ASA CX および Cisco Prime Security Manager 9.3 ユーザ ガイド
イベントの表示
イベントの表示

イベントの表示

Event Viewer を使用して、管理しているデバイスからのイベントを監視および検査します。 イベントはビューに整理されます。重要なイベントを見つけるためにビューをフィルタリングまたは検索できます。 必要に応じて、カスタマイズしたビューおよびフィルタを作成できます。または、アプリケーションに含まれる定義済みのビューを使用できます。

Event Viewer の概要

Event Viewer を使用すると、次のようにモニタ対象デバイスから収集されたイベントを表示できます。
  • マルチ デバイス モード :イベントは、すべての管理CX対象および ASA デバイスから収集されます。 ASA の場合、PRSM サーバを syslog サーバとして定義し、デバイスからのイベントを表示します。 管理対象 CX デバイスは、イベントをサーバに自動的にリダイレクトします。

  • シングル デバイス モード:管理対象外 CX デバイスにログインしている場合は、そのデバイスのみから、イベントを表示できます。

イベントおよびレポート データのストレージ領域がいっぱいになると、システムは新しいデータを保存するスペースを確保するために、自動的に古いデータを削除します。 したがって、使用可能な履歴データの量は、システムのイベント レートやストレージ容量によって異なります。


ヒント


Event Viewer は、管理対象デバイスの動作のモニタリングやトラブルシューティングに役立ちます。 Event Viewer では、さまざまなイベントの相関付け、コンプライアンス レポート、長期的フォレンジック、またはシスコ デバイスとシスコ製以外の両方のデバイスの統合モニタリングの機能は提供されません。


[Events] > [Events] を選択してイベント ビューアを開きます。

図 1. Event Viewer



1

ビュー追加(+)ボタン。

6

[Add/Change columns] ボタン。

2

ビューのタブ。

7

[View Details] ボタン(マウスを置いた状態)。

3

イベント フィルタ。

8

イベント テーブル。

4

[Clear Filter](X)ボタン。

9

時間範囲(履歴)、[Play/Pause] および更新速度(リアルタイム)。

5

[Filter] ボタン

10

表示タイプ(履歴、リアルタイム)。

Event Viewer のウィンドウには、以下の項目があります。

タブの表示

各タブは異なるビューを表し、アプリケーションに付属している事前定義されたビューや、ユーザが作成したカスタム ビューなどが含まれます。 事前定義されたビューでは不十分な場合は、カスタム ビューを作成して、最も関心のあるカラムがテーブルに含まれるようにすることができます。

現在表示しているビューの全般的な特性に基づいて新しいビューを作成するには、左側の [+] ボタンをクリックします。 たとえば、アクティブ ビューが [System Events] の場合、新しいビューにはシステム イベントのみが表示されます。 事前定義済みのビューの使用中にカラムの選択範囲を変更すると、新規ビューが自動的に作成されます。 ビューの名前を変更するには、タブ名をクリックし、新しい名前を入力し、Enter を押します。

ビューの数がタブ領域に表示可能な数を超えた場合、右端のタブは [More] という表示になり、このタブをクリックして非表示になっていたビューを選択します。

ビューを削除するには、タブの [X] ボタンをクリックします。 定義済みビューは削除できません。

事前定義済みのビューの詳細、およびカスタム ビューを作成、編集または削除する方法については、以下を参照してください。
フィルタ

イベント属性に基づいてフィルタを作成する場合にこのフィールドを使用します。

フィルタ表現を作成するには、次のようにします。
  • フィルタリングの基準にする値を含むセルをクリックします。

  • アトミック要素をドロップダウン リストから選択し、値を入力します。 この要素には、基準値との関係を定義する演算子である =(等しい)、>(よりも大)、または <(よりも小)が含まれています。 != と入力すると、等しくない関係を作成できます。

フィルタ内に複数の要素を含めると、異なるタイプの要素間が AND 関係となり、同じタイプの要素間は OR 関係になります。 たとえば、「Source=10.100.10.10 Source=10.100.10.11 Destination Port=80」は「(Source=10.100.10.10 OR Source=10.100.10.11) AND Destination Port=80」と解釈されます。

イベント フィルタの詳細については、イベントのフィルタリングおよびイベント フィルタ ルールを参照してください。

フィルタ編集ボックスの右側には、次のコントロールがあります。

  • [Filter] ボタン:このボタンをクリックすると、フィルタがテーブルに適用されます。 フィルタ表現を単に作成したり、削除したりしても、イベント テーブルには適用されません。 現在のビューが一時停止されたリアルタイム ビューである場合、そのモードは自動的に [Play] に変更されます。

  • [X]:[Filter] フィールドの右端にあるこの文字をクリックすると、フィルタ内のすべての要素がクリアされます。

    フィルタ内のいくつかの要素の中から 1 つのみを削除する場合は、要素の上にカーソルを合わせて、その要素の [X] をクリックします。

表示タイプおよび時間コントロール

イベント テーブルの上には、ラベルが付いていないコントロールが 2 つまたは 3 つあり、これらはテーブルに表示されているイベントの時間範囲を定義します。 2 番目または 3 番目のコントロールの使用目的は、最初のコントロールの選択に基づいて変わります。 左から右の順に次の作業を実行します。

  • [View Type]:過去の一定の期間に発生したイベントを表示するか([View Historic Events])、イベントが発生したら表示するか([Real Time Eventing])を選択できます。

  • [Time Period]:(履歴ビュー)。イベントの時間枠。 大部分のオプションは現在の時刻から過去のある時点まで表示されますが、これらのビューは指定された時間枠に合わせて、新しいビューが表示されるように更新されます。 過去 30 分間、1 時間、4 時間、12 時間、または 24 時間のイベントを表示できます。 時刻はご使用のワークステーションで設定されているタイムゾーンではなく、デバイスで定義されているゾーンに基づいたものになります。


    (注)  


    [Custom Date/Time] を選択して、表示する正確な開始日時と終了日時を指定することもできます。 開始日、開始時刻、終了日、および終了時刻用に [Edit] ボックスが表示されます。各ボックスをクリックして、目的の値を選択します。 作業が完了したら、[Apply] をクリックしてテーブルを更新します。


  • [Play/Pause] ボタン:(リアルタイム ビュー)。リアルタイム ビューを使用している場合、追加コントロールがドロップダウン リストのコントロール間に挿入されます。 [Play](矢印)および [Pause](ダブルハッシュ)ボタンを使用して、イベント テーブルの更新を開始および停止します。 分析が必要なイベントを表示している場合は、ビューを一時停止する必要があります。一時停止しなかった場合、新しいイベントがテーブルに追加されると、現在表示されているイベントがすぐに順送りされてしまいます。

  • [Refresh Rate]:(リアルタイム ビュー)。イベント テーブルが更新される速度。 5 秒、10 秒、20 秒、または 60 秒ごとにテーブルを更新できます。

イベントの表

モニタ対象デバイスから受信したイベントがテーブルに表示され、新しいイベントがテーブルの最上部に追加されます。 イベント テーブルでは、次のアクションを実行できます。

  • 表示されるカラムを変更するか、それらの順番を変更するには、右側のテーブルの上にある [Add/Remove Columns] アイコンをクリックします。 [Customize Columns] ウィンドウには 2 つのリストが含まれており、どちらも使用できますが、使用されていないカラムが左側に表示され、選択されているカラムが右側に表示されます。 リスト間でカラムをクリックしてドラッグし、追加または削除することができます。 カラムの順番を変更するには、選択したリスト内でカラムをクリックし、目的の場所までドラッグします。

    完了したら、[OK] をクリックします。

    事前定義されたビューに何らかの変更を加えると、新規カスタム ビューが作成されます。 目的に合わせて、ビューの名前を変更します。 カスタム ビューに何らかの変更を加えると、ビューがすぐに更新されます。

  • カラム幅を変更するには、カラム ヘッダーの境界をクリックして、目的の幅までドラッグします。

  • イベントの詳細情報を表示するには、イベントの上にカーソルを合わせ、表示される [View Details] ボタンをクリックします。 詳細ウィンドウが開き、イベントに関連するポリシーなど(該当する場合)、イベント情報が表示されます。 適切な権限を持っている場合は、詳細ウィンドウからポリシーを編集できます。 [Close] リンクをクリックしてウィンドウを閉じ、イベント テーブルに戻ります。

イベント ビューの使用方法

Event Viewer でイベントを表示するには、ビューを開きます。 ビュー は、カラムの配置や幅など、カラムのセットを定義します。 ビューによってイベント リストが整理されるため、検索内容をより簡単に見つけられます。

ビューを開くには、ビューのタブをクリックします。 探しているビューが表示されていない場合は、[More] タブをクリックし、非表示になっているビューのリストから目的のビューを選択します。 ([Events] > [Events] を選択してイベント ビューアを開きます。

Event Viewer には、次のような多数の定義済みのビューがあります。

  • [All Events]:シングル デバイス モードでは、デバイスのすべてのイベントが示されます。 マルチ デバイス モードでは、すべてのモニタ対象 ASA と管理対象 CX デバイスからすべてのイベントが示されます。

  • [ASA]:(マルチ デバイス モードのみ)。すべてのモニタ対象 ASA デバイスからのすべてのイベントが示されます。

  • [Authentication]:コンテキスト対応セキュリティ認証イベントを示します。

  • [Context Aware Security]:CX デバイスからのすべてのイベントを示します。

  • [Encrypted Traffic View]:コンテキスト対応セキュリティ復号化ポリシーに関連した、暗号化されたトラフィックのイベントが示されます。

  • [System Event View]:シグネチャの更新など、すべてのシステム イベントが示されます。

  • [NG IPS]:Next Generation IPS サービス で識別される潜在的脅威のイベントが示されます。

事前定義されたビューだけでなく、カスタム ビューを作成できます。

カスタム ビューの設定

独自のカスタム ビューを作成して、イベントを表示すると目的のカラムが簡単に表示されるようにできます。 また、事前定義ビューは編集または削除できませんが、カスタム ビューは編集または削除できます。


ヒント


新規ビューの基本的な特性は、新規ビューを作成したときに表示して参考にしたビューによって定義されます。 たとえば、[System Events] ビューを表示してそれに基づいてビューを作成すると、新規ビューにはシステム イベントのみが表示されます。 このため、該当するイベント タイプを示すビューを必ず選択してください。


手順
    ステップ 1   [Events] > [Events] を選択してイベント ビューアを開きます。
    ステップ 2   次のいずれかを実行します。
    • 事前定義された既存のビューに基づいて新規ビューを作成するには、事前定義されたビューのタブをクリックします。 たとえば、コンテキスト対応セキュリティ トラフィック イベントだけを示すビューが必要な場合は、定義済みのコンテキスト対応セキュリティ ビューを選択します。
    • 既存のカスタム(または事前定義された)ビューに基づいて新規ビューを作成するには、そのビューのタブをクリックしてから、ビュー タブの左側にある [+] ボタンをクリックします。 新規タブ名が強調表示された状態で、新規ビューが作成されます。目的のビュー名を入力します。
    • 既存のカスタム ビューを編集するには、そのビューのタブをクリックします。
    (注)     

    カスタム ビューを削除するには、ビューのタブにある [X] ボタンをクリックします。 削除すると、元に戻すことはできません。

    ステップ 3   右側のイベント テーブルの上にある [Add/Remove Columns] アイコン ボタンをクリックし、選択したリストに、ビューに含めるカラムのみが含まれるようになるまで、カラムを選択または選択解除します。

    使用可能な(ただし使用されていない)リストと選択されているリストの間で、カラムをクリックしてドラッグします。 選択されているリスト内でカラムをクリックしてドラッグし、左から右に向かうテーブル内でのカラムの順番を変更することもできます。

    完了したら [OK] をクリックして、カラムの変更を保存します。

    (注)     

    事前定義されたビューを表示しながらカラムの選択を変更すると、新規ビューが作成されます。 タブの名前をクリックし、目的のビュー名を入力します。

    ステップ 4   必要に応じてカラムのセパレータをクリックしてドラッグし、カラムの幅を変更します。

    リアルタイム ビューと履歴ビューの切り替え

    Event Viewer を使用して、イベントが発生したら表示されるようにするか、イベントを詳しく調べるために任意の時間範囲で履歴表示するかを選択できます。 Event Viewer には、現在の日付と、テーブルにイベントを表示する時間範囲が表示されます。

    左端のイベント テーブルの上にある、名前のない [View Type] コントロールを使用して、リアルタイム ビューと履歴ビューを切り替えることができます。 次のオプションがあります。

    Real Time Eventing

    イベントが発生した時にリアル タイムで表示します。 5 秒、10 秒、20 秒、または 60 秒の間隔から、新規イベントでテーブルを更新する更新速度を選択します。

    [Play](矢印)および [Pause](ダブルハッシュ)ボタンを使用して、イベント テーブルの更新を開始および停止します。 特定のイベントを分析する場合は、ビューを一時停止します。

    View Historic Events

    過去の任意の時間範囲でイベントを表示します。 イベントの時間枠を選択します。 大部分のオプションは現在の時刻から過去のある時点まで表示されますが、これらのビューは指定された時間枠に合わせて、新しいビューが表示されるように更新されます。 過去 30 分間、1 時間、4 時間、12 時間、または 24 時間のイベントを表示できます。 時刻はご使用のワークステーションで設定されているタイムゾーンではなく、デバイスで定義されているゾーンに基づいたものになります。

    [Custom Date/Time] を選択して、表示する正確な開始日時と終了日時を指定することもできます。 開始日、開始時刻、終了日、および終了時刻用に [Edit] ボックスが表示されます。各ボックスをクリックして、目的の値を選択します。 作業が完了したら、[Apply] をクリックしてテーブルを更新します。

    イベントのフィルタリング

    フィルタを作成して、さまざまなイベント属性に基づいてイベント テーブルに表示されるイベントを制限できます。 フィルタは、指定された時間範囲の枠内に適用されます。 つまり、表示されるイベントは、選択されている時間範囲の履歴表示またはリアルタイム表示内に制限されます。

    手順
      ステップ 1   [Events] > [Events] を選択してイベント ビューアを開きます。
      ステップ 2   ビュー タブをクリックして、目的のビューを選択します。
      ステップ 3   [Filter] フィールドでフィルタを作成します。

      新規フィルタを作成するには、ドロップダウン リストからアトミック要素を選択してフィルタを手動で入力し、フィルタの値を入力するか、フィルタリングの基準となる値を含むイベント テーブルのセルをクリックしてフィルタを作成します。 同じカラムにある複数のセルをクリックして値の間に OR 条件を作成するか、異なるカラムにあるセルをクリックしてカラムの間に AND 条件を作成することができます。 セルをクリックしてフィルタを作成した場合は、得られたフィルタを編集して、適切に調整することもできます。 フィルタの作成ルールの詳細については、イベント フィルタ ルールを参照してください。

      ステップ 4   次のいずれかを実行します。
      • フィルタを適用してテーブルを更新し、フィルタと一致するイベントのみが表示されるようにするには、[Filter] ボタンをクリックします。
      • 適用したフィルタをすべてクリアして、フィルタリングされていない状態のテーブルに戻るには、[Filter] ボックスの右端にある [X] ボタンをクリックします。
      • フィルタのいずれかのアトミック要素をクリアするには、要素の上にカーソルを置き、要素の [X] をクリックします。 [Filter] ボタンをクリックします。

      イベント フィルタ ルール

      複雑なフィルタを作成してイベント テーブルを制限し、現在関心のあるイベントのみが表示されるようにできます。 次の手法を単独または組み合わせて使用して、フィルタを作成できます。

      カラムのクリック

      フィルタを作成する最も簡単な方法は、フィルタリングの基準となる値を含むイベント テーブルのセルをクリックすることです。 セルをクリックすると、その値とフィールドの組み合わせに正しく定式化されているルールを使用して、[Filter] フィールドが更新されます。 ただし、この手法を使用するには、イベントの既存のリストに目的の値が含まれている必要があります。

      すべてのカラムをフィルタリングすることはできません。 セルのコンテンツをフィルタリングできる場合は、そのセルの上にカーソルを合わせたときに下線が表示されます。

      アトミック要素の選択

      [Filter] フィールドをクリックして、ドロップダウンから目的のアトミック要素を選択した後、照合値を入力することでフィルタを作成することもできます。 これらの要素には、イベント テーブルのカラムとして使用できないイベント フィールドが含まれます。 また、表示するイベントと入力された値との関係を定義するオペレータが含まれます。 カラムをクリックすると必ず、「equals (=)」フィルタが表示されますが、要素を選択すると、数値フィールドに「greater than (>)」または「less than (<)」も選択できるようになります。

      [Filter] フィールドに要素を追加する方法に関係なく、フィールドに入力してオペレータまたは値を調整できます。

      イベント フィルタの演算子

      イベント フィルタには、次の演算子を使用できます。

      =

      等しい。 イベントは指定した値と一致します。 ワイルドカードを使用することはできません。

      !=

      等しくない。 イベントは指定した値と一致しません。 入力します。 感嘆符(等しくない)の式を作成します。

      >

      大なり。 イベントに、指定した値よりも大きい値が含まれます。 この演算子はポートや IP アドレスなど、数値のみに使用できます。

      <

      小なり。 イベントに、指定した値よりも小さい値が含まれます。 この演算子は、数値のみに使用できます。

      複雑なイベント フィルタのルール
      複数のアトミック要素を含む複雑なフィルタを作成する場合、次のルールに注意してください。
      • 同じタイプの要素には、そのタイプのすべての値の間に OR 関係があります。 たとえば、Source=10.100.10.10 と Source=10.100.10.11 を含めると、送信元としてこれらのいずれかのアドレスを持つイベントが照合されます。

      • 異なるタイプの要素には、AND 関係があります。 たとえば、Source=10.100.10.10 と Destination Port=80 を含めると、この送信元アドレスと宛先ポートのみを持つイベントが照合されます。 10.100.10.10 から異なる宛先ポートへのイベントは表示されません。

      • IPv4 アドレスや IPv6 アドレスなどの数値要素は範囲を指定できます。 たとえば、Destination Port=50-80 を指定して、この範囲内のポートのすべてのトラフィックを取得できます。 ハイフンを使用して、開始と終了の数字を区切ります。 すべての数値フィールドに対して、範囲を使用できるわけではありません。たとえば、[Source] 要素に IP アドレスを範囲で指定することはできません。

      • ワイルドカードまたは正規表現は使用できません。

      履歴イベント フィルタのパフォーマンスの向上

      履歴ビューをフィルタを必要と、 Event Viewer の任意のフィールドにフィルタからゴールドできます。 ただし、特定のフィールドにはインデックスが割り当てられるため、 unindexed フィールドの代わりにこれらのフィールドの検索はパフォーマンスを向上できます。 違いは、検索の分を切断する多数のイベントをフィルタを必要と重大である場合があります。

      次のフィールドに、インデックスが与えられます; これらのフィールドに履歴フィルタを制限することを考慮してください。

      • Action

      • アプリケーション

      • クライアント OS

      • Destination Host

      • 宛先 IP

      • 宛先ポート

      • Destination Service

      • デバイス

      • イベント タイプ

      • ID ソース

      • ポリシー名

      • プロトコル

      • Receive Time

      • Reputation Score

      • Request MIME File Type

      • Response MIME File Type

      • Source Host

      • Source IP

      • 送信元ポート

      • 重大度

      • Threat

      • TLS Flow Decrypted

      • TLS Protocol Version

      • [Username]

      個別イベントの使用

      イベント リストには、指定した時間範囲とフィルタ基準に一致するイベントの要約が表示されます。 イベント要約を表示して、個々のイベントで次を行えます。
      • 以下で説明されているように、イベントの上にマウスを置いて [View Details] ボタンをクリックし、イベントの内容をすべて表示できます。

      • イベントのセルをクリックして、フィルタを作成できます。 フィルタ基準として使用されるセルの内容とともに、フィルタ ルールが [Filter] フィールドに追加されます。 複数のセルをクリックすると、複雑なフィルタが作成されます。 [Filter] フィールドの内容を編集して、フィルタを詳細化することもできます。 フィルタをテーブルに適用するには、[Filter] ボタンをクリックする必要があります。


      ヒント


      データベースからすでに削除されているデバイスまたはポリシーにイベントが関連する場合、そのデバイスまたはポリシーの名前はイベント内に残りますが、デバイスまたはポリシーの名前セルの内容に「Deleted」が追加されます。


      イベントの詳細の表示

      より詳細な分析が必要なイベントが見つかった場合、そのイベントの上にマウスを合わせて、表示される [View Details] ボタンをクリックします。 詳細ウィンドウが開いてイベント情報が表示されます。作業が終わったら、[Close] リンクをクリックしてウィンドウを閉じます。

      イベントを開くと、次の情報と機能を使用できます。
      • テーブルに表示されていない情報を含む、イベントに関する完全な詳細情報。 ビューに特定のカラムを含めていない場合でも、イベントに属性のデータが含まれている場合、イベント開くとその情報を表示できます。

      • そのイベントに含まれていたポリシー セットなどのポリシー。 たとえば、アクセス ポリシーと一致したトラフィック フローによってイベントが生成された場合、そのアクセス ポリシーが表示されます。 ポリシーまたはポリシー セットを変更する場合は、対象の上にマウスを合わせて、[Edit Policy] または [Edit Policy Set] をクリックします。

      • イベントに CX デバイスの認証情報が含まれている場合、レルム名をクリックすると、ディレクトリ レルム設定に移動できます。

      Syslog の設定

      デバイスから syslog サーバにイベントを転送する Syslog (システム ログ)を設定できます。 これにより、ネットワークのさまざまなデバイスからイベントを収集し、分析するために高度なセキュリティ情報およびイベント管理(SIEM)システムを使用することができます。

      syslog サーバを設定すると、 EventPRSM Viewer でイベントを見ることができなくなります。 イベントは両方シングル デバイス モードマルチ デバイス モードに表示されています。


      (注)  


      マルチ デバイス モード)。 ASA デバイスでは、 Syslog サーバとして EventPRSM Viewer の ASA からイベントを表示するようにサーバPRSMを設定します。 すべてCXのデバイスが自動的にイベントをPRSM送信; 別のイベント管理サーバに送信されるイベントを必要とする場合のみ、 syslog サーバを設定する必要があります。


      ここでは、の設定方法について説明します。

      CX デバイスの Syslog 設定

      イベントのコピーを外部 Syslog サーバにエクスポートする場合は、CX デバイスの Syslog を設定します。

      手順
        ステップ 1   Configurations > Policies/Settingsを選択し、 Syslog の設定 タブを開きます。 必要に応じて、[Syslog Settings] フォルダを開きます。

        (マルチ デバイス モードのみ)。 デバイス ビューで選択した特定のデバイスのタブを開くか、またはリポジトリ ビューでデバイスとは無関係にポリシーを開くことができます。

        ステップ 2   次のいずれかを実行します。
        • [CX Syslog Server: Enabled] または [Disabled] を選択すると、イベントがすでに設定済みの Syslog サーバに送信されるどうかが変更されます。 設定を削除しなくとも、サーバへのイベントの送信を無効化できます。
        • [Enabled] を選択し、サーバ属性を入力して、新しいサーバを設定します。 最大 2 台の Syslog サーバを設定できます。 これらのプロパティについては、CX Syslog 設定 で説明します。
        ステップ 3   [Save(保存)] をクリックします。

        CX Syslog 設定

        イベントCXのエクスポートに使用する syslog サーバは次のプロパティが設定されています。 これらを参照して、設定する場合は[Disabled]を選択します。

        プロトコル

        サーバへのイベントの転送に使用するプロトコル:

        • UDP:イベントは、予告なく送信が正常に送信されます。

        • TCP での TLS:イベントは信頼できる送信によって暗号化されて送信されます。 したがって、障害が発生すると、は、 syslog サーバがすべてのイベントの受信再試行され、可能性が高くなります。 が TLS でデバイスが syslog サーバで CA 証明書を受け入れる必要があります。デバイスはいずれかの信頼証明書を出力、または補完する証明書ページの証明書をアップロードします。 CA すでにです([Configurations] > [Certificates])。

        • 保証のない TCP:イベントは信頼できる送信と暗号化されずに送信されます。 障害が発生した場合、は再試行されます。

        Hostname/IP ポート

        ホスト名または syslog サーバの IP アドレス、ポートがサーバ イベントを受け取る。 デフォルト ポートは、 UDP および保証のない TCP の場合は 514、 TCP での TLS の場合は 6514 です。

        TCP 上で TLS を使用すると、名前またはアドレスを Syslog サーバに存在する証明書の 1 個に対応させることを保障します。 不一致がある場合、 TLS 接続を確立できない場合、イベントはサーバに送信されません。

        エクスポートする最小の重大度

        syslog サーバにエクスポートするためのメッセージの重大度。 すべてのトラフィック イベントは informational です; システム イベントは情報または他のレベルを指定できます。 最も多いメッセージからの順序ではほとんどレベルは、エラー、警告、通知、および情報です。 すべてのイベントを表示するには、[Informational]を選択します。

        Syslog ファシリティ コード

        アプライアンスが syslog サーバで定義されているメッセージに含める syslog ファシリティ コード。 LOCAL0 ~ と間の機能を選択できます。

        Syslog ファシリティは、syslog データ ストリームを生成する各種ネットワーク デバイスを識別する必要のある集中 syslog モニタリング システムがある場合に役立ちます。 ネットワーク デバイスは使用可能な 8 つのファシリティを共有するため、この値の変更が必要な場合があります。

        ASA デバイスのロギングと Syslog 設定

        マルチ デバイス モード のみ)。ASA ロギングの設定ができます。また、システム イベントのコピーを外部 Syslog サーバにエクスポートする場合は、Syslog の設定もできます。 イベントを PRSM の ASA から確認する場合は、PRSM サーバを Syslog サーバとして設定する必要があります。

        手順
          ステップ 1   Configurations > Policies/Settingsを選択し、 Syslog の設定 タブを開きます。 [ASA Logging Settings] フォルダを開きます。

          デバイス ビューで選択した特定のデバイスのタブを開くか、またはリポジトリ ビューでデバイスとは無関係にポリシーを開くことができます。

          ステップ 2   次のいずれかを実行します。
          • ASA ロギング プロパティ の説明に従ってロギングを設定します。
          • [Add Logging Host (+)] ボタンをクリックし、ASA の syslog サーバのプロパティ で説明されているプロパティを入力することによって、Syslog サーバをロギング サーバ テーブルに追加します。
          • プロパティを変更する場合は、テーブルからサーバを選択し、[Edit] ボタンをクリックします。
          • サーバを削除するには、テーブルからサーバを選択し、[Delete] ボタンをクリックします。
          ステップ 3   [Save(保存)] をクリックします。

          ASA ロギング プロパティ

          次のロギング プロパティは、 ASA デバイスの syslog 設定にアクセスするときに表示されます。

          Filter on Severity

          Syslog メッセージをその重要度に応じてフィルタリングするには、このリストからメッセージ フィルタリング レベルを選択します。 選択したレベルは、ログに記録される条件の中で最も低い条件を示します。 たとえば、エラー(レベル 3)に重大度フィルタを設定した場合、デバイスは、重大度レベル 3、2、1、および 0 のメッセージを記録します。 重大度は次のとおりです。

          • none:フィルタリングなし; すべてのメッセージが送信されます。

          • 緊急(レベル 0):システムを使用できません。 重要度レベル 0 を使用することはお勧めできません。

          • Alert (レベル 1):即時対処が必要です。

          • 重要(レベル 2):クリティカルな状態です。

          • エラー(レベル 3):エラー状態です。

          • 警告(レベル 4):警告状態です。

          • Notification (レベル 5):正常だが重大な状態です。

          • 情報(レベル 6):情報メッセージです。

          • デバッグ レベル(7):デバッグ メッセージです。

          Logging Queue

          Syslog サーバに送信する前にデバイスの Syslog バッファにキューイングされるメッセージの数を指定します。 デフォルト値は 512 です。

          有効値は 0 ~ 8192 メッセージです。値はデバイスによって異なります。 [Logging Queue] をゼロに設定した場合、キューはそのデバイスで設定可能な最大サイズ、つまり 8192 メッセージになります。

          Logging On/Off

          セキュリティ アプライアンスでのロギングをオンまたはオフにするには、クリックします。

          Send as EMBLEM Format

          ログに記録されたメッセージの EMBLEM 形式設定をオンまたはオフにします。 これは Cisco IOS ルータおよびスイッチで使用される形式です。


          (注)  


          EMBLEM 形式設定をイネーブルにする場合は、UDP プロトコルを使用して syslog メッセージをパブリッシュする必要があります。EMBLEM は TCP と互換性がありません。


          Include debug trace in log

          このオプションをオンにすると、すべてのトレース出力を Syslog にリダイレクトします。

          このオプションがイネーブルになっている場合、syslog メッセージはコンソールに表示されません。 したがって、デバッグ メッセージを表示するには、コンソールでロギングをイネーブルにし、デバッグ syslog メッセージ番号とロギング レベルの宛先として設定する必要があります。 使用される syslog メッセージ番号は 711011 です。 この syslog のデフォルト ロギング レベルは [debug] です。

          Send to standby unit

          このセキュリティ アプライアンスとペアになっているフェールオーバー装置でロギングをオンまたはオフに切り替えるには、このスイッチを使用します。

          Allow user traffic when logging host is down

          TCP ベースの Syslog サーバに対する接続ブロッキングをオンまたはオフに切り替えるには、このスイッチを使用します。

          syslog サーバとの通信に指定されたプロトコルが TCP の場合、セキュリティ アプライアンスは、syslog サーバが到達できない場合、デフォルトでファイアウォールを通過する接続をドロップします。 このオプションをオフにすると、接続ブロッキングがディセーブルになります。

          ASA の syslog サーバのプロパティ

          次のプロパティは、 ASA デバイスのロギング ホスト(syslog サーバ)を追加または編集するときに表示されます。

          IP Address

          NTP サーバの IP アドレスを入力します。

          EMBLEM On/Off

          Syslog メッセージが Cisco EMBLEM 形式の場合はオンにします。 オンの場合、[Protocol] は [udp] である必要があります。

          Secure On/Off

          ロギング ホストで TCP 接続に対して SSL/TLS を使用する場合はオンにします。 (UDP はセキュア ロギングではサポートされていません)。

          Port

          Syslog サーバがメッセージを受信する TCP または UDP ポートの番号。 UDP のデフォルト ポートは 514 で、TCP のデフォルト ポートは 1470 です。

          Protocol

          Syslog サーバで使用されるプロトコル([tcp] または [udp])。[udp] がデフォルトです。 TCP ポートは、セキュリティ アプライアンスの syslog サーバとだけ連携します。


          (注)  


          EMBLEM フォーマットを使用する場合は、[udp] を選択する必要があります。


          Interface

          この Syslog サーバとの通信に使用するデバイス インターフェイスを指定します。 インターフェイスまたはインターフェイス ロール オブジェクトの名前を入力するか、選択します。

          イベント メッセージ

          Event Viewer で表示される可能性のある基本的なタイプのメッセージを以下に示します。
          • コンテキスト対応セキュリティ トラフィック イベント:これらのイベントは、CX デバイスを通過するトラフィックに関連しています。 メッセージの説明は、コンテキスト対応セキュリティ トラフィック イベント にあります。

          • CX デバイスおよび PRSM システム イベント:これらのイベントはシステムの動作に関連します。 これらのイベントは [System Event] ビューに表示できます。 メッセージの説明は、CX デバイスおよび PRSM のシステム イベント にあります。

          • ASA syslog メッセージ:これらのイベントは、ASA によって生成された syslog メッセージです。 可能なメッセージの詳細については、 http://www.cisco.com/c/en/us/td/docs/security/asa/syslog-guide/syslogs.html Cisco ASA シリーズの Syslog メッセージを参照してください。

          さまざまなカラムの詳細については、イベント カラムを参照してください。


          (注)  


          ASA とは異なり、CX/PRSM のメッセージ番号は本質的に意味がないため、[Event Type ID] カラムに番号は表示されません。


          コンテキスト対応セキュリティ トラフィック イベント

          次のイベント メッセージは、CX デバイスを通過するトラフィックに関連しています。 リストは、イベント名に基づいてアルファベット順にまとめられています。 ASA の syslog メッセージとは異なり、コンテキスト対応セキュリティ イベントのメッセージ ID 番号には意味がないため、番号は示しません。

          Authentication Failure

          メッセージ:User failed authentication attempt.

          説明:ユーザは、アクティブ認証を求めるプロンプトに対して、有効な資格情報を使用して応答できませんでした。 イベントの詳細に、失敗した試行のユーザ名が表示されます。 アクティブ認証を必要とするか、それを許可するアイデンティティ ポリシーとトラフィック フローが一致し、アイデンティティ情報がユーザの IP アドレスにまだ使用できない場合、ユーザは認証するように要求されます。

          推奨処置:このイベントは、ユーザが単にパスワードの入力ミスをした場合など、完全に無害な理由で生じる可能性があります。

          認証失敗によって、ユーザが自分でネットワークにアクセスできなくなることはありません。 正しく認証できなかった場合、ユーザからのトラフィック フローに ID 情報は含まれなくなり、フローはいずれのアクセス ポリシーの ID ベースの基準とも一致しません(つまり、ID オブジェクトは一致しません)。 この認証失敗による影響は、設定したアクセス ポリシー セットによって異なります。 アクセス ポリシーによって ID が不明なユーザへのアクセスが本質的に拒否される場合、認証の失敗によってユーザに深刻な影響が及ぼされる可能性があります。

          また、ユーザはダッシュボード内でユーザ名ではなく、IP アドレスで表されます。

          無害な失敗が多数発生している場合は、アクティブ認証プロンプトへの応答方法についてのわかりやすい説明を提供することを検討してください。 Active Directory を使用している場合、透過的な認証の導入や、CDA または AD エージェントのインストールを検討して、煩わしくないパッシブ認証を使用することもできます。

          Authentication Server Down

          メッセージ:Authentication server is down.

          説明:システムは、指定されたディレクトリ レルムで指定されたサーバと通信できません。

          推奨処置:妥当な時間内に認証サーバがアップしたことを知らせるメッセージを受け取れない場合、考えられる次の問題を検討してください。
          • サーバがアップし、正常に稼働していることを確認します。

          • Active Directory サーバの場合、このメッセージはシステムが AD ドメインに参加できない場合に表示されることがあります。 [Components] > [Directory Realm] を選択して、AD への参加状況をテストします。 AD レルムの上にカーソルを置き、[Edit Realm] をクリックしてから、レルム プロパティの [Test Domain Join] リンクをクリックします。 失敗のメッセージを受け取った場合、ドメインと資格情報を訂正して、ドメインへの参加を阻んでいる他の問題をすべて解決する必要があります。

          • デバイス CLI にログインして、pingtraceroute コマンドを使用し、デバイスからディレクトリへのパスがあることを確認します。

          Authentication Server Up

          メッセージ:Successfully connected to authentication server.

          説明:システムは、認証サーバと通信できます。 サーバとディレクトリ レルムがイベント メッセージに示されます。

          推奨処置:アクションは必要ありません。

          Authentication Success

          メッセージ:User passed authentication.

          説明:アクティブ認証でユーザから正しい資格情報が提供されました。

          推奨処置:アクションは必要ありません。

          Auth Maximum Retries

          メッセージ:This user has reached the maximum number of retries for authentication.

          説明:ユーザは、アクティブ認証で資格情報の提供に失敗した回数が、許可されている回数を超えました。

          推奨処置:これらのイベントが多数発生する場合、認証を再試行できる最大回数を増やすことを検討できます。 また、[Authentication Failure] イベントの推奨処置で、検討すべき他の処置を確認してください。

          Dropped Event

          メッセージ:One or more events were dropped.

          説明:システムの処理速度よりも早く、イベントが到着しています。 このイベントは、ドロップされたイベントの数とタイプを示します。

          推奨処置:PRSM サーバで問題が頻繁に生じ、解決されない場合は、メモリやプロセッサ機能に関してサーバの能力を高めることを検討してください。 それが不可能な場合、2 番目のサーバをインストールして、一部のデバイスを新しいサーバのインベントリに移動することで、管理対象のデバイスを減らすことを検討してください。

          Flow Complete

          メッセージ:A short-lived flow passed policy constraints and was created and terminated normally.

          説明:新しい接続が作成され、ティアダウンされました。 接続は短時間であったため、[Flow Tear Down] イベントの前に [Flow Create] イベントではなく、このメッセージを 1 つ受け取ります。 たとえば、通常、DNS のルックアップは [Flow Complete] イベントで表されます。

          推奨処置:アクションは必要ありません。

          Flow Create

          メッセージ:A flow was initiated through the device.

          説明:新規接続が作成され、そのデバイスを通過する新規トラフィック フローが開始されました。 HTTP の完了または TLS の完了メッセージのいずれかのみを受け取る HTTP または TLS/SSL フローについては、このイベントは取得しません。 [Flow Create] イベントのフローと一致する [Flow Tear Down] イベントまたは [Flow Deny] イベントがある必要があります。

          推奨処置:アクションは必要ありません。

          Flow Deny

          メッセージ:A flow was denied due to policy violation.

          説明:[Deny] アクションを適用するアクセス ポリシーと一致したため、トラフィック フローはドロップされました。 このメッセージは HTTP 以外のトラフィックに適用され、復号化されない HTTPS フローにも適用できます。 HTTP、または復号化されない HTTPS の場合、フローの拒否ではなく、HTTP の拒否メッセージが表示されます。

          推奨処置:そのフローが、デバイスの通過を許可するトラフィックを表している場合は、アクセス ポリシーを検討する必要があります。それ以外の場合、アクションは必要ありません。 イベントの詳細を開いて、トラフィック フローが一致するアクセス ポリシーを確認します。 次の点に留意してください。
          • ポリシー セット内のポリシーの順序変更が必要になることがあります。 フローがこの拒否ポリシーに到達する前に照合されるべき許可ポリシーよりも下に、この一致したポリシーを移動する必要があります。

          • ポリシーのトラフィック一致基準が広すぎる可能性があります。 望ましいフローがポリシーと一致しないように、異なる基準が必要かどうかを評価します。

          Flow Tear Down

          メッセージ:A flow passed policy constraints and completed normally.

          説明:ユーザがトランザクションを完了したなどの理由で、トラフィック フローが正常に終了しました。 メッセージの詳細には、フローの合計バイト数が含まれます。 このメッセージは、HTTP 以外のトラフィックに適用されます。

          推奨処置:アクションは必要ありません。

          HTTP Aborted

          メッセージ:An HTTP transaction aborted due to an exception.

          説明:HTTP 検査の間に予期しないエラーが発生し、その結果 HTTP フローがドロップされました。 このドロップはアクセス ポリシーには関係していません。 通常、これらのメッセージは不正な HTTP パケットか、過度に長い HTTP ヘッダー(たとえば、16kb)を示しています。 考えられる他の原因として、プロトコル違反や、数字にすべきものが数字ではないテキストになっている場合などがあります。

          推奨処置:多数の [HTTP Inspection Aborted] イベントが発生し、それらが妥当なトラフィックに影響を及ぼしている場合は、Cisco テクニカル サポート センターに連絡してください。

          HTTP Complete

          メッセージ:An HTTP transaction passed policy constraints and completed normally.

          説明:HTTP または復号化された HTTPS トラフィック フローがアクセス ポリシーによって許可され、正常に完了しました。

          推奨処置:宛先 Web サイトがブロック対象のものでなければ、アクションは必要ありません。 サイトがブロック対象である場合、イベントの詳細を開いて、どのポリシーがフローと一致したのかを確認します。 次の解決法を検討してください。
          • トラフィックが間違ったポリシーと一致していた場合、ポリシー セット内のポリシーの順番を調べます。 このポリシーを他のポリシーの下に移動するか、別のポリシーをこのポリシーの上に移動することが必要な場合があります。

          • トラフィックが正しいポリシーと一致していた場合、ポリシーを編集して、トラフィックの一致基準を調整できます。

          HTTP Deny

          メッセージ:An HTTP flow was denied due to policy violation.

          説明:HTTP トラフィック フロー、または暗号化された HTTPS トラフィック フローは、[Deny] アクションを適用するアクセス ポリシーと一致したため、ドロップされました。

          推奨処置:そのフローが、デバイスの通過を許可するトラフィックを表している場合は、アクセス ポリシーを検討する必要があります。それ以外の場合、アクションは必要ありません。 イベントの詳細を開いて、トラフィック フローが一致するアクセス ポリシーを確認します。 次の点に留意してください。
          • ポリシー セット内のポリシーの順序変更が必要になることがあります。 フローがこの拒否ポリシーに到達する前に照合されるべき許可ポリシーよりも下に、この一致したポリシーを移動する必要があります。

          • ポリシーのトラフィック一致基準が広すぎる可能性があります。 望ましいフローがポリシーと一致しないように、異なる基準が必要かどうかを評価します。

          Packet Deny

          メッセージ:A packet has been denied.

          説明:パケットは内部セキュリティ チェックに失敗しました。 たとえば、IP チェックサムの失敗、無効な IP または TCP ヘッダー、あるいは最初の TCP パケットが SYN パケットではありませんでした。 これらのセキュリティ チェックを使用して、偽のトラフィックが回避されます。 これらのイベントはアクセス ポリシーに関係していません。

          推奨処置:トラブルシューティングを行おうとしている特定のトラフィック失敗にイベントが関連しない限り、アクションは必要ありません。 必要に応じて、グローバル パケット キャプチャを設定し、ドロップされたこれらのパケットを取得できます。

          Redirect Authentication

          メッセージ:This flow was redirected to be authenticated.

          説明:アクティブ認証が必要または使用可能なアイデンティティ ポリシーとフローが一致し、資格情報の入力をユーザに求める必要があると判断されました。 また、このイベントに関連する [Authentication Failure] または [Authentication Success] イベントも発生します。

          推奨処置:アクティブ認証のプロンプトが必要な原因となった認証ポリシーに、このフローが一致すべきではなかった場合を除き、アクションは必要ありません。

          このフローで認証が必要なかった場合、イベントの詳細を開いて、フローが一致したアイデンティティ ポリシーを確認してください。 ポリシーをポリシー セットの中で上下に移動する必要があるかどうか、またはトラフィックの一致基準を調整する必要があるかどうかを検討します。

          TLS abort

          メッセージ: TLS または SSL フロー、ハンドシェイクの失敗または証明書の検証エラーが異常終了した原因でした。

          説明: 試行が TLS/SSL のトラフィック フローを復号化しようとしましたが、認証エラーが発生し、接続が切断されました。

          推奨処置: プロトコル違反または非常に信頼できない証明書があるかどうかを決定する拒否の原因を評価します。 次の操作を考慮してください:

          • ハンドシェイクの失敗は、サイトが堅牢な復号化を必要とし、それらのデバイス用の K9 3DES/AES ライセンスをアップロードしなかったする可能性があります。 これは無料ライセンスですが、可用性は輸出規制によって制限されます。 実行コンフィギュレーションを取得できるため、構成をアップロードします。 できない場合、必要なサイトの復号化をバイパスする必要があります。 これが原因かどうかを指示するために K9 ライセンスの欠落列を調べます。

          • サーバ復号化設定に、信頼できない証明書を持つサーバへのハンドシェイクの要件と接続を失うために拒否トランザクションを調整できます。 にこれらのオプションを設定すると、復号化処理は接続があり、復号化されないできますが、これらの問題がサイトにバイパスされます。 これはユーザーの影響を抑制しますが、これらのサイトにトラフィック制御を減らします。

          • 問題が信頼できない証明書だけの場合、追加の証明書ストアを選択[Configurations] > [Certificates]してこれを追加できます。

          • 時刻設定がサーバと デバイス間で一致していない場合に、無効な証明書が発生する可能性があります。 無効な証明書はまだ有効になっていないか、期限切れになった可能性があります。 サーバを制御している場合は、時刻設定を確認し、必要に応じて修正するか、期限切れの証明書を交換します。

          TLS Complete

          メッセージ:A TLS/SSL transaction passed policy constraints and completed normally.

          説明:TLS/SSL トラフィック フローはアクセス ポリシーによって許可され、正常に完了しました。

          推奨処置:宛先がブロック対象であるか、フローに目的の復号化処理(TLS Flow Decrypted プロパティで示されている処理)が行われなかった場合を除き、アクションは必要ありません。 フローに目的の処理が行われなかった場合、イベントの詳細を開いて、どのポリシーがフローと一致したかを確認します。 次の解決法を検討してください。
          • トラフィックが(何らかのタイプの)間違ったポリシーと一致していた場合、関連付けられたポリシー セット内のポリシーの順番を調べます。 このポリシーを他のポリシーの下に移動するか、別のポリシーをこのポリシーの上に移動することが必要な場合があります。

          • トラフィックが正しいポリシーと一致していた場合、ポリシーを編集して、トラフィックの一致基準またはアクションを調整できます。

          CX デバイスおよび PRSM のシステム イベント

          次のイベント メッセージは、CX デバイスを通過するトラフィックではなく、CX デバイスまたは PRSM サーバ システムに関連するアクティビティに関連します。 リストは、イベント名に基づいてアルファベット順にまとめられています。 ASA syslog メッセージとは異なり、CX/PRSM イベントのメッセージ ID 番号には意味がないため、番号は記載していません。

          Backlog Event Archive Error

          メッセージ:An archive of events from %End_Date_And_Time% on device %Device_Name% could not be integrated into the event store. アーカイブ ファイル %Info_String% が削除されます。

          推奨処置:アーカイブされたイベントの示されたファイルは、ファイルに問題がある可能性があるため、PRSM イベント ストアにマージできなかったので、削除されます。 対処不要です。

          Backlog Events Dropped

          メッセージ:This device has deleted events recorded between %Start_Time_Offset% and %End_Time_Offset%.

          推奨処置:CX システムは、接続が失われたために PRSM サーバに送信できないイベントを格納するディスク領域が不足しており、バックログされたイベントの削除を開始するように強制されています。 このデータは回復できません。 これ以上データを損失しないように、PRSM サーバまたはネットワーク接続に関して問題があればすべて解決する必要があります。

          Backlog Events Integrated

          メッセージ:An archive of events recorded between %Start_Time_Offset% and %End_Time_Offset% on device %Device_Name% has been integrated into the event store.

          推奨処置:アクションは必要ありません。 PRSM サーバは、CX デバイスから受信した一連のバックログ イベントの組み込みを終了しました。

          Backlog Events Received

          メッセージ:An archive of events recorded between %Start_Time_Offset% and %End_Time_Offset% on device %Device_Name% has been received.

          推奨処置:アクションは必要ありません。 CX システムはバックログ イベントを PRSM サーバに送信し、サーバはイベントを受信しましたが、イベントはまだイベント ストアに組み込まれていません。 CX システムは、ディスクからバックログを削除します。

          Backlog Sys Event Archive Error

          メッセージ:An archive of system events from %End_Date_And_Time% on device %Device_Name% could not be integrated into the event store. アーカイブ ファイル %Info_String% が削除されます。

          推奨処置:アーカイブされたシステム イベントの示されたファイルは、ファイルに問題がある可能性があるため、PRSM イベント ストアにマージできなかったので、削除されます。 対処不要です。

          Syslog サーバに接続された

          メッセージ: このデバイスは、 syslog サーバ %Server_Hostname% に正常に接続しました

          説明:CXデバイスは、 syslog サーバにイベントを送信するように設定されており、サーバへの接続に成功しました。

          推奨処置:アクションは必要ありません。

          Core Bad File Access

          メッセージ:User '%AAA_User%' not allowed to access resource '%Resource_Name%'.

          説明:指定されたユーザは指定されたリソースへのアクセスを試みましたが、ユーザにはそのアクセスに対する権限がありません。

          推奨処置:イベントを評価して、アクションが必要であるかどうかを判別します。

          Core Low Memory

          メッセージ:System low on memory, %Mem_Size_MB%Mb remaining.

          推奨処置:可能な場合は、システムにメモリを追加します。

          Core System Shutdown

          メッセージ:System shutdown initiated.

          推奨処置:アクションは必要ありません。

          Core System Startup

          メッセージ:System startup initiated.

          推奨処置:アクションは必要ありません。

          Critical Recovery

          メッセージ:Critical process %Process_Name% recovery action %Recovery_Action% initiated.

          説明:指定されたリカバリ アクションの処理が開始されました。

          推奨処置:アクションは必要ありません。

          Database Backup Failure

          メッセージ:Failure to backup database: %Info_String%

          説明:示された理由により、データベースのバックアップに失敗しました。

          推奨処置:失敗の理由を検討して、可能であれば改善処置を行います。 バックアップを再試行します。

          Database Backup Success

          メッセージ:Database backup completed successfully.

          説明:誰かが意図的にデータベースのバックアップを行い、バックアップが正常に作成されました。

          推奨処置:アクションは必要ありません。

          Database Restore Failure

          メッセージ:Failure to restore database: %Info_String%

          説明:示された理由により、データベース バックアップの復元に失敗しました。

          推奨処置:失敗の理由を検討して、可能であれば改善処置を行います。 復元を再試行します。

          Database Restore Success

          メッセージ:Database restore process completed successfully.

          説明:データベースのバックアップが意図的に復元され、復元は成功しました。

          推奨処置:アクションは必要ありません。

          Decryption Cert Constraint Change

          メッセージ:Set basic constraints extension to critical is turned %Info_String% for decryption settings certificate %Certificate_Common_Name%.

          推奨処置:アクションは必要ありません。 このメッセージは、復号化ポリシーによって使用される、復号化設定で生成された証明書に対して基本制約拡張をオンまたはオフにしたことを示します。

          Disabled Process

          メッセージ:Process %Process_Name% disabled due to %Info_String%.

          説明:示された理由により、プロセスはディセーブルになっています。

          推奨処置:理由を評価して、何らかのアクションが必要であるか、または可能であるかを判別します。 システム CLI にログインしてプロセスを停止してから、プロセスを再起動することが必要な場合があります。

          Syslog サーバから接続解除された

          メッセージ: このデバイスは、 syslog サーバ %Server_Hostname% から切断されました

          説明:CXデバイスは、 syslog サーバにイベントを送信するように設定されており、サーバへの接続が異常終了しました。

          推奨処置: 一時的に驚くべきかも知れません通信の問題を評価します。 問題が続く場合は、デバイスおよび syslog サーバの両方が正しく設定されていること、およびの両方が動作していることを確認します。

          Discover Restart

          メッセージ:Device discovered by '%Info_String%', Cisco service restarting ...

          説明:指定されたサーバによってデバイスが検出されて、プロセスが再起動され、デバイスが管理対象モードになりました。

          推奨処置:アクションは必要ありません。

          DP DMA Malloc Failed

          メッセージ:Data plane failed to allocate packet block memory

          推奨処置:アクションは必要ありません。

          DP HTTP Inspector Unavailable

          メッセージ:Data plane cannot communicate with HTTP Inspector service.

          推奨処置:HTTP インスペクタをオフにした場合、これは予期された動作です。 それ以外の場合、システムによって自動的に HTTP インスペクタ サービスが回復されます。

          DP Out of Packet Blocks

          メッセージ:Data plane is unable to allocate packet block of size: %Block_Size%

          推奨処置:アクションは必要ありません。

          DP TLS Proxy Unavailable

          メッセージ:Data plane cannot communicate with TLS Proxy service.

          推奨処置:アクションは必要ありません。 システムは、復号化ポリシーによって使用される TLS プロキシとの通信を自動的に復元します。

          Event Backlogging Started

          メッセージ:This device has started saving events to its local disk

          推奨処置:アクションは必要ありません。 CX システムは、PRSM サーバへの接続を失ったので、接続が再確立されるまで、一時的にローカル ディスクにイベントを保存しています。

          Event Backlogging Stopped

          メッセージ:This device has stopped saving events to its local disk.

          推奨処置:アクションは必要ありません。 PRSM サーバへの接続を再確立すると、CX システムはイベントの送信を再開し、ローカル ディスクへの保存を停止しました。

          Event Receiver Connected

          メッセージ:This device has successfully connected to the event receiver on host %PRSM_Hostname%.

          推奨処置:アクションは必要ありません。 CX システムは PRSM サーバへの接続を再確立し、サーバへのイベントの送信を再開できるようになりました。

          Event Receiver Disconnected

          メッセージ:This device has disconnected from the event receiver on host %PRSM_Hostname%.

          推奨処置:CX システムは、PRSM サーバへの接続が確立されなくなったため、イベントを送信できません。 通信の問題を調査します。 サーバ自体に問題がある可能性があり、再起動または他のアクションが必要な場合があります。 または、ルーティングの問題または WAN 接続の一時的な損失などのデバイスとサーバ間のネットワークに関係している可能性があります。

          External Device Configuration Error

          メッセージ:%LDAP_Directory_URL% unable to return complete query results: %LDAP_message.

          推奨処置:LDAP サーバが RFC 2696(http://www.ietf.org/rfc/rfc2696.txt)で定義されているページングの結果をサポートしていない場合に、このメッセージが表示される場合があります。 メッセージは、「Size limit exceeded」または「Admin limit exceeded」になります。このメッセージが表示された場合、検索結果はディレクトリ サーバによって許容される最大値(これは、PRSM でなくサーバ上で設定されます)を超えたため、PRSM は部分的な結果を使用していることを意味します。

          これらのエラーを解決するには、ディレクトリ レルムにアクセスするように設定されたユーザ名が、ディレクトリ独自の設定におけるページングに制限されない(または制限が十分大きい)ことを確認します。 使用しているディレクトリがページングをサポートしていない場合は、ページングをサポートするディレクトリにアップグレードする必要があります。

          Inspector Switch Failed

          メッセージ:Failed to switch to new update. Update version %App_Version%.

          説明:システム インスペクタは、新しいシグニチャ更新に切替えられませんでした。

          推奨処置:アクションは必要ありません。 システムによって、最新の適切な更新まで自動的に戻されます。

          PDTS Cons Stats Ntfy Too Big

          メッセージ:The notify message length for ring %Pdts_Ring_Name% exceeded maximum.

          推奨処置:アクションは必要ありません。

          PDTS Prod Stats Hiwater Limit

          メッセージ:PDTS producer for ring %Pdts_Ring_Name% has reached the hiwater limit.

          推奨処置:アクションは必要ありません。

          PDTS Prod Stats Ring Full

          メッセージ:PDTS descriptor ring is full for ring %Pdts_Ring_Name%.

          推奨処置:アクションは必要ありません。

          PDTS Prod Stats Ring High Thresh Exceeded

          メッセージ:PDTS producer for ring %Pdts_Ring_Name% has exceeded high threshold.

          推奨処置:アクションは必要ありません。

          PDTS Prod Stats Seg Alloc Fail

          メッセージ:Failed to allocate producer segment for ring %Pdts_Ring_Name%.

          推奨処置:アクションは必要ありません。

          Policy Complete

          メッセージ:Policy version %Policy_Version% has now been successfully installed.

          推奨処置:アクションは必要ありません。

          Policy Incomplete

          メッセージ:Failed to apply policy version %Policy_Version%. Reason: %Info_String%.

          説明:システムは指定されたポリシー バージョンを適用できませんでした。

          推奨処置:理由を評価して、アクションが必要であるか、または可能であるかを判別します。

          Policies Within Limits

          メッセージ:Policy configuration is within defined limits. Configuration version is %Smx_Config_Version% and policy version is %Policy_Version%.

          説明:システムは制限内に戻っています。 「Policy Limit Reached」メッセージで識別された問題を解決した後に、このメッセージを探す必要があります。 可能な制限は、CX デバイスのホスト デバイスによって異なります。 バージョン番号は、ローカル デバイスのバージョンと比較される PRSM 設定バージョンを示しています。

          推奨処置:アクションは必要ありません。

          Policy Limit Reached

          メッセージ:Failed to dispatch policy update as %Limit_Name% limit is reached. %Info_String%. Configuration version is %PRSM_Config_Version% and policy version is %Policy_Version%.

          説明: システムはポリシー変更を適用できませんでした。 たとえば、「ポリシーの合計数(4)が制限(2)を超えています」のように、情報文字列は理由を説明しています。可能な制限は、CX デバイスのホスト デバイスによって異なります。 バージョン番号は、ローカル デバイスのバージョンと比較される PRSM 設定バージョンを示しています。

          推奨処置:理由を評価して、アクションが必要であるか、または可能であるかを判別します。 デバイスの制限内にセキュリティ ポリシーを実装できるように、ポリシーを再設計します。

          Process Exited

          メッセージ:Module %Process_Name% exited unexpectedly.

          説明:いくつかの予期しない理由で、指定されたプロセスは失敗しました。

          推奨処置:システムによって、プロセスは自動的に回復されます。 問題が解決されないときは、システム CLI にログインしてプロセスを停止してから、プロセスを再起動することが必要な場合があります。 最終的に、システムのリブートも必要になる場合があります。

          Process Heartbeat Timeout

          メッセージ:Heartbeat timed out for module %Process_Name%, action %Info_String% taken.

          説明:プロセスの正常性を示すハートビートが、指定されたプロセスに対して目的の時間間隔で返されませんでした。 行われたアクションが示されます。

          推奨処置:アクションは必要ありません。

          Process Restart

          メッセージ:Restarting module %Process_Name%.

          説明:システムは指定されたプロセスを再起動しています。

          推奨処置:アクションは必要ありません。

          Process Startup

          メッセージ:Module %Module_Name% is starting up.

          説明:指定されたシステム プロセスの起動中です。

          推奨処置:アクションは必要ありません。

          Protocol Pack Update

          メッセージ: %Component_Display_Name% (%Application_Name%/%Component_Name%)、バージョン %Component_Version% の更新バージョンを更新する %App_Version% の交換。 プロトコル パックのヒント: %Info_String%

          説明: 設定の更新はダウンロードしました。 メッセージは技術アプリケーション名などのコンポーネント名と、コンポーネント、更新バージョンやその他の情報を表示します。

          推奨処置:アクションは必要ありません。

          Protocol Pack Update Failed

          メッセージ: プロトコル パックの更新には、更新 %Component_Display_Name% (%Application_Name%/%Component_Name%)の場合は、バージョン %Component_Version% の更新バージョン %App_Version% 失敗しました。 プロトコル パックのヒント: %Info_String%

          説明: 設定の更新が失敗しました。 メッセージは技術アプリケーション名などのコンポーネント名と、コンポーネント、更新バージョンやその他の情報を表示します。

          推奨処置:アクションは必要ありません。 システムによって、最新の適切なプロトコル パックまで自動的に戻されます。 更新の失敗が続く場合は、Cisco テクニカル サポート センターに連絡してください。

          リストアされたリモート デバイス

          メッセージ:%Info_String%。

          説明: 通信は、過去に使用不可になった状況のディレクトリエージェント (CDA) に復元されました。 一般的なメッセージは「CDA 192.168.8.13 が用意されています。」

          推奨処置:アクションは必要ありません。

          変更されたリモート デバイスの状態

          メッセージ:%Info_String%。

          説明: デバイスの AD エージェント ポリシーの 2 個のコンテキストのディレクトリエージェント (CDA) を設定した場合、これらのメッセージはプライマリが利用できなくなった場合にデバイスのプライマリおよびセカンダリ ステータスの変更を反映します。 一般的な情報文字列は「スタンバイに移行される CDA 192.168.8.13 状態。」 2 メッセージ、 1 スタンバイになった、アクティブになった CDA を示す 1 を必要があります CDA を示す表示。

          推奨処置: アラート メッセージはハイ アベイラビリティ設定が CDA の維持で有効な Contact に成功したことを示す必要があります。 ただし、使用できない CDA が正常であることを保障するために検査する必要があります。

          使用できないリモート デバイス

          メッセージ:%Info_String%。

          説明: デバイスが、示された状況のディレクトリエージェント (CDA) と通信できません。 一般的な情報文字列は「CDA 192.168.8.13 は使用できません。」

          推奨処置: これは一時的な問題である場合があります。 リモート デバイスがリストアするメッセージを検索します。 問題が続く場合は、デバイスと CDA の間の CAD およびネットワーク パスを確認します。 セカンダリ CAD を設定する場合、デバイスはセカンダリを使用し始めます; リモート デバイス State Changed メッセージを探します。

          Service Restored

          メッセージ:Communication with %Service_Name% service restored.

          説明:システムによって指定されたサービスとの通信が復元されました。

          推奨処置:アクションは必要ありません。

          Service Unavailable

          メッセージ:Cannot communicate with %Service_Name% service.

          説明:システムは指定されたサービスと通信できません。

          推奨処置:アクションは必要ありません。 システムによってサービスは自動的に復元されます。

          Syslog エクスポート統計情報

          メッセージ: このデバイスは %Server_Hostname% に %Syslog_Server_Export_Count% イベントおよび %Syslog_Server_Statistics_LastLoggedTime% 以降にドロップされた %Syslog_Server_Drop_Count% イベントをエクスポートしました

          説明: このメッセージは、定期的にいくつのイベントCXをデバイスが指定された時間以降、選択した syslog サーバに送信し、マーカーがドロップされたか統計情報を提供します。

          推奨処置:アクションは必要ありません。

          Syslog サーバの接続障害

          メッセージ: このデバイスは %Server_Hostname% ポート %Server_IP_Port% の syslog サービスとの接続を確立できませんでした。 Reason: %Info_String%.

          説明: このメッセージは、デバイスが syslog サーバへの接続を作成する必要がないことを示します。

          推奨処置: 原因を評価し、問題を修正します。

          Syslog TLS セッション障害

          メッセージ: このデバイスは %Server_Hostname% ポート %Server_IP_Port% syslog サービスを持つ TLS または SSL セッションを確立してありませんでした。 Reason: %Info_String%.

          説明: このメッセージは、デバイスが syslog サーバへの TLS 接続をする必要がないことを示します。

          推奨処置: 原因を評価し、問題を修正します。

          System Halt

          メッセージ:System halt initiated for Product %Product_Name% Release %Release_Name% Version %Release_Version%.

          説明:システムは意図的に停止されます。

          推奨処置:アクションは必要ありません。

          System Shutdown

          メッセージ:System shutdown initiated for Product %Product_Name% Release %Release_Name% Version %Release_Version%.

          説明:システムは意図的にシャットダウンされます。

          推奨処置:アクションは必要ありません。

          System Startup

          メッセージ:System startup initiated for Product %Product_Name% Release %Release_Name% Version %Release_Version%.

          説明:システムの起動中です。

          推奨処置:アクションは必要ありません。

          TP Generic Error

          メッセージ:The intrusion protection module has encountered an error: %Info_String%.

          説明:指定された論理的なエラーまたはリソース エラーが Next Generation IPS モジュールで発生しました。 エラーの原因には、破損したシグニチャまたはコンフィギュレーション ファイル、または無効なシグニチャの正規表現が含まれます。

          推奨処置:これらのエラーは、シグニチャまたはエンジンの更新の問題を示している場合があります。 これらのエラーは設定に関連しているのではなく、また自分で問題を解決することもできません。 新しい更新が使用可能になるまで問題がシステムの有効性に影響を及ぼす可能性があります。 このエラーが表示された場合は、詳細については、Cisco Technical Assistance Center(TAC)にお問い合わせください。

          Unmanage Restart

          メッセージ:Revert to unmanaged mode. Cisco service restarting ...

          説明:この管理対象デバイスは非管理モードに戻され、サービスは変更の処理を再開しています。

          推奨処置:アクションは必要ありません。

          Updater Apply Commit Failed

          メッセージ: コミット更新は %Component_Display_Name% (%Application_Name%/%Component_Name%)の場合は、バージョン %Component_Version% の更新バージョン %App_Version% 失敗しました。

          説明:システムによって新規更新の保存が試行されました。これは、前のバージョンのコンポーネントの代わりに新規更新を使用するように切り替えるプロセスです。

          推奨処置:アクションは必要ありません。 保存の失敗によってデータが破損する可能性がありますが、システムによって最新の適切なバージョンに自動的に戻されます。

          Updater Apply Prepare Failed

          メッセージ: 更新を準備して %Component_Display_Name% (%Application_Name%/%Component_Name%)の場合は、バージョン %Component_Version% の更新バージョン %App_Version% 失敗しました。

          説明:システムは、更新を使用準備できませんでした。 準備には更新を正しい場所に移動して、データ検証チェックを実行することが含まれています。 この失敗によって、アクティブ データの破損は生じません。

          推奨処置:アクションは必要ありません。 クールダウン期間後に、システムによって更新の適切なバージョンのダウンロードが試行されます。

          Updater Clean Failed

          メッセージ:Cleanup after update failed for Update Version %App_Version%

          説明:アップデータが、新規更新の適用後に古い更新をディスクから削除できませんでした。

          推奨処置:アクションは必要ありません。 これは、システムに影響を及ぼしません。

          Updater Commit In Progress

          メッセージ: %Component_Display_Name% (%Application_Name%/%Component_Name%)用の更新バージョン %Component_Version% をコミットします。 The update to version %App_Version% might take up to 30 minutes.

          説明:指定されたアプリケーションおよびコンポーネットのバージョンの更新のコミットが進行中です。 更新は最大で 30 分かかることが通知されています。

          推奨処置:アクションは必要ありません。

          Updater Connection Failed

          メッセージ:Failed to connect to the updater server: %Update_Url%

          説明:システムは更新サーバに接続できませんでした。 通常、これはシステムと Cisco 更新サーバの間にネットワーク接続の問題があることを意味しています。 メッセージ内に、サーバの URL が示されます。

          推奨処置:ネットワーク問題を評価します。 システムは更新サーバへの HTTP 接続を開始できる必要があります。
          • [Configurations] > [Updates] ページで HTTP プロキシ サーバを設定した場合、設定が正しく、必要なサービスがプロキシで正しく実行していることを確認します。

          • プロキシを使用していない場合、管理インターフェイスには、HTTP トラフィックを許可するインターネットへの接続が必要です。 システム CLI にログインし、ping を使用して更新サーバに接続できることを確認し、traceroute を使用してパスを判別します。 自分が制御しているルータ ホップの通過を、HTTP トラフィックが許可されていることを確認します。

          Updater Context Write Failed

          メッセージ:Failed to write update context to file %File_Path%, Update Version % App_Version%

          説明:システムは、アップデータによって保存された新しいコンテキストをロードできませんでした。 コンテキストは、スキャナによって使用されます。 この失敗は、コンテキストをディスクに書き込めなかったことを示しています。

          推奨処置:アクションは必要ありません。 このエラーは、システムによって自動的に処理されます。

          Updater Download Failed

          メッセージ: %Component_Display_Name% (%Application_Name%/%Component_Name%)のバージョン %Component_Version% をダウンロード中にエラーが発生しました。

          説明:更新サーバからの更新のダウンロード中に、エラーが発生しました。

          推奨処置:アクションは必要ありません。 次回の更新時に、システムでダウンロードが再試行されます。

          Updater Import SAS Failed

          メッセージ:Failed to import SAS.

          説明:不正な Security Application Scanner(SAS)エンジンがダウンロードされ、適用されました。

          推奨処置:アクションは必要ありません。 システムによって、最新の適切なエンジンまで自動的に戻されます。

          Updater License Invalid

          メッセージ:No valid license for security services. Updates are disabled.

          説明:すべてのサブスクリプション ライセンスが期限切れになっています。 シグネチャまたはカテゴリの更新は行われません。

          推奨処置:これらの機能を使用するには、新規ライセンスを購入して適用します。

          Updater License Valid

          メッセージ:Valid license detected. Updates are enabled.

          説明:サブスクリプション ライセンスの少なくとも 1 つが期限切れになっていません。 そのため、シグネチャとカテゴリの更新を取得できます。

          推奨処置:アクションは必要ありません。

          Updater Register Failed

          メッセージ: 管理サーバとのアップデートを登録して %Component_Display_Name% (%Application_Name%/%Component_Name%)の場合は、バージョン %Component_Version% の更新バージョン %App_Version% 失敗しました。

          説明:アップデータは管理プレーンに更新パッケージを渡せませんでした。

          推奨処置:アクションは必要ありません。 システムは後で新規更新のダウンロードを試行します。

          Updater Scanner Connected

          メッセージ:Scanner has connected to the Update Agent.

          説明:スキャナがアップデータに接続されました。これは、新規更新を入手してスキャナを切り替え可能なことを示す通知の受信に必要です。

          推奨処置:アクションは必要ありません。

          Updater Scanner Disconnected

          メッセージ:Scanner has been disconnected from the Update Agent. Attempting to reconnect.

          説明:スキャナがアップデータから切断されました。

          推奨処置:アクションは必要ありません。

          Updater Switch Failed

          メッセージ: 新しい更新に切替えて %Component_Display_Name% (%Application_Name%/%Component_Name%)の場合は、バージョン %Component_Version% の更新バージョン %App_Version% 失敗しました。

          説明:アップデータは、新規更新を保存した後、それをメモリにロードできませんでした。

          推奨処置:アクションは必要ありません。 システムによって、最新の適切なバージョンまで自動的に戻されます。

          Updater Switch Response Failed

          メッセージ: あるスキャナが %Component_Display_Name% (%Application_Name%/%Component_Name%)は、バージョン %Component_Version% の更新バージョン %App_Version% 切替えませんでした。

          説明:1 つ以上のスキャナが新規更新をロードできませんでした。

          推奨処置:アクションは必要ありません。 システムによって、最新の適切なバージョンまで自動的に戻されます。

          Updater Switch Response Success

          メッセージ:All scanners switched to new Update Version %App_Version%

          説明:すべてのスキャナが新規更新をメモリに正常にロードしました。

          推奨処置:アクションは必要ありません。

          Updater Update Applied

          メッセージ: %Component_Display_Name% (%Application_Name%/%Component_Name%)向けアプリケーション・更新、バージョン %Component_Version%。 Update version is now %App_Version%

          説明:以前にダウンロードした更新がシステムに正常に適用されましたが、まだ有効になっていません。

          推奨処置:アクションは必要ありません。

          Updater Update Change Window

          メッセージ:Update Settings changed: Updates Enabled? %Update_Enabled%; Update Window Start time: %Start_Time_Offset%; Update Window End time: %End_Time_OFfset%.

          説明:更新ウィンドウの設定が指定どおりに変更されました。 変更によって、更新が無効になったり、更新に合わせて特定の日次ウィンドウが設定されたり、すべての日の更新が許可されます。

          推奨処置:アクションは必要ありません。

          Updater Update Downloaded

          メッセージ: %Component_Display_Name% (%Application_Name%/%Component_Name%)にダウンロードされたバージョン %Component_Version%。

          説明:識別されたシグネチャの更新がダウンロードされましたが、まだ適用されていません。

          推奨処置:アクションは必要ありません。

          Updater Update Switch

          メッセージ: %Component_Display_Name% (%Application_Name%/%Component_Name%)、バージョン %Component_Version% の更新バージョンを更新する %App_Version% の交換

          説明:システムは、このシグネチャの更新を使用するように切り替えられました。 この更新は有効になり、メモリにロードされます。

          推奨処置:アクションは必要ありません。

          User Action

          メッセージ:User %AAA_User% %User_Action%.

          説明:このユーザは指定されたアクションを実行しました。

          推奨処置:アクションは必要ありません。

          User DB Retrieval Failure

          メッセージ:Failed while trying to authenticate user due to: %Info_String%

          説明:ユーザはログインを試みましたが、示された理由により、システムは資格情報を検証できませんでした。

          推奨処置:アクションは必要ありません。

          User Login Failure

          メッセージ:%Info_String% user %AAA_User% failed to log in.

          説明:示されているユーザが Web インターフェイスにログインできませんでした。 メッセージによって、ユーザがシステムにローカルで定義されているか、ユーザがディレクトリ サーバに定義されているリモート ユーザであるかが示されます。

          推奨処置:問題が解決されない場合、システムにログインするためのユーザ名/パスワードの要件をユーザにわかりやすく説明します。

          User Login Success

          メッセージ:%Info_String% user %AAA_User% successfully logged in.

          説明:示されているユーザが Web インターフェイスにログインしました。 メッセージによって、ユーザがシステムにローカルで定義されているか、ユーザがディレクトリ サーバに定義されているリモート ユーザであるかが示されます。

          推奨処置:アクションは必要ありません。

          イベント カラム

          イベント テーブルには、次の表に示されているカラムを含めることができます。 すべてのイベント ビューまたはすべてのイベント タイプに対して、すべてのカラムを使用できるわけではありません。 デバイス タイプの列は、そのカラムにイベントの情報が含まれている可能性があるデバイスのタイプを示します。

          カラム

          デバイス タイプ

          説明

          AAA Group

          ASA

          AAA グループ ポリシー。

          AAA Server

          ASA

          ユーザのアクセス要求を処理し、認証、許可、アカウンティングを実行する AAA サーバ。

          AAA Type

          ASA

          AAA タイプ。authentication、authorization、または accounting。

          ACE Hash 1

          ACE Hash 2

          ASA

          アクセス コントロール リスト エントリ(ACE)のハッシュコード 1 とハッシュコード 2。

          ACL Name

          ASA

          アクセス コントロール リスト(ACL)の名前または ID。

          Action

          ASA

          CX

          (ASA)フローに対して実行されるアクション。 たとえば、終了や拒否。

          CX)IPS イベントに対して実行されるアクション。 値はイベント タイプに基づいています。
          • 情報:[Flow Tear Down]、[Flow Create Tear Down]、[HTTP Complete]、[TLS Complete]。

          • 拒否:[Flow Deny]、[HTTP Deny]。

          • 中断:[HTTP Aborted]。

          Application

          CX

          トラフィック フローで使用されているアプリケーションの名前(使用可能な場合)。

          Application Tag

          CX

          トラフィック フローがアプリケーションと一致する場合に、アプリケーションが属するアプリケーション タイプ。 アプリケーションが複数のタグにマッピングされる場合、一つのタグは「クラウド」タグの表示へのプリファレンスと表示されます。

          Application Type

          CX

          トラフィック フローがアプリケーションと一致する場合に、アプリケーションが属するアプリケーション タイプ。

          Attacker

          CX

          Next Generation IPS サービスで識別される、攻撃を開始したユーザ。

          Attacker IP

          CX

          Next Generation IPS サービスで識別される、攻撃を開始したユーザのアドレス。

          Auth Policy Name

          CX

          トラフィック フローに適用されるアイデンティティ ポリシーの名前(存在する場合)。

          Auth Realm Name

          CX

          フローに適用されるアイデンティティ ポリシーで使用されるディレクトリ レルムの名前。

          Auth Retry Count

          CX

          アクティブ認証中にユーザが正しいユーザ名とパスワードを入力せずに試行した回数。

          Auth Server Name

          CX

          認証中に使用されるディレクトリ サーバの名前。

          Auth Type

          CX

          基本認証(クリア テキスト)、NTLM、または Kerberos など、使用される認証メカニズム。

          AVC App Behavior

          CX

          アプリケーションが識別可能な動作を定義していた場合に、アプリケーションが一致するときの、トラフィック フローで使用されるアプリケーションの特定の動作。

          Backtrace

          CX

          [HTTP Inspection Aborted] イベントで示される、パーサー例外から生成されるバック トレース。

          Botnet Category

          ASA

          ドメイン名がブラックリストに掲載されている理由を示すカテゴリ。たとえば、ボットネット、トロイの木馬、スパイウェアなど。

          Botnet Domain

          ASA

          動的なフィルタ データベースに登録されていて、トラフィックの宛先となったドメイン名または IP アドレス。 ブラック リスト、ホワイト リスト、またはグレー リストに掲載できます。

          Botnet Domain

          ASA

          脅威レベル。なし、非常に低い、低い、中程度、高い、非常に高い。

          Byte Count

          CX

          トラフィック フローで送信されたバイト数。

          Class Map

          ASA

          クラス マップ名。

          Client OS

          CX

          リモート VPN 接続用のクライアントで実行しているオペレーティング システムの名前。

          Component

          CX

          PRSM

          システム イベントでの、イベントが適用されるコンポーネントの名前。

          Config Version

          CX

          このイベントによって照合されるポリシーの設定バージョン。 この番号は、変更履歴ページに表示されたバージョン番号と直接関連しています。

          Connection Duration

          ASA

          接続のライフタイム。

          Connection ID

          CX

          ASA

          トラフィック フローまたは接続の ID。

          Connection Limit

          ASA

          接続またはセッションの最大数。

          Connection Termination Value

          ASA

          接続終了の要因。バージョンが正しくない、ペイロード タイプが無効であるなど。

          Context Name

          CX

          ASA

          マルチ コンテキスト モードで設定されている ASA のセキュリティ コンテキストの名前。

          Current Connection Count

          ASA

          現在の接続の数。

          Decryption Policy Name

          CX

          このフローと一致した復号化ポリシーの名前(該当する場合)。

          Deny Reason

          CX

          [Flow Deny] または [HTTP Deny] イベントに関して、「Flow is denied by access policy.」などの、フローが拒否された理由。

          Description

          CX

          ASA

          イベントのメッセージ。

          Destination

          CX

          ASA

          トラフィック フローの宛先の IP アドレスまたはホスト名。

          Destination Host

          CX

          ASA

          宛先の完全修飾ドメイン名(FQDN)(既知の場合)。

          Destination Interface

          ASA

          宛先インターフェイス。

          Etherchannel アラート(426001 ~ 426003)の場合は、このイベントが発生した Etherchannel インターフェイスの名前。 [Source Interface] カラムにメンバ インターフェイスが識別されます。

          Destination IP

          CX

          ASA

          トラフィック フローの宛先の IP アドレス。

          Destination Port

          CX

          ASA

          TCP/UDP トラフィック フローの宛先のポート番号。

          Destination Service

          CX

          ASA

          フローの宛先サービス。tcp/port、udp/port、icmp/message のいずれか。 たとえば、tcp/80 または icmp/echo。

          Device

          CX

          ASA

          PRSM

          PRSM マルチ デバイス モードのみ)。受信したイベントの送信元デバイス。 イベントが PRSM サーバと関連している場合(アップデータ イベントなど)、PRSM はデバイスとして示されます。

          ハイ アベイラビリティ用に設定されたデバイスの場合、ペアの論理名が示されます。

          Direction

          ASA

          トラフィックの方向。inbound または outbound です。

          Dropped Event Count

          CX

          PRSM

          (ドロップされたイベント メッセージ)。多くの場合、デバイスが処理できる速度をイベントの速度が超えたためにドロップされたイベント メッセージの数。

          Dropped Event Type

          CX

          (ドロップされたイベント メッセージ)。ドロップされたイベントのタイプの名前。

          Egress Interface

          CX

          トラフィックがデバイスから送信されたインターフェイス。

          Error Details

          CX

          復号化処理の間に OpenSSL エラーが発生した場合の、そのエラーの詳細情報。 これらのメッセージは、 OpenSSL ライブラリから直接あります。

          たとえば、ASA CX にサイトの証明書が含まれておらず、それを ページに追加しなかった場合、[Flow Deny] イベントで次のような復号化エラーが表示されます。

          error: 14090086: SSL routines: SSL3_GET_SERVER_CERTIFICATE: certificate verify failed: Server Certificate Common Name: servername

          自己署名証明書のエラーを解決するには、証明書を [Certificates] ページにアップロードします。 認証局から発行された証明書の場合は、証明書の階層を調べ、ルート証明書または中間証明書をダウンロードして [Certificates] ページに追加し、CA からの証明書を使用する他のサイトが信頼されるようにする必要があるかどうかを判別します。

          Event ID

          ASA

          内部で各イベントに割り当てられる一意の連続番号。

          Event Name

          ASA

          イベントに付けられたユーザにわかりやすい名前。

          Event Type

          CX

          ASA

          イベントの名前。

          Event Type ID

          ASA

          ASA デバイスでは、syslog メッセージ番号。

          CX デバイスにはイベント タイプ ID も示されますが、この番号には意味がありません。

          Hit Count

          ASA

          設定された時間間隔で ACL エントリによってフローが許可または拒否された回数。 ASA が特定のフローに対して最初の syslog メッセージを生成すると、値が 1 となります。

          Hit Count Info

          ASA

          ACL ヒット カウント情報。たとえば、First hit。

          ICMP Code

          ASA

          ICMP タイプのコード。 たとえば、ICMP タイプ 3 およびコード 0 はネット到達不能であり、コード 1 はホスト到達不能です。

          ICMP Type

          ASA

          ICMP メッセージのタイプ。 たとえば、宛先到達不能の場合は 3、エコーの場合は 8 です。

          Identity Source

          CX

          ユーザ ID を取得した送信元。たとえば、プロキシ(アクティブ認証で使用される認証プロキシ)、CDA または AD エージェント(パッシブ認証)、VPN(リモート アクセス VPN 接続から ASA)など。

          Identity Type

          CX

          ID のタイプ。ユーザ ID が取得された方法(アクティブ、パッシブ、なし、不明、またはゲスト)を意味します。

          Ingress Interface

          CX

          トラフィックがデバイスに入力したインターフェイス。

          HTTP ヘッダーの挿入

          CX

          学校または所属 ID を追加するように学校向け YouTube をイネーブルにする HTTP 要求メッセージのヘッダーを(たとえば、注入して注入されたヘッダーの内容。

          K9 License Missing

          CX

          3DES/AES(K9)ライセンスがインストールされているかどうか、yes または no。 このライセンスは、強力な暗号化を必要とするサーバでトラフィックを復号化するために必要です。 このカラムが Yes で、セキュアなセッションを確立できなかったことを示す [Flow Deny] イベントは、宛先で復号化するためにこのライセンスが必要なことを意味します。 ライセンスは無料ですが、輸出規制の対象です。これをインストールできない場合は、この宛先の復号化をバイパスします。

          License Limit

          ASA

          ライセンスの最大数。

          List Name

          ASA

          ドメイン名が記載されているリスト、管理者ホワイトリスト、ブラックリスト、または IronPort リスト。

          Malicious Host

          ASA

          悪意のあるホストのホスト名。

          Malicious IP

          ASA

          悪意のあるデバイスの IP アドレス。

          Max Connection

          ASA

          NAT 接続の最大数。

          MaxEmbryonic Connection

          ASA

          初期接続の最大数。

          NAT Destination

          ASA

          変換された(NAT されたとも呼ばれる)宛先 IP アドレス。

          NAT Destination Service

          ASA

          変換された(または NAT された)宛先ポート。

          NAT Destination Host

          ASA

          変換された宛先のホスト名。

          NAT Global IP

          ASA

          グローバル アドレス。 IPv4 または IPv6 アドレスを含められます。

          NAT Source

          ASA

          変換された(または NAT された)送信元 IP アドレス。 IPv4 または IPv6 アドレスを含められます。

          NAT Source Service

          ASA

          変換された(または NAT された)送信元ポート。

          NAT Type

          ASA

          ネットワーク アドレス変換のタイプ。たとえば、Static や Dynamic。

          Policy Name

          CX

          このトラフィック フローと一致したアクセス ポリシーの名前。

          Policy Map

          ASA

          ポリシー マップ名。

          Protocol

          CX

          ASA

          tcp、udp、icmp などのような、トラフィック フローのプロトコル。

          Protocol Version

          ASA

          プロトコル バージョン。

          Protocol (Non L3)

          ASA

          イベントに示された Level-3 または Level-4 以外のプロトコル。たとえば、TACACS、RADIUS、FTP、または H245。

          Rate Limited

          CX

          レート制限がトランザクションに適用されたかどうか。

          Reason

          ASA

          特定のイベントに関連付けられた理由。 たとえば、接続のティアダウンが関連付けの理由の場合があります。

          Receive Time

          CX

          ASA

          イベントが受信された日時。

          Reputation Score

          CX

          宛先 Web サイトの Web レピュテーション スコアの数値。

          Reputation Threat Detail

          CX

          脅威のタイプの詳細な説明。

          Reputation Threat Type

          CX

          スコアを下げる原因となった脅威のタイプの簡単な説明。特に脅威がない場合は空白。

          Request MIME File Type

          CX

          送信元からのトラフィック フロー要求に含まれているファイルに関連付けられたメディア、または MINE のタイプ。 イベントの詳細では、要求コンテンツ タイプと呼ばれます。

          Response MIME File Type

          CX

          宛先からのトラフィック フローの応答に含まれているファイルに関連付けられたメディア、または MIME のタイプ。 イベントの詳細では、これは応答コンテンツ タイプと呼ばれます。

          Safe Search

          CX

          検索結果から不適切なコンテンツを削除するセーフサーチを適用するために、デバイスが検索 URL を書き換える場合は [Yes]。

          Server Certificate Issuer

          CX

          TLS/SSL トラフィックの宛先サーバ証明書の発行元を示す識別子。 たとえば、次のようになります。/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)09/CN=VeriSign Class 3 Secure Server CA - G2

          Server Certificate Name

          CX

          宛先サーバのホスト名など、TLS/SSL トラフィックに使用されている証明書の共通名。

          Severity

          CX

          ASA

          Informational または Error など、メッセージの重大度。

          Source

          CX

          ASA

          トラフィック フローの送信元、ユーザ名、または IP アドレス。 ユーザ名は、アイデンティティ ポリシーを設定し、IP アドレスのユーザ名マッピングがある場合だけ表示されます。

          Source Host

          ASA

          送信元 IP アドレスのホスト名。

          Source Interface

          ASA

          送信元インターフェイス。

          Etherchannel アラート(426001 ~ 426003)の場合は、このイベントが発生した Etherchannel バンドルの一部であるインターフェイスの名前。 [Destination Interface] カラムに Etherchannel インターフェイスが識別されます。

          Source IP

          CX

          ASA

          トラフィック フローの送信元の IP アドレス。

          Source Port

          CX

          ASA

          TCP/UDP トラフィック フローの送信元のポート番号。

          SSO Server

          ASA

          シングル サインオン(SSO)サーバ名。

          SSO Server Type

          ASA

          シングル サインオン(SSO)サーバ タイプ。たとえば、SiteMinder。

          Target

          CX

          Next Generation IPS サービスで識別される、攻撃されたもの。

          Target IP

          CX

          Next Generation IPS サービスで識別される、攻撃された IP アドレス。

          Threat

          CX

          識別された脅威(ある場合)。 たとえば、German Federal Trojan です。

          Threat Score

          CX

          脅威が識別された場合の脅威に関連付けられたスコア。 スコアは 0~100 で、100 が最悪です。

          TLS Ambiguous Destination

          CX

          サーバ証明書に存在するどのドメインが、クライアントが意図していた宛先であったのかを TLS プロキシが判別不能かどうかを、true または false で示す。

          TLS Server Cipher Suite

          CX

          TLS/SSL トラフィックで使用される暗号。たとえば、RC4-MD5 SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5。

          TLS Flow Decrypted

          CX

          トラフィック フローが TLS プロキシによって復号化されたかどうかを Yes または No で示す。

          TLS Flow Encrypted

          CX

          トラフィックが TLS/SSL 暗号化されているかどうかを Yes または No で示す。

          TLS Protocol Version

          CX

          TLS/SSL トラフィック フローで使用される TLS のバージョン。たとえば、TLSv1。

          TLS Requested Domain

          CX

          どの DNS ドメインがアクセスされているかを示す、クライアントからサーバへのヒント。 この値は、TLS プロトコルのサーバ名表示の拡張から出力され、TLS クライアントがこの拡張を使用しない場合、このフィールドは空白です。

          Tunnel Type

          ASA

          VPN トンネル タイプ。

          URL

          CX

          HTTP/HTTPS トラフィックの場合の、宛先 Web サイトの URL。

          User Accepted Warning

          CX

          ユーザは警告のエンド ユーザ通知を受け入れ、望ましくないサイトに続行したかどうか。

          この値は、警告アクションを適用するアクセス ポリシーに関連しています。 警告ポリシーに一致する HTTP および復号化された HTTP トラフィックの場合、ユーザが警告され、確認が保留中であることを示す [HTTP Deny] の [Deny Reason] とともに、フローは最初拒否されます。 後続の [HTTP Complete] または [HTTP Abort] は、ユーザがこの警告を受け入れたことを示す場合があります。

          User Realm

          CX

          レルム\ユーザ名の形式の認証レルムとユーザ名の組み合わせ。

          Username

          CX

          ASA

          既知の場合、トラフィック フローの送信元に関連付けられたユーザ名。

          VPN Group

          ASA

          VPN グループ ポリシー。

          VPN IPSec SPI

          ASA

          IPSec セキュリティ パラメータ インデックス。

          VPN User

          ASA

          VPN ユーザ名。

          Web Category

          CX

          宛先 URL を持つトラフィック フローの場合の、その URL が属する Web カテゴリ。