Cisco Intrusion Prevention System アプライアンスおよびモジュール インストレーション ガイド for IPS 7.2
トラブルシューティング
トラブルシューティング
発行日;2013/11/08 | 英語版ドキュメント(2013/10/29 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

トラブルシューティング

内容

予防保守

予防保守の概要

バックアップ コンフィギュレーション ファイルの作成と使用

リモート サーバを使用したコンフィギュレーション ファイルのバックアップおよび復元

サービス アカウントの作成

ディザスタ リカバリ

パスワードの回復

パスワード回復の概要

アプライアンスのパスワードの回復

GRUB メニューの使用

ROMMON の使用

ASA 5500-X IPS SSP パスワードの回復

ASA 5585-X IPS SSP パスワードの回復

パスワード回復のディセーブル化

パスワード回復の状態の確認

パスワード回復のトラブルシューティング

時刻源とセンサー

時刻源とセンサー

IPS モジュール クロックと親デバイス クロックの同期

センサーと NTP サーバの同期の確認

センサーの時刻の修正

仮想化の利点および制約事項

サポート対象 MIB

異常検出をディセーブルにする場合

グローバル相関のトラブルシューティング

応答しない分析エンジン

RADIUS 認証のトラブルシューティング

外部製品インターフェイスのトラブルシューティング

外部製品インターフェイスの問題

外部製品インターフェイスのトラブルシューティングのヒント

アプライアンスのトラブルシューティング

アプライアンスおよびジャンボ パケット フレーム サイズ

接続のゆるみのトラブルシューティング

分析エンジンがビジー状態

通信の問題

Telnet または SSH からセンサーの CLI にアクセスできない

設定が誤っているアクセス リストの修正

IP アドレスの重複が原因でインターフェイスがシャットダウンする

SensorApp とアラート

SensorApp が実行されていない

物理的な接続性、SPAN、または VACL ポートの問題

アラートを表示できない

センサーがパケットを監視しない

破損した SensorApp 設定のクリーンアップ

Blocking

ブロッキングのトラブルシューティング

ARC が動作中であることを確認する

ARC 接続がアクティブであることを確認する

デバイスのアクセスに関する問題点

ネットワーク デバイス上のインターフェイスと方向を確認する

シグニチャに対してブロッキングが発生していない

マスター ブロッキング センサーの設定を確認する

ロギング

デバッグ ロギングをイネーブルにする

ゾーン名

SysLog に cidLog メッセージを転送する

シグニチャに対して TCP リセットが発生しない

ソフトウェアのアップグレード

アップグレードと分析エンジン

適用する更新とその前提条件

自動アップデートに関する問題

センサーに格納されたアップデートを使用してセンサーを更新する

IDM のトラブルシューティング

IDM を起動できない:Java アプレットのロードに失敗する

IDM が起動できない:分析エンジンがビジー状態

IDM、リモート マネージャ、または検知インターフェイスがセンサーにアクセスできない

シグニチャがアラートを生成しない

IME のトラブルシューティング

IME とセンサーの時刻の同期

「Not Supported」エラー メッセージ

ASA5500-XIPSSSP のトラブルシューティング

フェールオーバー シナリオ

ヘルスおよびステータス情報

ASA 5500-X IPS SSP および Normalizer エンジン

ASA 5500-X IPS SSP およびメモリ使用率

ASA 5500-X IPS SSP およびジャンボ パケット フレーム サイズ

ASA 5500-X IPS SSP およびジャンボ パケット

IPS アプライアンスと ASA IPS モジュールの TCP リセットの違い

ASA5585-XIPSSSP のトラブルシューティング

フェールオーバー シナリオ

IPS スイッチポートで停止したトラフィック フロー

ヘルスおよびステータス情報

ASA 5585-X IPS SSP および Normalizer エンジン

ASA 5585-X IPS SSP およびジャンボ パケット フレーム サイズ

ASA 5585-X IPS SSP およびジャンボ パケット

情報の収集

ヘルスおよびネットワーク セキュリティ情報

テクニカル サポート情報

show tech-support コマンドについて

技術サポート情報の表示

テクニカル サポート コマンド出力

バージョン情報

show version コマンドについて

バージョン情報の表示

統計情報

show statistics コマンドについて

統計情報の表示

インターフェイス情報

show interfaces コマンドについて

interfaces コマンドの出力

イベント情報

センサーのイベント

show events コマンドについて

イベントの表示

イベントのクリア

cidDump スクリプト

Cisco FTP サイトへのファイルのアップロードおよびそのサイト上のファイルへのアクセス

トラブルシューティング

内容

この付録にはトラブルシューティングに関するヒントと、センサーおよびソフトウェアに関する手順が含まれています。ここで説明する内容は、次のとおりです。

「予防保守」

「ディザスタ リカバリ」

「パスワードの回復」

「時刻源とセンサー」

「仮想化の利点および制約事項」

「サポート対象 MIB」

「異常検出をディセーブルにする場合」

「グローバル相関のトラブルシューティング」

「応答しない分析エンジン」

「RADIUS 認証のトラブルシューティング」

「外部製品インターフェイスのトラブルシューティング」

「アプライアンスのトラブルシューティング」

「IDM のトラブルシューティング」

「IME のトラブルシューティング」

「ASA 5500-X IPS SSP のトラブルシューティング」

「ASA 5585-X IPS SSP のトラブルシューティング」

「情報の収集」

予防保守

ここでは、センサーの予防保守を実行する方法について説明します。内容は次のとおりです。

「予防保守の概要」

「バックアップ コンフィギュレーション ファイルの作成と使用」

「リモート サーバを使用したコンフィギュレーション ファイルのバックアップおよび復元」

「サービス アカウントの作成」

予防保守の概要

次の処理は、センサーの維持に役立ちます。

適切な設定をバックアップします。現在の設定が使用不可能になっても、それをバックアップ バージョンと交換することができます。

バックアップ設定をリモート システムに保存します。

手動アップグレードは、必ず設定をバックアップしてから行ってください。自動アップグレードが設定されている場合は、定期バックアップを必ず実施してください。

サービス アカウントを作成します。サービス アカウントは、TAC の指示による特別なデバッグを行う状況で必要になります。


注意 サービス アカウントを作成するかどうかは、慎重に検討する必要があります。サービス アカウントは、システムへのシェル アクセスを提供するため、システムが脆弱になります。状況を分析して、システムにサービス アカウントを存在させるかどうかを決定してください。

詳細情報

コンフィギュレーション ファイルのバックアップ手順については、「バックアップ コンフィギュレーション ファイルの作成と使用」を参照してください。

リモート サーバを使用して、コンフィギュレーション ファイルをコピーおよび復元する手順については、「リモート サーバを使用したコンフィギュレーション ファイルのバックアップおよび復元」を参照してください。

サービス アカウントの詳細については、「サービス アカウントの作成」を参照してください。

バックアップ コンフィギュレーション ファイルの作成と使用

設定を保護するために、現在の設定のバックアップを作成し、表示することによってそれが保存したい設定であることを確認できます。この設定を復元する必要があるときは、バックアップ コンフィギュレーション ファイルを現在の設定とマージするか、現在のコンフィギュレーション ファイルにバックアップ コンフィギュレーション ファイルを上書きします。

現在の設定をバックアップするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 現在の設定を保存します。現在の設定がバックアップ ファイルに保存されます。

sensor# copy current-config backup-config
 

ステップ 3 バックアップ コンフィギュレーション ファイルを表示します。バックアップ コンフィギュレーション ファイルが表示されます。

sensor# more backup-config
 

ステップ 4 バックアップの設定を現在の設定とマージすることも、現在の設定を上書きすることもできます。

バックアップの設定を現在の設定とマージします。

sensor# copy backup-config current-config
 

バックアップの設定で現在の設定を上書きします。

sensor# copy /erase backup-config current-config
 


 

リモート サーバを使用したコンフィギュレーション ファイルのバックアップおよび復元


) アップグレードの前に、リモート サーバに現在のコンフィギュレーション ファイルをコピーすることを推奨します。


copy [ /erase ] source_url destination_url keyword コマンドを使用して、コンフィギュレーション ファイルをリモート サーバにコピーします。その後、リモート サーバから現在の設定を復元できます。まず、現在の設定をバックアップするように求めるメッセージが表示されます。次のオプションが適用されます。

/erase :コピーの前にコピー先のファイルを消去します。

このキーワードは current-config だけに適用され、backup-config は常に上書きされます。このキーワードが宛先の current-config 対して指定されると、ソース コンフィギュレーションがシステムのデフォルト コンフィギュレーションに適用されます。コピー先の current-config に対して指定されていない場合、コピー元の設定が current-config とマージされます。

source_url :コピーするコピー元ファイルの場所。URL またはキーワードです。

destination_url :コピーするコピー先のファイルの場所。URL またはキーワードです。

current-config :現在実行されている設定。コマンドが入力されると設定は永続的になります。

backup-config :設定のバックアップのストレージの場所。

コピー元およびコピー先の URL の形式は、ファイルによって変わります。次に有効なタイプを示します。

ftp::FTP ネットワーク サーバのコピー元またはコピー先の URL。このプレフィックスの構文は、次のとおりです。

ftp://[[username@]location][/relativeDirectory]/filename

ftp://[[username@]location][//absoluteDirectory]/filename


) パスワードを入力するように求められます。


scp::SCP ネットワーク サーバのコピー元またはコピー先の URL。このプレフィックスの構文は、次のとおりです。

scp://[[username@]location][/relativeDirectory]/filename

scp://[[username@]location][//absoluteDirectory]/filename


) パスワードを入力するように求められます。リモート ホストを SSH 既知ホスト リストに追加する必要があります。


http::Web サーバのコピー元 URL。このプレフィックスの構文は、次のとおりです。

http://[[username@]location][/directory]/filename


) ディレクトリは、必要なファイルへの絶対パスで指定する必要があります。


https::Web サーバのコピー元 URL。このプレフィックスの構文は、次のとおりです。

https://[[username@]location][/directory]/filename


) ディレクトリは、必要なファイルへの絶対パスで指定する必要があります。リモート ホストは TLS の信頼できるホストである必要があります。



注意 検知インターフェイスと仮想センサーが同じ設定ではない場合、別のセンサーからコンフィギュレーション ファイルをコピーすると、エラーが発生する可能性があります。

リモート サーバへの現在の設定のバックアップ

現在の設定をリモート サーバにバックアップするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 現在の設定をリモート サーバにバックアップします。

sensor# copy current-config scp://user@192.0.2.0//configuration/cfg current-config
Password: ********
Warning: Copying over the current configuration may leave the box in an unstable state.
Would you like to copy current-config to backup-config before proceeding? [yes]:
 

ステップ 3 yes と入力して、現在の設定をバックアップ設定にコピーします。

cfg 100% |************************************************| 36124 00:00
 


 

バックアップ ファイルからの現在の設定の復元

バックアップ ファイルから現在の設定を復元するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 現在の設定をリモート サーバにバックアップします。

sensor# copy scp://user@192.0.2.0//configuration/cfg current-config
Password: ********
Warning: Copying over the current configuration may leave the box in an unstable state.
Would you like to copy current-config to backup-config before proceeding? [yes]:
 

ステップ 3 yes と入力して、現在の設定をバックアップ設定にコピーします。

cfg 100% |************************************************| 36124 00:00
 
Warning: Replacing existing network-settings may leave the box in an unstable state.
Would you like to replace existing network settings (host-ipaddress/netmask/gateway/access-list) on sensor before proceeding? [no]:
sensor#
 

ステップ 4 現在設定されているホスト名、IP アドレス、サブネット マスク、管理インターフェイス、およびアクセス リストを保持する場合は、 no を入力します。他の設定の復元後もセンサーへのアクセスを維持するために、この情報を保持することを推奨します。


 

詳細情報

サポートされている HTTP/HTTPS サーバのリストについては、を参照してください。

サービス アカウントの作成

トラブルシューティングの際に使用する TAC 用のサービス アカウントを作成できます。センサーには複数のユーザがアクセスできますが、センサーに対する Service 権限を持てるのは 1 人のユーザだけです。サービス アカウントは、サポートの目的のためにのみ使用します。

サービス アカウントが作成されると、root ユーザのパスワードはサービス アカウントのパスワードに同期化されます。root でアクセスするには、サービス アカウントでログインしてから su - root コマンドを使用してユーザ root に切り替える必要があります。


注意 TAC の指示に基づく場合を除き、サービス アカウントを使用してセンサーに変更を加えないでください。サービス アカウントを使用してセンサーを設定すると、その設定は TAC のサポート対象外になります。サービス アカウントを使用してオペレーティング システムにサービスを追加すると、他の IPS サービスの特定のパフォーマンスと機能に影響を及ぼします。TAC は、追加のサービスが加えられたセンサーをサポートしません。


注意 サービス アカウントを作成するかどうかは、慎重に検討する必要があります。サービス アカウントは、システムへのシェル アクセスを提供するため、システムが脆弱になります。ただし、管理者のパスワードが失われた場合は、サービス アカウントを使用してパスワードを作成できます。状況を分析して、システムにサービス アカウントを存在させるかどうかを決定してください。


) IPS 5.0 以降の場合、cisco アカウントは削除できません。no password cisco コマンドを使用してディセーブルにできますが、削除はできません。no password cisco コマンドを使用するには、センサーに別の管理者アカウントが必要になります。サービス アカウントから cisco アカウントを削除することはできません。サービス アカウントから cisco アカウントを削除する場合、センサーはおそらく起動されないので、センサーを復旧するには、センサーのシステム イメージを再インストールする必要があります。


サービス アカウントを追加するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードを開始します。

sensor# configure terminal
 

ステップ 3 サービス アカウントのパラメータを指定します。ユーザ名は、^[A-Za-z0-9()+:,_/-]+$ の形式で入力します。ユーザ名は、文字または数字で始まり、A ~ Z(大文字または小文字)、0 ~ 9 の数字、「-」および「_」を含み、長さが 1 ~ 64 文字であることが必要です。

sensor(config)# user username privilege service
 

ステップ 4 入力を要求されたらパスワードを指定します。有効なパスワードの長さは、8 ~ 32 文字です。スペース以外のすべての文字を使用できます。このセンサーに対してサービス アカウントがすでに存在する場合は、次のエラー メッセージが表示され、サービス アカウントは作成されません。

Error: Only one service account may exist
 

ステップ 5 コンフィギュレーション モードを終了します。

sensor(config)# exit
sensor#
 

サービス アカウントを使用して CLI にログインすると、次の警告が表示されます。

************************ WARNING *******************************************************
UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED. This account is intended to be used for support and troubleshooting purposes only. Unauthorized modifications are not supported and will require this device to be reimaged to guarantee proper operation.
****************************************************************************************
 


 

ディザスタ リカバリ

次に示す推奨事項に従い、障害に備えてください。

設定に CLI、IDM、または IME を使用している場合は、変更を加えるたびに現在の設定をセンサーから FTP または SCP サーバにコピーします。

その設定に対する特定のソフトウェア バージョンをメモします。コピーされた設定は、同じバージョンのセンサーにしか適用できません。

また、そのセンサー上で使用されているユーザ ID のリストも必要です。ユーザ ID およびパスワードのリストは、設定内に保存されません。

障害が発生したときにセンサーの復旧が必要な場合は、次の作業を行ってみてください。

1. センサーのイメージを再作成します。

2. デフォルトのユーザ ID とパスワード( cisco )を使用してセンサーにログインします。


) パスワード cisco の変更を求めるプロンプトが表示されます。


3. センサーを初期化します。

4. センサーのアップグレードを行い、最後に設定が保存およびコピーされたときにセンサーに搭載されていた IPS ソフトウェア バージョンにします。


警告 センサーを障害発生前にセンサーに搭載されていた IPS ソフトウェア バージョンに戻さずに、保存された設定のコピーを試みると、設定エラーを引き起こす場合があります。


5. 最後に保存された設定をセンサーにコピーします。

6. クライアントを更新して、センサーの新しいキーと証明書を使用します。イメージを再作成すると、センサーの SSH キーと HTTPS 証明書が変更されるので、ホストを SSN の既知のホスト リストに追加し直す必要があります。

7. 前のユーザを作成します。

詳細情報

コンフィギュレーション ファイルのバックアップ手順については、「バックアップ コンフィギュレーション ファイルの作成と使用」を参照してください。

センサーのイメージを再作成する手順については、を参照してください。

setup コマンドを使用してセンサーを初期化する手順については、 付録 B「センサーの初期化」 を参照してください。

IPS ソフトウェアを入手し、インストールする方法については、を参照してください。

リモート サーバを使用して、コンフィギュレーション ファイルをコピーおよび復元する手順については、「リモート サーバを使用したコンフィギュレーション ファイルのバックアップおよび復元」を参照してください。

ホストを SSH の既知のホスト リストに追加する手順については、「 SSH の既知のホスト リストへのホストの追加 」を参照してください。

ユーザを追加して、センサー上の現在のユーザのリストを取得する手順については、「 ユーザ パラメータの設定 」を参照してください。

パスワードの回復

ここでは、センサーのパスワードを回復する方法について説明します。次の項目について説明します。

「パスワード回復の概要」

「アプライアンスのパスワードの回復」

「ASA 5500-X IPS SSP パスワードの回復」

「ASA 5585-X IPS SSP パスワードの回復」

「パスワード回復のディセーブル化」

「パスワード回復の状態の確認」

「パスワード回復のトラブルシューティング」

パスワード回復の概要


) セキュリティ上の理由から、管理者はパスワード回復機能をディセーブルにする必要がある場合があります。


パスワード回復の実装は、IPS プラットフォームの要件によって異なります。パスワード回復は cisco の管理アカウントに対してだけ実行され、デフォルトで有効になっています。IPS 管理者は、その後 CLI を使用して他のアカウントのユーザ パスワードを回復できます。シスコのユーザ パスワードは cisco に戻るため、次回ログイン後に変更する必要があります。

表 E-1 に、プラットフォーム別のパスワード回復方法を示します。

 

表 E-1 プラットフォーム別のパスワード回復方法

プラットフォーム
説明
回復方法

4300 シリーズ センサー
4500 シリーズ センサー

スタンドアロン IPS アプライアンス

GRUB プロンプトまたは ROMMON

ASA 5500-X IPS SSP
ASA 5585-X IPS SSP

ASA 5500 シリーズの適応型セキュリティ アプライアンス IPS モジュール

適応型セキュリティ アプライアンス の CLI コマンド

アプライアンスのパスワードの回復

ここでは、アプライアンスのパスワードを回復する 2 つの方法について説明します。次の項目について説明します。

「GRUB メニューの使用」

「ROMMON の使用」

GRUB メニューの使用


) GRUB メニューを使用してパスワードを回復するには、ターミナル サーバを使用するか、アプライアンスとの直接シリアル接続が必要です。


IPS 4345、IPS 4360、IPS 4510、および IPS 4520 アプライアンスでは、パスワードの回復には、ブートアップ中に表示される GRUB メニューを使用します。GRUB メニューが表示されたら、任意のキーを押してブート プロセスを停止します。

アプライアンスでパスワードを回復するには、次の手順を実行します。


ステップ 1 アプライアンスをリブートして、GRUB メニューを表示します。

GNU GRUB version 0.94 (632K lower / 523264K upper memory)
-------------------------------------------
0: Cisco IPS
1: Cisco IPS Recovery
2: Cisco IPS Clear Password (cisco)
-------------------------------------------
 
Use the ^ and v keys to select which entry is highlighted.
Press enter to boot the selected OS, 'e' to edit the
Commands before booting, or 'c' for a command-line.
 
Highlighted entry is 0:
 

ステップ 2 任意のキーを押してブート プロセスを停止します。

ステップ 3 [2: Cisco IPS Clear Password (cisco)] を選択します。パスワードが cisco にリセットされます。ユーザ名 cisco とパスワード cisco を使用して CLI にログインします。これで、パスワードを変更できます。


 

ROMMON の使用

IPS 4345、IPS 4360、IPS 4510、および IPS 4520 では、ROMMON を使用してパスワードを回復できます。ROMMON CLI にアクセスするには、ターミナル サーバまたは直接接続からセンサーをリブートして、ブート プロセスを中断します。

ROMMON CLI を使用してパスワードを回復するには、次の手順を実行します。


ステップ 1 アプライアンスをリブートします。

ステップ 2 ブート プロセスを中断するには、 ESC または Control-R (ターミナル サーバ)を押すか、 BREAK コマンドを送信します(直接接続)。ブート コードによって 10 秒間停止するか、次のようなメッセージが表示されます。

Evaluating boot options

BREAK または ESC を押して、ブートを中断します。

ステップ 3 次のコマンドを入力してパスワードをリセットします。

confreg 0x7
boot
 

サンプル ROMMON セッション:

Booting system, please wait...
CISCO SYSTEMS
Embedded BIOS Version 1.0(11)2 01/25/06 13:21:26.17
...
Evaluating BIOS Options...
Launch BIOS Extension to setup ROMMON
Cisco Systems ROMMON Version (1.0(11)2) #0: Thu Jan 26 10:43:08 PST 2006
Platform IPS-4360-K9
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot interrupted.
Management0/0
Link is UP
MAC Address:000b.fcfa.d155
Use ? for help.
rommon #0> confreg 0x7
Update Config Register (0x7) in NVRAM...
rommon #1> boot
 


 

ASA 5500-X IPS SSP パスワードの回復

CLI または ASDM を使用して ASA 5500-X IPS SSP のデフォルト( cisco )にパスワードをリセットできます。パスワードをリセットすると、リブートします。リブート中、IPS サービスは利用できません。


) パスワードをリセットするには、ASA 8.6.1 以降が必要です。


sw-module module ips password-reset コマンドを使用して、パスワードをデフォルトの cisco にリセットします。指定されたスロットのモジュールにパスワードの回復をサポートしない IPS バージョンがある場合、次のエラー メッセージが表示されます。

ERROR: the module in slot <n> does not support password recovery.
 

ASA 5500-X IPS SSP のパスワードをリセットするには、次の手順を実行します。


ステップ 1 適応型セキュリティ アプライアンスにログインし、次のコマンドを入力してください。

asa# sw-module module ips password-reset
Reset the password on module ips? [confirm]
 

ステップ 2 Enter を押して確認します。

Password-Reset issued for module ips.
 

ステップ 3 モジュールのステータスを確認します。ステータスが [Up] になると、ASA 5500-X IPS SSP へのセッションを確立できます。

asa# show module ips
Mod Card Type Model Serial No.
--- -------------------------------------------- ------------------ -----------
ips ASA 5555-X IPS Security Services Processor ASA5555-IPS FCH151070GR
 
Mod MAC Address Range Hw Version Fw Version Sw Version
--- --------------------------------- ------------ ------------ ---------------
ips 503d.e59c.7c4c to 503d.e59c.7c4c N/A N/A 7.2(1)E4
 
Mod SSM Application Name Status SSM Application Version
--- ------------------------------ ---------------- --------------------------
ips IPS Up 7.2(1)E4
 
Mod Status Data Plane Status Compatibility
--- ------------------ --------------------- -------------
ips Up Up
 
Mod License Name License Status Time Remaining
--- -------------- --------------- ---------------
ips IPS Module Enabled 210 days
 

ステップ 4 ASA 5500-X IPS SSP との間にセッションを確立します。

asa# session ips
Opening command session with module ips.
Connected to module ips. Escape character sequence is 'CTRL-^X'.
 

ステップ 5 ログイン プロンプトでデフォルトのユーザ名( cisco )とパスワード( cisco )を入力します。

login: cisco
Password: cisco
 
You are required to change your password immediately (password aged)
Changing password for cisco.
(current) password: cisco
 

ステップ 6 新しいパスワードを 2 度入力します。

New password: new password
Retype new password: new password
 
***NOTICE***
This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately.
 
A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 
If you require further assistance please contact us by sending email to export@cisco.com.
 
***LICENSE NOTICE***
There is no license key installed on this IPS platform. The system will continue to operate with the currently installed signature set. A valid license must be obtained in order to apply signature updates. Please go to http://www.cisco.com/go/license to obtain a new license or install a license.
 
asa-ssp#


 

ASDM の使用

ASDM でパスワードをリセットするには、次の手順を実行します。


ステップ 1 ASDM メニュー バーで、[Tools] > [IPS Password Reset] を選択します。


) IPS が存在しない場合、このオプションはメニューに表示されません。


ステップ 2 [IPS Password Reset] 確認ダイアログボックスで [OK] をクリックして、パスワードをデフォルト( cisco )にリセットします。ダイアログボックスに、パスワードのリセットが正常に完了したか、失敗したかが表示されます。リセットが失敗した場合は、ASA および IPS ソフトウェア バージョンが正しいことを確認してください。

ステップ 3 [Close] をクリックして、ダイアログボックスを閉じます。センサーがリブートします。


 

ASA 5585-X IPS SSP パスワードの回復


) パスワードをリセットするには、ASA 8.2.(4.4) 以降または ASA 8.4.2 以降が必要です。ASA 5585-X IPS SSP は ASA 8.3(x) ではサポートされていません。


CLI または ASDM を使用して ASA 5585-X IPS SSP のデフォルト( cisco )にパスワードをリセットできます。パスワードをリセットすると、リブートします。リブート中、IPS サービスは利用できません。

hw-module module slot_number password-reset コマンドを使用して、パスワードをデフォルトの cisco にリセットします。指定されたスロットのモジュールにパスワードの回復をサポートしない IPS バージョンがある場合、次のエラー メッセージが表示されます。

ERROR: the module in slot <n> does not support password recovery.
 

ASA 5585-X IPS SSP のパスワードをリセットするには、次の手順を実行します。


ステップ 1 適応型セキュリティ アプライアンスにログインし、次のコマンドを入力してください。

asa# hw-module module 1 password-reset
Reset the password on module in slot 1? [confirm]
 

ステップ 2 Enter を押して確認します。

Password-Reset issued for slot 1.
 

ステップ 3 モジュールのステータスを確認します。ステータスが [Up] になると、ASA 5585-X IPS SSP へのセッションを確立できます。

asa# show module 1
Mod Card Type Model Serial No.
--- -------------------------------------------- ------------------ -----------
1 ASA 5585-X IPS Security Services Processor-4 ASA5585-SSP-IPS40 JAF1436ABSG
 
Mod MAC Address Range Hw Version Fw Version Sw Version
--- --------------------------------- ------------ ------------ ---------------
1 5475.d029.8c74 to 5475.d029.8c7f 0.1 2.0(12)3 7.2(1)E4
 
Mod SSM Application Name Status SSM Application Version
--- ------------------------------ ---------------- --------------------------
1 IPS Up 7.2(1)E4
 
Mod Status Data Plane Status Compatibility
--- ------------------ --------------------- -------------
1 Up Up
 

ステップ 4 ASA 5585-X IPS SSP との間にセッションを確立します。

asa# session 1
Opening command session with slot 1.
Connected to slot 1. Escape character sequence is 'CTRL-^X'.
 

ステップ 5 ログイン プロンプトでデフォルトのユーザ名( cisco )とパスワード( cisco )を入力します。

login: cisco
Password: cisco
 
You are required to change your password immediately (password aged)
Changing password for cisco.
(current) password: cisco
 

ステップ 6 新しいパスワードを 2 度入力します。

New password: new password
Retype new password: new password
 
***NOTICE***
This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately.
 
A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 
If you require further assistance please contact us by sending email to export@cisco.com.
 
***LICENSE NOTICE***
There is no license key installed on this IPS platform. The system will continue to operate with the currently installed signature set. A valid license must be obtained in order to apply signature updates. Please go to http://www.cisco.com/go/license to obtain a new license or install a license.
ips_ssp#
 


 

ASDM の使用

ASDM でパスワードをリセットするには、次の手順を実行します。


ステップ 1 ASDM メニュー バーで、[Tools] > [IPS Password Reset] を選択します。


) IPS が存在しない場合、このオプションはメニューに表示されません。


ステップ 2 [IPS Password Reset] 確認ダイアログボックスで [OK] をクリックして、パスワードをデフォルト( cisco )にリセットします。ダイアログボックスに、パスワードのリセットが正常に完了したか、失敗したかが表示されます。リセットが失敗した場合は、ASA および IPS ソフトウェア バージョンが正しいことを確認してください。

ステップ 3 [Close] をクリックして、ダイアログボックスを閉じます。センサーがリブートします。


 

パスワード回復のディセーブル化


注意 パスワード回復がディセーブルになっているセンサーでパスワードを回復しようとすると、エラーや警告が表示されずにプロセスは進みますが、パスワードはリセットされません。パスワードを忘れたためにセンサーにログインできないときに、パスワード回復がディセーブルに設定されている場合は、センサーのイメージを再作成する必要があります。

パスワードの回復は、デフォルトでイネーブルです。CLI、IDM、または IME を使用してパスワード回復をディセーブルにできます。

CLI を使用したパスワード回復のディセーブル化

CLI でパスワード回復をディセーブルにするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 グローバル コンフィギュレーション モードを開始します。

sensor# configure terminal
 

ステップ 3 ホスト モードを開始します。

sensor(config)# service host
 

ステップ 4 パスワード回復をディセーブルにします。

sensor(config-hos)# password-recovery disallowed
 


 

IDM または IME を使用したパスワード回復のディセーブル化

IDM または IME でパスワード回復をディセーブルにするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して IDM または IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Setup] > [Network] を選択します。

ステップ 3 パスワード回復をディセーブルにするには、[Allow Password Recovery] チェックボックスをオフにします。


 

パスワード回復の状態の確認

show settings | include password コマンドを使用して、パスワード回復がイネーブルかどうかを確認します。パスワード回復がイネーブルになっているかどうかを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 サービス ホスト サブモードを開始します。

sensor# configure terminal
sensor (config)# service host
sensor (config-hos)#
 

ステップ 3 include キーワードを使用して、フィルタ処理された出力で設定を表示し、パスワード回復の状態を確認します。

sensor(config-hos)# show settings | include password
password-recovery: allowed <defaulted>
sensor(config-hos)#
 


 

パスワード回復のトラブルシューティング

パスワード回復のトラブルシューティングを行う場合は、次の点に注意してください。

ROMMON プロンプト、GRUB メニュー、スイッチの CLI、ルータの CLI からは、パスワード回復がセンサーの設定でディセーブルになっているかどうかを確認できません。パスワード回復を試みると、常に成功したように見えます。ディセーブルになっている場合、パスワードは cisco にリセットされません。唯一のオプションはセンサーのイメージの再作成です。

パスワード回復は、ホストの設定でディセーブルにすることができます。ROMMON などの外部メカニズムを使用するプラットフォームの場合、コマンドを実行してパスワードをクリアすることができますが、IPS でパスワード回復がディセーブルになっていると、IPS は、パスワード回復が許可されていないことを検出し、外部からの要求を拒否します。

パスワード回復の状態をチェックするには、 show settings | include password コマンドを使用します。

時刻源とセンサー

ここでは、センサー上で正確な時刻を維持する方法について説明します。内容は次のとおりです。

「時刻源とセンサー」

「IPS モジュール クロックと親デバイス クロックの同期」

「センサーと NTP サーバの同期の確認」

「センサーの時刻の修正」

時刻源とセンサー


) センサーの時間を調整するために NTP サーバを使用することを推奨します。認証された NTP または認証されていない NTP を使用できます。認証された NTP には、NTP サーバの IP アドレス、キー ID、およびキー値が必要です。NTP は初期化中にセットアップできます。また、CLI、IDM、IME、または ASDM を介して NTP を設定することもできます。


センサーには、信頼できる時刻源が必要です。すべてのイベント(アラート)に、正しい UTC と現地時間のタイムスタンプが必要です。タイムスタンプがないと、攻撃の後でログを正しく分析できません。センサーを初期化するときに、時間帯とサマータイム設定をセットアップします。ここでは、センサーに時刻を設定するためのさまざまな方法を概説します。

IPS スタンドアロン アプライアンス

clock set コマンドを使用して、時刻を設定する。これはデフォルトです。

アプライアンスが NTP 同期時刻源から時間を取得するように設定します。


) 現在サポートされている Cisco IPS アプライアンスは、IPS 4345、IPS 4360、IPS 4510、および IPS 4520 です。


ASA IPS モジュール

ASA 5500-X IPS SSP および ASA 5585-X IPS SSP は、インストール先の適応型セキュリティ アプライアンスのクロックと自動的にクロックを同期させます。これはデフォルトです。

時間を NTP 同期時刻源(親ルータ以外の Cisco ルータなど)から取得するように設定します。

詳細情報

NTP を設定する手順については、「 NTP の設定 」を参照してください。

IPS モジュール クロックと親デバイス クロックの同期

ASA IPS モジュール(ASA 5500-X IPS SSP および ASA 5585-X IPS SSP)のクロックは、IPS 起動時に親シャーシのクロック(スイッチ、ルータ、または適応型セキュリティ アプライアンス)と同期します。また、親シャーシのクロックが設定された時間に同期します。IPS のクロックと親シャーシのクロックは、時間の経過とともにずれが生じる傾向があります。誤差は、1 日で数秒になることがあります。この問題を回避するには、IPS のクロックと親シャーシのクロックの両方が外部 NTP サーバと同期するようにします。IPS クロックのみまたは親シャーシ クロックのみが NTP サーバに同期されると、時間のずれが発生します。

センサーと NTP サーバの同期の確認

IPS では、無効な NTP キー値または ID などの不正な NTP 設定をセンサーに適用できません。誤った設定を適用しようとすると、エラー メッセージが表示されます。NTP 設定を確認するには、 show statistics host コマンドを使用してセンサーの統計情報を収集します。NTP 統計情報セクションには、NTP サーバとセンサーの同期に関するフィードバックを含む NTP 統計情報が表示されます。

NTP 設定を確認するには、次の手順を実行します。


ステップ 1 センサーにログインします。

ステップ 2 ホストの統計情報を生成します。

sensor# show statistics host
...
NTP Statistics
remote refid st t when poll reach delay offset jitter
11.22.33.44 CHU_AUDIO(1) 8 u 36 64 1 0.536 0.069 0.001
LOCAL(0) 73.78.73.84 5 l 35 64 1 0.000 0.000 0.001
ind assID status conf reach auth condition last_event cnt
1 10372 f014 yes yes ok reject reachable 1
2 10373 9014 yes yes none reject reachable 1
status = Not Synchronized
...

ステップ 3 数分後にもう一度、ホストの統計情報を収集します。

sensor# show statistics host
...
NTP Statistics
remote refid st t when poll reach delay offset jitter
*11.22.33.44 CHU_AUDIO(1) 8 u 22 64 377 0.518 37.975 33.465
LOCAL(0) 73.78.73.84 5 l 22 64 377 0.000 0.000 0.001
ind assID status conf reach auth condition last_event cnt
1 10372 f624 yes yes ok sys.peer reachable 2
2 10373 9024 yes yes none reject reachable 2
status = Synchronized
 

ステップ 4 ステータスが [Not Synchronized] のままの場合は、NTP サーバが正しく設定されていることを NTP サーバの管理者に確認してください。


 

センサーの時刻の修正

イベントには発生時の時刻がスタンプされるため、時刻を誤って設定した場合、保存されたイベントの時刻は不正確になります。イベント ストアのタイムスタンプは、常に UTC 時刻に基づいています。元のセンサーのセットアップ中に、時刻を 8:00 a.m. ではなく 8:00 p.m. に設定した場合、エラーを訂正すると、訂正された時刻がさかのぼって設定されます。そのため、新しいイベントに古いイベントの時刻よりも過去の時刻が記録される場合があります。

たとえば、初期セットアップ中にセンサーを中部時間に設定し、さらにサマータイムを有効にした場合、現地時間が 8:04 p.m. であれば、時刻は 20:04:37 CDT として表示され、UTC からのオフセットは -5 時間になります(翌日の 01:04:37 UTC)。1 週間後の 9:00 a.m. に、21:00:23 CDT と表示された時計を見て誤りに気づいたとします。それから時刻を 9:00 a.m. に変更します。時計は現在 09:01:33 CDT と表示されています。UTC からのオフセットは変更されていないため、UTC 時刻は 14:01:33 UTC になります。ここにタイムスタンプの問題が生じる原因があります。

イベント レコードのタイムスタンプの整合性を維持するには、 clear events コマンドを使用して、古いイベントのイベント アーカイブを消去する必要があります。


) イベントは、個別には削除できません。


詳細情報

イベントを消去する手順については、「イベントのクリア」を参照してください。

仮想化の利点および制約事項

センサーで設定の問題が発生しないように、センサーで仮想化を行う利点と制約事項を理解してください。

仮想化には次の利点があります。

個々のトラフィック セットにそれぞれ異なる設定を適用できます。

IP スペースが重複している 2 つのネットワークを 1 つのセンサーでモニタできます。

ファイアウォールまたは NAT デバイスの内側と外側の両方をモニタできます。

仮想化には次の制約事項があります。

非対称トラフィックの両側を同じ仮想センサーに割り当てる必要があります。

VACL キャプチャまたは SPAN(無差別モニタリング)の使用は、VLAN タギングに関して矛盾しており、これによって VLAN グループの問題が発生します。

Cisco IOS ソフトウェアを使用している場合、VACL キャプチャ ポートまたは SPAN ターゲットは、トランキング用に設定されていても、常にタグ付きパケットを受信するわけではありません。

MSFC を使用している場合、学習したルートの高速パス スイッチングによって、VACL キャプチャおよび SPAN の動作が変わります。

固定ストアが制限されます。

仮想化には次のトラフィック キャプチャ要件があります。

仮想センサーで 802.1q ヘッダーを含むトラフィックを受信する必要があります(キャプチャ ポートのネイティブ VLAN 上のトラフィック以外)。

センサーで、指定したセンサーの同じ仮想センサーに含まれる同じ VLAN グループの両方向のトラフィックをモニタする必要があります。

次のセンサーは仮想化をサポートしています。

ASA 5500-X IPS SSP

ASA 5585-X IPS SSP

IPS 4345

IPS 4360

IPS 4510

IPS 4520

サポート対象 MIB

SNMP の設定の問題が発生しないように、センサーでサポートされている MIB を確認してください。

センサーでは次の専用 MIB がサポートされています。

CISCO-CIDS-MIB

CISCO-CIDS-MIB は SNMP 稼働状態データを追加するように更新されました。

CISCO-ENHANCED-MEMPOOL-MIB

CISCO-ENTITY-ALARM-MIB

これらのシスコの専用 MIB は、次の URL から SNMP v2 の見出しの下で取得できます。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml


) MIB II はセンサーで使用できますが、サポート対象外です。一部の要素が正しくないことが認識されています(検知インターフェイスでの IF MIB からのパケット カウントなど)。MIB II の要素を使用することはできますが、これらすべてが正確な情報を提供することは保証できません。他に掲載されている MIB は完全にサポートされ、出力も正確です。



) CISCO-PROCESS-MIB はセンサーで使用できますが、サポート対象外です。一部の要素が利用できないことを認識しております。CISCO-PROCESS-MIB の要素を使用することはできますが、これらすべてが正確な情報を提供することは保証できません。他に掲載されている MIB は完全にサポートされ、出力も正確です。


異常検出をディセーブルにする場合

異常検出がイネーブルで、センサーをトラフィックの一方向だけを参照するように設定している場合は、異常検出をディセーブルにする必要があります。そうしなければ、異常検出が非対称トラフィックをワーム スキャナと同じような不完全な接続と認識し、アラートを起動するため、大量のアラートが生成されます。

異常検出をディセーブルにするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 分析エンジン サブモードを開始します。

sensor# configure terminal
sensor(config)# service analysis-engine
sensor(config-ana)#
 

ステップ 3 ディセーブルにする異常検出ポリシーが含まれる仮想センサー名を入力します。

sensor(config-ana)# virtual-sensor vs0
sensor(config-ana-vir)#
 

ステップ 4 異常検出動作モードをディセーブルにします。

sensor(config-ana-vir)# anomaly-detection
sensor(config-ana-vir-ano)# operational-mode inactive
sensor(config-ana-vir-ano)#
 

ステップ 5 分析エンジン サブモードを終了します。

sensor(config-ana-vir-ano)# exit
sensor(config-ana-vir)# exit
sensor(config-ana-)# exit
Apply Changes:?[yes]:
 

ステップ 6 変更を適用する場合は Enter を押します。変更を破棄する場合は「no」と入力します。


 

詳細情報

ワームの詳細については、「 ワーム 」を参照してください。

グローバル相関のトラブルシューティング

グローバル相関を設定するときに、次の点に注意してください。

グローバル相関更新は、センサー管理インターフェイスを介して発生するため、ファイアウォールで、ポート 443 および 80 のトラフィックが許可されている必要があります。

グローバル相関機能を動作させるには、HTTP プロキシ サーバまたは DNS サーバを設定する必要があります。

グローバル相関機能を動作させるには、有効な IPS ライセンスが必要です。

グローバル相関機能には、外部 IP アドレスだけが含まれているため、社内ラボにセンサーを配置した場合は、グローバル相関情報を受信できません。

使用しているセンサーが、グローバル相関機能をサポートしていることを確認します。

使用している IPS バージョンが、グローバル相関機能をサポートしていることを確認します。

詳細情報

グローバル相関機能および設定方法の詳細については、IDM の場合は「 グローバル相関の設定 」、IDM の場合は「 グローバル相関の設定 」、CLI の場合は「 グローバル相関の設定 」参照してください。

グローバル相関をサポートするための DNS サーバの追加手順については IDM の場合は「 ネットワーク設定の設定 」、IME の場合は「 ネットワーク設定の設定 」、CLI の場合は「 グローバル相関用の DNS サーバとプロキシ サーバの設定 」を参照してください。

IPS ライセンス キーの取得およびインストール手順については IDM の場合は「 ライセンスの設定 」、IME の場合は「 ライセンスの設定 」、CLI の場合は「 ライセンス キーのインストール 」を参照してください。

応答しない分析エンジン

エラー メッセージ Output from show statistics analysis-engine
Error: getAnalysisEngineStatistics : ct-sensorApp.424 not responding, please check system processes - The connect to the specified Io::ClientPipe failed.
エラー メッセージ Output from show statistics anomaly-detection
Error: getAnomalyDetectionStatistics : ct-sensorApp.424 not responding, please check system processes - The connect to the specified Io::ClientPipe failed.
エラー メッセージ Output from show statistics denied-attackers
Error: getDeniedAttackersStatistics : ct-sensorApp.424 not responding, please check system processes - The connect to the specified Io::ClientPipe failed.

考えられる原因 これらのエラー メッセージは、 show tech support コマンドの実行時に、分析エンジンが動作していない場合に表示されます。

推奨処置 問題が解決したことを確認するには、分析エンジンが動作していることを確認し、分析エンジンをモニタします。

分析エンジンが動作していることを確認し、問題をモニタするには、次の手順を実行します。


ステップ 1 センサーにログインします。

ステップ 2 分析エンジンが実行されていないことを確認し、分析エンジンが [Not Running] を読み取っているかどうかを確認します。

sensor# show version
 
-----
MainApp V-2013_04_10_11_00_7_2_0_14 (Release) 2013-04-10T11:05:55-0500
Running
AnalysisEngine V-2013_04_10_11_00_7_2_0_14 (Release) 2013-04-10T11:05:55-0500
Not Running
CollaborationApp V-2013_04_10_11_00_7_2_0_14 (Release) 2013-04-10T11:05:55-0500
Running
CLI V-2013_04_10_11_00_7_2_0_14 (Release) 2013-04-10T11:05:55-0500
 
 

ステップ 3 show tech-support と入力し、出力を保存します。

ステップ 4 センサーをリブートします。

ステップ 5 センサーが安定化したら、 show version と入力して、問題が解決されたかどうかを確認します。

ステップ 6 分析エンジンがまだ [Not Running] を読み取っている場合は、 show tech support コマンドの出力を用意して、TAC にお問い合わせください。


 

RADIUS 認証のトラブルシューティング

症状 IPS センサーに設定された試行の上限値は、RADIUS ユーザに対して実施されない場合があります。

条件 RADIUS ユーザのみに適用されます。RADIUS ユーザは、RADIUS 認証がイネーブルになった後、またはセンサーがリセットまたはリブートされた後で、少なくとも 1 回センサーにログインする必要がありません。

対応策 正しいクレデンシャルを使用してセンサーにログインすると、その時点から RADIUS ユーザに対して試行の上限値が実行されます。

詳細情報

RADIUS 認証の詳細については、「 認証およびユーザ パラメータの設定 」を参照してください。

外部製品インターフェイスのトラブルシューティング

ここでは、外部製品インターフェイスで発生する可能性のある問題とトラブルシューティングのヒントを紹介します。外部製品インターフェイスの詳細については、「 外部製品インターフェイスの設定 」を参照してください。ここでは、次の内容について説明します。

「外部製品インターフェイスの問題」

「外部製品インターフェイスのトラブルシューティングのヒント」

外部製品インターフェイスの問題

外部製品インターフェイスがホスト ポスチャと隔離イベントを受信すると、次の問題が発生することがあります。

センサーは、特定の数のホスト レコードしか格納できません。

レコード数が 10,000 を超えると、その後のレコードはドロップされます。

10,000 の上限に達すると、9900 を下回るまでドロップされ、新しいレコードがドロップされなくなります。

ホストは IP アドレスを変更できるか、別のホスト IP アドレスを使用しているように見えます。これは、DHCP のリース有効期限切れやワイヤレス ネットワークでの移動によって発生します。IP アドレスが競合する場合、センサーは最新のホスト ポスチャ イベントを最も正確であると見なします。

ネットワークには、異なる VLAN のオーバーラップする IP アドレス範囲が含まれていることがありますが、ホスト ポスチャには VLAN ID 情報は含まれません。特定のアドレス範囲を無視するようにセンサーを設定できます。

CSA MC はファイアウォールの内側にあるため、ホストに到達不能となることがあります。到達不能のホストは除外できます。

CSA MC イベント サーバでは、デフォルトで開いたサブスクリプションを最大 10 まで使用できます。この値を変更できます。サブスクリプションを開くには、管理者アカウントとパスワードが必要です。

CSA データは仮想化されません。センサーによってグローバルに処理されます。

ホスト ポスチャ OS と IP アドレスは、パッシブ OS フィンガープリント ストレージに統合されます。これらは、インポートされた OS プロファイルとして表示できます。

隔離されたホストは表示できません。

センサーは、各 CSA MC ホスト X.509 証明書を認識する必要があります。これらを信頼できるホストとして追加する必要があります。

最大 2 つの外部製品デバイスを設定できます。

詳細情報

OS マップおよび識別の操作の詳細については、「 設定された OS マップの追加、編集、削除、および移動 」および「 設定された OS マップの追加、編集、削除、および移動 」を参照してください。

信頼できるホストの追加手順については、「 TLS の信頼できるホストの追加 」を参照してください。

外部製品インターフェイスのトラブルシューティングのヒント

外部製品のインターフェイスのトラブルシューティングを行う場合は、次のことをチェックしてください。

インターフェイスがアクティブかどうかを確認するには、CLI で show statistics external-product-interface コマンドの出力を確認します。または、IDM で [Monitoring] > [Sensor Monitoring] > [Support Information] > [Statistics] を選択して、応答のインターフェイス状態の行を確認します。あるいは、IME で [Configuration] > sensor_name > [Sensor Monitoring] > [Support Information] > [Statistics] を選択して、応答のインターフェイス状態の行を確認します。

信頼できるホストに CSA MC IP アドレスを追加したことを確認します。追加するのを忘れた場合は、追加し、数分待ってから、もう一度チェックします。

ブラウザを使用して CSA MC でサブスクリプションを開いてから閉じて、サブスクリプション ログイン情報を確認します。

イベント ストアで CSA MC のサブスクリプション エラーをチェックします。

詳細情報

信頼できるホストの追加手順については、「 TLS の信頼できるホストの追加 」を参照してください。

イベントを表示する手順については、「 イベントの表示 」を参照してください。

アプライアンスのトラブルシューティング

ここでは、アプライアンスのトラブルシューティングについて説明します。次の項目について説明します。

「アプライアンスおよびジャンボ パケット フレーム サイズ」

「接続のゆるみのトラブルシューティング」

「接続のゆるみのトラブルシューティング」

「分析エンジンがビジー状態」

「通信の問題」

「通信の問題」

「SensorApp とアラート」

「Blocking」

「ロギング」

「シグニチャに対して TCP リセットが発生しない」

「ソフトウェアのアップグレード」


ヒント アプライアンスのトラブルシューティングを開始する前に、センサーにインストールされているソフトウェア バージョンに関する Readme の「警告」の項をチェックし、既知の問題を処理しているかどうかを確認します。

アプライアンスおよびジャンボ パケット フレーム サイズ

1 G および 10 G の固定またはアドオン インターフェイスによる IPS スタンドアロン アプライアンスの場合、最大ジャンボ フレーム サイズは 9216 バイトです。


) ジャンボ フレームとは、標準的な最大値 1518 バイト(レイヤ 2 ヘッダーおよび FCS を含む)より大きいイーサネット パケットのことです。


接続のゆるみのトラブルシューティング

センサーの接続のゆるみの問題を解決するには、次の手順を実行します。

すべての電源コードがしっかりと接続されていることを確認します。

すべてのケーブルが適切に配線され、すべての外部および内部コンポーネントにしっかりと接続されていることを確認します。

すべてのデータ コードと電源コードを取り外し、損傷がないかどうかをチェックします。ケーブルのピンが折れ曲がったり、コネクタが損傷したりしていないかを確認します。

各デバイスが正しく設置されていることを確認します。

デバイスにラッチがある場合は、完全に閉じ、ロックされていることを確認します。

インターロックまたは相互接続インジケータが、コンポーネントが適切に接続されていないことを示していないかどうかをチェックします。

問題が解決されない場合は、各デバイスを取り外し、コネクタやソケットのピンの曲がりやその他の損傷がないかどうかをチェックしながら、もう一度取り付けてください。

分析エンジンがビジー状態

センサーのイメージを再作成すると、分析エンジンは正規表現テーブルの再構築でビジー状態となり、新しい設定に応答しません。 show statistics virtual-sensor コマンドを使用して、分析エンジンがビジー状態かどうかをチェックできます。分析エンジンがビジー状態である場合は、次のエラー メッセージを受け取ります。

sensor# show statistics virtual-sensor
Error: getVirtualSensorStatistics : Analysis Engine is busy rebuilding regex tables. This may take a while.
sensor#
 

分析エンジンが正規表現テーブルの再構築でビジーとなっているときに、シグニチャのイネーブルや廃棄などにより設定を更新しようとすると、エラー メッセージが表示されます。

sensor# configure terminal
sensor(config)# service sig sig0
sensor(config-sig)# sig 2000 0
sensor(config-sig-sig)# status enabled
sensor(config-sig-sig)# status
sensor(config-sig-sig-sta)# enabled true
sensor(config-sig-sig-sta)# retired false
sensor(config-sig-sig-sta)# exit
sensor(config-sig-sig)# exit
sensor(config-sig)# exit
Apply Changes?[yes]:
Error: editConfigDeltaSignatureDefinition : Analysis Engine is busy rebuilding regex tables. This may take a while.
The configuration changes failed validation, no changes were applied.
Would you like to return to edit mode to correct the errors? [yes]: no
No changes were made to the configuration.
sensor(config)#
 

センサーのブート直後に仮想センサーの統計情報を取得しようとすると、エラー メッセージが表示されます。キャッシュ ファイルは再構築されていますが、仮想センサーの初期化は完了していません。

sensor# show statistics virtual-sensor
Error: getVirtualSensorStatistics : Analysis Engine is busy.
sensor#
 

分析エンジンがビジー状態であるというエラーを受け取った場合は、しばらく時間をおいてから設定の変更を行ってください。 show statistics virtual-sensor コマンドを使用すると、分析エンジンが再び使用可能になるときがわかります。

通信の問題

ここでは、センサーの通信に関する問題のトラブルシューティングに役立つ情報を説明します。次の項目について説明します。

「Telnet または SSH からセンサーの CLI にアクセスできない」

「設定が誤っているアクセス リストの修正」

「IP アドレスの重複が原因でインターフェイスがシャットダウンする」

Telnet または SSH からセンサーの CLI にアクセスできない

Telnet(すでにイネーブルにしてある場合)または SSH を使用してセンサーの CLI にアクセスできない場合は、次の手順を実行します。


ステップ 1 コンソール、ターミナルまたはモジュール セッションからセンサーの CLI にログインします。

ステップ 2 センサーの管理インターフェイスがイネーブルになっていることを確認します。管理インターフェイスは、リストのステータス行が Media Type = TX となっているインターフェイスです。[Link Status] が Down の場合は、ステップ 3 に進みます。[Link Status] が Up の場合は、ステップ 5 に進みます。

sensor# show interfaces
Interface Statistics
Total Packets Received = 0
Total Bytes Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/1
Media Type = backplane
Missed Packet Percentage = 0
Inline Mode = Unpaired
Pair Status = N/A
Link Status = Up
Link Speed = Auto_1000
Link Duplex = Auto_Full
Total Packets Received = 0
Total Bytes Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface GigabitEthernet0/0
Media Type = TX
Link Status = Up
Link Speed = Auto_100
Link Duplex = Auto_Full
Total Packets Received = 944333
Total Bytes Received = 83118358
Total Multicast Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 397633
Total Bytes Transmitted = 435730956
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
sensor#
 

ステップ 3 センサー IP アドレスが一意であることを確認します。管理インターフェイスによって、ネットワーク上の別のデバイスに同じ IP アドレスが指定されていることが検出されると、インターフェイスは表示されません。

sensor# setup
--- System Configuration Dialog ---
 
At any point you may enter a question mark '?' for help.
User ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
 
 
Current Configuration:
 
 
service host
network-settings
host-ip 192.168.1.2/24,192.168.1.1
host-name sensor
telnet-option enabled
access-list 0.0.0.0/0
ftp-timeout 300
no login-banner-text
exit
--MORE--
 

ステップ 4 管理ポートがアクティブなネットワーク接続に接続されていることを確認します。管理ポートがアクティブなネットワーク接続に接続されていない場合、管理インターフェイスは表示されません。

ステップ 5 センサーに接続を試みているワークステーションの IP アドレスが、センサーのアクセス リストで許可されていることを確認します。ワークステーションのネットワーク アドレスがセンサーのアクセス リストで許可されている場合は、ステップ 6 に進みます。

sensor# setup
--- System Configuration Dialog ---
 
At any point you may enter a question mark '?' for help.
User ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
 
 
Current Configuration:
 
 
service host
network-settings
host-ip 192.168.1.2/24,192.168.1.1
host-name sensor
telnet-option enabled
access-list 0.0.0.0/0
ftp-timeout 300
no login-banner-text
exit
--MORE--
 

ステップ 6 ワークステーションのネットワーク アドレスに許可エントリを追加し、設定を保存して、再度接続を試みます。

ステップ 7 ネットワーク設定で、ワークステーションがセンサーに接続できるようになっていることを確認します。センサーがファイアウォールで保護され、ワークステーションがファイアウォールの前にある場合は、ワークステーションにセンサーへのアクセスを許可するようにファイアウォールが設定されていることを確認します。または、ワークステーションがワークステーションの IP アドレスでネットワーク アドレス変換を実行するファイアウォールの内側に置かれ、センサーがファイアウォールの前にある場合、センサーのアクセス リストにワークステーションの変換後のアドレスに対する許可エントリが含まれていることを確認します。


 

詳細情報

IP アドレスの変更、アクセス リストの変更、Telnet のイネーブル化およびディセーブル化の手順については「 ネットワーク設定の実行 」、を参照してください。

センサーで直接 CLI セッションを開くさまざまな方法については、 付録 A「センサーへのログイン」 を参照してください。

設定が誤っているアクセス リストの修正

設定が誤っているアクセス リストを修正するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 設定を表示して、アクセス リストを確認します。

sensor# show configuration | include access-list
access-list 10.0.0.0/8
access-list 64.0.0.0/8
sensor#
 

ステップ 3 クライアント IP アドレスが許可されたネットワーク内にリストされているかどうか確認します。表示されていない場合は、次のように追加します。

sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
sensor(config-hos-net)# access-list 171.69.70.0/24
 

ステップ 4 設定を確認できます。

sensor(config-hos-net)# show settings
network-settings
-----------------------------------------------
host-ip: 192.168.1.2/24,192.168.1.1 default: 10.1.9.201/24,10.1.9.1
host-name: sensor-238 default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 3)
-----------------------------------------------
network-address: 10.0.0.0/8
-----------------------------------------------
network-address: 64.0.0.0/8
-----------------------------------------------
network-address: 171.69.70.0/24
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
sensor(config-hos-net)#
 


 

IP アドレスの重複が原因でインターフェイスがシャットダウンする

同じ IP アドレスを持つ 2 台のセンサーが新たにイメージ化され、同じネットワーク上で同時にアップ状態になると、インターフェイスはシャットダウンします。Linux では、他のホストとのアドレスの競合を検出した場合、コマンド/コントロール インターフェイスがアクティブになることが防止されます。

問題のセンサーが、ネットワーク上の別のホストと競合する IP アドレスを持っていないことを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 インターフェイスがアップ状態かどうかを判断します。出力で、コマンド/コントロール インターフェイス リンクがダウンしていることが示されている場合、ハードウェアに問題があるか IP アドレスが競合しています。

sensor# show interfaces
Interface Statistics
Total Packets Received = 0
Total Bytes Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/1
Media Type = backplane
Missed Packet Percentage = 0
Inline Mode = Unpaired
Pair Status = N/A
Link Status = Up
Link Speed = Auto_1000
Link Duplex = Auto_Full
Total Packets Received = 0
Total Bytes Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface GigabitEthernet0/0
Media Type = TX
Link Status = Up
Link Speed = Auto_100
Link Duplex = Auto_Full
Total Packets Received = 1822323
Total Bytes Received = 131098876
Total Multicast Packets Received = 20
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 219260
Total Bytes Transmitted = 103668610
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
sensor#
 

ステップ 3 センサーのケーブル接続が正しいことを確認します。

ステップ 4 IP アドレスが正しいことを確認します。


 

詳細情報

正しくセンサーのケーブル接続を行うには、このマニュアルのセンサーの章を参照してください。

IP アドレスが正しいことを確認する手順については、「 ネットワーク設定の実行 」を参照してください。

SensorApp とアラート

ここでは、SensorApp とアラートに関する問題のトラブルシューティングに役立つ情報を提供します。次の項目について説明します。

「SensorApp が実行されていない」

「物理的な接続性、SPAN、または VACL ポートの問題」

「アラートを表示できない」

「センサーがパケットを監視しない」

「破損した SensorApp 設定のクリーンアップ」

SensorApp が実行されていない

センシング プロセス(SensorApp)は、常に動作している必要があります。常に動作していないと、アラートを受信できません。SensorApp は分析エンジンの一部なので、分析エンジンが動作していることを確認する必要があります。

分析エンジンが動作していることを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 分析エンジン サービスのステータスおよび最新のソフトウェア アップデートがあるかどうかを判別します。

sensor# show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.2(1)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S697.0 2013-02-15
OS Version: 2.6.29.1
Platform: IPS-4360
Serial Number: FCH1504V0CF
No license present
Sensor up-time is 1 day.
Using 14371M out of 15943M bytes of available memory (90% usage)
system is using 32.4M out of 160.0M bytes of available disk space (20% usage)
application-data is using 79.1M out of 376.1M bytes of available disk space (22%
usage)
boot is using 61.1M out of 70.1M bytes of available disk space (92% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
usage)
 
 
MainApp V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18-0500 Running
AnalysisEngine V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18-0500 Running
CollaborationApp V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18-0500 Running
CLI V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18-0500
 
Upgrade History:
 
IPS-K9-7.2-1-E4 16:06:07 UTC Wed Jan 23 2013
 
Recovery Partition Version 1.1 - 7.2(1)E4
 
Host Certificate Valid from: 08-May-2013 to 09-May-2015
 
sensor#
 
 

ステップ 3 分析エンジンが動作していない場合は、接続に関係するエラーが発生していないか調べます。

sensor# show events error fatal past 13:00:00 | include AnalysisEngine
evError: eventId=1077219258696330005 severity=warning
 
originator:
hostId: sensor
appName: sensorApp
appInstanceId: 1045
time: 2004/02/19 19:34:20 2004/02/19 19:34:20 UTC
errorMessage: name=errUnclassified Generating new Analysis Engine configuration file.
 

) 最後の再起動の日時が表示されます。この例では、最後の再起動は 2004 年 2 月 19 日の 7 時 34 分でした。


ステップ 4 最新のものではない場合は、Cisco.com からダウンロードします。SensorApp または分析エンジンの既知の DDTS については、ソフトウェア アップグレードに添付の Readme を読んでください。

ステップ 5 分析エンジンがまだ実行されていない場合、 show tech support を入力して、出力を保存します。

ステップ 6 センサーをリブートします。

ステップ 7 センサーが安定化したら、 show version と入力して、問題が解決されたかどうかを確認します。

ステップ 8 分析エンジンがまだ [Not Running] を読み取っている場合は、 show tech support コマンドの出力を用意して、TAC にお問い合わせください。


 

詳細情報

IPS システム アーキテクチャの詳細については、「 システム アーキテクチャ 」を参照してください。

最新の Cisco IPS ソフトウェアの入手手順については、を参照してください。

物理的な接続性、SPAN、または VACL ポートの問題

センサーが正しく接続されていないと、アラートを受信しません。

センサーが正しく接続されていることを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 インターフェイスがアップ状態にあり、パケット カウントが増加していることを確認します。

sensor# show interfaces
Interface Statistics
Total Packets Received = 0
Total Bytes Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/1
Media Type = backplane
Missed Packet Percentage = 0
Inline Mode = Unpaired
Pair Status = N/A
Link Status = Up
Link Speed = Auto_1000
Link Duplex = Auto_Full
Total Packets Received = 0
Total Bytes Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface GigabitEthernet0/0
Media Type = TX
Link Status = Up
Link Speed = Auto_100
Link Duplex = Auto_Full
Total Packets Received = 1830137
Total Bytes Received = 131624465
Total Multicast Packets Received = 20
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 220052
Total Bytes Transmitted = 103796666
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
sensor#
 

ステップ 3 Link Status がダウンしている場合は、検知ポートが適切に接続されているか確認します。

アプライアンス上でセンシング ポートが適切に接続されていることを確認します。

センシング ポートが IDSM2 上の正しい SPAN または VACL キャプチャ ポートに接続されていることを確認します。

ステップ 4 インターフェイス設定を確認します。

インターフェイスが正しく設定されていることを確認します。

Cisco スイッチ上で SPAN および VACL キャプチャ ポート設定を確認します。

手順については、スイッチのマニュアルを参照してください。

ステップ 5 インターフェイスがアップ状態であり、パケット カウントが増加していることを再び確認します。

sensor# show interfaces
 


 

詳細情報

センサーに検知インターフェイスを正しく設置するための手順については、このマニュアルのアプライアンスの章を参照してください。

センサーでのインターフェイスの設定手順については、「 インターフェイスの設定 」を参照してください。

アラートを表示できない

アラートが表示されない場合は、次のことを確認します。

シグニチャがイネーブルになっている

シグニチャが非アクティブになっていない

[Produce Alert] がアクションとして設定されている


) [Produce Alert] の選択後、設定に戻り、別のイベント アクションを追加し、[Produce Alert] を新しい設定に追加しなかった場合、アラートはイベント ストアに送信されません。シグニチャを設定するたびに、新しい設定によって古い設定は上書きされます。シグニチャごとに必要なすべてのイベント アクションを設定したことを確認してください。


センサーがパケットを監視している

アラートが生成されている

検知インターフェイスが仮想センサーに存在する

アラートが表示されることを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 シグニチャが有効であることを確認します。

sensor# configure terminal
sensor(config)# service signature-definition sig0
sensor(config-sig)# signatures 1300 0
sensor(config-sig-sig)# status
sensor(config-sig-sig-sta)# show settings
status
-----------------------------------------------
enabled: true <defaulted>
retired: false <defaulted>
-----------------------------------------------
sensor(config-sig-sig-sta)#
 

ステップ 3 [Produce Alert] を設定したことを確認します。

sensor# configure terminal
sensor(config)# service signature-definition sig0
sensor(config-sig)# signatures 1300 0
sensor(config-sig-sig)# engine ?
normalizer Signature engine
sensor(config-sig-sig)# engine normalizer
sensor(config-sig-sig-nor)# event-action produce-alert
sensor(config-sig-sig-nor)# show settings
normalizer
-----------------------------------------------
event-action: produce-alert default: produce-alert|deny-connection-inline
edit-default-sigs-only
-----------------------------------------------
sensor#
 

ステップ 4 センサーがパケットを監視していることを確認します。

sensor# show interfaces FastEthernet0/1
MAC statistics from interface FastEthernet0/1
Media Type = backplane
Missed Packet Percentage = 0
Inline Mode = Unpaired
Pair Status = N/A
Link Status = Up
Link Speed = Auto_100
Link Duplex = Auto_Full
Total Packets Received = 267581
Total Bytes Received = 24886471
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 57301
Total Bytes Transmitted = 3441000
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 1
Total Transmit FIFO Overruns = 0
sensor#
 

ステップ 5 アラートが表示されるかどうかを確認します。

sensor# show statistics virtual-sensor
SigEvent Preliminary Stage Statistics
Number of Alerts received = 0
Number of Alerts Consumed by AlertInterval = 0
Number of Alerts Consumed by Event Count = 0
Number of FireOnce First Alerts = 0
Number of FireOnce Intermediate Alerts = 0
Number of Summary First Alerts = 0
Number of Summary Intermediate Alerts = 0
Number of Regular Summary Final Alerts = 0
Number of Global Summary Final Alerts = 0
Number of Alerts Output for further processing = 0alertDetails: Traffic Source: int0 ;
 


 

センサーがパケットを監視しない

センサーがネットワーク上のパケットを監視していない場合、インターフェイスの設定が正しくないことが考えられます。

センサーがパケットを監視していない場合は、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 インターフェイスがアップ状態であり、パケットを受信していることを確認します。

sensor# show interfaces GigabitEthernet0/1
MAC statistics from interface GigabitEthernet0/1
Media Type = backplane
Missed Packet Percentage = 0
Inline Mode = Unpaired
Pair Status = N/A
Link Status = Down
Link Speed = Auto_1000
Link Duplex = Auto_Full
Total Packets Received = 0
Total Bytes Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
sensor#
 

ステップ 3 インターフェイスがアップ状態でない場合は、次の手順を実行します。

ケーブル配線を調べます。

インターフェイスをイネーブルにします。

sensor# configure terminal
sensor(config)# service interface
sensor(config-int)# physical-interfaces GigabitEthernet0/1
sensor(config-int-phy)# admin-state enabled
sensor(config-int-phy)# show settings
<protected entry>
name: GigabitEthernet0/1
-----------------------------------------------
media-type: tx <protected>
description: <defaulted>
admin-state: enabled default: disabled
duplex: auto <defaulted>
speed: auto <defaulted>
alt-tcp-reset-interface
-----------------------------------------------
none
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
sensor(config-int-phy)#
 

ステップ 4 インターフェイスが動作し、パケットを受信しているかどうかをチェックします。

sensor# show interfaces
MAC statistics from interface GigabitEthernet0/1
Media Type = TX
Missed Packet Percentage = 0
Inline Mode = Unpaired
Pair Status = N/A
Link Status = Up
Link Speed = Auto_100
Link Duplex = Auto_Full
Total Packets Received = 3
Total Bytes Received = 900
Total Multicast Packets Received = 3
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0 ...
 


 

詳細情報

センサーを正しくインストールするための手順については、このマニュアルのセンサーの章を参照してください。

破損した SensorApp 設定のクリーンアップ

SensorApp 設定が破損状態となり SensorApp が動作しない場合は、SensorApp を完全に削除して SensorApp を再起動する必要があります。

SensorApp 設定を削除するには、次の手順を実行します。


ステップ 1 サーバ アカウントにログインします。

ステップ 2 root に su します。

ステップ 3 IPS アプリケーションを停止します。

/etc/init.d/cids stop
 

ステップ 4 仮想センサー ファイルを交換します。

cp /usr/cids/idsRoot/etc/defVirtualSensorConfig.xml /usr/cids/idsRoot/etc/VS-Config/virtualSensor.xml
 

ステップ 5 キャッシュ ファイルを削除します。

rm /usr/cids/idsRoot/var/virtualSensor/*.pmz
 

ステップ 6 サービス アカウントを終了します。

ステップ 7 センサー CLI にログインします。

ステップ 8 IPS サービスを開始します。

sensor# cids start
 

ステップ 9 管理者権限でアカウントにログインします。

ステップ 10 センサーをリブートします。

sensor# reset
Warning: Executing this command will stop all applications and reboot the node.
Continue with reset? [yes]:yes
Request Succeeded.
sensor#
 


 

詳細情報

IPS システム アーキテクチャの詳細については、「 システム アーキテクチャ 」を参照してください。

ブロッキングのトラブルシューティング

ARC の設定の終了後、 show version コマンドを使用して ARC が正しく動作しているかどうかを確認できます。ネットワーク デバイスに ARC が接続されていることを確認するには、 show statistics network-access コマンドを使用します。


) ARC は、以前は Network Access Controller と呼ばれていました。IPS 5.1 以降、名前は変更されていますが、IDM、IME、および CLI には、Network Access Controller、nac、および network-access として表示されます。


ARC をトラブルシュートするには、次の手順を実行します。

1. ARC が実行していることを確認します。

2. ARC がネットワーク デバイスに接続されていることを確認します。

3. 特定のシグニチャについてイベント アクションが [Block Host] に設定されていることを確認します。

4. マスター ブロッキング センサーが正しく設定されていることを確認します。

詳細情報

ARC が動作していることを確認する手順については、「ARC が動作中であることを確認する」を参照してください。

ARC が接続されていることを確認する手順については、「ARC 接続がアクティブであることを確認する」を参照してください。

イベント アクションが [Block Host] に設定されていることを確認する手順については、「シグニチャに対してブロッキングが発生していない」を参照してください。

マスター ブロッキング センサーが適切に設定されていることを確認する手順については、「マスター ブロッキング センサーの設定を確認する」を参照してください。

ARC アーキテクチャの説明については、「 Attack Response Controller 」を参照してください。

ARC が動作中であることを確認する


) CLI 出力は、設定がどのように表示されるかを示した例です。オプションの設定選択、センサー モデル、およびインストールした IPS バージョンによって、正確に一致しません。


ARC が動作していることを確認するには、 show version コマンドを使用します。MainApp が動作していない場合、ARC は実行できません。ARC は MainApp の一部です。

ARC が動作していることを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 MainApp が実行していることを確認します。

sensor# show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.2(1)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S697.0 2013-02-15
OS Version: 2.6.29.1
Platform: IPS-4360
Serial Number: FCH1504V0CF
No license present
Sensor up-time is 1 day.
Using 14371M out of 15943M bytes of available memory (90% usage)
system is using 32.4M out of 160.0M bytes of available disk space (20% usage)
application-data is using 79.1M out of 376.1M bytes of available disk space (22%
usage)
boot is using 61.1M out of 70.1M bytes of available disk space (92% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
usage)
 
 
MainApp V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18
-0500 Not Running
AnalysisEngine V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18
-0500 Running
CollaborationApp V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18
-0500 Running
CLI V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18
-0500
 
Upgrade History:
 
IPS-K9-7.2-1-E4 16:06:07 UTC Wed Jan 23 2013
 
Recovery Partition Version 1.1 - 7.2(1)E4
 
Host Certificate Valid from: 08-May-2013 to 09-May-2015
 
sensor#
 

ステップ 3 MainApp に [Not Running] が表示されている場合、ARC は故障しています。TAC に連絡します。


 

詳細情報

IPS システム アーキテクチャの詳細については、「 システム アーキテクチャ 」を参照してください。

ARC 接続がアクティブであることを確認する

ARC 統計情報の State が Active ではない場合、問題があります。

統計情報の State が Active かどうか確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 ARC が接続されていることを確認します。出力の State セクションを調べて、すべてのデバイスが接続状態にあることを確認します。

sensor# show statistics network-access
Current Configuration
LogAllBlockEventsAndSensors = true
EnableNvramWrite = false
EnableAclLogging = false
AllowSensorBlock = false
BlockMaxEntries = 250
MaxDeviceInterfaces = 250
NetDevice
Type = Cisco
IP = 10.89.147.54
NATAddr = 0.0.0.0
Communications = telnet
BlockInterface
InterfaceName = fa0/0
InterfaceDirection = in
State
BlockEnable = true
NetDevice
IP = 10.89.147.54
AclSupport = uses Named ACLs
Version = 12.2
State = Active
sensor#
 

ステップ 3 ARC が接続状態にない場合は、繰り返し発生しているエラーを探します。

sensor# show events error hh:mm:ss month day year | include : nac
 

sensor# show events error 00:00:00 Apr 01 2011 | include : nac
 

ステップ 4 ソフトウェアの更新が最新のものであることを確認します。

sensor# show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.2(1)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S697.0 2013-02-15
OS Version: 2.6.29.1
Platform: IPS-4360
Serial Number: FCH1504V0CF
No license present
Sensor up-time is 1 day.
Using 14371M out of 15943M bytes of available memory (90% usage)
system is using 32.4M out of 160.0M bytes of available disk space (20% usage)
application-data is using 79.1M out of 376.1M bytes of available disk space (22%
usage)
boot is using 61.1M out of 70.1M bytes of available disk space (92% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
usage)
 
 
MainApp V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18
-0500 Running
AnalysisEngine V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18
-0500 Running
CollaborationApp V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18
-0500 Running
CLI V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18
-0500
 
Upgrade History:
 
IPS-K9-7.2-1-E4 16:06:07 UTC Wed Jan 23 2013
 
Recovery Partition Version 1.1 - 7.2(1)E4
 
Host Certificate Valid from: 08-May-2013 to 09-May-2015
 
 
sensor#
 

) 最新のものではない場合は、Cisco.com からダウンロードします。ARC の既知の DDTS については、ソフトウェア アップグレードに添付の Readme を参照してください。


ステップ 5 デバイスごとに設定(ユーザ名、パスワード、IP アドレス)が正しいことを確認します。

ステップ 6 ネットワーク デバイスごとにインターフェイスと方向が正しいことを確認します。

ステップ 7 ネットワーク デバイスで SSH-3DES が使用されている場合は、デバイスへの SSH 接続をすでに有効にしていることを確認します。

ステップ 8 制御対象の各デバイスで各インターフェイスと方向が正しいことを確認します。


 

詳細情報

最新の Cisco IPS ソフトウェアの入手手順については、を参照してください。

デバイスの設定の詳細については、「デバイスのアクセスに関する問題点」を参照してください。

各ネットワーク デバイスのインターフェイスと方向を確認する手順については、「ネットワーク デバイス上のインターフェイスと方向を確認する」を参照してください。

SSH をイネーブルにする手順については、「ネットワーク デバイスへの SSH 接続を有効にする」を参照してください。

デバイスのアクセスに関する問題点

ARC は、管理しているデバイスにアクセスできない場合があります。管理対象のデバイスの IP アドレス、ユーザ名、およびパスワードが正しいこと、インターフェイスと方向が正しく設定されていることを確認します。

デバイスへのアクセスの問題についてトラブルシューティングを行うには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 管理対象デバイスの IP アドレスを確認します。

sensor# configure terminal
sensor (config)# service network-access
sensor(config-net)# show settings
general
-----------------------------------------------
log-all-block-events-and-errors: true <defaulted>
enable-nvram-write: false <defaulted>
enable-acl-logging: false <defaulted>
allow-sensor-block: false <defaulted>
block-enable: true <defaulted>
block-max-entries: 250 <defaulted>
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-networks (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
block-networks (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
user-profiles (min: 0, max: 250, current: 1)
-----------------------------------------------
profile-name: r7200
-----------------------------------------------
enable-password: <hidden>
password: <hidden>
username: netrangr default:
-----------------------------------------------
-----------------------------------------------
cat6k-devices (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
router-devices (min: 0, max: 250, current: 1)
-----------------------------------------------
ip-address: 10.89.147.54
-----------------------------------------------
communication: telnet default: ssh-3des
nat-address: 0.0.0.0 <defaulted>
profile-name: r7200
block-interfaces (min: 0, max: 100, current: 1)
-----------------------------------------------
interface-name: fa0/0
direction: in
-----------------------------------------------
pre-acl-name: <defaulted>
post-acl-name: <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
firewall-devices (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
sensor(config-net)#
 

ステップ 3 デバイスに手動で接続して、正しいユーザ名、正しいパスワード、および有効なパスワードを使用していること、さらにセンサーからデバイスに到達可能であることを確認します。

a. サーバ アカウントにログインします。

b. Telnet または SSH を使用してネットワーク デバイスに接続し、設定を確認します。

c. デバイスに到達できることを確認します。

d. ユーザ名とパスワードを確認します。

ステップ 4 各ネットワーク デバイスの各インターフェイスと方向が正しいことを確認します。


 

詳細情報

各ネットワーク デバイスのインターフェイスと方向を確認する手順については、「ネットワーク デバイス上のインターフェイスと方向を確認する」を参照してください。

ネットワーク デバイス上のインターフェイスと方向を確認する

制御対象の各デバイス上で各インターフェイスと方向が正しいことを確認するには、手動ブロックを偽のホストに送信し、ルータの ACL 内のブロックされているアドレスについて拒否エントリが存在するかどうかを確認できます。


) IDM を使用して手動ブロックを実行するには、[Monitoring] > [Sensor Monitoring] > [Time-Based Actions] > [Host Blocks] を選択します。IME を使用して手動ブロックを実行するには、[Configuration] > sensor_name > [Sensor Monitoring] > [Time-Based Actions] > [Host Blocks] を選択します。


不正なホストに対する手動ブロックを開始するには、次の手順を実行します。


ステップ 1 ARC 一般サブモードを開始します。

sensor# configure terminal
sensor(config)# service network-access
sensor(config-net)# general
 

ステップ 2 偽のホストの IP アドレスの手動ブロックを開始します。

sensor(config-net-gen)# block-hosts 10.16.0.0
 

ステップ 3 一般サブモードを終了します。

sensor(config-net-gen)# exit
sensor(config-net)# exit
Apply Changes:? [yes]:
 

ステップ 4 Enter を押して変更内容を確定するか、 no を入力して、これらを破棄します。

ステップ 5 ルータに Telnet 接続して、ブロックされたアドレスの拒否エントリがルータの ACL 内に存在することを確認します。手順については、ルータのマニュアルを参照してください。

ステップ 6 手動ブロックを削除するにはステップ 1 ~ 4 を繰り返します。ただし、ステップ 2 では、コマンドの前に no を配置します。

sensor(config-net-gen)# no block-hosts 10.16.0.0
 


 

ネットワーク デバイスへの SSH 接続を有効にする

ネットワーク デバイスの通信プロトコルとして SSH-3DES を使用している場合は、デバイス上で該当するプロトコルを必ず有効にしておく必要があります。

ネットワーク デバイスへの SSH-3DES 接続を有効にするには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 コンフィギュレーション モードを開始します。

sensor# configure terminal
 

ステップ 3 SSH-3DES をイネーブルにします。

sensor(config)# ssh-3des host blocking_device_ip_address
 

ステップ 4 デバイスを受け入れるよう指示するメッセージが表示されたら、 yes と入力します。


 

シグニチャに対してブロッキングが発生していない

特定のシグニチャに対してブロッキングが発生していない場合は、イベント アクションがホストをブロックするように設定されているかどうかチェックします。

特定のシグニチャに対してブロッキングが発生していることを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 シグニチャ定義サブモードを開始します。

sensor# configure terminal
sensor(config)# service signature-definition sig0
sensor(config-sig)#
 

ステップ 3 イベント アクションが、ホストをブロックするように設定されていることを確認します。


) アラートを受け取る場合は、イベント アクションを設定するときに、常に produce-alert を追加する必要があります。


sensor(config-sig)# signatures 1300 0
sensor(config-sig-sig)# engine normalizer
sensor(config-sig-sig-nor)# event-action produce-alert|request-block-host
sensor(config-sig-sig-nor)# show settings
normalizer
-----------------------------------------------
event-action: produce-alert|request-block-host default: produce-alert|deny
-connection-inline
edit-default-sigs-only
-----------------------------------------------
default-signatures-only
-----------------------------------------------
specify-service-ports
-----------------------------------------------
no
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
specify-tcp-max-mss
-----------------------------------------------
no
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
specify-tcp-min-mss
-----------------------------------------------
no
-----------------------------------------------
-----------------------------------------------
--MORE--
 

ステップ 4 シグニチャ定義サブモードを終了します。

sensor(config-sig-sig-nor)# exit
sensor(config-sig-sig)# exit
sensor(config-sig)# exit
Apply Changes:?[yes]:
 

ステップ 5 Enter を押して変更内容を確定するか、 no を入力して、これらを破棄します。


 

マスター ブロッキング センサーの設定を確認する

マスター ブロッキング センサーが適切に設定されていることを確認するか、適切に設定されていないマスター ブロッキング センサーのトラブルシューティングを行うには、 show statistics network-access コマンドを使用できます。リモート マスター ブロッキング センサーが TLS を使用して Web アクセスを行っている場合は、転送センサーが TLS の信頼できるホストとして設定されていることを確認します。

マスター ブロッキング センサーの設定を確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 ARC の統計情報を表示し、マスター ブロッキング センサーのエントリが統計情報にあることを確認します。

sensor# show statistics network-access
Current Configuration
AllowSensorShun = false
ShunMaxEntries = 250
MasterBlockingSensor
SensorIp = 10.89.149.46
SensorPort = 443
UseTls = 1
State
ShunEnable = true
ShunnedAddr
Host
IP = 122.122.122.44
ShunMinutes = 60
MinutesRemaining = 59
 

ステップ 3 統計情報にマスター ブロッキング センサーが表示されていない場合は、追加する必要があります。

ステップ 4 偽のホスト IP アドレスへの手動ブロックを開始し、マスター ブロッキング センサーがブロックを開始していることを確認します。

sensor# configure terminal
sensor(config)# service network-access
sensor(config-net)# general
sensor(config-net-gen)# block-hosts 10.16.0.0
 

ステップ 5 ネットワーク アクセス一般サブモードを終了します。

sensor(config-net-gen)# exit
sensor(config-net)# exit
Apply Changes:? [yes]:
 

ステップ 6 Enter を押して変更内容を確定するか、 no を入力して、これらを破棄します。

ステップ 7 ARC の統計情報にブロックが表示されていることを確認します。

sensor# show statistics network-access
Current Configuration
AllowSensorShun = false
ShunMaxEntries = 100
State
ShunEnable = true
ShunnedAddr
Host
IP = 10.16.0.0
ShunMinutes =
 

ステップ 8 マスター ブロッキング センサー ホストの CLI にログインし、 show statistics network-access コマンドを使用して、ブロックがマスター ブロッキング センサー ARC 統計情報にも表示されることを確認します。

sensor# show statistics network-access
Current Configuration
AllowSensorShun = false
ShunMaxEntries = 250
MasterBlockingSensor
SensorIp = 10.89.149.46
SensorPort = 443
UseTls = 1
State
ShunEnable = true
ShunnedAddr
Host
IP = 10.16.0.0
ShunMinutes = 60
MinutesRemaining = 59
 

ステップ 9 リモート マスター ブロッキング センサーが TLS を使用して Web アクセスを行っている場合は、転送センサーが TLS ホストとして設定されていることを確認します。

sensor# configure terminal
sensor(config)# tls trust ip master_blocking_sensor_ip_address
 


 

詳細情報

センサーをマスター ブロッキング センサーに設定するための手順については、「 センサーをマスター ブロッキング センサーにする設定 」を参照してください。

ロギング

TAC では、トラブルシューティングのためにデバッグ ロギングをオンにすることを推奨する場合もあります。ロガーでは、さまざまなロギング ゾーンのロギングの重大度を制御することにより、各アプリケーションが生成するログ メッセージの種類を制御します。デフォルトでは、デバッグ ロギングはオンではありません。個別ゾーン制御を有効にすると、各ゾーンでは設定されたロギング レベルを使用します。個別ゾーン制御を有効にしなければ、すべてのゾーンで同じロギング レベルが使用されます。ここでは、次の内容について説明します。

「デバッグ ロギングをイネーブルにする」

「ゾーン名」

「SysLog に cidLog メッセージを転送する」

デバッグ ロギングをイネーブルにする


注意 デバッグ ロギングをイネーブルにすることは、パフォーマンスに重大な影響を与えるので、TAC によって指示された場合にのみ使用する必要があります。

デバッグ ロギングをイネーブルにするには、次の手順を実行できます。


ステップ 1 サーバ アカウントにログインします。

ステップ 2 log.conf ファイルを編集し、追加のログ ステートメントに対応できるようにログのサイズを増やします。

vi /usr/cids/idsRoot/etc/log.conf
 

ステップ 3 fileMaxSizeInK=500 fileMaxSizeInK=5000 に変更します。

ステップ 4 ファイルのゾーンおよび CID セクションの位置を特定し、重大度をデバッグに設定します。

severity=debug
 

ステップ 5 ファイルを保存し、vi エディタを終了し、サービス アカウントを終了します。

ステップ 6 CLI に管理者としてログインします。

ステップ 7 マスター制御サブモードを開始します。

sensor# configure terminal
sensor(config)# service logger
sensor(config-log)# master-control
 

ステップ 8 すべてのゾーンに対するデバッグ ロギングをイネーブルにします。

sensor(config-log-mas)# enable-debug true
sensor(config-log-mas)# show settings
master-control
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: false <defaulted>
-----------------------------------------------
sensor(config-log-mas)#
 

ステップ 9 個々のゾーン制御をオンにします。

sensor(config-log-mas)# individual-zone-control true
sensor(config-log-mas)# show settings
master-control
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: true default: false
-----------------------------------------------
sensor(config-log-mas)#
 

ステップ 10 マスター ゾーン制御を終了します。

sensor(config-log-mas)# exit
 

ステップ 11 ゾーン名を表示します。

sensor(config-log)# show settings
master-control
-----------------------------------------------
enable-debug: false <defaulted>
individual-zone-control: true default: false
-----------------------------------------------
zone-control (min: 0, max: 999999999, current: 14)
-----------------------------------------------
<protected entry>
zone-name: AuthenticationApp
severity: warning <defaulted>
<protected entry>
zone-name: Cid
severity: debug <defaulted>
<protected entry>
zone-name: Cli
severity: warning <defaulted>
<protected entry>
zone-name: IdapiCtlTrans
severity: warning <defaulted>
<protected entry>
zone-name: IdsEventStore
severity: warning <defaulted>
<protected entry>
zone-name: MpInstaller
severity: warning <defaulted>
<protected entry>
zone-name: cmgr
severity: warning <defaulted>
<protected entry>
zone-name: cplane
severity: warning <defaulted>
<protected entry>
zone-name: csi
severity: warning <defaulted>
<protected entry>
zone-name: ctlTransSource
severity: warning <defaulted>
<protected entry>
zone-name: intfc
severity: warning <defaulted>
<protected entry>
zone-name: nac
severity: warning <defaulted>
<protected entry>
zone-name: sensorApp
severity: warning <defaulted>
<protected entry>
zone-name: tls
severity: warning <defaulted>
-----------------------------------------------
sensor(config-log)#
 

ステップ 12 特定のゾーンの重大度レベル(デバッグ、タイミング、警告、またはエラー)を変更します。

sensor(config-log)# zone-control IdsEventStore severity error
sensor(config-log)# show settings
master-control
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: true default: false
-----------------------------------------------
zone-control (min: 0, max: 999999999, current: 14)
-----------------------------------------------
<protected entry>
zone-name: AuthenticationApp
severity: warning <defaulted>
<protected entry>
zone-name: Cid
severity: debug <defaulted>
<protected entry>
zone-name: Cli
severity: warning <defaulted>
<protected entry>
zone-name: IdapiCtlTrans
severity: warning <defaulted>
<protected entry>
zone-name: IdsEventStore
severity: error default: warning
<protected entry>
zone-name: MpInstaller
severity: warning <defaulted>
<protected entry>
zone-name: cmgr
severity: warning <defaulted>
<protected entry>
zone-name: cplane
severity: warning <defaulted>
<protected entry>
zone-name: csi
severity: warning <defaulted>
<protected entry>
zone-name: ctlTransSource
severity: warning <defaulted>
<protected entry>
zone-name: intfc
severity: warning <defaulted>
<protected entry>
zone-name: nac
severity: warning <defaulted>
<protected entry>
zone-name: sensorApp
severity: warning <defaulted>
<protected entry>
zone-name: tls
severity: warning <defaulted>
-----------------------------------------------
sensor(config-log)#
 

ステップ 13 特定のゾーンのデバッグをオンにします。

sensor(config-log)# zone-control nac severity debug
sensor(config-log)# show settings
master-control
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: true default: false
-----------------------------------------------
zone-control (min: 0, max: 999999999, current: 14)
-----------------------------------------------
<protected entry>
zone-name: AuthenticationApp
severity: warning <defaulted>
<protected entry>
zone-name: Cid
severity: debug <defaulted>
<protected entry>
zone-name: Cli
severity: warning <defaulted>
<protected entry>
zone-name: IdapiCtlTrans
severity: warning <defaulted>
<protected entry>
zone-name: IdsEventStore
severity: error default: warning
<protected entry>
zone-name: MpInstaller
severity: warning <defaulted>
<protected entry>
zone-name: cmgr
severity: warning <defaulted>
<protected entry>
zone-name: cplane
severity: warning <defaulted>
<protected entry>
zone-name: csi
severity: warning <defaulted>
<protected entry>
zone-name: ctlTransSource
severity: warning <defaulted>
<protected entry>
zone-name: intfc
severity: warning <defaulted>
<protected entry>
zone-name: nac
severity: debug default: warning
<protected entry>
zone-name: sensorApp
severity: warning <defaulted>
<protected entry>
zone-name: tls
severity: warning <defaulted>
-----------------------------------------------
sensor(config-log)#
 

ステップ 14 ロガー サブモードを終了します。

sensor(config-log)# exit
Apply Changes:?[yes]:
 

ステップ 15 Enter を押して変更内容を確定するか、 no を入力して、これらを破棄します。


 

詳細情報

それぞれのゾーン名が示す内容に関するリストについては、「ゾーン名」を参照してください。

ゾーン名

表 E-2 にデバッグ ロガー ゾーン名をリストします。

 

表 E-2 デバッグ ロガー ゾーン名

ゾーン名
説明

AD

異常検出ゾーン

AuthenticationApp

認証ゾーン

Cid

一般的なロギング ゾーン

Cli

CLI ゾーン

IdapiCtlTrans

すべての制御トランザクション ゾーン

IdsEventStore

イベント ストア ゾーン

MpInstaller

IDSM-2 マスター パーティション インストーラ ゾーン

cmgr

カード マネージャ サービス ゾーン

cplane

コントロール プレーン ゾーン

csi

CIDS サーブレット インターフェイス1

ctlTransSource

発信制御トランザクション ゾーン

intfc

インターフェイス ゾーン

nac

ARC ゾーン

rep

レピュテーション ゾーン

sched

自動更新スケジューラ ゾーン

sensorApp

AnalysisEngine ゾーン

tls

SSL および TLS ゾーン

1.CIDS サーブレット インターフェイスは、CIDS Web サーバとサーブレット間のインターフェイス層です。

詳細情報

IPS ロガー サービスの詳細については、「 ロガー 」を参照してください。

SysLog に cidLog メッセージを転送する

cidLog メッセージを syslog に転送することが有用な場合があります。

cidLog メッセージを syslog に転送するには、次の手順を実行します。


ステップ 1 idsRoot/etc/log.conf ファイルに進みます。

ステップ 2 次の変更を加えます。

a. [logApp] enabled=false を設定します。

enabled=true はコメント化されます。これは enabled=false がデフォルトであるためです。

b. [drain/main] type=syslog を設定します。

次の例に、ロギング コンフィギュレーション ファイルを示します。

timemode=local
;timemode=utc
 
[logApp]
;enabled=true
;-------- FIFO parameters --------
fifoName=logAppFifo
fifoSizeInK=240
;-------- logApp zone and drain parameters --------
zoneAndDrainName=logApp
fileName=main.log
fileMaxSizeInK=500
 
[zone/Cid]
severity=warning
drain=main
 
[zone/IdsEventStore]
severity=debug
drain=main
 
[drain/main]
type=syslog
 

syslog の出力が syslog ファシリティ local6 に送信され、syslog メッセージ プロパティとは次の対応関係があります。

LOG_DEBUG, // debug

LOG_INFO, // timing

LOG_WARNING, // warning

LOG_ERR, // error

LOG_CRIT // fatal


) /etc/syslog.conf の該当するファシリティが適切な優先順位で有効になっていることを確認します。



注意 syslog は logApp よりかなり時間がかかります(1 秒あたり 50 メッセージ程度。logApp は 1 秒あたり 1000 メッセージ程度)。デバッグの重大度は、一度に 1 つのゾーンでのみイネーブルにすることを推奨します。

シグニチャに対して TCP リセットが発生しない

イベント アクションがリセットするよう設定されていない場合、特定のシグニチャに対して TCP リセットが発生しません。


) TCP リセットは、MPLS リンクおよび GRE、IPv4 の中の IPv4、IPv4 の中の IPv6、IPv6 の中の IPv4 のトンネルではサポートされていません。


特定のシグニチャに対してリセットが発生しないという問題のトラブルシューティングを行うには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 イベント アクションが TCP リセットに設定されていることを確認します。

sensor# configure terminal
sensor(config)# service signature-definition sig0
sensor(config-sig)# signatures 1000 0
sensor(config-sig-sig)# engine atomic-ip
sensor(config-sig-sig-ato)# event-action reset-tcp-connection|produc-alert
sensor(config-sig-sig-ato)# show settings
atomic-ip
-----------------------------------------------
event-action: produce-alert|reset-tcp-connection default: produce-alert
fragment-status: any <defaulted>
specify-l4-protocol
-----------------------------------------------
no
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
specify-ip-payload-length
-----------------------------------------------
no
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
specify-ip-header-length
-----------------------------------------------
no
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
specify-ip-tos
-----------------------------------------------
--MORE--
 

ステップ 3 シグニチャ定義サブモードを終了します。

sensor(config-sig-sig-ato)# exit
sensor(config-sig-sig)# exit
sensor(config-sig)# exit
Apply Changes:?[yes]:
 

ステップ 4 Enter を押して変更内容を確定するか、 no を入力して、これらを破棄します。

ステップ 5 正しいアラームが生成されることを確認します。

sensor# show events alert
evAlert: eventId=1047575239898467370 severity=medium
originator:
hostId: sj_4250_40
appName: sensorApp
appInstanceId: 1004
signature: sigId=20000 sigName=STRING.TCP subSigId=0 version=Unknown
addr: locality=OUT 172.16.171.19
port: 32771
victim:
addr: locality=OUT 172.16.171.13 port: 23
actions:
tcpResetSent: true
 

ステップ 6 センサーからの着信 TCP リセット パケットを、スイッチが許容していることを確認します。詳細については、スイッチのマニュアルを参照してください。

ステップ 7 リセットが送信されていることを確認します。

root# ./tcpdump -i eth0 src host 172.16.171.19
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: listening on eth0
13:58:03.823929 172.16.171.19.32770 > 172.16.171.13.telnet: R 79:79(0) ack 62 win 0
13:58:03.823930 172.16.171.19.32770 > 172.16.171.13.telnet: R 80:80(0) ack 62 win 0
13:58:03.823930 172.16.171.19.32770 > 172.16.171.13.telnet: R 80:80(0) ack 62 win 0
13:58:03.823930 172.16.171.19.32770 > 172.16.171.13.telnet: R 80:80(0) ack 62 win 0
 


 

ソフトウェアのアップグレード

ここでは、ソフトウェア アップグレードのトラブルシューティングに役立つ情報を提供します。次の項目について説明します。

「アップグレードと分析エンジン」

「適用する更新とその前提条件」

「自動アップデートに関する問題」

「センサーに格納されたアップデートを使用してセンサーを更新する」

アップグレードと分析エンジン

IPS センサーをアップグレードする際に分析エンジンが動作していないことを示すエラーを受け取る場合があります。

sensor# upgrade scp://user@10.1.1.1/upgrades/IPS-K9-7.2-1-E4.pkg
Password: ********
Warning: Executing this command will apply a major version upgrade to the application partition. The system may be rebooted to complete the upgrade.
Continue with upgrade?: yes
Error: AnalysisEngine is not running. Please reset box and attempt upgrade again.
 

このエラーを受け取った場合、もう一度アップグレードを試みる前に、分析エンジンを実行させる必要があります。このエラーは、多くの場合、現在実行しているバージョンの不具合によって発生します。センサーをリブートしてみてください。リブート後、 setup コマンドを実行し、仮想センサー vs0 からインターフェイスを削除します。センサーがトラフィックをモニタしていない場合、分析エンジンは通常そのままアップ状態で実行されます。今度はアップグレードできます。アップグレード後、 setup コマンドを使用して、インターフェイスを仮想センサー vs0 に追加し直します。

または、システム イメージ ファイルを使用して、センサーのイメージを必要なバージョンに直接再作成できます。イメージの再作成プロセスでは分析エンジンが動作しているかどうかはチェックされないので、エラーを回避しながら、センサーのイメージを再作成できます


注意 システム イメージ ファイルを使用したイメージの再作成では、すべての設定でデフォルト値が復元されます。

詳細情報

setup コマンドの実行の詳細については、 付録 B「センサーの初期化」 を参照してください。

センサーのイメージの再作成の詳細については、を参照してください。

適用する更新とその前提条件

ソフトウェアのサービス パックのバージョンとマイナーおよびメジャー バージョンは正しいものを使用する必要があります。新しいソフトウェアの適用に関して問題が発生している場合は、適切な前提条件を満たした適切な更新を適用しているかどうかを確認します。

シグニチャの更新には、ファイル名に示されている最小バージョンとエンジン バージョンが必要です。

エンジンの更新では、エンジン更新ファイル名のメジャーまたはマイナー バージョンが必要です。サービス パックを適用するには、正しいマイナー バージョンが必要です。

マイナー バージョンを適用するには、正しいメジャー バージョンが必要です。

メジャー バージョンを適用するには、前のメジャー バージョンが必要です。

詳細情報

IPS ソフトウェアのファイル名の意味については、を参照してください。

自動アップデートに関する問題

次のリストに、自動更新のトラブルシューティングに役立つ情報を示します。

TCPDUMP を実行します。

サービス アカウントを作成します。root に su し、さらにコマンド/コントロール インターフェイスで TCPDUMP を実行して、センサーと FTP サーバとの間のパケットをキャプチャします。

upgrade コマンドを使用して、センサーを手動でアップグレードします。

FTP サーバから返されるエラーの TCPDUMP 出力を調べます。

センサーが正しいディレクトリ内にあることを確認します。ディレクトリを正しく指定する必要があります。これが、Windows FTP サーバにおける問題の原因です。場合によっては、ディレクトリ名の前に余分に「/」を 1 つ、または 2 つ付ける必要があります。これを確認するには、固有の FTP 接続を介して送信された TCPDUMP 出力に示されているのと同じ FTP コマンドを使用します。

MS-DOS ファイル構造体ではなく UNIX ファイル構造体をエミュレートするには、Windows FTP サーバ セットアップ オプションを使用する必要があります。

SCP を使用する場合は、SSH ホスト キーを既知のホスト リストに必ず追加しておきます。

自動アップデートの設定中に不正アクセスを示すエラー メッセージが表示された場合は、センサーと Cisco.com の間のファイアウォール上で正しいポートが開いていることを確認してください。たとえば、www.cisco.com への最初の自動アップデート接続にはポート 443 が必要であり、選択したパッケージを Cisco ファイル サーバからダウンロードするには、ポート 80 が必要です。Cisco ファイル サーバの IP アドレスは変更されることがありますが、show statistics host コマンドの出力の lastDownloadAttempt セクションで確認できます。

手動による upgrade コマンドを試してから、自動アップデートを試みます。 upgrade コマンドでは動作するが、自動アップデートでは動作しない場合は、次の手順を実行します。

センサーが使用している IPS ソフトウェア バージョンを確認します。

自動更新には、必ずパスワードを設定します。自動アップデートのパスワードは、手動アップデートで使用されるパスワードと一致する必要があります。

FTP サーバ内のファイル名が、Cisco.com の [Downloads] に表示されるものと同じであることを確認します。これには大文字の使用も含まれます。一部の Windows FTP サーバは大文字化されていないファイルへのアクセスを許可しますが、名前が変更されているのでセンサーは最終的にファイルを拒否します。

必要であれば、自動更新で TCPDUMP を実行します。正常な手動アップデートを異常な自動アップデートと比較し、そこからトラブルシューティングを行うことができます。

詳細情報

サービス アカウントの作成手順については、「サービス アカウントの作成」を参照してください。

センサーのイメージの再作成手順については、を参照してください。

ホストを SSH の既知のホスト リストに追加する手順については、「 SSH の既知のホスト リストへのホストの追加 」を参照してください。

ソフトウェア バージョンを確認する手順については、「バージョン情報」を参照してください。

センサーに格納されたアップデートを使用してセンサーを更新する

アップデート パッケージをセンサー上の /var ディレクトリに格納し、必要に応じて、そこからセンサーを更新することができます。

センサーに格納されたアップデートを使用してセンサーを更新するには、次の手順を実行します。


ステップ 1 サーバ アカウントにログインします。

ステップ 2 Cisco.com からアップデート パッケージファイルを取得します。

ステップ 3 FTP または SCP を使用して、更新ファイルをセンサーの /usr/cids/idsRoot/var ディレクトリに送信します。

ステップ 4 ファイルの権限を設定します。

chmod 644 ips_package_file_name
 

ステップ 5 サービス アカウントを終了します。

ステップ 6 管理者権限を持つアカウントを使用して次のようにセンサーにログインします。

ステップ 7 センサーのホスト キーを格納します。

sensor# configure terminal
sensor(config)# service ssh
sensor(config-ssh)# rsa1-keys sensor_ip_address
 

ステップ 8 センサーをアップグレードします。

sensor(config)# upgrade scp://service@sensor_ip_address/upgrade/ips_package_file_name
Enter password: *****
Re-enter password: *****
 


 

詳細情報

Cisco IPS ソフトウェアの入手手順については、を参照してください。

IDM のトラブルシューティング


) 次の手順は、ASDM の IPS セクションにも適用されます。



) センサーの IPS ソフトウェアをアップグレードすると、最新のソフトウェア機能を表示するのに IDM を再起動する必要があります。


ここでは、IDM のトラブルシューティング手順について説明します。次の項目について説明します。

「IDM を起動できない:Java アプレットのロードに失敗する」

「IDM が起動できない:分析エンジンがビジー状態」

「IDM、リモート マネージャ、または検知インターフェイスがセンサーにアクセスできない」

「シグニチャがアラートを生成しない」

IDM を起動できない:Java アプレットのロードに失敗する

症状 ブラウザに「 Loading Cisco IDM.Please wait ... 」と表示され、ウィンドウの左下に「 Loading Java Applet Failed 」と表示されます。

考えられる原因 この状態は、IDM を起動しているマシンに複数の Java プラグインがインストールされている場合に発生することがあります。

推奨処置 Java のキャッシュを消去し、temp ファイルを削除して、使用しているブラウザの履歴を消去してください。これで、これらのプラグインがデフォルトで使用されなくなり、各アプレットで適切なプラグインが使用されます。

キャッシュを消去するには、次の手順を実行します。


ステップ 1 すべてのブラウザ ウィンドウを閉じます。

ステップ 2 Java プラグイン 1.3. x がインストールされている場合は、次の手順を実行します。

a. [Start] > [Settings] > [Control Panel] > [Java Plug-in 1.3.x] をクリックします。

b. [Advanced] タブをクリックします。

c. [Java Runtime Environment] のドロップダウン メニューから [JRE 1.3.x] を選択します。

d. [Cache] タブをクリックします。

e. [Clear] をクリックします。

ステップ 3 Java プラグイン 1.4. x がインストールされている場合は、次の手順を実行します。

a. [Start] > [Settings] > [Control Panel] > [Java Plug-in 1.4.x] をクリックします。

b. [Advanced] タブをクリックします。

c. [Java Runtime Environment] のドロップダウン メニューから [JRE 1.3.x] を選択します。

d. [Cache] タブをクリックします。

e. [Browser] タブをクリックします。

f. ブラウザのすべてのチェックボックスをオフにします。

g. [Clear Cache] をクリックします。

ステップ 4 temp ファイルを削除し、ブラウザの履歴を消去します。


 

IDM が起動できない:分析エンジンがビジー状態

エラー メッセージ Error connecting to sensor. Failed to load sensor-errNotAvailable-Analysis Engine is busy. Exiting IDM.

考えられる原因 この状態は、センサーの分析エンジンがタスクの実行でビジー状態となり、IDM に応答しない場合に発生することがあります。

推奨処置 しばらく時間をおいてから、再接続を試みてください。

IDM、リモート マネージャ、または検知インターフェイスがセンサーにアクセスできない

IDM、リモート マネージャ、または検知インターフェイスがセンサーにアクセスできないけれども、SSH または Telnet(イネーブルの場合)を使用してセンサーの CLI にアクセスできる場合は、次の手順を実行します。


ステップ 1 ネットワーク設定で、センサーで設定されている Web サーバ ポートへのアクセスが許可されていることを確認します。

sensor# setup
 
 
--- System Configuration Dialog ---
 
At any point you may enter a question mark '?' for help.
User ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
 
 
Current Configuration:
 
 
service host
network-settings
host-ip 192.168.1.2/24,192.168.1.1
host-name sensor
telnet-option enabled
access-list 0.0.0.0/0
ftp-timeout 300
no login-banner-text
exit
time-zone-settings
offset 0
standard-time-zone-name UTC
exit
summertime-option disabled
ntp-option disabled
exit
service web-server
port 443
exit
 

ステップ 2 ルータ、スイッチ、またはファイアウォールなどのネットワーク デバイスがセンサーとワークステーションの間にある場合、これらのデバイスで、ワークステーションがセンサーの Web サーバ ポートにアクセスできるように設定されていることを確認します。すべてのリモート管理通信は、センサーの Web サーバによって実行されます。


 

詳細情報

センサー上で Telnet をイネーブルまたはディセーブルにする手順および Web サーバを設定する手順については、「 ネットワーク設定値の変更 」を参照してください。

シグニチャがアラートを生成しない


注意 イベント アクションを設定するたびに、他のアクションを追加することはできません。イベント アクションを設定するたびに、実際にはそのリストが置き換えられます。したがって、イベント アクションを設定するときは、常に [Produce Alert] を選択してください。

シグニチャが起動されてもアラートが表示されない場合は、イベント アクションとして [Produce Alert] が設定されていることを確認してください。たとえば、[Produce Alert] の選択後に別のイベント アクションを追加し、[Produce Alert] を新しい設定に追加しなかった場合、アラートはイベント ストアに送信されません。アラートを受け取っていることを確認するには、仮想センサーとイベント ストアの統計情報をチェックしてください。

詳細情報

イベント アクションの詳細については、「 イベント アクション 」を参照してください。

イベント アクションの設定手順については、「 シグニチャへのアクションの割り当て 」を参照してください。

仮想センサーとイベント ストアに関する統計情報の取得手順については、「 統計情報の表示 」を参照してください。

IME のトラブルシューティング

ここでは、IME のトラブルシューティング ツールについて説明します。内容は次のとおりです。

「IME とセンサーの時刻の同期」

「「Not Supported」エラー メッセージ」

IME とセンサーの時刻の同期

症状 IME の [Events] ダッシュボードに、「No Data Available」と表示されます。履歴クエリーがイベントを返しません。ただし、イベントは IME に報告され、リアルタイム イベント ビューアに表示されます。

考えられる原因 センサーと IME ローカル サーバが同期されていません。IME ダッシュボードは、IME ローカル時刻を基準にした時刻を使用します。これらの時刻が同期されていないと、クエリーから結果が返されません。IME にセンサーを追加すると、時刻の同期がチェックされ、誤っている場合は訂正するよう求める警告が表示されます。[Home] > [Devices] > [Device List] を選択すると、同期に問題があることを示すクロックに関する警告が表示されます。

推奨処置 センサーまたは IME ローカル サーバで時刻の設定を変更します。ほとんどの場合、センサーの時刻は誤って設定されているかデフォルトの時刻に設定されているので、センサーの時刻を変更する必要があります。

詳細情報

時刻とセンサーの詳細については、「時刻源とセンサー」を参照してください。

センサー上の時刻を変更する手順については、「センサーの時刻の修正」を参照してください。

「Not Supported」エラー メッセージ

症状 IME のデバイス リスト テーブルおよび一部のガジェットに「Not Supported」と表示され、データが含まれません。

考えられる原因 [Details] をクリックして、このメッセージの説明を表示します。IME で特定の情報を取得するには、IPS 6.1 以降が必要です。IME は、IPS 5.0 以降および特定の IOS IPS バージョンでもイベント モニタリングと報告を行いますが、ヘルス情報や統合された設定などの一部の機能は利用できません。

推奨処置 IPS 6.1 以降にアップグレードしてください。

ASA 5500-X IPS SSP のトラブルシューティング


) アプライアンス ASA 5500-X IPS SSP のトラブルシューティングを開始する前に、センサーにインストールされているソフトウェア バージョンに関する Readme の「警告」の項をチェックし、既知の問題を処理しているかどうかを確認します。


ここでは、特に ASA 5500-X IPS SSP のトラブルシューティング情報について説明します。次の事項について説明します。

「フェールオーバー シナリオ」

「ヘルスおよびステータス情報」

「ASA 5500-X IPS SSP および Normalizer エンジン」

「ASA 5500-X IPS SSP およびメモリ使用率」

「ASA 5500-X IPS SSP およびジャンボ パケット フレーム サイズ」

「ASA 5500-X IPS SSP およびジャンボ パケット」

「IPS アプライアンスと ASA IPS モジュールの TCP リセットの違い」

フェールオーバー シナリオ

次のフェールオーバー シナリオは、ASA 5500-X IPS SSP での設定変更、シグニチャおよびシグニチャ エンジンの更新、サービス パック、および SensorApp クラッシュ時に ASAS 5500-X に適用されます。

フェールオープン モードの 1 台の ASA 5500-X

ASA が ASA 5500-X IPS SSP に対してフェールオープン モードに設定され、ASA 5500-X IPS SSP で設定変更またはシグニチャ/シグニチャ エンジンの更新が行われた場合、トラフィックは検査を受けずに ASA を通過します。

ASA が ASA 5500-X IPS SSP に対してフェールオープン モードに設定され、ASA 5500-X IPS SSP で SensorApp のクラッシュまたはサービス パックのアップグレードが発生した場合、トラフィックは検査を受けずに ASA を通過します。

フェールクローズ モードの 1 台の ASA 5500-X

ASA が ASA 5500-X IPS SSP に対してフェールクローズ モードに設定され、ASA 5500-X IPS SSP で設定変更またはシグニチャ/シグニチャ エンジンの更新が行われた場合、ASA 経由のトラフィックは停止します。

ASA が ASA 5500-X IPS SSP に対してフェールクローズ モードに設定され、ASA 5500-X IPS SSP で SensorApp クラッシュまたはサービス パックのアップグレードが発生した場合、ASA 経由のトラフィックは停止します。

フェールオープン モードの 2 台の ASA 5500-X

2 台の ASA がフェールオープン モードに設定され、アクティブな ASA 上の ASA 5500-X IPS SSP で設定変更やシグニチャ/シグニチャ エンジンの更新が行われた場合、トラフィックは検査を受けずにアクティブな ASA をそのまま通過します。フェールオーバーはトリガーされません。

2 台の ASA がフェールオープン モードに設定され、アクティブな ASA 上の ASA 5500-X IPS SSP で SensorApp のクラッシュまたはサービス パックのアップグレードが発生した場合、フェールオーバーがトリガーされ、トラフィックは前にスタンバイ ASA 5500-X IPS SSP だった ASA 5500-X IPS SSP を通過します。

フェールクローズ モードの 2 台の ASA 5500-X

2 台の ASA がフェールクローズ モードに設定され、アクティブな ASA 上の ASA 5500-X IPS SSP で設定変更またはシグニチャ/シグニチャ エンジンの更新が行われた場合、アクティブな ASA 経由のトラフィックは停止します。フェールオーバーはトリガーされません。

2 台の ASA がフェールクローズ モードに設定され、アクティブな ASA 上の ASA 5500-X IPS SSP で SensorApp のクラッシュまたはサービス パックのアップグレードが発生した場合、フェールオーバーがトリガーされ、トラフィックは前にスタンバイ ASA 5500-X IPS SSP だった ASA 5500-X IPS SSP を通過します。

設定例

プライマリ ASA には次の設定を使用します。

interface GigabitEthernet0/7
description LAN Failover Interface
 
failover
failover lan unit primary
failover lan interface folink GigabitEthernet0/7
failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2
 

セカンダリ ASA には次の設定を使用します。

interface GigabitEthernet0/7
description LAN Failover Interface
 
failover
failover lan unit secondary
failover lan interface folink GigabitEthernet0/7
failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2

ヘルスおよびステータス情報

ASA 5500-X IPS SSP の一般的なヘルス状態を表示するには、 show module ips details コマンドを使用します。

asa# show module ips details
Getting details from the Service Module, please wait...
 
Card Type: IPS 5555 Intrusion Prevention System
Model: IPS5555
Hardware version: N/A
Serial Number: FCH1504V0CW
Firmware version: N/A
Software version: 7.2(1)E4
MAC Address Range: 503d.e59c.7ca0 to 503d.e59c.7ca0
App. name: IPS
App. Status: Up
App. Status Desc: Normal Operation
App. version: 7.2(1)E4
Data Plane Status: Up
Status: Up
License: IPS Module Enabled perpetual
Mgmt IP addr: 192.168.1.2
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 192.168.1.1
Mgmt web ports: 443
Mgmt TLS enabled: true
asa#
 

出力は ASA 5500-X IPS SSP がアップ状態であることを示しています。ステータスが [Down] と表示されている場合は、 sw-module module 1 reset コマンドを使用してリセットできます。

ASA 5500-X IPS SSP のイメージの再作成に問題がある場合は、 debug module-boot コマンドを使用して、ブート時に出力を表示します。TFTP サーバの IP アドレスとファイルが正しいことを確認します。次に、もう一度 sw-module module ips recover コマンドを使用して、モジュールのイメージを再作成します。

asa-ips# sw-module module ips recover configure image disk0:/IPS-SSP_5555-K9-sys-1.1-a-7.2-1-E4.aip
Image URL [tftp://192.0.2.1/IPS-5545-K9-sys-1.1-a-7.2-1-E4.aip]:
Port IP Address [192.0.2.226]:
VLAN ID [0]:
Gateway IP Address [192.0.2.254]:
 
asa-ips# debug module-boot
debug module-boot enabled at level 1
asa-ips# sw-module module ips reload
 
Reload module ips? [confirm]
Reload issued for module ips.
asa-ips# Mod-ips 228> ***
Mod-ips 229> *** EVENT: The module is reloading.
Mod-ips 230> *** TIME: 08:07:36 CST Jan 17 2012
Mod-ips 231> ***
Mod-ips 232> Mod-ips 233> The system is going down NOW!
Mod-ips 234> Sending SIGTERM to all processes
Mod-ips 235> Sending SIGKILL to all processes
Mod-ips 236> Requesting system reboot
Mod-ips 237> e1000 0000:00:07.0: PCI INT A disabled
Mod-ips 238> e1000 0000:00:06.0: PCI INT A disabled
Mod-ips 239> e1000 0000:00:05.0: PCI INT A disabled
Mod-ips 240> Restarting system.
Mod-ips 241> machine restart
Mod-ips 242> IVSHMEM: addr = 4093640704 size = 67108864
Mod-ips 243> Booting 'Cisco IPS'
Mod-ips 244> root (hd0,0)
Mod-ips 245> Filesystem type is ext2fs, partition type 0x83
Mod-ips 246> kernel /ips-2.6.ld ro initfsDev=/dev/hda1 init=loader.run rootrw=/dev/hda2 init
Mod-ips 247> fs=runtime-image.cpio.bz2 hda=nodma console=ttyS0 plat=saleen htlblow=1 hugepag
Mod-ips 248> es=3223
Mod-ips 249> [Linux-bzImage, setup=0x2c00, size=0x2bad80]
Mod-ips 250> Linux version 2.6.29.1 (ipsbuild@seti-teambuilder-a) (gcc version 4.3.2 (crosstool
Mod-ips 251> -NG-1.4.1) ) #56 SMP Tue Dec 6 00:46:11 CST 2011
Mod-ips 252> Command line: ro initfsDev=/dev/hda1 init=loader.run rootrw=/dev/hda2 initfs=runti
Mod-ips 253> me-image.cpio.bz2 hda=nodma console=ttyS0 plat=saleen htlblow=1 hugepages=3223
Mod-ips 254> KERNEL supported cpus:
Mod-ips 255> Intel GenuineIntel
Mod-ips 256> AMD AuthenticAMD
Mod-ips 257> Centaur CentaurHauls
Mod-ips 258> BIOS-provided physical RAM map:
Mod-ips 259> BIOS-e820: 0000000000000000 - 000000000009f400 (usable)
Mod-ips 260> BIOS-e820: 000000000009f400 - 00000000000a0000 (reserved)
Mod-ips 261> BIOS-e820: 00000000000f0000 - 0000000000100000 (reserved)
Mod-ips 262> BIOS-e820: 0000000000100000 - 00000000dfffd000 (usable)
Mod-ips 263> BIOS-e820: 00000000dfffd000 - 00000000e0000000 (reserved)
Mod-ips 264> BIOS-e820: 00000000fffbc000 - 0000000100000000 (reserved)
Mod-ips 265> BIOS-e820: 0000000100000000 - 0000000201400000 (usable)
Mod-ips 266> DMI 2.4 present.
Mod-ips 267> last_pfn = 0x201400 max_arch_pfn = 0x100000000
Mod-ips 268> last_pfn = 0xdfffd max_arch_pfn = 0x100000000
Mod-ips 269> init_memory_mapping: 0000000000000000-00000000dfffd000
Mod-ips 270> last_map_addr: dfffd000 end: dfffd000
Mod-ips 271> init_memory_mapping: 0000000100000000-0000000201400000
Mod-ips 272> last_map_addr: 201400000 end: 201400000
Mod-ips 273> ACPI: RSDP 000F88D0, 0014 (r0 BOCHS )
Mod-ips 274> ACPI: RSDT DFFFDD00, 0034 (r1 BOCHS BXPCRSDT 1 BXPC 1)
Mod-ips 275> ACPI: FACP DFFFFD90, 0074 (r1 BOCHS BXPCFACP 1 BXPC 1)
Mod-ips 276> FADT: X_PM1a_EVT_BLK.bit_width (16) does not match PM1_EVT_LEN (4)
Mod-ips 277> ACPI: DSDT DFFFDF10, 1E22 (r1 BXPC BXDSDT 1 INTL 20090123)
Mod-ips 278> ACPI: FACS DFFFFD40, 0040
Mod-ips 279> ACPI: SSDT DFFFDE90, 0079 (r1 BOCHS BXPCSSDT 1 BXPC 1)
Mod-ips 280> ACPI: APIC DFFFDD80, 0090 (r1 BOCHS BXPCAPIC 1 BXPC 1)
Mod-ips 281> ACPI: HPET DFFFDD40, 0038 (r1 BOCHS BXPCHPET 1 BXPC 1)
Mod-ips 282> No NUMA configuration found
Mod-ips 283> Faking a node at 0000000000000000-0000000201400000
Mod-ips 284> Bootmem setup node 0 0000000000000000-0000000201400000
Mod-ips 285> NODE_DATA [0000000000011000 - 000000000001ffff]
Mod-ips 286> bootmap [0000000000020000 - 000000000006027f] pages 41
Mod-ips 287> (6 early reservations) ==> bootmem [0000000000 - 0201400000]
Mod-ips 288> #0 [0000000000 - 0000001000] BIOS data page ==> [0000000000 - 0000001000]
Mod-ips 289> #1 [0000006000 - 0000008000] TRAMPOLINE ==> [0000006000 - 0000008000]
Mod-ips 290> #2 [0000200000 - 0000d55754] TEXT DATA BSS ==> [0000200000 - 0000d55754]
Mod-ips 291> #3 [000009f400 - 0000100000] BIOS reserved ==> [000009f400 - 0000100000]
Mod-ips 292> #4 [0000008000 - 000000c000] PGTABLE ==> [0000008000 - 000000c000]
Mod-ips 293> #5 [000000c000 - 0000011000] PGTABLE ==> [000000c000 - 0000011000]
Mod-ips 294> found SMP MP-table at [ffff8800000f8920] 000f8920
Mod-ips 295> Zone PFN ranges:
Mod-ips 296> DMA 0x00000000 -> 0x00001000
Mod-ips 297> DMA32 0x00001000 -> 0x00100000
Mod-ips 298> Normal 0x00100000 -> 0x00201400
Mod-ips 299> Movable zone start PFN for each node
Mod-ips 300> early_node_map[3] active PFN ranges
Mod-ips 301> 0: 0x00000000 -> 0x0000009f
Mod-ips 302> 0: 0x00000100 -> 0x000dfffd
Mod-ips 303> 0: 0x00100000 -> 0x00201400
Mod-ips 304> ACPI: PM-Timer IO Port: 0xb008
Mod-ips 305> ACPI: LAPIC (acpi_id[0x00] lapic_id[0x00] enabled)
Mod-ips 306> ACPI: LAPIC (acpi_id[0x01] lapic_id[0x01] enabled)
Mod-ips 307> ACPI: LAPIC (acpi_id[0x02] lapic_id[0x02] enabled)
Mod-ips 308> ACPI: LAPIC (acpi_id[0x03] lapic_id[0x03] enabled)
Mod-ips 309> ACPI: LAPIC (acpi_id[0x04] lapic_id[0x04] enabled)
Mod-ips 310> ACPI: LAPIC (acpi_id[0x05] lapic_id[0x05] enabled)
Mod-ips 311> ACPI: IOAPIC (id[0x06] address[0xfec00000] gsi_base[0])
Mod-ips 312> IOAPIC[0]: apic_id 6, version 0, address 0xfec00000, GSI 0-23
Mod-ips 313> ACPI: INT_SRC_OVR (bus 0 bus_irq 5 global_irq 5 high level)
Mod-ips 314> ACPI: INT_SRC_OVR (bus 0 bus_irq 9 global_irq 9 high level)
Mod-ips 315> ACPI: INT_SRC_OVR (bus 0 bus_irq 10 global_irq 10 high level)
Mod-ips 316> ACPI: INT_SRC_OVR (bus 0 bus_irq 11 global_irq 11 high level)
Mod-ips 317> Using ACPI (MADT) for SMP configuration information
Mod-ips 318> ACPI: HPET id: 0x8086a201 base: 0xfed00000
Mod-ips 319> SMP: Allowing 6 CPUs, 0 hotplug CPUs
Mod-ips 320> Allocating PCI resources starting at e2000000 (gap: e0000000:1ffbc000)
Mod-ips 321> NR_CPUS:32 nr_cpumask_bits:32 nr_cpu_ids:6 nr_node_ids:1
Mod-ips 322> PERCPU: Allocating 49152 bytes of per cpu data
Mod-ips 323> Built 1 zonelists in Zone order, mobility grouping on. Total pages: 1939347
Mod-ips 324> Policy zone: Normal
Mod-ips 325> Kernel command line: ro initfsDev=/dev/hda1 init=loader.run rootrw=/dev/hda2 initf
Mod-ips 326> s=runtime-image.cpio.bz2 hda=nodma console=ttyS0 plat=saleen htlblow=1 hugepages=3
Mod-ips 327> 223
Mod-ips 328> hugetlb_lowmem_setup: Allocated 2097152 huge pages (size=0x200000) from lowmem are
Mod-ips 329> a at 0xffff88002ee00000 phys addr 0x000000002ee00000
Mod-ips 330> Initializing CPU#0
Mod-ips 331> PID hash table entries: 4096 (order: 12, 32768 bytes)
Mod-ips 332> Fast TSC calibration using PIT
Mod-ips 333> Detected 2792.965 MHz processor.
Mod-ips 334> Console: colour VGA+ 80x25
Mod-ips 335> console [ttyS0] enabled
Mod-ips 336> Checking aperture...
Mod-ips 337> No AGP bridge found
Mod-ips 338> PCI-DMA: Using software bounce buffering for IO (SWIOTLB)
Mod-ips 339> Placing 64MB software IO TLB between ffff880020000000 - ffff880024000000
Mod-ips 340> software IO TLB at phys 0x20000000 - 0x24000000
Mod-ips 341> Memory: 7693472k/8409088k available (3164k kernel code, 524688k absent, 190928k re
Mod-ips 342> served, 1511k data, 1032k init)
Mod-ips 343> Calibrating delay loop (skipped), value calculated using timer frequency.. 5585.93
Mod-ips 344> BogoMIPS (lpj=2792965)
Mod-ips 345> Dentry cache hash table entries: 1048576 (order: 11, 8388608 bytes)
Mod-ips 346> Inode-cache hash table entries: 524288 (order: 10, 4194304 bytes)
Mod-ips 347> Mount-cache hash table entries: 256
Mod-ips 348> CPU: L1 I cache: 32K, L1 D cache: 32K
Mod-ips 349> CPU: L2 cache: 4096K
Mod-ips 350> CPU 0/0x0 -> Node 0
Mod-ips 351> Freeing SMP alternatives: 29k freed
Mod-ips 352> ACPI: Core revision 20081204
Mod-ips 353> Setting APIC routing to flat
Mod-ips 354> ..TIMER: vector=0x30 apic1=0 pin1=0 apic2=-1 pin2=-1
Mod-ips 355> CPU0: Intel QEMU Virtual CPU version 0.12.5 stepping 03
Mod-ips 356> Booting processor 1 APIC 0x1 ip 0x6000
Mod-ips 357> Initializing CPU#1
Mod-ips 358> Calibrating delay using timer specific routine.. 5585.16 BogoMIPS (lpj=2792581)
Mod-ips 359> CPU: L1 I cache: 32K, L1 D cache: 32K
Mod-ips 360> CPU: L2 cache: 4096K
Mod-ips 361> CPU 1/0x1 -> Node 0
Mod-ips 362> CPU1: Intel QEMU Virtual CPU version 0.12.5 stepping 03
Mod-ips 363> checking TSC synchronization [CPU#0 -> CPU#1]:
Mod-ips 364> Measured 1453783140569731 cycles TSC warp between CPUs, turning off TSC clock.
Mod-ips 365> Marking TSC unstable due to check_tsc_sync_source failed
Mod-ips 366> Booting processor 2 APIC 0x2 ip 0x6000
Mod-ips 367> Initializing CPU#2
Mod-ips 368> Calibrating delay using timer specific routine.. 5580.51 BogoMIPS (lpj=2790259)
Mod-ips 369> CPU: L1 I cache: 32K, L1 D cache: 32K
Mod-ips 370> CPU: L2 cache: 4096K
Mod-ips 371> CPU 2/0x2 -> Node 0
Mod-ips 372> CPU2: Intel QEMU Virtual CPU version 0.12.5 stepping 03
Mod-ips 373> Booting processor 3 APIC 0x3 ip 0x6000
Mod-ips 374> Initializing CPU#3
Mod-ips 375> Calibrating delay using timer specific routine.. 5585.18 BogoMIPS (lpj=2792594)
Mod-ips 376> CPU: L1 I cache: 32K, L1 D cache: 32K
Mod-ips 377> CPU: L2 cache: 4096K
Mod-ips 378> CPU 3/0x3 -> Node 0
Mod-ips 379> CPU3: Intel QEMU Virtual CPU version 0.12.5 stepping 03
Mod-ips 380> Booting processor 4 APIC 0x4 ip 0x6000
Mod-ips 381> Initializing CPU#4
Mod-ips 382> Calibrating delay using timer specific routine.. 5585.15 BogoMIPS (lpj=2792579)
Mod-ips 383> CPU: L1 I cache: 32K, L1 D cache: 32K
Mod-ips 384> CPU: L2 cache: 4096K
Mod-ips 385> CPU 4/0x4 -> Node 0
Mod-ips 386> CPU4: Intel QEMU Virtual CPU version 0.12.5 stepping 03
Mod-ips 387> Booting processor 5 APIC 0x5 ip 0x6000
Mod-ips 388> Initializing CPU#5
Mod-ips 389> Calibrating delay using timer specific routine.. 5585.21 BogoMIPS (lpj=2792609)
Mod-ips 390> CPU: L1 I cache: 32K, L1 D cache: 32K
Mod-ips 391> CPU: L2 cache: 4096K
Mod-ips 392> CPU 5/0x5 -> Node 0
Mod-ips 393> CPU5: Intel QEMU Virtual CPU version 0.12.5 stepping 03
Mod-ips 394> Brought up 6 CPUs
Mod-ips 395> Total of 6 processors activated (33507.17 BogoMIPS).
Mod-ips 396> net_namespace: 1312 bytes
Mod-ips 397> Booting paravirtualized kernel on bare hardware
Mod-ips 398> NET: Registered protocol family 16
Mod-ips 399> ACPI: bus type pci registered
Mod-ips 400> dca service started, version 1.8
Mod-ips 401> PCI: Using configuration type 1 for base access
Mod-ips 402> mtrr: your CPUs had inconsistent variable MTRR settings
Mod-ips 403> mtrr: your CPUs had inconsistent MTRRdefType settings
Mod-ips 404> mtrr: probably your BIOS does not setup all CPUs.
Mod-ips 405> mtrr: corrected configuration.
Mod-ips 406> bio: create slab <bio-0> at 0
Mod-ips 407> ACPI: Interpreter enabled
Mod-ips 408> ACPI: (supports S0 S5)
Mod-ips 409> ACPI: Using IOAPIC for interrupt routing
Mod-ips 410> ACPI: No dock devices found.
Mod-ips 411> ACPI: PCI Root Bridge [PCI0] (0000:00)
Mod-ips 412> pci 0000:00:01.3: quirk: region b000-b03f claimed by PIIX4 ACPI
Mod-ips 413> pci 0000:00:01.3: quirk: region b100-b10f claimed by PIIX4 SMB
Mod-ips 414> IVSHMEM: addr = 4093640704 size = 67108864
Mod-ips 415> ACPI: PCI Interrupt Link [LNKA] (IRQs 5 *10 11)
Mod-ips 416> ACPI: PCI Interrupt Link [LNKB] (IRQs 5 *10 11)
Mod-ips 417> ACPI: PCI Interrupt Link [LNKC] (IRQs 5 10 *11)
Mod-ips 418> ACPI: PCI Interrupt Link [LNKD] (IRQs 5 10 *11)
Mod-ips 419> SCSI subsystem initialized
Mod-ips 420> usbcore: registered new interface driver usbfs
Mod-ips 421> usbcore: registered new interface driver hub
Mod-ips 422> usbcore: registered new device driver usb
Mod-ips 423> PCI: Using ACPI for IRQ routing
Mod-ips 424> pnp: PnP ACPI init
Mod-ips 425> ACPI: bus type pnp registered
Mod-ips 426> pnp: PnP ACPI: found 9 devices
Mod-ips 427> ACPI: ACPI bus type pnp unregistered
Mod-ips 428> NET: Registered protocol family 2
Mod-ips 429> IP route cache hash table entries: 262144 (order: 9, 2097152 bytes)
Mod-ips 430> TCP established hash table entries: 524288 (order: 11, 8388608 bytes)
Mod-ips 431> TCP bind hash table entries: 65536 (order: 8, 1048576 bytes)
Mod-ips 432> TCP: Hash tables configured (established 524288 bind 65536)
Mod-ips 433> TCP reno registered
Mod-ips 434> NET: Registered protocol family 1
Mod-ips 435> Adding htlb page ffff88002ee00000 phys 000000002ee00000 page ffffe20000a41000
Mod-ips 436> HugeTLB registered 2 MB page size, pre-allocated 3223 pages
Mod-ips 437> report_hugepages: Using 1 pages from low memory at ffff88002ee00000 HugeTLB FS
Mod-ips 438> msgmni has been set to 15026
Mod-ips 439> alg: No test for stdrng (krng)
Mod-ips 440> io scheduler noop registered
Mod-ips 441> io scheduler anticipatory registered
Mod-ips 442> io scheduler deadline registered
Mod-ips 443> io scheduler cfq registered (default)
Mod-ips 444> pci 0000:00:00.0: Limiting direct PCI/PCI transfers
Mod-ips 445> pci 0000:00:01.0: PIIX3: Enabling Passive Release
Mod-ips 446> pci 0000:00:01.0: Activating ISA DMA hang workarounds
Mod-ips 447> pci_hotplug: PCI Hot Plug PCI Core version: 0.5
Mod-ips 448> pciehp: PCI Express Hot Plug Controller Driver version: 0.4
Mod-ips 449> acpiphp: ACPI Hot Plug PCI Controller Driver version: 0.5
Mod-ips 450> acpiphp_glue: can't get bus number, assuming 0
Mod-ips 451> decode_hpp: Could not get hotplug parameters. Use defaults
Mod-ips 452> acpiphp: Slot [1] registered
Mod-ips 453> acpiphp: Slot [2] registered
Mod-ips 454> acpiphp: Slot [3] registered
Mod-ips 455> acpiphp: Slot [4] registered
Mod-ips 456> acpiphp: Slot [5] registered
Mod-ips 457> acpiphp: Slot [6] registered
Mod-ips 458> acpiphp: Slot [7] registered
Mod-ips 459> acpiphp: Slot [8] registered
Mod-ips 460> acpiphp: Slot [9] registered
Mod-ips 461> acpiphp: Slot [10] registered
Mod-ips 462> acpiphp: Slot [11] registered
Mod-ips 463> acpiphp: Slot [12] registered
Mod-ips 464> acpiphp: Slot [13] registered
Mod-ips 465> acpiphp: Slot [14] registered
Mod-ips 466> acpiphp: Slot [15] registered
Mod-ips 467> acpiphp: Slot [16] registered
Mod-ips 468> acpiphp: Slot [17] registered
Mod-ips 469> acpiphp: Slot [18] registered
Mod-ips 470> acpiphp: Slot [19] registered
Mod-ips 471> acpiphp: Slot [20] registered
Mod-ips 472> acpiphp: Slot [21] registered
Mod-ips 473> acpiphp: Slot [22] registered
Mod-ips 474> acpiphp: Slot [23] registered
Mod-ips 475> acpiphp: Slot [24] registered
Mod-ips 476> acpiphp: Slot [25] registered
Mod-ips 477> acpiphp: Slot [26] registered
Mod-ips 478> acpiphp: Slot [27] registered
Mod-ips 479> acpiphp: Slot [28] registered
Mod-ips 480> acpiphp: Slot [29] registered
Mod-ips 481> acpiphp: Slot [30] registered
Mod-ips 482> acpiphp: Slot [31] registered
Mod-ips 483> shpchp: Standard Hot Plug PCI Controller Driver version: 0.4
Mod-ips 484> fakephp: Fake PCI Hot Plug Controller Driver
Mod-ips 485> fakephp: pci_hp_register failed with error -16
Mod-ips 486> fakephp: pci_hp_register failed with error -16
Mod-ips 487> fakephp: pci_hp_register failed with error -16
Mod-ips 488> fakephp: pci_hp_register failed with error -16
Mod-ips 489> fakephp: pci_hp_register failed with error -16
Mod-ips 490> fakephp: pci_hp_register failed with error -16
Mod-ips 491> fakephp: pci_hp_register failed with error -16
Mod-ips 492> processor ACPI_CPU:00: registered as cooling_device0
Mod-ips 493> processor ACPI_CPU:01: registered as cooling_device1
Mod-ips 494> processor ACPI_CPU:02: registered as cooling_device2
Mod-ips 495> processor ACPI_CPU:03: registered as cooling_device3
Mod-ips 496> processor ACPI_CPU:04: registered as cooling_device4
Mod-ips 497> processor ACPI_CPU:05: registered as cooling_device5
Mod-ips 498> hpet_acpi_add: no address or irqs in _CRS
Mod-ips 499> Non-volatile memory driver v1.3
Mod-ips 500> Linux agpgart interface v0.103
Mod-ips 501> ipmi message handler version 39.2
Mod-ips 502> ipmi device interface
Mod-ips 503> IPMI System Interface driver.
Mod-ips 504> ipmi_si: Unable to find any System Interface(s)
Mod-ips 505> IPMI SMB Interface driver
Mod-ips 506> IPMI Watchdog: driver initialized
Mod-ips 507> Copyright (C) 2004 MontaVista Software - IPMI Powerdown via sys_reboot.
Mod-ips 508> Serial: 8250/16550 driver, 4 ports, IRQ sharing enabled
Mod-ips 509> ?serial8250: ttyS0 at I/O 0x3f8 (irq = 4) is a 16550A
Mod-ips 510> serial8250: ttyS1 at I/O 0x2f8 (irq = 3) is a 16550A
Mod-ips 511> 00:06: ttyS0 at I/O 0x3f8 (irq = 4) is a 16550A
Mod-ips 512> 00:07: ttyS1 at I/O 0x2f8 (irq = 3) is a 16550A
Mod-ips 513> brd: module loaded
Mod-ips 514> loop: module loaded
Mod-ips 515> lpc: version 0.1 (Nov 10 2011)
Mod-ips 516> tun: Universal TUN/TAP device driver, 1.6
Mod-ips 517> tun: (C) 1999-2004 Max Krasnyansky <maxk@qualcomm.com>
Mod-ips 518> Uniform Multi-Platform E-IDE driver
Mod-ips 519> piix 0000:00:01.1: IDE controller (0x8086:0x7010 rev 0x00)
Mod-ips 520> piix 0000:00:01.1: not 100native mode: will probe irqs later
Mod-ips 521> ide0: BM-DMA at 0xc000-0xc007
Mod-ips 522> ide1: BM-DMA at 0xc008-0xc00f
Mod-ips 523> hda: QEMU HARDDISK, ATA DISK drive
Mod-ips 524> Clocksource tsc unstable (delta = 2851415955127 ns)
Mod-ips 525> hda: MWDMA2 mode selected
Mod-ips 526> hdc: QEMU DVD-ROM, ATAPI CD/DVD-ROM drive
Mod-ips 527> hdc: MWDMA2 mode selected
Mod-ips 528> ide0 at 0x1f0-0x1f7,0x3f6 on irq 14
Mod-ips 529> ide1 at 0x170-0x177,0x376 on irq 15
Mod-ips 530> ide_generic: please use "probe_mask=0x3f" module parameter for probing all legacy
Mod-ips 531> ISA IDE ports
Mod-ips 532> ide-gd driver 1.18
Mod-ips 533> hda: max request size: 512KiB
Mod-ips 534> hda: 7815168 sectors (4001 MB) w/256KiB Cache, CHS=7753/255/63
Mod-ips 535> hda: cache flushes supported
Mod-ips 536> hda: hda1 hda2 hda3 hda4
Mod-ips 537> Driver 'sd' needs updating - please use bus_type methods
Mod-ips 538> Driver 'sr' needs updating - please use bus_type methods
Mod-ips 539> ehci_hcd: USB 2.0 'Enhanced' Host Controller (EHCI) Driver
Mod-ips 540> ohci_hcd: USB 1.1 'Open' Host Controller (OHCI) Driver
Mod-ips 541> uhci_hcd: USB Universal Host Controller Interface driver
Mod-ips 542> Initializing USB Mass Storage driver...
Mod-ips 543> usbcore: registered new interface driver usb-storage
Mod-ips 544> USB Mass Storage support registered.
Mod-ips 545> PNP: PS/2 Controller [PNP0303:KBD,PNP0f13:MOU] at 0x60,0x64 irq 1,12
Mod-ips 546> serio: i8042 KBD port at 0x60,0x64 irq 1
Mod-ips 547> serio: i8042 AUX port at 0x60,0x64 irq 12
Mod-ips 548> mice: PS/2 mouse device common for all mice
Mod-ips 549> rtc_cmos 00:01: rtc core: registered rtc_cmos as rtc0
Mod-ips 550> rtc0: alarms up to one day, 114 bytes nvram
Mod-ips 551> input: AT Translated Set 2 keyboard as /class/input/input0
Mod-ips 552> i2c /dev entries driver
Mod-ips 553> piix4_smbus 0000:00:01.3: SMBus Host Controller at 0xb100, revision 0
Mod-ips 554> device-mapper: ioctl: 4.14.0-ioctl (2008-04-23) initialised: dm-devel@redhat.com
Mod-ips 555> cpuidle: using governor ladder
Mod-ips 556> usbcore: registered new interface driver usbhid
Mod-ips 557> usbhid: v2.6:USB HID core driver
Mod-ips 558> TCP cubic registered
Mod-ips 559> IPv6: Loaded, but is disabled by default. IPv6 may be enabled on individual interf
Mod-ips 560> aces.
Mod-ips 561> NET: Registered protocol family 10
Mod-ips 562> NET: Registered protocol family 17
Mod-ips 563> NET: Registered protocol family 5
Mod-ips 564> rtc_cmos 00:01: setting system clock to 2012-01-17 14:06:34 UTC (1326809194)
Mod-ips 565> Freeing unused kernel memory: 1032k freed
Mod-ips 566> Write protecting the kernel read-only data: 4272k
Mod-ips 567> Loader init started...
Mod-ips 568> kjournald starting. Commit interval 5 seconds
Mod-ips 569> EXT3-fs: mounted filesystem with ordered data mode.
Mod-ips 570> input: ImExPS/2 Generic Explorer Mouse as /class/input/input1
Mod-ips 571> 51216 blocks
Mod-ips 572> Checking rootrw fs: corrected filesystem
Mod-ips 573> kjournald starting. Commit interval 5 seconds
Mod-ips 574> EXT3 FS on hda2, internal journal
Mod-ips 575> EXT3-fs: mounted filesystem with ordered data mode.
Mod-ips 576> mkdir: cannot create directory '/lib/modules': File exists
Mod-ips 577> init started: BusyBox v1.13.1 (2011-11-01 07:21:34 CDT)
Mod-ips 578> starting pid 678, tty '': '/etc/init.d/rc.init'
Mod-ips 579> Checking system fs: no errors
Mod-ips 580> kjournald starting. Commit interval 5 seconds
Mod-ips 581> EXT3-fs: mounted filesystem with ordered data mode.
Mod-ips 582> /etc/init.d/rc.init: line 102: /proc/sys/vm/bdflush: No such file or directory
Mod-ips 583> starting pid 728, tty '': '/etc/init.d/rcS'
Mod-ips 584> Initializing random number generator... done.
Mod-ips 585> Starting network... ifconfig lo 127.0.0.1 netmask 255.255.255.255 up
Mod-ips 586> starting inetd
Mod-ips 587> done
Mod-ips 588> Starting sshd:
Mod-ips 589> Starting nscd:
Mod-ips 590> Set Irq Affinity ... cpus:
Mod-ips 591> Checking kernel allocated memory: EXT3 FS on hda1, internal journal
Mod-ips 592> [ OK ]
Mod-ips 593> Unloading REGEX-CP drivers ...
Mod-ips 594> Loading REGEX-CP drivers ...
Mod-ips 595> ACPI: PCI Interrupt Link [LNKD] enabled at IRQ 11
Mod-ips 596> cpp_user_kvm 0000:00:04.0: PCI INT A -> Link[LNKD] -> GSI 11 (level, high) -> IRQ
Mod-ips 597> 11
Mod-ips 598> Detected cpp_user_kvm device with 33554432 bytes of shared memory
Mod-ips 599> Device 0: model=LCPX8640, cpc=T2005, cpe0=None, cpe1=None
Mod-ips 600> Load cidmodcap:
Mod-ips 601> Create node:
Mod-ips 602> ln: /etc/modprobe.conf: File exists
Mod-ips 603> Shutting down network... ifconfig lo down
Mod-ips 604> ifconfig lo down
Mod-ips 605> done
Mod-ips 606> Load ihm:
Mod-ips 607> Create node:
Mod-ips 608> Load kvm_ivshmem: IVSHMEM: writing 0x0 to 0xc86cf8
Mod-ips 609> IVSHMEM: IntrMask write(w) val = 0xffff
Mod-ips 610> Create node:
Mod-ips 611> Create node:
Mod-ips 612> Create node:
Mod-ips 613> Set Irq Affinity ... cpus: 6
Mod-ips 614> Starting network... ifconfig lo 127.0.0.1 netmask 255.255.255.255 up
Mod-ips 615> done
Mod-ips 616> Creating boot.info[ OK ]
Mod-ips 617> Checking for system modifications since last boot[ OK ]
Mod-ips 618> Checking model identification[ OK ]
Mod-ips 619> Model: ASA-5555
Mod-ips 620> Model=ASA-5555
Mod-ips 621> Unable to set speed and duplex for user mode interfaces
Mod-ips 622> interface type 0x8086:0x100e at pci address 0:6.0(0) is currently named eth1
Mod-ips 623> Renaming eth1 --> ma0_0
Mod-ips 624> interface type 0x8086:0x100e at pci address 0:7.0(0) is currently named po0_0
Mod-ips 625> interface type 0x8086:0x100e at pci address 0:5.0(0) is currently named eth0
Mod-ips 626> Renaming eth0 --> sy0_0
Mod-ips 627> Initializing access list
Mod-ips 628> MGMT_INTFC_CIDS_NAME Management0/0
Mod-ips 629> MGMT_INTFC_OS_NAME ma0_0
Mod-ips 630> SYSTEM_PCI_IDS 0x0030,0x0028
Mod-ips 631> Load rebootkom:
Mod-ips 632> root: Starting SSM controlplane
Mod-ips 633> Starting CIDS:
Mod-ips 634> starting pid 1718, tty '/dev/ttyS0': '/sbin/getty -L ttyS0 9600 vt100'
 

ASA 5500-X IPS SSP および Normalizer エンジン

ASA 自体が正規化を扱うため、Normalizer エンジンの機能の大部分は、ASA 5500-X IPS SSP で使用されません。ASA IPS モジュールのパケットは、フラグメントだけを再構成し、TCP ストリームにパケットを正しい順序に配置する Normalizer の特別なパスを通過します。Normalizer は、ASA がパケットを処理する方法で問題を引き起こすため、インライン IPS アプライアンスで実行される正規化を実行しません。

次の Normalizer エンジンのシグニチャはサポートされていません。

1300.0

1304.0

1305.0

1307.0

1308.0

1309.0

1311.0

1315.0

1316.0

1317.0

1330.0

1330.1

1330.2

1330.9

1330.10

1330.12

1330.14

1330.15

1330.16

1330.17

1330.18

詳細情報

Normalizer エンジンの詳細については、「 Normalizer エンジン 」を参照してください。

ASA 5500-X IPS SSP およびメモリ使用率

ASA 5500-X IPS SSP の場合、メモリ使用率は 93% です。センサーのデフォルトのヘルス状態のしきい値は、黄色の場合は 80%、赤の場合は 91% なので、センサーのヘルス状態は、通常の動作状態に対してもこれらのプラットフォームで赤として表示されます。センサーのヘルス状態メトリックの [Memory Usage] を設定することでこれらのプラットフォームに対してより正確に読み取られるので、メモリ使用率のしきい値のパーセンテージを調整できます。


) センサーのヘルス状態メトリックの [Memory Usage] オプションが有効になっていることを確認してください。


表 E-3 に、黄色のしきい値と赤のしきい値のヘルス状態値を示します。

 

表 E-3 ASA 5500-X IPS SSP メモリ使用率の値

プラットフォーム
黄色
使用されているメモリ

ASA 5512-X IPS SSP

85 %

91%

28%

ASA 5515-X IPS SSP

88%

92%

14%

ASA 5525-X IPS SSP

88%

92%

14%

ASA 5545-X IPS SSP

93%

96%

13%

ASA 5555-X IPS SSP

95 %

98%

17%

ASA 5500-X IPS SSP およびジャンボ パケット フレーム サイズ

ASA 5500-X IPS SSP ジャンボ パケット フレーム サイズの情報については、次の URL を参照してください。

http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/interface_start.html#wp1328869


) ジャンボ フレームとは、標準的な最大値 1518 バイト(レイヤ 2 ヘッダーおよび FCS を含む)より大きいイーサネット パケットのことです。


ASA 5500-X IPS SSP およびジャンボ パケット

ASA IPS モジュールの Total Jumbo Packets Received および Total Jumbo Packets Transmitted show interface コマンド出力のジャンボ パケット カウントが、IPS によるジャンボ サイズとしてカウントされている導線上のほぼジャンボ サイズであった一部のパケットにより、予想よりも大きくなる可能性があります。この計算違いは、パケットが IPS に送信される前に、ASA によってパケットに追加されるヘッダー バイトによって生じるものです。IPv4 の場合、58 バイトのヘッダー データが追加されます。IPv6 の場合、78 バイトのヘッダー データが追加されます。ASA は、ASA をパケットが離れる前に、IPS ヘッダーを除去します。

IPS アプライアンスと ASA IPS モジュールの TCP リセットの違い

IPS アプライアンスは、[Reset TCP Connection] が選択されている場合に、攻撃者と攻撃対象の両方に TCP リセット パケットを送信します。IPS アプライアンスは、次の条件下で攻撃対象にだけ TCP リセット パケットを送信します。

[Deny Packet Inline] または [Deny Connection Inline] が選択されている場合

TCP ベース シグニチャおよび [Reset TCP Connection] が選択されていない場合

ASA IPS モジュールの場合、TCP リセット要求が ASA に送信され、ASA が TCP リセット パケットを送信します。ASA は、[Reset TCP Connection] が選択されている場合に、攻撃者と攻撃対象の両方に TCP リセット パケットを送信します。[Deny Packet Inline] または [Deny Connection Inline] が選択されている場合、ASA は TCP リセット パケットをシグニチャ設定に応じて攻撃者または攻撃対象に送信します。アラートの報告で攻撃者および攻撃対象をスワップするようにシグニチャを設定すると、ASA が TCP リセット パケットを攻撃者に送信されます。

詳細情報

イベント アクションの詳細については、「 イベント アクション 」を参照してください。

ASA 5585-X IPS SSP のトラブルシューティング


) アプライアンス ASA 5585-X IPS SSP のトラブルシューティングを開始する前に、センサーにインストールされているソフトウェア バージョンに関する Readme の「警告」の項をチェックし、既知の問題を処理しているかどうかを確認します。


ここでは、特に ASA 5585-X IPS SSP のトラブルシューティング情報について説明します。次の事項について説明します。

「フェールオーバー シナリオ」

「IPS スイッチポートで停止したトラフィック フロー」

「ヘルスおよびステータス情報」

「ASA 5585-X IPS SSP および Normalizer エンジン」

「ASA 5585-X IPS SSP およびジャンボ パケット フレーム サイズ」

「ASA 5585-X IPS SSP およびジャンボ パケット」

「ヘルスおよびネットワーク セキュリティ情報」

フェールオーバー シナリオ

次のフェールオーバー シナリオは、ASA 5585-X での設定変更、シグニチャおよびシグニチャ エンジンの更新、サービス パック、および SensorApp クラッシュ時に ASA 5585-X IPS SSP に適用されます。

フェールオープン モードの 1 台の ASA 5585-X

ASA が ASA 5585-X IPS SSP に対してフェールオープン モードに設定され、ASA 5585-X IPS SSP で設定変更またはシグニチャ/シグニチャ エンジンの更新が行われた場合、トラフィックは検査を受けずに ASA を通過します。

ASA が ASA 5585-X IPS SSP に対してフェールオープン モードに設定され、ASA 5585-X IPS SSP で SensorApp のクラッシュまたはサービス パックのアップグレードが発生した場合、トラフィックは検査を受けずに ASA を通過します。

フェールクローズ モードの 1 台の ASA 5585-X

ASA が ASA 5585-X IPS SSP に対してフェールクローズ モードに設定され、ASA 5585-X IPS SSP で設定変更またはシグニチャ/シグニチャ エンジンの更新が行われた場合、ASA 経由のトラフィックは停止します。

ASA が ASA 5585-X IPS SSP に対してフェールクローズ モードに設定され、ASA 5585-X IPS SSP で SensorApp クラッシュまたはサービス パックのアップグレードが発生した場合、ASA 経由のトラフィックは停止します。

フェールオープン モードの 2 台の ASA 5585-X

2 台の ASA がフェールオープン モードに設定され、アクティブな ASA 上の ASA 5585-X IPS SSP で設定変更やシグニチャ/シグニチャ エンジンの更新が行われた場合、トラフィックは検査を受けずにアクティブな ASA をそのまま通過します。フェールオーバーはトリガーされません。

2 台の ASA がフェールオープン モードに設定され、アクティブな ASA 上の ASA 5585-X IPS SSP で SensorApp のクラッシュまたはサービス パックのアップグレードが発生した場合、フェールオーバーがトリガーされ、トラフィックは前にスタンバイ ASA 5585-X IPS SSP だった ASA 5585-X IPS SSP を通過します。

フェールクローズ モードの 2 台の ASA 5585-X

2 台の ASA がフェールクローズ モードに設定され、アクティブな ASA 上の ASA 5585-X IPS SSP で設定変更またはシグニチャ/シグニチャ エンジンの更新が行われた場合、アクティブな ASA 経由のトラフィックは停止します。フェールオーバーはトリガーされません。

2 台の ASA がフェールクローズ モードに設定され、アクティブな ASA 上の ASA 5585-X IPS SSP で SensorApp のクラッシュまたはサービス パックのアップグレードが発生した場合、フェールオーバーがトリガーされ、トラフィックは前にスタンバイ ASA 5585-X IPS SSP だった ASA 5585-X IPS SSP を通過します。

設定例

プライマリ ASA には次の設定を使用します。

interface GigabitEthernet0/7
description LAN Failover Interface
 
failover
failover lan unit primary
failover lan interface folink GigabitEthernet0/7
failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2
 

セカンダリ ASA には次の設定を使用します。

interface GigabitEthernet0/7
description LAN Failover Interface
 
failover
failover lan unit secondary
failover lan interface folink GigabitEthernet0/7
failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2

IPS スイッチポートで停止したトラフィック フロー

問題 ASA 5585-X IPS SSP がリセットまたはシャットダウンされると、ASA 5585-X IPS SSP(1/x)に置かれている適応型セキュリティ アプライアンスでトラフィックが通過しなくなります。この問題は、トラフィックが IPS によってモニタされているかどうかに関係なく、これらのポートを通過するすべてのトラフィックに影響を与えます。ASA 5585-X IPS SSP がリセットまたはシャットダウンされているときには、ポートのリンクはダウン状態になります。

考えられる原因 ASA 5585-X IPS SSP(1/x)に置かれているポートを使用して、任意のメカニズムからリセットまたはシャットダウンします。

ソリューション 適応型セキュリティ アプライアンス(0/x)上のポートは、ASA 5585-X IPS SSPがリセットまたはシャットダウンされてもリンクは失われないので、これらのポートを使用します。

ヘルスおよびステータス情報

ASA 5585-X IPS SSP の一般的なヘルス状態を表示するには、 show module 1 details コマンドを使用します。

asa# show module 1 details
Getting details from the Service Module, please wait...
ASA 5585-X IPS Security Services Processor-20 with 8GE
Model: ASA5585-SSP-IPS20
Hardware version: 1.0
Serial Number: ABC1234DEFG
Firmware version: 2.0(1)3
Software version: 7.2(1)E4
MAC Address Range: 8843.e12f.5414 to 8843.e12f.541f
App. name: IPS
App. Status: Up
App. Status Desc: Normal Operation
App. version: 7.2(1)E4
Data plane Status: Up
Status: Up
Mgmt IP addr: 192.0.2.3
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 192.0.2.254
Mgmt Access List: 10.0.0.0/8
Mgmt Access List: 64.0.0.0/8
Mgmt web ports: 443
Mgmt TLS enabled true
asa
 

出力は ASA 5585-X IPS SSP がアップ状態であることを示しています。ステータスが [Down] と表示されている場合は、 hw-module module 1 reset コマンドを使用してリセットします。

asa# hw-module module 1 reset
The module in slot 1 should be shut down before
resetting it or loss of configuration may occur.
Reset module in slot 1? [confirm]
Reset issued for module in slot 1
asa# show module 1 details
Getting details from the Service Module, please wait...
Unable to read details from slot 1
ASA 5585-X IPS Security Services Processor-20 with 8GE
Model: ASA5585-SSP-IPS20
Hardware version: 1.0
Serial Number: ABC1234DEFG
Firmware version: 2.0(7)0
Software version: 7.2(1)E4
MAC Address Range: 5475.d029.7f9c to 5475.d029.7fa7
App. name: IPS
App. Status: Not Applicable
App. Status Desc: Not Applicable
App. version: 7.2(1)E4
Data plane Status: Not Applicable
Status: Shutting Down
asa# show module 1 details
Getting details from the Service Module, please wait...
Unable to read details from slot 1
ASA 5585-X IPS Security Services Processor-20 with 8GE
Model: ASA5585-SSP-IPS20
Hardware version: 1.0
Serial Number: ABC1234DEFG
Firmware version: 2.0(7)0
Software version: 7.2(1)E4
MAC Address Range: 5475.d029.7f9c to 5475.d029.7fa7
App. name: IPS
App. Status: Not Applicable
App. Status Desc: Not Applicable
App. version: 7.2(1)E4
Data plane Status: Not Applicable
Status: Down
asa# show module 1 details
Getting details from the Service Module, please wait...
Unable to read details from slot 1
ASA 5585-X IPS Security Services Processor-20 with 8GE
Model: ASA5585-SSP-IPS20
Hardware version: 1.0
Serial Number: ABC1234DEFG
Firmware version: 2.0(7)0
Software version: 7.2(1)E4
MAC Address Range: 5475.d029.7f9c to 5475.d029.7fa7
App. name: IPS
App. Status: Not Applicable
App. Status Desc: Not Applicable
App. version: 7.2(1)E4
Data plane Status: Not Applicable
Status: Init
asa# show module 1 details
Getting details from the Service Module, please wait...
ASA 5585-X IPS Security Services Processor-20 with 8GE
Model: ASA5585-SSP-IPS20
Hardware version: 1.0
Serial Number: ABC1234DEFG
Firmware version: 2.0(7)0
Software version: 7.2(1)E4
MAC Address Range: 5475.d029.7f9c to 5475.d029.7fa7
App. name: IPS
App. Status: Reload
App. Status Desc: Starting up
App. version: 7.2(1)E4
Data plane Status: Down
Status: Up
Mgmt IP addr: 192.0.2.3
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 192.0.2.254
Mgmt Access List: 0.0.0.0/0
Mgmt web ports: 443
Mgmt TLS enabled: true
asa# show module 1 details
Getting details from the Service Module, please wait...
ASA 5585-X IPS Security Services Processor-20 with 8GE
Model: ASA5585-SSP-IPS20
Hardware version: 1.0
Serial Number: ABC1234DEFG
Firmware version: 2.0(7)0
Software version: 7.2(1)E4
MAC Address Range: 5475.d029.7f9c to 5475.d029.7fa7
App. name: IPS
App. Status: Up
App. Status Desc: Normal Operation
App. version: 7.2(1)E4
Data plane Status: Up
Status: Up
Mgmt IP addr: 192.0.2.3
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 192.0.2.254
Mgmt Access List: 0.0.0.0/0
Mgmt web ports: 443
Mgmt TLS enabled: true
asa#
 

ASA 5585-X IPS SSP のイメージの再作成に問題がある場合は、 debug module-boot コマンドを使用して、ブート時に出力を表示します。TFTP サーバの IP アドレスとファイルが正しいことを確認します。次に、もう一度 hw-module module 1 recover コマンドを使用して、モジュールのイメージを再作成します。

ips-ssp# hw-module module 1 recover configure
Image URL [tftp://0.0.0.0/]: tftp://10.10.10.10//IPS-SSP_20-K9-sys-1.1-a-7.2-1-E4.img
Port IP Address [0.0.0.0]: 10.10.10.11
VLAN ID [0]:
Gateway IP Address [0.0.0.0]: 10.10.10.254
 
asa(config)# debug module-boot
debug module-boot enabled at level 1
asa(config)# hw-module module 1 recover boot
The module in slot 1 will be recovered. This may erase all configuration and all data on that device and attempt to download a new image for it.
Recover module in slot 1? [confirm]
Recover issued for module in slot 1
asa(config)# Slot-1 140> Cisco Systems ROMMON Version (1.0(10)0) #0: Fri Mar 25 23:02:10 PST 2010
Slot-1 141> Platform ASA5585-SSP-IPS20
Slot-1 142> GigabitEthernet0/0
Slot-1 143> Link is UP
Slot-1 144> MAC Address: 000b.fcf8.0176
Slot-1 145> ROMMON Variable Settings:
Slot-1 146> ADDRESS=192.0.2.3
Slot-1 147> SERVER=192.0.2.15
Slot-1 148> GATEWAY=192.0.2.254
Slot-1 149> PORT=GigabitEthernet0/0
Slot-1 150> VLAN=untagged
Slot-1 151> IMAGE=IPS-SSP-K9-sys-1.1-a-7.2-1.1.img
Slot-1 152> CONFIG=
Slot-1 153> LINKTIMEOUT=20
Slot-1 154> PKTTIMEOUT=4
Slot-1 155> RETRY=20
Slot-1 156> tftp IPS-SSP_10-K9-sys-1.1-a-7.2-1.1.img@192.0.2.15 via 192.0.2.254
Slot-1 157> TFTP failure: Packet verify failed after 20 retries
Slot-1 158> Rebooting due to Autoboot error ...
Slot-1 159> Rebooting....
Slot-1 160> Cisco Systems ROMMON Version (1.0(10)0) #0: Fri Mar 25 23:02:10 PST 2010
Slot-1 161> Platform ASA5585-SSP-IPS20
Slot-1 162> GigabitEthernet0/0
Slot-1 163> Link is UP
Slot-1 164> MAC Address: 000b.fcf8.0176
Slot-1 165> ROMMON Variable Settings:
Slot-1 166> ADDRESS=192.0.2.3
Slot-1 167> SERVER=192.0.2.15
Slot-1 168> GATEWAY=192.0.2.254
Slot-1 169> PORT=GigabitEthernet0/0
Slot-1 170> VLAN=untagged
Slot-1 171> IMAGE=IPS-SSP_10-K9-sys-1.1-a-7.2-1.1.img
Slot-1 172> CONFIG=
Slot-1 173> LINKTIMEOUT=20
Slot-1 174> PKTTIMEOUT=4
Slot-1 175> RETRY=20

Slot-1 176> tftp IPS-SSP_10-K9-sys-1.1-a-7.2-1.1.img@192.0.2.15 via 192.0.2.254

ASA 5585-X IPS SSP および Normalizer エンジン

ASA 自体が正規化を扱うため、Normalizer エンジンの機能の大部分は、ASA 5585-X IPS SSP で使用されません。ASA IPS モジュールのパケットは、フラグメントだけを再構成し、TCP ストリームにパケットを正しい順序に配置する Normalizer の特別なパスを通過します。Normalizer は、ASA がパケットを処理する方法で問題を引き起こすため、インライン IPS アプライアンスで実行される正規化を実行しません。

次の Normalizer エンジンのシグニチャはサポートされていません。

1300.0

1304.0

1305.0

1307.0

1308.0

1309.0

1311.0

1315.0

1316.0

1317.0

1330.0

1330.1

1330.2

1330.9

1330.10

1330.12

1330.14

1330.15

1330.16

1330.17

1330.18

詳細情報

Normalizer エンジンの詳細については、「 Normalizer エンジン 」を参照してください。

ASA 5585-X IPS SSP およびジャンボ パケット フレーム サイズ

ASA 5585-X IPS SSP ジャンボ パケット フレーム サイズの情報については、次の URL を参照してください。

http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/interface_start.html#wp1328869


) ジャンボ フレームとは、標準的な最大値 1518 バイト(レイヤ 2 ヘッダーおよび FCS を含む)より大きいイーサネット パケットのことです。


ASA 5585-X IPS SSP およびジャンボ パケット

ASA IPS モジュールの Total Jumbo Packets Received および Total Jumbo Packets Transmitted show interface コマンド出力のジャンボ パケット カウントが、IPS によるジャンボ サイズとしてカウントされている導線上のほぼジャンボ サイズであった一部のパケットにより、予想よりも大きくなる可能性があります。この計算違いは、パケットが IPS に送信される前に、ASA によってパケットに追加されるヘッダー バイトによって生じるものです。IPv4 の場合、58 バイトのヘッダー データが追加されます。IPv6 の場合、78 バイトのヘッダー データが追加されます。ASA は、ASA をパケットが離れる前に、IPS ヘッダーを除去します。

IPS アプライアンスと ASA IPS モジュールの TCP リセットの違い

IPS アプライアンスは、[Reset TCP Connection] が選択されている場合に、攻撃者と攻撃対象の両方に TCP リセット パケットを送信します。IPS アプライアンスは、次の条件下で攻撃対象にだけ TCP リセット パケットを送信します。

[Deny Packet Inline] または [Deny Connection Inline] が選択されている場合

TCP ベース シグニチャおよび [Reset TCP Connection] が選択されていない場合

ASA IPS モジュールの場合、TCP リセット要求が ASA に送信され、ASA が TCP リセット パケットを送信します。ASA は、[Reset TCP Connection] が選択されている場合に、攻撃者と攻撃対象の両方に TCP リセット パケットを送信します。[Deny Packet Inline] または [Deny Connection Inline] が選択されている場合、ASA は TCP リセット パケットをシグニチャ設定に応じて攻撃者または攻撃対象に送信します。アラートの報告で攻撃者および攻撃対象をスワップするようにシグニチャを設定すると、ASA が TCP リセット パケットを攻撃者に送信されます。

詳細情報

イベント アクションの詳細については、「 イベント アクション 」を参照してください。

情報の収集

次に示す CLI コマンドおよびスクリプトを使用すれば、問題が発生した際にセンサーに関する情報を収集し、センサーの状態を診断することができます。 show tech-support コマンドを使用してセンサーのすべての情報を収集することも、ここで示す他の個々のコマンドを使用して特定の情報を収集することもできます。

ここでは、次の内容について説明します。

「ヘルスおよびネットワーク セキュリティ情報」

「テクニカル サポート情報」

「バージョン情報」

「統計情報」

「インターフェイス情報」

「イベント情報」

「cidDump スクリプト」

「Cisco FTP サイトへのファイルのアップロードおよびそのサイト上のファイルへのアクセス」

ヘルスおよびネットワーク セキュリティ情報


注意 センサーが初めて起動するとき、完全なアップ状態となって動作するまで、一部のヘルス メトリックのステータスが赤になるのは正常な動作です。


) ASA 5585-X IPS SSP および ASA 5500-X IPS SSP は、バイパス モードをサポートしていません。適応型セキュリティ アプライアンスは、適応型セキュリティ アプライアンスの設定と IPS 上で行われているアクティビティのタイプによって、フェールオープン、フェールクローズ、またはフェールオーバーします。


特権 EXEC モードで show health コマンドを使用して、センサーの全体的なヘルス ステータス情報を表示します。ヘルス ステータス カテゴリは赤と緑でランク付けされ、赤が重大です。センサーの全体的なヘルス ステータスを表示するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 センサーのヘルスおよびセキュリティ ステータスを表示します。

sensor# show health
Overall Health Status Red
Health Status for Failed Applications Green
Health Status for Signature Updates Green
Health Status for License Key Expiration Red
Health Status for Running in Bypass Mode Green
Health Status for Interfaces Being Down Red
Health Status for the Inspection Load Green
Health Status for the Time Since Last Event Retrieval Green
Health Status for the Number of Missed Packets Green
Health Status for the Memory Usage Not Enabled
Health Status for Global Correlation Red
Health Status for Network Participation Not Enabled
 
Security Status for Virtual Sensor vs0 Green
sensor#
 


 

テクニカル サポート情報

ここでは、 show tech-support コマンドについて説明します。内容は次のとおりです。

「show tech-support コマンドについて」

「技術サポート情報の表示」

「テクニカル サポート コマンド出力」

show tech-support コマンドについて


) /var/log/messages ファイルはリブート後も維持されるようになり、情報は show tech-support コマンドの出力に表示されます。


show tech-support コマンドはセンサーにおけるすべてのステータスと情報をキャプチャし、現在の設定、バージョン情報、cidDump 情報などが含まれます。出力は、大きくなり 1 MB を超えることもあります。出力はリモート システムに転送できます。リモート システムに出力をコピーする手順については、「技術サポート情報の表示」を参照してください。


) IDM から同じ情報を取得するには、[Monitoring] > [Sensor Monitoring] > [Support Information] > [System Information] を選択します。IME から同じ情報を取得するには、[Configuration] > sensor_name > [Sensor Monitoring] > [Support Information] > [System Information] を選択します。



) TAC に連絡する前に show tech-support コマンドを必ず実行してください。


技術サポート情報の表示


show tech-support コマンドが、過去 72 時間の各インターフェイスの履歴インターフェイス データを表示するようになりました。


show tech-support [ page ] [ destination-url destination_url ] コマンドを使用して、画面にシステム情報を表示するか、特定の URL に送信します。その情報を TAC のトラブルシューティング情報として使用できます。

次のパラメータはオプションです。

page :一度に 1 ページの情報として出力を表示します。Enter を押して、出力の次の行を表示するか、スペースバーを使用して、次の情報ページを表示します。

destination-url :情報を HTML としてフォーマットし、このコマンドに続く宛先に送信する必要があることを示します。このキーワードを使用すると、出力は画面に表示されません。

destination_url :情報を HTML としてフォーマットする必要があることを示します。URL は、情報を送信する宛先を示します。このキーワードを使用しない場合、情報は画面に表示されます。

次に示す種類の宛先を指定できます。

ftp: :FTP ネットワーク サーバの宛先 URL。このプレフィックスの構文は、 ftp://[[username@location]/relativeDirectory]/filename または ftp://[[username@location]//absoluteDirectory]/filename です。

scp: :SCP ネットワーク サーバの宛先 URL。このプレフィックスの構文は、 scp://[[username@]location]/relativeDirectory]/filename or または scp://[[username@]location]//absoluteDirectory]/filename です。

varlog ファイル

/var/log/messages ファイルに最新のログがあります。varlog と呼ばれる新しいソフト リンクは /var/log/messages ファイルをポイントする /usr/cids/idsRoot/log フォルダの下に作成されています。古いログは varlog.1 および varlog.2 ファイルに保存されます。これらの varlog ファイルの最大サイズは 200 KB です。これらはサイズ制限を超えると、内容が切り替わります。varlog、varlog.1 および varlog.2 の内容は、 show tech-support コマンドの出力に表示されます。

技術サポート情報の表示

技術サポート情報を表示するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 画面上に出力を表示します。システム情報が画面上に一度に 1 ページずつ表示されます。次のページを表示するにはスペースバーを押します。プロンプトに戻るには、 Ctrl+C を押します。

sensor# show tech-support page
 

ステップ 3 出力(HTML フォーマット)をファイルに送信するには、次の手順を実行します。

a. 次のコマンドを入力し、その後ろに有効な宛先を指定します。 password: プロンプトが表示されます。

sensor# show tech-support destination-url destination_url
 

テクニカル サポート出力をファイル /absolute/reports/sensor1Report.html に送信するには、次の手順を実行します。

sensor# show tech support dest ftp://csidsuser@10.2.1.2//absolute/reports/sensor1Report.html
 

b. このユーザ アカウントのパスワードを入力します。 Generating report: メッセージが表示されます。


 

テクニカル サポート コマンド出力

show tech-support コマンド出力の例を次に示します。


) この出力例は、すべての出力は表示されません。



) CLI 出力は、設定がどのように表示されるかを示した例です。オプションの設定選択、センサー モデル、およびインストールした IPS バージョンによって、正確に一致しません。


sensor# show tech-support page
System Status Report
This Report was generated on Thu May 9 18:30:49 2013.
Output from show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.2(1)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S697.0 2013-02-15
OS Version: 2.6.29.1
Platform: IPS-4360
Serial Number: FCH1504V0CF
No license present
Sensor up-time is 1 day.
Using 14371M out of 15943M bytes of available memory (90% usage)
system is using 32.4M out of 160.0M bytes of available disk space (20% usage)
application-data is using 79.1M out of 376.1M bytes of available disk space (22%
usage)
boot is using 61.1M out of 70.1M bytes of available disk space (92% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
usage)
 
 
MainApp V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18
-0500 Running
AnalysisEngine V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18
-0500 Running
CollaborationApp V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18
-0500 Running
CLI V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18
-0500
 
Upgrade History:
 
IPS-K9-7.2-1-E4 16:06:07 UTC Wed Jan 23 2013
 
Recovery Partition Version 1.1 - 7.2(1)E4
 
Host Certificate Valid from: 08-May-2013 to 09-May-2015
 
 
Output from show interfaces
Interface Statistics
Total Packets Received = 355103
Total Bytes Received = 28752739
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/0
Interface function = Sensing interface
Description =
Media Type = TX
Default Vlan = 0
Inline Mode = Paired with interface GigabitEthernet0/1
Pair Status = Down
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Link Status = Up
Admin Enabled Status = Enabled
Link Speed = Auto_1000
Link Duplex = Auto_Full
Missed Packet Percentage = 0
Total Packets Received = 90130
Total Bytes Received = 7070112
Total Multicast Packets Received = 89480
Total Broadcast Packets Received = 489
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 236
Total Bytes Transmitted = 63296
Total Multicast Packets Transmitted = 232
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface Management0/0
Interface function = Command-control interface
Description =
Media Type = TX
Default Vlan = 0
Link Status = Up
Link Speed = Auto_1000
Link Duplex = Auto_Full
Total Packets Received = 1711986
Total Bytes Received = 183120799
Total Multicast Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 1259920
Total Bytes Transmitted = 373257619
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface GigabitEthernet0/1
Interface function = Sensing interface
Description =
Media Type = TX
Default Vlan = 0
Inline Mode = Paired with interface GigabitEthernet0/0
Pair Status = Up
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Link Status = Down
Admin Enabled Status = Enabled
Link Speed = N/A
Link Duplex = N/A
Missed Packet Percentage = 0
Total Packets Received = 50426
Total Bytes Received = 4260544
Total Multicast Packets Received = 50412
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 6790
Total Bytes Transmitted = 482752
Total Multicast Packets Transmitted = 6786
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface GigabitEthernet0/2
Interface function = Sensing interface
Description =
Media Type = TX
--MORE--
 

バージョン情報

show version コマンドは、センサー情報の取得に役立ちます。ここでは、 show version コマンドについて説明します。内容は次のとおりです。

「show version コマンドについて」

「バージョン情報の表示」

show version コマンドについて

show version コマンドは、基本的なセンサー情報を示します。さらに、障害が発生している場所を示すことができます。次のような情報が提供されます。

実行中のアプリケーション

アプリケーションのバージョン

ディスクおよびメモリの用途

アプリケーションのアップグレード履歴


) IDM から同じ情報を取得するには、[Monitoring] > [Sensor Monitoring] > [Support Information] > [Diagnostics Report] を選択します。同じ情報を IME から取得するには、[Configuration] > sensor_name > [Sensor Monitoring] > [Support Information] > [Diagnostics Report] を選択します。


バージョン情報の表示

インストールされているすべてのオペレーティング システム パッケージ、シグニチャ パッケージ、およびシステムで実行中の IPS プロセスのバージョン情報を表示するには、 show version コマンドを使用します。システム全体の設定を表示するには、 more current-config コマンドを使用します。


) CLI 出力は、設定がどのように表示されるかを示した例です。オプションの設定選択、センサー モデル、およびインストールした IPS バージョンによって、正確に一致しません。


バージョンおよび設定を表示するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 バージョン情報を表示します。

sensor# show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.2(1)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S697.0 2013-02-15
OS Version: 2.6.29.1
Platform: IPS-4360
Serial Number: FCH1504V0CF
No license present
Sensor up-time is 1 day.
Using 14371M out of 15943M bytes of available memory (90% usage)
system is using 32.4M out of 160.0M bytes of available disk space (20% usage)
application-data is using 79.1M out of 376.1M bytes of available disk space (22%
usage)
boot is using 61.1M out of 70.1M bytes of available disk space (92% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
usage)
 
 
MainApp V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18
-0500 Running
AnalysisEngine V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18
-0500 Running
CollaborationApp V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18
-0500 Running
CLI V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18
-0500
 
Upgrade History:
 
IPS-K9-7.2-1-E4 16:06:07 UTC Wed Jan 23 2013
 
Recovery Partition Version 1.1 - 7.2(1)E4
 
Host Certificate Valid from: 08-May-2013 to 09-May-2015
 
 
sensor#

--MORE--- というプロンプトが表示された場合、スペースバーを押すと詳細な情報が表示され、Ctrl+C を押すと出力がキャンセルされ CLI プロンプトに戻ります。


ステップ 3 設定情報を表示します。


more current-config または show configuration コマンドを使用できます。


sensor# more current-config
! ------------------------------
! Current configuration last modified Thu May 09 11:28:11 2013
! ------------------------------
! Version 7.2(1)
! Host:
! Realm Keys key1.0
! Signature Definition:
! Signature Update S697.0 2013-02-15
! ------------------------------
service interface
physical-interfaces GigabitEthernet0/0
admin-state enabled
exit
physical-interfaces GigabitEthernet0/1
admin-state enabled
exit
physical-interfaces GigabitEthernet0/2
admin-state enabled
exit
physical-interfaces GigabitEthernet0/3
admin-state enabled
exit
physical-interfaces GigabitEthernet0/4
admin-state enabled
exit
physical-interfaces GigabitEthernet0/5
admin-state enabled
exit
physical-interfaces GigabitEthernet0/6
admin-state enabled
exit
physical-interfaces GigabitEthernet0/7
admin-state enabled
exit
inline-interfaces pair0
interface1 GigabitEthernet0/0
interface2 GigabitEthernet0/1
exit
inline-interfaces pair1
interface1 GigabitEthernet0/2
interface2 GigabitEthernet0/3
exit
exit
! ------------------------------
service authentication
exit
! ------------------------------
service event-action-rules rules0
exit
! ------------------------------
service host
network-settings
host-ip 10.106.133.159/23,10.106.132.1
host-name q4360-159
telnet-option enabled
access-list 0.0.0.0/0
dns-primary-server disabled
exit
exit
! ------------------------------
service logger
exit
! ------------------------------
service network-access
exit
! ------------------------------
service notification
exit
! ------------------------------
service signature-definition sig0
exit
! ------------------------------
--MORE--
 


 

統計情報

show statistics コマンドは、センサーのサービスの状態を調べる際に役立ちます。ここでは、 show statistics コマンドについて説明します。内容は次のとおりです。

「show statistics コマンドについて」

「統計情報の表示」

show statistics コマンドについて

センサーのサービスの状態のスナップショットを表示するには、 show statistics コマンドを使用します。次のサービスは統計情報を提供します。

分析エンジン

認証

拒否攻撃者

イベント サーバ

イベント ストア

ホスト

ロガー

攻撃応答(旧ネットワーク アクセス)

通知

SDEE サーバ

トランザクション サーバ

トランザクション ソース

仮想センサー

Web サーバ


) IDM から同じ情報を取得するには、[Monitoring] > [Sensor Monitoring] > [Support Information] > [Statistics] を選択します。IME から同じ情報を取得するには、[Configuration] > sensor_name > [Sensor Monitoring] > [Support Information] > [Statistics] を選択します。


統計情報の表示

各センサー アプリケーションの統計情報を表示するには、 show statistics [analysis-engine | anomaly-detection | authentication | denied-attackers | event-server | event-store | external-product-interface | global-correlation | host | logger | network-access | notification | os-identification | sdee-server | transaction-server | virtual-sensor | web-server ] [ clear ] コマンドを使用します。

すべての仮想センサーについてこれらのコンポーネントの統計情報を表示するには、 show statistics { anomaly-detection | denied-attackers | os-identification | virtual-sensor } [ name | clear ] コマンドを使用します。仮想センサー名を指定すると、その仮想センサーの統計情報だけが表示されます。


clear オプションは、分析エンジン、異常検出、ホスト、ネットワーク アクセス、または OS 識別アプリケーションには使用できません。


センサーの統計情報を表示するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 分析エンジンの統計情報を表示します。

sensor# show statistics analysis-engine
Analysis Engine Statistics
Number of seconds since service started = 431157
Processing Load Percentage
Thread 5 sec 1 min 5 min
0 1 1 1
1 1 1 1
2 1 1 1
3 1 1 1
4 1 1 1
5 1 1 1
6 1 1 1
Average 1 1 1
 
The rate of TCP connections tracked per second = 0
The rate of packets per second = 0
The rate of bytes per second = 0
Receiver Statistics
Total number of packets processed since reset = 0
Total number of IP packets processed since reset = 0
Transmitter Statistics
Total number of packets transmitted = 133698
Total number of packets denied = 203
Total number of packets reset = 3
Fragment Reassembly Unit Statistics
Number of fragments currently in FRU = 0
Number of datagrams currently in FRU = 0
TCP Stream Reassembly Unit Statistics
TCP streams currently in the embryonic state = 0
TCP streams currently in the established state = 0
TCP streams currently in the closing state = 0
TCP streams currently in the system = 0
TCP Packets currently queued for reassembly = 0
The Signature Database Statistics.
Total nodes active = 0
TCP nodes keyed on both IP addresses and both ports = 0
UDP nodes keyed on both IP addresses and both ports = 0
IP nodes keyed on both IP addresses = 0
Statistics for Signature Events
Number of SigEvents since reset = 0
Statistics for Actions executed on a SigEvent
Number of Alerts written to the IdsEventStore = 0
Inspection Stats
Inspector active call create delete loadPct
AtomicAdvanced 0 2312 4 4 33
Fixed 0 1659 1606 1606 1
MSRPC_TCP 0 20 4 4 0
MSRPC_UDP 0 1808 1575 1575 0
MultiString 0 145 10 10 2
ServiceDnsUdp 0 1841 3 3 0
ServiceGeneric 0 2016 14 14 1
ServiceHttp 0 2 2 2 51
ServiceNtp 0 3682 3176 3176 0
ServiceP2PTCP 0 21 9 9 0
ServiceRpcUDP 0 1841 3 3 0
ServiceRpcTCP 0 130 9 9 0
ServiceSMBAdvanced 0 139 3 3 0
ServiceSnmp 0 1841 3 3 0
ServiceTNS 0 18 14 14 0
String 0 225 16 16 0
SweepUDP 0 1808 1555 1555 6
SweepTCP 0 576 17 17 0
SweepOtherTcp 0 288 6 6 0
TrojanBO2K 0 261 11 11 0
TrojanUdp 0 1808 1555 1555 0
 
GlobalCorrelationStats
SwVersion = 7.2(1)E4
SigVersion = 645.0
DatabaseRecordCount = 0
DatabaseVersion = 0
RuleVersion = 0
ReputationFilterVersion = 0
AlertsWithHit = 0
AlertsWithMiss = 0
AlertsWithModifiedRiskRating = 0
AlertsWithGlobalCorrelationDenyAttacker = 0
AlertsWithGlobalCorrelationDenyPacket = 0
AlertsWithGlobalCorrelationOtherAction = 0
AlertsWithAuditRepDenies = 0
ReputationForcedAlerts = 0
EventStoreInsertTotal = 0
EventStoreInsertWithHit = 0
EventStoreInsertWithMiss = 0
EventStoreDenyFromGlobalCorrelation = 0
EventStoreDenyFromOverride = 0
EventStoreDenyFromOverlap = 0
EventStoreDenyFromOther = 0
ReputationFilterDataSize = 0
ReputationFilterPacketsInput = 0
ReputationFilterRuleMatch = 0
DenyFilterHitsNormal = 0
DenyFilterHitsGlobalCorrelation = 0
SimulatedReputationFilterPacketsInput = 0
SimulatedReputationFilterRuleMatch = 0
SimulatedDenyFilterInsert = 0
SimulatedDenyFilterPacketsInput = 0
SimulatedDenyFilterRuleMatch = 0
TcpDeniesDueToGlobalCorrelation = 0
TcpDeniesDueToOverride = 0
TcpDeniesDueToOverlap = 0
TcpDeniesDueToOther = 0
SimulatedTcpDeniesDueToGlobalCorrelation = 0
SimulatedTcpDeniesDueToOverride = 0
SimulatedTcpDeniesDueToOverlap = 0
SimulatedTcpDeniesDueToOther = 0
LateStageDenyDueToGlobalCorrelation = 0
LateStageDenyDueToOverride = 0
LateStageDenyDueToOverlap = 0
LateStageDenyDueToOther = 0
SimulatedLateStageDenyDueToGlobalCorrelation = 0
SimulatedLateStageDenyDueToOverride = 0
SimulatedLateStageDenyDueToOverlap = 0
SimulatedLateStageDenyDueToOther = 0
AlertHistogram
RiskHistogramEarlyStage
RiskHistogramLateStage
ConfigAggressiveMode = 0
ConfigAuditMode = 0
RegexAccelerationStats
Status = Enabled
DriverVersion = 6.2.1
Devices = 1
Agents = 12
Flows = 7
Channels = 0
SubmittedJobs = 4968
CompletedJobs = 4968
SubmittedBytes = 72258005
CompletedBytes = 168
TCPFlowsWithoutLCB = 0
UDPFlowsWithoutLCB = 0
TCPMissedPacketsDueToUpdate = 0
UDPMissedPacketsDueToUpdate = 0
MemorySize = 1073741824
HostDirectMemSize = 0
MaliciousSiteDenyHitCounts
MaliciousSiteDenyHitCountsAUDIT
sensor#
 

ステップ 3 異常検出の統計情報を表示します。

sensor# show statistics anomaly-detection
Statistics for Virtual Sensor vs0
No attack
Detection - ON
Learning - ON
Next KB rotation at 10:00:01 UTC Sat Jan 18 2008
Internal Zone
TCP Protocol
UDP Protocol
Other Protocol
External Zone
TCP Protocol
UDP Protocol
Other Protocol
Illegal Zone
TCP Protocol
UDP Protocol
Other Protocol
Statistics for Virtual Sensor vs1
No attack
Detection - ON
Learning - ON
Next KB rotation at 10:00:00 UTC Sat Jan 18 2008
Internal Zone
TCP Protocol
UDP Protocol
Other Protocol
External Zone
TCP Protocol
UDP Protocol
Other Protocol
Illegal Zone
TCP Protocol
UDP Protocol
Other Protocol
sensor#
 

ステップ 4 認証の統計情報を表示します。

sensor# show statistics authentication
General
totalAuthenticationAttempts = 128
failedAuthenticationAttempts = 0
sensor#
 

ステップ 5 システムの拒否攻撃者の統計情報を表示します。

sensor# show statistics denied-attackers
Denied Attackers and hit count for each.
Denied Attackers and hit count for each.
Statistics for Virtual Sensor vs0
Denied Attackers with percent denied and hit count for each.
 
 
Denied Attackers with percent denied and hit count for each.
 
 
Statistics for Virtual Sensor vs1
Denied Attackers with percent denied and hit count for each.
 
 
Denied Attackers with percent denied and hit count for each.
 
 
sensor#
 

ステップ 6 イベント サーバの統計情報を表示します。

sensor# show statistics event-server
General
openSubscriptions = 0
blockedSubscriptions = 0
Subscriptions
sensor#
 

ステップ 7 イベント ストアの統計情報を表示します。

sensor# show statistics event-store
EEvent store statistics
General information about the event store
The current number of open subscriptions = 2
The number of events lost by subscriptions and queries = 0
The number of filtered events not written to the event store = 850763
The number of queries issued = 0
The number of times the event store circular buffer has wrapped = 0
Number of events of each type currently stored
Status events = 4257
Shun request events = 0
Error events, warning = 669
Error events, error = 8
Error events, fatal = 0
Alert events, informational = 0
Alert events, low = 0
Alert events, medium = 0
Alert events, high = 0
Alert events, threat rating 0-20 = 0
Alert events, threat rating 21-40 = 0
Alert events, threat rating 41-60 = 0
Alert events, threat rating 61-80 = 0
Alert events, threat rating 81-100 = 0
Cumulative number of each type of event
Status events = 4257
Shun request events = 0
Error events, warning = 669
Error events, error = 8
Error events, fatal = 0
Alert events, informational = 0
Alert events, low = 0
Alert events, medium = 0
Alert events, high = 0
Alert events, threat rating 0-20 = 0
Alert events, threat rating 21-40 = 0
Alert events, threat rating 41-60 = 0
Alert events, threat rating 61-80 = 0
Alert events, threat rating 81-100 = 0
sensor#
 

ステップ 8 グローバル相関の統計情報を表示します。

sensor# show statistics global-correlation
Network Participation:
Counters:
Total Connection Attempts = 0
Total Connection Failures = 0
Connection Failures Since Last Success = 0
Connection History:
Updates:
Status Of Last Update Attempt = Disabled
Time Since Last Successful Update = never
Counters:
Update Failures Since Last Success = 0
Total Update Attempts = 0
Total Update Failures = 0
Update Interval In Seconds = 300
Update Server = update-manifests.ironport.com
Update Server Address = Unknown
Current Versions:
Warnings:
Unlicensed = Global correlation inspection and reputation filtering have been
disabled because the sensor is unlicensed.
Action Required = Obtain a new license from http://www.cisco.com/go/license.
sensor#
 

ステップ 9 ホストの統計情報を表示します。

sensor# show statistics host
General Statistics
Last Change To Host Config (UTC) = 25-Jan-2012 02:59:18
Command Control Port Device = Management0/0
Network Statistics
= ma0_0 Link encap:Ethernet HWaddr 00:04:23:D5:A1:8D
= inet addr:10.89.130.98 Bcast:10.89.131.255 Mask:255.255.254.0
= UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
= RX packets:1688325 errors:0 dropped:0 overruns:0 frame:0
= TX packets:38546 errors:0 dropped:0 overruns:0 carrier:0
= collisions:0 txqueuelen:1000
= RX bytes:133194316 (127.0 MiB) TX bytes:5515034 (5.2 MiB)
= Base address:0xcc80 Memory:fcee0000-fcf00000
NTP Statistics
status = Not applicable
Memory Usage
usedBytes = 1889357824
freeBytes = 2210988032
totalBytes = 4100345856
CPU Statistics
Note: CPU Usage statistics are not a good indication of the sensor processin load. The Inspection Load Percentage in the output of 'show inspection-load' should be used instead.
Usage over last 5 seconds = 0
Usage over last minute = 2
Usage over last 5 minutes = 2
Usage over last 5 seconds = 0
Usage over last minute = 1
Usage over last 5 minutes = 1
Memory Statistics
Memory usage (bytes) = 1889357824
Memory free (bytes) = 2210988032
Auto Update Statistics
lastDirectoryReadAttempt = N/A
lastDownloadAttempt = N/A
lastInstallAttempt = N/A
nextAttempt = N/A
Auxilliary Processors Installed
sensor#
 

ステップ 10 ロギング アプリケーションの統計情報を表示します。

sensor# show statistics logger
The number of Log interprocessor FIFO overruns = 0
The number of syslog messages received = 11
The number of <evError> events written to the event store by severity
Fatal Severity = 0
Error Severity = 64
Warning Severity = 35
TOTAL = 99
The number of log messages written to the message log by severity
Fatal Severity = 0
Error Severity = 64
Warning Severity = 24
Timing Severity = 311
Debug Severity = 31522
Unknown Severity = 7
TOTAL = 31928
sensor#
 

ステップ 11 ARC の統計情報を表示します。

sensor# show statistics network-access
Current Configuration
LogAllBlockEventsAndSensors = true
EnableNvramWrite = false
EnableAclLogging = false
AllowSensorBlock = false
BlockMaxEntries = 11
MaxDeviceInterfaces = 250
NetDevice
Type = PIX
IP = 10.89.150.171
NATAddr = 0.0.0.0
Communications = ssh-3des
NetDevice
Type = PIX
IP = 192.0.2.4
NATAddr = 0.0.0.0
Communications = ssh-3des
NetDevice
Type = PIX
IP = 192.0.2.5
NATAddr = 0.0.0.0
Communications = telnet
NetDevice
Type = Cisco
IP = 192.0.2.6
NATAddr = 0.0.0.0
Communications = telnet
BlockInterface
InterfaceName = ethernet0/1
InterfaceDirection = out
InterfacePostBlock = Post_Acl_Test
BlockInterface
InterfaceName = ethernet0/1
InterfaceDirection = in
InterfacePreBlock = Pre_Acl_Test
InterfacePostBlock = Post_Acl_Test
NetDevice
Type = CAT6000_VACL
IP = 192.0.2.1
NATAddr = 0.0.0.0
Communications = telnet
BlockInterface
InterfaceName = 502
InterfacePreBlock = Pre_Acl_Test
BlockInterface
InterfaceName = 507
InterfacePostBlock = Post_Acl_Test
State
BlockEnable = true
NetDevice
IP = 192.0.2.3
AclSupport = Does not use ACLs
Version = 6.3
State = Active
Firewall-type = PIX
NetDevice
IP = 192.0.2.7
AclSupport = Does not use ACLs
Version = 7.0
State = Active
Firewall-type = ASA
NetDevice
IP = 102.0.2.8
AclSupport = Does not use ACLs
Version = 2.2
State = Active
Firewall-type = FWSM
NetDevice
IP = 192.0.2.9
AclSupport = uses Named ACLs
Version = 12.2
State = Active
NetDevice
IP = 192.0.2.10
AclSupport = Uses VACLs
Version = 8.4
State = Active
BlockedAddr
Host
IP = 203.0.113.1
Vlan =
ActualIp =
BlockMinutes =
Host
IP = 203.0.113.2
Vlan =
ActualIp =
BlockMinutes =
Host
IP = 203.0.113.4
Vlan =
ActualIp =
BlockMinutes = 60
MinutesRemaining = 24
Network
IP = 203.0.113.9
Mask = 255.255.0.0
BlockMinutes =
sensor#
 

ステップ 12 通知アプリケーションの統計情報を表示します。

sensor# show statistics notification
General
Number of SNMP set requests = 0
Number of SNMP get requests = 0
Number of error traps sent = 0
Number of alert traps sent = 0
sensor#
 

ステップ 13 OS 識別の統計情報を表示します。

sensor# show statistics os-identification
Statistics for Virtual Sensor vs0
OS Identification
Configured
Imported
Learned
sensor#
 

ステップ 14 SDEE サーバの統計情報を表示します。

sensor# show statistics sdee-server
General
Open Subscriptions = 1
Blocked Subscriptions = 1
Maximum Available Subscriptions = 5
Maximum Events Per Retrieval = 500
Subscriptions
sub-4-d074914f
State = Read Pending
Last Read Time = 23:54:16 UTC Wed Nov 30 2011
Last Read Time (nanoseconds) = 1322697256078549000
sensor#
 

ステップ 15 トランザクション サーバの統計情報を表示します。

sensor# show statistics transaction-server
General
totalControlTransactions = 35
failedControlTransactions = 0
sensor#
 

ステップ 16 仮想センサーの統計情報を表示します。

sensor# show statistics virtual-sensor vs0
Statistics for Virtual Sensor vs0
Name of current Signature-Defintion instance = sig0
Name of current Event-Action-Rules instance = rules0
List of interfaces monitored by this virtual sensor =
General Statistics for this Virtual Sensor
Number of seconds since a reset of the statistics = 1151770
MemoryAlloPercent = 23
MemoryUsedPercent = 22
MemoryMaxCapacity = 3500000
MemoryMaxHighUsed = 4193330
MemoryCurrentAllo = 805452
MemoryCurrentUsed = 789047
Processing Load Percentage = 1
Total packets processed since reset = 0
Total IP packets processed since reset = 0
Total IPv4 packets processed since reset = 0
Total IPv6 packets processed since reset = 0
Total IPv6 AH packets processed since reset = 0
Total IPv6 ESP packets processed since reset = 0
Total IPv6 Fragment packets processed since reset = 0
Total IPv6 Routing Header packets processed since reset = 0
Total IPv6 ICMP packets processed since reset = 0
Total packets that were not IP processed since reset = 0
Total TCP packets processed since reset = 0
Total UDP packets processed since reset = 0
Total ICMP packets processed since reset = 0
Total packets that were not TCP, UDP, or ICMP processed since reset = 0
Total ARP packets processed since reset = 0
Total ISL encapsulated packets processed since reset = 0
Total 802.1q encapsulated packets processed since reset = 0
Total GRE Packets processed since reset = 0
Total GRE Fragment Packets processed since reset = 0
Total GRE Packets skipped since reset = 0
Total GRE Packets with Bad Header skipped since reset = 0
Total IpIp Packets with Bad Header skipped since reset = 0
Total Encapsulated Tunnel Packets with Bad Header skipped since reset = 0
Total packets with bad IP checksums processed since reset = 0
Total packets with bad layer 4 checksums processed since reset = 0
Total cross queue TCP packets processed since reset = 0
Total cross queue UDP packets processed since reset = 0
Packets dropped due to regex resources unavailable since reset = 0
Total number of bytes processed since reset = 0
The rate of packets per second since reset = 0
The rate of bytes per second since reset = 0
The average bytes per packet since reset = 0
Denied Address Information
Number of Active Denied Attackers = 0
Number of Denied Attackers Inserted = 0
Number of Denied Attacker Victim Pairs Inserted = 0
Number of Denied Attacker Service Pairs Inserted = 0
Number of Denied Attackers Total Hits = 0
Number of times max-denied-attackers limited creation of new entry = 0
Number of exec Clear commands during uptime = 0
Denied Attackers and hit count for each.
Denied Attackers with percent denied and hit count for each.
 
 
The Signature Database Statistics.
The Number of each type of node active in the system
Total nodes active = 0
TCP nodes keyed on both IP addresses and both ports = 0
UDP nodes keyed on both IP addresses and both ports = 0
IP nodes keyed on both IP addresses = 0
The number of each type of node inserted since reset
Total nodes inserted = 0
TCP nodes keyed on both IP addresses and both ports = 0
UDP nodes keyed on both IP addresses and both ports = 0
IP nodes keyed on both IP addresses = 0
The rate of nodes per second for each time since reset
Nodes per second = 0
TCP nodes keyed on both IP addresses and both ports per second = 0
UDP nodes keyed on both IP addresses and both ports per second = 0
IP nodes keyed on both IP addresses per second = 0
The number of root nodes forced to expire because of memory constraints
TCP nodes keyed on both IP addresses and both ports = 0
Packets dropped because they would exceed Database insertion rate limits = 0
Fragment Reassembly Unit Statistics for this Virtual Sensor
Number of fragments currently in FRU = 0
Number of datagrams currently in FRU = 0
Number of fragments received since reset = 0
Number of fragments forwarded since reset = 0
Number of fragments dropped since last reset = 0
Number of fragments modified since last reset = 0
Number of complete datagrams reassembled since last reset = 0
Fragments hitting too many fragments condition since last reset = 0
Number of overlapping fragments since last reset = 0
Number of Datagrams too big since last reset = 0
Number of overwriting fragments since last reset = 0
Number of Inital fragment missing since last reset = 0
Fragments hitting the max partial dgrams limit since last reset = 0
Fragments too small since last reset = 0
Too many fragments per dgram limit since last reset = 0
Number of datagram reassembly timeout since last reset = 0
Too many fragments claiming to be the last since last reset = 0
Fragments with bad fragment flags since last reset = 0
TCP Normalizer stage statistics
Packets Input = 0
Packets Modified = 0
Dropped packets from queue = 0
Dropped packets due to deny-connection = 0
Duplicate Packets = 0
Current Streams = 0
Current Streams Closed = 0
Current Streams Closing = 0
Current Streams Embryonic = 0
Current Streams Established = 0
Current Streams Denied = 0
Total SendAck Limited Packets = 0
Total SendAck Limited Streams = 0
Total SendAck Packets Sent = 0
Statistics for the TCP Stream Reassembly Unit
Current Statistics for the TCP Stream Reassembly Unit
TCP streams currently in the embryonic state = 0
TCP streams currently in the established state = 0
TCP streams currently in the closing state = 0
TCP streams currently in the system = 0
TCP Packets currently queued for reassembly = 0
Cumulative Statistics for the TCP Stream Reassembly Unit since reset
TCP streams that have been tracked since last reset = 0
TCP streams that had a gap in the sequence jumped = 0
TCP streams that was abandoned due to a gap in the sequence = 0
TCP packets that arrived out of sequence order for their stream = 0
TCP packets that arrived out of state order for their stream = 0
The rate of TCP connections tracked per second since reset = 0
SigEvent Preliminary Stage Statistics
Number of Alerts received = 0
Number of Alerts Consumed by AlertInterval = 0
Number of Alerts Consumed by Event Count = 0
Number of FireOnce First Alerts = 0
Number of FireOnce Intermediate Alerts = 0
Number of Summary First Alerts = 0
Number of Summary Intermediate Alerts = 0
Number of Regular Summary Final Alerts = 0
Number of Global Summary Final Alerts = 0
Number of Active SigEventDataNodes = 0
Number of Alerts Output for further processing = 0
--MORE--
 

ステップ 17 Web サーバの統計情報を表示します。

sensor# show statistics web-server
listener-443
session-11
remote host = 64.101.182.167
session is persistent = no
number of requests serviced on current connection = 1
last status code = 200
last request method = GET
last request URI = cgi-bin/sdee-server
last protocol version = HTTP/1.1
session state = processingGetServlet
number of server session requests handled = 957134
number of server session requests rejected = 0
total HTTP requests handled = 365871
maximum number of session objects allowed = 40
number of idle allocated session objects = 12
number of busy allocated session objects = 1
summarized log messages
number of TCP socket failure messages logged = 0
number of TLS socket failure messages logged = 0
number of TLS protocol failure messages logged = 0
number of TLS connection failure messages logged = 595015
number of TLS crypto warning messages logged = 0
number of TLS expired certificate warning messages logged = 0
number of receipt of TLS fatal alert message messages logged = 594969
crypto library version = 6.2.1.0
sensor#
 

ステップ 18 アプリケーション、たとえば、ロギング アプリケーションの統計情報を消去します。統計情報が取得され、消去されます。

sensor# show statistics logger clear
The number of Log interprocessor FIFO overruns = 0
The number of syslog messages received = 141
The number of <evError> events written to the event store by severity
Fatal Severity = 0
Error Severity = 14
Warning Severity = 142
TOTAL = 156
The number of log messages written to the message log by severity
Fatal Severity = 0
Error Severity = 14
Warning Severity = 1
Timing Severity = 0
Debug Severity = 0
Unknown Severity = 28
TOTAL = 43
 

ステップ 19 統計情報が消去されたことを確認します。これ以降、統計情報はすべて 0 から始まります。

sensor# show statistics logger
The number of Log interprocessor FIFO overruns = 0
The number of syslog messages received = 0
The number of <evError> events written to the event store by severity
Fatal Severity = 0
Error Severity = 0
Warning Severity = 0
TOTAL = 0
The number of log messages written to the message log by severity
Fatal Severity = 0
Error Severity = 0
Warning Severity = 0
Timing Severity = 0
Debug Severity = 0
Unknown Severity = 0
TOTAL = 0
sensor#
 


 

インターフェイス情報

show interfaces コマンドは、センシング インターフェイスおよびコマンド/コントロール インターフェイスに関する情報を収集するために有用です。ここでは、 show interfaces コマンドについて説明します。内容は次のとおりです。

「show interfaces コマンドについて」

「interfaces コマンドの出力」

show interfaces コマンドについて

show interfaces コマンドにより次の情報を把握することができます。

インターフェイスがアップ状態かダウン状態かどうか

パケットが監視されているかどうか、どのインターフェイスでそれが行われるか

SensorApp によってパケットがドロップされているかどうか

パケット ドロップを生じるようなエラーがインターフェイスによってレポートされているかどうか

show interfaces コマンドは、すべてのシステム インターフェイスの統計情報を表示します。または、個々のコマンドを使用して、コマンド/コントロール インターフェイス( show interfaces command_control_interface_name )や検知インターフェイス( show interfaces interface_name )の統計情報を表示できます。

interfaces コマンドの出力

次に、 show interfaces コマンドの出力例を示します。

sensor# show interfaces
Interface Statistics
Total Packets Received = 0
Total Bytes Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/1
Media Type = backplane
Missed Packet Percentage = 0
Inline Mode = Unpaired
Pair Status = N/A
Link Status = Up
Link Speed = Auto_1000
Link Duplex = Auto_Full
Total Packets Received = 0
Total Bytes Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface GigabitEthernet0/0
Media Type = TX
Link Status = Up
Link Speed = Auto_100
Link Duplex = Auto_Full
Total Packets Received = 2211296
Total Bytes Received = 157577635
Total Multicast Packets Received = 20
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 239723
Total Bytes Transmitted = 107213390
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
sensor#
 

イベント情報

show events コマンドを使用すれば、SensorApp によって生成されたアラートおよびアプリケーションによって生成されたエラーを表示できます。ここでは、 show events コマンドについて説明します。内容は次のとおりです。

「センサーのイベント」

「show events コマンドについて」

「イベントの表示」

「イベントのクリア」

センサーのイベント

5 種類のイベントがあります。

evAlert:侵入検知アラート

evError:アプリケーション エラー

evStatus:ステータスの変更(IP ログの作成など)

evLogTransaction:各センサー アプリケーションによって処理される制御トランザクションのレコード

evShunRqst:ブロックの要求

イベントは、新しいイベントによって上書きされるまでイベント ストアに残ります。

show events コマンドについて

show events コマンドは、イベント ビューアまたは Security Monitor でイベントを確認できないといった、イベント キャプチャの問題をトラブルシューティングする際に役立ちます。 show events コマンドを使用すれば、イベントが生成されていることを確認するためにセンサー上でどのイベントが生成されているかを特定し、モニタ側に障害があるかどうかを判定することができます。

イベント ストアからすべてのイベントをクリアするには、 clear events コマンドを使用します。

ここで、 show events コマンドのパラメータを示します。

sensor# show events
<cr>
alert Display local system alerts.
error Display error events.
hh:mm[:ss] Display start time.
log Display log events.
nac Display NAC shun events.
past Display events starting in the past specified time.
status Display status events.
| Output modifiers.
 

イベントの表示


) イベント ストアには、すべてのプラットフォームに対して 30 MB の固定サイズがあります。



) イベントは、ライブ フィードとして表示されます。要求をキャンセルするには、Ctrl+C を押します。


イベント ストアからイベントを表示するには、 show events [{ alert [informational] [low] [medium] [high] [ include-traits traits ] [ exclude-traits traits ] [ min-threat-rating min-rr ] [ max-threat-rating max-rr ] | error [warning] [error] [fatal] | NAC | status }] [ hh:mm:ss [ month day [ year ]] | past hh:mm:ss ] コマンドを使用します。イベントは、開始時刻からのイベントが表示されます。開始時刻を指定しない場合、イベントは現在の時刻から表示されます。イベント タイプを指定しない場合、すべてのイベントが表示されます。

次のオプションが適用されます。

alert :アラートを表示します。侵入攻撃が進行中であるか試みられたことを示す可能性がある、ある種の疑わしいアクティビティを通知します。アラート イベントは、ネットワーク アクティビティによってシグニチャがトリガーされるたびに、分析エンジンによって生成されます。レベルが選択されていない場合(情報、低、中、または高)、すべてのアラート イベントが表示されます。

include-traits :指定された特性を持つアラートを表示します。

exclude-traits :指定された特性を持つアラートを表示しません。

traits :十進数で表される trait ビットの位置(0 ~ 15)を指定します。

min-threat-rating :この値以上の脅威レーティングを持つイベントを表示します。デフォルトは 0 です。有効な範囲は 0 ~ 100 です。

max-threat-rating:この値以下の脅威レーティングを持つイベントを表示します。デフォルト値は 100 です。有効な範囲は 0 ~ 100 です。

error :エラー イベントを表示します。エラー イベントは、エラー状態が検出されたときに、サービスによって生成されます。レベルが選択されていない場合(警告、エラー、または重大)、すべてのエラー イベントが表示されます。

NAC :ARC(ブロック)要求を表示します。


) ARC は、NAC と呼ばれていました。この名前変更は、DM、IME、および CLI を通して完全に実装されていません。


status :ステータス イベントを表示します。

past :指定された過去の時間、分、および秒から始まったイベントを表示します。

hh:mm:ss :表示を開始する過去の時間、分、および秒を指定します。


show events コマンドは、指定されたイベントが取得可能になるまで、イベントを表示し続けます。終了するには、Ctrl+C を押します


イベントの表示

イベント ストアからイベントを表示するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 今から始まるすべてのイベントを表示します。Ctrl+C を押すまで、すべてのイベントが表示され続けます。

sensor# show events
evError: eventId=1041472274774840147 severity=warning vendor=Cisco
originator:
hostId: sensor2
appName: cidwebserver
appInstanceId: 12075
time: 2011/01/07 04:41:45 2011/01/07 04:41:45 UTC
errorMessage: name=errWarning received fatal alert: certificate_unknown
 
evError: eventId=1041472274774840148 severity=error vendor=Cisco
originator:
hostId: sensor2
appName: cidwebserver
appInstanceId: 351
time: 2011/01/07 04:41:45 2011/01/07 04:41:45 UTC
errorMessage: name=errTransport WebSession::sessionTask(6) TLS connection exception: handshake incomplete.
 

ステップ 3 2011 年 2 月 9 日 10:00 a.m に開始されたブロック要求を表示します。

sensor# show events NAC 10:00:00 Feb 9 2011
evShunRqst: eventId=1106837332219222281 vendor=Cisco
originator:
deviceName: Sensor1
appName: NetworkAccessControllerApp
appInstance: 654
time: 2011/02/09 10:33:31 2011/08/09 13:13:31
shunInfo:
host: connectionShun=false
srcAddr: 11.0.0.1
destAddr:
srcPort:
destPort:
protocol: numericType=0 other
timeoutMinutes: 40
evAlertRef: hostId=esendHost 123456789012345678
sensor#
 

ステップ 4 2011 年 2 月 9 日の 10:00 a.m. から始まる 警告レベルのエラーを表示します。

sensor# show events error warning 10:00:00 Feb 9 2011
evError: eventId=1041472274774840197 severity=warning vendor=Cisco
originator:
hostId: sensor
appName: cidwebserver
appInstanceId: 12160
time: 2011/01/07 04:49:25 2011/01/07 04:49:25 UTC
errorMessage: name=errWarning received fatal alert: certificate_unknown
 

ステップ 5 45 秒前からのアラートを表示します。

sensor# show events alert past 00:00:45
 
evIdsAlert: eventId=1109695939102805307 severity=medium vendor=Cisco
originator:
hostId: sensor
appName: sensorApp
appInstanceId: 367
time: 2011/03/02 14:15:59 2011/03/02 14:15:59 UTC
signature: description=Nachi Worm ICMP Echo Request id=2156 version=S54
subsigId: 0
sigDetails: Nachi ICMP
interfaceGroup:
vlan: 0
participants:
attacker:
addr: locality=OUT 10.89.228.202
target:
addr: locality=OUT 10.89.150.185
riskRatingValue: 70
interface: fe0_1
protocol: icmp
 
 
evIdsAlert: eventId=1109695939102805308 severity=medium vendor=Cisco
originator:
--MORE--
 

ステップ 6 30 秒前に始まったイベントを表示します。

sensor# show events past 00:00:30
evStatus: eventId=1041526834774829055 vendor=Cisco
originator:
hostId: sensor
appName: mainApp
appInstanceId: 2215
time: 2011/01/08 02:41:00 2011/01/08 02:41:00 UTC
controlTransaction: command=getVersion successful=true
description: Control transaction response.
requestor:
user: cids
application:
hostId: 64.101.182.101
appName: -cidcli
appInstanceId: 2316
 
 
evStatus: eventId=1041526834774829056 vendor=Cisco
originator:
hostId: sensor
appName: login(pam_unix)
appInstanceId: 2315
time: 2011/01/08 02:41:00 2011/01/08 02:41:00 UTC
syslogMessage:
description: session opened for user cisco by cisco(uid=0)
 


 

イベントのクリア

イベント ストアをクリアするには、 clear events コマンドを使用します。イベント ストアからイベントをクリアするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 イベント ストアをクリアします。

sensor# clear events
Warning: Executing this command will remove all events currently stored in the event store.
Continue with clear? []:
 

ステップ 3 yes と入力してイベントをクリアします。


 

cidDump スクリプト

IDM、IME または CLI へのアクセス権がない場合も、root としてログインし、/usr/cids/idsRoot/bin/cidDump を実行することにより、サービス アカウントから基本的なスクリプトである cidDump を実行できます。cidDump ファイルのパスは、/usr/cids/idsRoot/htdocs/private/cidDump.html です。cidDump は大量の情報を取り込むためのスクリプトです。この情報には、IPS プロセス リスト、ログ ファイル、OS 情報、ディレクトリ リスト、パッケージ情報、コンフィギュレーション ファイルなどがあります。

cidDump スクリプトを実行するには、次の手順を実行します。


ステップ 1 センサーのサービス アカウントにログインします。

ステップ 2 サービス アカウント パスワードを使用して root su します。

ステップ 3 次のコマンドを入力します。

/usr/cids/idsRoot/bin/cidDump
 

ステップ 4 次のコマンドを入力して、生成される /usr/cids/idsRoot/log/cidDump.html ファイルを圧縮します。

gzip /usr/cids/idsRoot/log/cidDump.html
 

ステップ 5 問題がある場合は、生成された HTML ファイルを TAC または IPS の開発者に送信します。


 

詳細情報

ファイルを Cisco FTP サイトに置く手順については、「Cisco FTP サイトへのファイルのアップロードおよびそのサイト上のファイルへのアクセス」を参照してください。

Cisco FTP サイトへのファイルのアップロードおよびそのサイト上のファイルへのアクセス

大きなファイル(たとえば、cidDump.html、 show tech-support コマンドの出力、コア ファイル)を ftp-sj サーバにアップロードできます。

Cisco FTP サイトへのファイルのアップロードおよび Cisco FTP サイトのファイルへのアクセスを行うには、次の手順に従います。


ステップ 1 ftp-sj.cisco.com に匿名でログインします。

ステップ 2 /incoming というディレクトリに変更します。

ステップ 3 put コマンドを使用してファイルをアップロードします。必ずバイナリ転送タイプを使用します。

ステップ 4 アップロードされたファイルにアクセスするには、ECS でサポートされたホストにログインします。

ステップ 5 /auto/ftp/incoming ディレクトリに変更します。