Cisco Intrusion Prevention System Sensor CLI コンフィギュレーション ガイド for IPS 7.1
トラブルシューティングに関するヒントと手順
トラブルシューティングに関するヒントと手順
発行日;2012/04/18 | 英語版ドキュメント(2012/04/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

トラブルシューティングに関するヒントと手順

Bug Toolkit

予防保守

予防保守の概要

バックアップ コンフィギュレーション ファイルの作成と使用

リモート サーバを使用したコンフィギュレーション ファイルのバックアップと復元

サービス アカウントの作成

ディザスタ リカバリ

パスワード回復

IPSSSP パスワードの回復

パスワード回復のディセーブル化

パスワード回復の状態の確認

パスワード回復のトラブルシューティング

時刻源

時刻源と IPSSSP

IPSSSP のクロックと適応型セキュリティ デバイスのクロックの同期化

IPSSSP が NTP サーバと同期していることを確認する

IPSSSP の時刻の修正

仮想化の利点および制約事項

サポート対象 MIB

グローバル相関のトラブルシューティング

異常検出をディセーブルにする場合

分析エンジン応答なし

外部製品インターフェイスのトラブルシューティング

外部製品インターフェイスに関する問題

外部製品インターフェイスのトラブルシューティングのヒント

センサーのトラブルシューティング

接続不良のトラブルシューティング

分析エンジンがビジー状態になる

通信の問題

Telnet または SSH でセンサーの CLI にアクセスできない

設定が誤っているアクセス リストの修正

重複している IP アドレスがインターフェイスをシャットダウンする

SensorApp とアラート

SensorApp が実行しない

物理的な接続性、SPAN、または VACL ポートの問題

アラートを表示できない

センサーがパケットを監視しない

破損した SensorApp 設定のクリーンアップ

ブロッキング

ブロッキングのトラブルシューティング

ARC が実行中であることを確認する

ARC 接続がアクティブであることを確認する

デバイスのアクセスに関する問題点

ネットワーク デバイス上のインターフェイスおよび方向を確認する

ネットワーク デバイスへの SSH 接続を有効にする

シグニチャに対してブロッキングが発生していない

マスター ブロッキング センサーの設定を確認する

ロギング

ロギングの概要

デバッグ ロギングをイネーブルにする

ゾーン名

SysLog に cidLog メッセージを転送する

ソフトウェアのアップグレード

アップグレード エラー

適用するアップデートと前提条件

自動アップデートに関する問題

センサーに格納されたアップデートを使用してセンサーを更新する

IPSSSP のトラブルシューティング

フェールオーバー シナリオ

ヘルスおよびステータス情報

IPS スイッチポートで停止したトラフィック フロー

情報の収集

ヘルスおよびネットワーク セキュリティ情報

技術サポート情報

show tech-support コマンドの概要

技術サポート情報の表示

技術サポート コマンドの出力

バージョン情報

show version コマンドの概要

バージョン情報の表示

統計情報

show statistics コマンドの概要

統計情報の表示

インターフェイス情報

show interfaces コマンドの概要

インターフェイス コマンドの出力

イベント情報

センサーのイベント

show events コマンドの概要

イベントの表示

イベントのクリア

cidDump スクリプト

Cisco FTP サイトへのファイルのアップロードおよびそのサイト上のファイルへのアクセス

トラブルシューティングに関するヒントと手順


) 現在、Cisco IPS 7.1 をサポートしているプラットフォームは、IPS SSP を搭載した Cisco ASA 5585-X のみです。それ以外の Cisco IPS センサーは、IPS 7.1 を現在サポートしていません。



) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以降および ASA 8.4(2) 以降でサポートされています。ASA 8.3(x) ではサポートされていません。


この付録にはトラブルシューティングに関するヒントと、IPS SSP およびソフトウェアに関する手順が含まれています。次のような構成になっています。

「Bug Toolkit」

「予防保守」

「ディザスタ リカバリ」

「パスワード回復」

「時刻源」

「仮想化の利点および制約事項」

「サポート対象 MIB」

「グローバル相関のトラブルシューティング」

「異常検出をディセーブルにする場合」

「分析エンジン応答なし」

「外部製品インターフェイスのトラブルシューティング」

「センサーのトラブルシューティング」

「IPS SSP のトラブルシューティング」

「情報の収集」

Bug Toolkit

Bug Toolkit を使用すると、ソフトウェア バージョン、フィーチャ セット、およびキーワードに基づいて既知のバグを検索できます。各バグが統合されているか、可能な場合は修正されていると、検索結果のマトリクスが表示されます。また、検索結果をバグ グループに保存したり、それらのグループに新しい欠陥アラートを配信できる永続的なアラート エージェントを作成したりすることができます。


) Bug Toolkit にアクセスするには、Cisco.com にログインする必要があります。


Bug Toolkit には、次の URL を使用してアクセスします。

http://tools.cisco.com/Support/BugToolKit/action.do?hdnAction=searchBugs

予防保守

ここでは、センターの予防保守の方法について説明します。次のような構成になっています。

「予防保守の概要」

「バックアップ コンフィギュレーション ファイルの作成と使用」

「リモート サーバを使用したコンフィギュレーション ファイルのバックアップと復元」

「サービス アカウントの作成」

予防保守の概要

次の処理は、センサーの維持に役立ちます。

適切な設定をバックアップします。現在の設定が使用不可能になっても、それをバックアップ バージョンと交換することができます。

バックアップ設定をリモート システムに保存します。

手動アップグレードは、必ず設定をバックアップしてから行ってください。自動アップグレードが設定されている場合は、定期バックアップを必ず実施してください。

サービス アカウントを作成します。サービス アカウントは、TAC の指示で行われる特別なデバッグ状況で必要になります。


注意 サービス アカウントを作成するかどうかは、慎重に検討してください。サービス アカウントは、システムへのシェル アクセスを提供するため、システムが脆弱になります。状況を分析して、システムにサービス アカウントを存在させるかどうかを決定してください。

詳細情報

コンフィギュレーション ファイルのバックアップ手順については、「バックアップ コンフィギュレーション ファイルの作成と使用」を参照してください。

リモート サーバを使用してコンフィギュレーション ファイルをコピーおよび復元する手順については、「リモート サーバを使用したコンフィギュレーション ファイルのバックアップと復元」を参照してください。

サービス アカウントの詳細については、「サービス アカウントの作成」を参照してください。

バックアップ コンフィギュレーション ファイルの作成と使用

設定を保護するために、現在の設定のバックアップを作成し、表示することによってそれが保存したい設定であることを確認できます。この設定を復元する必要があるときは、バックアップ コンフィギュレーション ファイルを現在の設定とマージするか、現在のコンフィギュレーション ファイルにバックアップ コンフィギュレーション ファイルを上書きします。

現在の設定をバックアップするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 現在の設定を保存します。現在の設定がバックアップ ファイルに保存されます。

ips-ssp# copy current-config backup-config
 

ステップ 3 バックアップ コンフィギュレーション ファイルを表示します。バックアップ コンフィギュレーション ファイルが表示されます。

ips-ssp# more backup-config
 

ステップ 4 バックアップの設定を現在の設定とマージしたり、現在の設定を上書きしたりすることができます。

バックアップの設定を現在の設定とマージします。

ips-ssp# copy backup-config current-config
 

バックアップの設定で現在の設定を上書きします。

ips-ssp# copy /erase backup-config current-config
 


 

リモート サーバを使用したコンフィギュレーション ファイルのバックアップと復元


) アップグレードする前に現在のコンフィギュレーション ファイルをリモート サーバにコピーすることを推奨します。


copy [ /erase ] source_url destination_url keyword コマンドを使用して、コンフィギュレーション ファイルをリモート サーバにコピーします。その後、リモート サーバから現在の設定を復元できます。まず現在の設定をバックアップするプロンプトが表示されます。

オプション

次のオプションが適用されます。

/erase :コピーする前にコピー先ファイルを消去します。

このキーワードは、current-config だけに適用されます。backup-config は、常に上書きされます。このキーワードがコピー先の current-config に対して指定されている場合、コピー元の設定がシステムのデフォルト設定に適用されます。このキーワードがコピー先の current-config に対して指定されていない場合、コピー元の設定がその current-config にマージされます。

source_url :コピー元のファイルの場所です。URL またはキーワードを使用できます。

destination_url :コピー先のファイルの場所です。URL またはキーワードを使用できます。

current-config :現在の実行コンフィギュレーションです。コマンドが入力されると、設定が維持されます。

backup-config :コンフィギュレーション バックアップの保管場所です。

コピー元およびコピー先 URL の正確な形式は、ファイルによって異なります。有効なタイプは次のとおりです。

ftp::FTP ネットワーク サーバの場合のコピー元またはコピー先の URL。このプレフィクスの構文は、次のとおりです。

ftp:[//[username@] location]/relativeDirectory]/filename

ftp:[//[username@]location]//absoluteDirectory]/filename

scp::SCP ネットワーク サーバの場合のコピー元またはコピー先の URL。このプレフィクスの構文は、次のとおりです。

scp:[//[username@] location]/relativeDirectory]/filename

scp:[//[username@] location]//absoluteDirectory]/filename


) FTP または SCP プロトコルを使用する場合、パスワードの入力を求められます。SCP プロトコルを使用する場合は、リモート ホストを SSH 既知ホスト リストに追加することも必要です。


http::Web サーバの場合のコピー元 URL。このプレフィクスの構文は、次のとおりです。

http:[[/[username@]location]/directory]/filename

https::Web サーバの場合のコピー元 URL。このプレフィクスの構文は、次のとおりです。

https:[[/[username@]location]/directory]/filename


) Web サイトにアクセスするのにユーザ名が必要な場合、HTTP および HTTPS によってパスワードが要求されます。HTTPS プロトコルを使用する場合は、リモート ホストが TLS の信頼できるホストである必要があります。



注意 センシング インターフェイスおよび仮想センサーが同じ設定になっていない場合、別のセンサーからのコンフィギュレーション ファイルのコピーは、エラーになる可能性があります。

現在の設定のリモート サーバへのバックアップ

現在の設定をリモート サーバにバックアップするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 現在の設定をリモート サーバにバックアップします。

sensor# copy current-config scp://user@192.0.2.0//configuration/cfg current-config
Password: ********
Warning: Copying over the current configuration may leave the box in an unstable state.
Would you like to copy current-config to backup-config before proceeding? [yes]:
 

ステップ 3 yes を入力して、現在の設定をバックアップの設定にコピーします。

cfg 100% |************************************************| 36124 00:00
 


 

バックアップ ファイルからの現在の設定の復元

バックアップ ファイルから現在の設定を復元するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 現在の設定をリモート サーバにバックアップします。

sensor# copy scp://user@192.0.2.0//configuration/cfg current-config
Password: ********
Warning: Copying over the current configuration may leave the box in an unstable state.
Would you like to copy current-config to backup-config before proceeding? [yes]:
 

ステップ 3 yes を入力して、現在の設定をバックアップの設定にコピーします。

cfg 100% |************************************************| 36124 00:00
 
Warning: Replacing existing network-settings may leave the box in an unstable state.
Would you like to replace existing network settings (host-ipaddress/netmask/gateway/access-list) on sensor before proceeding? [no]:
sensor#
 

ステップ 4 現在設定されているホスト名、IP アドレス、サブネット マスク、管理インターフェイス、およびアクセス リストを保持するには、 no を入力します。残りの設定が復元された後、センサーへのアクセスを確保するために、この情報を保持することを推奨します。


 

詳細情報

サポートされる HTTP/HTTPS サーバのリストについては、「サポートされる FTP および HTTP/HTTPS サーバ」を参照してください。

サービス アカウントの作成

トラブルシューティングの際に使用する TAC 用のサービス アカウントを作成できます。センサーには複数のユーザがアクセスできますが、センサーに対するサービス権限を持てるのは 1 人のユーザだけです。サービス アカウントは、サポートの目的のためにのみ使用します。

root ユーザのパスワードは、サービス アカウントが作成されたときにサービス アカウントのパスワードに同期化されます。root アクセス権限を取得するには、サービス アカウントでログインしてから、 su - root コマンドで root ユーザに切り替わる必要があります。


注意 TAC の指示に基づく場合を除き、サービス アカウントを使用してセンサーに変更を加えないでください。サービス アカウントを使用してセンサーを設定すると、その設定は TAC のサポート対象外になります。サービス アカウントを使用してオペレーティング システムにサービスを追加すると、他の IPS サービスの適切なパフォーマンスと機能に影響を及ぼします。TAC は、追加のサービスが加えられたセンサーをサポートしません。


注意 サービス アカウントを作成するかどうかは、慎重に検討してください。サービス アカウントは、システムへのシェル アクセスを提供するため、システムが脆弱になります。ただし、管理者のパスワードが失われた場合は、サービス アカウントを使用してパスワードを作成できます。状況を分析して、システムにサービス アカウントを存在させるかどうかを決定してください。

サービス アカウントを追加するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードを開始します。

ips-ssp# configure terminal
 

ステップ 3 サービス アカウントのパラメータを指定します。ユーザ名はパターン ^[A-Za-z0-9()+:,_/-]+$ に従います。つまり、ユーザ名は必ず英字または数字から始まり、A ~ Z の任意の英字(大文字または小文字)、0 ~ 9 の任意の数字、および - と _ からなる 1 ~ 64 の文字で構成します。

ips-ssp(config)# user username privilege service
 

ステップ 4 入力を要求されたらパスワードを指定します。パスワードは、センサー管理者によって設定された要件を満たす必要があります。このセンサーに対してサービス アカウントがすでに存在する場合は、次のエラー メッセージが表示され、サービス アカウントは作成されません。

Error: Only one service account may exist
 

ステップ 5 コンフィギュレーション モードを終了します。

ips-ssp(config)# exit
ips-ssp#
 

サービス アカウントを使用して CLI にログインすると、次の警告が表示されます。

************************ WARNING *******************************************************
UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED. This account is intended to be used for support and troubleshooting purposes only. Unauthorized modifications are not supported and will require this device to be reimaged to guarantee proper operation.
****************************************************************************************
 


 

ディザスタ リカバリ

ここでは、推奨事項と、障害発生後にセンサーの復旧が必要な場合に実行すべき手順について説明します。

次に示す推奨事項に従い、障害に備えてください。

設定に CLI、IDM、または IME を使用する場合は、変更が行われるたびに現在の設定をセンサーから FTP または SCP サーバへコピーします。

その設定に対する特定のソフトウェア バージョンをメモします。コピーされた設定は、同じバージョンのセンサーにしか適用できません。

また、そのセンサー上で使用されているユーザ ID のリストも必要です。ユーザ ID およびパスワードのリストは、設定内に保存されません。

障害が発生したときにセンサーの復旧が必要な場合は、次の作業を行ってみてください。

1. センサーのイメージを再作成します。

2. デフォルトのユーザ ID とパスワード( cisco )を使用してセンサーにログインします。


) パスワード cisco の変更を促すプロンプトが表示されます。


3. センサーを初期化します。

4. センサーのアップグレードを行い、最後に設定が保存およびコピーされたときにセンサーに搭載されていた IPS ソフトウェア バージョンにします。


警告 障害発生前にセンサーに搭載されていた IPS ソフトウェア バージョンにセンサーを戻さずに、保存された設定のコピーを試みると、設定エラーを引き起こす場合があります。


5. 最後に保存された設定をセンサーにコピーします。

6. クライアントを更新して、センサーの新しいキーと証明書を使用します。

イメージを再作成すると、センサーの SSH キーと HTTPS 証明書が変更されるので、ホストを SSN 既知ホスト リストに追加し直す必要があります。

7. 前のユーザを作成します。

詳細情報

コンフィギュレーション ファイルのバックアップ手順については、「バックアップ コンフィギュレーション ファイルの作成と使用」を参照してください。

センサーの現在のユーザ リストを取得する手順については、「ユーザ ステータスの表示」を参照してください。

センサーのイメージを再作成する手順については、「IPS SSP システム イメージのインストール」を参照してください。

setup コマンドを使用してセンサーを初期化する手順については、「IPS SSP の初期化」を参照してください。

IPS ソフトウェアの取得とインストール方法の詳細については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

リモート サーバを使用してコンフィギュレーション ファイルをコピーおよび復元する手順については、「リモート サーバを使用したコンフィギュレーション ファイルのバックアップと復元」を参照してください。

SSH 既知ホスト リストにホストを追加する手順については、「SSH 既知ホスト リストへのホストの追加」を参照してください。

ユーザを追加する手順については、「ユーザの追加と削除」を参照してください。

パスワード回復

ここでは、IPS SSP のパスワードを回復する方法について説明します。次のような構成になっています。

「IPS SSP パスワードの回復」

「パスワード回復のディセーブル化」

「パスワード回復の状態の確認」

「パスワード回復のトラブルシューティング」

IPS SSP パスワードの回復


) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以降および ASA 8.4(2) 以降でサポートされています。ASA 8.3(x) ではサポートされていません。


CLI または ASDM を使用して IPS SSP のデフォルト( cisco )にパスワードをリセットできます。パスワードをリセットすると、IPS SSP がリブートします。リブート中は、IPS サービスを使用できません。

hw-module module slot_number password-reset コマンドを使用して、パスワードをデフォルトの cisco にリセットします。ASA 5500 シリーズ適応型セキュリティ アプライアンスは、ROMMON confreg ビットを 0x7 に設定してから、センサーをリブートします。この ROMMON ビットにより、GRUB メニューがデフォルトでオプション 2( パスワードのリセット )になります。

指定したスロット内のモジュールに搭載されている IPS のバージョンがパスワード回復をサポートしていない場合、次のエラー メッセージが表示されます。

ERROR: the module in slot <n> does not support password recovery.
 

ASDM の使用

ASDM でパスワードをリセットするには、次の手順を実行します。


ステップ 1 ASDM メニュー バーから、[Tools] > [IPS Password Reset] を選択します。


) このオプションは、IPS モジュールがインストールされていなければ表示されません。


ステップ 2 [IPS Password Reset] 確認ダイアログボックスで、[OK] をクリックしてパスワードをデフォルト( cisco )にリセットします。

ダイアログボックスに、パスワードのリセットが正常に完了したか、失敗したかが表示されます。リセットに失敗した場合は、適応型セキュリティ アプライアンスに適切な ASA ソフトウェア、および IPS SSP に IPS 7.1 以降がインストールされていることを確認します。

ステップ 3 [Close] をクリックして、ダイアログボックスを閉じます。IPS SSP がリブートします。


 

パスワード回復のディセーブル化


注意 パスワード回復がディセーブル化されたセンサーでパスワードを回復しようとすると、プロセスはエラーや警告なしに進行しますが、パスワードはリセットされません。パスワードを忘れたためにセンサーにログインできず、パスワード回復がディセーブルに設定されている場合は、センサーのイメージを再作成する必要があります。

パスワードの回復は、デフォルトでイネーブルです。CLI、IDM、または IME を使用してパスワード回復をディセーブルにできます。

CLI でパスワード回復をディセーブルにするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 グローバル コンフィギュレーション モードを開始します。

ips-ssp# configure terminal
 

ステップ 3 ホスト モードを開始します。

ips-ssp(config)# service host
 

ステップ 4 パスワード回復をディセーブルにします。

ips-ssp(config-hos)# password-recovery disallowed
 


 

IDM または IME でパスワード回復をディセーブルにするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用し、IDM または IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Setup] > [Network] を選択します。

ステップ 3 パスワード回復をディセーブルにするには、[Allow Password Recovery] チェックボックスをオフにします。


 

パスワード回復の状態の確認

show settings | include password コマンドを使用して、パスワード回復がイネーブルかどうかを確認します。

パスワード回復がイネーブルかどうかを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 サービス ホスト サブモードを開始します。

ips-ssp# configure terminal
ips-ssp (config)# service host
ips-ssp (config-hos)#
 

ステップ 3 include キーワードを使用して、フィルタリングされた出力で設定を表示することにより、パスワード回復の状態を確認します。

ips-ssp(config-hos)# show settings | include password
password-recovery: allowed <defaulted>
ips-ssp(config-hos)#
 


 

パスワード回復のトラブルシューティング

パスワード回復のトラブルシューティングを行うときは、次の点に注意します。

ROMMON プロンプト、GRUB メニュー、スイッチ CLI、またはルータ CLI からは、センサー設定内でパスワード回復がディセーブルになっているかどうかを判別できません。パスワード回復を試みると、常に成功しているように見えます。ディセーブルになっていた場合、パスワードは cisco にリセットされません。この場合、センサーのイメージを再作成するしか方法はありません。

パスワード回復は、ホスト設定でディセーブルにできます。外部のメカニズムを使用するプラットフォームの場合は、パスワードをクリアするコマンドを実行できますが、IPS でパスワード回復がディセーブルであると、IPS はパスワードの回復が許可されていないことを検知して、外部要求を拒否します。

パスワード回復の状態を確認するには、 show settings | include password コマンドを使用します。

時刻源

ここでは、IPS SSP で正確な時間を維持する方法について説明します。次のような構成になっています。

「時刻源と IPS SSP」

「IPS SSP のクロックと適応型セキュリティ デバイスのクロックの同期化」

「IPS SSP が NTP サーバと同期していることを確認する」

「IPS SSP の時刻の修正」

時刻源と IPS SSP

センサーには、信用できる時刻源が必要です。すべてのイベント(アラート)に、正しい UTC と現地時間のタイムスタンプが必要です。正確なタイムスタンプがないと、攻撃の後でログを正しく分析できません。センサーを初期化するとき、時間帯とサマータイム設定をセットアップします。

IPS SSP 上の時刻を設定する方法は 2 つあります。

IPS SSP が、自身のクロックを、自身を搭載している適応型セキュリティ アプライアンスのクロックと自動的に同期します。これがデフォルトです。

時刻を NTP 同期時刻源(親ルータ以外の Cisco ルータなど)から取得するように IPS SSP を設定できます。


) NTP サーバを使用することを推奨します。認証済みまたは未認証の NTP を使用できます。認証済みの NTP の場合、NTP サーバの IP アドレス、NTP サーバのキー ID、および NTP サーバのキー値が必要です。初期化時に NTP をセットアップすることも、CLI、IDM、IME、または ASDM を使用して NTP を設定することもできます。


詳細情報

NTP の設定手順については、「NTP の設定」を参照してください。

IPS SSP のクロックと適応型セキュリティ デバイスのクロックの同期化

IPS SSP は、起動するたび、および適応型セキュリティ アプライアンスのクロックが設定されるたびに、システム クロックと適応型セキュリティ アプライアンスのクロックを同期させます。IPS SSP クロックと適応型セキュリティ アプライアンスのクロックは、時間とともにずれていく傾向にあります。この差は、1 日で数秒になることがあります。この問題を回避するため、IPS SSP クロックと適応型セキュリティ アプライアンスのクロックの両方が外部の NTP サーバに同期していることを確認します。IPS SSP のクロックのみ、または適応型セキュリティ アプライアンスのクロックのみが NTP サーバに同期すると、時間のずれが生じます。

IPS SSP が NTP サーバと同期していることを確認する

IPS では、無効な NTP キー値または ID など、誤りのある NTP の設定はセンサーに適用できません。誤りのある設定を適用しようとすると、エラー メッセージを受け取ります。NTP の設定を確認するには、 show statistics host コマンドを使用してセンサーの統計情報を収集します。NTP 統計情報セクションには、NTP サーバとのセンサーの同期に関するフィードバックを含む NTP 統計情報が表示されます。

NTP の設定を確認するには、次の手順を実行します。


ステップ 1 センサーにログインします。

ステップ 2 ホストの統計情報を生成します。

ips-ssp# show statistics host
...
NTP Statistics
remote refid st t when poll reach delay offset jitter
11.22.33.44 CHU_AUDIO(1) 8 u 36 64 1 0.536 0.069 0.001
LOCAL(0) 73.78.73.84 5 l 35 64 1 0.000 0.000 0.001
ind assID status conf reach auth condition last_event cnt
1 10372 f014 yes yes ok reject reachable 1
2 10373 9014 yes yes none reject reachable 1
status = Not Synchronized
...

ステップ 3 数分後に再び、ホストの統計情報を生成します。

ips-ssp# show statistics host
...
NTP Statistics
remote refid st t when poll reach delay offset jitter
*11.22.33.44 CHU_AUDIO(1) 8 u 22 64 377 0.518 37.975 33.465
LOCAL(0) 73.78.73.84 5 l 22 64 377 0.000 0.000 0.001
ind assID status conf reach auth condition last_event cnt
1 10372 f624 yes yes ok sys.peer reachable 2
2 10373 9024 yes yes none reject reachable 2
status = Synchronized
 

ステップ 4 ステータスが引き続き Not Synchronized を示す場合は、NTP サーバ管理者と一緒に NTP サーバの設定が正しいことを確認してください。


 

IPS SSP の時刻の修正

保存されているイベントには、その作成時刻がタイムスタンプとして記録されるため、時刻の設定に誤りがあると、それらのイベントに対しても誤った時刻が記録されます。イベント ストアのタイムスタンプは、常に UTC 時刻に基づいています。元のセンサーのセットアップ時に、8:00 a.m. と指定すべきところを誤って 8:00 p.m. と指定した場合、それを修正すると、修正後の時刻は現在よりさかのぼった時刻に設定されます。そのため、新しいイベントに古いイベントの時刻よりも過去の時刻が記録される場合があります。

たとえば、初期セットアップ中にセンサーを中部時間に設定し、さらにサマータイムを有効にした場合、現地時間が 8:04 p.m. であれば、時刻は 20:04:37 CDT として表示され、UTC からのオフセットは -5 時間になります(翌日の 01:04:37 UTC)。1 週間後の 9:00 a.m. に、21:00:23 CDT と表示された時計を見て誤りに気づいたとします。この場合、時刻を 9:00 a.m. に変更すれば、時計は 09:01:33 CDT と表示されます。ただし、UTC からのオフセットは変更されていないため、UTC 時刻は 14:01:33 UTC になります。ここにタイムスタンプの問題が生じる原因があります。

イベント レコードのタイムスタンプの整合性を確保するには、 clear events コマンドを使用して、古いイベントのイベント アーカイブをクリアする必要があります。


) イベントは、個別には削除できません。


詳細情報

イベントをクリアする手順については、「イベントのクリア」を参照してください。

仮想化の利点および制約事項


) 現在、Cisco IPS 7.1 をサポートしているプラットフォームは、IPS SSP を搭載した Cisco ASA 5585-X のみです。それ以外の Cisco IPS センサーは、IPS 7.1 を現在サポートしていません。


センサーの設定に関する問題を回避するため、センサーにおける仮想化の利点と制約事項を理解しておいてください。

仮想化には次の利点があります。

個々のトラフィック セットにそれぞれ異なる設定を適用できます。

IP スペースが重複している 2 つのネットワークを 1 つのセンサーでモニタできます。

ファイアウォールまたは NAT デバイスの内側と外側の両方をモニタできます。

仮想化には次の制約事項があります。

非対称トラフィックの両側を同じ仮想センサーに割り当てる必要があります。

VACL キャプチャまたは SPAN(無差別モニタリング)の使用は、VLAN タギングに関して矛盾しており、これによって VLAN グループの問題が発生します。

Cisco IOS ソフトウェアを使用している場合、VACL キャプチャ ポートまたは SPAN ターゲットは、トランキング用に設定されていても、常にタグ付きパケットを受信するわけではありません。

MSFC を使用している場合、学習したルートの高速パス スイッチングによって、VACL キャプチャおよび SPAN の動作が変わります。

固定ストアが制限されます。

仮想化には次のトラフィック キャプチャ要件があります。

仮想センサーで 802.1q ヘッダーを含むトラフィックを受信する必要があります(キャプチャ ポートのネイティブ VLAN 上のトラフィック以外)。

センサーで、指定したセンサーの同じ仮想センサーに含まれる同じ VLAN グループの両方向のトラフィックをモニタする必要があります。

サポート対象 MIB

SNMP の設定に関する問題を回避するため、センサーでサポートされている MIB を知っておいてください。

センサーでは、次のプライベート MIB がサポートされています。

CISCO-CIDS-MIB

CISCO-PROCESS-MIB

CISCO-ENHANCED-MEMPOOL-MIB

CISCO-ENTITY-ALARM-MIB


) MIB II はセンサーで使用できますが、シスコではサポートしていません。一部の要素が正確でないことがわかっています(たとえば、センシング インターフェイスの IF MIB からのパケット カウントなど)。MIB II の要素を使用できますが、シスコでは、それらがすべて正確な情報を提供することを保証していません。シスコは、リストにあるその他の MIB を完全サポートしていますし、それらの出力も正確です。


これらのプライベートの Cisco MIB は、次の URL の [SNMP v2 MIBs] という見出しの下で確認できます。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

グローバル相関のトラブルシューティング

グローバル相関を設定する場合は、以下が順守されていることを確認してください。

グローバル相関の更新はセンサー管理インターフェイスを介して行われるので、ファイアウォールでポート 443/80 トラフィックが許可されている必要があります。

グローバル相関機能が動作するには、HTTP プロキシ サーバまたは DNS サーバが設定されていなければなりません。

グローバル相関機能が動作するには有効な IPS ライセンスが必要です。

グローバル相関機能には外部 IP アドレスのみが含まれるため、センサーを社内ラボに配置するとグローバル相関情報を受信できません。

お使いのセンサーがグローバル相関機能をサポートしていることを確認してください。

お使いの IPS バージョンがグローバル相関機能をサポートしていることを確認してください。

詳細情報

グローバル相関の詳細については、「グローバル相関の設定」を参照してください。

異常検出をディセーブルにする場合

一方向のトラフィックだけを検出するようにセンサーを設定している場合は、異常検出をディセーブルにする必要があります。そうしないと、異常検出がワーム スキャナのように、非対称トラフィックを不完全接続と見なし、アラートを起動するので、多数のアラートを受信することになります。

異常検出をディセーブルにするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 分析エンジン サブモードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service analysis-engine
ips-ssp(config-ana)#
 

ステップ 3 ディセーブルにする異常検出ポリシーを含む仮想センサー名を入力します。

ips-ssp(config-ana)# virtual-sensor vs0
ips-ssp(config-ana-vir)#
 

ステップ 4 異常検出動作モードをディセーブルにします。

ips-ssp(config-ana-vir)# anomaly-detection
ips-ssp(config-ana-vir-ano)# operational-mode inactive
ips-ssp(config-ana-vir-ano)#
 

ステップ 5 分析エンジン サブモードを終了します。

ips-ssp(config-ana-vir-ano)# exit
ips-ssp(config-ana-vir)# exit
ips-ssp(config-ana-)# exit
Apply Changes:?[yes]:
 

ステップ 6 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


 

詳細情報

ワームの詳細については、「ワーム」を参照してください。

分析エンジン応答なし

エラー メッセージ Output from show statistics analysis-engine
Error: getAnalysisEngineStatistics : ct-sensorApp.424 not responding, please check system processes - The connect to the specified Io::ClientPipe failed.
エラー メッセージ Output from show statistics anomaly-detection
Error: getAnomalyDetectionStatistics : ct-sensorApp.424 not responding, please check system processes - The connect to the specified Io::ClientPipe failed.
エラー メッセージ Output from show statistics denied-attackers
Error: getDeniedAttackersStatistics : ct-sensorApp.424 not responding, please check system processes - The connect to the specified Io::ClientPipe failed.

考えられる原因 これらのエラー メッセージは、 show tech support コマンドを実行したときに、分析エンジンが実行していないと表示されます。

推奨処置 分析エンジンが実行中であることを確認し、問題が解決されるかどうかをモニタしてください。

分析エンジンが実行中であることを確認し、問題をモニタするには、次の手順を実行します。


ステップ 1 センサーにログインします。

ステップ 2 分析エンジンが実行していないことを確認します。

ips-ssp# show version
 
-----
MainApp N-2007_JUN_19_16_45 (Release) 2007-06-19T17:10:20-0500 Running
AnalysisEngine N-2007_JUN_19_16_45 (Release) 2007-06-19T17:10:20-0500 Not Running
CLI N-2007_JUN_19_16_45 (Release) 2007-06-19T17:10:20-0500
 

分析エンジンが Not Running を示すかどうかを確認します。

ステップ 3 show tech-support を入力し、出力を保存します。

ステップ 4 センサーをリブートします。

ステップ 5 問題が解決されたかどうかを確認するには、センサーが安定してから show version を入力します。

ステップ 6 分析エンジンがまだ Not Running を示す場合は、元の show tech support コマンド出力を TAC に提出してください。


 

外部製品インターフェイスのトラブルシューティング

ここでは、外部製品インターフェイスに起こり得る問題と、トラブルシューティングのヒントを示します。外部製品インターフェイスの詳細については、「外部製品インターフェイスの設定」を参照してください。次のような構成になっています。

「外部製品インターフェイスに関する問題」

「外部製品インターフェイスのトラブルシューティングのヒント」

外部製品インターフェイスに関する問題

外部製品インターフェイスがホスト ポスチャと隔離イベントを受信した場合、次のような問題が生じる可能性があります。

センサーは、一定数のホスト レコードしか保存できません。

レコード数が 10,000 を超えると、後続のレコードはドロップされます。

レコードが 10,000 の制限値に達し、その後 9900 を下回ると新しいレコードはドロップされなくなります。

ホストが IP アドレスを変更できる、あるいは別のホストの IP アドレスを使用しているように見えます(DHCP リースの期限満了やワイヤレス ネットワーク内での移動などによる)。IP アドレスが競合すると、センサーは最新のホスト ポスチャ イベントを最も正確なものと見なします。

ネットワークでは、異なる VLAN に重複する IP アドレス範囲を含めることができるが、ホスト ポスチャには VLAN ID 情報を加えることはできません。指定されたアドレス範囲を無視するように、センサーを設定できます。

ホストがファイアウォールの背後にあるため、CSA MC がホストに到達できません。到達不能ホストは除外できます。

CSA MC イベント サーバでは、デフォルトで最大 10 個のサブスクリプションを開くことができます。この値は変更できます。サブスクリプションを開くには、管理アカウントとパスワードが必要です。

CSA データが仮想化されず、センサーでグローバルに処理されます。

ホスト ポスチャ OS と IP アドレスがパッシブ OS フィンガープリント ストレージに統合されます。これらはインポートされた OS プロファイルとして表示できます。

隔離されたホストを表示できません。

センサーが各 CSA MC ホストの X.509 証明書を認識しなければなりません。これらを信頼できるホストとして追加する必要があります。

最大 2 台の外部製品デバイスを設定できます。

詳細情報

OS マップおよび識別情報の使用の詳細については、「設定された OS マップの追加、編集、削除、および移動」および「OS ID の表示とクリア」を参照してください。

信頼できるホストの追加手順については、「TLS の信頼できるホストの追加」を参照してください。

外部製品インターフェイスのトラブルシューティングのヒント

外部製品インターフェイスのトラブルシューティングを行う場合は、次の点を確認します。

インターフェイスがアクティブかどうかを確認するには、CLI で show statistics external-product-interface コマンドの出力を確認します。または、IDM で [Monitoring] > [Sensor Monitoring] > [Support Information] > [Statistics] を選択して、応答のインターフェイス状態の行を確認します。あるいは、IME で [Configuration] > sensor_name > [Sensor Monitoring] > [Support Information] > [Statistics] を選択して、応答のインターフェイス状態の行を確認します。

CSA MC の IP アドレスが信頼できるホストに追加されていることを確認してください。追加していない場合は追加し、数分待ってから再度確認します。

ブラウザを使用して CSA MC でサブスクリプションを開いてから閉じ、サブスクリプション ログイン情報を確認します。

イベント ストアで CSA MC サブスクリプション エラーがないか確認します。

詳細情報

信頼できるホストの追加手順については、 「TLS の信頼できるホストの追加」 を参照してください。

イベントの表示手順については、「イベントの表示」を参照してください。

センサーのトラブルシューティング

ここでは、センサーのトラブルシューティングについて説明します。次のような構成になっています。

「接続不良のトラブルシューティング」

「分析エンジンがビジー状態になる」

「通信の問題」

「SensorApp とアラート」

「ブロッキング」

「ロギング」

「ソフトウェアのアップグレード」

接続不良のトラブルシューティング

センサーおよび適応型セキュリティ アプライアンスで接続不良のトラブルシューティングを行うには、次の処理を実行します。

すべての電源コードがしっかり接続されていることを確認します。

外部と内部のすべてのコンポーネントのすべてのケーブルが、正しい位置にしっかり接続されていることを確認します。

すべてのデータ ケーブルおよび電源コードを取り外し、破損がないことを確認します。ケーブルに曲がったピンや破損したコネクタがないことを確認します。

各デバイスが適切に設置されていることを確認します。

デバイスにラッチがある場合は、ラッチが完全に閉められ、ロックされていることを確認します。

コンポーネントの接続が適切でないことを示すインターロックまたはインターコネクト インジケータをチェックします。

問題が続く場合は、各デバイスを取り外し、再び取り付けて、コネクタやソケットに曲がったピンやその他の破損がないことを確認します。

分析エンジンがビジー状態になる

センサーのイメージを再作成した後、分析エンジンは正規表現テーブルの再構築中となり、新しい設定に応答しません。分析エンジンがビジー状態であるかどうかを確認するには、 show statistics virtual-sensor コマンドを使用します。分析エンジンがビジー状態である場合は、次のエラー メッセージを受け取ります。

ips-ssp# show statistics virtual-sensor
Error: getVirtualSensorStatistics : Analysis Engine is busy rebuilding regex tables. This may take a while.

分析エンジンが正規表現テーブルを再構築中であるときに、シグニチャのイネーブル化や廃棄などで設定を更新しようとすると、エラー メッセージを受け取ります。

ips-ssp# configure terminal
ips-ssp(config)# service sig sig0
ips-ssp(config-sig)# sig 2000 0
ips-ssp(config-sig-sig)# status enabled
ips-ssp(config-sig-sig)# status
ips-ssp(config-sig-sig-sta)# enabled true
ips-ssp(config-sig-sig-sta)# retired false
ips-ssp(config-sig-sig-sta)# exit
ips-ssp(config-sig-sig)# exit
ips-ssp(config-sig)# exit
Apply Changes?[yes]:
Error: editConfigDeltaSignatureDefinition : Analysis Engine is busy rebuilding regex tables. This may take a while.
The configuration changes failed validation, no changes were applied.
Would you like to return to edit mode to correct the errors? [yes]: no
No changes were made to the configuration.
ips-ssp(config)#
 

センサーの起動後すぐに仮想センサー統計情報を取得しようとすると、エラー メッセージを受け取ります。センサーがキャッシュ ファイルの再構築を終えても、仮想センサーの初期化が終了していません。

ips-ssp# show statistics virtual-sensor
Error: getVirtualSensorStatistics : Analysis Engine is busy.
ips-ssp#
 

分析エンジンがビジー状態であることを示すエラーを受け取った場合は、しばらく待ってから設定変更を試みてください。 show statistics virtual-sensor コマンドを使用すると、分析エンジンが再び使用可能になるときがわかります。

通信の問題

ここでは、センサーの通信に関する問題のトラブルシューティングに役立つ情報を提供します。次のような構成になっています。

「Telnet または SSH でセンサーの CLI にアクセスできない」

「設定が誤っているアクセス リストの修正」

「重複している IP アドレスがインターフェイスをシャットダウンする」

Telnet または SSH でセンサーの CLI にアクセスできない

Telnet(すでにイネーブルにしてある場合)または SSH を利用してセンサーの CLI にアクセスできない場合は、次の手順を実行します。


ステップ 1 コンソール、端末、またはモジュール セッションから、センサーの CLI にログインします。

ステップ 2 センサー管理インターフェイスがイネーブルであることを確認します。

ips-ssp# show interfaces
Interface Statistics
Total Packets Received = 0
Total Bytes Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/1
Media Type = backplane
Missed Packet Percentage = 0
Inline Mode = Unpaired
Pair Status = N/A
Link Status = Up
Link Speed = Auto_1000
Link Duplex = Auto_Full
Total Packets Received = 0
Total Bytes Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface GigabitEthernet0/0
Media Type = TX
Link Status = Up
Link Speed = Auto_100
Link Duplex = Auto_Full
Total Packets Received = 944333
Total Bytes Received = 83118358
Total Multicast Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 397633
Total Bytes Transmitted = 435730956
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
ips-ssp#
 

管理インターフェイスは、リスト内のステータス行 Media Type = TX のインターフェイスです。Link Status が Down の場合は、ステップ 3 に進みます。Link Status が Up の場合は、ステップ 5 に進みます。

ステップ 3 センサー IP アドレスが一意であることを確認します。

ips-ssp# setup
--- System Configuration Dialog ---
 
At any point you may enter a question mark '?' for help.
User ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
 
 
Current Configuration:
 
 
service host
network-settings
host-ip 192.0.2.0/24,255.255.255.0
host-name ips-ssp
telnet-option enabled
access-list 0.0.0.0/0
ftp-timeout 300
no login-banner-text
exit
--MORE--
 

管理インターフェイスは、ネットワーク上の別のデバイスに同じ IP アドレスがあることを検出すると、起動しません。

ステップ 4 管理ポートがアクティブなネットワーク接続に接続していることを確認します。管理ポートがアクティブなネットワーク接続に接続していないと、管理インターフェイスは起動しません。

ステップ 5 センサーに接続しようとしているワークステーションの IP アドレスが、センサー アクセス リストで許可されていることを確認します。

ips-ssp# setup
--- System Configuration Dialog ---
 
At any point you may enter a question mark '?' for help.
User ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
 
 
Current Configuration:
 
 
service host
network-settings
host-ip 192.0.2.0/24,255.255.255.0
host-name ips-ssp
telnet-option enabled
access-list 0.0.0.0/0
ftp-timeout 300
no login-banner-text
exit
--MORE--
 

ワークステーション ネットワーク アドレスがセンサー アクセス リストで許可されている場合は、ステップ 6 に進みます。

ステップ 6 ワークステーション ネットワーク アドレスの許可エントリを追加し、設定を保存してから、接続を再試行します。

ステップ 7 ネットワーク設定でワークステーションからセンサーへの接続が許可されていることを確認します。

センサーがファイアウォールの後ろで保護されており、ワークステーションがファイアウォールの前にある場合、ワークステーションにセンサーへのアクセスを許可するようにファイアウォールが設定されていることを確認します。または、ワークステーションが、ワークステーションの IP アドレスのネットワーク アドレス変換を行っているファイアウォールの後ろにあり、センサーがファイアウォールの前にある場合は、ワークステーションの変換アドレスに対する許可エントリがセンサー アクセス リストに含まれていることを確認します。


 

詳細情報

センサーで Telnet をイネーブルおよびディセーブルにする手順については、「Telnet のイネーブル化とディセーブル化」を参照してください。

センサーで直接 CLI セッションを開くさまざまな方法については、「IPS SSP へのログイン」を参照してください。

IP アドレスを変更する手順については、「IP アドレス、ネットマスク、およびゲートウェイの変更」を参照してください。

アクセス リストを変更する手順については、「設定が誤っているアクセス リストの修正」を参照してください。

設定が誤っているアクセス リストの修正

設定が誤っているアクセス リストを修正するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 設定を表示して、アクセス リストを確認します。

ips-ssp# show configuration | include access-list
access-list 10.0.0.0/8
access-list 64.0.0.0/8
ips-ssp#
 

ステップ 3 クライアント IP アドレスが許可されたネットワーク内にリストされているかどうか確認します。リストされていない場合は、その IP アドレスを追加します。

ips-ssp# configure terminal
ips-ssp(config)# service host
ips-ssp(config-hos)# network-settings
ips-ssp(config-hos-net)# access-list 171.69.70.0/24
 

ステップ 4 設定を確認できます。

ips-ssp(config-hos-net)# show settings
network-settings
-----------------------------------------------
host-ip: 10.89.149.238/25,10.89.149.254 default: 192.168.1.2/24,192.168.1.1
host-name: ips-ssp default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 3)
-----------------------------------------------
network-address: 10.0.0.0/8
-----------------------------------------------
network-address: 64.0.0.0/8
-----------------------------------------------
network-address: 171.69.70.0/24
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ips-ssp(config-hos-net)#
 


 

重複している IP アドレスがインターフェイスをシャットダウンする

同じ IP アドレスを持つ 2 台のセンサーが新たにイメージ化され、同じネットワーク上で同時にアップ状態になると、インターフェイスはシャットダウンします。Linux では、他のホストとのアドレスの競合を検出した場合、コマンド/コントロール インターフェイスがアクティブになることが防止されます。

問題のセンサーが、ネットワーク上の別のホストと競合する IP アドレスを持っていないことを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 インターフェイスがアップ状態かどうかを判断します。

ips-ssp# show interfaces
Interface Statistics
Total Packets Received = 0
Total Bytes Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/1
Media Type = backplane
Missed Packet Percentage = 0
Inline Mode = Unpaired
Pair Status = N/A
Link Status = Up
Link Speed = Auto_1000
Link Duplex = Auto_Full
Total Packets Received = 0
Total Bytes Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface GigabitEthernet0/0
Media Type = TX
Link Status = Up
Link Speed = Auto_100
Link Duplex = Auto_Full
Total Packets Received = 1822323
Total Bytes Received = 131098876
Total Multicast Packets Received = 20
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 219260
Total Bytes Transmitted = 103668610
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
ips-ssp#
 

出力に表示されるコマンド/コントロール インターフェイスのリンク ステータスがダウン状態である場合は、ハードウェアの問題か、IP アドレスの競合があります。

ステップ 3 センサーのケーブル接続が正しいことを確認します。

ステップ 4 IP アドレスが正しいことを確認します。


 

詳細情報

IP アドレスが正しいことを確認する手順については、「ネットワーク設定値の変更」を参照してください。

SensorApp とアラート

ここでは、SensorApp とアラートに関する問題のトラブルシューティングに役立つ情報を提供します。次のような構成になっています。

「SensorApp が実行しない」

「物理的な接続性、SPAN、または VACL ポートの問題」

「アラートを表示できない」

「センサーがパケットを監視しない」

「破損した SensorApp 設定のクリーンアップ」

SensorApp が実行しない

センシング プロセス SensorApp は、常に動作している必要があります。常に動作していないと、アラートを受信できません。SensorApp は分析エンジンの一部であるので、分析エンジンが実行中であることを確認する必要があります。

分析エンジンが実行中であることを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 分析エンジン サービスのステータスを特定します。

ips-ssp# show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.1(1)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S512.0 2010-09-08
OS Version: 2.6.29.1
Platform: ASA5585-SSP-IPS20
Serial Number: ABC1234DEFG
No license present
Sensor up-time is 21:09.
Using 10276M out of 11899M bytes of available memory (86% usage)
system is using 28.4M out of 160.0M bytes of available disk space (18% usage)
application-data is using 64.9M out of 171.4M bytes of available disk space (40%
usage)
boot is using 58.7M out of 71.7M bytes of available disk space (86% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
usage)
 
 
MainApp S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27 T10:41:56-0500 Running
AnalysisEngine S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27 T10:41:56-0500 Not Running
CollaborationApp S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27 T10:41:56-0500 Running
CLI S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27 T10:41:56-0500
 
Upgrade History:
 
IPS-K9-7.1-1-E4 10:53:07 UTC Mon Sep 27 2010
 
Recovery Partition Version 1.1 - 7.1(1)E4
 
Host Certificate Valid from: 26-Sep-2010 to 26-Sep-2012
 
ips-ssp#
 

ステップ 3 分析エンジンが実行中でない場合は、それに関係するエラーが発生していないか調べます。

ips-ssp# show events error fatal past 13:00:00 | include AnalysisEngine
evError: eventId=1077219258696330005 severity=warning
 
originator:
hostId: sensor
appName: sensorApp
appInstanceId: 1045
time: 2004/02/19 19:34:20 2004/02/19 19:34:20 UTC
errorMessage: name=errUnclassified Generating new Analysis Engine configuration file.
 

) 最後に再起動した日時が表示されます。この例では、最後の再起動は 2004 年 2 月 19 日 7 時 34 分でした。


ステップ 4 ソフトウェアのアップデートが最新のものであることを確認します。

ips-ssp# show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.1(1)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S512.0 2010-09-08
OS Version: 2.6.29.1
Platform: ASA5585-SSP-IPS20
Serial Number: ABC1234DEFG
No license present
Sensor up-time is 21:09.
Using 10276M out of 11899M bytes of available memory (86% usage)
system is using 28.4M out of 160.0M bytes of available disk space (18% usage)
application-data is using 64.9M out of 171.4M bytes of available disk space (40%
usage)
boot is using 58.7M out of 71.7M bytes of available disk space (86% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
usage)
 
 
MainApp S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27
T10:41:56-0500 Running
AnalysisEngine S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27
T10:41:56-0500 Running
CollaborationApp S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27
T10:41:56-0500 Running
CLI S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27
T10:41:56-0500
 
Upgrade History:
 
IPS-K9-7.1-1-E4 10:53:07 UTC Mon Sep 27 2010
 
Recovery Partition Version 1.1 - 7.1(1)E4
 
Host Certificate Valid from: 26-Sep-2010 to 26-Sep-2012
 
ips-ssp#
 

最新のものではない場合は、Cisco.com からダウンロードします。

ステップ 5 分析エンジンがまだ実行されない場合は、TAC にお問い合わせください。


 

詳細情報

IPS システム アーキテクチャの詳細については、 付録 A「システム アーキテクチャについて」 を参照してください

最新の Cisco IPS ソフトウェアを取得する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

物理的な接続性、SPAN、または VACL ポートの問題

センサーが正しく接続されていないと、アラートを受信しません。

センサーが正しく接続されていることを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 インターフェイスがアップ状態にあり、パケット カウントが増加していることを確認します。

ips-ssp# show interfaces
Interface Statistics
Total Packets Received = 6208415
Total Bytes Received = 18446744071628877824
Missed Packet Percentage = 2
MAC statistics from interface Management0/0
Interface function = Command-control interface
Description =
Media Type = TX
Default Vlan = 0
Link Status = Up
Link Speed = Auto_1000
Link Duplex = Auto_Full
Total Packets Received = 350763
Total Bytes Received = 21510843
Total Multicast Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 79405
Total Bytes Transmitted = 48931908
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface PortChannel0/0
Interface function = Sensing interface
Description =
Media Type = backplane
Default Vlan = 0
InlineMode = Unpaired
Pair Status = N/A
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Link Status = Up
Admin Enabled Status = Enabled
Link Speed = Auto_10000
Link Duplex = Auto_Full
Missed Packet Percentage = 2
Total Packets Received = 6208415
Total Bytes Received = 2214293504
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 343056
Total Undersize Packets Received = 0
Total Receive Errors = 175751
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 6208415
Total Bytes Transmitted = 2214293504
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 343056
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface Management0/1
Interface function = Reserved for future use
ips-ssp#
 

ステップ 3 Link Status が Down になっている場合は、センシング ポートが適切に接続されているか確認します。

ステップ 4 インターフェイスの設定を確認します。

ステップ 5 インターフェイスがアップ状態であり、パケット カウントが増加していることを再び確認します。

ips-ssp# show interfaces
 


 

詳細情報

センサーでインターフェイスを設定する手順については、「インターフェイスの設定」を参照してください。

アラートを表示できない

アラートが表示されない場合は、次の処理を試みてください。

シグニチャがイネーブルであることを確認します。

シグニチャが廃棄されていないことを確認します。

製品アラートをアクションとして設定していることを確認します。


) 製品アラートを選択しても、後から別のイベント アクションを追加し、その新しい設定に製品アラートを追加していない場合、アラートはイベント ストアに送信されません。シグニチャを設定するたびに、既存の設定が新しい設定に上書きされるので、シグニチャごとに必要なイベント アクションをすべて設定していることを確認してください。


センサーがパケットを監視していることを確認します。

アラートが生成されていることを確認します。

センシング インターフェイスが仮想センサー内にあることを確認します。

アラートが表示されることを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 シグニチャが有効であることを確認します。

ips-ssp# configure terminal
ips-ssp(config)# service signature-definition sig0
ips-ssp(config-sig)# signatures 1300 0
ips-ssp(config-sig-sig)# status
ips-ssp(config-sig-sig-sta)# show settings
status
-----------------------------------------------
enabled: true <defaulted>
retired: false <defaulted>
-----------------------------------------------
ips-ssp(config-sig-sig-sta)#
 

ステップ 3 製品アラートを設定していることを確認します。

ips-ssp# configure terminal
ips-ssp(config)# service signature-definition sig0
ips-ssp(config-sig)# signatures 1300 0
ips-ssp(config-sig-sig)# engine ?
normalizer Signature engine
ips-ssp(config-sig-sig)# engine normalizer
ips-ssp(config-sig-sig-nor)# event-action produce-alert
ips-ssp(config-sig-sig-nor)# show settings
normalizer
-----------------------------------------------
event-action: produce-alert default: produce-alert|deny-connection-inline
edit-default-sigs-only
-----------------------------------------------
ips-ssp#
 

ステップ 4 センサーがパケットを監視していることを確認します。

ips-ssp# show interfaces FastEthernet0/1
MAC statistics from interface FastEthernet0/1
Media Type = backplane
Missed Packet Percentage = 0
Inline Mode = Unpaired
Pair Status = N/A
Link Status = Up
Link Speed = Auto_100
Link Duplex = Auto_Full
Total Packets Received = 267581
Total Bytes Received = 24886471
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 57301
Total Bytes Transmitted = 3441000
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 1
Total Transmit FIFO Overruns = 0
ips-ssp#
 

ステップ 5 アラートが表示されるかどうかを確認します。

ips-ssp# show statistics virtual-sensor
SigEvent Preliminary Stage Statistics
Number of Alerts received = 0
Number of Alerts Consumed by AlertInterval = 0
Number of Alerts Consumed by Event Count = 0
Number of FireOnce First Alerts = 0
Number of FireOnce Intermediate Alerts = 0
Number of Summary First Alerts = 0
Number of Summary Intermediate Alerts = 0
Number of Regular Summary Final Alerts = 0
Number of Global Summary Final Alerts = 0
Number of Alerts Output for further processing = 0alertDetails: Traffic Source: int0 ;
 


 

センサーがパケットを監視しない

センサーがネットワーク上のパケットを監視していない場合、インターフェイスの設定が正しくないことが考えられます。

センサーがパケットを監視していない場合は、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 インターフェイスがアップ状態であり、パケットを受信していることを確認します。

ips-ssp# show interfaces PortChannel0/0
MAC statistics from interface PortChannel0/0
Interface function = Sensing interface
Description =
Media Type = backplane
Default Vlan = 0
InlineMode = Unpaired
Pair Status = N/A
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Link Status = Up
Admin Enabled Status = Enabled
Link Speed = Auto_10000
Link Duplex = Auto_Full
Missed Packet Percentage = 2
Total Packets Received = 6208912
Total Bytes Received = 2214357120
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 343056
Total Undersize Packets Received = 0
Total Receive Errors = 175751
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 6208912
Total Bytes Transmitted = 2214357120
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 343056
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
ips-ssp#
 

ステップ 3 インターフェイスがアップ状態でない場合は、ケーブル接続をチェックしてください。


 

詳細情報

IPS SSP を適切にインストールする手順については、『 Installing the Cisco Intrusion Prevention System Security Services Processor 7.1 』を参照してください。

破損した SensorApp 設定のクリーンアップ

SensorApp の設定が破損状態となり、SensorApp を実行できない場合は、SensorApp を完全に削除してから再起動する必要があります。

SensorApp の設定を削除するには、次の手順を実行します。


ステップ 1 サーバ アカウントにログインします。

ステップ 2 root に su します。

ステップ 3 IPS アプリケーションを停止します。

/etc/init.d/cids stop
 

ステップ 4 仮想センサー ファイルを交換します。

cp /usr/cids/idsRoot/etc/defVirtualSensorConfig.xml /usr/cids/idsRoot/etc/VS-Config/virtualSensor.xml
 

ステップ 5 キャッシュ ファイルを削除します。

rm /usr/cids/idsRoot/var/virtualSensor/*.pmz
 

ステップ 6 サービス アカウントを終了します。

ステップ 7 センサー CLI にログインします。

ステップ 8 IPS サービスを起動します。

ips-ssp# cids start
 

ステップ 9 管理者権限でアカウントにログインします。

ステップ 10 センサーをリブートします。

ips-ssp# reset
Warning: Executing this command will stop all applications and reboot the node.
Continue with reset? [yes]:yes
Request Succeeded.
ips-ssp#
 


 

詳細情報

IPS システム アーキテクチャの詳細については、 付録 A「システム アーキテクチャについて」 を参照してください。

ブロッキングのトラブルシューティング

ARC の設定を終えた後は、 show version コマンドを使用して、ARC が正しく実行されているかどうかを確認できます。ネットワーク デバイスに ARC が接続されていることを確認するには、 show statistics network-access コマンドを使用します。


) ARC は、以前は Network Access Controller と呼ばれていました。この名前は IPS 5.1 から変更されましたが、IDM、IME、および CLI にはまだ Network Access Controller、nac、および network-access として表示されます。


ARC のトラブルシューティングを行うには、次の手順を実行します。

1. ARC が実行中であることを確認します。

2. ARC がネットワーク デバイスに接続されていることを確認します。

3. 特定のシグニチャのイベント アクションが、ホストのブロックに設定されていることを確認します。

4. マスター ブロッキング センサーが正しく設定されていることを確認します。

詳細情報

ARC が実行中であることを確認する手順については、「ARC が実行中であることを確認する」を参照してください。

ARC が接続されていることを確認する手順については、「ARC 接続がアクティブであることを確認する」を参照してください。

イベント アクションがホストのブロックに設定されていることを確認する手順については、「シグニチャに対してブロッキングが発生していない」を参照してください。

マスター ブロッキング センサーが正しく設定されていることを確認する手順については、「マスター ブロッキング センサーの設定を確認する」を参照してください。

ARC アーキテクチャの詳細については、「Attack Response Controller」を参照してください。

ARC が実行中であることを確認する

ARC が実行中であることを確認するには、 show version コマンドを使用します。MainApp が実行されていない場合、ARC を実行できません。ARC は MainApp の一部です。

ARC が実行中であることを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 MainApp が実行中であることを確認します。

ips-ssp# show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.1(0.346)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S512.0 2010-09-08
OS Version: 2.6.29.1
Platform: ASA5585-SSP-IPS20
Serial Number: ABC1234DEFG
No license present
Sensor up-time is 21:09.
Using 10276M out of 11899M bytes of available memory (86% usage)
system is using 28.4M out of 160.0M bytes of available disk space (18% usage)
application-data is using 64.9M out of 171.4M bytes of available disk space (40%
usage)
boot is using 58.7M out of 71.7M bytes of available disk space (86% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
usage)
 
 
MainApp S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27
T10:41:56-0500 Running
AnalysisEngine S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27
T10:41:56-0500 Running
CollaborationApp S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27
T10:41:56-0500 Running
CLI S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27
T10:41:56-0500
 
Upgrade History:
 
IPS-K9-7.1-0.346-E4 10:53:07 UTC Mon Sep 27 2010
 
Recovery Partition Version 1.1 - 7.1(0.346)E4
 
Host Certificate Valid from: 26-Sep-2010 to 26-Sep-2012
ips-ssp#
 

ステップ 3 MainApp の表示が Not Running である場合、ARC は失敗しています。TAC にお問い合わせください。


 

詳細情報

IPS システム アーキテクチャの詳細については、 付録 A「システム アーキテクチャについて」 を参照してください。

ARC 接続がアクティブであることを確認する

ARC の統計情報で State が Active でない場合は、問題が発生しています。

統計情報で State が Active であることを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 ARC が接続状態にあることを確認します。

出力の State セクションを調べて、すべてのデバイスが接続状態にあることを確認します。

ips-ssp# show statistics network-access
Current Configuration
LogAllBlockEventsAndSensors = true
EnableNvramWrite = false
EnableAclLogging = false
AllowSensorBlock = false
BlockMaxEntries = 250
MaxDeviceInterfaces = 250
NetDevice
Type = Cisco
IP = 10.89.147.54
NATAddr = 0.0.0.0
Communications = telnet
BlockInterface
InterfaceName = fa0/0
InterfaceDirection = in
State
BlockEnable = true
NetDevice
IP = 10.89.147.54
AclSupport = uses Named ACLs
Version = 12.2
State = Active
ips-ssp#
 

ステップ 3 ARC が接続状態にない場合は、繰り返し発生しているエラーを探します。

ips-ssp# show events error hh:mm:ss month day year | include : nac
 

ips-ssp# show events error 00:00:00 Apr 01 2007 | include : nac
 

ステップ 4 ソフトウェアのアップデートが最新のものであることを確認します。

ips-ssp# show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.1(1)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S512.0 2010-09-08
OS Version: 2.6.29.1
Platform: ASA5585-SSP-IPS20
Serial Number: ABC1234DEFG
No license present
Sensor up-time is 21:09.
Using 10276M out of 11899M bytes of available memory (86% usage)
system is using 28.4M out of 160.0M bytes of available disk space (18% usage)
application-data is using 64.9M out of 171.4M bytes of available disk space (40%
usage)
boot is using 58.7M out of 71.7M bytes of available disk space (86% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
usage)
 
 
MainApp S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27
T10:41:56-0500 Running
AnalysisEngine S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27
T10:41:56-0500 Running
CollaborationApp S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27
T10:41:56-0500 Running
CLI S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27
T10:41:56-0500
 
Upgrade History:
 
IPS-K9-7.1-1-E4 10:53:07 UTC Mon Sep 27 2010
 
Recovery Partition Version 1.1 - 7.1(1)E4
 
Host Certificate Valid from: 26-Sep-2010 to 26-Sep-2012
ips-ssp#
 

) 最新のものではない場合は、Cisco.com からダウンロードします。


ステップ 5 ARC の既知の DDTS については、ソフトウェア アップグレードに添付の Readme を参照してください。

ステップ 6 デバイスごとに設定(ユーザ名、パスワード、IP アドレス)が正しいことを確認します。

ステップ 7 ネットワーク デバイスごとにインターフェイスと方向が正しいことを確認します。

ステップ 8 ネットワーク デバイスで SSH-3DES が使用されている場合は、デバイスへの SSH 接続をすでにイネーブルにしていることを確認します。

ステップ 9 制御対象の各デバイスで各インターフェイスおよび方向が正しいことを確認します。


 

詳細情報

最新の Cisco IPS ソフトウェアを取得する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

デバイスの設定の詳細については、「デバイスのアクセスに関する問題点」を参照してください。

各ネットワーク デバイスのインターフェイスと方向を確認する手順については、「ネットワーク デバイス上のインターフェイスおよび方向を確認する」を参照してください。

SSH をイネーブルにする手順については、「ネットワーク デバイスへの SSH 接続を有効にする」を参照してください。

デバイスのアクセスに関する問題点

ARC は、管理しているデバイスにアクセスできない場合があります。管理対象のデバイスの IP アドレス、ユーザ名、およびパスワードが正しいことと、インターフェイスおよび方向が正しく設定されていることを確認してください。


) SSH デバイスが SSH 1.5 をサポートしている必要があります。センサーは、SSH 2.0 をサポートしていません。


デバイスへのアクセスの問題についてトラブルシューティングを行うには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 管理対象デバイスの IP アドレスを確認します。

ips-ssp# configure terminal
ips-ssp (config)# service network-access
ips-ssp(config-net)# show settings
general
-----------------------------------------------
log-all-block-events-and-errors: true <defaulted>
enable-nvram-write: false <defaulted>
enable-acl-logging: false <defaulted>
allow-sensor-block: false <defaulted>
block-enable: true <defaulted>
block-max-entries: 250 <defaulted>
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-networks (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
block-networks (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
user-profiles (min: 0, max: 250, current: 1)
-----------------------------------------------
profile-name: r7200
-----------------------------------------------
enable-password: <hidden>
password: <hidden>
username: netrangr default:
-----------------------------------------------
-----------------------------------------------
cat6k-devices (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
router-devices (min: 0, max: 250, current: 1)
-----------------------------------------------
ip-address: 10.89.147.54
-----------------------------------------------
communication: telnet default: ssh-3des
nat-address: 0.0.0.0 <defaulted>
profile-name: r7200
block-interfaces (min: 0, max: 100, current: 1)
-----------------------------------------------
interface-name: fa0/0
direction: in
-----------------------------------------------
pre-acl-name: <defaulted>
post-acl-name: <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
firewall-devices (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
ips-ssp(config-net)#
 

ステップ 3 デバイスに手動で接続して、正しいユーザ名、正しいパスワード、および有効なパスワードを使用していること、さらにセンサーからデバイスに到達可能であることを確認します。

a. サーバ アカウントにログインします。

b. Telnet または SSH を使用してネットワーク デバイスに接続し、設定を確認します。

c. デバイスに到達できることを確認します。

d. ユーザ名とパスワードを確認します。

ステップ 4 各ネットワーク デバイスの各インターフェイスおよび方向が正しいことを確認します。


 

詳細情報

各ネットワーク デバイスのインターフェイスと方向を確認する手順については、「ネットワーク デバイス上のインターフェイスおよび方向を確認する」を参照してください。

ネットワーク デバイス上のインターフェイスおよび方向を確認する

制御対象の各デバイス上で各インターフェイスおよび方向が正しいことを確認するには、手動ブロックを不正なホストに送信し、ルータの ACL 内のブロックされているアドレスについて拒否エントリが存在するかどうかを確認できます。


) IDM を使用して手動ブロックを実行するには、[Monitoring] > [Sensor Monitoring] > [Time-Based Actions] > [Host Blocks] を選択します。IME を使用して手動ブロックを実行するには、[Configuration] > sensor_name > [Sensor Monitoring] > [Time-Based Actions] > [Host Blocks] を選択します。


不正なホストに対する手動ブロックを開始するには、次の手順を実行します。


ステップ 1 ARC 一般サブモードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service network-access
ips-ssp(config-net)# general
 

ステップ 2 不正なホストの IP アドレスの手動ブロックを開始します。

ips-ssp(config-net-gen)# block-hosts 10.16.0.0
 

ステップ 3 一般サブモードを終了します。

ips-ssp(config-net-gen)# exit
ips-ssp(config-net)# exit
Apply Changes:? [yes]:
 

ステップ 4 Enter を押して変更を適用するか、 no を入力して変更を破棄します。

ステップ 5 ルータに Telnet 接続して、ブロックされたアドレスの拒否エントリがルータの ACL 内に存在することを確認します。手順については、ルータのマニュアルを参照してください。

ステップ 6 手動ブロックを削除するにはステップ 1 ~ 4 を繰り返します。ただし、ステップ 2 では、コマンドの前に no を配置します。

ips-ssp(config-net-gen)# no block-hosts 10.16.0.0
 


 

ネットワーク デバイスへの SSH 接続を有効にする

ネットワーク デバイスの通信プロトコルとして SSH-3DES を使用している場合は、デバイス上で該当するプロトコルを必ずイネーブルにしておく必要があります。

ネットワーク デバイスへの SSH 接続を有効にするには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 コンフィギュレーション モードを開始します。

ips-ssp# configure terminal
 

ステップ 3 SSH をイネーブルにします。

ips-ssp(config)# ssh host blocking_device_ip_address
 

ステップ 4 デバイスを受け入れるよう指示するメッセージが表示されたら、 yes と入力します。


 

シグニチャに対してブロッキングが発生していない

特定のシグニチャに対してブロッキングが発生していない場合は、イベント アクションがホストをブロックするように設定されているかどうかチェックします。

特定のシグニチャに対してブロッキングが発生していることを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 シグニチャ定義サブモードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service signature-definition sig0
ips-ssp(config-sig)#
 

ステップ 3 イベント アクションがホストをブロックするように設定されていることを確認します。


) アラートを受信するには、イベント アクションを設定するときに必ず produce-alert を追加する必要があります。


ips-ssp(config-sig)# signatures 1300 0
ips-ssp(config-sig-sig)# engine normalizer
ips-ssp(config-sig-sig-nor)# event-action produce-alert|request-block-host
ips-ssp(config-sig-sig-nor)# show settings
normalizer
-----------------------------------------------
event-action: produce-alert|request-block-host default: produce-alert|deny
-connection-inline
edit-default-sigs-only
-----------------------------------------------
default-signatures-only
-----------------------------------------------
specify-service-ports
-----------------------------------------------
no
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
specify-tcp-max-mss
-----------------------------------------------
no
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
specify-tcp-min-mss
-----------------------------------------------
no
-----------------------------------------------
-----------------------------------------------
--MORE--
 

ステップ 4 シグニチャ定義サブモードを終了します。

ips-ssp(config-sig-sig-nor)# exit
ips-ssp(config-sig-sig)# exit
ips-ssp(config-sig)# exit
Apply Changes:?[yes]:
 

ステップ 5 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


 

マスター ブロッキング センサーの設定を確認する

マスター ブロッキング センサーが適切に設定されていることを確認するには、あるいは適切に設定されていないマスター ブロッキング センサーのトラブルシューティングを行うには、 show statistics network-access コマンドを使用します。リモート マスター ブロッキング センサーが TLS を使用して Web アクセスを行っている場合は、転送センサーが TLS の信頼できるホストとして設定されていることを確認します。

マスター ブロッキング センサーの設定を確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 ARC の統計情報を表示し、マスター ブロッキング センサーのエントリが統計情報にあることを確認します。

ips-ssp# show statistics network-access
Current Configuration
AllowSensorShun = false
ShunMaxEntries = 250
MasterBlockingSensor
SensorIp = 10.89.149.46
SensorPort = 443
UseTls = 1
State
ShunEnable = true
ShunnedAddr
Host
IP = 122.122.122.44
ShunMinutes = 60
MinutesRemaining = 59
 

ステップ 3 統計情報にマスター ブロッキング センサーが表示されていない場合は、それを追加してください。

ステップ 4 不正なホスト IP アドレスへの手動ブロックを開始し、マスター ブロッキング センサーがブロックを開始していることを確認します。

ips-ssp# configure terminal
ips-ssp(config)# service network-access
ips-ssp(config-net)# general
ips-ssp(config-net-gen)# block-hosts 10.16.0.0
 

ステップ 5 ネットワーク アクセス一般サブモードを終了します。

ips-ssp(config-net-gen)# exit
ips-ssp(config-net)# exit
Apply Changes:? [yes]:
 

ステップ 6 Enter を押して変更を適用するか、 no を入力して変更を破棄します。

ステップ 7 ARC の統計情報にブロックが表示されていることを確認します。

ips-ssp# show statistics network-access
Current Configuration
AllowSensorShun = false
ShunMaxEntries = 100
State
ShunEnable = true
ShunnedAddr
Host
IP = 10.16.0.0
ShunMinutes =
 

ステップ 8 マスター ブロッキング センサー ホストの CLI にログインし、 show statistics network-access コマンドを使用して、マスター ブロッキング センサーの ARC の統計情報にブロックも表示されていることを確認します。

ips-ssp# show statistics network-access
Current Configuration
AllowSensorShun = false
ShunMaxEntries = 250
MasterBlockingSensor
SensorIp = 10.89.149.46
SensorPort = 443
UseTls = 1
State
ShunEnable = true
ShunnedAddr
Host
IP = 10.16.0.0
ShunMinutes = 60
MinutesRemaining = 59
 

ステップ 9 リモート マスター ブロッキング センサーが TLS を使用して Web アクセスを行っている場合は、転送センサーが TLS ホストとして設定されていることを確認します。

ips-ssp# configure terminal
ips-ssp(config)# tls trust ip master_blocking_sensor_ip_address
 


 

詳細情報

センサーをマスター ブロッキング センサーとして設定する手順については、「センサーをマスター ブロッキング センサーにする設定」を参照してください。

ロギング

ここでは、ロギングについて説明します。次のような構成になっています。

「ロギングの概要」

「デバッグ ロギングをイネーブルにする」

「ゾーン名」

「SysLog に cidLog メッセージを転送する」

ロギングの概要

TAC では、トラブルシューティングのためにデバッグ ロギングをオンにすることを推奨する場合もあります。ロガーは、さまざまなロギング ゾーンのロギングの重大度を制御することにより、各アプリケーションが生成するログ メッセージの種類を制御します。デフォルトでは、デバッグ ロギングはオンではありません。個別ゾーン制御を有効にすると、各ゾーンでは設定されたロギング レベルを使用します。個別ゾーン制御を有効にしなければ、すべてのゾーンで同じロギング レベルが使用されます。

デバッグ ロギングをイネーブルにする


注意 デバッグ ロギングをイネーブルにすることは、パフォーマンスに重大な影響を与えるので、TAC によって指示された場合にのみ使用する必要があります。

デバッグ ロギングをイネーブルにするには、次の手順を実行できます。


ステップ 1 サーバ アカウントにログインします。

ステップ 2 log.conf ファイルを編集し、追加のログ ステートメントを収容するためにログのサイズを増やします。

vi /usr/cids/idsRoot/etc/log.conf
 

ステップ 3 fileMaxSizeInK=500 fileMaxSizeInK=5000 に変更します。

ステップ 4 ファイルのゾーンと CID セクションの位置を特定し、重大度を debug に設定します。

severity=debug
 

ステップ 5 ファイルを保存し、vi エディタを終了し、サービス アカウントを終了します。

ステップ 6 CLI に管理者としてログインします。

ステップ 7 マスター コントロール サブモードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service logger
ips-ssp(config-log)# master-control
 

ステップ 8 すべてのゾーンに対するデバッグ ロギングをイネーブルにします。

ips-ssp(config-log-mas)# enable-debug true
ips-ssp(config-log-mas)# show settings
master-control
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: false <defaulted>
-----------------------------------------------
ips-ssp(config-log-mas)#
 

ステップ 9 個々のゾーン制御をオンにします。

ips-ssp(config-log-mas)# individual-zone-control true
ips-ssp(config-log-mas)# show settings
master-control
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: true default: false
-----------------------------------------------
ips-ssp(config-log-mas)#
 

ステップ 10 マスター ゾーン制御を終了します。

ips-ssp(config-log-mas)# exit
 

ステップ 11 ゾーン名を表示します。

ips-ssp(config-log)# show settings
master-control
-----------------------------------------------
enable-debug: false <defaulted>
individual-zone-control: true default: false
-----------------------------------------------
zone-control (min: 0, max: 999999999, current: 14)
-----------------------------------------------
<protected entry>
zone-name: AuthenticationApp
severity: warning <defaulted>
<protected entry>
zone-name: Cid
severity: debug <defaulted>
<protected entry>
zone-name: Cli
severity: warning <defaulted>
<protected entry>
zone-name: IdapiCtlTrans
severity: warning <defaulted>
<protected entry>
zone-name: IdsEventStore
severity: warning <defaulted>
<protected entry>
zone-name: MpInstaller
severity: warning <defaulted>
<protected entry>
zone-name: cmgr
severity: warning <defaulted>
<protected entry>
zone-name: cplane
severity: warning <defaulted>
<protected entry>
zone-name: csi
severity: warning <defaulted>
<protected entry>
zone-name: ctlTransSource
severity: warning <defaulted>
<protected entry>
zone-name: intfc
severity: warning <defaulted>
<protected entry>
zone-name: nac
severity: warning <defaulted>
<protected entry>
zone-name: sensorApp
severity: warning <defaulted>
<protected entry>
zone-name: tls
severity: warning <defaulted>
-----------------------------------------------
ips-ssp(config-log)#
 

ステップ 12 特定のゾーンの重大度レベル(debug、timing、warning、または error)を変更します。

ips-ssp(config-log)# zone-control IdsEventStore severity error
ips-ssp(config-log)# show settings
master-control
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: true default: false
-----------------------------------------------
zone-control (min: 0, max: 999999999, current: 14)
-----------------------------------------------
<protected entry>
zone-name: AuthenticationApp
severity: warning <defaulted>
<protected entry>
zone-name: Cid
severity: debug <defaulted>
<protected entry>
zone-name: Cli
severity: warning <defaulted>
<protected entry>
zone-name: IdapiCtlTrans
severity: warning <defaulted>
<protected entry>
zone-name: IdsEventStore
severity: error default: warning
<protected entry>
zone-name: MpInstaller
severity: warning <defaulted>
<protected entry>
zone-name: cmgr
severity: warning <defaulted>
<protected entry>
zone-name: cplane
severity: warning <defaulted>
<protected entry>
zone-name: csi
severity: warning <defaulted>
<protected entry>
zone-name: ctlTransSource
severity: warning <defaulted>
<protected entry>
zone-name: intfc
severity: warning <defaulted>
<protected entry>
zone-name: nac
severity: warning <defaulted>
<protected entry>
zone-name: sensorApp
severity: warning <defaulted>
<protected entry>
zone-name: tls
severity: warning <defaulted>
-----------------------------------------------
ips-ssp(config-log)#
 

ステップ 13 特定のゾーンのデバッグを有効にします。

ips-ssp(config-log)# zone-control nac severity debug
ips-ssp(config-log)# show settings
master-control
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: true default: false
-----------------------------------------------
zone-control (min: 0, max: 999999999, current: 14)
-----------------------------------------------
<protected entry>
zone-name: AuthenticationApp
severity: warning <defaulted>
<protected entry>
zone-name: Cid
severity: debug <defaulted>
<protected entry>
zone-name: Cli
severity: warning <defaulted>
<protected entry>
zone-name: IdapiCtlTrans
severity: warning <defaulted>
<protected entry>
zone-name: IdsEventStore
severity: error default: warning
<protected entry>
zone-name: MpInstaller
severity: warning <defaulted>
<protected entry>
zone-name: cmgr
severity: warning <defaulted>
<protected entry>
zone-name: cplane
severity: warning <defaulted>
<protected entry>
zone-name: csi
severity: warning <defaulted>
<protected entry>
zone-name: ctlTransSource
severity: warning <defaulted>
<protected entry>
zone-name: intfc
severity: warning <defaulted>
<protected entry>
zone-name: nac
severity: debug default: warning
<protected entry>
zone-name: sensorApp
severity: warning <defaulted>
<protected entry>
zone-name: tls
severity: warning <defaulted>
-----------------------------------------------
ips-ssp(config-log)#
 

ステップ 14 ロガー サブモードを終了します。

ips-ssp(config-log)# exit
Apply Changes:?[yes]:
 

ステップ 15 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


 

詳細情報

それぞれのゾーン名が示す内容に関するリストについては、「ゾーン名」を参照してください。

ゾーン名

表 C-1 にデバッグ ロガー ゾーン名をリストします。

 

表 C-1 デバッグ ロガー ゾーン名

ゾーン名
説明

AD

異常検出ゾーン

AuthenticationApp

認証ゾーン

Cid

一般的なロギング ゾーン

Cli

CLI ゾーン

IdapiCtlTrans

すべての制御トランザクション ゾーン

IdsEventStore

イベント ストア ゾーン

MpInstaller

IDSM-2 マスター パーティション インストーラ ゾーン

cmgr

Card Manager サービス ゾーン1

cplane

コントロール プレーン ゾーン2

csi

CIDS Servlet インターフェイス3

ctlTransSource

発信制御トランザクション ゾーン

intfc

インターフェイス ゾーン

nac

ARC ゾーン

rep

レピュテーション ゾーン

sched

自動更新スケジューラ ゾーン

sensorApp

分析エンジン ゾーン

tls

SSL および TLS ゾーン

1.Card Manager サービスは、シャーシ内のモジュール間で制御と状態の情報を交換するために AIP-SSM で使用されます。

2.コントロール プレーンは、AIP-SSM で Card Manager が使用するトランスポート通信層です。

3.CIDS servlet インターフェイスは、CIDS Web サーバと servlet 間のインターフェイス層です。

詳細情報

IPS ロガー サービスの詳細については、「ロガー」を参照してください。

SysLog に cidLog メッセージを転送する

cidLog メッセージを syslog に転送することが有用な場合があります。

cidLog メッセージを syslog に転送するには、次の手順を実行します。


ステップ 1 idsRoot/etc/log.conf ファイルに進みます。

ステップ 2 次の変更を加えます。

a. [logApp] enabled=false を設定します。

enabled=true はコメント化されます。これは enabled=false がデフォルトであるためです。

b. [drain/main] type=syslog を設定します。

次の例に、ロギング コンフィギュレーション ファイルを示します。

timemode=local
;timemode=utc
 
[logApp]
;enabled=true
;-------- FIFO parameters --------
fifoName=logAppFifo
fifoSizeInK=240
;-------- logApp zone and drain parameters --------
zoneAndDrainName=logApp
fileName=main.log
fileMaxSizeInK=500
 
[zone/Cid]
severity=warning
drain=main
 
[zone/IdsEventStore]
severity=debug
drain=main
 
[drain/main]
type=syslog
 

syslog の出力が syslog ファシリティ local6 に送信され、syslog メッセージ プロパティとは次の対応関係があります。

LOG_DEBUG, // デバッグ

LOG_INFO, // タイミング

LOG_WARNING, // 警告

LOG_ERR, // エラー

LOG_CRIT // 重大


) /etc/syslog.conf の該当するファシリティが適切な優先順位で有効になっていることを確認します。



注意 syslog は logApp よりもかなり時間がかかります(1 秒あたり 50 メッセージ程度。logApp は 1 秒あたり 1000 メッセージ程度)。デバッグの重大度は、一度に 1 つのゾーンでのみイネーブルにすることを推奨します。

ソフトウェアのアップグレード

ここでは、ソフトウェア アップグレードのトラブルシューティングに役立つ情報を提供します。次のような構成になっています。

「アップグレード エラー」

「適用するアップデートと前提条件」

「自動アップデートに関する問題」

「センサーに格納されたアップデートを使用してセンサーを更新する」

アップグレード エラー

IPS をアップグレードすると、分析エンジンが実行されていないことを示すエラーを受け取る場合があります。

ips-ssp# upgrade scp://user@10.1.1.1/upgrades/IPS-K9-7.1-1-E4.pkg
Password: ********
Warning: Executing this command will apply a major version upgrade to the application partition. The system may be rebooted to complete the upgrade.
Continue with upgrade?: yes
Error: AnalysisEngine is not running. Please reset box and attempt upgrade again.
 

このエラーを受け取った場合は、アップグレードを再試行する前に分析エンジンを実行する必要があります。このエラーの原因は多くの場合、現在実行中のバージョンの欠陥です。センサーのリブートを試みて、リブートしたら setup コマンドを実行し、仮想センサー vs0 からインターフェイスを削除します。トラフィックがモニタされていないと、分析エンジンは通常アップ状態で、実行中となります。この時点でアップグレードが可能です。アップグレードを終えたら、 setup コマンドを使用して仮想センサー vs0 にインターフェイスを追加し直します。

または、システム イメージ ファイルを使用して、必要なバージョンに直接、センサーのイメージを再作成できます。イメージの再作成処理では分析エンジンが実行中であるかどうかがチェックされないため、センサーのイメージを再作成し、エラーを回避できます。


注意 システム イメージ ファイルを使用してイメージを再作成すると、すべての設定がデフォルトに復元されます。

詳細情報

setup コマンドの詳細については、「IPS SSP の初期化」を参照してください。

センサーのイメージの再作成の詳細については、「IPS SSP システム イメージのインストール」を参照してください。

適用するアップデートと前提条件

ソフトウェアのサービス パックのバージョンとマイナーおよびメジャー バージョンは正しいものを使用する必要があります。新しいソフトウェアの適用に関して問題が発生している場合は、適切なアップデートを適切な前提条件で実行しているかどうかを確認します。

シグニチャ アップデートには、ファイル名にリストされている最小バージョンおよびエンジン バージョンが必要です。

エンジン アップデートには、エンジン アップデート ファイル名のメジャーまたはマイナー バージョンが必要です。サービス パックを適用するには、正しいマイナー バージョンが必要です。

マイナー バージョンを適用するには、正しいメジャー バージョンが必要です。

メジャー バージョンを適用するには、前のメジャー バージョンが必要です。

詳細情報

IPS ソフトウェア ファイル名を解釈する方法については、「IPS ソフトウェアのバージョン管理」を参照してください。

自動アップデートに関する問題

次のリストに、自動アップデートのトラブルシューティングに役立つ情報を示します。

TCPDUMP を実行します。

サービス アカウントを作成します。root に su して、コマンド/コントロール インターフェイスで TCPDUMP を実行し、センサーと FTP サーバ間のパケットをキャプチャします。

upgrade コマンドを使用して、センサーを手動でアップグレードします。

FTP サーバから返されるエラーの TCPDUMP 出力を調べます。

センサーが正しいディレクトリ内にあることを確認します。

ディレクトリを正しく指定する必要があります。これが、Windows FTP サーバにおける問題の原因です。場合によっては、ディレクトリ名の前に余分に「/」を 1 つ、あるいは「/」を 2 つ付ける必要があります。これを確認するには、固有の FTP 接続を介して送信された TCPDUMP 出力に示されているのと同じ FTP コマンドを使用します。

MS-DOS ファイル構造体ではなく UNIX ファイル構造体をエミュレートするには、Windows FTP サーバ セットアップ オプションを使用する必要があります。

SCP を使用する場合は、SSH ホスト キーを既知のホスト リストに必ず追加しておきます。

手動による upgrade コマンドを試してから、自動アップデートを試みます。 upgrade コマンドでは動作するが、自動アップデートでは動作しない場合は、次の手順を実行します。

センサーに搭載された IPS ソフトウェア バージョンを特定します。

自動アップデートにパスワードが設定されていることを確認します。自動アップデートのパスワードは、手動アップデートで使用されるパスワードと一致する必要があります。

FTP サーバ内のファイル名が、Cisco.com の [Downloads] に表示されるものと同じであることを確認します。これには大文字の使用も含まれます。一部の Windows FTP サーバは大文字化されていないファイルへのアクセスを許可しますが、名前が変更されているのでセンサーは最終的にファイルを拒否します。

必要であれば、自動アップデートで TCPDUMP を実行します。正常な手動アップデートを異常な自動アップデートと比較し、そこからトラブルシューティングを行うことができます。

詳細情報

サービス アカウントの作成手順については、「サービス アカウントの作成」を参照してください。

センサーのイメージを再作成する手順については、「IPS SSP システム イメージのインストール」を参照してください。

SSH 既知ホスト リストにホストを追加する手順については、「SSH 既知ホスト リストへのホストの追加」を参照してください。

ソフトウェア バージョンを特定する手順については、「バージョン情報の表示」を参照してください。

センサーに格納されたアップデートを使用してセンサーを更新する

アップデート パッケージをセンサー上の /var ディレクトリに格納し、必要に応じて、そこからセンサーを更新することができます。

センサーに格納されたアップデートを使用してセンサーを更新するには、次の手順を実行します。


ステップ 1 サーバ アカウントにログインします。

ステップ 2 Cisco.com からアップデート パッケージファイルを取得します。

ステップ 3 FTP または SCP を使用して、アップデート ファイルをセンサーの /usr/cids/idsRoot/var ディレクトリに送信します。

ステップ 4 ファイルの権限を設定します。

chmod 644 ips_package_file_name
 

ステップ 5 サービス アカウントを終了します。

ステップ 6 管理者権限を持つアカウントを使用して次のようにセンサーにログインします。

ステップ 7 センサーのホスト キーを格納します。

ips-ssp# configure terminal
ips-ssp(config)# service ssh
ips-ssp(config-ssh)# rsa1-keys sensor_ip_address
 

ステップ 8 センサーをアップグレードします。

ips-ssp(config)# upgrade scp://service@sensor_ip_address/upgrade/ips_package_file_name
Enter password: *****
Re-enter password: *****
 


 

詳細情報

Cisco IPS ソフトウェアを取得する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

IPS SSP のトラブルシューティング


) IPS SSPのソフトウェアのアーキテクチャは、4200 シリーズ センサーのものと同じです。「センサーのトラブルシューティング」 に記載されたトラブルシューティング ツールと同じものを使用できます。


ここでは、IPS SSP に関するトラブルシューティングの情報を示します。次のような構成になっています。

「フェールオーバー シナリオ」

「ヘルスおよびステータス情報」

「IPS スイッチポートで停止したトラフィック フロー」

フェールオーバー シナリオ

シグニチャおよびシグニチャ エンジンのアップデートと、メジャーおよびマイナー アップデートを適用するときには、次のフェールオーバー シナリオが ASA 5585-X に適用されます。

フェールオープン モードの単一の ASA 5585-X

シグニチャまたはシグニチャ エンジンのアップデート時に ASA 5585-X がフェールオープン モードに設定されている場合は、設定変更があっても、トラフィックは通過します。

マイナーまたはメジャー アップデート時に ASA 5585-X がフェールオープン モードに設定されている場合は、SensorApp がクラッシュしても、トラフィックは通過します。

フェールクローズ モードの単一の ASA 5585-X

シグニチャまたはシグニチャ エンジンのアップデート時に ASA 5585-X がフェールクローズ モードに設定されている場合に、設定変更があると、トラフィックは停止します。

マイナーまたはメジャー アップデート時に ASA 5585-X がフェールクローズ モードに設定されている場合に、SensorApp がクラッシュすると、トラフィックは停止します。

フェールオープン モードでの 2 台の ASA 5585-X

シグニチャまたはシグニチャ エンジンのアップデート時に ASA 5585-X がフェールオープン モードに設定されている場合は、設定変更があっても、トラフィックは通過します。

マイナーまたはメジャー アップデート時に ASA 5585-X がフェールオープン モードに設定されている場合に、SensorApp がクラッシュすると、トラフィックはフェールオーバーされます。

フェールクローズ モードでの 2 台の ASA 5585-X

シグニチャまたはシグニチャ エンジンのアップデート時に ASA 5585-X がフェールクローズ モードに設定されている場合に、設定変更があると、トラフィックは停止します。

マイナーまたはメジャー アップデート時に ASA 5585-X がフェールクローズ モードに設定されている場合に、SensorApp がクラッシュすると、トラフィックはフェールオーバーされます。

設定例

プライマリ ASA 5585-X には、次の設定を使用します。

interface GigabitEthernet0/7
description LAN Failover Interface
 
failover
failover lan unit primary
failover lan interface folink GigabitEthernet0/7
failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2
 

セカンダリ ASA 5585-X には、次の設定を使用します。

interface GigabitEthernet0/7
description LAN Failover Interface
 
failover
failover lan unit secondary
failover lan interface folink GigabitEthernet0/7
failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2

ヘルスおよびステータス情報

IPS SSP の一般的なヘルス情報を表示するには、 show module 1 details コマンドを使用します。

asa# show module 1 details
Getting details from the Service Module, please wait...
ASA 5585-X IPS Security Services Processor-20 with 8GE
Model: ASA5585-SSP-IPS20
Hardware version: 1.0
Serial Number: ABC1234DEFG
Firmware version: 2.0(1)3
Software version: 7.1(1)E4
MAC Address Range: 8843.e12f.5414 to 8843.e12f.541f
App. name: IPS
App. Status: Up
App. Status Desc: Normal Operation
App. version: 7.1(1)E4
Data plane Status: Up
Status: Up
Mgmt IP addr: 192.0.2.3
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 192.0.2.254
Mgmt Access List: 10.0.0.0/8
Mgmt Access List: 64.0.0.0/8
Mgmt web ports: 443
Mgmt TLS enabled true
asa
 

出力には、IPS SSP がアップ状態であることが表示されます。ステータスが Down を示している場合は、 hw-module module 1 reset コマンドを使用してリセットできます。

asa# hw-module module 1 reset
 
The module in slot 1 should be shut down before
resetting it or loss of configuration may occur.
Reset module in slot 1? [confirm]
Reset issued for module in slot 1
asa# show module 1 details
Getting details from the Service Module, please wait...
Unable to read details from slot 1
ASA 5585-X IPS Security Services Processor-20 with 8GE
Model: ASA5585-SSP-IPS20
Hardware version: 1.0
Serial Number: ABC1234DEFG
Firmware version: 2.0(7)0
Software version: 7.1(1)E4
MAC Address Range: 5475.d029.7f9c to 5475.d029.7fa7
App. name: IPS
App. Status: Not Applicable
App. Status Desc: Not Applicable
App. version: 7.1(1)E4
Data plane Status: Not Applicable
Status: Shutting Down
asa# show module 1 details
Getting details from the Service Module, please wait...
Unable to read details from slot 1
ASA 5585-X IPS Security Services Processor-20 with 8GE
Model: ASA5585-SSP-IPS20
Hardware version: 1.0
Serial Number: ABC1234DEFG
Firmware version: 2.0(7)0
Software version: 7.1(1)E4
MAC Address Range: 5475.d029.7f9c to 5475.d029.7fa7
App. name: IPS
App. Status: Not Applicable
App. Status Desc: Not Applicable
App. version: 7.1(1)E4
Data plane Status: Not Applicable
Status: Down
asa# show module 1 details
Getting details from the Service Module, please wait...
Unable to read details from slot 1
ASA 5585-X IPS Security Services Processor-20 with 8GE
Model: ASA5585-SSP-IPS20
Hardware version: 1.0
Serial Number: ABC1234DEFG
Firmware version: 2.0(7)0
Software version: 7.1(1)E4
MAC Address Range: 5475.d029.7f9c to 5475.d029.7fa7
App. name: IPS
App. Status: Not Applicable
App. Status Desc: Not Applicable
App. version: 7.1(1)E4
Data plane Status: Not Applicable
Status: Init
asa# show module 1 details
Getting details from the Service Module, please wait...
ASA 5585-X IPS Security Services Processor-20 with 8GE
Model: ASA5585-SSP-IPS20
Hardware version: 1.0
Serial Number: ABC1234DEFG
Firmware version: 2.0(7)0
Software version: 7.1(1)E4
MAC Address Range: 5475.d029.7f9c to 5475.d029.7fa7
App. name: IPS
App. Status: Reload
App. Status Desc: Starting up
App. version: 7.1(1)E4
Data plane Status: Down
Status: Up
Mgmt IP addr: 192.0.2.3
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 192.0.2.254
Mgmt Access List: 0.0.0.0/0
Mgmt web ports: 443
Mgmt TLS enabled: true
asa# show module 1 details
Getting details from the Service Module, please wait...
ASA 5585-X IPS Security Services Processor-20 with 8GE
Model: ASA5585-SSP-IPS20
Hardware version: 1.0
Serial Number: ABC1234DEFG
Firmware version: 2.0(7)0
Software version: 7.1(1)E4
MAC Address Range: 5475.d029.7f9c to 5475.d029.7fa7
App. name: IPS
App. Status: Up
App. Status Desc: Normal Operation
App. version: 7.1(1)E4
Data plane Status: Up
Status: Up
Mgmt IP addr: 192.0.2.3
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 192.0.2.254
Mgmt Access List: 0.0.0.0/0
Mgmt web ports: 443
Mgmt TLS enabled: true
asa#
 

IPS SSP の復旧に問題がある場合は、 debug module-boot コマンドを使用して、ブート時に出力を表示します。TFTP サーバに適切な IP アドレスを使用しており、TFTP サーバに適切なファイルがあることを確認します。その後、再び hw-module module 1 recover コマンドを使用してモジュールを復元します。

ips-ssp# hw-module module 1 recover configure
Image URL [tftp://0.0.0.0/]: tftp://10.10.10.10//IPS-SSP_20-K9-sys-1.1-a-7.1-1-E4.img
Port IP Address [0.0.0.0]: 10.10.10.11
VLAN ID [0]:
Gateway IP Address [0.0.0.0]: 10.10.10.254
 
asa(config)# debug module-boot
debug module-boot enabled at level 1
asa(config)# hw-module module 1 recover boot
The module in slot 1 will be recovered. This may erase all configuration and all data on that device and attempt to download a new image for it.
Recover module in slot 1? [confirm]
Recover issued for module in slot 1
asa(config)# Slot-1 140> Cisco Systems ROMMON Version (1.0(10)0) #0: Fri Mar 25 23:02:10 PST 2010
Slot-1 141> Platform ASA5585-SSP-IPS20
Slot-1 142> GigabitEthernet0/0
Slot-1 143> Link is UP
Slot-1 144> MAC Address: 000b.fcf8.0176
Slot-1 145> ROMMON Variable Settings:
Slot-1 146> ADDRESS=192.0.2.3
Slot-1 147> SERVER=192.0.2.15
Slot-1 148> GATEWAY=192.0.2.254
Slot-1 149> PORT=GigabitEthernet0/0
Slot-1 150> VLAN=untagged
Slot-1 151> IMAGE=IPS-SSP-K9-sys-1.1-a-7.1-0.1.img
Slot-1 152> CONFIG=
Slot-1 153> LINKTIMEOUT=20
Slot-1 154> PKTTIMEOUT=4
Slot-1 155> RETRY=20
Slot-1 156> tftp IPS-SSP_10-K9-sys-1.1-a-7.1-0.1.img@192.0.2.15 via 192.0.2.254
Slot-1 157> TFTP failure: Packet verify failed after 20 retries
Slot-1 158> Rebooting due to Autoboot error ...
Slot-1 159> Rebooting....
Slot-1 160> Cisco Systems ROMMON Version (1.0(10)0) #0: Fri Mar 25 23:02:10 PST 2010
Slot-1 161> Platform ASA5585-SSP-IPS20
Slot-1 162> GigabitEthernet0/0
Slot-1 163> Link is UP
Slot-1 164> MAC Address: 000b.fcf8.0176
Slot-1 165> ROMMON Variable Settings:
Slot-1 166> ADDRESS=192.0.2.3
Slot-1 167> SERVER=192.0.2.15
Slot-1 168> GATEWAY=192.0.2.254
Slot-1 169> PORT=GigabitEthernet0/0
Slot-1 170> VLAN=untagged
Slot-1 171> IMAGE=IPS-SSP_10-K9-sys-1.1-a-7.1-0.1.img
Slot-1 172> CONFIG=
Slot-1 173> LINKTIMEOUT=20
Slot-1 174> PKTTIMEOUT=4
Slot-1 175> RETRY=20
Slot-1 176> tftp IPS-SSP_10-K9-sys-1.1-a-7.1-0.1.img@192.0.2.15 via 192.0.2.254

IPS スイッチポートで停止したトラフィック フロー

問題 IPS SSP がリセットされるか、シャットダウンされると、IPS SSP (1/x) にあるポート上のトラフィックは適応型セキュリティを通過しなくなります。このことは、トラフィックが IPS にモニタされているかどうかに関係なく、これらのポートを通過するすべてのトラフィックに影響します。IPS SSP がリセットまたはシャットダウンされると、ポート上のリンクがダウンします。

考えられる原因 IPS SSP (1/x) にあるポートを使用し、何らかのメカニズムで IPS SSP をリセットまたはシャットダウンしました。

ソリューション 適応型セキュリティ アプライアンス (0/x) 上のポートは、IPS SSP がリセットまたはシャットダウンされてもリンクを失わないので、代わりにこれらのポートを使用してください。

情報の収集

次に示す CLI コマンドおよびスクリプトを使用すれば、問題が発生した際にセンサーに関する情報を収集し、センサーの状態を診断することができます。 show tech-support コマンドを使用してセンサーのすべての情報を収集することも、ここで示す他の個々のコマンドを使用して特定の情報を収集することもできます。ここでは、次の項目について説明します。

「ヘルスおよびネットワーク セキュリティ情報」

「技術サポート情報」

「バージョン情報」

「統計情報」

「インターフェイス情報」

「イベント情報」

「cidDump スクリプト」

「Cisco FTP サイトへのファイルのアップロードおよびそのサイト上のファイルへのアクセス」

ヘルスおよびネットワーク セキュリティ情報

特権 EXEC モードで show health コマンドを使用して、センサーの全体的なヘルス ステータス情報を表示します。ヘルス ステータス カテゴリは赤色と緑色で評価され、赤色が重大であることを示します。


注意 センサーを初めて起動するときは、センサーが完全に起動して動作するまで、特定のヘルス メトリック ステータスが赤色になりますが、これは正常な状態です。

センサーの全体的なヘルス ステータスを表示するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 センサーのヘルスおよびセキュリティ ステータスを表示します。

ips-ssp# show health
Overall Health Status Red
Health Status for Failed Applications Green
Health Status for Signature Updates Green
Health Status for License Key Expiration Red
Health Status for Running in Bypass Mode Green
Health Status for Interfaces Being Down Red
Health Status for the Inspection Load Green
Health Status for the Time Since Last Event Retrieval Green
Health Status for the Number of Missed Packets Green
Health Status for the Memory Usage Not Enabled
Health Status for Global Correlation Red
Health Status for Network Participation Not Enabled
 
Security Status for Virtual Sensor vs0 Green
ips-ssp#
 


 

技術サポート情報

show tech-support コマンドは、センサーのすべてのステータスおよび設定情報をキャプチャするのに有用です。ここでは、 show tech-support コマンドについて説明します。次のような構成になっています。

「show tech-support コマンドの概要」

「技術サポート情報の表示」

「技術サポート コマンドの出力」

show tech-support コマンドの概要

show tech-support コマンドはセンサーにおけるすべてのステータスと情報をキャプチャし、現在の設定、バージョン情報、cidDump 情報などが含まれます。出力は、大きくなり 1 MB を超えることもあります。出力はリモート システムに転送できます。リモート システムに出力をコピーする手順については、「技術サポート情報の表示」を参照してください。


) TAC に連絡する前に show tech-support コマンドを必ず実行してください。


技術サポート情報の表示

show tech-support [ page ] [ destination-url destination_url ] コマンドを使用して、画面にシステム情報を表示するか、その情報を特定の URL に送信します。この情報は、TAC とのトラブルシューティング ツールとして使用できます。

次のパラメータはオプションです。

page :一度に 1 ページの情報として出力を表示します。Enter を押して出力の次の行を表示するか、Space を使用して次のページの情報を表示します。

destination-url :HTML としてフォーマットし、このコマンドに続く宛先に送信する必要がある情報を示します。このキーワードを使用すると、出力は画面に表示されません。

destination_url :HTML としてフォーマットする必要がある情報を示します。URL は、情報を送信する宛先を示します。このキーワードを使用しないと、画面に情報が表示されます。

技術サポート情報を表示するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 画面上に出力を表示します。システム情報が画面上に一度に 1 ページずつ表示されます。次のページを表示するには Space を押します。プロンプトに戻るには、Ctrl キーを押した状態で C キーを押します。

ips-ssp# show tech-support page
 

ステップ 3 出力(HTML フォーマット)をファイルに送信するには、次の手順を実行します。

a. 次のコマンドを入力し、その後に有効な宛先を指定します。

ips-ssp# show tech-support destination-url destination_url
 

次に示す種類の宛先を指定できます。

ftp: :FTP ネットワーク サーバの宛先 URL。このプレフィクスの構文は、 ftp:[[//username@location]/relativeDirectory]/filename または ftp:[[//username@location]//absoluteDirectory]/filename です。

scp: :SCP ネットワーク サーバの宛先 URL。このプレフィクスの構文は、 scp:[[//username@]location]/relativeDirectory]/filename または scp:[[//username@]location]//absoluteDirectory]/filename です。

たとえば、技術サポート出力をファイル /absolute/reports/sensor1Report.html に送信するには、

ips-ssp# show tech support dest ftp://csidsuser@10.2.1.2//absolute/reports/sensor1Report.html
 

password: プロンプトが表示されます。

b. このユーザ アカウントのパスワードを入力します。 Generating report: メッセージが表示されます。


 

技術サポート コマンドの出力

show tech-support コマンド出力の例を次に示します。


) この出力例では、コマンドの先頭部分を示すと共に、インターフェイス、ARC、およびcidDump サービスに関する情報を一覧表示します。


ips-ssp# show tech-support page
System Status Report
This Report was generated on Tue Sep 28 16:15:12 2010.
Output from show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.1(1)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S512.0 2010-09-08
OS Version: 2.6.29.1
Platform: ASA5585-SSP-IPS20
Serial Number: ABC1234DEFG
No license present
Sensor up-time is 22:07.
Using 10276M out of 11899M bytes of available memory (86% usage)
system is using 28.4M out of 160.0M bytes of available disk space (18% usage)
application-data is using 64.9M out of 171.4M bytes of available disk space (40% usage)
boot is using 58.7M out of 71.7M bytes of available disk space (86% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96% usage)
 
 
MainApp S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27
T10:41:56-0500 Running
AnalysisEngine S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27
T10:41:56-0500 Running
CollaborationApp S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27
T10:41:56-0500 Running
CLI S-SPYKER_2010_SEP_27_10_39_7_1_0_346 (Release) 2010-09-27
T10:41:56-0500
 
Upgrade History:
 
IPS-K9-7.1-0.346-E4 10:53:07 UTC Mon Sep 27 2010
 
Recovery Partition Version 1.1 - 7.1(0.346)E4
 
Host Certificate Valid from: 26-Sep-2010 to 26-Sep-2012
 
 
Output from show interfaces
Interface Statistics
Total Packets Received = 6221044
Total Bytes Received = 18446744071630494336
Missed Packet Percentage = 2
MAC statistics from interface Management0/0
Interface function = Command-control interface
Description =
Media Type = TX
Default Vlan = 0
Link Status = Up
Link Speed = Auto_1000
Link Duplex = Auto_Full
Total Packets Received = 363587
Total Bytes Received = 22281175
Total Multicast Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 79511
Total Bytes Transmitted = 48942270
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface PortChannel0/0
Interface function = Sensing interface
Description =
Media Type = backplane
Default Vlan = 0
InlineMode = Unpaired
Pair Status = N/A
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Link Status = Up
Admin Enabled Status = Enabled
Link Speed = Auto_10000
Link Duplex = Auto_Full
Missed Packet Percentage = 2
Total Packets Received = 6221044
Total Bytes Received = 2215910016
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 343056
Total Undersize Packets Received = 0
Total Receive Errors = 175751
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 6221044
Total Bytes Transmitted = 2215910016
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 343056
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface Management0/1
Interface function = Reserved for future use
 
Output from show statistics authentication
General
totalAuthenticationAttempts = 0
failedAuthenticationAttempts = 0
 
Output from show statistics analysis-engine
Analysis Engine Statistics
Number of seconds since service started = 79585
Processing Load Percentage
Thread 5 sec 1 min 5 min
0 1 1 1
1 1 1 1
2 1 1 1
3 1 1 1
Average 1 1 1
 
The rate of TCP connections tracked per second = 0
The rate of packets per second = 136
The rate of bytes per second = 45157
Receiver Statistics
Total number of packets processed since reset = 3347548
Total number of IP packets processed since reset = 3347548
Transmitter Statistics
Total number of packets transmitted = 6221065
Total number of packets denied = 0
Total number of packets reset = 0
Fragment Reassembly Unit Statistics
Number of fragments currently in FRU = 0--MORE--
 

バージョン情報

show version コマンドは、センサー情報を取得するのに有用です。ここでは、 show version コマンドについて説明します。次のような構成になっています。

「show version コマンドの概要」

「バージョン情報の表示」

show version コマンドの概要

show version コマンドは、センサーの基本的な情報を示します。さらに、障害が発生している場所を示すことができます。次のような情報が提供されます。

実行中のアプリケーション

アプリケーションのバージョン

ディスクおよびメモリの用途

アプリケーションのアップグレード履歴


) IDM から同じ情報を取得するには、[Monitoring] > [Sensor Monitoring] > [Support Information] > [Diagnostics Report] を選択します。IME から同じ情報を取得するには、[Configuration] > sensor_name > [Sensor Monitoring] > [Support Information] > [Diagnostics Report] を選択します。


バージョン情報の表示

インストールされているすべてのオペレーティング システム パッケージ、シグニチャ パッケージ、およびシステムで実行中の IPS プロセスのバージョン情報を表示するには、 show version コマンドを使用します。システム全体の設定を表示するには、 more current-config コマンドを使用します。

バージョンおよび設定を表示するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 バージョン情報を表示します。

ips-ssp# show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.1(1)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S518.0 2010-10-04
OS Version: 2.6.29.1
Platform: ASA5585-SSP-IPS20
Serial Number: ABC1234DEFG
Licensed, expires: 04-Oct-2011 UTC
Sensor up-time is 4:32.
Using 10378M out of 11899M bytes of available memory (87% usage)
system is using 25.1M out of 160.0M bytes of available disk space (16% usage)
application-data is using 65.4M out of 171.4M bytes of available disk space (40% usage)
boot is using 56.1M out of 71.7M bytes of available disk space (83% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96% usage)
 
 
MainApp S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
T00:29:47-0500 Running
AnalysisEngine S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
T00:29:47-0500 Running
CollaborationApp S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
T00:29:47-0500 Running
CLI S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
T00:29:47-0500
 
Upgrade History:
 
IPS-K9-7.1-1-E4 00:42:07 UTC Thu Oct 21 2010
 
Recovery Partition Version 1.1 - 7.1(1)E4
 
Host Certificate Valid from: 21-Oct-2010 to 21-Oct-2012
 
ips-ssp#
 

---MORE--- というプロンプトが表示された場合、Space を押して詳細な情報を表示するか、Ctrl キーを押した状態で C キーを押して出力をキャンセルし、CLI プロンプトに戻ります。


ステップ 3 設定情報を表示します。


more current-config または show configuration コマンドを使用できます。


ips-ssp# more current-config
! ------------------------------
! Current configuration last modified Fri Oct 22 14:04:10 2010
! ------------------------------
! Version 7.1(1)
! Host:
! Realm Keys key1.0
! Signature Definition:
! Signature Update S518.0 2010-10-04
! ------------------------------
service interface
exit
! ------------------------------
service authentication
exit
! ------------------------------
service event-action-rules rules0
exit
! ------------------------------
service host
network-settings
host-ip 10.89.148.15/24,10.89.148.254
host-name ips-ssp
telnet-option enabled
access-list 0.0.0.0/0
dns-primary-server disabled
dns-secondary-server disabled
dns-tertiary-server disabled
http-proxy proxy-server
address 64.102.255.40
port 8080
exit
exit
exit
! ------------------------------
service logger
exit
! ------------------------------
service network-access
exit
! ------------------------------
service notification
exit
! ------------------------------
service signature-definition sig0
signatures 2000 0
alert-frequency
summary-mode fire-all
exit
exit
status
enabled true
exit
exit
signatures 2004 0
alert-frequency
summary-mode fire-all
exit
exit
status
enabled true
exit
exit
exit
! ------------------------------
service ssh-known-hosts
exit
! ------------------------------
service trusted-certificates
exit
! ------------------------------
service web-server
exit
! ------------------------------
service anomaly-detection ad0
exit
! ------------------------------
service external-product-interface
exit
! ------------------------------
service health-monitor
exit
! ------------------------------
service global-correlation
exit
! ------------------------------
service analysis-engine
virtual-sensor vs0
physical-interface PortChannel0/0
exit
exit
ips-ssp#
 
 


 

統計情報

show statistics コマンドは、センサーのサービスの状態を検査するのに有用です。ここでは、 show statistics コマンドについて説明します。次のような構成になっています。

「show statistics コマンドの概要」

「統計情報の表示」

show statistics コマンドの概要

センサーのサービス状態のスナップショットを表示するには、 show statistics コマンドを使用します。次のサービスが統計情報を提供します。

分析エンジン

認証

拒否攻撃者

イベント サーバ

イベント ストア

ホスト

ロガー

攻撃応答(旧称ネットワーク アクセス)

通知

SDEE サーバ

トランザクション サーバ

トランザクション ソース

Virtual Sensor

Web サーバ


) IDM から同じ情報を取得するには、[Monitoring] > [Sensor Monitoring] > [Support Information] > [Statistics] を選択します。IME から同じ情報を取得するには、[Configuration] > sensor_name > [Sensor Monitoring] > [Support Information] > [Statistics] を選択します。


統計情報の表示

show statistics [analysis-engine | anomaly-detection | authentication | denied-attackers | event-server | event-store | external-product-interface | global-correlation | host | logger | network-access | notification | os-identification | sdee-server | transaction-server | virtual-sensor | web-server ] [ clear ] コマンドを使用して、各センサー アプリケーションの統計情報を表示します。

show statistics { anomaly-detection | denied-attackers | os-identification | virtual-sensor } [ name | clear ] を使用して、すべての仮想センサーについてこれらのコンポーネントの統計情報を表示します。仮想センサー名を指定すると、その仮想センサーの統計情報のみが表示されます。


) 分析エンジン、異常検出、ホスト、ネットワーク アクセス、または OS 識別アプリケーションには、clear オプションを使用できません。


センサーの統計情報を表示するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 分析エンジンの統計情報を表示します。

ips-ssp# show statistics analysis-engine
Analysis Engine Statistics
Number of seconds since service started = 1421127
Measure of the level of current resource utilization = 0
Measure of the level of maximum resource utilization = 0
The rate of TCP connections tracked per second = 0
The rate of packets per second = 0
The rate of bytes per second = 0
Receiver Statistics
Total number of packets processed since reset = 0
Total number of IP packets processed since reset = 0
Transmitter Statistics
Total number of packets transmitted = 0
Total number of packets denied = 0
Total number of packets reset = 0
Fragment Reassembly Unit Statistics
Number of fragments currently in FRU = 0
Number of datagrams currently in FRU = 0
TCP Stream Reassembly Unit Statistics
TCP streams currently in the embryonic state = 0
TCP streams currently in the established state = 0
TCP streams currently in the closing state = 0
TCP streams currently in the system = 0
TCP Packets currently queued for reassembly = 0
The Signature Database Statistics.
Total nodes active = 0
TCP nodes keyed on both IP addresses and both ports = 0
UDP nodes keyed on both IP addresses and both ports = 0
IP nodes keyed on both IP addresses = 0
Statistics for Signature Events
Number of SigEvents since reset = 0
Statistics for Actions executed on a SigEvent
Number of Alerts written to the IdsEventStore = 0
ips-ssp#
 

ステップ 3 異常検出の統計情報を表示します。

ips-ssp# show statistics anomaly-detection
Statistics for Virtual Sensor vs0
No attack
Detection - ON
Learning - ON
Next KB rotation at 10:00:01 UTC Sat Jan 18 2008
Internal Zone
TCP Protocol
UDP Protocol
Other Protocol
External Zone
TCP Protocol
UDP Protocol
Other Protocol
Illegal Zone
TCP Protocol
UDP Protocol
Other Protocol
Statistics for Virtual Sensor vs1
No attack
Detection - ON
Learning - ON
Next KB rotation at 10:00:00 UTC Sat Jan 18 2008
Internal Zone
TCP Protocol
UDP Protocol
Other Protocol
External Zone
TCP Protocol
UDP Protocol
Other Protocol
Illegal Zone
TCP Protocol
UDP Protocol
Other Protocol
ips-ssp-4240#
 

ステップ 4 認証の統計情報を表示します。

ips-ssp# show statistics authentication
General
totalAuthenticationAttempts = 128
failedAuthenticationAttempts = 0
ips-ssp#
 

ステップ 5 システムの拒否攻撃者の統計情報を表示します。

ips-ssp# show statistics denied-attackers
Denied Attackers and hit count for each.
Denied Attackers and hit count for each.
Statistics for Virtual Sensor vs0
Denied Attackers with percent denied and hit count for each.
 
 
Denied Attackers with percent denied and hit count for each.
 
 
Statistics for Virtual Sensor vs1
Denied Attackers with percent denied and hit count for each.
 
 
Denied Attackers with percent denied and hit count for each.
 
 
ips-ssp#
 

ステップ 6 イベント サーバの統計情報を表示します。

ips-ssp# show statistics event-server
General
openSubscriptions = 0
blockedSubscriptions = 0
Subscriptions
ips-ssp#
 

ステップ 7 イベント ストアの統計情報を表示します。

ips-ssp# show statistics event-store
Event store statistics
General information about the event store
The current number of open subscriptions = 2
The number of events lost by subscriptions and queries = 0
The number of queries issued = 0
The number of times the event store circular buffer has wrapped = 0
Number of events of each type currently stored
Debug events = 0
Status events = 9904
Log transaction events = 0
Shun request events = 61
Error events, warning = 67
Error events, error = 83
Error events, fatal = 0
Alert events, informational = 60
Alert events, low = 1
Alert events, medium = 60
Alert events, high = 0
ips-ssp#
 

ステップ 8 グローバル相関の統計情報を表示します。

ips-ssp# show statistics global-correlation
Network Participation:
Counters:
Total Connection Attempts = 0
Total Connection Failures = 0
Connection Failures Since Last Success = 0
Connection History:
Updates:
Status Of Last Update Attempt = Disabled
Time Since Last Successful Update = never
Counters:
Update Failures Since Last Success = 0
Total Update Attempts = 0
Total Update Failures = 0
Update Interval In Seconds = 300
Update Server = update-manifests.ironport.com
Update Server Address = Unknown
Current Versions:
Warnings:
Unlicensed = Global correlation inspection and reputation filtering have been
disabled because the sensor is unlicensed.
Action Required = Obtain a new license from http://www.cisco.com/go/license.
ips-ssp#
 

ステップ 9 ホストの統計情報を表示します。

ips-ssp# show statistics host
General Statistics
Last Change To Host Config (UTC) = 16:11:05 Thu Feb 10 2011
Command Control Port Device = FastEthernet0/0
Network Statistics
fe0_0 Link encap:Ethernet HWaddr 00:0B:46:53:06:AA
inet addr:10.89.149.185 Bcast:10.89.149.255 Mask:255.255.255.128
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1001522 errors:0 dropped:0 overruns:0 frame:0
TX packets:469569 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:57547021 (54.8 Mib) TX bytes:63832557 (60.8 MiB)
Interrupt:9 Base address:0xf400 Memory:c0000000-c0000038
NTP Statistics
status = Not applicable
Memory Usage
usedBytes = 500592640
freeBytes = 8855552
totalBytes = 509448192
Swap Usage
Used Bytes = 77824
Free Bytes = 600649728
 
Total Bytes = 600727552
CPU Statistics
Usage over last 5 seconds = 0
Usage over last minute = 1
Usage over last 5 minutes = 1
Memory Statistics
Memory usage (bytes) = 500498432
Memory free (bytes) = 894976032
Auto Update Statistics
lastDirectoryReadAttempt = 15:26:33 CDT Tue Jun 17 2008
= Read directory: http://tester@198.133.219.243//cisco/ciscosecure/ips/6.x/sigup/
= Success
lastDownloadAttempt = 15:26:33 CDT Tue Jun 17 2011
= Download: http://bmarquardt@198.133.219.243//cisco/ciscosecure/ips/6.x/sigup/IPS-
sig-S338-req-E1.pkg
= Error: httpResponse status returned: Unauthorized
lastInstallAttempt = N/A
nextAttempt = 16:26:30 CDT Tue Jun 17 2011
 
ips-ssp#
 

ステップ 10 ロギング アプリケーションの統計情報を表示します。

ips-ssp# show statistics logger
The number of Log interprocessor FIFO overruns = 0
The number of syslog messages received = 11
The number of <evError> events written to the event store by severity
Fatal Severity = 0
Error Severity = 64
Warning Severity = 35
TOTAL = 99
The number of log messages written to the message log by severity
Fatal Severity = 0
Error Severity = 64
Warning Severity = 24
Timing Severity = 311
Debug Severity = 31522
Unknown Severity = 7
TOTAL = 31928
ips-ssp#
 

ステップ 11 ARC の統計情報を表示します。

ips-ssp# show statistics network-access
Current Configuration
LogAllBlockEventsAndSensors = true
EnableNvramWrite = false
EnableAclLogging = false
AllowSensorBlock = false
BlockMaxEntries = 11
MaxDeviceInterfaces = 250
NetDevice
Type = PIX
IP = 10.89.150.171
NATAddr = 0.0.0.0
Communications = ssh-3des
NetDevice
Type = PIX
IP = 10.89.150.219
NATAddr = 0.0.0.0
Communications = ssh-3des
NetDevice
Type = PIX
IP = 10.89.150.250
NATAddr = 0.0.0.0
Communications = telnet
NetDevice
Type = Cisco
IP = 10.89.150.158
NATAddr = 0.0.0.0
Communications = telnet
BlockInterface
InterfaceName = ethernet0/1
InterfaceDirection = out
InterfacePostBlock = Post_Acl_Test
BlockInterface
InterfaceName = ethernet0/1
InterfaceDirection = in
InterfacePreBlock = Pre_Acl_Test
InterfacePostBlock = Post_Acl_Test
NetDevice
Type = CAT6000_VACL
IP = 10.89.150.138
NATAddr = 0.0.0.0
Communications = telnet
BlockInterface
InterfaceName = 502
InterfacePreBlock = Pre_Acl_Test
BlockInterface
InterfaceName = 507
InterfacePostBlock = Post_Acl_Test
State
BlockEnable = true
NetDevice
IP = 10.89.150.171
AclSupport = Does not use ACLs
Version = 6.3
State = Active
Firewall-type = PIX
NetDevice
IP = 10.89.150.219
AclSupport = Does not use ACLs
Version = 7.0
State = Active
Firewall-type = ASA
NetDevice
IP = 10.89.150.250
AclSupport = Does not use ACLs
Version = 2.2
State = Active
Firewall-type = FWSM
NetDevice
IP = 10.89.150.158
AclSupport = uses Named ACLs
Version = 12.2
State = Active
NetDevice
IP = 10.89.150.138
AclSupport = Uses VACLs
Version = 8.4
State = Active
BlockedAddr
Host
IP = 22.33.4.5
Vlan =
ActualIp =
BlockMinutes =
Host
IP = 21.21.12.12
Vlan =
ActualIp =
BlockMinutes =
Host
IP = 122.122.33.4
Vlan =
ActualIp =
BlockMinutes = 60
MinutesRemaining = 24
Network
IP = 111.22.0.0
Mask = 255.255.0.0
BlockMinutes =
ips-ssp#
 

ステップ 12 通知アプリケーションの統計情報を表示します。

ips-ssp# show statistics notification
General
Number of SNMP set requests = 0
Number of SNMP get requests = 0
Number of error traps sent = 0
Number of alert traps sent = 0
ips-ssp#
 

ステップ 13 OS 識別の統計情報を表示します。

ips-ssp# show statistics os-identification
Statistics for Virtual Sensor vs0
OS Identification
Configured
Imported
Learned
ips-ssp#
 

ステップ 14 SDEE サーバの統計情報を表示します。

ips-ssp# show statistics sdee-server
General
Open Subscriptions = 0
Blocked Subscriptions = 0
Maximum Available Subscriptions = 5
Maximum Events Per Retrieval = 500
Subscriptions
ips-ssp#
 

ステップ 15 トランザクション サーバの統計情報を表示します。

ips-ssp# show statistics transaction-server
General
totalControlTransactions = 35
failedControlTransactions = 0
ips-ssp#
 

ステップ 16 仮想 ips-ssp の統計情報を表示します。

ips-ssp# show statistics virtual-sensor vs0
Statistics for Virtual Sensor vs0
Name of current Signature-Definition instance = sig0
Name of current Event-Action-Rules instance = rules0
List of interfaces monitored by this virtual sensor =
General Statistics for this Virtual Sensor
Number of seconds since a reset of the statistics = 1421711
Measure of the level of resource utilization = 0
Total packets processed since reset = 0
Total IP packets processed since reset = 0
Total packets that were not IP processed since reset = 0
Total TCP packets processed since reset = 0
Total UDP packets processed since reset = 0
Total ICMP packets processed since reset = 0
Total packets that were not TCP, UDP, or ICMP processed since reset =
Total ARP packets processed since reset = 0
Total ISL encapsulated packets processed since reset = 0
Total 802.1q encapsulated packets processed since reset = 0
Total packets with bad IP checksums processed since reset = 0
Total packets with bad layer 4 checksums processed since reset = 0
Total number of bytes processed since reset = 0
The rate of packets per second since reset = 0
The rate of bytes per second since reset = 0
The average bytes per packet since reset = 0
Denied Address Information
Number of Active Denied Attackers = 0
Number of Denied Attackers Inserted = 0
Number of Denied Attacker Victim Pairs Inserted = 0
Number of Denied Attacker Service Pairs Inserted = 0
Number of Denied Attackers Total Hits = 0
Number of times max-denied-attackers limited creation of new entry = 0
Number of exec Clear commands during uptime = 0
Denied Attackers and hit count for each.
Denied Attackers with percent denied and hit count for each.
 
 
The Signature Database Statistics.
The Number of each type of node active in the system (can not be reset
Total nodes active = 0
TCP nodes keyed on both IP addresses and both ports = 0
UDP nodes keyed on both IP addresses and both ports = 0
IP nodes keyed on both IP addresses = 0
The number of each type of node inserted since reset
Total nodes inserted = 0
TCP nodes keyed on both IP addresses and both ports = 0
UDP nodes keyed on both IP addresses and both ports = 0
IP nodes keyed on both IP addresses = 0
The rate of nodes per second for each time since reset
Nodes per second = 0
TCP nodes keyed on both IP addresses and both ports per second = 0
UDP nodes keyed on both IP addresses and both ports per second = 0
IP nodes keyed on both IP addresses per second = 0
The number of root nodes forced to expire because of memory constraint
TCP nodes keyed on both IP addresses and both ports = 0
Packets dropped because they would exceed Database insertion rate limit
s = 0
Fragment Reassembly Unit Statistics for this Virtual Sensor
Number of fragments currently in FRU = 0
Number of datagrams currently in FRU = 0
Number of fragments received since reset = 0
Number of fragments forwarded since reset = 0
Number of fragments dropped since last reset = 0
Number of fragments modified since last reset = 0
Number of complete datagrams reassembled since last reset = 0
Fragments hitting too many fragments condition since last reset = 0
Number of overlapping fragments since last reset = 0
Number of Datagrams too big since last reset = 0
Number of overwriting fragments since last reset = 0
Number of Initial fragment missing since last reset = 0
Fragments hitting the max partial dgrams limit since last reset = 0
Fragments too small since last reset = 0
Too many fragments per dgram limit since last reset = 0
Number of datagram reassembly timeout since last reset = 0
Too many fragments claiming to be the last since last reset = 0
Fragments with bad fragment flags since last reset = 0
TCP Normalizer stage statistics
Packets Input = 0
Packets Modified = 0
Dropped packets from queue = 0
Dropped packets due to deny-connection = 0
Current Streams = 0
Current Streams Closed = 0
Current Streams Closing = 0
Current Streams Embryonic = 0
Current Streams Established = 0
Current Streams Denied = 0
Statistics for the TCP Stream Reassembly Unit
Current Statistics for the TCP Stream Reassembly Unit
TCP streams currently in the embryonic state = 0
TCP streams currently in the established state = 0
TCP streams currently in the closing state = 0
TCP streams currently in the system = 0
TCP Packets currently queued for reassembly = 0
Cumulative Statistics for the TCP Stream Reassembly Unit since reset
TCP streams that have been tracked since last reset = 0
TCP streams that had a gap in the sequence jumped = 0
TCP streams that was abandoned due to a gap in the sequence = 0
TCP packets that arrived out of sequence order for their stream = 0
TCP packets that arrived out of state order for their stream = 0
The rate of TCP connections tracked per second since reset = 0
SigEvent Preliminary Stage Statistics
Number of Alerts received = 0
Number of Alerts Consumed by AlertInterval = 0
Number of Alerts Consumed by Event Count = 0
Number of FireOnce First Alerts = 0
Number of FireOnce Intermediate Alerts = 0
Number of Summary First Alerts = 0
Number of Summary Intermediate Alerts = 0
Number of Regular Summary Final Alerts = 0
Number of Global Summary Final Alerts = 0
Number of Active SigEventDataNodes = 0
Number of Alerts Output for further processing = 0
SigEvent Action Override Stage Statistics
Number of Alerts received to Action Override Processor = 0
Number of Alerts where an override was applied = 0
Actions Added
deny-attacker-inline = 0
deny-attacker-victim-pair-inline = 0
deny-attacker-service-pair-inline = 0
deny-connection-inline = 0
deny-packet-inline = 0
modify-packet-inline = 0
log-attacker-packets = 0
log-pair-packets = 0
log-victim-packets = 0
produce-alert = 0
produce-verbose-alert = 0
request-block-connection = 0
request-block-host = 0
request-snmp-trap = 0
reset-tcp-connection = 0
request-rate-limit = 0
SigEvent Action Filter Stage Statistics
Number of Alerts received to Action Filter Processor = 0
Number of Alerts where an action was filtered = 0
Number of Filter Line matches = 0
Number of Filter Line matches causing decreased DenyPercentage = 0
Actions Filtered
deny-attacker-inline = 0
deny-attacker-victim-pair-inline = 0
deny-attacker-service-pair-inline = 0
deny-connection-inline = 0
deny-packet-inline = 0
modify-packet-inline = 0
log-attacker-packets = 0
log-pair-packets = 0
log-victim-packets = 0
produce-alert = 0
produce-verbose-alert = 0
request-block-connection = 0
request-block-host = 0
request-snmp-trap = 0
reset-tcp-connection = 0
request-rate-limit = 0
SigEvent Action Handling Stage Statistics.
Number of Alerts received to Action Handling Processor = 0
Number of Alerts where produceAlert was forced = 0
Number of Alerts where produceAlert was off = 0
Actions Performed
deny-attacker-inline = 0
deny-attacker-victim-pair-inline = 0
deny-attacker-service-pair-inline = 0
deny-connection-inline = 0
deny-packet-inline = 0
modify-packet-inline = 0
log-attacker-packets = 0
log-pair-packets = 0
log-victim-packets = 0
produce-alert = 0
produce-verbose-alert = 0
--MORE--
 

ステップ 17 Web サーバの統計情報を表示します。

ips-ssp# show statistics web-server
listener-443
number of server session requests handled = 61
number of server session requests rejected = 0
total HTTP requests handled = 35
maximum number of session objects allowed = 40
number of idle allocated session objects = 10
number of busy allocated session objects = 0
crypto library version = 6.0.3
ips-ssp#
 

ステップ 18 ロギング アプリケーションなどのアプリケーションの統計情報をクリアします。

ips-ssp# show statistics logger clear
The number of Log interprocessor FIFO overruns = 0
The number of syslog messages received = 141
The number of <evError> events written to the event store by severity
Fatal Severity = 0
Error Severity = 14
Warning Severity = 142
TOTAL = 156
The number of log messages written to the message log by severity
Fatal Severity = 0
Error Severity = 14
Warning Severity = 1
Timing Severity = 0
Debug Severity = 0
Unknown Severity = 28
TOTAL = 43
 

統計情報が取得され、クリアされます。

ステップ 19 統計情報がクリアされたことを確認します。

ips-ssp# show statistics logger
The number of Log interprocessor FIFO overruns = 0
The number of syslog messages received = 0
The number of <evError> events written to the event store by severity
Fatal Severity = 0
Error Severity = 0
Warning Severity = 0
TOTAL = 0
The number of log messages written to the message log by severity
Fatal Severity = 0
Error Severity = 0
Warning Severity = 0
Timing Severity = 0
Debug Severity = 0
Unknown Severity = 0
TOTAL = 0
ips-ssp#
 

統計情報はすべて 0 から始まります。


 

インターフェイス情報

show interfaces コマンドは、センシング インターフェイスおよびコマンド/コントロール インターフェイスに関する情報を収集するために有用です。ここでは、 show interfaces コマンドについて説明します。次のような構成になっています。

「show interfaces コマンドの概要」

「インターフェイス コマンドの出力」

show interfaces コマンドの概要

show interfaces コマンドにより次の情報を把握することができます。

インターフェイスがアップ状態かダウン状態かどうか

パケットが監視されているかどうか、どのインターフェイスでそれが行われるか

SensorApp によってパケットがドロップされているかどうか

パケット ドロップを生じるようなエラーがインターフェイスによってレポートされているかどうか

show interfaces コマンドは、すべてのシステム インターフェイスの統計情報を表示します。または、個々のコマンドを使用してコマンド/コントロール インターフェイス( show interfaces command_control_interface_name )、センシング インターフェイス( show interfaces interface_name )の統計情報を表示します。

インターフェイス コマンドの出力

次に、 show interfaces コマンドの出力例を示します。

ips-ssp# show interfaces
Interface Statistics
Total Packets Received = 0
Total Bytes Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/1
Media Type = backplane
Missed Packet Percentage = 0
Inline Mode = Unpaired
Pair Status = N/A
Link Status = Up
Link Speed = Auto_1000
Link Duplex = Auto_Full
Total Packets Received = 0
Total Bytes Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface GigabitEthernet0/0
Media Type = TX
Link Status = Up
Link Speed = Auto_100
Link Duplex = Auto_Full
Total Packets Received = 2211296
Total Bytes Received = 157577635
Total Multicast Packets Received = 20
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 239723
Total Bytes Transmitted = 107213390
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
ips-ssp#
 

イベント情報

show events コマンドを使用すれば、SensorApp によって生成されたアラートおよびアプリケーションによって生成されたエラーを表示できます。ここでは、 show events コマンドについて説明します。次のような構成になっています。

「センサーのイベント」

「show events コマンドの概要」

「イベントの表示」

「イベントのクリア」

センサーのイベント

5 種類のイベントがあります。

evAlert:侵入検知アラート

evError:アプリケーション エラー

evStatus:ステータスの変更(IP ログの作成など)

evLogTransaction:各センサー アプリケーションによって処理されるコントロール トランザクションのレコード

evShunRqst:ブロックの要求

イベントは、新しいイベントによって上書きされるまでイベント ストアにとどまります。

show events コマンドの概要

show events コマンドは、Event Viewer または Security Monitor でイベントを確認できないといった、イベント キャプチャの問題のトラブルシューティングを行う際に有用です。 show events コマンドを使用すれば、イベントが生成されていることを確認するためにセンサー上でどのイベントが生成されているかを特定し、モニタ側に障害があるかどうかを判定することができます。

イベント ストアからすべてのイベントをクリアするには、 clear events コマンドを使用します。

ここで、 show events コマンドのパラメータを示します。

ips-ssp# show events
<cr>
alert Display local system alerts.
error Display error events.
hh:mm[:ss] Display start time.
log Display log events.
nac Display NAC shun events.
past Display events starting in the past specified time.
status Display status events.
| Output modifiers.
 

イベントの表示

show events [{ alert [informational] [low] [medium] [high] [ include-traits traits ] [ exclude-traits traits ] [ min-threat-rating min-rr ] [ max-threat-rating max-rr ] | error [warning] [error] [fatal] | NAC | status }] [ hh:mm:ss [ month day [ year ]] | past hh:mm:ss ] コマンドを使用して、イベント ストアのイベントを表示します。

開始時刻に開始されているイベントが表示されます。開始時刻を指定しない場合、現時点で開始されているイベントが表示されます。イベント タイプを指定しないと、すべてのイベントが表示されます。


) イベントは、ライブ フィードとして表示されます。要求をキャンセルするには、Ctrl キーを押した状態で C キーを押します。


次のオプションが適用されます。

alert :アラートを表示します。攻撃が進行中であるか、試みられたことを示す可能性がある、ある種の疑わしいアクティビティを通知します。シグニチャがネットワーク アクティブによってトリガーされると常に、分析エンジンによってアラート イベントが生成されます。

レベルが選択されていない場合(informational、low、medium、または high)、すべてのアラート イベントが表示されます。

include-traits :指定された特徴を持つアラートを表示します。

exclude-traits :指定された特徴を持つアラートを表示しません。

traits :特徴ビット位置(0 ~ 15)(10 進数)。

min-threat-rating :脅威レーティングがこの値以上であるイベントを表示します。デフォルトは 0 です。有効な範囲は 0 ~ 100 です。

max-threat-rating:脅威レーティングがこの値以下であるイベントを表示します。デフォルトは 100 です。有効な範囲は 0 ~ 100 です。

error :エラー イベントを表示します。エラーの条件が検出されると、サービスによってエラー イベントが生成されます。

レベルが選択されていない場合(warning、error、または fatal)、すべてのエラー イベントが表示されます。

NAC :ARC(ブロック)要求を表示します。


) ARC は、以前は NAC と呼ばれていました。この名前の変更は、Cisco IPS 7.0 の IDM、IME、および CLI に完全には実装されていません。


status :ステータス イベントを表示します。

past :指定した過去の時、分、および秒から開始されたイベントを表示します。

hh:mm:ss :表示を開始する過去の時、分、秒。


show events コマンドは、指定したイベントが使用可能になるまで、イベントを表示し続けます。終了するには、Ctrl キーを押した状態で C キーを押します。


イベント ストアのイベントを表示するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 現在開始しているイベントをすべて表示します。

ips-ssp#@ show events
evError: eventId=1041472274774840147 severity=warning vendor=Cisco
originator:
hostId: sensor2
appName: cidwebserver
appInstanceId: 12075
time: 2008/01/07 04:41:45 2008/01/07 04:41:45 UTC
errorMessage: name=errWarning received fatal alert: certificate_unknown
 
evError: eventId=1041472274774840148 severity=error vendor=Cisco
originator:
hostId: sensor2
appName: cidwebserver
appInstanceId: 351
time: 2008/01/07 04:41:45 2008/01/07 04:41:45 UTC
errorMessage: name=errTransport WebSession::sessionTask(6) TLS connection exception: handshake incomplete.
 

Ctrl キーを押した状態で C キーを押すまで、フィードはすべてのイベントを表示し続けます。

ステップ 3 2008 年 2 月 9 日 10:00 a.m. 以降のブロック要求を表示します。

ips-ssp# show events NAC 10:00:00 Feb 9 2008
evShunRqst: eventId=1106837332219222281 vendor=Cisco
originator:
deviceName: Sensor1
appName: NetworkAccessControllerApp
appInstance: 654
time: 2008/02/09 10:33:31 2008/08/09 13:13:31
shunInfo:
host: connectionShun=false
srcAddr: 11.0.0.1
destAddr:
srcPort:
destPort:
protocol: numericType=0 other
timeoutMinutes: 40
evAlertRef: hostId=esendHost 123456789012345678
ips-ssp#
 

ステップ 4 2008 年 2 月 9 日 10:00 a.m. 以降の警告レベルのエラーを表示します。

ips-ssp# show events error warning 10:00:00 Feb 9 2008
evError: eventId=1041472274774840197 severity=warning vendor=Cisco
originator:
hostId: sensor
appName: cidwebserver
appInstanceId: 12160
time: 2008/01/07 04:49:25 2008/01/07 04:49:25 UTC
errorMessage: name=errWarning received fatal alert: certificate_unknown
 

ステップ 5 45 秒前からのアラートを表示します。

ips-ssp# show events alert past 00:00:45
 
evIdsAlert: eventId=1109695939102805307 severity=medium vendor=Cisco
originator:
hostId: sensor
appName: sensorApp
appInstanceId: 367
time: 2008/03/02 14:15:59 2008/03/02 14:15:59 UTC
signature: description=Nachi Worm ICMP Echo Request id=2156 version=S54
subsigId: 0
sigDetails: Nachi ICMP
interfaceGroup:
vlan: 0
participants:
attacker:
addr: locality=OUT 10.89.228.202
target:
addr: locality=OUT 10.89.150.185
riskRatingValue: 70
interface: fe0_1
protocol: icmp
 
 
evIdsAlert: eventId=1109695939102805308 severity=medium vendor=Cisco
originator:
--MORE--
 

ステップ 6 30 秒前に開始されたイベントを表示します。

ips-ssp# show events past 00:00:30
evStatus: eventId=1041526834774829055 vendor=Cisco
originator:
hostId: sensor
appName: mainApp
appInstanceId: 2215
time: 2008/01/08 02:41:00 2008/01/08 02:41:00 UTC
controlTransaction: command=getVersion successful=true
description: Control transaction response.
requestor:
user: cids
application:
hostId: 64.101.182.101
appName: -cidcli
appInstanceId: 2316
 
 
evStatus: eventId=1041526834774829056 vendor=Cisco
originator:
hostId: sensor
appName: login(pam_unix)
appInstanceId: 2315
time: 2008/01/08 02:41:00 2008/01/08 02:41:00 UTC
syslogMessage:
description: session opened for user cisco by cisco(uid=0)
 


 

イベントのクリア

clear events コマンドを使用して、イベント ストアをクリアします。

イベント ストアのイベントをクリアするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 イベント ストアをクリアします。

ips-ssp# clear events
Warning: Executing this command will remove all events currently stored in the event store.
Continue with clear? []:
 

ステップ 3 yes を入力して、イベントをクリアします。


 

cidDump スクリプト

IDM、IME、または CLI にアクセスしなくても、root としてログインし /usr/cids/idsRoot/bin/cidDump を実行することにより、サービス アカウントから基本的なスクリプトである cidDump を実行できます。cidDump ファイルのパスは /usr/cids/idsRoot/htdocs/private/cidDump.html です。

cidDump は大量の情報を取り込むためのスクリプトです。この情報には、IPS プロセス リスト、ログ ファイル、OS 情報、ディレクトリ リスト、パッケージ情報、コンフィギュレーション ファイルなどがあります。

cidDump スクリプトを実行するには、次の手順を実行します。


ステップ 1 センサーのサービス アカウントにログインします。

ステップ 2 サービス アカウント パスワードを使用して root su します。

ステップ 3 次のコマンドを入力します。

/usr/cids/idsRoot/bin/cidDump
 

ステップ 4 次のコマンドを入力して、結果として生成される /usr/cids/idsRoot/log/cidDump.html ファイルを圧縮します。

gzip /usr/cids/idsRoot/log/cidDump.html
 

ステップ 5 問題がある場合は、結果として生成された HTML ファイルを TAC または IPS の開発者に送信します。


 

詳細情報

Cisco FTP サイトにファイルを送信する手順については、「Cisco FTP サイトへのファイルのアップロードおよびそのサイト上のファイルへのアクセス」を参照してください。

Cisco FTP サイトへのファイルのアップロードおよびそのサイト上のファイルへのアクセス

大きなファイル(たとえば、cidDump.html、 show tech-suppor t コマンドの出力、コア ファイル)は、ftp-sj サーバにアップロードできます。

Cisco FTP サイトへのファイルのアップロードおよび Cisco FTP サイトのファイルへのアクセスを行うには、次の手順に従います。


ステップ 1 ftp-sj.cisco.com に匿名でログインします。

ステップ 2 /incoming というディレクトリに変更します。

ステップ 3 put コマンドを使用してファイルをアップロードします。必ずバイナリ転送タイプを使用します。

ステップ 4 アップロードされたファイルにアクセスするには、ECS でサポートされたホストにログインします。

ステップ 5 /auto/ftp/incoming ディレクトリに変更します。