet-dump captures [ capture-name [ tcpdump-expression ]]

表 9-14 で、show packet-dump captures コマンドの引数について説明します。

 

表 9-14 show packet-dump captures コマンドの引数

パラメータ
説明

capture-name

(オプション)既存のパケットダンプ キャプチャ ファイルの名前。パケットダンプ キャプチャ ファイルの名前を指定しない場合、Detector はゾーンのすべてのパケットダンプ キャプチャ ファイルのリストを表示します。コマンド出力のフィールドの説明については、 表 9-15 を参照してください。

パケットダンプ キャプチャ ファイルの名前を指定した場合、Detector はファイルを TCPDump 形式で表示します。

tcpdump-expression

(オプション)パケットダンプ キャプチャ ファイルを表示するときに Detector で使用するフィルタ。Detector は、パケットダンプ キャプチャ ファイルのうち、フィルタの基準に一致する部分だけを表示します。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです。詳細については、「TCPDump 式の構文について」を参照してください。

次の例を参考にしてください。

user@DETECTOR-conf-zone-scannet# show packet-dump captures

表 9-15 で、 show packet-dump captures コマンド出力のフィールドについて説明します。

 

表 9-15 show packet-dump captures コマンド出力のフィールドの説明

フィールド
説明

Capture -name

パケットダンプ キャプチャ ファイルの名前。自動パケットダンプ キャプチャ ファイルの名前の説明については、 表 9-7 を参照してください。

Size (MB)

パケットダンプ キャプチャ ファイルのサイズ(MB)。

Filter

トラフィックの記録時に Detector で使用したユーザ定義のフィルタ。このフィルタは TCPDump 形式です。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです。詳細については、「TCPDump 式の構文について」を参照してください。

パケットダンプ キャプチャ ファイルからの攻撃シグニチャの生成

攻撃シグニチャには、攻撃パケットのペイロードに表示される共通パターンが記載されます。Detector で異常なトラフィックのシグニチャの生成をアクティブにし、その情報を使用して、将来同じタイプの攻撃をすばやく発見することができます。この機能を使用すると、アンチウィルス ソフトウェアのメーカーやメーリング リストなどからシグニチャが発行される前であっても、新しい DDoS 攻撃やインターネット ワームを検出することができます。

Detector は、フレックスコンテンツ フィルタのパターン式の構文を使用して攻撃シグニチャを生成します。このシグニチャをフレックスコンテンツ フィルタのパターンで使用して、異常なトラフィックをフィルタリングして排除できます。詳細については、「フレックスコンテンツ フィルタの設定」を参照してください。

トラフィックが通常状態のとき(平時)に Detector が参照ファイルとして記録した追加のパケットダンプ キャプチャ ファイルを指定できます。参照パケットダンプ キャプチャ ファイルを指定した場合、Detector は異常なトラフィックからシグニチャを生成し、トラフィックが通常状態のときに記録されたトラフィックの中にシグニチャが存在している時間の割合を特定します。正常のトラフィック状態で記録されたトラフィックに攻撃シグニチャが高い確率で出現しても、攻撃のパターンを意味するとは限りません。

攻撃のシグニチャを生成するには、次の手順を実行します。


ステップ 1 Detector で攻撃進行中のトラフィックの記録をアクティブにします。
packet-dump capture
コマンドを使用します(「Detector の手動トラフィック記録のアクティブ化」を参照)。

ステップ 2 攻撃進行中に Detector が記録したパケットダンプ キャプチャ ファイルを確認します。 show packet-dump captures コマンドを使用して、パケットダンプ キャプチャ ファイルのリストを表示します。詳細については、「パケットダンプ キャプチャ ファイルの表示」を参照してください。

ステップ 3 Detector で攻撃トラフィックのシグニチャの生成をアクティブにします。ゾーン設定モードで次のコマンドを入力します。

show packet-dump signatures capture-name [reference-capture-name]
 

表 9-16 で、 show packet-dump signatures コマンドの引数について説明します。

 

表 9-16 show packet-dump signatures コマンドの引数

パラメータ
説明

capture-name

シグニチャの生成元である既存のパケットダンプ キャプチャ ファイルの名前。

reference-capture-name

(オプション)トラフィックが通常状態のときに
Detector が記録した既存のパケットダンプ キャプチャ ファイルの名前。参照パケットダンプ キャプチャ ファイルを指定した場合、Detector は参照パケットダンプ キャプチャ ファイルの中にシグニチャが存在している時間の割合を表示します。

表 9-17 で、 show packet-dump signatures コマンド出力のフィールドについて説明します。

 

表 9-17 show packet-dump signatures コマンド出力のフィールドの説明

フィールド
説明
Start Offset

パケット ペイロードの先頭から、パターンが開始する位置までのオフセット(バイト単位)。

このパターンをフレックスコンテンツ フィルタのパターン式にコピーする場合、このオフセットをフレックスコンテンツ フィルタの start-offset 引数にコピーします。

End Offset

パケット ペイロードの先頭から、パターンが終了する位置までのオフセット(バイト単位)。

このパターンをフレックスコンテンツ フィルタのパターン式にコピーする場合、このオフセットをフレックスコンテンツ フィルタの end-offset 引数にコピーします。

Pattern

Detector が生成したシグニチャ。Detector は、フレックスコンテンツ フィルタのパターン式の構文を使用してシグニチャを生成します。詳細については、「パターン式の構文について」を参照してください。

このパターンをフレックスコンテンツ フィルタのパターン式にコピーできます。

Percentage

シグニチャが reference-capture-name ファイルに存在する時間の割合。


 

次の例は、手動パケットダンプ キャプチャ ファイルからシグニチャを生成する方法を示しています。

user@DETECTOR-conf-zone-scannet# show packet-dump signatures PDumpCapture
 

パケットダンプ キャプチャ ファイルのコピー

1 つのパケットダンプ キャプチャ ファイル、または 1 つのファイルの一部を、新しい名前でコピーできます。

Detector は、既存の自動パケットダンプ キャプチャ ファイルを新しいファイルで上書きします。自動パケットダンプ キャプチャ ファイルをコピーした場合、Detector では手動パケットダンプ キャプチャ ファイルとして保存され、新しい自動パケットダンプ キャプチャ ファイルで上書きされません。このため、ディスク スペースを解放するには、ファイルを手動で削除する必要があります。

手動パケットダンプ キャプチャ ファイルをコピーした場合、Detector は元のファイルのコピーも保存します。ディスク スペースを解放する必要がある場合は、そのコピーを手動で削除します。

詳細については、「パケットダンプ キャプチャ ファイルの削除」を参照してください。

パケットダンプ キャプチャ ファイルをコピーするには、設定モードで次のコマンドを入力します。

copy zone zone-name packet-dump captures capture-name [ tcpdump-expression ] new-name

表 9-18 で、copy packet-dump captures コマンドの引数について説明します。

 

表 9-18 copy packet-dump captures コマンドの引数

パラメータ
説明

zone-name

コピー対象のパケットダンプ キャプチャ ファイルがある既存のゾーンの名前。

capture-name

既存のパケットダンプ キャプチャ ファイルの名前。

tcpdump-expression

(オプション)パケットダンプ キャプチャ ファイルをコピーするときに Detector で使用するフィルタ。Detector は、パケットダンプ キャプチャ ファイルのうち、フィルタの基準に一致する部分だけをコピーします。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです。詳細については、「TCPDump 式の構文について」を参照してください。

new-name

新しいパケットダンプ キャプチャ ファイルの名前。この名前は 1 ~ 63 文字の英数字の文字列です。アンダースコアを含めることができますが、スペースを含めることはできません。

次の例を参考にしてください。

user@DETECTOR-conf# copy zone scannet capture-1 “tcp and dst port 80 and not src port 1000” capture-2
 

パケットダンプ キャプチャ ファイルの削除

デフォルトでは、Detector は、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 5 MB のディスク スペースを割り当てています。すべてのゾーンの手動および自動パケットダンプ キャプチャ ファイルは、50 MB まで保存できます。将来のパケットダンプ キャプチャ ファイルのためにディスク スペースを解放するには、古いパケットダンプ キャプチャ ファイルを削除します。

保存できる手動パケットダンプ キャプチャ ファイルは、ゾーンごとに 1 つのみです。Detector には最大 10 個のパケットダンプ キャプチャ ファイルを保存できます。新しい手動パケットダンプ キャプチャ ファイルのためのスペースを解放するには、古いファイルを削除する必要があります。

自動パケットダンプ キャプチャ ファイルまたは手動パケットダンプ キャプチャ ファイルを削除するには、次のいずれかのコマンドを入力します。

clear zone zone-name packet-dump captures { * | name }--In configuration mode

clear packet-dump captures { * | name }--In zone configuration mode

表 9-19 で、clear packet-dump コマンドの引数について説明します。

 

表 9-19 clear packet-dump コマンドの引数

パラメータ
説明

zone-name

既存のゾーンの名前。

*

すべてのパケットダンプ キャプチャ ファイルを消去します。

name

消去対象のパケットダンプ キャプチャ ファイルの名前。

次の例は、すべての手動パケットダンプ キャプチャ ファイルを消去する方法を示しています。

user@DETECTOR-conf# clear packet-dump captures *

一般的な診断データの表示

Detector の一般的な診断データを表示できます。

一般的な診断データを表示するには、次のコマンドを入力します。

show diagnostic-info

診断データは、次の情報で構成されます。

Accelerator card CPU speed :アクセラレータ カードの CPU 速度を示します。

Accelerator card revision :アクセラレータ カードのリビジョン番号を示します。

Accelerator card serial :アクセラレータ カードのシリアル番号を示します。

CFE version :CFE のバージョン番号。


) CFE のバージョンを変更するには、新しいフラッシュ バージョンをインストールする必要があります。CFE の新しいバージョンを焼き付けるには、flash-burn コマンドを使用してください。詳細については、「新しいフラッシュ バージョンの焼き付け」を参照してください。


Recognition Average Sample Loss :認識モジュールの、計算されたパケット サンプル損失。

Forward failures (no resources) :システム リソースが不足しているために転送されなかったパケット数。


Recognition Average Sample Loss または Forward failures の値が大きい場合は、Detector のトラフィックが過負荷状態であることを示します。負荷分散型設定で複数の Detector をインストールすることをお勧めします。


Fan Speeds :各ファンの速度。この値は、最大 RPM のパーセンテージです。

Maximum Fans :システムがサポートするファンの最大数。

Installed Fans :システムに現在搭載されているファンの数。

Running Fans :動作中のファンのリスト。

The number of system restarts :システムが再起動された回数。

System UUID :システムの Universal Unique ID(UUID)。

CPU Temperature :搭載されている各 CPU の現在の温度(摂氏)。

DASD Temperature :ハード ディスク ドライブの現在の温度(摂氏)。

Ambient Temperature :システムの周囲温度(摂氏)。

Detector には、内部のステータスを示すいくつかの LED があります。これらの LED は、通常、オフになっています。オンになった場合は、ハードウェアの障害を示します。そのような場合は、Detector が syslog メッセージと SNMP トラップを発行し、問題を通知します。

メモリ消費量の表示

Detector のメモリ消費量を表示できます。Detector は、メモリ使用量を KB 単位で表示します。さらに、Detector は、認識検出モジュールが使用しているメモリのパーセンテージも表示します。認識検出モジュールのメモリ使用率は、アクティブなゾーンの数、および各ゾーンが監視するサービスの数に影響されます。


認識検出モジュールのメモリ使用率が 90% を超えた場合は、アクティブなゾーンの数を減らすことを強くお勧めします。


次のコマンドを入力します。

show memory

次の例を参考にしてください。

user@DETECTOR# show memory
total used free shared buffers cached
In KBytes: 2065188 146260 1918928 0 2360 69232
 
Recognition Used Memory: 0.3%

) Detector の空きメモリの合計量は、free メモリと cached メモリの合計です。


CPU 使用率の表示

現在の CPU 使用率(パーセンテージ)を表示できます。Detector は、ユーザ モード、システム モード、ナイス値が負のタスク、およびアイドル状態の CPU 時間のパーセンテージを表示します。ナイス値が負のタスクは、システム時間およびユーザ時間にもカウントされるため、CPU 使用率の合計が 100% を超えることがあります。

次のコマンドを入力します。

show cpu

次の例を参考にしてください。

user@DETECTOR# show cpu
Host CPU: 0.0% user, 0.1% system, 0.0% nice, 99.0% idle

ARP キャッシュの操作

ARP キャッシュを表示または操作して、アドレス マッピング エントリを消去または手動で定義できます。次のいずれかのコマンドを入力します。

arp [-evn] [-H type] [-i if] -a [hostname]

arp [-v] [-i if] -d hostname [pub]

arp [-v] [-H type] [-i if] -s hostname hw_addr [temp]

arp [-v] [-H type] [-i if] -s hostname hw_addr [netma sk nm] pub

arp [-v] [-H type] [-i if] -Ds hostname ifa [netmask nm] pub

arp [-vnD] [-H type] [-i if] -f [filename]

表 9-20 で、 arp コマンドの引数とキーワードについて説明します。

 

表 9-20 arp コマンドの引数とキーワード

パラメータ
説明
-v、--verbose

出力を詳細に表示します。

-n、--numeric

数値アドレスを表示します。

-H type --hw-type type -t type

Detector がチェックするエントリのクラスを指定します。このパラメータのデフォルト値は、ether(IEEE 802.3 10Mbps イーサネットに対応するハードウェア コード 0x01)です。

-a [ hostname ]、 --display [ hostname ]

指定したホストのエントリを代替(BSD)形式で表示します。デフォルトでは、すべてのエントリが表示されます。

-d hostname --delete hostname

指定したホストのエントリを削除します。

-D --use-device

インターフェイス ifa のハードウェア アドレスを使用します。

-e

エントリをデフォルトの形式で表示します。

-i If --device If

インターフェイスを指定します。ARP キャッシュをダンプすると、指定したインターフェイスに一致するエントリだけが出力されます。永続的または一時的な ARP エントリを設定する場合、このインターフェイスがそのエントリに関連付けられます。このオプションを使用しない場合、Detector はルーティング テーブルに基づいてインターフェイスを推測します。pub エントリの場合、これは Detector が ARP 要求に応えるインターフェイスで、IP データグラムのルーティング先のインターフェイスとは異なる必要があります。

-s hostname hw_addr 、- -set hostname

ハードウェア アドレスを hw_addr クラスに設定して、ホスト hostname の ARP アドレス マッピング エントリを作成します。ほとんどのクラスでは、通常の表現を使用できます。

-f filename --file filename

ARP アドレス マッピング エントリを作成します。情報は、ファイル filename から取得されます。ファイル形式は、ホスト名とハードウェア アドレスが空白で区切られた ASCII テキスト行です。pub、temp、および netmask フラグを使用することもできます。ホスト名を入力するどの場所にも、ドット区切り 10 進表記で IP アドレスを入力できます。


注意 Detector の ARP キャッシュを設定するには、Detector システムとネットワークの知識が必要です。

次の例を参考にしてください。

user@DETECTOR# arp -e
 
Address HWtype HWaddress Flags Mask Iface
10.10.1.254 ether 00:02:B3:C0:61:67 C eth1
10.10.8.11 ether 00:02:B3:45:B9:F1 C eth1
10.10.8.253 ether 00:D0:B7:46:72:37 C eth1
10.10.10.54 ether 00:03:47:A6:44:CA C eth1

netstat の使用

ホスト ネットワーク接続、ルーティング テーブル、インターフェイス統計情報、マスカレード接続、およびマルチキャスト メンバシップを表示して、ネットワークの問題をデバッグできます。次のいずれかのコマンドを入力します。

netstat [address_family_options] [--tcp|-t] [--udp|-u] [--raw|-w] [--listening|-l] [--all|-a] [--numeric|-n] [--numeric-hosts][--numeric-ports]
[--numeric-ports] [--symbolic|-N] [--extend|-e[--extend|-e]][--timers|-o] [--program|-p] [--verbose|-v] [--continuous|-c] [delay]

netstat {--route|-r} [address_family_options] [--extend|-e[--extend|-e]] [--verbose|-v] [--numeric|-n] [--numeric-hosts][--numeric-ports]
[--numeric-ports] [--continuous|-c] [delay]

netstat {--interfaces|-i} [iface] [--all|-a] [--extend|-e[--extend|-e]] [--verbose|-v] [--program|-p] [--numeric|-n] [--numeric-hosts][--numeric-ports]
[--numeric-ports] [--continuous|-c] [delay]

netstat {--groups|-g} [--numeric|-n] [--numeric-hosts][--numeric-ports]
[--numeric-ports] [--continuous|-c] [delay]

netstat {--masquerade|-M} [--extend|-e] [--numeric|-n] [--numeric-hosts]
[--numeric-ports][--numeric-ports] [--continuous|-c] [delay]

netstat {--statistics|-s} [--tcp|-t] [--udp|-u] [--raw|-w] [delay]

netstat {--version|-V}

netstat {--help|-h}


) アドレス ファミリを指定しない場合、Detector は設定されているすべてのアドレス ファミリのアクティブなソケットを表示します。


表 9-21 で、 netstat コマンドの引数とキーワードについて説明します。

 

表 9-21 netstat コマンドの引数とキーワード

パラメータ
説明

address_family_options

[--protocol={inet,unix,ipx,ax25,netrom,ddp}[,...]][--unix|-x]
[--inet|--ip] [--ax25] [--ipx] [--netrom] [--ddp]

--route、-r

Detector のルーティング テーブルを表示します。

--groups、-g

IPv4 および IPv6 のマルチキャスト グループ メンバシップ情報を表示します。

--interface、-i iface

すべてのネットワーク インターフェイスまたはインターフェイス iface のテーブルを表示します。

--masquerade、-M

マスカレード接続のリストを表示します。

--statistics、-s

各プロトコルのサマリー統計情報を表示します。

-v、--verbose

出力を詳細に表示します。

-n、--numeric

数値アドレスを表示します。

--numeric-hosts

数値ホスト アドレスを表示します。これは、ポート名およびユーザ名の解決に影響を及ぼしません。

--numeric-ports

数値ポート番号を表示します。これは、ホスト名およびユーザ名の解決に影響を及ぼしません。

--numeric-users

数値ユーザ ID を表示します。これは、ホスト名およびポート名の解決に影響を及ぼしません。

--protocol、-A family

接続を表示するアドレス低レベル プロトコル(ファミリ)を指定するカンマ区切りリスト。アドレス ファミリ inet には、raw、udp、および tcp プロトコル ソケットが含まれます。

-c、--continuous

選択した情報を 1 秒ごとに継続的に表示します。

-e、--extend

追加情報を表示します。最も詳しい情報を表示するには、このオプションを 2 回使用します。

-o、--timers

ネットワーキング タイマーに関連する情報を表示します。

-p、--program

各ソケットが属するプログラムの PID および名前を表示します。

-l、--listening

リスニング ソケットだけを表示します。デフォルトでは、リスニング ソケットは省略されます。

-a、--all

リスニング ソケットと非リスニング ソケットの両方を表示します。

-F

FIB からのルーティング情報を表示します。

-C

ルート キャッシュからのルーティング情報を表示します。

delay

delay 秒ごとに、netstat が統計情報からの出力を繰り返します。

1 つのコマンドに最大 13 の引数とキーワードを入力できます。

次の例を参考にしてください。

user@DETECTOR# netstat -v
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 localhost:1111 localhost:32777 ESTABLISHED
tcp 0 0 localhost:8200 localhost:32772 ESTABLISHED
.
.
.
tcp 0 0 localhost:33464 localhost:8200 TIME_WAIT
tcp 1 0 localhost:1113 localhost:33194 CLOSE_WAIT
.
.
.
Active UNIX domain sockets (w/o servers)
unix 2 [ ] STREAM CONNECTED 928
unix 3 [ ] STREAM CONNECTED 890 /tmp/.zserv
.
.
.
user@DETECTOR#

traceroute の使用

パケットがネットワーク ホストに到達するまでのルートを出力して、ネットワークの問題をデバッグできます。次のコマンドを入力します。

traceroute ip-address [-F] [-f first_ttl] [-g gateway] [-i iface] [-m max_ttl] [-p port] [-q nqueries] [-s src_addr] [-t tos] [-w waittime] [packetlen]


traceroute コマンドでは IP アドレスだけが表示され、名前は表示されません。


表 9-22 で、 traceroute コマンドの引数とキーワードについて説明します。

 

表 9-22 traceroute コマンドの引数とキーワード

パラメータ
説明

ip-address

どの IP アドレスへのルートをトレースするか。

-f first_ttl

最初の発信プローブ パケットで使用される最初の Time-To-Live(TTL; 存続可能時間)を設定します。

-F

don't fragment ビットを設定します。

-g gateway

ルース ソース ルート ゲートウェイを指定します(最大 8 個)。

-i iface

発信プローブ パケットの送信元 IP アドレスを取得するネットワーク インターフェイスを指定します。これは通常、マルチホーム ホストで役立ちます。

-m max_ttl

発信プローブ パケットで使用される最大存続可能時間(最大ホップ数)を設定します。デフォルトは 30 ホップです。

-p port

プローブで使用されるベース UDP ポート番号を設定します。デフォルトは 33434 です。

packetlen

プローブのパケットの長さを設定します。

-s src_addr

IP アドレス src_addr を発信プローブ パケットで送信元 IP アドレスとして設定します。

-t tos

プローブ パケットのサービス タイプを、tos の値に設定します。デフォルトはゼロです。

-w waittime

プローブに対する応答を待つ時間(秒)を設定します。デフォルトは 5 秒です。

次の例を参考にしてください。

user@DETECTOR# traceroute 10.10.10.34
traceroute to 10.10.10.34 (10.10.10.34), 30 hops max, 38 byte packets
1 10.10.10.34 (10.10.10.34) 0.577 ms 0.203 ms 0.149 ms
 

ping の使用

ネットワーク ホストに ICMP ECHO_REQUEST パケットを送信して、接続性を確認できます。次のコマンドを入力します。

ping ip-address [-c count] [-i interval] [-l preload] [-s packetsize] [-t ttl]
[-w deadline] [-F flowlabel] [-I interface] [-Q tos] [-T timestamp option]
[-W timeout]

表 9-23 で、 ping コマンドの引数とキーワードについて説明します。

表 9-23 ping コマンドの引数とキーワード

パラメータ
説明

ip-address

宛先 IP アドレス。

-c count

count 個の ECHO_REQUEST パケットを送信します。
deadline オプションが指定されている場合、ping はタイムアウトになるまでこの数の ECHO_REPLY パケットを待ちます。

-F flow label

エコー要求パケットに 20 ビットのフロー ラベルを割り当てて設定します(ping6 のみ)。値がゼロの場合は、ランダムなフロー ラベルが使用されます。

-i interval

パケットの送信間隔を interval 秒に設定します。デフォルトでは、1 秒に設定されます。

-I interface

送信元 IP アドレスを、指定したインターフェイス アドレスに設定します。

-l preload

応答を待たずに preload 個のパケットを送信します。

-Q tos

ICMP データグラムに Quality of Service(QoS)関連のビットを設定します。

-s packetsize

送信するデータ バイト数を指定します。デフォルトは 56 です。

-t ttl

IP の TTL を設定します。

-T timestamp option

特別な IP タイムスタンプ オプションを設定します。

-w deadline

送受信されたパケット数に関係なく ping が終了するまでのタイムアウト(秒)を指定します。

-W timeout

応答を待つ時間(秒)。

1 つのコマンドに最大 10 の引数とキーワードを入力できます。

次の例を参考にしてください。

user@DETECTOR# ping 10.10.10.30 -n 1
 

デバッグ情報の取得

Detector に動作上の問題が発生した場合は、シスコのテクニカル サポートがお客様に Detector の内部デバッグ情報のコピーを送信するようお願いすることがあります。Detector のデバッグ コア ファイルには、Detector の誤動作のトラブルシューティング情報が含まれています。このファイルの出力は暗号化されており、Cisco TAC の担当者のみが使用するよう意図されています。

デバッグ情報を FTP サーバに抽出するには、次の手順を実行します。


ステップ 1 Detector のログ ファイルを表示します。詳細については、「ログ ファイルの表示」を参照してください。

ステップ 2 デバッグ情報を収集する時刻を特定します。問題があることを示している最初のログ メッセージを識別します。

ステップ 3 デバッグ情報を FTP サーバに抽出します。次のコマンドを入力します。

copy debug-core time ftp server full-file-name [login [password]]
 

表 9-24 で、 copy debug-core コマンドの引数について説明します。

 

表 9-24 copy debug-core コマンドの引数

パラメータ
説明

time

デバッグ情報が必要となった原因のイベントの時刻。時刻の文字列では、MMDDhhmm[[CC]YY][.ss] という形式を使用します。

MM:月(数値)。

DD:日。

hh:時(24 時間表記)。

mm:分。

CC:(オプション)年の最初の 2 桁(たとえば 20 05)。

YY:(オプション)年の最後の 2 桁(たとえば 20 05 )。

.ss:(オプション)秒(小数点が必要)。

server

FTP サーバの IP アドレス。

full-file-name

バージョン ファイルの完全な名前。パスを指定しない場合、サーバはユーザのホーム ディレクトリにファイルを保存します。

login

(オプション)FTP サーバのログイン名。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)FTP サーバのパスワード。パスワードを入力しない場合、入力するよう Detector から要求されます。


 

次の例を参考にしてください。

user@DETECTOR# copy debug-core 11090645 ftp 10.0.0.191 /home/debug/debug-file <user> <password>