Cisco Intrusion Detection System アプライ アンスおよびモジュール インストレーション コンフィギュレーション ガイド
トラブルシューティング
トラブルシューティング
発行日;2012/02/05 | 英語版ドキュメント(2010/02/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

トラブルシューティング

予防保守

障害回復

4200 シリーズ アプライアンスのトラブルシューティング

通信

IDM または Telnet および/または SSH を介してセンサーにアクセスできない

IDM がセンサーにアクセスできない

アクセス リストの設定の誤り

重複している IP アドレスがインターフェイスをシャットダウンする

SensorApp とアラート

センシング プロセスが動作していない

物理的な接続性、SPAN、または VACL ポートの問題

アラートを表示できない

センサーがパケットを監視しない

破損した SensorApp 設定のクリーンアップ

シングル CPU モードでの SensorApp の実行

IDS-4250-XL での不良メモリ

ブロッキング

NAC が動作中であることを確認する

NAC が接続状態にあることを確認する

デバイスのアクセスに関する問題点

ネットワーク デバイス上のインターフェイス/方向を確認する

ネットワーク デバイスへの SSH 接続を有効にする

シグニチャに対してブロッキングが発生していない

マスター ブロッキング センサーの設定を確認する

ロギング

デバッグ ロギングをイネーブルにする

ゾーン名

SysLog に cidLog メッセージを転送する

NTP

センサーが NTP サーバと同期していることを確認する

NTP サーバの接続性に関する問題

NTP 再設定の不具合

TCP リセット

シグニチャに対してリセットが発生しない

TCP リセット インターフェイスの使用方法

ソフトウェアのアップグレード

ソフトウェア アップグレード中に IDS-4235 および IDS-4250 がハングする

適用するアップデートとその順序

自動アップデートに関する問題

IDSM-2 および NM-CIDS 4.1(4) イメージのバージョンを確認する

センサーに格納されたアップデートを使用してセンサーを更新する

IDSM-2 のトラブルシューティング

IDSM-2 の問題の診断

トラブルシューティング用のスイッチ コマンド

ステータス LED が点灯しない

ステータス LED は点灯しているが、IDSM-2 がオンラインにならない

IDSM-2 コマンド/コントロール ポートと通信できない

TCP リセット インターフェイスの使用方法

IDSM-2 へのシリアル ケーブルの接続

情報の収集

show tech-support コマンド

show tech-support コマンド

技術サポート情報の表示

show tech-support コマンドの出力

show version コマンド

show version コマンド

現在のバージョンの表示

show configuration/more current-config コマンド

show statistics コマンド

show statistics コマンド

統計情報の表示

show statistics コマンドの出力

show interfaces コマンド

show interfaces コマンド

show interfaces コマンドの出力

show events コマンド

センサーのイベント

show events コマンド

イベントの表示およびクリア

show events コマンドの出力

cidDump スクリプト

Cisco FTP サイトへのファイルのアップロードおよびそのサイト上のファイルへのアクセス

トラブルシューティング

この付録にはトラブルシューティングに関するヒントと、センサーおよびソフトウェアに関する手順が含まれています。

この付録は、次の内容で構成されています。

「予防保守」

「障害回復」

「4200 シリーズ アプライアンスのトラブルシューティング」

「IDSM-2 のトラブルシューティング」

「情報の収集」

予防保守

次の処理は、センサーの維持に役立ちます。

サービス アカウントを作成します。

TAC を利用してセンサーのトラブルシューティングを行う必要がある場合には、サービス アカウントを使用できます。

手順については、「サービス アカウントの作成」を参照してください。

適切な設定をバックアップする必要があります。現在の設定が使用不可能になっても、それをバックアップ バージョンと交換することができます。

手順については、「バックアップ コンフィギュレーション ファイルの作成と使用」を参照してください。

バックアップ設定をリモート システムに保存します。

手動アップグレードは、必ず設定をバックアップしてから行ってください。自動アップグレードが設定されている場合は、定期バックアップを必ず実施してください。

障害回復

次の項では、推奨事項と、障害発生後にセンサーの復旧が必要な場合に実行すべき手順について説明します。

次に示す推奨事項に従い、障害に備えてください。

設定に CLI または IDM を使用する場合は、変更が行われるたびに現在の設定をセンサーから FTP または SCP サーバへコピーします。

手順については、「バックアップ コンフィギュレーション ファイルの作成と使用」を参照してください。


) その設定に対する特定のソフトウェア バージョンをメモします。コピーされた設定は、同じバージョンのセンサーにしか適用できません。



) また、そのセンサー上で使用されているユーザ ID のリストも必要です。ユーザ ID およびパスワードのリストは、設定内に保存されません。


IDS MC を使用している場合、現在の設定は IDS MC データベースに保存されるので、コピーを別個に作成する必要はありません。


) ユーザ ID のリストは、IDS MC データベースに保存されません。ユーザ ID のメモを作成する必要があります。



) その設定に対する特定のソフトウェア バージョンをメモします。コピーされた設定は、同じバージョンのセンサーにしかプッシュできません。


障害が発生したときにセンサーの復旧が必要な場合は、次の作業を行ってみてください。

1. センサーのイメージを再作成します。

アプライアンスおよびモジュール用の手順については、「アプライアンスとモジュールのイメージの再作成」を参照してください。

2. デフォルトのユーザ ID とパスワード(cisco)を使用してセンサーにログインします。


) パスワード「cisco」の変更を促すプロンプトが表示されます。


3. setup コマンドを実行します。

手順については、「センサーの初期化」を参照してください。

4. センサーのアップグレードを行い、最後に設定が保存およびコピーされたときにセンサーに搭載されていた IDS ソフトウェア バージョンにします。

IDS ソフトウェア バージョンの取得方法とそのインストール方法については、「Cisco IDS ソフトウェアの入手方法」を参照してください。


警告 障害発生前にセンサーに搭載されていた IDS ソフトウェア バージョンにセンサーを戻さずに、保存された設定のコピーを試みると、設定エラーを引き起こす場合があります。


5. 最後に保存された設定をセンサーにコピーします。

手順については、「バックアップ コンフィギュレーション ファイルの作成と使用」を参照してください。

6. クライアントを更新して、センサーの新しい鍵/証明書を使用します。

イメージを再作成すると、センサーの SSH 鍵と HTTPS 証明書が変更されます。手順については、「SSH 既知ホスト リストへの既知ホストの追加」を参照してください。

7. 前のユーザを作成します。

手順については、「ユーザの追加」を参照してください。

4200 シリーズ アプライアンスのトラブルシューティング

ここでは、4200 シリーズ アプライアンスのトラブルシューティングについて説明します。


ヒント アプライアンスのトラブルシューティングを開始する前に、センサーにインストールされているソフトウェア バージョンに関する Readme の「警告」の項をチェックし、既知の問題を処理しているかどうかを確認します。


ここでは、次の内容について説明します。

「通信」

「SensorApp とアラート」

「ブロッキング」

「ロギング」

「NTP」

「TCP リセット」

「ソフトウェアのアップグレード」

通信

ここでは、4200 シリーズ センサーの通信に関する問題のトラブルシューティングに役立つ情報を説明します。

ここでは、次の内容について説明します。

「IDM または Telnet および/または SSH を介してセンサーにアクセスできない」

「IDM がセンサーにアクセスできない」

「アクセス リストの設定の誤り」

「重複している IP アドレスがインターフェイスをシャットダウンする」

IDM または Telnet および/または SSH を介してセンサーにアクセスできない

IDM を介して、または Telnet および/または SSH を介してセンサーにアクセスできない場合は、次の手順を実行します。


ステップ 1 PING を使用してセンサーの IP アドレスへの接続を確認します。

PING が失敗した場合:ステップ 2 に進みます。

sensor# ping 10.89.149.81
PING 10.89.149.81 (10.89.149.81) from 10.89.149.56 : 56(84) bytes of data.
From 10.89.149.56 icmp_seq=1 Destination Host Unreachable
From 10.89.149.56 icmp_seq=2 Destination Host Unreachable
From 10.89.149.56 icmp_seq=3 Destination Host Unreachable
 
--- 10.89.149.81 ping statistics ---
3 packets transmitted, 0 received, +3 errors, 100% loss, time 2013ms , pipe 3
 

PING が成功した場合:ステップ 4 に進みます。

sensor# ping 10.89.149.81
PING 10.89.149.81 (10.89.149.81) from 10.89.149.110 : 56(84) bytes of data.
64 bytes from 10.89.149.81: icmp_seq=1 ttl=254 time=0.273 ms
64 bytes from 10.89.149.81: icmp_seq=2 ttl=254 time=0.176 ms
64 bytes from 10.89.149.81: icmp_seq=3 ttl=254 time=0.178 ms
64 bytes from 10.89.149.81: icmp_seq=4 ttl=254 time=0.187 ms
 
--- 10.89.149.81 ping statistics ---
4 packets transmitted, 4 received, 0% loss, time 3001ms rtt min/avg/max/mdev = 0.176/0.203/0.273/0.042 ms
 

ステップ 2 センサーへの trace route を実行し、ルートが破損している場所を確認します。

sensor# traceroute to 172.21.172.24 (172.21.172.24), 30 hops max, 40 byte packets 1 171.69.162.2 (171.69.162.2) 1.25 ms 1.37 ms 1.58 ms 2 172.21.172.24 (172.21.172.24) 0.77 ms 0.66 ms 0.68 ms
sensor#
 

ステップ 3 センサーの IP アドレスおよびデフォルト ゲートウェイが正しく設定されていることを確認します。ルータ、スイッチ、および/またはファイアウォールが、センサーとインターフェイスするように設定されていることを確認します。

sensor# setup
 
--- System Configuration Dialog ---
At any point you may enter a question mark ’?’ for help.
User ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets ’[]’.
Current Configuration:
 
networkParams
ipAddress 10.89.146.110
netmask 255.255.255.0
defaultGateway 10.89.146.254
hostname firesafe
telnetOption enabled
accessList ipAddress 10.0.0.0 netmask 255.0.0.0
accessList ipAddress 10.89.0.0 netmask 255.255.0.0
accessList ipAddress 64.101.0.0 netmask 255.255.0.0
accessList ipAddress 10.89.149.31 netmask 255.255.255.255
accessList ipAddress 64.102.0.0 netmask 255.255.0.0
exit
timeParams
summerTimeParams
active-selection none
exit
ntpServers ipAddress 10.89.147.99
keyId 2
keyValue test
exit
exit
service webServer
general
ports 443
exit
exit
 

ネットワークの設定に問題はありません。

ステップ 4 ネットワークにおいてセンサーの IP アドレスが他のホストの IP アドレスと競合していないことを確認します。


) Linux では、他のホストとのアドレスの競合を検出した場合、コマンド/コントロール イーサネット ポートがアクティブになることが防止されます。


sensor# show interfaces
command-control is up
Internet address is 10.89.146.110, subnet mask is 255.255.255.0, telnet is enabled.
Hardware is eth1, tx
 

) 出力に command-control is down というメッセージが含まれる場合は、ハードウェアの問題または IP アドレスの競合が発生しています。


ステップ 5 SSH が接続できない、または接続が拒否される場合は、次の操作を実行します。

a. センサーのアクセス リストの設定が IP アドレスを受け入れるようになっていることを確認します。

sensor# show configuration | include accessList
accessList ipAddress 10.0.0.0 netmask 255.0.0.0
accessList ipAddress 10.89.0.0 netmask 255.255.0.0
accessList ipAddress 64.101.0.0 netmask 255.255.0.0
accessList ipAddress 10.89.149.31 netmask 255.255.255.255
accessList ipAddress 64.102.0.0 netmask 255.255.0.0
 

b. センサーのアクセス リストが正しい場合は、センサーの SSH および/または Telnet ポート、ならびに Web サーバ ポートがファイアウォール内で開いていることを確認します。

sensor# configure terminal
sensor(config)# service WebServer
sensor(config-WebServer)# show settings
general
-----------------------------------------------
enable-tls: true <defaulted>
ports: 443 <defaulted>
server-id: HTTP/1.1 compliant <defaulted>
-----------------------------------------------
 

ステップ 6 アプライアンスのネットワーク配線が正しく機能していること、さらにルータとスイッチがモジュールに対して動作可能であることを確認します。


 

IDM がセンサーにアクセスできない

IDM がセンサーにアクセスできない場合は、次の手順を実行します。


ステップ 1 SSH を介してセンサーにアクセスできるのであれば、センサー上の正しいポートにアクセスしているかどうか、HTTP 対複数の HTTP の選択が正しいかどうかを確認します。

センサーのアドレスを正しく指定します。

ステップ 2 Web サーバが動作していることを確認します。

a. show version コマンドを使用して、Web サーバのステータスをチェックします。

sensor# show version

Application Partition:

 

Cisco Systems Intrusion Detection Sensor, Version 4.1(3)S61

 

OS Version 2.4.18-5smpbigphys

Platform: IDS-4235

Sensor up-time is 20 days.

Using 214319104 out of 921522176 bytes of available memory (23% usage)

Using 596M out of 15G bytes of available disk space (5% usage)

 

 

MainApp 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

AnalysisEngine 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

Authentication 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

Logger 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

NetworkAccess 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

TransactionSource 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

WebServer 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

CLI 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500

 

WebServer 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

CLI 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500

 

 

Upgrade History:

 

* IDS-K9-min-4.1-1-S47 12:00:00 UTC Thu Jun 30 2005

IDS-K9-sp-4.1-3-S61.rpm.pkg 14:14:55 UTC Fri Feb 20 2004

 

Recovery Partition Version 1.2 - 4.1(1)S47

 

Web サーバは引き続き動作しています。ステップ 4 に進みます。

b. Web サーバが動作していない場合。

sensor# show version

Application Partition:

 

Cisco Systems Intrusion Detection Sensor, Version 4.1(3)S61

 

OS Version 2.4.18-5smpbigphys

Platform: IDS-4235

Sensor up-time is 20 days.

Using 214319104 out of 921522176 bytes of available memory (23% usage)

Using 596M out of 15G bytes of available disk space (5% usage)

 

 

MainApp 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

AnalysisEngine 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

Authentication 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

Logger 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

NetworkAccess 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

TransactionSource 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

WebServer 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Not Running

CLI 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500

 

 

Upgrade History:

 

* IDS-K9-min-4.1-1-S47 12:00:00 UTC Thu Jun 30 2005

IDS-K9-sp-4.1-3-S61.rpm.pkg 14:14:55 UTC Fri Feb 20 2004

 

Recovery Partition Version 1.2 - 4.1(1)S47

 

ステップ 3 Web サーバが動作していない場合は、次の手順を実行します。

a. 診断を実行し、その出力を保存して出力ファイルを TAC に送信します。

手順については、「技術サポート情報の表示」を参照してください。

b. Web サーバを再起動します。

sensor# reset
Warning: Executing this command will stop all applications and reboot the node.
Continue with reset?:yes
Request Succeeded.
sensor#
 

reset コマンドを実行すると、センサー上で実行しているアプリケーションがシャットダウンされ、アプライアンスがリブートされ、すべてのアプリケーションが再起動されます。


ステップ 4 Web サーバが動作している場合は、ファイアウォールにおいてセンサー用のポートが開いていることを確認します。


 

アクセス リストの設定の誤り

設定が誤っているアクセス リストを修正するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 設定を表示して、アクセス リストを確認します。

sensor# show configuration | include accessList
accessList ipAddress 10.0.0.0 netmask 255.0.0.0
accessList ipAddress 10.89.0.0 netmask 255.255.0.0
accessList ipAddress 64.101.0.0 netmask 255.255.0.0
accessList ipAddress 10.89.149.31 netmask 255.255.255.255
accessList ipAddress 64.102.0.0 netmask 255.255.0.0
 

ステップ 3 クライアント IP アドレスが許可されたネットワーク内にリストされているかどうか確認します。リストされていない場合は、次のように追加します。

sensor# configure terminal
sensor(config)# service Host
sensor(config-Host)# networkParams
sensor(config-Host-net)# accessList ipAddress value netmask value
 


 

重複している IP アドレスがインターフェイスをシャットダウンする

同じ IP アドレスを持つ 2 台のセンサーが新たにイメージ化され、同じネットワーク上で同時にアップ状態になると、インターフェイスはシャットダウンします。Linux では、他のホストとのアドレスの競合を検出した場合、コマンド/コントロール インターフェイス イーサネット ポートがアクティブになることが防止されます。

問題のセンサーが、ネットワーク上の別のホストと競合する IP アドレスを持っていないことを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 インターフェイスがアップ状態かどうかを判断します。

sensor# show interfaces
command-control is up
 

出力に command-control is down というメッセージが含まれる場合は、ハードウェアの問題または IP アドレスの競合が発生しています。ステップ 3 に進みます。

ステップ 3 センサーのケーブル接続が正しいことを確認します。

このハードウェア マニュアルのセンサーに関する章を参照してください。

ステップ 4 setup コマンドを実行して、IP アドレスが正しいことを確認します。

手順については、「センサーの初期化」を参照してください。


 

SensorApp とアラート

ここでは、SensorApp とアラートに関する問題のトラブルシューティングに役立つ情報を提供します。

ここでは、次の内容について説明します。

「センシング プロセスが動作していない」

「物理的な接続性、SPAN、または VACL ポートの問題」

「アラートを表示できない」

「センサーがパケットを監視しない」

「破損した SensorApp 設定のクリーンアップ」

「シングル CPU モードでの SensorApp の実行」

「IDS-4250-XL での不良メモリ」

センシング プロセスが動作していない

センシング プロセス(SensorApp)は、常に動作している必要があります。常に動作していないと、アラートを受信できません。

センシング プロセスが動作していることを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 AnalysisEngine サービスのステータスを特定します。

sensor# show version
AnalysisEngine 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Not Running
 

ステップ 3 SensorApp が動作していない場合は、それに関係するエラーが発生していないか調べます。

sensor# show events error | sensorApp | hh:mm:ss month day year
evError: eventId=1077219258696330005 severity=warning
 
originator:
hostId: sensor
appName: sensorApp
appInstanceId: 1045
time: 2004/02/19 19:34:20 2004/02/19 19:34:20 UTC
errorMessage: name=errUnclassified Generating new Analysis Engine configuration file.
 

) hh:mm:ss month day year は最後に再起動した日時です。


ステップ 4 ソフトウェアのアップデートが最新のものであることを確認します。

sensor# show version
Upgrade History:
* IDS-K9-min-4.1-1-S47 12:00:00 UTC Thu Jun 30 2005
IDS-K9-sp-4.1-3-S61.rpm.pkg 14:14:55 UTC Fri Feb 20 2004
Recovery Partition Version 1.2 - 4.1(1)S47
 

最新のものではない場合は、Cisco.com からダウンロードします。手順については、「Cisco IDS ソフトウェアの入手方法」を参照してください。

ステップ 5 SensorApp または AnalysisEngine の既知の DDTS については、ソフトウェア アップグレードに添付の Readme を読んでください。


 

物理的な接続性、SPAN、または VACL ポートの問題

センサーが正しく接続されていないと、アラートを受信しません。

センサーが正しく接続されていることを確認するには、次の手順を実行します。


) IDS-4230 または IDS-4220 を使用している場合は、インターフェイスの交換が済んでいるか確認します。手順については、「IDS-4220-E および IDS-4230-FE の 4.x ソフトウェアへのアップグレード」を参照してください。



ステップ 1 CLI にログインします。

ステップ 2 インターフェイスがアップ状態にあり、パケット カウントが増加していることを確認します。

sensor# show interface sensing
Sensing int0 is down
Hardware is eth0, TX
Reset port
 

ステップ 3 インターフェイスがダウンしている場合は、センシング ポートが適切に接続されているか確認します。

a. アプライアンス上でセンシング ポートが適切に接続されていることを確認します。

Cisco Intrusion Detection System Appliance and Module Installation and Configuration Guide Version 4.1 』内のアプライアンスに関する章を参照してください。

b. センシング ポートが IDSM-2 上の正しい SPAN または VACL キャプチャ ポートに接続されていることを確認します。

Cisco Intrusion Detection System Appliance and Module Installation and Configuration Guide Version 4.1 』 の IDSM-2 に関する章を参照してください。

ステップ 4 インターフェイス設定を確認します。

a. インターフェイスが正しく設定されていることを確認します。

手順については、「センシング インターフェイスの割り当てとイネーブル化」を参照してください。

b. Cisco スイッチ上で SPAN および VACL キャプチャ ポート設定を確認します。

手順については、スイッチのマニュアルを参照してください。

ステップ 5 インターフェイスがアップ状態であり、パケット カウントが増加していることを再び確認します。

sensor# show interface sensing
Sensing int0 is up
Hardware is eth0, TX
Reset port
 


 

アラートを表示できない

アラートを確認できない場合は次の手順を実行します。

シグニチャが有効であることを確認します。

センサーがパケットを監視していることを確認します。

アラートが生成されていることを確認します。

Event Viewer がセンサーと通信できることを確認します。

アラートが表示されることを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 シグニチャが有効であることを確認します。

a. コンフィギュレーション モードに入ります。

sensor# configure terminal
 

b. 仮想センサー モードに入ります。

sensor(config)# service virtual-sensor-configuration virtualSensor
 

c. シグニチャが有効であることを確認します。

sensor(config-vsc)# tune-micro-engines
sensor(config-vsc-virtualSensor# atomic.icmp
sensor(config-vsc-virtualSensor-ATO)# sig sigid 2000 sensor(config-vsc-virtualSensor-ATO-sig)# show settings
SIGID: 2000 <protected>
SubSig: 0 <protected>
AlarmDelayTimer:
AlarmInterval:
AlarmSeverity: informational <defaulted>
AlarmThrottle: Summarize <defaulted>
AlarmTraits:
CapturePacket: False <defaulted>
ChokeThreshold: 100 <defaulted>
DstIpAddr:
DstIpMask: Enabled: False <defaulted>
 

ステップ 3 センサーがパケットを監視していることを確認します。

sensor# show interface sensing
Sensing int0 is up
Hardware is eth0, TX
Reset port
 

ステップ 4 アラートが表示されるかどうかを確認します。

sensor# show events alert
 
evAlert: eventId=1080048367680474106 severity=informational
originator:
hostId: sensor
appName: sensorApp
appInstanceId: 1102
time: 2004/06/24 13:21:33 2004/06/24 13:21:33 EST
interfaceGroup: 0
vlan: 0
signature: sigId=7102 sigName=Reply-to-Broadcast subSigId=0 version=S37
participants:
attack:
attacker: proxy=false
addr: locality=OUT 10.89.146.24
victim:
addr: locality=OUT 10.89.146.24
alertDetails: Traffic Source: int0 ;
 


 

センサーがパケットを監視しない

センサーがネットワーク上のパケットを監視していない場合、インターフェイスの設定が正しくないことが考えられます。

センサーがパケットを監視していない場合は、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 インターフェイスがアップ状態であり、パケットを受信していることを確認します。

sensor# show interfaces sensing
Sensing int0 is down
Hardware is eth0, TX
Reset port

ステップ 3 インターフェイスがアップ状態でない場合は、次の手順を実行します。

a. ケーブル配線を調べます。

センサーの適切な取り付けについては、センサーに関する章を参照してください。

b. インターフェイスをアップ状態にします。

sensor# configure terminal
sensor(config)# interface sensing int0
sensor(config-ifs)# no shutdown
sensor(config-ifs)# e100: eth0 NIC Link is Up 100 Mbps Half duplex
sensor(config)# exit
sensor(config)# exit
sensor# show interfaces sensing
Sensing int0 is up
Hardware is eth0, TX
Reset port
 
MAC statistics from the Fast Ethernet Interface int0
Missed Packet Percentage = 0
Link Status = Up
Total Packets Received = 75077
Total Bytes Received = 398
Total Receive Errors = 0
...
 


 

破損した SensorApp 設定のクリーンアップ

SensorApp 設定が破損状態となり SensorApp が動作しない場合は、SensorApp を完全に削除して SensorApp を再起動する必要があります。

SensorApp を削除するには、次の手順を実行します。


ステップ 1 サーバ アカウントにログインします。

ステップ 2 root に su します。

ステップ 3 IDS アプリケーションを停止します。

/etc/init.d/cids stop
 

ステップ 4 仮想センサー ファイルを交換します。

cp /usr/cids/idsRoot/etc/defVirtualSensorConfig.xml /usr/cids/idsRoot/etc/VS-Config/virtualSensor.xml
 

ステップ 5 キャッシュ ファイルを削除します。

rm /usr/cids/idsRoot/var/virtualSensor/*.pmz
 

ステップ 6 サービス アカウントを終了します。

ステップ 7 管理者権限でアカウントにログインします。

ステップ 8 センサーをリブートします。

sensor# reset
Warning: Executing this command will stop all applications and reboot the node.
Continue with reset? [yes]:yes
Request Succeeded.
sensor#
 


 

シングル CPU モードでの SensorApp の実行

ストリームベースのシグニチャに対して IP ロギングがオンになっている状態で、SensorApp がデュアル CPU センサー上で動作していると、CPU がクラッシュしたり、CPU が消費される場合があります。シングル プロセッサ モードに変更するか、ストリームベースのシグニチャに対して IP ロギングをオフにする必要があります。詳細については、「 CSCed32093 」を参照してください。

センサーをシングル プロセッサ モードに変更するには、次の手順を実行します。


ステップ 1 シングル プロセッサ モードに変更します。

a. vi ~cids/idsRoot/etc/mainApp.conf

b. AnalysisEngine セクションの最後に次の行を追加します。

Arg01=-t
Arg02=single
 

これにより sensorApp は、シングル プロセッサ モードで動作します。


) SensorApp をシングル プロセッサ モードで実行すると、パケット処理のパフォーマンスが低下する場合があります。



SensorApp をシングル プロセッサ モードで実行することが、推奨される回避策です。この回避策を適用した後で、シグニチャ 993 失敗パケット アラームが表示されない限りは、この回避策を使用します。アラームが表示された場合は、ステップ 2 に進みます。


ステップ 2 EventAction ログをオフにして、ストリームベースのシグニチャではなく CapturePacket True を使用します。


 

IDS-4250-XL での不良メモリ

出荷された IDS-4250-XL の中には、XL カード上の DIMM が不良のものがありました。DIMM が不良の場合には、センサーはハングし、SensorApp は機能を停止してコア ファイルを生成します。

IDS-4250-XL を調べて不良メモリの有無を確認する手順については、「 Partner Field 52563 」を参照してください。


ステップ 1 指定した時刻以降の、アラート レベルのイベントを表示します。

sensor# show events alert level hh:mm month day year
 

たとえば、 show events alert high 10:00 September 22 2002 では、2002 年 9 月 22 日、午前 10:00 以降に発生した重大度が高いイベントがすべて表示されます。

指定した時刻以降のイベントが表示されます。

ブロッキング

NAC の設定が終了すると、 show version コマンドを使用して NAC が正しく動作しているかどうかを確認できます。ネットワーク デバイスに NAC が接続されていることを確認するには、 show statistics networkAccess コマンドを使用します。

NAC をトラブルシュートするには、次の手順を実行します。

1. NAC が実行されていることを確認します。

手順については、「NAC が動作中であることを確認する」を参照してください。

2. NAC がネットワーク デバイスに接続されていることを確認します。

手順については、「NAC が接続状態にあることを確認する」を参照してください。

3. 特定のシグニチャについて EventAction が shunHost に設定されていることを確認します。

手順については、「シグニチャに対してブロッキングが発生していない」を参照してください。

4. MBS が適切に設定されていることを確認します。

「マスター ブロッキング センサーの設定を確認する」を参照してください。


) NAC アーキテクチャの説明については、「NAC」 を参照してください。


ここでは、ブロッキングおよび NAC サービスをトラブルシューティングするうえで役立つ情報を提供します。

ここでは、次の内容について説明します。

「NAC が動作中であることを確認する」

「NAC が接続状態にあることを確認する」

「デバイスのアクセスに関する問題点」

「ネットワーク デバイス上のインターフェイス/方向を確認する」

「ネットワーク デバイスへの SSH 接続を有効にする」

「シグニチャに対してブロッキングが発生していない」

「マスター ブロッキング センサーの設定を確認する」

NAC が動作中であることを確認する

NAC が動作していることを確認するには、 show version コマンドを使用します。


ステップ 1 CLI にログインします。

ステップ 2 NAC が動作していることを確認します。

sensor# show version

Application Partition:

 

Cisco Systems Intrusion Detection Sensor, Version 4.1(3)S61

 

OS Version 2.4.18-5smpbigphys

Platform: IDS-4235

Sensor up-time is 20 days.

Using 214319104 out of 921522176 bytes of available memory (23% usage)

Using 596M out of 15G bytes of available disk space (5% usage)

 

 

MainApp 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

AnalysisEngine 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

Authentication 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

Logger 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

NetworkAccess 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

TransactionSource 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

WebServer 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

CLI 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500

 

 

Upgrade History:

 

* IDS-K9-min-4.1-1-S47 12:00:00 UTC Thu Jun 30 2005

IDS-K9-sp-4.1-3-S61.rpm.pkg 14:14:55 UTC Fri Feb 20 2004

 

Recovery Partition Version 1.2 - 4.1(1)S47

 

ステップ 3 NetworkAccess の表示が Not Running である場合、NAC は故障しています。TAC に連絡する必要があります。


 

NAC が接続状態にあることを確認する


ステップ 1 CLI にログインします。

ステップ 2 NAC が接続状態にあることを確認します。

出力の State セクションを調べて、すべてのデバイスが接続状態にあることを確認します。

sensor# show statistics networkAccess
Current Configuration
AllowSensorShun = false
ShunMaxEntries = 100
NetDevice
Type = PIX
IP = 7.7.7.7
NATAddr = 0.0.0.0
Communications = telnet
NetDevice
Type = Cisco
IP = 5.5.5.5
NATAddr = 0.0.0.0
Communications = ssh-des
ShunInterface
InterfaceName = fa0/0
InterfaceDirection = in
InterfacePreShun = preAcl
NeverShun
IP = 3.3.3.1
IP = 3.3.3.2
IP = 3.3.3.3
IP = 11.0.0.0
MasterBlockingSensor
SensorIp = 1.2.3.4
SensorPort = 8080
UseTls = 1
State
ShunEnable = true
NetDevice
IP = 7.7.7.7
AclSupport = Does not use ACLs
State = Connecting
NetDevice
IP = 5.5.5.5
AclSupport = uses Named ACLs
State = Connecting
sensor#
 

ステップ 3 NAC が接続状態にない場合は、繰り返し発生しているエラーを探します。

sensor# show events error NAC hh:mm:ss month day year
 

ステップ 4 ソフトウェアのアップデートが最新のものであることを確認します。

sensor# show version
Upgrade History:
 
* IDS-K9-min-4.1-1-S47 12:00:00 UTC Thu Jun 30 2005
IDS-K9-sp-4.1-3-S61.rpm.pkg 14:14:55 UTC Fri Feb 20 2004
Recovery Partition Version 1.2 - 4.1(1)S47
 

最新のものではない場合は、Cisco.com からダウンロードします。手順については、「Cisco IDS ソフトウェアの入手方法」を参照してください。

ステップ 5 NetworkAccess の既知の DDTS については、ソフトウェア アップグレードに添付の Readme を参照してください。

ステップ 6 デバイスごとに設定(ユーザ名、パスワード、IP アドレス)が正しいことを確認します。

手順については、「デバイスのアクセスに関する問題点」を参照してください。

ステップ 7 ネットワーク デバイスごとにインターフェイス/方向が正しいことを確認します。

手順については、「ネットワーク デバイス上のインターフェイス/方向を確認する」を参照してください。

ステップ 8 ネットワーク デバイスで SSH-DES または SSH-3DES が使用されている場合は、デバイスへの SSH 接続をすでに有効にしていることを確認します。

手順については、「ネットワーク デバイスへの SSH 接続を有効にする」を参照してください。

ステップ 9 制御対象の各デバイスで各インターフェイス/方向が正しいことを確認します。

手順については、「ネットワーク デバイス上のインターフェイス/方向を確認する」を参照してください。


 

デバイスのアクセスに関する問題点

NAC は、管理しているデバイスにアクセスできない場合があります。管理対象のデバイスの IP アドレス、ユーザ名、およびパスワードが正しいこと、インターフェイス/方向が正しく設定されていることを確認します。

デバイスへのアクセスの問題についてトラブルシューティングを行うには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 NetworkAccess のサービス設定モードに入ります。

sensor (config)# service NetworkAccess
 

ステップ 4 管理対象デバイスの IP アドレスを確認します。

sensor(config-NetworkAccess)# show settings
cat6k-devices (min: 0, max: 100, current: 1)
communication:
ip-address: 172.21.172.151
nat-address:
shun-device-cfg: groupa shun-interfaces (min: 0, max: 100, current: 2)
post-vacl-name: testPostACL
pre-vacl-name: testPreACL vlan: 1 units: none post-vacl-name: pre-vacl-name:
lan: 5 units: none
general
------------------------
allow-sensor-shun: false
enable-acl-logging: false
master-blocking-sensors (min: 0, max: 100, current: 0)
never-shun-hosts (min: 0, max: 100, current: 0)
 

ステップ 5 デバイスに手動で接続して、正しいユーザ名、正しいパスワード、および有効なパスワードを使用していること、さらにセンサーからデバイスに到達可能であることを確認します。

a. サーバ アカウントにログインします。

b. Telnet または SSH を使用してネットワーク デバイスに接続し、設定を確認します。

c. デバイスに到達できることを確認します。

d. ユーザ名とパスワードを確認します。

ステップ 6 各ネットワーク デバイスの各インターフェイス/方向が正しいことを確認します。

手順については、「ネットワーク デバイス上のインターフェイス/方向を確認する」を参照してください。

ステップ 7 ルータ上で ACL を探します。

sensor# interface Ethernet0
ip address 172.16.171.28 255.255.255.192
ip access-group IDS_ethernet0_in_0 in!
ip access-list extended IDS_ethernet0_in_0d
deny ip host 172.16.171.14 any
permit ip any any
 


 

ネットワーク デバイス上のインターフェイス/方向を確認する

制御対象の各デバイス上で各インターフェイス/方向が正しいことを確認するには、手動ブロックを不正なホストに送信し、ルータの ACL 内のブロックされているアドレスについて拒否エントリが存在するかどうかを確認できます。


) IDM から手動ブロックを実行することもできます。それには、[Administration] > [Manual Blocking] > [Host Manual Blocks] の順に選択します。


不正なホストに対する手動ブロックを開始するには、次の手順を実行します。


ステップ 1 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 2 NAC のサービス設定モードに入ります。

sensor(config)# service NetworkAccess
 

ステップ 3 一般的な NAC 設定モードに入ります。

sensor(config-NetworkAccess)# general
 

ステップ 4 不正なホストの IP アドレスの手動ブロックを開始します。

sensor(config-NetworkAccess-gen)# shun-hosts ip-address 10.16.0.0
 

ステップ 5 次のように終了し、変更内容を受け入れます。

sensor(config-NetworkAccess-gen-shu)# exit
sensor(config-NetworkAccess-gen)# exit
sensor(config-NetworkAccess)# exit
Apply Changes:? [yes]: yes
 

ステップ 6 ルータに Telnet 接続して、ブロックされたアドレスの拒否エントリがルータの ACL 内に存在することを確認します。

手順については、ルータのマニュアルを参照してください。

ステップ 7 手動ブロックを削除するにはステップ 1 ~ 5 を繰り返します。ただし、ステップ 4 では、コマンドの前に no を配置します。

sensor(config-NetworkAccess-gen)# no shun-hosts ip-address 10.16.0.0
 


 

ネットワーク デバイスへの SSH 接続を有効にする

ネットワーク デバイスの通信プロトコルとして SSH-DES または SSH-3DES を使用している場合は、デバイス上で該当するプロトコルを必ず有効にしておく必要があります。

ネットワーク デバイスへの SSH 接続を有効にするには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 SSH を有効にします。

sensor(config)# ssh host blocking_device_ip_ address
 

ステップ 4 デバイスを受け入れるよう指示するメッセージが表示されたら、 yes と入力します。


 

シグニチャに対してブロッキングが発生していない

特定のシグニチャに対してブロッキングが発生していない場合は、EventAction が shunHost に設定されているかどうかチェックします。

特定のシグニチャに対してブロッキングが発生していることを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 仮想センサー モードに入ります。

sensor(config)# service virtual-sensor-configuration virtualSensor
 

ステップ 4 EventAction が shunHost に設定されていることを確認します。

sensor(config-vsc)# tune-micro-engines
sensor(config-vsc-virtualSensor)# atomic.icmp
sensor(config-vsc-virtualSensor-ATO)# sig sigid 2000 sensor(config-vsc-virtualSensor-ATO-sig)# show settings
SIGID: 2000 <protected>
SubSig: 0 <protected>
AlarmDelayTimer:
AlarmInterval:
AlarmSeverity: informational <defaulted>
AlarmThrottle: Summarize <defaulted>
AlarmTraits:
CapturePacket: False <defaulted>
ChokeThreshold: 100 <defaulted>
DstIpAddr:
DstIpMask:
Enabled: False <defaulted>
EventAction: shunHost
 


 

マスター ブロッキング センサーの設定を確認する

マスター ブロッキング センサー(MBS)が適切に設定されていることを確認するには、あるいは適切に設定されていない MBS のトラブルシューティングを行うには、 show statistics networkAccess コマンドを使用できます。リモート MBS が TLS を使用して Web アクセスを行っている場合は、転送センサーが TLS の信用できるホストとして設定されていることを確認します。

センサーの NAC MBS 設定を確認するには、次の手順を実行します。


ステップ 1 NAC の統計情報を表示し、MBS のエントリが統計情報にあることを確認します。

sensor# show statistics networkAccess
Current Configuration
AllowSensorShun = false
ShunMaxEntries = 250
MasterBlockingSensor
SensorIp = 10.89.149.46
SensorPort = 443
UseTls = 1
State
ShunEnable = true
ShunnedAddr
Host
IP = 122.122.122.44
ShunMinutes = 60
MinutesRemaining = 59
 

ステップ 2 統計情報に MBS が表示されていない場合は、それを追加してください。

手順については、「センサーをマスター ブロッキング センサーにする設定」を参照してください。

ステップ 3 不正なホスト IP アドレスへの手動ブロックを開始し、MSB がブロックを開始していることを確認します。

a. コンフィギュレーション モードに入ります。

sensor# configure terminal
 

b. NAC のサービス設定モードに入ります。

sensor(config)# service NetworkAccess
 

c. 一般的な NAC 設定モードに入ります。

sensor(config-NetworkAccess)# general
 

d. 不正なホスト IP アドレスに対する手動ブロックを開始します。

sensor(config-NetworkAccess-gen)# shun-hosts ip-address 10.16.0.0
 

e. 次のように終了し、変更内容を受け入れます。

sensor(config-NetworkAccess-gen-shu)# exit
sensor(config-NetworkAccess-gen)# exit
sensor(config-NetworkAccess)# exit
Apply Changes:? [yes]: yes
sensor(config)# exit
sensor#
 

ステップ 4 NAC の統計情報にブロックが表示されていることを確認します。

sensor# show statistics networkAccess
Current Configuration
AllowSensorShun = false
ShunMaxEntries = 100
State
ShunEnable = true
ShunnedAddr
Host
IP = 10.16.0.0
ShunMinutes =
 

ステップ 5 MBS ホストの CLI にログインし、 show statistics networkAccess コマンドを使用して、MBS NAC の統計情報にブロックが表示されていることも確認します。

sensor# show statistics networkAccess
Current Configuration
AllowSensorShun = false
ShunMaxEntries = 250
MasterBlockingSensor
SensorIp = 10.89.149.46
SensorPort = 443
UseTls = 1
State
ShunEnable = true
ShunnedAddr
Host
IP = 10.16.0.0
ShunMinutes = 60
MinutesRemaining = 59
 

ステップ 6 リモート MBS センサーが TLS を使用して Web アクセスを行っている場合は、転送センサーが TLS ホストとして設定されていることを確認します。

a. コンフィギュレーション モードに入ります。

sensor# configure terminal
 

b. 転送センサーを TLS ホストとします。

sensor(config)# tls trust ip master_blocking_sensor_ip_address
 


 

ロギング

TAC では、トラブルシューティングのためにデバッグ ロギングをオンにすることを推奨する場合もあります。LogApp では、さまざまなロギング ゾーンのロギングの重大度を制御することにより、各アプリケーションが生成するログ メッセージの種類を制御します。デフォルトでは、デバッグ ロギングはオンではありません。

個別ゾーン制御を有効にすると、各ゾーンでは設定されたロギング レベルを使用します。個別ゾーン制御を有効にしなければ、すべてのゾーンで同じロギング レベルが使用されます。

ここでは、次の内容について説明します。

「デバッグ ロギングをイネーブルにする」

「ゾーン名」

「SysLog に cidLog メッセージを転送する」

デバッグ ロギングをイネーブルにする


注意 デバッグ ロギングをイネーブルにすることは、パフォーマンスに重大な影響を与えるので、TAC によって指示された場合にのみ使用する必要があります。

デバッグ ロギングをイネーブルにするには、次の手順を実行できます。


ステップ 1 サーバ アカウントにログインします。

ステップ 2 log.conf ファイルを編集し、追加のログ ステートメントを収容するためにログのサイズを増やします。

vi /usr/cids/idsRoot/etc/log.conf
 

ステップ 3 fileMaxSizeInK=500 fileMaxSizeInK=5000 に変更します。

ステップ 4 ファイルのゾーン/CID セクションの位置を特定し、重大度をデバッグに設定します。

severity=debug
 

ステップ 5 ファイルを保存し、vi エディタを終了し、サービス アカウントを終了します。

ステップ 6 CLI に管理者としてログインします。

ステップ 7 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 8 サービス ロガー モードに入ります。

sensor(config)# service logger
 

ステップ 9 マスターコントロール サブモードに入ります。

sensor(config-Logger)# masterControl
 

ステップ 10 個々のゾーン制御をオンにします。

sensor(config-Logger-mas)# individual-zone-control true
 

ステップ 11 マスター ゾーン制御を終了します。

sensor(config-Logger-mas)# exit
 

ステップ 12 ゾーン名を表示します。

sensor(config-Logger)# show settings
masterControl
-----------------------------------------------
enable-debug: false default: false
individual-zone-control: true default: false
-----------------------------------------------
zoneControl (min: 0, max: 999999999, current: 8)
-----------------------------------------------
zoneName: Cid default: Cid
severity: debug default: debug
-----------------------------------------------
zoneName: AuthenticationApp default: Cid
severity: warning default: debug
-----------------------------------------------
zoneName: Cli default: Cid
severity: warning default: debug
-----------------------------------------------
zoneName: ctlTransSource default: Cid
severity: warning default: debug
-----------------------------------------------
zoneName: IdapiCtlTrans default: Cid
severity: warning default: debug
-----------------------------------------------
zoneName: IdsEventStore default: Cid
severity: warning default: debug
-----------------------------------------------
zoneName: MpInstaller default: Cid
severity: warning default: debug
-----------------------------------------------
zoneName: tls default: Cid
severity: warning default: debug
-----------------------------------------------
-----------------------------------------------
 

それぞれのゾーン名が示す内容に関するリストについては、「ゾーン名」 を参照してください。

ステップ 13 特定のゾーンのロギング レベルを調整するには、次のように入力します。

sensor(config-Logger)# zoneControl zoneName csi
sensor(config-Logger-zon)#
 

csi がゾーン名として表示されます。

sensor(config-Logger)# show setttings IdsEventStore
-----------------------------------------------
zoneName: csi default: Cid
severity: warning default: debug
-----------------------------------------------
-----------------------------------------------
 

ステップ 14 特定のゾーン(たとえば、EventStore)のサブモードを入力します。

sensor(config-Logger)# zoneControl zoneName IdsEventStore
 

ステップ 15 EventStore のデバッギングをオンにします。

sensor(config-Logger-zon)# severity debug
 

ステップ 16 個々のゾーンのサブモードを終了します。

sensor(config-Logger-zon)# exit
sensor(config-Logger)# exit
 

ステップ 17 変更を適用するには、 yes と入力します。

Apply Changes:?[yes]: yes
sensor(config)#
 


 

ゾーン名

表 B-1 デバッグ ロガー ゾーン名をリストします。

 

表 B-1 デバッグ ロガー ゾーン名

ゾーン名
説明

AuthenticationApp

認証ゾーン

Cid

一般的なロギング ゾーン

Cli

CLI ゾーン

IdapiCtlTrans

すべての制御トランザクション ゾーン

IdsEventStore

EventStore ゾーン

MpInstaller

IDSM-2 マスター パーティション インストーラ ゾーン

ctlTransSource

発信制御トランザクション ゾーン

tls

SSL/TLS ゾーン

SysLog に cidLog メッセージを転送する

cidLog メッセージを syslog に転送することが有用な場合があります。

cidLog メッセージを syslog に転送するには、次の手順を実行します。


ステップ 1 idsRoot/etc/log.conf ファイルに進みます。

ステップ 2 次の変更を加えます。

a. Set [logApp] enabled=false

enabled=true はコメント化されます。これは enabled=false がデフォルトであるためです。

b. [drain/main] type=syslog を設定します。

次の例に、ロギング設定ファイルを示します。

timemode=local
;timemode=utc
 
[logApp]
;enabled=true
;-------- FIFO parameters --------
fifoName=logAppFifo
fifoSizeInK=240
;-------- logApp zone and drain parameters --------
zoneAndDrainName=logApp
fileName=main.log
fileMaxSizeInK=500
 
[zone/Cid]
severity=warning
drain=main
 
[zone/IdsEventStore]
severity=debug
drain=main
 
[drain/main]
type=syslog
 

syslog の出力が syslog ファシリティ local6 に送信され、syslog メッセージ プロパティとは次の対応関係があります。

LOG_DEBUG, // デバッグ

LOG_INFO, // タイミング

LOG_WARNING, // 警告

LOG_ERR, // エラー

LOG_CRIT // 重大


) /etc/syslog.conf の該当するファシリティが適切な優先順位で有効になっていることを確認します。



注意 syslog は logApp よりかなり時間がかかります(1 秒あたり 50 メッセージ程度。logApp は 1 秒あたり 1000 メッセージ程度)。デバッグの重大度は、一度に 1 つのゾーンでのみイネーブルにすることを推奨します。

NTP

センサーに時間を提供するように NTP サーバを設定すると、センサーは ntpdate ユーティリティを実行して NTP サーバと同期します。センサーが認証なしで NTP サーバと同期するという障害が存在します。入力した NTP 認証鍵の ID と値が正しくない場合は、センサーの NTP アップデートが引き続き実行されているように見えます。ただし、認証鍵の ID と値が正しく設定されていない場合、NTP サーバからの長期のアップデートは発生しません。

また、センサー上で NTP の設定を試みたときに次のエラーを受信した場合は、次の 2 つの原因が考えられます。

Error: Could not run ntpdate utility. Fatal Error has occurred. Node MUST be rebooted to enable alarming.
 

接続性に関係する問題が生じているか、NTP の再設定で障害が発生しています。

ここでは、次の内容について説明します。

「センサーが NTP サーバと同期していることを確認する」

「NTP サーバの接続性に関する問題」

「NTP 再設定の不具合」

センサーが NTP サーバと同期していることを確認する

センサーが NTP サーバと同期されていることを確認するには、次の手順を実行します。


ステップ 1 サーバ アカウントにログインします。

ステップ 2 /usr/sbin/ntpg -p を実行することによりセンサーが NTP サーバと通信できるかどうかを確認します。

sensor# /usr/sbin/ntpq -p
remote refid st t when poll reach delay offset jitter
10.89.147.99 CHU_AUDIO(1) 6 u 47 64 0 0.410 19.457 0.740
LOCAL(0) LOCAL(0) 5 l 59 64 0 0.000 0.000 0.004
 

サーバの IP アドレス行における、reach 列の値が 0 の場合、センサーは NTP サーバと通信できず、鍵も一致しません。

ステップ 3 /usr/sbin/ntptrace を実行することにより、センサーが NTP サーバと接続できることを確認します。

sensor# /usr/sbin/ntptrace server_ip_address
 

ステップ 4 次のような内容が出力される場合、センサーは NTP サーバと接続できますが、鍵の ID または値は正しくないことが最も考えられます。

10.89.147.99: stratum 6, offset 0.025372, synch distance 0.00003
 

ステップ 5 次のような内容が出力される場合、ネットワークの接続性またはアクセスに関する問題が存在することが最も考えられます。

10.89.147.99: ‘Timeout’
 

ステップ 6 NTP サーバへの接続が可能な場合は、センサーが NTP サーバを認証できることを確認してください。

sensor# /usr/sbin/ntpq -c assoc
 

ステップ 7 次の出力では auth 列に ok があります。これはセンサーが NTP サーバを認証できたことを示しています。auth 列に bad があると、ほとんどの場合、センサー上で設定された鍵 ID または鍵値は、サーバ上で設定された値と一致していません。

ind assID status conf reach auth condition last_event cnt
1 1052 f614 yes yes ok sys.peer reachable 1
2 1053 9014 yes yes none reject reachable 1
 


 

NTP サーバの接続性に関する問題

Could not run ntpdate utility.Fatal Error has occurred.Node MUST be rebooted to enable alarming 」というメッセージを受信した場合、接続性および NTP サーバに関する問題が考えられます。

NTP サーバへの接続性に関する問題を調べるには、次の手順を実行します。


ステップ 1 センサーのサービス アカウントにログインします。

ステップ 2 サービス アカウント パスワードを使用して root に su します。

bash-2.05a$ su root
Password:
 

ステップ 3 NTP デーモンをシャットダウンするには、次のコマンドを入力します。

[root@sensor]# killall -INT ntpd
 

ステップ 4 センサーの時間を NTP サーバと同期させるには(NTP 設定が正しい場合)、次の手順を実行します。

[root@sensor]# ntpdate -u ntp_server_ip_address
 

ステップ 5 出力にエラーがないかどうかを調べます。

エラーがない場合は、NTP の再設定に不具合があります。詳細については、「NTP 再設定の不具合」を参照してください。

cannot reach server 」または「 server is not running 」というエラーがある場合は、サーバのマニュアルを参照して NTP サーバを正しく接続するための方法を調べてください。


 

NTP 再設定の不具合

Could not run ntpdate utility.Fatal Error has occurred.Node MUST be rebooted to enable alarming 」というメッセージを受信した場合、NTP サーバの接続性に関する問題が発生していないのであれば、NTP の再設定に不具合(CSCed84480)があります。


) ntpd の実行中に ntpdate が実行されると、エラーが発生します。不具合は、NTP の設定が変更されるたびに、ntpdate を実行して NTP サーバとすぐに同期できるように、MainApp が ntpd をシャットダウンするというものです。


NTP の再設定の不具合を修正するには、次の手順に従います。


ステップ 1 センサーのサービス アカウントにログインします。

ステップ 2 サービス アカウント パスワードを使用して root に su します。

bash-2.05a$ su root
Password:
 

ステップ 3 次のコマンドを入力します。

[root@sensor]# killall -INT ntpd
 

ステップ 4 サービス アカウントからログアウトします。

ステップ 5 センサー CLI にログインします。

ステップ 6 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 7 サービス ホスト モードに入ります。

sensor(config)# service Host
 

ステップ 8 時間パラメータ サブモードに入ります。

sensor(config-Host)# timeParams
 

ステップ 9 NTP(NTP サーバ IP アドレス、鍵 ID、鍵値)を設定します。

sensor(config-Host-tim)# ntpServers ipAddress ntp_server_ip_address
sensor(config-Host-tim-ntp)# keyid number
sensor(config-Host-tim-ntp)# keyvalue name
 

ここに NTP 設定の例を示します。

sensor(config-Host-tim)# ntpServers ipAddress 10.87.126.52
sensor(config-Host-tim-ntp)# keyid 10
sensor(config-Host-tim-ntp)# keyvalue cisco
 

ステップ 10 NTP サブモードを終了します。

sensor(config-Host-tim-ntp)# exit
sensor(config-Host-tim)# exit
sensor(config-Host)# exit
Apply Changes:?[yes]:
 

ステップ 11 yes と入力して変更を適用します。


 

TCP リセット

ここでは、TCP リセットに関する問題のトラブルシューティングに役立つ情報を提供します。

ここでは、次の内容について説明します。

「シグニチャに対してリセットが発生しない」

「TCP リセット インターフェイスの使用方法」

シグニチャに対してリセットが発生しない

EventAction がリセットするよう設定されていない場合、特定のシグニチャに対して TCP リセットが発生しません。

特定のシグニチャに対してリセットが発生しないという問題のトラブルシューティングを行うには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 EventAction がリセットされるよう設定されていることを確認します。

a. コンフィギュレーション モードに入ります。

sensor# configure terminal
 

b. 仮想センサー モードに入ります。

sensor(config)# service virtual-sensor-configuration virtualSensor
 

c. EventAction のパラメータを確認します。

sensor(config-vsc)# tune-micro-engines
sensor(config-vsc-virtualSensor# string.tcp
sensor(config-vsc-virtualSensor-/STR)# sig sigid 20000 sensor(config-vsc-virtualSensor-STR-sig)# show settings
SIGID: 20000 <protected>
SubSig: 0 <defaulted>
AlarmDelayTimer:
AlarmInterval:
AlarmSeverity: medium <defaulted>
AlarmThrottle: Summarize <defaulted>
AlarmTraits:
CapturePacket: False <defaulted>
ChokeThreshold:
Direction: toService <defaulted>
Enabled: True <defaulted>
EventAction: reset
 

ステップ 3 正しいアラームが生成されることを確認します。

sensor# show events
evAlert: eventId=1047575239898467370 severity=medium
originator:
hostId: sj_4250_40
appName: sensorApp
appInstanceId: 1004
signature: sigId=20000 sigName=STRING.TCP subSigId=0 version=Unknown
addr: locality=OUT 172.16.171.19
port: 32771
victim:
addr: locality=OUT 172.16.171.13 port: 23
actions:
tcpResetSent: true
 

ステップ 4 センサーからの着信 TCP リセット パケットを、スイッチが許容していることを確認します。

手順については、スイッチのマニュアルを参照してください。

ステップ 5 リセットが送信されていることを確認します。

root# ./tcpdump -i eth0 src host 172.16.171.19
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: listening on eth0
13:58:03.823929 172.16.171.19.32770 > 172.16.171.13.telnet: R 79:79(0) ack 62 win 0
13:58:03.823930 172.16.171.19.32770 > 172.16.171.13.telnet: R 80:80(0) ack 62 win 0
13:58:03.823930 172.16.171.19.32770 > 172.16.171.13.telnet: R 80:80(0) ack 62 win 0
13:58:03.823930 172.16.171.19.32770 > 172.16.171.13.telnet: R 80:80(0) ack 62 win 0
 


 

TCP リセット インターフェイスの使用方法

IDS-4250-XL には、TCP リセット インターフェイス(INT0)があります。IDS-4250-XL は、モニタリング ポートに TCP リセットを送信できないので、専用の TCP リセット インターフェイスが用意されています。

IDS-4250-XL においてリセット上の問題が発生した場合は、次の手順を試してください。

IDS-4250-XL(int0)の TCP リセット インターフェイスが XL カードのセンシング ポート(int2 および int3)と同じスイッチに接続されていることを確認します。

センシング ポートがアクセス ポート(1 つの VLAN)である場合、リセット ポートが同じ VLAN に存在するように設定する必要があります。


) 2 つの XL ポートが別の VLAN のアクセス ポートである場合、いずれか一方の VLAN に対してだけリセット ポートを設定できます。dot1q トランク ポートを使用すると、この制限は解消されます。


センシング ポートが dot1q トランク ポート(マルチ VLAN)である場合、このセンシング ポートとリセット ポートはすべて同じネイティブ VLAN を持つ必要があり、リセット ポートは両方のセンシング ポートによってトランク接続されている VLAN すべてにトランク接続されている必要があります。

ソフトウェアのアップグレード

ここでは、ソフトウェア アップグレードのトラブルシューティングに役立つ情報を提供します。

ここでは、次の内容について説明します。

「ソフトウェア アップグレード中に IDS-4235 および IDS-4250 がハングする」

「適用するアップデートとその順序」

「自動アップデートに関する問題」

「IDSM-2 および NM-CIDS 4.1(4) イメージのバージョンを確認する」

「センサーに格納されたアップデートを使用してセンサーを更新する」

ソフトウェア アップグレード中に IDS-4235 および IDS-4250 がハングする

IDS-4235 および IDS-4250 の BIOS が A03 である場合は、最新の IDS ソフトウェアを適用する前に BIOS を A04 にアップグレードする必要があります。そうしないと、ソフトウェアのアップグレード プロセス中にアプライアンスがハングします。BIOS のアップグレードの手順については、「BIOS のアップグレード」を参照してください。最新の IDS ソフトウェアを適用する手順については、「Cisco IDS ソフトウェアの入手方法」を参照してください。

適用するアップデートとその順序

ソフトウェアのサービス パックのバージョンとマイナー/メジャー バージョンは正しいものを使用する必要があります。新しいソフトウェアの適用に関して問題が発生している場合は、適切なアップデートを適切な順序で実行しているかどうかを確認します。

シグニチャのアップデートでは、正しいサービス パックが必要です。

サービス パックを適用するには、正しいマイナー バージョンが必要です。

マイナー バージョンを適用するには、正しいメジャー バージョンが必要です。

メジャー バージョンを適用するには、前のメジャー バージョンが必要です。

図 B-1 に IDS ソフトウェアのファイル名の解釈方法を示します。

図 B-1 IDS ソフトウェアのファイル名

 

 

たとえば、ソフトウェアのアップデートは、互いに依存し合っています。

IDS-maj-5.0-1-S90.rpm.pkg をインストールするには、センサーのバージョンが 4.x(y)Sz でなければなりません。

IDS-min-4.2-1-S90.rpm.pkg をインストールするには、センサーのバージョンが 4.0(y)Sz または 4.1(y)Sz でなければなりません。

IDS-sp-4.0-3-S90.rpm.pkg をインストールするには、センサーのバージョンが 4.0(1)Sz または 4.0(2)Sz でなければなりません。

IDS-sig-4.0-3-S81.rpm.pkg をインストールするには、センサーのバージョンが 4.0(3)Sz でなければなりません。ここで、z は 81 未満です。

自動アップデートに関する問題

次のリストに、自動アップデートのトラブルシューティングに役立つ情報を示します。

tcpDump を実行します。

サービス アカウントを作成します。root に su し、さらにコマンド/コントロール インターフェイスで tcpDump を実行して、センサーと FTP サーバとの間のパケットをキャプチャします。

手順については、「サービス アカウントの作成」を参照してください。

upgrade コマンドを使用して、センサーを手動でアップグレードします。

手順については、「アプライアンスとモジュールのイメージの再作成」を参照してください。

FTP サーバから返されるエラーの tcpDump 出力を調べます。

センサーが正しいディレクトリ内にあることを確認します。

ディレクトリを正しく指定する必要があります。これが、Windows FTP サーバにおける問題の原因です。場合によっては、ディレクトリ名の前に余分に「/」を 1 つ、あるいは「/」を 2 つ付ける必要があります。

これを確認するには、固有の FTP 接続を介して送信された tcpDump 出力に示されているのと同じ FTP コマンドを使用します。

カスタム プロンプトを使用するように FTP サーバが変更されていないか、確認します。

たとえば、セキュリティ上の警告を表示するように FTP のプロンプトを変更した場合は、それが問題の原因となります。その場合、センサーがハードコード化された応答リストを必要とするからです。


) プロンプトの修正禁止は、4.1(4) よりも前のバージョンにのみ適用されます。


MS-DOS ファイル構造体ではなく UNIX ファイル構造体をエミュレートするには、Windows FTP サーバ セットアップ オプションを使用する必要があります。

SCP を使用する場合は、SSH ホスト鍵を既知のホスト リストに必ず追加しておきます。

手順については、「SSH 既知ホスト リストへの既知ホストの追加」を参照してください。

手動による upgrade コマンドを試してから、自動アップデートを試みます。 upgrade コマンドでは動作するが、自動アップデートでは動作しない場合は、次の手順を実行します。

センサーに搭載されている IDS ソフトウェア バージョンを特定します(手順については、「現在のバージョンの表示」を参照してください)。

バージョン 4.0(1) には、自動アップデートに関する既知の問題があります。手動で 4.1(1) へのアップグレードを行ってから、自動アップデートの設定および使用を試みてください。

自動アップデートには、必ずパスワードを設定します。自動アップデートのパスワードは、手動アップデートで使用されるパスワードと一致する必要があります。

FTP サーバ内のファイル名が、Cisco.com の「Downloads」に表示されるものと同じであることを確認します。これには大文字の使用も含まれます。

一部の Windows FTP サーバは大文字化されていないファイルへのアクセスを許可しますが、名前が変更されているのでセンサーは最終的にファイルを拒否します。

必要であれば、自動アップデートで tcpDump を実行します。正常な手動アップデートを異常な自動アップデートと比較し、そこからトラブルシューティングを行うことができます。

IDSM-2 および NM-CIDS 4.1(4) イメージのバージョンを確認する

IDSM-2 および NM-CIDS の 4.1(4) アプリケーション パーティション ファイルは、再度パッケージ化されています。次の新しいファイルが存在します。

IDSM-2:WS-SVC-IDSM2-K9-a-4.1-4-S91a.bin.gz

NM-CIDS:NM-CIDS-K9-a-4.1-4-S91a.bin

新規ファイルをインストールすると、その後 show version コマンドを使用したとき、ファイル名に「a」は表示されません。

IDSM-2 の再パッケージ化されたアプリケーション パーティション ファイルが適用済みであることを確認するには、サービス アカウントにログインし、/sbin/hdparm ファイルが存在することを確認します。

NM-CIDS の再パッケージ化されたアプリケーション パーティション ファイルが適用済みであることを確認するには、 show version コマンドを実行して、リカバリ パーティションが 2.4 であることを確認します。オリジナル 4.1 (4) イメージ ファイル内のリカバリ パーティションのバージョンは 2.3 でした。

センサーに格納されたアップデートを使用してセンサーを更新する

アップデート パッケージをセンサー上の /var ディレクトリに格納し、必要に応じて、そこからセンサーを更新することができます。

センサーに格納されたアップデートを使用してセンサーを更新するには、次の手順を実行します。


ステップ 1 サーバ アカウントにログインします。

ステップ 2 Cisco.com からアップデート パッケージファイルを取得します。

手順については、「Cisco IDS ソフトウェアの入手方法」を参照してください。

ステップ 3 FTP または SCP を使用して、アップデート ファイルをセンサーの /usr/cids/idsRoot/var ディレクトリに送信します。

ステップ 4 ファイルの権限を設定します。

chmod 644 IDS_package_file_name
 

ステップ 5 サービス アカウントを終了します。

ステップ 6 管理者権限を持つアカウントを使用して次のようにセンサーにログインします。

ステップ 7 センサーのホスト鍵を格納します。

sensor# configure terminal
sensor(config)# ssh host-key sensor_ip_address
 

ステップ 8 センサーをアップグレードします。

sensor(config)# upgrade scp://service@sensor_ip_address/upgrade/IDS_package_file_name
Enter password: *****
Re-enter password: *****

IDSM-2 のトラブルシューティング

IDSM-2 のソフトウェアのアーキテクチャは、4200 シリーズ センサーのものと同じです。「4200 シリーズ アプライアンスのトラブルシューティング」 に記載されたトラブルシューティング ツールと同じものを使用できます。

ここでは、特に、IDSM-2 のトラブルシューティングについて説明します。

ここでは、次の内容について説明します。

「IDSM-2 の問題の診断」

「トラブルシューティング用のスイッチ コマンド」

「ステータス LED が点灯しない」

「ステータス LED は点灯しているが、IDSM-2 がオンラインにならない」

「IDSM-2 コマンド/コントロール ポートと通信できない」

「TCP リセット インターフェイスの使用方法」

「IDSM-2 へのシリアル ケーブルの接続」

IDSM-2 の問題の診断

次のリストに示した内容に基づいて、IDSM-2 の問題を診断します。

IDSM-2 とマザーボードとの間のリボン ケーブルが緩んでいます。

モジュールを物理的に取り扱った際に、ベース カードからコネクタが外れ、ドーター カードとベース カードの接続が失われています。リボン ケーブル コネクタが外れると、ポート 7 および 8 にオンライン診断エラーが発生します。このような状態が生じている場合、モジュールは動作しません。

詳細については、 Partner Field Notice 52816 を参照してください。

出荷された IDSM-2 の一部に、DIMM に不具合があるものがありました。

IDSM-2 をチェックしてメモリに障害がないかどうかを確認する手順については、 Partner Field 52563 を参照してください。

ハードディスク ドライブで読み書きができません。

ハードディスク ドライブが長期間(2 週間以上)、常時使用状態になっていると、次に示すような複数の症状が発生する可能性があります。

ログインできない

読み/書き動作を行う際のコンソールに対する I/O エラー( ls コマンド)

コマンドが正常に実行されない(実行ファイルへのパスを検出できない)

スイッチからのレポートでモジュールは ok であると示されていても、サービス アカウントにログインした場合やコマンドの実行を試みた場合に、問題の存在が明らかになります。4.1(4) サービス パックによってこの問題は多少解決されていますが、4.1(4) アプリケーション パーティション イメージで IDSM-2 を再度イメージ化する場合は、4.1(4b) パッチを適用する必要があります。詳細については、 CSCef12198 を参照してください。

ストリームベースのシグニチャに対して IP ロギングを有効にすると、SensorApp によって CPU がクラッシュしたり CPU が 99% 占有されてしまいます(1300 シリーズ)。回避策については、 CSCed32093 を参照してください。

IDSM-2 がロックされると考えられ、リモート アクセスは禁止されます(SSH、Telnet、IDM、イベント サーバ、コントロール トランザクション サーバ、IP ログ サーバ)。

この不具合は SWAP の使用に関連しています。IDSM-2 は PING に応答します。4.1(4) サービス パックを適用して、この問題を解決します。詳細については、 CSCed54146 を参照してください。

IDSM-2 をアップグレードして間もなく、または VMS でシグニチャを調整して間もなくすると、IDSM-2 は応答しなくなり、多くの場合 sensorApp コア ファイルが生成されます。この問題には、4.1(4b) パッチを適用します。

IDSM-2 の設定がサポートされていることを確認します。

「サポートされている IDSM-2 の構成」を参照してください。

たとえば、IDSM-2 に上記のような問題が発生していないのに、応答しない状態が続き、たとえば SSH または Telnet を介したモジュールへのログインも、スイッチとセッションを開始することもきません。IDSM-2 が PING に応答するかどうか、サービス アカウントを介してログインできるかどうかを判断します。ログインが可能な場合は、cidDump とコア ファイルを取得し、TAC に連絡してください。

トラブルシューティング用のスイッチ コマンド

次のスイッチ コマンドは、IDSM-2 のトラブルシューティングで役に立ちます。

show module( Cisco Catalyst ソフトウェアおよび Cisco IOS ソフトウェア)

show version (Cisco Catalyst ソフトウェアおよび Cisco IOS ソフトウェア)

show port( Cisco Catalyst ソフトウェア)

show trunk( Cisco Catalyst ソフトウェア)

show span( Cisco Catalyst ソフトウェア)

show security acl( Cisco Catalyst ソフトウェア)

show intrusion-detection module (Cisco IOS ソフトウェア)

show monitor (Cisco IOS ソフトウェア)

show vlan access-map (Cisco IOS ソフトウェア)

show vlan filter (Cisco IOS ソフトウェア)

ステータス LED が点灯しない

IDSM-2 でステータス LED が点灯していない場合は、モジュールへの電源をオンにする必要があります。

モジュールのステータスを確認するには、次の手順を実行します。


ステップ 1 コンソールにログインします。

ステップ 2 IDSM-2 がオンラインであることを確認します。

Catalyst ソフトウェア(イネーブル モード)の場合

console> (enable) show module

Mod Slot Ports Module-Type Model Sub Status

--- ---- ----- ----------------------- ----------------- --- -----

1 1 2 1000BaseX Supervisor WS-X6K-SUP2-2GE yes ok

15 1 1 Multilayer Switch Featu WS-F6K-MSFC2 no ok

2 2 48 10/100BaseTX Ethernet WS-X6548-RJ-45 no ok

4 4 8 1000BaseX Ethernet WS-X6408-GBIC no ok

5 5 2 Intrusion Detection Sys WS-X6381-IDS no ok

6 6 0 FlexWAN Module WS-X6182-2PA no ok

7 7 2 Intrusion Detection Sys WS-x6381-IDS no ok

9 9 8 Intrusion Detection Sys WS-SVC-IDSM2 yes ok

 

Mod Module-Name Serial-Num

--- -------------------- -----------

1 SAD044409HJ

15 SAD044509KZ

2 SAD060304VG

4 JAB04040859

5 SAD044508PH

6 SAD06450316

7 SAD04130DZ9

9 SAD063803KK

Mod MAC-Address(es) Hw Fw Sw

--- -------------------------------------- ------ ---------- ------------

1 00-01-63-d0-73-20 to 00-01-63-d0-73-21 1.1 6.1(3) 8.2(2)

00-01-63-d0-73-1e to 00-01-63-d0-73-1f

00-04-de-43-ec-00 to 00-04-de-43-ef-ff

15 00-04-9a-12-3b-40 to 00-04-9a-12-3b-7f 1.1 12.1(22)E1 12.1(22)E1

2 00-01-63-d4-a0-aa to 00-01-63-d4-a0-d9 4.0 6.3(1) 8.2(2)

4 00-30-a3-38-9a-30 to 00-30-a3-38-9a-37 2.3 4.2(0.24)V 8.2(2)

5 00-30-f2-70-d8-5e to 00-30-f2-70-d8-5f 1.2 4B4LZ0XA 3.0(7)S82

6 00-09-7c-be-37-80 to 00-09-7c-be-37-bf 1.5 12.1(22)E1 12.1(22)E1

7 00-50-3e-7e-70-62 to 00-50-3e-7e-70-63 0.301 4B4LZ0XA 3.0(7)S82

9 00-03-fe-aa-c0-d8 to 00-03-fe-aa-c0-df 0.102 7.2(1) 4.1(4)S91

 

Mod Sub-Type Sub-Model Sub-Serial Sub-Hw Sub-Sw

--- ----------------------- ------------------- ----------- ------ ------

1 L3 Switching Engine II WS-F6K-PFC2 SAD044302BP 1.0

9 IDS 2 accelerator board WS-SVC-IDSUPG . 2.0

console> (enable)

 

For Cisco IOS software:

router# show module

Mod Ports Card Type Model Serial No.

--- ----- -------------------------------------- ------------------ -----------

1 2 Catalyst 6000 supervisor 2 (Active) WS-X6K-SUP2-2GE SAD060300AR

2 48 SFM-capable 48 port 10/100/1000mb RJ45 WS-X6548-GE-TX SAD074806XS

5 8 8 port 1000mb ethernet WS-X6408-GBIC SAD03380401

6 2 Intrusion Detection System WS-X6381-IDS SAD052106AX

7 0 2 port adapter FlexWAN WS-X6182-2PA SAD064502WY

9 8 Intrusion Detection System WS-SVC-IDSM2 SAD060301T4

 

Mod MAC addresses Hw Fw Sw Status

--- ---------------------------------- ------ ------------ ------------ -------

1 0002.7e38.7630 to 0002.7e38.7631 3.2 7.1(1) 12.1(19)E1 Ok

2 000e.8336.d730 to 000e.8336.d75f 6.0 7.2(1) 7.6(1.6)T195 Ok

5 0030.961a.b194 to 0030.961a.b19b 2.6 5.4(2) 7.6(1.6)T195 Ok

6 0002.7ef9.9c80 to 0002.7ef9.9c81 1.1 4B4LZ0XA 3.0(6)S42 Ok

7 0008.7cd5.2340 to 0008.7cd5.237f 1.5 12.1(19)E1 12.1(19)E1 Ok

9 0001.0002.0003 to 0001.0002.000a 0.102 7.2(1) 4.1(4)S91 Ok

 

Mod Sub-Module Model Serial Hw Status

--- --------------------------- --------------- --------------- ------- -------

1 Policy Feature Card 2 WS-F6K-PFC2 SAD060300XG 3.0 Ok

1 Cat6k MSFC 2 daughterboard WS-F6K-MSFC2 SAD060102D7 1.3 Ok

9 IDS 2 accelerator board WS-SVC-IDSUPG . 2.0 Ok

 

Mod Online Diag Status

--- -------------------

1 Pass

2 Pass

5 Pass

6 Not Supported

7 Not Supported

9 Pass

router#

 


) IDSM-2 を初めて取り付けたときに、ステータスが「other」を示すのは正常な動作です。IDSM-2 が診断ルーチンを完了してオンラインになると、ステータスが「ok」を示します。IDSM-2 がオンラインになるまでの時間は、最長で 5 分かかることがあります。


ステップ 3 ステータスが ok にならないときは、モジュールをオンにします。

router# set module power up module_number
 


 

ステータス LED は点灯しているが、IDSM-2 がオンラインにならない

ステータス LED は点灯しているが、モジュールがオンラインにならない場合は、次のトラブルシューティングを実行してください。

モジュールをリセットします。

モジュールがスイッチに適切に取り付けられていることを確認します。

ハードディスク ドライブのステータスに問題がある場合は、アプリケーション パーティションのイメージを再度作成します。

モジュールをイネーブルにするには、次の手順を実行します。


ステップ 1 コンソールにログインします。

ステップ 2 モジュールがイネーブルになっていることを確認します。

router# show module
 

ステップ 3 ステータスが ok を示していない場合は、モジュールをイネーブルにします。

router# set module enable module_number
 

ステップ 4 モジュールがオンラインにならない場合は、モジュールをリセットします。

router# reset module_number
 

モジュールがオンラインになるまで、約 5 分間かかります。

ステップ 5 それでもモジュールがオンラインにならない場合は、ハードウェアとオペレーティング システムが ok であるかどうか確認します。

router# show test module_number
 

ステップ 6 port のステータスが fail を示している場合は、モジュールがスイッチにしっかりと接続されているか確認します。

ステップ 7 hdd ステータスが fail を示している場合は、アプリケーション パーティションのイメージを再作成する必要があります。

手順については、「アプライアンスとモジュールのイメージの再作成」を参照してください。


 

IDSM-2 コマンド/コントロール ポートと通信できない

IDSM-2 のコマンド/コントロール ポートと通信できない場合は、コマンド/コントロール ポートが正しい VLAN に置かれていない場合があります。

IDSM-2 のコマンド/コントロール ポートと通信するには、次の手順を実行します。


ステップ 1 コンソールにログインします。

ステップ 2 PING を使用して他のシステムからコマンド ポートに接続できることを確認します。

ステップ 3 IP アドレス、マスク、およびゲートウェイ設定が正しいことを確認します。

router# show configuration
 

ステップ 4 コマンド/コントロール ポートが正しい VLAN 内にあることを確認します。

Catalyst ソフトウェアの場合

console> (enable) show port 9/2

* = Configured MAC Address

 

Port Name Status Vlan Duplex Speed Type

----- ------------ ---------- ------- ------ --------- ------------

9/2 connected 146 full 1000 Intrusion De

 

 

 

Port Broadcast-Limit Multicast Unicast Total-Drop Action

----- --------------- --------- ------- -------------- ------------

9/2 - - - 0 drop-packets

 

Port Status ErrDisable Reason Port ErrDisableTimeout Action on Timeout

---- ---------- ------------------ ---------------------- -----------------

9/2 connected - Enable No Change

 

Port Align-Err FCS-Err Xmit-Err Rcv-Err UnderSize

----- ---------- ---------- ---------- ---------- ---------

9/2 0 0 0 0 0

 

Port Single-Col Multi-Coll Late-Coll Excess-Col Carri-Sen Runts Giants

----- ---------- ---------- ---------- ---------- --------- --------- ---------

9/2 0 0 0 0 0 0 0

 

Port Last-Time-Cleared

----- --------------------------

9/2 Mon Jul 19 2004, 09:58:55

 

Idle Detection

--------------

--

console> (enable)

 

Cisco IOS ソフトウェアの場合

router# show intrusion-detection module 6 management-port state
Intrusion-detection module 6 management-port:
 
Switchport: Enabled
Administrative Mode: dynamic desirable
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: On
Access Mode VLAN: 146 (10.89.149.0/25_QA_Sensors)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Vlans allowed on trunk:146
Vlans allowed and active in management domain: 146
Vlans in spanning tree forwarding state and not pruned:
146
Access Vlan = 146
 


 

TCP リセット インターフェイスの使用方法

IDSM-2 には、TCP リセット インターフェイス(ポート 1)があります。IDSM-2 は、センシング ポートに TCP リセットを送信できないので、専用の TCP リセット インターフェイスが用意されています。

IDSM-2 においてリセット上の問題が発生した場合は、次の手順を試してください。

センシング ポートがアクセス ポート(1 つの VLAN)である場合、リセット ポートが同じ VLAN に存在するように設定する必要があります。

センシング ポートが dot1q トランク ポート(マルチ VLAN)である場合、このセンシング ポートとリセット ポートはすべて同じネイティブ VLAN を持つ必要があり、リセット ポートは両方のセンシング ポートによってトランク接続されている VLAN すべてにトランク接続されている必要があります。

IDSM-2 へのシリアル ケーブルの接続

IDSM-2 上のシリアル コンソール ポートにシリアル ケーブルを直接接続することができます。これにより、スイッチおよびモジュールのネットワーク インターフェイスをバイパスできます。

シリアル ケーブルを IDSM-2 に接続するには、次の手順を実行します。


ステップ 1 IDSM-2 で 2 つの RJ-45 ポートの位置を特定します。

マザーボードのほぼ中心にあります。モジュールの前面プレートと向き合っている場合は、右側にある RJ-45 ポートがシリアル コンソール ポートです。

ステップ 2 ストレート型ケーブルを IDSM-2 の右側のポートに接続し、ケーブルの他端をターミナル サーバ ポートに接続します。

ステップ 3 ターミナル サーバ ポートを 19200 ボー、8 ビット、パリティなしに設定します。

これで IDSM-2 に直接ログインできるようになります。


) シリアル ケーブルはシャーシの前方から引き出す必要があるため、IDSM-2 へのシリアル ケーブルの接続は、スイッチ シャーシ内で IDSM-2 の周りにモジュールが配置されていない場合にのみ可能です。



 

情報の収集

次に示す CLI コマンドおよびスクリプトを使用すれば、問題が発生した際にセンサーに関する情報を収集し、センサーの状態を診断することができます。 show tech-support コマンドを使用してセンサーのすべての情報を収集することも、ここで示す他の個々のコマンドを使用して特定の情報を収集することもできます。

ここでは、次の内容について説明します。

「show tech-support コマンド」

「show version コマンド」

「show configuration/more current-config コマンド」

「show statistics コマンド」

「show interfaces コマンド」

「show events コマンド」

「cidDump スクリプト」

「Cisco FTP サイトへのファイルのアップロードおよびそのサイト上のファイルへのアクセス」

show tech-support コマンド

show tech-support コマンドは、センサーのすべてのステータスおよび設定情報をキャプチャするのに有用です。

ここでは、次の内容について説明します。

「show tech-support コマンド」

「技術サポート情報の表示」

「show tech-support コマンドの出力」

show tech-support コマンド

show tech-support コマンドはセンサーにおけるすべてのステータスと情報をキャプチャし、現在の設定、バージョン情報、cidDump 情報などが含まれます。出力は、大きくなり 1 MB を超えることもあります。出力はリモート システムに転送できます。リモート システムに出力をコピーする手順については、「技術サポート情報の表示」を参照してください。


) IDS Device Manager から同じ情報を取得するには、[Administration] > [Support] > [System Information] の順に選択します。



) TAC に連絡する前に show tech-support コマンドを必ず実行してください。


技術サポート情報の表示

システム情報を画面に表示したり、TAC によるトラブルシューティングで使用するために特定の URL に送ることができます。

技術サポート情報を表示するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 show tech support コマンドのオプション パラメータを表示します。

sensor# show tech-support ?
 

次のパラメータはオプションです。

page:一度に 1 ページの情報として出力を表示します。

password:出力にパスワードおよび他のセキュリティ情報を残します。

destination:HTML としてフォーマットし、このコマンドに続く宛先に送信する必要がある情報を示します。このパラメータを指定しない場合、出力は画面上に表示されます。

destination-url:HTML としてフォーマットする必要がある情報を示します。URL は、情報を送信する宛先を示します。

ステップ 3 画面上に出力を表示します。

sensor# show tech-support page
 

システム情報が画面上に一度に 1 ページずつ表示されます。次のページを表示するには Space キーを押します。プロンプトに戻るには、 Ctrl+C を押します。

ステップ 4 出力(HTML フォーマット)をファイルに送信するには、次の手順を実行します。

a. 次のコマンドを入力し、その後に有効な宛先を指定します。

sensor# show tech-support destination-url
 

次に示す種類の宛先を指定できます。

ftp: --File Transfer Protocol(FTP)ネットワーク サーバの宛先 URL です。このプレフィックスの構文は、 ftp:[[//username@location]/relativeDirectory]/filename または ftp:[[//username@location]//absoluteDirectory]/filename です。

scp: --Secure Copy Protocol(SCP)ネットワーク サーバの宛先 URL です。このプレフィックスの構文は、 scp:[[//username@]location]/relativeDirectory]/filename または scp:[[//username@]location]//absoluteDirectory]/filename です。

たとえば、技術サポート出力をファイル /absolute/reports/sensor1Report.html に送信するには、次のコマンドを入力します。

sensor# show tech support dest ftp://csidsuser@10.2.1.2//absolute/reports/sensor1Report.html
 

password: プロンプトが表示されます。

b. このユーザ アカウントのパスワードを入力します。

Generating report: メッセージが表示されます。


 

show tech-support コマンドの出力

show tech-support コマンド出力の例を次に示します。


) この出力例では、コマンドの先頭部分を示すと共に、認証、ホスト、およびロガー サービスに関する情報を一覧表示します。


sensor# show tech-support page
IDS 4.1 System Status Report
!! Warning output may contain Passwords !!
This Report was generated on Tues June 23 01:00:11 1994.
Output from more current-config
! ------------------------------
service Authentication
general
methods method Local
exit
exit
exit
! ------------------------------
service Host
networkParams
ipAddress 1.1.1.1
netmask 255.255.255.0
defaultGateway 10.89.146.254
hostname sensor
telnetOption enabled
accessList ipAddress 10.0.0.0 netmask 255.0.0.0
accessList ipAddress 1.2.3.4 netmask 255.255.0.0
accessList ipAddress 64.101.0.0 netmask 255.255.0.0
accessList ipAddress 5.6.7.8 netmask 255.255.255.255
accessList ipAddress 9.10.11.12 netmask 255.255.0.0
exit
optionalAutoUpgrade
active-selection none
exit
timeParams
summerTimeParams
active-selection none
exit
ntpServers ipAddress 10.10.10.10
keyId 2
keyValue none
exit
exit
exit
! ------------------------------
service Logger
masterControl
enable-debug false
exit
zoneControl zoneName Cid severity debug exit zoneControl zoneName AuthenticationApp
severity warning
exit
zoneControl zoneName Cli
severity warning
exit
zoneControl zoneName ctlTransSource
severity warning
exit
zoneControl zoneName IdapiCtlTrans
severity warning
exit
zoneControl zoneName IdsEventStore
severity warning
exit
zoneControl zoneName MpInstaller
severity warning
exit
zoneControl zoneName tls
severity warning
exit
exit
! ------------------------------
 

show version コマンド

show version コマンドは、センサーの全般的な状態を確立するために有用です。

ここでは、次の内容について説明します。

「show version コマンド」

「現在のバージョンの表示」

show version コマンド

show version コマンドは、センサーの全般的な状態を示します。さらに、障害が発生している場所を示すことができます。次のような情報が提供されます。

実行中のアプリケーション

アプリケーションのバージョン

ディスクおよびメモリの用途

アプリケーションのアップグレード履歴


) IDS Device Manager から同じ情報を取得するには、[Administration] > [Support] > [Diagnostics] の順に選択します。


現在のバージョンの表示

IDS ソフトウェア バージョンを表示できます。 show version コマンドを使用すると、OS のバージョン情報、シグニチャ パッケージ、システム上で動作する IDS プロセスを表示できます。

バージョンおよび設定を表示するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 バージョン情報を表示します。

sensor# show version
 

次の例では、アプライアンスおよび NM-CIDS のバージョン出力のサンプルを示します。

アプライアンスのバージョン出力の例

sensor# show version

Application Partition:

 

Cisco Systems Intrusion Detection Sensor, Version 4.1(3)S61

 

OS Version 2.4.18-5smpbigphys

Platform: IDS-4235

Sensor up-time is 20 days.

Using 214319104 out of 921522176 bytes of available memory (23% usage)

Using 596M out of 15G bytes of available disk space (5% usage)

 

 

MainApp 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

AnalysisEngine 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

Authentication 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

Logger 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

NetworkAccess 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

TransactionSource 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

WebServer 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

CLI 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500

 

 

Upgrade History:

 

* IDS-K9-min-4.1-1-S47 12:00:00 UTC Thu Jun 30 2005

IDS-K9-sp-4.1-3-S61.rpm.pkg 14:14:55 UTC Fri Feb 20 2004

 

Recovery Partition Version 1.2 - 4.1(1)S47

 


--MORE-- というプロンプトが表示された場合、Space キーを押すと詳細な情報が表示され、Ctrl+C キーを押すと出力がキャンセルされ CLI プロンプトに戻ります。また、terminal length 0 コマンドを使用すると、more prompt をディセーブルにすることもできます(出力が途切れないようにするため)。


NM-CIDS のバージョン出力の例

Router# show version

Application Partition:

 

Cisco Systems Intrusion Detection Sensor, Version 4.1(0.3)S42(0.3)

 

OS Version 2.4.18-5

Platform: NM-CIDS

Sensor up-time is 3 days.

Using 256172032 out of 260788224 bytes of available memory (98% usage)

Using 530M out of 17G bytes of available disk space (4% usage)

 

 

MainApp 2003_May_09_06.00 (Release) 2003-05-09T06:09:22-0500 Running

AnalysisEngine 2003_May_09_06.00 (Release) 2003-05-09T06:09:22-0500 Running

Authentication 2003_May_09_06.00 (Release) 2003-05-09T06:09:22-0500 Running

Logger 2003_May_09_06.00 (Release) 2003-05-09T06:09:22-0500 Running

NetworkAccess 2003_May_09_06.00 (Release) 2003-05-09T06:09:22-0500 Running

TransactionSource 2003_May_09_06.00 (Release) 2003-05-09T06:09:22-0500 Running

WebServer 2003_May_09_06.00 (Release) 2003-05-09T06:09:22-0500 Running

CLI 2003_May_09_06.00 (Release) 2003-05-09T06:09:22-0500

 

Upgrade History:

 

No upgrades installed

 


 

show configuration/more current-config コマンド

システム全体の設定を表示するには、 show configuration コマンドを使用するか、 more current-config コマンドを使用します。


ステップ 1 CLI にログインします。

ステップ 2 設定情報を表示します。


more current-config または show configuration コマンドを使用できます。


sensor# more current-config
 

設定情報(次と類似した)が表示されます。

! ------------------------------
service Authentication
general
attemptLimit 0
methods method Local
exit
exit
exit
! ------------------------------
service Host
networkParams
ipAddress 10.89.147.31
netmask 255.255.255.128
defaultGateway 10.89.147.126
hostname sensor31
telnetOption disabled
 
accessList ipAddress 10.0.0.0 netmask 255.0.0.0
accessList ipAddress 10.16.0.0 netmask 255.255.0.0
exit
optionalAutoUpgrade
active-selection
autoUpgradeParams autoUpgradeParams
schedule
active-selection calendarUpgrade
calendarUpgrade
timesOfDay time 14:40:00
daysOfWeek day wed
exit
exit
ipAddress 10.89.149.10
directory var/relupdates
username netrangr
password 12345
fileCopyProtocol ftp
exit
exit
timeParams
offset -360
standardTimeZoneName CST
summerTimeParams
active-selection none
exit
exit
exit
 


 

show statistics コマンド

show statistics コマンドは、センサーのサービスの状態を検査するのに有用です。

ここでは、次の内容について説明します。

「show statistics コマンド」

「統計情報の表示」

「show statistics コマンドの出力」

show statistics コマンド

センサーのサービスの現在の状態のスナップショットを表示するには、 show statistics コマンドを使用します。統計情報を示す次のサービスを一覧表示するには、 show statistics ? コマンドを使用します。

認証

EventServer

EventStore

ホスト

Logger

NetworkAccess

TransactionSource

TransactionServer

WebServer


) IDS Device Manager から同じ情報を取得するには、[Monitoring] > [Statistics] の順に選択します。


統計情報の表示

show statistics コマンドを使用して、関心のあるサービスの統計情報を表示することができます。

関心のあるサービスの統計情報を表示するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 統計情報の表示が可能なサービスを確認します。

sensor# show statistics ?
Authentication Display authentication statistics
EventServer Display event server statistics
EventStore Display event store statistics
Host Display host statistics
Logger Display logger statistics
NetworkAccess Display network access controller statistics
TransactionServer Display transaction server statistics
TransactionSource Display transaction source statistics
WebServer Display web server statistics

 

ステップ 3 関心のあるサービスの統計情報を表示します。

sensor# show statistics {Authentication | EventServer | EventStore | Host | Logger | NetworkAccess | TransactionServer | TransactionSource | WebServer } [ clear ]
 

たとえば、EventStore の統計情報は次のようになります。

sensor# show statistics EventStore
Event store statistics
General information about the event store
The current number of open subscriptions = 0
The number of events lost by subscriptions and queries = 0
The number of queries issued = 0
The number of times the event store circular buffer wrapped = 0
Number of events of each type currently stored
Debug events = 0
Status events = 0
Log transaction events = 4
Shun request events = 0
Error events, warning = 3
Error events, error = 0
Error events, fatal = 0
Alert events, informational = 0
Alert events, low = 0
Alert events, medium = 0
Alert events, high = 0
 


 

show statistics コマンドの出力

EventStore サービスの show statistics コマンド出力の例を次に示します。

sensor# show statistics EventStore
Event store statistics
General information about the event store
The current number of open subscriptions = 1
The number of events lost by subscriptions and queries = 0
The number of queries issued = 0
The number of times the event store circular buffer has
wrapped = 0
Number of events of each type currently stored
Debug events = 0
Status events = 21
Log transaction events = 226
Shun request events = 0
Error events, warning = 414
Error events, error = 10
Error events, fatal = 1
Alert events, informational = 0
Alert events, low = 0
Alert events, medium = 0
Alert events, high = 0
 

Logger サービスの show statistics コマンド出力の例を次に示します。

sensor# show statistics Logger
The number of Log interprocessor FIFO overruns = 0
The number of syslog messages received = 120
The number of <evError> events written to the event store by severity
Fatal Severity = 0
Error Severity = 0
Warning Severity = 120
TOTAL = 120
The number of log messages written to the message log by severity
Fatal Severity = 0
Error Severity = 0
Warning Severity = 0
Timing Severity = 0
Debug Severity = 3
Unknown Severity = 189
TOTAL = 192
 

show interfaces コマンド

show interfaces コマンドは、センシング インターフェイスおよびコマンド/コントロール インターフェイスに関する情報を収集するために有用です。

ここでは、次の内容について説明します。

「show interfaces コマンド」

「show interfaces コマンドの出力」

show interfaces コマンド

show interfaces コマンドにより次の情報を把握することができます。

インターフェイスがアップ状態かダウン状態かどうか

パケットが監視されているかどうか、どのインターフェイスでそれが行われるかどうか

SensorApp によってパケットがドロップされているかどうか

パケット ドロップを生じるようなエラーがインターフェイスによってレポートされているかどうか

show interfaces コマンドは、すべてのシステム インターフェイスの統計情報を表示します。または、個々のコマンドを使用して、コマンドおよびコントロール インターフェイス( show interfaces command-control )の統計情報、センシング インターフェイス( show interfaces sensing )の統計情報、インターフェイス グループ内のすべてのインターフェイスの統計情報( show interfaces group )を表示することができます。

show interfaces コマンドの出力

次の例は、 show interfaces コマンドからの出力を示したものです。

sensor# show interfaces sensing
Sensing int0 is down
Hardware is eth0, TX
Reset port
 

センシング インターフェイスがダウン状態になると、センサーはトラフィックを受信しません。 no shutdown コマンドを使用して、インターフェイスを有効にします。

sensor# configure terminal
sensor(config)# interface sensing int0
sensor(config-ifs)# no shutdown
sensor(config-ifd)# exit
sensor(config)# exit
sensor# show interfaces command-control
command-control is up
Internet address is 10.89.146.110, subnet mask is 255.255.255.0,
telnet is enabled.
Hardware is eth1, tx
 
Network Statistics
eth1 Link encap:Ethernet HWaddr 00:06:5B:EC:69:A0
inet addr:10.89.146.110 Bcast:10.89.146.255
Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1536664 errors:37 dropped:0 overruns:0 frame:37
TX packets:12606 errors:0 dropped:0 overruns:0 carrier:0
collisions:88 txqueuelen:100
RX bytes:143231073 (136.5 Mb) TX bytes:1783147 (1.7 Mb)
Interrupt:16 Base address:0xdcc0 Memory:feb20000-feb40000
 

コマンド/コントロール ポートはアップ状態です。パケットを受信中で、パケットはドロップされていません。

show events コマンド

show events コマンドを使用すれば、SensorApp によって生成されたアラートおよびアプリケーションによって生成されたエラーを表示できます。

ここでは、次の内容について説明します。

「センサーのイベント」

「show events コマンド」

「イベントの表示およびクリア」

「show events コマンドの出力」

センサーのイベント

5 種類のイベントがあります。

evAlert:侵入検知アラート

evError:アプリケーション エラー

evStatus:ステータスの変更(IP ログの作成など)

evLogTransaction:各センサー アプリケーションによって処理されるコントロール トランザクションのレコード

evShunRqst:ブロックの要求

イベントは、新しいイベントによって上書きされるまで EventStore にとどまります。

show events コマンド

show events コマンドは、IDS Event Viewer または Security Monitor でイベントを確認できないといった、イベント キャプチャの問題をトラブルシューティングする際に有用です。 show events コマンドを使用すれば、イベントが生成されていることを確認するためにセンサー上でどのイベントが生成されているかを特定し、監視側に障害があるかどうかを判定することができます。

EventStore からすべてのイベントをクリアするには、 clear events コマンドを使用します。

ここで、 show events コマンドのパラメータを示します。

sensor# show events
<cr>
alert Display local system alerts
error Display error events
hh:mm[:ss] Display start time
log Display log events
nac Display NAC shun events
past Display events starting in the past specified time
status Display status events
| Output modifiers
 

イベントの表示およびクリア

show events コマンドを使用すると、ローカル イベント ログを表示できます。特定の時刻からの新規イベントまたはイベント、特定の重大度の新規イベントまたはイベントを表示できるとともに、すべてのイベントを削除できます。

show events コマンドは、要求された開始時刻から、要求されたイベントの種類を表示します。開始時刻を入力しないと、現在の時刻に始まる、選択されたタイプのイベントが表示されます。イベントの種類が入力されない場合、すべてのイベントが表示されます。イベントは、ライブ フィードとして表示されます。Ctrl+C を押すと、ライブ フィードをキャンセルできます。


show events コマンドは、指定されたイベントが発生するまで待機します。Ctrl+C が押されるまで、イベントを待機および表示し続けます。


イベントを表示またはクリアするには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 新しいイベントを表示します。

sensor# show events
 

正規表現 | include shunInfo を使用して、イベントの排除に関する情報(ソース アドレスなど)を表示します。

新しいイベントが発生すると、それが表示されます。

ステップ 3 特定の時間からのイベントを表示します。

sensor# show events hh:mm month day year
 

たとえば、 show events 14:00 September 2 2002 は、2002 年 9 月 2 日、午後 2:00 以降の すべてのイベントを表示します。


) 時間は 24 時間形式で指定します。日付には、1 桁の数字を使用できます。


指定した時刻以降のイベントが表示されます。

ステップ 4 過去に開始されたイベントを表示します。

sensor# show events past hh:mm:ss
 

次の例では、30 秒前に開始されたすべてのイベントを表示します。

sensor# show events past 00:00:30
 

ステップ 5 イベント ストアからイベントを削除します。

sensor# clear events
Warning: Executing this command will remove all events currently stored in the event store.
Continue with clear? :
 

ステップ 6 EventStore からすべてのイベントをクリアするには、 yes と入力します。


 

show events コマンドの出力

show events コマンドの出力例を次に示します。

sensor# show events
 
evAlert: eventId=1080048367680474106 severity=informational
originator:
hostId: sensor
appName: sensorApp
appInstanceId: 1102
time: 2004/06/24 13:21:33 2004/06/24 13:21:33 EST
interfaceGroup: 0
vlan: 0
signature: sigId=7102 sigName=Reply-to-Broadcast subSigId=0 version=S37
participants:
attack:
attacker: proxy=false
addr: locality=OUT 10.89.146.24
victim:
addr: locality=OUT 10.89.146.24
alertDetails: Traffic Source: int0 ;
 
evAlert: eventId=1080048367680474107 severity=informational
originator:
hostId: sensor
appName: sensorApp
appInstanceId: 1102
time: 2004/06/24 13:21:33 2004/06/24 13:21:33 EST
interfaceGroup: 0
vlan: 0
signature: sigId=7102 sigName=Reply-to-Broadcast subSigId=0 version=S37
participants:
attack:
attacker: proxy=false
addr: locality=OUT 10.89.146.24
victim:
addr: locality=OUT 10.89.146.24
alertDetails: Traffic Source: int5 ;
 


 

cidDump スクリプト

IDM または CLI にアクセスしなくても、ルートとしてログインし /usr/cids/idsRoot/bin/cidDump を実行することにより、サービス アカウントから基本的なスクリプトである cidDump を実行できます。cidDump ファイルのパスは、/usr/cids/idsRoot/htdocs/private/cidDump.html です。

cidDump は大量の情報を取り込むためのスクリプトです。この情報には、IDS プロセス リスト、ログ ファイル、OS 情報、ディレクトリ リスト、パッケージ情報、設定ファイルなどがあります。

cidDump スクリプトを実行するには、次の手順を実行します。


ステップ 1 センサーのサービス アカウントにログインします。

ステップ 2 サービス アカウント パスワードを使用して root に su します。

ステップ 3 cidDump /usr/cids/idsRoot/bin/cidDump を入力します。

ステップ 4 結果として生成された /usr/cids/idsRoot/log/cidDump.html ファイルを圧縮します。

gzip /usr/cids/idsRoot/log/cidDump.html
 

ステップ 5 問題がある場合は、結果として生成された HTML ファイルを TAC または IDS の開発者に送信します。

手順については「Cisco FTP サイトへのファイルのアップロード」を参照してください。

Cisco FTP サイトへのファイルのアップロードおよびそのサイト上のファイルへのアクセス

大きなファイル(たとえば、cidDump.html、show tech-support コマンドの出力、コア ファイル)を ftp-sj サーバにアップロードできます。

Cisco FTP サイトへのファイルのアップロードおよび Cisco FTP サイトのファイルへのアクセスを行うには、次の手順に従います。


ステップ 1 ftp-sj.cisco.com に匿名でログインします。

ステップ 2 /incoming というディレクトリに変更します。

ステップ 3 put コマンドを使用してファイルをアップロードします。

必ずバイナリ転送タイプを使用します。

ステップ 4 アップロードされたファイルにアクセスするには、ECS でサポートされたホストにログインします。

ステップ 5 /auto/ftp/incoming ディレクトリに変更します。