Cisco Intrusion Prevention System Sensor CLI コンフィギュレーション ガイド for IPS 7.0
トラブルシューティング
トラブルシューティング
発行日;2012/04/18 | 英語版ドキュメント(2012/04/07 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

トラブルシューティング

Bug Toolkit

予防保守

予防保守について

バックアップ コンフィギュレーション ファイルの作成と使用

リモート サーバを使用したコンフィギュレーション ファイルのバックアップと復元

サービス アカウントの作成

ディザスタ リカバリ

パスワードの回復

パスワードの回復について

アプライアンスのパスワード回復

GRUB メニューの使用

ROMMON の使用方法

AIMIPS のパスワードの回復

AIPSSM のパスワードの回復

IDSM2 のパスワードの回復

NMEIPS のパスワードの回復

パスワード回復のディセーブル化

パスワード回復の状態の確認

パスワードの回復のトラブルシューティング

時刻とセンサー

時刻源とセンサー

IPS モジュール クロックと親デバイス クロックとの同期

センサーが NTP サーバと同期していることを確認する

センサーの時刻の修正

仮想化の利点および制約事項

サポートされている MIB

グローバル相関のトラブルシューティング

異常検出のディセーブル化

分析エンジンが応答しない

外部製品のインターフェイスのトラブルシューティング

外部製品のインターフェイスの問題

外部製品のインターフェイスのトラブルシューティングに関するヒント

4200 シリーズ アプライアンスのトラブルシューティング

接続不良のトラブルシューティング

分析エンジンがビジー

IPS 4240 から Cisco 7200 シリーズ ルータへの接続

通信の問題

Telnet または SSH を介してセンサー CLI にアクセスできない

設定が誤っているアクセス リストの修正

重複している IP アドレスがインターフェイスをシャットダウンする

SensorApp とアラート

SensorApp が動作していない

物理的な接続性、SPAN、または VACL ポートの問題

アラートを表示できない

センサーがパケットを監視しない

破損した SensorApp 設定のクリーンアップ

ブロッキング

ブロッキングのトラブルシューティング

ARC が動作中であることを確認する

ARC 接続がアクティブであることを確認する

デバイスのアクセスに関する問題点

ネットワーク デバイスのインターフェイスおよび方向を確認する

ネットワーク デバイスへの SSH 接続を有効にする

シグニチャに対してブロッキングが発生していない

マスター ブロッキング センサーの設定を確認する

ロギング

デバッグ ロギングについて

デバッグ ロギングをイネーブルにする

ゾーン名

SysLog に cidLog メッセージを転送する

シグニチャに対して TCP リセットが発生しない

ソフトウェアのアップグレード

センサーのアップグレード

適用するアップデートとその前提条件

自動アップデートに関する問題

センサーに格納されたアップデートを使用してセンサーを更新する

IDM のトラブルシューティング

IDM を起動できない:Java アプレットのロードに失敗する

IDM を起動できない:分析エンジンがビジー

IDM、リモート マネージャ、またはセンシング インターフェイスがセンサーにアクセスできない

シグニチャがアラートを生成しない

IME のトラブルシューティング

IME およびセンサーの時刻同期

サポートされていないというエラー メッセージ

IDSM2 のトラブルシューティング

IDSM2 の問題の診断

サポートされている IDSM2 の最小構成

トラブルシューティング用のスイッチ コマンド

ステータス LED が点灯しない

ステータス LED は点灯しているが、IDSM2 がオンラインにならない

IDSM2 コマンド/コントロール ポートと通信できない

TCP リセット インターフェイスの使用方法

IDSM2 へのシリアル ケーブルの接続

AIPSSM のトラブルシューティング

ヘルスおよびステータス情報

AIP SSM およびデータ プレーン

AIMIPS および NMEIPS のトラブルシューティング

他の IPS ネットワーク モジュールとの相互運用性

情報の収集

状態およびネットワーク セキュリティの情報

技術サポート情報

show tech-support コマンドについて

技術サポート情報の表示

技術サポート コマンドの出力

Version Information

show version コマンドについて

バージョン情報の表示

統計情報

show statistics コマンドについて

統計情報の表示

インターフェイス情報

show interfaces コマンドについて

インターフェイス コマンドの出力

イベント情報

センサーのイベント

show events コマンドについて

イベントの表示

イベントのクリア

cidDump スクリプト

Cisco FTP サイトへのファイルのアップロードおよびそのサイト上のファイルへのアクセス

トラブルシューティング

この付録にはトラブルシューティングに関するヒントと、センサーおよびソフトウェアに関する手順が含まれています。次のような構成になっています。

「Bug Toolkit」

「予防保守」

「ディザスタ リカバリ」

「パスワードの回復」

「時刻とセンサー」

「仮想化の利点および制約事項」

「サポートされている MIB」

「グローバル相関のトラブルシューティング」

「異常検出のディセーブル化」

「分析エンジンが応答しない」

「外部製品のインターフェイスのトラブルシューティング」

「4200 シリーズ アプライアンスのトラブルシューティング」

「IDM のトラブルシューティング」

「IME のトラブルシューティング」

「IDSM2 のトラブルシューティング」

「AIP SSM のトラブルシューティング」

「AIM IPS および NME IPS のトラブルシューティング」

「情報の収集」

Bug Toolkit

ソフトウェア バージョン、フィーチャ セット、およびキーワードに基づいて既知のバグを検索するには、Bug Toolkit を使用します。検索結果の表に、それぞれのバグが含まれているバージョンと、修正された場合は修正されたバージョンが表示されます。また、Bug Groups で検索結果を保存したり、永続的な Alert Agents を作成して新しい障害アラートをこのグループに提供したりすることもできます。


) Bug Toolkit にアクセスするには、Cisco.com にログインする必要があります。


Bug Toolkit には、次の URL からアクセスしてください。

http://tools.cisco.com/Support/BugToolKit/action.do?hdnAction=searchBugs

予防保守

ここでは、センサーの予防保守の実行方法について説明します。内容は次のとおりです。

「予防保守について」

「バックアップ コンフィギュレーション ファイルの作成と使用」

「リモート サーバを使用したコンフィギュレーション ファイルのバックアップと復元」

「サービス アカウントの作成」

予防保守について

次の処理は、センサーの維持に役立ちます。

正常な状態をバックアップします。現在の設定が使用不可能になっても、それをバックアップ バージョンと交換することができます。

バックアップ設定をリモート システムに保存します。

手動アップグレードは、必ず設定をバックアップしてから行ってください。自動アップグレードが設定されている場合は、定期バックアップを必ず実施してください。

サービス アカウントを作成します。

サービス アカウントは、TAC が指示する特別なデバッグの状況で必要なものです。


注意 サービス アカウントを作成するかどうかは、慎重に検討する必要があります。サービス アカウントは、システムへのシェル アクセスを提供するため、システムが脆弱になります。状況を分析して、システムにサービス アカウントを存在させるかどうかを決定してください。

詳細情報

コンフィギュレーション ファイルのバックアップ手順については、「バックアップ コンフィギュレーション ファイルの作成と使用」を参照してください。

リモート サーバを使用してコンフィギュレーション ファイルをコピーおよび復元する手順については、「リモート サーバを使用したコンフィギュレーション ファイルのバックアップと復元」を参照してください。

サービス アカウントの詳細については、「サービス アカウントの作成」を参照してください。

バックアップ コンフィギュレーション ファイルの作成と使用

設定を保護するために、現在の設定のバックアップを作成し、表示することによってそれが保存したい設定であることを確認できます。この設定を復元する必要があるときは、バックアップ コンフィギュレーション ファイルを現在の設定とマージするか、現在のコンフィギュレーション ファイルにバックアップ コンフィギュレーション ファイルを上書きします。

現在の設定をバックアップするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 現在の設定を保存します。

sensor# copy current-config backup-config
 

現在の設定がバックアップ ファイルに保存されます。

ステップ 3 バックアップ コンフィギュレーション ファイルを表示します。

sensor# more backup-config
 

バックアップ コンフィギュレーション ファイルが表示されます。

ステップ 4 バックアップの設定を現在の設定とマージすることも、現在の設定を上書きすることもできます。

バックアップの設定を現在の設定とマージします。

sensor# copy backup-config current-config
 

バックアップの設定で現在の設定を上書きします。

sensor# copy /erase backup-config current-config
 


 

リモート サーバを使用したコンフィギュレーション ファイルのバックアップと復元


) アップグレードする前に、現在のコンフィギュレーション ファイルをリモート サーバにコピーすることを推奨します。


コンフィギュレーション ファイルをリモート サーバにコピーするには、 copy [ /erase ] source_url destination_url keyword コマンドを使用します。後で、そのリモート サーバから現在の設定を復元することができます。最初に、現在のコンフィギュレーション ファイルのバックアップを求めるプロンプトが表示されます。

オプション

次のオプションが適用されます。

/erase :コピー前にコピー先ファイルを消去します。

このキーワードは current-config だけに適用されます。backup-config の場合は必ず上書きされます。コピー先の current-config に対してこのキーワードを指定すると、コピー元の設定がシステムのデフォルト設定に適用されます。コピー先の current-config に対して指定しなかった場合、コピー元の設定はコピー先の current-config とマージされます。

source_url :コピー元のファイルの場所。URL またはキーワードです。

destination_url :コピー先ファイルの場所。URL またはキーワードです。

current-config :現在実行中の設定。コマンドを入力すると、設定が永続化されます。

backup-config :設定のバックアップの保管場所。

コピー元およびコピー先の URL の形式は、ファイルによって変わります。有効なタイプは次のとおりです。

ftp::FTP ネットワーク サーバのコピー元またはコピー先の URL。このプレフィクスの構文は、次のとおりです。

ftp:[//[username@] location]/relativeDirectory]/filename

ftp:[//[username@]location]//absoluteDirectory]/filename

scp::SCP ネットワーク サーバのコピー元またはコピー先の URL。このプレフィクスの構文は、次のとおりです。

scp:[//[username@] location]/relativeDirectory]/filename

scp:[//[username@] location]//absoluteDirectory]/filename


) FTP または SCP プロトコルを使用する場合は、パスワードの入力を求めるプロンプトが表示されます。SCP プロトコルを使用する場合は、リモート ホストを SSH 既知ホスト リストに追加する必要もあります。


http::Web サーバのコピー元 URL。このプレフィクスの構文は、次のとおりです。

http:[[/[username@]location]/directory]/filename

https::Web サーバのコピー元 URL。このプレフィクスの構文は、次のとおりです。

https:[[/[username@]location]/directory]/filename


) HTTP および HTTPS では、Web サイトへのアクセスにユーザ名が必要な場合、パスワードの入力を求めるプロンプトが表示されます。HTTPS プロトコルを使用する場合は、リモート ホストが TLS 信頼済みホストになっている必要があります。



注意 別のセンサーのコンフィギュレーション ファイルをコピーする場合、検知インターフェイスおよび仮想センサーが同じように設定されていないと、エラーが発生する可能性があります。

現在の設定のリモート サーバへのバックアップ

現在の設定をリモート サーバにバックアップするには、次の手順に従います。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 現在の設定をリモート サーバにバックアップします。

sensor# copy current-config scp://user@192.0.2.0//configuration/cfg current-config
Password: ********
Warning: Copying over the current configuration may leave the box in an unstable state.
Would you like to copy current-config to backup-config before proceeding? [yes]:
 

ステップ 3 yes と入力して、現在の設定をバックアップ設定にコピーします。

cfg 100% |************************************************| 36124 00:00
 


 

現在の設定のバックアップ ファイルからの復元

現在の設定をバックアップ ファイルから復元するには、次の手順に従います。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 現在の設定をリモート サーバにバックアップします。

sensor# copy scp://user@192.0.2.0//configuration/cfg current-config
Password: ********
Warning: Copying over the current configuration may leave the box in an unstable state.
Would you like to copy current-config to backup-config before proceeding? [yes]:
 

ステップ 3 yes と入力して、現在の設定をバックアップ設定にコピーします。

cfg 100% |************************************************| 36124 00:00
 
Warning: Replacing existing network-settings may leave the box in an unstable state.
Would you like to replace existing network settings (host-ipaddress/netmask/gateway/access-list) on sensor before proceeding? [no]:
sensor#
 

ステップ 4 no と入力すると、現在設定されているホスト名、IP アドレス、サブネット マスク、管理インターフェイス、およびアクセス リストが保持されます。これらの情報は保持することを推奨します。保持すれば、それ以外の設定を復元してもセンサーへのアクセスが維持されます。


 

詳細情報

サポートされる HTTP/HTTPS サーバのリストについては、「サポートされる FTP および HTTP/HTTPS サーバ」を参照してください。

サービス アカウントの作成

トラブルシューティングの際に使用する TAC 用のサービス アカウントを作成できます。センサーには複数のユーザがアクセスできますが、センサーに対するサービス権限を持てるのは 1 人のユーザだけです。サービス アカウントは、サポートの目的のためにのみ使用します。


注意 TAC の指示に基づく場合を除き、サービス アカウントを使用してセンサーに変更を加えないでください。サービス アカウントを使用してセンサーを設定すると、その設定は TAC のサポート対象外になります。サービス アカウントを使用してオペレーティング システムにサービスを追加すると、他の IPS サービスの特定のパフォーマンスと機能に影響を及ぼします。TAC は、追加のサービスが加えられたセンサーをサポートしません。


) サービス アカウントが作成されている場合、root ユーザのパスワードはサービス アカウントのパスワードと同期されます。root でアクセスするには、サービス アカウントでログインし、su - root コマンドでユーザ root に切り替えます。



注意 サービス アカウントを作成するかどうかは、慎重に検討する必要があります。サービス アカウントは、システムへのシェル アクセスを提供するため、システムが脆弱になります。ただし、管理者のパスワードが失われた場合は、サービス アカウントを使用してパスワードを作成できます。状況を分析して、システムにサービス アカウントを存在させるかどうかを決定してください。

サービス アカウントを追加するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードを開始します。

sensor# configure terminal
 

ステップ 3 サービス アカウントのパラメータを指定します。

sensor(config)# user username privilege service
 

ユーザ名のパターンは ^[A-Za-z0-9()+:,_/-]+$ です。つまり、ユーザ名は文字または数字で開始する必要があり、A から Z の任意の文字(大文字または小文字)、0 から 9 の任意の数字、- および _ を使用できます。文字数は 1 ~ 64 文字にできます。

ステップ 4 入力を要求されたらパスワードを指定します。

パスワードは、センサー管理者が設定した要件に従う必要があります。このセンサーに対してサービス アカウントがすでに存在する場合は、次のエラー メッセージが表示され、サービス アカウントは作成されません。

Error: Only one service account may exist
 

ステップ 5 コンフィギュレーション モードを終了します。

sensor(config)# exit
sensor#
 

サービス アカウントを使用して CLI にログインすると、次の警告が表示されます。

************************ WARNING *******************************************************
UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED. This account is intended to be used for support and troubleshooting purposes only. Unauthorized modifications are not supported and will require this device to be reimaged to guarantee proper operation.
****************************************************************************************
 


 

ディザスタ リカバリ

ここでは、推奨事項と、障害発生後にセンサーの復旧が必要な場合に実行すべき手順について説明します。

次に示す推奨事項に従い、障害に備えてください。

設定に CLI、IDM または IME を使用する場合は、変更が行われるたびに現在の設定をセンサーから FTP または SCP サーバへコピーします。

その設定に対する特定のソフトウェア バージョンをメモします。コピーされた設定は、同じバージョンのセンサーにしか適用できません。

また、そのセンサー上で使用されているユーザ ID のリストも必要です。ユーザ ID およびパスワードのリストは、設定内に保存されません。

障害が発生したときにセンサーの復旧が必要な場合は、次の作業を行ってみてください。

1. センサーのイメージを再作成します。

2. デフォルトのユーザ ID とパスワード( cisco )を使用してセンサーにログインします。


) パスワード「cisco」の変更を促すプロンプトが表示されます。


3. センサーを初期化します。

4. センサーのアップグレードを行い、最後に設定が保存およびコピーされたときにセンサーに搭載されていた IPS ソフトウェア バージョンにします。


警告 障害発生前にセンサーに搭載されていた IPS ソフトウェア バージョンにセンサーを戻さずに、保存された設定のコピーを試みると、設定エラーを引き起こす場合があります。


5. 最後に保存された設定をセンサーにコピーします。

6. クライアントを更新して、センサーの新しいキーおよび証明書を使用します。

イメージを再作成すると、センサーの SSH キーおよび HTTPS 証明書が変更されるため、ホストを SSN 既知ホスト リストに追加して戻す必要があります。

7. 前のユーザを作成します。

詳細情報

コンフィギュレーション ファイルのバックアップ手順については、「バックアップ コンフィギュレーション ファイルの作成と使用」を参照してください。

センサーの現ユーザのリストを取得する手順については、 「ユーザ ステータスの表示」 を参照してください。

センサーのイメージを再作成する手順については、「システム イメージのアップグレード、ダウングレード、およびインストール」を参照してください。

setup コマンドを使用してセンサーを初期化する手順については、「センサーの初期化」を参照してください。

IPS ソフトウェアの入手方法とそのインストール方法については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

リモート サーバを使用してコンフィギュレーション ファイルをコピーおよび復元する手順については、「リモート サーバを使用したコンフィギュレーション ファイルのバックアップと復元」を参照してください。

SSH 既知ホスト リストにホストを追加する手順については、「SSH の既知ホスト リストへのホストの追加」を参照してください。

ユーザを追加する手順については、「ユーザの追加と削除」を参照してください。

パスワードの回復

ほとんどの IPS プラットフォームでは、サービス アカウントを使用するか、またはセンサーのイメージを再作成しなくても、センサーでパスワードを回復できるようになりました。ここでは、さまざまな IPS プラットフォームで、パスワードを回復する方法について説明します。次の項目について説明します。

「パスワードの回復について」

「アプライアンスのパスワード回復」

「AIM IPS のパスワードの回復」

「AIP SSM のパスワードの回復」

「IDSM2 のパスワードの回復」

「NME IPS のパスワードの回復」

「パスワード回復のディセーブル化」

「パスワード回復の状態の確認」

「パスワードの回復のトラブルシューティング」

パスワードの回復について

パスワードの回復の実装は、IPS プラットフォーム要件によって異なります。パスワードの回復は、cisco 管理アカウントだけに対して実装され、デフォルトでイネーブルになっています。IPS 管理者は、CLI を使用して、その他のアカウントのユーザ パスワードを回復できます。cisco ユーザのパスワードは、 cisco に戻り、次のログイン後に変更する必要があります。


) セキュリティ上の理由から、管理者がパスワード回復機能をディセーブルにする必要が生じることがあります。


表 C-1 に、プラットフォーム別のパスワード回復方法を示します。

 

表 C-1 プラットフォーム別のパスワード回復方法

プラットフォーム
説明
回復方法

4200 シリーズ センサー

スタンドアロン IPS アプライアンス

GRUB プロンプトまたは ROMMON

AIM IPS
NME IPS

ルータの IPS モジュール

ブートローダ コマンド

AIP SSM

ASA 5500 シリーズ 適応型セキュリティ アプライアンス モジュール

適応型セキュリティ アプライアンスの CLI コマンド

IDSM2

Switch IPS モジュール

パスワード回復イメージ ファイル

アプライアンスのパスワード回復

ここでは、アプライアンスのパスワードを回復する 2 つの方法について説明します。次の項目について説明します。

「GRUB メニューの使用」

「ROMMON の使用方法」

GRUB メニューの使用

4200 シリーズ アプライアンスでは、パスワード回復はブート中に表示される GRUB メニューにあります。GRUB メニューが表示されたら、任意のキーを押して、ブート プロセスを停止します。


) GRUB メニューを使用してパスワードを回復するには、ターミナル サーバ、またはアプライアンスへの直接シリアル接続が必要です。


アプライアンスでパスワードを回復するには、次の手順に従います。


ステップ 1 アプライアンスをリブートして、GRUB メニューを表示します。

GNU GRUB version 0.94 (632K lower / 523264K upper memory)
-------------------------------------------
0: Cisco IPS
1: Cisco IPS Recovery
2: Cisco IPS Clear Password (cisco)
-------------------------------------------
 
Use the ^ and v keys to select which entry is highlighted.
Press enter to boot the selected OS, 'e' to edit the
Commands before booting, or 'c' for a command-line.
 
Highlighted entry is 0:
 

ステップ 2 任意のキーを押して、ブート プロセスを停止します。

ステップ 3 [2: Cisco IPS Clear Password (cisco)] を選択します。

パスワードが cisco にリセットされます。次に CLI にログインするときに、パスワードを変更できます。


 

ROMMON の使用方法

IPS 4240 と IPS 4255 では、ROMMON を使用してパスワードを回復できます。ROMMON CLI にアクセスするには、ターミナル サーバまたは直接接続からセンサーをリブートし、ブート プロセスを中断します。

ROMMON CLI を使用してパスワードを回復するには、次の手順に従います。


ステップ 1 アプライアンスをリブートします。

ステップ 2 ブート プロセスを中断するには Esc を押すか、Ctrl キーを押した状態で R キーを押すか(ターミナル サーバ)、または BREAK コマンドを送信します(直接接続)。

ブート コードが 10 秒間停止するか、または次のいずれかのような内容が表示されます。

Evaluating boot options

Use BREAK or ESC to interrupt boot

ステップ 3 次のコマンドを入力してパスワードをリセットします。

confreg 0x7
boot
 

ROMMON セッションのサンプル:

Booting system, please wait...
CISCO SYSTEMS
Embedded BIOS Version 1.0(11)2 01/25/06 13:21:26.17
...
Evaluating BIOS Options...
Launch BIOS Extension to setup ROMMON
Cisco Systems ROMMON Version (1.0(11)2) #0: Thu Jan 26 10:43:08 PST 2006
Platform IPS 4240-K9
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot interrupted.
Management0/0
Link is UP
MAC Address:000b.fcfa.d155
Use ? for help.
rommon #0> confreg 0x7
Update Config Register (0x7) in NVRAM...
rommon #1> boot
 


 

AIM IPS のパスワードの回復

AIM IPS のパスワードを回復するには、 clear password コマンドを使用します。AIM IPS へのコンソール アクセスと、ルータへの管理アクセスが必要です。

AIM IPS のパスワードを回復するには、次の手順に従います。


ステップ 1 ルータにログインします。

ステップ 2 ルータで特権 EXEC モードを開始します。

router> enable
 

ステップ 3 ルータのモジュール スロット番号を確認します。

router# show run | include ids-sensor
interface IDS-Sensor0/0
router#
 

ステップ 4 AIM IPS との間にセッションを確立します。

router# service-module ids-sensor slot/port session
 

例:

router# service-module ids-sensor 0/0 session
 

ステップ 5 Ctrl キーと Shift キーを押した状態で 6 を押してから x キーを押して、ルータ CLI に移動します。

ステップ 6 ルータ コンソールから AIM IPS をリセットします。

router# service-module ids-sensor 0/0 reset
 

ステップ 7 Enter を押すと、ルータ コンソールに戻ります。

ステップ 8 ブート オプションの入力を要求されたら、すぐに *** と入力します。ブートローダが表示されます。

ステップ 9 パスワードをクリアします。

ServicesEngine boot-loader# clear password
 

AIM IPS がリブートします。パスワードが cisco にリセットされます。ユーザ名 cisco とパスワード cisco を使用して CLI に再度ログインします。その後、パスワードを変更できます。


 

AIP SSM のパスワードの回復


) AIP SSM のパスワードをリセットするには、ASA 7.2.(2) 以降が必要です。


CLI または ASDM を使用して、AIP SSM のパスワードをデフォルト( cisco )にリセットできます。パスワードをリセットすると、AIP SSM はリブートされます。リブート中に IPS サービスは使用できません。IDM または IME では、デフォルト パスワードを独自の値に変更できます。

hw-module module slot_number password-reset コマンドを使用して、パスワードをデフォルト( cisco )にリセットします。ASA 5500 シーズ適応型セキュリティ アプライアンスでは、ROMMON confreg ビットが 0x7 に設定され、センサーがリブートされます。ROMMON ビットによって、GRUB メニューはデフォルトのオプション 2( パスワードのリセット )になります。

指定したスロットのモジュールの IPS バージョンがパスワードの回復をサポートしていない場合は、次のエラー メッセージが表示されます。

ERROR: the module in slot <n> does not support password recovery.
 

ASDM の使用

ASDM でパスワードをリセットするには、次の手順に従います。


ステップ 1 ASDM メニュー バーで、[Tools] > [IPS Password Reset] を選択します。


) モジュールが取り付けられていない場合、このオプションはメニューに表示されません。


ステップ 2 [IPS Password Reset confirmation] ダイアログボックスで [OK] をクリックして、パスワードをデフォルトの( cisco )にリセットします。

ダイアログボックスに、パスワードのリセットが正常に完了したか、失敗したかが表示されます。リセットが失敗した場合は、適応型セキュリティ アプライアンスに ASA 7.2(2) 以降、AIP SSM に IPS 6.0 以降が導入されていることを確認します。

ステップ 3 [Close] をクリックして、ダイアログボックスを閉じます。

AIP SSM がリブートされます。IDM または IME でデフォルト パスワードを変更するには、[Configuration] > sensor_name > [Sensor Setup] > [Users] > [Edit User] を選択します。


 

IDSM2 のパスワードの回復

IDSM2 のパスワードを回復するには、特殊なパスワード回復イメージ ファイルをインストールする必要があります。これをインストールするとパスワードだけがリセットされ、その他の設定はすべて変更されません。パスワード回復イメージはバージョンによって異なり、Cisco Download Software サイトにあります。IPS 6. x では、WS-SVC-IDSM2-K9-a-6.0-password-recovery.bin.gz をダウンロードします。IPS 7. x では、WS-SVC-IDSM2-K9-a-7.0-password-recovery.bin.gz をダウンロードします。

イメージのインストール用にサポートされているプロトコルは FTP だけです。したがって、スイッチにアクセスできる FTP サーバにパスワード回復イメージ ファイルを置いてください。IDSM2 でパスワードを回復するには、Cisco 6500 シリーズ スイッチへの管理アクセスが必要です。

パスワード回復イメージのインストール中に、次のメッセージが表示されます。

Upgrading will wipe out the contents on the hard disk.
Do you want to proceed installing it [y|n]:
 

このメッセージは誤りです。パスワード回復イメージのインストールによって、設定が削除されることはありません。ログイン アカウントがリセットされるだけです。

パスワード回復イメージ ファイルをダウンロードしたら、システム イメージ ファイルのインストールに関する指示に従いますが、システム イメージ ファイルをパスワード回復イメージ ファイルと読み替えてください。回復イメージ ファイルのインストール後に、IDSM2 はプライマリ パーティションでリブートされるはずです。リブートされない場合は、スイッチから次のコマンドを入力します。

hw-module module module_number reset hdd:1

) パスワードが cisco にリセットされます。ユーザ名 cisco とパスワード cisco を使用して CLI に再度ログインします。その後、パスワードを変更できます。


詳細情報

IDSM2 でのシステム イメージのインストール手順については、「IDSM2 システム イメージのインストール」を参照してください。

Cisco IPS ソフトウェアのダウンロードの詳細については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

NME IPS のパスワードの回復

NME IPS のパスワードを回復するには、 clear password コマンドを使用します。NME IPS へのコンソール アクセスと、ルータへの管理アクセスが必要です。

NME IPS のパスワードを回復するには、次の手順に従います。


ステップ 1 ルータにログインします。

ステップ 2 ルータで特権 EXEC モードを開始します。

router> enable
 

ステップ 3 ルータのモジュール スロット番号を確認します。

router# show run | include ids-sensor
interface IDS-Sensor1/0
router#
 

ステップ 4 NME IPS との間にセッションを確立します。

router# service-module ids-sensor slot/port session
 

router# service-module ids-sensor 1/0 session
 

ステップ 5 Ctrl キーと Shift キーを押した状態で 6 を押してから x キーを押して、ルータ CLI に移動します。

ステップ 6 ルータ コンソールから NME IPS をリセットします。

router# service-module ids-sensor 1/0 reset
 

ステップ 7 Enter を押すと、ルータ コンソールに戻ります。

ステップ 8 ブート オプションの入力を要求されたら、すぐに *** と入力します。ブートローダが表示されます。

ステップ 9 パスワードをクリアします。

ServicesEngine boot-loader# clear password
 

NME IPS がリブートします。パスワードが cisco にリセットされます。ユーザ名 cisco とパスワード cisco を使用して CLI に再度ログインします。その後、パスワードを変更できます。


 

パスワード回復のディセーブル化


注意 パスワードの回復がディセーブルになっているセンサーでパスワードを回復しようとしても、プロセスはエラーまたは警告なしで継続されますが、パスワードはリセットされません。パスワードを忘れ、パスワードの回復がディセーブルに設定されているためにセンサーにログインできない場合は、センサーのイメージを再作成する必要があります。

パスワードの回復は、デフォルトでイネーブルです。CLI、IDM、または IME を使用して、パスワードの回復をディセーブルにできます。

CLI でパスワードの回復をディセーブルにするには、次の手順に従います。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 グローバル コンフィギュレーション モードを開始します。

sensor# configure terminal
 

ステップ 3 ホスト モードを開始します。

sensor(config)# service host
 

ステップ 4 パスワードの回復をディセーブルにします。

sensor(config-hos)# password-recovery disallowed
 


 

IDM または IME でパスワードの回復をディセーブルにするには、次の手順に従います。


ステップ 1 管理者権限を持つアカウントを使用して、IDM または IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Setup] > [Network] を選択します。

ステップ 3 パスワードの回復をディセーブルにするには、[Allow Password Recovery] チェックボックスをオフにします。


 

パスワード回復の状態の確認

show settings | include password コマンドを使用して、パスワードの回復がイネーブルになっているかどうかを確認します。

パスワードの回復がイネーブルになっているかどうかを確認するには、次の手順に従います。


ステップ 1 CLI にログインします。

ステップ 2 サービス ホスト サブモードを開始します。

sensor# configure terminal
sensor (config)# service host
sensor (config-hos)#
 

ステップ 3 include キーワードを使用して、フィルタリングした出力で設定を表示することにより、パスワードの回復の状態を確認します。

sensor(config-hos)# show settings | include password
password-recovery: allowed <defaulted>
sensor(config-hos)#
 


 

パスワードの回復のトラブルシューティング

パスワードの回復をトラブルシューティングする場合は、次の点に注意してください。

ROMMON プロンプト、GRUB メニュー、スイッチ CLI、またはルータ CLI から、センサー設定でパスワードの回復がディセーブルになっているかどうかを判断することはできません。パスワードを回復しようとすると、常に成功したように見えます。パスワードの回復がディセーブルになっている場合、パスワードは cisco にリセットされません。唯一の方法は、センサーのイメージ再作成です。

ホスト設定で、パスワードの回復をディセーブルにできます。AIM IPS および NME IPS ブートローダ、ROMMON、および IDSM2 のメンテナンス パーティションなどの外部メカニズムを使用しているプラットフォームでは、パスワードをクリアするコマンドを実行できます。ただし、パスワードの回復が IPS でディセーブルになっている場合、IPS によってパスワードの回復が許可されないことが検出され、その外部要求は拒否されます。

パスワードの回復の状態を確認するには、 show settings | include password コマンドを使用します。

IDSM2 でパスワードの回復を実行した場合、メッセージ「 Upgrading will wipe out the contents on the storage media 」が表示されます。このメッセージは無視してください。指定したパスワード回復イメージを使用した場合は、パスワードだけがリセットされます。

時刻とセンサー

ここでは、センサー上で正しい時刻を維持する方法について説明します。内容は次のとおりです。

「時刻源とセンサー」

「IPS モジュール クロックと親デバイス クロックとの同期」

「センサーが NTP サーバと同期していることを確認する」

「センサーの時刻の修正」

時刻源とセンサー

センサーには、信頼できる時刻源が必要です。すべてのイベント(アラート)に、正しい UTC(グリニッジ標準時)と現地時間のタイムスタンプが必要です。タイムスタンプがないと、攻撃の後でログを正しく分析できません。センサーを初期化するときに、時間帯とサマータイム設定をセットアップします。ここでは、センサーに時刻を設定するさまざまな方法の概要を示します。


) NTP サーバを使用することを推奨します。認証ありまたは認証なしの NTP を使用できます。認証ありの NTP では、NTP サーバの IP アドレス、NTP サーバのキー ID、およびキー値を NTP サーバから取得する必要があります。初期化中に NTP をセットアップすることも、後から CLI、IDM、IME、または ASDM で NTP を設定することもできます。


アプライアンス

clock set コマンドを使用して、時刻を設定する。これがデフォルトです。

アプライアンスが NTP 同期時刻源から時刻を取得するように設定する。

IDSM2

IDSM2 は、自動的にその時計をスイッチ時刻と同期させることができる。これがデフォルトです。UTC 時刻は、スイッチと IDSM2 の間で同期が取られます。時間帯とサマータイムの設定は、スイッチと IDSM2 の間で同期が取られません。


) スイッチと IDSM2 の両方で時間帯とサマータイムが設定されていることを確認し、UTC 時刻設定が正しいことを確認します。時間帯やサマータイムの設定が IDSM2 とスイッチとで一致していないと、IDSM2 の現地時間が不正確になります。


IDSM2 が NTP 同期時刻源から時刻を取得するように設定する。

AIM IPS および NME IPS

AIM IPS および NME IPS は、自動的にその時計を、取り付けられているルータ シャーシ(親ルータ)の時計と同期させることができる。これがデフォルトです。UTC 時刻は、親ルータと AIM IPS および NME IPS の間で同期が取られます。時間帯とサマータイムの設定は、親ルータと AIM IPS および NME IPS の間で同期が取られません。


) 親ルータと AIM IPS および NME IPS の両方で時間帯とサマータイムが設定されていることを確認し、UTC 時刻設定が正しいことを確認します。時間帯やサマータイムの設定が AIM IPS および NME IPS とルータとで一致していないと、AIM IPS および NME IPS の現地時間が不正確になります。


AIM IPS および NME IPS が時刻を NTP 同期時刻源(親ルータ以外の Cisco ルータなど)から取得するように設定する。

AIP SSM

AIP SSM は、自動的にその時計を、インストールされている適応型セキュリティ アプライアンスの時刻と同期させることができる。これがデフォルトです。

AIP SSM が時刻を NTP 同期時刻源(親ルータ以外の Cisco ルータなど)から取得するように設定する。

詳細情報

NTP を設定する手順については、「NTP の設定」を参照してください。

IPS モジュール クロックと親デバイス クロックとの同期

IPS モジュール(AIM IPS、AIP SSM、IDSM2、および NME IPS)は、モジュールが起動するたびに、また、親シャーシ クロック(スイッチ、ルータ、セキュリティ アプライアンス)が設定されるたびに、システム クロックを親シャーシ クロックと同期します。モジュール クロックおよび親シャーシ クロックは、時間が経過するに従い、時刻がずれる傾向があります。その差は、1 日で数秒にもなることがあります。この問題を防止するため、モジュール クロックと親クロックの両方が、外部 NTP サーバと同期されていることを確認します。モジュール クロックだけ、または親クロックだけが NTP サーバと同期していると、時刻のずれが生じます。

センサーが NTP サーバと同期していることを確認する

IPS では、不正な NTP 設定(無効な NTP キー値、ID など)をセンサーに適用できません。不正な設定を適用しようとすると、エラー メッセージが表示されます。NTP 設定を確認するには、 show statistics host コマンドを使用して、センサーの統計情報を収集します。NTP 統計情報のセクションに、センサーと NTP サーバとの同期に関するフィードバックを含む、NTP 統計情報が表示されます。

NTP 設定を確認するには、次の手順に従います。


ステップ 1 センサーにログインします。

ステップ 2 ホストの統計情報を生成します。

sensor# show statistics host
...
NTP Statistics
remote refid st t when poll reach delay offset jitter
11.22.33.44 CHU_AUDIO(1) 8 u 36 64 1 0.536 0.069 0.001
LOCAL(0) 73.78.73.84 5 l 35 64 1 0.000 0.000 0.001
ind assID status conf reach auth condition last_event cnt
1 10372 f014 yes yes ok reject reachable 1
2 10373 9014 yes yes none reject reachable 1
status = Not Synchronized
...

ステップ 3 数分後に、ホストの統計情報を再度生成します。

sensor# show statistics host
...
NTP Statistics
remote refid st t when poll reach delay offset jitter
*11.22.33.44 CHU_AUDIO(1) 8 u 22 64 377 0.518 37.975 33.465
LOCAL(0) 73.78.73.84 5 l 22 64 377 0.000 0.000 0.001
ind assID status conf reach auth condition last_event cnt
1 10372 f624 yes yes ok sys.peer reachable 2
2 10373 9024 yes yes none reject reachable 2
status = Synchronized
 

ステップ 4 ステータスが Not Synchronized のままである場合は、NTP サーバが正しく設定されているかどうか、NTP サーバ管理者に確認してください。


 

センサーの時刻の修正

保存されているイベントには、その作成時刻がタイムスタンプとして記録されるため、時刻を正確に設定しないと、それらのイベントに対しても正確な時刻が記録されません。

イベント ストアのタイムスタンプは、常に UTC 時刻に基づいています。元のセンサーのセットアップ時に、午前 8:00 と指定すべきところを誤って午後 8:00 と指定した場合、それを修正すると、修正後の時刻は現在よりもさかのぼった時刻に設定されます。そのため、新しいイベントに古いイベントの時刻よりも過去の時刻が記録される場合があります。

たとえば、初期セットアップ中にセンサーを中部時間に設定し、さらにサマータイムを有効にした場合、現地時間が午後 8:04 であれば、時刻は 20:04:37 CDT として表示され、UTC からのオフセットは -5 時間になります(翌日の 01:04:37 UTC)。1 週間後の午前 9:00 に、21:00:23 CDT と表示された時計を見て誤りに気づいたとします。この場合、時刻を午前 9:00 に変更すれば、時計は 09:01:33 CDT と表示されます。ただし、UTC からのオフセットは変更されていないため、UTC 時刻は 14:01:33 UTC になります。ここにタイムスタンプの問題が生じる原因があります。

イベント レコードにおけるタイムスタンプの整合性を保証するためには、 clear events コマンドを使用して、過去のイベントのイベント アーカイブをクリアする必要があります。


) イベントは、個別には削除できません。


詳細情報

イベントをクリアする手順については「イベントのクリア」を参照してください。

仮想化の利点および制約事項

センサーの設定の問題を防止するには、センサーの仮想化の利点および制約事項について理解する必要があります。


) AIM IPS および NME IPS は、仮想化をサポートしません。


仮想化には次の利点があります。

個々のトラフィック セットにそれぞれ異なる設定を適用できます。

IP スペースが重複している 2 つのネットワークを 1 つのセンサーでモニタできます。

ファイアウォールまたは NAT デバイスの内側と外側の両方をモニタできます。

仮想化には次の制約事項があります。

非対称トラフィックの両側を同じ仮想センサーに割り当てる必要があります。

VACL キャプチャまたは SPAN(無差別モニタリング)の使用は、VLAN タギングに関して矛盾しており、これによって VLAN グループの問題が発生します。

Cisco IOS ソフトウェアを使用している場合、VACL キャプチャ ポートまたは SPAN ターゲットは、トランキング用に設定されていても、常にタグ付きパケットを受信するわけではありません。

MSFC を使用している場合、学習したルートの高速パス スイッチングによって、VACL キャプチャおよび SPAN の動作が変わります。

固定ストアが制限されます。

仮想化には次のトラフィック キャプチャ要件があります。

仮想センサーで 802.1q ヘッダーを含むトラフィックを受信する必要があります(キャプチャ ポートのネイティブ VLAN 上のトラフィック以外)。

センサーで、指定したセンサーの同じ仮想センサーに含まれる同じ VLAN グループの両方向のトラフィックをモニタする必要があります。

次のセンサーで仮想化がサポートされます。

IPS 4240

IPS 4255

IPS 4260

IPS 4270-20

AIP SSM

IDSM2(インライン インターフェイス ペアでの VLAN グループは除く)

サポートされている MIB

SNMP の設定に関する問題を防止するため、センサーでサポートされている MIB に注意してください。

次のプライベート MIB が、センサーでサポートされています。

CISCO-CIDS-MIB

CISCO-PROCESS-MIB

CISCO-ENHANCED-MEMPOOL-MIB

CISCO-ENTITY-ALARM-MIB


) MIB II はセンサーで使用できますが、サポート対象外です。一部の要素が正しくないことが確認されています(センシング インターフェイスの IF MIB からのパケット数など)。MIB II からの要素を使用できますが、すべての要素が正しい情報を提供していることは保証されません。上記の他の MIB はすべてサポートされ、それぞれの出力は正確です。


次の URL の「SNMP v2 MIBs」で、これらのプライベート Cisco MIB を入手できます。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

グローバル相関のトラブルシューティング

グローバル相関を設定するときは、次の点を確認してください。

グローバル相関更新はセンサー管理インターフェイスを使用して実行されるため、ポート 443/80 のトラフィックをファイアウォールで許可する必要があります。

グローバル相関が機能するためには、HTTP プロキシ サーバまたは DNS サーバを設定する必要があります。

グローバル相関機能を使用するには、有効な IPS ライセンスが必要です。

グローバル相関機能には外部 IP アドレスだけが含まれるため、社内ラボにセンサーを配置した場合、グローバル相関情報を受け取ることはできません。

使用している IPS のバージョンがグローバル相関をサポートしていることを確認してください。

センサーがグローバル相関をサポートしていることを確認してください。

詳細情報

グローバル相関の詳細については、「グローバル相関の設定」を参照してください。

異常検出のディセーブル化

センサーがトラフィックの一方向だけを参照するように設定した場合は、異常検出をディセーブルにする必要があります。そうしなかった場合、大量のアラートが発生します。これは、異常検出が非対称トラフィックをワーム スキャナーのような不完全な接続と見なして、アラートを発生させるためです。

異常検出をディセーブルにするには、次の手順に従います。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 分析エンジン サブモードを開始します。

sensor# configure terminal
sensor(config)# service analysis-engine
sensor(config-ana)#
 

ステップ 3 ディセーブルにする異常検出ポリシーが含まれている仮想センサー名を入力します。

sensor(config-ana)# virtual-sensor vs0
sensor(config-ana-vir)#
 

ステップ 4 異常検出の動作モードをディセーブルにします。

sensor(config-ana-vir)# anomaly-detection
sensor(config-ana-vir-ano)# operational-mode inactive
sensor(config-ana-vir-ano)#
 

ステップ 5 分析エンジン サブモードを終了します。

sensor(config-ana-vir-ano)# exit
sensor(config-ana-vir)# exit
sensor(config-ana-)# exit
Apply Changes:?[yes]:
 

ステップ 6 Enter を押して変更を適用するか、 no と入力して変更を破棄します。


 

詳細情報

ワームの詳細については、「ワーム」を参照してください。

分析エンジンが応答しない

エラー メッセージ Output from show statistics analysis-engine
Error: getAnalysisEngineStatistics : ct-sensorApp.424 not responding, please check system processes - The connect to the specified Io::ClientPipe failed.
エラー メッセージ Output from show statistics anomaly-detection
Error: getAnomalyDetectionStatistics : ct-sensorApp.424 not responding, please check system processes - The connect to the specified Io::ClientPipe failed.
エラー メッセージ Output from show statistics denied-attackers
Error: getDeniedAttackersStatistics : ct-sensorApp.424 not responding, please check system processes - The connect to the specified Io::ClientPipe failed.

考えられる原因 これらのエラー メッセージは、 show tech support コマンドを実行したときに分析エンジンが実行されていないと表示されます。

推奨処置 分析エンジンが実行中であることを確認し、モニタして問題が解決したかどうかを確認します。

分析エンジンが実行中であることを確認し、問題をモニタするには、次の手順に従います。


ステップ 1 センサーにログインします。

ステップ 2 分析エンジンが実行されていないことを確認します。

sensor# show version
 
-----
MainApp N-2007_JUN_19_16_45 (Release) 2007-06-19T17:10:20-0500 Running
AnalysisEngine N-2007_JUN_19_16_45 (Release) 2007-06-19T17:10:20-0500 Not Running
CLI N-2007_JUN_19_16_45 (Release) 2007-06-19T17:10:20-0500
 

分析エンジンが Not Running かどうかを確認します。

ステップ 3 show tech-support と入力して、出力を保存します。

ステップ 4 センサーをリブートします。

ステップ 5 センサーが安定したら、 show version と入力して、問題が解決したかどうかを確認します。

ステップ 6 分析エンジンが Not Running のままの場合は、元の show tech support コマンドの出力を添えて、TAC に問い合わせてください。


 

外部製品のインターフェイスのトラブルシューティング

ここでは、外部製品のインターフェイスで発生する可能性がある問題の一覧を示し、トラブルシューティングのヒントを示します。次の項目について説明します。

「外部製品のインターフェイスの問題」

「外部製品のインターフェイスのトラブルシューティングに関するヒント」

外部製品のインターフェイスの問題

外部製品のインターフェイスがホストのポスチャおよび検疫イベントを受信したときに、次の問題が発生する可能性があります。

センサーが保存できるホストのレコード数には限りがあります。

レコード数が 10,000 を超えると、後続のレコードはドロップされます。

10,000 の制限に達した後、9900 未満まで下がると、新しいレコードはドロップされなくなります。

DHCP のリース期限切れや、無線ネットワーク内での移動などにより、ホストの IP アドレスが変更されたように見えたり、別のホスト IP アドレスが使用されているように見えたりすることがあります。IP アドレスの衝突が発生した場合、センサーは、最新のホストのポスチャ イベントが最も正確であると見なします。

ネットワークには VLAN が異なる IP アドレス範囲の重複が含まれることがありますが、ホストのポスチャには VLAN ID 情報が含まれません。指定したアドレス範囲を無視するように、センサーを設定できます。

ファイアウォールの背後にあるために、CSA MC からホストに到達できないことがあります。到達できないホストは除外できます。

CSA MC イベント サーバで同時に開くことができるサブスクリプションは、デフォルトで最大 10 です。この値は変更できます。サブスクリプションを開くには、管理者アカウントとパスワードが必要です。

CSA データは仮想化されません。センサーでグローバルに扱われます。

ホストのポスチャの OS および IP アドレスは、パッシブ OS フィンガープリント ストレージに統合されます。これらは、インポートされた OS プロファイルとして表示できます。

隔離されたホストは表示できません。

センサーは、各 CSA MC ホストの X.509 証明書を認識する必要があります。これらを信頼できるホストに追加してください。

設定できる外部製品デバイスは、2 台までです。

詳細情報

外部製品のインターフェイスの詳細については、「外部製品インターフェイスの設定」 を参照してください。

OS マップおよび ID の操作の詳細については、「設定済みの OS マップの追加、編集、削除、および移動」および「OS ID の表示とクリア」を参照してください。

信頼できるホストを追加する手順については、 「TLS の信頼できるホストの追加」 を参照してください。

外部製品のインターフェイスのトラブルシューティングに関するヒント

外部製品のインターフェイスのトラブルシューティングを行うには、次の点をチェックします。

インターフェイスがアクティブであることを確認します。そのためには、CLI の show statistics external-product-interface コマンドの出力をチェックするか、IDM で [Monitoring] > [Sensor Monitoring] > [Support Information] > [Statistics] を選択し、応答に含まれるインターフェイス状態の行をチェックするか、IME で [Configuration] > sensor_name > [Sensor Monitoring] > [Support Information] > [Statistics] を選択し、応答に含まれるインターフェイス状態の行をチェックします。

CSA MC IP アドレスが信頼できるホストに追加されていることを確認します。追加していない場合は追加し、数分経ってから再度チェックします。

ブラウザを使用して、CSA MC でサブスクリプションを開いてから閉じ、サブスクリプション ログイン情報を確認します。

イベント ストアで CSA MC サブスクリプション エラーをチェックします。

詳細情報

信頼できるホストを追加する手順については、 「TLS の信頼できるホストの追加」 を参照してください。

イベントを表示する手順については「イベントの表示」を参照してください。

4200 シリーズ アプライアンスのトラブルシューティング

ここでは、4200 シリーズ アプライアンスのトラブルシューティングについて説明します。次の項目について説明します。

「接続不良のトラブルシューティング」

「分析エンジンがビジー」

「IPS 4240 から Cisco 7200 シリーズ ルータへの接続」

「通信の問題」

「SensorApp とアラート」

「ブロッキング」

「ロギング」

「シグニチャに対して TCP リセットが発生しない」

「ソフトウェアのアップグレード」

接続不良のトラブルシューティング

センサーの接続不良のトラブルシューティングを行うには、次の作業を実行します。

すべての電源コードがしっかりと接続されていることを確認します。

すべての外部および内部コンポーネントのすべてのケーブルが正しく、しっかりと接続されていることを確認します。

すべてのデータケーブルおよび電源コードを取り外し、損傷がないことをチェックします。ケーブルのピンが曲がっていたり、コネクタが破損していないことを確認します。

各デバイスが正しく装着されているかどうかを確認します。

デバイスにラッチがある場合は、完全に閉じてロックされていることを確認します。

コンポーネントが正しく接続されていないことを示すインターロックまたは相互接続のインジケータがあれば、チェックします。

問題が解決しない場合は、各デバイスを取り外し、コネクタおよびソケットをチェックしてピンの曲がりまたはその他の損傷がないか確認しながら再度取り付けます。

分析エンジンがビジー

センサーのイメージを再作成した後、Regex テーブルを再構築するために分析エンジンがビジーになり、新しい設定に応答しなくなります。分析エンジンがビジーかどうかは、 show statistics virtual-sensor コマンドを使用してチェックできます。分析エンジンがビジーの場合、次のエラー メッセージが表示されます。

sensor# show statistics virtual-sensor
Error: getVirtualSensorStatistics : Analysis Engine is busy rebuilding regex tables. This may take a while.
sensor#
 

分析エンジンが Regex テーブルの再構築でビジーになっているときに設定を更新しようとすると(シグニチャのイネーブル化や廃棄など)、次のエラー メッセージが表示されます。

sensor# configure terminal
sensor(config)# service sig sig0
sensor(config-sig)# sig 2000 0
sensor(config-sig-sig)# status enabled
sensor(config-sig-sig)# status
sensor(config-sig-sig-sta)# enabled true
sensor(config-sig-sig-sta)# retired false
sensor(config-sig-sig-sta)# exit
sensor(config-sig-sig)# exit
sensor(config-sig)# exit
Apply Changes?[yes]:
Error: editConfigDeltaSignatureDefinition : Analysis Engine is busy rebuilding regex tables. This may take a while.
The configuration changes failed validation, no changes were applied.
Would you like to return to edit mode to correct the errors? [yes]: no
No changes were made to the configuration.
sensor(config)#
 

センサーをブートした直後に仮想センサーの統計情報を取得しようとすると、次のエラー メッセージが表示されます。センサーによるキャッシュ ファイルの再構築は終了していますが、仮想センサーの初期化は終了していません。

sensor# show statistics virtual-sensor
Error: getVirtualSensorStatistics : Analysis Engine is busy.
sensor#
 

分析エンジンがビジーであるというエラーが発生した場合は、しばらく待ってから設定を変更してください。分析エンジンが再度使用可能になったかどうかを調べるには、 show statistics virtual-sensor コマンドを使用します。

IPS 4240 から Cisco 7200 シリーズ ルータへの接続

IPS 4240 が 7200 シリーズ ルータに直接接続され、IPS 4240 とルータの両方のインターフェイスが速度 100 の全二重にハードコーディングされている場合、接続が機能しません。IPS 4240 の速度を自動、デュプレックスを自動に設定すると、ルータには接続しますが、速度 100 の半二重でのみ接続します。

速度 100 の全二重で正しく接続するには、IPS 4240 とルータの両方のインターフェイスを速度自動、デュプレックス自動に設定します。また、いずれかのインターフェイスがハードコーディングされている場合は、クロス ケーブルを使用して接続する必要があります。

通信の問題

ここでは、4200 シリーズ センサーの通信に関する問題のトラブルシューティングに役立つ情報を説明します。次の項目について説明します。

「Telnet または SSH を介してセンサー CLI にアクセスできない」

「設定が誤っているアクセス リストの修正」

「重複している IP アドレスがインターフェイスをシャットダウンする」

Telnet または SSH を介してセンサー CLI にアクセスできない

Telnet(すでにイネーブル化されている場合)または SSH でセンサー CLI にアクセスできない場合は、次の手順に従います。


ステップ 1 コンソール、端末、またはモジュール セッションを使用してセンサー CLI にログインします。

ステップ 2 センサー管理インターフェイスがイネーブルであることを確認します。

sensor# show interfaces
Interface Statistics
Total Packets Received = 0
Total Bytes Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/1
Media Type = backplane
Missed Packet Percentage = 0
Inline Mode = Unpaired
Pair Status = N/A
Link Status = Up
Link Speed = Auto_1000
Link Duplex = Auto_Full
Total Packets Received = 0
Total Bytes Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface GigabitEthernet0/0
Media Type = TX
Link Status = Up
Link Speed = Auto_100
Link Duplex = Auto_Full
Total Packets Received = 944333
Total Bytes Received = 83118358
Total Multicast Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 397633
Total Bytes Transmitted = 435730956
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
sensor#
 

管理インターフェイスは、リストでステータス行が Media Type = TX になっているインターフェイスです。Link Status が Down の場合、ステップ 3 に進みます。Link Status が Up の場合、ステップ 5 に進みます。

ステップ 3 センサーの IP アドレスが一意であることを確認します。

sensor# setup
--- System Configuration Dialog ---
 
At any point you may enter a question mark '?' for help.
User ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
 
 
Current Configuration:
 
 
service host
network-settings
host-ip 10.89.130.108/23,10.89.130.1
host-name sensor
telnet-option enabled
access-list 0.0.0.0/0
ftp-timeout 300
no login-banner-text
exit
--MORE--
 

管理インターフェイスは、ネットワーク上に同じ IP アドレスのデバイスが別にあることを検出すると、起動しません。

ステップ 4 管理ポートがアクティブなネットワーク接続に接続されていることを確認します。管理ポートがアクティブなネットワーク接続に接続されていない場合、管理インターフェイスは起動しません。

ステップ 5 センサーに接続しようとしているワークステーションの IP アドレスが、センサーのアクセス リストで許可されていることを確認します。

sensor# setup
--- System Configuration Dialog ---
 
At any point you may enter a question mark '?' for help.
User ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
 
 
Current Configuration:
 
 
service host
network-settings
host-ip 10.89.130.108/23,10.89.130.1
host-name sensor
telnet-option enabled
access-list 0.0.0.0/0
ftp-timeout 300
no login-banner-text
exit
--MORE--
 

ワークステーションのネットワーク アドレスがセンサーのアクセス リストで許可されている場合は、ステップ 6 に進みます。

ステップ 6 ワークステーションのネットワーク アドレスの許可エントリを追加し、設定を保存して、接続を再試行します。

ステップ 7 ネットワーク設定で、ワークステーションからセンサーへの接続が許可されていることを確認します。

センサーがファイアウォールで保護され、ワークステーションがファイアウォールの手前にある場合は、ワークステーションがセンサーにアクセスできるようにファイアウォールが設定されていることを確認します。または、ワークステーションの IP アドレスに対してネットワーク アドレス変換を実行するファイアウォールの背後にワークステーションがあり、センサーがファイアウォールの手前にある場合は、センサーのアクセス リストにワークステーションの変換済みアドレスの許可リストがあることを確認します。


 

詳細情報

センサーで Telnet をイネーブルおよびディセーブルにする手順については、「Telnet のイネーブル化およびディセーブル化」を参照してください。

センサー上で直接 CLI セッションを開く方法については、「センサーへのログイン」を参照してください。

IP アドレスを変更する手順については、「IP アドレス、ネットマスク、およびゲートウェイの変更」を参照してください。

アクセス リストを変更する手順については、「設定が誤っているアクセス リストの修正」を参照してください。

設定が誤っているアクセス リストの修正

設定が誤っているアクセス リストを修正するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 設定を表示して、アクセス リストを確認します。

sensor# show configuration | include access-list
access-list 10.0.0.0/8
access-list 64.0.0.0/8
sensor#
 

ステップ 3 クライアント IP アドレスが許可されたネットワーク内にリストされているかどうか確認します。リストされていない場合は、次のように追加します。

sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
sensor(config-hos-net)# access-list 171.69.70.0/24
 

ステップ 4 設定を確認できます。

sensor(config-hos-net)# show settings
network-settings
-----------------------------------------------
host-ip: 10.89.149.238/25,10.89.149.254 default: 10.1.9.201/24,10.1.9.1
host-name: sensor-238 default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 3)
-----------------------------------------------
network-address: 10.0.0.0/8
-----------------------------------------------
network-address: 64.0.0.0/8
-----------------------------------------------
network-address: 171.69.70.0/24
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
sensor(config-hos-net)#
 


 

重複している IP アドレスがインターフェイスをシャットダウンする

同じ IP アドレスを持つ 2 台のセンサーが新たにイメージ化され、同じネットワーク上で同時にアップ状態になると、インターフェイスはシャットダウンします。Linux では、他のホストとのアドレスの競合を検出した場合、コマンド/コントロール インターフェイスがアクティブになりません。

問題のセンサーが、ネットワーク上の別のホストと競合する IP アドレスを持っていないことを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 インターフェイスがアップ状態かどうかを判断します。

sensor# show interfaces
Interface Statistics
Total Packets Received = 0
Total Bytes Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/1
Media Type = backplane
Missed Packet Percentage = 0
Inline Mode = Unpaired
Pair Status = N/A
Link Status = Up
Link Speed = Auto_1000
Link Duplex = Auto_Full
Total Packets Received = 0
Total Bytes Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface GigabitEthernet0/0
Media Type = TX
Link Status = Up
Link Speed = Auto_100
Link Duplex = Auto_Full
Total Packets Received = 1822323
Total Bytes Received = 131098876
Total Multicast Packets Received = 20
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 219260
Total Bytes Transmitted = 103668610
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
sensor#
 

出力にコマンド/コントロール インターフェイス リンクのステータスがダウンであるというメッセージが含まれる場合は、ハードウェアの問題または IP アドレスの競合が発生しています。

ステップ 3 センサーのケーブル接続が正しいことを確認します。

ステップ 4 IP アドレスが正しいことを確認します。


 

詳細情報

センサーのケーブル接続が正しいことを確認するには、『 Installing Cisco Intrusion Prevention System Appliances and Module 7.0 』で、使用しているセンサーの章を参照してください。

IP アドレスが正しいことを確認する手順については、「ネットワーク設定値の変更」を参照してください。

SensorApp とアラート

ここでは、SensorApp とアラートに関する問題のトラブルシューティングに役立つ情報を提供します。次の項目について説明します。

「SensorApp が動作していない」

「物理的な接続性、SPAN、または VACL ポートの問題」

「アラートを表示できない」

「センサーがパケットを監視しない」

「破損した SensorApp 設定のクリーンアップ」

SensorApp が動作していない

センシング プロセス(SensorApp)は、常に動作している必要があります。常に動作していないと、アラートを受信できません。SensorApp は分析エンジンの一部なので、分析エンジンが動作していることを確認する必要があります。

SensorApp が動作していることを確認するには、次の手順に従います。


ステップ 1 CLI にログインします。

ステップ 2 分析エンジン サービスのステータスを特定します。

sensor# show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.0(4)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S329.0 2008-04-16
Virus Update V1.2 2005-11-24
OS Version: 2.4.30-IDS-smp-bigphys
Platform: ASA-SSM-20
Serial Number: JAB0948035P
License expired: 11-Apr-2008 UTC
Sensor up-time is 7 days.
Using 1018015744 out of 2093600768 bytes of available memory (48% usage)
system is using 17.7M out of 29.0M bytes of available disk space (61% usage)
application-data is using 39.7M out of 166.6M bytes of available disk space (25% usage)
boot is using 40.5M out of 68.5M bytes of available disk space (62% usage)
 
 
MainApp M-2008_APR_24_19_16 (Release) 2008-04-24T19:49:05-0500 Running
AnalysisEngine M-2008_APR_24_19_16 (Release) 2008-04-24T19:49:05-0500 Not Running
CLI M-2008_APR_24_19_16 (Release) 2008-04-24T19:49:05-0500
 
Upgrade History:
 
IPS-K9-7.0-4-E4 01:16:00 UTC Fri Apr 25 2008
Recovery Partition Version 1.1 - 7.0(4)E4
 
Host Certificate Valid from: 29-Jun-2008 to 30-Jun-2010
 
sensor#
 

ステップ 3 分析エンジンが動作していない場合は、それに関係するエラーが発生していないか調べます。

sensor# show events error fatal past 13:00:00 | include AnalysisEngine
evError: eventId=1077219258696330005 severity=warning
 
originator:
hostId: sensor
appName: sensorApp
appInstanceId: 1045
time: 2004/02/19 19:34:20 2004/02/19 19:34:20 UTC
errorMessage: name=errUnclassified Generating new Analysis Engine configuration file.
 

) 最後に再起動された日付と時刻が表示されます。この例では、最後に再起動されたのは 2004 年 2 月 19 日 7:34 です。


ステップ 4 ソフトウェアのアップデートが最新のものであることを確認します。

sensor# show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.0(4)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S329.0 2008-04-16
Virus Update V1.2 2005-11-24
OS Version: 2.4.30-IDS-smp-bigphys
Platform: ASA-SSM-20
Serial Number: JAB0948035P
License expired: 11-Apr-2008 UTC
Sensor up-time is 7 days.
Using 1018015744 out of 2093600768 bytes of available memory (48% usage)
system is using 17.7M out of 29.0M bytes of available disk space (61% usage)
application-data is using 39.7M out of 166.6M bytes of available disk space (25% usage)
boot is using 40.5M out of 68.5M bytes of available disk space (62% usage)
 
 
MainApp M-2008_APR_24_19_16 (Release) 2008-04-24T19:49:05-0500 Running
AnalysisEngine M-2008_APR_24_19_16 (Release) 2008-04-24T19:49:05-0500 Not Running
CLI M-2008_APR_24_19_16 (Release) 2008-04-24T19:49:05-0500
 
Upgrade History:
 
IPS-K9-7.0-4-E4 01:16:00 UTC Fri Apr 25 2008
Recovery Partition Version 1.1 - 7.0(4)E4
 
Host Certificate Valid from: 29-Jun-2008 to 30-Jun-2010
 
sensor#
 

ステップ 5 最新のものではない場合は、Cisco.com からダウンロードします。

ステップ 6 SensorApp または分析エンジンの既知の DDTS については、ソフトウェア アップグレードに添付の Readme を参照してください。


 

詳細情報

IPS システム アーキテクチャの詳細については、 付録 A「システム アーキテクチャ」 を参照してください。

最新の Cisco IPS ソフトウェアを入手する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

物理的な接続性、SPAN、または VACL ポートの問題

センサーが正しく接続されていないと、アラートを受信しません。

センサーが正しく接続されていることを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 インターフェイスがアップ状態にあり、パケット カウントが増加していることを確認します。

sensor# show interfaces
Interface Statistics
Total Packets Received = 0
Total Bytes Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/1
Media Type = backplane
Missed Packet Percentage = 0
Inline Mode = Unpaired
Pair Status = N/A
Link Status = Up
Link Speed = Auto_1000
Link Duplex = Auto_Full
Total Packets Received = 0
Total Bytes Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface GigabitEthernet0/0
Media Type = TX
Link Status = Up
Link Speed = Auto_100
Link Duplex = Auto_Full
Total Packets Received = 1830137
Total Bytes Received = 131624465
Total Multicast Packets Received = 20
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 220052
Total Bytes Transmitted = 103796666
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
sensor#
 

ステップ 3 リンク ステータスがダウンの場合は、センシング ポートが適切に接続されているか確認します。

a. アプライアンス上でセンシング ポートが適切に接続されていることを確認します。

b. センシング ポートが IDSM2 上の正しい SPAN または VACL キャプチャ ポートに接続されていることを確認します。

ステップ 4 インターフェイスの設定を確認します。

a. インターフェイスが正しく設定されていることを確認します。

b. Cisco スイッチ上で SPAN および VACL キャプチャ ポート設定を確認します。手順については、スイッチのマニュアルを参照してください。

ステップ 5 インターフェイスがアップ状態であり、パケット カウントが増加していることを再び確認します。

sensor# show interfaces
 


 

詳細情報

センサーにセンシング インターフェイスを正しくインストールする手順については、『 Installing Cisco Intrusion Prevention System Appliances and Modules 7.0 』で、使用しているアプライアンスの章を参照してください。

IDSM2 の SPAN および VACL キャプチャ ポートを接続する手順については、 「IDSM2 の設定」 を参照してください。

センサー上でインターフェイスを設定する手順については、「インターフェイスの設定」を参照してください。

アラートを表示できない

アラートが表示されない場合は、次の手順を試してください。

シグニチャが有効であることを確認する

シグニチャが失効していないことを確認する

アクションとして Produce Alert が設定されていることを確認する


) Produce Alert を選択し、後で別のイベント アクションを追加して、Produce Alert を新しい設定に追加しなかった場合、アラートはイベント ストアに送信されません。シグニチャを設定するたびに、新しい設定で古い設定が上書きされます。そのため、必要なすべてのイベント アクションが各シグニチャに設定されていることを確認する必要があります。


センサーがパケットを監視していることを確認する

アラートが生成されていることを確認する

センシング インターフェイスが仮想センサーにあることを確認する

アラートが表示されることを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 シグニチャが有効であることを確認します。

sensor# configure terminal
sensor(config)# service signature-definition sig0
sensor(config-sig)# signatures 1300 0
sensor(config-sig-sig)# status
sensor(config-sig-sig-sta)# show settings
status
-----------------------------------------------
enabled: true <defaulted>
retired: false <defaulted>
-----------------------------------------------
sensor(config-sig-sig-sta)#
 

ステップ 3 Produce Alert が設定されていることを確認します。

sensor# configure terminal
sensor(config)# service signature-definition sig0
sensor(config-sig)# signatures 1300 0
sensor(config-sig-sig)# engine ?
normalizer Signature engine
sensor(config-sig-sig)# engine normalizer
sensor(config-sig-sig-nor)# event-action produce-alert
sensor(config-sig-sig-nor)# show settings
normalizer
-----------------------------------------------
event-action: produce-alert default: produce-alert|deny-connection-inline
edit-default-sigs-only
-----------------------------------------------
sensor#
 

ステップ 4 センサーがパケットを監視していることを確認します。

sensor# show interfaces FastEthernet0/1
MAC statistics from interface FastEthernet0/1
Media Type = backplane
Missed Packet Percentage = 0
Inline Mode = Unpaired
Pair Status = N/A
Link Status = Up
Link Speed = Auto_100
Link Duplex = Auto_Full
Total Packets Received = 267581
Total Bytes Received = 24886471
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 57301
Total Bytes Transmitted = 3441000
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 1
Total Transmit FIFO Overruns = 0
sensor#
 

ステップ 5 アラートが表示されるかどうかを確認します。

sensor# show statistics virtual-sensor
SigEvent Preliminary Stage Statistics
Number of Alerts received = 0
Number of Alerts Consumed by AlertInterval = 0
Number of Alerts Consumed by Event Count = 0
Number of FireOnce First Alerts = 0
Number of FireOnce Intermediate Alerts = 0
Number of Summary First Alerts = 0
Number of Summary Intermediate Alerts = 0
Number of Regular Summary Final Alerts = 0
Number of Global Summary Final Alerts = 0
Number of Alerts Output for further processing = 0alertDetails: Traffic Source: int0 ;
 


 

センサーがパケットを監視しない

センサーがネットワーク上のパケットを監視していない場合、インターフェイスの設定が正しくないことが考えられます。

センサーがパケットを監視していない場合は、次の手順に従います。


ステップ 1 CLI にログインします。

ステップ 2 インターフェイスがアップ状態であり、パケットを受信していることを確認します。

sensor# show interfaces GigabitEthernet0/1
MAC statistics from interface GigabitEthernet0/1
Media Type = backplane
Missed Packet Percentage = 0
Inline Mode = Unpaired
Pair Status = N/A
Link Status = Down
Link Speed = Auto_1000
Link Duplex = Auto_Full
Total Packets Received = 0
Total Bytes Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
sensor#
 

ステップ 3 インターフェイスがアップ状態でない場合は、次の手順を実行します。

ケーブル配線を調べます。

インターフェイスをイネーブルにします。

sensor# configure terminal
sensor(config)# service interface
sensor(config-int)# physical-interfaces GigabitEthernet0/1
sensor(config-int-phy)# admin-state enabled
sensor(config-int-phy)# show settings
<protected entry>
name: GigabitEthernet0/1
-----------------------------------------------
media-type: tx <protected>
description: <defaulted>
admin-state: enabled default: disabled
duplex: auto <defaulted>
speed: auto <defaulted>
alt-tcp-reset-interface
-----------------------------------------------
none
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
sensor(config-int-phy)#
 

ステップ 4 インターフェイスがアップ状態で、パケットを受信していることを確認します。

sensor# show interfaces
MAC statistics from interface GigabitEthernet0/1
Media Type = TX
Missed Packet Percentage = 0
Inline Mode = Unpaired
Pair Status = N/A
Link Status = Up
Link Speed = Auto_100
Link Duplex = Auto_Full
Total Packets Received = 3
Total Bytes Received = 900
Total Multicast Packets Received = 3
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0 ...
 


 

詳細情報

センサーを正しくインストールする手順については、『 Installing Cisco Intrusion Prevention System Appliances and Modules 7.0 』で、使用しているセンサーの章を参照してください。

破損した SensorApp 設定のクリーンアップ

SensorApp 設定が破損状態となり SensorApp が動作しない場合は、SensorApp を完全に削除して SensorApp を再起動する必要があります。

SensorApp 設定を削除するには、次の手順に従います。


ステップ 1 サーバ アカウントにログインします。

ステップ 2 root に su します。

ステップ 3 IPS アプリケーションを停止します。

/etc/init.d/cids stop
 

ステップ 4 仮想センサー ファイルを交換します。

cp /usr/cids/idsRoot/etc/defVirtualSensorConfig.xml /usr/cids/idsRoot/etc/VS-Config/virtualSensor.xml
 

ステップ 5 キャッシュ ファイルを削除します。

rm /usr/cids/idsRoot/var/virtualSensor/*.pmz
 

ステップ 6 サービス アカウントを終了します。

ステップ 7 センサー CLI にログインします。

ステップ 8 IPS サービスを開始します。

sensor# cids start
 

ステップ 9 管理者権限でアカウントにログインします。

ステップ 10 センサーをリブートします。

sensor# reset
Warning: Executing this command will stop all applications and reboot the node.
Continue with reset? [yes]:yes
Request Succeeded.
sensor#
 


 

詳細情報

IPS システム アーキテクチャの詳細については、 付録 A「システム アーキテクチャ」 を参照してください。

ブロッキングのトラブルシューティング


) ARC は、以前は Network Access Controller と呼ばれていました。IPS 5.1 から名前が変わりましたが、IDM、IME、および CLI では Network Access Controller、nacnetwork-access と表記されています。


ARC の設定終了後、 show version コマンドを使用して ARC が正しく動作しているかどうかを確認できます。ネットワーク デバイスに ARC が接続されていることを確認するには、 show statistics network-access コマンドを使用します。

ARC をトラブルシュートするには、次の手順を実行します。

1. ARC が実行されていることを確認します。

2. ARC がネットワーク デバイスに接続されていることを確認します。

3. 特定のシグニチャについてイベント アクションがホストをブロックするように設定されていることを確認します。

4. マスター ブロッキング センサーが正しく設定されていることを確認します。

詳細情報

ARC が動作していることを確認する手順については、「ARC が動作中であることを確認する」を参照してください。

ARC が接続中であることを確認する手順については、「ARC 接続がアクティブであることを確認する」を参照してください。

イベント アクションがホストをブロックするように設定されていることを確認する手順については、「シグニチャに対してブロッキングが発生していない」を参照してください。

マスター ブロッキング センサーが正しく設定されていることを確認する手順については、「マスター ブロッキング センサーの設定を確認する」を参照してください。

ARC アーキテクチャの説明については、「Attack Response Controller」を参照してください。

ARC が動作中であることを確認する

ARC が動作していることを確認するには、 show version コマンドを使用します。MainApp が動作していない場合、ARC は動作しません。ARC は MainApp の一部です。

ARC が動作していることを確認するには、次の手順に従います。


ステップ 1 CLI にログインします。

ステップ 2 MainApp が実行されていることを確認します。

sensor# show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.0(4)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S388.0 2009-03-25
Virus Update V1.4 2007-03-02
OS Version: 2.4.30-IDS-smp-bigphys
Platform: IPS4270-20-K9
Serial Number: USE716N39B
Licensed, expires: 01-May-2009 UTC
Sensor up-time is 3 days.
Using 1888964608 out of 4029321216 bytes of available memory (46% usage)
system is using 16.5M out of 38.5M bytes of available disk space (43% usage)
application-data is using 44.4M out of 166.8M bytes of available disk space (28%
usage)
boot is using 40.6M out of 69.5M bytes of available disk space (62% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
usage)
 
 
MainApp B-BEAU_2009_APR_18_08_00_7_0_1 (Release) 2009-04-18T08:05
:25-0500 Running
AnalysisEngine B-BEAU_2009_APR_18_08_00_7_0_1 (Release) 2009-04-18T08:05
:25-0500 Running
CollaborationApp B-BEAU_2009_APR_18_08_00_7_0_1 (Release) 2009-04-18T08:05
:25-0500 Running
CLI B-BEAU_2009_APR_18_08_00_7_0_1 (Release) 2009-04-18T08:05
:25-0500
 
Upgrade History:
 
IPS-K9-7.0-4-E4 08:00:00 UTC Sat Apr 18 2009
 
Recovery Partition Version 1.1 - 7.0(4)E4
 
Host Certificate Valid from: 16-Apr-2009 to 17-Apr-2011
 
sensor#
 
 

ステップ 3 MainApp の表示が Not Running である場合、ARC は故障しています。TAC にお問い合せください。


 

詳細情報

IPS システム アーキテクチャの詳細については、 付録 A「システム アーキテクチャ」 を参照してください。

ARC 接続がアクティブであることを確認する

ARC 統計情報の State が Active でない場合、問題が発生しています。

統計情報の State が Active であることを確認するには、次の手順に従います。


ステップ 1 CLI にログインします。

ステップ 2 ARC が接続状態にあることを確認します。出力の State セクションを調べて、すべてのデバイスが接続状態にあることを確認します。

sensor# show statistics network-access
Current Configuration
LogAllBlockEventsAndSensors = true
EnableNvramWrite = false
EnableAclLogging = false
AllowSensorBlock = false
BlockMaxEntries = 250
MaxDeviceInterfaces = 250
NetDevice
Type = Cisco
IP = 10.89.147.54
NATAddr = 0.0.0.0
Communications = telnet
BlockInterface
InterfaceName = fa0/0
InterfaceDirection = in
State
BlockEnable = true
NetDevice
IP = 10.89.147.54
AclSupport = uses Named ACLs
Version = 12.2
State = Active
sensor#
 

ステップ 3 ARC が接続状態にない場合は、繰り返し発生しているエラーを探します。

sensor# show events error hh:mm:ss month day year | include : nac
 

sensor# show events error 00:00:00 Apr 01 2007 | include : nac
 

ステップ 4 ソフトウェアのアップデートが最新のものであることを確認します。

sensor# show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.0(4)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S388.0 2009-03-25
Virus Update V1.4 2007-03-02
OS Version: 2.4.30-IDS-smp-bigphys
Platform: IPS4270-20-K9
Serial Number: USE716N39B
Licensed, expires: 01-May-2009 UTC
Sensor up-time is 3 days.
Using 1888964608 out of 4029321216 bytes of available memory (46% usage)
system is using 16.5M out of 38.5M bytes of available disk space (43% usage)
application-data is using 44.4M out of 166.8M bytes of available disk space (28%
usage)
boot is using 40.6M out of 69.5M bytes of available disk space (62% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
usage)
 
 
MainApp B-BEAU_2009_APR_18_08_00_7_0_1 (Release) 2009-04-18T08:05
:25-0500 Running
AnalysisEngine B-BEAU_2009_APR_18_08_00_7_0_1 (Release) 2009-04-18T08:05
:25-0500 Running
CollaborationApp B-BEAU_2009_APR_18_08_00_7_0_1 (Release) 2009-04-18T08:05
:25-0500 Running
CLI B-BEAU_2009_APR_18_08_00_7_0_1 (Release) 2009-04-18T08:05
:25-0500
 
Upgrade History:
 
IPS-K9-7.0-4-E4 08:00:00 UTC Sat Apr 18 2009
 
Recovery Partition Version 1.1 - 7.0(4)E4
 
Host Certificate Valid from: 16-Apr-2009 to 17-Apr-2011
 
sensor#
 

) 最新のものではない場合は、Cisco.com からダウンロードします。


ステップ 5 ARC の既知の DDTS については、ソフトウェア アップグレードに添付の Readme を参照してください。

ステップ 6 デバイスごとに設定(ユーザ名、パスワード、IP アドレス)が正しいことを確認します。

ステップ 7 ネットワーク デバイスごとにインターフェイスおよび方向が正しいことを確認します。

ステップ 8 ネットワーク デバイスで SSH-DES または SSH-3DES が使用されている場合は、デバイスへの SSH 接続をすでに有効にしていることを確認します。

ステップ 9 制御対象の各デバイスで各インターフェイスおよび方向が正しいことを確認します。


 

詳細情報

最新の Cisco IPS ソフトウェアを入手する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

デバイスの設定の詳細については、「デバイスのアクセスに関する問題点」を参照してください。

各ネットワーク デバイスのインターフェイスおよび方向を確認する手順については、「ネットワーク デバイスのインターフェイスおよび方向を確認する」を参照してください。

SSH をイネーブルにする手順については、「ネットワーク デバイスへの SSH 接続を有効にする」を参照してください。

デバイスのアクセスに関する問題点

ARC は、管理しているデバイスにアクセスできない場合があります。管理対象のデバイスの IP アドレス、ユーザ名、およびパスワードが正しいこと、インターフェイスおよび方向が正しく設定されていることを確認します。


) SSH デバイスは SSH 1.5 をサポートしている必要があります。センサーは SSH 2.0 をサポートしていません。


デバイスへのアクセスの問題についてトラブルシューティングを行うには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 管理対象デバイスの IP アドレスを確認します。

sensor# configure terminal
sensor (config)# service network-access
sensor(config-net)# show settings
general
-----------------------------------------------
log-all-block-events-and-errors: true <defaulted>
enable-nvram-write: false <defaulted>
enable-acl-logging: false <defaulted>
allow-sensor-block: false <defaulted>
block-enable: true <defaulted>
block-max-entries: 250 <defaulted>
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-networks (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
block-networks (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
user-profiles (min: 0, max: 250, current: 1)
-----------------------------------------------
profile-name: r7200
-----------------------------------------------
enable-password: <hidden>
password: <hidden>
username: netrangr default:
-----------------------------------------------
-----------------------------------------------
cat6k-devices (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
router-devices (min: 0, max: 250, current: 1)
-----------------------------------------------
ip-address: 10.89.147.54
-----------------------------------------------
communication: telnet default: ssh-3des
nat-address: 0.0.0.0 <defaulted>
profile-name: r7200
block-interfaces (min: 0, max: 100, current: 1)
-----------------------------------------------
interface-name: fa0/0
direction: in
-----------------------------------------------
pre-acl-name: <defaulted>
post-acl-name: <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
firewall-devices (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
sensor(config-net)#
 

ステップ 3 デバイスに手動で接続して、正しいユーザ名、正しいパスワード、および有効なパスワードを使用していること、さらにセンサーからデバイスに到達可能であることを確認します。

a. サーバ アカウントにログインします。

b. Telnet または SSH を使用してネットワーク デバイスに接続し、設定を確認します。

c. デバイスに到達できることを確認します。

d. ユーザ名とパスワードを確認します。

ステップ 4 各ネットワーク デバイスの各インターフェイスおよび方向が正しいことを確認します。


 

詳細情報

各ネットワーク デバイスのインターフェイスおよび方向を確認する手順については、「ネットワーク デバイスのインターフェイスおよび方向を確認する」を参照してください。

ネットワーク デバイスのインターフェイスおよび方向を確認する

制御対象の各デバイスで各インターフェイスおよび方向が正しいことを確認するには、手動ブロックを不正なホストに送信し、ルータの ACL にブロックされたアドレスの拒否エントリが存在するかどうかを確認してチェックできます。


) IDM を使用して手動ブロックを実行するには、[Monitoring] > [Sensor Monitoring] > [Time-Based Actions] > [Host Blocks] を選択します。IME を使用して手動ブロックを実行するには、[Configuration] > sensor_name > [Sensor Monitoring] > [Time-Based Actions] > [Host Blocks] を選択します。


不正なホストに対する手動ブロックを開始するには、次の手順を実行します。


ステップ 1 ARC 一般サブモードを開始します。

sensor# configure terminal
sensor(config)# service network-access
sensor(config-net)# general
 

ステップ 2 不正なホストの IP アドレスの手動ブロックを開始します。

sensor(config-net-gen)# block-hosts 10.16.0.0
 

ステップ 3 一般サブモードを終了します。

sensor(config-net-gen)# exit
sensor(config-net)# exit
Apply Changes:? [yes]:
 

ステップ 4 Enter を押して変更を適用するか、 no と入力して変更を破棄します。

ステップ 5 ルータに Telnet 接続して、ブロックされたアドレスの拒否エントリがルータの ACL 内に存在することを確認します。手順については、ルータのマニュアルを参照してください。

ステップ 6 手動ブロックを削除するには、ステップ 2 でコマンドの前に no を指定して、ステップ 1 ~ 4 を繰り返します。

sensor(config-net-gen)# no block-hosts 10.16.0.0
 


 

ネットワーク デバイスへの SSH 接続を有効にする

ネットワーク デバイスの通信プロトコルとして SSH-DES または SSH-3DES を使用している場合は、デバイス上で該当するプロトコルを必ず有効にしておく必要があります。

ネットワーク デバイスへの SSH 接続を有効にするには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 SSH を有効にします。

sensor(config)# ssh host blocking_device_ip_address
 

ステップ 4 デバイスを受け入れるよう指示するメッセージが表示されたら、 yes と入力します。


 

シグニチャに対してブロッキングが発生していない

特定のシグニチャに対してブロッキングが発生していない場合は、イベント アクションがホストをブロックするように設定されているかどうかチェックします。

特定のシグニチャに対してブロッキングが発生していることを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 シグニチャ定義サブモードを開始します。

sensor# configure terminal
sensor(config)# service signature-definition sig0
sensor(config-sig)#
 

ステップ 3 イベント アクションがホストをブロックするように設定されていることを確認します。


) アラートを受信するには、イベント アクションを設定するたびに、必ず produce-alert を追加する必要があります。


sensor(config-sig)# signatures 1300 0
sensor(config-sig-sig)# engine normalizer
sensor(config-sig-sig-nor)# event-action produce-alert|request-block-host
sensor(config-sig-sig-nor)# show settings
normalizer
-----------------------------------------------
event-action: produce-alert|request-block-host default: produce-alert|deny
-connection-inline
edit-default-sigs-only
-----------------------------------------------
default-signatures-only
-----------------------------------------------
specify-service-ports
-----------------------------------------------
no
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
specify-tcp-max-mss
-----------------------------------------------
no
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
specify-tcp-min-mss
-----------------------------------------------
no
-----------------------------------------------
-----------------------------------------------
--MORE--
 

ステップ 4 シグニチャ定義サブモードを終了します。

sensor(config-sig-sig-nor)# exit
sensor(config-sig-sig)# exit
sensor(config-sig)# exit
Apply Changes:?[yes]:
 

ステップ 5 Enter を押して変更を適用するか、 no と入力して変更を破棄します。


 

マスター ブロッキング センサーの設定を確認する

マスター ブロッキング センサーが適切に設定されていることを確認するには、あるいは適切に設定されていないマスター ブロッキング センサーのトラブルシューティングを行うには、 show statistics network-access コマンドを使用します。リモート マスター ブロッキング センサーが TLS を使用して Web アクセスを行っている場合は、転送センサーが TLS の信頼できるホストとして設定されていることを確認します。

マスター ブロッキング センサーの設定を確認するには、次の手順に従います。


ステップ 1 CLI にログインします。

ステップ 2 ARC 統計情報を表示し、マスター ブロッキング センサーのエントリが統計情報にあることを確認します。

sensor# show statistics network-access
Current Configuration
AllowSensorShun = false
ShunMaxEntries = 250
MasterBlockingSensor
SensorIp = 10.89.149.46
SensorPort = 443
UseTls = 1
State
ShunEnable = true
ShunnedAddr
Host
IP = 122.122.122.44
ShunMinutes = 60
MinutesRemaining = 59
 

ステップ 3 統計情報にマスター ブロッキング センサーが表示されていない場合は、追加してください。

ステップ 4 不正なホスト IP アドレスへの手動ブロックを開始し、マスター ブロッキング センサーがブロックを開始していることを確認します。

sensor# configure terminal
sensor(config)# service network-access
sensor(config-net)# general
sensor(config-net-gen)# block-hosts 10.16.0.0
 

ステップ 5 ネットワーク アクセス一般サブモードを終了します。

sensor(config-net-gen)# exit
sensor(config-net)# exit
Apply Changes:? [yes]:
 

ステップ 6 Enter を押して変更を適用するか、 no と入力して変更を破棄します。

ステップ 7 ARC 統計情報にブロックが表示されていることを確認します。

sensor# show statistics network-access
Current Configuration
AllowSensorShun = false
ShunMaxEntries = 100
State
ShunEnable = true
ShunnedAddr
Host
IP = 10.16.0.0
ShunMinutes =
 

ステップ 8 マスター ブロッキング センサーの CLI にログインし、 show statistics network-access コマンドを使用して、マスター ブロッキング センサーの ARC 統計情報にもブロックが表示されていることを確認します。

sensor# show statistics network-access
Current Configuration
AllowSensorShun = false
ShunMaxEntries = 250
MasterBlockingSensor
SensorIp = 10.89.149.46
SensorPort = 443
UseTls = 1
State
ShunEnable = true
ShunnedAddr
Host
IP = 10.16.0.0
ShunMinutes = 60
MinutesRemaining = 59
 

ステップ 9 リモート マスター ブロッキング センサーが TLS を使用して Web アクセスを行っている場合は、転送センサーが TLS ホストとして設定されていることを確認します。

sensor# configure terminal
sensor(config)# tls trust ip master_blocking_sensor_ip_address
 


 

詳細情報

センサーをマスター ブロッキング センサーに設定する手順については、「センサーをマスター ブロッキング センサーにする設定」を参照してください。

ロギング

ここでは、デバッグ ロギングについて説明します。内容は次のとおりです。

「デバッグ ロギングについて」

「デバッグ ロギングをイネーブルにする」

「ゾーン名」

「SysLog に cidLog メッセージを転送する」

デバッグ ロギングについて

TAC では、トラブルシューティングのためにデバッグ ロギングをオンにすることを推奨する場合もあります。ロガーは、さまざまなロギング ゾーンのロギングの重大度を制御することにより、各アプリケーションが生成するログ メッセージの種類を制御します。デフォルトでは、デバッグ ロギングはオンではありません。

個別ゾーン制御を有効にすると、各ゾーンでは設定されたロギング レベルを使用します。個別ゾーン制御を有効にしなければ、すべてのゾーンで同じロギング レベルが使用されます。

デバッグ ロギングをイネーブルにする


注意 デバッグ ロギングをイネーブルにすることは、パフォーマンスに重大な影響を与えるので、TAC によって指示された場合にのみ使用する必要があります。

デバッグ ロギングをイネーブルにするには、次の手順を実行できます。


ステップ 1 サーバ アカウントにログインします。

ステップ 2 log.conf ファイルを編集し、追加のログ文を収容するためにログのサイズを増やします。

vi /usr/cids/idsRoot/etc/log.conf
 

ステップ 3 fileMaxSizeInK=500 fileMaxSizeInK=5000 に変更します。

ステップ 4 ファイルのゾーンおよび CID セクションの位置を特定し、重大度を degug に設定します。

severity=debug
 

ステップ 5 ファイルを保存し、vi エディタを終了し、サービス アカウントを終了します。

ステップ 6 CLI に管理者としてログインします。

ステップ 7 マスター コントロール サブモードを開始します。

sensor# configure terminal
sensor(config)# service logger
sensor(config-log)# master-control
 

ステップ 8 すべてのゾーンのデバッグ ロギングをイネーブルにします。

sensor(config-log-mas)# enable-debug true
sensor(config-log-mas)# show settings
master-control
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: false <defaulted>
-----------------------------------------------
sensor(config-log-mas)#
 

ステップ 9 個々のゾーン制御をオンにします。

sensor(config-log-mas)# individual-zone-control true
sensor(config-log-mas)# show settings
master-control
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: true default: false
-----------------------------------------------
sensor(config-log-mas)#
 

ステップ 10 マスター ゾーン制御を終了します。

sensor(config-log-mas)# exit
 

ステップ 11 ゾーン名を表示します。

sensor(config-log)# show settings
master-control
-----------------------------------------------
enable-debug: false <defaulted>
individual-zone-control: true default: false
-----------------------------------------------
zone-control (min: 0, max: 999999999, current: 14)
-----------------------------------------------
<protected entry>
zone-name: AuthenticationApp
severity: warning <defaulted>
<protected entry>
zone-name: Cid
severity: debug <defaulted>
<protected entry>
zone-name: Cli
severity: warning <defaulted>
<protected entry>
zone-name: IdapiCtlTrans
severity: warning <defaulted>
<protected entry>
zone-name: IdsEventStore
severity: warning <defaulted>
<protected entry>
zone-name: MpInstaller
severity: warning <defaulted>
<protected entry>
zone-name: cmgr
severity: warning <defaulted>
<protected entry>
zone-name: cplane
severity: warning <defaulted>
<protected entry>
zone-name: csi
severity: warning <defaulted>
<protected entry>
zone-name: ctlTransSource
severity: warning <defaulted>
<protected entry>
zone-name: intfc
severity: warning <defaulted>
<protected entry>
zone-name: nac
severity: warning <defaulted>
<protected entry>
zone-name: sensorApp
severity: warning <defaulted>
<protected entry>
zone-name: tls
severity: warning <defaulted>
-----------------------------------------------
sensor(config-log)#
 

ステップ 12 特定のゾーンの重大度レベルを変更します(debug、timing、warning、または error)。

sensor(config-log)# zone-control IdsEventStore severity error
sensor(config-log)# show settings
master-control
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: true default: false
-----------------------------------------------
zone-control (min: 0, max: 999999999, current: 14)
-----------------------------------------------
<protected entry>
zone-name: AuthenticationApp
severity: warning <defaulted>
<protected entry>
zone-name: Cid
severity: debug <defaulted>
<protected entry>
zone-name: Cli
severity: warning <defaulted>
<protected entry>
zone-name: IdapiCtlTrans
severity: warning <defaulted>
<protected entry>
zone-name: IdsEventStore
severity: error default: warning
<protected entry>
zone-name: MpInstaller
severity: warning <defaulted>
<protected entry>
zone-name: cmgr
severity: warning <defaulted>
<protected entry>
zone-name: cplane
severity: warning <defaulted>
<protected entry>
zone-name: csi
severity: warning <defaulted>
<protected entry>
zone-name: ctlTransSource
severity: warning <defaulted>
<protected entry>
zone-name: intfc
severity: warning <defaulted>
<protected entry>
zone-name: nac
severity: warning <defaulted>
<protected entry>
zone-name: sensorApp
severity: warning <defaulted>
<protected entry>
zone-name: tls
severity: warning <defaulted>
-----------------------------------------------
sensor(config-log)#
 

ステップ 13 特定のゾーンのデバッグをオンにします。

sensor(config-log)# zone-control nac severity debug
sensor(config-log)# show settings
master-control
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: true default: false
-----------------------------------------------
zone-control (min: 0, max: 999999999, current: 14)
-----------------------------------------------
<protected entry>
zone-name: AuthenticationApp
severity: warning <defaulted>
<protected entry>
zone-name: Cid
severity: debug <defaulted>
<protected entry>
zone-name: Cli
severity: warning <defaulted>
<protected entry>
zone-name: IdapiCtlTrans
severity: warning <defaulted>
<protected entry>
zone-name: IdsEventStore
severity: error default: warning
<protected entry>
zone-name: MpInstaller
severity: warning <defaulted>
<protected entry>
zone-name: cmgr
severity: warning <defaulted>
<protected entry>
zone-name: cplane
severity: warning <defaulted>
<protected entry>
zone-name: csi
severity: warning <defaulted>
<protected entry>
zone-name: ctlTransSource
severity: warning <defaulted>
<protected entry>
zone-name: intfc
severity: warning <defaulted>
<protected entry>
zone-name: nac
severity: debug default: warning
<protected entry>
zone-name: sensorApp
severity: warning <defaulted>
<protected entry>
zone-name: tls
severity: warning <defaulted>
-----------------------------------------------
sensor(config-log)#
 

ステップ 14 ロガー サブモードを終了します。

sensor(config-log)# exit
Apply Changes:?[yes]:
 

ステップ 15 Enter を押して変更を適用するか、 no と入力して変更を破棄します。


 

詳細情報

それぞれのゾーン名が示す内容に関するリストについては、「ゾーン名」を参照してください。

ゾーン名

表 C-2 デバッグ ロガー ゾーン名をリストします。

 

表 C-2 デバッグ ロガー ゾーン名

ゾーン名
説明

AD

異常検出ゾーン

AuthenticationApp

認証ゾーン

Cid

一般的なロギング ゾーン

Cli

CLI ゾーン

IdapiCtlTrans

すべての制御トランザクション ゾーン

IdsEventStore

イベント ストア ゾーン

MpInstaller

IDSM2 マスター パーティション インストーラ ゾーン

cmgr

Card Manager サービス ゾーン1

cplane

コントロール プレーン ゾーン2

csi

CIDS Servlet インターフェイス3

ctlTransSource

発信制御トランザクション ゾーン

intfc

インターフェイス ゾーン

nac

ARC ゾーン

rep

レピュテーション ゾーン

sched

自動アップデート スケジューラ ゾーン

sensorApp

分析エンジン ゾーン

tls

SSL および TLS ゾーン

1.Card Manager サービスは、シャーシ内のモジュール間で制御および状態情報を交換するために AIP SSM で使用されます。

2.コントロール プレーンは、AIP SSM の Card Manager で使用される転送通信レイヤです。

3.CIDS servlet インターフェイスは、CIDS Web サーバと servlet の間のインターフェイス レイヤです。

詳細情報

IPS ロガー サービスの詳細については、「ロガー」を参照してください。

SysLog に cidLog メッセージを転送する

cidLog メッセージを syslog に転送することが有用な場合があります。

cidLog メッセージを syslog に転送するには、次の手順を実行します。


ステップ 1 idsRoot/etc/log.conf ファイルに進みます。

ステップ 2 次の変更を加えます。

a. Set [logApp] enabled=false

enabled=true はコメント化されます。これは enabled=false がデフォルトであるためです。

b. [drain/main] type=syslog を設定します。

次の例に、ロギング設定ファイルを示します。

timemode=local
;timemode=utc
 
[logApp]
;enabled=true
;-------- FIFO parameters --------
fifoName=logAppFifo
fifoSizeInK=240
;-------- logApp zone and drain parameters --------
zoneAndDrainName=logApp
fileName=main.log
fileMaxSizeInK=500
 
[zone/Cid]
severity=warning
drain=main
 
[zone/IdsEventStore]
severity=debug
drain=main
 
[drain/main]
type=syslog
 

syslog の出力が syslog ファシリティ local6 に送信され、syslog メッセージ プロパティとは次の対応関係があります。

LOG_DEBUG, // デバッグ

LOG_INFO, // タイミング

LOG_WARNING, // 警告

LOG_ERR, // エラー

LOG_CRIT // 重大


) /etc/syslog.conf の該当するファシリティが適切な優先順位で有効になっていることを確認します。



注意 syslog は logApp よりもかなり時間がかかります(1 秒あたり 50 メッセージ程度。logApp は 1 秒あたり 1000 メッセージ程度)。デバッグの重大度は、一度に 1 つのゾーンでのみイネーブルにすることを推奨します。

シグニチャに対して TCP リセットが発生しない


) TCP リセットは、MPLS リンクまたは GRE、IPv4 in IPv4、IPv6 in IPv4、IPv4 in IPv6 トンネルではサポートされていません。


イベント アクションがリセットに設定されていない場合、特定のシグニチャに対して TCP リセットが発生しません。

特定のシグニチャに対してリセットが発生しないという問題のトラブルシューティングを行うには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 イベント アクションが TCP リセットに設定されていることを確認します。

sensor# configure terminal
sensor(config)# service signature-definition sig0
sensor(config-sig)# signatures 1000 0
sensor(config-sig-sig)# engine atomic-ip
sensor(config-sig-sig-ato)# event-action reset-tcp-connection|produc-alert
sensor(config-sig-sig-ato)# show settings
atomic-ip
-----------------------------------------------
event-action: produce-alert|reset-tcp-connection default: produce-alert
fragment-status: any <defaulted>
specify-l4-protocol
-----------------------------------------------
no
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
specify-ip-payload-length
-----------------------------------------------
no
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
specify-ip-header-length
-----------------------------------------------
no
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
specify-ip-tos
-----------------------------------------------
--MORE--
 

ステップ 3 シグニチャ定義サブモードを終了します。

sensor(config-sig-sig-ato)# exit
sensor(config-sig-sig)# exit
sensor(config-sig)# exit
Apply Changes:?[yes]:
 

ステップ 4 Enter を押して変更を適用するか、 no と入力して変更を破棄します。

ステップ 5 正しいアラームが生成されることを確認します。

sensor# show events alert
evAlert: eventId=1047575239898467370 severity=medium
originator:
hostId: sj_4250_40
appName: sensorApp
appInstanceId: 1004
signature: sigId=20000 sigName=STRING.TCP subSigId=0 version=Unknown
addr: locality=OUT 172.16.171.19
port: 32771
victim:
addr: locality=OUT 172.16.171.13 port: 23
actions:
tcpResetSent: true
 

ステップ 6 センサーからの着信 TCP リセット パケットを、スイッチが許容していることを確認します。

詳細については、スイッチのマニュアルを参照してください。

ステップ 7 リセットが送信されていることを確認します。

root# ./tcpdump -i eth0 src host 172.16.171.19
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: listening on eth0
13:58:03.823929 172.16.171.19.32770 > 172.16.171.13.telnet: R 79:79(0) ack 62 win 0
13:58:03.823930 172.16.171.19.32770 > 172.16.171.13.telnet: R 80:80(0) ack 62 win 0
13:58:03.823930 172.16.171.19.32770 > 172.16.171.13.telnet: R 80:80(0) ack 62 win 0
13:58:03.823930 172.16.171.19.32770 > 172.16.171.13.telnet: R 80:80(0) ack 62 win 0
 


 

ソフトウェアのアップグレード

ここでは、ソフトウェア アップグレードのトラブルシューティングに役立つ情報を提供します。次の項目について説明します。

「センサーのアップグレード」

「適用するアップデートとその前提条件」

「自動アップデートに関する問題」

「センサーに格納されたアップデートを使用してセンサーを更新する」

センサーのアップグレード

IPS センサーをアップグレードしようとしたときに、分析エンジンが動作していないというエラーが表示されることがあります。

sensor# upgrade scp://user@10.1.1.1/upgrades/IPS-K9-7.0-4-E4.pkg
Password: ********
Warning: Executing this command will apply a major version upgrade to the application partition.The system may be rebooted to complete the upgrade.
Continue with upgrade?: yes
Error: AnalysisEngine is not running.Please reset box and attempt upgrade again.
 

このエラーが表示された場合は、分析エンジンを動作している状態にしてからアップグレードを再試行する必要があります。多くの場合、このエラーは、現在実行中のバージョンの障害が原因で発生します。センサーをリブートし、リブート後に setup コマンドを実行して、仮想センサー vs0 からインターフェイスを削除してみてください。トラフィックをモニタしていないとき、通常、分析エンジンはアップ状態で動作しています。この時点でアップグレードできます。アップグレード後に、 setup コマンドを使用してインターフェイスを仮想センサー vs0 に戻します。

または、システム イメージ ファイルを使用して、直接、必要なバージョンになるようにセンサーのイメージを再作成します。イメージの再作成プロセスは、分析エンジンが動作しているかどうかを確認しないため、センサーのイメージの再作成はできます。


注意 システム イメージ ファイルを使用してイメージを再作成した場合は、すべての設定がデフォルトに戻ります。

詳細情報

setup コマンドの実行の詳細については、「センサーの初期化」を参照してください。

センサーのイメージの再作成に関する詳細については、「システム イメージのアップグレード、ダウングレード、およびインストール」を参照してください。

適用するアップデートとその前提条件

ソフトウェアのサービス パックのバージョンとマイナーおよびメジャー バージョンは正しいものを使用する必要があります。新しいソフトウェアの適用に関して問題が発生している場合は、適切なアップデートを適切な前提条件の下で適用しているかどうかを確認します。

シグニチャ アップデートを適用するには、ファイル名で示される最小バージョンおよびエンジン バージョンが必要です。

エンジン アップデートを適用するには、エンジン アップデート ファイル名で示されるメジャーまたはマイナー バージョンが必要です。サービス パックを適用するには、正しいマイナー バージョンが必要です。

マイナー バージョンを適用するには、正しいメジャー バージョンが必要です。

メジャー バージョンを適用するには、前のメジャー バージョンが必要です。

詳細情報

IPS ソフトウェアのファイル名の解釈方法については、「IPS ソフトウェアのバージョン管理」を参照してください。

自動アップデートに関する問題

次のリストに、自動アップデートのトラブルシューティングに役立つ情報を示します。

TCPDUMP を実行します。

サービス アカウントを作成します。root に su し、さらにコマンド/コントロール インターフェイスで TCPDUMP を実行して、センサーと FTP サーバとの間のパケットをキャプチャします。

upgrade コマンドを使用して、センサーを手動でアップグレードします。

FTP サーバから返される TCPDUMP 出力でエラーを調べます。

センサーが正しいディレクトリ内にあることを確認します。

ディレクトリを正しく指定する必要があります。これが、Windows FTP サーバにおける問題の原因です。場合によっては、ディレクトリ名の前に余分に「/」を 1 つ、あるいは「/」を 2 つ付ける必要があります。

これを確認するには、固有の FTP 接続を介して送信された TCPDUMP 出力に示されているのと同じ FTP コマンドを使用します。

MS-DOS ファイル構造体ではなく UNIX ファイル構造体をエミュレートするには、Windows FTP サーバ セットアップ オプションを使用する必要があります。

SCP を使用する場合は、SSH ホスト キーを既知のホスト リストに必ず追加しておきます。

手動による upgrade コマンドを試してから、自動アップデートを試みます。 upgrade コマンドでは動作するが、自動アップデートでは動作しない場合は、次の手順を実行します。

現在のセンサーの IPS ソフトウェア バージョンを判断します。

自動アップデート用のパスワードが設定されていることを確認します。自動アップデートのパスワードは、手動アップデートで使用されるパスワードと一致する必要があります。

FTP サーバ内のファイル名が、Cisco.com の [Downloads] に表示されるものと同じであることを確認します。これには大文字の使用も含まれます。

一部の Windows FTP サーバは大文字化されていないファイルへのアクセスを許可しますが、名前が変更されているのでセンサーは最終的にファイルを拒否します。

必要であれば、自動アップデートで TCPDUMP を実行します。正常な手動アップデートを異常な自動アップデートと比較し、そこからトラブルシューティングを行うことができます。

詳細情報

サービス アカウントを作成する手順については、「サービス アカウントの作成」を参照してください。

センサーのイメージを再作成する手順については、「システム イメージのアップグレード、ダウングレード、およびインストール」を参照してください。

SSH 既知ホスト リストにホストを追加する手順については、「SSH の既知ホスト リストへのホストの追加」を参照してください。

ソフトウェア バージョンを判断する手順については、「バージョン情報の表示」を参照してください。

センサーに格納されたアップデートを使用してセンサーを更新する

アップデート パッケージをセンサー上の /var ディレクトリに格納し、必要に応じて、そこからセンサーを更新することができます。

センサーに格納されたアップデートを使用してセンサーを更新するには、次の手順を実行します。


ステップ 1 サーバ アカウントにログインします。

ステップ 2 Cisco.com からアップデート パッケージファイルを取得します。

ステップ 3 FTP または SCP を使用して、アップデート ファイルをセンサーの /usr/cids/idsRoot/var ディレクトリに送信します。

ステップ 4 ファイルの権限を設定します。

chmod 644 ips_package_file_name
 

ステップ 5 サービス アカウントを終了します。

ステップ 6 管理者権限を持つアカウントを使用して次のようにセンサーにログインします。

ステップ 7 センサーのホスト キーを格納します。

sensor# configure terminal
sensor(config)# service ssh
sensor(config-ssh)# rsa1-keys sensor_ip_address
 

ステップ 8 センサーをアップグレードします。

sensor(config)# upgrade scp://service@sensor_ip_address/upgrade/ips_package_file_name
Enter password: *****
Re-enter password: *****
 


 

詳細情報

Cisco IPS ソフトウェアを入手する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

IDM のトラブルシューティング


) これらの手順は、ASDM の IPS セクションにも適用されます。


ここでは、IDM のトラブルシューティング手順について取り上げます。次の項目について説明します。

「IDM を起動できない:Java アプレットのロードに失敗する」

「IDM を起動できない:分析エンジンがビジー」

「IDM、リモート マネージャ、またはセンシング インターフェイスがセンサーにアクセスできない」

「シグニチャがアラートを生成しない」

IDM を起動できない:Java アプレットのロードに失敗する

症状 ブラウザに Loading Cisco IDM.Please wait ... と表示され、ウィンドウの左下に Loading Java Applet Failed と表示される。

考えられる原因 この状況は、IDM を起動しようとしたマシンに複数の Java プラグインがインストールされている場合に発生することがあります。

推奨処置 Java キャッシュをクリアし、一時ファイルを削除して、使用しているブラウザの履歴をクリアします。これらのプラグインがデフォルトで使用されず、各アプレットが正しいプラグインを使用するようになります。

キャッシュをクリアするには、次の手順に従います。


ステップ 1 すべてのブラウザ ウィンドウを閉じます。

ステップ 2 Java Plug-in 1.3. x がインストールされている場合

a. [Start] > [Settings] > [Control Panel] > [Java Plug-in 1.3.x] をクリックします。

b. [Advanced] タブをクリックします。

c. [Java Runtime Environment] の下のドロップダウン メニューで、[JRE 1.3.x] を選択します。

d. [Cache] タブをクリックします。

e. [Clear] をクリックします。

ステップ 3 Java Plug-in 1.4. x がインストールされている場合

a. [Start] > [Settings] > [Control Panel] > [Java Plug-in 1.4.x] をクリックします。

b. [Advanced] タブをクリックします。

c. [Java Runtime Environment] の下のドロップダウン メニューで、[JRE 1.3.x] を選択します。

d. [Cache] タブをクリックします。

e. [Browser] タブをクリックします。

f. すべてのブラウザ チェック ボックスをオフにします。

g. [Clear Cache] をクリックします。

ステップ 4 一時ファイルを削除して、ブラウザの履歴をクリアします。


 

IDM を起動できない:分析エンジンがビジー

エラー メッセージ Error connecting to sensor. Failed to load sensor-errNotAvailable-Analysis Engine is busy. Exiting IDM.

考えられる原因 この状況は、センサーの分析エンジンがタスクの実行準備のためにビジー状態になり、IDM に応答しない場合に発生することがあります。

推奨処置 しばらく待ってから接続を再試行します。

IDM、リモート マネージャ、またはセンシング インターフェイスがセンサーにアクセスできない

IDM、リモート マネージャ、またはセンシング インターフェイスはセンサーにアクセスできないが、SSH または Telnet(イネーブルになっている場合)を使用してセンサー CLI にアクセスできる場合は、次の手順に従います。


ステップ 1 ネットワーク設定で、センサー上に設定されている Web サーバ ポートへのアクセスが許可されていることを確認します。

sensor# setup
 
 
--- System Configuration Dialog ---
 
At any point you may enter a question mark '?' for help.
User ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
 
 
Current Configuration:
 
 
service host
network-settings
host-ip 10.89.130.108/23,10.89.130.1
host-name sensor
telnet-option enabled
access-list 0.0.0.0/0
ftp-timeout 300
no login-banner-text
exit
time-zone-settings
offset 0
standard-time-zone-name UTC
exit
summertime-option disabled
ntp-option disabled
exit
service web-server
port 443
exit
 

ステップ 2 センサーとワークステーションの間にネットワーク デバイス(ルータ、スイッチ、ファイアウォールなど)がある場合、ワークステーションがセンサーの Web サーバ ポートにアクセスできるように、これらのデバイスが設定されていることを確認します。

すべてのリモート管理通信は、センサーの Web サーバで実行されます。


 

詳細情報

センサーで Telnet をイネーブルおよびディセーブルにする手順については、「Telnet のイネーブル化およびディセーブル化」を参照してください。

Web サーバを設定する手順については、「Web サーバ設定の変更」を参照してください。

シグニチャがアラートを生成しない


注意 イベント アクションを設定するたびに、他のアクションが追加されるわけではありません。実際には、イベント アクションを設定するたびに、イベント アクションのリストが置換されます。そのため、イベント アクションを設定するたびに、Produce Alert を設定する必要があります。

シグニチャが起動されたときにアラートが発生しない場合は、イベント アクションとして Produce Alert が設定されているかどうかを確認します。たとえば、Produce Alert を選択し、後で別のイベント アクションを追加して、Produce Alert を新しい設定に追加しなかった場合、アラートはイベント ストアに送信されません。アラートが発生していることを確認するには、仮想センサーおよびイベント ストアの統計情報をチェックします。

詳細情報

イベント アクションの詳細については、「イベント アクション」を参照してください。

イベント アクションを設定する手順については、「シグニチャへのアクションの割り当て」を参照してください。

仮想センサーおよびイベント ストアに関する統計情報を取得する手順については、「統計情報の表示」を参照してください。

IME のトラブルシューティング

ここでは、IME のトラブルシューティング ツールについて説明します。内容は次のとおりです。

「IME およびセンサーの時刻同期」

「サポートされていないというエラー メッセージ」

IME およびセンサーの時刻同期

症状 IME で、イベント ダッシュボードに No Data Available と表示される。履歴のクエリーではイベントが返されないが、イベントは IME に送信され、リアルタイム イベント ビューアには表示される。

考えられる原因 センサーと IME ローカル サーバとの間で時刻が同期されていません。IME ダッシュボードでは、IME の現地時刻からの相対時刻が使用されます。これらの時刻が同期されていない場合、クエリーで結果が返されません。センサーが IME に追加されると、時刻同期がチェックされ、正しくない場合は修正するように警告が表示されます。IME の [Home] > [Devices] > [Device List] にも、同期に関する問題を警告するクロックの警告が表示されます。

推奨処置 センサーまたは IME ローカル サーバの時刻設定を変更します。ほとんどの場合、誤った時刻またはデフォルトの時刻が設定されているセンサーの時刻を変更する必要があります。

詳細情報

時刻とセンサーの詳細については、「時刻源とセンサー」を参照してください。

センサーの時刻を変更する手順については、「センサーの時刻の修正」を参照してください。

サポートされていないというエラー メッセージ

症状 デバイス リスト テーブルおよびいくつかのガジェットに Not Supported と表示され、データが含まれない。

考えられる原因 [Details] をクリックして、このメッセージの説明を表示します。IME は、一部の情報を取得するために、IPS 6.1 以降を必要とします。IPS 5.0 以降および特定の IOS IPS バージョン用のイベント モニタリングおよびレポートでも IME は動作しますが、状態情報や統合設定など、一部の機能は使用できません。

推奨処置 IPS 6.1 以降にアップグレードします。

IDSM2 のトラブルシューティング

ここでは、特に、IDSM2 のトラブルシューティングについて説明します。内容は次のとおりです。

「IDSM2 の問題の診断」

「サポートされている IDSM2 の最小構成」

「トラブルシューティング用のスイッチ コマンド」

「ステータス LED が点灯しない」

「ステータス LED は点灯しているが、IDSM2 がオンラインにならない」

「IDSM2 コマンド/コントロール ポートと通信できない」

「TCP リセット インターフェイスの使用方法」

「IDSM2 へのシリアル ケーブルの接続」

IDSM2 の問題の診断

次のリストに示した内容に基づいて、IDSM2 の問題を診断します。

IDSM2 とマザーボードとの間のリボン ケーブルが緩んでいます。

モジュールを物理的に取り扱った際に、ベース カードからコネクタが外れ、ドーター カードとベース カードの接続が失われています。リボン ケーブル コネクタが外れると、ポート 7 および 8 にオンライン診断エラーが発生します。このような状態が生じている場合、モジュールは動作しません。

詳細については、Partner Field Notice 29877 を参照してください。

出荷された IDSM2 の一部に、DIMM に不具合があるものがありました。

IDSM2 をチェックしてメモリに障害がないかどうかを確認する手順については、Partner Field Notice 29837 を参照してください。

ハードディスク ドライブで読み書きができません。

ハードディスク ドライブが長期間(2 週間以上)、常時使用状態になっていると、次に示すような複数の症状が発生する可能性があります。

ログインできない

読み/書き動作を行う際のコンソールに対する I/O エラー( ls コマンド)

コマンドが正常に実行されない(実行ファイルへのパスを検出できない)

スイッチからのレポートでモジュールは ok であると示されていても、サービス アカウントにログインした場合やコマンドの実行を試みた場合に、問題の存在が明らかになります。4.1(4) サービス パックによってこの問題は多少解決されていますが、4.1(4) アプリケーション パーティション イメージで IDSM2 を再度イメージ化する場合は、4.1(4b) パッチを適用する必要があります。詳細については、CSCef12198 を参照してください。

ストリームベースのシグニチャに対して IP ロギングを有効にすると、SensorApp によって CPU がクラッシュしたり CPU が 99% 占有されてしまいます(1300 シリーズ)。回避策については、CSCed32093 を参照してください。

IDSM2 がロックされているように見え、リモート アクセスが禁止されます(SSH、Telnet、IDM、Event Server、Control Transaction Server、IP log Server)。

この不具合は SWAP の使用に関連しています。IDSM2 は ping に応答します。4.1(4) サービス パックを適用して、この問題を解決します。詳細については、CSCed54146 を参照してください。

IDSM2 をアップグレードして間もなく、または VMS でシグニチャを調整して間もなくすると、IDSM2 が応答しなくなり、多くの場合 SensorApp コア ファイルが生成されます。この問題には、4.1(4b) パッチを適用します。

サポートされる IDSM2 の設定を満たしていることを確認します。

IDSM2 に上記の問題がないことを確認し、それでも応答しない場合は(たとえば、SSH または Telnet でログインできない、スイッチにセッション接続できないなど)、IDSM2 が ping に応答するかどうか、およびサービス アカウントでログインできるかどうかを確認します。ログインが可能な場合は、cidDump とコア ファイルを取得し、TAC に連絡してください。

詳細情報

IDSM2 のソフトウェアのアーキテクチャは、4200 シリーズ センサーのものと同じです。「4200 シリーズ アプライアンスのトラブルシューティング」 に記載されたトラブルシューティング ツールと同じものを使用できます。

Bug Toolkit の詳細およびアクセス方法については、「Bug Toolkit」を参照してください。

サポートされている IDSM2 構成の一覧表については、「サポートされている IDSM2 の最小構成」を参照してください。

サポートされている IDSM2 の最小構成


) 次の表は、特定のバージョンを推奨するものではなく、サポートされる最小バージョンを示すものです。


表 C-3 に、サポートされている IDSM2 の最小構成を示します。

 

表 C-3 IDSM2 機能をサポートする Catalyst 6500 ソフトウェアの最小バージョン

Catalyst/IDSM2 機能
Catalyst ソフトウェア
Cisco IOS ソフトウェア
 
Sup1
Sup2
Sup32
Sup720
Sup1
Sup2
Sup32
Sup720

SPAN

7.5(1)

7.5(1)

8.4(1)

8.1(1)

12.1(19)E1

12.1(19)E1
12.2(18)SXF1

12.2(18)SXF1

12.2(14)SX1

VACL キャプチャ4

7.5(1)

7.5(1)

8.4(1)

8.1(1)

12.1(19)E1

12.1(19)E1
12.2(18)SXF1

12.2(18)SXF1

12.2(14)SX1

VACL キャプチャによる ECLB5

8.5(1)

8.5(1)

8.5(1)

8.5(1)

該当なし

12.2(18)SXF4

12.2(18)SXF1

12.2(18)SXE1

インライン インターフェイス ペア

8.4(1)

8.4(1)

8.4(1)

8.4(1)

該当なし

12.2(18)SXF4

12.2(18)SXF4

12.2(18)SXE1

インライン インターフェイス ペアによる ECLB

8.5(1)

8.5(1)

8.5(1)

8.5(1)

該当なし

12.2(18)SXF4

12.2(18)SXF4

12.2(18)SXF4

インライン VLAN ペア

8.4(1)

8.4(1)

8.4(1)

8.4(1)

該当なし

12.2(18)SXF4

12.2(18)SXF4

12.2(18)SXF4

インライン VLAN ペアによる ECLB

8.5(1)

8.5(1)

8.5(1)

8.5(1)

該当なし

12.2(18)SXF4

12.2(18)SXF4

12.2(18)SXF4

4.PFC2/3 または MSFC2/3 が必要です。

5.PFC2/3 または MSFC2/3 が必要です。

トラブルシューティング用のスイッチ コマンド

次のスイッチ コマンドは、IDSM2 のトラブルシューティングで役に立ちます。

show module( Catalyst ソフトウェアおよび Cisco IOS ソフトウェア)

show version (Catalyst ソフトウェアおよび Cisco IOS ソフトウェア)

show port (Catalyst ソフトウェア)

show trunk (Catalyst ソフトウェア)

show span (Catalyst ソフトウェア)

show security acl (Catalyst ソフトウェア)

show intrusion-detection module (Cisco IOS ソフトウェア)

show monitor (Cisco IOS ソフトウェア)

show vlan access-map (Cisco IOS ソフトウェア)

show vlan filter (Cisco IOS ソフトウェア)

ステータス LED が点灯しない

IDSM2 でステータス インジケータが点灯していない場合は、IDSM2 への電源をオンにする必要があります。


) IDSM2 を初めて取り付けたときに、ステータスが other を示すのは正常な動作です。IDSM2 の診断ルーチンが完了し、オンラインになると、ステータスは ok を示します。IDSM2 がオンラインになるまで、最大 5 分かかります。


IDSM2 のステータスを確認するには、次の手順に従います。


ステップ 1 コンソールにログインします。

ステップ 2 IDSM2 がオンラインであることを確認します。

Catalyst ソフトウェア

console> enable
 
Enter password:
console> (enable) show module
Mod Slot Ports Module-Type Model Sub Status
--- ---- ----- ------------------------- ------------------- --- --------
1 1 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes ok
15 1 1 Multilayer Switch Feature WS-F6K-MSFC no ok
2 2 48 10/100BaseTX Ethernet WS-X6248-RJ-45 no ok
3 3 48 10/100/1000BaseT Ethernet WS-X6548-GE-TX no ok
4 4 16 1000BaseX Ethernet WS-X6516A-GBIC no ok
6 6 8 Intrusion Detection Mod WS-SVC-IDSM2 yes ok
 
Mod Module-Name Serial-Num
--- -------------------- -----------
1 SAD041308AN
15 SAD04120BRB
2 SAD03475400
3 SAD073906RC
4 SAL0751QYN0
6 SAD062004LV
 
Mod MAC-Address(es) Hw Fw Sw
--- -------------------------------------- ------ ---------- ----------------
1 00-d0-c0-cc-0e-d2 to 00-d0-c0-cc-0e-d3 3.1 5.3.1 8.4(1)
00-d0-c0-cc-0e-d0 to 00-d0-c0-cc-0e-d1
00-30-71-34-10-00 to 00-30-71-34-13-ff
15 00-30-7b-91-77-b0 to 00-30-7b-91-77-ef 1.4 12.1(23)E2 12.1(23)E2
2 00-30-96-2b-c7-2c to 00-30-96-2b-c7-5b 1.1 4.2(0.24)V 8.4(1)
3 00-0d-29-f6-01-98 to 00-0d-29-f6-01-c7 5.0 7.2(1) 8.4(1)
4 00-0e-83-af-15-48 to 00-0e-83-af-15-57 1.0 7.2(1) 8.4(1)
6 00-e0-b0-ff-3b-80 to 00-e0-b0-ff-3b-87 0.102 7.2(0.67) 5.0(0.30)
 
Mod Sub-Type Sub-Model Sub-Serial Sub-Hw Sub-Sw
--- ----------------------- ------------------- ----------- ------ ------
1 L3 Switching Engine WS-F6K-PFC SAD041303G6 1.1
6 IDS 2 accelerator board WS-SVC-IDSUPG . 2.0
console> (enable)
 

Cisco IOS ソフトウェア

router# show module
Mod Ports Card Type Model Serial No.
--- ----- -------------------------------------- ------------------ -----------
1 48 48 port 10/100 mb RJ-45 ethernet WS-X6248-RJ-45 SAD0401012S
2 48 48 port 10/100 mb RJ45 WS-X6348-RJ-45 SAL04483QBL
3 48 SFM-capable 48 port 10/100/1000mb RJ45 WS-X6548-GE-TX SAD073906GH
5 8 Intrusion Detection System WS-SVC-IDSM2 SAD0751059U
6 16 SFM-capable 16 port 1000mb GBIC WS-X6516A-GBIC SAL0740MMYJ
7 2 Supervisor Engine 720 (Active) WS-SUP720-3BXL SAD08320L2T
9 1 1 port 10-Gigabit Ethernet Module WS-X6502-10GE SAD071903BT
11 8 Intrusion Detection System WS-SVC-IDSM2 SAD05380608
13 8 Intrusion Detection System WS-SVC-IDSM2 SAD072405D8
 
Mod MAC addresses Hw Fw Sw Status
--- ---------------------------------- ------ ------------ ------------ -------
1 00d0.d328.e2ac to 00d0.d328.e2db 1.1 4.2(0.24)VAI 8.5(0.46)ROC Ok
2 0003.6c14.e1d0 to 0003.6c14.e1ff 1.4 5.4(2) 8.5(0.46)ROC Ok
3 000d.29f6.7a80 to 000d.29f6.7aaf 5.0 7.2(1) 8.5(0.46)ROC Ok
5 0003.fead.651a to 0003.fead.6521 4.0 7.2(1) 5.0(1.1) Ok
6 000d.ed23.1658 to 000d.ed23.1667 1.0 7.2(1) 8.5(0.46)ROC Ok
7 0011.21a1.1398 to 0011.21a1.139b 4.0 8.1(3) 12.2(PIKESPE Ok
9 000d.29c1.41bc to 000d.29c1.41bc 1.3 Unknown Unknown PwrDown
11 00e0.b0ff.3340 to 00e0.b0ff.3347 0.102 7.2(0.67) 5.0(1.1) Ok
13 0003.feab.c850 to 0003.feab.c857 4.0 7.2(1) 5.0(1) Ok
 
Mod Sub-Module Model Serial Hw Status
--- --------------------------- ------------------ ------------ ------- -------
5 IDS 2 accelerator board WS-SVC-IDSUPG 07E91E508A 2.0 Ok
7 Policy Feature Card 3 WS-F6K-PFC3BXL SAD083305A1 1.3 Ok
7 MSFC3 Daughterboard WS-SUP720 SAD083206JX 2.1 Ok
11 IDS 2 accelerator board WS-SVC-IDSUPG . 2.0 Ok
13 IDS 2 accelerator board WS-SVC-IDSUPG 0347331976 2.0 Ok
 
Mod Online Diag Status
--- -------------------
1 Pass
2 Pass
3 Pass
5 Pass
6 Pass
7 Pass
9 Unknown
11 Pass
13 Pass
router#
 

ステップ 3 ステータスが ok にならないときは、モジュールをオンにします。

router# set module power up module_number
 


 

ステータス LED は点灯しているが、IDSM2 がオンラインにならない

ステータス インジケータは点灯しているが、IDSM2 がオンラインにならない場合は、次のトラブルシューティングのヒントに従ってください。

IDSM2 をリセットします。

IDSM2 がスイッチに適切に取り付けられていることを確認します。

ハードディスク ドライブのステータスに問題がある場合は、アプリケーション パーティションのイメージを再度作成します。

IDSM2 をイネーブルにするには、次の手順に従います。


ステップ 1 コンソールにログインします。

ステップ 2 IDSM2 がイネーブルになっていることを確認します。

router# show module
 

ステップ 3 ステータスが ok を示していない場合は、IDSM2 をイネーブルにします。

router# set module enable module_number
 

ステップ 4 それでも IDSM2 がオンラインにならない場合は、リセットします。

router# reset module_number
 

IDSM2 がオンラインになるまで、約 5 分間かかります。

ステップ 5 それでも IDSM2 がオンラインにならない場合は、ハードウェアとオペレーティング システムが ok であるかどうか確認します。

router# show test module_number
 

ステップ 6 port のステータスが fail を示している場合は、IDSM2 がスイッチにしっかりと接続されているか確認します。

ステップ 7 hdd ステータスが fail を示している場合は、アプリケーション パーティションのイメージを再作成する必要があります。


 

詳細情報

アプリケーション パーティションのイメージを再作成する手順については、「システム イメージのアップグレード、ダウングレード、およびインストール」を参照してください。

IDSM2 コマンド/コントロール ポートと通信できない

IDSM2 のコマンド/コントロール ポートと通信できない場合は、コマンド/コントロール ポートが正しい VLAN に置かれていない場合があります。

IDSM2 のコマンド/コントロール ポートと通信するには、次の手順を実行します。


ステップ 1 コンソールにログインします。

ステップ 2 ping を使用して他のシステムからコマンド ポートに接続できることを確認します。

ステップ 3 IP アドレス、マスク、およびゲートウェイ設定が正しいことを確認します。

router# show configuration
 

ステップ 4 コマンド/コントロール ポートが正しい VLAN 内にあることを確認します。

Catalyst ソフトウェア

console> (enable) show port 6/8
* = Configured MAC Address
 
# = 802.1X Authenticated Port Name.
 
Port Name Status Vlan Duplex Speed Type
----- -------------------- ---------- ---------- ------ ----------- ------------
6/8 connected trunk full 1000 IDS
 
 
Port Status ErrDisable Reason Port ErrDisableTimeout Action on Timeout
---- ---------- ------------------- ---------------------- -----------------
6/8 connected - Enable No Change
 
Port Align-Err FCS-Err Xmit-Err Rcv-Err UnderSize
----- ---------- ---------- ---------- ---------- ---------
6/8 0 0 0 0 0
 
Port Single-Col Multi-Coll Late-Coll Excess-Col Carri-Sen Runts Giants
----- ---------- ---------- ---------- ---------- --------- --------- ---------
6/8 0 0 0 0 0 0 -
 
Port Last-Time-Cleared
----- --------------------------
6/8 Wed Mar 2 2005, 15:29:49
 
Idle Detection
--------------
--
console> (enable)
 

Cisco IOS ソフトウェア

router# show intrusion-detection module 5 management-port state
Intrusion-detection module 5 management-port:
 
Switchport: Enabled
Administrative Mode: dynamic desirable
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Vlans allowed on trunk:1
Vlans allowed and active in management domain: 1
Vlans in spanning tree forwarding state and not pruned:
1
Access Vlan = 1
 
 
router#
 

ステップ 5 コマンド/コントロール ポートが正しい VLAN 内にない場合は、正しい VLAN 内に置きます。


 

詳細情報

IDSM2 へのコマンド/コントロール アクセスが可能になるようにスイッチを設定する手順については、「Catalyst 6500 シリーズ スイッチにおける IDSM2 へのコマンド/コントロール アクセスの設定」を参照してください。

TCP リセット インターフェイスの使用方法

IDSM2 には、TCP リセット インターフェイス(ポート 1)があります。IDSM2 は、センシング ポートに TCP リセットを送信できないので、専用の TCP リセット インターフェイスが用意されています。

IDSM2 TCP リセット インターフェイスにおいてリセット上の問題が発生した場合は、次の手順を試してください。

センシング ポートがアクセス ポート(1 つの VLAN)である場合、リセット ポートが同じ VLAN に存在するように設定する必要があります。

センシング ポートが dot1q トランク ポート(マルチ VLAN)である場合、このセンシング ポートとリセット ポートはすべて同じネイティブ VLAN を持つ必要があり、リセット ポートは両方のセンシング ポートによってトランク接続されている VLAN すべてにトランク接続されている必要があります。

詳細情報

IDSM2 の設定の詳細については、 「IDSM2 の設定」 を参照してください。

IDSM2 へのシリアル ケーブルの接続

IDSM2 上のシリアル コンソール ポートにシリアル ケーブルを直接接続することができます。これにより、スイッチおよびモジュールのネットワーク インターフェイスをバイパスできます。

シリアル ケーブルを IDSM2 に接続するには、次の手順を実行します。


ステップ 1 IDSM2 で 2 つの RJ-45 ポートの位置を特定します。

マザーボードのほぼ中心にあります。モジュールの前面プレートと向き合っている場合は、右側にある RJ-45 ポートがシリアル コンソール ポートです。

ステップ 2 ストレート型ケーブルを IDSM2 の右側のポートに接続し、ケーブルの他端をターミナル サーバ ポートに接続します。

ステップ 3 ターミナル サーバ ポートを 19200 ボー、8 ビット、パリティなしに設定します。これで IDSM2 に直接ログインできるようになります。


) シリアル ケーブルはシャーシの前方から引き出す必要があるため、IDSM2 へのシリアル ケーブルの接続は、スイッチ シャーシ内で IDSM2 の上にモジュールが配置されていない場合にのみ可能です。



 

AIP SSM のトラブルシューティング

ここでは、AIP SSM のトラブルシューティングについて説明します。内容は次のとおりです。

「ヘルスおよびステータス情報」

「AIP SSM およびデータ プレーン」

ヘルスおよびステータス情報

AIP SSM の全般的な状態を確認するには、 show module 1 details コマンドを使用します。

asa# show module 1 details
Getting details from the Service Module, please wait...
ASA 5500 Series Security Services Module-20
Model: ASA-SSM-20
Hardware version: 0.2
Serial Number: P2B000005D0
Firmware version: 1.0(10)0
Software version: 5.1(0.1)S153.0
Status: Up
Mgmt IP addr: 10.89.149.219
Mgmt web ports: 443
Mgmt TLS enabled: true
asa#
 

この出力では、AIP SSM がアップ状態であることが示されています。ステータスが Down の場合は、 hw-module module 1 reset コマンドを使用して、AIP SSM をリセットできます。

asa# hw-module module 1 reset
The module in slot 1 should be shut down before
resetting it or loss of configuration may occur.
Reset module in slot 1? [confirm]
Reset issued for module in slot 1
asa(config)# show module
 
Mod Card Type Model Serial No.
--- -------------------------------------------- ------------------ -----------
0 ASA 5520 Adaptive Security Appliance ASA5520 P2A00000014
1 ASA 5500 Series Security Services Module-10 ASA-SSM-10 P2A0000067U
 
Mod MAC Address Range Hw Version Fw Version Sw Version
--- --------------------------------- ------------ ------------ ---------------
0 000b.fcf8.7bdc to 000b.fcf8.7be0 0.2 1.0(10)0 7.0(1)
1 000b.fcf8.0176 to 000b.fcf8.0176 0.2 1.0(10)0 5.1(0.1)S153.0
 
Mod Status
--- ------------------
0 Up Sys
1 Shutting Down
****************************************************
asa(config)# show module
 
Mod Card Type Model Serial No.
--- -------------------------------------------- ------------------ -----------
0 ASA 5520 Adaptive Security Appliance ASA5520 P2A00000014
1 ASA 5500 Series Security Services Module-10 ASA-SSM-10 P2A0000067U
 
Mod MAC Address Range Hw Version Fw Version Sw Version
--- --------------------------------- ------------ ------------ ---------------
0 000b.fcf8.7bdc to 000b.fcf8.7be0 0.2 1.0(10)0 7.0(1)
1 000b.fcf8.0176 to 000b.fcf8.0176 0.2 1.0(10)0 5.1(0.1)S153.0
 
Mod Status
--- ------------------
0 Up Sys
1 Up
asa(config)#
 

AIP SSM の復旧で問題が生じた場合は、 debug module-boot コマンドを使用して、AIP SSM がブートするときの出力を確認します。TFTP サーバの正しい IP アドレスと、TFTP サーバの正しいファイルを使用していることを確認します。次に、 hw-module module 1 recover コマンドを使用して、モジュールを再度復旧します。

asa(config)# hw-module module 1 recover configure
Image URL [tftp://0.0.0.0/]: tftp://10.89.146.1/IPS-SSM-K9-sys-1.1-a-5.1-0.1.i$
Port IP Address [0.0.0.0]: 10.89.150.227
VLAN ID [0]:
Gateway IP Address [0.0.0.0]: 10.89.149.254
asa(config)# debug module-boot
debug module-boot enabled at level 1
asa(config)# hw-module module 1 recover boot
The module in slot 1 will be recovered. This may erase all configuration and all data on that device and attempt to download a new image for it.
Recover module in slot 1? [confirm]
Recover issued for module in slot 1
asa(config)# Slot-1 140> Cisco Systems ROMMON Version (1.0(10)0) #0: Fri Mar 25 23:02:10 PST 2005
Slot-1 141> Platform ASA-SSM-10
Slot-1 142> GigabitEthernet0/0
Slot-1 143> Link is UP
Slot-1 144> MAC Address: 000b.fcf8.0176
Slot-1 145> ROMMON Variable Settings:
Slot-1 146> ADDRESS=10.89.150.227
Slot-1 147> SERVER=10.89.146.1
Slot-1 148> GATEWAY=10.89.149.254
Slot-1 149> PORT=GigabitEthernet0/0
Slot-1 150> VLAN=untagged
Slot-1 151> IMAGE=IPS-SSM-K9-sys-1.1-a-5.1-0.1.img
Slot-1 152> CONFIG=
Slot-1 153> LINKTIMEOUT=20
Slot-1 154> PKTTIMEOUT=4
Slot-1 155> RETRY=20
Slot-1 156> tftp IPS-SSM-K9-sys-1.1-a-5.1-0.1.img@10.89.146.1 via 10.89.149.254
Slot-1 157> TFTP failure: Packet verify failed after 20 retries
Slot-1 158> Rebooting due to Autoboot error ...
Slot-1 159> Rebooting....
Slot-1 160> Cisco Systems ROMMON Version (1.0(10)0) #0: Fri Mar 25 23:02:10 PST 2005
Slot-1 161> Platform ASA-SSM-10
Slot-1 162> GigabitEthernet0/0
Slot-1 163> Link is UP
Slot-1 164> MAC Address: 000b.fcf8.0176
Slot-1 165> ROMMON Variable Settings:
Slot-1 166> ADDRESS=10.89.150.227
Slot-1 167> SERVER=10.89.146.1
Slot-1 168> GATEWAY=10.89.149.254
Slot-1 169> PORT=GigabitEthernet0/0
Slot-1 170> VLAN=untagged
Slot-1 171> IMAGE=IPS-SSM-K9-sys-1.1-a-5.1-0.1.img
Slot-1 172> CONFIG=
Slot-1 173> LINKTIMEOUT=20
Slot-1 174> PKTTIMEOUT=4
Slot-1 175> RETRY=20
Slot-1 176> tftp IPS-SSM-K9-sys-1.1-a-5.1-0.1.img@10.89.146.1 via 10.89.149.254
 

詳細情報

AIP SSM のソフトウェアのアーキテクチャは、4200 シリーズ センサーのものと同じです。「4200 シリーズ アプライアンスのトラブルシューティング」 に記載されたトラブルシューティング ツールと同じものを使用できます。

AIP SSM およびデータ プレーン

症状 シグニチャ アップデートを適用すると、AIP-SSM データ プレーンがアップ状態のままになる。AIP-SSM データ プレーンのステータスは、シグニチャ アップデートの間に show module コマンドを使用してチェックできます。

考えられる原因 バイパス モードがオフに設定されています。シグニチャをアップデートしているときに、CSM または IDM を使用してシグニチャ アップデートを適用していると、この問題が発生することがあります。IPS システム ソフトウェアをアップグレードするときには発生しません。

AIM IPS および NME IPS のトラブルシューティング

ここでは、IPS ネットワーク モジュールである AIM IPS および NME IPS のトラブルシューティングについて説明します。次のような構成になっています。

「他の IPS ネットワーク モジュールとの相互運用性」

他の IPS ネットワーク モジュールとの相互運用性


注意 NM-CIDS を NME IPS にアップグレードすることはできません。

Cisco アクセス ルータは、IDS/IPS モジュールをルータあたり 1 つだけサポートします。複数の IDS/IPS モジュールが取り付けられている場合、最も高性能なカードがイネーブルになります。最も高性能とは、次の階層で判断されます。

1. NME IPS

2. AIM IPS

3. NM-CIDS

たとえば、すべてのモジュールが取り付けられている場合、NME IPS によって、その他のすべてのモジュールがディセーブル化されます。AIM IPS によって、すべての NM-CIDS がディセーブル化されます。同じ性能レベルのモジュールが複数ある場合は、最初に検出されたものがイネーブルになり、その他はすべてディセーブルになります。

ディセーブルになっているモジュールの起動、イネーブル化、設定はできません。低い性能のモジュールを起動するには、最も高性能なモジュールをルータから取り外して、リブートする必要があります。ディセーブル化されているモジュールは、 show diag コマンドの出力でレポートされます。モジュールの状態は、存在するがディセーブルであるとレポートされます。

最も高性能なモジュールのスロットとポートが interface ids slot/port コンフィギュレーション コマンドと一致しない場合、最も高性能なモジュールがディセーブルになり、次の警告が表示されます。

The module in slot x will be disabled and configuration ignored.
 

設定を変更できるように、正しいスロット/ポート番号が表示されます。

詳細情報

NM-CIDS の詳細については、『 Introducing NM-CIDS 』および『 Installing NM-CIDS 』を参照してください。

情報の収集

次に示す CLI コマンドおよびスクリプトを使用すれば、問題が発生した際にセンサーに関する情報を収集し、センサーの状態を診断することができます。 show tech-support コマンドを使用してセンサーのすべての情報を収集することも、ここで示す他の個々のコマンドを使用して特定の情報を収集することもできます。

ここでは、センサーに関する情報を収集する方法について説明します。内容は次のとおりです。

「状態およびネットワーク セキュリティの情報」

「技術サポート情報」

「Version Information」

「統計情報」

「インターフェイス情報」

「イベント情報」

「cidDump スクリプト」

「Cisco FTP サイトへのファイルのアップロードおよびそのサイト上のファイルへのアクセス」

状態およびネットワーク セキュリティの情報

センサーのヘルス ステータス情報全体を表示するには、特権 EXEC モードで、 show health コマンドを使用します。ヘルス ステータス カテゴリは赤と緑によってレーティングされ、赤は重大なステータスを示します。


注意 センサーを最初に起動する場合は、センサーが完全に起動し、動作するまで、特定のヘルス メトリック ステータスが赤になることは正常です。

センサーのヘルス ステータス全体を表示するには、次の手順に従います。


ステップ 1 CLI にログインします。

ステップ 2 センサーのヘルス ステータスとセキュリティ ステータスを表示します。

sensor# show health
Overall Health Status Red
Health Status for Failed Applications Green
Health Status for Signature Updates Green
Health Status for License Key Expiration Red
Health Status for Running in Bypass Mode Green
Health Status for Interfaces Being Down Red
Health Status for the Inspection Load Green
Health Status for the Time Since Last Event Retrieval Green
Health Status for the Number of Missed Packets Green
Health Status for the Memory Usage Not Enabled
 
Security Status for Virtual Sensor vs0 Green
sensor#
 


 

技術サポート情報

show tech-support コマンドは、すべてのセンサー ステータスおよび設定情報をキャプチャするのに有用です。ここでは、 show tech-support コマンドについて説明します。内容は次のとおりです。

「show tech-support コマンドについて」

「技術サポート情報の表示」

「技術サポート コマンドの出力」

show tech-support コマンドについて


) TAC に連絡する前に show tech-support コマンドを必ず実行してください。


show tech-support コマンドはセンサーにおけるすべてのステータスと情報をキャプチャし、現在の設定、バージョン情報、cidDump 情報などが含まれます。出力は、大きくなり 1 MB を超えることもあります。出力はリモート システムに転送できます。

詳細情報

リモート システムに出力をコピーする手順については、「技術サポート情報の表示」を参照してください。

技術サポート情報の表示

画面にシステム情報を表示するか、特定の URL にシステム情報を送信するには、 show tech-support [ page ] [ destination-url destination_url ] コマンドを使用します。この情報は、TAC とのトラブルシューティング ツールとして使用できます。

次のパラメータはオプションです。

page :一度に 1 ページの情報として出力を表示します。

出力の次の行を表示するには、Enter を押します。次のページの情報を表示するには、スペースバーを押します。

destination-url :HTML としてフォーマットし、このコマンドの次に指定する宛先に送信する必要がある情報を示します。このキーワードを使用した場合、出力は画面に表示されません。

destination_url :HTML としてフォーマットする必要がある情報を示します。URL は、情報を送信する宛先を示します。このキーワードを使用しなかった場合、情報は画面に表示されます。

技術サポート情報を表示するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 画面上に出力を表示します。

sensor# show tech-support page
 

システム情報が画面上に一度に 1 ページずつ表示されます。次のページを表示するにはスペースバーを押します。プロンプトに戻るには、Ctrl キーを押した状態で C キーを押します。

ステップ 3 出力(HTML フォーマット)をファイルに送信するには、次の手順に従います。

a. 次のコマンドを入力し、その後に有効な宛先を指定します。

sensor# show tech-support destination-url destination_url
 

次に示す種類の宛先を指定できます。

ftp: :FTP ネットワーク サーバの宛先 URL です。このプレフィクスの構文は、 ftp:[[//username@location]/relativeDirectory]/filename または ftp:[[//username@location]//absoluteDirectory]/filename です。

scp: :SCP ネットワーク サーバの宛先 URL です。このプレフィクスの構文は、 scp:[[//username@]location]/relativeDirectory]/filename または scp:[[//username@]location]//absoluteDirectory]/filename です。

たとえば、技術サポート出力をファイル /absolute/reports/sensor1Report.html に送信するには、次のコマンドを入力します。

sensor# show tech support dest ftp://csidsuser@10.2.1.2//absolute/reports/sensor1Report.html
 

password: プロンプトが表示されます。

b. このユーザ アカウントのパスワードを入力します。 Generating report: メッセージが表示されます。


 

技術サポート コマンドの出力

show tech-support コマンド出力の例を次に示します。


) この出力例では、コマンドの先頭部分を示すと共に、インターフェイス、ARC、および cidDump サービスに関する情報を一覧表示します。


sensor# show tech-support page
System Status Report
This Report was generated on Wed Apr 8 21:42:39 2009.
Output from show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.0(4)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S383.0 2009-02-20
Virus Update V1.4 2007-03-02
OS Version: 2.4.30-IDS-smp-bigphys
Platform: IPS 4240-K9
Serial Number: JMX1013K020
No license present
Sensor up-time is 1 day.
Using 1421914112 out of 1984552960 bytes of available memory (71% usage)
system is using 16.5M out of 38.5M bytes of available disk space (43% usage)
application-data is using 43.5M out of 166.8M bytes of available disk space (27%
usage)
boot is using 40.5M out of 68.6M bytes of available disk space (62% usage)
application-log is using 123.5M out of 513.0M bytes of available disk space (24%
usage)
 
 
MainApp B-BEAU_2009_APR_07_08_00_7_0_0_118 (Release) 2009-04-07T0
8:05:05-0500 Running
AnalysisEngine B-BEAU_2009_APR_07_08_00_7_0_0_118 (Release) 2009-04-07T0
8:05:05-0500 Running
CollaborationApp B-BEAU_2009_APR_07_08_00_7_0_0_118 (Release) 2009-04-07T0
8:05:05-0500 Running
CLI B-BEAU_2009_APR_07_08_00_7_0_0_118 (Release) 2009-04-07T0
8:05:05-0500
 
Upgrade History:
 
IPS-K9-7.0-E4 21:41:28 UTC Mon Feb 22 2010
 
Recovery Partition Version 1.1 - 7.0(4)E4
 
Host Certificate Valid from: 08-Apr-2009 to 09-Apr-2011
 
 
Output from show interfaces
Interface Statistics
Total Packets Received = 0
Total Bytes Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/0
Interface function = Sensing interface
Description =
Media Type = TX
Default Vlan = 0
Inline Mode = Unpaired
Pair Status = N/A
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Link Status = Down
Admin Enabled Status = Disabled
Link Speed = N/A
Link Duplex = N/A
Missed Packet Percentage = 0
Total Packets Received = 0
Total Bytes Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface Management0/0
Interface function = Command-control interface
--MORE--
 

Version Information

show version コマンドは、センサー情報の取得に役立ちます。ここでは、 show version コマンドについて説明します。内容は次のとおりです。

「show version コマンドについて」

「バージョン情報の表示」

show version コマンドについて

show version コマンドは、基本的なセンサーの情報を示します。さらに、障害が発生している場所を示すことができます。次のような情報が提供されます。

実行中のアプリケーション

アプリケーションのバージョン

ディスクおよびメモリの用途

アプリケーションのアップグレード履歴


) IDM で同じ情報を取得するには、[Monitoring] > [Sensor Monitoring] > [Support Information] > [Diagnostics Report] を選択します。IME で同じ情報を取得するには、[Configuration] > sensor_name > [Sensor Monitoring] > [Support Information] > [Diagnostics Report] を選択します。


バージョン情報の表示

インストールされているすべてのオペレーティング システム パッケージ、シグニチャ パッケージ、およびシステムで実行中の IPS プロセスのバージョン情報を表示するには、 show version コマンドを使用します。システム全体の設定を表示するには、 more current-config コマンドを使用します。

バージョンおよび設定を表示するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 バージョン情報を表示します。

sensor# show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.0(4)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S383.0 2009-02-20
Virus Update V1.4 2007-03-02
OS Version: 2.4.30-IDS-smp-bigphys
Platform: IPS 4240-K9
Serial Number: JMX1013K020
No license present
Sensor up-time is 23:01.
Using 1421856768 out of 1984552960 bytes of available memory (71% usage)
system is using 16.5M out of 38.5M bytes of available disk space (43% usage)
application-data is using 43.5M out of 166.8M bytes of available disk space (27%
usage)
boot is using 40.5M out of 68.6M bytes of available disk space (62% usage)
application-log is using 123.5M out of 513.0M bytes of available disk space (24%
usage)
 
 
MainApp B-BEAU_2009_APR_07_08_00_7_0_0_118 (Release) 2009-04-07T0
8:05:05-0500 Running
AnalysisEngine B-BEAU_2009_APR_07_08_00_7_0_0_118 (Release) 2009-04-07T0
8:05:05-0500 Running
CollaborationApp B-BEAU_2009_APR_07_08_00_7_0_0_118 (Release) 2009-04-07T0
8:05:05-0500 Running
CLI B-BEAU_2009_APR_07_08_00_7_0_0_118 (Release) 2009-04-07T0
8:05:05-0500
 
Upgrade History:
 
IPS-K9-7.0-4-E4 21:41:28 UTC Mon Feb 22 2010
 
Recovery Partition Version 1.1 - 7.0(4)E4
 
Host Certificate Valid from: 08-Apr-2009 to 09-Apr-2011
sensor#

---MORE--- というプロンプトが表示された場合、スペースバーを押すと詳細な情報が表示され、Ctrl を押した状態で C を押すと出力がキャンセルされ CLI プロンプトに戻ります。


ステップ 3 設定情報を表示します。


more current-config または show configuration コマンドを使用できます。


sensor# more current-config
! ------------------------------
! Current configuration last modified Fri Apr 10 13:29:06 2009
! ------------------------------
! Version 7.0(1)
! Host:
! Realm Keys key1.0
! Signature Definition:
! Signature Update S383.0 2009-02-20
! Virus Update V1.4 2007-03-02
! ------------------------------
service interface
exit
! ------------------------------
service authentication
exit
! ------------------------------
service event-action-rules rules0
exit
! ------------------------------
service host
network-settings
host-ip 10.89.147.24/25,10.89.147.126
telnet-option enabled
access-list 0.0.0.0/0
exit
exit
! ------------------------------
service logger
exit
! ------------------------------
service network-access
exit
! ------------------------------
service notification
exit
! ------------------------------
service signature-definition sig0
exit
! ------------------------------
service ssh-known-hosts
exit
! ------------------------------
service trusted-certificates
exit
! ------------------------------
service web-server
exit
! ------------------------------
service anomaly-detection ad0
exit
! ------------------------------
service external-product-interface
exit
! ------------------------------
service health-monitor
exit
! ------------------------------
service global-correlation
exit
! ------------------------------
service analysis-engine
exit
sensor#
 


 

統計情報

show statistics コマンドは、センサーのサービスの状態を検査するのに有用です。ここでは、 show statistics コマンドについて説明します。内容は次のとおりです。

「show statistics コマンドについて」

「統計情報の表示」

show statistics コマンドについて

センサーのサービスの状態のスナップショットを表示するには、 show statistics コマンドを使用します。次のサービスから統計情報が提供されます。

分析エンジン

認証

拒否攻撃者

イベント サーバ

イベント ストア

ホスト

ロガー

Attack Response(以前の Network Access)

通知

SDEE サーバ

トランザクション サーバ

トランザクション ソース

仮想センサー

Web サーバ


) IDM で同じ情報を取得するには、[Monitoring] > [Sensor Monitoring] > [Support Information] > [Statistics] を選択します。IME で同じ情報を取得するには、[Configuration] > sensor_name > [Sensor Monitoring] > [Support Information] > [Statistics] を選択します。


統計情報の表示

すべての仮想センサーに対して各コンポーネントの統計情報を表示するには、 show statistics [analysis-engine | anomaly-detection | authentication | denied-attackers | event-server | event-store | external-product-interface | global-correlation | host | logger | network-access | notification | os-identification | sdee-server | transaction-server | virtual-sensor | web-server ] [ clear ] コマンドを使用します。

すべての仮想センサーに対して各コンポーネントの統計情報を表示するには、 show statistics { anomaly-detection | denied-attackers | os-identification | virtual-sensor } [ name | clear ] を使用します。仮想センサー名を指定した場合は、その仮想センサーの統計情報だけが表示されます。


clear オプションは、分析エンジン、異常検出、ホスト、ネットワーク アクセス、または OS ID アプリケーションでは使用できません。


センサーの統計情報を表示するには、次の手順に従います。


ステップ 1 CLI にログインします。

ステップ 2 分析エンジンの統計情報を表示します。

sensor# show statistics analysis-engine
Analysis Engine Statistics
Number of seconds since service started = 1421127
Measure of the level of current resource utilization = 0
Measure of the level of maximum resource utilization = 0
The rate of TCP connections tracked per second = 0
The rate of packets per second = 0
The rate of bytes per second = 0
Receiver Statistics
Total number of packets processed since reset = 0
Total number of IP packets processed since reset = 0
Transmitter Statistics
Total number of packets transmitted = 0
Total number of packets denied = 0
Total number of packets reset = 0
Fragment Reassembly Unit Statistics
Number of fragments currently in FRU = 0
Number of datagrams currently in FRU = 0
TCP Stream Reassembly Unit Statistics
TCP streams currently in the embryonic state = 0
TCP streams currently in the established state = 0
TCP streams currently in the closing state = 0
TCP streams currently in the system = 0
TCP Packets currently queued for reassembly = 0
The Signature Database Statistics.
Total nodes active = 0
TCP nodes keyed on both IP addresses and both ports = 0
UDP nodes keyed on both IP addresses and both ports = 0
IP nodes keyed on both IP addresses = 0
Statistics for Signature Events
Number of SigEvents since reset = 0
Statistics for Actions executed on a SigEvent
Number of Alerts written to the IdsEventStore = 0
sensor#
 

ステップ 3 異常検出の統計情報を表示します。

sensor# show statistics anomaly-detection
Statistics for Virtual Sensor vs0
No attack
Detection - ON
Learning - ON
Next KB rotation at 10:00:01 UTC Sat Jan 18 2008
Internal Zone
TCP Protocol
UDP Protocol
Other Protocol
External Zone
TCP Protocol
UDP Protocol
Other Protocol
Illegal Zone
TCP Protocol
UDP Protocol
Other Protocol
Statistics for Virtual Sensor vs1
No attack
Detection - ON
Learning - ON
Next KB rotation at 10:00:00 UTC Sat Jan 18 2008
Internal Zone
TCP Protocol
UDP Protocol
Other Protocol
External Zone
TCP Protocol
UDP Protocol
Other Protocol
Illegal Zone
TCP Protocol
UDP Protocol
Other Protocol
sensor-4240#
 

ステップ 4 認証の統計情報を表示します。

sensor# show statistics authentication
General
totalAuthenticationAttempts = 128
failedAuthenticationAttempts = 0
sensor#
 

ステップ 5 システムで拒否された攻撃者の統計情報を表示します。

sensor# show statistics denied-attackers
Denied Attackers and hit count for each.
Denied Attackers and hit count for each.
Statistics for Virtual Sensor vs0
Denied Attackers with percent denied and hit count for each.
 
 
Denied Attackers with percent denied and hit count for each.
 
 
Statistics for Virtual Sensor vs1
Denied Attackers with percent denied and hit count for each.
 
 
Denied Attackers with percent denied and hit count for each.
 
 
sensor#
 

ステップ 6 イベント サーバの統計情報を表示します。

sensor# show statistics event-server
General
openSubscriptions = 0
blockedSubscriptions = 0
Subscriptions
sensor#
 

ステップ 7 イベント ストアの統計情報を表示します。

sensor# show statistics event-store
Event store statistics
General information about the event store
The current number of open subscriptions = 2
The number of events lost by subscriptions and queries = 0
The number of queries issued = 0
The number of times the event store circular buffer has wrapped = 0
Number of events of each type currently stored
Debug events = 0
Status events = 9904
Log transaction events = 0
Shun request events = 61
Error events, warning = 67
Error events, error = 83
Error events, fatal = 0
Alert events, informational = 60
Alert events, low = 1
Alert events, medium = 60
Alert events, high = 0
sensor#
 

ステップ 8 グローバル相関の統計情報を表示します。

sensor# show statistics global-correlation
Network Participation:
Counters:
Total Connection Attempts = 0
Total Connection Failures = 0
Connection Failures Since Last Success = 0
Connection History:
Updates:
Status Of Last Update Attempt = Disabled
Time Since Last Successful Update = never
Counters:
Update Failures Since Last Success = 0
Total Update Attempts = 0
Total Update Failures = 0
Update Interval In Seconds = 300
Update Server = update-manifests.ironport.com
Update Server Address = Unknown
Current Versions:
Warnings:
Unlicensed = Global correlation inspection and reputation filtering have been
disabled because the sensor is unlicensed.
Action Required = Obtain a new license from http://www.cisco.com/go/license.
sensor#
 

ステップ 9 ホストの統計情報を表示します。

sensor# show statistics host
General Statistics
Last Change To Host Config (UTC) = 16:11:05 Thu Feb 10 2008
Command Control Port Device = FastEthernet0/0
Network Statistics
fe0_0 Link encap:Ethernet HWaddr 00:0B:46:53:06:AA
inet addr:10.89.149.185 Bcast:10.89.149.255 Mask:255.255.255.128
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1001522 errors:0 dropped:0 overruns:0 frame:0
TX packets:469569 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:57547021 (54.8 Mib) TX bytes:63832557 (60.8 MiB)
Interrupt:9 Base address:0xf400 Memory:c0000000-c0000038
NTP Statistics
status = Not applicable
Memory Usage
usedBytes = 500592640
freeBytes = 8855552
totalBytes = 509448192
Swap Usage
Used Bytes = 77824
Free Bytes = 600649728
 
Total Bytes = 600727552
CPU Statistics
Usage over last 5 seconds = 0
Usage over last minute = 1
Usage over last 5 minutes = 1
Memory Statistics
Memory usage (bytes) = 500498432
Memory free (bytes) = 894976032
Auto Update Statistics
lastDirectoryReadAttempt = 15:26:33 CDT Tue Jun 17 2008
= Read directory: http://tester@198.133.219.243//cisco/ciscosecure/ips/6.x/sigup/
= Success
lastDownloadAttempt = 15:26:33 CDT Tue Jun 17 2008
= Download: http://bmarquardt@198.133.219.243//cisco/ciscosecure/ips/6.x/sigup/IPS-
sig-S338-req-E1.pkg
= Error: httpResponse status returned: Unauthorized
lastInstallAttempt = N/A
nextAttempt = 16:26:30 CDT Tue Jun 17 2008
 
sensor#
 

ステップ 10 ロギング アプリケーションの統計情報を表示します。

sensor# show statistics logger
The number of Log interprocessor FIFO overruns = 0
The number of syslog messages received = 11
The number of <evError> events written to the event store by severity
Fatal Severity = 0
Error Severity = 64
Warning Severity = 35
TOTAL = 99
The number of log messages written to the message log by severity
Fatal Severity = 0
Error Severity = 64
Warning Severity = 24
Timing Severity = 311
Debug Severity = 31522
Unknown Severity = 7
TOTAL = 31928
sensor#
 

ステップ 11 ARC の統計情報を表示します。

sensor# show statistics network-access
Current Configuration
LogAllBlockEventsAndSensors = true
EnableNvramWrite = false
EnableAclLogging = false
AllowSensorBlock = false
BlockMaxEntries = 11
MaxDeviceInterfaces = 250
NetDevice
Type = PIX
IP = 10.89.150.171
NATAddr = 0.0.0.0
Communications = ssh-3des
NetDevice
Type = PIX
IP = 10.89.150.219
NATAddr = 0.0.0.0
Communications = ssh-des
NetDevice
Type = PIX
IP = 10.89.150.250
NATAddr = 0.0.0.0
Communications = telnet
NetDevice
Type = Cisco
IP = 10.89.150.158
NATAddr = 0.0.0.0
Communications = telnet
BlockInterface
InterfaceName = ethernet0/1
InterfaceDirection = out
InterfacePostBlock = Post_Acl_Test
BlockInterface
InterfaceName = ethernet0/1
InterfaceDirection = in
InterfacePreBlock = Pre_Acl_Test
InterfacePostBlock = Post_Acl_Test
NetDevice
Type = CAT6000_VACL
IP = 10.89.150.138
NATAddr = 0.0.0.0
Communications = telnet
BlockInterface
InterfaceName = 502
InterfacePreBlock = Pre_Acl_Test
BlockInterface
InterfaceName = 507
InterfacePostBlock = Post_Acl_Test
State
BlockEnable = true
NetDevice
IP = 10.89.150.171
AclSupport = Does not use ACLs
Version = 6.3
State = Active
Firewall-type = PIX
NetDevice
IP = 10.89.150.219
AclSupport = Does not use ACLs
Version = 7.0
State = Active
Firewall-type = ASA
NetDevice
IP = 10.89.150.250
AclSupport = Does not use ACLs
Version = 2.2
State = Active
Firewall-type = FWSM
NetDevice
IP = 10.89.150.158
AclSupport = uses Named ACLs
Version = 12.2
State = Active
NetDevice
IP = 10.89.150.138
AclSupport = Uses VACLs
Version = 8.4
State = Active
BlockedAddr
Host
IP = 22.33.4.5
Vlan =
ActualIp =
BlockMinutes =
Host
IP = 21.21.12.12
Vlan =
ActualIp =
BlockMinutes =
Host
IP = 122.122.33.4
Vlan =
ActualIp =
BlockMinutes = 60
MinutesRemaining = 24
Network
IP = 111.22.0.0
Mask = 255.255.0.0
BlockMinutes =
sensor#
 

ステップ 12 通知アプリケーションの統計情報を表示します。

sensor# show statistics notification
General
Number of SNMP set requests = 0
Number of SNMP get requests = 0
Number of error traps sent = 0
Number of alert traps sent = 0
sensor#
 

ステップ 13 OS ID の統計情報を表示します。

sensor# show statistics os-identification
Statistics for Virtual Sensor vs0
OS Identification
Configured
Imported
Learned
sensor#
 

ステップ 14 SDEE サーバの統計情報を表示します。

sensor# show statistics sdee-server
General
Open Subscriptions = 0
Blocked Subscriptions = 0
Maximum Available Subscriptions = 5
Maximum Events Per Retrieval = 500
Subscriptions
sensor#
 

ステップ 15 トランザクション サーバの統計情報を表示します。

sensor# show statistics transaction-server
General
totalControlTransactions = 35
failedControlTransactions = 0
sensor#
 

ステップ 16 仮想センサーの統計情報を表示します。

sensor# show statistics virtual-sensor vs0
Statistics for Virtual Sensor vs0
Name of current Signature-Definition instance = sig0
Name of current Event-Action-Rules instance = rules0
List of interfaces monitored by this virtual sensor =
General Statistics for this Virtual Sensor
Number of seconds since a reset of the statistics = 1421711
Measure of the level of resource utilization = 0
Total packets processed since reset = 0
Total IP packets processed since reset = 0
Total packets that were not IP processed since reset = 0
Total TCP packets processed since reset = 0
Total UDP packets processed since reset = 0
Total ICMP packets processed since reset = 0
Total packets that were not TCP, UDP, or ICMP processed since reset =
Total ARP packets processed since reset = 0
Total ISL encapsulated packets processed since reset = 0
Total 802.1q encapsulated packets processed since reset = 0
Total packets with bad IP checksums processed since reset = 0
Total packets with bad layer 4 checksums processed since reset = 0
Total number of bytes processed since reset = 0
The rate of packets per second since reset = 0
The rate of bytes per second since reset = 0
The average bytes per packet since reset = 0
Denied Address Information
Number of Active Denied Attackers = 0
Number of Denied Attackers Inserted = 0
Number of Denied Attacker Victim Pairs Inserted = 0
Number of Denied Attacker Service Pairs Inserted = 0
Number of Denied Attackers Total Hits = 0
Number of times max-denied-attackers limited creation of new entry = 0
Number of exec Clear commands during uptime = 0
Denied Attackers and hit count for each.
Denied Attackers with percent denied and hit count for each.
 
 
The Signature Database Statistics.
The Number of each type of node active in the system (can not be reset
Total nodes active = 0
TCP nodes keyed on both IP addresses and both ports = 0
UDP nodes keyed on both IP addresses and both ports = 0
IP nodes keyed on both IP addresses = 0
The number of each type of node inserted since reset
Total nodes inserted = 0
TCP nodes keyed on both IP addresses and both ports = 0
UDP nodes keyed on both IP addresses and both ports = 0
IP nodes keyed on both IP addresses = 0
The rate of nodes per second for each time since reset
Nodes per second = 0
TCP nodes keyed on both IP addresses and both ports per second = 0
UDP nodes keyed on both IP addresses and both ports per second = 0
IP nodes keyed on both IP addresses per second = 0
The number of root nodes forced to expire because of memory constraint
TCP nodes keyed on both IP addresses and both ports = 0
Packets dropped because they would exceed Database insertion rate limit
s = 0
Fragment Reassembly Unit Statistics for this Virtual Sensor
Number of fragments currently in FRU = 0
Number of datagrams currently in FRU = 0
Number of fragments received since reset = 0
Number of fragments forwarded since reset = 0
Number of fragments dropped since last reset = 0
Number of fragments modified since last reset = 0
Number of complete datagrams reassembled since last reset = 0
Fragments hitting too many fragments condition since last reset = 0
Number of overlapping fragments since last reset = 0
Number of Datagrams too big since last reset = 0
Number of overwriting fragments since last reset = 0
Number of Initial fragment missing since last reset = 0
Fragments hitting the max partial dgrams limit since last reset = 0
Fragments too small since last reset = 0
Too many fragments per dgram limit since last reset = 0
Number of datagram reassembly timeout since last reset = 0
Too many fragments claiming to be the last since last reset = 0
Fragments with bad fragment flags since last reset = 0
TCP Normalizer stage statistics
Packets Input = 0
Packets Modified = 0
Dropped packets from queue = 0
Dropped packets due to deny-connection = 0
Current Streams = 0
Current Streams Closed = 0
Current Streams Closing = 0
Current Streams Embryonic = 0
Current Streams Established = 0
Current Streams Denied = 0
Statistics for the TCP Stream Reassembly Unit
Current Statistics for the TCP Stream Reassembly Unit
TCP streams currently in the embryonic state = 0
TCP streams currently in the established state = 0
TCP streams currently in the closing state = 0
TCP streams currently in the system = 0
TCP Packets currently queued for reassembly = 0
Cumulative Statistics for the TCP Stream Reassembly Unit since reset
TCP streams that have been tracked since last reset = 0
TCP streams that had a gap in the sequence jumped = 0
TCP streams that was abandoned due to a gap in the sequence = 0
TCP packets that arrived out of sequence order for their stream = 0
TCP packets that arrived out of state order for their stream = 0
The rate of TCP connections tracked per second since reset = 0
SigEvent Preliminary Stage Statistics
Number of Alerts received = 0
Number of Alerts Consumed by AlertInterval = 0
Number of Alerts Consumed by Event Count = 0
Number of FireOnce First Alerts = 0
Number of FireOnce Intermediate Alerts = 0
Number of Summary First Alerts = 0
Number of Summary Intermediate Alerts = 0
Number of Regular Summary Final Alerts = 0
Number of Global Summary Final Alerts = 0
Number of Active SigEventDataNodes = 0
Number of Alerts Output for further processing = 0
SigEvent Action Override Stage Statistics
Number of Alerts received to Action Override Processor = 0
Number of Alerts where an override was applied = 0
Actions Added
deny-attacker-inline = 0
deny-attacker-victim-pair-inline = 0
deny-attacker-service-pair-inline = 0
deny-connection-inline = 0
deny-packet-inline = 0
modify-packet-inline = 0
log-attacker-packets = 0
log-pair-packets = 0
log-victim-packets = 0
produce-alert = 0
produce-verbose-alert = 0
request-block-connection = 0
request-block-host = 0
request-snmp-trap = 0
reset-tcp-connection = 0
request-rate-limit = 0
SigEvent Action Filter Stage Statistics
Number of Alerts received to Action Filter Processor = 0
Number of Alerts where an action was filtered = 0
Number of Filter Line matches = 0
Number of Filter Line matches causing decreased DenyPercentage = 0
Actions Filtered
deny-attacker-inline = 0
deny-attacker-victim-pair-inline = 0
deny-attacker-service-pair-inline = 0
deny-connection-inline = 0
deny-packet-inline = 0
modify-packet-inline = 0
log-attacker-packets = 0
log-pair-packets = 0
log-victim-packets = 0
produce-alert = 0
produce-verbose-alert = 0
request-block-connection = 0
request-block-host = 0
request-snmp-trap = 0
reset-tcp-connection = 0
request-rate-limit = 0
SigEvent Action Handling Stage Statistics.
Number of Alerts received to Action Handling Processor = 0
Number of Alerts where produceAlert was forced = 0
Number of Alerts where produceAlert was off = 0
Actions Performed
deny-attacker-inline = 0
deny-attacker-victim-pair-inline = 0
deny-attacker-service-pair-inline = 0
deny-connection-inline = 0
deny-packet-inline = 0
modify-packet-inline = 0
log-attacker-packets = 0
log-pair-packets = 0
log-victim-packets = 0
produce-alert = 0
produce-verbose-alert = 0
--MORE--
 

ステップ 17 Web サーバの統計情報を表示します。

sensor# show statistics web-server
listener-443
number of server session requests handled = 61
number of server session requests rejected = 0
total HTTP requests handled = 35
maximum number of session objects allowed = 40
number of idle allocated session objects = 10
number of busy allocated session objects = 0
crypto library version = 6.0.3
sensor#
 

ステップ 18 ロギング アプリケーションなど、アプリケーションの統計情報をクリアします。

sensor# show statistics logger clear
The number of Log interprocessor FIFO overruns = 0
The number of syslog messages received = 141
The number of <evError> events written to the event store by severity
Fatal Severity = 0
Error Severity = 14
Warning Severity = 142
TOTAL = 156
The number of log messages written to the message log by severity
Fatal Severity = 0
Error Severity = 14
Warning Severity = 1
Timing Severity = 0
Debug Severity = 0
Unknown Severity = 28
TOTAL = 43
 

統計情報は取得され、クリアされました。

ステップ 19 統計情報がクリアされたことを確認します。

sensor# show statistics logger
The number of Log interprocessor FIFO overruns = 0
The number of syslog messages received = 0
The number of <evError> events written to the event store by severity
Fatal Severity = 0
Error Severity = 0
Warning Severity = 0
TOTAL = 0
The number of log messages written to the message log by severity
Fatal Severity = 0
Error Severity = 0
Warning Severity = 0
Timing Severity = 0
Debug Severity = 0
Unknown Severity = 0
TOTAL = 0
sensor#
 

統計情報はすべて 0 から始まります。


 

インターフェイス情報

show interfaces コマンドは、センシング インターフェイスおよびコマンド/コントロール インターフェイスに関する情報を収集するために有用です。ここでは、 show interfaces コマンドについて説明します。内容は次のとおりです。

「show interfaces コマンドについて」

「インターフェイス コマンドの出力」

show interfaces コマンドについて

show interfaces コマンドにより次の情報を把握することができます。

インターフェイスがアップ状態かダウン状態かどうか

パケットが監視されているかどうか、どのインターフェイスでそれが行われるかどうか

SensorApp によってパケットがドロップされているかどうか

パケット ドロップを生じるようなエラーがインターフェイスによってレポートされているかどうか

show interfaces コマンドは、すべてのシステム インターフェイスの統計情報を表示します。または、個々のコマンドを使用して、コマンド/コントロール インターフェイスの統計情報( show interfaces command_control_interface_name )や、センシング インターフェイスの統計情報( show interfaces interface_name )を表示できます。

インターフェイス コマンドの出力

次に、 show interfaces コマンドの出力例を示します。

sensor# show interfaces
Interface Statistics
Total Packets Received = 0
Total Bytes Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/1
Media Type = backplane
Missed Packet Percentage = 0
Inline Mode = Unpaired
Pair Status = N/A
Link Status = Up
Link Speed = Auto_1000
Link Duplex = Auto_Full
Total Packets Received = 0
Total Bytes Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface GigabitEthernet0/0
Media Type = TX
Link Status = Up
Link Speed = Auto_100
Link Duplex = Auto_Full
Total Packets Received = 2211296
Total Bytes Received = 157577635
Total Multicast Packets Received = 20
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 239723
Total Bytes Transmitted = 107213390
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
sensor#
 

イベント情報

show events コマンドを使用すれば、SensorApp によって生成されたアラートおよびアプリケーションによって生成されたエラーを表示できます。ここでは、 show events コマンドについて説明します。内容は次のとおりです。

「センサーのイベント」

「show events コマンドについて」

「イベントの表示」

「イベントのクリア」

センサーのイベント

5 種類のイベントがあります。

evAlert:侵入検知アラート

evError:アプリケーション エラー

evStatus:ステータスの変更(IP ログの作成など)

evLogTransaction:各センサー アプリケーションによって処理されるコントロール トランザクションのレコード

evShunRqst:ブロックの要求

イベントは、新しいイベントによって上書きされるまでイベント ストアにとどまります。

show events コマンドについて

show events コマンドは、Event Viewer または Security Monitor でイベントを確認できないといった、イベント キャプチャの問題をトラブルシューティングする際に有用です。 show events コマンドを使用すれば、イベントが生成されていることを確認するためにセンサー上でどのイベントが生成されているかを特定し、モニタリング側に障害があるかどうかを判定することができます。

イベント ストアからすべてのイベントをクリアするには、 clear events コマンドを使用します。

ここで、 show events コマンドのパラメータを示します。

sensor# show events
<cr>
alert Display local system alerts.
error Display error events.
hh:mm[:ss] Display start time.
log Display log events.
nac Display NAC shun events.
past Display events starting in the past specified time.
status Display status events.
| Output modifiers.
 

イベントの表示

イベント ストアのイベントを表示するには、 show events [{ alert [informational] [low] [medium] [high] [ include-traits traits ] [ exclude-traits traits ] [ min-threat-rating min-rr ] [ max-threat-rating max-rr ] | error [warning] [error] [fatal] | NAC | status }] [ hh:mm:ss [ month day [ year ]] | past hh:mm:ss ] コマンドを使用します。

イベントは、開始時刻から表示されます。開始時刻を指定しなかった場合、イベントは現在の時刻から表示されます。イベント タイプを指定しない場合は、すべてのイベントが表示されます。


) イベントは、ライブ フィードとして表示されます。要求をキャンセルするには、Ctrl キーを押した状態で C キーを押します。


次のオプションが適用されます。

alert :アラートを表示します。攻撃が進行中であるか試みられたことを示す可能性がある、ある種の疑わしいアクティビティを通知します。アラート イベントは、シグニチャがネットワーク アクティビティによってトリガーされるたびに、分析エンジンによって生成されます。

レベル(informational、low、medium、または high)を選択しなかった場合は、すべてのアラート イベントが表示されます。

include-traits :指定した特性があるアラートを表示します。

exclude-traits :指定した特性があるアラートを表示しません。

traits :10 進数での特性ビット位置(0 ~ 15)。

min-threat-rating :脅威レーティングがこの値以上のイベントを表示します。デフォルトは 0 です。有効な範囲は 0 ~ 100 です。

max-threat-rating:脅威レーティングがこの値以下のイベントを表示します。デフォルトは 100 です。有効な範囲は 0 ~ 100 です。

error :エラー イベントを表示します。エラー イベントは、エラー条件が生じた場合に、サービスによって生成されます。

レベル(warning、error、または fatal)を選択しなかった場合は、すべてのエラー イベントが表示されます。

NAC :ARC(ブロック)要求を表示します。


) ARC は、以前は NAC と呼ばれていました。この名前変更は、IDM、IME、および CLI for Cisco IPS 7.0 全体に完全には適用されていません。


status :ステータス イベントを表示します。

past :指定した時間、分、および秒で、過去に開始されたイベントを表示します。

hh:mm:ss :表示を開始する過去の時間、分、および秒。


show events コマンドを実行すると、指定したイベントが見つかるまで、イベントが表示され続けます。終了するには、Ctrl キーを押した状態で C キーを押します。


イベント ストアからイベントを表示するには、次の手順に従います。


ステップ 1 CLI にログインします。

ステップ 2 現在から始まるすべてのイベントを表示します。

sensor#@ show events
evError: eventId=1041472274774840147 severity=warning vendor=Cisco
originator:
hostId: sensor2
appName: cidwebserver
appInstanceId: 12075
time: 2008/01/07 04:41:45 2008/01/07 04:41:45 UTC
errorMessage: name=errWarning received fatal alert: certificate_unknown
 
evError: eventId=1041472274774840148 severity=error vendor=Cisco
originator:
hostId: sensor2
appName: cidwebserver
appInstanceId: 351
time: 2008/01/07 04:41:45 2008/01/07 04:41:45 UTC
errorMessage: name=errTransport WebSession::sessionTask(6) TLS connection exce
ption: handshake incomplete.
 

Ctrl キーを押した状態で C キーを押すまで、すべてのイベントが表示され続けます。

ステップ 3 2008 年 2 月 9 日、午前 10:00 以降のブロック要求を表示します。

sensor# show events NAC 10:00:00 Feb 9 2008
evShunRqst: eventId=1106837332219222281 vendor=Cisco
originator:
deviceName: Sensor1
appName: NetworkAccessControllerApp
appInstance: 654
time: 2008/02/09 10:33:31 2008/08/09 13:13:31
shunInfo:
host: connectionShun=false
srcAddr: 11.0.0.1
destAddr:
srcPort:
destPort:
protocol: numericType=0 other
timeoutMinutes: 40
evAlertRef: hostId=esendHost 123456789012345678
sensor#
 

ステップ 4 2008 年 2 月 9 日、午前 10:00 以降の warning レベルのエラーを表示します。

sensor# show events error warning 10:00:00 Feb 9 2008
evError: eventId=1041472274774840197 severity=warning vendor=Cisco
originator:
hostId: sensor
appName: cidwebserver
appInstanceId: 12160
time: 2008/01/07 04:49:25 2008/01/07 04:49:25 UTC
errorMessage: name=errWarning received fatal alert: certificate_unknown
 

ステップ 5 過去 45 秒間のアラートを表示します。

sensor# show events alert past 00:00:45
 
evIdsAlert: eventId=1109695939102805307 severity=medium vendor=Cisco
originator:
hostId: sensor
appName: sensorApp
appInstanceId: 367
time: 2008/03/02 14:15:59 2008/03/02 14:15:59 UTC
signature: description=Nachi Worm ICMP Echo Request id=2156 version=S54
subsigId: 0
sigDetails: Nachi ICMP
interfaceGroup:
vlan: 0
participants:
attacker:
addr: locality=OUT 10.89.228.202
target:
addr: locality=OUT 10.89.150.185
riskRatingValue: 70
interface: fe0_1
protocol: icmp
 
 
evIdsAlert: eventId=1109695939102805308 severity=medium vendor=Cisco
originator:
--MORE--
 

ステップ 6 過去 30 秒間に開始されたイベントを表示します。

sensor# show events past 00:00:30
evStatus: eventId=1041526834774829055 vendor=Cisco
originator:
hostId: sensor
appName: mainApp
appInstanceId: 2215
time: 2008/01/08 02:41:00 2008/01/08 02:41:00 UTC
controlTransaction: command=getVersion successful=true
description: Control transaction response.
requestor:
user: cids
application:
hostId: 64.101.182.101
appName: -cidcli
appInstanceId: 2316
 
 
evStatus: eventId=1041526834774829056 vendor=Cisco
originator:
hostId: sensor
appName: login(pam_unix)
appInstanceId: 2315
time: 2008/01/08 02:41:00 2008/01/08 02:41:00 UTC
syslogMessage:
description: session opened for user cisco by cisco(uid=0)
 


 

イベントのクリア

イベント ストアをクリアするには、 clear events コマンドを使用します。

イベント ストアのイベントをクリアするには、次の手順に従います。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 イベント ストアをクリアします。

sensor# clear events
Warning: Executing this command will remove all events currently stored in the event store.
Continue with clear? []:
 

ステップ 3 yes と入力して、イベントをクリアします。


 

cidDump スクリプト

IDM、IME、または CLI にアクセスしなくても、root としてログインし /usr/cids/idsRoot/bin/cidDump を実行することにより、サービス アカウントから基本的なスクリプトである cidDump を実行できます。cidDump ファイルのパスは、/usr/cids/idsRoot/htdocs/private/cidDump.html です。

cidDump は大量の情報を取り込むためのスクリプトです。この情報には、IPS プロセス リスト、ログ ファイル、OS 情報、ディレクトリ リスト、パッケージ情報、設定ファイルなどがあります。

cidDump スクリプトを実行するには、次の手順を実行します。


ステップ 1 センサーのサービス アカウントにログインします。

ステップ 2 サービス アカウント パスワードを使用して root su します。

ステップ 3 次のコマンドを入力します。

/usr/cids/idsRoot/bin/cidDump
 

ステップ 4 次のコマンドを入力して、結果として生成された /usr/cids/idsRoot/log/cidDump.html ファイルを圧縮します。

gzip /usr/cids/idsRoot/log/cidDump.html
 

ステップ 5 問題がある場合は、結果として生成された HTML ファイルを TAC または IPS の開発者に送信します。


 

詳細情報

ファイルを Cisco FTP サイトに送る手順については、「Cisco FTP サイトへのファイルのアップロードおよびそのサイト上のファイルへのアクセス」を参照してください。

Cisco FTP サイトへのファイルのアップロードおよびそのサイト上のファイルへのアクセス

大きなファイル(たとえば、cidDump.html、 show tech-support コマンドの出力、コア ファイル)を ftp-sj サーバにアップロードできます。

Cisco FTP サイトへのファイルのアップロードおよび Cisco FTP サイトのファイルへのアクセスを行うには、次の手順に従います。


ステップ 1 ftp-sj.cisco.com に匿名でログインします。

ステップ 2 /incoming というディレクトリに変更します。

ステップ 3 put コマンドを使用してファイルをアップロードします。必ずバイナリ転送タイプを使用します。

ステップ 4 アップロードされたファイルにアクセスするには、ECS でサポートされたホストにログインします。

ステップ 5 /auto/ftp/incoming ディレクトリに変更します。