ASA CX および Cisco Prime Security Manager 9.0 ユーザ ガイド
イベントの表示
イベントの表示
発行日;2013/04/11   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

イベントの表示

Event Viewer を使用して、管理しているデバイスからのイベントを監視および検査します。 イベントはビューに整理されます。重要なイベントを見つけるためにビューをフィルタリングまたは検索できます。 必要に応じて、カスタマイズしたビューおよびフィルタを作成できます。または、アプリケーションに含まれる定義済みのビューを使用できます。

Event Viewer の概要

Event Viewer を使用すると、次のようにモニタ対象デバイスから収集されたイベントを表示できます。
  • マルチ デバイス モード:モニタ対象のすべての ASA と、管理対象のすべての ASA CX からイベントが収集されます。 ASA の場合、PRSM サーバを syslog サーバとして定義し、デバイスからのイベントを表示します。 管理対象 ASA CX デバイスは、イベントをサーバに自動的にリダイレクトします。
  • シングル デバイス モード:管理対象外 ASA CX にログインしている場合は、そのデバイスのみから、イベントを表示できます。

ヒント


Event Viewer は、管理対象デバイスの動作のモニタリングやトラブルシューティングに役立ちます。 Event Viewer では、さまざまなイベントの相関付け、コンプライアンス レポート、長期的フォレンジック、またはシスコ デバイスとシスコ製以外の両方のデバイスの統合モニタリングの機能は提供されません。


[Events] > [Events] を選択してイベント ビューアを開きます。

図 1. Event Viewer



1

ビュー追加(+)ボタン。

7

[Add/Change columns] ボタン。

2

ビューのタブ。

8

[View Details] ボタン(マウスを置いた状態)。

3

イベント フィルタ。

9

イベント テーブル。

4

[Save Filter] コマンド。

10

時間範囲(履歴)、[Play/Pause] および更新速度(リアルタイム)。

5

[Clear Filter](X)ボタン。

11

表示タイプ(履歴、リアルタイム)。

6

[Filter] ボタン

Event Viewer のウィンドウには、以下の項目があります。

  • ビューのタブ:各タブは異なるビューを表し、アプリケーションに付属している事前定義されたビューや、ユーザが作成したカスタム ビューなどが含まれます。 事前定義されたビューでは不十分な場合は、カスタム ビューを作成して、最も関心のあるカラムがテーブルに含まれるようにすることができます。 現在表示しているビューの全般的な特性に基づいて新しいビューを作成するには、左側の [+] ボタンをクリックします。 たとえば、アクティブ ビューが [System Events] の場合、新しいビューにはシステム イベントのみが表示されます。 事前定義されたビューを使用しながら、カラムの選択に変更を加えると、新しいビューが自動的に作成されます。 ビューの名前を変更するには、タブ名をクリックして新しい名前を入力し、Enter を押します。 ビューの数がタブ領域に表示可能な数を超えた場合、右端のタブは [More] という表示になり、このタブをクリックして非表示になっていたビューを選択します。 ビューを削除するには、タブの [X] ボタンをクリックします。 事前定義されたビューを削除することはできません。
    事前定義されたビューと、カスタム ビューの作成、編集、または削除方法については、次を参照してください。
  • [Filter]:イベント属性に基づいてフィルタを作成する場合は、このフィールドを使用します。 フィルタを保存すると、ドロップダウン リストの右半分から、簡単に選択できるようになります。
    フィルタ表現を作成するには、次のようにします。
    • フィルタリングの基準にする値を含むセルをクリックします。
    • ドロップダウン リストの左半分からアトミック要素を選択し、値を入力します。 この要素には、基準値との関係を定義する演算子である =(等しい)、>(よりも大)、または <(よりも小)が含まれています。 != と入力すると、等しくない関係を作成できます。
    フィルタ内に複数の要素を含めると、異なるタイプの要素間が AND 関係となり、同じタイプの要素間は OR 関係になります。 たとえば、「Source=10.100.10.10 Source=10.100.10.11 Destination Port=80」は「(Source=10.100.10.10 OR Source=10.100.10.11) AND Destination Port=80」と解釈されます。 イベント フィルタの詳細については、イベントのフィルタリングおよびイベント フィルタ ルールを参照してください。 フィルタ編集ボックスの右側には、次のコントロールがあります。
    • [Filter] ボタン:このボタンをクリックすると、フィルタがテーブルに適用されます。 フィルタ表現を単に作成したり、削除したりしても、イベント テーブルには適用されません。 現在のビューが一時停止されたリアルタイム ビューである場合、そのモードは自動的に [Play] に変更されます。
    • [Save Filter]:このリンクをクリックするとフィルタが保存され、再び作成しなくてももう一度適用できるようになります。 フィルタは、すべてのビューで [Filter] フィールドのドロップダウン リストの右半分に追加されます。 保存したフィルタを後で削除する場合は、ドロップダウン リストの右半分にあるフィルタの横の [X] をクリックします。
    • [X]:[Filter] フィールドの右端にあるこの文字をクリックすると、フィルタ内のすべての要素がクリアされます。 フィルタ内のいくつかの要素の中から 1 つのみを削除する場合は、要素の上にカーソルを合わせて、その要素の [X] をクリックします。
  • [View Type and Time Controls]:イベント テーブルの上には、ラベルが付いていないコントロールが 2 つまたは 3 つあり、これらはテーブルに表示されているイベントの時間範囲を定義します。 2 番目または 3 番目のコントロールの使用目的は、最初のコントロールの選択に基づいて変わります。 左から右の順に次の作業を実行します。
    • [View Type]:過去の一定の期間に発生したイベントを表示するか([View Historic Events])、イベントが発生したら表示するか([Real Time Eventing])を選択できます。
    • [Time Period]:(履歴ビュー)。イベントの時間枠。 大部分のオプションは現在の時刻から過去のある時点まで表示されますが、これらのビューは指定された時間枠に合わせて、新しいビューが表示されるように更新されます。 過去 30 分間、1 時間、4 時間、12 時間、または 24 時間のイベントを表示できます。 時刻はご使用のワークステーションで設定されているタイムゾーンではなく、デバイスで定義されているゾーンに基づいたものになります。 [Custom Date/Time] を選択して、表示する正確な開始日時と終了日時を指定することもできます。 開始日、開始時刻、終了日、および終了時刻用に [Edit] ボックスが表示されます。各ボックスをクリックして、目的の値を選択します。 作業が完了したら、[Apply] をクリックしてテーブルを更新します。
    • [Play/Pause] ボタン:(リアルタイム ビュー)。リアルタイム ビューを使用している場合、追加コントロールがドロップダウン リストのコントロール間に挿入されます。 [Play](矢印)および [Pause](ダブルハッシュ)ボタンを使用して、イベント テーブルの更新を開始および停止します。 分析が必要なイベントを表示している場合は、ビューを一時停止する必要があります。一時停止しなかった場合、新しいイベントがテーブルに追加されると、現在表示されているイベントがすぐに順送りされてしまいます。
    • [Refresh Rate]:(リアルタイム ビュー)。イベント テーブルが更新される速度。 5 秒、10 秒、20 秒、または 60 秒ごとにテーブルを更新できます。
  • [Events Table]:モニタ対象デバイスから受信したイベントがテーブルに表示され、新しいイベントがテーブルの最上部に追加されます。 イベント テーブルでは、次のアクションを実行できます。
    • 表示されるカラムを変更するか、それらの順番を変更するには、右側のテーブルの上にある [Add/Remove Columns] アイコンをクリックします。 [Customize Columns] ウィンドウには 2 つのリストが含まれており、どちらも使用できますが、使用されていないカラムが左側に表示され、選択されているカラムが右側に表示されます。 リスト間でカラムをクリックしてドラッグし、追加または削除することができます。 カラムの順番を変更するには、選択したリスト内でカラムをクリックし、目的の場所までドラッグします。 完了したら、[OK] をクリックします。 事前定義されたビューに何らかの変更を加えると、新規カスタム ビューが作成されます。 目的に合わせて、ビューの名前を変更します。 カスタム ビューに何らかの変更を加えると、ビューがすぐに更新されます。
    • カラム幅を変更するには、カラム ヘッダーの境界をクリックして、目的の幅までドラッグします。
    • イベントの詳細情報を表示するには、イベントの上にカーソルを合わせ、表示される [View Details] ボタンをクリックします。 詳細ウィンドウが開き、イベントに関連するポリシーなど(該当する場合)、イベント情報が表示されます。 適切な権限を持っている場合は、詳細ウィンドウからポリシーを編集できます。 [Close] リンクをクリックしてウィンドウを閉じ、イベント テーブルに戻ります。

イベント ビューの使用方法

Event Viewer でイベントを表示するには、ビューを開きます。 ビュー は、カラムの配置や幅など、カラムのセットを定義します。 ビューによってイベント リストが整理されるため、検索内容をより簡単に見つけられます。

ビューを開くには、ビューのタブをクリックします。 探しているビューが表示されていない場合は、[More] タブをクリックし、非表示になっているビューのリストから目的のビューを選択します。 ([Events] > [Events] を選択してイベント ビューアを開きます。 )。

Event Viewer には、次のような多数の定義済みのビューがあります。

  • [All Events]:シングル デバイス モードでは、デバイスのすべてのイベントが示されます。 マルチ デバイス モードでは、すべてのモニタ対象 ASA と管理対象 ASA CX デバイスからすべてのイベントが示されます。
  • [ASA]:(マルチ デバイス モードのみ)。すべてのモニタ対象 ASA デバイスからのすべてのイベントが示されます。
  • [Authentication]:ASA CX 認証イベントが表示されます。
  • [Context Aware Security]:ASA CX からのすべてのイベントが示されます。
  • [Encrypted Traffic View]:復号化ポリシーと関連する ASA CX の暗号化されたトラフィック イベントが示されます。
  • [System Event Views]:シグネチャの更新など、すべてのシステム イベントが示されます。

事前定義されたビューだけでなく、カスタム ビューを作成できます。

カスタム ビューの設定

独自のカスタム ビューを作成して、イベントを表示すると目的のカラムが簡単に表示されるようにできます。 また、事前定義ビューは編集または削除できませんが、カスタム ビューは編集または削除できます。


ヒント


新規ビューの基本的な特性は、新規ビューを作成したときに表示して参考にしたビューによって定義されます。 たとえば、System Events ビューを表示してそれに基づいてビューを作成すると、新規ビューにはシステム イベントのみが表示されます。 このため、該当するイベント タイプを示すビューを必ず選択してください。


手順
    ステップ 1   [Events] > [Events] を選択してイベント ビューアを開きます。
    ステップ 2   次のいずれかを実行します。
    • 事前定義された既存のビューに基づいて新規ビューを作成するには、事前定義されたビューのタブをクリックします。 たとえば、ASA CX イベントのみが表示されるビューが必要な場合は、事前定義されたコンテキスト対応セキュリティ ビューを選択します。
    • 既存のカスタム(または事前定義された)ビューに基づいて新規ビューを作成するには、そのビューのタブをクリックしてから、ビュー タブの左側にある [+] ボタンをクリックします。 新規タブ名が強調表示された状態で、新規ビューが作成されます。目的のビュー名を入力します。
    • 既存のカスタム ビューを編集するには、そのビューのタブをクリックします。
    (注)     

    カスタム ビューを削除するには、ビューのタブにある [X] ボタンをクリックします。 削除すると、元に戻すことはできません。

    ステップ 3   右側のイベント テーブルの上にある [Add/Remove Columns] アイコン ボタンをクリックし、選択したリストに、ビューに含めるカラムのみが含まれるようになるまで、カラムを選択または選択解除します。

    使用可能な(ただし使用されていない)リストと選択されているリストの間で、カラムをクリックしてドラッグします。 選択されているリスト内でカラムをクリックしてドラッグし、左から右に向かうテーブル内でのカラムの順番を変更することもできます。

    完了したら [OK] をクリックして、カラムの変更を保存します。

    (注)     

    事前定義されたビューを表示しながらカラムの選択を変更すると、新規ビューが作成されます。 タブの名前をクリックし、目的のビュー名を入力します。

    ステップ 4   必要に応じてカラムのセパレータをクリックしてドラッグし、カラムの幅を変更します。

    リアルタイム ビューと履歴ビューの切り替え

    Event Viewer を使用して、イベントが発生したら表示されるようにするか、イベントを詳しく調べるために任意の時間範囲で履歴表示するかを選択できます。 Event Viewer には、現在の日付と、テーブルにイベントを表示する時間範囲が表示されます。

    左端のイベント テーブルの上にある、名前のない [View Type] コントロールを使用して、リアルタイム ビューと履歴ビューを切り替えることができます。 次のオプションがあります。
    • [Real Time Eventing]:イベントが発生するとリアルタイムでそれらを表示します。 5 秒、10 秒、20 秒、または 60 秒の間隔から、新規イベントでテーブルを更新する更新速度を選択します。 [Play](矢印)および [Pause](ダブルハッシュ)ボタンを使用して、イベント テーブルの更新を開始および停止します。 特定のイベントを分析する場合は、ビューを一時停止します。
    • [View Historic Events]:過去の任意の時間範囲でイベントを表示します。 イベントの時間枠を選択します。 大部分のオプションは現在の時刻から過去のある時点まで表示されますが、これらのビューは指定された時間枠に合わせて、新しいビューが表示されるように更新されます。 過去 30 分間、1 時間、4 時間、12 時間、または 24 時間のイベントを表示できます。 時刻はご使用のワークステーションで設定されているタイムゾーンではなく、デバイスで定義されているゾーンに基づいたものになります。 [Custom Date/Time] を選択して、表示する正確な開始日時と終了日時を指定することもできます。 開始日、開始時刻、終了日、および終了時刻用に [Edit] ボックスが表示されます。各ボックスをクリックして、目的の値を選択します。 作業が完了したら、[Apply] をクリックしてテーブルを更新します。

    イベントのフィルタリング

    フィルタを作成して、さまざまなイベント属性に基づいてイベント テーブルに表示されるイベントを制限できます。 フィルタを使用する場合は、次の点に注意してください。
    • フィルタは、指定された時間範囲の枠内に適用されます。 つまり、表示されるイベントは、選択されている時間範囲の履歴表示またはリアルタイム表示内に制限されます。
    • フィルタを保存すると、すべてのビューに使用できるようになります。 フィルタは、半分に分割されている [Filter] ドロップダウン リストに追加されます。 左半分にはアトミック フィルタ要素がリストされ、右半分には保存されたフィルタがリストされます。

    次に、フィルタを作成、適用、保存、および削除する方法を説明します。

    手順
      ステップ 1   [Events] > [Events] を選択してイベント ビューアを開きます。
      ステップ 2   ビュー タブをクリックして、目的のビューを選択します。
      ステップ 3   次のいずれかを行って、[Filter] フィールドでフィルタを選択します。
      • 新規フィルタを作成するには、ドロップダウン リストからアトミック要素を選択してフィルタを手動で入力し、フィルタの値を入力するか、フィルタリングの基準となる値を含むイベント テーブルのセルをクリックしてフィルタを作成します。 同じカラムにある複数のセルをクリックして値の間に OR 条件を作成するか、異なるカラムにあるセルをクリックしてカラムの間に AND 条件を作成することができます。 セルをクリックしてフィルタを作成した場合は、得られたフィルタを編集して、適切に調整することもできます。 フィルタの作成ルールの詳細については、イベント フィルタ ルールを参照してください。
      • 保存されている既存のフィルタを使用するには、ドロップダウンリストの右半分からそれを選択します。
      ステップ 4   次のいずれかを実行します。
      • フィルタを適用してテーブルを更新し、フィルタと一致するイベントのみが表示されるようにするには、[Filter] ボタンをクリックします。
      • 適用したフィルタをすべてクリアして、フィルタリングされていない状態のテーブルに戻るには、[Filter] ボックスの右端にある [X] ボタンをクリックします。
      • フィルタのいずれかのアトミック要素をクリアするには、要素の上にカーソルを置き、要素の [X] をクリックします。 [Filter] ボタンをクリックします。
      • 後で使用できるようにフィルタを保存するには、[Save Filter] リンクをクリックします。 フィルタがドロップダウン リストに追加されます。
      • 保存したフィルタを削除して、ドロップダウン リストから削除するには、ドロップダウン リストでフィルタの右にある [X] アイコン ボタンをクリックします。

      イベント フィルタ ルール

      複雑なフィルタを作成してイベント テーブルを制限し、現在関心のあるイベントのみが表示されるようにできます。 次の手法を単独または組み合わせて使用して、フィルタを作成できます。
      • カラムのクリック:フィルタを作成する最も簡単な方法は、フィルタリングの基準となる値を含むイベント テーブルのセルをクリックすることです。 セルをクリックすると、その値とフィールドの組み合わせに正しく定式化されているルールを使用して、[Filter] フィールドが更新されます。 ただし、この手法を使用するには、イベントの既存のリストに目的の値が含まれている必要があります。 すべてのカラムをフィルタリングすることはできません。 セルのコンテンツをフィルタリングできる場合は、そのセルの上にカーソルを合わせたときに下線が表示されます。
      • アトミック要素の選択:[Filter] フィールドをクリックして、ドロップダウンの左半分から目的のアトミック要素を選択した後、照合値を入力することでフィルタを作成することもできます。 これらの要素には、イベント テーブルのカラムとして使用できないイベント フィールドが含まれます。 また、入力した値と表示するイベントの間の関係を定義する演算子も含まれます。 カラムをクリックすると常に「等しい(=)」フィルタが作成されますが、数値フィールドの場合に要素を選択すると「大きい(>)」または「小さい(<)」も選択できます。

      [Filter] フィールドに要素をどのように追加するかに関係なく、フィールドに入力して、演算子または値を調整できます。

      イベント フィルタの演算子

      イベント フィルタには、次の演算子を使用できます。

      =

      等しい。 イベントは指定した値と一致します。 ワイルドカードを使用することはできません。

      !=

      等しくない。 イベントは指定した値と一致しません。 等しくない表現を作成するには、!(感嘆符)を入力する必要があります。

      >

      大きい。 イベントに、指定した値よりも大きい値が含まれます。 この演算子はポートや IP アドレスなど、数値のみに使用できます。

      <

      小さい。 イベントに、指定した値よりも小さい値が含まれます。 この演算子は、数値のみに使用できます。

      複雑なイベント フィルタのルール
      複数のアトミック要素を含む複雑なフィルタを作成する場合、次のルールに注意してください。
      • 同じタイプの要素には、そのタイプのすべての値の間に OR 関係があります。 たとえば、Source=10.100.10.10 と Source=10.100.10.11 を含めると、送信元としてこれらのいずれかのアドレスを持つイベントが照合されます。
      • 異なるタイプの要素には、AND 関係があります。 たとえば、Source=10.100.10.10 と Destination Port=80 を含めると、この送信元アドレスと宛先ポートのみを持つイベントが照合されます。 10.100.10.10 から異なる宛先ポートへのイベントは表示されません。
      • IPv4 アドレスや IPv6 アドレスなどの数値要素は範囲を指定できます。 たとえば、Destination Port=50-80 を指定して、この範囲内のポートのすべてのトラフィックを取得できます。 ハイフンを使用して、開始と終了の数字を区切ります。 すべての数値フィールドに対して、範囲を使用できるわけではありません。たとえば、[Source] 要素に IP アドレスを範囲で指定することはできません。
      • ワイルドカードまたは正規表現は使用できません。

      個別イベントの使用

      イベント リストには、指定した時間範囲とフィルタ基準に一致するイベントの要約が表示されます。 イベント要約を表示して、個々のイベントで次を行えます。
      • 以下で説明されているように、イベントの上にマウスを置いて [View Details] ボタンをクリックし、イベントの内容をすべて表示できます。
      • イベントのセルをクリックして、フィルタを作成できます。 フィルタ基準として使用されるセルの内容とともに、フィルタ ルールが [Filter] フィールドに追加されます。 複数のセルをクリックすると、複雑なフィルタが作成されます。 [Filter] フィールドの内容を編集して、フィルタを詳細化することもできます。 フィルタをテーブルに適用するには、[Filter] ボタンをクリックする必要があります。 [Save Filter] をクリックしてフィルタを保存すると、後でもう一度適用できます。 イベント フィルタの詳細については、イベントのフィルタリングおよびイベント フィルタ ルールを参照してください。

      ヒント


      データベースからすでに削除されているデバイスまたはポリシーにイベントが関連する場合、そのデバイスまたはポリシーの名前はイベント内に残りますが、デバイスまたはポリシーの名前セルの内容に「Deleted」が追加されます。


      イベント詳細の表示

      より詳細な分析が必要なイベントが見つかった場合、そのイベントの上にマウスを合わせて、表示される [View Details] ボタンをクリックします。 詳細ウィンドウが開いてイベント情報が表示されます。作業が終わったら、[Close] リンクをクリックしてウィンドウを閉じます。

      イベントを開くと、次の情報と機能を使用できます。
      • テーブルに表示されていない情報を含む、イベントに関する完全な詳細情報。 ビューに特定のカラムを含めていない場合でも、イベントに属性のデータが含まれている場合、イベント開くとその情報を表示できます。
      • そのイベントに含まれていたポリシー セットなどのポリシー。 たとえば、アクセス ポリシーと一致したトラフィック フローによってイベントが生成された場合、そのアクセス ポリシーが表示されます。 ポリシーまたはポリシー セットを変更する場合は、対象の上にマウスを合わせて、[Edit Policy] または [Edit Policy Set] をクリックします。
      • イベントに ASA CX の認証情報が含まれている場合、レルム名をクリックすると、ディレクトリ レルム設定に移動できます。

      イベント メッセージ

      Event Viewer で表示される可能性のある基本的なタイプのメッセージを以下に示します。

      さまざまなカラムの詳細については、イベント カラムを参照してください。


      (注)  


      ASA とは異なり、ASA CX/PRSM メッセージのメッセージ番号には本質的に意味がありませんが、[Event Type ID] カラムで番号を表示できます。


      ASA CX トラフィック イベント

      次のイベント メッセージは、ASA CX を通過するトラフィックに関連します。 リストは、イベント名に基づいてアルファベット順にまとめられています。 ASA syslog メッセージとは異なり、ASA CX イベントのメッセージ ID 番号には意味がないため、番号は記載していません。

      Authentication Failure

      メッセージ:User failed authentication attempt.

      説明:ユーザは、アクティブ認証を求めるプロンプトに対して、有効な資格情報を使用して応答できませんでした。 イベントの詳細に、失敗した試行のユーザ名が表示されます。 アクティブ認証を必要とするか、それを許可するアイデンティティ ポリシーとトラフィック フローが一致し、アイデンティティ情報がユーザの IP アドレスにまだ使用できない場合、ユーザは認証するように要求されます。

      推奨処置:このイベントは、ユーザが単にパスワードの入力ミスをした場合など、完全に無害な理由で生じる可能性があります。

      認証失敗によって、ユーザが自分でネットワークにアクセスできなくなることはありません。 正しく認証できなかった場合、ユーザからのトラフィック フローに ID 情報は含まれなくなり、フローはいずれのアクセス ポリシーの ID ベースの基準とも一致しません(つまり、ID オブジェクトは一致しません)。 この認証失敗による影響は、設定したアクセス ポリシー セットによって異なります。 アクセス ポリシーによって ID が不明なユーザへのアクセスが本質的に拒否される場合、認証の失敗によってユーザに深刻な影響が及ぼされる可能性があります。

      また、ユーザはレポート内でユーザ名ではなく、IP アドレスで表されます。

      無害な失敗が多数発生している場合は、アクティブ認証プロンプトへの応答方法についてのわかりやすい説明を提供することを検討してください。 Active Directory を使用している場合、透過的な認証の導入や、AD エージェントのインストールを検討して、煩わしくないパッシブ認証を使用することもできます。

      Authentication Server Down

      メッセージ:Authentication server is down.

      説明:システムは、指定されたディレクトリ レルムで指定されたサーバと通信できません。

      推奨処置:妥当な時間内に認証サーバがアップしたことを知らせるメッセージを受け取れない場合、考えられる次の問題を検討してください。
      • サーバがアップし、正常に稼働していることを確認します。
      • Active Directory サーバの場合、このメッセージはシステムが AD ドメインに参加できない場合に表示されることがあります。 [Device] > [Directory Realm] を選択して、AD への参加状況をテストします。 AD レルムの上にカーソルを置き、[Edit Realm] をクリックしてから、レルム プロパティの [Test Domain Join] リンクをクリックします。 失敗のメッセージを受け取った場合、ドメインと資格情報を訂正して、ドメインへの参加を阻んでいる他の問題をすべて解決する必要があります。
      • ASA CX CLI にログインして、pingtraceroute コマンドを使用し、デバイスからディレクトリへのパスがあることを確認します。
      Authentication Server Up

      メッセージ:Successfully connected to authentication server.

      説明:システムは、認証サーバと通信できます。 サーバとディレクトリ レルムがイベント メッセージに示されます。

      推奨処置:アクションは必要ありません。

      Authentication Success

      メッセージ:User passed authentication.

      説明:アクティブ認証でユーザから正しい資格情報が提供されました。

      推奨処置:アクションは必要ありません。

      Auth Maximum Retries

      メッセージ:This user has reached the maximum number of retries for authentication.

      説明:ユーザは、アクティブ認証で資格情報の提供に失敗した回数が、許可されている回数を超えました。

      推奨処置:これらのイベントが多数発生する場合、認証を再試行できる最大回数を増やすことを検討できます。 また、[Authentication Failure] イベントの推奨処置で、検討すべき他の処置を確認してください。

      Dropped Event

      メッセージ:One or more events were dropped.

      説明:システムの処理速度よりも早く、イベントが到着しています。 このイベントは、ドロップされたイベントの数とタイプを示します。

      推奨処置:PRSM サーバで問題が頻繁に生じ、解決されない場合は、メモリやプロセッサ機能に関してサーバの能力を高めることを検討してください。 それが不可能な場合、2 番目のサーバをインストールして、一部のデバイスを新しいサーバのインベントリに移動することで、管理対象のデバイスを減らすことを検討してください。

      Flow Complete

      メッセージ:A short-lived flow passed policy constraints and was created and terminated normally.

      説明:新しい接続が作成され、ティアダウンされました。 接続は短時間であったため、[Flow Tear Down] イベントの前に [Flow Create] イベントではなく、このメッセージを 1 つ受け取ります。 たとえば、通常、DNS のルックアップは [Flow Complete] イベントで表されます。

      推奨処置:アクションは必要ありません。

      Flow Create

      メッセージ:A flow was initiated through the device.

      説明:新規接続が作成され、そのデバイスを通過する新規トラフィック フローが開始されました。 HTTP の完了または TLS の完了メッセージのいずれかのみを受け取る HTTP または TLS/SSL フローについては、このイベントは取得しません。 [Flow Create] イベントのフローと一致する [Flow Tear Down] イベントまたは [Flow Deny] イベントがある必要があります。

      推奨処置:アクションは必要ありません。

      Flow Deny

      メッセージ:A flow was denied due to policy violation.

      説明:[Deny] アクションを適用するアクセス ポリシーと一致したため、トラフィック フローはドロップされました。 このメッセージは HTTP 以外のトラフィックに適用され、復号化されない HTTPS フローにも適用できます。 HTTP、または復号化されない HTTPS の場合、フローの拒否ではなく、HTTP の拒否メッセージが表示されます。

      推奨処置:そのフローが、デバイスの通過を許可するトラフィックを表している場合は、アクセス ポリシーを検討する必要があります。それ以外の場合、アクションは必要ありません。 イベントの詳細を開いて、トラフィック フローが一致するアクセス ポリシーを確認します。 次の点に留意してください。
      • ポリシー セット内のポリシーの順序変更が必要になることがあります。 フローがこの拒否ポリシーに到達する前に照合されるべき許可ポリシーよりも下に、この一致したポリシーを移動する必要があります。
      • ポリシーのトラフィック一致基準が広すぎる可能性があります。 望ましいフローがポリシーと一致しないように、異なる基準が必要かどうかを評価します。
      Flow Tear Down

      メッセージ:A flow passed policy constraints and completed normally.

      説明:ユーザがトランザクションを完了したなどの理由で、トラフィック フローが正常に終了しました。 メッセージの詳細には、フローの合計バイト数が含まれます。 このメッセージは、HTTP 以外のトラフィックに適用されます。

      推奨処置:アクションは必要ありません。

      HTTP Aborted

      メッセージ:An HTTP transaction aborted due to an exception.

      説明:HTTP 検査の間に予期しないエラーが発生し、その結果 HTTP フローがドロップされました。 このドロップはアクセス ポリシーには関係していません。 通常、これらのメッセージは不正な HTTP パケットか、過度に長い HTTP ヘッダー(たとえば、16kb)を示しています。 考えられる他の原因として、プロトコル違反や、数字にすべきものが数字ではないテキストになっている場合などがあります。

      推奨処置:多数の [HTTP Inspection Aborted] イベントが発生し、それらが妥当なトラフィックに影響を及ぼしている場合は、Cisco テクニカル サポート センターに連絡してください。

      HTTP Complete

      メッセージ:An HTTP transaction passed policy constraints and completed normally.

      説明:HTTP または復号化された HTTPS トラフィック フローがアクセス ポリシーによって許可され、正常に完了しました。

      推奨処置:宛先 Web サイトがブロック対象のものでなければ、アクションは必要ありません。 サイトがブロック対象である場合、イベントの詳細を開いて、どのポリシーがフローと一致したのかを確認します。 次の解決法を検討してください。
      • トラフィックが間違ったポリシーと一致していた場合、ポリシー セット内のポリシーの順番を調べます。 このポリシーを他のポリシーの下に移動するか、別のポリシーをこのポリシーの上に移動することが必要な場合があります。
      • トラフィックが正しいポリシーと一致していた場合、ポリシーを編集して、トラフィックの一致基準を調整できます。
      HTTP Deny

      メッセージ:An HTTP flow was denied due to policy violation.

      説明:HTTP トラフィック フロー、または暗号化された HTTPS トラフィック フローは、[Deny] アクションを適用するアクセス ポリシーと一致したため、ドロップされました。

      推奨処置:そのフローが、デバイスの通過を許可するトラフィックを表している場合は、アクセス ポリシーを検討する必要があります。それ以外の場合、アクションは必要ありません。 イベントの詳細を開いて、トラフィック フローが一致するアクセス ポリシーを確認します。 次の点に留意してください。
      • ポリシー セット内のポリシーの順序変更が必要になることがあります。 フローがこの拒否ポリシーに到達する前に照合されるべき許可ポリシーよりも下に、この一致したポリシーを移動する必要があります。
      • ポリシーのトラフィック一致基準が広すぎる可能性があります。 望ましいフローがポリシーと一致しないように、異なる基準が必要かどうかを評価します。
      Packet Deny

      メッセージ:A packet has been denied.

      説明:パケットは内部セキュリティ チェックに失敗しました。 たとえば、IP チェックサムの失敗、無効な IP または TCP ヘッダー、あるいは最初の TCP パケットが SYN パケットではありませんでした。 これらのセキュリティ チェックを使用して、偽のトラフィックが回避されます。 これらのイベントはアクセス ポリシーに関係していません。

      推奨処置:トラブルシューティングを行おうとしている特定のトラフィック失敗にイベントが関連しない限り、アクションは必要ありません。 必要に応じて、グローバル パケット キャプチャを設定し、ドロップされたこれらのパケットを取得できます。

      Redirect Authentication

      メッセージ:This flow was redirected to be authenticated.

      説明:アクティブ認証が必要または使用可能なアイデンティティ ポリシーとフローが一致し、資格情報の入力をユーザに求める必要があると判断されました。 また、このイベントに関連する [Authentication Failure] または [Authentication Success] イベントも発生します。

      推奨処置:アクティブ認証のプロンプトが必要な原因となった認証ポリシーに、このフローが一致すべきではなかった場合を除き、アクションは必要ありません。

      このフローで認証が必要なかった場合、イベントの詳細を開いて、フローが一致したアイデンティティ ポリシーを確認してください。 ポリシーをポリシー セットの中で上下に移動する必要があるかどうか、またはトラフィックの一致基準を調整する必要があるかどうかを検討します。

      TLS Complete

      メッセージ:A TLS/SSL transaction passed policy constraints and completed normally.

      説明:TLS/SSL トラフィック フローはアクセス ポリシーによって許可され、正常に完了しました。

      推奨処置:宛先がブロック対象であるか、フローに目的の復号化処理(TLS Flow Decrypted プロパティで示されている処理)が行われなかった場合を除き、アクションは必要ありません。 フローに目的の処理が行われなかった場合、イベントの詳細を開いて、どのポリシーがフローと一致したかを確認します。 次の解決法を検討してください。
      • トラフィックが(何らかのタイプの)間違ったポリシーと一致していた場合、関連付けられたポリシー セット内のポリシーの順番を調べます。 このポリシーを他のポリシーの下に移動するか、別のポリシーをこのポリシーの上に移動することが必要な場合があります。
      • トラフィックが正しいポリシーと一致していた場合、ポリシーを編集して、トラフィックの一致基準またはアクションを調整できます。

      ASA CX および PRSM のシステム イベント

      次のイベント メッセージは、ASA CX を通過するトラフィックではなく、ASA CX または PRSM サーバ システムに関するアクティビティに関連しています。 リストは、イベント名に基づいてアルファベット順にまとめられています。 ASA syslog メッセージとは異なり、ASA CX/PRSM イベントのメッセージ ID 番号には意味がないため、番号は記載していません。

      Core Bad File Access

      メッセージ:User '%AAA_User%' not allowed to access resource '%Resource_Name%'.

      説明:指定されたユーザは指定されたリソースへのアクセスを試みましたが、ユーザにはそのアクセスに対する権限がありません。

      推奨処置:イベントを評価して、アクションが必要であるかどうかを判別します。

      Core Low Memory

      メッセージ:System low on memory, %Mem_Size_MB%Mb remaining.

      推奨処置:可能な場合は、システムにメモリを追加します。

      Core System Shutdown

      メッセージ:System shutdown initiated.

      推奨処置:アクションは必要ありません。

      Core System Startup

      メッセージ:System startup initiated.

      推奨処置:アクションは必要ありません。

      Critical Recovery

      メッセージ:Critical process %Process_Name% recovery action %Recovery_Action% initiated.

      説明:指定されたリカバリ アクションの処理が開始されました。

      推奨処置:アクションは必要ありません。

      Database Backup Failure

      メッセージ:Failure to backup database: %Info_String%

      説明:示された理由により、データベースのバックアップに失敗しました。

      推奨処置:失敗の理由を検討して、可能であれば改善処置を行います。 バックアップを再試行します。

      Database Backup Success

      メッセージ:Database backup completed successfully.

      説明:誰かが意図的にデータベースのバックアップを行い、バックアップが正常に作成されました。

      推奨処置:アクションは必要ありません。

      Database Restore Failure

      メッセージ:Failure to restore database: %Info_String%

      説明:示された理由により、データベース バックアップの復元に失敗しました。

      推奨処置:失敗の理由を検討して、可能であれば改善処置を行います。 復元を再試行します。

      Database Restore Success

      メッセージ:Database restore process completed successfully.

      説明:データベースのバックアップが意図的に復元され、復元は成功しました。

      推奨処置:アクションは必要ありません。

      Disabled Process

      メッセージ:Process %Process_Name% disabled due to %Info_String%.

      説明:示された理由により、プロセスはディセーブルになっています。

      推奨処置:理由を評価して、何らかのアクションが必要であるか、または可能であるかを判別します。 システム CLI にログインしてプロセスを停止してから、プロセスを再起動することが必要な場合があります。

      Discover Restart

      メッセージ:Device discovered by '%Info_String%', Cisco service restarting ...

      説明:指定されたサーバによってデバイスが検出されて、プロセスが再起動され、デバイスが管理対象モードになりました。

      推奨処置:アクションは必要ありません。

      DP DMA Malloc Failed

      メッセージ:Data plane failed to allocate packet block memory

      推奨処置:アクションは必要ありません。

      DP HTTP Inspector Unavailable

      メッセージ:Data plane cannot communicate with HTTP Inspector service.

      推奨処置:HTTP インスペクタをオフにした場合、これは予期された動作です。 それ以外の場合、システムによって自動的に HTTP インスペクタ サービスが回復されます。

      DP Out of Packet Blocks

      メッセージ:Data plane is unable to allocate packet block of size: %Block_Size%

      推奨処置:アクションは必要ありません。

      DP TLS Proxy Unavailable

      メッセージ:Data plane cannot communicate with TLS Proxy service.

      推奨処置:アクションは必要ありません。 システムは、復号化ポリシーによって使用される TLS プロキシとの通信を自動的に復元します。

      PDTS Cons Stats Ntfy Too Big

      メッセージ:The notify message length for ring %Pdts_Ring_Name% exceeded maximum.

      推奨処置:アクションは必要ありません。

      PDTS Prod Stats Hiwater Limit

      メッセージ:Pdts producer for ring %Pdts_Ring_Name% has reached the hiwater limit.

      推奨処置:アクションは必要ありません。

      PDTS Prod Stats Ring Full

      メッセージ:Pdts descriptor ring is full for ring %Pdts_Ring_Name%.

      推奨処置:アクションは必要ありません。

      PDTS Prod Stats Ring High Thresh Exceeded

      メッセージ:Pdts producer for ring %Pdts_Ring_Name% has exceeded high threshold.

      推奨処置:アクションは必要ありません。

      PDTS Prod Stats Seg Alloc Fail

      メッセージ:Failed to allocate producer segment for ring %Pdts_Ring_Name%.

      推奨処置:アクションは必要ありません。

      Policy Complete

      メッセージ:Policy version %Policy_Version% has now been successfully installed.

      推奨処置:アクションは必要ありません。

      Policy Incomplete

      メッセージ:Failed to apply policy version %Policy_Version%. Reason: %Info_String%.

      説明:システムは指定されたポリシー バージョンを適用できませんでした。

      推奨処置:理由を評価して、アクションが必要であるか、または可能であるかを判別します。

      Process Exited

      メッセージ:Module %Process_Name% exited unexpectedly.

      説明:いくつかの予期しない理由で、指定されたプロセスは失敗しました。

      推奨処置:システムによって、プロセスは自動的に回復されます。 問題が解決されないときは、システム CLI にログインしてプロセスを停止してから、プロセスを再起動することが必要な場合があります。 最終的に、システムのリブートも必要になる場合があります。

      Process Heartbeat Timeout

      メッセージ:Heartbeat timed out for module %Process_Name%, action %Info_String% taken.

      説明:プロセスの正常性を示すハートビートが、指定されたプロセスに対して目的の時間間隔で返されませんでした。 行われたアクションが示されます。

      推奨処置:アクションは必要ありません。

      Process Restart

      メッセージ:Restarting module %Process_Name%.

      説明:システムは指定されたプロセスを再起動しています。

      推奨処置:アクションは必要ありません。

      Process Startup

      メッセージ:Module %Module_Name% is starting up.

      説明:指定されたシステム プロセスの起動中です。

      推奨処置:アクションは必要ありません。

      Protocol Pack Update

      メッセージ:A new Protocol Pack (Updated at %Protocol_Pack_Updated_Time%) is loaded. Pack info: %Info_String%

      説明:NBAR シグネチャの更新がダウンロードされました。 たとえば次のように、メッセージには更新バージョンや他の情報が示されます。

      A new Protocol Pack (Updated at 1335902004) is loaded. Pack info: Protocol Description Language Module, v2, NBAR software version: 12, NBAR software family: 3, (c) 1999 - 2003, Cisco Systems Inc.

      推奨処置:アクションは必要ありません。

      Protocol Pack Update Failed

      メッセージ:Update of Protocol Pack Failed. Location of Protocol pack is %Protocol_Pack_Path%

      説明:プロトコル パックの更新に失敗しました。 メッセージ内に、パックの場所が示されます。

      推奨処置:アクションは必要ありません。 システムによって、最新の適切なプロトコル パックまで自動的に戻されます。 更新の失敗が続く場合は、Cisco テクニカル サポート センターに連絡してください。

      Service Restored

      メッセージ:Communication with %Service_Name% service restored.

      説明:システムによって指定されたサービスとの通信が復元されました。

      推奨処置:アクションは必要ありません。

      Service Unavailable

      メッセージ:Cannot communicate with %Service_Name% service.

      説明:システムは指定されたサービスと通信できません。

      推奨処置:アクションは必要ありません。 システムによってサービスは自動的に復元されます。

      System Halt

      メッセージ:System halt initiated for Product %Product_Name% Release %Release_Name% Version %Release_Version%.

      説明:システムは意図的に停止されます。

      推奨処置:アクションは必要ありません。

      System Shutdown

      メッセージ:System shutdown initiated for Product %Product_Name% Release %Release_Name% Version %Release_Version%.

      説明:システムは意図的にシャットダウンされます。

      推奨処置:アクションは必要ありません。

      System Startup

      メッセージ:System startup initiated for Product %Product_Name% Release %Release_Name% Version %Release_Version%.

      説明:システムの起動中です。

      推奨処置:アクションは必要ありません。

      Unmanage Restart

      メッセージ:Revert to unmanaged mode. Cisco service restarting ...

      説明:この管理対象デバイスは非管理モードに戻され、サービスは変更の処理を再開しています。

      推奨処置:アクションは必要ありません。

      Updater Apply Commit Failed

      メッセージ:Committing update failed for Update Version %App_Version%. Failed component details: %Bad_Versions%

      説明:システムによって新規更新の保存が試行されました。これは、前のバージョンのコンポーネントの代わりに新規更新を使用するように切り替えるプロセスです。

      推奨処置:アクションは必要ありません。 保存の失敗によってデータが破損する可能性がありますが、システムによって最新の適切なバージョンに自動的に戻されます。

      Updater Apply Prepare Failed

      メッセージPreparing update failed for Update Version %App_Version%. Failed component details: %Bad_Versions%

      説明:システムは、更新を使用準備できませんでした。 準備には更新を正しい場所に移動して、データ検証チェックを実行することが含まれています。 この失敗によって、アクティブ データの破損は生じません。

      推奨処置:アクションは必要ありません。 クールダウン期間後に、システムによって更新の適切なバージョンのダウンロードが試行されます。

      Updater Clean Failed

      メッセージ:Cleanup after update failed for Update Version %App_Version%

      説明:アップデータが、新規更新の適用後に古い更新をディスクから削除できませんでした。

      推奨処置:アクションは必要ありません。 これは、システムに影響を及ぼしません。

      Updater Connection Failed

      メッセージ:Failed to connect to the updater server: %Update_Url%

      説明:システムは更新サーバに接続できませんでした。 通常、これはシステムと Cisco 更新サーバの間にネットワーク接続の問題があることを意味しています。 メッセージ内に、サーバの URL が示されます。

      推奨処置:ネットワーク問題を評価します。 システムは、更新サーバへの HTTP 接続を確立できる必要があります。
      • [Device] > [Updates] ページで HTTP プロキシ サーバを設定した場合、設定が正しく、必要なサービスがプロキシで正しく実行していることを確認します。
      • プロキシを使用していない場合は、HTTP トラフィックを許可するインターネットへの接続が管理インターフェイスにある必要があります。 CLI にログインして、ping を使用し、更新サーバに到達でき、traceroute によってパスが確認されることを確認します。 自分が制御しているルータ ホップの通過を、HTTP トラフィックが許可されていることを確認します。
      Updater Context Write Failed

      メッセージ:Failed to write update context to file %File_Path%, Update Version % App_Version%

      説明:システムは、アップデータによって保存された新しいコンテキストをロードできませんでした。 このコンテキストは、スキャナが使用しています。 この失敗は、コンテキストをディスクに書き込めなかったことを示しています。

      推奨処置:アクションは必要ありません。 このエラーは、システムによって自動的に処理されます。

      Updater Download Failed

      メッセージ:Error downloading version %Component_Version% for %App_Name%/%Component_Name%

      説明:更新サーバからの更新のダウンロード中に、エラーが発生しました。

      推奨処置:アクションは必要ありません。 次回の更新時に、システムでダウンロードが再試行されます。

      Updater Import SAS Failed

      メッセージ:Failed to import SAS.

      説明:不正な Security Application Scanner(SAS)エンジンがダウンロードされ、適用されました。

      推奨処置:アクションは必要ありません。 システムによって、最新の適切なエンジンまで自動的に戻されます。

      Updater License Invalid

      メッセージ:No valid license for security services. Updates are disabled.

      説明:Application Visibility and Control と Web Security Essentials の両方のライセンスの有効期限が切れました。 シグネチャまたはカテゴリの更新は行われません。

      推奨処置:これらの機能を使用するには、新規ライセンスを購入して適用します。

      Updater License Valid

      メッセージ:Valid license detected. Updates are enabled.

      説明:サブスクリプション ライセンスの少なくとも 1 つが期限切れになっていません。 そのため、シグネチャとカテゴリの更新を取得できます。

      推奨処置:アクションは必要ありません。

      Updater Register Failed

      メッセージ:Registering update with Management Server failed for Update Version %App_Version%. Failed component details: %Bad_Versions%

      説明:アップデータは管理プレーンに更新パッケージを渡せませんでした。

      推奨処置:アクションは必要ありません。 システムは後で新規更新のダウンロードを試行します。

      Updater Scanner Connected

      メッセージ:Scanner has connected to the Update Agent.

      説明:スキャナがアップデータに接続されました。これは、新規更新を入手してスキャナを切り替え可能なことを示す通知の受信に必要です。

      推奨処置:アクションは必要ありません。

      Updater Scanner Disconnected

      メッセージ:Scanner has been disconnected from the Update Agent. Attempting to reconnect.

      説明:スキャナがアップデータから切断されました。

      推奨処置:アクションは必要ありません。

      Updater Switch Failed

      メッセージ:Switching to new update failed for Update Version %App_Version%. Failed component details: %Bad_Versions%

      説明:アップデータは、新規更新を保存した後、それをメモリにロードできませんでした。

      推奨処置:アクションは必要ありません。 システムによって、最新の適切なバージョンまで自動的に戻されます。

      Updater Switch Response Failed

      メッセージ:Some scanners failed to switch to new Update Version %App_Version%

      説明:1 つ以上のスキャナが新規更新をロードできませんでした。

      推奨処置:アクションは必要ありません。 システムによって、最新の適切なバージョンまで自動的に戻されます。

      Updater Switch Response Success

      メッセージ:All scanners switched to new Update Version %App_Version%

      説明:すべてのスキャナが新規更新をメモリに正常にロードしました。

      推奨処置:アクションは必要ありません。

      Updater Update Applied

      メッセージ:Applied update for %App_Name%/%Component_Name%, version %Component_Version%. Update version is now %App_Version%

      説明:以前にダウンロードした更新がシステムに正常に適用されましたが、まだ有効になっていません。

      推奨処置:アクションは必要ありません。

      Updater Update Change Window

      メッセージ:Update Settings changed: Updates Enabled? %Update_Enabled%; Update Window Start time: %Start_Time_Offset%; Update Window End time: %End_Time_OFfset%.

      説明:更新ウィンドウの設定が指定どおりに変更されました。 変更によって、更新が無効になったり、更新に合わせて特定の日次ウィンドウが設定されたり、すべての日の更新が許可されます。

      推奨処置:アクションは必要ありません。

      Updater Update Downloaded

      メッセージ:Downloaded version %Component_Version% for %App_Name%/%Component_Name%.

      説明:識別されたシグネチャの更新がダウンロードされましたが、まだ適用されていません。

      推奨処置:アクションは必要ありません。

      Updater Update Switch

      メッセージ:Switched to update %App_Name%/%Component_Name%, version %Component_Version%, Update Version %App_Version%

      説明:システムは、このシグネチャの更新を使用するように切り替えられました。 この更新は有効になり、メモリにロードされます。

      推奨処置:アクションは必要ありません。

      User Action

      メッセージ:User %AAA_User% %User_Action%.

      説明:このユーザは指定されたアクションを実行しました。

      推奨処置:アクションは必要ありません。

      User DB Retrieval Failure

      メッセージ:Failed while trying to authenticate user due to: %Info_String%

      説明:ユーザはログインを試みましたが、示された理由により、システムは資格情報を検証できませんでした。

      推奨処置:アクションは必要ありません。

      User Login Failure

      メッセージ:%Info_String% user %AAA_User% failed to log in.

      説明:示されているユーザが Web インターフェイスにログインできませんでした。 メッセージによって、ユーザがシステムにローカルで定義されているか、ユーザがディレクトリ サーバに定義されているリモート ユーザであるかが示されます。

      推奨処置:問題が解決されない場合、システムにログインするためのユーザ名/パスワードの要件をユーザにわかりやすく説明します。

      User Login Success

      メッセージ:%Info_String% user %AAA_User% successfully logged in.

      説明:示されているユーザが Web インターフェイスにログインしました。 メッセージによって、ユーザがシステムにローカルで定義されているか、ユーザがディレクトリ サーバに定義されているリモート ユーザであるかが示されます。

      推奨処置:アクションは必要ありません。

      イベント カラム

      イベント テーブルには、次の表に示されているカラムを含めることができます。 すべてのイベント ビューまたはすべてのイベント タイプに対して、すべてのカラムを使用できるわけではありません。 デバイス タイプ カラムは、イベントにカラム内の情報が含まれる可能性のあるデバイスのタイプを示します。

      カラム

      デバイス タイプ

      説明

      AAA Group

      ASA

      AAA グループ ポリシー。

      AAA Server

      ASA

      ユーザのアクセス要求を処理し、認証、許可、またはアカウンティングを実行した AAA サーバ。

      AAA Type

      ASA

      AAA タイプ。認証、許可、またはアカウンティング。

      ACE Hash 1

      ACE Hash 2

      ASA

      アクセス コントロール リスト エントリ(ACE)のハッシュコード 1 とハッシュコード 2。

      ACL Name

      ASA

      アクセス コントロール リスト(ACL)の名前または ID。

      Action

      ASA

      フローに対して実行されるアクション。 たとえば、終了や拒否。

      Application

      ASA CX

      使用可能な場合、トラフィック フローで使用されたアプリケーションの名前。

      Application Type

      ASA CX

      トラフィック フローがアプリケーション シグネチャと一致する場合に、アプリケーションが属するアプリケーション タイプ。

      Auth Policy Name

      ASA CX

      トラフィック フローに適用されるアイデンティティ ポリシーの名前(該当する場合)。

      Auth Realm Name

      ASA CX

      フローに適用されるアイデンティティ ポリシーで使用されるディレクトリ レルムの名前。

      Auth Retry Count

      ASA CX

      アクティブ認証で、ユーザが正しいユーザ名とパスワードの入力を試行し、それに失敗した回数。

      Auth Server Name

      ASA CX

      認証中に使用されるディレクトリ サーバの名前。

      Auth Type

      ASA CX

      基本認証(クリア テキスト)、NTLM、または Kerberos など、使用される認証メカニズム。

      AVC App Behavior

      ASA CX

      アプリケーションが識別可能な動作を定義していた場合に、アプリケーションが一致するときの、トラフィック フローで使用されるアプリケーションの特定の動作。

      Backtrace

      ASA CX

      [HTTP Inspection Aborted] イベントで示される、パーサー例外から生成されるバック トレース。

      Botnet Category

      ASA

      ドメイン名がブラックリストに掲載されている理由を示すカテゴリ。たとえば、ボットネット、トロイの木馬、スパイウェアなど。

      Botnet Domain

      ASA

      動的なフィルタ データベースに登録されていて、トラフィックの宛先となったドメイン名または IP アドレス。 ブラック リスト、ホワイト リスト、またはグレー リストに掲載できます。

      Botnet Domain

      ASA

      脅威レベル。なし、非常に低い、低い、中程度、高い、非常に高い。

      Byte Count

      ASA CX

      トラフィック フローで送信されたバイト数。

      Class Map

      ASA

      クラス マップ名。

      Client OS

      ASA CX

      リモート VPN 接続用のクライアントで実行しているオペレーティング システムの名前。

      Component

      ASA CX

      PRSM

      システム イベントでの、イベントが適用されるコンポーネントの名前。

      Config Version

      ASA CX

      このイベントによって照合されるポリシーの設定バージョン。 この番号は、変更履歴ページに表示されたバージョン番号と直接関連しています。

      Connection Duration

      ASA

      接続のライフタイム。

      Connection ID

      ASA CX

      ASA

      トラフィック フローまたは接続の ID。

      Connection Limit

      ASA

      接続またはセッションの最大数。

      Connection Termination Value

      ASA

      接続終了の要因。バージョンが正しくない、ペイロード タイプが無効であるなど。

      Current Connection Count

      ASA

      現在の接続の数。

      Decryption Policy Name

      ASA CX

      このフローと一致した復号化ポリシーの名前(該当する場合)。

      Description

      ASA CX

      ASA

      イベントのメッセージ。

      Destination

      ASA CX

      ASA

      トラフィック フローの宛先の IP アドレス。

      Destination Host

      ASA CX

      ASA

      宛先の完全修飾ドメイン名(FQDN)(既知の場合)。

      Destination Interface

      ASA

      宛先インターフェイス。

      Etherchannel アラート(426001 ~ 426003)の場合は、このイベントが発生した Etherchannel インターフェイスの名前。 [Source Interface] カラムにメンバ インターフェイスが識別されます。

      Destination Port

      ASA CX

      ASA

      TCP/UDP トラフィック フローの宛先のポート番号。

      Destination Service

      ASA CX

      ASA

      フローの宛先サービス。tcp/port、udp/port、icmp/message のいずれか。 たとえば、tcp/80 または icmp/echo。

      Device

      ASA CX

      ASA

      PRSM

      PRSM マルチ デバイス モードのみ)。受信したイベントの送信元デバイス。 イベントが PRSM サーバと関連している場合(アップデータ イベントなど)、PRSM はデバイスとして示されます。

      Direction

      ASA

      トラフィックの方向。inbound または outbound です。

      Dropped Event Count

      ASA CX

      PRSM

      (ドロップされたイベント メッセージ)。多くの場合、デバイスが処理できる速度をイベントの速度が超えたためにドロップされたイベント メッセージの数。

      Dropped Event Type

      ASA CX

      (ドロップされたイベント メッセージ)。ドロップされたイベントのタイプの名前。

      Error Details

      ASA CX

      復号化処理の間に OpenSSL エラーが発生した場合の、そのエラーの詳細情報。

      たとえば、ASA CX にサイトの証明書が含まれておらず、それを [Device] > [Certificates] ページに追加しなかった場合、[Flow Deny] イベントで次のような復号化エラーが表示されます。

      error: 14090086: SSL routines: SSL3_GET_SERVER_CERTIFICATE: certificate verify failed: Server Certificate Common Name: servername

      自己署名証明書のエラーを解決するには、証明書を [Certificates] ページにアップロードします。 認証局から発行された証明書の場合は、証明書の階層を調べ、ルート証明書または中間証明書をダウンロードして [Certificates] ページに追加し、CA からの証明書を使用する他のサイトが信頼されるようにする必要があるかどうかを判別します。

      Event ID

      ASA

      内部で各イベントに割り当てられる一意の連続番号。

      Event Name

      ASA

      イベントに付けられたユーザにわかりやすい名前。

      Event Type

      ASA CX

      ASA

      イベントの名前。

      Event Type ID

      ASA

      ASA デバイスでは、syslog メッセージ番号。

      ASA CX デバイスにはイベント タイプ ID も示されますが、この番号には意味がありません。

      Flow Deny Reason

      ASA CX

      [Flow Deny] イベントに関して、「フローがアクセス ポリシーによって拒否された」などの、フローが拒否された理由。

      Hit Count

      ASA

      設定された時間間隔で ACL エントリによってフローが許可または拒否された回数。 ASA が特定のフローに対して最初の syslog メッセージを生成すると、値が 1 となります。

      Hit Count Info

      ASA

      ACL ヒット カウント情報。たとえば、First hit。

      ICMP Code

      ASA

      ICMP タイプのコード。 たとえば、ICMP タイプ 3 およびコード 0 はネット到達不能であり、コード 1 はホスト到達不能です。

      ICMP Type

      ASA

      ICMP メッセージのタイプ。 たとえば、宛先到達不能の場合は 3、エコーの場合は 8 です。

      Identity Source

      ASA CX

      ユーザ ID を取得した送信元。たとえば、プロキシ(アクティブ認証で使用される認証プロキシ)、AD エージェント(パッシブ認証)、VPN(リモート アクセス VPN 接続から ASA)など。

      Identity Type

      ASA CX

      ID のタイプ。ユーザ ID が取得された方法(アクティブ、パッシブ、なし、不明、またはゲスト)を意味します。

      License Limit

      ASA

      ライセンスの最大数。

      List Name

      ASA

      ドメイン名が記載されているリスト、管理者ホワイトリスト、ブラックリスト、または IronPort リスト。

      Malicious Host

      ASA

      悪意のあるホストのホスト名。

      Malicious IP

      ASA

      悪意のあるデバイスの IP アドレス。

      Max Connection

      ASA

      NAT 接続の最大数。

      MaxEmbryonic Connection

      ASA

      初期接続の最大数。

      NAT Destination

      ASA

      変換された(NAT されたとも呼ばれる)宛先 IP アドレス。

      NAT Destination Service

      ASA

      変換された(または NAT された)宛先ポート。

      NAT Destination Host

      ASA

      変換された宛先のホスト名。

      NAT Global IP

      ASA

      グローバル アドレス。 IPv4 または IPv6 アドレスを含められます。

      NAT Source

      ASA

      変換された(または NAT された)送信元 IP アドレス。 IPv4 または IPv6 アドレスを含められます。

      NAT Source Service

      ASA

      変換された(または NAT された)送信元ポート。

      NAT Type

      ASA

      ネットワーク アドレス変換のタイプ。たとえば、Static や Dynamic。

      Policy Deny Reason

      ASA CX

      [HTTP Deny] イベントに関する、トラフィック フローが拒否された理由。 たとえば、URL オブジェクトに基づいて宛先が拒否された場合、「URL filtering」が表示されます。

      Policy Name

      ASA CX

      このトラフィック フローと一致したアクセス ポリシーの名前。

      Policy Map

      ASA

      ポリシー マップ名。

      Protocol

      ASA CX

      ASA

      tcp、udp、icmp などのような、トラフィック フローのプロトコル。

      Protocol Version

      ASA

      プロトコル バージョン。

      Protocol (Non L3)

      ASA

      イベントに示された Level-3 または Level-4 以外のプロトコル。たとえば、TACACS、RADIUS、FTP、または H245。

      Reason

      ASA

      特定のイベントに関連付けられた理由。 たとえば、接続のティアダウンが関連付けの理由の場合があります。

      Receive Time

      ASA CX

      ASA

      イベントが受信された日時。

      Reputation Score

      ASA CX

      宛先 Web サイトの Web レピュテーション スコアの数値。

      Request Magic Type

      ASA CX

      送信元からのトラフィック フロー要求に含まれているファイルに関連付けられたメディア、または MINE のタイプ。 イベントの詳細では、要求コンテンツ タイプと呼ばれます。

      Response Magic Type

      ASA CX

      宛先からのトラフィック フローの応答に含まれているファイルに関連付けられたメディア、または MIME のタイプ。 イベントの詳細では、これは応答コンテンツ タイプと呼ばれます。

      Server Certificate Issuer

      ASA CX

      TLS/SSL トラフィックの宛先サーバ証明書の発行元を示す識別子。 たとえば、次のようになります。/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)09/CN=VeriSign Class 3 Secure Server CA - G2

      Server Certificate Name

      ASA CX

      宛先サーバのホスト名など、TLS/SSL トラフィックに使用されている証明書の共通名。

      Severity

      ASA CX

      ASA

      Informational または Error など、メッセージの重大度。

      Source

      ASA CX

      トラフィック フローの送信元、ユーザ名、または IP アドレス。

      Source Host

      ASA

      送信元 IP アドレスのホスト名。

      Source Interface

      ASA

      送信元インターフェイス。

      Etherchannel アラート(426001 ~ 426003)の場合は、このイベントが発生した Etherchannel バンドルの一部であるインターフェイスの名前。 [Destination Interface] カラムに Etherchannel インターフェイスが識別されます。

      Source IP

      ASA CX

      ASA

      トラフィック フローの送信元の IP アドレス。

      Source Port

      ASA CX

      ASA

      TCP/UDP トラフィック フローの送信元のポート番号。

      SSO Server

      ASA

      シングル サインオン(SSO)サーバ名。

      SSO Server Type

      ASA

      シングル サインオン(SSO)サーバ タイプ。たとえば、SiteMinder。

      Threat Detail

      ASA

      脅威のタイプの詳細な説明。

      Threat Type

      ASA

      スコアを下げる原因となった脅威のタイプの簡単な説明。特に脅威がない場合は空白。

      TLS Ambiguous Destination

      ASA CX

      サーバ証明書に存在するどのドメインが、クライアントが意図していた宛先であったのかを TLS プロキシが判別不能かどうかを、true または false で示す。

      TLS Cipher Suite

      ASA CX

      TLS/SSL トラフィックで使用される暗号。たとえば、RC4-MD5 SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5。

      TLS Flow Decrypted

      ASA CX

      トラフィック フローが TLS プロキシによって復号化されたかどうかを Yes または No で示す。

      TLS Protocol Version

      ASA CX

      TLS/SSL トラフィック フローで使用される TLS のバージョン。たとえば、TLSv1。

      TLS Requested Domain

      ASA CX

      どの DNS ドメインがアクセスされているかを示す、クライアントからサーバへのヒント。 この値は Server Name Indication 拡張から TLS プロトコルに渡され、TLS クライアントがこの拡張を使用しない場合、このフィールドは空になる。

      Tunnel Type

      ASA

      VPN トンネル タイプ。

      URL

      ASA CX

      HTTP/HTTPS トラフィックの場合の、宛先 Web サイトの URL。

      User Realm

      ASA CX

      レルム\ユーザ名の形式の認証レルムとユーザ名の組み合わせ。

      Username

      ASA CX

      既知の場合、トラフィック フローの送信元に関連付けられたユーザ名。

      VPN Group

      ASA

      VPN グループ ポリシー。

      VPN IPSec SPI

      ASA

      IPSec セキュリティ パラメータ インデックス。

      VPN User

      ASA

      VPN ユーザ名。

      Web Category

      ASA CX

      宛先 URL を持つトラフィック フローの場合の、その URL が属する Web カテゴリ。