Cisco Intrusion Prevention System コマンド リファレンス for IPS 7.2
使用可能なコマンド
使用可能なコマンド
発行日;2013/10/16 | 英語版ドキュメント(2013/10/12 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

使用可能なコマンド

anomaly-detection load

anomaly-detection save

attemptLimit

autoupdatenow

banner login

block host

block network

block connection

clear database

clear denied-attackers

clear events

clear line

clear os-identification

clock set

configure

copy

copy ad-knowledge-base

copy instance

deny attacker

display serial

downgrade

end

erase

erase ad-knowledge-base

erase license-key

exit

iplog

iplog-status

list component-configurations

more

more begin

more exclude

more include

packet

password

ping

privilege

recover

rename ad-knowledge-base

reset

service

setup

show ad-knowledge-base diff

show ad-knowledge-base files

show ad-knowledge-base thresholds

show begin

show clock

show configuration

show events

show exclude

show health

show history

show include

show inspection-load

show interfaces

show interfaces-history

show inventory

show os-identification

show privilege

show settings

show ssh authorized-keys

show ssh server-key

show ssh host-keys

show statistics

show tech-support

show tls fingerprint

show tls trusted-hosts

show users

show version

ssh authorized-key

ssh generate-key

ssh host-key

terminal

tls generate-key

tls trusted-host

trace

upgrade

unlock user

username

使用可能なコマンド

この章では、Cisco IPS 7.2 コマンドをアルファベット順に示します。ここで説明する内容は、次のとおりです。

「anomaly-detection load」

「anomaly-detection save」

「attemptLimit」

「autoupdatenow」

「banner login」

「block host」

「block network」

「block connection」

「clear database」

「clear denied-attackers」

「clear events」

「clear line」

「clear os-identification」

「clock set」

「configure」

「copy」

「copy ad-knowledge-base」

「copy instance」

「deny attacker」

「display serial」

「downgrade」

「end」

「erase」

「erase ad-knowledge-base」

「erase license-key」

「exit」

「iplog」

「iplog-status」

「list component-configurations」

「more」

「more begin」

「more exclude」

「more include」

「packet」

「password」

「ping」

「privilege」

「recover」

「rename ad-knowledge-base」

「reset」

「service」

「setup」

「show ad-knowledge-base diff」

「show ad-knowledge-base files」

「show ad-knowledge-base thresholds」

「show begin」

「show clock」

「show configuration」

「show events」

「show exclude」

「show health」

「show history」

「show include」

「show inspection-load」

「show interfaces」

「show interfaces-history」

「show inventory」

「show os-identification」

「show privilege」

「show settings」

「show ssh authorized-keys」

「show ssh server-key」

「show ssh host-keys」

「show statistics」

「show tech-support」

「show tls fingerprint」

「show tls trusted-hosts」

「show users」

「show version」

「ssh authorized-key」

「ssh generate-key」

「ssh host-key」

「terminal」

「tls generate-key」

「tls trusted-host」

「trace」

「upgrade」

「unlock user」

「username」

anomaly-detection load

KB ファイルを、指定した仮想センサーの現行の KB として設定するには、EXEC モードで anomaly-detection load コマンドを使用します。

anomaly-detection virtual-sensor load [ initial | file name ]

 
構文の説明

virtual-sensor

仮想センサー。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。

initial

初期の KB。

file

既存の KB ファイル。

name

KB ファイル名。1 ~ 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

6.0(1)

このコマンドが導入されました。

 
使用上のガイドライン


) このコマンドは、IPS 固有です。Release12.0 以前に、関連する IOS コマンドはありません。


次の例は、現行の KB ファイルとして 2012-Mar-16-10_00_00 をロードします。

sensor# anomaly-detection vs0 load file 2012-Mar-16-10_00_00
sensor#

anomaly-detection save

現行の異常検出 KB ファイルを取得してローカルに保存するには、EXEC モードで anomaly-detection save コマンドを使用します。

anomaly-detection virtual-sensor save [ new-name ]

 
構文の説明

virtual-sensor

仮想センサー。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。

new-name

(任意)新しい KB ファイル名。最大 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。

 
デフォルト

デフォルトで生成されるファイル名は YYYY-Mon-dd-hh_mm_ss です。 Mon は現在の月を示す 3 文字の省略形です。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

6.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドの実行時に異常検出がアクティブでない場合、エラーが表示されます。初期の KB ファイルを上書きすることはできません。KB ファイル名がすでに存在する場合は、新しい名前を選択するか、デフォルトを使用して古い KB を上書きします。

KB ファイルに使用できるサイズには、制限があります。新しい KB が生成され、この制限に到達すると、最も古い KB は(現行ファイルでも初期ファイルでもない場合)が削除されます。


) このコマンドは、IPS 固有です。Release 12.0 以前に、関連する IOS コマンドはありません。


次の例では、現行の KB を保存し、my-kb として保管します。

sensor# anomaly-detection vs0 save my-kb
sensor#
 

attemptLimit

特定の回数に達するまでログインの試行に失敗したユーザが試行を続けられないようアカウントをロックするには、認証サブモードで attemptLimit number コマンドを使用します。デフォルトは 0 です。これは無制限の認証試行を示します。セキュリティのために、この数値を変更する必要があります。

attemptLimit number

 
構文の説明

attemptLimit

ユーザがセンサーへのログインを試行できる回数の制限値を設定します。

number

アカウントがロックされるまでの試行の失敗回数を指定します。

 
デフォルト

デフォルト値については、構文の説明の表を参照してください。

 
コマンド モード

グローバル コンフィギュレーション

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

5.0

このコマンドが導入されました。

 
使用上のガイドライン

attemptLimit コマンドは、アカウントがロックされるまでユーザがセンサーへのログインを試行できる回数の制限値を設定する方法を管理者に提供します。ロックされたアカウントは、show users all 出力内のカッコに示されます。

アカウント ロックを設定すると、ローカル認証だけでなく RADIUS 認証も影響を受けます。ローカルなログインまたは RADIUS アカウントへのログイン失敗が指定された試行回数に達すると、アカウントはセンサー上でローカルにロックされます。

次の例は、3 回に試行回数を設定します。

sensor# configure terminal
sensor(config)# service authentication
sensor(config-aut)# attemptLimit 3
 

 
関連コマンド

コマンド
説明

unlock user

一定の回数に達するまで試行に失敗したためにユーザがロックされた場合、ローカル アカウントおよび RADIUS アカウントのロックを解除します。

show users all

センサーのアカウントのあるすべてのユーザを表示します。

autoupdatenow

センサーに随時更新を適用するには、グローバル コンフィギュレーション モードで autoupdatenow コマンドを使用します。

autoupdatenow

 
構文の説明

このコマンドには引数またはキーワードはありません。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

autoupdatenow コマンドを使用して、センサーで即時更新を実行します。このコマンドがセンサーの更新を即時に実行することを示す警告を受信します。スケジュールされた自動更新が必要ない場合は、このコマンドを実行した後で、ホスト サービス サブモードの自動アップグレードの設定で user-server/cisco-server オプションをディセーブルにします。


注意 autoupdatenow コマンドの実行中は、CLI、IDM、または IME を使用できません。また、アップグレードが完了するまで新しいセッションを開始できません。自動更新が進行中の間は、コマンドを実行しないでください。結果を確認して、他のコマンドを実行する前に最低 5 分以上待ちます。


) cisco.com から自動更新をダウンロードするには、DNS または HTTP プロキシ サーバを設定している必要があります。



) 自動更新が設定されており、更新を適用するための有効なライセンスを所有している必要があります。



) このコマンドは、Cisco IOS 12.0 以前にはありません。


次の例は、自動アップグレードをただちに適用するようにセンサーを促します。

sensor# autoupdatenow
 
Warning: Executing this command will perform an auto-upgrade on the sensor immediately.
Before executing this command, you must have a valid license to apply the Signature
AutoUpdates and auto-upgrade settings configured.After executing this command please
disable user-server/cisco-server inside 'auto-upgrade' settings, if you don't want
scheduled auto-updates
 
Continue? []:
 

 
関連コマンド

コマンド
説明

auto-upgrade-option

自動アップグレードを設定します。

show statistics host

自動更新が行われたことを確認します。

banner login

端末画面に表示するバナーメッセージを作成するには、グローバル コンフィギュレーション モードで banner login コマンドを使用します。ログイン バナーを削除するには、このコマンドの no 形式を使用します。バナー メッセージは、ユーザが CLI にアクセスしたときに、ユーザ名プロンプトとパスワード プロンプトの前に表示されます。

banner login

no banner login

 
構文の説明

このコマンドには引数またはキーワードはありません。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

5.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

banner login コマンドによって、端末画面に表示される 2500 文字までのテキスト メッセージを作成できます。このメッセージは、CLI にアクセスすると表示されます。Ctrl+V キーを押してから改行または疑問符(?)を入力することによって、改行または疑問符をメッセージに含めることができます。改行は、作成したテキストメッセージでは ^M と表示されますが、ユーザに対してメッセージが表示されるときは、実際の改行として表示されます。

Message プロンプトで Ctrl+C キーを押すと、メッセージの要求がキャンセルされます。


) このコマンドの形式は、Cisco IOS Release 12.0 の実装とは異なります。


次の例は、ログイン時に端末画面に表示されるメッセージを作成します。

sensor(config)# banner login
Banner[]: This message will be displayed on login. ^M Thank you!
 

ログイン時に、次のメッセージが表示されます。

This message will be displayed on login.
 
Thank you!
password:
 

block host

ホストをブロックするには、EXEC モードで block host コマンドを使用します。ホストのブロックを削除するには、このコマンドの no 形式を使用します。

block host ip-address [timeout minutes ]

no block host ip-address

 
構文の説明

ip-address

ブロックするホストの IP アドレス。

timeout

(任意)ホスト ブロックのタイムアウトを指定します。

minutes

(任意)ホスト ブロックの期間(分単位)。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンド履歴

リリース
変更内容

6.1(1)

このコマンドが導入されました。

 
サポートされるユーザ ロール

管理者、オペレータ

 
使用上のガイドライン

このコマンドを使用して、手動のホスト ブロックを追加します。タイムアウトを指定しない場合、ブロックは無期限になります。


) このコマンドは、Cisco IOS Release 12.0 以前にはありません。


次の例は、IP アドレス 10.2.3.1 を持つホストをブロックします。

sensor# block host 10.2.3.1

sensor#

 
関連コマンド

コマンド
説明

block network

ネットワークをブロックします。

block connection

接続ブロックを実行します。

block network

ネットワークをブロックするには、EXEC モードで block network コマンドを使用します。ネットワークのブロックを削除するには、このコマンドの no 形式を使用します。

block network ip-address/netmask [timeout minutes ]

no block network ip-address/netmask

 
構文の説明

ip-address/netmask

ネットワークのサブネットは X.X.X.X./nn 形式でブロックされます。 X.X.X.X は、ピリオドで区切られた 4 オクテットで記述される 32 ビット アドレスのセンサーの IP アドレスです。X は 0 ~ 255 です。 nn は、ネットマスクのビット数(1 ~ 32)を示します。

timeout

(任意)ネットワーク ブロックのタイムアウトを指定します。

minutes

(任意)ネットワーク ブロックの期間(分単位)。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンド履歴

リリース
変更内容

6.1(1)

このコマンドが導入されました。

 
サポートされるユーザ ロール

管理者、オペレータ

 
使用上のガイドライン

このコマンドを使用して、手動のネットワーク ブロックを追加します。タイムアウトを指定しない場合、ブロックは無期限になります。


) このコマンドは、Cisco IOS Release 12.0 以前にはありません。


次の例は、10.0.0.0/255.0.0.0 のサブネットを持つホストをブロックします。

sensor# block network 10.0.0.0/8

sensor#

 
関連コマンド

コマンド
説明

block host

ホストをブロックします。

block connection

接続ブロックを実行します。

block connection

接続をブロックするには、EXEC モードで block connection コマンドを使用します。接続のブロックを削除するには、このコマンドの no 形式を使用します。

block connection source-ip-address destination-ip-address [port port-number ] [protocol type ] [timeout minutes ]

no block connection source-ip-address

 
構文の説明

source-ip-address

接続ブロックの送信元 IP アドレス。

destination-ip-address

接続ブロックの宛先 IP アドレス。

port

(任意)接続ブロックのポートを指定します。

port-number

(任意)宛先ポート番号。有効な範囲は 0 ~ 65535 です。

protocol

(任意)接続ブロックのプロトコルを指定します。

type

(任意)プロトコル タイプ。有効なタイプは、TCP または UDP です。

timeout

(任意)接続ブロックのタイムアウトを指定します。

minutes

(任意)接続ブロックの期間(分単位)。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンド履歴

リリース
変更内容

6.1(1)

このコマンドが導入されました。

 
サポートされるユーザ ロール

管理者、オペレータ

 
使用上のガイドライン

このコマンドを使用して、手動の接続ブロックを追加します。タイムアウトを指定しない場合、ブロックは無期限になります。


) このコマンドは、Cisco IOS Release 12.0 以前にはありません。


次の例は、宛先ポート 80、プロトコル TCP、および 30 分のタイムアウト時間の送信元 IP アドレス 10.2.3.1 と宛先 IP アドレス 11.2.3.1 との接続をブロックします。

sensor# block connection 172.16.0.1 192.168.0.1 port 80 protocol tcp timeout 30

sensor#

 
関連コマンド

コマンド
説明

block host

ホストをブロックします。

block network

ネットワークをブロックします。

clear database

所定の仮想センサーのノード、アラート、インスペクタ、またはデータベース全体をクリアするには、EXEC モードで clear database コマンドを使用します。

clear database nodes コマンドを使用して、パケット ノード、TCP セッション情報、インスペクタ リストを含め、パケット データベース要素全体をクリアします。 clear database inspectors コマンドを使用して、ノード内に含まれるインスペクタ リストをクリアします。これは、TCP セッション情報またはノードをクリアしません。インスペクタ リストは、センサーの動作中に収集されたパケット作業と観察を表します。 clear database alerts コマンドを使用して、アラート ノード、メタ インスペクタ情報、サマリー状態、イベント カウント構造を含む、アラート データベース情報をクリアします。このコマンドは、サマリー アラートを廃棄します。

clear database [ virtual-sensor ] all | nodes | alerts | inspectors

 
構文の説明

virtual-sensor

センサーに設定されている仮想センサーの名前。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。仮想センサー名を指定しない場合、すべての仮想センサー データベースがクリアされます。

all

特定の仮想センサーのデータベース全体をクリアします。

nodes

パケット ノード、TCP セッション情報、インスペクタ リストを含め、パケット データベース要素全体をクリアします。

alerts

アラート ノード、メタ インスペクタ情報、サマリー状態、イベント カウント構造を含む、アラート データベース情報をクリアします。このコマンドによって、サマリー アラートは廃棄されます。

inspectors

特定の仮想センサーのインスペクタ リストをクリアします。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンド履歴

リリース
変更内容

6.1(1)

このコマンドが導入されました。

 
サポートされるユーザ ロール

管理者

 
使用上のガイドライン

TAC の指示があった場合、またはテストなどで累積した状態の情報をクリアしてクリーンな状態で開始する場合を除いて、このコマンドを使用しないでください。


) このコマンドは、Cisco IOS Release 12.0 以前にはありません。


次の例は、ノード データベースをクリアします。

sensor# clear database nodes
Warning: Executing this command will delete database on all virtual sensors
Continue? [yes]: yes

sensor#

 
関連コマンド

コマンド
説明

show statistics denied-attackers

拒否された攻撃者のリストを表示します。

clear denied-attackers

現在の拒否 IP アドレスのリストを削除するには、EXEC モードで clear denied-attackers コマンドを使用します。

clear denied-attackers [ virtual-sensor ] [ ip-address ip-address ]

 
構文の説明

virtual-sensor

(任意)センサーで設定する仮想センサーの名前。クリア操作は、特定された仮想センサーに関連付けられた学習済みアドレスに制限されます。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。仮想センサー名を指定しない場合、拒否されたすべての攻撃者がクリアされます。

ip-address

(任意)クリアする IP アドレスを指定します。

ip-address

仮想センサーを指定すると、要求した仮想センサーだけを対象に IP アドレスがクリアされます。仮想センサー名を指定しないと、すべての仮想センサー上で IP アドレスがクリアされます。IP アドレスは IPv4 または IPv6 形式にできます。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

5.0(1)

このコマンドが導入されました。

6.0(1)

オプションの virtual-sensor および ip-address パラメータが追加されました。

6.2(0)

ip-address パラメータに対する IPv4 および IPv6 両方のサポートが追加されました。

 
使用上のガイドライン

clear denied-attackers コマンドによって、拒否する攻撃者のリストをクリアし、以前拒否した IP アドレスとの通信を復元できます。このリストの IP アドレスを個別に選択し、削除することはできません。拒否する攻撃者のリストをクリアすると、リストからすべての IP アドレスが削除されます。

仮想センサーと IP アドレスは任意です。仮想センサー名を指定すると、要求した仮想センサーだけを対象に IP アドレスがクリアされます。仮想センサー名を指定しないと、すべての仮想センサー上で IP アドレスがクリアされます。


) このコマンドは、Cisco IOS Release 12.0 以前にはありません。


次の例は、拒否された攻撃者リストからすべての IP アドレスを削除します。

sensor# clear denied-attackers
Warning: Executing this command will delete all addresses from the list of attackers currently being denied by the sensor.
Continue with clear? [yes]: yes
sensor#
 

次の例は、仮想センサー vs0 に関連付けられた、拒否された攻撃者のリストのすべてのエントリをクリアします。

sensor# clear denied-attackers vs0
Warning: Executing this command will delete all addresses from the list of attackers being denied by virtual sensor vs0.
Continue with clear? [yes]: yes
sensor#
 

次の例は、仮想センサー vs0 に関連付けられた、拒否された攻撃者のリストから IP アドレス 10.1.1.1 をクリアします。

sensor# clear denied-attackers vs0 ip-address 10.1.1.1
Warning: Executing this command will delete ip address 10.1.1.1 from the list of attackers being denied by virtual sensor vs0.
Continue with clear? [yes]: yes
sensor#

 
関連コマンド

コマンド
説明

show statistics denied-attackers

拒否された攻撃者のリストを表示します。

clear events

イベント ストアをクリアするには、EXEC モードで clear events コマンドを使用します。

clear events

 
構文の説明

このコマンドには引数またはキーワードはありません。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドを使用して、イベント ストアからすべてのイベントをクリアします。


) このコマンドは、IPS 固有です。Release 12.0 以前に、関連する IOS コマンドはありません。


次の例は、イベント ストアをクリアします。

sensor# clear events
Warning: Executing this command will remove all events currently stored in the event store.
Continue with clear? []:yes
sensor#
 

clear line

別の CLI セッションを終了するには、EXEC モードで clear line コマンドを使用します。

clear line cli-id [ message ]

 
構文の説明

cli-id

ログイン セッションに関連付けられた CLI ID 番号。 show users コマンドを参照してください。

message

(任意) message を選択した場合、メッセージを受信するユーザに送信する内容を入力するように求めるプロンプトが表示されます。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンド履歴

リリース
変更内容

5.0(1)

このコマンドが導入されました。

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア


) オペレータおよびビューアは、現在のログインと同じユーザ名のある行しかクリアできません。


 
使用上のガイドライン

clear line コマンドを使用して、別の回線で実行中の特定のセッションをログアウトさせます。終了しようとするログイン セッションの端末に表示するメッセージ(オプション)を指定するには、 message キーワードを使用します。Ctrl+C キーは要求をキャンセルし、改行によって指定したメッセージとともに要求が送信されます。メッセージの最大長は 2550 文字です。Ctrl+V の後に改行を入力すると、メッセージ テキストに改行を含めることができます。

clear line コマンドを使用して、サービスアカウントのログインをクリアすることはできません。


message キーワードは、このコマンドの Cisco IOS Release 12.0 バージョンではサポートされていません。


次の例は、最大セッション数に達した後、管理者権限を持つユーザがログインしようとしたときに表示される出力を示します。

Error: The maximum allowed CLI sessions are currently open, would you like to terminate one of the open sessions? [no] yes
CLI ID User Privilege
1253 admin1 administrator
1267 cisco administrator
1398 test operator
 
Enter the CLI ID to clear: 1253
Message:Sorry! I need access to the system, so I am terminating your session.
sensor#
 

次の例は、admin1 の端末に表示されるメッセージを示します。

sensor#
***
***
Termination request from Admin0
***
Sorry! I need access to the system, so I am terminating your session.
 

次の例は、最大セッション数に達した後、オペレータまたはビューア権限を持つユーザがログインしようとしたときに表示される出力を示します。

Error: The maximum allowed CLI sessions are currently open, please try again later.
 

 
関連コマンド

コマンド
説明

show users

CLI にログインしているユーザに関する情報を表示します。

clear os-identification

センサーが受動分析によって学習した IP アドレスとの OS ID アソシエーションを削除するには、EXEC モードで clear os-identification コマンドを使用します。

clear os-identification [ virtual-sensor ] learned [ ip-address ]

 
構文の説明

virtual-sensor

(任意)センサーで設定する仮想センサーの名前。クリア操作は、特定された仮想センサーに関連付けられた学習済みアドレスに制限されます。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。

learned

(任意)クリアする学習済みの IP アドレスを指定します。

ip-address

(任意)クリアする IP アドレス。センサーは、指定された IP アドレスにマッピングされた OS ID をクリアします。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ

 
コマンド履歴

リリース
変更内容

6.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

仮想センサーと IP アドレスは任意です。IP アドレスを指定すると、指定した IP アドレスの OS ID だけがクリアされます。IP アドレスを指定しないと、学習した OS ID がすべてクリアされます。

仮想センサーを指定すると、指定した仮想センサーの OS ID だけがクリアされます。仮想センサーを指定しないと、すべての仮想センサーの学習した OS ID がクリアされます。仮想センサーなしで IP アドレスを指定した場合は、すべての仮想センサーで IP アドレスがクリアされます。

次の例は、すべての仮想センサーを対象に IP アドレス 10.1.1.12 の学習した OS ID をクリアします。

sensor# clear os-identification learned 10.1.1.12
sensor#
 

 
関連コマンド

コマンド
説明

show statistics os-identification

OS ID に関する統計情報を表示します。

show os-identification

OS ID のリストを示します。

clock set

アプライアンスのシステム クロックを手動で設定するには、EXEC モードで clock set コマンドを使用します。

clock set hh:mm[:ss] month day year

 
構文の説明

hh:mm[:ss]

現在の時間(24 時間形式)、分、および秒。

month

現在の月(名前)

day

月の現在の日付

year

現在の年(短縮表記しない)

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

次の場合、システム クロックを設定する必要はありません。

システムが、NTP または VINES クロック ソースなど、有効な外部タイミング機構と同期化されている場合

カレンダ機能を持つルータを使用している場合

他の時刻源を使用できない場合は、 clock set コマンドを使用します。このコマンドで指定する時刻は、設定されている時間帯に対応します。

次の例は、システム クロックを手動で 2011 年 7 月 29 日 午後 1 時 32 分に設定します。

sensor# clock set 13:32 July 29 2011
sensor#

configure

グローバル コンフィギュレーション モードを開始するには、EXEC モードで configure terminal コマンドを使用します。

configure terminal

 
構文の説明

configure terminal

コンフィギュレーション コマンドを端末から実行します。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
使用上のガイドライン

configure terminal コマンドを実行すると、グローバル コンフィギュレーション モードを開始することができます。

次の例では、EXEC モードからグローバル コンフィギュレーション モードに変更します。

sensor# configure terminal
sensor(config)#
 

copy

IP ログおよびコンフィギュレーション ファイルをコピーするには、EXEC モードで copy コマンドを使用します。

copy [/ erase ] source-url destination-url

copy iplog log-id destination-url

 
構文の説明

erase

(任意)コピーする前に宛先ファイルを消去します。

(注) このキーワードは current-config だけに適用され、backup-config は常に上書きされます。このキーワードが宛先の current-config 対して指定されると、ソース コンフィギュレーションがシステムのデフォルト コンフィギュレーションに適用されます。宛先の current-config に対して指定されない場合、ソース コンフィギュレーションは現行のコンフィギュレーションとマージされます。

source-url

コピーされるソース ファイルの場所。URL またはキーワードを指定できます。

destination-url

コピーされる宛先ファイルの場所。URL またはキーワードを指定できます。

copy iplog

iplog をコピーします。 iplog-status コマンドを使用して、log-id を取得します。

log-id

コピーするファイルのログ ID。 iplog-status コマンドを使用して、log-id を取得します。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ( copy iplog または packet-file のみ)、ビューア( copy iplog または packet-file のみ)

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

コピー元およびコピー先の URL の形式は、ファイルによって変わります。次の有効なタイプがサポートされます。

プレフィックス
コピー元またはコピー先

ftp:

FTP ネットワーク サーバの送信元または宛先 URL。このプレフィックスの構文は、次のとおりです。
ftp:[//[username@] location]/relativeDirectory]/filename
ftp:[//[username@]location]//absoluteDirectory]/filename

scp:

SCP ネットワーク サーバの送信元または宛先 URL。このプレフィックスの構文は、次のとおりです。
scp:[//[username@] location]/relativeDirectory]/filename
scp:[//[username@] location]//absoluteDirectory]/filename

http:

Web サーバのソース URL。このプレフィックスの構文は、次のとおりです。
http:[//[username@]location]/directory]/filename
ソース URL のみを使用できます。

https:

Web サーバのソース URL。このプレフィックスの構文は次のとおりです。[[//username@]location]/directory]/filename

ソース URL のみを使用できます。

センサーのファイルの場所を指定するには、キーワードを使用します。次のファイルがサポートされます。

キーワード
コピー元またはコピー先

current-config

現在実行中のコンフィギュレーション。このコンフィギュレーションは、Cisco IOS Release 12.0 の場合と異なり、コマンドが入力されると固定になります。ファイル形式は CLI コマンドです。

backup-config

コンフィギュレーション バックアップの保管場所。ファイル形式は CLI コマンドです。

iplog

システムに組み込まれている iplog。IP ログは log-id を基に検索されます。 iplog-status コマンドの出力を参照してください。IP ログはバイナリで保存され、ログ ビューアで表示されます。

license-key

加入ライセンス ファイル。

packet-file

packet capture コマンドを使用してキャプチャされ、ローカルに保管されている libpcap ファイル。

選択したプロトコルが FTP または SCP の場合、パスワードのプロンプトが表示されます。FTP セッションにパスワードが必要でない場合は、何も入力しないで Return キーを押します

コマンドラインですべての必要なソースおよび宛先 URL 情報とユーザ名を入力するか、または copy コマンドを入力して、不足している情報をセンサーからプロンプトで要求させることができます。


警告 センサー インターフェイスと仮想センサーが同じ設定ではない場合、別のセンサーからコンフィギュレーション ファイルをコピーすると、エラーが発生する可能性があります。



) Cisco IOS Release 12.0 copy コマンドはさらに柔軟性があり、異なる宛先間でコピーできます。


次の例は、IP アドレスが 10.1.1.1 でディレクトリ/ファイル名が ~csidsuser/configuration/cfg のマシンから現行のコンフィギュレーションにファイルをコピーします。ディレクトリとファイルは、csidsuser のホーム アカウントからの相対パスです。

sensor# copy scp://csidsuser@10.1.1.1/configuration/cfg current-config
Password: *******
WARNING: Copying over the current configuration may leave the box in an unstable state.
Would you like to copy current-config to backup-config before proceeding? [yes]:
csidsuser@10.1.1.1's password:
cfg 100% |*********************************************************************|
36124 00:00
Warning: Replacing existing network-settings may leave the box in an unstable state.
Would you like to replace existing network settings (host-ipaddress/netmask/gateway/access-list) on sensor before proceeding? [no]: no
sensor#
 

次の例は、IP アドレスが 10.1.1.1 でディレクトリ/ファイル名が ~csidsuser/iplog12345 のマシンに ID 12345 の IP ログをコピーします。ディレクトリとファイルは、csidsuser のホーム アカウントからの相対パスです。

sensor# copy iplog 12345 scp://csidsuser@10.1.1.1/iplog12345
Password: *******
iplog 100% |*********************************************************************| 36124 00:00
sensor#

 
関連コマンド

コマンド
説明

iplog-status

使用可能な IP ログの内容を表示します。

more

論理ファイルの内容を表示します。

packet

インターフェイス上のライブ トラフィックを表示またはキャプチャします。

copy ad-knowledge-base

KB ファイルをコピーするには、EXEC モードで copy ad-knowledge-base コマンドを使用します。

copy ad-knowledge-base virtual-sensor [ current | initial | file name ] destination-url

copy ad-knowledge-base virtual-sensor source-url new-name

 
構文の説明

virtual-sensor

KB ファイルを含む仮想センサー。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。

current

現在ロードされている KB。

initial

初期の KB。

file

既存の KB ファイル。

name

KB ファイル名。最大 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。

destination-url

宛先 URL には FTP、SCP、HTTP、または HTTPS を指定することができます。構文の詳細については、「copy」を参照してください。

source-url

ソース URL には FTP、SCP、HTTP、または HTTPS を指定することができます。構文の詳細については、「copy」を参照してください。

new-name

新しい KB のファイル名。1 ~ 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

6.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

すでに存在する名前にファイルをコピーすると、そのファイルは上書きされます。 current キーワードを new-name として使用することはできません。 load コマンドにより、新しい現行 KB が作成されます。


) このコマンドは、IPS 固有です。バージョン Release 12.0 以前に、関連する IOS コマンドはありません。


次の例は、IP アドレスが 10.1.1.1 のコンピュータの ~cidsuser/AD/my-kb に 2012-Mar-16-10_00_00 をコピーします。

sensor# copy ad-knowledge-base vs0 file 2012-Mar-16-10_00_00 scp://cidsuser@10.1.1.1/AD/my-kb
Password: *******
2012-Mar-16-10_00_00 100% 14920 0.0KB/s
00:00
sensor#
 

copy instance

コンフィギュレーション インスタンス(セキュリティ ポリシー)をコピーするには、EXEC モードで copy instance コマンドを使用します。

copy [ anomaly-detection | event-action-rules | signature-definition ] source destination

 
構文の説明

anomaly-detection

異常検出セキュリティ ポリシー。

event-action-rules

イベント アクション規則セキュリティ ポリシー。

signature-definition

シグニチャ定義セキュリティ ポリシー。

source

コピーする既存のコンポーネント インスタンスの名前。

destination

新規または既存のコンポーネント インスタンスの名前。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

6.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドを使用して、コンフィギュレーション インスタンス(セキュリティ ポリシー)をコピーします。インスタンスがすでに存在する場合や、新しいインスタンスで使用する十分なスペースがない場合には、エラーが生成されます。

次の例は、「sig0」というシグニチャ定義を「mySig」という新しい定義にコピーします。

sensor# copy signature-definition sig0 mySig
sensor#
 

deny attacker

拒否された攻撃者の最新リストに拒否攻撃者の IP アドレスを 1 つ追加するには、EXEC モードで deny attacker コマンドを使用します。拒否された攻撃者の最新リストから攻撃者を削除するには、このコマンドの no 形式を使用します。

deny attacker [ virtual-sensor name ] ip-address attacker-ip-address [ victim victim-ip-address | port port-number ]

no deny attacker [ name ] ip-address attacker-ip-address [ victim victim-ip-address | port port-number ]

 
構文の説明

virtual-sensor

(任意)センサーに設定された仮想センサーを指定します。

name

(任意)センサーで設定する仮想センサーの名前。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。仮想センサー名を指定しない場合、攻撃者がすべての仮想センサーで拒否されます。

ip-address

拒否する攻撃者の IP アドレスを指定します。

attacker-ip-address

拒否する攻撃者の IP アドレス。IP アドレスは IPv4 または IPv6 形式にできます。

victim

拒否する攻撃対象の IP アドレスを指定します。

victim-ip-address

拒否する攻撃対象の IP アドレス。IP アドレスは IPv4 または IPv6 形式にできます。

port

攻撃対象のポート番号を指定します。

port-number

攻撃対象のポート番号。有効な範囲は 0 ~ 65535 です。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ

 
コマンド履歴

リリース
変更内容

6.1(1)

このコマンドが導入されました。

6.2(0)

ip-address パラメータに対する IPv4 および IPv6 両方のサポートが追加されました。

 
使用上のガイドライン

deny attacker コマンドを使用して、特定の攻撃者の IP アドレスを拒否します。パラメータなしでこのコマンドの no 形式を使用すると、現在システムで拒否されているすべての攻撃者が削除されます。


) このコマンドは、Cisco IOS Release 12.0 以前にはありません。


次の例は、仮想センサー vs0 に対して IP アドレスが 10.1.1.1 の拒否攻撃者を追加し、IP アドレスが 10.2.2.2 の攻撃対象を追加します。

sensor# deny attacker ip-address virtual-sensor vs0 ip-address 10.1.1.1 victim 10.2.2.2
sensor#
 

次の例は、すべての仮想センサーのシステムで現在拒否されている攻撃者のリストから拒否された攻撃者を削除します。

sensor# deny attacker ip-address 10.1.1.1 victim 10.2.2.2
Warning: Executing this command will delete this address from the list of attackers being denied by all virtual sensors.
Continue? [yes]: yes
sensor#
 

 
関連コマンド

コマンド
説明

show statistics denied-attackers

拒否された攻撃者のリストを表示します。

display serial

すべての出力をシリアル接続に転送するには、グローバル コンフィギュレーション モードで display serial コマンドを使用します。 no display-serial コマンドを使用して、ローカル端末への出力をリセットします。

display-serial

no display-serial

 
構文の説明

このコマンドには引数またはキーワードはありません。

 
デフォルト

デフォルトの設定は、no display-serial です。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

display-serial コマンドによって、ブート処理中にリモート コンソール(シリアル ポートを使用)でシステム メッセージを参照できます。このオプションが有効である限り、ローカル コンソールは使用できません。シリアル ポートに接続したときに、このオプションが設定されていないと、Linux が完全に起動してシリアル接続のサポートが有効になるまで、フィードバックを得られません。

次の例は、出力をシリアル ポートにリダイレクトします。

sensor(config)# display-serial
sensor(config)#
 

downgrade

最後に適用したシグニチャ アップデートまたはサービス パックを削除するには、グローバル コンフィギュレーション モードで downgrade コマンドを使用します。

downgrade

 
構文の説明

このコマンドには引数またはキーワードはありません。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

次の例は、適用した最新のシグニチャ アップデートをセンサーから削除します。

sensor(config)# downgrade
Warning: Executing this command will reboot the system and downgrade to IDS-K9-sp-4.1-4-S91.rpm. Configuration changes made since the last upgrade will be lost and the system may be rebooted.
Continue with downgrade?: yes
sensor#
 

downgrade コマンドが使用できない場合(たとえば、アップグレードが適用されていない場合)、次のメッセージが表示されます。

sensor# downgrade
Error: No downgrade available
sensor#
 

 
関連コマンド

コマンド
説明

show version

すべてのインストール済み OS パッケージ、シグニチャ パッケージ、およびシステムで実行中の IPS プロセスのバージョン情報を表示します。

end

コンフィギュレーション モードまたはコンフィギュレーション サブモードを終了するには、グローバル コンフィギュレーション モードで end コマンドを使用します。このコマンドは、最上位の EXEC メニューに戻ります。

end

 
構文の説明

このコマンドには引数またはキーワードはありません。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

すべてのモード

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

次の例は、コンフィギュレーション モードを終了する方法を示します。

sensor# configure terminal
sensor(config)# end
sensor#
 

erase

論理ファイルを削除するには、EXEC モードで erase コマンドを使用します。

erase { backup-config | current-config | packet-file }

 
構文の説明

backup-config

現在実行中のコンフィギュレーション。このコンフィギュレーションは、Cisco IOS 12.0 の場合と異なり、コマンドが入力されると固定になります。ファイル形式は CLI コマンドです。

current-config

コンフィギュレーション バックアップの保管場所。ファイル形式は CLI コマンドです。

packet-file

packet capture コマンドを使用してキャプチャされ、ローカルに保管されている libpcap ファイル。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

現行のコンフィギュレーションを削除すると、コンフィギュレーションの値はデフォルトにリセットされます。 service コマンドで作成したコンフィギュレーション インスタンスは削除されません。


このコマンドの Cisco IOS 12.0 バージョンでは、ファイル システム全体を削除できます。IPS は、この概念をサポートしていません。


次の例は、現行のコンフィギュレーション ファイルを消去してすべての設定をデフォルトに戻します。このコマンドは、センサーのリブートを必要とする場合があります。

sensor# erase current-config
Warning: Removing the current-config file will result in all configuration being reset to default, including system information such as IP address.
User accounts will not be erased. They must be removed manually using the “no username” command.
Continue? []: yes
sensor#
 

erase ad-knowledge-base

センサーから KB ファイルを削除するには、EXEC モードで erase ad-knowledge-base コマンドを使用します。

erase ad-knowledge-base [ virtual-sensor [ name ]]

 
構文の説明

virtual-sensor

(任意)KB ファイルが含まれる仮想センサー。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。

name

(任意)KB ファイル名。最大 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

6.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

現行の KB ファイルとしてロードされている KB ファイルは削除できません。初期の KB ファイルを削除することはできません。


) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。


次の例は、仮想センサー vs0 から 2012-Mar-16-10_00_00 を削除します。

sensor# erase ad-knowledge-base vs0 2012-Mar-16-10_00_00
sensor#
 

次の例は、現行としてロードされたファイルおよび初期の KB を除く、すべての KB を仮想センサー vs0 から削除します。

sensor# erase ad-knowledge-base vs0
Warning: Executing this command will delete all virtual sensor 'vs0' knowledge bases except the file loaded as current and the initial knowledge base.
Continue with erase? : yes
sensor#
 

次の例は、現行としてロードされたファイルおよび初期の KB を除く、すべての KB をすべての仮想センサーから削除します。

sensor# erase ad-knowledge-base
Warning: Executing this command will delete all virtual sensor knowledge bases except the file loaded as current and the initial knowledge base.
Continue with erase? : yes
sensor#

erase license-key

センサーからライセンス キーを削除するには、EXEC モードで erase license-key コマンドを使用します。

erase license-key

 
構文の説明

このコマンドには引数またはキーワードはありません。

 
コマンド デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

7.1(3)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、センサーを再起動したり、サービス アカウントを使用してセンサーにログインしたりしなくても、インストール済みのライセンスを IPS センサーから削除します。

次の例は、センサーからライセンス キーを削除します。

sensor# erase license-key
 
Warning: Executing this command will remove the license key installed on the sensor.
 
You must have a valid license key installed on the sensor to apply the Signature Updates and use the Global Correlation features.
 
Continue? []: yes
 
sensor#

exit

コンフィギュレーション モードを終了、またはアクティブなターミナル セッションを閉じて、EXEC モードを終了するには、 exit コマンドを使用します。

exit

 
構文の説明

このコマンドには引数またはキーワードはありません。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

すべてのモード

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

exit コマンドを使用して、直前のメニュー レベルに戻ります。中に含まれるサブモードで変更を行った場合、変更を適用するかどうかを尋ねられます。no を選択すると、親サブモードに戻ります。

次の例は、直前のメニュー レベルに戻る方法を示します。

sensor# configure terminal
sensor(config)# exit
sensor#
 

iplog

仮想センサーの IP ロギングを開始するには、EXEC モードで iplog コマンドを使用します。このコマンドの no 形式を使用すると、仮想センサーのすべてのロギング セッション、log-id に基づく特定のロギング セッション、またはすべてのロギング セッションがディセーブルになります。

iplog name ip-address [ duration minutes ] [ packets numPackets ] [ bytes numBytes ]

no iplog [ log-id log-id | name name ]

 
構文の説明

name

ロギングを開始および終了する仮想センサー。

ip-address

指定された IP アドレスが含まれるログ パケットのみをロギングします。パラメータの詳細については、「setup」 を参照してください。IP アドレスは IPv4 または IPv6 形式にできます。

duration

iplog の期間を指定します。

minutes

ロギングがアクティブな期間(分単位)。有効範囲は 1 ~ 60 です。デフォルトは 10 分です。

packets

パケットをロギングするように指定します。

numPackets

ロギングされるパケットの合計数。有効範囲は 0 ~ 4294967295 です。デフォルトは 1000 パケットです。値 0 は、無制限を意味します。

bytes

バイトをロギングするように指定します。

numBytes

ロギングされる合計バイト数。有効範囲は 0 ~ 4294967295 です。値 0 は、無制限を意味します。

log-id

ログ ID を指定します。

log-id

停止するロギング セッションのログ ID。ログ ID は、 iplog-status コマンドを使用することで取得できます。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

6.2(0)

ip-address パラメータに対する IPv4 および IPv6 両方のサポートが追加されました。

 
使用上のガイドライン

パラメータなしでこのコマンドを no 形式で指定すると、すべてのロギングが停止します。

期間、パケット数、およびバイト数を入力すると、ロギングは最初のイベントが発生したときに終了します。


) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。


次の例は、仮想センサー vs0 で、送信元または宛先アドレスに 10.2.3.1 を含むすべてのパケットのロギングを開始します。

sensor# iplog vs0 10.2.3.1
Logging started for virtual sensor vs0, IP address 10.2.3.1, Log ID 2342
WARNING: IP Logging will affect system performance.
sensor#
 

 
関連コマンド

コマンド
説明

iplog-status

使用可能な IP ログの内容を表示します。

packet

インターフェイス上のライブ トラフィックを表示またはキャプチャします。

iplog-status

使用可能な IP ログの内容の説明を表示するには、EXEC モードで iplog-status コマンドを使用します。

iplog-status [log-id log-id ] [brief] [reverse] [|{begin regular-expression | exclude regular-expression | include regular-expression | redirect destination-url }]

 
構文の説明

log-id

(任意)ログ ID を指定します。

log-id

(任意)ステータスを表示するファイルのログ ID。

brief

(任意)各ログの iplog ステータス情報の概要を表示します。

reverse

(任意)リストを逆の日付順で(最新のログから順に)表示します。

|

(任意)縦棒は、出力処理指定が続くことを意味します。

begin

more コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。

regular-expression

iplog-status の出力に存在する任意の正規表現。

exclude

iplog-status コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

include

iplog-status コマンドの出力をフィルタ処理して、特定の正規表現を含む行が表示されるようにしま。

redirect

iplog-status コマンドの出力を宛先 URL にリダイレクトします。

destination-url

コピーされる宛先ファイルの場所。URL またはキーワードを指定できます。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

4.0(2)

このコマンドに status フィールドが追加されました。

6.0(1)

log-id brief reverse begin exclude include 、および redirect オプションが追加されました。

 
使用上のガイドライン

ログが作成されると、ステータスは added になります。最初のエントリがログに挿入されると、ステータスは started に変更されます。パケット数の制限に達するなどしてログが完了すると、ステータスは completed に変わります。


) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。


次の例は、すべての IP ログのステータスを示します。

sensor# iplog-status
Log ID: 2425
IP Address: 10.1.1.2
Virtual Sensor: vs0
Status: started
Start Time: 2012/07/30 18:24:18 2011/07/30 12:24:18 CST
Packets Captured: 1039438
 
Log ID: 2342
IP Address: 10.2.3.1
Virtual Sensor: vs0
Status: completed
Event ID: 209348
Start Time: 2012/07/30 18:24:18 2011/07/30 12:24:18 CST
End Time: 2012/07/30 18:34:18 2011/07/30 12:34:18 CST
sensor#
 

次の例は、すべての IP ログの概要リストを示します。

sensor# iplog-status brief
Log ID VS IP Address1 Status Event ID Start Date
2425 vs0 10.1.1.2 started N/A 2012/07/30
2342 vs0 10.2.3.1 completed 209348 2012/07/30
 

 
関連コマンド

コマンド
説明

iplog

仮想センサーで IP ロギングを開始します。

list component-configurations

コンポーネントの既存のコンフィギュレーション インスタンスを表示するには、EXEC モードで list component - configurations コマンドを使用します。

list [ anomaly-detection-configurations | event-action-rules-configurations | signature-definition-configurations ]

 
構文の説明

anomaly-detection-configurations

異常検出設定。

event-action-rules-configurations

イベント アクション規則設定。

signature-definition-configurations

シグニチャ定義設定。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

6.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

ファイル サイズはバイト単位です。N/A の仮想センサーは、仮想センサーにインスタンスが割り当てられていないことを意味します。


) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。


次の例は、シグニチャ定義の既存の設定を示します。

sensor# list signature-definition-configurations
Signature Definition
Instance Size Virtual Sensor
sig0 2293 vs0
mySig 3422 N/A
sensor#
 

more

論理ファイルの内容を表示するには、EXEC モードで more コマンドを使用します。

more [current-config | backup config]

 
構文の説明

current-config

現在実行中のコンフィギュレーション。このコンフィギュレーションは、Cisco IOS 12.0 の場合と異なり、コマンドが入力されると固定になります。ファイル形式は CLI コマンドです。

backup-config

コンフィギュレーション バックアップの保管場所。ファイル形式は CLI コマンドです。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

IPS では、論理ファイルのみを表示できます。パスワードなどの非表示フィールドは、管理者の場合にのみ表示されます。


) このコマンドの Cisco IOS 12.0 バージョンでは、デバイス内のさまざまなパーティションに格納されたファイルの内容を表示できます。


次の例は、 more コマンドの出力を示します。

sensor# more current-config
! ------------------------------
! Current configuration last modified Mon May 20 10:05:26 2013
! ------------------------------
! Version 7.2(1)
! Host:
! Realm Keys key1.0
! Signature Definition:
! Signature Update S697.0 2013-02-15
! ------------------------------
service interface
physical-interfaces GigabitEthernet0/0
admin-state enabled
subinterface-type inline-vlan-pair
subinterface 1
vlan1 901
vlan2 902
exit
subinterface 2
vlan1 903
vlan2 904
exit
subinterface 3
vlan1 905
vlan2 906
exit
subinterface 4
vlan1 907
vlan2 908
exit
exit
exit
exit
! ------------------------------
service authentication
exit
! ------------------------------
service event-action-rules rules0
exit
! ------------------------------
service host
network-settings
host-ip 10.106.133.159/23,10.106.132.1
host-name q4360-159
telnet-option enabled
access-list 0.0.0.0/0
dns-primary-server disabled
exit
exit
! ------------------------------
service logger
exit
! ------------------------------
service network-access
exit
! ------------------------------
service notification
exit
! ------------------------------
service signature-definition sig0
signatures 1000 0
engine atomic-ip
event-action produce-alert
exit
status
enabled true
retired false
exit
exit
exit
! ------------------------------
service signature-definition sig1
signatures 3401 0
engine string-tcp
event-action produce-alert
exit
status
enabled true
retired false
exit
exit
signatures 3401 1
engine string-tcp
event-action produce-alert
exit
status
enabled true
retired false
exit
exit
signatures 5161 0
engine service-http
event-action produce-alert
exit
status
enabled true
retired false
exit
exit
exit
! ------------------------------
service ssh-known-hosts
exit
! ------------------------------
service trusted-certificates
exit
! ------------------------------
service web-server
exit
! ------------------------------
service anomaly-detection ad0
exit
! ------------------------------
service external-product-interface
exit
! ------------------------------
service health-monitor
exit
! ------------------------------
service global-correlation
exit
! ------------------------------
service aaa
exit
! ------------------------------
service analysis-engine
virtual-sensor vs0
physical-interface GigabitEthernet0/0 subinterface-number 1
exit
virtual-sensor vs1
signature-definition sig1
physical-interface GigabitEthernet0/0 subinterface-number 2
exit
virtual-sensor vs2
signature-definition sig1
physical-interface GigabitEthernet0/0 subinterface-number 3
exit
virtual-sensor vs3
signature-definition sig1
physical-interface GigabitEthernet0/0 subinterface-number 4
exit
exit
sensor#
 

 
関連コマンド

コマンド
説明

more begin

more コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。

more exclude

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

more include

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

more begin

more コマンドの出力を検索するには、EXEC モードで more begin コマンドを使用します。このコマンドは、指定された正規表現を含む最初の行で more のフィルタリングされていない出力を開始します。

more [current-config | backup-config] | begin regular-expression

 
構文の説明

current-config

現在実行中のコンフィギュレーション。このコンフィギュレーションは、Cisco IOS 12.0 の場合と異なり、コマンドが入力されると固定になります。ファイル形式は CLI コマンドです。

backup-config

コンフィギュレーション バックアップの保管場所。ファイル形式は CLI コマンドです。

|

縦棒は、出力処理指定が続くことを意味します。

regular expression

more コマンドの出力で検出される正規表現。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

4.0(2)

more コマンドの begin 拡張が導入されました。

 
使用上のガイドライン

regular-expression 引数は、大文字と小文字が区別され、複雑な一致要件を指定することが可能です。

次の例は、 more コマンドの出力を検索して、正規表現「ip」以降を表示する方法を示します。

sensor# more current-config | begin ip
host-ip 192.168.1.2/24,192.168.1.1
host-name sensor
access-list 0.0.0.0/0
login-banner-text This message will be displayed on user login.
exit
time-zone-settings
offset -360
standard-time-zone-name CST
exit
exit
! ------------------------------
service interface
exit
! ------------------------------
service logger
exit
! ------------------------------
service network-access
user-profiles mona
enable-password foobar
exit
exit
! ------------------------------
service notification
--MORE--
 

 
関連コマンド

コマンド
説明

more exclude

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

more include

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

show begin

特定の show コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。

show exclude

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

show include

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

more exclude

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。EXEC モードで more exclude コマンドを使用します。

more [ current-config | backup-config] | exclude regular-expression

 
構文の説明

current-config

現在実行中のコンフィギュレーション。このコンフィギュレーションは、Cisco IOS 12.0 の場合と異なり、コマンドが入力されると固定になります。ファイル形式は CLI コマンドです。

backup-config

コンフィギュレーション バックアップの保管場所。ファイル形式は CLI コマンドです。

|

縦棒は、出力処理指定が続くことを意味します。

regular expression

more コマンドの出力で検出される正規表現。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

4.0(2)

more コマンドに exclude 拡張が追加されました。

 
使用上のガイドライン

regular-expression 引数は、大文字と小文字が区別され、複雑な一致要件を指定することが可能です。

次の例は、 more コマンドの出力を検索して、正規表現「ip」を排除して表示する方法を示します。

sensor# more current-config | exclude ip
! ------------------------------
! Current configuration last modified Mon May 20 10:05:26 2013
! ------------------------------
! Version 7.2(1)
! Host:
! Realm Keys key1.0
! Signature Definition:
! Signature Update S697.0 2013-02-15
! ------------------------------
service interface
physical-interfaces GigabitEthernet0/0
admin-state enabled
subinterface-type inline-vlan-pair
subinterface 1
vlan1 901
vlan2 902
exit
subinterface 2
vlan1 903
vlan2 904
exit
subinterface 3
vlan1 905
vlan2 906
exit
subinterface 4
vlan1 907
vlan2 908
exit
exit
exit
exit
! ------------------------------
service authentication
exit
! ------------------------------
service event-action-rules rules0
exit
! ------------------------------
service host
network-settings
host-name q4360-159
telnet-option enabled
access-list 0.0.0.0/0
dns-primary-server disabled
exit
exit
! ------------------------------
service logger
exit
! ------------------------------
service network-access
exit
! ------------------------------
service notification
exit
! ------------------------------
service signature-definition sig0
signatures 1000 0
event-action produce-alert
exit
status
enabled true
retired false
exit
exit
exit
! ------------------------------
service signature-definition sig1
signatures 3401 0
engine string-tcp
event-action produce-alert
exit
status
enabled true
retired false
exit
exit
signatures 3401 1
engine string-tcp
event-action produce-alert
exit
status
enabled true
retired false
exit
exit
signatures 5161 0
engine service-http
event-action produce-alert
exit
status
enabled true
retired false
exit
exit
exit
! ------------------------------
service ssh-known-hosts
exit
! ------------------------------
service trusted-certificates
exit
! ------------------------------
service web-server
exit
! ------------------------------
service anomaly-detection ad0
exit
! ------------------------------
service external-product-interface
exit
! ------------------------------
service health-monitor
exit
! ------------------------------
service global-correlation
exit
! ------------------------------
service aaa
exit
! ------------------------------
service analysis-engine
virtual-sensor vs0
physical-interface GigabitEthernet0/0 subinterface-number 1
exit
virtual-sensor vs1
signature-definition sig1
physical-interface GigabitEthernet0/0 subinterface-number 2
exit
virtual-sensor vs2
signature-definition sig1
physical-interface GigabitEthernet0/0 subinterface-number 3
exit
virtual-sensor vs3
signature-definition sig1
physical-interface GigabitEthernet0/0 subinterface-number 4
exit
exit
sensor#
 
 

 
関連コマンド

コマンド
説明

more begin

more コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。

more include

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

show begin

特定の show コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。

show exclude

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

show include

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

more include

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。EXEC モードで more include コマンドを使用します。

more [ current-config | backup-config] | include regular-expression

 
構文の説明

current-config

現在実行中のコンフィギュレーション。このコンフィギュレーションは、Cisco IOS 12.0 の場合と異なり、コマンドが入力されると固定になります。ファイル形式は CLI コマンドです。

backup-config

コンフィギュレーション バックアップの保管場所。ファイル形式は CLI コマンドです。

|

縦棒は、出力処理指定が続くことを意味します。

regular expression

more コマンドの出力で検出される正規表現。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

4.0(2)

more コマンドに include 拡張が追加されました。

 
使用上のガイドライン

regular-expression 引数は、大文字と小文字が区別され、複雑な一致要件を指定することが可能です。

次の例は、 more コマンドの出力を検索して、正規表現「ip」を含む行のみを表示する方法を示します。

sensor# more current-config | include ip
host-ip 192.168.1.2/24,192.168.1.1
sensor#
 

 
関連コマンド

コマンド
説明

more begin

more コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。

more exclude

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

show begin

特定の show コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。

show exclude

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

show include

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

packet

インターフェイス上のライブ トラフィックを表示またはキャプチャするには、EXEC モードで packet コマンドを使用します。 display オプションを使用すると、ライブ トラフィックまたは以前にキャプチャしたファイル出力を画面に直接ダンプできます。 capture オプションを使用すると、libpcap の出力をローカル ファイルにキャプチャできます。ローカル ファイルの保管場所は 1 か所だけなので、後続のキャプチャ要求によって既存のファイルは上書きされます。 copy コマンドと packet-file キーワードを使用して、ローカル ファイルをマシンからコピーできます。ローカル ファイルを表示するには、 display packet-file オプションを使用します。ローカル ファイルに関する情報がある場合は、 info オプションを使用して表示できます。packet display iplog id [verbose] [expression expression] を使用して、iplog を表示します。

packet display interface-name [snaplen length] [count count] [verbose] [expression expression]

packet display packet-file [verbose] [expression expression]

packet display iplog id [verbose] [expression expression] vlan and

packet capture interface-name [snaplen length] [count count] [expression expression]

packet display file-info

 
構文の説明

display

画面にパケットを表示します。

interface-name

インターフェイス名、インターフェイス タイプとその後に続くスロット/ポート。システムに存在する有効なインターフェイス名のみを入力できます。

snaplen

(任意)スナップショットの長さを使用するように指定します。

length

(任意)スナップショットの長さ。デフォルトは 0 です。有効範囲は 0~1600 です。

count

(任意)パケットをキャプチャすることを指定します。

count

(任意)キャプチャするパケット数を指定します。指定しない場合は、最大ファイルサイズをキャプチャすると、キャプチャは終了します。有効な範囲は 1 ~ 10000 です。

verbose

(任意)1 行のサマリーではなく、各パケットのプロトコル ツリーを表示します。

expression

(任意)パケットをフィルタする式を使用するかを指定します。

expression

(任意)パケット キャプチャ フィルタ式。この式は tcpdump に直接渡されるので、tcpdump 式の構文に従う必要があります。

id

表示する既存の IP ログ ID。

file-info

保管されているパケット ファイルに関する情報を表示します。

vlan and

VLAN ヘッダーを持つパケットを照合します。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア(display のみ)

 
コマンド履歴

リリース
変更内容

5.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

ストレージは、1 つのローカルファイルで使用可能です。このファイルのサイズは、プラットフォームによって異なります。可能な場合、要求したパケット カウントをキャプチャする前に最大ファイル サイズに達すると、メッセージが表示されます。 packet capture interface-name コマンドは、同時に 1 ユーザのみが使用できます。2 番めのユーザ要求が発行されるとエラー メッセージが表示され、キャプチャを実行しているユーザに関する情報が示されます。インターフェイスに関わるコンフィギュレーションの変更を行うと、そのインターフェイスで実行中の packet コマンドが異常終了することがあります。


) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。



注意 このコマンドを実行すると、パフォーマンスが大幅に低下します。


) VLAN ヘッダーを持つパケットをモニタするときに expression オプションを使用する場合、vlan and が式の先頭に追加されていないと、式が正常に一致しません。たとえば、packet display iplog 926299444 verbose expression icmp は、ICMP パケットを表示しません。packet display iplog 926299444 verbose expression vlan and icmp は、ICMP パケットを表示します。トランク ポートに接続された IPS アプライアンス インターフェイスで、expression vlan and を使用することが必要になることがよくあります。


ライブ表示またはファイル キャプチャを終了するには、Ctrl+C キーを押します。

式の構文については、ethereal-filter の man ページを参照してください。

file-info の表示は、次のとおりです。

Captured by: user:id, Cmd: cliCmd

Start: yyyy/mm/dd hh:mm:ss zone, End: yyyy/mm/dd hh:mm:ss zone or in-progress

ここで、

user = キャプチャを開始したユーザのユーザ名

id = ユーザの CLI ID

cliCmd = キャプチャを実行するために入力したコマンド

次の例は、FastEthernet 0/0 で発生するライブ トラフィックを示します。

sensor# packet display fastethernet0/0
Warning This command will cause significant performance degradation.
Executing command: tethereal -i fastethernet0/0
0.000000 10.1.1.1 -> 64.101.182.20 SSH Encrypted response packet len=56
0.000262 64.101.182.20 -> 10.1.1.1 TCP 33053 > ssh [ACK] Seq=3844631470 Ack=2972370007 Win=9184 Len=0
0.029148 10.1.1.1 -> 64.101.182.20 SSH Encrypted response packet len=224
0.029450 64.101.182.20 -> 10.1.1.1 TCP 33053 > ssh [ACK] Seq=3844631470 Ack=2972370231 Win=9184 Len=0
0.030273 10.1.1.1 -> 64.101.182.20 SSH Encrypted response packet len=224
0.030575 64.101.182.20 -> 10.1.1.1 TCP 33053 > ssh [ACK] Seq=3844631470 Ack=2972370455 Win=9184 Len=0
0.031361 10.1.1.1 -> 64.101.182.20 SSH Encrypted response packet len=224
0.031666 64.101.182.20 -> 10.1.1.1 TCP 33053 > ssh [ACK] Seq=3844631470 Ack=2972370679 Win=9184 Len=0
0.032466 10.1.1.1 -> 64.101.182.20 SSH Encrypted response packet len=224
0.032761 64.101.182.20 -> 10.1.1.1 TCP 33053 > ssh [ACK]
 

次の例は、保管されているキャプチャ ファイルに関する情報を示します。

sensor# packet display file-info
Captured by: jsmith:5292, Cmd: packet capture fastethernet0/0
Start: 2012/01/07 11:16:21 CST, End: 2012/01/07 11:20:35 CST
 

 
関連コマンド

コマンド
説明

iplog

仮想センサーで IP ロギングを開始します。

iplog-status

使用可能な IP ログの内容を表示します。

password

ローカル センサーのパスワードを更新するには、グローバル コンフィギュレーション モードで password コマンドを使用します。管理者は、 password コマンドを使用して既存のユーザのパスワードを変更することもできます。管理者は、コマンドの no 形式を使用して、ユーザ アカウントをディセーブルにできます。

password

Administrator syntax: password [name [newPassword]]

no password name

 
構文の説明

name

ユーザ名を指定します。有効なユーザ名の長さは 1 ~ 64 文字です。ユーザ名の先頭は、英数字にする必要があります。その他の文字には、スペース以外のすべての文字を使用できます。

newPassword

このコマンドを入力すると、パスワードを要求されます。ユーザのパスワードを指定します。有効なパスワードの長さは 8 ~ 32 文字です。スペース以外のすべての文字を使用できます。

 
デフォルト

cisco アカウントのデフォルトのパスワードは cisco です。

 
コマンド モード

グローバル コンフィギュレーション

 
サポートされるユーザ ロール

管理者、オペレータ(現行ユーザのパスワードのみ)、ビューア(現行ユーザのパスワードのみ)

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

password コマンドを使用すると、現行ユーザのログイン パスワードを更新できます。管理者は、このコマンドを使用して既存のユーザのパスワードを変更できます。この場合、管理者に現行パスワードのプロンプトは表示されません。

最後の管理者アカウントをディセーブルにしようとすると、エラーが発生します。 password コマンドを使用して、ディセーブルにしたユーザ アカウントを再びイネーブルにし、ユーザ パスワードをリセットします。

パスワードは IPS で保護されます。


) Cisco IOS 12.0 の password コマンドでは、パスワード行にクリアテキストで新規パスワードを入力できます。


次の例は、現行ユーザのパスワードの変更方法を示します。

sensor(config)# password
Enter Old Login Password: **********
Enter New Login Password: ******
Re-enter New Login Password: ******
sensor(config)#
 

次の例は、ユーザ tester のパスワードを変更します。このコマンドは、管理者のみが実行できます。

sensor(config)# password tester
Enter New Login Password: ******
Re-enter New Login Password: ******
sensor(config)#
 

 
関連コマンド

コマンド
説明

username

ローカル センサーのユーザを作成します。

ping

基本的なネットワーク接続を診断するには、EXEC モードで ping コマンドを使用します。

ping address [ count ]

 
構文の説明

address

PING を実行するシステムの IP アドレス。

count

送信するエコー要求の数。値を指定しない場合、4 つの要求が送信されます。有効な範囲は 1 ~ 10000 です。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
使用上のガイドライン

このコマンドは、オペレーティング システムで用意されている ping コマンドを使用して実装されます。コマンドからの出力は、オペレーティング システムにより若干異なります。

次の例は、Solaris システムでの ping コマンドの出力を示します。

sensor# ping 10.1.1.1
PING 10.1.1.1: 32 data bytes
40 bytes from 10.1.1.1: icmp_seq=0. time=0. ms
40 bytes from 10.1.1.1: icmp_seq=1. time=0. ms
40 bytes from 10.1.1.1: icmp_seq=2. time=0. ms
40 bytes from 10.1.1.1: icmp_seq=3. time=0. ms
 
----10.1.1.1 PING Statistics----
4 packets transmitted, 4 packets received, 0% packet loss
round-trip (ms) min/avg/max = 0/0/0
sensor#
 

次の例は、Linux システムでの ping コマンドの出力を示します。

sensor# ping 10.1.1.1 2
PING 10.1.1.1 from 10.1.1.2 : 32(60) bytes of data.
40 bytes from 10.1.1.1: icmp_seq=0 ttl=255 time=0.2 ms
40 bytes from 10.1.1.1: icmp_seq=1 ttl=255 time=0.2 ms
 
--- 10.1.1.1 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.2/0.2/0.2 ms
sensor#
 

次の例は、到達不能アドレスに対する出力を示します。

sensor# ping 172.21.172.1
PING 172.21.172.1 (172.21.172.1) from 10.89.175.50 : 56(84) bytes of data.
 
---172.21.172.1 ping statistics---
5 packets transmitted, 0 packets received, 100% packet loss
sensor#
 

privilege

既存のユーザの権限レベルを変更するには、グローバル コンフィギュレーション モードで privilege コマンドを使用します。 username コマンドでユーザを作成するときに、権限を指定することもできます。

privilege user name [ administrator | operator | viewer ]

 
構文の説明

name

ユーザ名を指定します。有効なユーザ名の長さは 1 ~ 64 文字です。ユーザ名の先頭は、英数字にする必要があります。その他の文字には、スペース以外のすべての文字を使用できます。

administrator

管理者権限を指定します。

operator

オペレータ権限を指定します。

viewer

ビューア権限を指定します。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドを使用すると、ユーザの権限を変更できます。


) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。


次の例は、ユーザ「tester」の権限をオペレータに変更します。

sensor(config)# privilege user tester operator
Warning: The privilege change does not apply to current CLI sessions. It will be applied to subsequent logins.
sensor(config)#
 

 
関連コマンド

コマンド
説明

username

ローカル センサーのユーザを作成します。

recover

回復パーティションに保存されているアプリケーション イメージでアプリケーション パーティションのイメージを再作成するには、EXEC モードで recover コマンドを使用します。センサーは複数回リブートされて、ほとんどのコンフィギュレーション(ネットワーク、アクセス リスト、時間のパラメータ以外)がデフォルトの設定にリセットされます。

具体的には、次の設定は、 recover application-partition コマンドを使用したローカル リカバリの後で維持されます。ネットワーク設定(IP アドレス、ネットマスク、デフォルト ゲートウェイ、ホスト名、および Telnet(イネーブル/ディセーブル)、アクセス リストのエントリ/ACL0 の設定(IP アドレスおよびネットマスク)、および時間設定(オフセットおよび標準帯名)、残りのパラメータはデフォルト設定にリセットされます。

recover application-partition

 
構文の説明

application-partition

アプリケーション パーティションのイメージを再作成します。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
サポートされるユーザ ロール

管理者

 
使用上のガイドライン

回復を続行する質問への有効な応答は、 yes または no です。 Y または N は、有効な応答ではありません。

シャットダウンは、コマンドが実行されるとただちに開始されます。シャットダウンには多少時間がかかるため、引き続き CLI コマンドにアクセスできますが(アクセスは拒否されません)、このアクセスは警告なく終了する可能性があります。必要であれば、アプリケーションがシャットダウンしている間、画面にピリオド(.)を 1 秒ごとに表示して進行を示すことができます。


) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。


次の例は、回復パーティションに保存されているバージョン 7.2(1)E4 のイメージを使用して、アプリケーション パーティションのイメージを再作成します。

sensor(config)# recover application-partition
Warning: Executing this command will stop all applications and re-image the node to version 7.2(1)E4. All configuration changes except for network settings will be reset to default.
Continue with recovery? []:yes
Request Succeeded
sensor(config)#
 

rename ad-knowledge-base

既存の KB ファイルの名前を変更するには、EXEC モードで rename ad-knowledge-base コマンドを使用します。

rename ad-knowledge-base virtual-sensor [ current | file name ] new-name

 
構文の説明

virtual-sensor

KB ファイルを含む仮想センサー。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。

current

現在ロードされている KB。

file

既存の KB ファイル。

name

KB ファイル名。最大 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。

new-name

新しい KB のファイル名。1 ~ 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

6.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

current キーワードを使用すると、現在使用している KB の名前が変更されます。初期の KB ファイル名を変更することはできません。


) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。


次の例は、名前を 2006-Mar-16-10_00_00 から my-kb に変更します。

sensor# rename ad-knowledge-base vs0 file 2006-Mar-16-10_00_00 my-kb
sensor#
 

reset

センサーで実行中のアプリケーションをシャットダウンし、アプライアンスをリブートするには、EXEC モードで reset コマンドを使用します。 powerdown オプションを使用した場合は、アプライアンスの電源がオフ(可能な場合)、または電源をオフにできる状態になります

reset [ powerdown ]

 
構文の説明

powerdown

このオプションを指定すると、アプリケーションのシャットダウン後、センサーにより電源がオフになります。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
サポートされるユーザ ロール

管理者

 
使用上のガイドライン

リセットを続行する質問への有効な応答は、 yes または no です。 Y または N は、有効な応答ではありません。

シャットダウンは、コマンドが実行されるとただちに開始されます。シャットダウン中の CLI コマンドへのアクセスは拒否されませんが、開いているセッションは、シャットダウンが完了すると同時に、警告なしに終了します。必要であれば、アプリケーションがシャットダウンしている間、画面にピリオド(.)を 1 秒ごとに表示して進行を示すことができます。


) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。


次の例は、センサーをリブートします。

sensor# reset
Warning: Executing this command will stop all applications and reboot the node.
Continue with reset? []:yes
sensor#
 

service

さまざまなセンサー サービスのコンフィギュレーション メニューに入るには、グローバル コンフィギュレーション モードで service コマンドを使用します。このコマンドの default 形式を使用すると、アプリケーションのコンフィギュレーション全体が、工場出荷時のデフォルトにリセットされます。

service {aaa | analysis-engine | anomaly-detection | authentication | event-action-rules | external-product-interface | global-correlation | health-monitor | host | interface | logger | network-access | notification | signature-definitions | ssh-known-hosts | trusted-certificate | web-server}

default service {aaa | analysis-engine | anomaly-detection | authentication | event-action-rules | external-product-interface | global-correlation | health-monitor | host | interface | logger | network-access | notification | signature-definitions | ssh-known-hosts | trusted-certificate | web-server}

論理名が付けられたイベント アクション規則コンフィギュレーションのコンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで service event-action-rules name コマンドを使用します。 default キーワードを使用すると、コンフィギュレーションが工場出荷時の設定にリセットされます。 no キーワードを使用すると、センサーからイベント アクション規則コンフィギュレーションが削除されます。このコマンドは、コンフィギュレーションが仮想センサーに割り当てられていない場合にだけ、正常に実行されます。

service event-action-rules name

default service event-action-rules name

no service event-action-rules name

論理名が付けられたシグニチャ定義コンフィギュレーションのコンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで service signature-definition name コマンドを使用します。 default キーワードを使用すると、コンフィギュレーションが工場出荷時の設定にリセットされます。 no キーワードを使用すると、センサーからシグニチャ定義コンフィギュレーションが削除されます。このコマンドは、コンフィギュレーションが仮想センサーに割り当てられていない場合にだけ、正常に実行されます。

service signature-definition name

default service signature-definition name

no service signature-definition name

論理名が付けられた異常検出コンフィギュレーションのコンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで service anomaly-detection name コマンドを使用します。 default キーワードを使用すると、コンフィギュレーションが工場出荷時の設定にリセットされます。 no キーワードを使用すると、センサーから異常検出コンフィギュレーションが削除されます。このコマンドは、コンフィギュレーションが仮想センサーに割り当てられていない場合にだけ、正常に実行されます。

service anomaly-detection name

default anomaly-detection name

no service anomaly-detection name

 
構文の説明

aaa

AAA のタイプを設定します。

analysis-engine

グローバル分析エンジン パラメータを設定します。この設定によって、仮想センサーを作成し、シグニチャ定義、イベント アクション規則、およびセンシング インターフェイスを仮想センサーに割り当てることができます。

anomaly-detection

異常検出のパラメータを設定します。

authentication

ユーザの認証に使用する方式の順序を設定します。

event-action-rules

イベント アクション規則コンフィギュレーションのパラメータを設定します。

external-product-interface

外部製品インターフェイスのパラメータを設定します。

global-correlation

グローバル相関のパラメータを設定します。

health-monitor

ヘルスおよびセキュリティのモニタリングとレポートを設定します。

host

システム クロック設定、アップグレード、および IP アクセス リストを設定します。

interface

センサーのインターフェイスを設定します。

logger

デバッグ レベルを設定します。

network-access

ARC に関連するパラメータを設定します。

が表示されます。

notification

通知アプリケーションを設定します。

signature-definition

シグニチャ定義コンフィギュレーションのパラメータを設定します。

ssh-known-hosts

システムの既知のホスト キーを設定します。

trusted-certificate

信頼できる認証機関の X.509 証明書のリストを設定します。

web-server

Web サーバ ポートなど、Web サーバに関するパラメータを設定します。

name

イベント アクション規則またはシグニチャ定義コンフィギュレーションの論理名。論理名がすでに存在しなくなった場合、新しいコンフィギュレーション ファイルが作成されます。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
サポートされるユーザ ロール

管理者、オペレータ(host および interface を除く)、ビューア(display のみ)

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

5.0(1)

default キーワードおよび通知アプリケーションのサポートが追加されました。

6.0(1)

anomaly-detection external-product-interface 、および os-identification コマンドが追加されました。

7.0(1)

global-correlation コマンドが追加されました。

7.1(3)

aaa コマンドが追加されました。

 
使用上のガイドライン

このコマンドで、サービス固有のパラメータを設定できます。この構成の項目とメニューはサービスによって異なり、コマンドが実行されたときにサービスから取得した構成に基づいて動的に作成されます。


注意 このモード、およびそのいずれかのサブモードで加えられた変更は、サービス モードを終了するとサービスに適用されます。

コマンド モードは、サービス名でコマンド プロンプトに表示されます。たとえば、service authentication では、次のプロンプトが表示されます。

sensor(config-aut)#
 

) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。


次のコマンドは、AAA サービスのコンフィギュレーション モードを開始します。

sensor(config)# service aaa
sensor(config-aaa)#
 

次のコマンドは、分析エンジン サービスのコンフィギュレーション モードを開始します。

sensor(config)# service analysis-engine
sensor(config-ana)#
 

次のコマンドは、異常検出サービス用のコンフィギュレーション モードを開始します。

sensor(config)# service anomaly-detection
sensor(config-ano)#
 

次のコマンドでは、認証サービスのコンフィギュレーション モードを開始します。

sensor(config)# service authentication
sensor(config-aut)#
 

次のコマンドは、イベント アクション規則サービスのコンフィギュレーション モードを開始します。

sensor(config)# service event-action-rules rules0
sensor(config-rul)#
 

次のコマンドは、外部製品インターフェイス サービスのコンフィギュレーション モードを開始します。

sensor(config)# service external-product-interface
sensor(config-ext)#
 

次のコマンドは、グローバル相関サービスのコンフィギュレーション モードを開始します。

sensor(config)# service global-correlation
sensor(config-glo)#
 

次のコマンドでは、ヘルス モニタ サービスのコンフィギュレーション モードを開始します。

sensor(config)# service health-monitor
sensor(config-hea)#
 

次のコマンドは、ホスト サービスのコンフィギュレーション モードを開始します。

sensor(config)# service host
sensor(config-hos)#
 

次のコマンドは、インターフェイス サービスのコンフィギュレーション モードを開始します。

sensor(config)# service interface
sensor(config-int)#
 

次のコマンドは、ロガー サービスのコンフィギュレーション モードを開始します。

sensor(config)# service logger
sensor(config-log)#
 

次のコマンドは、ARC サービスのコンフィギュレーション モードを開始します。

sensor(config)# service network-access
sensor(config-net)#
 

次のコマンドは、SNMP 通知サービスのコンフィギュレーション モードを開始します。

sensor(config)# service notification
sensor(config-not)#
 

次のコマンドは、シグニチャ定義サービスのコンフィギュレーション モードを開始します。

sensor(config)# service signature-definition sig0
sensor(config-sig)#
 

次のコマンドは、SSH 既知ホスト サービスのコンフィギュレーション モードを開始します。

sensor(config)# service ssh-known-hosts
sensor(config-ssh)#
 

次のコマンドは、信頼できる証明書サービスのコンフィギュレーション モードを開始します。

sensor(config)# service trusted-certificate
sensor(config-tru)#
 

次のコマンドは、Web サーバ サービスのコンフィギュレーション モードを開始します。

sensor(config)# service web-server
sensor(config-web)#
 

setup

基本的なセンサー コンフィギュレーションを設定するには、EXEC モードで setup コマンドを使用します。

setup

 
構文の説明

このコマンドには引数またはキーワードはありません。

 
デフォルト

hostname:sensor

IP interface:192.168.1.2/24,192.168.1.1

telnet-server:disabled

web-server port:443

summer time:disabled

ユーザが summer time を enabled にした場合、デフォルトは次のとおりです。

Summertime type:Recurring

Start Month:april

Start Week:first

Start Day:sunday

Start Time:02:00:00

End Month:october

End Week:last

End Day:sunday

End Time:02:00:00

Offset:60

システムの時間帯のデフォルトは、次のとおりです。

Time zone:UTC

UTC Offset:0

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

4.0(2)

アクセス リストおよび時間設定のコンフィギュレーションが追加されました。

5.0(1)

仮想センサー設定のコンフィギュレーションが追加されました。

5.1(1)

インライン VLAN ペアのコンフィギュレーションが追加されました。

6.0(1)

複数の仮想センサーおよび VLAN グループのコンフィギュレーションが追加されました。デフォルトで自動的に脅威を拒否するかどうかを尋ねるプロンプトが追加されました。

6.1(1)

setup に自動モードを追加し、6.1(1) に必要な setup コマンドを変更しました。

7.0

グローバル相関が追加されました。

7.2(1)

SSHv1 フォールバックが追加されました。

 
使用上のガイドライン

コンソール ケーブルを使用してセンサーに接続すると、センサーが自動的に setup コマンドを呼び出します。この時点では、センサーの基本的なネットワーク設定はまだ行われていません。次の条件下では、センサーは自動セットアップの呼び出しを行いません。

初期化がすでに正常に完了している場合。

センサーの回復またはダウングレードを行った場合。

自動セットアップを使用してセンサーを正常に設定した後、ホスト コンフィギュレーションをデフォルトにした場合。

setup コマンドを入力すると、システムのコンソール画面に [System Configuration Dialog] と呼ばれる対話形式のダイアログが表示されます。[System Configuration Dialog] に従って設定プロセスを進めます。

前回設定されたデフォルト値は、各プロンプトの横のカッコ内に表示されます。

変更する項目に到達するまで [System Configuration Dialog] 全体を実行する必要があります。変更しない項目のデフォルト設定を使用するには、Enter を押します。

変更を中断し、[System Configuration Dialog] を最後まで実行せずに EXEC プロンプトに戻るには、Ctrl+C キーを押します。

このファシリティは、プロンプトごとにヘルプ テキストも提示します。ヘルプ テキストにアクセスするには、プロンプトで疑問符(?)を入力します。

変更が完了すると、セットアップ セッション中に作成されたコンフィギュレーション ファイルが表示されます。このコンフィギュレーションを保存するように促されます。 yes を入力すると、コンフィギュレーションがディスクに保存されます。 no を入力すると、設定は保存されずにプロセスが再開されます。このプロンプトにはデフォルトがありません。 yes または no を入力する必要があります。

設定可能なパラメータの有効な値の範囲は、次のとおりです。

IP Address/Netmask/Gateway: X.X.X.X/nn,Y.Y.Y.Y 。ここでは、

X.X.X.X は、ピリオドで区切られた 4 オクテットで記述される 32 ビット アドレスのセンサーの IP アドレスです。 X は 0 ~ 255 です。

nn はネットマスクのビット数を指定します。

Y.Y.Y.Y は、ピリオドで区切られた 4 オクテットで記述される 32 ビット アドレスのデフォルト ゲートウェイです。 Y は 0 ~ 255 です。

Host Name:最大 256 文字の大文字小文字を区別する文字列。数字、「_」、および「-」は有効ですが、スペースは使用できません。

システムが NTP を使用 しない 場合にのみ、setup モードでクロック設定を入力します。NTP コマンドは、別に用意されています。

サマータイムは、[recurring] モードまたは [date] モードのいずれかで設定できます。recurring モードを選択した場合、開始日と終了日は、週、曜日、月、時間に基づいて入力します。date モードを選択した場合、開始日と終了日は、月、日、年、時間に基づいて入力します。disable を選択すると、夏時間がオフになります。

表 2-1 に、クロック設定パラメータを示します。

 

表 2-1 クロック設定パラメータ

DST zone

サマータイムが有効なときに表示される時間帯の名前。

week

週(1 ~ 5 または last)。

day

曜日(Sunday、Monday など)。

date

日(1 ~ 31)。

month

月(1 月、2 月など)。

year

年、省略なし(2001 ~ 2035)。

hh:mm

開始/終了 DST(24 時形式)の時間と分。

offset

(任意)サマータイム中に加算する時間(分)。デフォルト値は 60 です。

timezone

標準時が適用されているときに表示されるタイム ゾーンの名前。

hours

UTC からの時間差。

hh:mm:ss

現在の時間(24 時間形式)、分、および秒。

デフォルトの仮想センサー vs0 の編集もできます。仮想センサーに、混合/インラインのペアとインライン VLAN のペア(または、どちらか一方)を割り当て、割り当てたインターフェイスをイネーブルにできます。セットアップが完了すると、仮想センサーはトラフィックをモニタするように設定されます。

セットアップ時に、 deny-packet-inline アクションに関連付けられた上書き規則を有効または無効にすることができます。仮想センサーに割り当てられているイベント アクション規則コンフィギュレーションのすべてのインスタンスを変更できます。仮想センサーに割り当てられていないイベント アクション規則コンフィギュレーションのインスタンスは変更されません。

次の例は、 setup コマンドと System Configuration プログラムを示します。

sensor# setup
 
 
--- System Configuration Dialog ---
 
 
At any point you may enter a question mark '?' for help.
User ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
 
Current time: Mon Dec 3 07:15:11 2011
 
Setup Configuration last modified: Tue Nov 27 18:40:12 2009
 
Enter host name[sensor]:
Enter IP interface[172.21.172.25/8,172.21.172.1]:
Enter telnet-server status[enabled]:
Enter web-server port[8080]: 80
Modify current access list? [no]: yes
Current access list entries:
[1] 10.0.0.0/24
[2] 172.0.0.0/24
Delete: 1
Delete:
Permit: ?
% Please enter a valid IP address and netmask in the form x.x.x.x/nn. For example:192.168.1.0/24
Permit: 173.0.0.0/24
Permit:
Use DNS server for global collaboration?[yes]:
DNS server IP address[10.10.10.10]:
Use HTTP proxy server for global collaboration?[yes]:
HTTP proxy server IP address[128.107.241.169]:
HTTP proxy server Port number[8080]:
Modify system clock settings? [no]: yes
Modify summer time settings?[no]: yes
Use USA SummerTime Defaults?[yes]: yes
DST Zone[]: CDT
Offset[60]:
Modify system timezone? [no]: yes
Timezone[UTC]: CST
GMT Offset[-360]
 
Use NTP? [yes]:yes
NTP Server IP Address[]: 10.89.147.12
Use NTP Authentication?[no]: yes
NTP Key ID[]: 1
NTP Key Value[]: cisco
 
Network Participation level?[off]: partial
 
If you agree to participate in the SensorBase Network, Cisco will collect aggregated statistics about traffic sent to your IPS. This includes summary data on the Cisco IPS network traffic properties and how this traffic was handled by the Cisco appliances. We do not collect the data content of traffic or other sensitive business or personal information. All data is aggregated and sent via secure HTTP to the Cisco SensorBase Network servers in periodic intervals. All data shared with Cisco will be anonymous and treated as strictly confidential.
 
The table below describes how the data will be used by Cisco.
 
Participation Level = Partial:
* Type of Data: Protocol Attributes (e.g. TCP max nsegment size and options string)
Purpose: Track potential threats and understand threat exposure
* Type of Data: Attack Type (e.g. Signature Fired and Risk Rating)
Purpose: Used to understand current attacks and attack severity
* Type of Data: Connecting IP Address and port
Purpose: Identifies attack source
* Type of Data: Summary IPS performance (CPU utilization memory usage, inline vs. promiscuous, etc)
Purpose: Tracks product efficacy
 
Participation Level = Full:
* Type of Data: Victim IP Address and port
Purpose: Detect threat behavioral patterns
 
Do you agree to participate in the SensorBase network[no]?yes
 
The following configuration was entered.
 
service host
network-settings
host-ip 172.21.172.25/8,172.21.172.1
host-name sensor
telnet-option disabled
sshv1-fallback disabled
access-list 172.0.0.0/24
access-list 173.0.0.0/24
ftp-timeout 300
login-banner-text
exit
 
dns-primary-server enabled
address 10.10.10.10
exit
dns-secondary-server disabled
dns-tertiary-server disabled
http-proxy proxy-server
address 128.107.241.169
port 8080
exit
exit
 
time-zone-settings
offset -360
standard-time-zone-name CST
exit
summertime-option recurring
offset 60
summertime-zone-name CDT
start-summertime
month april
week-of-month first
day-of-week sunday
time-of-day 02:00:00
exit
end-summertime
month october
week-of-month last
day-of-week sunday
time-of-day 02:00:00
exit
exit
ntp-option enabled
ntp-option enabled-ntp-unauthenticated
ntp-server 10.89.147.12
exit
exit
service global-correlation
network-participation partial
exit
 
[0] Go to the command prompt without saving this config.
[1] Return to the setup without saving this config.
[2] Save this configuration and exit setup.
[3] Continue to Advanced setup.
 
 
Enter your selection[3]:
Enter telnet-server status[disabled]: enabled
Enter web-server port[443]:
Modify interface/virtual sensor configuration?[no]: yes
Current interface configuration
Command control GigabitEthernet0/1
Unassigned:
Promiscuous:
GigabitEthernet2/1
GigabitEthernet4/0
GigabitEthernet4/1
Inline Vlan Pairs:
GigabitEthernet1/0:10 (Vlans: 20, 10)
 
Virtual Sensor: vs0
Anomaly Detection: ad0
Event Action Rules: rules0
Signature Definitions: sig0
Promiscuous:
GigabitEthernet0/0
Inline Vlan Pairs:
GigabitEthernet1/0:1 (Vlans: 2, 3)
GigabitEthernet1/0:2 (Vlans: 344, 23)
 
Virtual Sensor: myVs
Anomaly Detection: myAd
Event Action Rules: myEvr
Signature Definition: mySigs
Promiscuous:
GigabitEthernet2/0
Promiscuous Vlan Groups:
GigabitEthernet1/1:3 (Vlans: 5-7,9)
Inline Interface Pair Vlan Groups:
foo:3 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 200-299)
foo:8 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 300-399)
 
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
Option: 1
 

次のプロンプトでは、インターフェイスを作成または削除できます。[Edit Virtual Sensor Configuration] セクションで、インターフェイスを仮想センサーに割り当てることができます。混合モードでモニタされているインターフェイスが VLAN によって細分化されていない場合、追加のコンフィギュレーションは必要ありません。仮想センサーのコンフィギュレーションに進み、仮想センサーにインターフェイスを割り当ててください。

 
[1] Remove interface configurations.
[2] Add/Modify Inline Vlan Pairs.
[3] Add/Modify Promiscuous Vlan Groups.
[4] Add/Modify Inline Interface Pairs.
[5] Add/Modify Inline Interface Pair Vlan Groups.
[6] Modify interface default-vlan.
Option: 1
Inline Vlan Pairs:
[1] GigabitEthernet1/0:1 (Vlans: 2, 3)
[2] GigabitEthernet1/0:2 (Vlans: 344, 23)
[3] GigabitEthernet1/0:10 (Vlans: 20, 10)
Promiscuous Vlan Groups:
[4] GigabitEthernet1/1:3 (Vlans: 5-7,9)
Inline Interface Pair Vlan Groups:
[5] foo:3 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 200-299)
[6] foo:8 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 300-399)
Remove Interface: 6
Remove Interface:
 
[1] Remove interface configurations.
[2] Add/Modify Inline Vlan Pairs.
[3] Add/Modify Promiscuous Vlan Groups.
[4] Add/Modify Inline Interface Pairs.
[5] Add/Modify Inline Interface Pair Vlan Groups.
[6] Modify interface default-vlan.
Option: 2
 
Available Interfaces
[1] GigabitEthernet1/0
[2] GigabitEthernet2/1
[3] GigabitEthernet4/0
[4] GigabitEthernet4/1
Interface to modify: 2
Inline Vlan Pairs for GigabitEthernet2/1:
None
Subinterface number: 1
Description[Created via setup by user cisco]:
Vlan1: 5
Vlan2: 6
Subinterface number:
Available Interfaces
[1] GigabitEthernet1/0
[2] GigabitEthernet2/1
[3] GigabitEthernet4/0
[4] GigabitEthernet4/1
Interface to modify:
 
[1] Remove interface configurations.
[2] Add/Modify Inline Vlan Pairs.
[3] Add/Modify Promiscuous Vlan Groups.
[4] Add/Modify Inline Interface Pairs.
[5] Add/Modify Inline Interface Pair Vlan Groups.
[6] Modify interface default-vlan.
Option: 3
 
Available Interfaces
[1] GigabitEthernet1/1
[2] GigabitEthernet4/0
[3] GigabitEthernet4/1
Interface to modify: 1
Promiscuous Vlan Groups for GigabitEthernet1/1:
GigabitEthernet1/1:3 (Vlans: 5-7,9)
Subinterface number: 1
Description[Created via setup by user cisco]:
Vlans: 3,8,34-69
Subinterface number:
Available Interfaces
[1] GigabitEthernet1/1
[2] GigabitEthernet4/0
[3] GigabitEthernet4/1
Interface to modify:
 
[1] Remove interface configurations.
[2] Add/Modify Inline Vlan Pairs.
[3] Add/Modify Promiscuous Vlan Groups.
[4] Add/Modify Inline Interface Pairs.
[5] Add/Modify Inline Interface Pair Vlan Groups.
[6] Modify interface default-vlan.
Option: 4
 
Available Interfaces
GigabitEthernet4/0
GigabitEthernet4/1
Pair Name: test
Description[Created via setup by user cisco]:
Interface1: GigabitEthernet4/0
Interface2: GigabitEthernet4/1
 
[1] Remove interface configurations.
[2] Add/Modify Inline Vlan Pairs.
[3] Add/Modify Promiscuous Vlan Groups.
[4] Add/Modify Inline Interface Pairs.
[5] Add/Modify Inline Interface Pair Vlan Groups.
[6] Modify interface default-vlan.
Option: 5
 
Available inline interface pairs:
[1] foo (GigabitEthernet3/0, GigabitEthernet3/1)
[2] test (GigabitEthernet4/0, GigabitEthernet4/1)
Interface to modify: 1
Inline Interface Pair Vlan Groups for foo:
Subinterface: 3; Vlans: 200-299
Subinterface number: 1
Description[Created via setup by user cisco]:
Vlans: 100-199
Subinterface number:
Available inline interface pairs:
[1] foo (GigabitEthernet3/0, GigabitEthernet3/1)
[2] test (GigabitEthernet4/0, GigabitEthernet4/1)
Interface to modify:
 
[1] Remove interface configurations.
[2] Add/Modify Inline Vlan Pairs.
[3] Add/Modify Promiscuous Vlan Groups.
[4] Add/Modify Inline Interface Pairs.
[5] Add/Modify Inline Interface Pair Vlan Groups.
[6] Modify interface default-vlan.
Option: 6
 
GigabitEthernet0/0 default-vlan[0]:
GigabitEthernet1/0 default-vlan[0]:
GigabitEthernet1/1 default-vlan[0]:
GigabitEthernet2/0 default-vlan[0]:
GigabitEthernet2/1 default-vlan[0]:
GigabitEthernet3/0 default-vlan[0]: 100
GigabitEthernet3/1 default-vlan[0]: 100
GigabitEthernet4/0 default-vlan[0]:
GigabitEthernet4/1 default-vlan[0]:
 
[1] Remove interface configurations.
[2] Add/Modify Inline Vlan Pairs.
[3] Add/Modify Promiscuous Vlan Groups.
[4] Add/Modify Inline Interface Pairs.
[5] Add/Modify Inline Interface Pair Vlan Groups.
[6] Modify interface default-vlan.
Option:
 
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
Option: 3
 
Current interface configuration
Command control GigabitEthernet0/1
Unassigned:
Promiscuous:
GigabitEthernet2/1
Inline Vlan Pairs:
GigabitEthernet1/0:10 (Vlans: 20, 10)
Promiscuous Vlan Groups:
GigabitEthernet1/1:1 (Vlans: 3,8,34-39)
Inline Interface Pairs:
test (GigabitEthernet4/0, GigabitEthernet4/1)
Inline Interface Pair Vlan Groups:
foo:1 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 100-199)
 
Virtual Sensor: vs0
Anomaly Detection: ad0
Event Action Rules: rules0
Signature Definitions: sig0
Promiscuous:
GigabitEthernet0/0
Inline Vlan Pairs:
GigabitEthernet1/0:1 (Vlans: 2, 3)
GigabitEthernet1/0:2 (Vlans: 344, 23)
 
Virtual Sensor: myVs
Anomaly Detection: myAd
Event Action Rules: myEvr
Signature Definition: mySigs
Promiscuous:
GigabitEthernet2/0
Promiscuous Vlan Groups:
GigabitEthernet1/1:3 (Vlans: 5-7,9)
Inline Interface Pair Vlan Groups:
foo:3 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 200-299)
 
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
Option: 2
 
[1] Remove virtual sensor.
[2] Modify “vs0” virtual sensor configuration.
[3] Modify “myVs” virtual sensor configuration.
[4] Create new virtual sensor.
Option: 1
 
Virtual sensors
[1] vs0
[2] myVs
Remove: 2
Remove:
 
[1] Remove virtual sensor.
[2] Modify "vs0” virtual sensor configuration.
[3] Create new virtual sensor.
Option: 2
 
Virtual Sensor: vs0
Anomaly Detection: ad0
Event Action Rules: rules0
Signature Definitions: sig0
Promiscuous:
GigabitEthernet0/0
Inline Vlan Pairs:
[1] GigabitEthernet1/0:1 (Vlans: 2, 3)
[2] GigabitEthernet1/0:2 (Vlans: 344, 23)
Remove Interface: 2
Remove Interface:
 
Unassigned:
Promiscuous:
[1] GigabitEthernet2/1
[2] GigabitEthernet2/0
Inline Vlan Pairs:
[3] GigabitEthernet1/0:2 (Vlans: 344, 23)
[4] GigabitEthernet1/0:10 (Vlans: 20, 10)
Promiscuous Vlan Groups:
[5] GigabitEthernet1/1:1 (Vlans: 3,8,34-39)
[6] GigabitEthernet1/1:3 (Vlans: 5-7,9)
Inline Interface Pairs:
[7] test (GigabitEthernet4/0, GigabitEthernet4/1)
Inline Interface Pair Vlan Groups:
[8] foo:1 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 100-199)
[9] foo:3 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 200-299)
Add Interface: 4
Add Interface:
 
Current interface configuration
Command control GigabitEthernet0/1
Unassigned:
Promiscuous:
GigabitEthernet2/0
GigabitEthernet2/1
Inline Vlan Pairs:
GigabitEthernet1/0:2 (Vlans: 344, 23)
Promiscuous Vlan Groups:
GigabitEthernet1/1:1 (Vlans: 3,8,34-39)
GigabitEthernet1/1:3 (Vlans: 5-7,9)
Inline Interface Pairs:
test (GigabitEthernet4/0, GigabitEthernet4/1)
Inline Interface Pair Vlan Groups:
foo:1 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 100-199)
foo:3 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 200-299)
 
Virtual Sensor: vs0
Anomaly Detection: ad0
Event Action Rules: rules0
Signature Definitions: sig0
Promiscuous:
GigabitEthernet0/0
Inline Vlan Pairs:
GigabitEthernet1/0:1 (Vlans: 2, 3)
GigabitEthernet1/0:10 (Vlans: 20, 10)
 
[1] Remove virtual sensor.
[2] Modify “myVs” virtual sensor configuration.
[3] Create new virtual sensor.
Option: 3
Name: newVs
Description[Created via setup by user cisco]:
Anomaly Detection Configuration:
[1] ad0
[2] myAd
[3] Create a new anomaly detection configuration
Option[3]: 2
Signature Definition Configuration:
[1] sig0
[2] mySigs
[3] Create new signature definition configuration
Option[3]: 2
Event Action Rules Configuration:
[1] rules0
[2] myEvr
[3] newRules
[4] Create new event action rules configuration
Option[4]: 2
Unassigned:
Promiscuous:
[1] GigabitEthernet2/0
[2] GigabitEthernet2/1
Inline Vlan Pairs:
[3] GigabitEthernet1/0:1 (Vlans: 2, 3)
Promiscuous Vlan Groups:
[4] GigabitEthernet1/1:1 (Vlans: 3,8,34-39)
[5] GigabitEthernet1/1:3 (Vlans: 5-7,9)
Inline Interface Pairs:
[6] test (GigabitEthernet4/0, GigabitEthernet4/1)
Inline Interface Pair Vlan Groups:
[7] foo:1 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 100-199)
[8] foo:3 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 200-299)
Add Interface: 1
Add Interface: 2
Add Interface:
 
Current interface configuration
Command control GigabitEthernet0/1
Unassigned:
Inline Vlan Pairs:
GigabitEthernet1/0:1 (Vlans: 2, 3)
Promiscuous Vlan Groups:
GigabitEthernet1/1:1 (Vlans: 3,8,34-39)
GigabitEthernet1/1:3 (Vlans: 5-7,9)
Inline Interface Pairs:
test (GigabitEthernet4/0, GigabitEthernet4/1)
Inline Interface Pair Vlan Groups:
foo:1 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 100-199)
foo:3 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 200-299)
 
Virtual Sensor: vs0
Anomaly Detection: ad0
Event Action Rules: rules0
Signature Definitions: sig0
Promiscuous:
GigabitEthernet0/0
Inline Vlan Pairs:
GigabitEthernet1/0:1 (Vlans: 2, 3)
GigabitEthernet1/0:2 (Vlans: 344, 23)
GigabitEthernet1/0:10 (Vlans: 20, 10)
 
Virtual Sensor: newVs
Anomaly Detection: myAd
Event Action Rules: newRules
Signature Definition: mySigs
Promiscuous:
GigabitEthernet2/0
GigabitEthernet2/1
 
[1] Remove virtual sensor.
[2] Modify “vs0” virtual sensor configuration.
[3] Modify “newVs” virtual sensor configuration.
[4] Create new virtual sensor.
Option:
 
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
Option:
 
Modify default threat prevention settings? [no] yes
Virtual sensor vs0 is NOT configured to prevent a modified range of threats in inline mode. (Risk Rating 75-100)
Virtual sensor newVs is configured to prevent high risk threats in inline mode. (Risk Rating 90-100)
 
Do you want to enable automatic threat prevention on all virtual sensors? [no]

) 上記の質問への応答に yes を選択すると、その次の質問は表示されません。



) すべての仮想センサーが有効である場合、無効にするかどうかの質問だけが表示されます。



) すべての仮想センサーが無効である場合、有効にするかどうかの質問だけが表示されます。


Do you want to disable automatic threat prevention on all virtual sensors? [no] yes
The Event Action "overrides" rule for action "deny-packet-inline" has been Disabled on all virtual sensors.
 
The following configuration was entered.
 
service host
network-settings
host-ip 172.21.172.25/8,172.21.172.1
host-name sensor
telnet-option disabled
sshv1-fallback disabled
access-list 172.0.0.0/24
access-list 173.0.0.0/24
ftp-timeout 300
login-banner-text
exit
time-zone-settings
offset -360
standard-time-zone-name CST
exit
summertime-option recurring
offset 60
summertime-zone-name CDT
start-summertime
month april
week-of-month first
day-of-week sunday
time-of-day 02:00:00
exit
end-summertime
month october
week-of-month last
day-of-week sunday
time-of-day 02:00:00
exit
exit
ntp-option enabled
ntp-option enabled-ntp-unauthenticated
ntp-server 10.89.147.12
exit
exit
service web-server
port 80
exit
service event-action-rules rules0
overrides deny-packet-inline
override-item-status Disabled
risk-rating-range 75-100
exit
exit
service event-action-rules myEvr
overrides deny-packet-inline
override-item-status Disabled
risk-rating-range 90-100
exit
exit
service event-action-rules newRules
overrides deny-packet-inline
override-item-status Disabled
risk-rating-range 90-100
exit
exit
service interface
service event-action-rules rules0
overrides deny-packet-inline
risk-rating-range 85-100
exit
exit
service event-action-rules newRules
overrides deny-packet-inline
risk-rating-range 85-100
exit
exit
service interface
physical-interfaces GigabitEthernet0/0
admin-state enabled
exit
physical-interfaces GigabitEthernet1/0
admin-state enabled
subinterface-type inline-vlan-pair
subinterface 1
description Created via setup by user cisco
vlan1 2
vlan2 3
exit
subinterface 2
description Created via setup by user cisco
vlan1 344
vlan2 23
exit
subinterface 10
description Created via setup by user cisco
vlan1 20
vlan2 10
exit
exit
exit
physical-interfaces GigabitEthernet1/1
subinterface-type vlan-group
subinterface 3
description Created via setup by user cisco
vlans 5-7,9
exit
subinterface 1
description Created via setup by user cisco
vlans 3,8,34-39
exit
exit
exit
physical-interfaces GigabitEthernet2/0
admin-state enabled
exit
physical-interfaces GigabitEthernet2/1
admin-state enabled
exit
physical-interfaces GigabitEthernet3/0
default-vlan 100
exit
physical-interfaces GigabitEthernet3/1
default-vlan 100
exit
inline-interface foo
description Create via setup by user cisco
interface1 GigabitEthernet3/0
interface2 GigabitEthernet3/1
subinterface-type vlan-group
subinterface 3
vlans 200-299
exit
subinterface 1
vlans 100-199
exit
exit
exit
inline-interface test
description Created via setup by user cisco
interface1 GigabitEthernet4/0
interface2 GigabitEthernet4/1
exit
service analysis-engine
virtual-sensor vs0
physical-interface GigabitEthernet1/0 subinterface-number 2
physical-interface GigabitEthernet1/0 subinterface-number 10
exit
virtual-sensor newVs
anomaly-detection myAd
event-action-rulse newRules
signature-definition mySigs
physical-interface GigabitEthernet2/0
physical-interface GigabitEthermet2/1
exit
exit
 
[0] Go to the command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration and exit.
 
Enter your selection [2]:
Configuration Saved.
sensor#
 
 

show ad-knowledge-base diff

2 つの KB の違いを表示するには、EXEC モードで show ad-knowledge-base diff コマンドを使用します。

show ad-knowledge-base virtual-sensor diff [ current | initial | file name1 ][ current | initial | file name2 ] diff-percentage

 
構文の説明

virtual-sensor

比較する KB ファイルが含まれる仮想センサー。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。

current

現在ロードされている KB。

initial

初期の KB。

file

既存の KB ファイル。

name1

比較する 1 つ目の既存 KB ファイルの名前。最大 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。

name2

比較する 2 つ目の既存 KB ファイルの名前。最大 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。

diff-percentage

(任意)しきい値が指定された割合よりも異なるサービスを表示します。有効な値は 1 ~ 100 です。デフォルトは 10% です。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

6.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。

次の例は、2011-Mar-16-10_00_00 と仮想センサー vs0 に現在ロードされている KB を比較します。

sensor# show ad-knowledge-base vs0 diff current file 2011-Mar-16-10_00_00
2011-Mar-17-10_00_00 Only Services/Protocols
External Zone
TCP Services
Service = 30
Service = 20
UDP Services
None
Other Protocols
Protocol = 1
Illegal Zone
None
Internal Zone
None
2006-Mar-16-10_00_00 Only Services/Protocols
External Zone
None
Illegal Zone
None
Internal Zone
None
Thresholds differ more than 10%
External Zone
None
Illegal Zone
TCP Services
Service = 31
Service = 22
UDP Services
None
Other Protocols
Protocol = 3
Internal Zone
None
sensor#
 

show ad-knowledge-base files

仮想センサーで使用できる異常検出 KB ファイルを表示するには、EXEC モードで show ad-knowledge-base files コマンド使用します。

show ad-knowledge-base virtual-sensor files

 
構文の説明

virtual-sensor

(任意)KB ファイルが含まれる仮想センサー。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

6.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

ファイル名の前にある * は、その KB ファイルが現在ロードされていることを示します。現行 KB は必ず存在します(インストール後は初期の KB です)。異常検出で現在ロードされている KB、または異常検出が現在アクティブになっていない場合はロードされている KB が示されます。

仮想センサーを指定しない場合、すべての仮想センサーですべての KB ファイルが取得されます。

初期の KB は、しきい値が工場出荷時の設定になっている KB です。


) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。


次の例は、すべての仮想センサーで使用できる KB ファイルを示します。2011-Mar-16-10_00_00 ファイルは、仮想センサー vs0 にロードされた現行 KB ファイルです。

sensor# show ad-knowledge-base files
Virtual Sensor vs0
Filename Size Created
initial 84 04:27:07 CDT Wed Jan 28 2011
* 2011-Jan-29-10_00_01 84 04:27:07 CDT Wed Jan 29 2011
2011-Mar-17-10_00_00 84 10:00:00 CDT Fri Mar 17 2011
2011-Mar-18-10_00_00 84 10:00:00 CDT Sat Mar 18 2011
sensor#
 

show ad-knowledge-base thresholds

KB のしきい値を表示するには、EXEC モードで show ad-knowledge-base thresholds コマンドを使用します。

show ad-knowledge-base virtual-sensor thresholds { current | initial | file name } [ zone { external | illegal | internal }] {[ protocol { tcp | udp }] [ dst-port port ] | [ protocol other ] [ number protocol-number ]}

 
構文の説明

virtual-sensor

比較する KB ファイルが含まれる仮想センサー。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。

current

現在ロードされている KB。

initial

初期の KB。

file

既存の KB ファイル。

name

KB ファイル名。最大 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。

zone

(任意)指定されたゾーンのしきい値だけを表示します。デフォルトでは、すべてのゾーンに関する情報が表示されます。

external

外部ゾーンを表示します。

illegal

無許可ゾーンを表示します。

internal

内部ゾーンを表示します。

protocol

(任意)指定したプロトコルのしきい値だけを表示します。デフォルトでは、すべてのプロトコルに関する情報が表示されます。

tcp

TCP プロトコルを表示します。

udp

UDP プロトコルを表示します。

dst-port

(任意)指定されたポートのしきい値だけを表示します。デフォルトでは、すべての TCP ポートまたは UDP ポートに関する情報が表示されます。

port

(任意)指定されたポートのしきい値だけを表示します。デフォルトでは、すべての TCP ポートまたは UDP ポートに関する情報が表示されます。有効な値は 0 ~ 65535 です。

protocol

(任意)他のプロトコルのしきい値だけを表示します。

other

TCP または UDP 以外のプロトコルを表示します。

number

(任意)他の特定のプロトコル番号のしきい値だけを表示します。デフォルトでは、他のすべてのプロトコルに関する情報が表示されます。

protocol-number

プロトコル番号。有効な値は 0 ~ 255 です。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

6.0(1)

このコマンドが導入されました。

表示されたしきい値は、KB に含まれるしきい値です。上書きされるユーザ コンフィギュレーションがある場合のしきい値は、知識ベースのしきい値とユーザ コンフィギュレーションの両方が表示されます。


) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。


次の例は、KB 2011-Mar-16-10_00_00 の無許可ゾーンに含まれるしきい値を示します。

sensor# show ad-knowledge-base vs0 thresholds file 2011-Mar-16-10_00_00 zone illegal
2011-Mar-16-10_00_00
Illegal Zone
TCP Port 20
Scanner Threshold
>> User Configuration = 100
>> Knowledge Base = 20
Threshold Histogram
Destination IP 5 10 100
>> User Configuration: source IP 100 1 0
>> Knowledge Base: source IP 10 1 0
TCP Port 30
Scanner Threshold
Knowledge Base = 110
Threshold Histogram
Destination IP 5 10 100
Knowledge Base: source IP 10 1 0
TCP Port any
Scanner Threshold
Knowledge Base = 9
Threshold Histogram
Destination IP 5 10 100
Knowledge Base: source IP 2 1 0
UDP Port any
Scanner Threshold
Knowledge Base = 19
Threshold Histogram
Destination IP 5 10 100
Knowledge Base: source IP 12 10 0
Other Protocol any
Scanner Threshold
Knowledge Base = 1
Threshold Histogram
Destination IP 5 10 100
Knowledge Base: source IP 1 1 0
Other Protocol 1
Scanner Threshold
Knowledge Base = 10
Threshold Histogram
Destination IP 5 10 100
Knowledge Base: source IP 10 10 0
sensor#
 

次の例は、現行 KB の無許可ゾーンに含まれ、プロトコルが TCP で宛先ポートが 20 である場合のしきい値を示します。

sensor# show ad-knowledge-base vs0 thresholds current zone illegal protocol tcp dst-port 20
2011-Mar-16-10_00_00
Illegal Zone
TCP Port 20
Scanner Threshold
>> User Configuration = 100
>> Knowledge Base = 50
Threshold Histogram
Destination IP 5 10 100
>> User Configuration: source IP 100 1 0
>> Knowledge Base: source IP 10 1 0
sensor#
 

次の例は、現行 KB の無許可ゾーンに含まれ、プロトコルがその他で宛先ポート番号が 1 である場合のしきい値を示します。

sensor# show ad-knowledge-base vs0 thresholds current zone illegal protocol other number 1
2011-Mar-16-10_00_00
Illegal Zone
Other Protocol 1
Scanner Threshold
>> User Configuration = 79
>> Knowledge Base = 50
Threshold Histogram
Destination IP 5 10 100
>> User Configuration: source IP 100 5 0
>> Knowledge Base: source IP 12 1 0
sensor#
 

show begin

show コマンドの出力を検索するには、EXEC モードで show begin コマンドを使用します。このコマンドは、指定された正規表現を含む最初の行で show コマンドの出力を開始します。

show [configuration | events | settings | tech-support] | begin regular-expression

 
構文の説明

|

縦棒は、出力処理指定が続くことを意味します。

regular-expression

show コマンド出力に存在する任意の正規表現。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

4.0(2)

show コマンドの begin 拡張が追加されました。

5.1(1)

tech-support オプションが追加されました。

 
使用上のガイドライン

regular-expression 引数は、大文字と小文字が区別され、複雑な一致要件を指定することが可能です。

次の例は、正規表現「ip」から始まる出力を示します。

sensor# show configuration | begin ip
host-ip 172.21.172.25/8,172.21.172.1
host-name sensor
access-list 0.0.0.0/0
login-banner-text This message will be displayed on user login.
exit
time-zone-settings
offset -360
standard-time-zone-name CST
exit
exit
! ------------------------------
service interface
exit
! ------------------------------
service logger
exit
! ------------------------------
service network-access
user-profiles mona
enable-password foobar
exit
exit
! ------------------------------
service notification
--MORE--
 

 
関連コマンド

コマンド
説明

more begin

more コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。

more exclude

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

more include

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

show exclude

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

show include

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

show clock

システム クロックを表示するには、EXEC モードで show clock コマンドを使用します。

show clock [detail]

 
構文の説明

detail

(任意)クロック ソース(NTP またはシステム)および現行のサマータイム設定(設定されている場合)を示します。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

システム クロックは、時刻が信頼できる(正確であると信じられる)かどうかを示す「信頼性」フラグを保持しています。システム クロックがタイミング ソースによって設定されている場合は、フラグを設定します。 表 2-2 に、保証フラグを示します。

 

表 2-2 保証フラグ

記号
説明

*

時刻は信頼できません。

(空白)

時刻は信頼できます。

.

時刻は信頼できますが、NTP と同期していません。

次の例は、設定され、同期化された NTP を示します。

sensor# show clock detail
12:30:02 CST Tues Dec 19 2011
Time source is NTP
Summer time starts 03:00:00 CDT Sun Apr 7 2011
Summer time ends 01:00:00 CST Sun Oct 27 2011
sensor#
 

次の例は、時刻源が設定されていないことを示します。

sensor# show clock
*12:30:02 EST Tues Dec 19 2011
sensor#
 

次の例は、時刻源が設定されていないことを示します。

sensor# show clock detail
*12:30:02 CST Tues Dec 19 2011
No time source
Summer time starts 02:00:00 CST Sun Apr 7 2011
Summer time ends 02:00:00 CDT Sun Oct 27 2011
 

show configuration

more コマンドの more current-config コマンドを参照してください。

 
コマンド履歴

リリース
変更内容

4.0(2)

このコマンドが追加されました。

show events

ローカル イベント ログの内容を表示するには、EXEC モードで show events コマンドを使用します。

show events [{ alert [ informational ] [ low ] [ medium ] [ high ] [ include-traits traits ] [ exclude-traits traits ] [ min-threat-rating min-rr ] [ max-threat-rating max-rr | error [ warning ] [ error ] [ fatal ] | NAC | status }] [ hh:mm:ss [ month day [ year ]] | past hh:mm:ss ]

 
構文の説明

alert

アラートを表示します。侵入攻撃が行われている、または試みられた可能性のある動作を通知します。アラート イベントは、IPS シグニチャがネットワーク アクティビティでトリガーされると、常に分析エンジンによって生成されます。レベル(情報、低、中、高)が選択されていない場合、すべてのアラート イベントが表示されます。

informational

情報アラートを指定します。

low

低レベルのアラートを指定します。

medium

中レベルのアラートを指定します。

high

高レベルのアラートを指定します。

include-traits

指定された traits のあるアラートを表示します。

exclude-traits

指定された traits のあるアラートを表示しません。

traits

10 進数(0 ~ 15)での特性ビット位置。

min-threat-rating

最小の脅威レーティングを表示するように指定します。

min-rr

この値以上の脅威レーティングを持つイベントを表示します。有効な範囲は 0 ~ 100 です。デフォルトは 0 です。

max-threat-rating

この値以下の脅威レーティングを持つイベントを表示します。有効な範囲は 0 ~ 100 です。デフォルト値は 100 です。

max-rr

最大の脅威レーティングを表示するように指定します。

error

エラー イベントを表示します。エラー イベントは、エラー状態が検出されたときに、サービスによって生成されます。レベル(警告、エラー、または重大)が選択されていない場合、すべてのエラー イベントが表示されます。

warning

警告レベルのエラーを指定します。

error

エラーレベルのエラーを指定します。

fatal

重大レベルのエラーを指定します。

NAC

ARC 要求(ブロック要求)を表示します。

が表示されます。

status

ステータス イベントを表示します。

hh:mm:ss

時(24 時形式)、分、および秒形式の開始時間。

day

月の開始日(日)。

month

開始月(月の名前)。

year

開始年(省略なし)。

past

今までに開始したイベントを表示します。 hh: mm: ss に表示を開始する過去の時間を指定します。

 
デフォルト

デフォルト値については、構文の説明の表を参照してください。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

4.0(2)

複数のエラー イベント レベルを同時に選択できる機能が追加されました。

4.1(1)

include-traits exclude-traits 、および past オプションが追加されました。

6.0(2)

min-threat-rating および max-threat-rating オプションが追加されました。

 
使用上のガイドライン

show events コマンドは、要求された開始時刻から、要求されたイベントの種類を表示します。開始時刻を入力しないと、現在の時刻に始まる、選択されたタイプのイベントが表示されます。イベントの種類が入力されない場合、すべてのイベントが表示されます。イベントは、ライブ フィードとして表示されます。Ctrl+C を押すと、ライブ フィードをキャンセルできます。

show events コマンドで正規表現 | include shunInfo を使用すると、イベントのソース アドレスなどのブロッキング情報を表示できます。


) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。


次の例は、2011 年 7 月 25 日 午前 10 時に開始したブロック要求を示します。

sensor# show events NAC 10:00:00 Jul 25 2011
 

次の例は、現行時間に開始するエラーおよび重大エラー メッセージを示します。

sensor# show events error fatal error
 

次の例は、2011 年 7 月 25 日 午前 10 時に開始したすべてのイベントを示します。

sensor# show events 10:00:00 Jul 25 2011
 

次の例は、過去 30 秒に開始したすべてのイベントを示します。

sensor# show events past 00:00:30
 

次の出力は、XML コンテンツから取得されます。

evAlert: eventId=1025376040313262350 severity=high
originator:
deviceName: sensor1
appName: sensorApp
time: 2011/07/30 18:24:18 2011/07/30 12:24:18 CST
signature: sigId=4500 subSigId=0 version=1.0 IOS Embedded SNMP Community Names
participants:
attack:
attacker: proxy=false
addr: 132.206.27.3
port: 61476
victim:
addr: 132.202.9.254
port: 161
protocol: udp
 

show exclude

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除するには、EXEC モードで show exclude コマンドを使用します。

show [configuration | events | settings | tech-support] | exclude regular-expression

 
構文の説明

|

縦棒は、出力処理指定が続くことを意味します。

regular-expression

show コマンド出力で検出される任意の正規表現。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

4.0(2)

show コマンドの exclude 拡張が追加されました。

5.1(1)

tech-support オプションが追加されました。

 
使用上のガイドライン

regular-expression 引数は、大文字と小文字が区別され、複雑な一致要件を指定することが可能です。

次の例は、正規表現「ip」を排除した出力を示します。

sensor# show configuration | exclude ip
! ------------------------------
! Current configuration last modified Mon May 20 10:05:26 2013
! ------------------------------
! Version 7.2(1)
! Host:
! Realm Keys key1.0
! Signature Definition:
! Signature Update S697.0 2013-02-15
! ------------------------------
service interface
physical-interfaces GigabitEthernet0/0
admin-state enabled
subinterface-type inline-vlan-pair
subinterface 1
vlan1 901
vlan2 902
exit
subinterface 2
vlan1 903
vlan2 904
exit
subinterface 3
vlan1 905
vlan2 906
exit
subinterface 4
vlan1 907
vlan2 908
exit
exit
exit
exit
! ------------------------------
service authentication
exit
! ------------------------------
service event-action-rules rules0
exit
! ------------------------------
service host
network-settings
host-name q4360-159
telnet-option enabled
access-list 0.0.0.0/0
dns-primary-server disabled
exit
exit
! ------------------------------
service logger
exit
! ------------------------------
service network-access
exit
! ------------------------------
service notification
exit
! ------------------------------
service signature-definition sig0
signatures 1000 0
event-action produce-alert
exit
status
enabled true
retired false
exit
exit
exit
! ------------------------------
service signature-definition sig1
signatures 3401 0
engine string-tcp
event-action produce-alert
exit
status
enabled true
retired false
exit
exit
signatures 3401 1
engine string-tcp
event-action produce-alert
exit
status
enabled true
retired false
exit
exit
signatures 5161 0
engine service-http
event-action produce-alert
exit
status
enabled true
retired false
exit
exit
exit
! ------------------------------
service ssh-known-hosts
exit
! ------------------------------
service trusted-certificates
exit
! ------------------------------
service web-server
exit
! ------------------------------
service anomaly-detection ad0
exit
! ------------------------------
service external-product-interface
exit
! ------------------------------
service health-monitor
exit
! ------------------------------
service global-correlation
exit
! ------------------------------
service aaa
exit
! ------------------------------
service analysis-engine
virtual-sensor vs0
physical-interface GigabitEthernet0/0 subinterface-number 1
exit
virtual-sensor vs1
signature-definition sig1
physical-interface GigabitEthernet0/0 subinterface-number 2
exit
virtual-sensor vs2
signature-definition sig1
physical-interface GigabitEthernet0/0 subinterface-number 3
exit
virtual-sensor vs3
signature-definition sig1
physical-interface GigabitEthernet0/0 subinterface-number 4
exit
exit
sensor#
 

 
関連コマンド

コマンド
説明

more begin

more コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。

more exclude

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

more include

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

show begin

特定の show コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。

show include

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

show health

IPS のヘルスおよびセキュリティ ステータスを表示するには、EXEC モードで show health コマンドを使用します。

show health

 
構文の説明

このコマンドには引数またはキーワードはありません。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

6.1(1)

このコマンドが導入されました。

7.0(1)

グローバル相関とネットワーク参加が追加されました。

 
使用上のガイドライン

このコマンドを使用して、IPS によって追跡されたヘルス メトリックのヘルス ステータス、および設定された各仮想センサーのセキュリティ ステータスを表示します。センサーがアップ状態になると、IPS が完全に初期化されるまで、一部のヘルス メトリックのステータスが赤になるのは正常な動作です。また、初期化が完了するまでセキュリティ ステータスは表示されません。


) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。


次の例は、IPS ヘルスのステータスを示します。

sensor# show health
Overall Health Status Green
Health Status for Failed Applications Green
Health Status for Signature Updates Green
Health Status for License Key Expiration Green
Health Status for Running in Bypass Mode Green
Health Status for Interfaces Being Down Green
Health Status for the Inspection Load Green
Health Status for the Time Since Last Event Retrieval Green
Health Status for the Number of Missed Packets Green
Health Status for the Memory Usage Not Enabled
Health Status for Global Correlation Green
Health Status for Network Participation Not Enabled
Security Status for Virtual Sensor vs0 Green
sensor#

show history

現行のメニューで入力したコマンドのリストを表示するには、すべてのモードで show history コマンドを使用します。

show history

 
構文の説明

このコマンドには引数またはキーワードはありません。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

すべてのモード

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

show history コマンドでは、現行メニューで入力したコマンドの記録が表示されます。履歴バッファに記録されるコマンド数は 50 です。

次の例は、show history コマンドで表示されるコマンドの記録を示します。

sensor# show history
show users
show events
sensor#
 

show include

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示するには、EXEC モードで show include コマンドを使用します。

show [configuration | events | settings | tech-support] | include regular-expression

 
構文の説明

|

縦棒は、出力処理指定が続くことを意味します。

regular-expression

show コマンド出力に存在する任意の正規表現。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

4.0(2)

show コマンドの include 拡張が追加されました。

5.1(1)

tech-support オプションが追加されました。

 
使用上のガイドライン

regular-expression 引数は、大文字と小文字が区別され、複雑な一致要件を指定することが可能です。

show settings コマンドの出力では、照合要求のヘッダー情報も表示され、照合コンテキストを判別できます。

次の例は、正規表現「ip」を含む行のみの出力を示します。

sensor# show configuration | include ip
host-ip 172.21.172.25/8,172.21.172.1
sensor#
 

 
関連コマンド

コマンド
説明

more begin

more コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。

more exclude

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

more include

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

show begin

特定の show コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。

show exclude

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

show inspection-load

現在の時刻のタイムスタンプと最新の検査負荷割合を表示するには、 show inspection-load コマンドを使用します。 history キーワードを使用して、検査負荷割合の履歴値の 3 つのヒストグラムを表示します。

show inspection-load [history]

 
構文の説明

history

(任意)検査負荷割合の履歴値のタイムスタンプと 3 つのヒストグラムを表示します。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

7.1(3)

show コマンドの inspection-load 拡張が追加されました。

 
使用上のガイドライン

show inspection-load コマンドを実行すると、現在の時刻のタイムスタンプと最新の検査負荷割合が表示されます。 show inspection-load history コマンドを実行すると、検査負荷割合の履歴値のタイムスタンプと 3 つのヒストグラムが表示されます。最初のヒストグラムは、直前の 6 分間の負荷を 10 秒間隔で表示します。2 番目のヒストグラムは直前の 60 分間の分単位の最大負荷レベルと平均負荷を表示します。3 番目のヒストグラムは、直前の 72 時間の時間単位の平均および最大負荷レベルを表示します。

次の例は、タイムスタンプ、最後の検査負荷割合、および 3 つのヒストグラムを示します。

sensor# show inspection-load
 
sensor 08:18:13 PM Friday Jan 15 2011 UTC
 
Inspection Load Percentage = 1
 
 
 
sensor# show inspection-load history
 
sensor 08:18:13 PM Friday Jan 15 2011 UTC
 
Inspection Load Percentage = 65
 
 
 
100
 
90
 
80
 
70 * *
 
60 * * *** * ****** ** * * * * * * ** ** *
 
50 * * *** * ****** ** * * * * * * ** ** *
 
40 * *** ********************* * * * * ** * * * * * ***********
 
30 ********************************* ************ *************
 
20 ************************************************************
 
10 ************************************************************
 
0.........1.........2.........3.........4.........5.........6
 
 
 
Inspection Load Percentage (last 6 minutes at 10 second intervals)
 
 
 
100
 
90
 
80
 
70
 
60 * * *** * ****** ** * * * * * * ** ** *
 
50 * * *** * ****** ** * * * * * * ** ** *
 
40 * *** *********####******** * * * * ** * * * * * ***********
 
30 ####**###*###*######**##****#*#*# *********#*# #*##****#####
 
20 ############################################################
 
10 ############################################################
 
0....5....1....1....2....2....3....3....4....4....5....5....6
 
0 5 0 5 0 5 0 5 0 5 0
 
 
 
Inspection Load Percentage (last 60 minutes) *=maximum #=average
 
 
 
100
 
90
 
80
 
70
 
60 * * *** * ****** ** * * * * * * ** ** * * * *** *
 
50 * * *** * ****** ** * * * * * * ** ** * * * *** *
 
40 * *** ********************* * * * * ** * * * * * *********** * * ***
 
30 ******###**#**######**##****#*#*# *********#*# #*##****##**# #*#*###
 
20 #####################################################################
 
10 #####################################################################
 
0....5....1....1....2....2....3....3....4....4....5....5....6....6....7.
 
0 5 0 5 0 5 0 5 0 5 0 5 0
 
Inspection Load Percentage (last 72 hours) *=maximum #=average

show interfaces

すべてのシステム インターフェイスの統計情報を表示するには、EXEC モードで show interfaces コマンドを使用します。このコマンドは、 show interfaces management show interfaces fastethernet 、および show interface gigabitethernet を表示します。

show interfaces [clear] [ brief ]

show interfaces {FastEthernet | GigabitEthernet | Management | PortChannel} [ slot/port ]

 
構文の説明

clear

(任意)診断をクリアします。

brief

(任意)各インターフェイスのユーザビリティ ステータスの概要を表示します。

FastEthernet

FastEthernet インターフェイスの統計情報を表示します。

GigabitEthernet

GigabitEthernet インターフェイスの統計情報を表示します。

Management

Management インターフェイスの統計情報を表示します。

の出力で表示されます。

PortChannel

PortChannel インターフェイスの統計情報を表示します。

slot/port

スロット情報およびポート情報については、該当するハードウェア マニュアルを参照してください。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

5.0(1)

show interfaces group show interfaces sensing 、および show interfaces command-control コマンドが削除されました。 show interfaces FastEthernet show interfaces GigabitEthernet 、および show interfaces Management コマンドが追加されました。

6.0(1)

キーワード brief が追加されました。

7.1(1)

Portchannel コマンドが追加されました。

 
使用上のガイドライン

このコマンドは、コマンド制御およびセンシング インターフェイスに関する統計情報を表示します。 clear オプションで統計情報をクリアしてリセットすることもできます。

インターフェイスの種類を指定してこのコマンドを使用すると、その種類のすべてのインターフェイスに関する統計情報が表示されます。スロット番号やポート番号を追加すると、その特定のインターフェイスに関する統計情報が表示されます。

エントリの横にある * は、そのインターフェイスがコマンドおよび制御インターフェイスであることを示します。


) IPS 4510 および IPS 4520 の show interface コマンドの出力には、サイズ不足パケット総数または送信 FIFO オーバーラン総数が含まれません。


次の例は、インターフェイス統計情報を示します。

sensor# show interfaces
Interface Statistics
Total Packets Received = 0
Total Bytes Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/0
Media Type = TX
Missed Packet Percentage = 0
Inline Mode = Unpaired
Pair Status = N/A
Link Status = Down
Link Speed = N/A
Link Duplex = N/A
Total Packets Received = 0
Total Bytes Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
--MORE--
 

次の例は、インターフェイス統計情報の概要出力を示します。

sensor# show interfaces brief
CC Interface Sensing State Link Inline Mode Pair Status
GigabitEthernet0/0 Enabled Up Unpaired N/A
* GigabitEthernet0/1 Enabled Up Unpaired N/A
GigabitEthernet2/1 Disabled Up Subdivided N/A
sensor#

show interfaces-history

すべてのシステム インターフェイスの履歴統計情報を表示するには、EXEC モードで show interfaces-history コマンドを使用します。各インターフェイスの履歴情報は、60 秒単位で 3 日間保持されます。show interfaces-history {FastEthernet | GigabitEthernet | Management | PortChannel} [traffic-by-hour | traffic-by-minute] コマンドを使用して、特定のインターフェイスの統計情報を表示します。

show interfaces-history [traffic-by-hour | traffic-by-minute] past HH:MM

show interfaces-history {FastEthernet | GigabitEthernet | Management | PortChannel} [traffic-by-hour | traffic-by-minute] past HH:MM

 
構文の説明

traffic-by-hour

時間単位でインターフェイス トラフィック履歴を表示します。

traffic-by-minute

分単位でインターフェイス トラフィック履歴を表示します。

past

履歴インターフェイス トラフィック情報を表示します。

HH:MM

過去に遡って、トラフィックの表示を開始する時間を指定します。HH に指定できる範囲は 0 ~ 72 です。MM に指定できる範囲は 0 ~ 59 です。最小値は 00:01 で、最大値は 72:00 です。

FastEthernet

FastEthernet インターフェイスの統計情報を表示します。

GigabitEthernet

GigabitEthernet インターフェイスの統計情報を表示します。

Management

Management インターフェイスの統計情報を表示します。

の出力で表示されます。

PortChannel

PortChannel インターフェイスの統計情報を表示します。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

各レコードの形式は次のとおりです。

Total packets received

Total bytes received

FIFO overruns

Receive errors

Received Mbps

Missed packet percentage

Average load

Peak load


) 履歴インターフェイス機能をサポートするために、ヘルス モニタリングをイネーブルにしておく必要があります。



) 過去 72 時間の各インターフェイスの履歴データは、show tech-support コマンドにも含まれています。



) IPS 4510 および IPS 4520 の show interface コマンドの出力には、サイズ不足パケット総数または送信 FIFO オーバーラン総数が含まれません。


次の例は、履歴インターフェイス統計情報を示します。

sensor# show interfaces-history traffic-by-hour past 02:15
GigabitEthernet0/0
Time Packets Received Bytes Received Mbps MPP
FIFO Overruns Receive Errors Avg Load Peak Load
11:30:31 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
10:27:32 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
GigabitEthernet0/1
Time Packets Received Bytes Received Mbps MPP
FIFO Overruns Receive Errors Avg Load Peak Load
11:30:31 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
10:27:32 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
GigabitEthernet0/2
Time Packets Received Bytes Received Mbps MPP
FIFO Overruns Receive Errors Avg Load Peak Load
11:30:31 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
10:27:32 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
GigabitEthernet0/3
Time Packets Received Bytes Received Mbps MPP
FIFO Overruns Receive Errors Avg Load Peak Load
11:30:31 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
10:27:32 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
Management0/0
Time Packets Received Bytes Received Mbps MPP
FIFO Overruns Receive Errors Avg Load Peak Load
11:30:31 UTC Tue Mar 05 2013 31071600 3240924703 0 0
0 0 0 0
10:27:32 UTC Tue Mar 05 2013 30859941 3216904786 0 0
0 0 0 0
--MORE--
 
sensor# show interfaces-history traffic-by-minute past 00:45
GigabitEthernet0/0
Time Packets Received Bytes Received Mbps MPP
FIFO Overruns Receive Errors Avg Load Peak Load
12:27:49 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:26:45 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:25:48 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:24:42 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:23:37 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:22:30 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:21:31 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:20:29 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:19:25 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:18:18 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:17:12 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:16:07 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:15:00 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:13:54 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:12:49 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:11:43 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:10:36 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:09:30 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:08:24 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:07:25 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:06:23 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
12:05:25 UTC Tue Mar 05 2013 0 0 0 0
0 0 0 0
Multicast Packets Transmitted = 0
sensor#
 

次の例は、特定のインターフェイスの履歴インターフェイス統計情報を示します。

sensor# show interfaces-history GigabitEthernet0/0 traffic-by-minute past 00:05
GigabitEthernet0/0
Time Packets Received Bytes Received Mbps MPP
FIFO Overruns Receive Errors Avg Load Peak Load
13:34:38 UTC Thu Mar 07 2013 0 0 0 00
0 0 0
13:33:35 UTC Thu Mar 07 2013 0 0 0 00
0 0 0
13:32:32 UTC Thu Mar 07 2013 0 0 0 00
0 0 0
13:31:27 UTC Thu Mar 07 2013 0 0 0 00
0 0 0
13:30:25 UTC Thu Mar 07 2013 0 0 0 00
0 0 0
sensor#
 

show inventory

PEP 情報を表示するには、EXEC モードで show inventory コマンドを使用します。このコマンドは、センサーの PID、VID および SN で構成された UDI 情報を表示します。FRUable 部分(たとえば、SFP/SFP+ モジュール、Regex アクセラレータ カード、および電源)も表示されます。

show inventory

 
構文の説明

このコマンドには引数またはキーワードはありません。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

5.0(1)

このコマンドが導入されました。

7.1(5)

このコマンドは、SFP/SFP+ モジュールおよび Regex アクセラレータ カードを表示するように変更されました。

7.2(1)

このコマンドは、IPS 4300 シリーズ センサーの電源を表示するように変更されました。

 
使用上のガイドライン

これは、Cisco PEP ポリシーで必要となる show inventory Cisco IOS コマンドと同じです。 show inventory の出力は、ハードウェアによって異なります。

次の例は、 show inventory コマンドの出力例を示します。

sensor# show inventory
 
Name: "Chassis", DESCR: "IPS 4360 with SW, 8 GE data + 1 GE mgmt"
PID: IPS-4360 , VID: V00, SN: FCH1504V04T
 
Name: "RegexAccelerator/0", DESCR: "LCPX8640 (humphrey)"
PID: PREAKNESS 2G , VID: 335, SN: LXXXXXYYYY
sensor#
 
sensor# show inventory
NAME: "Chassis", DESCR: "Chasis-4240"
PID: 4240-515E , VID: V04, SN: 639156
 
NAME: "slot 0", DESCR: "4 port I/O card"
PID: 4240-4IOE , VID: V04, SN: 4356785466
sensor#
 
sensor# show inventory
 
Name: "Module", DESCR: "IPS 4510- 6 Gig E, 4 10 Gig E SFP+"
PID: IPS-4510-INC-K9 , VID: V01, SN: JAF1546CECE
 
Name: "Chassis", DESCR: "ASA 5585-X"
PID: ASA5585 , VID: V02, SN: JMX1552705F
 
Name: "power supply 0", DESCR: "ASA 5585-X AC Power Supply"
PID: ASA5585-PWR-AC , VID: V03, SN: POG1540001Z
 
Name: "power supply 1", DESCR: "ASA 5585-X AC Power Supply"
PID: ASA5585-PWR-AC , VID: V03, SN: POG1540000B
 
Name: "RegexAccelerator/0", DESCR: "LCPX5110 (LCPX5110)"
PID: LCPX5110 , VID: 335, SN: SL14200223
 
Name: "TenGigabitEthernet0/0", DESCR: "10G Based-SR"
PID: SFP-10G-SR , VID: V03, SN: AGD152740KZ
 
Name: "TenGigabitEthernet0/1", DESCR: "10G Based-SR"
PID: SFP-10G-SR , VID: V03, SN: AGD15264272
 
Name: "TenGigabitEthernet0/2", DESCR: "1000Based-SX"
PID: FTLF8519P2BCL-CS , VID: 000, SN: FNS110210C1
 
sensor# show inventory
Name: "Chassis", DESCR: "IPS 4360 with SW, 8 GE Data + 1 GE Mgmt"
PID: IPS-4360 , VID: V01 , SN: FGL162740J6
 
Name: "RegexAccelerator/0", DESCR: "LCPX8640 (humphrey)"
PID: FCH162077NK , VID: 33554537, SN: LXXXXXYYYY
 
Name: "power supply 1", DESCR: "IPS4360 AC Power Supply "
PID: IPS-4360-PWR-AC , VID: 0700A, SN: 25Y1Y8
 
Name: "power supply 2", DESCR: "IPS4360 AC Power Supply "
PID: IPS-4360-PWR-AC , VID: 0700A, SN: 25Y1Y9
 
sensor# show inventory
Name: "power supply 1", DESCR: "IPS-4345-K9 AC Power Supply "
PID: IPS-4345-PWR-AC , VID: A1, SN: 000783
 

show os-identification

センサーが受動分析によって学習した IP アドレスと関連付けられた OS ID を表示するには、EXEC モードで how os-identification コマンドを使用します。

show os-identification [ name ] learned [ ip-address ]

 
構文の説明

name

(任意)センサーで設定する仮想センサーの名前。表示操作は、特定された仮想センサーに関連付けられた学習済みアドレスに制限されます。

learned

学習された IP アドレスを指定します。

ip-address

(任意)クエリ対象の IP アドレス。センサーは、指定された IP アドレスにマッピングされた OS ID をレポートします。

 
デフォルト

このコマンドにデフォルトまたは値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

6.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

IP アドレスと仮想センサーはオプションです。IP アドレスを指定すると、指定した IP アドレスの OS ID だけが表示されます。IP アドレスを指定しないと、ラーニングした OS ID がすべて表示されます。

仮想センサーを指定すると、指定した仮想センサーの OS ID だけが表示されます。仮想センサーを指定しないと、すべての仮想センサーの学習した OS ID が表示されます。仮想センサーを指定せずに IP アドレスを指定した場合、要求された IP アドレスが含まれるすべての仮想センサーが出力に表示されます。

次の例は、特定の IP アドレスの OS ID を表示します。

sensor# show os-identification learned 10.1.1.12
Virtual Sensor vs0:
10.1.1.12 windows
 

次の例は、すべての仮想センサーの OS ID を表示します。

sensor# show os-identification learned
Virtual Sensor vs0:
10.1.1.12 windows
Virtual Sensor vs1:
10.1.0.1 unix
10.1.0.2 windows
10.1.0.3 windows
sensor#
 

 
関連コマンド

コマンド
説明

show statistics os-identification

OS ID に関する統計情報を表示します。

clear os-identification

センサーが受動分析によって学習した IP アドレスとの OS ID アソシエーションを削除します。

show privilege

現在の特権レベルを表示するには、EXEC モードで show privilege コマンドを使用します。

show privilege

 
構文の説明

このコマンドには引数またはキーワードはありません。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドを使用して、現行の特権レベルを表示します。特権レベルは、管理者だけが変更できます。詳細については、 username コマンドを参照してください。

次の例は、ユーザの特権を示します。

sensor# show privilege
Current privilege level is viewer
sensor#
 

 
関連コマンド

コマンド
説明

username

ローカル センサーのユーザを作成します。

show settings

現行のサブモードに含まれるコンフィギュレーションの内容を表示するには、 service コマンド モードで show settings コマンドを使用します。

show settings [terse]

 
構文の説明

terse

出力を簡潔に表示します。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

すべて service コマンド モード。

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア(最上位コマンド ツリーの表示のみ)

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

4.0(2)

terse キーワードが追加されました。

 
使用上のガイドライン

このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。

次の例は、ARC コンフィギュレーション モードでの show settings コマンドの出力を示します。


) Network Access Controller は Attack Response Controller(ARC)と呼ばれるようになりました。サービスの名前は新しくなりましたが、Cisco IPS 6.2 以降の CLI には変更が反映されていません。CLI を使用すると、引き続き network-access および nac が表示されます。


sensor# configure terminal
sensor(config)# service network-access
sensor(config-net)# show settings
general
-----------------------------------------------
log-all-block-events-and-errors: true <defaulted>
enable-nvram-write: false <defaulted>
enable-acl-logging: false <defaulted>
allow-sensor-block: true default: false
block-enable: true <defaulted>
block-max-entries: 250 <defaulted>
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-networks (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
block-networks (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
user-profiles (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
cat6k-devices (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
router-devices (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
firewall-devices (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
sensor(config-net)#
 

次の例は、シグニチャ定義サブモードでの show settings terse の出力を示します。

sensor# configure terminal
sensor(config)# service signature-definition sig0
sensor(config-sig)# show settings terse
variables (min: 0, max: 256, current: 2)
-----------------------------------------------
<protected entry>
variable-name: WEBPORTS
variable-name: user2
-----------------------------------------------
application-policy
-----------------------------------------------
http-policy
-----------------------------------------------
http-enable: false <defaulted>
max-outstanding-http-requests-per-connection: 10 <defaulted>
aic-web-ports: 80-80,3128-3128,8000-8000,8010-8010,8080-8080,8888-8888,
24326-24326 <defaulted>
-----------------------------------------------
ftp-enable: true default: false
-----------------------------------------------
fragment-reassembly
-----------------------------------------------
ip-reassemble-mode: nt <defaulted>
-----------------------------------------------
stream-reassembly
-----------------------------------------------
tcp-3-way-handshake-required: true <defaulted>
tcp-reassembly-mode: strict <defaulted>
--MORE--
 

次の例は、フィルタ処理された show settings の出力を示します。このコマンドは、HTTP が含まれる行のみを出力します。

sensor# configure terminal
sensor(config)# service signature-definition sig0
sensor(config-sig)# show settings | include HTTP
Searching:
sig-string-info: Bagle.Q HTTP propagation (jpeg) <defaulted>
sig-string-info: Bagle.Q HTTP propagation (php) <defaulted>
sig-string-info: GET ftp://@@@:@@@/pub HTTP/1.0 <defaulted>
sig-name: IMail HTTP Get Buffer Overflow <defaulted>
sig-string-info: GET shellcode HTTP/1.0 <defaulted>
sig-string-info: ..%c0%af..*HTTP <defaulted>
sig-string-info: ..%c1%9c..*HTTP <defaulted>
sig-name: IOS HTTP Unauth Command Execution <defaulted>
sig-name: Null Byte In HTTP Request <defaulted>
sig-name: HTTP tunneling <defaulted>
sig-name: HTTP tunneling <defaulted>
sig-name: HTTP tunneling <defaulted>
sig-name: HTTP tunneling <defaulted>
sig-name: HTTP CONNECT Tunnel <defaulted>
sig-string-info: CONNECT.*HTTP/ <defaulted>
sig-name: HTTP 1.1 Chunked Encoding Transfer <defaulted>
sig-string-info: INDEX / HTTP <defaulted>
sig-name: Long HTTP Request <defaulted>
sig-string-info: GET \x3c400+ chars>? HTTP/1.0 <defaulted>
sig-name: Long HTTP Request <defaulted>
sig-string-info: GET ......?\x3c400+ chars> HTTP/1.0 <defaulted>
sig-string-info: /mod_ssl:error:HTTP-request <defaulted>
sig-name: Dot Dot Slash in HTTP Arguments <defaulted>
sig-name: HTTPBench Information Disclosure <defaulted>
--MORE--
 

show ssh authorized-keys

現行ユーザの公開 RSA キーを表示するには、EXEC モードで show ssh authorized-keys コマンドを使用します。

show ssh authorized-keys [id]

 
構文の説明

id

認証キーを一意に特定する 1 ~ 256 文字の文字列。数字、「_」、および「-」は有効ですが、スペースと「?」は使用できません。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

オプションの ID を指定せずにこのコマンドを実行すると、システムで設定済みの ID のリストが表示されます。特定の ID を指定してコマンドを実行すると、その ID に関連付けられたキーが表示されます。


) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。


次の例は、SSH 認証キーのリストを表示します。

sensor# show ssh authorized-keys
system1
system2
system3
system4
 

次の例は、system1 の SSH キーを表示します。

sensor# show ssh authorized-keys system1
 
1023 37 660222729556609833380897067163729433570828686860008172017802434921804214207813035920829509
101701358480525039993932112503147452768378620911189986653716089813147922086044739911341369
642870682319361928148521864094557416306138786468335115835910404940213136954353396163449793
49705016792583146548622146467421997057
sensor#
 

 
関連コマンド

コマンド
説明

ssh authorized-key

現行ユーザに公開キーを追加し、クライアントが RSA 認証を使用してローカル SSH サーバにログインできるようにします。

show ssh server-key

SSH サーバのホスト キーとホストキーのフィンガープリントを表示するには、EXEC モードで show ssh server-key を使用します。

show ssh server-key

 
構文の説明

このコマンドには引数またはキーワードはありません。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

7.2(1)

SSHv2 が、このコマンドに追加されました。

 
使用上のガイドライン

このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。

次の例は、show ssh server-key コマンドの出力を示します。

sensor# show ssh server-key
RSA1 Key: 2048 35 28475571458358427179564144812645251624144286738483645319755783
71108591957884830186419167068171841119953372611231664567580531300713299471020616
21266071498322349083422687195890532868364107871521332162937365418348566385716395
77782345802844389767566973918553643456413731284657407109662096335108005478999063
74981307696593485564543294225942455096655327026973116355896561828782642545582705
22428196801338183854808005938329720150491359755817287379363432762952303861462787
80876532378243175906480003325166320494885252354341504797792430668216744564637063
205422759784035755861415797549261068816265104496491170668364680270806335959
RSA1 Bubble Babble: xufav-tolyf-lelet-tutec-getup-gizes-napym-bivab-vidux
 
RSA Key: AAAAB3NzaC1yc2EAAAABIwAAAQEA3EZLPNXkLqTjSnAeVas2bz4yF7SnmO8uks0qAdlscuH
Sqf+gWgsXtvzMoZyaI4GAqpc5afRhs8j3Zap++1rYmPbi2jiRgUHuk79w5/sLUs8LSKg9ah6TQXcRZrR
zjdLK9Tp799dxjyvPSnMYZc+bQZh0S91aZj+7/hpNjims/A6VsGYts/e16nYtd8K2/Uwj0rfpHXCMLYr
/eABLIP/7GhGM7TnBh3WKNdWbn6CZ/yepme+b3W3XGsbM3Pjr5TlgPJ58nfzJdzXHbM9E/y6vmlYbVCB
l7elYwdoI7o6fdi6SiLHCqiLW4yA7XD0XJCsfdtEZZkd0K7SoKXnDkDk6zw==
RSA Bubble Babble: xilan-dubet-zosil-sokem-sageh-purof-lodub-sykok-dupob-nymus-m
uxix
sensor#
 

 
関連コマンド

コマンド
説明

ssh generate-key

センサーの SSH サーバが使用するサーバ ホスト キーを変更します。

show ssh host-keys

センサーが接続に使用できるリモート SSH サーバの公開キーを含む既知のホスト テーブルを表示するには、EXEC モードで show ssh host-keys を使用します。

show ssh host-keys [ipaddress]

 
構文の説明

ipaddress

ピリオドで区切られた 4 オクテットの 32 ビット アドレス。X.X.X.X、ここで X は 0 ~ 255。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

4.1(1)

コマンドへの Bubble Babble および MD5 の出力が追加されました。

7.2(1)

MD5 の出力は、このコマンドから削除されました。

 
使用上のガイドライン

オプションの IP アドレス ID を指定せずにこのコマンドを実行すると、公開キーで設定済みの IP アドレスのリストが表示されます。特定の IP アドレスを指定してコマンドを実行すると、その IP アドレスに関連付けられたキーが表示されます。


) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。


次の例は、 show ssh host-keys コマンドの出力を示します。

sensor# show ssh host-keys 10.1.2.3
AAAAB3NzaC1yc2EAAAABIwAAAQEAs8qugbu5Nw2cgKtRhhdQH+/tsK3WW34nulIpXvwV19O4N8Cv1dy9
kjgyS5o55FmlMth+PJm/EnFQnxQbFoyQLgVWup7cGbAogu/Qf0p9CPun3X9fLK6crnAxNP+mnZS4Pr1q
A+exnq2Xeepv1Xg24+QRRA+OSPFuqDeUi/WXq00RQoI24WuX/fAoS+0qRcwCBlRGNhAitLVoJWfKneud
/UaBytU7Rs9w0p/jqSxDPJOScmQ5tvehy26Ij80lL2qHAWG4sKXuJy41tAI/RLZqzsrVHLZnP4qBOLf5
rfOfkVIkZ0IelaETbZAdHvXveUla+wTmOLnZ9+trattGA5HnWQ==
RSA Bubble Babble: xoteh-tozyl-nuzyr-docic-kifuf-bubem-homoh-bimil-nidyf-cyrog-b
ixex
sensor#
 

 
関連コマンド

コマンド
説明

ssh host-key

既知ホストのテーブルにエントリを追加します。

show statistics

要求した統計情報を表示するには、EXEC モードで show statistics コマンドを使用します。

show statistics {analysis-engine | anomaly-detection | authentication | denied-attackers | event-server | event-store | external-product-interface | global-correlation | host | logger | network-access | notification | os-identification | sdee-server | transaction-server | virtual-sensor | web-server } [ clear ]

show statistics anomaly-detection denied-attackers virtual-sensor 、および os-identification コマンドは、センサーに含まれるすべての仮想センサーに関する統計情報を表示します。オプションの名前を指定すると、その仮想センサーに関する統計情報が表示されます。

show statistics { anomaly-detection | denied-attackers | os-identification | virtual-sensor } [ name ] [ clear ]

 
構文の説明

clear

統計情報が取得された後、統計情報をクリアします。

(注) このオプションは、分析エンジン、異常検出、ホスト、OS ID、またはネットワーク アクセス統計情報には使用できません。

analysis-engine

分析エンジンの統計情報を表示します。

anomaly-detection

異常検出の統計情報を表示します。

authentication

許可および認証の統計情報を表示します。

denied-attackers

拒否する IP アドレスおよび各攻撃者からのパケット数のリストを表示します。

event-server

イベント サーバの統計情報を表示します。

event-store

イベント ストアの統計情報を表示します。

external-product-interface

外部製品のインターフェイス統計情報を表示します。

global-correlation

グローバル相関の統計情報を表示します。

host

ホスト(メイン)統計情報を表示します。

logger

ロガーの統計情報を表示します。

network-access

ARC の統計情報を表示します。

が表示されます。

notification

通知の統計情報を表示します。

os-identification

OS ID の統計情報を表示します。

sdee-server

SDEE サーバの統計情報を表示します。

transaction-server

トランザクションサーバの統計情報を表示します。

web-server

Web サーバの統計情報を表示します。

virtual-sensor

仮想センサーの統計情報を表示します。

name

仮想センサーの論理名。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

5.0(1)

analysis-engine virtual-sensor 、および denied-attackers が追加されました。

6.0(1)

anomaly-detection external-product-interface 、および os-identification が追加されました。

7.0(1)

グローバル相関が追加されました。

 
使用上のガイドライン

このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。

次の例は、認証に関する統計情報を表示します。

sensor# show statistics authentication
General
totalAuthenticationAttempts = 9
failedAuthenticationAttempts = 0
sensor#
 

次の例は、イベントストア統計情報を表示します。

sensor# show statistics event-store
Event store statistics
General information about the event store
The current number of open subscriptions = 1
The number of events lost by subscriptions and queries = 0
The number of queries issued = 1
The number of times the event store circular buffer has wrapped = 0
Number of events of each type currently stored
Debug events = 0
Status events = 129
Log transaction events = 0
Shun request events = 0
Error events, warning = 8
Error events, error = 13
Error events, fatal = 0
Alert events, informational = 0
Alert events, low = 0
Alert events, medium = 0
Alert events, high = 0
sensor#
 

次の例は、ロガー機能統計情報を表示します。

sensor# show statistics logger
The number of Log interprocessor FIFO overruns = 0
The number of syslog messages received = 27
The number of <evError> events written to the event store by severity
Fatal Severity = 0
Error Severity = 13
Warning Severity = 35
TOTAL = 48
The number of log messages written to the message log by severity
Fatal Severity = 0
Error Severity = 13
Warning Severity = 8
Timing Severity = 0
Debug Severity = 0
Unknown Severity = 26
TOTAL = 47
sensor#
 

次の例は、ARC 統計情報を表示します。

sensor# show statistics network-access
Current Configuration
LogAllBlockEventsAndSensors = true
EnableNvramWrite = false
EnableAclLogging = false
AllowSensorBlock = false
BlockMaxEntries = 250
MaxDeviceInterfaces = 250
State
BlockEnable = true
sensor#
 

IPS 4510 および IPS 4520 では、コマンド出力の末尾に、イーサネット コントローラで受信されたパケットの合計数、高負荷の条件でイーサネット コントローラでドロップされたパケットの合計数、およびカスタマー トラフィック パケットおよび内部キープアライブ パケット カウントを含む送信されたパケットの合計数などのイーサネット コントローラの統計情報が表示されます。

sensor# show statistics analysis-engine
Analysis Engine Statistics
Number of seconds since service started = 431157
Processing Load Percentage
Thread 5 sec 1 min 5 min
0 1 1 1
1 1 1 1
2 1 1 1
3 1 1 1
4 1 1 1
5 1 1 1
6 1 1 1
Average 1 1 1
 
The rate of TCP connections tracked per second = 0
The rate of packets per second = 0
The rate of bytes per second = 0
Receiver Statistics
Total number of packets processed since reset = 0
Total number of IP packets processed since reset = 0
Transmitter Statistics
Total number of packets transmitted = 133698
Total number of packets denied = 203
Total number of packets reset = 3
Fragment Reassembly Unit Statistics
Number of fragments currently in FRU = 0
Number of datagrams currently in FRU = 0
TCP Stream Reassembly Unit Statistics
TCP streams currently in the embryonic state = 0
TCP streams currently in the established state = 0
TCP streams currently in the closing state = 0
TCP streams currently in the system = 0
TCP Packets currently queued for reassembly = 0
The Signature Database Statistics.
Total nodes active = 0
TCP nodes keyed on both IP addresses and both ports = 0
UDP nodes keyed on both IP addresses and both ports = 0
IP nodes keyed on both IP addresses = 0
Statistics for Signature Events
Number of SigEvents since reset = 0
Statistics for Actions executed on a SigEvent
Number of Alerts written to the IdsEventStore = 0
Inspection Stats
Inspector active call create delete loadPct
AtomicAdvanced 0 2312 4 4 33
Fixed 0 1659 1606 1606 1
MSRPC_TCP 0 20 4 4 0
MSRPC_UDP 0 1808 1575 1575 0
MultiString 0 145 10 10 2
ServiceDnsUdp 0 1841 3 3 0
ServiceGeneric 0 2016 14 14 1
ServiceHttp 0 2 2 2 51
ServiceNtp 0 3682 3176 3176 0
ServiceP2PTCP 0 21 9 9 0
ServiceRpcUDP 0 1841 3 3 0
ServiceRpcTCP 0 130 9 9 0
ServiceSMBAdvanced 0 139 3 3 0
ServiceSnmp 0 1841 3 3 0
ServiceTNS 0 18 14 14 0
String 0 225 16 16 0
SweepUDP 0 1808 1555 1555 6
SweepTCP 0 576 17 17 0
SweepOtherTcp 0 288 6 6 0
TrojanBO2K 0 261 11 11 0
TrojanUdp 0 1808 1555 1555 0
 
GlobalCorrelationStats
SwVersion = 7.1(4.70)E4
SigVersion = 645.0
DatabaseRecordCount = 0
DatabaseVersion = 0
RuleVersion = 0
ReputationFilterVersion = 0
AlertsWithHit = 0
AlertsWithMiss = 0
AlertsWithModifiedRiskRating = 0
AlertsWithGlobalCorrelationDenyAttacker = 0
AlertsWithGlobalCorrelationDenyPacket = 0
AlertsWithGlobalCorrelationOtherAction = 0
AlertsWithAuditRepDenies = 0
ReputationForcedAlerts = 0
EventStoreInsertTotal = 0
EventStoreInsertWithHit = 0
EventStoreInsertWithMiss = 0
EventStoreDenyFromGlobalCorrelation = 0
EventStoreDenyFromOverride = 0
EventStoreDenyFromOverlap = 0
EventStoreDenyFromOther = 0
ReputationFilterDataSize = 0
ReputationFilterPacketsInput = 0
ReputationFilterRuleMatch = 0
DenyFilterHitsNormal = 0
DenyFilterHitsGlobalCorrelation = 0
SimulatedReputationFilterPacketsInput = 0
SimulatedReputationFilterRuleMatch = 0
SimulatedDenyFilterInsert = 0
SimulatedDenyFilterPacketsInput = 0
SimulatedDenyFilterRuleMatch = 0
TcpDeniesDueToGlobalCorrelation = 0
TcpDeniesDueToOverride = 0
TcpDeniesDueToOverlap = 0
TcpDeniesDueToOther = 0
SimulatedTcpDeniesDueToGlobalCorrelation = 0
SimulatedTcpDeniesDueToOverride = 0
SimulatedTcpDeniesDueToOverlap = 0
SimulatedTcpDeniesDueToOther = 0
LateStageDenyDueToGlobalCorrelation = 0
LateStageDenyDueToOverride = 0
LateStageDenyDueToOverlap = 0
LateStageDenyDueToOther = 0
SimulatedLateStageDenyDueToGlobalCorrelation = 0
SimulatedLateStageDenyDueToOverride = 0
SimulatedLateStageDenyDueToOverlap = 0
SimulatedLateStageDenyDueToOther = 0
AlertHistogram
RiskHistogramEarlyStage
RiskHistogramLateStage
ConfigAggressiveMode = 0
ConfigAuditMode = 0
RegexAccelerationStats
Status = Enabled
DriverVersion = 6.2.1
Devices = 1
Agents = 12
Flows = 7
Channels = 0
SubmittedJobs = 4968
CompletedJobs = 4968
SubmittedBytes = 72258005
CompletedBytes = 168
TCPFlowsWithoutLCB = 0
UDPFlowsWithoutLCB = 0
TCPMissedPacketsDueToUpdate = 0
UDPMissedPacketsDueToUpdate = 0
MemorySize = 1073741824
HostDirectMemSize = 0
MaliciousSiteDenyHitCounts
MaliciousSiteDenyHitCountsAUDIT
Ethernet Controller Statistics
Total Packets Received = 0
Total Received Packets Dropped = 0
Total Packets Transmitted = 13643"
sensor#
 

show tech-support

現行システムの状況を表示するには、EXEC モード show tech-support コマンドを使用します。

show tech-support [page] [ destination-url destination url ]

 
構文の説明

page

(任意)出力は一度に 1 ページの情報が表示されます。Enter を押して、出力の次の行を表示するか、スペースバーを使用して、次の情報ページを表示します。 page を使用しない場合、出力は改ページなしで表示されます。

destination-url

(任意)情報を HTML でフォーマット化し、このタグに続く宛先に送信することを示すタグ。このオプションを選択した場合、出力は画面に表示されません。

destination url

(任意)レポート ファイルの宛先。URL を指定すると、出力は HTML ファイルにフォーマット化されて、指定された宛先に送信されます。指定しない場合は画面に表示されます。

 
デフォルト

デフォルト値については、構文の説明の表を参照してください。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

6.0(1)

password オプションを削除しました。パスワードは暗号化されて表示されます。

7.2(1)

過去 72 時間の各インターフェイスの履歴インターフェイス データを追加しました。varlog の内容の表示を追加しました。

 
使用上のガイドライン

Cisco IOS バージョン 12.0 では、このコマンドの宛先部分はサポートされません。

宛先 URL の正確なフォーマットはファイルにより異なります。ファイル名を選択できますが、.html で終了する必要があります。次の有効なタイプがサポートされます。

プレフィックス
コピー元またはコピー先

ftp:

FTP ネットワーク サーバの宛先 URL。このプレフィックスの構文は、次のとおりです。
ftp:[//[username@] location]/relativeDirectory]/filename
ftp:[//[username@]location]//absoluteDirectory]/filename

scp:

SCP ネットワーク サーバの宛先 URL。このプレフィックスの構文は、次のとおりです。
scp:[//[username@] location]/relativeDirectory]/filename
scp:[//[username@] location]//absoluteDirectory]/filename

レポートには、次のコマンドからの HTML リンク出力が含まれています。

show interfaces

show statistics network-access

cidDump

varlog ファイル

/var/log/messages ファイルに最新のログがあります。varlog と呼ばれる新しいソフト リンクは /var/log/messages ファイルをポイントする /usr/cids/idsRoot/log フォルダの下に作成されています。古いログは varlog.1 および varlog.2 ファイルに保存されます。これらの varlog ファイルの最大サイズは 200 KB です。これらはサイズ制限を超えると、内容が切り替わります。varlog、varlog.1 および varlog.2 の内容は、show tech-support コマンドの出力に表示されます。ログ メッセージ(/usr/cids/idsRoot/varlog ファイル)は、センサーのリブートでのみ保持されます。古いログは、ソフトウェアのアップグレード中に失われます。

次の例は、技術サポートの出力を ~csidsuser/reports/sensor1Report.html ファイルに保存します。パスは、csidsuser のホームアカウントを基準とします。

sensor# show tech-support destination-url ftp://csidsuser@10.2.1.2/reports/sensor1Report.html
password:*******
 

次の例は、技術サポートの出力を /absolute/reports/sensor1Report.html ファイルに保存します。

sensor# show tech-support destination-url ftp://csidsuser@10.2.1.2//absolute/reports/sensor1Report.html
password:*******
 

show tls fingerprint

サーバの TLS 証明書のフィンガープリントを表示するには、EXEC モードで show tls fingerprint を使用します。

show tls fingerprint

 
構文の説明

このコマンドには引数またはキーワードはありません。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

7.2(1)

MD5 の出力は、このコマンドから削除されました。

 
使用上のガイドライン

このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。

次の例は、 show tls fingerprint コマンドの出力を示します。

sensor# show tls fingerprint
SHA1: 16:AC:EC:AC:9D:BC:84:F5:D8:E4:1A:05:C4:01:BB:65:7B:4F:FC:AA
sensor#
 

 
関連コマンド

コマンド
説明

tls generate-key

サーバの自己署名 X.509 証明書を再生成します。

show tls trusted-hosts

センサーの信頼できるホストを表示するには、EXEC モードで、 show tls trusted-hosts コマンドを使用します。

show tls trusted-hosts [ id ]

 
構文の説明

id

認証キーを一意に特定する 1 ~ 32 文字の文字列。数字、「_」、および「-」は有効ですが、スペースと「?」は使用できません。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

7.2(1)

MD5 の出力は、このコマンドから削除されました。

 
使用上のガイドライン

オプションの ID を指定せずにこのコマンドを実行すると、システムで設定済みの ID のリストが表示されます。特定の ID を指定してコマンドを実行すると、その ID に関連付けられた証明書のフィンガープリントが表示されます。


) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。


次の例は、show tls trusted-hosts コマンドの出力例を示します。

sensor# show tls trusted-hosts 172.21.172.1
SHA1: 16:AC:EC:AC:9D:BC:84:F5:D8:E4:1A:05:C4:01:BB:65:7B:4F:FC:AA
sensor#
 

 
関連コマンド

コマンド
説明

tls trusted-host

信頼できるホストをシステムに追加します。

show users

現在 CLI にログインしているユーザに関する情報を表示するには、EXEC モードで show users コマンドを使用します。

show users [ all ]

 
構文の説明

all

(任意)ログイン状況に関係なく、システムで構成されているすべてのユーザ アカウントのリストを表示します。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア(自分のログインの表示のみ)

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

4.1(1)

ロックされたアカウントを表示するように更新されました。 show users all でのビューアの表示を制限しました。

 
使用上のガイドライン

CLI でこのコマンドを使用すると、ID、ユーザ名、および権限を表示できます。説明の横の「*」は現行ユーザを示します。カッコ「( )」で囲まれたユーザ名は、アカウントがロックされていることを示します。アカウントは、ユーザが連続して X 回、不正なパスワードを入力するとロックされます。ロックされたユーザのパスワードを password コマンドでリセットすると、アカウントのロックが解除されます。

同時にログインできる CLI ユーザの最大数は、プラットフォームによって異なります。


) このコマンドの出力は、Cisco IOS 12.0 コマンドの場合とは異なります。


次の例は、 show users コマンドの出力を示します。

sensor# show users
 
CLI ID User Privilege
 
1234 notheruser viewer
* 9802 curuser operator
5824 tester administrator
 

次の例は、tester2 のユーザ アカウントがロックされていることを示します。

sensor# show users all
 
CLI ID User Privilege
 
1234 notheruser viewer
* 9802 curuser operator
5824 tester administrator
(tester2) viewer
foobar operator
 

次の例は、ビューアに対する show users all の出力を示します。

sensor# show users all
CLI ID User Privilege
* 9802 tester viewer
5824 tester viewer

 
関連コマンド

コマンド
説明

clear line

他の CLI セッションを終了します。

show version

すべてのインストールされている OS パッケージ、シグニチャ パッケージ、およびシステムで実行している IPS プロセスに関するバージョン情報を表示するには、EXEC モードで show version コマンドを使用します。

show version

 
構文の説明

このコマンドには引数またはキーワードはありません。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者 オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

7.1(5)

4500 シリーズ センサーをサポートする出力に SwitchApp が追加されました。

 
使用上のガイドライン

show version コマンドの出力は IPS 固有で、Cisco IOS コマンドの出力とは異なります。

シリアル番号の後ろに、次のいずれかのライセンス情報が表示されます。

No license present

Expired license: <expiration-date>

Valid license, expires: <expiration-date>

Valid demo license, expires: <expiration-date>

<expiration-date> の形式は dd-mon-yyyy です(04-dec-2004 など)。


) アップグレード履歴パッケージ名の前の * は、ダウングレードが実行された後の残りのバージョンを示します。* のマークが付いたパッケージがない場合、ダウングレードはできません。


下の例は、 show version コマンドの出力を示しています。

sensor# show version
 
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.2(1)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S697.0 2013-02-15
OS Version: 2.6.29.1
Platform: IPS4360
Serial Number: FCH1504V0CF
No license present
Sensor up-time is 3 days.
Using 14470M out of 15943M bytes of available memory (90% usage)
system is using 32.4M out of 160.0M bytes of available disk space (20% usage)
application-data is using 87.1M out of 376.1M bytes of available disk space (24%
usage)
boot is using 61.2M out of 70.1M bytes of available disk space (92% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
usage)
 
 
MainApp V-2013_04_10_11_00_7_2_0_14 (Release) 2013-04-10T11:05:55-0500 Running
AnalysisEngine V-2013_04_10_11_00_7_2_0_14 (Release) 2013-04-10T11:05:55-0500 Running
CollaborationApp V-2013_04_10_11_00_7_2_0_14 (Release) 2013-04-10T11:05:55-0500 Running
CLI V-2013_04_10_11_00_7_2_0_14 (Release) 2013-04-10T11:05:55-0500
 
 
Upgrade History:
 
IPS-K9-7.2-1-E4 11:17:07 UTC Thu Jan 10 2013
 
Recovery Partition Version 1.1 - 7.2(1)E4
 
Host Certificate Valid from: 17-Apr-2013 to 18-Apr-2015
 
sensor#
 
 

次の例は、4500 シリーズ センサーの show version コマンドの出力を示します。

ips_4510# show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.1(4)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S642.0 2012-04-18
OS Version: 2.6.29.1
Platform: IPS-4510-INC-K9
Serial Number: JAF1523ATTF
No license present
Sensor up-time is 4 min.
Using 22593M out of 24019M bytes of available memory (94% usage)
system is using 26.2M out of 160.0M bytes of available disk space (16% usage)
application-data is using 74.7M out of 207.8M bytes of available disk space (38% usage)
boot is using 59.5M out of 70.5M bytes of available disk space (89% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96% usage)
 
 
MainApp U-2012_MAY_22_06_10_7_1_4 (Release) 2012-05-22T06:15:18-0500 Running
AnalysisEngine U-2012_MAY_22_06_10_7_1_4 (Release) 2012-05-22T06:15:18-0500 Running
CollaborationApp U-2012_MAY_22_06_10_7_1_4 (Release) 2012-05-22T06:15:18-0500 Running
SwitchApp U-2012_MAY_22_06_10_7_1_4 (Release) 2012-05-22T06:15:18-0500 Running
CLI U-2012_MAY_22_06_10_7_1_4 (Release) 2012-05-22T06:15:18-0500
 
Upgrade History:
 
IPS-K9-7.1-4-E4 00:09:07 UTC Wed May 23 2012
 
Recovery Partition Version 1.1 - 7.1(4)E4
 
Host Certificate Valid from: 24-Jun-2012 to 25-Jun-2014
 
ips_4510#
 

ssh authorized-key

現行ユーザに公開キーを追加し、クライアントが RSA1 または RSA2 認証を使用してローカル SSH サーバにログインできるようにするには、グローバル コンフィギュレーション モードで ssh authorized-key のコマンドを使用します。このコマンドを no 形式で使用すると、システムから許可されたキーを削除できます。

ssh authorized-key id rsa1-pubkey id key-modulus-length public-exponent public-modulus

ssh authorized-key id rsa-pubkey pub-key

no ssh authorized-key id

 
構文の説明

id

認証キーを一意に特定する 1 ~ 256 文字の文字列。数字、「_」、および「-」は有効ですが、スペースと「?」は使用できません。

rsa-pubkey

RSA2(SSHv2)キーの詳細を指定します。

rsa1-pubkey

RSA1(SSHv1)キーの詳細を指定します。

pub-key

Base64 で符号化された公開キーを指定します。

key-modulus-length

ASCII 10 進整数の範囲 [511、2048]。

public-exponent

ASCII 10 進整数の範囲 [3、2^32]。

public-modulus

ASCII 10 進整数(2^(キーモジュラス長-1))< x <(2^(キーモジュラス長))の x 値。

 
デフォルト

デフォルト値は、RSA2(SSHv2)です。

 
コマンド モード

グローバル コンフィギュレーション

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

7.2(1)

SSHv2 がこのコマンドに追加されました。

 
使用上のガイドライン

このコマンドにより、現行ユーザの既知のホスト テーブルにエントリが追加されます。キーを変更するには、エントリを削除し、再作成する必要があります。

このコマンドは、IPS 固有です。


) このコマンドは、Cisco IOS 12.0 以前にはありません。


次の例は、既知のホスト テーブルにエントリを追加する方法を示します。

SSHv1 の場合

sensor# configure terminal
sensor(config)# ssh authorized-key mhs rsa1-pubkey 512 34 8777777777777
 
sensor(config)#
 

SSHv2 の場合

sensor# configure terminal
sensor(config)# ssh authorized-key phs rsa-pubkey AAAAAAAAAAslkfjslkfjsjfs
 

 
関連コマンド

コマンド
説明

ssh authorized-keys

現行ユーザの公開 RSA キーを表示します。

ssh generate-key

センサーで SSH サーバが使用するサーバ ホスト キーを変更するには、EXEC モードで ssh generate-key のコマンドを使用します。

ssh generate-key

 
構文の説明

このコマンドには引数またはキーワードはありません。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

7.2(1)

SSHv2 が追加され、MD5 出力がこのコマンドから削除されました。

 
使用上のガイドライン

表示されるキーのフィンガープリントは、このセンサーと今後接続されるリモート SSH クライアントが SSHv1 または SSHv2 を使用している場合、リモート SSH クライアントで表示されるフィンガープリントと一致します。


) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。


次の例は、新しい SSH サーバ ホスト キーを生成する方法を示します。

sensor# ssh generate-key
RSA1 Bubble Babble: xucor-gidyg-comym-zipib-pilyk-vucal-pekyd-hipuc-tuven-gigyr-fixyx
RSA Bubble Babble: xucot-sapaf-sufiz-duriv-rigud-kezol-tupif-buvih-zokap-sohoz-kixox
sensor#
 

 
関連コマンド

コマンド
説明

show ssh server-key

SSH サーバのホスト キーとホストキーのフィンガープリントを表示します。

ssh host-key

既知のホスト テーブルにエントリを追加するには、グローバル コンフィギュレーション モードで ssh host-key コマンドを使用します。SSHv1 または SSHv2 を使用できます。SSHv1 でモジュラス、指数、および長さを指定しない場合、要求された IP アドレスの Bubble Babble がシステムに表示されて、テーブルにキーを追加できます。このコマンドを no 形式で使用すると、既知のホスト テーブルからエントリを削除できます。

ssh host-key ipaddress rsa1-key [key-modulus-length public-exponent public-modulus]

ssh host-key ipaddress rsa-key key

no ssh host-key ipaddress

 
構文の説明

ipaddress

ピリオドで区切られた 4 オクテットの 32 ビット アドレス。X.X.X.X、ここで X は 0 ~ 255。

rsa-key

RSA(SSHv2)キーの詳細を指定します。

rsa1-key

RSA1(SSHv1)キーの詳細を指定します。

key

Base64 で符号化された公開キーを指定します。

key-modulus-length

ASCII 10 進整数の範囲 [511、2048]。

public-exponent

ASCII 10 進整数の範囲 [3、2^32]。

public-modulus

ASCII 10 進整数(2^(キーモジュラス長-1))< x <(2^(キーモジュラス長))の x 値。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
サポートされるユーザ ロール

管理者、オペレータ

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

7.2(1)

コマンドの SSHv2 バージョンが導入されました。

 
使用上のガイドライン

ssh host-key コマンドは、既知のホスト テーブルにエントリを追加します。IP アドレスのキーを修正するには、エントリを削除し、再作成する必要があります。

モジュラス、指数、および長さを指定しない場合、指定された IP アドレスの SSH サーバに接続して、要求されたキーをネットワーク経由で取得します。指定したホストは、コマンドを発行するときにアクセス可能な状態でなければなりません。


) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。


次の例は、10.1.2.3 の既知のホスト テーブルにエントリを追加する方法を示します。

sensor(config)# ssh host-key 10.1.2.3
RSA Key:
RSA Bubble Babble is xoteh-tozyl-nuzyr-docic-kifuf-bubem-homoh-bimil-nidyf-cyrog-bixex
RSA public key modulus length: 2048
Would you like to add this to the known hosts table for this host?[yes]: yes
sensor(config)#
 

次の例は、10.1.2.3 の既知のホスト テーブルにエントリを追加する方法を示します。

sensor(config)# ssh host-key 10.1.2.3
Bubble Babble is xebiz-vykyk-fekuh-rukuh-cabaz-paret-gosym-serum-korus-fypop-huxyx
Would you like to add this to the known hosts table for this host? [yes]
sensor(config)#
 

 
関連コマンド

コマンド
説明

show ssh host-key

センサーが接続できるリモート SSH サーバの公開キーを含む既知のホスト テーブルを表示します。

terminal

ログイン セッションのターミナル プロパティを変更するには、EXEC モードで terminal コマンドを使用します。

terminal [ length screen-length ]

 
構文の説明

screen-length

画面上の行の数を設定します。マルチ画面出力時に一時停止する行数を指定するには、この値を使用します。値ゼロの場合は、出力が画面長を超えても一時停止しません。デフォルトは 24 行です。この値は、ログイン セッション間で保存されません。

 
デフォルト

デフォルト値については、構文の説明の表を参照してください。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者、オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

terminal length コマンドを使用すると、 --more-- プロンプトが表示される前に、表示される行数を設定できます。

次の例は、マルチ画面表示の画面間で一時停止しないように CLI を設定します。

sensor# terminal length 0
sensor#
 

次の例は、マルチ画面表示の各画面について 10 行表示するように CLI を設定します。

sensor# terminal length 10
sensor#
 

tls generate-key

サーバの自己署名 X.509 証明書を再生成するには、EXEC モードで tls generate-key を使用します。ホストで自己署名証明書を使用しない場合は、エラーが返されます。

tls generate-key

 
構文の説明

このコマンドには引数またはキーワードはありません。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。

次の例は、サーバの自己署名証明書を生成する方法を示します。

sensor(config)# tls generate-key
SHA1: 16:AC:EC:AC:9D:BC:84:F5:D8:E4:1A:05:C4:01:BB:65:7B:4F:FC:AA
sensor(config)#
 

 
関連コマンド

コマンド
説明

show tls fingerprint

サーバの TLS 証明書のフィンガープリントを表示します。

tls trusted-host

信頼できるホストをシステムに追加するには、グローバル コンフィギュレーション モードで tls trusted-host コマンドを使用します。信頼できるホストの証明書を削除するには、このコマンドの no 形式を使用します。

tls trusted-host ip-address ip-address [port port]

no tls trusted-host ip-address ip-address [port port]

no tls trusted-host id id

 
構文の説明

ip-address

追加または削除するホストの IP アドレス。

port

(任意)接続するホストのポート番号。デフォルトはポート 443 です。

 
デフォルト

デフォルト値については、構文の説明の表を参照してください。

 
コマンド モード

グローバル コンフィギュレーション

 
サポートされるユーザ ロール

管理者、オペレータ

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

4.0(2)

オプションのポートが追加されました。ID に基づいた削除をサポートするために、 no コマンドが追加されました。

7.2(1)

MD5 の出力は、このコマンドから削除されました。

 
使用上のガイドライン

このコマンドを使用すると、要求されたホスト/ポートの現行のフィンガープリントを取得して、その結果を表示できます。追加が要求されているホストから直接取得した情報に基づいて、フィンガープリントを受け入れるか拒否するかを選択できます。

各証明書は、識別子フィールドと一緒に保管されます。IP アドレスおよびデフォルト ポートの ID フィールドは ipaddress で、IP アドレスおよび指定ポートの ID フィールドは ipaddress:port です。


) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。


次のコマンドは、IP アドレス 172.21.172.1、ポート 443 の信頼できるホストのテーブルにエントリを追加します。

sensor(config)# tls trusted-host ip-address 172.21.172.1
Certificate SHA1 fingerprint is 36:42:C9:1B:9F:A4:A8:91:7F:DF:F0:32:04:26:E4:3A:7A:70:B9:95
Would you like to add this to the trusted certificate table for this host? [yes]
Certificate ID: 172.21.172.1 successfully added to the TLS trusted host table.
sensor(config)#
 

) コマンドが正常に終了すると、要求された証明書に関して保存された証明書 ID が表示されます。


次のコマンドは、IP アドレス 172.21.172.1、ポート 443 の信頼できるホスト エントリを削除します。

sensor(config)# no tls trusted-host ip-address 172.21.172.1
sensor(config)#
 

または IP アドレス 172.21.172.1、ポート 443 の信頼できるホスト エントリを削除するために、次のコマンドを使用できます。

sensor(config)# no tls trusted-host id 172.21.172.1
sensor(config)#
 

次のコマンドは、IP アドレス 10.1.1.1、ポート 8000 の信頼できるホスト テーブルを削除します。

sensor(config)# tls trusted-host ip-address 10.1.1.1 port 8000
Certificate SHA1 fingerprint is 36:42:C9:1B:9F:A4:A8:91:7F:DF:F0:32:04:26:E4:3A:7A:70:B9:95
Would you like to add this to the trusted certificate table for this host? [yes]
Certificate ID: 10.1.1.1:8000 successfully added to the TLS trusted host table.
sensor(config)#
 

) コマンドが成功した場合、要求した証明書用に保管される証明書 ID が表示されます。


次のコマンドは、IP アドレス 10.1.1.1、ポート 8000 の信頼できるホスト エントリを削除します。

sensor(config)# no tls trusted-host ip-address 10.1.1.1 port 8000
sensor(config)#
 

または IP アドレス 10.1.1.1、ポート 8000 の信頼できるホスト エントリを削除するために、次のコマンドを使用できます。

sensor(config)# no tls trusted-host id 10.1.1.1:8000
sensor(config)#
 

 
関連コマンド

コマンド
説明

show tls trusted-hosts

センサーの信頼できるホストを表示します。

trace

IP パケットが宛先に送信されるルートを表示するには、EXEC モードで trace コマンドを使用します。

trace address [ count ]

 
構文の説明

address

ルートをトレースするシステムのアドレス。

count

(任意)使用するホップ数。デフォルト値は 4 です。有効値の範囲は 1 ~ 256 です。

 
デフォルト

デフォルト値については、構文の説明の表を参照してください。

 
コマンド モード

EXEC

 
コマンドの種類

管理者 オペレータ、ビューア

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

trace コマンドには、コマンド割り込みはありません。コマンドは完了するまで実行する必要があります。

次の例は、 trace コマンドの出力を示します。

sensor# trace 10.1.1.1
traceroute to 172.21.172.24 (172.21.172.24), 30 hops max, 40 byte packets 1 171.69.162.2 (171.69.162.2) 1.25 ms 1.37 ms 1.58 ms 2 172.21.172.24 (172.21.172.24) 0.77 ms 0.66 ms 0.68 ms
sensor#
 

upgrade

サービス パック、シグニチャ アップデート、またはイメージ アップグレードを適用するには、グローバル コンフィギュレーション モードで upgrade コマンドを使用します。

upgrade source-url

 
構文の説明

source-url

取得するアップグレードの場所。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

コマンドラインから、すべての必要なソースおよび宛先 URL 情報とユーザ名を入力できます。 upgrade コマンドの後にプレフィックス(ftp: または scp:)だけを入力した場合は、適用されるパスワードを含む、不足している情報についてのプロンプトが表示されます。

ディレクトリは、必要なファイルへの絶対パスで指定する必要があります。アップグレードを繰り返す場合は、ファイル名を指定しないでください。指定した曜日の指定した時間に、繰り返しアップグレードを行うようにセンサーを設定できます。または、最初のアップグレードから指定した時間が経過した後で繰り返しアップグレードを行うように設定できます。

ソース URL の正確なフォーマットはファイルにより異なります。次の有効なタイプがサポートされます。

プレフィックス
コピー元またはコピー先

ftp:

FTP ネットワーク サーバのソース URL。このプレフィックスの構文は、次のとおりです。
ftp:[//[username@] location]/relativeDirectory]/filename
ftp:[//[username@]location]//absoluteDirectory]/filename

scp:

SCP ネットワーク サーバのソース URL。このプレフィックスの構文は、次のとおりです。
scp:[//[username@] location]/relativeDirectory]/filename
scp:[//[username@] location]//absoluteDirectory]/filename

http:

Web サーバのソース URL。このプレフィックスの構文は、次のとおりです。
http:[//[username@]location]/directory]/filename

https:

Web サーバのソース URL。このプレフィックスの構文は次のとおりです。[[//username@]location]/directory]/filename


) このコマンドは、Cisco IOS 12.0 以前にはありません。


次の例は、センサーに対して、指定されたアップグレードをすぐに確認するよう指示します。ディレクトリとパスは tester のユーザ アカウントを基準とします。

sensor(config)# upgrade scp://tester@10.1.1.1/upgrade/sp.rpm
Enter password: *****
Re-enter password: ****
 

unlock user

一定の回数に達するまで試行に失敗した後にユーザがロックされた後でローカルおよび RADIUS アカウントのロックを解除するには、グローバル コンフィギュレーション モードで unlock user username コマンドを使用します。ユーザ アカウントのロックを解除するには、管理者である必要があります。

unlock user username

 
構文の説明

unlock user

ユーザのアカウントをロック解除します。

username

ユーザ名を指定します。

 
デフォルト

このコマンドにデフォルトの動作または値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

7.1(3)

このコマンドが導入されました。

 
使用上のガイドライン

unlock user コマンドは、試行の失敗数が制限を超えたユーザのローカルまたは RADIUS アカウントのロックを解除するための方法を管理者に提供します。ロックされたアカウントは、show users all 出力内のカッコに示されます。

アカウント ロックを設定すると、ローカル認証だけでなく RADIUS 認証も影響を受けます。ローカルなログインまたは RADIUS アカウントへのログイン失敗が指定された試行回数に達すると、アカウントはセンサー上でローカルにロックされます。ローカル アカウントの場合は、パスワードをリセットするか、 unlock user username コマンドを使用してアカウントのロックを解除します。RADIUS ユーザ アカウントの場合は、 unlock user username コマンドを使用してアカウントのロックを解除する必要があります。

次の例は、ユーザ jsmith のロックを解除します。

sensor# configure terminal
sensor(config)# unlock user jsmith
 

 
関連コマンド

コマンド
説明

attemptLimit

ユーザ アカウントがロックされるまでのログイン試行の回数を設定します。

show users all

センサーのアカウントのあるすべてのユーザを表示します。

username

ローカル センサーのユーザを作成するには、グローバル コンフィギュレーション モードで username コマンドを使用します。ユーザを作成するには、管理者である必要があります。センサーからユーザを削除するには、このコマンドの no 形式を使用します。この場合、ユーザは CLI と Web アクセスの両方から削除されます。

username name [password password] [privilege privilege]

no username name

 
構文の説明

name

ユーザ名を指定します。有効なユーザ名の長さは 1 ~ 64 文字です。ユーザ名の先頭は、英数字にする必要があります。その他の文字には、すべての文字を使用できます。

password

ユーザのパスワードを指定します。

password

有効なパスワードの長さは 8 ~ 32 文字です。スペース以外のすべての文字を使用できます。

privilege

ユーザの権限レベルを設定します。

privilege

使用できるレベルは、サービス、管理者、オペレータ、ビューアです。デフォルト値は、ビューアです。

 
デフォルト

デフォルト値については、構文の説明の表を参照してください。

 
コマンド モード

グローバル コンフィギュレーション

 
サポートされるユーザ ロール

管理者

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

username コマンドは、ログインだけを目的としてユーザ名および(または)パスワードの認証を行います。このコマンドを実行しているユーザは、自分自身を削除できません。

コマンドラインでパスワードを指定しなかった場合は、プロンプトが表示されます。 password コマンドを使用して、現行ユーザまたはシステムの既存のユーザのパスワードを変更します。 privilege コマンドを使用して、システムの既存のユーザの特権を変更します。

次の例は、ビューア レベルの特権とパスワード testpassword を持つユーザ tester を追加します。

sensor(config)# username tester password testerpassword
 

次の例は、入力パスワードが保護されていることを示します。

sensor(config)# username tester
Enter Login Password: **************
Re-enter Login Password: **************
 

次の例は、ユーザ「tester」の特権をオペレータに変更します。

sensor(config)# username tester privilege operator
 

 
関連コマンド

コマンド
説明

password

ローカル センサーのパスワードを更新します。

privilege

既存のユーザの特権レベルを変更します。