ASA CX および Cisco Prime Security Manager 9.1 ユーザ ガイド
システムのメンテナンスとトラブルシューティング
システムのメンテナンスとトラブルシューティング
発行日;2013/02/21   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

システムのメンテナンスとトラブルシューティング

次のトピックでは、CX デバイスと PRSM サーバの一般的なメンテナンスおよびトラブルシューティングについて説明します。 通常、手順は同じですが、システム プラットフォームに応じて手順が異なる場合もあります。

ユーザの管理

ユーザ アカウントを作成して、複数のユーザに対してシステムへのアクセスを許可できます。 ロールベース アクセス コントロール(RBAC)を使用すると、これらのユーザに異なるアクセス レベルを提供できます。 これによって、たとえば、ヘルプ デスクの担当者がイベント、ダッシュボード、ポリシーを表示でき、ポリシーの変更はできないようにします。

ここでは、ユーザ管理についてより詳細に説明します。

[Users] ページの概要

[Users] ページには、Web インターフェイスにログインできるすべてのユーザ アカウントのリストが表示されます。 ページには、事前定義されている admin アカウントと、作成されたすべてのアカウントが一覧表示されます。 これらのユーザは、システムでローカルに、またはディレクトリ レルムでリモートに定義できます。

[Users] ページを開くには、[Administration] > [Users] を選択します。

[Users] ページには、次の情報が表示されます。
  • [I want to]:次のコマンドが含まれています。
    • [Select Global Realm for Remote Users]:リモート ユーザとして追加するユーザが含まれているディレクトリ レルムを指定します。 ローカル ユーザの作成では、レルムを選択する必要はありません。 詳細については、リモート ユーザ用ディレクトリ レルムの設定を参照してください。
  • [Role and User Lists]:ユーザは、アカウントに割り当てられているロールに基づいて、フォルダに整理されます。 ロールベース アクセス コントロール(RBAC)で使用されるロールは、システムでのユーザの特権を定義し、ユーザが表示および変更できる項目を制御します。 ロールには、アクセス権限が高い方から順に、Administrator、Security Administrator、System Administrator、Help Desk、Reporting Administrator があります。 これらのロールに付与されているアクセス権の詳細については、ユーザのロールと権限を参照してください。
    ロールまたはユーザに関連するコマンドを表示するには、ロール ヘッダーまたはユーザ行の上にマウスを置きます。 使用可能なコマンドは次のとおりです。
    • [Create User]:(ロール コマンド)。新規ユーザを追加します。 このコマンドは、特定のロールの上にマウスを置いて選択しますが、任意のロールにユーザを作成できます。
    • [Delete User]:(ユーザ コマンド)。ユーザを削除します。 admin ユーザと自分のユーザ名(システムへのログインに使用したユーザ名)は削除できません。
    • [Edit User]:(ユーザ コマンド)。ユーザ アカウントを編集します。

ユーザのロールと権限

ユーザに割り当てることができるロールは、以下のとおりです。 これらのロールは、Web インターフェイスに適用されます。 システム CLI にアクセスできるユーザは作成できません。
  • Administrator:スーパー管理者は、システムの管理を担当し、すべての製品機能にアクセスできます。
  • Security Administrator:セキュリティ管理者は、ネットワーク デバイスのセキュリティ ポリシーの設定を担当します。 ポリシーおよびいくつかのデバイス構成機能への読み取り/書き込みアクセス権があります。
  • System Administrator:システム管理者は、デバイスおよびシステムの設定および管理を担当します。 いくつかのデバイス構成機能への読み取り/書き込みアクセス権がありますが、ポリシーへの読み取り/書き込みアクセス権はありません。
  • Reporting Administrator:レポート管理者は、システム レポートの分析、およびネットワーク使用状況と組織のアクセプタブル ユース ポリシーとの比較を担当します。 ダッシュボードおよびイベントの表示ができますが、設定の変更はできません。
  • Help Desk User:ヘルプ デスク ユーザは、ネットワーク ユーザが報告した問題のトラブルシューティングを行います。 ダッシュボード、イベント、ポリシー、デバイス構成の表示ができますが、ポリシーまたは設定の変更はできません。

次の表に、これらのユーザ ロールの特権をアプリケーション メニューに基づいて示します。

表 1 ユーザのロールと権限

メニュー

ロール

Administrator

Security Administrator

System Administrator

Reporting Administrator

Help Desk

[Dashboard]、すべての項目

Yes

Yes

Yes

Yes

Yes

Event

Yes

Yes

Yes

Yes

Yes

[Policies] > [Policies]

R/W

R/W

No

No

RO

[Policies] > [Objects]

R/W

R/W

No

No

RO

[Policies] > [Applications]

R/W

R/W

No

No

RO

[Policies] > [Device Groups]

R/W

R/W

R/W

No

RO

[Device] > [Devices](デバイス構成ページを含む)

R/W

R/W

R/W

No

RO

[Device] > [Directory Realm]

R/W

R/W

R/W

No

RO

[Device] > [AD Agent]

R/W

R/W

No

No

RO

[Device] > [Authentication]

R/W

R/W

No

No

RO

[Device] > [Decryption]

R/W

R/W

No

No

RO

[Device] > [Certificates]

R/W

R/W

No

No

RO

[Device] > [Updates]

R/W

R/W

R/W

No

RO

[Device] > [Packet Capture]

R/W

R/W

No

No

RO

[Administration] > [Users]

すべてのアカウントの R/W

自分のアカウントの R/W

すべてのアカウントの R/W

自分のアカウントの R/W

自分のアカウントの R/W

[Administration] > [Licenses]

R/W

R/W

R/W

No

RO

[Administration] > [PRSM Logs]

R/W

RO

R/W

No

RO

[Administration] > [Server Certificates]

R/W

No

R/W

No

No

[Administration] > [Change History]

Yes

Yes

Yes

No

Yes

[Administration] > [Database Backup]

Yes

Yes

Yes

No

No

[Administration] > [Upgrade]

Yes

No

Yes

No

No

[Administration] > [About PRSM]

Yes

Yes

Yes

Yes

Yes

Commit and Deploy Changes

R/W

R/W

R/W

No

No

凡例
  • Yes:ユーザは、読み取り/書き込み特性のない機能を使用できます。
  • No:機能にアクセスできません。
  • R/W:その機能への読み取り/書き込みアクセス権があります。
  • RO:その機能への読み取り専用アクセス権があります。

事前定義済み admin ユーザの使用

admin ユーザは、システムで事前定義されており、特別な特性を持っています。
  • admin ユーザ アカウントは削除できません。
  • CLI にログインできる唯一のユーザです。
  • これは、CX デバイスを PRSM マルチ デバイス モードのインベントリに追加するときに指定できる唯一のユーザ名です。
  • このユーザのパスワードは、CX デバイスと、これによって管理される PRSM サーバとの間で同期されません。 その他のすべてのユーザは、CX デバイスを PRSM インベントリに追加すると、CX デバイスに定義されているすべてのユーザが削除され、PRSM サーバに定義されているユーザと置き換えられます。 しかし、admin ユーザのパスワードは変更されないため、PRSM サーバと、これによって管理される各デバイスで、admin アカウントに異なるパスワードを使用できます。

    (注)  


    インベントリに追加した後、デバイスで admin パスワードを変更しないでください。変更すると、デバイスとの通信が失敗します。 インベントリからデバイスを削除し、それをもう一度追加して、新しいパスワードを使用する必要があります。


  • admin パスワードは、Web インターフェイスまたは CLI を使用して変更できます。 どちらを使用しても、Web インターフェイスと CLI の両方のパスワードが変更されます。
  • CX デバイスが PRSM サーバによって管理されている場合、admin ユーザはASA CX の管理対象モード ホーム ページにログインできる唯一のユーザです。

リモート ユーザ用ディレクトリ レルムの設定

リモート ユーザ(ネットワーク ディレクトリで定義されているユーザ)をシステムに追加する前に、ユーザ アカウントが含まれているディレクトリを識別する必要があります。

手順
    ステップ 1   使用するディレクトリ レルムが定義されていない場合は、作成します。
    1. [Device] > [Directory Realm] を選択してレルムを作成し、ディレクトリ サーバに追加します。
    2. 変更を保存します。 レルムを保存するまで、そのレルムをリモート ユーザ用のグローバル レルムとして選択することはできません。
    ステップ 2   [Administration] > [Users] を選択します。
    ステップ 3   [I Want To] > [Select Global Realm for Remote Users] を選択します。
    ステップ 4   ディレクトリ レルムを選択します。

    [None] を選択して、リモート ユーザ定義のサポートを削除します。

    ステップ 5   [Save] をクリックします。

    ユーザの設定

    ユーザ アカウントを定義して、Web インターフェイスへのアクセスを許可できます。 定義したユーザ名は、製品の CLI にアクセスできません。

    次のタイプのユーザを定義できます。
    • ローカル定義:このユーザは設定データベース内にのみ存在します。 ユーザは、Web インターフェイスにアクセスするために、PRSM ユーザ名とパスワードを保存しておく必要があり、パスワードは Web インターフェイス内で変更する必要があります。
    • リモート(ディレクトリ)ユーザ:これらのユーザは、外部のディレクトリ サーバで定義します。 通常、ユーザは標準ネットワーク ディレクトリから追加されます。 ディレクトリ ユーザを追加すると、ユーザは Windows ワークステーションのログインに使用するものなど、通常のユーザ名とパスワードを使用してログインできるようになります。 パスワードは標準的なパスワード変更手順で変更します。 ディレクトリ ユーザは、DOMAIN\username(EXAMPLE\user1 など)、username@domain(user1@example.com など)、またはユーザ名のみでログインできます。
    手順
      ステップ 1   [Administration] > [Users] を選択します。
      ステップ 2   次のいずれかを実行します。
      • いずれかのロール名の上にマウスを置き、[Create User] をクリックします。 どのロールの上にマウスを置いてもかまいません。ユーザを定義するときに、別のロールを選択できます。
      • ユーザ名の上にマウスを置き、[Edit User] をクリックします。
      ステップ 3   [User Properties] フォームで、作成するユーザのタイプを選択し、ユーザの特性をユーザのプロパティで定義されているように入力します。
      ステップ 4   [Save] をクリックします。

      ユーザ アカウントは、すぐに使用可能になります。


      ユーザのプロパティ

      PRSM および CX ユーザには、次のプロパティがあります。

      User Type
      次のタイプのユーザを定義できます。
      • ローカル定義:このユーザは設定データベース内にのみ存在します。 ユーザは、Web インターフェイスにアクセスするために、PRSM ユーザ名とパスワードを保存しておく必要があり、パスワードは Web インターフェイス内で変更する必要があります。
      • リモート(ディレクトリ)ユーザ:これらのユーザは、外部のディレクトリ サーバで定義します。 通常、ユーザは標準ネットワーク ディレクトリから追加されます。 ディレクトリ ユーザを追加すると、ユーザは Windows ワークステーションのログインに使用するものなど、通常のユーザ名とパスワードを使用してログインできるようになります。 パスワードは標準的なパスワード変更手順で変更します。 ディレクトリ ユーザは、DOMAIN\username(EXAMPLE\user1 など)、username@domain(user1@example.com など)、またはユーザ名のみでログインできます。
      User Name
      アカウント名。これは、Web インターフェイスにログインするときに使用する名前です。 いったん作成したユーザの名前は編集できません。 ユーザ名を指定するには、次の作業を実行します。
      • [Local]:15 文字までのユーザ名を入力します。
      • [Remote]:ユーザ名を入力すると、入力に従ってサーバから取得した名前のリストが返されます。 名前を選択します。 ユーザ名のフィールドでは、複数の名前を選択できますが、使用されるのは最後に選択された 1 つだけです。
      First Name、Last Name

      ユーザの姓と名。 リモート ユーザの場合は、名前がディレクトリから取得されます。

      E-mail

      ユーザの電子メール アカウント(username@example.com など)。 リモート ユーザの場合は、アドレスがディレクトリから取得されます。

      Active:On/Off

      アカウントがアクティブ([On])かどうか。アクティブとは、Web インターフェイスにログインできるという意味です。

      Role

      ユーザが表示または修正できる機能を制御するユーザ ロール。 アクセス権限が高い方から順に、[admin]、[security admin]、[system admin]、[help desk]、[reporting admin] のいずれかを選択します。 これらのロールに付与されているアクセス権の詳細については、ユーザのロールと権限を参照してください。

      Password

      (ローカル ユーザのみ)。ユーザのパスワード。 パスワードは 8 文字以上で、1 個以上の大文字(A ~ Z)、小文字(a ~ z)、数字(0 ~ 9)を使用する必要があります。 パスワードはテストに合格するまで保存できません。

      パスワードを変更するには、ユーザ アカウントを編集するときに [Change] をクリックします。

      パスワードの変更

      ユーザ名をローカルで定義したユーザは、それ以外では [Users] ページのどの部分にもアクセスできなくても、自分のパスワードを変更できます。 適切な管理者権限がない場合、ユーザ アカウントを編集するときに、自分のパスワードが変更できる唯一の点です。

      ユーザ名がローカルに定義されていない場合、つまり、通常のディレクトリ ユーザ名の場合は、アプリケーションを使用してパスワードを変更することができません。 代わりに、パスワード変更の通常の手順を使用すると、新しいパスワードを使用してアプリケーションにログインできるようになります。

      次の手順は、ローカルに定義されたユーザ名にのみ適用されます。

      手順
        ステップ 1   [Administration] > [Users] を選択します。
        ステップ 2   ユーザ名の上にマウスを置き、[Edit User] をクリックします。
        ステップ 3   [Password] フィールドの [Change] をクリックし、新しいパスワードを入力します。

        パスワードは 8 文字以上で、1 個以上の大文字(A ~ Z)、小文字(a ~ z)、数字(0 ~ 9)を使用する必要があります。 パスワードはテストに合格するまで保存できません。

        ステップ 4   [Save] をクリックします。

        ユーザの削除

        不要になったユーザ アカウントは削除できます。 ただし、admin アカウントまたはログインに使用しているアカウントは削除できません。

        または、後で必要になる可能性がある場合は、ユーザ アカウントを一時的にディセーブルにできます。 アカウントをディセーブルにするには、アカウントを編集して [Active] で [Off] を選択します。

        ユーザを削除すると、そのユーザに関するすべての保留中の変更が破棄されます。

        手順
          ステップ 1   [Administration] > [Users] を選択します。
          ステップ 2   アカウントの上にマウスを置き、[Delete User] をクリックします。

          削除の確認が求められます。


          サーバ証明書のインストール

          Web インターフェイスにログインするときに、システムはデジタル証明書を使用して HTTPS で通信を保護します。 デフォルトの証明書はブラウザで信頼されていないため、Untrusted Authority という警告が表示され、証明書を信頼するかどうかを確認されます。 証明書を Trusted Root Certificate ストアに保存することもできますが、信頼するようにブラウザがすでに設定されている新しい証明書をアップロードすることもできます。

          はじめる前に

          サーバ証明書の取得の説明に従って、デジタル証明書を認証局から取得します。

          サードパーティによって署名された証明書を使用する場合は、すべての証明書が含まれている PEM ファイルを作成する必要があります。 サーバ証明書をファイルの最上部に置いて、その証明書の署名に使用される CA 証明書を追加し、ファイル内の最後の証明書がルート証明書になるように、署名のチェーンに他のすべての証明書を追加して、証明書を連結します。 これらの追加の証明書は CA から取得します。

          たとえば、サーバ証明書がルート証明書によって署名されている場合、ファイルは次のようになります(例の一部は示されているように編集されています。注釈を含めないでください)。

          -----BEGIN CERTIFICATE----- <!-- This is the server certificate -->
          MIIDzjCCArag
          ...(bulk of server certificate redacted)...
          ng5lGTCSkEJz48Xkh3npPynf
          -----END CERTIFICATE-----
          -----BEGIN CERTIFICATE----- <!-- This is the CA root certificate -->
          MIID2TCCAsGg
          ...(bulk of CA root certificate redacted)...
          9DT4XfXcg+A0EaYl/Gq8eaP2HFj2otge4JW4KV8=
          -----END CERTIFICATE-----
          
          手順
            ステップ 1   [Administration] > [Server Certificates] を選択します。

            このページでは、すでに証明書がアップロードされているかどうか、または現在使用しているサーバ証明書に関する情報は表示されません。

            ステップ 2   次の各フィールドで [Browse] をクリックし、適切なファイルを選択します。
            • [Certificate]:CA 証明書ファイル。 サードパーティ証明書をアップロードする場合、最上部のサーバ証明書から最下部のルート証明書まで順番に証明書チェーン全体を含むファイルを選択します。
            • [Key]:選択したサーバ証明書に対応する、復号化された RSA 秘密キー ファイル。 暗号化されたキー ファイルは選択しないでください。 証明書チェーンをアップロードする場合、キーは、チェーンの署名に使用された CA 証明書のキーではなく、サーバ証明書のキーです。
            ステップ 3   [Upload] をクリックして、ファイルをシステムにコピーします。

            サーバ証明書の詳細が表示されます。 証明書チェーンをアップロードする場合、チェーン全体の詳細は表示されません。

            ステップ 4   正しい証明書が選択されていることを確認し、[Install and Restart Server] をクリックします。

            証明書がインストールされます。 証明書をイネーブルにするには、システムの Web サーバ コンポーネントを再起動する必要があります。 CX デバイスの場合、Web サーバを再起動しても、デバイスを経由するトラフィック フローは影響を受けません。

            ステップ 5   [Restart] をクリックして Web サーバを再起動し、インストールを完了します。

            この時点で、Web インターフェイスへの接続は切断されます。 Web サーバの再起動を示すメッセージを待ち、ブラウザ ウィンドウをリフレッシュ(リロード)します。 ブラウザが認識する証明書をアップロードした場合、証明書の警告は表示されません。


            サーバ証明書の取得

            アプライアンスにアップロードする証明書は、次の要件を満たしている必要があります。
            • X.509 標準を使用していること。
            • 一致する秘密キーが PEM 形式で含まれていること。 DER 形式はサポートされていません。
            • 秘密キーが暗号化されていないこと。
            • ルート証明書または中間証明書であること。

            システムから証明書の証明書署名要求(CSR)を生成することはできません。 そのため、システム用に作成された証明書を使用するには、UNIX ワークステーションから署名要求を発行する必要があります。 後でシステムにインストールする必要があるため、この UNIX ワークステーションから PEM 形式のキーを保存します。

            最新バージョンの OpenSSL がインストールされた、任意の UNIX マシンを使用できます。 CSR に CX デバイスまたは PRSM サーバのホスト名があることを確認してください。 OpenSSL を使用した CSR の生成の詳細については、次の場所にあるガイドラインを参照してください。次の手順は、このサイトで説明されている手順をまとめたものです。

            http:/​/​www.modssl.org/​docs/​2.8/​ssl_​faq.html#ToC28

            CSR が生成されたら、認証局(CA)に送信します。 CA は、証明書を PEM 形式で返します。

            最初に証明書を取得する場合、インターネットで「certificate authority services SSL server certificates(SSL サーバ証明書を提供している認証局)」を検索して、お客様の環境のニーズに最適なサービスを選択してください。 サービスの手順に従って、SSL 証明書を取得します。


            ヒント


            独自の証明書を生成して署名することもできます。 そのためのツールは http:/​/​www.openssl.org の無料のソフトウェア OpenSSL に含まれています。


            手順
              ステップ 1   OpenSSL を使用して、システム用に暗号化されていない RSA 秘密キーを作成します。

              例:

              次のコマンドで、server.key という RSA キー ファイルと、server.key.decrypted という RSA 秘密キーの復号化された PEM バージョンが作成されます。 キーを作成するときに、入力したパス フレーズを覚えておいてください。

              $ openssl genrsa -des3 -out server.key 1024 
              $ openssl rsa -in server.key -out server.key.decrypted
              
              
              ステップ 2   RSA 秘密キーを使用して、PEM 形式の証明書署名要求を生成します。

              例:

              次の例では、暗号化されたキー ファイルを使用して、署名要求ファイル server.csr を生成します。 通常名を要求するプロンプトが表示されたら、システムの完全修飾ドメイン名(FQDN)を入力します。 たとえば、https://prsm.example.com を開くことができるように、DNS 名を prsm.example.com に設定した場合、通常名は prsm.example.com になります。

              $ openssl req -new -key server.key -out server.csr
              
              
              ステップ 3   CSR を CA に送信して、署名付きの証明書を取得します。

              商用 CA を使用することも、独自の CA を作成して独自に証明書に署名することもできます。 独自の CA を作成する方法については、OpenSSL のマニュアルを参照してください。


              次の作業

              [Administration] > [Server Certificates] ページを使用して、証明書をアップロードし、秘密キーを復号化します。

              基本的なトラブルシューティング

              ここでは、基本的なシステムのトラブルシューティングのヒントを示します。 通常は、特定のポリシーおよび機能を説明するトピックの次に、それに関連するトラブルシューティングがあります。

              システムの接続の確認

              ネットワークでシステムと他のホストとの接続を確認するツールは、PRSMCX で同じです。 物理メディアが正常である(ワイヤに断線がなく、ネットワーク ポートにしっかりと接続されている)ことを前提として、次の手順で接続を確認できるコマンドを説明します。

              CX デバイスでは、管理インターフェイスとホストとの間で接続がチェックされます。 管理ネットワークには、システムとリモート ホスト(PRSM サーバ、アップデート サーバなど)との間のネットワークへのゲートウェイが必要です。

              手順
                ステップ 1   コンソールまたは SSH セッションを使用して CLI にログインします。

                admin ユーザとしてログインします。 Cisco Prime Security Manager では、vSphere Client アプリケーションを使用してコンソールにアクセスします。

                ASA CX ソフトウェア モジュール では、ASA CLI で session cxsc console コマンドを使用してコンソール セッションを開きます。

                ステップ 2   接続を確認するには、次のコマンドの組み合わせを入力します。
                • ping:ホストが単純な ICMP エコー要求に応答するかどうかを確認します。 ホストまたは仲介ルータが、到達可能なホストからの ICMP 応答を妨げる場合があることに注意してください。 たとえば、ping 10.100.10.1 または ping www.example.com と入力します。 ping を停止するには、Ctrl+C キーを押します。
                • traceroute:システムとホストの間の経路を確認します。 システムとホストの間のホップ数を確認できます。 ping と同様、到達可能なはずのホストからの ICMP 応答が、仲介ルータで阻止されることがあるため注意してください。 たとえば、traceroute 10.100.10.1 または traceroute www.example.com と入力します。 応答として最初に *(アスタリスク)が表示された場合は、ホップが応答していないため、Ctrl+C キーを押して traceroute を停止します。 ホップに問題があるか、ノードが ICMP エコー要求に応答するように設定されていません。
                • nslookup:設定した DNS サーバで、DNS ホスト名を IP アドレスに解決できるかどうかを確認します。 DNS 設定を確認するには、show dns コマンドを使用します。
                • show route:ルーティング テーブルを確認します。 正しいゲートウェイが指定されたデフォルト ルート(0.0.0.0)が必要です。 パケットがサブネットから送出されていないようであれば、ゲートウェイに対して ping を試行します。 ゲートウェイ アドレスが正しくない場合は、setup コマンドを実行し、プロンプトに対して正しいゲートウェイを入力します。
                • show interfaces:受信(RX)および送信(TX)パケット数が増えているかどうかを確認します。 管理 IP アドレスは、eth0 インターフェイスに対して定義されている必要があり、ping、traceroute、またはその他のネットワーク アクティビティを行うと、パケット数が増えます。 IP アドレスまたはマスクが正しくない場合は、setup コマンドを実行し、プロンプトに対して正しい値を入力します。

                パケットのキャプチャ

                ASA CX デバイスでは、次の方法で、デバイスを通過するトラフィックのパケットをキャプチャできます。
                • アクセス ポリシー:個別のアクセス ポリシーの [Capture Packets] で [On] を選択し、ポリシーに一致するトラフィック フローのパケットを選択的にキャプチャできます。 このオプションを選択するには、アクセス ポリシーを編集します。 次の推奨事項および制約事項を考慮してください。
                  • [Capture Packets] オプションは、レイヤ 3 またはレイヤ 4(L3/L4)基準のみを使用するか、デフォルトの [Any] 基準を使用するアクセス ポリシーで機能します。 そのほかの一致基準を使用する場合、パケットはキャプチャされません。 L3/L4 基準は、ネットワーク オブジェクトおよびサービス オブジェクトです。
                  • ポリシー リストを表示すると、パケット キャプチャがポリシーでイネーブルになっていることが、ポリシーの右側のアイコンで示されます。 アイコンの上にマウスを置くと、各アイコンの意味が表示されます。
                  • パケット キャプチャ ファイルはポリシーを編集し、[Capture Packets] で [Off] を選択するまで作成されません。 キャプチャ ファイルのファイル名にはポリシー名が使用され、拡張子 .pcap が付きます。 古いキャプチャ ファイルが存在する場合は、上書きされます。
                • グローバル設定:[Dropped Packets] の [Capture] で [On] を選択して、L3/L4 一致基準のみを使用する拒否アクセス ポリシーに一致するパケットと、形式が不正や、現在の TCP 状態に準拠していない(ウィンドウの外の TCP リセットなど)といった理由により、L3/L4 チェックでドロップされたパケットをキャプチャできます。 変造または不適合パケットは、トラフィックと一致するアクセス ポリシーに関係なく、ドロップされます。 パケット キャプチャ ファイルは、[Dropped Packets] の [Capture] で [Off] を選択するまで作成されません。 キャプチャ ファイルは aspdrop.pcap です。 古いキャプチャ ファイルが存在する場合は、上書きされます。

                (注)  


                管理ポートのトラフィックはキャプチャできません。 パケット キャプチャは、ASA CX デバイスにリダイレクトされるトラフィックにだけ使用できます。


                次の手順で、両方のタイプについてパケットのキャプチャを設定し、キャプチャが含まれるファイルをアップロードする方法を説明します。

                手順
                  ステップ 1   [Device] > [Packet Capture] を選択して、次のグローバル設定を指定します。
                  • [Circular Buffer: On/Off]:パケット キャプチャに循環バッファを使用するかどうか。 [On] を選択した場合、キャプチャは最大バッファ サイズに達すると、最も古いパケットへの上書きを開始します。
                  • [Maximum Buffer Size]:パケットを保存するためにキャプチャが使用できるメモリの最大容量。 デフォルトは 1 MB です。 測定単位として KB または MB を選択できます。固定の有効サイズ範囲はありません。

                  変更した場合は、[Save] をクリックします。

                  ステップ 2   ドロップされたパケットのグローバル キャプチャを設定するには、次の手順を実行します。
                  1. [Device] > [Packet Capture] を選択します。
                  2. [Dropped Packets] セクションの [Capture] で [On] を選択します。
                  3. [Save] をクリックして変更を保存します。
                  4. メニュー バーの [Changes Pending] リンクをクリックし、[Commit and Deploy Changes] ページの [Commit] ボタンをクリックして、変更を保存します。
                  5. パケットをキャプチャするネットワーク アクティビティを実行します。
                  6. パケット キャプチャの設定を再度編集して、今度は [Capture] で [Off] を選択します。 変更を保存します。
                  7. 変更を保存します。

                    パケット キャプチャ ファイルがディスクに書き込まれます。

                  ステップ 3   個々のアクセス ポリシーにパケット キャプチャを設定するには、次の手順を実行します。
                  1. [Policies] > [Policies] を選択します。
                  2. アクセス ポリシーの上にマウスを置き、[Edit Policy] をクリックします。
                  3. [Capture Packets] で [On] を選択します。
                  4. [Save Policy] をクリックします。

                    ポリシーが保存されると、ポリシー リストに戻ります。 ポリシーの右側にあるパケット キャプチャ アイコンを確認してください。

                  5. メニュー バーの [Changes Pending] リンクをクリックし、[Commit and Deploy Changes] ページの [Commit] ボタンをクリックして、変更を保存します。
                  6. パケットをキャプチャするネットワーク アクティビティを実行します。
                  7. ポリシーを再度編集し、今回は [Capture Packets] で [Off] を選択します。 変更を保存します。
                  8. 変更を保存します。

                    パケット キャプチャ ファイルがディスクに書き込まれます。

                  ステップ 4   パケット キャプチャをテストする準備ができるか、分析のために Cisco Technical Assistance Center に提供する準備ができたら、CLI にログインし、support diagnostic コマンドを使用してパケット キャプチャ ファイルを選択して、サーバにアップロードします。

                  例:

                  次の例は、ポリシーのパケット キャプチャをアップロードする方法を示しています。 パケット キャプチャは、ファイル名に日時が含まれた ZIP ファイルに保存されます。 追加のキャプチャをアップロードするには、単純に、ファイルを選択するときに複数のファイルを選択します。すべてを 1 つのアップロード ファイルにまとめることができます。 ファイル名は大文字と小文字が区別されます。ファイルを選択するときに、必要な場合は大文字を入力してください。

                  asacx> support diagnostic
                  
                  =======Diagnostic=======
                  
                   1. Create default diagnostic archive
                   2. Manually create diagnostic archive
                  
                  Please enter your choice (Ctrl+C to exit): 2
                  
                  === Manual Diagnostic ===
                  
                   1. Add files to package
                   2. View files in package
                   3. Upload package
                  
                  Please enter your choice (Ctrl+C to exit): 1
                  
                  === Add files to package | Manual Diagnostic ===
                  
                   1. Logs
                   2. Core dumps
                   3. Packet captures
                   4. Reporting data
                   5. Eventing data
                   6. Update data
                   b. Back to main menu
                  
                  Please enter your choice (Ctrl+C to exit): 3
                  
                  ============================
                  Directory: /var/local | 514 KB
                  -----------files------------
                  2012-03-20 18:37:28 | 524134     | Allow All.pcap
                  2012-03-20 18:52:11 | 1922       | aspdrop.pcap
                  
                  ([b] to go back or [m] for the menu or [s] to select files to add)
                  Type a sub-dir name to see its contents: s
                  
                  Type the partial name of the file to add ([*] for all, [<] to cancel)
                  > allow
                  No file named 'allow'
                  
                  Type the partial name of the file to add ([*] for all, [<] to cancel)
                  > Allow
                  Allow All.pcap
                  Are you sure you want to add these files? (y/n)  [Y]: y
                  === Package Contents ===
                  [Added] Allow All.pcap
                  ========================
                  
                  ============================
                  Directory: /var/local
                  -----------files------------
                  2012-03-20 18:37:28 | 524134     | Allow All.pcap
                  2012-03-20 18:52:11 | 1922       | aspdrop.pcap
                  
                  ([b] to go back or [m] for the menu or [s] to select files to add)
                  Type a sub-dir name to see its contents: m
                  
                  === Manual Diagnostic ===
                  
                   1. Add files to package
                   2. View files in package
                   3. Upload package
                  
                  Please enter your choice (Ctrl+C to exit): 3
                  
                  Creating archive     
                  
                  Enter upload url (FTP or TFTP) or [Ctrl+C] to exit
                  Example: ftp://192.168.8.1/uploads
                  > ftp://10.69.43.239/diagnostics   
                  Uploading file cx_asacx_03_20_2012_19_12_15.zip [size: 524280]
                  You need to authenticate with the server to upload/download file
                       
                  Username: ftpusername
                  Password: (typing not displayed)
                  Uploading file cx_asacx_03_20_2012_19_12_15.zip [size: 524280]
                  Uploading the file to /diagnostics on the remote server.
                  .... 
                  Successfully Uploaded ftp://10.69.43.239/diagnostics/cx_asacx_03_20_2012_19_12_15.zip
                       
                  asacx>
                  
                  

                  システム プロセスの管理

                  CX デバイスと Cisco Prime Security Manager が使用するシステム プロセスは、一部は同じですが、一部は異なっています。 ただし、同じ手法を使用して、システム プロセスのステータスを確認し、必要な場合は停止および再起動できます。 これらのプロセスの管理は、システムで予期しない動作が発生した場合にのみ必要です。この場合は、プロセス ステータスを確認すると、解決が必要なシステム レベルの問題かどうかを識別するために役立ちます。

                  次の手順で、ステータスを確認し、必要であればプロセスを再起動する方法を説明します。


                  (注)  


                  CX デバイスのトラブルシューティング時は、config advanced autorestart off コマンドを使用して、プロセスの自動再起動をディセーブルにすることもできます。


                  手順
                    ステップ 1   コンソールまたは SSH セッションを使用して CLI にログインします。

                    admin ユーザとしてログインします。 Cisco Prime Security Manager では、vSphere Client アプリケーションを使用してコンソールにアクセスします。

                    ASA CX ソフトウェア モジュール では、ASA CLI で session cxsc console コマンドを使用してコンソール セッションを開きます。

                    ステップ 2   show services status コマンドを入力して、現在のシステム プロセスのステータスを表示します。

                    例:

                    次の例では、PRSM のステータスが表示されます。 プロセスが正しく機能していれば、すべてのステータスが True になります。 ステータスが False の場合は、システムが回復するまでしばらく待ち、ステータスを再確認します。

                    hostname> show services status
                    ============================================================
                    Process           | PID   | Enabled   | Up    | Up Time   
                    ============================================================
                    HTTP Server       | 6470  | True      | True  | 02:39:31  
                    AD Interface      | 6611  | True      | True  | 02:39:21  
                    Message Nameserver| 6491  | True      | True  | 02:39:31  
                    Management Plane  | 6520  | True      | True  | 02:39:28  
                    Updater           | 6538  | True      | True  | 02:39:24  
                    Event Server      | 6535  | True      | True  | 02:39:24  
                    ============================================================
                    hostname>
                    
                    
                    ステップ 3   プロセス ステータスが down のままの場合は、すべてのプロセスを再起動します。

                    例:

                    次の例は、プロセスを停止してから再起動する方法を示しています。

                    hostname> services stop
                    Are you sure you want to stop all services? [N]: y
                    ........................................
                    hostname> show services status
                    Process Manager Not Running
                    hostname> services start
                    Process Manager starting 
                    hostname> show services status
                    ============================================================
                    Process           | PID   | Enabled   | Up    | Up Time   
                    ============================================================
                    HTTP Server       | 7373  | True      | True  | 00:00:16  
                    AD Interface      | 7573  | True      | True  | 00:00:05  
                    Message Nameserver| 7394  | True      | True  | 00:00:16  
                    Management Plane  | 7442  | True      | True  | 00:00:13  
                    Updater           | 7491  | True      | True  | 00:00:09  
                    Event Server      | 7483  | True      | True  | 00:00:09  
                    ============================================================
                    hostname>
                    
                    

                    次の作業

                    プロセスを再起動しても問題が解決しない場合は、Cisco Technical Assistance Center(TAC)に連絡する前に、次のコマンドを試してください。

                    • system reload で、システムをブート。
                    • system shutdown で、システムを完全にシャットダウン。 デバイスまたは仮想マシン(VM)を手動で再起動する必要があります。

                    Cisco Technical Assistance Center の診断ファイルの作成

                    問題レポートを提出した際に、Cisco Technical Assistance Center(TAC)の担当者により、システム ログ情報の提出を求められることがあります。 この情報は、問題の診断に役立ちます。 診断ファイルの提出は、求められた場合だけでかまいません。

                    診断ファイルを作成する前に、報告する問題の原因となった処理を実行してください。 必要な場合、さまざまなシステム コンポーネントの最小ログ レベルを変更して、診断情報の詳細レベルを制御できます。

                    次の手順では、ログ レベルを設定して診断ファイルをダウンロードする方法について説明します。

                    手順
                      ステップ 1   必要な場合、システム コンポーネントのログ レベルを変更して、診断しようとする問題を引き起こしたアクティビティを再現します。
                      1. 次のいずれかを実行します。
                        • CXシングル デバイス モード)、PRSM[Administration] > [PRSM Logs] を選択します。
                        • PRSM マルチ デバイス モードで管理される CX デバイス(管理対象モード):[Device Configuration] ページを開くには、[Device] > [Devices] を選択してデバイスにマウスを合わせ、[Device Configuration] をクリックします。
                      2. ロギング設定のプロパティ(CX、PRSM)の説明に従って、ログ レベルを調整します。
                      3. 管理対象モードの CX デバイスのログ レベルを変更した場合は、この変更を保存して、デバイスがアップデートされて新しいレベルが適用されたことを導入ステータスで確認します。
                      4. ログ情報を収集しようとしている問題を引き起こした、ネットワーク アクティビティまたはその他のアクションを再現します。
                      ステップ 2   ログ ファイルをダウンロードします。
                      • CXシングル デバイス モード)、PRSM:[Logging Configuration] ページで [Download Logs] をクリックして、すべてのシステム ログが含まれている zip ファイルをダウンロードします。
                      • PRSM マルチ デバイス モードで管理される CX デバイス(管理対象モード):次のいずれかを実行します。
                        • PRSM マルチ デバイス モードで)。[Device Configuration] ページを開くには、[Device] > [Devices] を選択してデバイスにマウスを合わせ、[Device Configuration] をクリックします。[Download Logs] をクリックして、すべてのシステム ログが含まれている zip ファイルをダウンロードします。
                        • ブラウザを使用して管理対象デバイスにログインし、ホーム ページに表示されたログのダウンロード用リンクをクリックします。

                      通常、ファイルを開くか、ワークステーションに保存するかを選択するプロンプトが表示されますが、この動作は、使用しているブラウザや、ファイルのオープンまたは保存の処理がどのように設定されているかによって異なります。

                      (注)     

                      ログをダウンロードするときに、自動的に show tech-support コマンドが実行され、レポートが生成されてログに含まれます。 レポートの名前は、tech_support_report.txt です。


                      ロギング設定のプロパティ(CX、PRSM)

                      ロギングの設定プロパティを使用して、システム ロギングのログ レベルを設定します。 これらのレベルは、設定中のプラットフォーム(CX デバイスまたは PRSM 管理プラットフォーム)に適用されます。 ロギング設定を使用して、解決しようとしている問題について Cisco Technical Assistance Center(TAC)の担当者がトラブルシューティングを行う際に役立つ診断ファイルの作成中に生成されるメッセージを制御します。

                      さまざまなシステム コンポーネントで、最小ログ レベルを変更できます。 生成されるメッセージが多いものから少ないものの順に、次のログ レベルから選択できます。 あるレベルを選択すると、そのレベルと、それよりも低いレベルのメッセージが生成されます。
                      • TRACE:デバッグ用のシステム トレース情報。
                      • DEBUG:デバッグ用の低レベル システム情報。
                      • INFO:全般的なシステム アクティビティに関する情報メッセージ。 これは、デフォルトのロギング レベルです。
                      • WARNING:現在はシステムの運用に影響を与えていない、小さな問題を説明した情報。 これらの問題が、大きな問題の原因になることがあります。
                      • ERROR:システムの運用に悪影響を及ぼす可能性がある、大きな問題を説明した情報。
                      • CRITICAL:システム全体に障害を引き起こす可能性がある、重大な問題を説明した情報。
                      次のコンポーネントで、ログ レベルを制御できます。
                      • 管理プレーン:(ASA CXPRSM)。Web インターフェイスなど、ユーザに表示される機能を実行するコンポーネント。
                      • イベンティング:(ASA CXPRSM)。デバイスからイベントを収集して Event Viewer に表示するために使用されるイベント サーバ。
                      • HTTP インスペクション エンジン:(ASA CX のみ)。HTTP パケットについてより詳細な検査を実行するセキュリティ アプリケーション スキャナ エンジン。
                      • データ プレーン:(ASA CX のみ)。データ トラフィックを処理してポリシーを適用するコンポーネント。
                      • TLS 復号化エンジン:(ASA CX のみ)。TLS/SSL トラフィック フローを復号化するエンジン。
                      ナビゲーション パス
                      • CXシングル デバイス モード)、PRSM[Administration] > [PRSM Logs] を選択します。
                      • PRSM マルチ デバイス モードで管理される CX デバイス(管理対象モード):[Device Configuration] ページを開くには、[Device] > [Devices] を選択してデバイスにマウスを合わせ、[Device Configuration] をクリックします。
                      ログのダウンロード

                      [Logging Configuration] ページで [Download Logs] リンクをクリックして、すべてのシステム ログが含まれている zip ファイルをダウンロードします。 zip ファイルの tacsupport_report.txt という名前のファイルには、show tacsupport コマンドの出力が含まれています。


                      (注)  


                      PRSM マルチ デバイス モードで管理されている CX のログをダウンロードするには、デバイスの [Device Configuration] ページで [Download Logs] リンクをクリックします。 ブラウザを使用して管理対象デバイスにログインし、ホーム ページに表示されるログのダウンロード用リンクをクリックすることもできます。


                      システムのメンテナンス

                      ここでは、基本的なシステムのメンテナンスについて説明します。

                      データベースのバックアップと復元

                      設定データベースはバックアップを作成したり、必要に応じて復元できます。 デバイス構成およびポリシー設定に大きな変更を加える前に、バックアップを作成することを検討してください。

                      データベースのバックアップ/復元プロセスは、PRSM サーバと CX デバイスと同じです。

                      バックアップおよび復元を実行する前に、次の点について検討してください。
                      • 通常、データベースのバックアップを復元できるのは、システムで現在稼働しているものと同じソフトウェアのバージョンからバックアップされた場合のみです。 ただし、以前のバックアップからのデータベースが新しいソフトウェアのバージョンと互換性がある場合もあります。
                      • PRSM マルチ デバイス モード サーバにバックアップを復元したときに、復元されたデータベースに定義されている管理対象デバイスのポリシーと設定が、そのデバイスで現在稼働しているポリシーおよび設定と異なっていることがあります。 つまり、バックアップが行われた時刻と、現在の時刻との間で、デバイスに変更が適用された可能性があります。 この場合、バージョン ミスマッチ アラートが PRSM に表示されます。これは復元された PRSM サーバに最初にログインしたときに表示されます。 バージョン ミスマッチ アラートが表示されたデバイスごとに、デバイスの管理対象モード ホーム ページにログインして、再同期リンクをクリックすることを推奨します。 現在稼働中の設定を保存する場合は、PRSM インベントリからデバイスを削除して再検出してください。

                      注意    


                      バックアップ中に、パスワードをクリアするかどうか尋ねられます。 バックアップを Cisco Technical Assistance Center などと共有する場合にのみ、パスワードをクリアしてください。 パスワードをクリアしたバックアップを復元した場合、すべてのデバイスを PRSM マルチ デバイス モード インベントリから削除してから追加し、パスワードをリセットする必要があります。 すべてのモードで、ローカル ユーザ(admin ユーザ以外)、AD/LDAP ディレクトリ、AD エージェント、シグニチャ アップデータ HTTP プロキシ ユーザ名のすべてのパスワードを定義する必要があります。 admin ユーザとしてログインできるようになるのは、パスワードをクリアしたデータベースを復元した後です。


                      次の手順では、バックアップと復元の両方の手順を示します。

                      手順
                        ステップ 1   コンソールまたは SSH セッションを使用して CLI にログインします。

                        admin ユーザとしてログインします。 Cisco Prime Security Manager では、vSphere Client アプリケーションを使用してコンソールにアクセスします。

                        ASA CX ソフトウェア モジュール では、ASA CLI で session cxsc console コマンドを使用してコンソール セッションを開きます。

                        ステップ 2   データベース バックアップを作成するには、config backup コマンドを使用します。

                        例:

                        次の例は、FTP サーバのバックアップ フォルダにデータベースをバックアップします。 バックアップ ファイルの名前を指定しないことに注意してください。生成されるファイル名に、システム タイプ、ホスト名、month_day_year_hour_minutes_seconds 形式の日時情報が含まれます(24 時間形式)。

                        hostname> config backup ftp://10.69.43.239/backups
                        Starting the database backup process....
                        Please note that eventing/reporting data will not be backed up
                        If you are creating a backup to share with others for system Troubleshooting, 
                        you can clear device passwords to maintain security.
                        A backup with cleared passwords is not suitable for system recovery.
                        Do you want to clear the passwords in the backup database(y/n)?[n]:n
                        Uploading file prsm_prsm-vm_1.0.0_04_02_2012_16_25_30.pkg to 
                        ftp://10.69.43.239/backups
                        You need to authenticate with the server to upload/download file
                        Username: ftpusername
                        Password: (typing not displayed)
                        Backup of the database is completed.
                        hostname>
                        
                        ステップ 3   バックアップを復元するには、config restore コマンドを使用します。

                        例:

                        次の例では、指定したバックアップ ファイルを復元します。 ファイル名を URL に含める必要があります。 バージョン ミスマッチ アラートの確認に関する注は、PRSM マルチ デバイス モードにのみ適用されます。

                        hostname> config restore ftp://10.69.43.239/backups/
                        prsm_prsm-vm_1.0.0_04_02_2012_16_25_30.pkg
                        Downloading: ftp://10.69.43.239/backups/prsm_prsm-vm_1.0.0_04_02_2012_16_25_30.pkg
                        You need to authenticate with the server to upload/download file
                        Username: ftpusername
                        Password: (typing not displayed)
                        Starting the database restore process....
                        Please note that existing eventing and reporting data will not be restored.
                        NOTE: The restore process removes the present configuration replacing it with 
                        the backed up configuration.
                        Do you want to proceed with restore?(y/n)?[n]: y
                        Stopping Cisco Services for restoring Database
                        
                        The database has been restored to a backup version.
                        NOTE: Log into PRSM and check the inventory for Version Mismatch alerts. 
                        These alerts indicate that a managed ASA CX is running a different 
                        configuration than the one defined in the PRSM database. You must 
                        correct the mismatch. Either log into each ASA CX home page and 
                        click the resynchronize link to revert to the old configuration, or 
                        remove the device from the inventory and rediscover it to preserve 
                        the current configuration.
                        
                        Restarting Cisco Services after restoring Database
                        .......................................................
                        hostname>
                        

                        データベース バックアップのスケジューリング

                        FTP サーバへのコンフィギュレーション データベースの定期的なバックアップを設定できます。

                        バックアップ スケジュールは、設定しているデバイスにのみ適用されます。 PRSM マルチ デバイス モードでは、PRSM サーバに適用され、管理対象デバイスには適用されません。これは、管理対象デバイスの設定は PRSM サーバのデータベースで維持されるためです。

                        デバイスのスケジュール バックアップをイネーブルにし、PRSM サーバのインベントリに追加した場合、スケジュールは検出されたデバイスで無効になります。

                        手順
                          ステップ 1   [Administration] > [Database Backup] を選択します。

                          [Database Backup Settings] ページに、現在のバックアップ スケジュール(ある場合)および最後のバックアップのステータス(既知の場合)が表示されます。

                          ステップ 2   [Periodic Backup] で [On] を選択します。

                          [Periodic Backup] で [Off] を選択すると、バックアップ スケジュールをディセーブルにできます。

                          ステップ 3   [Backup Periodicity] に、バックアップ スケジュールの頻度を時間単位で入力します。

                          周期は 1 ~ 168 時間である場合があります。 デフォルトは 24 時間です。

                          この頻度は、変更を保存する時間に関連します。 開始時間やバックアップ ウィンドウは選択できません。

                          ステップ 4   次のフィールドを使用して FTP サーバを特定します。
                          • [Server Host Name / IP Address]:FTP サーバの DNS 名または IP アドレス。
                          • [Server Port]:サーバが FTP 接続をリッスンするポート。 デフォルトは 21 です。
                          • [User Name]、[Password]:ファイルをアップロードする FTP サーバにログインするためのユーザ名とパスワード。
                          • [Backup File Location on Server]:バックアップ ファイルをアップロードするサーバ パス。 たとえば、ルート フォルダは / で、backup フォルダは /backup/ です。
                          ステップ 5   [Save] をクリックします。

                          バックアップは変更を保存したときに開始され、後続のバックアップはスケジュールに従って発生します。 バックアップを復元するには、CLI で config restore コマンドを使用します。


                          PRSM VM のバックアップと復元


                          (注)  


                          VM のバックアップと復元は、PRSM マルチ デバイス モードでのみ使用できます。 この手順は、個別の CX システムのバックアップおよび復元には使用できません。


                          データベースと構成の設定を含めて PRSM マルチ デバイス モード仮想マシン(VM)のバックアップを作成するには、VMware スナップショット機能を使用します。 config backup コマンドを使用して、VM 内のコンフィギュレーション データベース バックアップの作成に加えてスナップショットを作成できます。 スナップショットとデータベースのバックアップの両方を作成する場合は、問題の発生時にシステムを回復するための最適な方法を選択できます。

                          次の手順で、全体的なスナップショット(バックアップ)および復元プロセスについて説明します。 ただし、必要なプロセスと特定の手順を理解するには、VMware のマニュアルでスナップショットに関する記述を参照する必要があります。 すべてのアクションは、VMware vSphere Client で実行します。

                          手順
                            ステップ 1   プライマリ ディスクが、スナップショットに含まれる唯一のディスクになることを確認してください。

                            すべてのセカンダリ ディスクで、[Independent-Persistent] モードが選択されている必要があります(PRSM VM を右クリックし、[Edit Settings] を選択してから各セカンダリ ディスクを選択し、このオプションが選択されているかどうかを確認します)。 この選択によって、イベントおよびレポート データが含まれているディスクがスナップショットに含まれないようにして、バックアップが不必要に大きくなることを防ぎます。 スナップショットのポイントは、必要なときに既知の正常な状態に戻せるように、データベースおよびその他の構成設定をバックアップすることです。

                            1 台または複数のセカンダリ ディスクでこのオプションが選択されていない場合は、コンソールを開き、PRSM CLI にログインして system shutdown コマンドを入力し、システムをシャットダウンします。 次に、vSphere Client で VM の電源を切ります。 次に、[Independent-Persistent] モード オプションを選択して VM の電源を投入します。 ディスク モード オプションを変更する場合は、VMware Snapshot Manager を使用して、これまでに作成した既存のスナップショットをすべて削除する必要もあります。

                            ステップ 2   スナップショットを作成するには、PRSM VM を右クリックし、[Snapshot] > [Take Snapshot] を選択します。

                            名前と説明を入力するプロンプトと、追加のオプションを選択するプロンプトが表示されます。 最良のスナップショット品質を得るには、[Snapshot the Virtual Machine’s Memory] オプションと [Quiesce Guest File System] オプションの両方を選択する必要があります。

                            ステップ 3   バックアップ時の状態にシステムを復元するには、Snapshot Manager を開き、目的のスナップショットを選択して、[Go To] をクリックします。

                            選択したスナップショットに含まれるシステム状態に戻すことを確認するプロンプトが表示されます。


                            admin パスワードのリセット

                            admin ユーザのパスワードを忘れた場合は、リセットできます。 次の手順で、このプロセスについて説明します。 この手順を使用するには、次の点に注意してください。

                            • コンソールを使用する必要があります。 SSH セッションからは、recovery ユーザとしてログインできません。
                            • パスワードがわかっていて、単に変更するだけの場合は、コンソールまたは SSH セッションから config passwd コマンドを使用します。
                            • ASA CX ハードウェア モジュールでは、次のいずれかのコマンドを使用して(パスワードは「Admin123」にリセットされます)、またはブート イメージをリブートして、親 ASA 経由でパスワードを回復できます。
                              • hw-module module 1 password-reset
                              • session 1 do password-reset
                            • ASA CX ソフトウェア モジュールでは、次のいずれかのコマンドを使用して(パスワードは「Admin123」にリセットされます)、またはブート イメージをリブートして、親 ASA 経由でパスワードを回復できます。
                              • sw-module module cxsc password-reset
                              • session cxsc do password-reset
                            はじめる前に

                            この手順を使用して、データベースを出荷時のデフォルト状態にリセットすることもできます。設定したすべてのポリシー、イベントおよびレポート データ、セットアップ コンフィギュレーション(IP アドレス、マスク、ゲートウェイ、DNS、NTP など)が消去されます。

                            手順
                              ステップ 1   次のいずれかを実行します。
                              • Cisco Prime Security Manager)。vSphere Client を使用して VMware コンソールを開きます。
                              • ASA CX ハードウェア モジュール)。コンソール ポートからデバイス コンソールを開きます。
                              • ASA CX ソフトウェア モジュール)。ASA CLI で session cxsc console コマンドを使用して、コンソール セッションを開きます。
                              ステップ 2   ログイン プロンプトで、ユーザ名 recovery を使用してログインします。

                              コンソール セッションがアクティブな場合は、exit コマンドを入力するとログイン プロンプトが表示されます。 recovery ユーザのパスワードはありません。 実行するアクションを選択するプロンプトが表示されます。



                              例:
                              hostname login: recovery
                               
                              1) Reset admin password.
                              2) Reset to factory defaults.
                              3) Exit.
                              #? 
                              
                              ステップ 3   1 を入力してパスワードをリセットし、プロンプトが表示されたら新しいパスワードを 2 回入力します。

                              例:
                              #? 1
                              
                              Changing password for admin
                              New password: (typing not displayed)
                              Retype password: (typing not displayed)
                              Password for admin changed by service
                              Press any key to exit.
                              

                              任意のキーを押すと、ログイン プロンプトに戻ります。 これで admin ユーザとしてログインできるようになります。


                              出荷時の初期状態へのリセット


                              注意    


                              データベースを出荷時デフォルト値にリセットすると、Web インターフェイスで定義したすべてのポリシーおよびコンフィギュレーション設定と、収集したイベントおよびレポート データが消去されます。 このアクションは取り消せません。 どの設定も維持しない場合にのみ、この手順に従ってください。 Cisco Prime Security Manager では、この手順を実行する前に、インベントリからすべてのデバイスを削除することを推奨します。


                              すべてのポリシー、デバイス構成、イベント、レポート データを消去し、システムを出荷時の初期状態に戻すには、次のいずれかの方法を使用します。
                              • config reset コマンド。 このコマンドを使用してデータベースをリセットした場合、CLI から設定したデバイス設定はリセットされません。 たとえば、管理 IP アドレスおよびマスク、ゲートウェイ、DNS 設定、NTP 設定、時刻設定はリセットされません。 これらの値は保存され、システムは引き続きネットワークにアクセスできます。 これらの設定も変更する場合は、setup コマンドおよび他の config コマンドを使用します。
                              • ユーザ名 recovery を使用して CX コンソールまたは PRSM マルチ デバイス モード vSphere Client コンソールにログイン。 この方法を使用してデータベースをリセットすると、セットアップ設定も削除されます。 リセットの完了後、システムを設定できるように、セットアップ ウィザードが起動します。 recovery ユーザ アカウントを使用すると、選択を要求するプロンプトが表示されます。admin パスワードのリセットもできます。

                              次に、config reset コマンドの使用例を示します。

                              手順
                                ステップ 1   コンソールまたは SSH セッションを使用して CLI にログインします。

                                admin ユーザとしてログインします。 Cisco Prime Security Manager では、vSphere Client アプリケーションを使用してコンソールにアクセスします。

                                ASA CX ソフトウェア モジュール では、ASA CLI で session cxsc console コマンドを使用してコンソール セッションを開きます。

                                ステップ 2   config reset コマンドを入力し、確認を要求されたら Y キーを押します。

                                例:

                                次の例は、PRSM をリセットする方法を示しています。 警告は、リセットするシステムによって少し異なります。

                                hostname> config reset
                                  WARNING: You are about to erase all policy and device configurations.
                                  Before proceeding, remove all devices from the inventory.
                                  Otherwise, you must unmanage each managed ASA CX from its home page.
                                  The database will be reset to factory defaults.
                                  System setup configuration will be preserved.
                                  You cannot undo this action. 
                                Are you sure you want to proceed? [y/n]: y
                                Stopping services...
                                Removing settings...
                                Initializing database...
                                Generating certificates...
                                Starting services...
                                The system has been successfully reset to factory defaults.
                                
                                hostname>