Cisco ASA 5500 シリーズ/PIX 500 シリーズ Cisco セキュリティ アプライアンス システム ログ メッセージ ガイド Version 8.0(2)
システム ログ メッセージ
システム ログ メッセージ
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

システム ログ メッセージ

メッセージ 101001 ~ 199009

101001

101002

101003, 101004

101005

102001

103001

103002

103003

103004

103005

103006

103007

104001, 104002

104003

104004

105001

105002

105003

105004

105005

105006, 105007

105008

105009

105010

105011

105020

105021

105031

105032

105034

105035

105036

105037

105038

105039

105040

105042

105043

105044

105045

105046

105047

105048

106001

106002

106006

106007

106010

106011

106012

106013

106014

106015

106016

106017

106018

106020

106021

106022

106023

106024

106025, 106026

106027

106100

106101

107001

107002

107003

108002

108003

108004

108005

108006

109001

109002

109003

109005

109006

109007

109008

109010

109011

109012

109013

109014

109016

109017

109018

109019

109020

109021

109022

109023

109024

109025

109026

109027

109028

109029

109030

109031

109032

109033

109034

110001

111001

111002

111003

111004

111005

111007

111008

111009

111111

112001

113001

113003

113004

113005

113006

113007

113008

113009

113010

113011

113012

113013

113014

113015

113016

113017

113018

113019

113020

113021

113022

113023

114001

114002

114003

114004

114005

114006

114007

114008

114009

114010

114011

114012

114013

114014

114015

114016

114017

114018

114019

114020

114021

199001

199002

199003

199005

199006

199007

199008

199009

199011

199012

メッセージ 201002 ~ 219002

201002

201003

201004

201005

201006

201008

201009

201010

201011

201012

201013

202001

202005

202011

208005

209003

209004

209005

210001

210002

210003

210005

210006

210007

210008

210010

210011

210020

210021

210022

211001

211003

212001

212002

212003

212004

212005

212006

213001

213002

213003

213004

213005

213006

214001

215001

217001

216001

216002

216003

216004

218001

218002

218003

218004

219002

メッセージ 302003 ~ 336011

302003

302004

302009

302010

302012

302013

302014

302015

302016

302017

302018

302019

302020

302021

302033

302034

302302

303002

303003

303004

303005

304001

304002

304003

304004

304005

304006

304007

304008

304009

305005

305006

305007

305008

305009

305010

305011

305012

308001

308002

311001

311002

311003

311004

312001

313001

313004

313005

313008

314001

314002

314003

314004

314005

314006

315004

315011

316001

317001

317002

317003

317004

317005

317006

318001

318002

318003

318004

318005

318006

318007

318008

318009

319001

319002

319003

319004

320001

321001

321002

321003

321004

322001

322002

322003

322004

323001

323002

323003

323004

323005

323006

324000

324001

324002

324003

324004

324005

324006

324007

324300

324301

325001

325002

325003

326001

326002

326004

326005

326006

326007

326008

326009

326010

326011

326012

326013

326014

326015

326016

326017

326019

326020

326021

326022

326023

326024

326025

326026

326027

326028

327001

327002

327003

328001

329001

331001

331002

332001

332002

332003

332004

333001

333002

333003

333004

333005

333006

333007

333008

333009

333010

334001

334002

334003

334004

334005

334006

334007

334008

334009

335001

335002

335003

335004

335004

335005

335006

335007

335008

335009

335010

335011

335012

335013

335014

336001

336002

336003

336004

336005

336006

336007

336008

336009

336010

336011

メッセージ 400000 ~ 450001

4000nn

401001

401002

401003

401004

401005

402101

402102

402103

402106

402114

402115

402116

402117

402118

402119

402120

402121

402122

402123

402124

402125

402126

402127

403101

403102

403103

403104

403106

403107

403108

403109

403110

403500

403501

403502

403503

403504

403505

403506

403507

404101

404102

405001

405101

405002

405101

405102

405103

405104

405105

405106

405107

405201

405300

405301

406001

406002

407001

407002

407003

408001

408002

408003

409001

409002

409003

409004

409005

409006

409007

409008

409009

409010

409011

409012

409013

409023

410001

410002

410003

410004

411001

411002

411003

411004

412001

412002

413001

413002

413003

413004

413005

413006

414001

414002

415001

415002

415003

415004

415005

415006

415007

415008

415009

415010

415011

415012

415013

415014

415015

415016

415017

415018

415019

415020

416001

417001

417004

417006

417008

417009

418001

419001

419002

420001

420002

420003

420004

420005

420006

421001

421002

421003

421004

421005

421006

421007

422004

422005

422006

423001

423002

423003

423004

423005

424001

424002

425001

425002

425003

425004

425005

425006

431001

428001

431002

446001

450001

メッセージ 500001 ~ 509001

500001

500002

500003

500004

501101

502101

502102

502103

502111

502112

503001

504001

504002

505001

505002

505003

505004

505005

505006

505007

505008

505009

505010

505011

505012

505013

505014

505015

505016

506001

507001

507002

508001

508002

509001

メッセージ 602101 ~ 622102

602101

602103

602104

602201

602202

602203

602303

602304

603101

603102

603103

603104

603105

603106

603107

603108

603109

604101

604102

604103

604104

605004

605005

606001

606002

606003

606004

607001

607002

607003

608001

608002

608003

608004

608005

609001

609002

610001

610002

610101

611101

611102

611103

611104

611301

611302

611303

611304

611305

611306

611307

611308

611309

611310

611311

611312

611313

611314

611315

611316

611317

611318

611319

611320

611321

611322

611323

612001

612002

612003

613001

613002

613003

614001

614002

615001

615002

616001

617001

617002

617003

617004

617100

620001

620002

621001

621002

621003

621006

621007

621008

621009

621010

622001

622101

622102

634001

メッセージ 701001 ~ 732003

701001

701002

702201

702202

702203

702204

702205

702206

702207

702208

702209

702210

702211

702212

702305

702307

703001

703002

709001, 709002

709003

709004

709005

709006

709007

710001

710002

710003

710004

710005

710006

711001

711002

711003

713004

713006

713008

713009

713010

713012

713014

713016

713017

713018

713020

713022

713024

713025

713026

713027

713028

713029

713030

713031

713032

713033

713034

713035

713036

713037

713039

713040

713041

713042

713043

713047

713048

713049

713050

713051

713052

713056

713059

713060

713061

713062

713063

713065

713066

713068

713072

713073

713074

713075

713076

713078

713081

713082

713083

713084

713085

713086

713088

713092

713094

713098

713099

713102

713103

713104

713105

713107

713109

713112

713113

713114

713115

713116

713117

713118

713119

713120

713121

713122

713123

713124

713127

713128

713129

713130

713131

713132

713133

713134

713135

713136

713137

713138

713139

713140

713141

713142

713143

713144

713145

713146

713147

713148

713149

713152

713154

713155

713156

713157

713158

713159

713160

713161

713162

713163

713164

713165

713166

713167

713168

713169

713170

713171

713172

713174

713176

713177

713178

713179

713182

713184

713185

713186

713187

713189

713190

713193

713194

713195

713196

713197

713198

713199

713201

713203

713204

713205

713206

713208

713209

713210

713211

713212

713213

713214

713215

713216

713217

713218

713219

713220

713221

713222

713223

713224

713225

713226

713228

713229

713230

713231

713232

713233

713234

713235

713236

713237

713238

713239

713240

713241

713242

713243

713244

713245

713246

713247

713248

713249

713250

713251

713252

713253

713254

713900

713901

713902

713903

713904

714001

714002

714003

714004

714005

714006

714007

714011

715001

715004

715005

715006

715007

715008

715009

715013

715019

715020

715021

715022

715027

715028

715033

715034

715035

715036

715037

715038

715039

715040

715041

715042

715044

715045

715046

715047

715048

715049

715050

715051

715052

715053

715054

715055

715056

715057

715058

715059

715060

715061

715062

715063

715064

715065

715066

715067

715068

715069

715070

715071

715072

715074

715075

715076

715077

715078

715079

715080

716001

716002

716003

716004

716005

716006

716007

716008

716009

716010

716011

716012

716013

716014

716015

716016

716017

716018

716019

716020

716021

716022

716023

716024

716025

716026

716027

716028

716029

716030

716031

716032

716033

716034

716035

716036

716037

716038

716039

716040

716041

716042

716043

716044

716045

716046

716047

716048

716049

716050

716051

716052

716053

716054

716055

716056

716090

716091

717001

717002

717003

717004

717005

717006

717007

717008

717009

717010

717011

717012

717013

717014

717015

717016

717017

717018

717019

717020

717021

717022

717023

717024

717025

717026

717027

717028

717029

717030

717031

717032

717033

717034

717035

717036

717037

717038

717039

717040

717041

717042

717043

717044

717045

717046

717047

717048

717049

718001

718002

718003

718004

718005

718006

718007

718008

718009

718010

718011

718012

718013

718014

718015

718016

718017

718018

718019

718020

718021

718022

718023

718024

718025

718026

718027

718028

718029

718030

718031

718032

718033

718034

718035

718036

718037

718038

718039

718040

718041

718042

718043

718044

718045

718046

718047

718048

718049

718050

718051

718052

718053

718054

718055

718056

718057

718058

718059

718060

718061

718062

718063

718064

718065

718066

718067

718068

718069

718070

718071

718072

718073

718074

718075

718076

718077

718078

718079

718080

718081

718082

718083

718084

718085

718086

718087

718088

719001

719002

719003

719004

719005

719006

719007

719008

719009

719010

719011

719012

719013

719014

719015

719016

719017

719018

719019

719020

719021

719022

719023

719024

719025

719026

720001

720002

720003

720004

720005

720006

720007

720008

720009

720010

720011

720012

720013

720014

720015

720016

720017

720018

720019

720020

720021

720022

720023

720024

720025

720026

720027

720028

720029

720030

720031

720032

720033

720034

720035

720036

720037

720038

720039

720040

720041

720042

720043

720044

720045

720046

720047

720048

720049

720050

720051

720052

720053

720054

720055

720056

720057

720058

720059

720060

720061

720062

720063

720064

720065

720066

720067

720068

720069

720070

720071

720072

720073

721001

721002

721003

721004

721005

721006

721007

721008

721009

721010

721011

721012

721013

721014

721015

721016

721017

721018

721019

722001

722002

722003

722004

722005

722006

722007

722008

722009

722010

722011

722012

722013

722014

722015

722016

722017

722018

722019

722020

722021

722022

722023

722024

722025

722026

722027

722028

722029

722030

722031

722032

722033

722034

722035

722036

722037

722038

722039

722040

722041

723001

723002

723003

723004

723005

723006

723007

723008

723009

723010

723011

723012

723013

723014

724001

724002

725001

725002

725003

725004

725005

725006

725007

725008

725009

725010

725011

725012

725013

725014

725015

726001

730001

730002

730004

730005

730010

733100

733101

733102

733103

731001

731002

731003

732001

732002

732003

734002

734003

734004

システム ログ メッセージ

この章では、システム ログ メッセージについて番号順に説明します。


) 番号が連番から抜けている場合、そのメッセージは適応型セキュリティ アプライアンス コードにはありません。


ロギングおよび SNMP を設定する方法については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。

この章は、次の項で構成されています。

メッセージ 101001 ~ 199009(P.1-2)

メッセージ 201002 ~ 219002(P.1-54)

メッセージ 302003 ~ 336011(P.1-72)

メッセージ 400000 ~ 450001(P.1-124)

メッセージ 500001 ~ 509001(P.1-179)

メッセージ 602101 ~ 622102(P.1-188)

メッセージ 701001 ~ 732003(P.1-215)

メッセージ 101001 ~ 199009

この項では、101001 から 199009 までのメッセージについて説明します。

101001

エラー メッセージ %PIX|ASA-1-101001: (Primary) Failover cable OK.

説明 これはフェールオーバー メッセージです。このメッセージは、フェールオーバー ケーブルが接続され、正常に機能していることを報告します。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 不要です。

101002

エラー メッセージ %PIX|ASA-1-101002: (Primary) Bad failover cable.

説明 これはフェールオーバー メッセージです。このメッセージは、フェールオーバー ケーブルが接続されているが、正常には機能していないことを報告します。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 フェールオーバー ケーブルを交換します。

101003, 101004

エラー メッセージ %PIX|ASA-1-101003: (Primary) Failover cable not connected (this unit). エラー メッセージ %PIX|ASA-1-101004: (Primary) Failover cable not connected (other unit).

説明 この例は、両方ともフェールオーバー メッセージです。これらのメッセージは、フェールオーバー モードがイネーブルになっているが、フェールオーバー ケーブルがフェールオーバー ペアの一方の装置に接続されていない場合に記録されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 フェールオーバー ケーブルをフェールオーバー ペアの両方の装置に接続します。

101005

エラー メッセージ %PIX|ASA-1-101005: (Primary) Error reading failover cable status.

説明 これはフェールオーバー メッセージです。このメッセージは、フェールオーバー ケーブルが接続されているが、プライマリ装置が自分のステータスを判断できない場合に表示されます。

推奨処置 ケーブルを交換します。

102001

エラー メッセージ %PIX|ASA-1-102001: (Primary) Power failure/System reload other side.

説明 これはフェールオーバー メッセージです。このメッセージは、プライマリ装置が相手装置にシステム リロードまたは電源障害を検出すると記録されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 リロードが発生した装置で show crashinfo コマンドを発行して、リロードに関連するトレースバックがあるかどうかを判別します。さらに、装置の電源が投入され、ケーブルが正しく接続されていることを確認します。

103001

エラー メッセージ %PIX|ASA-1-103001: (Primary) No response from other firewall (reason code = code).

説明 これはフェールオーバー メッセージです。このメッセージは、プライマリ装置がフェールオーバー ケーブル経由でセカンダリ装置と通信できない場合に表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。 表1-1 に、フェールオーバーが発生した原因を判断するための原因コードおよび説明を示します。

 

表1-1 原因コード

原因コード
説明

1

シリアル ケーブルでフェールオーバー hello が 30 秒以上受信されていません。これによって相手装置でフェールオーバーが正常に動作していることが保証されます。

2

インターフェイスが 4 つのフェールオーバー テストの内のいずれか 1 つを通過させませんでした。4 つのテストは、1)Link Up、2)Monitor for Network Traffic、3)ARP テスト、4)Broadcast Ping テストです。

3

シリアル ケーブルでコマンドが送信された後 15 秒以上適切な ACK が受信されません。

4

ローカル装置がフェールオーバー LAN および他のデータ インターフェイスで hello パケットを受信しておらず、ピアがダウンしていることを宣言しています。

5

コンフィギュレーション同期化プロセス中に、スタンバイ ピアがダウンしました。

推奨処置 フェールオーバー ケーブルが正しく接続され、両方の装置が同じハードウェア、ソフトウェア、およびコンフィギュレーションになっていることを確認します。問題が解決しない場合、Cisco TAC にお問い合せください。

103002

エラー メッセージ %PIX|ASA-1-103002: (Primary) Other firewall network interface interface_number OK.

説明 これはフェールオーバー メッセージです。このメッセージは、セカンダリ装置のネットワーク インターフェイスが正常であることをプライマリ装置が検出すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 不要です。

103003

エラー メッセージ %PIX|ASA-1-103003: (Primary) Other firewall network interface interface_number failed.

説明 これはフェールオーバー メッセージです。このメッセージは、プライマリ装置がセカンダリ装置に不良ネットワーク インターフェイスを検出すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 セカンダリ装置のネットワーク接続をチェックして、ネットワーク ハブ接続を確認します。必要に応じて、障害の発生したネットワーク インターフェイスを交換します。

103004

エラー メッセージ %PIX|ASA-1-103004: (Primary) Other firewall reports this firewall failed.

説明 これはフェールオーバー メッセージです。このメッセージは、プライマリ装置に障害が発生していることを示すメッセージをプライマリ装置がセカンダリ装置から受信すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 プライマリ装置のステータスを確認します。

103005

エラー メッセージ %PIX|ASA-1-103005: (Primary) Other firewall reporting failure.

説明 これはフェールオーバー メッセージです。このメッセージは、セカンダリ装置がプライマリ装置に障害を報告すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 セカンダリ装置のステータスを確認します。

103006

エラー メッセージ %PIX|ASA-1-103006: (Primary|Secondary) Mate version ver_num is not compatible with ours ver_num

説明 このメッセージは、ピア装置で実行されているバージョンがローカル装置と異なり、かつ HA Hitless Upgrade 機能と互換性がないことを PIX ファイアウォールが検出した場合に表示されます。

ver_num :バージョン番号。

推奨処置 両方のファイアウォール装置に、同じバージョンまたは互換性のあるバージョンのイメージをインストールします。

103007

エラー メッセージ %PIX|ASA-1-103007: (Primary|Secondary) Mate version ver_num is not identical with ours ver_num

説明 このメッセージは、ピア装置で実行されているバージョンがローカル装置と異なるが、Hitless Upgrade をサポートしており、ローカル装置と互換性があることを PIX ファイアウォールが検出した場合に表示されます。イメージのバージョンが異なるために、システムのパフォーマンスが低下する恐れがあります。また、異なるバージョンを長期間実行すると、安定性の問題が発生する可能性があります。

ver_num :バージョン番号。

推奨処置 できるだけ早く、両方の装置に同じバージョンのイメージをインストールします。

104001, 104002

エラー メッセージ %PIX|ASA-1-104001: (Primary) Switching to ACTIVE (cause: string ). エラー メッセージ %PIX|ASA-1-104002: (Primary) Switching to STNDBY (cause: string ).

説明 この例は、両方ともフェールオーバー メッセージです。これらのメッセージは通常、スタンバイ装置で failover active コマンドを入力するか、またはアクティブ装置で no failover active コマンドを入力することによって強制的にペアの役割を切り替えると記録されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。string 変数の値は次のとおりです。

state check

bad/incomplete config

ifc [interface] check, mate is healthier

the other side wants me to standby

in failed state, cannot be active

switch to failed state

推奨処置 手作業による介入が原因でメッセージが表示される場合は、処置は不要です。それ以外の場合は、セカンダリ装置から報告された原因を使用して、ペアの装置両方のステータスを確認します。

104003

エラー メッセージ %PIX|ASA-1-104003: (Primary) Switching to FAILED.

説明 これはフェールオーバー メッセージです。このメッセージは、プライマリ装置に障害が発生すると表示されます。

推奨処置 プライマリ装置のシステム ログ メッセージを確認して、問題の性質を示す表示がないか調べます(メッセージ 104001 を参照)。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

104004

エラー メッセージ %PIX|ASA-1-104004: (Primary) Switching to OK.

説明 これはフェールオーバー メッセージです。このメッセージは、前に障害になった装置が現在は再び動作していると報告すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 不要です。

105001

エラー メッセージ %PIX|ASA-1-105001: (Primary) Disabling failover.

説明 これはフェールオーバー メッセージです。このメッセージは、コンソールで no failover コマンドを入力すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 不要です。

105002

エラー メッセージ %PIX|ASA-1-105002: (Primary) Enabling failover.

説明 これはフェールオーバー メッセージです。このメッセージは、これまでフェールオーバーをディセーブルにしていたコンソールで引数をとらずに failover コマンドを入力すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 不要です。

105003

エラー メッセージ %PIX|ASA-1-105003: (Primary) Monitoring on interface interface_name waiting

説明 これはフェールオーバー メッセージです。セキュリティ アプライアンスが指摘されたネットワーク インターフェイス(フェールオーバー ペアの相手装置とのインターフェイス)をテストしています。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 不要です。セキュリティ アプライアンスは、正常動作中に自分のネットワーク インターフェイスを頻繁に監視します。

105004

エラー メッセージ %PIX|ASA-1-105004: (Primary) Monitoring on interface interface_name normal

説明 これはフェールオーバー メッセージです。指摘されたネットワーク インターフェイスのテストが成功しました。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 不要です。

105005

エラー メッセージ %PIX|ASA-1-105005: (Primary) Lost Failover communications with mate on interface interface_name.

説明 これはフェールオーバー メッセージです。このメッセージは、フェールオーバー ペアのこの装置がペアの相手装置と通信できなくなると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 指摘されたインターフェイスに接続されているネットワークが正しく機能していることを確認します。

105006, 105007

エラー メッセージ %PIX|ASA-1-105006: (Primary) Link status ‘Up' on interface interface_name. エラー メッセージ %PIX|ASA-1-105007: (Primary) Link status ‘Down' on interface interface_name.

説明 この例は、両方ともフェールオーバー メッセージです。これらのメッセージは、指摘されたインターフェイスのリンク ステータスの監視結果を報告します。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 リンク ステータスがダウンである場合は、指摘されたインターフェイスに接続されているネットワークが正しく動作していることを確認します。

105008

エラー メッセージ %PIX|ASA-1-105008: (Primary) Testing interface interface_name.

説明 これはフェールオーバー メッセージです。このメッセージは、指摘されたネットワーク インターフェイスをテストすると表示されます。このテストは、想定された間隔後にセキュリティ アプライアンスがそのインターフェイス上でスタンバイ装置からメッセージを受け取ることができなかった場合に限って実行されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 不要です。

105009

エラー メッセージ %PIX|ASA-1-105009: (Primary) Testing on interface interface_name {Passed|Failed}.

説明 これはフェールオーバー メッセージです。このメッセージは、前のインターフェイス テストの結果(Passed または Failed)を報告します。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 結果が Passed であれば不要です。結果が Failed の場合は、両方のフェールオーバー装置へのネットワーク ケーブル接続、およびネットワーク自体が正しく機能していることをチェックし、スタンバイ装置のステータスを確認します。

105010

エラー メッセージ %PIX|ASA-3-105010: (Primary) Failover message block alloc failed

説明 ブロック メモリが枯渇しています。これは一時メッセージで、セキュリティ アプライアンスは回復する必要があります。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 show blocks コマンドを使用して、現在のブロック メモリを監視します。

105011

エラー メッセージ %PIX|ASA-1-105011: (Primary) Failover cable communication failure

説明 フェールオーバー ケーブルがプライマリ装置とセカンダリ装置間の通信を許可していません。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 ケーブルが正しく接続されていることを確認します。

105020

エラー メッセージ %PIX|ASA-1-105020: (Primary) Incomplete/slow config replication

説明 フェールオーバーが発生すると、アクティブなセキュリティ アプライアンスはメモリ内の不完全なコンフィギュレーションを検出します。通常、これは複製サービスの中断が原因となっています。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 セキュリティ アプライアンスによってフェールオーバーが検出されると、セキュリティ アプライアンスは自分自身を自動的にリロードして、フラッシュ メモリからコンフィギュレーションを自動的にリロードするか、または別のセキュリティ アプライアンスと再同期化します(両方行うこともあります)。フェールオーバーが引き続き発生する場合は、フェールオーバー コンフィギュレーションを調べて、両方のセキュリティ アプライアンス装置が互いに通信できることを確認します。

105021

エラー メッセージ %PIX|ASA-1-105021: ( failover_unit ) Standby unit failed to sync due to a locked context_name config. Lock held by lock_owner_name

説明 コンフィギュレーションの同期化中に、他のプロセスが 5 分以上コンフィギュレーションをロックして、フェールオーバー プロセスが新しいコンフィギュレーションを適用するのを妨げている場合、スタンバイ装置は自分自身をリロードします。これは、コンフィギュレーション同期化の進行中に、管理者がスタンバイ装置で実行コンフィギュレーションに目を通している場合に発生することがあります。 show running-config EXEC コマンドおよび pager lines num CONFIG コマンドも参照してください。

推奨処置 コンフィギュレーションが最初に起動し、アクティブ装置とのフェールオーバー接続を確立している間は、スタンバイ装置でコンフィギュレーションを表示または修正しないでください。

105031

エラー メッセージ %PIX|ASA-1-105031: Failover LAN interface is up

説明 LAN フェールオーバー インターフェイス リンクがアップしています。

推奨処置 不要です。

105032

エラー メッセージ %PIX|ASA-1-105032: LAN Failover interface is down

説明 LAN フェールオーバー インターフェイス リンクがダウンしています。

推奨処置 LAN フェールオーバー インターフェイスの接続を確認します。速度/二重通信の設定が正しいことを確認します。

105034

エラー メッセージ %PIX|ASA-1-105034: Receive a LAN_FAILOVER_UP message from peer.

説明 ピアがブートされて、初期コンタクト メッセージが送信されました。

推奨処置 不要です。

105035

エラー メッセージ %PIX|ASA-1-105035: Receive a LAN failover interface down msg from peer.

説明 ピア LAN フェールオーバー インターフェイス リンクがダウンしています。装置がスタンバイ モードになっている場合、アクティブ モードに切り替わります。

推奨処置 ピア LAN フェールオーバー インターフェイスの接続を確認します。

105036

エラー メッセージ %PIX|ASA-1-105036: dropped a LAN Failover command message.

説明 セキュリティ アプライアンスは無応答の LAN フェールオーバー コマンド メッセージを廃棄しました。これは LAN フェールオーバー インターフェイスの接続障害を示します。

推奨処置 LAN インターフェイス ケーブルが接続されていることを確認します。

105037

エラー メッセージ %PIX|ASA-1-105037: The primary and standby units are switching back and forth as the active unit.

説明 プライマリ装置およびスタンバイ装置がアクティブ装置として交互に切り替わっています。これは、LAN フェールオーバー接続障害またはソフトウェアのバグを示します。

推奨処置 LAN インターフェイス ケーブルが接続されていることを確認します。

105038

エラー メッセージ %PIX|ASA-1-105038: (Primary) Interface count mismatch

説明 フェールオーバーが発生すると、アクティブなセキュリティ アプライアンスはメモリ内の不完全なコンフィギュレーションを検出します。通常、これは複製サービスの中断が原因となっています。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 セキュリティ アプライアンスによってフェールオーバーが検出されると、セキュリティ アプライアンスは自分自身を自動的にリロードして、フラッシュ メモリからコンフィギュレーションを自動的にリロードするか、または別のセキュリティ アプライアンスと再同期化します(両方行うこともあります)。フェールオーバーが引き続き発生する場合は、フェールオーバー コンフィギュレーションを調べて、両方のセキュリティ アプライアンス装置が互いに通信できることを確認します。

105039

エラー メッセージ %PIX|ASA-1-105039: (Primary) Unable to verify the Interface count with mate. Failover may be disabled in mate.

説明 フェールオーバーは最初にプライマリおよびセカンダリのセキュリティ アプライアンスで設定されているインターフェイスの数が同じであることを確認します。このメッセージは、セカンダリ セキュリティ アプライアンスで設定されているインターフェイスの数をプライマリ セキュリティ アプライアンスが確認できないことを示します。このメッセージは、プライマリ セキュリティ アプライアンスがフェールオーバー インターフェイス経由でセカンダリ セキュリティ アプライアンスと通信できないことを示します。(Primary) は、セカンダリ セキュリティ アプライアンスの場合は (Secondary) と示されることもあります。

推奨処置 プライマリおよびセカンダリのセキュリティ アプライアンスでフェールオーバー LAN、インターフェイス コンフィギュレーション、およびステータスを確認します。セカンダリ セキュリティ アプライアンスがセキュリティ アプライアンス アプリケーションを実行しており、フェールオーバーがイネーブルになっていることを確認します。

105040

エラー メッセージ %PIX|ASA-1-105040: (Primary) Mate failover version is not compatible.

説明 プライマリおよびセカンダリのセキュリティ アプライアンスは、フェールオーバー ペアとして動作するために同じフェールオーバー ソフトウェアのバージョンを実行する必要があります。このメッセージは、セカンダリ セキュリティ アプライアンス フェールオーバー ソフトウェアのバージョンがプライマリ セキュリティ アプライアンスと互換性がないことを示します。フェールオーバーがプライマリ セキュリティ アプライアンスでディセーブルになっています。(Primary) は、セカンダリ セキュリティ アプライアンスの場合は (Secondary) と示されることもあります。

推奨処置 フェールオーバーをイネーブルにするために、プライマリおよびセカンダリのセキュリティ アプライアンス間で一致したソフトウェア バージョンを使用します。

105042

エラー メッセージ %PIX|ASA-1-105042: (Primary) Failover interface OK

説明 LAN フェールオーバー インターフェイス リンクがアップしています。

説明 セカンダリ セキュリティ アプライアンスにフェールオーバー メッセージを送信するために使用されるインターフェイスが機能しています。(Primary) は、セカンダリ セキュリティ アプライアンスの場合は (Secondary) と示されることもあります。

推奨処置 不要です。

105043

エラー メッセージ %PIX|ASA-1-105043: (Primary) Failover interface failed

説明 LAN フェールオーバー インターフェイス リンクがダウンしています。

推奨処置 LAN フェールオーバー インターフェイスの接続を確認します。速度/二重通信の設定が正しいことを確認します。

105044

エラー メッセージ %PIX|ASA-1-105044: (Primary) Mate operational mode mode is not compatible with my mode mode.

説明 動作モード(シングルまたはマルチ)がフェールオーバー ピア間で一致しない場合、フェールオーバーはディセーブルになります。

推奨処置 同じ動作モードになるようにフェールオーバー ピアを設定してから、フェールオーバーを再度イネーブルにします。

105045

エラー メッセージ %PIX|ASA-1-105045: (Primary) Mate license (number contexts) is not compatible with my license (number contexts).

説明 フィーチャ ライセンスがフェールオーバー ピア間で一致しない場合、フェールオーバーはディセーブルになります。

推奨処置 同じフィーチャ ライセンスを持つようにフェールオーバー ピアを設定してから、フェールオーバーを再度イネーブルにします。

105046

エラー メッセージ %PIX|ASA-1-105046 (Primary|Secondary) Mate has a different chassis

説明 このメッセージは、2 つのフェールオーバー装置が異なるタイプのシャーシを持つ場合に発行されます。たとえば、一方が PIX で、もう一方が ASA-5520 の場合、あるいは一方が 3 スロットのシャーシを持ち、もう一方が 6 スロットのシャーシを持つ場合です。

推奨処置 2 つのフェールオーバー装置が同じであることを確認します。

105047

エラー メッセージ %PIX|ASA-1-105047: Mate has a io_card_name1 card in slot slot_number which is different from my io_card_name2

説明 2 つのフェールオーバー装置は、対応するスロットに異なるタイプのカードが実装されています。

推奨処置 フェールオーバー装置のカード コンフィギュレーションが同じであることを確認します。

105048

エラー メッセージ %ASA-1-105048: ( unit ) Mate's service module ( application ) is different from mine ( application )

説明 アクティブ装置とスタンバイ装置のサービス モジュールで異なるアプリケーションが動作していることをフェールオーバー プロセスが検出しました。異なるサービス モジュールが使用されている場合、2 つのフェールオーバー装置は互換性がありません。

unit :Primary(プライマリ)または Secondary(セカンダリ)。

application :アプリケーションの名前。たとえば、InterScan Security Card。

推奨処置 フェールオーバーを再度イネーブルにする前に、両方の装置が同じサービス モジュールを装備していることを確認します。

106001

エラー メッセージ %PIX|ASA-2-106001: Inbound TCP connection denied from IP_address /port to IP_address /port flags tcp_flags on interface interface_name

説明 これは接続関連のメッセージです。このメッセージは、内部アドレスに接続しようとしたが、セキュリティ ポリシーによって拒否された場合に表示されます。表示される tcp_flags 値は、接続が拒否されたときに存在していた TCP ヘッダーのフラグに対応します。たとえば、セキュリティ アプライアンスに接続状態が存在しない TCP パケットが到着し、それが廃棄された場合です。このパケットの tcp_flags は FIN および ACK です。

tcp_flags を次に示します。

ACK:肯定応答番号が受信されました。

FIN:データが送信されました。

PSH:受信者がデータをアプリケーションに渡しました。

RST:接続がリセットされました。

SYN:シーケンス番号が接続を開始するために同期化されました。

URG:緊急ポインタが有効であると宣言されました。

推奨処置 不要です。

106002

エラー メッセージ %PIX|ASA-2-106002: protocol Connection denied by outbound list acl_ID src inside_address dest outside_address

説明 これは接続関連のメッセージです。このメッセージは、 outbound deny コマンドが原因で、指摘された接続が失敗した場合に表示されます。 protocol 変数は ICMP、TCP、または UDP になります。

推奨処置 show outbound コマンドを使用して、発信リストを確認します。

106006

エラー メッセージ %PIX|ASA-2-106006: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port on interface interface_name.

説明 これは接続関連のメッセージです。このメッセージは、着信 UDP パケットがセキュリティ ポリシーによって拒否された場合に表示されます。

推奨処置 不要です。

106007

エラー メッセージ %PIX|ASA-2-106007: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port due to DNS {Response|Query}.

説明 これは接続関連のメッセージです。このメッセージは、DNS クエリーまたは応答を含んでいる UDP パケットが拒否された場合に表示されます。

推奨処置 内部ポート番号が 53 の場合、内部ホストはキャッシング ネーム サーバとして設定されていると考えられます。 access-list コマンド文を追加して、UDP ポート 53 のトラフィックおよび内部ホストの変換エントリを許可します。外部ポート番号が 53 の場合、DNS サーバの応答が遅かったため、クエリーには別のサーバが応答したと考えられます。

106010

エラー メッセージ %PIX|ASA-3-106010: Deny inbound protocol src interface_name : dest_address / dest_port dst interface_name : source_address / source_port

説明 これは接続関連のメッセージです。このメッセージは、着信接続がセキュリティ ポリシーによって拒否された場合に表示されます。

推奨処置 トラフィックを許可する必要がある場合は、セキュリティ ポリシーを修正します。このメッセージが繰り返し表示される場合は、リモート ピアの管理者にお問い合せください。

106011

エラー メッセージ %PIX|ASA-3-106011: Deny inbound (No xlate) string

説明 このメッセージは、Web ブラウザ経由でインターネットにアクセスしている内部ユーザがいる場合、通常のトラフィック条件で表示されます。接続がリセットされた場合は常に、セキュリティ アプライアンスがリセットを受信した後に、その接続の端にあるホストがパケットを送信すると、このメッセージが表示されます。これは通常、無視してかまいません。

推奨処置 no logging message 106011 コマンドを入力して、このシステム ログ メッセージが syslog サーバに記録されないようにします。

106012

エラー メッセージ %PIX|ASA-6-106012: Deny IP from IP_address to IP_address , IP options hex.

説明 これはパケット整合性チェック メッセージです。IP パケットが IP オプションと共に表示されました。IP オプションはセキュリティ リスクと見なされるので、パケットは廃棄されました。

推奨処置 リモート ホスト システムの管理者に問い合せて、問題を判別します。ローカル サイトを確認して、あいまいなソース ルーティングや厳密なソース ルーティングがないかどうかを調べます。

106013

エラー メッセージ %PIX|ASA-2-106013: Dropping echo request from IP_address to PAT address IP_address

説明 セキュリティ アプライアンスは、PAT グローバル アドレスに対応する宛先アドレスを持つ着信 ICMP エコー要求パケットを廃棄しました。着信パケットは、そのパケットを受信するべき PAT ホストを指定できないので廃棄されます。

推奨処置 不要です。

106014

エラー メッセージ %PIX|ASA-3-106014: Deny inbound icmp src interface_name: IP_address dst interface_name: IP_address (type dec, code dec)

説明 セキュリティ アプライアンスは、すべての着信 ICMP パケット アクセスを拒否しました。デフォルトで、ICMP パケットはすべて、特に許可されている場合を除き、拒否されます。

推奨処置 不要です。

106015

エラー メッセージ %PIX|ASA-6-106015: Deny TCP (no connection) from IP_address /port to IP_address /port flags tcp_flags on interface interface_name.

説明 セキュリティ アプライアンスは、関連付けられている接続がセキュリティ アプライアンス接続テーブルにない TCP パケットを廃棄しました。セキュリティ アプライアンスは、新しい接続の確立要求を示す SYN フラグをパケットで探します。その SYN フラグが設定されておらず、既存の接続もない場合、セキュリティ アプライアンスはそのパケットを廃棄します。

推奨処置 セキュリティ アプライアンスがこれらの無効な TCP パケットを大量に受信する場合を除き、不要です。大量に受信する場合は、パケットを送信元までトレースして、これらのパケットが送信された原因を判別します。

106016

エラー メッセージ %PIX|ASA-2-106016: Deny IP spoof from ( IP_address ) to IP_address on interface interface_name.

説明 セキュリティ アプライアンスは、無効な送信元アドレス(たとえば、次に示すアドレスなどの無効アドレス)を持つパケットを廃棄しました。

ループバック ネットワーク(127.0.0.0)

ブロードキャスト(limited、net-directed、subnet-directed、および all-subnets-directed)

宛先ホスト(land.c)

スプーフィング パケット検出をさらに強化するために、 access-list コマンドを使用して、内部ネットワークに属する送信元アドレスを持つパケットを廃棄するようにセキュリティ アプライアンスを設定します。現在は icmp コマンドが実装されるようになったので、 access-list コマンドは推奨しません。このコマンドが正しく動作することは保証されていません。

推奨処置 外部ユーザが保護されているネットワークを危険にさらそうとしていないかどうかを判別します。誤って設定したクライアントがないかどうかを確認します。

106017

エラー メッセージ %PIX|ASA-2-106017: Deny IP due to Land Attack from IP_address to IP_address

説明 IP 送信元アドレスと IP 宛先が同一で、かつ宛先ポートと送信元ポートが同一のパケットをセキュリティ アプライアンスが受信しました。このメッセージは、システムの攻撃を目的としてスプーフィングされたパケットを示します。この攻撃は、Land 攻撃と呼ばれます。

推奨処置 このメッセージが引き続き表示される場合は、攻撃が進行中である可能性があります。パケットは、攻撃の起点を決定するのに十分な情報を提供しません。

106018

エラー メッセージ %PIX|ASA-2-106018: ICMP packet type ICMP_type denied by outbound list acl_ID src inside_address dest outside_address

説明 ローカル ホスト(inside_address)から外部ホスト(outside_address)への発信 ICMP パケット(指摘された ICMP のパケット)が発信 ACL リストによって拒否されました。

推奨処置 不要です。

106020

エラー メッセージ %PIX|ASA-2-106020: Deny IP teardrop fragment (size = number, offset = number) from IP_address to IP_address

説明 セキュリティ アプライアンスが、小さなオフセットまたはフラグメントの重複が含まれる teardrop シグニチャを持つ IP パケットを廃棄しました。これは、セキュリティ アプライアンスまたは侵入検知システム(IDS)を欺く敵対イベントです。

推奨処置 リモート ピアの管理者に問い合せるか、またはこの問題をセキュリティ ポリシーに従って解決を依頼します。

106021

エラー メッセージ %PIX|ASA-1-106021: Deny protocol reverse path check from source_address to dest_address on interface interface_name

説明 攻撃が進行中です。着信接続で IP アドレスをスプーフィングしようとする試みが行われています。逆ルート ルックアップとも呼ばれる Unicast RPF は、ルートによって表される送信元アドレスを持たないパケットを検出し、そのパケットをセキュリティ アプライアンスへの攻撃の一部であると想定します。

このメッセージは、ip verify reverse-path コマンドで Unicast RPF をイネーブルにしている場合に表示されます。この機能は、インターフェイスに入力されるパケットについて動作します。外側で設定されている場合、セキュリティ アプライアンスは、外部から到達するパケットを確認します。

セキュリティ アプライアンスは、source_address に基づいてルートを検索します。エントリが検出されず、ルートが定義されない場合は、システム ログ メッセージが表示され、接続は廃棄されます。

ルートがある場合、セキュリティ アプライアンスは対応するインターフェイスを確認します。パケットが別のインターフェイスに到着した場合、これはスプーフィングであるか、または宛先まで複数のパスがある非対象なルーティング環境です。セキュリティ アプライアンスは、非対称ルーティングはサポートしていません。

セキュリティ アプライアンスが内部インターフェイスで設定されている場合は静的 route コマンド文または RIP をチェックし、source_address が見つからない場合は、内部ユーザがアドレスをスプーフィングしています。

推奨処置 攻撃が進行中であっても、この機能がイネーブルになっていれば、ユーザによる処置は不要です。セキュリティ アプライアンスは攻撃を撃退します。

106022

エラー メッセージ %PIX|ASA-1-106022: Deny protocol connection spoof from source_address to dest_address on interface interface_name

説明 接続と一致するパケットが、その接続をそこで開始したインターフェイスとは異なるインターフェイスに到着します。

たとえば、ユーザが内部インターフェイスで接続を開始したが、セキュリティ アプライアンスが境界インターフェイスに到着する同じ接続を検出する場合、セキュリティ アプライアンスは宛先へのパスを複数持っていることになります。これは非対称ルーティングと呼ばれ、セキュリティ アプライアンスではサポートされていません。

攻撃者は、セキュリティ アプライアンスに侵入する方法として、1 つの接続から別の接続にパケットを付加しようと試みることもあります。どちらの場合も、セキュリティ アプライアンスはこのメッセージを表示して、接続を廃棄します。

推奨処置 このメッセージは、ip verify reverse-path コマンドが設定されていない場合に表示されます。ルーティングが非対称でないことを確認します。

106023

エラー メッセージ %PIX|ASA-4-106023: Deny protocol src [ interface_name : source_address/source_port ] dst interface_name : dest_address/dest_port [type { string }, code { code }] by access_group acl_ID

説明 IP パケットが ACL によって拒否されました。このメッセージは、たとえ ACL に対して log オプションがイネーブルになっていない場合でも表示されます。

推奨処置 同じ送信元アドレスからのメッセージが引き続き表示される場合は、フットプリンティングまたはポート スキャンが行われようとしていることをメッセージが示している可能性もあります。ホストの管理者にお問い合せください。

106024

エラー メッセージ %PIX|ASA-2-106024: Access rules memory exhausted

説明 アクセス リストのコンパイル プロセスで、メモリが不足しています。最後の正常なアクセス リスト以降に追加されたコンフィギュレーション情報はすべて、システムから削除されました。最新のコンパイル済みアクセス リストのセットが引き続き使用されます。

推奨処置 Access Lists、AAA、ICMP、SSH、Telnet、および他の規則タイプは、アクセス リストの規則タイプとして格納され、コンパイルされます。これらの規則タイプの一部を削除して、他の規則タイプを追加できるようにします。

106025, 106026

エラー メッセージ %PIX|ASA-6-106025: Failed to determine the security context for the packet:sourceVlan:source_address dest_address source_port dest_port protocol エラー メッセージ %PIX|ASA-6-106026: Failed to determine the security context for the packet:sourceVlan:source_address dest_address source_port dest_port protocol

説明 マルチコンテキスト モードのパケットのセキュリティ コンテキストを判定できません。どちらのメッセージも、ルータまたは透過モードで廃棄される IP パケットに対して生成されることがあります。

推奨処置 不要です。

106027

エラー メッセージ %PIX|ASA-4-106027:Failed to determine the security context for the packet:vlansource Vlan#:ethertype src sourceMAC dst destMAC

説明 マルチコンテキスト モードのパケットのセキュリティ コンテキストを判定できません。このメッセージは、透過モードで廃棄される非 IP パケットに対してのみ生成されます。

推奨処置 不要です。

106100

エラー メッセージ %PIX|ASA-4-106100: access-list acl_ID {permitted | denied | est-allowed} protocol interface_name / source_address ( source_port ) -> interface_name / dest_address ( dest_port ) hit-cnt number ({first hit | number -second interval})

説明 access-list コマンドに log オプションを設定した場合、パケットが ACL 文と一致しました。メッセージ レベルは、 access-list コマンドに設定されているレベルによって決まります(デフォルトでは、レベルは 6 です)。このメッセージは、最初の出現か、またはある期間の合計出現数を示します。このメッセージは、拒否されたパケットのみを記録して、ヒット数も設定可能なレベルも含まないメッセージ 106023 よりも多くの情報を提供します。メッセージの値は次のとおりです。

permitted | denied | est-allowed:これらの値は、パケットが ACL によって許可されたか拒否されたかを指摘します。値が est-allowed の場合、パケットは ACL によって拒否されましたが、すでに確立されているセッションで許可されました(たとえば、内部ユーザがインターネットへのアクセスを許可され、通常は ACL によって拒否される応答パケットが許可されます)。

protocol TCP UDP ICMP 、または IP プロトコル番号。

interface_name :ログ フローの送信元または宛先のインターフェイス名。VLAN インターフェイスがサポートされています。

source_address :ログ フローの送信元 IP アドレス。

dest_address :ログ フローの宛先 IP アドレス。

source_port :ログ フローの送信元ポート(TCP または UDP)。ICMP の場合、このフィールドは 0 です。

dest_port :ログ フローの宛先ポート(TCP または UDP)。ICMP の場合、このフィールドは icmp-type です。

hit-cnt number :設定した期間に、このフローが ACL エントリによって許可または拒否された回数。セキュリティ アプライアンスが最初のシステム ログ メッセージをこのフローに対して生成するときの値は 1 です。

first hit:このフローに対して生成された最初のメッセージ。

number -second interval:ヒット数を累算する対象期間。この期間は、 access-list コマンドで interval オプションを使用して設定します。

推奨処置 不要です。

106101

エラー メッセージ %PIX|ASA-1-106101 The number of ACL log deny-flows has reached limit ( number ).

説明 ACL deny 文( access-list id deny コマンド)に log オプションを設定してあり、トラフィック フローが ACL 文と一致する場合、セキュリティ アプライアンスはフロー情報をキャッシュします。このメッセージは、セキュリティ アプライアンスでキャッシュされる一致フローの数がユーザが設定した制限( access-list deny-flow-max コマンドを使用)を超えたことを示します。

number 値は、 access-list deny-flow-max コマンドを使用して設定された制限です。

推奨処置 不要です。このメッセージは、DoS 攻撃の結果生成される可能性があります。

107001

エラー メッセージ %PIX|ASA-1-107001: RIP auth failed from IP_address : version=number, type=string, mode=string, sequence=number on interface interface_name

説明 これはアラート ログ メッセージです。セキュリティ アプライアンスは不正な認証を持つ RIP 応答メッセージを受信しました。このメッセージは、ルータまたはセキュリティ アプライアンスの設定の誤り、またはセキュリティ アプライアンスのルーティング テーブルへの攻撃の失敗が原因となることもあります。

推奨処置 このメッセージは攻撃の可能性を示しているため、監視する必要があります。このメッセージに示されている送信元 IP アドレスを熟知していない場合は、信頼できるエンティティ間で RIP 認証キーを交換します。攻撃者が既存のキーを判別しようと試みている可能性もあります。

107002

エラー メッセージ %PIX|ASA-1-107002: RIP pkt failed from IP_address : version=number on interface interface_name

説明 これはアラート ログ メッセージです。このメッセージは、ルータのバグ、非 RFC 値を内部に持つパケット、または形式が誤っているエントリが原因で表示される可能性があります。これは発生してはならないもので、セキュリティ アプライアンスのルーティング テーブルを利用しようとする試みの可能性もあります。

推奨処置 このメッセージは攻撃の可能性を示しているため、監視する必要があります。パケットは認証を渡しましたが(イネーブルの場合)、不良データがパケット内にあります。パケットの発信者について疑わしい点があれば、状況を監視してキーを変更します。

107003

エラー メッセージ %PIX-3-107003: RIP: Attempted reference of stale data encountered in function , line: line_num

説明 このシステム ログ メッセージは、RIP が動作中で、他の場所で削除された一部の関連データ構造を参照しようとする場合に生成されます。インターフェイスおよびルータのコンフィギュレーションを消去すると、問題が修正される可能性があります。しかし、このシステム ログ メッセージが表示される場合は、シーケンスの一部のステップによってデータ構造の早期削除が生じているので、調査する必要があることを示します。

function :予期しないイベントを受信した機能。

line_num :コード中の行番号。

推奨処置 エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

108002

エラー メッセージ %PIX|ASA-2-108002: SMTP replaced string: out source_address in inside_address data: string

説明 これは、inspect esmtp コマンドによって生成された Mail Guard(SMTP)メッセージです。このメッセージは、セキュリティ アプライアンスが電子メール アドレスの無効な文字をスペースで置き換えた場合に表示されます。

推奨処置 不要です。

108003

エラー メッセージ %PIX|ASA-2-108003: Terminating ESMTP/SMTP connection; malicious pattern detected in the mail address from source_interface:source_address/source_port to dest_interface:dest_address/dset_port . Data: string

説明 このメッセージは、Mail Guard(SMTP)によって生成されます。このメッセージは、セキュリティ アプライアンスが電子メール アドレスに悪意あるパターンを検出して、接続を廃棄する場合に表示されます。これは、攻撃が進行中であることを示します。

推奨処置 不要です。

108004

エラー メッセージ %PIX|ASA-4-108004: action_class: action ESMTP req_resp from src_ifc:sip | sport to dest_ifc:dip | dport;further_info

説明 このイベントは、ESMTP メッセージに対して ESMTP 分類が実施され、指定の基準が満たされた場合に生成されます。設定済みのアクションが実行されます。

action_class :アクションのクラス。ESMTP の match コマンドの場合は「ESMTP Classification」、パラメータ コマンドの場合は「ESMTP Parameter」。

action :実行されるアクション。「Dropped」、「Dropped connection for」、「Reset connection for」、または「Masked header flags for」。

req_resp :「Request」または「Response」。

src_ifc :送信元インターフェイス名。

sip|sport :送信元 IP アドレスまたは送信元ポート。

dest_ifc :宛先インターフェイス名。

dip|dport :宛先 IP アドレスまたは宛先ポート。

further info :次のいずれか。

1 つの match コマンドの場合:matched Class id : match_command (たとえば、matched Class 1234: match body length 100)。

パラメータ コマンドの場合: parameter-command : descriptive-message (たとえば、mail-relay: No Mail Relay allowed)。

推奨処置 不要です。

108005

エラー メッセージ %PIX|ASA-6-108005: action_class: Received ESMTP req_resp from src_ifc:sip | sport to dest_ifc:dip | dport;further_info

説明 このイベントは、ESMTP メッセージに対して ESMTP 分類が実施され、指定の基準が満たされた場合に生成されます。スタンドアロンのログ アクションが実行されます。

action_class :アクションのクラス。ESMTP の match コマンドの場合は「ESMTP Classification」、パラメータ コマンドの場合は「ESMTP Parameter」。

req_resp :「Request」または「Response」。

src_ifc :送信元インターフェイス名。

sip|sport :送信元 IP アドレスまたは送信元ポート。

dest_ifc :宛先インターフェイス名。

dip|dport :宛先 IP アドレスまたは宛先ポート。

further info :次のいずれか。

1 つの match コマンドの場合:matched Class id : match_command (たとえば、matched Class 1234: match body length 100)。

パラメータ コマンド(パラメータ セクションのコマンド)の場合: parameter-command : descriptive-message (たとえば、mail-relay: No Mail Relay allowed)。

推奨処置 不要です。

108006

エラー メッセージ %PIX|ASA-7-108006: Detected ESMTP size violation from src_ifc:sip | sport to dest_ifc:dip | dport; declared size is: decl_size, actual size is act_size.

説明 このイベントは、ESMTP メッセージのサイズが RCPT コマンドで宣言されたサイズを超えている場合に生成されます。

src_ifc :送信元インターフェイス名。

sip|sport :送信元 IP アドレスまたは送信元ポート。

dest_ifc :宛先インターフェイス名。

dip|dport :宛先 IP アドレスまたは宛先ポート。

decl_size :宣言されたサイズ。

act_size :実際のサイズ。

推奨処置 不要です。

109001

エラー メッセージ %PIX|ASA-6-109001: Auth start for user user from inside_address/ inside_port to outside_address/ outside_port

説明 これは、認証、認可、アカウンティング(AAA)メッセージです。このメッセージは、セキュリティ アプライアンスが AAA に設定されており、指摘されたユーザによる認証要求を検出した場合に表示されます。

推奨処置 不要です。

109002

エラー メッセージ %PIX|ASA-6-109002: Auth from inside_address/inside_port to outside_address/outside_port failed (server IP_address failed) on interface interface_name.

説明 これは AAA メッセージです。このメッセージは、指摘された認証サーバにモジュールがアクセスできないために認証要求が失敗した場合に表示されます。

推奨処置 指摘された認証サーバ上で認証デーモンが動作していることを確認します。

109003

エラー メッセージ %PIX|ASA-6-109003: Auth from inside_address to outside_address/outside_port failed (all servers failed) on interface interface_name, >, so marking all servers ACTIVE again.

説明 これは AAA メッセージです。このメッセージは、認証サーバを見つけることができなかった場合に表示されます。

推奨処置 セキュリティ アプライアンスから認証サーバに対して ping を実行します。デーモンが動作していることを確認します。

109005

エラー メッセージ %PIX|ASA-6-109005: Authentication succeeded for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.

説明 これは AAA メッセージです。このメッセージは、指摘された認証要求が成功すると表示されます。

推奨処置 不要です。

109006

エラー メッセージ %PIX|ASA-6-109006: Authentication failed for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.

説明 これは AAA メッセージです。このメッセージは、おそらくパスワードが誤っているために、指摘された認証要求が失敗した場合に表示されます。

推奨処置 不要です。

109007

エラー メッセージ %PIX|ASA-6-109007: Authorization permitted for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.

説明 これは AAA メッセージです。このメッセージは、指摘された認可要求が成功すると表示されます。

推奨処置 不要です。

109008

エラー メッセージ %PIX|ASA-6-109008: Authorization denied for user user from outside_address/outside_port to inside_address/ inside_port on interface interface_name.

説明 これは AAA メッセージです。このメッセージは、おそらくパスワードが誤っているために、指摘されたアドレスへのアクセスをユーザが許可されなかった場合に表示されます。

推奨処置 不要です。

109010

エラー メッセージ %PIX|ASA-3-109010: Auth from inside_address/inside_port to outside_address/outside_port failed (too many pending auths) on interface interface_name.

説明 これは AAA メッセージです。このメッセージは、サーバで多くの要求が保留中であるために、認証要求が処理できなかった場合に表示されます。

推奨処置 認証サーバが遅すぎるために認証要求に応答できないのかどうかを確認します。Flood Defender 機能を floodguard enable コマンドでイネーブルにします。

109011

エラー メッセージ %PIX|ASA-2-109011: Authen Session Start: user ' user ', sid number

説明 認証セッションがホストとセキュリティ アプライアンスの間で開始されましたが、まだ完了していません。

推奨処置 不要です。

109012

エラー メッセージ %PIX|ASA-5-109012: Authen Session End: user 'user', sid number, elapsed number seconds

説明 認証キャッシュがタイムアウトになっています。ユーザは、次の接続で再認証が必要になります。timeout uauth コマンドを使用して、このタイマーのタイムアウト時間を変更できます。

推奨処置 不要です。

109013

エラー メッセージ %PIX|ASA-3-109013: User must authenticate before using this service

説明 ユーザは、サービスを使用する前に認証を受ける必要があります。

推奨処置 サービスを使用する前に FTP、Telnet、または HTTP を使用して認証します。

109014

エラー メッセージ %PIX|ASA-7-109014: uauth_lookup_net fail for uauth_in()

説明 認証の要求に、対応する認可の要求がありませんでした。

推奨処置 aaa authentication および aaa authorization コマンド文がコンフィギュレーションに含まれていることを確認します。

109016

エラー メッセージ %PIX|ASA-3-109016: Can't find authorization ACL acl_ID for user ' user '

説明 このユーザの AAA サーバで指定されているアクセス コントロール リストが、セキュリティ アプライアンスに存在しません。このエラーは、セキュリティ アプライアンスを設定する前に AAA サーバを設定した場合に発生することがあります。AAA サーバでベンダー固有のアトリビュート(VSA)が次の値のいずれかになっている可能性があります。

acl=acl_ID

shell:acl=acl_ID

ACS:CiscoSecured-Defined-ACL=acl_ID

推奨処置 セキュリティ アプライアンスに ACL を追加し、AAA サーバで指定したものと同じ名前を必ず使用します。

109017

エラー メッセージ %PIX|ASA-4-109017: User at IP_address exceeded auth proxy connection limit (max)

説明 ユーザが、ユーザ認証のプロキシ制限を超えて、プロキシに多くの接続を開きました。

推奨処置 proxy-limit proxy_limit コマンドを入力してプロキシ制限を増やすか、または未使用の接続を閉じるようユーザに要求します。引き続きエラーが表示される場合は、DoS 攻撃の可能性を示していることもあります。

109018

エラー メッセージ %PIX|ASA-3-109018: Downloaded ACL acl_ID is empty

説明 ダウンロードされた認可アクセス コントロール リストに ACE がありません。この状況は、アトリビュート文字列「ip:inacl#」のつづりの誤り、または access-list コマンドの省略が原因となっている可能性があります。

junk:junk# 1=permit tcp any any eq junk ip:inacl#1=”

推奨処置 指摘されたエラーのある ACL コンポーネントを AAA サーバ上で修正します。

109019

エラー メッセージ %PIX|ASA-3-109019: Downloaded ACL acl_ID has parsing error; ACE string

説明 ダウンロードした認可アクセス コントロール リストのアトリビュート文字列 ip:inacl#NNN= のシーケンス番号 NNN を解析中にエラーが発生しました。原因には次のものがあります。= の欠落、数字以外の文字やスペース以外の文字が「#」と「=」の間にある、および NNN が 999999999 より大きい。

ip:inacl# 1 permit tcp any any
ip:inacl# 1junk2=permit tcp any any
ip:inacl# 1000000000=permit tcp any any

推奨処置 指摘されたエラーのある ACL 要素を AAA サーバ上で修正します。

109020

エラー メッセージ %PIX|ASA-3-109020: Downloaded ACL has config error; ACE

説明 ダウンロードされた認可アクセス コントロール リストのコンポーネントの 1 つにコンフィギュレーション エラーがあります。この要素のテキスト全体は、システム ログ メッセージに含まれています。このメッセージは通常、無効な access-list コマンド文が原因となっています。

推奨処置 指摘されたエラーのある ACL コンポーネントを AAA サーバ上で修正します。

109021

エラー メッセージ %PIX|ASA-7-109021: Uauth null proxy error

説明 内部ユーザ認証エラーが発生しました。

推奨処置 不要です。ただし、このエラーが繰り返し表示される場合は、Cisco TAC にお問い合せください。

109022

エラー メッセージ %PIX|ASA-4-109022: exceeded HTTPS proxy process limit

説明 セキュリティ アプライアンスは、各 HTTPS 認証に対して 1 つの専用プロセスで認証要求を処理します。同時に動作しているプロセスの数がシステムによって課せられた制限を超えると、セキュリティ アプライアンスは認証を実行せず、このメッセージが表示されます。

推奨処置 不要です。

109023

エラー メッセージ %PIX|ASA-3-109023: User from source_address / source_port to dest_address / dest_port on interface outside_interface must authenticate before using this service.

説明 これは AAA メッセージです。このサービス ポートは、設定されたポリシーに基づいて認証を受けてから、使用する必要があります。

推奨処置 上記のサービス ポートを使用しようとするときは、事前に Telnet、FTP、または HTTP を使用して認証します。

109024

エラー メッセージ %PIX|ASA-6-109024: Authorization denied from source_address / source_port to dest_address / dest_port (not authenticated) on interface interface_name using protocol

説明 これは AAA メッセージです。このメッセージは、セキュリティ アプライアンスが AAA 用に設定され、ユーザが事前の認証なしにセキュリティ アプライアンスを通して TCP 接続を行おうとした場合に表示されます。

推奨処置 不要です。

109025

エラー メッセージ %PIX|ASA-6-109025: Authorization denied (acl= acl_ID ) for user ' user ' from source_address / source_port to dest_address / dest_port on interface interface_name using protocol

説明 アクセス コントロール リストのチェックが失敗しました。チェックは、拒否と一致したか、または暗黙的な拒否のように、何とも一致しませんでした。接続は、Cisco Secure Access Control Server(ACS)の AAA 認可ポリシーを通して定義されたユーザ アクセス コントロール リスト acl_ID によって拒否されました。

推奨処置 不要です。

109026

エラー メッセージ %PIX|ASA-3-109026: [ aaa protocol ] Invalid reply digest received; shared server key may be mismatched.

説明 AAA サーバからの応答が検証できませんでした。設定されたサーバ キーが誤っていることが考えられます。このイベントは、RADIUS サーバまたは TACACS+ サーバとのトランザクション中に生成されることがあります。

推奨処置 aaa-server コマンドを使用して設定されたサーバ キーが正しいことを確認します。

109027

エラー メッセージ %PIX|ASA-4-109027: [aaa protocol] Unable to decipher response message Server = server_ IP_address , User = user

説明 AAA サーバからの応答が検証できませんでした。設定されたサーバ キーが誤っている可能性があります。このメッセージは、RADIUS サーバまたは TACACS+ サーバとのトランザクション中に表示されることがあります。 server_IP_address は、関連する AAA サーバの IP アドレスです。 user は、接続に関連付けられているユーザ名です。

推奨処置 aaa-server コマンドを使用して設定されたサーバ キーが正しいことを確認します。

109028

エラー メッセージ %PIX|ASA-4-109028: aaa bypassed for same-security traffic from ingress_ interface:source_address/source_port to
egress_interface:dest_address/dest_port

説明 AAA が設定された AAA 規則と一致する同じセキュリティ トラフィックに対してバイパスされています。これが発生する可能性があるのは、同じ設定済みセキュリティ レベルを持つ 2 つのインターフェイス間をトラフィックが通過する場合、同じセキュリティ トラフィックが許可される場合、および AAA コンフィギュレーションが include 構文または exclude 構文を使用する場合だけです。

推奨処置 不要です。

109029

エラー メッセージ %PIX|ASA-5-109029: Parsing downloaded ACL: string

説明 ユーザ認証中に RADIUS サーバからダウンロードされたアクセス リストを解析している間に構文エラーが発生しました。

string :アクセス リストの正しい解析を妨げた構文エラーを詳述するエラー メッセージ。

推奨処置 このメッセージに提示されている情報を使用して、RADIUS サーバ コンフィギュレーション内のアクセス リスト定義にある構文エラーを特定し、訂正します。

109030

エラー メッセージ %PIX|ASA-4-109030: Autodetect ACL convert wildcard did not convert ACL access_list source | dest netmask netmask .

説明 このメッセージは、RADIUS サーバで設定されたダイナミック ACL が、ワイルドカード ネットマスクを自動的に検出するメカニズムによって変換されなかった場合に表示されます。問題は、ネットマスクがワイルドカードであるか、通常のネットマスクであるかをこのメカニズムが判別できないために発生します。

access_list :変換できなかったアクセス リスト。

source :送信元 IP アドレス。

dest :宛先 IP アドレス。

netmask :宛先アドレスまたは送信元アドレスに対する 10 進数表記のサブネット マスク。

推奨処置 RADIUS サーバのアクセス リスト ネットマスクを確認して、ワイルドカード コンフィギュレーションがないかどうかを調べます。これがワイルドカードを意味する場合、およびそのサーバのアクセス リスト ネットマスクすべてがワイルドカードである場合、AAA サーバの acl-netmask-convert wildcard 設定を使用します。それ以外の場合は、ネットマスクを通常のネットマスクまたはホールを含まないワイルドカード ネットマスクに変更します。つまり、ネットマスクは連続する 2 進数の 1 を提示します。たとえば、
00000000.00000000.00011111.11111111 または 16 進数 0.0.31.255 のようになります。マスクが通常を意味する場合、およびそのサーバのすべてのアクセス リスト ネットマスクが通常である場合、AAA サーバの acl-netmask-convert normal 設定を使用します。

109031

エラー メッセージ %PIX|ASA-4-109031: NT Domain Authentication Failed: rejecting guest login for username .

説明 このメッセージは、ユーザがゲスト アカウントのアクセス用に設定された NT Auth ドメインに認証を試みたとき、username が NT サーバで有効なユーザ名でない場合に表示されます。接続は拒否されます。

推奨処置 ユーザが有効なユーザの場合は、アカウントを NT サーバに追加します。ユーザがアクセスを許可されていない場合は、処置は不要です。

109032

エラー メッセージ %PIX|ASA-3-109032: Unable to install ACL access_list , downloaded for user username ; Error in ACE: ace .

説明 このメッセージは、ネットワーク ユーザの認証中に RADIUS サーバからアクセス コントロール リストが受信されると表示されます。このログ イベントは、アクセス リストの要素の 1 つに構文エラーがあることを示します。このエラーが発生する場合、要素は廃棄されますが、アクセス リストの残りの部分は引き続き適用されます。形式が誤っている要素のテキスト全体は、メッセージに含まれています。この状態は認証の失敗をもたらすものではないことに注意してください。

access_list show access-list コマンドの出力に表示されるダイナミック アクセス リストに割り当てられている名前。

username :その接続がこのアクセス リストの制御を受けるユーザの名前。

ace :エラーが検出されたときに処理されていたアクセス リストのエントリ。

推奨処置 RADIUS サーバのコンフィギュレーションのアクセス リスト定義を訂正します。

109033

エラー メッセージ %PIX|ASA-4-109033: Authentication failed for admin user user from src_IP . Interactive challenge processing is not supported for protocol connections

説明 管理接続の認証中に AAA チャレンジ処理がトリガーされましたが、セキュリティ アプライアンスはそのクライアント アプリケーションでの対話型チャレンジ処理を開始できません。このような場合は、認証試行が拒否され、接続が拒否されます。

user :認証対象のユーザの名前。

src_IP :クライアント ホストの IP アドレス。

protocol :クライアント接続プロトコル。考えられる値は「SSH v1」または「administrative HTTP」です。

推奨処置 これらの接続タイプに対してチャレンジ処理が発生しないように AAA を再設定します。これは、通常、RSA SecurID サーバ、または RADIUS 経由のトークンベース AAA サーバに対して、これらの接続タイプの認証を避けることを意味します。

109034

エラー メッセージ %PIX|ASA-4-109034: Authentication failed for network user user from src_IP/port to dst_IP/port . Interactive challenge processing is not supported for protocol connections

説明 ネットワーク接続の認証中に AAA チャレンジ処理がトリガーされましたが、セキュリティ アプライアンスはそのクライアント アプリケーションでの対話型チャレンジ処理を開始できません。このような場合は、認証試行が拒否され、接続が拒否されます。

user :認証対象のユーザの名前。

src_IP/port :クライアント ホストの IP アドレスおよびポート。

dst_IP/port :クライアントが接続しようとしているサーバの IP アドレスおよびポート。

protocol :クライアント接続プロトコル。考えられる値は「FTP」です。

推奨処置 これらの接続タイプに対してチャレンジ処理が発生しないように AAA を再設定します。これは、通常、RSA SecurID サーバ、または RADIUS 経由のトークンベース AAA サーバに対して、これらの接続タイプの認証を避けることを意味します。

110001

エラー メッセージ %PIX|ASA-6-110001: No route to dest_address from source_address

説明 このメッセージは、ルート ルックアップの失敗を示します。パケットは、ルーティング テーブルにない宛先 IP アドレスを探しています。

推奨処置 ルーティング テーブルをチェックして、宛先へのルートがあることを確認します。

111001

エラー メッセージ %PIX|ASA-5-111001: Begin configuration: IP_address writing to device

説明 このメッセージは、 write コマンドを入力してコンフィギュレーションを device(フロッピーディスク、フラッシュ メモリ、TFTP、フェールオーバー スタンバイ装置、またはコンソール端末のいずれか)に格納する場合に表示されます。 IP_address は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。

推奨処置 不要です。

111002

エラー メッセージ %PIX|ASA-5-111002: Begin configuration: IP_address reading from device

説明 このメッセージは、 read コマンドを入力してコンフィギュレーションを device(フロッピーディスク、フラッシュ メモリ、TFTP、フェールオーバー スタンバイ装置、またはコンソール端末のいずれか)から読み取る場合に表示されます。 IP_address は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。

推奨処置 不要です。

111003

エラー メッセージ %PIX|ASA-5-111003: IP_address Erase configuration

説明 これは管理メッセージです。このメッセージは、コンソールで write erase コマンドを入力してフラッシュ メモリの内容を消去する場合に表示されます。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。

推奨処置 コンフィギュレーションを消去した後、セキュリティ アプライアンスを再設定して新しいコンフィギュレーションを保存します。または、フロッピーディスクまたはネットワークの他の場所にある TFTP サーバに以前保存してあるコンフィギュレーションから情報を復元できます。

111004

エラー メッセージ %PIX|ASA-5-111004: IP_address end configuration: {FAILED|OK}

説明 このメッセージは、 config floppy/memory/ network コマンドまたは write floppy/memory/
network/standby
コマンドを入力すると表示されます。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。

推奨処置 メッセージが OK で終われば不要です。このメッセージでエラーが表示された場合は、問題を解決します。たとえば、フロッピーディスクに書き込む場合は、フロッピーディスクが書き込み禁止になっていないことを確認します。TFTP サーバに書き込む場合は、サーバが動作していることを確認します。

111005

エラー メッセージ %PIX|ASA-5-111005: IP_address end configuration: OK

説明 このメッセージは、コンフィギュレーション モードを終了すると表示されます。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。

推奨処置 不要です。

111007

エラー メッセージ %PIX|ASA-5-111007: Begin configuration: IP_address reading from device.

説明 このメッセージは、 reload コマンドまたは configure コマンドを入力してコンフィギュレーションを読み込む場合に表示されます。device テキストは、フロッピーディスク、メモリ、ネット、スタンバイ、または端末になります。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。

推奨処置 不要です。

111008

エラー メッセージ %PIX|ASA-5-111008: User user executed the command string

説明 ユーザがコンフィギュレーションを修正するコマンドを入力しました。このメッセージは、 show コマンドでは表示されません。

推奨処置 不要です。

111009

エラー メッセージ %PIX|ASA-7-111009:User user executed cmd: string

説明 ユーザがコンフィギュレーションを修正しないコマンドを入力しました。このメッセージは、 show コマンドに限り表示されます。

推奨処置 不要です。

111111

エラー メッセージ %PIX|ASA-1-111111 error_message

説明 システム エラーまたはインフラストラクチャ エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

112001

エラー メッセージ %PIX|ASA-2-112001: ( string : dec ) Clear complete.

説明 このメッセージは、モジュール コンフィギュレーションを消去する要求が完了したことを示します。ソース ファイルおよび行番号が特定されます。

推奨処置 不要です。

113001

エラー メッセージ %PIX|ASA-3-113001: Unable to open AAA session. Session limit [ limit ] reached.

説明 システム リソースが使用できないために、IPSec トンネルまたは WebVPN 接続で AAA 動作を実行できませんでした。 limit 値は、同時 AAA トランザクションの最大数を示します。

推奨処置 可能であれば、AAA リソースの要求を減らします。

113003

エラー メッセージ %PIX|ASA-6-113003: AAA group policy for user user is being set to policy_name .

説明 トンネル グループに関連付けられているグループ ポリシーは、ユーザ固有のポリシー policy_name で上書きされています。 policy_name は、LOCAL 認証の設定時に username コマンドを使用して指定されており、RADIUS 認証の設定時に RADIUS CLASS アトリビュートで返されます。

推奨処置 不要です。

113004

エラー メッセージ %PIX|ASA-6-113004: AAA user aaa_type Successful: server = server_IP_address , User = user

説明 このメッセージは、IPSec 接続または WebVPN 接続で AAA 動作が正常に完了したことを示します。AAA タイプは「認証」、「認可」、または「アカウンティング」です。 server_IP_address は、関連する AAA サーバの IP アドレスです。 user は、接続に関連付けられているユーザ名です。

推奨処置 不要です。

113005

エラー メッセージ %PIX|ASA-6-113005: AAA user authentication Rejected: reason = string : server = server_IP_address , User = user

説明 このメッセージは、IPSec 接続または WebVPN 接続に関連付けられているユーザの認証要求または認可要求が拒否されたことを示します。要求が拒否された理由の詳細は、 reason フィールドに示されています。 server_IP_address は、関連する AAA サーバの IP アドレスです。 user は、接続に関連付けられているユーザ名です。 aaa_operation は、認証または認可のどちらかです。

推奨処置 不要です。

113006

エラー メッセージ %PIX|ASA-6-113006: User user locked out on exceeding number successive failed authentication attempts

説明 ローカルに設定されているユーザがロックアウトされています。このメッセージは、このユーザについて認証失敗が連続して設定回数だけ発生したときに現れ、今後このユーザが認証を受けようとしても、管理者が clear aaa local user lockout コマンドを使用してユーザをアンロックするまでは、すべて拒否されることを示します。 user は現在ロックされているユーザであり、 number aaa local authentication attempts max-fail コマンドで設定されている連続失敗しきい値です。

推奨処置 clear_aaa_local_user_lockout コマンドを使用してユーザをアンロックするか、許容される連続認証失敗の最大数を調整します。

113007

エラー メッセージ %PIX|ASA-6-113007: User user unlocked by administrator

説明 ローカルに設定されたユーザが、 aaa local authentication attempts max-fail コマンドによって設定された連続認証失敗の最大数を超えたためロックアウトされた後、表示されている管理者によってアンロックされました。

推奨処置 不要です。

113008

エラー メッセージ %PIX|ASA-6-113008: AAA transaction status ACCEPT: user = user

説明 IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが正常に完了しました。 user は、接続に関連付けられているユーザ名です。

推奨処置 不要です。

113009

エラー メッセージ %PIX|ASA-6-113009: AAA retrieved default group policy policy for user user

説明 このメッセージは、IPSec 接続または WebVPN 接続の認証中または認可中に生成される可能性があります。 tunnel-group コマンドまたは webvpn コマンドで指定されたグループ ポリシーのアトリビュートが取得されました。

推奨処置 不要です。

113010

エラー メッセージ %PIX|ASA-6-113010: AAA challenge received for user user from server server_ IP_address

説明 このメッセージは、認証が SecurID サーバで行われる場合、IPSec 接続の認証中に生成される可能性があります。ユーザは、認証に先立って詳細情報を入力するよう求められます。 server _IP_address は関連 AAA サーバの IP アドレスです。 user は接続に関連付けられているユーザ名です。

推奨処置 不要です。

113011

エラー メッセージ %PIX|ASA-6-113011: AAA retrieved user specific group policy policy for user user

説明 このイベントは、IPSec 接続または WebVPN 接続の認証中または認可中に生成される可能性があります。 tunnel-group コマンドまたは webvpn コマンドで指定されたグループ ポリシーのアトリビュートが取得されました。

推奨処置 不要です。

113012

エラー メッセージ %PIX|ASA-6-113012: AAA user authentication Successful: local database : user = user

説明 IPSec 接続または WebVPN 接続に関連付けられているユーザが、ローカル ユーザ データベースに正常に認証されました。 user は接続に関連付けられているユーザ名です。

推奨処置 不要です。

113013

エラー メッセージ %PIX|ASA-6-113013: AAA unable to complete the request Error: reason = reason : user = user

説明 IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが、エラーにより失敗したか、またはポリシー違反により拒否されました。詳細は reason フィールドに示されています。 user は、接続に関連付けられているユーザ名です。

推奨処置 不要です。

113014

エラー メッセージ %PIX|ASA-6-113014: AAA authentication server not accessible: server = server_ IP_address : user = user

説明 デバイスが、IPSec 接続または WebVPN 接続に関連付けられている AAA トランザクション中に設定済み AAA サーバと通信できませんでした。このため、ユーザが接続しようとしたとき、 aaa-server グループに設定されているバックアップ サーバおよびそのサーバのアベイラビリティ次第で、接続に失敗する場合も、失敗しない場合もあります。

推奨処置 設定済みの AAA サーバとの接続を確認します。

113015

エラー メッセージ %PIX|ASA-6-113015: AAA user authentication Rejected: reason = reason : local database: user = user

説明 IPSec 接続または WebVPN 接続に関連付けられているユーザのローカル ユーザ データベースへの認証要求が拒否されました。要求が拒否された理由の詳細は reason フィールドに示されています。 user は、接続に関連付けられているユーザ名です。

推奨処置 不要です。

113016

エラー メッセージ %PIX|ASA-6-113016: AAA credentials rejected: reason = reason : server = server_ IP_address : user = user

説明 IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが、エラーにより失敗したか、またはポリシー違反により拒否されました。詳細は reason フィールドに示されています。 server_IP_address は、関連する AAA サーバの IP アドレスです。 user は、接続に関連付けられているユーザ名です。

推奨処置 不要です。

113017

エラー メッセージ %PIX|ASA-6-113017: AAA credentials rejected: reason = reason : local database: user = user\

説明 このメッセージは、IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが、エラーにより失敗したか、またはポリシー違反により拒否さたことを示します。詳細は reason フィールドに示されています。このイベントが表示されるのは、AAA トランザクションが外部 AAA サーバではなくローカル ユーザ データベースと行われる場合だけです。 user は接続に関連付けられているユーザ名です。

推奨処置 不要です。

113018

エラー メッセージ %PIX|ASA-3-113018: User: user , Unsupported downloaded ACL Entry: ACL_entry , Action: action

説明 サポートされていないフォーマットの ACL エントリが認証サーバからダウンロードされました。メッセージの値は次のとおりです。

user :ログインを試みるユーザ。

ACL_entry :認証サーバからダウンロードされたサポートされていない ACL エントリ。

action :サポートされていない ACL エントリに対して実行するアクション。

推奨処置 認証サーバの ACL エントリは、サポートされている ACL エントリ フォーマットに適合するように管理者が適切に変更する必要があります。

113019

エラー メッセージ %PIX|ASA-4-113019: Group = group , Username = user , IP = peer_address , Session disconnected. Session Type: type , Duration: duration , Bytes xmt: count , Bytes rcv: count , Reason: reason

説明 これは情報メッセージです。

group :グループ名。

user :ユーザ名。

peer_address :ピア アドレス。

type :セッション タイプ(たとえば、IPSec/UDP)。

duration :接続時間。

count :バイト数。

reason :切断の原因。

推奨処置 不要です。

113020

エラー メッセージ %PIX|ASA-3-113020: Kerberos error : Clock skew with server ip_address greater than 300 seconds

説明 このメッセージは、Kerberos サーバ経由の IPSec または WebVPN のユーザの認証が、セキュリティ アプライアンスのクロックとそのサーバのクロックが 5 分(300 秒)以上ずれているために失敗した場合に表示されます。この失敗が起こったときは、接続しようとしても拒否されます。

ip_address :Kerberos サーバの IP アドレス。

推奨処置 セキュリティ アプライアンス サーバと Kerberos サーバのクロックを同期させます。

113021

エラー メッセージ %ASA-3-113021: Attempted console login failed. User username did NOT have appropriate Admin Rights.

説明 ユーザが管理コンソールにアクセスしようとしましたが、拒否されました。

username :ユーザが入力したユーザ名。

推奨処置 新しく追加された Admin Rights ユーザの場合は、そのユーザのサービスタイプ(LOCAL または RADIUS 認証サーバ)が次のようなアクセスを許可するように設定されていることを確認します。

nas-prompt:コンソールへのログインおよび要求されたレベルの EXEC 特権を許可しますが、イネーブル(コンフィギュレーション修正)アクセスは許可しません。

admin:すべてのアクセスを許可します。コマンド特権によって制約できます。

上記以外のユーザの場合は、そのユーザが管理コンソールへの不適切なアクセスを試みています。実行されるアクションは、このような問題に関する社内のポリシーに適合している必要があります。

113022

エラー メッセージ %ASA-2-113022: AAA Marking protocol server ip-addr in server group tag as FAILED

説明 このシステム ログ メッセージは、セキュリティ アプライアンスが AAA サーバに認証、認可、またはアカウンティングの要求を試みましたが、設定されているタイムアウト期間内に応答を受信しなかったことを示しています。この AAA サーバには「failed」のマークが付けられます。この AAA サーバは、サービスから削除されました。

protocol :認証プロトコルのタイプ。次のいずれかです。

- RADIUS

- TACACS+

- NT

- RSA SecurID

- Kerberos

- LDAP

ip-addr :AAA サーバの IP アドレス。

tag :サーバ グループ名。

推奨処置 AAA サーバがオンラインで、セキュリティ アプライアンスからアクセスできることを確認します。

113023

エラー メッセージ %ASA-2-113023: AAA Marking protocol server ip-addr in server group tag as ACTIVE

説明 このシステム ログ メッセージは、以前「failed」のマークを付けられた AAA サーバが、セキュリティ アプライアンスによって再びアクティブにされたことを示しています。現在、AAA 要求の処理に、この AAA サーバを使用できます。

protocol :認証プロトコルのタイプ。次のいずれかです。

- RADIUS

- TACACS+

- NT

- RSA SecurID

- Kerberos

- LDAP

ip-addr :AAA サーバの IP アドレス。

tag :サーバ グループ名。

推奨処置 不要です。

114001

エラー メッセージ %ASA-1-114001: Failed to initialize 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードを初期化できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)のいずれかを示します。I2C シリアル バス エラーは次のとおりです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. システムで実行しているソフトウェアを再起動します。

3. 電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114002

エラー メッセージ %ASA-1-114002: Failed to initialize SFP in 4GE SSM I/O card (error error_string ).

このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードの SFP コネクタを初期化できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)のいずれかを示します。I2C シリアル バス エラーは次のとおりです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. システムで実行しているソフトウェアを再起動します。

3. 電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114003

エラー メッセージ %ASA-1-114003: Failed to run cached commands in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードにキャッシュされたコマンドを実行できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)のいずれかを示します。I2C シリアル バス エラーは次のとおりです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. システムで実行しているソフトウェアを再起動します。

3. 電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114004

エラー メッセージ %ASA-6-114004: 4GE SSM I/O Initialization start.

説明 このメッセージは、4GE SSM I/O 初期化が開始されたことをユーザに通知するために表示されます。

syslog_id :メッセージ識別子。

推奨処置 処置は不要です。

114005

エラー メッセージ %ASA-6-114005: 4GE SSM I/O Initialization end.

説明 このメッセージは、4GE SSM I/O 初期化が終了したことをユーザに通知するために表示されます。

syslog_id :メッセージ識別子。

推奨処置 処置は不要です。

114006

エラー メッセージ %ASA-3-114006: Failed to get port statistics in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのポート統計情報を取得できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)のいずれかを示します。I2C シリアル バス エラーは次のとおりです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. システムで実行しているソフトウェアを再起動します。

3. 電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114007

エラー メッセージ %ASA-3-114007: Failed to get current msr in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードの現在のモジュール ステータス レジスタ情報を取得できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)のいずれかを示します。I2C シリアル バス エラーは次のとおりです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. システムで実行しているソフトウェアを再起動します。

3. 電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114008

エラー メッセージ %ASA-3-114008: Failed to enable port after link is up in 4GE SSM I/O card due to either I2C serial bus access error or switch access error.

説明 このメッセージは、I2C シリアル バス アクセス エラーまたはスイッチ アクセス エラーのために、Up 状態へのリンク移行が 4GE SSM I/O カードで検出された後にシステムがポートをイネーブルにできなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)のいずれかを示します。I2C シリアル バス エラーは次のとおりです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. システムで実行しているソフトウェアを再起動します。

3. 電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114009

エラー メッセージ %ASA-3-114009: Failed to set multicast address in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのマルチキャスト アドレスを設定できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)のいずれかを示します。I2C シリアル バス エラーは次のとおりです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. システムで実行しているソフトウェアを再起動します。

3. 電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114010

エラー メッセージ %ASA-3-114010: Failed to set multicast hardware address in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのマルチキャスト ハードウェア アドレスを設定できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)のいずれかを示します。I2C シリアル バス エラーは次のとおりです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. システムで実行しているソフトウェアを再起動します。

3. 電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114011

エラー メッセージ %ASA-3-114011: Failed to delete multicast address in 4GE SSM I/O card (error error_string ).

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)のいずれかを示します。I2C シリアル バス エラーは次のとおりです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのマルチキャスト アドレスを削除できなかった場合に表示されます。

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. システムで実行しているソフトウェアを再起動します。

3. 電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114012

エラー メッセージ %ASA-3-114012: Failed to delete multicast hardware address in 4GE SSM I/O card (error error_string ).

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)のいずれかを示します。I2C シリアル バス エラーは次のとおりです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのマルチキャスト ハードウェア アドレスを削除できなかった場合に表示されます。

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. システムで実行しているソフトウェアを再起動します。

3. 電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114013

エラー メッセージ %ASA-3-114013: Failed to set mac address table in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードの MAC アドレス テーブルを設定できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)のいずれかを示します。I2C シリアル バス エラーは次のとおりです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. システムで実行しているソフトウェアを再起動します。

3. 電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114014

エラー メッセージ %ASA-3-114014: Failed to set mac address in 4GE SSM I/O card (error error_string ).

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)のいずれかを示します。I2C シリアル バス エラーは次のとおりです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードの MAC アドレスを設定できなかった場合に表示されます。

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. システムで実行しているソフトウェアを再起動します。

3. 電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114015

エラー メッセージ %ASA-3-114015: Failed to set mode in 4GE SSM I/O card (error error_string ).

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)のいずれかを示します。I2C シリアル バス エラーは次のとおりです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードの個別モードまたは混在モードを設定できなかった場合に表示されます。

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. システムで実行しているソフトウェアを再起動します。

3. 電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114016

エラー メッセージ %ASA-3-114016: Failed to set multicast mode in 4GE SSM I/O card (error error_string ).

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)のいずれかを示します。I2C シリアル バス エラーは次のとおりです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのマルチキャスト モードを設定できなかった場合に表示されます。

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. システムで実行しているソフトウェアを再起動します。

3. 電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114017

エラー メッセージ %ASA-3-114017: Failed to get link status in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C シリアル バス アクセス エラーまたはスイッチ アクセス エラーのためにシステムが 4GE SSM I/O カードのリンク ステータスを取得できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)のいずれかを示します。I2C シリアル バス エラーは次のとおりです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. システム管理者に通知します。

2. イベントに関連付けられているメッセージとエラーを記録して確認します。

3. システムで実行しているソフトウェアを再起動します。

4. 電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

5. 問題が解決しない場合、Cisco TAC にお問い合せください。

114018

エラー メッセージ %ASA-3-114018: Failed to set port speed in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのポート速度を設定できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)のいずれかを示します。I2C シリアル バス エラーは次のとおりです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. システムで実行しているソフトウェアを再起動します。

3. 電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114019

エラー メッセージ %ASA-3-114019: Failed to set media type in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのメディア タイプを設定できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)のいずれかを示します。I2C シリアル バス エラーは次のとおりです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. システムで実行しているソフトウェアを再起動します。

3. 電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114020

エラー メッセージ %ASA-3-114020: Port link speed is unknown in 4GE SSM I/O card.

説明 このメッセージは、システムが 4GE SSM I/O カードのポート リンク速度を検出できなかった場合に表示されます。

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージを記録して確認します。

2. 4GE SSM I/O カードをリセットし、ソフトウェアがイベントから自動的に回復するかどうかを観察します。

3. ソフトウェアが自動的に回復しない場合は、電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114021

エラー メッセージ %PIX|ASA-3-114021: Failed to set multicast address table in 4GE SSM I/O card due to error .

説明 このメッセージは、I2C シリアル バス アクセス エラーまたはスイッチ アクセス エラーのためにシステムが 4GE SSM I/O カードのマルチキャスト アドレス テーブルを設定できなかった場合に表示されます。

error :スイッチ アクセス エラー(10 進数のエラー コード)または I2C シリアル バス エラーのいずれかを示します。考えられる I2C シリアル バス エラーは、次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージを記録して確認します。

2. ボックスのソフトウェア リブートを試します。

3. ソフトウェアが自動的に回復しない場合は、電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

199001

エラー メッセージ %PIX|ASA-5-199001: Reload command executed from telnet (remote IP_address ).

説明 このメッセージは、 reload コマンドでセキュリティ アプライアンスのリブートを開始したホストのアドレスを記録します。

推奨処置 不要です。

199002

エラー メッセージ %PIX|ASA-6-199002: startup completed. Beginning operation.

説明 セキュリティ アプライアンスが、その初期ブートおよびフラッシュ メモリ読み取りシーケンスを完了し、正常動作を開始する準備が整いました。


) このメッセージは、no logging message コマンドを使用してもブロックすることはできません。


推奨処置 不要です。

199003

エラー メッセージ %PIX|ASA-6-199003: Reducing link MTU dec .

説明 セキュリティ アプライアンスが、内部ネットワークよりも大きい MTU を使用している外部ネットワークからパケットを受信しました。その後セキュリティ アプライアンスは、適切な MTU をネゴシエートするため、ICMP メッセージをその外部ホストに送信しました。ログ メッセージには、ICMP メッセージのシーケンス番号が含まれています。

推奨処置 不要です。

199005

エラー メッセージ %PIX|ASA-6-199005: Startup begin

説明 セキュリティ アプライアンスが起動しました。

推奨処置 不要です。

199006

エラー メッセージ %PIX-5-199006: Orderly reload started at when by whom . Reload reason: reason

説明 このメッセージは、リロード動作が開始されたときに生成されます。

when :正常ロード動作が開始された時刻。時刻は、hh:mm:ss 時間帯 曜日 月 日 年という形式で表示されます。たとえば「13:23:45 UTC Sun Dec 28 2003」のようになります。

whom :リロード スケジュールを設定したユーザまたはシステム。ユーザまたはシステムは、ユーザ名 from 場所という形式で表示されます。たとえば「enable_15 from ssh (remote 30.0.0.122」のようになります。

reason :リロードの原因。はっきりした原因が表示されない場合、文字列は unspecified になります。

推奨処置 ユーザによる処置は不要です。

199007

エラー メッセージ %PIX-5-199007: Reload scheduled for when by whom at when-command-issued . Reload reason: reason

説明 このメッセージは、reload コマンドの in オプションまたは at オプションを使用してリロード動作がスケジュールされたときに生成されます。

when :リロード動作が開始される時刻。時刻は、hh:mm:ss 時間帯 曜日 月 日 年という形式で表示されます。たとえば「13:23:45 UTC Sun Dec 28 2003」のようになります。

whom :リロード スケジュールを設定したユーザまたはシステム。ユーザまたはシステムは、ユーザ名 from 場所という形式で表示されます。たとえば「enable_15 from ssh (remote 30.0.0.122」のようになります。

when-command-issued :reload コマンドが発行された時刻。時刻は、hh:mm:ss 時間帯 曜日 月 日 年という形式で表示されます。

reason :リロードの原因。はっきりした原因が表示されない場合、文字列は unspecified になります。

推奨処置 ユーザによる処置は不要です。

199008

エラー メッセージ %PIX-5-199008: Scheduled reload for when-reload-is-supposed-to-happen cancelled by whom at when.

説明 このメッセージは、スケジュールされていたリロード動作がキャンセルされたときに生成されます。

when-reload-is-supposed-to-happen :リロードが実行されるはずであった時刻。時刻は、hh:mm:ss 時間帯 曜日 月 日 年という形式で表示されます。たとえば「13:23:45 UTC Sun Dec 28 2003」のようになります。

whom :リロードをキャンセルしたユーザまたはシステム。ユーザまたはシステムは、ユーザ名 from 場所という形式で表示されます。たとえば「enable_15 from ssh (remote 30.0.0.122」のようになります。

when :リロード動作がキャンセルされた時刻。時刻は、hh:mm:ss 時間帯 曜日 月 日 年という形式で表示されます。

推奨処置 ユーザによる処置は不要です。

199009

エラー メッセージ %PIX-7-199009: Reloaded at when by whom . Reload reason: reason

説明 このメッセージは、リロード動作が開始されたときに生成されます。

when :正常ロード動作が開始された時刻。時刻は、hh:mm:ss 時間帯 曜日 月 日 年という形式で表示されます。たとえば「13:23:45 UTC Sun Dec 28 2003」のようになります。

whom :リロード スケジュールを設定したユーザまたはシステム。ユーザまたはシステムは、ユーザ名 from 場所という形式で表示されます。たとえば「enable_15 from ssh (remote 30.0.0.122」のようになります。

reason :リロードの原因。はっきりした原因が表示されない場合、文字列は unspecified になります。

推奨処置 ユーザによる処置は不要です。

199011

エラー メッセージ %ASA-2-199011: Close on bad channel in process/fiber process/fiber , channel ID p ,channel state s process/fiber name of the process/fiber that caused the bad channel close operation.

説明 予期しないチャネル クローズ状態が検出されました。

p :チャネル ID。

process/fiber :不正なチャネル クローズ動作の原因となったプロセス/ファイバの名前。

s :チャネルの状態。

推奨処置 Cisco TAC にお問い合せのうえ、ログ ファイルを添付してください。

199012

エラー メッセージ %ASA-1-1199012: Stack smash during new_stack_call in process/fiber process/fiber , call target f , stack size s , process/fiber name of the process/fiber that caused the stack smash

説明 スタック スマッシュ状態が検出されました。

f :new_stack_call のターゲット。

process/fiber :スタック スマッシュの原因となったプロセス/ファイバの名前。

s :new_stack_call で指定されている新しいスタック サイズ。

推奨処置 Cisco TAC にお問い合せのうえ、ログ ファイルを添付してください。

メッセージ 201002 ~ 219002

この項では、201002 から 219002 までのメッセージについて説明します。

201002

エラー メッセージ %PIX|ASA-3-201002: Too many TCP connections on {static|xlate} global_address ! econns nconns

説明 これは接続関連のメッセージです。このメッセージは、指摘されたグローバル アドレスへの TCP 接続が最大数を超えた場合に表示されます。econns 変数は最大初期接続数であり、nconns 変数はスタティックまたは xlate に許可される最大接続数です。

推奨処置 show static コマンドまたは show nat コマンドを使用して、スタティック アドレスへの接続に課されている制限を確認します。制限は設定可能です。

201003

エラー メッセージ %PIX|ASA-2-201003: Embryonic limit exceeded nconns / elimit for outside_address / outside_port ( global_address ) inside_address / inside_port on interface interface_name

説明 これは、セキュリティ アプライアンスへのトラフィックに関する接続関連のメッセージです。このメッセージは、指摘されたスタティック グローバル アドレスを持つ、指摘された外部アドレスから指摘されたローカル アドレスへの初期接続の数が初期接続の制限を超えた場合に表示されます。セキュリティ アプライアンスへの初期接続の制限に達すると、セキュリティ アプライアンスは何としても受け入れようと試みますが、その接続に時間制限を課します。この状況により、たとえセキュリティ アプライアンスがビジー状態であっても、一部の接続が成功することがあります。nconns 変数は受信した初期接続の数を示し、 elimit 変数は static コマンドまたは nat コマンドに指定されている最大初期接続数を示します。

推奨処置 このメッセージは、メッセージ 201002 よりもさらに深刻なオーバーロードを示します。このオーバーロードは、SYN 攻撃、または正規のトラフィックの非常に重い負荷が原因となっている可能性があります。show static コマンドを使用して、スタティック アドレスへの初期接続に課されている制限を確認します。

201004

エラー メッセージ %PIX|ASA-3-201004: Too many UDP connections on {static|xlate} global_address ! udp connections limit

説明 これは接続関連のメッセージです。このメッセージは、指摘されたグローバル アドレスへの UDP 接続が最大数を超えた場合に表示されます。udp conn limit 変数は、スタティックまたは変換に許可される UDP 接続の最大数です。

推奨処置 show static コマンドまたは show nat コマンドを使用して、スタティック アドレスへの接続に課されている制限を確認します。制限は設定可能です。

201005

エラー メッセージ %PIX|ASA-3-201005: FTP data connection failed for IP_address IP_address

説明 セキュリティ アプライアンスが、メモリ不足のため FTP のデータ接続を追跡するための構造を割り当てることができませんでした。

推奨処置 メモリ使用量を減らすか、または増設メモリを購入します。

201006

エラー メッセージ %PIX|ASA-3-201006: RCMD backconnection failed for IP_address / port.

説明 これは接続関連のメッセージです。このメッセージは、メモリ不足のためセキュリティ アプライアンスが rsh コマンドに対する着信標準出力のための接続を事前割当できなかった場合に表示されます。

推奨処置 rsh クライアント バージョンを確認します。セキュリティ アプライアンスがサポートしているのは Berkeley rsh だけです。メモリ使用量を減らすか、または増設メモリを購入することもできます。

201008

エラー メッセージ %PIX|ASA-3-201008: The security appliance is disallowing new connections.

説明 このメッセージは、TCP システム ログ メッセージングをイネーブルにしても syslog サーバに到達できない場合、またはセキュリティ アプライアンス syslog サーバ(PFSS)を使用しており Windows NT システムのディスクが満杯になっている場合、または自動アップデート タイムアウトが設定されており Auto Update Server に到達できない場合に表示されます。

推奨処置 TCP システム ログ メッセージングをディセーブルにします。PFSS を使用している場合は、PFSS のある Windows NT システム上のスペースを解放します。さらに、syslog サーバが動作しており、セキュリティ アプライアンス コンソールからそのホストに ping できることを確認します。次に、TCP システム メッセージ ロギングを再開してトラフィックを許可します。Auto Update Server に一定期間アクセスしなかった場合、セキュリティ アプライアンスは [no] auto-update timeout period コマンドに従ってパケットの送信を中止します。

201009

エラー メッセージ %PIX|ASA-3-201009: TCP connection limit of number for host IP_address on interface_name exceeded

説明 これは接続関連のメッセージです。このメッセージは、指摘されたスタティック アドレスへの接続が最大数を超えた場合に表示されます。number 変数は、 IP_address 変数で指摘されたホストに許可されている接続の最大数です。

推奨処置 show static コマンドおよび show nat コマンドを使用して、アドレスへの接続に課されている制限を確認します。制限は設定可能です。

201010

エラー メッセージ %PIX|ASA-3-201010: Embryonic connection limit exceeded econns/limit for dir packet from source_address/source_port to dest_address/dest_port on interface interface_name

説明 TCP 接続を確立しようとしたが、トラフィック クラスに対して set connection embryonic-
conn-max
MPC コマンドで設定されている初期接続の制限を超えたために失敗しました。

econns :設定したトラフィック クラスに関連付けられている初期接続の現在の数。

limit :設定した初期接続のトラフィック クラスの制限。

dir
input:接続を開始した最初のパケットはインターフェイス interface_name 上の入力パケットです。
output:接続を開始した最初のパケットはインターフェイス interface_name 上の出力パケットです。

source_address / source_port :接続を開始したパケットの送信元 IP アドレスおよび送信元ポート。

dest_address / dest_port :接続を開始したパケットの宛先 IP アドレスおよび宛先ポート。

interface_name :ポリシー制限が強制されているインターフェイス名。

推奨処置 不要です。

201011

エラー メッセージ %PIX|ASA-3-201011: Connection limit exceeded cnt / limit for dir packet from sip / sport to dip / dport on interface if_name .

説明 ファイアウォール デバイス経由の新しい接続により、少なくとも 1 つの設定済み最大接続制限を超えました。このメッセージは、「static」コマンドを使用して設定された接続制限にも、Cisco Modular Policy Framework を使用して設定された接続制限にも適用されます。既存の接続のいずれかが切断されて現在の接続数が設定済みの最大値を下回るまで、ファイアウォール デバイス経由の新しい接続は許可されません。

cnt :現在の接続数。

limit :設定済みの接続制限。

dir :トラフィックの方向(着信または発信)。

sip :送信元 IP アドレス。

sport :送信元ポート。

dip :宛先 IP アドレス。

dport :宛先ポート。

if_name :トラフィックを受信したインターフェイスの名前。

推奨処置 不要です。

201012

エラー メッセージ %ASA-6-201012: Per-client embryonic connection limit exceeded curr num / limit for [input|output] packet from IP_address / port to ip / port on interface interface_name

説明 TCP 接続を確立しようとしましたが、クライアントごとの初期接続制限を超えたために失敗しました。デフォルトでは、このメッセージは 10 秒に 1 回しか表示されないように制限されています。

curr num :現在の数。

limit :設定済みの制限。

[input|output]:インターフェイス interface_name 上の入力パケットまたは出力パケット。

IP_address :IP アドレス。

port :TCP ポートまたは UDP ポート。

interface_name :ポリシーが適用されているインターフェイス名。

推奨処置 制限に達すると、SYN フラッド アタックを防止するために、それ以降の接続要求はすべてセキュリティ アプライアンスによってプロキシされます。クライアントが 3 ウェイ ハンドシェイクを終了できる場合に限り、セキュリティ アプライアンスはサーバに接続します。これは、通常、エンド ユーザにもアプリケーションにも影響しません。ただし、正当に多数の初期接続を必要とするアプリケーションに問題が生じる場合は、 set connection per-client-
embryonic-max
コマンドを入力して設定を調整できます。

201013

エラー メッセージ %ASA-3-201013: Per-client connection limit exceeded curr num / limit for [input|output] packet from ip/ port to ip / port on interface interface_name

説明 クライアントごとの接続制限を超えたため、接続が拒否されました。

curr num :現在の数。

limit :設定済みの制限。

[input|output]:インターフェイス interface_name 上の入力パケットまたは出力パケット。

IP_address :IP アドレス。

port :TCP ポートまたは UDP ポート。

interface_name :ポリシーが適用されているインターフェイス名。

推奨処置 制限に達すると、それ以降の接続要求はすべて警告なしで廃棄されます。通常は、アプリケーションが再試行します。このため、遅延が発生します。あるいは、再試行がすべて失敗した場合にはタイムアウトも発生します。アプリケーションが正当に多数の同時接続を必要とする場合は、 set connection per-client-max コマンドを入力して設定を調整できます。

202001

エラー メッセージ %PIX|ASA-3-202001: Out of address translation slots!

説明 これは接続関連のメッセージです。このメッセージは、セキュリティ アプライアンスに使用可能なアドレス変換スロットがなくなった場合に表示されます。

推奨処置 グローバル プールのサイズを確認し、内部のネットワーク クライアント数と比較します。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または可能であれば増設メモリを購入します。

202005

エラー メッセージ %PIX|ASA-3-202005: Non-embryonic in embryonic list outside_address/outside_port inside_address/inside_port

説明 これは接続関連のメッセージです。このメッセージは、接続オブジェクト(xlate)が誤ったリストに入っている場合に表示されます。

推奨処置 Cisco TAC にお問い合せください。

202011

エラー メッセージ %PIX|ASA-3-202011: Connection limit exceeded econns / limit for dir packet from source_address / source_port to dest_address / dest_port on interface interface_name

説明 このメッセージは、TCP 接続または UDP 接続を作成しようとしたが、トラフィック クラスに対して set connection conn-max MPC コマンドで設定されている接続の制限を超えたために失敗した場合に表示されます。

econns :設定したトラフィック クラスに関連付けられている初期接続の現在の数。

limit :設定した初期接続のトラフィック クラスの制限。

dir
input:接続を開始した最初のパケットはインターフェイス interface_name 上の入力パケットです。
output:接続を開始した最初のパケットはインターフェイス interface_name 上の出力パケットです。

source_address / source_port :接続を開始したパケットの送信元 IP アドレスおよび送信元ポート。

dest_address / dest_port :接続を開始したパケットの宛先 IP アドレスおよび宛先ポート。

interface_name :ポリシー制限が強制されているインターフェイス名。

推奨処置 不要です。

208005

エラー メッセージ %PIX|ASA-3-208005: (function:line_num) clear command return code

説明 セキュリティ アプライアンスが、フラッシュ メモリ内のコンフィギュレーションを消去しようとしたときに非ゼロ値(内部エラー)を受信しました。このメッセージには、報告サブルーチンのファイル名および行番号が含まれています。

推奨処置 パフォーマンス上の理由から、エンド ホストは IP フラグメントを投入しないように設定する必要があります。このコンフィギュレーションの変更は、NFS が原因と考えられます。読み取りサイズおよび書き込みサイズを NFS のインターフェイス MTU と等しく設定します。

209003

エラー メッセージ %PIX|ASA-4-209003: Fragment database limit of number exceeded: src = source_address , dest = dest_address , proto = protocol , id = number

説明 現在再組み立てを待っている IP フラグメントが多過ぎます。デフォルトでは、フラグメントの最大数は 200 です(最大値を大きくするには、『 Cisco Security Appliance Command Reference 』の fragment size コマンドを参照してください)。セキュリティ アプライアンスは、同時に再組み立てできる IP フラグメントの数を制限します。この制約により、異常なネットワーク条件下でセキュリティ アプライアンスのメモリが枯渇するのが防止されます。一般に、フラグメント化されたトラフィックは、混合トラフィック全体のわずかな割合に抑える必要があります。例外は、ほとんどがフラグメント化されたトラフィックである NFS over UDP のネットワーク環境の場合です。このタイプのトラフィックがセキュリティ アプライアンス経由で中継される場合、その代わりに NFS over TCP の使用を検討します。フラグメント化を防ぐには、『 Cisco Security Appliance Command Reference 』の sysopt connection tcpmss bytes コマンドを参照してください。

推奨処置 このメッセージが引き続き表示される場合は、DoS 攻撃(サービス拒絶攻撃)が進行している可能性があります。リモート ピアの管理者またはアップストリームのプロバイダーにお問い合せください。

209004

エラー メッセージ %PIX|ASA-4-209004: Invalid IP fragment, size = bytes exceeds maximum size = bytes : src = source_address , dest = dest_address , proto = protocol , id = number

説明 IP フラグメントの形式が誤っています。再組み立て済み IP パケットの合計サイズが、最大可能サイズの 65,535 バイトを超えています。

推奨処置 侵入イベントが進行している可能性があります。このメッセージが引き続き表示される場合は、リモート ピアの管理者またはアップストリームのプロバイダーにお問い合せください。

209005

エラー メッセージ %PIX|ASA-4-209005: Discard IP fragment set with more than number elements: src = Too many elements are in a fragment set.

説明 セキュリティ アプライアンスは、24 よりも多くのフラグメントにフラグメント化されている IP パケットを拒否します。詳細については、『 Cisco Security Appliance Command Reference 』の fragment コマンドを参照してください。

推奨処置 侵入イベントが進行している可能性があります。このメッセージが引き続き表示される場合は、リモート ピアの管理者またはアップストリームのプロバイダーにお問い合せください。 fragment chain xxx interface_name コマンドを使用して、パケットあたりのフラグメントの数を変更できます。

210001

エラー メッセージ %PIX|ASA-3-210001: LU sw_module_name error = number

説明 ステートフル フェールオーバー エラーが発生しました。

推奨処置 セキュリティ アプライアンス経由のトラフィックが減少した後もこのエラーが引き続き表示される場合は、Cisco TAC にこのエラーを報告してください。

210002

エラー メッセージ %PIX|ASA-3-210002: LU allocate block ( bytes ) failed.

説明 ステートフル フェールオーバーが、ステートフル情報をスタンバイ セキュリティ アプライアンスに送信するためのメモリのブロックを割り当てることができませんでした。

推奨処置 show interface コマンドを使用してフェールオーバー インターフェイスを調べて、その送信が正常であることを確認します。さらに、 show block コマンドを使用して、現在のブロック メモリを調べます。現在使用可能なカウントが 0 になっているメモリのブロックがあれば、セキュリティ アプライアンス ソフトウェアをリロードして失われたメモリのブロックを回復します。

210003

エラー メッセージ %PIX|ASA-3-210003: Unknown LU Object number

説明 ステートフル フェールオーバーが、サポートされていない Logical Update オブジェクトを受信したため、そのオブジェクトを処理できませんでした。これは、破損したメモリ、LAN 伝送、または他のイベントが原因となっている可能性があります。

推奨処置 このエラーがまれにしか表示されない場合は、処置は不要です。このエラーが頻繁に発生する場合は、ステートフル フェールオーバー リンク LAN 接続を確認します。エラーが不適切なフェールオーバー リンク LAN 接続のためでない場合は、外部ユーザが保護されているネットワークを危険にさらそうとしていないかどうかを判別します。誤って設定したクライアントがないかどうかを確認します。

210005

エラー メッセージ %PIX|ASA-3-210005: LU allocate connection failed

説明 ステートフル フェールオーバーが、スタンバイ装置に新しい接続を割り当てられません。これは、セキュリティ アプライアンス内の使用可能な RAM メモリがほとんどないか、またはまったくないことが原因となっている可能性があります。

推奨処置 show memory コマンドを使用してセキュリティ アプライアンス システムの空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリをセキュリティ アプライアンスに追加します。

210006

エラー メッセージ %PIX|ASA-3-210006: LU look NAT for IP_address failed

説明 ステートフル フェールオーバーが、スタンバイ装置上で IP アドレス用の NAT グループを検出できませんでした。アクティブおよびスタンバイのセキュリティ アプライアンス装置が同期していない可能性があります。

推奨処置 アクティブ装置で write standby コマンドを使用して、システム メモリをスタンバイ装置に同期させます。

210007

エラー メッセージ %PIX|ASA-3-210007: LU allocate xlate failed

説明 ステートフル フェールオーバーが、変換(xlate)スロット レコードを割り当てることができませんでした。

推奨処置 show memory コマンドを使用してセキュリティ アプライアンス システムの空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリを追加します。

210008

エラー メッセージ %PIX|ASA-3-210008: LU no xlate for inside_address / inside_port outside_address / outside_port

説明 ステートフル フェールオーバー接続の変換スロット(xlate)レコードが検出できませんでした。接続情報が処理できません。

推奨処置 アクティブ装置で write standby コマンドを入力して、システム メモリをアクティブ装置とスタンバイ装置との間で同期させます。

210010

エラー メッセージ %PIX|ASA-3-210010: LU make UDP connection for outside_address : outside_port inside_address : inside_port failed

説明 ステートフル フェールオーバーが、UDP 接続に新しいレコードを割り当てることができませんでした。

推奨処置 show memory コマンドを使用してセキュリティ アプライアンス システムの空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリを追加します。

210011

エラー メッセージ %PIX|ASA-3-210011: Connection limit exceeded cnt / limit for dir packet from sip / sport to dip / dport on interface if_name .

説明 このシステム ログ メッセージは、ファイアウォール デバイス経由の新しい接続の確立により、少なくとも 1 つの設定済み最大接続制限を超えることを示しています。このシステム ログ メッセージは、「static」コマンドを使用して設定された接続制限にも、Cisco Modular Policy Framework を使用して設定された接続制限にも適用されます。既存の接続のいずれかが切断されて現在の接続数が設定済みの最大値を下回るまで、ファイアウォール デバイス経由の新しい接続は許可されません。

cnt :現在の接続数。

limit :設定済みの接続制限。

dir :トラフィックの方向(着信または発信)。

sip :送信元 IP アドレス。

sport :送信元ポート。

dip :宛先 IP アドレス。

dport :宛先ポート。

if_name :トラフィック ユニットを受信したインターフェイスの名前(「Primary」または「Secondary」)。

推奨処置 接続制限は正当な理由で設定されているため、このシステム ログ メッセージは DOS 攻撃の可能性を示すことがあります。その場合、トラフィックの送信元はスプーフィングされた IP アドレスである可能性があります。送信元 IP アドレスが必ずしもランダムではない場合は、送信元を特定し、それをアクセス リストでブロックすると攻撃を防止できます。その他の場合は、スニファ トレースを取得してトラフィックの送信元を分析すると、不要なトラフィックを正当なトラフィックから切り離すために役立ちます。

210020

エラー メッセージ %PIX|ASA-3-210020: LU PAT port port reserve failed

説明 ステートフル フェールオーバーが、使用中の特定の PAT アドレスを割り当てることができません。

推奨処置 アクティブ装置で write standby コマンドを入力して、システム メモリをアクティブ装置とスタンバイ装置との間で同期させます。

210021

エラー メッセージ %PIX|ASA-3-210021: LU create static xlate global_address ifc interface_name failed

説明 ステートフル フェールオーバーが変換スロット(xlate)を作成できません。

推奨処置 アクティブ装置で write standby コマンドを入力して、システム メモリをアクティブ装置とスタンバイ装置との間で同期させます。

210022

エラー メッセージ %PIX|ASA-6-210022: LU missed number updates

説明 ステートフル フェールオーバーが、スタンバイ装置に送信された各レコードにシーケンス番号を割り当てます。受信したレコードのシーケンス番号が最後にアップデートされたレコードと一致していない場合、その間の情報が失われたものと見なされ、このエラー メッセージが送信されます。

推奨処置 LAN の中断がない場合は、両方のセキュリティ アプライアンス装置の利用可能なメモリをチェックして、ステートフル情報を処理するのに十分なメモリがあることを確認します。 show failover コマンドを使用して、ステートフル情報のアップデートの品質を監視します。

211001

エラー メッセージ %PIX|ASA-3-211001: Memory allocation Error

説明 RAM システム メモリの割り当てに失敗しました。

推奨処置 このメッセージが一定期間ごとに発生する場合は、無視してかまいません。頻繁に繰り返される場合は、Cisco TAC にお問い合せください。

211003

エラー メッセージ %PIX|ASA-3-211003: CPU utilization for number seconds = percent

説明 このメッセージは、CPU 使用率が数秒間 100 パーセントを超えた場合に表示されます。

推奨処置 このメッセージが一定期間ごとに発生する場合は、無視してかまいません。頻繁に繰り返される場合は、Cisco TAC にお問い合せください。

212001

エラー メッセージ %PIX|ASA-3-212001: Unable to open SNMP channel (UDP port port ) on interface interface_number , error code = code

説明 これは SNMP メッセージです。このメッセージは、セキュリティ アプライアンスがこのインターフェイス上にある SNMP 管理ステーションからセキュリティ アプライアンス向けの SNMP 要求を受信できないことを報告します。これは、セキュリティ アプライアンスを介してインターフェイスを通過する SNMP トラフィックに影響しません。

エラー コード -1 は、セキュリティ アプライアンスがそのインターフェイスに対して SNMP トランスポートを開けなかったことを示します。このエラーは、SNMP がクエリーを受け入れるポートを別の機能ですでに使われているポートに変更しようとユーザがした場合に発生する可能性があります。この場合、SNMP が使用するポートは、着信 SNMP クエリー用のデフォルト ポート(UDP/161)にリセットされます。

エラー コード -2 は、セキュリティ アプライアンスがそのインターフェイスに対して SNMP トランスポートをバインドできなかったことを示します。

推奨処置 トラフィック量が少ないときに、セキュリティ アプライアンスがリソースの一部を再要求してから、対象となるインターフェイスに対して snmp-server host コマンドを再入力します。

212002

エラー メッセージ %PIX|ASA-3-212002: Unable to open SNMP trap channel (UDP port port ) on interface interface_number , error code = code

説明 これは SNMP メッセージです。このメッセージは、セキュリティ アプライアンスがセキュリティ アプライアンスからこのインターフェイス上にある SNMP 管理ステーションに自分の SNMP トラップを送信できないことを報告します。これは、セキュリティ アプライアンスを介してインターフェイスを通過する SNMP トラフィックに影響しません。

エラー コード -1 は、セキュリティ アプライアンスがそのインターフェイスに対して SNMP トラップ トランスポートを開けなかったことを示します。

エラー コード -2 は、セキュリティ アプライアンスがそのインターフェイスに対して SNMP トラップ トランスポートをバインドできなかったことを示します。

推奨処置 トラフィック量が少ないときに、セキュリティ アプライアンスがリソースの一部を再要求してから、対象となるインターフェイスに対して snmp-server host コマンドを再入力します。

212003

エラー メッセージ %PIX|ASA-3-212003: Unable to receive an SNMP request on interface interface_number , error code = code , will try again.

説明 これは SNMP メッセージです。このメッセージは、指摘されたインターフェイス上のセキュリティ アプライアンス向けの SNMP 要求を受信する際の内部エラーが原因で表示されます。

推奨処置 不要です。セキュリティ アプライアンス SNMP エージェントは元に戻って次の SNMP 要求を待ちます。

212004

エラー メッセージ %PIX|ASA-3-212004: Unable to send an SNMP response to IP Address IP_address Port port interface interface_number , error code = code

説明 これは SNMP メッセージです。このメッセージは、指摘されたインターフェイス上の指摘されたホストにセキュリティ アプライアンスから SNMP 応答を送信する際の内部エラーが原因で表示されます。

推奨処置 不要です。

212005

エラー メッセージ %PIX|ASA-3-212005: incoming SNMP request ( number bytes) on interface interface_name exceeds data buffer size, discarding this SNMP request.

説明 これは SNMP メッセージです。このメッセージは、着信 SNMP メッセージ、つまりセキュリティ アプライアンスに向けられた要求の長さが、内部処理中に要求を格納するために使用される内部データ バッファのサイズ(512 バイト)を超えていることを報告します。セキュリティ アプライアンスはこの要求を処理できません。この状況は、インターフェイスを使用してセキュリティ アプライアンスを通過する SNMP トラフィックに影響しません。

推奨処置 SNMP 管理ステーションに長さの短い要求を再送信させます。たとえば、1 つの要求で複数の MIB 変数にクエリーを実行するのではなく、1 つの要求で 1 つの MIB 変数のみにクエリーを実行するようにします。SNMP マネージャ ソフトウェアのコンフィギュレーションの修正が必要になる可能性もあります。

212006

エラー メッセージ %PIX|ASA-3-212006: Dropping SNMP request from source_address / source_port to interface_name : dest_address / dest_port because: reason .

説明 これは SNMP メッセージです。このメッセージは、デバイスが次の理由からそのデバイスへの SNMP 要求を処理できない場合に表示されます。

snmp-server がディセーブルになっている。

SNMPv3 がサポートされていない。

推奨処置 snmp-server enable コマンドを発行して、SNMP デーモンが組み込まれることを確認します。デバイスが処理するのは、SNMPv1 パケットおよび SNMPv2c パケットだけです。

213001

エラー メッセージ %PIX|ASA-3-213001: PPTP control daemon socket io string , errno = number .

説明 内部 TCP ソケット I/O エラーが発生しました。

推奨処置 Cisco TAC にお問い合せください。

213002

エラー メッセージ %PIX|ASA-3-213002: PPTP tunnel hashtable insert failed, peer = IP_address .

説明 新しい PPTP トンネルの作成中に、内部ソフトウェア エラーが発生しました。

推奨処置 Cisco TAC にお問い合せください。

213003

エラー メッセージ %PIX|ASA-3-213003: PPP virtual interface interface_number isn't opened.

説明 PPP 仮想インターフェイスのクローズ中に、内部ソフトウェア エラーが発生しました。

推奨処置 Cisco TAC にお問い合せください。

213004

エラー メッセージ %PIX|ASA-3-213004: PPP virtual interface interface_number client ip allocation failed.

説明 IP アドレスを PPTP クライアントに割り当てている間に内部ソフトウェア エラーが発生しました。

推奨処置 このエラーは、IP ローカル アドレス プールが枯渇した場合に発生します。 ip local pool コマンドを使用して、さらに大きいプールを割り当てることを検討します。

213005

エラー メッセージ %PIX|ASA-3-213005%: Dynamic-Access-Policy action (DAP) action aborted

説明 この接続に対して作成された動的アクセス ポリシーにより、セッションの終了が決定されました。

推奨処置 動的アクセス ポリシーは、ユーザの認可権限およびリモート エンドポイント デバイスのポスチャ アセスメント結果に基づいて設定済みアクセス ポリシーを選択することにより、動的に作成されます。作成された動的ポリシーは、セッションを終了する必要があることを示しています。

213006

エラー メッセージ %PIX|ASA-3-21306%: Unable to read dynamic access policy record.

説明 DAP ポリシー レコード データの取得でエラーが発生したか、またはアクションのコンフィギュレーションが欠落していました。設定済みの動的アクセス ポリシー レコードの読み取りでエラーが発生しました。

推奨処置 コンフィギュレーションの変更によって、動的アクセス ポリシー レコードが削除された可能性があります。ASDM を使用して、動的アクセス ポリシー レコードを再作成します。

214001

エラー メッセージ %PIX|ASA-2-214001: Terminating manager session from IP_address on interface interface_name . Reason: incoming encrypted data ( number bytes) longer than number bytes

説明 セキュリティ アプライアンス管理ポート向けの着信暗号化データ パケットは、パケット長が指摘された上限を超えていることを示します。これは敵対イベントの場合があります。セキュリティ アプライアンスは、ただちにこの管理接続を終了します。

推奨処置 管理接続が Cisco Secure Policy Manager によって開始されたことを確認します。

215001

エラー メッセージ %PIX|ASA-2-215001:Bad route_compress() call, sdb= number

説明 内部ソフトウェア エラーが発生しました。

推奨処置 Cisco TAC にお問い合せください。

217001

エラー メッセージ %PIX|ASA-2-217001: No memory for string in string

説明 メモリ不足が原因で動作が失敗しました。

推奨処置 十分なメモリが存在する場合は、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。

216001

エラー メッセージ %ASA- n -216001: internal error in: function : message

説明 このメッセージは、正常動作中に発生してはならないさまざまな内部エラーを報告します。重大度は、メッセージの原因によって異なります。

n :メッセージの重大度。

function :影響を受けたコンポーネント。

message :問題の原因を説明するメッセージ。

推奨処置 Bug Toolkit で特定のテキスト メッセージを検索します。また、 アウトプット インタープリタ を使用して問題の解決を試みます。問題が解決しない場合、Cisco TAC にお問い合せください。

216002

エラー メッセージ PIX|ASA-3-216002: Unexpected event (major: major_id , minor: minor_id ) received by task_string in function at line: line_num

説明 このメッセージは、タスクがイベント通知に登録したが、そのタスクが特定のイベントを処理できない場合に表示されます。監視できるイベントには、キュー、ブーリアン、タイマー サービスなどに関連付けられているイベントが含まれます。登録されているイベントのいずれかが発生した場合、スケジューラはタスクを再起動してイベントを処理します。このメッセージは、予期しないイベントがタスクを再起動したので、タスクがそのイベントの処理方法を認識していない場合に生成されます。

イベントが未処理のままになっている場合、そのイベントが頻繁にタスクを再起動して処理されていることを確認しますが、これは正常状態では発生してはならないことです。このメッセージが表示された場合、必ずしもボックスが使用できないという意味ではなく、問題が発生し、調査する必要があることを意味しています。

major_id :イベント識別子。

minor_id :イベント識別子。

task_string :タスクが自分自身を認識するために通過させたカスタム文字列。

function :予期しないイベントを受信した機能。

line_num :コード中の行番号。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

216003

エラー メッセージ %PIX|ASA-3-216003: Unrecognized timer timer_ptr , timer_id received by task_string in function at line: line_num

説明 このメッセージは、予期しないタイマー イベントがタスクを再起動し、タスクがそのイベントの処理方法を認識していない場合に表示されます。タスクは、一連のタイマー サービスをスケジューラに登録できます。タイマーのいずれかが期限満了になった場合、スケジューラはタスクを再起動してアクションを実行します。このメッセージは、認識できないタイマー イベントによってタスクが再起動された場合に生成されます。

期限満了になったタイマーは、タスクが未処理のままになっている場合、途切れることなくタスクを再起動して処理されていることを確認しますが、これは望ましいことではありません。これは正常状態では発生してはならないことです。このメッセージが表示された場合、必ずしもボックスが使用できないという意味ではなく、問題が発生し、調査する必要があることを意味しています。

timer_ptr :タイマーへのポインタ。

timer_id :タイマー識別子。

task_string :タスクが自分自身を認識するために通過させたカスタム文字列。

function :予期しないイベントを受信した機能。

line_num :コード中の行番号。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

216004

エラー メッセージ %PIX|ASA-4-216004:prevented: error in function at file ( line ) - stack trace

説明 このシステム ログ メッセージは、内部ロジック エラーを報告します。このエラーは、正常動作中に発生してはならないものです。

error :内部ロジック エラー。考えられるエラーは、次のとおりです。

例外

ヌル ポインタの逆参照

範囲外の配列インデックス

無効なバッファ サイズ

入力からの書き込み

送信元と宛先の重複

無効な日付

配列インデックスからのアクセス オフセット

function :エラーを生成した呼び出し機能。

file(line) :エラーを生成したファイルと行番号。

stack trace :完全なコール スタック トレースバック。呼び出し機能から開始します。たとえば、("0x001010a4 0x00304e58 0x00670060 0x00130b04")。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

218001

エラー メッセージ %PIX|ASA-2-218001: Failed Identification Test in slot# [ fail #/ res ].

説明 セキュリティ アプライアンスの slot# のモジュールが、シスコ純正製品として識別できませんでした。シスコの保証およびサポート プログラムは、シスコ純正製品だけに適用されます。シスコは、サポート問題の原因がシスコ製以外のメモリ、SSM モジュール、SSC カードなどのモジュールに関連していると判断した場合、現在の保証またはシスコ サポート プログラム(SmartNet など)の下でのサポートを拒否することがあります。

推奨処置 このメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されるメッセージをそのままコピーします。アウトプット インタープリタを使用して、エラーを調査し、解決を試みます。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合せください。

218002

エラー メッセージ %PIX|ASA-2-218002: Module ( slot# ) is a registered proto-type for Cisco Lab use only, and not certified for live network operation.

説明 指摘された場所のハードウェアが、シスコのラボで製造されたプロトタイプ モジュールです。

推奨処置 このメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されるメッセージをそのままコピーします。アウトプット インタープリタを使用して、エラーを調査し、解決を試みます。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合せください。

218003

エラー メッセージ %PIX|ASA-2-218003: Module Version in <slot#> is obsolete. The module in slot = <slot#> is obsolete and must be returned via RMA to Cisco Manufacturing. If it is a lab unit, it must be returned to Proto Services for upgrade.

説明 このシステム ログ メッセージは、古いハードウェアが検出された場合、またはそのモジュールに対して show module コマンドが入力された場合に生成されます。このシステム ログ メッセージは、生成が開始されると、その後は毎分生成されます。

推奨処置 このメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されるメッセージをそのままコピーします。アウトプット インタープリタを使用して、エラーを調査し、解決を試みます。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合せください。

218004

エラー メッセージ %PIX|ASA-2-218004: Failed Identification Test in slot# [ fail# / res ]

説明 指摘された場所でハードウェアを識別しているときに問題が発生しました。

推奨処置 このメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されるメッセージをそのままコピーします。アウトプット インタープリタを使用して、エラーを調査し、解決を試みます。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合せください。

219002

エラー メッセージ %ASA-3-219002: I2C_API_name error, slot = slot_number , device = device_number , address = address , byte count = count . Reason: reason_string

説明 I2C シリアル バス API が失敗しました。ハードウェアまたはソフトウェアの問題が原因である可能性があります。

I2C_API_name :失敗した I2C API。

I2C_read_byte_w_wait()

I2C_read_word_w_wait()

I2C_read_block_w_wait()

I2C_write_byte_w_wait()

I2C_write_word_w_wait()

I2C_write_block_w_wait()

I2C_read_byte_w_suspend()

I2C_read_word_w_suspend()

I2C_read_block_w_suspend()

I2C_write_byte_w_suspend()

I2C_write_word_w_suspend()

I2C_write_block_w_suspend()

slot_number :このシステム ログ メッセージを生成した I/O 動作が行われたスロットの番号(16 進数)。スロット番号は、シャーシ内のスロットとして一意でないことがあります。シャーシによっては、2 つの異なるスロットが同じ I2C スロット番号を持つことがあります。また、値は必ずしもスロット数以下ではありません。値は、I2C ハードウェアがどのように配線されているかによって異なります。

device_number :I/O 動作が行われたスロット上のデバイスの番号(16 進数)。

address :I/O 動作が行われたデバイスのアドレス(16 進数)。

byte_count :I/O 動作のバイト数(10 進数)。

error_string :エラーの原因。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。このシステム ログ メッセージが継続的に表示されず、数分後に表示されなくなる場合は、I2C シリアル バスのビジー状態が原因である可能性があります。

2. システムで実行しているソフトウェアを再起動します。

3. 電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

メッセージ 302003 ~ 336011

この項では、302003 から 336011 までのメッセージについて説明します。

302003

エラー メッセージ %PIX|ASA-6-302003: Built H245 connection for foreign_address outside_address / outside_port local_address inside_address / inside_port

説明 これは接続関連のメッセージです。このメッセージは、H.245 接続が outside_address から inside_address に向けて開始されている場合に表示されます。このメッセージが発生するのは、セキュリティ アプライアンスが Intel インターネット電話の使用を検出した場合だけです。外部ポートは、セキュリティ アプライアンス外部からの接続にしか表示されません。ローカル ポート値(内部ポート)は、内部インターフェイスで開始された接続にしか表示されません。

推奨処置 不要です。

302004

エラー メッセージ %PIX|ASA-6-302004: Pre-allocate H323 UDP backconnection for foreign_address outside_address / outside_port to local_address inside_address /inside_port

説明 これは接続関連のメッセージです。このメッセージは、H.323 UDP バック接続がローカル アドレス( inside_address )から外部アドレス( outside_address )に事前割り当てされている場合に表示されます。このメッセージが発生するのは、セキュリティ アプライアンスが Intel インターネット電話の使用を検出した場合だけです。外部ポート( outside_port )は、セキュリティ アプライアンス外部からの接続にしか表示されません。ローカル ポート値(inside_port)は、内部インターフェイスで開始された接続にしか表示されません。

推奨処置 不要です。

302009

エラー メッセージ %PIX|ASA-6-302009: Rebuilt TCP connection number for foreign_address outside_address / outside_port global_address global_address / global_port local_address inside_address / inside_port

説明 これは接続関連のメッセージです。このメッセージは、フェールオーバー後に TCP 接続が再確立された後に表示されます。同期パケットは相手側セキュリティ アプライアンスに送信されません。 outside_address IP アドレスは外部ホストであり、 global_address IP アドレスは低セキュリティ レベルのインターフェイス上のグローバル アドレスであり、 inside_address IP アドレスは高セキュリティ レベルのインターフェイス上のセキュリティ アプライアンスの「背後にある」ローカル IP アドレスです。

推奨処置 不要です。

302010

エラー メッセージ %PIX|ASA-6-302010: connections in use, connections most used

説明 これは接続関連のメッセージです。このメッセージは、TCP 接続が再開された後に表示されます。 connections は接続の数です。

推奨処置 不要です。

302012

エラー メッセージ %PIX|ASA-6-302012: Pre-allocate H225 Call Signalling Connection for faddr IP_address / port to laddr IP_address

説明 H.225 二次チャネルは事前割り当て済みです。

推奨処置 不要です。

302013

エラー メッセージ %PIX|ASA-6-302013: Built {inbound|outbound} TCP connection _ id for interface:real-address/real-port ( mapped-address/mapped-port ) to interface:real-address / real-port ( mapped-address/mapped-port ) [( user )]

説明 2 つのホスト間の TCP 接続スロットが作成されました。

connection_id は、一意の識別子です。

interface real-address real-port は、実際のソケットを特定します。

mapped-address、mapped-port は、マッピングされたソケットを特定します。

user は、ユーザの AAA の名前です。

inbound が表示されている場合、元の制御接続は外部から開始されています。たとえば、FTP の場合、元の制御チャネルが着信であれば、すべてのデータ転送チャネルは着信です。outbound が表示されている場合、元の制御接続は内部から開始されています。

推奨処置 不要です。

302014

エラー メッセージ %PIX|ASA-6-302014: Teardown TCP connection id for interface:real-address/real-port to interface:real-address/real-port duration hh:mm:ss bytes bytes [ reason ] [( user )]

説明 2 つのホスト間の TCP 接続が削除されました。メッセージの値は次のとおりです。

connection id は、一意の識別子です。

interface、real-address、real-port は、実際のソケットを特定します。

duration は、接続のライフタイムです。

bytes は、接続中のデータ転送量です。

user は、ユーザの AAA の名前です。

reason 変数は、接続を終了させるアクションを示します。 reason 変数には、 表1-2 に示されている TCP 終了の原因の 1 つが設定されています。

 

表1-2 TCP 終了の原因

原因
説明

Conn-timeout

接続は、設定されているアイドル タイムアウトよりも長時間アイドルであったため終了しました。

Deny Terminate

フローは、アプリケーション検査によって終了されました。

Failover primary closed

アクティブ装置から受信したメッセージが原因で、フェールオーバー ペアのスタンバイ装置が接続を削除しました。

FIN Timeout

最終 ACK を 10 分間待機した後、またはハーフクローズ タイムアウト後の強制終了。

Flow closed by inspection

フローは、検査機能によって終了されました。

Flow terminated by IPS

フローは、IPS によって終了されました。

Flow reset by IPS

フローは、IPS によってリセットされました。

Flow terminated by TCP Intercept

フローは、TCP 代行受信によって終了されました。

Invalid SYN

SYN パケットが無効。

Idle Timeout

接続は、タイムアウト値よりも長時間アイドルであったためタイムアウトしました。

IPS fail-close

フローは、IPS カードのダウンのため終了されました。

SYN Control

誤った側からのバック チャネル開始。

SYN Timeout

3 ウェイ ハンドシェイクの完了を 30 秒間待機した後の強制終了。

TCP bad retransmission

不良 TCP 再送が原因で接続は終了しました。

TCP FINs

正常なクローズ ダウン シーケンス。

TCP Invalid SYN

無効な TCP SYN パケット。

TCP Reset-I

内部からリセットされました。

TCP Reset-O

外部からリセットされました。

TCP segment partial overlap

部分的に重複するセグメントを検出しました。

TCP unexpected window size variation

TCP ウィンドウ サイズに変動があるため接続は終了しました。

Tunnel has been torn down

トンネルがダウンしているため、フローは終了しました。

Unauth Deny

URL フィルタにより拒否されました。

Unknown

その他の各種エラー。

Xlate Clear

コマンドライン削除。

推奨処置 不要です。

302015

エラー メッセージ %PIX|ASA-6-302015: Built {inbound|outbound} UDP connection number for interface_name:real_address/real_port ( mapped_address/mapped_port ) to interface_name:real_address / real_port ( mapped_address/mapped_port ) [( user )]

説明 2 つのホスト間の UDP 接続スロットが作成されました。メッセージの値は次のとおりです。

connection number :一意の識別子。

interface、real_address、real_port :実際のソケット。

mapped_address/mapped_port :マッピングされているソケット。

user :ユーザの AAA の名前です。

inbound が表示されている場合、元の制御接続は外部から開始されています。たとえば、UDP の場合、元の制御チャネルが着信であれば、すべてのデータ転送チャネルは着信です。outbound が表示されている場合、元の制御接続は内部から開始されています。

推奨処置 不要です。

302016

エラー メッセージ %PIX|ASA-6-302016: Teardown UDP connection number for interface:real-address/real-port to interface:real-address/real-port duration hh:mm:ss bytes bytes [( user )]

説明 2 つのホスト間の UDP 接続スロットが削除されました。メッセージの値は次のとおりです。

connection number は、一意の識別子です。

interface、real_address、real_port は、実際のソケットです。

time は、接続のライフタイムです。

bytes は、接続中のデータ転送量です。

connection id は、一意の識別子です。

nterface、real_address、real_port は、実際のソケットです。

duration は、接続のライフタイムです。

bytes は、接続中のデータ転送量です。

user は、ユーザの AAA の名前です。

推奨処置 不要です。

302017

エラー メッセージ %PIX|ASA-6-302017: Built { inbound | outbound }
GRE connection id from
interface:real_address ( translated_address ) to
interface:real_address/real_cid
( translated_address/translated_cid )[( user )

説明 2 つのホスト間の GRE 接続スロットが作成されました。 id は、一意の識別子です。 interface、real_address、real_cid タプルは、2 つのシンプレックス PPTP GRE ストリームのうちの 1 つを特定します。括弧付きの translated_address translated_cid タプルは、NAT で変換された値を特定します。

inbound が表示されている場合、接続は着信だけに使用できます。 outbound が表示されている場合、接続は発信だけに使用できます。メッセージの値は次のとおりです。

id :接続を識別するための一意の番号。

inbound :制御接続は着信 PPTP GRE フロー用です。

outbound :制御接続は発信 PPTP GRE フロー用です。

interface_name :インターフェイス名。

real_address :実際のホストの IP アドレス。

real_cid :変換されてない接続の call-ID。

translated_address :変換後の IP アドレス。

translated_cid :変換されたコール。

user :AAA のユーザ名。

推奨処置 これは情報メッセージです。

302018

エラー メッセージ %PIX|ASA-6-302018: Teardown GRE connection id from
interface:real_address ( translated_address ) to
interface:real_address/real_cid
( translated_address/translated_cid )
duration hh:mm:ss bytes bytes [( user )]

説明 2 つのホスト間の GRE 接続スロットが削除されました。 interface、real_address、real_port タプルは、実際のソケットを特定します。 Duration は、接続のライフタイムと見なされます。メッセージの値は次のとおりです。

id :接続を識別するための一意の番号。

interface :インターフェイス名。

real_address :実際のホストの IP アドレス。

real_port :実際のホストのポート番号。

hh:mm:ss :時:分:秒の形式の時間。

bytes :GRE セッションで転送された PPP バイトの数。

reason :接続が終了された原因。

user :AAA のユーザ名。

推奨処置 これは情報メッセージです。

302019

エラー メッセージ %PIX|ASA-3-302019: H.323 library_name ASN Library failed to initialize, error code number

説明 指摘された ASN ライブラリ(セキュリティ アプライアンスが H.323 メッセージのデコードに使用するライブラリ)の初期化に失敗しました。セキュリティ アプライアンスは到着する H.323 パケットのデコードも検査もできません。セキュリティ アプライアンスは、何も修正を加えずに H.323 パケットが通過できるようにします。次の H.323 メッセージが到着すると、セキュリティ アプライアンスはライブラリを再度初期化しようとします。

推奨処置 このメッセージが特定のライブラリに対して始終生成される場合は、Cisco TAC にお問い合せのうえ、すべてのログ メッセージ(タイムスタンプ付きが望ましい)を送付してください。

302020

エラー メッセージ %PIX|ASA-6-302020: Built {in | out}bound ICMP connection for faddr { faddr | icmp_seq_num} gaddr { gaddr | cmp_type } laddr laddr

説明 inspect icmp コマンドを使用してステートフル ICMP をイネーブルにしたときに、ICMP セッションがファースト パスで確立されました。

推奨処置 不要です。

302021

エラー メッセージ %PIX|ASA-6-302021: Teardown ICMP connection for faddr { faddr | icmp_seq_num } gaddr { gaddr | cmp_type } laddr laddr

説明 inspect icmp コマンドを使用してステートフル ICMP をイネーブルにしたときに、ICMP セッションがファースト パスで削除されました。

推奨処置 不要です。

302033

エラー メッセージ %PIX|ASA-6-302033:Pre-allocated H323 GUP Connection for faddr interface : foreign address / foreign-port to laddr interface : local-address / local-port

説明 これは接続関連のメッセージです。このメッセージは、GUP 接続が外部アドレスからローカル アドレスに向けて開始されている場合に表示されます。外部ポートは、セキュリティ デバイスの外部からの接続にしか表示されません。ローカル ポート値(内部ポート)は、内部インターフェイスで開始された接続にしか表示されません。

interface :インターフェイス名。

foreign-address :外部ホストの IP アドレス。

foreign-port :外部ホストのポート番号。

local-address :ローカル ホストの IP アドレス。

local-port :ローカル ホストのポート番号。

推奨処置 不要です。

302034

エラー メッセージ %PIX|ASA-4-302034: Unable to pre-allocate H323 GUP Connection for faddr interface : foreign address / foreign-port to laddr interface : local-address / local-port

説明 モジュールが、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。

interface :インターフェイス名。

foreign-address :外部ホストの IP アドレス。

foreign-port :外部ホストのポート番号。

local-address :ローカル ホストの IP アドレス。

local-port :ローカル ホストのポート番号。

推奨処置 このメッセージが一定期間ごとに発生する場合は、無視してかまいません。頻繁に繰り返される場合は、Cisco TAC にお問い合せください。グローバル プールのサイズを確認して、内部のネットワーク クライアント数と比較できます。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または増設メモリを購入してみます。

302302

エラー メッセージ %PIX|ASA-3-302302: ACL = deny; no sa created

説明 IPSec プロキシがミスマッチです。ネゴシエートした SA のプロキシ ホストは、deny access-list コマンド ポリシーに対応します。

推奨処置 コンフィギュレーションの access-list コマンド文を確認します。ピアの管理者にお問い合せください。

303002

エラー メッセージ PIX-6-303002: FTP connection from src_ifc : src_ip / src_port to

dst_ifc : dst_ip / dst_port , user username action file filename

説明 このイベントは、クライアントが FTP サーバにファイルをアップロードするか、または FTP サーバからファイルをダウンロードすると必ず生成されます。

src_ifc :クライアントが常駐するインターフェイス。

src_ip :クライアントの IP アドレス。

src_port :クライアント ポート。

dst_ifc :サーバが常駐するインターフェイス。

dst_ip :FTP サーバの IP アドレス。

dst_port :サーバ ポート。

username :FTP ユーザ名。

action :格納/取得アクション。

filename :格納または取得されたファイル。

推奨処置 不要です。

303003

エラー メッセージ %PIX|ASA-5-303003: FTP cmd_string command denied - failed strict inspection, terminating connection from %s:%A/%d to %s:%A/%d\n.

説明 このメッセージは、FTP トラフィックに厳密な FTP 検査を使用している場合に生成されます。これは、FTP 要求メッセージが装置に認識されないコマンドを含んでいる場合に表示されます。

推奨処置 不要です。

303004

エラー メッセージ %PIX|ASA-5-303004: FTP cmd_string command unsupported - failed strict inspection, terminating connection from source_interface : source_address / source_port to dest_interface : dest_address / dest_interface

説明 このメッセージは、FTP トラフィックに厳密な FTP 検査を使用している場合に生成されます。これは、FTP 要求メッセージが装置に認識されないコマンドを含んでいる場合に表示されます。

推奨処置 不要です。

303005

エラー メッセージ %PIX|ASA-5-303005: Strict FTP inspection matched match_string in policy-map policy-name , action_string from src_ifc : sip / sport to dest_ifc : dip / dport

説明 このメッセージは、FTP 検査で、設定済みの値(ファイル名、ファイル タイプ、要求コマンド、サーバ、ユーザ名)のいずれかと一致した場合に生成されます。その後、このシステム ログ メッセージの action_string で指摘されたアクションが実行されます。

match_string :ポリシー マップ内の match 節。

policy-name :一致したポリシー マップ。

action_string :実行するアクション。たとえば、「Reset Connection」。

src_ifc :送信元インターフェイス名。

sip :送信元 IP アドレス。

sport :送信元ポート。

dest_ifc :宛先インターフェイス名。

dip :宛先 IP アドレス。

dport :宛先ポート。

推奨処置 不要です。

304001

エラー メッセージ %PIX|ASA-5-304001: user source_address Accessed {JAVA URL|URL} dest_address : url .

説明 これは FTP/URL メッセージです。このメッセージは、指摘されたホストが指摘された URL にアクセスしようとした場合に表示されます。

推奨処置 不要です。

304002

エラー メッセージ %PIX|ASA-5-304002: Access denied URL chars SRC IP_address DEST IP_address : chars

説明 これは FTP/URL メッセージです。このメッセージは、送信元アドレスから指摘された URL または FTP サイトへのアクセスが拒否された場合に表示されます。

推奨処置 不要です。

304003

エラー メッセージ %PIX|ASA-3-304003: URL Server IP_address timed out URL url

説明 URL サーバがタイムアウトになっています。

推奨処置 不要です。

304004

エラー メッセージ %PIX|ASA-6-304004: URL Server IP_address request failed URL url

説明 これは FTP/URL メッセージです。このメッセージは、Websense サーバ要求が失敗した場合に表示されます。

推奨処置 不要です。

304005

エラー メッセージ %PIX|ASA-7-304005: URL Server IP_address request pending URL url

説明 これは FTP/URL メッセージです。このメッセージは、Websense サーバ要求が保留中の場合に表示されます。

推奨処置 不要です。

304006

エラー メッセージ %PIX|ASA-3-304006: URL Server IP_address not responding

説明 これは FTP/URL メッセージです。Websense サーバはアクセスに使用できません。セキュリティ アプライアンスは、Websense サーバがインストールされている唯一のサーバである場合は同サーバに、または複数のサーバがある場合は別のサーバに、アクセスしようとします。

推奨処置 不要です。

304007

エラー メッセージ %PIX|ASA-2-304007: URL Server IP_address not responding, ENTERING ALLOW mode.

説明 これは FTP/URL メッセージです。このメッセージは、filter コマンドの allow オプションを使用し、Websense サーバが応答しなかった場合に表示されます。セキュリティ アプライアンスは、サーバが使用できない間すべての Web 要求がフィルタリングせずに継続できるようにします。

推奨処置 不要です。

304008

エラー メッセージ %PIX|ASA-2-304008: LEAVING ALLOW mode, URL Server is up.

説明 これは FTP/URL メッセージです。このメッセージは、filter コマンドの allow オプションを使用し、セキュリティ アプライアンスが、以前は応答しなかった Websense サーバから応答メッセージを受け取った場合に表示されます。この応答メッセージによりセキュリティ アプライアンスは allow モードを終了します。これで URL フィルタリング機能が再びイネーブルになります。

推奨処置 不要です。

304009

エラー メッセージ %PIX|ASA-7-304009: Ran out of buffer blocks specified by url-block command

説明 URL 保留バッファ ブロックが領域を使い切りました。

推奨処置 url-block block block_size コマンドを入力して、バッファ ブロック サイズを変更します。

305005

エラー メッセージ %PIX|ASA-3-305005: No translation group found for protocol src interface_name:dest_address / dest_port dst interface_name : source_address/source_port

説明 パケットがどの発信 nat コマンド規則とも一致しません。

推奨処置 このメッセージはコンフィギュレーション エラーを示します。送信元ホストにダイナミック NAT が望ましい場合は、 nat コマンドが送信元 IP アドレスと一致することを確認します。送信元ホストにスタティック NAT が望ましい場合は、 static コマンドのローカル IP アドレスが一致することを確認します。送信元ホストに NAT が望ましくない場合は、NAT 0 ACL にバインドされている ACL を確認します。

305006

エラー メッセージ %PIX|ASA-3-305006: {outbound static|identity|portmap|regular) translation creation failed for protocol src interface_name:source_address/source_port dst interface_name:dest_address/dest_port

説明 プロトコル(UDP、TCP、または ICMP)がセキュリティ アプライアンス経由で変換を作成できませんでした。このメッセージは、ネットワーク アドレスまたはブロードキャスト アドレスに向けたパケットをセキュリティ アプライアンスが許可しないよう要求した警告 CSCdr00663 に対する解決策と考えられます。セキュリティ アプライアンスは、static コマンド文で明示的に識別されるアドレスに対してこのチェックを行います。変更により、着信トラフィックに対してセキュリティ アプライアンスは、ネットワーク アドレスまたはブロードキャスト アドレスと特定された宛先 IP アドレスの変換を拒否します。

セキュリティ アプライアンスは、すべての ICMP メッセージ タイプに PAT を適用するのではなく、ICMP エコーとエコー応答パケット(タイプ 8 と 0)に限り PAT を適用します。特に、ICMP エコーまたはエコー応答だけが、PAT xlate を作成します。したがって、他の ICMP メッセージ タイプが廃棄されるとき、システム ログ メッセージ 305006 が生成されます(セキュリティ アプライアンス上で)。

セキュリティ アプライアンスは、設定済み static コマンド文のグローバル IP とマスクを利用して、標準 IP アドレスを、ネットワーク IP アドレスまたはブロードキャスト IP アドレスと区別します。グローバル IP アドレスが、一致するネットワーク マスクを持つ有効なネットワーク アドレスである場合、セキュリティ アプライアンスは着信パケットのネットワーク IP アドレスまたはブロードキャスト IP アドレスに対して変換を作成しません。

次に例を示します。

static (inside,outside) 10.2.2.128 10.1.1.128 netmask 255.255.255.128

グローバル アドレス 10.2.2.128 はネットワーク アドレスとして応答され、10.2.2.255 はブロードキャスト アドレスとして応答されます。既存の変換がない場合セキュリティ アプライアンスは、10.2.2.128 または 10.2.2.255 向けの着信パケットを拒否して、これをシステム ログ メッセージに記録します。

疑わしい IP がホスト IP である場合、サブネット スタティックの直前にホスト マスクをもつ別の static コマンド文を設定します(static コマンド文に対する最初の一致規則)。次のスタティックでは、セキュリティ アプライアンスがホスト アドレスとして 10.2.2.128 に応答します。

static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.255
static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.128

変換は、疑わしい IP アドレスを持つ内部ホストで開始されるトラフィックによって作成される可能性があります。セキュリティ アプライアンスはネットワーク IP アドレスまたはブロードキャスト IP アドレスを重複したサブネット スタティック コンフィギュレーションを持つホスト IP と見なすので、両方の static コマンド文のネットワーク アドレス変換は同じである必要があります。

推奨処置 不要です。

305007

エラー メッセージ %PIX|ASA-6-305007: addrpool_free(): Orphan IP IP_address on interface interface_number

説明 セキュリティ アプライアンスが、自分のグローバル プールで見つけられないアドレスを変換しようとしました。セキュリティ アプライアンスは、アドレスが削除されているとして、要求を廃棄します。

推奨処置 不要です。

305008

エラー メッセージ %PIX|ASA-3-305008: Free unallocated global IP address.

説明 セキュリティ アプライアンス カーネルは、割り当てられていないグローバル IP アドレスを解放してアドレス プールに戻そうとしたときに、不整合状態を検出しました。この異常状態は、セキュリティ アプライアンスがステートフル フェールオーバー セットアップを実行中で、一部の内部状態がアクティブ装置とスタンバイ装置との間で瞬間的に同期していない場合に発生する可能性があります。この状態は破局的なものではなく、同期は自動的に回復します。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

305009

エラー メッセージ %PIX|ASA-6-305009: Built {dynamic|static} translation from interface_name [( acl-name )]: real_address to interface_name:mapped_address

説明 アドレス変換スロットが作成されました。スロットは、ローカル側からグローバル側に送信元アドレスを変換します。逆に、スロットは、グローバル側からローカル側に宛先アドレスを変換します。

推奨処置 不要です。

305010

エラー メッセージ %PIX|ASA-6-305010: Teardown {dynamic|static} translation from interface_name:real_address to interface_name:mapped_address duration time

説明 アドレス変換スロットが削除されました。

推奨処置 不要です。

305011

エラー メッセージ %PIX|ASA-6-305011: Built {dynamic|static} {TCP|UDP|ICMP} translation from interface_name:real_address/real_port to interface_name:mapped_address/mapped_port

説明 TCP、UDP、または ICMP アドレス変換スロットが作成されました。スロットは、ローカル側からグローバル側に送信元ソケットを変換します。逆に、スロットは、グローバル側からローカル側に宛先ソケットを変換します。

推奨処置 不要です。

305012

エラー メッセージ %PIX|ASA-6-305012: Teardown {dynamic|static} {TCP|UDP|ICMP} translation from interface_name [( acl-name )]: real_address /{ real_port | real_ICMP_ID }to interface_name:mapped_address /{ mapped_port | mapped_ICMP_ID } duration time

説明 アドレス変換スロットが削除されました。

推奨処置 不要です。

308001

エラー メッセージ %PIX|ASA-6-308001: console enable password incorrect for number tries (from IP_address )

説明 これはセキュリティ アプライアンス管理メッセージです。このメッセージは、特権モードに入るためにユーザがパスワードを指摘された回数だけ誤って入力した後に表示されます。最大試行回数は 3 回です。

推奨処置 パスワードを確認し、再度試行します。

308002

エラー メッセージ %PIX|ASA-4-308002: static global_address inside_address netmask netmask overlapped with global_address inside_address

説明 1 つまたは複数の static コマンド文の IP アドレスが重複しています。 global_address は低セキュリティ レベルのインターフェイス上のアドレスであるグローバル アドレスであり、 inside_address は高セキュリティ レベルのインターフェイス上のアドレスであるローカル アドレスです。

推奨処置 show static コマンドを使用してコンフィギュレーションの static コマンド文を表示し、重複しているコマンドを修正します。最も一般的な重複は、10.1.1.0 などのネットワーク アドレスを指定して、別の static コマンドで 10.1.1.5 などその範囲内にあるホストを指定する場合に発生します。

311001

エラー メッセージ %PIX|ASA-6-311001: LU loading standby start

説明 スタンバイ セキュリティ アプライアンスが最初にオンラインになるときに、ステートフル フェールオーバー アップデート情報がスタンバイ セキュリティ アプライアンスに送信されました。

推奨処置 不要です。

311002

エラー メッセージ %PIX|ASA-6-311002: LU loading standby end

説明 ステートフル フェールオーバー アップデート情報が、スタンバイ セキュリティ アプライアンスへの送信を停止しました。

推奨処置 不要です。

311003

エラー メッセージ %PIX|ASA-6-311003: LU recv thread up

説明 アップデート肯定応答がスタンバイ セキュリティ アプライアンスから受信されました。

推奨処置 不要です。

311004

エラー メッセージ %PIX|ASA-6-311004: LU xmit thread up

説明 このメッセージは、ステートフル フェールオーバー アップデートがスタンバイ セキュリティ アプライアンスに送信される場合に表示されます。

推奨処置 不要です。

312001

エラー メッセージ %PIX|ASA-6-312001: RIP hdr failed from IP_address : cmd= string , version= number domain= string on interface interface_name

説明 セキュリティ アプライアンスが応答以外のオペレーション コードを持つ RIP メッセージを受信し、メッセージはこのインターフェイスで予想されるバージョン番号とは異なる番号を持ち、ルーティング ドメインのエントリは非ゼロでした。

推奨処置 これは情報メッセージですが、別の RIP 装置がセキュリティ アプライアンスと通信するように正しく設定されていないことを示している可能性もあります。

313001

エラー メッセージ %PIX|ASA-3-313001: Denied ICMP type= number , code= code from IP_address on interface interface_name

説明 icmp コマンドをアクセス リストと共に使用している場合、最初に一致したエントリが許可エントリであれば、ICMP パケットは処理を続行します。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しなかった場合、セキュリティ アプライアンスは ICMP パケットを廃棄し、このシステム ログ メッセージを生成します。 icmp コマンドは、インターフェイスへの ping をイネーブルまたはディセーブルにします。ping をディセーブルにすると、セキュリティ アプライアンスがネットワーク上で検出できなくなります。この機能は、設定可能なプロキシ ping とも呼ばれます。

推奨処置 ピア装置の管理者にお問い合せください。

313004

エラー メッセージ %PIX|ASA-4-313004:Denied ICMP type= icmp_type , from source_address oninterface interface_name to dest_address :no matching session

説明 ステートフル ICMP 機能で追加されたセキュリティ チェックのため、ICMP パケットがセキュリティ アプライアンスによって廃棄されました。通常、これに該当するのは、すでにセキュリティ アプライアンスを通過した有効なエコー要求を含まない ICMP エコー応答、またはすでにセキュリティ アプライアンスで確立されている TCP、UDP、または ICMP セッションに関連しない ICMP エラー メッセージのいずれかです。

推奨処置 不要です。

313005

エラー メッセージ %PIX|ASA-4-313005: No matching connection for ICMP error message: icmp_msg_info on interface_name interface. Original IP payload: embedded_frame_info icmp_msg_info = icmp src src_interface_name : src_address dst dest_interface_name : dest_address (type icmp_type , code icmp_code ) embedded_frame_info = prot src source_address / source_port dst dest_address / dest_port

説明 ICMP エラー メッセージがセキュリティ アプライアンスですでに確立されているどのセッションとも関連しないため、ICMP エラー パケットがセキュリティ アプライアンスによって廃棄されました。

推奨処置 原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

313008

エラー メッセージ %PIX|ASA-3-313008: Denied ICMPv6 type= number , code= code from IP_address on interface interface_name

説明 icmp コマンドをアクセス リストと共に使用している場合、最初に一致したエントリが許可エントリであれば、ICMPv6 パケットは処理を続行します。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しなかった場合、セキュリティ アプライアンスは ICMPv6 パケットを廃棄し、このシステム ログ メッセージを生成します。

icmp コマンドは、インターフェイスへの ping をイネーブルまたはディセーブルにします。ping をディセーブルにすると、セキュリティ アプライアンスがネットワーク上で検出できなくなります。この機能は、「設定可能なプロキシ ping」とも呼ばれます。

推奨処置 ピア装置の管理者にお問い合せください。

314001

エラー メッセージ %PIX|ASA-6-314001: Pre-allocated RTSP UDP backconnection for src_intf : src_IP to dst_intf : dst_IP / dst_port.

説明 サーバからデータを受信する RTSP クライアントに対して UDP メディア チャネルを開きます。

src_intf :送信元インターフェイス名。

src_IP :送信元インターフェイスの IP アドレス。

dst_intf :宛先インターフェイス名。

dst_IP :宛先 IP アドレス。

dst_port :宛先ポート。

推奨処置 不要です。

314002

エラー メッセージ %PIX|ASA-6-314002: RTSP failed to allocate UDP media connection from src_intf : src_IP to dst_intf : dst_IP / dst_port : reason_string.

説明 セキュリティ アプライアンスがメディア チャネルに対して新しいピンホールを開くことができません。

src_intf :送信元インターフェイス名。

src_IP :送信元インターフェイスの IP アドレス。

dst_intf :宛先インターフェイス名。

dst_IP :宛先 IP アドレス。

dst_port :宛先ポート。

reason_string :Pinhole already exists | Unknown。

推奨処置 原因が「unknown」である場合は、セキュリティ デバイスのメモリが不足しているため、利用可能な空きメモリを確認するか( show memory )、使用されている接続数を確認します( show conn )。

314003

エラー メッセージ %PIX|ASA-6-314003: Dropped RTSP traffic from src_intf : src_ip due to: reason.

説明 RTSP メッセージに予約ポート範囲内のポートが含まれているか、または最大許容制限を超える長さの URL が含まれているため、RTSP メッセージがユーザ設定の RTSP セキュリティ ポリシーに違反しました。

src_intf :送信元インターフェイス名。

src_IP :送信元インターフェイスの IP アドレス。

reason :次の 2 つの原因のいずれかが関連しています。

Endpoint negotiating media ports in the reserved port range from 0 to 1024(エンドポイントが予約ポート範囲 0 ~ 1024 のメディア ポートをネゴシエートしている)

URL length of <url length> bytes exceeds the maximum <url length limit> bytes(URL の長さ(<url length> バイト)が最大長(<url length limit> バイト)を超えている)

推奨処置 RTSP クライアントがセキュリティ ポリシーに違反するメッセージを送信する原因を調査します。要求された URL が正当である場合は、RTSP ポリシー マップで、より長い URL 長制限を指定して、ポリシーを緩和できます。

314004

エラー メッセージ %PIX|ASA-6-314004: RTSP client src_intf:src_IP accessed RTSP URL RTSP URL

説明 RTSP クライアントが RTSP サーバにアクセスしようとしました。

src_intf :送信元インターフェイス名。

src_IP :送信元インターフェイスの IP アドレス。

RTSP URL :RTSP サーバの URL。

推奨処置 不要です。

314005

エラー メッセージ %PIX|ASA-6-314005: RTSP client src_intf:src_IP denied access to URL RTSP_URL.

説明 RTSP クライアントが、セキュリティ アプライアンスに設定済みの禁止サイトにアクセスしようとしました。

src_intf :送信元インターフェイス名。

src_IP :送信元インターフェイスの IP アドレス。

RTSP_URL :RTSP サーバの URL。

推奨処置 不要です。

314006

エラー メッセージ %PIX|ASA-6-314006: RTSP client src_intf:src_IP exceeds configured rate limit of rate for request_method messages.

説明 特定の RTSP 要求メッセージが、RTSP ポリシーの設定済みレート制限を超えました。

src_intf :送信元インターフェイス名。

src_IP :送信元インターフェイスの IP アドレス。

rate :設定済みのレート制限。

request_method :要求メッセージのタイプ。

推奨処置 クライアントからの特定の RTSP 要求メッセージがレート制限を超えた原因を調査します。

315004

エラー メッセージ %PIX|ASA-3-315004: Fail to establish SSH session because RSA host key retrieval failed.

説明 セキュリティ アプライアンスが、SSH セッションの確立に必要なセキュリティ アプライアンス RSA ホスト キーを見つけられませんでした。ホスト キーが生成されていなかったため、またはこのセキュリティ アプライアンスのライセンスが DES または 3DES を許可しないために、セキュリティ アプライアンス ホスト キーがない可能性があります。

推奨処置 セキュリティ アプライアンス コンソールから show crypto key mypubkey rsa コマンドを入力して、RSA ホスト キーがあることを確認します。ホスト キーがない場合は、 show version コマンドを入力して、DES または 3DES が許可されていることを確認します。RSA ホスト キーがある場合は、SSH セッションを再開始します。RSA ホスト キーを生成するには、 crypto key mypubkey rsa コマンドを入力します。

315011

エラー メッセージ %PIX|ASA-6-315011: SSH session from IP_address on interface interface_name for user user disconnected by SSH server, reason: reason

説明 このメッセージは、SSH セッションが完了した後に表示されます。ユーザが quit または exit を入力すると、 terminated normally メッセージが表示されます。別の原因でセッションが切断された場合は、テキストで原因が説明されます。 表1-3 に、考えられるセッション切断の原因を示します。

 

表1-3 SSH 切断の原因

テキスト文字列
説明
アクション

Bad checkbytes

SSH キー交換中にチェック バイトにミスマッチが検出されました。

SSH セッションを再開始します。

CRC check failed

特定のパケットに対して計算された CRC 値が、パケットに埋め込まれている CRC 値と一致しません。パケットが不良です。

不要です。このメッセージが引き続き表示される場合は、Cisco TAC にお問い合せください。

Decryption failure

SSH キーの交換中に SSH セッション キーの解読が失敗しました。

RSA ホスト キーを確認し、再度試行します。

Format error

非プロトコル バージョンのメッセージが、SSH バージョン交換中に受信されました。

SSH クライアントをチェックし、サポート対象のバージョンであることを確認します。

Internal error

このメッセージは、セキュリティ アプライアンス上の SSH の内部エラー、あるいは RSA キーがセキュリティ アプライアンスに入力されていないか、または取得できないことを示します。

セキュリティ アプライアンス コンソールから show crypto key mypubkey rsa コマンドを入力して、RSA ホスト キーがあることを確認します。ホスト キーがない場合は、 show version コマンドを入力して、DES または 3DES が許可されていることを確認します。RSA ホスト キーがある場合は、SSH セッションを再開始します。RSA ホスト キーを生成するには、 crypto key mypubkey rsa コマンドを入力します。

Invalid cipher type

SSH クライアントがサポートされていない暗号を要求しました。

show version コマンドを入力し、ライセンスがサポートしている機能を確認してから、サポートされている暗号を使用するように SSH クライアントを再設定します。

Invalid message length

セキュリティ アプライアンスに到着する SSH メッセージの長さが 262,144 バイトを超えているか、または 4,096 バイト未満です。データが破損している可能性があります。

不要です。

Invalid message type

セキュリティ アプライアンスが非 SSH メッセージを受信したか、あるいはサポートされていない SSH メッセージまたは要求されていない SSH メッセージを受信しました。

ピアが SSH クライアントであるかどうかを確認します。ピアが SSHv1 をサポートしているクライアントであり、このメッセージが引き続き表示される場合は、セキュリティ アプライアンス シリアル コンソールから debug ssh コマンドを入力して、デバッグ メッセージを取り込み、Cisco TAC にお問い合せください。

Out of memory

このメッセージは、セキュリティ アプライアンスが SSH サーバが使用するメモリを割り当てられず、おそらくはトラフィックが多いためにセキュリティ アプライアンスがビジーになっている場合に表示されます。

後で SSH セッションを再開始します。

Rejected by server

ユーザ認証が失敗しました。

ユーザ名とパスワードを確認するようユーザに求めます。

Reset by client

SSH クライアントが
SSH_MSG_DISCONNECT メッセージをセキュリティ アプライアンスに送信しました。

不要です。

status code: hex ( hex )

ユーザが、SSH コンソールで quit または exit を入力せずに、SSH クライアント ウィンドウ(Windows で実行中)を閉じました。

不要です。クライアントをただ終了するのではなく、正常に終了するようユーザにお勧めします。

Terminated by operator

SSH セッションが、セキュリティ アプライアンス コンソールで
ssh disconnect コマンドの入力により終了されました。

不要です。

Time-out activated

SSH セッションが、ssh timeout コマンドで指定された継続時間を超えたため、タイムアウトしました。

SSH 接続を再開始します。ssh timeout コマンドを使用して、5 分のデフォルト値を必要に応じて最大 60 分まで延長することができます。

推奨処置 不要です。

316001

エラー メッセージ %PIX|ASA-3-316001: Denied new tunnel to IP_address . VPN peer limit ( platform_vpn_peer_limit ) exceeded

説明 プラットフォーム VPN ピアの上限でサポートされているよりも多くの VPN トンネル(ISAKMP/IPSec)を同時に確立しようとした場合、過剰なトンネルは打ち切られます。

推奨処置 不要です。

317001

エラー メッセージ %PIX|ASA-3-317001: No memory available for limit_slow

説明 要求された動作がメモリ不足状態が原因で失敗しました。

推奨処置 他のシステム アクティビティを減らして、メモリ要求を緩和します。条件によって保証される場合は、さらにメモリ容量の大きな構成にアップグレードします。

317002

エラー メッセージ %PIX|ASA-3-317002: Bad path index of number for IP_address , number max

説明 ソフトウェア エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

317003

エラー メッセージ %PIX|ASA-3-317003: IP routing table creation failure - reason

説明 内部ソフトウェア エラーが発生したため、新しい IP ルーティング テーブルの作成が妨げられました。

推奨処置 エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

317004

エラー メッセージ %PIX|ASA-3-317004: IP routing table limit warning

説明 名前付き IP ルーティング テーブル内のルート数が、設定された警告制限に到達しました。

推奨処置 テーブルのルート数を減らすか、制限を設定し直します。

317005

エラー メッセージ %PIX|ASA-3-317005: IP routing table limit exceeded - reason , IP_address netmask

説明 追加のルートはテーブルに加えられます。

推奨処置 テーブルのルート数を減らすか、制限を設定し直します。

317006

エラー メッセージ %PIX|ASA-3-317006: Pdb index error pdb, pdb_index, pdb_type

説明 pdb に対するインデックスが範囲外です。

pdb :Protocol Descriptor Block、Pdb インデックス エラーの記述子。

pdb_index :Pdb インデックス識別子。

pdb_type :Pdb インデックス エラーのタイプ。

推奨処置 問題が解決しない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco TAC にお問い合せのうえ、TAC の担当者に収集した情報をご提供ください。

318001

エラー メッセージ %PIX|ASA-3-318001: Internal error: reason

説明 内部ソフトウェア エラーが発生しました。このメッセージは 5 秒ごとに表示されます。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

318002

エラー メッセージ %PIX|ASA-3-318002: Flagged as being an ABR without a backbone area

説明 ルータには、ルータで設定されたバックボーン エリアのないエリア境界ルータ(ABR)としてフラグが付いています。このメッセージは 5 秒ごとに表示されます。

推奨処置 OSPF プロセスを再起動します。

318003

エラー メッセージ %PIX|ASA-3-318003: Reached unknown state in neighbor state machine

説明 内部ソフトウェア エラーが発生しました。このメッセージは 5 秒ごとに表示されます。

推奨処置 不要です。

318004

エラー メッセージ %PIX|ASA-3-318004: area string lsid IP_address mask netmask adv IP_address type number

説明 OSPF でリンクステート アドバタイズメント(LSA)の検出に問題が生じました。これはメモリ リークにつながる可能性があります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

318005

エラー メッセージ %PIX|ASA-3-318005: lsid ip_address adv IP_address type number gateway gateway_address metric number network IP_address mask netmask protocol hex attr hex net-metric number

説明 OSPF で、そのデータベースと IP ルーティング テーブルとの間に不整合が検出されました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

318006

エラー メッセージ %PIX|ASA-3-318006: if interface_name if_state number

説明 内部エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

318007

エラー メッセージ %PIX|ASA-3-318007: OSPF is enabled on interface_name during idb initialization

説明 内部エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

318008

エラー メッセージ %PIX|ASA-3-318008: OSPF process number is changing router-id. Reconfigure virtual link neighbors with our new router-id

説明 OSPF プロセスがリセット中で、新しいルータ ID を選択しようとしています。このアクションによってすべての仮想リンクが停止させられます。

推奨処置 すべての近隣仮想リンクの仮想リンク コンフィギュレーションを、新しいルータ ID を反映するように変更します。

318009

エラー メッセージ %PIX|ASA-3-318009: OSPF: Attempted reference of stale data encountered in function , line: line_num

説明 このメッセージは、OSPF が動作中で、他の場所で削除された一部の関連データ構造を参照しようとする場合に表示されます。インターフェイスおよびルータのコンフィギュレーションを消去すると、問題が解決する可能性があります。しかし、このメッセージが表示される場合は、シーケンスの一部のステップによってデータ構造の早期削除が生じているので、調査する必要があります。

function :予期しないイベントを受信した機能。

line_num :コード中の行番号。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

319001

エラー メッセージ %PIX|ASA-3-319001: Acknowledge for arp update for IP address dest_address not received ( number ).

説明 セキュリティ アプライアンス内の ARP プロセスが、システムのオーバーロードが原因で内部同期外れになっています。

推奨処置 ただちに対応する必要はありません。一時的なエラーです。システムの平均負荷をチェックし、許容量を超えて使用されていないことを確認します。

319002

エラー メッセージ %PIX|ASA-3-319002: Acknowledge for route update for IP address dest_address not received ( number ).

説明 セキュリティ アプライアンス内のルーティング モジュールが、システムのオーバーロードが原因で内部同期外れになっています。

推奨処置 ただちに対応する必要はありません。一時的なエラーです。システムの平均負荷をチェックし、許容量を超えて使用されていないことを確認します。

319003

エラー メッセージ %PIX|ASA-3-319003: Arp update for IP address address to NPn failed.

説明 ARP エントリをアップデートする必要がある場合、内部 ARP テーブルをアップデートするためにネットワーク プロセッサ(NP)にメッセージが送信されます。モジュールでメモリ使用率が高くなっている場合、または内部テーブルが満杯になっている場合は、NP へのメッセージが拒否されて、このメッセージが生成される可能性があります。

推奨処置 ARP テーブルが満杯であるかどうかを確認します。満杯ではない場合、CPU 使用率および秒あたりの接続数に関してモジュールの負荷を調べます。CPU 使用率が高いか、秒あたりの接続数が多い場合、負荷が正常に戻ると正常動作が再開されます。

319004

エラー メッセージ %PIX|ASA-3-319004: Route update for IP address dest_address failed ( number ).

説明 FWSM 内のルーティング モジュールが、システムのオーバーロードが原因で内部同期外れになっています。

推奨処置 ただちに対応する必要はありません。一時的なエラーです。システムの平均負荷をチェックし、許容量を超えて使用されていないことを確認します。

320001

エラー メッセージ %PIX|ASA-3-320001: The subject name of the peer cert is not allowed for connection

説明 セキュリティ アプライアンスが簡単な VPN リモート装置またはサーバである場合、ピア証明書には ca verifycertdn コマンドと一致しないサブジェクト名が含まれています。

推奨処置 このメッセージは、「中間者攻撃」を示している可能性もあります。これは、デバイスがピア IP アドレスをスプーフィングし、セキュリティ アプライアンスから VPN 接続を代行受信しようとするものです。

321001

エラー メッセージ %PIX|ASA-5-321001: Resource var1 limit of var2 reached.

説明 指摘されたリソースの設定使用率またはレート制限に達しました。

推奨処置 不要です。

321002

エラー メッセージ %PIX|ASA-5-321002: Resource var1 rate limit of var2 reached.

説明 指摘されたリソースの設定使用率またはレート制限に達しました。

推奨処置 不要です。

321003

エラー メッセージ %PIX|ASA-6-321003: Resource var1 log level of var2 reached.

説明 指摘されたリソースの設定リソース使用率またはレート ログ レベルに達しました。

推奨処置 不要です。

321004

エラー メッセージ %PIX|ASA-6-321004: Resource var1 rate log level of var2 reached

説明 指摘されたリソースの設定リソース使用率またはレート ログ レベルに達しました。

推奨処置 不要です。

322001

エラー メッセージ %PIX|ASA-3-322001: Deny MAC address MAC_address, possible spoof attempt on interface interface

説明 セキュリティ アプライアンスが、指摘されたインターフェイス上の攻撃 MAC アドレスからパケットを受信しましたが、パケットの送信元 MAC アドレスはコンフィギュレーション内の別のインターフェイスに静的にバインドされています。これは、MAC スプーフィング攻撃または設定の誤りのいずれかが原因となっている可能性があります。

推奨処置 コンフィギュレーションを調べ、攻撃ホストを突き止めるか、またはコンフィギュレーションを訂正して適切な処置を行います。

322002

エラー メッセージ %PIX|ASA-3-322002: ARP inspection check failed for arp {request|response} received from host MAC_address on interface interface . This host is advertising MAC Address MAC_address_1 for IP Address IP_address , which is {statically|dynamically} bound to MAC Address MAC_address_2 .

説明 ARP 検査モジュールは、イネーブルになっている場合、パケット内でアドバタイズされる新しい ARP エントリが、静的に設定された IP-MAC アドレスまたは動的に取得された IP-MAC アドレスのバインディングに従っているかどうかをチェックしてから、セキュリティ アプライアンスを介して ARP パケットを転送します。このチェックが失敗した場合、ARP 検査モジュールは ARP パケットを廃棄し、このメッセージを生成します。この状況は、ネットワーク内の ARP スプーフィング攻撃または無効なコンフィギュレーション(IP-MAC バインディング)が原因となっている可能性があります。

推奨処置 原因が攻撃にある場合、ACL を使用してホストを拒否することができます。原因が無効なコンフィギュレーションにある場合、バインディングを修正します。

322003

エラー メッセージ %PIX|ASA-3-322003:ARP inspection check failed for arp {request|response} received from host MAC_address on interface interface . This host is advertising MAC Address MAC_address_1 for IP Address IP_address , which is not bound to any MAC Address.

説明 ARP 検査モジュールは、イネーブルになっている場合、パケット内でアドバタイズされる新しい ARP エントリが、静的に設定された IP-MAC アドレスのバインディングに従っているかどうかをチェックしてから、セキュリティ アプライアンスを介して ARP パケットを転送します。このチェックが失敗した場合、ARP 検査モジュールは ARP パケットを廃棄し、このメッセージを生成します。この状況は、ネットワーク内の ARP スプーフィング攻撃または無効なコンフィギュレーション(IP-MAC バインディング)が原因となっている可能性があります。

推奨処置 原因が攻撃にある場合、ACL を使用してホストを拒否することができます。原因が無効なコンフィギュレーションにある場合、バインディングを修正します。

322004

エラー メッセージ %PIX|ASA-6-322004: No management IP address configured for transparent firewall. Dropping protocol protocol packet from interface_in : source_address / source_port to interface_out : dest_address / dest_port

説明 管理 IP アドレスが透過モードで設定されていないため、セキュリティ アプライアンスがパケットを廃棄しました。

protocol :プロトコルの文字列または値。

interface_in :入力インターフェイス名。

source_address :パケットの送信元 IP アドレス。

source_port :パケットの送信元ポート。

interface_out :出力インターフェイス名。

dest_address :パケットの宛先 IP アドレス。

dest_port :パケットの宛先ポート。

推奨処置 装置に管理 IP アドレスとマスクの値を設定します。

323001

エラー メッセージ %ASA-3-323001: Module in slot slotnum experienced a control channel communications failure.

説明 システムが、制御チャネルを介して、スロット slot に設置されているモジュールと通信できません。

slotnum :障害が発生したスロット。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。このエラーの場合、スロットは必ず 1 となります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

323002

エラー メッセージ %ASA-3-323002: Module in slot slotnum is not able to shut down, shut down request not answered.

説明 スロット slot に設置されているモジュールが、シャットダウン要求に応答しませんでした。

slotnum :障害が発生したスロット。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。このエラーの場合、スロットは必ず 1 となります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

323003

エラー メッセージ %ASA-3-323003: Module in slot slotnum is not able to reload, reload request not answered.

説明 スロット slot に設置されているモジュールが、リロード要求に応答しませんでした。

slotnum :障害が発生したスロット。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。このエラーの場合、スロットは必ず 1 となります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

323004

エラー メッセージ %ASA-3-323004: Module in slot slotnum failed to write software v newver (currently v ver ), reason . Hw-module reset is required before further use.

説明 指摘されたスロット番号のモジュールがソフトウェア バージョンに対応できませんでした。UNRESPONSIVE 状態に移行します。モジュールは、ソフトウェアがアップデートされるまで使用できません。

slotnum :モジュールが存在しているスロット番号。

newver :モジュールへの書き込みが正常に終了しなかったソフトウェアの新しいバージョン番号(1.0(1)0 など)。

ver :モジュール上のソフトウェアの現在のバージョン番号(1.0(1)0 など)。

reason :新しいバージョンがモジュールに書き込みできなかった理由。 reason に考えられる値は、次のとおりです。

write failure

failed to create a thread to write the image

推奨処置 モジュールは、 hw-module module slotnum reset を使用してリセットしてから、さらにアップグレードの試行を行う必要があります。モジュール ソフトウェアは、アップデートできない場合、使用できなくなります。モジュールがシャーシにしっかりと取り付けられていることを確認します。問題が解決しない場合、Cisco TAC にお問い合せください。

323005

エラー メッセージ %ASA-3-323005: Module in slot slotnum can not be powered on completely

説明 このメッセージは、モジュールが完全には電源投入できないことを示します。モジュールは、この状態が修正されるまで、UNRESPONSIVE 状態のままになります。この原因は、モジュールがスロットに正しく取り付けられていないためだと考えられます。

slotnum :モジュールが存在しているスロット番号。

推奨処置 モジュールがスロットに正しく取り付けられていることを確認し、モジュールのステータス LED が点灯しているかどうかをチェックします。モジュールを正しく取り付け直した後、モジュールが電源投入されたことをシステムが認識するまで数分かかることがあります。モジュールが取り付けられていることを確認し、 hw-module module slotnum reset コマンドを使用してモジュールをリセットした後もこのメッセージが表示される場合は、Cisco TAC にお問い合せください。

323006

エラー メッセージ %ASA-1-323006: Type Module in slot slot experienced a data channel communication failure, data channel is DOWN.

説明 このメッセージは、データ チャネル通信障害が発生し、システムが SSM にトラフィックを転送できなかったことを示しています。この障害が HA コンフィギュレーションのアクティブ アプライアンスで発生した場合は、フェールオーバーがトリガーされます。また、この障害によって、通常は SSM に送信されるトラフィックに、設定済みのフェール オープン ポリシーまたはフェール クローズ ポリシーが適用されます。このメッセージは、システム モジュールと SSM の間でセキュリティ アプライアンスのデータプレーンを介した通信上の問題が発生すると必ず生成されます。このような問題は、SSM が停止、リセット、または取り外された場合に発生する可能性があります。

Type :SSM のタイプ(たとえば、ASA-SSM-10)。

slot :障害が発生したスロット(たとえば、スロット 1)。

推奨処置 このメッセージが SSM のリロードまたはリセットの結果として生成されたのではなく、SSM が UP 状態に戻った後に、対応するメッセージ 1-505010 が表示されない場合は、 hw-module module 1 reset コマンドによるモジュールのリセットが必要になることがあります。

324000

エラー メッセージ %PIX|ASA-3-324000: Drop GTPv version message msg_type from source_interface : source_address / source_port to dest_interface : dest_address / dest_port Reason: reason

説明 処理中のパケットが、 reason 変数に記述されているフィルタリング要件を満たしていないため、廃棄されました。

推奨処置 不要です。

324001

エラー メッセージ %PIX|ASA-3-324001: GTPv0 packet parsing error from source_interface : source_address / source_port to dest_interface : dest_address / dest_port , TID: tid_value , Reason: reason

説明 パケットの処理にエラーがありました。考えられる原因は次のとおりです。

必須 IE の不足

必須 IE の誤り

IE の順序の誤り

無効なメッセージ フォーマット

オプション IE の誤り

無効な TEID

不明な IE

不正な長さのフィールド

不明な GTP メッセージ

短すぎるメッセージ

予期しないメッセージの表示

ヌル TID

サポートされていないバージョン

推奨処置 このメッセージが一定期間ごとに表示される場合は、無視してかまいません。このメッセージが頻繁に表示される場合は、エンドポイントが攻撃の一部として不良パケットを送信している可能性があります。

324002

エラー メッセージ %PIX|ASA-3-324002: No PDP[MCB] exists to process GTPv0 msg_type from source_interface : source_address / source_port to dest_interface : dest_address / dest_port , TID: tid_value

説明 このメッセージが 321100: Memory allocation Error(メモリ割り当てのエラー)の後に表示される場合、メッセージは PDP コンテキストを作成するのに十分なリソースがなかったことを示します。メッセージ 321100 の後に表示されなかった場合、バージョン 0 では対応する PDP コンテキストが見つからなかったことを示します。バージョン 1 では、メッセージ 324001 の後にこのメッセージが表示された場合、パケット処理エラーが発生して動作が停止ました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

324003

エラー メッセージ %PIX|ASA-3-324003: No matching request to process GTPv version msg_type from source_interface:source_address/source_port to source_interface:dest_address/dest_port

説明 受信した応答は、要求キューと一致する要求が含まれていないため、それ以上処理されません。

推奨処置 このメッセージが一定期間ごとに表示される場合は、無視してかまいません。しかし、このメッセージが頻繁に表示される場合は、エンドポイントが攻撃の一部として不良パケットを送信している可能性があります。

324004

エラー メッセージ %PIX|ASA-3-324004: GTP packet with version%d from source_interface : source_address / source_port to dest_interface : dest_address / dest_port is not supported

説明 処理中のパケットが、現在サポートされているバージョン 0 またはバージョン 1 以外のバージョンになっています。プリント アウトされているバージョン番号が誤った番号であり、頻繁に表示される場合は、エンドポイントが攻撃の一部として不良パケットを送信している可能性があります。

推奨処置 不要です。

324005

エラー メッセージ %PIX|ASA-3-324005: Unable to create tunnel from source_interface : source_address / source_port to dest_interface : dest_address / dest_port

説明 TPDU のトンネルを作成する試行中にエラーが発生しました。

推奨処置 このメッセージが一定期間ごとに発生する場合は、無視してかまいません。頻繁に繰り返される場合は、Cisco TAC にお問い合せください。

324006

エラー メッセージ %PIX|ASA-3-324006:GSN IP_address tunnel limit tunnel_limit exceeded, PDP Context TID tid failed

説明 要求を送信している GSN が、作成される最大許容トンネル数を超えたため、トンネルが作成されません。

推奨処置 トンネル制限を増やす必要があるかどうか、またはネットワークへの攻撃の可能性があるかどうかを確認します。

324007

エラー メッセージ %PIX|ASA-3-324007: Unable to create GTP connection for response from source_address/0 to dest_address/dest_port

説明 異なる SGSN または GGSN に対して TPDU のトンネルを作成する試行中にエラーが発生しました。

推奨処置 デバッグおよびメッセージを調べて、接続が適切に作成されなかった理由を確認します。問題が解決しない場合、Cisco TAC にお問い合せください。

324300

エラー メッセージ %PIX-3-324300: Radius Accounting Request from from_addr has an incorrect request authenticator

説明 ホストに共有秘密が設定されている場合は、その秘密によって要求オーセンティケータが検証されます。検証に失敗すると、ログに記録され、パケット処理が停止します。

from_addr :RADIUS アカウンティング要求を送信しているホストの IP アドレス。

推奨処置 正しい共有秘密が設定されていることを確認します。正しい共有秘密が設定されている場合は、パケットの送信元を入念にチェックし、スプーフィングされていないことを確認します。

324301

エラー メッセージ %PIX|ASA-3-324301: Radius Accounting Request has a bad header length hdr_len , packet length pkt_len

説明 アカウンティング要求メッセージのヘッダーに示されているパケット長が実際のパケット長と異なるため、パケット処理が停止します。

hdr_len :要求のヘッダーに示されているパケット長。

pkt_len :実際のパケット長。

推奨処置 パケットがスプーフィングされていないことを確認します。パケットが正当である場合は、パケットを取り込み、システム ログ メッセージで指摘されているように、ヘッダーに示されているパケット長が誤っていることを確認します。ヘッダーに示されているパケット長が正しく、問題が解決しない場合は、Cisco TAC にお問い合せください。

325001

エラー メッセージ %PIX|ASA-3-325001: Router ipv6_address on interface has conflicting ND (Neighbor Discovery) settings

説明 リンク上の別のルータが、矛盾するパラメータを持つルータ アドバタイズメントを送信しました。 ipv6_address は相手側ルータの IPv6 アドレスです。 interface は相手側ルータとのリンクのインターフェイス名です。

推奨処置 リンク上の IPv6 ルータがすべて、 hop_limit , managed_config_flag other_config_flag reachable_time および ns_interval についてルータ アドバタイズメントに同じパラメータを持つことを確認し、複数のルータによってアドバタイズされる、同じプレフィクスの優先される有効なライフタイムが同じであることを確認します。インターフェイスごとにパラメータを示すには、コマンド show ipv6 interface を入力します。

325002

エラー メッセージ %PIX|ASA-4-325002: Duplicate address ipv6_address / MAC_address on interface

説明 別のシステムが IPv6 アドレスを使用しています。 ipv6_address は相手側ルータの IPv6 アドレスです。 MAC_address は、既知の場合は相手側システムの MAC アドレス、それ以外の場合は「unknown」です。 interface は、相手側システムとのリンクのインターフェイス名です。

推奨処置 2 つのシステムのうちの 1 つの IPv6 アドレスを変更します。

325003

エラー メッセージ %PIX-3-325003: EUI-64 source address check failed. Dropped packet from interface_in:source_address/source_port to dest_address/dest_port with source MAC address MAC_address.

説明 このパケットの入力インターフェイスに ipv6 enforce-eui64 コマンドが設定されていますが、パケットの送信元アドレスが、送信元 MAC アドレスから導出された正しい EUI-64 アドレスではありません。

推奨処置 不要です。

326001

エラー メッセージ %PIX|ASA-3-326001: Unexpected error in the timer library: error_message

説明 管理対象タイマー イベントが、コンテキストも適切なタイプもなしで受信されたか、あるいはハンドラがありません。このメッセージは、キューに入るイベントの数がシステム制限を超えたため、後で処理が試行される場合にも表示されます。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326002

エラー メッセージ %PIX|ASA-3-326002: Error in error_message : error_message

説明 IGMP プロセスが要求に応じてシャットダウンできませんでした。このシャットダウンに備えて実行されるイベントが同期していない可能性があります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326004

エラー メッセージ %PIX|ASA-3-326004: An internal error occurred while processing a packet queue

説明 IGMP パケット キューがパケットを持たない信号を受信しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326005

エラー メッセージ %PIX|ASA-3-326005: Mrib notification failed for ( IP_address, IP_address )

説明 データ駆動型イベントをトリガーするパケットが受信され、MRIB を通知する試行が失敗しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326006

エラー メッセージ %PIX|ASA-3-326006: Entry-creation failed for ( IP_address, IP_address )

説明 MFIB は MRIB からエントリのアップデートを受信しましたが、表示されるアドレスに関連するエントリを作成できませんでした。このためメモリ不足が生じる可能性があります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326007

エラー メッセージ %PIX|ASA-3-326007: Entry-update failed for ( IP_address, IP_address )

説明 MFIB が MRIB からインターフェイスのアップデートを受信しましたが、表示されるアドレスに関連するインターフェイスを作成できませんでした。その結果メモリ不足が生じる可能性があります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326008

エラー メッセージ %PIX|ASA-3-326008: MRIB registration failed

説明 MFIB が MRIB に登録できませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326009

エラー メッセージ %PIX|ASA-3-326009: MRIB connection-open failed

説明 MFIB が MRIB への接続を開けませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326010

エラー メッセージ %PIX|ASA-3-326010: MRIB unbind failed

説明 MFIB が MRIB からアンバインドできませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326011

エラー メッセージ %PIX|ASA-3-326011: MRIB table deletion failed

説明 MFIB が削除されるはずだったテーブルを取得できませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326012

エラー メッセージ %PIX|ASA-3-326012: Initialization of string functionality failed

説明 機能の初期化が失敗しました。このコンポーネントは引き続き、機能なしでも動作する可能性があります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326013

エラー メッセージ %PIX|ASA-3-326013: Internal error: string in string line %d (%s)

説明 MRIB で基本エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326014

エラー メッセージ %PIX|ASA-3-326014: Initialization failed: error_message error_message

説明 MRIB が初期化できませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326015

エラー メッセージ %PIX|ASA-3-326015: Communication error: error_message error_message

説明 MRIB が形式が誤っているアップデートを受信しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326016

エラー メッセージ %PIX|ASA-3-326016: Failed to set un-numbered interface for interface_name ( string )

説明 PIM トンネルが送信元アドレスがないため使用できませんでした。この状況は、番号付きインターフェイスが見つからなかったため、または何らかの内部エラーが原因で発生します。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326017

エラー メッセージ %PIX|ASA-3-326017: Interface Manager error - string in string : string

説明 PIM トンネル インターフェイスを作成中に、エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326019

エラー メッセージ %PIX|ASA-3-326019: string in string : string

説明 PIM RP トンネル インターフェイスを作成中に、エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326020

エラー メッセージ %PIX|ASA-3-326020: List error in string : string

説明 PIM インターフェイス リストを処理中に、エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326021

エラー メッセージ %PIX|ASA-3-326021: Error in string : string

説明 PIM トンネル インターフェイスの SRC を設定中に、エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326022

エラー メッセージ %PIX|ASA-3-326022: Error in string : string

説明 PIM プロセスが要求に応じてシャットダウンできませんでした。このシャットダウンに備えて実行されるイベントが同期していない可能性があります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326023

エラー メッセージ %PIX|ASA-3-326023: string - IP_address : string

説明 PIM グループ範囲を処理中に、エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326024

エラー メッセージ %PIX|ASA-3-326024: An internal error occurred while processing a packet queue.

説明 PIM パケット キューがパケットを持たない信号を受信しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326025

エラー メッセージ %PIX|ASA-3-326025: string

説明 メッセージ送信の試行中に、内部エラーが発生しました。PIM トンネル IDB の削除など、メッセージの受信時に発生するようスケジュールされたイベントが行われない可能性があります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326026

エラー メッセージ %PIX|ASA-3-326026: Server unexpected error: error_messsage

説明 MRIB がクライアントを登録できませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326027

エラー メッセージ %PIX|ASA-3-326027: Corrupted update: error_messsage

説明 MRIB が破損したアップデートを受信しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326028

エラー メッセージ %PIX|ASA-3-326028: Asynchronous error: error_messsage

説明 MRIB API で未処理の非同期エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

327001

エラー メッセージ %PIX|ASA-3-327001: IP SLA Monitor: Cannot create a new process

説明 IP SLA モニタが新しいプロセスを開始できませんでした。

推奨処置 システム メモリを確認します。メモリが不足している場合は、それが原因であると考えられます。メモリが利用可能になったときに、コマンドを再入力してみます。問題が解決しない場合、Cisco TAC にお問い合せください。

327002

エラー メッセージ %PIX|ASA-3-327002: IP SLA Monitor: Failed to initialize, IP SLA Monitor functionality will not work

説明 IP SLA モニタが初期化に失敗しました。この状態は、タイマー ホイールのタイマー機能が初期化に失敗した場合、またはプロセスを作成できなかった場合に発生します。この状態の原因は、タスクを完了するために利用できるメモリが十分でないことが考えられます。

推奨処置 システム メモリを確認します。メモリが不足している場合は、それが原因であると考えられます。メモリが利用可能になったときに、コマンドを再入力してみます。問題が解決しない場合、Cisco TAC にお問い合せください。

327003

エラー メッセージ %PIX|ASA-3-327003: IP SLA Monitor: Generic Timer wheel timer functionality failed to initialize

説明 IP SLA モニタがタイマー ホイールを初期化できませんでした。

推奨処置 システム メモリを確認します。メモリが不足している場合は、そのためにタイマー ホイール機能が初期化されませんでした。メモリが利用可能になったときに、コマンドを再入力してみます。問題が解決しない場合、Cisco TAC にお問い合せください。

328001

エラー メッセージ %PIX|ASA-3-328001: Attempt made to overwrite a set stub function in string .

説明 レジストリ チェック付きスタブが起動されたときのコールバックとして、1 つの機能を設定できます。このメッセージは、コールバック機能がすでに設定されていたため、新しいコールバックの設定試行が失敗したことを示しています。

string :機能の名前。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

329001

エラー メッセージ %PIX|ASA-3-329001: The string0 subblock named string1 was not removed

説明 ソフトウェア エラーが発生しました。このメッセージは、IDB サブブロックを削除できない場合に表示されます。

string0 :SWIDB または HWIDB。

string1 :サブブロックの名前。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

331001

エラー メッセージ ASA|PIX-3-331001: Dynamic DNS Update for ' fqdn_name ' <=> ip_address failed

説明 このメッセージは、ダイナミック DNS サブシステムが DNS サーバ上のリソース レコードをアップデートできなかった場合に生成されます。この障害は、セキュリティ アプライアンスが DNS サーバにアクセスできない場合、または対象のシステム上で DNS サービスが動作していない場合に発生する可能性があります。

fqdn_name :DNS アップデートが試行された完全修飾ドメイン名。

ip_address :DNS アップデートの IP アドレス。

推奨処置 DNS サーバが設定されており、セキュリティ アプライアンスから到達可能であることを確認します。問題が解決しない場合、Cisco TAC にお問い合せください。

331002

エラー メッセージ ASA|PIX-5-331002: Dynamic DNS type RR for (' fqdn_name ' -> ip_address | ip_address -> ' fqdn_name ') successfully updated in DNS server dns_server_ip

説明 このメッセージは、DNS サーバでダイナミック DNS アップデートが成功した場合に生成されます。

type :リソース レコードのタイプ(「A」や「PTR」など)。

fqdn_name :DNS アップデートが試行された完全修飾ドメイン名。

ip_address :DNS アップデートの IP アドレス。

dns_server_ip :DNS サーバの IP アドレス。

332001

エラー メッセージ %ASA|PIX-3-332001: Unable to open cache discovery socket, WCCP V2 closing down.

説明 内部エラーです。WCCP プロセスが、キャッシュからのプロトコル メッセージのリスンに使用される UDP ソケットを開くことができなかったことを示しています。

推奨処置 IP コンフィギュレーションが正しいこと、および少なくとも 1 つの IP アドレスが設定されていることを確認します。

332002

エラー メッセージ %ASA|PIX-3-332002: Unable to allocate message buffer, WCCP V2 closing down.

説明 内部エラーです。WCCP プロセスが、着信プロトコル メッセージを保持するためのメモリを割り当てることができなかったことを示しています。

推奨処置 すべてのプロセスに利用可能な十分なメモリがあることを確認します。

332003

エラー メッセージ %ASA|PIX-5-332003: Web Cache IP_address / service_ID acquired

説明 セキュリティ アプライアンスの Web キャッシュからのサービスが取得されました。

IP_address :Web キャッシュの IP アドレス。

service_ID :WCCP サービス識別子。

推奨処置 不要です。

332004

エラー メッセージ %ASA|PIX-1-332004: Web Cache IP_address / service_ID lost

説明 セキュリティ アプライアンスの Web キャッシュからのサービスが失われました。

IP_address :Web キャッシュの IP アドレス。

service_ID :WCCP サービス識別子。

推奨処置 指摘された Web キャッシュの動作を確認します。

333001

エラー メッセージ %PIX|ASA-6-333001: EAP association initiated - context: EAP-context

説明 リモート ホストとの EAP アソシエーションが開始されました。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 不要です。

333002

エラー メッセージ %PIX|ASA-5-333002: Timeout waiting for EAP response - context: EAP-context

説明 EAP 応答を待っている間にタイムアウトが発生しました。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 不要です。

333003

エラー メッセージ %PIX|ASA-6-333003: EAP association terminated - context: EAP-context

説明 リモート ホストとの EAP アソシエーションが終了しました。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 不要です。

333004

エラー メッセージ %PIX|ASA-7-333004: EAP-SQ response invalid - context: EAP-context

説明 EAP ステータス クエリーの応答が、基本的なパケット検証に失敗しました。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

333005

エラー メッセージ %PIX|ASA-7-333005: EAP-SQ response contains invalid TLV(s) - context: EAP-context

説明 EAP ステータス クエリーの応答に、1 つまたは複数の無効な TLV が含まれています。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

333006

エラー メッセージ %PIX|ASA-7-333006: EAP-SQ response with missing TLV(s) - context: EAP-context

説明 EAP ステータス クエリーの応答に、1 つまたは複数の必須 TLV がありません。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

333007

エラー メッセージ %PIX|ASA-7-333007: EAP-SQ response TLV has invalid length - context: EAP-context

説明 EAP ステータス クエリーの応答に、無効な長さの TLV が含まれています。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

333008

エラー メッセージ %PIX|ASA-7-333008: EAP-SQ response has invalid nonce TLV - context: EAP-context

説明 EAP ステータス クエリーの応答に、無効なナンス TLV が含まれています。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

333009

エラー メッセージ %PIX|ASA-6-333009: EAP-SQ response MAC TLV is invalid - context: EAP-context

説明 EAP ステータス クエリーの応答に、計算された MAC と一致しない MAC が含まれています。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

333010

エラー メッセージ %PIX|ASA-5-333010: EAP-SQ response Validation Flags TLV indicates PV request - context: EAP-context

説明 EAP ステータス クエリーの応答に、ピアが完全なポスチャ検証を要求したことを示す Validation Flags TLV が含まれています。

推奨処置 不要です。

334001

エラー メッセージ %PIX|ASA-6-334001: EAPoUDP association initiated - <host-address>

説明 リモート ホストとの EAPoUDP アソシエーションが開始されました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

334002

エラー メッセージ %PIX|ASA-5-334002: EAPoUDP association successfully established - host-address

説明 ホストとの EAPoUDP アソシエーションが正常に確立されました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

334003

エラー メッセージ %PIX|ASA-5-334003: EAPoUDP association failed to establish - host-address

説明 ホストとの EAPoUDP アソシエーションを確立できませんでした。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 Cisco Secure Access Control Server のコンフィギュレーションを確認します。

334004

エラー メッセージ %PIX|ASA-6-334004: Authentication request for NAC Clientless host - host-address

説明 NAC クライアントレス ホストの認証要求が行われました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

334005

エラー メッセージ %PIX|ASA-5-334005: Host put into NAC Hold state - host-address

説明 ホストの NAC セッションが Hold 状態になりました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

334006

エラー メッセージ %PIX|ASA-5-334006: EAPoUDP failed to get a response from host - host-address

説明 ホストから EAPoUDP 応答を受信しませんでした。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

334007

エラー メッセージ %PIX|ASA-6-334007: EAPoUDP association terminated - host-address

説明 ホストとの EAPoUDP アソシエーションが終了しました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

334008

エラー メッセージ %PIX|ASA-6-334008: NAC EAP association initiated - host-address , EAP context: EAP-context

説明 EAPoUDP がホストとの EAP を開始しました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 不要です。

334009

エラー メッセージ %PIX|ASA-6-334009: Audit request for NAC Clientless host - Assigned_IP.

説明 これは、指摘された割り当て済み IP アドレスの監査要求が送信されていることを示す情報メッセージです。

Assigned_IP :クライアントに割り当てられている IP アドレス。

推奨処置 不要です。

335001

エラー メッセージ %PIX|ASA-6-335001: NAC session initialized - host-address

説明 リモート ホストの NAC セッションが開始されました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

335002

エラー メッセージ %PIX|ASA-5-335002: Host is on the NAC Exception List - host-address , OS: oper-sys

説明 クライアントが NAC 例外リストに入っているため、ポスチャ検証の対象になりません。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

oper-sys :ホストのオペレーティング システム(たとえば、Windows XP)。

推奨処置 不要です。

335003

エラー メッセージ %PIX|ASA-5-335003: NAC Default ACL applied, ACL: ACL-name - host-address

説明 クライアントに NAC デフォルト ACL が適用されました。

ACL-name :適用されている ACL の名前。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

335004

エラー メッセージ %PIX|ASA-6-335004: NAC is disabled for host - host-address

説明 リモート ホストに対して NAC がディセーブルになっています。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

335004

エラー メッセージ %PIX|ASA-6-335004: NAC is disabled for host - host-address

説明 リモート ホストに対して NAC がディセーブルになっています。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

335005

エラー メッセージ %PIX|ASA-4-335005: NAC Downloaded ACL parse failure - host-address

説明 ダウンロードされた ACL の解析に失敗しました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 Cisco Secure Access Control Server のコンフィギュレーションを確認します。

335006

エラー メッセージ %PIX|ASA-6-335006: NAC Applying ACL: ACL-name - host-address

説明 NAC ポスチャ検証の結果として適用されている ACL の名前。

ACL-name :適用されている ACL の名前。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

335007

エラー メッセージ %PIX|ASA-7-335007: NAC Default ACL not configured - host-address

説明 NAC デフォルト ACL が設定されていません。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

335008

エラー メッセージ %PIX|ASA-5-335008: NAC IPSec terminate from dynamic ACL: ACL-name - host-address

説明 PV の結果として取得されたダイナミック ACL が IPSec の終端を保証します。

ACL-name :適用されている ACL の名前。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

335009

エラー メッセージ %PIX|ASA-6-335009: NAC 'Revalidate' request by administrative action - host-address

説明 管理者によって NAC の「Revalidate」が要求されました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

335010

エラー メッセージ %PIX|ASA-6-335010: NAC 'Revalidate All' request by administrative action - num sessions

説明 管理者によって NAC の「Revalidate All」が要求されました。

num :再検証されるセッション数を示す 10 進の整数。

推奨処置 不要です。

335011

エラー メッセージ %PIX|ASA-6-335011: NAC 'Revalidate Group' request by administrative action for group-name group - num sessions

説明 管理者によって NAC の「Revalidate Group」が要求されました。

group-name :VPN グループ名。

num :再検証されるセッション数を示す 10 進の整数。

推奨処置 不要です。

335012

エラー メッセージ %PIX|ASA-6-335012: NAC 'Initialize' request by administrative action - host-address

説明 管理者によって NAC の「Initialize」が要求されました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

335013

エラー メッセージ %PIX|ASA-6-335013: NAC 'Initialize All' request by administrative action - num sessions

説明 管理者によって NAC の「Initialize All」が要求されました。

num :再検証されるセッション数を示す 10 進の整数。

推奨処置 不要です。

335014

エラー メッセージ %PIX|ASA-6-335014: NAC 'Initialize Group' request by administrative action for group-name group - num sessions

説明 管理者によって NAC の「Initialize Group」が要求されました。

group-name :VPN グループ名。

num :再検証されるセッション数を示す 10 進の整数。

推奨処置 不要です。

336001

エラー メッセージ %ASA-3-336001 Route desination_network stuck-in-active state in EIGRP- ddb_name as_num . Cleaning up

説明 stuck in active(SIA)状態とは、EIGRP ルータが、割り当てられた時間(約 3 分)内に 1 つまたは複数の隣接ルータからクエリーに対する応答を受信しなかったことを意味します。この状態が発生した場合、EIGRP は、応答を送信しなかった隣接ルータとの隣接関係を解消し、アクティブになったルートに関するエラー メッセージをログに記録します。

desination_network :アクティブになったルート。

ddb_name :IPv4。

as_num :EIGRP ルータ。

推奨処置 ルータが一部の隣接ルータから応答を受信しなかった原因、およびルートが消失した原因を確認します。この種の問題の詳細については、
http://www.cisco.com/en/US/tech/tk365/technologies_tech_note09186a008010f016.shtml のテクニカル ノートを参照してください。

336002

エラー メッセージ %ASA-3-336002: Handle handle_id is not allocated in pool.

説明 ハンドルが割り当てられていません。EIGRP ルータは、次のホップのハンドルを見つけることができません。

handle_id :見つからないハンドルの ID。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

336003

エラー メッセージ %ASA-3-336003: No buffers available for bytes byte packet

説明 バッファがありません。Diffusing Update Algorithm(DUAL)ソフトウェアが、パケット バッファを割り当てることができませんでした。システムのメモリが不足している可能性があります。

bytes :パケット内のバイト数。

推奨処置 「show mem」または「show tech」を実行して、システムのメモリが不足しているかどうかを確認します。問題が解決しない場合、Cisco TAC にお問い合せください。

336004

エラー メッセージ %ASA-3-336004: Negative refcount in pakdesc pakdesc.

説明 負のリファレンス カウント。負になった、リファレンス カウントのパケット カウント。

pakdesc :パケット識別子。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

336005

エラー メッセージ %ASA-3-336005: Flow control error, error , on interface_name.

説明 このログは、インターフェイスでマルチキャストのフローブロックが発生した場合に発行されます。Qelm は「queue element(キュー要素)」で、この場合は、この特定のインターフェイスのキューにある最後のマルチキャスト パケットです。

error :エラー文「Qelm on flow ready」。

interface_name :エラーが発生したインターフェイスの名前。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

336006

エラー メッセージ %ASA-3-336006: num peers exist on IIDB interface_name.

説明 EIGRP の IDB のクリーンアップ中またはクリーンアップ後、特定のインターフェイス上にピアがまだ存在しています。

num :ピアの数。

interface_name :インターフェイス名。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

336007

エラー メッセージ %ASA-3-336007: Anchor count negative

説明 負のアンカー カウント。エラーが発生し、アンカーの解放時にアンカー カウントが負になりました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

336008

エラー メッセージ %ASA-3-336008: Lingering DRDB deleting IIDB, dest network, nexthop address (interface), origin origin_str

説明 長期の DRDB。インターフェイスが削除されており、長期の DRDB が存在します。

network:宛先ネットワーク。

address:ネクストホップ アドレス。

interface:ネクストホップ インターフェイス。

origin_str:起点を定義する文字列。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

336009

エラー メッセージ %ASA-3-336009 ddb_name as_id: Internal Error

説明 内部エラーが発生しました。

ddb_name:Protocol Dependent Module(PDM; プロトコル依存モジュール)名。たとえば、IPv4 PDM。

as_id:自律システム ID。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

336010

エラー メッセージ %ASA-5-336010 EIGRP- <ddb_name> tableid as_id: Neighbor address (%interface) is event_msg: msg

説明 隣接ルータの変化。隣接ルータがアップまたはダウンしました。

ddb_name :IPv4。

tableid:RIB の内部 ID。

as_id:自律システム ID。

address :隣接ルータの IP アドレス。

interface:インターフェイスの名前。

event_msg:隣接ルータで発生しているイベント(つまり、「up」または「down」)。

msg:イベントの原因。 event_msg msg の値ペアには次のものがあります。

resync: peer graceful-restart

down: holding timer expired

up: new adjacency

down: Auth failure

down: Stuck in Active

down: Interface PEER-TERMINATION received

down: K-value mismatch

down: Peer Termination received

down: stuck in INIT state

down: peer info changed

down: summary configured

down: Max hopcount changed

down: metric changed

down: [No reason]

推奨処置 隣接ルータのリンクがダウンまたはフラッピングしている原因を確認します。これは、問題の兆候である可能性があります。または、これが原因で問題が発生し始める可能性があります。

336011

エラー メッセージ %ASA-6-336011: event event

説明 デュアル イベントが発生しました。イベントは次のいずれかです。

Redist rt change

SIA Query while Active

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

メッセージ 400000 ~ 450001

この項では、400000 から 450001 までのメッセージについて説明します。

4000nn

エラー メッセージ %PIX|ASA-4-4000nn: IPS: number string from IP_address to IP_address on interface interface_name

説明 メッセージ 400000 ~ 400051 は、Cisco Intrusion Prevention Service のシグニチャ メッセージです。

推奨処置 次の Web サイトにある『Cisco Intrusion Prevention Service User Guide』を参照してください。

http://www.cishttp://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/

今回のリリースのセキュリティ アプライアンスでは、このメッセージがすべてサポートされているわけではありません。IPS システム ログ メッセージは、すべて 4-4000nn で始まり、次の形式になります。

オプションは次のとおりです。

 

number

シグニチャ番号。次の Web サイトにある『Cisco Intrusion Prevention Service User Guide』を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids1/csidsug/sigs.htm

string

シグニチャ メッセージ(NetRanger シグニチャ メッセージとほぼ同じです)。

IP_address

シグニチャが適用されるローカル ツー リモート アドレス。

interface_name

シグニチャが基づくインターフェイスの名前。

number

シグニチャ番号。次の Web サイトにある『Cisco Intrusion Detection System User Guide』を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids1/csidsug/sigs.htm

string

シグニチャ メッセージ(NetRanger シグニチャ メッセージとほぼ同じです)。

IP_address

シグニチャが適用されるローカル ツー リモート アドレス。

interface_name

シグニチャが基づくインターフェイスの名前。

次に例を示します。

%PIX|ASA-4-400013 IPS:2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz
%PIX|ASA-4-400032 IPS:4051 UDP Snork attack from 10.1.1.1 to 192.168.1.1 on interface outside
 

表1-4 に、サポートさていれるシグニチャ メッセージをリストで示しています。

 

表1-4 IPS システム ログ メッセージ

メッセージ番号
シグニチャ ID
シグニチャ タイトル
シグニチャ タイプ

400000

1000

IP options-Bad Option List

情報

400001

1001

IP options-Record Packet Route

情報

400002

1002

IP options-Timestamp

情報

400003

1003

IP options-Security

情報

400004

1004

IP options-Loose Source Route

情報

400005

1005

IP options-SATNET ID

情報

400006

1006

IP options-Strict Source Route

情報

400007

1100

IP Fragment Attack

攻撃

400008

1102

IP Impossible Packet

攻撃

400009

1103

IP Fragments Overlap

攻撃

400010

2000

ICMP Echo Reply

情報

400011

2001

ICMP Host Unreachable

情報

400012

2002

ICMP Source Quench

情報

400013

2003

ICMP Redirect

情報

400014

2004

ICMP Echo Request

情報

400015

2005

ICMP Time Exceeded for a Datagram

情報

400016

2006

ICMP Parameter Problem on Datagram

情報

400017

2007

ICMP Timestamp Request

情報

400018

2008

ICMP Timestamp Reply

情報

400019

2009

ICMP Information Request

情報

400020

2010

ICMP Information Reply

情報

400021

2011

ICMP Address Mask Request

情報

400022

2012

ICMP Address Mask Reply

情報

400023

2150

Fragmented ICMP Traffic

攻撃

400024

2151

Large ICMP Traffic

攻撃

400025

2154

Ping of Death Attack

攻撃

400026

3040

TCP NULL flags

攻撃

400027

3041

TCP SYN+FIN flags

攻撃

400028

3042

TCP FIN only flags

攻撃

400029

3153

FTP Improper Address Specified

情報

400030

3154

FTP Improper Port Specified

情報

400031

4050

UDP Bomb attack

攻撃

400032

4051

UDP Snork attack

攻撃

400033

4052

UDP Chargen DoS attack

攻撃

400034

6050

DNS HINFO Request

情報

400035

6051

DNS Zone Transfer

情報

400036

6052

DNS Zone Transfer from High Port

情報

400037

6053

DNS Request for All Records

情報

400038

6100

RPC Port Registration

情報

400039

6101

RPC Port Unregistration

情報

400040

6102

RPC Dump

情報

400041

6103

Proxied RPC Request

攻撃

400042

6150

ypserv (YP server daemon) Portmap Request

情報

400043

6151

ypbind (YP bind daemon) Portmap Request

情報

400044

6152

yppasswdd (YP password daemon) Portmap Request

情報

400045

6153

ypupdated (YP update daemon) Portmap Request

情報

400046

6154

ypxfrd (YP transfer daemon) Portmap Request

情報

400047

6155

mountd (mount daemon) Portmap Request

情報

400048

6175

rexd (remote execution daemon) Portmap Request

情報

400049

6180

rexd (remote execution daemon) Attempt

情報

400050

6190

statd Buffer Overflow

攻撃

401001

エラー メッセージ %PIX|ASA-4-401001: Shuns cleared

説明 メモリから既存の排除を削除するために clear shun コマンドが入力されました。

推奨処置 不要です。このメッセージは、シャニング アクティビティの記録を組織が保持できるようにするために表示されます。

401002

エラー メッセージ %PIX|ASA-4-401002: Shun added: IP_address IP_address port port

説明 shun コマンドが入力されました。このコマンドの最初の IP アドレスは排除されたホストです。その他のアドレスとポートはオプションであり、有効な場合は接続を終了するのに使用されます。

推奨処置 不要です。このメッセージは、シャニング アクティビティの記録を組織が保持できるようにするために表示されます。

401003

エラー メッセージ %PIX|ASA-4-401003: Shun deleted: IP_address

説明 排除されたホストの 1 つが排除データベースから削除されました。

推奨処置 不要です。このメッセージは、シャニング アクティビティの記録を組織が保持できるようにするために表示されます。

401004

エラー メッセージ %PIX|ASA-4-401004: Shunned packet: IP_address ==> IP_address on interface interface_name

説明 IP SRC によって定義されたホストは排除データベースのホストであるために、パケットが廃棄されました。排除されたホストは、そこで排除されたインターフェイスにトラフィックを渡すことはできません。たとえば、インターネット上の外部ホストは外部インターフェイス上で排除されます。

推奨処置 不要です。このメッセージには、排除されたホストのアクティビティの記録を提供します。このメッセージと %PIX|ASA-4-401005 を使用すると、このホストに関するリスク評価を詳しく見積もることができます。

401005

エラー メッセージ %PIX|ASA-4-401005: Shun add failed: unable to allocate resources for IP_address IP_address port port

説明 セキュリティ アプライアンスのメモリが不足しています。排除が適用できません。

推奨処置 Cisco Intrusion Detection System は、引き続き、この規則を適用しようとします。メモリを再利用して排除を手動で再適用するか、または Cisco Intrusion Detection System によって排除が適用されるのを待機します

402101

エラー メッセージ %PIX|ASA-4-402101: decaps: rec'd IPSEC packet has invalid spi for destaddr= dest_address , prot= protocol , spi= number

説明 受信 IPSec パケットは、セキュリティ アソシエーション データベース(SADB)に存在しないセキュリティ パラメータ インデックス(SPI)を指定しています。これは、IPSec ピア間の SA のエージングのわずかな相違による一時的な状態か、またはローカル SA の消去が原因です。この状態は、IPSec ピアから不正なパケットが送信された場合にも発生することがあります。攻撃の場合もあります。

推奨処置 ローカル SA がクリアされたことを、ピアは認識していないことがあります。新しい接続がローカル ルータから確立された場合、2 つのピアが正常に再度確立されることがあります。問題の発生が短期間にとどまらない場合は、接続を新規に確立してみるか、またはピアの管理者に問い合せます。

402102

エラー メッセージ %PIX|ASA-4-402102: decapsulate: packet missing {AH|ESP}, destadr= dest_address , actual prot= protocol

説明 受信 IPSec パケットに、期待された AH または ESP ヘッダーがありません。ピアは、ネゴシエートされたセキュリティ ポリシーと一致しないパケットを送信中です。これは攻撃の場合があります。

推奨処置 特定のピアの管理者にお問い合せください。

402103

エラー メッセージ %PIX|ASA-4-402103: identity doesn't match negotiated identity (ip) dest_address= dest_address , src_addr= source_address , prot= protocol , (ident) local= inside_address , remote= remote_address , local_proxy= IP_address / IP_address / port / port , remote_proxy= IP_address / IP_address / port / port

説明 カプセル化されていない IPSec パケットが、ネゴシエートされた ID と一致しません。ピアは、セキュリティ アソシエーション選択エラーのために、このセキュリティ アソシエーションを使用して他のトラフィックを送信中です。これは敵対イベントの場合があります。

推奨処置 ピアの管理者に問い合せて、ポリシーの設定を比較します。

402106

エラー メッセージ %PIX|ASA-4-402106: Rec'd packet not an IPSEC packet (ip) dest_address= dest_address , src_addr= source_address , prot= protocol

説明 受信パケットは暗号マップ ACL と一致しますが、IPSec でカプセル化されていません。IPSec ピアはカプセル化されていないパケットを送信中です。このエラーは、ピアのポリシー セットアップ エラーが原因で発生することがあります。たとえば、セキュリティ アプライアンスは、外部インターフェイス ポート 23 への暗号化 Telnet トラフィックのみを受信します。IPSec 暗号化を行わないで、ポート 23 上の外部インターフェイスに Telnet で送信しようとすると、このメッセージが表示されます。このエラーは、敵対イベントを示すこともあります。このシステム ログ メッセージは、引用した条件以外では生成されません(たとえば、セキュリティ アプライアンス インターフェイス自体へのトラフィックの場合は生成されません)。TCP および UDP 要求を追跡するメッセージについては、メッセージ 710001、710002、および 710003 を参照してください。

推奨処置 ピアの管理者に問い合せて、ポリシーの設定を比較します。

402114

エラー メッセージ %PIX|ASA-4-402114: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num ) from remote_IP to local_IP with an invalid SPI.

protocol :IPSec プロトコル。

spi :IPSec のセキュリティ パラメータ インデックス。

seq_num IPSec シーケンス番号。

remote_IP トンネルのリモート エンドポイントの IP アドレス。

username :IPSec トンネルに関連付けられているユーザ名。

local_IP トンネルのローカル エンドポイントの IP アドレス。

説明 このメッセージは、SA データベースに存在しない SPI を指定している IPSec パケットを受信した場合に表示されます。これは、IPSec ピア間の SA のエージングのわずかな相違による一時的な状態か、またはローカル SA の消去が原因です。また、IPSec ピアによって不正なパケットが送信されたことを示すこともあります。これも攻撃の一部の場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

推奨処置 ローカル SA がクリアされたことを、ピアは認識していないことがあります。新しい接続がローカル ルータから確立された場合、2 つのピアが正常に再度確立されることがあります。あるいは、問題の発生が短期間にとどまらない場合は、接続を新規に確立してみるか、またはピアの管理者に問い合せます。

402115

エラー メッセージ %PIX|ASA-4-402115: IPSEC: Received a packet from remote_IP to local_IP containing act_prot data instead of exp_prot data.

説明 このメッセージは、期待された ESP ヘッダーのない IPSec パケットを受信した場合に表示されます。ピアは、ネゴシエートされたセキュリティ ポリシーと一致しないパケットを送信中です。これは攻撃を示す場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

remote_IP トンネルのリモート エンドポイントの IP アドレス。

local_IP トンネルのローカル エンドポイントの IP アドレス。

act_prot :受信した IPSec プロトコル。

exp_prot :期待された IPSec プロトコル。

推奨処置 ピアの管理者にお問い合せください。

402116

エラー メッセージ %PIX|ASA-4-402116: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num) from remote_IP ( username ) to local_IP . The decapsulated inner packet doesn't match the negotiated policy in the SA. The packet specifies its destination as pkt_daddr, its source as pkt_saddr, and its protocol as pkt_prot . The SA specifies its local proxy as id_daddr /id_dmask /id_dprot /id_dport and its remote proxy as id_saddr /id_smask /id_sprot /id_sport .

説明 このメッセージは、カプセル化解除された IPSec パケットがネゴシエートされた ID と一致しない場合に表示されます。ピアは、このセキュリティ アソシエーションを使用して他のトラフィックを送信中です。ピアによるセキュリティ アソシエーション選択エラーが原因の場合もあれば、攻撃の一部の場合もあります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

protocol :IPSec プロトコル。

spi :IPSec のセキュリティ パラメータ インデックス。

seq_num IPSec シーケンス番号。

remote_IP トンネルのリモート エンドポイントの IP アドレス。

username :IPSec トンネルに関連付けられているユーザ名。

local_IP トンネルのローカル エンドポイントの IP アドレス。

pkt_daddr カプセル化解除されたパケットからの宛先アドレス。

pkt_saddr カプセル化解除されたパケットからの送信元アドレス。

pkt_prot カプセル化解除されたパケットからのトランスポート プロトコル。

id_daddr ローカル プロキシ IP アドレス。

id_dmask ローカル プロキシ IP サブネット マスク。

id_dprot ローカル プロキシ トランスポート プロトコル。

id_dport ローカル プロキシ ポート。

id_saddr リモート プロキシ IP アドレス。

id_smask リモート プロキシ IP サブネット マスク。

id_sprot リモート プロキシ トランスポート プロトコル。

id_sport リモート プロキシ ポート。

推奨処置 ピアの管理者に問い合せて、ポリシーの設定を比較します。

402117

エラー メッセージ %PIX|ASA-4-402117: IPSEC: Received a non-IPSec ( protocol ) packet from remote_IP to local_IP.

説明 このメッセージは、受信パケットは暗号マップ ACL と一致したが、IPSec でカプセル化されていなかった場合に表示されます。IPSec ピアはカプセル化されていないパケットを送信中です。このエラーは、ピアのポリシー セットアップ エラーが原因で発生することがあります。たとえば、外部インターフェイス ポート 23 への暗号化 Telnet トラフィックのみを受信するようにファイアウォールを設定できます。IPSec 暗号化を行わないで、ポート 23 上の外部インターフェイスに対して Telnet で送信しようとすると、このメッセージが表示されますが、ポート 23 以外の外部インターフェイスに対する Telnet またはトラフィックの場合は表示されません。このエラーは、攻撃を示すこともあります。このシステム ログ メッセージは、これらの条件以外では生成されません(たとえば、ファイアウォール インターフェイス自体へのトラフィックの場合は生成されません)。TCP および UDP 要求を追跡するメッセージについては、メッセージ 710001、710002、および 710003 を参照してください。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

protocol :IPSec プロトコル。

remote_IP トンネルのリモート エンドポイントの IP アドレス。

local_IP トンネルのローカル エンドポイントの IP アドレス。

推奨処置 ピアの管理者に問い合せて、ポリシーの設定を比較します。

402118

エラー メッセージ %PIX|ASA-4-402118: IPSEC: Received an protocol packet (SPI= spi , sequence number seq_num) from remote_IP ( username ) to local_IP containing an illegal IP fragment of length frag_len with offset frag_offset.

説明 このメッセージは、カプセル化解除された IPSec パケットに、128 バイト以下のオフセットの IP フラグメントが含まれている場合に発生します。最新バージョンの Security Architecture for IP RFC では、再アセンブリ攻撃を防止するために最小 IP フラグメント オフセットを 128 バイトにすることを推奨しています。これは攻撃の一部の場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

protocol :IPSec プロトコル。

spi :IPSec のセキュリティ パラメータ インデックス。

seq_num IPSec シーケンス番号。

remote_IP トンネルのリモート エンドポイントの IP アドレス。

username :IPSec トンネルに関連付けられているユーザ名。

local_IP トンネルのローカル エンドポイントの IP アドレス。

frag_len IP フラグメント長。

frag_offset IP フラグメント オフセット(バイト)。

推奨処置 リモート ピアの管理者に問い合せて、ポリシーの設定を比較します。

402119

エラー メッセージ %PIX|ASA-4-402119: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num) from remote_IP ( username ) to local_IP that failed anti-replay checking.

説明 このメッセージは、シーケンス番号が無効な IPSec パケットを受信したときに表示されます。ピアは、以前に使用された可能性のあるシーケンス番号が含まれたパケットを送信中です。このシステム ログ メッセージは、受け入れ許容範囲外のシーケンス番号の IPSec パケットを受信したことを示します。このパケットは、可能性ある攻撃の一部として IPSec により廃棄されます。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

protocol :IPSec プロトコル。

spi :IPSec のセキュリティ パラメータ インデックス。

seq_num IPSec シーケンス番号。

remote_IP トンネルのリモート エンドポイントの IP アドレス。

username :IPSec トンネルに関連付けられているユーザ名。

local_IP トンネルのローカル エンドポイントの IP アドレス。

推奨処置 ピアの管理者にお問い合せください。

402120

エラー メッセージ %PIX|ASA-4-402120: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num) from remote_IP ( username ) to local_IP that failed authentication.

説明 このメッセージは、IPSec パケットを受信したが認証に失敗したときに表示されます。パケットは廃棄されます。パケットが中継中に破損した場合、またはピアが無効な IPSec パケットを送信中の場合があります。これらのパケットの多くを同じピアから受信しているときは、攻撃を示す場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

protocol :IPSec プロトコル。

spi :IPSec のセキュリティ パラメータ インデックス。

seq_num IPSec シーケンス番号。

remote_IP トンネルのリモート エンドポイントの IP アドレス。

username :IPSec トンネルに関連付けられているユーザ名。

local_IP トンネルのローカル エンドポイントの IP アドレス。

推奨処置 受信したパケットの認証失敗が多い場合は、リモート ピアの管理者にお問い合せください。

402121

エラー メッセージ %PIX|ASA-4-402121: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num) from peer_addr ( username ) to lcl_addr that was dropped by IPSec ( drop_reason ).

説明 このメッセージは、カプセル化解除する IPSec パケットを受信したが、そのパケットが IPSec サブシステムによって後で廃棄された場合に表示されます。これは、デバイス設定またはデバイスそのものに問題が存在する可能性があることを示しています。

protocol :IPSec プロトコル。

spi :IPSec のセキュリティ パラメータ インデックス。

seq_num IPSec シーケンス番号。

peer_addr トンネルのリモート エンドポイントの IP アドレス。

username :IPSec トンネルに関連付けられているユーザ名。

lcl_addr トンネルのローカル エンドポイントの IP アドレス。

drop_reason パケットが廃棄された理由。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

402122

エラー メッセージ %PIX|ASA-4-402122: Received a cleartext packet from src_addr to dest_addr that was to be encapsulated in IPSec that was dropped by IPSec ( drop_reason ).

説明 IPSec でカプセル化するパケットを受信しましたが、そのパケットが IPSec サブシステムによって後で廃棄されました。これは、デバイス設定またはデバイスそのものに問題が存在する可能性があることを示しています。

src_addr 送信元 IP アドレス。

dest_addr 宛先 IP アドレス。

drop_reason パケットが廃棄された理由。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

402123

エラー メッセージ %PIX|ASA-4-402123: CRYPTO: The accel_type hardware accelerator encountered an error (code= error_string ) while executing crypto command command .

説明 このメッセージは、ハードウェア アクセラレータで暗号コマンドを実行中に、エラーが検出された場合に表示されます。これは、アクセラレータの問題を示すことがあります。このタイプのエラーは、さまざまな理由で発生します。このメッセージは、原因の判定に役立つように暗号アクセラレータ カウンタを補足します。

accel_type:ハードウェア アクセラレータ タイプ。

error_string :エラーのタイプを示すコード。

command:エラーを生成した暗号コマンド。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

402124

エラー メッセージ %ASA-4-402124: CRYPTO: The ASA hardware accelerator encountered an error (Hardware error address, Core, Hardware error code, IstatReg, PciErrReg, CoreErrStat, CoreErrAddr, Doorbell Size,DoorBell Outstanding, SWReset).

説明 このシステム ログ メッセージは、暗号ハードウェア チップが重大エラーを報告した場合に表示され、チップが動作不能であることを示します。このシステム ログ メッセージからの情報は、情報を取り込み、この問題をさらに分析できるようにします。この状態が検出されると、暗号チップがリセットされ、円滑に ASA の機能を継続できます。また、この問題が検出されたときの暗号環境が、フラッシュ上の暗号アーカイブ ディレクトリに書き込まれ、さらなる不具合情報を提供します。このシステム ログ メッセージには、暗号ハードウェアに関連する次のようなさまざまなパラメータが含まれています。

HWErrAddr ハードウェア アドレス(暗号チップによって設定)。

Core エラーが発生している暗号コア。

HwErrCode ハードウェア エラー コード(暗号チップによって設定)。

IstatReg 割り込みステータス レジスタ(暗号チップによって設定)。

PciErrReg PCI エラー レジスタ(暗号チップによって設定)。

CoreErrStat コア エラー ステータス(暗号チップによって設定)。

CoreErrAddr コア エラー アドレス(暗号チップによって設定)。

Doorbell Size 許可される暗号コマンドの最大数。

DoorBell Outstanding 処理待ちの暗号コマンド数。

SWReset ブート後の暗号チップ リセット回数。

推奨処置 システム ログ メッセージの情報を Cisco TAC に転送し、さらなる分析を依頼してください。

402125

エラー メッセージ %ASA-4-402125: The ASA hardware accelerator ring timed out ( parameters ).

説明 IPSEC または SSL/Admin の記述子リングが進行していないことを暗号ドライバが検出しました。つまり、暗号チップが機能していないと思われます。この状態が検出されると、暗号チップがリセットされ、円滑に ASA の機能を継続できます。また、この問題が検出されたときの暗号環境が、フラッシュ上の暗号アーカイブ ディレクトリに書き込まれ、さらなる不具合情報を提供します。

ring :IPSEC リングまたは Admin リング。

parameters 次のとおりです。

-Desc 記述子のアドレス

-CtrlStat 制御/ステータスの値

-ResultP 成功ポインタ

-ResultVal 成功値

-Cmd 暗号コマンド

-CmdSize コマンドのサイズ

-Param コマンドのパラメータ

-Dlen データ長

-DataP データ ポインタ

-CtxtP VPN コンテキスト ポインタ

-SWReset ブート後の暗号チップ リセット回数

推奨処置 システム ログ メッセージの情報をシスコに転送し、さらなる分析を依頼してください。

402126

エラー メッセージ %ASA-4-402126: CRYPTO: The ASA created Crypto Archive File Archive Filename as a Soft Reset was necessary. Please forward this archived information to Cisco.

説明 ハードウェア暗号チップで機能上の問題が検出されました(システム ログ メッセージ 4402124 および 4402125 を参照してください)。暗号の問題をさらにデバッグするために、現在の暗号ハードウェア環境(ハードウェア レジスタ、Crypto Desc Entries など)を含む暗号アーカイブ ファイルが生成されます。ブート時に、フラッシュ ファイル システム上に crypto_archive ディレクトリが自動的に作成されます(事前に存在していない場合)。このディレクトリには、最大 2 つの暗号アーカイブ ファイルが存在できます。

Archive Filename :暗号アーカイブ ファイルの名前。暗号アーカイブ ファイルの名前は「crypto_arch_x.bin」という形式です。ここで、「x」は 1 または 2 です。

推奨処置 暗号アーカイブ ファイルをシスコに転送し、さらなる分析を依頼してください。

402127

エラー メッセージ %ASA-4-402127: CRYPTO: The ASA is skipping the writing of latest Crypto Archive File as the maximum # of files, max_number, allowed have been written to archive_directory . Please archive & remove files from Archive Directory if you want more Crypto Archive Files saved.

説明 ハードウェア暗号チップで機能上の問題が検出されました(システム ログ メッセージ 4402124 および 4402125 を参照してください)。このシステム ログ メッセージは、最大数の暗号アーカイブ ファイルがすでに存在していたため、暗号アーカイブ ファイルが書き込まれなかったことを示しています。

max_number アーカイブ ディレクトリで許可されているファイルの最大数。現在は 2 に設定されています。

archive_directory :アーカイブ ディレクトリの名前。

推奨処置 以前に生成された暗号アーカイブ ファイルをシスコに転送します。以前に生成されたアーカイブ ファイルを削除して、別のアーカイブ ファイルを書き込むことができるようにします(必要であると思われる場合)。

403101

エラー メッセージ %PIX|ASA-4-403101: PPTP session state not established, but received an XGRE packet, tunnel_id= number , session_id= number

説明 セキュリティ アプライアンスが、対応する制御接続セッションのない PPTP XGRE パケットを受信しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

403102

エラー メッセージ %PIX|ASA-4-403102: PPP virtual interface interface_name rcvd pkt with invalid protocol: protocol , reason: reason .

説明 プロトコル フィールドが無効な XGRE カプセル化 PPP パケットをモジュールが受信しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

403103

エラー メッセージ %PIX|ASA-4-403103: PPP virtual interface max connections reached.

説明 モジュールは、追加の PPTP 接続を受け入れることはできません。

推奨処置 不要です。接続は有効になるとすぐに割り当てられます。

403104

エラー メッセージ %PIX|ASA-4-403104: PPP virtual interface interface_name requires mschap for MPPE.

説明 Microsoft Point-to-Point Encryption(MPPE)は設定されていますが、MS-CHAP 認証が設定されていません。

推奨処置 vpdn group group_name ppp authentication コマンドで、MS-CHAP 認証を追加します。

403106

エラー メッセージ %PIX|ASA-4-403106: PPP virtual interface interface_name requires RADIUS for MPPE.

説明 MPPE は設定されていますが、RADIUS 認証が設定されていません。

推奨処置 vpdn group group_name ppp authentication コマンドで、RADIUS 認証を追加します。

403107

エラー メッセージ %PIX|ASA-4-403107: PPP virtual interface interface_name missing aaa server group info

説明 AAA サーバ設定情報を検出できません。

推奨処置 vpdn group group_name client authentication aaa aaa_server_group コマンドで、AAA サーバ情報を追加します。

403108

エラー メッセージ %PIX|ASA-4-403108: PPP virtual interface interface_name missing client ip address option

説明 クライアント IP アドレス プール情報が不足しています。

推奨処置 vpdn group group_name client configuration address local address_pool_name コマンドで、IP アドレス プール情報を追加します。

403109

エラー メッセージ %PIX|ASA-4-403109: Rec'd packet not an PPTP packet. (ip) dest_address = dest_address, src_addr = source_address, data : string .

説明 スプーフィングされた PPTP パケットをモジュールが受信しました。これは敵対イベントの場合があります。

推奨処置 ピアの管理者に問い合せて、PPTP コンフィギュレーション設定を確認します。

403110

エラー メッセージ %PIX|ASA-4-403110: PPP virtual interface interface_name , user: user missing MPPE key from aaa server.

説明 AAA サーバは、MPPE 暗号化ポリシーのセットアップに必要な MPPE キー アトリビュートを返しません。

推奨処置 AAA サーバ コンフィギュレーションを確認して、AAA サーバが MPPE キー アトリビュートを返せない場合は、代わりに vpdn group group_name client authentication local コマンドでローカル認証を使用します。

403500

エラー メッセージ %PIX|ASA-6-403500: PPPoE - Service name 'any' not received in PADO. Intf: interface_name AC: ac_name .

説明 セキュリティ アプライアンスが、インターネット サービス プロバイダーのアクセス コントローラからの PPPoE サービス「any」を要求しました。サービス プロバイダーからの応答には他のサービスが含まれていますが、サービス「any」は含まれていません。これは、プロトコルの実装の不一致です。PADO パケットは正常に処理されて、接続ネゴシエーションが続行されます。

推奨処置 不要です。

403501

エラー メッセージ %PIX|ASA-3-403501: PPPoE - Bad host-unique in PADO - packet dropped. Intf: interface_name AC: ac_name

説明 セキュリティ アプライアンスは、ホスト固有値と呼ばれる ID をアクセス コントローラに送信しました。アクセス コントローラは、異なるホスト固有値で応答しました。セキュリティ アプライアンスはこの応答に対応する接続要求を識別できません。パケットは廃棄され、接続ネゴシエーションは切断されます。

推奨処置 インターネット サービス プロバイダーにお問い合せください。サービス プロバイダーのアクセス コントローラがホスト固有値の処理を誤っているか、または PADO パケットが不正です。

403502

エラー メッセージ %PIX|ASA-3-403502: PPPoE - Bad host-unique in PADS - dropping packet. Intf: interface_name AC: ac_name

説明 セキュリティ アプライアンスは、ホスト固有値と呼ばれる ID をアクセス コントローラに送信しました。アクセス コントローラは、異なるホスト固有値で応答しました。セキュリティ アプライアンスはこの応答に対応する接続要求を識別できません。パケットは廃棄され、接続ネゴシエーションは切断されました。

推奨処置 インターネット サービス プロバイダーにお問い合せください。サービス プロバイダーのアクセス コントローラがホスト固有値の処理を誤っているか、または PADO パケットが不正です。

403503

エラー メッセージ %PIX|ASA-3-403503: PPPoE:PPP link down: reason

説明 PPP リンクがダウンしました。これが発生する原因は数多くあります。最初の形式に表示される理由は、PPP からの理由の場合です。

推奨処置 ネットワーク リンクを調べて、リンクが接続されていることを確認します。アクセス コンセントレータがダウンしていることがあります。認証プロトコルがアクセス コンセントレータと一致することを確認します。名前とパスワードが正しいことを確認します。ISP またはネットワーク サポート担当者にご確認ください。

403504

エラー メッセージ %PIX|ASA-3-403504: PPPoE:No 'vpdn group group_name ' for PPPoE is created

説明 PPPoE では、PPPoE セッションを開始する前に、ダイヤルアウト コンフィギュレーションが必要です。一般的にコンフィギュレーションでは、ダイヤル ポリシー、PPP 認証、ユーザ名、およびパスワードを指定する必要があります。次の例では、セキュリティ アプライアンスを PPPoE ダイヤルアウト用に設定します。my-username コマンドおよび my-password コマンドは、必要であれば PAP を使用して、アクセス コンセントレータの認証に使用されます。

次に例を示します。

vpdn group my-pppoe request dialout pppoe
vpdn group my-pppoe ppp authentication pap
vpdn group my-pppoe localname my-username
vpdn username my-username password my-password
ip address outside pppoe setroute

推奨処置 PPPoE 用の VPDN グループを設定します。

403505

エラー メッセージ %PIX|ASA-4-403505: PPPoE:PPP - Unable to set default route to IP_address at interface_name

説明 通常、このメッセージには「 - default route already exists 」というメッセージが続きます。

推奨処置 現行のデフォルト ルートを削除するか、または「setroute」パラメータを削除して、PPPoE と手動で設定したルートが競合しないようにします。

403506

エラー メッセージ %PIX|ASA-4-403506: PPPoE:failed to assign PPP IP_address netmask netmask at interface_name

説明 このメッセージには、「 - subnet is the same as interface 」または「 on failover channel 」が続きます。

推奨処置 最初の場合は、競合の原因となったアドレスを変更します。2 番目の場合は、フェールオーバー インターフェイス以外のインターフェイスに PPPoE を設定します。

403507

エラー メッセージ %PIX|ASA-3-403507:PPPoE:PPPoE client on interface interface failed to locate PPPoE vpdn group group_name

説明 pppoe client vpdn group group_name コマンドを入力して、インターフェイス上の PPPoE クライアントが特定の VPDN グループを使用するように設定できます。システムの起動時に、設定した名前の PPPoE VPDN グループが見つからない場合、このシステム ログ メッセージが生成されます。

interface :どのインターフェイス上の PPPoE クライアントに障害が発生したか。

group_name :インターフェイス上の PPPoe クライアントの VPDN グループ名。

推奨処置 次の手順を実行します。

1. vpdn group group_name コマンドを入力して、必要な VPDN グループを追加します。グローバル コンフィギュレーション モードでダイヤルアウト PPPoE を要求し、すべてのグループ プロパティを追加します。

2. 指摘されたインターフェイスから pppoe client vpdn group group_name コマンドを削除します。この場合、PPPoE クライアントは、定義済みの最初の PPPoE VPDN グループを使用しようとします。


) すべての変更内容は、ip address pppoe コマンドを入力してインターフェイス上の PPPoE クライアントを再起動した後に限り有効になります。


404101

エラー メッセージ %PIX|ASA-4-404101: ISAKMP: Failed to allocate address for client from pool string

説明 ISAKMP は、ip local pool コマンドで指定されたプールから VPN クライアント用の IP アドレスを割り当てるのに失敗しました。

推奨処置 ip local pool コマンドを使用して、プールに追加 IP アドレスを指定します。

404102

エラー メッセージ %PIX|ASA-3-404102: ISAKMP: Exceeded embryonic limit

説明 500 を超える初期セキュリティ アソシエーション(SA)が存在します。これは DoS 攻撃を意味する場合があります。

推奨処置 show crypto isakmp ca コマンドを入力して、攻撃元を判別します。攻撃元を特定した後、攻撃 IP アドレスまたはネットワークへのアクセスを拒否します。

405001

エラー メッセージ %PIX|ASA-4-405001: Received ARP {request | response} collision from IP_address / MAC_address on interface interface_name

説明 セキュリティ アプライアンスは ARP パケットを受信しましたが、パケット内の MAC アドレスが ARP キャッシュ エントリと異なります。

推奨処置 このトラフィックは、正当である場合もあれば、ARP ポイズニング攻撃が進行中であることを示す場合もあります。送信元 MAC アドレスを確認してパケットの送信元を判別し、そのパケットが有効なホストに属しているかどうかを調べます。

405101

エラー メッセージ %PIX|ASA-4-405101: Unable to Pre-allocate H225 Call Signalling Connection for foreign_address outside_address [/ outside_port ] to local_address inside_address [/ inside_port ]

説明 モジュールが、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。

推奨処置 このメッセージが一定期間ごとに発生する場合は、無視してかまいません。グローバル プールのサイズを確認して、内部のネットワーク クライアント数と比較できます。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または増設メモリを購入してみます。問題が解決しない場合、Cisco TAC にお問い合せください。

405002

エラー メッセージ %PIX|ASA-4-405002: Received mac mismatch collision from IP_address / MAC_address for authenticated host

説明 このパケットは、次のどちらかの条件の場合に表示されます。

セキュリティ アプライアンスは IP アドレスが同じだが、MAC アドレスがその uauth エントリの 1 つとは異なるパケットを受信しました。

セキュリティ アプライアンスに vpnclient mac-exempt コマンドを設定しました。除外 MAC アドレスを持つが、対応する uauth エントリとは異なる IP アドレスを持つパケットがセキュリティ アプライアンスによって受信されます。

推奨処置 このトラフィックは、正当である場合もあれば、スプーフィング攻撃が進行中であることを示す場合もあります。送信元 MAC アドレスと IP アドレスを確認してパケットの送信元を判別し、そのパケットが有効なホストに属しているかどうかを調べます。

405101

エラー メッセージ %PIX|ASA-4-405101: Unable to Pre-allocate H225 Call Signalling Connection for foreign_address outside_address [/ outside_port ] to local_address inside_address[/inside_port ]

説明 セキュリティ アプライアンスが、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。

推奨処置 グローバル プールのサイズを確認し、内部のネットワーク クライアント数と比較します。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または増設メモリを購入します。このメッセージが一定期間ごとに発生する場合は、無視してかまいません。問題が解決しない場合、Cisco TAC にお問い合せください。

405102

エラー メッセージ %PIX|ASA-4-405102: Unable to Pre-allocate H245 Connection for foreign_address outside_address [/ outside_port ] to local_address inside_address [/ inside_port ]

説明 セキュリティ アプライアンスが、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。

推奨処置 グローバル プールのサイズを確認し、内部のネットワーク クライアント数と比較します。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または増設メモリを購入します。このメッセージが一定期間ごとに発生する場合は、無視してかまいません。問題が解決しない場合、Cisco TAC にお問い合せください。

405103

エラー メッセージ %PIX|ASA-4-405103: H225 message from source_address / source_port to dest_address / dest_port contains bad protocol discriminator hex

説明 PIX はプロトコル識別子 0x08 を予測していますが、0x08 以外の識別子を受信しました。このエラー メッセージは、エンドポイントから不良パケットが送信されている場合、または最初のセグメント以外のメッセージ セグメントを受信した場合に発生することがあります。

推奨処置 不要です。パケットの通過は許可されます。

405104

エラー メッセージ %PIX|ASA-4-405104: H225 message received from outside_address / outside_port to inside_address / inside_port before SETUP

説明 このメッセージは、H.225 メッセージを間違った順番で受信すると表示されます。初期 SETUP メッセージの前に H.225 メッセージを受信しました。これは許可されません。セキュリティ アプライアンスは、その H.225 コール シグナリング チャネルに関する初期 SETUP メッセージを受信してから、他のすべての H.225 メッセージを受信する必要があります。

推奨処置 不要です。

405105

エラー メッセージ %PIX|ASA-4-405105: H323 RAS message AdmissionConfirm received from source_address / source_port to dest_address/dest_port without an AdmissionRequest

説明 ゲートキーパーから admission confirm(ACF; 許可確認)が送信されましたが、セキュリティ アプライアンスはゲートキーパーに admission request(ARQ; 許可要求)を送信していません。

推奨処置 指摘された source_address のゲートキーパーを確認して、セキュリティ アプライアンスから ARQ を受信していないのに ACF が送信された理由を判定します。

405106

エラー メッセージ %PIX|ASA-4-405106: H323 num channel is not created from %I/%d to %I/%d %s\n

説明 このシステム ログ メッセージは、セキュリティ アプライアンスが H.323 メディア タイプ チャネルに関して一致条件を作成しようとした場合に生成されます。詳細については、 match media-type コマンドを参照してください。

推奨処置 不要です。

405107

エラー メッセージ %PIX|ASA-4-405107: H245 Tunnel is detected and connection dropped from %I/%d to %I/%d %s\n

説明 このシステム ログ メッセージは、コール セットアップ中に試行された H.245 トンネル制御のために、H.323 接続が廃棄された場合に生成されます。詳細については、 h245-tunnel-block コマンドを参照してください。

推奨処置 不要です。

405201

エラー メッセージ %PIX|ASA-4-405201: ILS ILS_message_type from inside_interface:source_IP_address to outside_interface:/destination_IP_address has wrong embedded address embedded_IP_address

説明 ILS パケット ペイロードに埋め込まれたアドレスが、IP パケット ヘッダーの送信元 IP アドレスと異なります。

推奨処置 指摘された source_IP_address のホストを確認して、誤った埋め込み IP アドレスで ILS パケットが送信された理由を判定します。

405300

エラー メッセージ %PIX|ASA-4-405300: Radius Accounting Request received from from_addr is not allowed

説明 ポリシー マップに設定されていないホストからのアカウンティング要求を受け取りました。このメッセージがログに記録され、処理が停止します。

from_addr :要求を送信しているホストの IP アドレス。

推奨処置 ホストが RADIUS アカウンティング メッセージをセキュリティ アプライアンスに送信するように設定されている場合は、サービスポリシーに適用された正しいポリシー マップにホストが設定されていることを確認します。ホストが RADIUS アカウンティング メッセージをセキュリティ アプライアンスに送信するように設定されていない場合は、メッセージが送信されている原因を確認します。メッセージが正当でない場合は、適切な ACL を作成してパケットを廃棄します。

405301

エラー メッセージ %PIX|ASA-4-405301: Attribute attribute_number does not match for user user_ip

説明 validate-attribute コマンドが入力されている場合に、受信した Accounting Request Start に格納されているアトリビュート値が、エントリ(存在する場合)に格納されているアトリビュート値と一致しません。

attribute_number :RADIUS アカウンティングで検証される RADIUS アトリビュート。値は 1 ~ 191 の範囲です。ベンダー固有のアトリビュートはサポートされていません。

user_ip :ユーザの IP アドレス(Framed IP アトリビュート)。

推奨処置 不要です。

406001

エラー メッセージ %PIX|ASA-4-406001: FTP port command low port: IP_address/port to IP_address on interface interface_name

説明 クライアントが FTP ポート コマンドを入力して、1024(通常はサーバ ポート専用の周知のポート範囲にある)より小さなポート番号を指定しました。これは、サイト セキュリティ ポリシーを回避しようとしていることを示します。セキュリティ アプライアンスは、パケットの廃棄、接続の終了、およびイベントの記録を行います。

推奨処置 不要です。

406002

エラー メッセージ %PIX|ASA-4-406002: FTP port command different address: IP_address( IP_address ) to IP_address on interface interface_name

説明 クライアントが FTP ポート コマンドを発行して、接続に使用されているアドレス以外のアドレスを指定しました。このエラー メッセージは、サイトのセキュリティ ポリシーを回避しようとしていること示します。たとえば、攻撃者が途中でパケットを変更し、正しいソース情報の代わりに別のソース情報を設定して FTP セッションをハイジャックしようとしている場合があります。セキュリティ アプライアンスは、パケットの廃棄、接続の終了、およびイベントの記録を行います。カッコ内のアドレスは、ポート コマンドからのアドレスです。

推奨処置 不要です。

407001

エラー メッセージ %PIX|ASA-4-407001: Deny traffic for local-host interface_name:inside_address , license limit of number exceeded

説明 ホスト制限を超えました。次のどちらかの条件に当てはまる場合、内部ホストは制限にカウントされます。

内部ホストは、この 5 分以内に、セキュリティ アプライアンス経由でトラフィックを転送しました。

内部ホストは現在、セキュリティ アプライアンスで、xlate 接続またはユーザ認証を予約しています。

推奨処置 ホスト制限はローエンド プラットフォームに適用されます。ホスト制限を表示するには、 show version コマンドを使用します。セキュリティ アプライアンスでのセッションを持つ現在のアクティブ ホストと内部ユーザを表示するには、 show local-host コマンドを使用します。1 つまたは複数のユーザを強制的に切断するには、 clear local-host コマンドを使用します。内部ユーザを制限になる前に期限切れにするには、xlate、接続、および uauth タイムアウトを推奨値以下に設定します( 表1-5 を参照)。

 

表1-5 タイムアウトおよび推奨値

タイムアウト
推奨値

xlate

00:05:00(5 分)

conn

00:01:00(1 時間)

uauth

00:05:00(5 分)

407002

エラー メッセージ %PIX|ASA-4-407002: Embryonic limit nconns/elimit for through connections exceeded. outside_address / outside_port to global_address ( inside_address )/ inside_port on interface interface_name

説明 これはセキュリティ アプライアンス経由の接続に関するメッセージです。このメッセージは、指摘されたグローバル アドレスを経由して、指摘された外部アドレスから指摘されたローカル アドレスに接続された数が、そのスタティックの最大初期制限を超えた場合に表示されます。セキュリティ アプライアンスは、接続にメモリが割り当て可能な場合は、その接続を受け入れようとします。ローカル ホストに代わってプロキシ ホストとなり、SYN_ACK パケットを外部ホストに送信します。セキュリティ アプライアンスは、該当する状態情報を保持し、パケットを廃棄して、クライアントからの ACK を待ちます。

推奨処置 このメッセージは、正当なトラフィックを示す場合もあれば、DoS 攻撃が進行中であることを示す場合もあります。送信元アドレスを調べてパケットの送信元を判別し、それが有効なホストであるかどうかを確認します。

407003

エラー メッセージ %PIX|ASA-4-407003: Established limit for RPC services exceeded number

説明 セキュリティ アプライアンスは、最大ホール数に達した後、すでに設定されている RPC サーバ ペアまたは RPC サービス ペアに対して、新規のホールをオープンしようとしました。

推奨処置 他のホールがクローズされるのを待機するか(関連タイムアウト有効期限を使用)、またはサーバまたはサービスのアクティブ ペア数を制限します。

408001

エラー メッセージ %PIX|ASA-4-408001: IP route counter negative - reason , IP_address Attempt: number

説明 IP ルート カウンタを負の値に減少しようとしましたが失敗しました。

推奨処置 clear ip route * コマンドを入力して、ルート カウンタをリセットします。問題が解決しない場合、Cisco TAC にお問い合せください。

408002

エラー メッセージ %PIX|ASA-4-408002: ospf process id route type update address1 netmask1 [ distance1/metric1 ] via source IP:interface1 address2 netmask2 [ distance2/metric2 ] interface2

説明 既存のルートよりも適切なメトリックを持つ同じ距離の別のインターフェイスからネットワーク アップデートを受信しました。新規のルートによって、別のインターフェイスを使用してインストールされた既存のルートが上書きされます。新規のルートは冗長目的に限り使用され、ネットワーク内でパスが移動されたことを意味します。この変更は、トポロジと再配布を使用して制御する必要があります。この変更の影響を受ける既存の接続は、ディセーブルにされる可能性があり、タイムアウトになります。このパスの移動は、パス冗長をサポートするようにネットワーク トポロジが特に設計されている場合(このケースが予測されます)に限り発生します。

推奨処置 不要です。

408003

エラー メッセージ %PIX|ASA-4-408003: can't track this type of object hex

説明 トラッキング システムのコンポーネントが、サポートしていないオブジェクト タイプを検出しました。STATE オブジェクトが予期されていました。

hex :メモリ内の変数値またはアドレスを示す 16 進値。

推奨処置 トラック オブジェクトを再設定して、STATE オブジェクトにします。

409001

エラー メッセージ %PIX|ASA-4-409001: Database scanner: external LSA IP_address netmask is lost, reinstalls

説明 ソフトウェアによって、予想外の状態が検出されました。ルータによって修正処置が行われ、続行されます。

推奨処置 不要です。

409002

エラー メッセージ %PIX|ASA-4-409002: db_free: external LSA IP_address netmask

説明 内部ソフトウェア エラーが発生しました。

推奨処置 不要です。

409003

エラー メッセージ %PIX|ASA-4-409003: Received invalid packet: reason from IP_address , interface_name

説明 無効な OSPF パケットを受信しました。詳細は、エラー メッセージに記載されています。原因は、送信側の誤った OSPF コンフィギュレーションか内部エラーの可能性があります。

推奨処置 受信側の OSPF コンフィギュレーションと送信側のコンフィギュレーションに不整合がないかを確認します。

409004

エラー メッセージ %PIX|ASA-4-409004: Received reason from unknown neighbor IP_address

説明 OSPF hello、データベース記述、またはデータベース要求パケットを受信しましたが、ルータは送信側を識別できませんでした。

推奨処置 この状態は、自分自身で訂正されます。

409005

エラー メッセージ %PIX|ASA-4-409005: Invalid length number in OSPF packet from IP_address (ID IP_address ), interface_name

説明 正常なヘッダー サイズよりも短いフィールド長の OSPF パケット、または到着した IP パケットのサイズと一致しない OSPF パケットを受信しました。これは、パケットの送信側のコンフィギュレーション エラーを示しています。

推奨処置 近接アドレスから、問題のルータを特定しリブートします。

409006

エラー メッセージ %PIX|ASA-4-409006: Invalid lsa: reason Type number , LSID IP_address from IP_address , IP_address , interface_name

説明 LSA タイプが無効の LSA をルータが受信しました。原因は、ルータ上のメモリの破損または予想外の動作のどちらかです。

推奨処置 近接アドレスから、問題のルータを特定しリブートします。問題が解決しない場合、Cisco TAC にお問い合せください。

409007

エラー メッセージ %PIX|ASA-4-409007: Found LSA with the same host bit set but using different mask LSA ID IP_address netmask New: Destination IP_address netmask

説明 内部ソフトウェア エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

409008

エラー メッセージ %PIX|ASA-4-409008: Found generating default LSA with non-zero mask LSA type : number Mask: netmask metric : number area : string

説明 ルータが誤ったマスクでデフォルト LSA を生成しようとしました。内部ソフトウェア エラーのためにメトリックが間違っている可能性があります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

409009

エラー メッセージ %PIX|ASA-4-409009: OSPF process number cannot start. There must be at least one up IP interface, for OSPF to use as router ID

説明 OSPF は、自分の 1 つのインターフェイスの IP アドレスからルータ ID を割り当てようとして、失敗しました。

推奨処置 IP アドレスが有効な動作中のインターフェイスが少なくとも 1 つあることを確認します。ルータで複数の OSPF プロセスが動作している場合、各プロセスは一意のルータ ID を必要とします。十分な数のインターフェイスを動作させて、各プロセスがルータ ID を取得できるようにする必要があります。

409010

エラー メッセージ %PIX|ASA-4-409010: Virtual link information found in non-backbone area: string

説明 内部エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

409011

エラー メッセージ %PIX|ASA-4-409011: OSPF detected duplicate router-id IP_address from IP_address on interface interface_name

説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。

推奨処置 OSPF ルータ ID は一意である必要があります。隣接ルータのルータ ID を変更します。

409012

エラー メッセージ %PIX|ASA-4-409012: Detected router with duplicate router ID IP_address in area string

説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。

推奨処置 OSPF ルータ ID は一意である必要があります。隣接ルータのルータ ID を変更します。

409013

エラー メッセージ %PIX|ASA-4-409013: Detected router with duplicate router ID IP_address in Type-4 LSA advertised by IP_address

説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。

推奨処置 OSPF ルータ ID は一意である必要があります。隣接ルータのルータ ID を変更します。

409023

エラー メッセージ %PIX|ASA-4-409023: Attempting AAA Fallback method method_name for request_type request for user user :Auth-server group server_tag unreachable

説明 外部サーバに対する認証または認可の試行が失敗し、ローカル ユーザ データベースを使用して実行されるようになります。 aaa_operation は「authentication」か「authorization」のどちらかです。 username は接続に関連付けられたユーザです。 server_group はサーバが到達不能であった AAA サーバの名前です。

推奨処置 最初の方法で設定された AAA サーバの接続性の問題を調査します。セキュリティ アプライアンスから認証サーバに対して ping を実行します。AAA サーバでデーモンが動作中であることを確認します。

410001

エラー メッセージ %PIX|ASA-4-410001: UDP DNS request from source_interface:source_address / source_port to dest_interface:dest_address/dest_port ; (label length | domain-name length) 52 bytes exceeds remaining packet length of 44 bytes.

説明 このシステム ログ メッセージは、UDP DNS パケット内でドメイン名の長さが 255 バイトを超えた場合に表示されます(RFC 1035 section 3.1 を参照)。

推奨処置 不要です。

410002

エラー メッセージ %PIX|ASA-2-410002: Dropped num DNS responses with mis-matched id in the past sec second(s): from src_ifc : sip / sport to dest_ifc : dip / dport

説明 このシステム ログ メッセージは、セキュリティ デバイスが、ミスマッチの DNS 識別子を持つ過剰な数の DNS 応答を検出した場合に生成されます。しきい値は、 id-mismatch DNS ポリシー マップ パラメータ サブモード コマンドで設定します。

num id-mismatch コマンドによって設定されている ID ミスマッチ インスタンスの数。

sec id-mismatch コマンドによって設定されている期間(秒単位)。

src_ifc :ミスマッチの DNS 識別子を持つ DNS メッセージが受信された送信元インターフェイス名。

sip :送信元 IP アドレス。

sport :送信元ポート。

dest_ifc :宛先インターフェイス名。

dip :宛先 IP アドレス。

dport :宛先ポート。

推奨処置 ミスマッチの DNS 識別子の比率が高い場合は、キャッシュに対する攻撃を示している可能性があります。システム ログ メッセージで IP アドレスとポートを確認し、攻撃元をトレースします。その攻撃元からのトラフィックを永続的にブロックするように ACL を設定できます。

410003

エラー メッセージ %PIX|ASA-4-410003: action_class : action DNS query_response from src_ifc : sip / sport to dest_ifc : dip / dport ; further_info

説明 このシステム ログ メッセージは、DNS メッセージに対して DNS 分類が実施され、指定の基準が満たされた場合に生成されます。その後、設定済みのアクションが実行されます。

action_class :「DNS Classification」アクション クラス。

action :実行されるアクション。「Dropped」、「Dropped (no TSIG)」、または「Masked header flags for」。

query_response :「query」または「response」。

src_ifc :送信元インターフェイス名。

sip :送信元 IP アドレス。

sport :送信元ポート。

dest_ifc :宛先インターフェイス名。

dip :宛先 IP アドレス。

dport :宛先ポート。

further_info :「matched Class id: class_name 」、「matched Class id: match_command 」(スタンドアロンの match コマンドの場合)、「TSIG resource record not present」( tsig enforced コマンドによって生成されたシステム ログ メッセージの場合)のいずれか。

推奨処置 不要です。

410004

エラー メッセージ %ASA-6-410004: action_class : action DNS query_response from src_ifc : sip / sport to dest_ifc : dip / dport ; further_info

説明 このイベントは、DNS メッセージに対して DNS 分類が実施され、指定の基準が満たされた場合に生成されます。

action_class :「DNS Classification」アクション クラス。

action :実行されるアクション。「Received」または「Received (no TSIG)」。

query_response :「query」または「response」。

src_ifc :送信元インターフェイス名。

sip :送信元 IP アドレス。

sport :送信元ポート。

dest_ifc :宛先インターフェイス名。

dip :宛先 IP アドレス。

dport :宛先ポート。

further_info :「matched Class id: class_name 」、「matched Class id: match_command 」(スタンドアロンの match コマンドの場合)、「TSIG resource record not present」( tsig enforced コマンドによって生成されたシステム ログ メッセージの場合)のいずれか。

推奨処置 不要です。

411001

エラー メッセージ %PIX|ASA-4-411001: Line protocol on interface interface_name changed state to up

説明 回線プロトコルのステータスが、down から up に変化しました。 interface_name が論理インターフェイス名(「inside」および「outside」など)の場合、このメッセージは、論理インターフェイス回線プロトコルが down から up に変化したことを示します。 interface_name が物理インターフェイス名(「Ethernet0」および「GigabitEthernet0/1」など)の場合、このメッセージは、物理インターフェイス回線プロトコルが down から up に変化したことを示します。

推奨処置 不要です。

411002

エラー メッセージ %PIX|ASA-4-411002:Line protocol on interface interface_name changed state to down

説明 回線プロトコルのステータスが up から down に変化しました。 interface_name が論理インターフェイス名(「inside」および「outside」など)の場合、このメッセージは、論理インターフェイス回線プロトコルが up から down に変化したことを示します。この場合、物理インターフェイス回線プロトコルのステータスは影響を受けません。 interface_name が物理インターフェイス名(「Ethernet0」および「GigabitEthernet0/1」など)の場合、このメッセージは、物理インターフェイス回線プロトコルが up から down に変化したことを示します。

推奨処置 これがインターフェイス上の予期しないイベントの場合、物理回線を確認します。

411003

エラー メッセージ %PIX|ASA-4-411003: Configuration status on interface interface_name changed state to downup

説明 インターフェイスのコンフィギュレーション ステータスが down から up に変化しました。

推奨処置 これが予期しないイベントの場合、物理回線を確認します。

411004

エラー メッセージ %PIX|ASA-4-411004: Configuration status on interface interface_name changed state to up

説明 インターフェイスのコンフィギュレーション ステータスが down から up に変化しました。

推奨処置 不要です。

412001

エラー メッセージ %PIX|ASA-4-412001:MAC MAC_address moved from interface_1 to interface_2

説明 このメッセージは、モジュール インターフェイス間でのホストの移動が検出された場合に生成されます。透過セキュリティ アプライアンスでは、ホスト(MAC)とセキュリティ アプライアンス ポートの間のマッピングはレイヤ 2 転送テーブルに保持されています。このテーブルでは、パケット送信元 MAC アドレスがセキュリティ アプライアンス ポートにダイナミックにバインドされます。このプロセスでは、インターフェイス間でのホストの移動が検出されると常に、このメッセージが生成されます。

推奨処置 ホストの移動が有効である場合もあれば、ホストの移動が、他のインターフェイス上のホスト MAC をスプーフィングしようとしている場合もあります。MAC スプーフィングの場合は、ネットワーク上の脆弱なホストを特定して削除するか、またはスタティック MAC エントリ(MAC アドレスおよびポート バインディングは変更できない)を設定します。実際にホスト移動が行われた場合、処置は不要です。

412002

エラー メッセージ %PIX|ASA-4-412002:Detected bridge table full while inserting MAC MAC_address on interface interface . Number of entries = num

説明 このメッセージは、ブリッジ テーブルがいっぱいの場合に、さらに 1 つエントリを追加しようとしたときに生成されます。セキュリティ アプライアンスは、コンテキストごとに別個のレイヤ 2 転送テーブルを保持しており、コンテキストがサイズ制限を超えると常にこのメッセージが生成されます。MAC アドレスは追加されますが、テーブル内の最も古い既存のダイナミック エントリ(有効な場合)が置換されます。

推奨処置 これは攻撃が行われようとした可能性があります。新規ブリッジ テーブル エントリが有効であることを確認します。攻撃の場合には、EtherType ACLs を使用して脆弱なホストへのアクセスを制御します。

413001

エラー メッセージ %ASA-4-413001: Module in slot slotnum is not able to shut down. Module Error: errnum message

説明 slotnum 内のモジュールは、ASA システム モジュールからのシャットダウンの要求に応じることができませんでした。ソフトウェア アップグレードのような中断できないタスクを実行していることがあります。 errnum および message テキストに、モジュールをシャットダウンできなかった理由と、推奨アクションが記載されています。

推奨処置 モジュール上のタスクが完了するのを待ってからモジュールをシャットダウンするか、またはセッション コマンドを使用してモジュールの CLI にアクセスし、モジュールのシャットダウンを妨げているタスクを停止します。

413002

エラー メッセージ %ASA-4-413002: Module in slot slotnum is not able to reload. Module Error: errnum message

説明 slotnum 内のモジュールは、ASA システム モジュールからのリロードの要求に応じることができませんでした。ソフトウェア アップグレードのような中断できないタスクを実行していることがあります。 errnum および message テキストに、モジュールをリロードできなかった理由と、推奨アクションが記載されています。

推奨処置 モジュールのタスクが完了するのを待ってからモジュールをリロードするか、またはセッション コマンドを使用してモジュールの CLI にアクセスし、モジュールのリロードを妨げているタスクを停止します。

413003

エラー メッセージ %ASA-4-413003: Module in slot slotnum is not a recognized type

説明 有効なカード タイプとして認識されないカードを検出するたびに生成されます。

推奨処置 インストールされているモジュール タイプをサポートする ASA システム ソフトウェアのバージョンにアップグレードします。

413004

エラー メッセージ %ASA-4-413004: Module in slot slotnum failed to write software v newver (currently v ver ), reason . Trying again.

説明 指摘されたスロット番号のモジュールがソフトウェア バージョンに対応できませんでした。UNRESPONSIVE 状態に移行します。モジュール ソフトウェアのアップデートがさらに試行されます。

slotnum :モジュールが存在しているスロット番号。

newver :モジュールへの書き込みが正常に終了しなかったソフトウェアの新しいバージョン番号(1.0(1)0 など)。

ver :モジュール上のソフトウェアの現在のバージョン番号(1.0(1)0 など)。

reason :新しいバージョンがモジュールに書き込みできなかった理由。 reason に考えられる値は、次のとおりです。

write failure

failed to create a thread to write the image

推奨処置 不要です。その後の試行で、アップデートの成功または失敗を示すメッセージが生成されます。その後のアップデート試行後の UP へのモジュール遷移を確認するには、 show module slotnum コマンドを使用します。

413005

エラー メッセージ %ASA-1-413005: prod_id Module in slot slot , application is not supported app_name version app_vers type app_type

説明 スロット slot に設置されているモジュールが、サポートされていないアプリケーション バージョンまたはアプリケーション タイプを実行しています。

prod_id :製品 ID 文字列。

slot :スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。このエラーの場合、スロットは必ず 1 となります。

app_name :アプリケーション名(文字列)。

app_vers :アプリケーションのバージョン(文字列)。

app_type :アプリケーションのタイプ(10 進数)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

413006

エラー メッセージ %ASA-4-413006: prod-id Module software version mismatch; slot slot is prod-id version running-vers . Slot slot prod-id requires required-vers .

説明 スロット slot のモジュール上で動作しているソフトウェアのバージョンが、別のモジュールから要求されたバージョンではありません。

slot :スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。

prod_id :スロット slot に設置されているデバイスの製品 ID 文字列。

running_vers :スロット <slot> に設置されているモジュール上で現在動作しているソフトウェアのバージョン。

required_vers :スロット slot のモジュールから要求されたソフトウェアのバージョン。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

414001

エラー メッセージ %PIX|ASA-3-414001: Failed to save logging buffer using file name filename to FTP server ftp_server_address on interface interface_name : [ fail_reason ]

説明 このシステム ログ メッセージは、ロギング モジュールによる外部 FTP サーバへのロギング バッファの保存が失敗した場合に生成されます。

推奨処置 失敗した理由に基づいて、適切な処置を行います。

プロトコル エラー:FTP サーバとセキュリティ アプライアンスとの間の接続に問題がなく、FTP サーバが FTP PORT コマンドを受信して要求を出すことができることを確認します。

無効なユーザ名またはパスワード:設定された FTP クライアント ユーザ名およびパスワードが正しいことを確認します。

他のエラーすべて:問題が解決しない場合、Cisco TAC にお問い合せください。

414002

エラー メッセージ %PIX|ASA-3-414002: Failed to save logging buffer to flash:/syslog directory using file name: filename : [ fail_reason ]

説明 このシステム ログ メッセージは、ロギング モジュールによるシステム フラッシュへのロギング バッファの保存が失敗した場合に生成されます。

推奨処置 失敗した理由が十分な領域がないためである場合は、システム フラッシュの空き領域をチェックして、ロギング フラッシュ サイズ コマンドの設定制限が正しく設定されていることを確認します。エラーが、フラッシュ ファイル システムの入出力エラーの場合は、Cisco TAC に問い合せてサポートを受けてください。

415001

エラー メッセージ %PIX|ASA-6-415001: HTTP - matched matched_string in policy-map map_name , header field count exceeded connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、次のいずれかが発生した場合に生成されます。

a. HTTP ヘッダーのフィールドの総数が、ユーザ設定のヘッダー フィールド数を超えました。関連するコマンドは、 match { request | response } header count num です。

b. HTTP ヘッダー内の指摘されたフィールドの出現数が、そのヘッダー フィールドに対してユーザが設定した数を超えました。関連するコマンドは、 match { request | response } header header-name count num です。

matched_string :一致した文字列。次のいずれかです。

クラス マップ ID と、その後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

このシステム ログ メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 match { request | response } header コマンドを入力して、HTTP ヘッダーのフィールド値を再設定します。

415002

エラー メッセージ %PIX|ASA-6-415002: HTTP - matched matched_string in policy-map map_name , header field length exceeded connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、指摘された HTTP ヘッダー フィールド長がユーザ設定の長さを超えた場合に生成されます。

matched_string :一致した文字列。次のいずれかです。

クラス マップ ID と、その後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

このシステム ログ メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 match { request | response } header header_name length gt num コマンドを入力して、HTTP ヘッダー フィールド長を変更します。

415003

エラー メッセージ %PIX|ASA-6-415003: HTTP - matched matched_string in policy-map map_name , body length exceeded connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、メッセージ本体の長さがユーザ設定の長さを超えた場合に生成されます。

matched_string :一致した文字列。次のいずれかです。

クラス マップ ID と、その後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

このシステム ログ メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 match { request | response } body length gt num コマンドを入力して、メッセージ本体の長さを変更します。

415004

エラー メッセージ %PIX|ASA-5-415004: HTTP - matched matched_string in policy-map map_name , content-type verification failed connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、HTTP メッセージ本体の「マジック番号」が、HTTP メッセージ ヘッダーの「content-type」フィールドに指定されている MIME タイプの正しいマジック番号でない場合に生成されます。

matched_string :一致した文字列。次のいずれかです。

クラス マップ ID と、その後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

このシステム ログ メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 match { request | response } header content-type violation コマンドを入力して、エラーを修正します。

415005

エラー メッセージ %PIX|ASA-5-415005: HTTP - matched matched_string in policy-map map_name , URI length exceeded connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、URI の長さがユーザ設定の長さを超えた場合に生成されます。

matched_string :一致した文字列。次のいずれかです。

クラス マップ ID と、その後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

このシステム ログ メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 match request uri length gt num コマンドを入力して、URI の長さを変更します。

415006

エラー メッセージ %PIX|ASA-5-415006: HTTP - matched matched_string in policy-map map_name , URI matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、URI がユーザ設定の正規表現と一致した場合に生成されます。詳細については、 match request uri regex { regex-name | class class-name } コマンドを参照してください。

matched_string :一致した文字列。次のいずれかです。

クラス マップ ID と、その後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

このシステム ログ メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 不要です。

415007

エラー メッセージ %PIX|ASA-5-415007: HTTP - matched matched_string in policy-map map_name , Body matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、メッセージ本体がユーザ設定の正規表現と一致した場合に生成されます。詳細については、 match { request | response } body regex { regex-name | class class-name } コマンドを参照してください。

matched_string :一致した文字列。次のいずれかです。

クラス マップ ID と、その後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

このシステム ログ メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 不要です。

415008

エラー メッセージ %PIX|ASA-5-415008: HTTP - matched matched_string in policy-map map_name , header matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、メッセージ ヘッダーのユーザ指定フィールドの値がユーザ設定の正規表現と一致した場合に生成されます。詳細については、 match { request | response } header header-field-name { regex-name | class class-name } コマンドを参照してください。

matched_string :一致した文字列。次のいずれかです。

クラス マップ ID と、その後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

このシステム ログ メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 不要です。

415009

エラー メッセージ %PIX|ASA-5-415009: HTTP - matched matched_string in policy-map map_name , method matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、HTTP メソッドがユーザ設定の正規表現と一致した場合に生成されます。詳細については、 match request method { regex-name | class class-name } コマンドを参照してください。

matched_string :一致した文字列。次のいずれかです。

クラス マップ ID と、その後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

このシステム ログ メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 不要です。

415010

エラー メッセージ %PIX|ASA-5-415010: matched matched_string in policy-map map_name , transfer encoding matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、「transfer encoding」フィールドの値がユーザ設定の正規表現またはキーワードと一致した場合に発行されます。詳細については、 match { request | response } header transfer-encoding { { regex-name | class class-name } | keyword } コマンドを参照してください。

matched_string :一致した文字列。次のいずれかです。

クラス マップ ID と、その後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

このシステム ログ メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 不要です。

415011

エラー メッセージ %PIX|ASA-5-415011: HTTP - policy-map map_name :Protocol violation connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、HTTP パーサーが HTTP メッセージの最初の数バイトの中で有効な HTTP メッセージを検出できない場合に生成されます。

map_name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 protocol-violation action { drop | reset } log コマンドを入力して、問題を修正します。

415012

エラー メッセージ %PIX|ASA-5-415012: HTTP - matched matched_string in policy-map map_name , Unknown mime-type connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、「content-type」フィールドに、組み込み MIME タイプと一致する MIME タイプが含まれていない場合に生成されます。

matched_string :一致した文字列。次のいずれかです。

クラス マップ ID と、その後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

このシステム ログ メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 match { request | response } header content-type unknown コマンドを入力して、問題を修正します。

415013

エラー メッセージ %PIX|ASA-5-415013: HTTP - policy-map map-name :Malformed chunked encoding connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、チャンク符号化の形式が誤っているために HTTP メッセージを解析できず、 protocol-violation コマンドでロギングが設定されている場合に必ず生成されます。

map-name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 protocol-violation action { drop | reset } log コマンドを入力して、問題を修正します。

415014

エラー メッセージ %PIX|ASA-5-415014: HTTP - matched matched_string in policy-map map_name , Mime-type in response wasn't found in the accept-types of the request connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、HTTP 応答の MIME タイプが、要求の「accept」フィールドに存在しない場合に生成されます。

matched_string :一致した文字列。次のいずれかです。

クラス マップ ID と、その後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

このシステム ログ メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 match req-resp content-type mismatch コマンドを入力して、問題を修正します。

415015

エラー メッセージ %PIX|ASA-5-415015: HTTP - matched matched_string in policy-map map_name , transfer-encoding unknown connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、空の転送符号化が発生した場合に生成されます。

matched_string :一致した文字列。次のいずれかです。

クラス マップ ID と、その後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

このシステム ログ メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 match { request | response } header transfer-encoding empty コマンドを入力して、問題を修正します。

415016

エラー メッセージ %PIX|ASA-4-415016: policy-map map_name :Maximum number of unanswered HTTP requests exceeded connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、応答のない HTTP 要求の数が、内部で許可されている要求数を超えた場合に表示されます。

map_name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 protocol-violation action { drop | reset } log コマンドを入力して、問題を修正します。

415017

エラー メッセージ %PIX|ASA-6-415017: HTTP - matched_string in policy-map map_name , arguments matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、引数のパターンがユーザ設定の正規表現またはキーワードと一致した場合に生成されます。詳細については、 match request args regex { regex-name | class class-name } コマンドを参照してください。

matched_string :一致した文字列。次のいずれかです。

クラス マップ ID と、その後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

このシステム ログ メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 不要です。

415018

エラー メッセージ %PIX|ASA-5-415018: HTTP - matched matched_string in policy-map map_name , Header length exceeded connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、ヘッダーの全長がユーザ設定のヘッダー長を超えた場合に生成されます。

matched_string :一致した文字列。次のいずれかです。

クラス マップ ID と、その後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

このシステム ログ メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 match { request | response } header length gt num コマンドを入力して、ヘッダー長を短くします。

415019

エラー メッセージ %PIX|ASA-5-415019: HTTP - matched matched_string in policy-map map_name , status line matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、応答のステータス行がユーザ設定の正規表現と一致した場合に生成されます。詳細については、 match response status-line regex { regex-name | class class-name } を参照してください。

matched_string :一致した文字列。次のいずれかです。

クラス マップ ID と、その後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

このシステム ログ メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 不要です。

415020

エラー メッセージ %PIX|ASA-5-415020: HTTP - matched matched_string in policy-map map_name , a non-ASCII character was matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 このシステム ログ メッセージは、非 ASCII 文字が見つかった場合に生成されます。

説明

matched_string :一致した文字列。次のいずれかです。

クラス マップ ID と、その後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

このシステム ログ メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前。

connection_action :「- Dropping connection」または「- Resetting connection」。

interface_type :インターフェイスのタイプ。たとえば、DMZ、outside(外部)など。

IP_address :インターフェイスの IP アドレス。

port_num :ポート番号。

推奨処置 match { request | response } header non-ascii コマンドを入力して、問題を修正します。

416001

エラー メッセージ %PIX|ASA-4-416001: Dropped UDP SNMP packet from source_interface : source_IP / source_port to dest_interface : dest_address/dest_port ; version ( prot_version ) is not allowed through the firewall

説明 SNMP パケットが、不良パケット フォーマットのため、または prot_version はセキュリティ アプライアンスを通過することを許可されていないために、セキュリティ アプライアンスを通過することを拒否されました。 prot_version フィールドの値は、1、2、2c、または 3 のうちのいずれかです。

推奨処置 snmp-map コマンドを使用して、SNMP 検査の設定を変更します。このコマンドを使用すると、ユーザが特定のプロトコル バージョンを許可または拒否できます。

417001

エラー メッセージ %PIX|ASA-4-417001: Unexpected event received: number

説明 プロセスで信号を受信しましたが、イベントのハンドラが見つかりませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

417004

エラー メッセージ %PIX|ASA-4-417004: Filter violation error: conn number ( string : string ) in string

説明 クライアントが、自分が所有していないルート アトリビュートを修正しようとしました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

417006

エラー メッセージ %PIX|ASA-4-417006: No memory for string ) in string . Handling: string

説明 メモリ不足のために動作が失敗しましたが、別のメカニズムで処理されます。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

417008

エラー メッセージ %PIX-4-417008 AutoRP: removed string embedded group address1 / mask1 on interface interface-name from address2 due to overlap address3 / mask2

説明 マルチキャスト境界が、AutoRp 符号化グループよりも長いマスクを持っています。

string :「Announcement」または「Discovery」。

interface-name :パケットを受信したインターフェイス名。

address1 :組み込みマルチキャスト グループのアドレス。

address2 :AutoRP パケットの送信元 IP アドレス。

address3 :マルチキャスト境界グループのアドレス。

mask1 :組み込みマルチキャスト グループのマスク。

mask2 :マルチキャスト境界グループのマスク。

推奨処置 境界のアクセス ルールまたは RP マッピングを調整します。

417009

エラー メッセージ %PIX-4-417009 AutoRp: discarded string on interface interface-name from address due to malformed packet

説明 RP マッピングでグループ カウントのない AutoRp パケットを受信しました。

string :「Announcement」または「Discovery」。

interface-name :パケットを受信したインターフェイス名。

address :AutoRP パケットの送信元 IP アドレス。

推奨処置 発信元デバイスが RFC に準拠していない可能性があります。発信元デバイスをアップグレードするか、デバイスの所有者に通知します。

418001

エラー メッセージ %PIX|ASA-4-418001: Through-the-device packet to/from management-only network is denied: protocol_string from interface_name IP_address ( port ) to interface_name IP_address ( port )

説明 指摘された送信元から宛先へのパケットが、セキュリティ アプライアンスと管理専用ネットワークとの間を経由しているために、廃棄されます。

protocol_string :TCP、UDP、ICMP、または 10 進数のプロトコル ID。

interface_name :インターフェイス名。

IP_address :IP アドレス。

port :ポート番号。

推奨処置 このようなパケットを生成している個人と理由を調査します。

419001

エラー メッセージ %PIX|ASA-4-419001: Dropping TCP packet from src_ifc : src_IP / src_port to dest_ifc : dest_IP / dest_port , reason: MSS exceeded, MSS size , data size

説明 このメッセージは、TCP パケットの長さが 3 ウェイ ハンドシェイクでアドバタイズされた MSS を超えている場合に生成されます。

src_ifc :入力インターフェイス名。

src_IP :パケットの送信元 IP アドレス。

src_port :パケットの送信元ポート。

dest_ifc :出力インターフェイス名。

dest_IP :パケットの宛先 IP アドレス。

dest_port :パケットの宛先ポート。

推奨処置 MSS を超えるパケットを許可する必要がある場合は、 exceed-mss コマンドを使用して TCP マップを作成します。次に例を示します。

access-list http-list permit tcp any host server_ip eq 80

class-map http
match access-list http-list

tcp-map tmap
exceed-mss allow

policy-map global_policy
class http
set connection advanced-options tmap
 

419002

エラー メッセージ %ASA-4-419002: Received duplicate TCP SYN from in_interface : src_address / src_port to out_interface : dest_address / dest_port with different initial sequence number.

説明 3 ウェイ ハンドシェイク中に、初期接続を開いた SYN とは異なる初期シーケンス番号を持つ重複 TCP SYN を受信しました。これは、SYN がスプーフィングされていることを示している可能性があります。このメッセージは、Release 7.0.4.1 以降で表示されます。

in_interface :インターフェイス名。

src_address :パケットの送信元 IP アドレス。

src_port :パケットの送信元ポート。

out_interface :出力インターフェイス。

dest_address :パケットの宛先 IP アドレス。

dest_port :パケットの宛先ポート。

推奨処置 不要です。

420001

エラー メッセージ %ASA-3-420001 : IPS card not up and fail-close mode used, dropping ICMP packet ifc_in : SIP to ifc_out : DIP (type ICMP_TYPE , code ICMP_CODE )"
%ASA-3-420001 : IPS card not up and fail-close mode used, dropping TCP packet from ifc_in:SIP/SPORT to ifc_out:DIP/DPORT\n"
%ASA-3-420001 : IPS card not up and fail-close mode used, dropping UDP packet from ifc_in:SIP/SPORT to ifc_out:DIP/DPORT\n"
%ASA-3-420001 : IPS card not up and fail-close mode used, dropping protocol protocol packet from ifc_in:SIP to ifc_out:DIP\n"
 

説明 このメッセージは、IPS フェールクローズ モードが使用されており、IPS カードが動作していない場合にパケットが廃棄されると、表示されます。このメッセージは表示が制限されています。

ifc_in :入力インターフェイス名。

ifc_out :出力インターフェイス名。

SIP :パケットの送信元 IP。

SPORT :パケットの送信元ポート。

DIP :パケットの宛先 IP。

DPORT :パケットの宛先ポート。

ICMP_TYPE :ICMP パケットのタイプ。

ICMP_CODE :ICMP パケットのコード。

推奨処置 IPS カードを確認して動作させます。

420002

エラー メッセージ %ASA-4-420002 : IPS requested to drop ICMP packets ifc_in : SIP to ifc_out : DIP (type ICMP_TYPE , code ICMP_CODE )"
%ASA-4-420002 : IPS requested to drop TCP packet from ifc_in:SIP/SPORT to ifc_out:DIP/DPORT\n"
%ASA-4-420002 : IPS requested to drop UDP packet from ifc_in:SIP/SPORT to ifc_out:DIP/DPORT\n"
%ASA-4-420002 : IPS requested to drop protocol packet from ifc_in:SIP to ifc_out:DIP\n"

説明 このメッセージは、パケットを廃棄するように IPS が要求した場合に表示されます。

ifc_in :入力インターフェイス名。

ifc_out :出力インターフェイス名。

SIP :パケットの送信元 IP。

SPORT :パケットの送信元ポート。

DIP :パケットの宛先 IP。

DPORT :パケットの宛先ポート。

ICMP_TYPE :ICMP パケットのタイプ。

ICMP_CODE :ICMP パケットのコード。

推奨処置 不要です。

420003

エラー メッセージ %ASA-4-420003 : IPS requested to reset TCP connection from ifc_in : SIP / SPORT to ifc_out : DIP / DPORT "

説明 このメッセージは、TCP 接続のリセットを IPS が要求した場合に表示されます。

ifc_in :入力インターフェイス名。

ifc_out :出力インターフェイス名。

SIP :パケットの送信元 IP。

SPORT :パケットの送信元ポート。

DIP :パケットの宛先 IP。

DPORT :パケットの宛先ポート。

推奨処置 不要です。

420004

エラー メッセージ %ASA-6-420004 : Virtual Sensor sensor_name was added on the AIP SSM\n

説明 AIP SSM カードに仮想センサーが追加されました。

n :カード番号。

推奨処置 不要です。

420005

エラー メッセージ %ASA-6-420005 : Virtual Sensor sensor_name was deleted from the AIP SSM\n

説明 AIP SSM カードから仮想センサーが削除されました。

n :カード番号。

推奨処置 不要です。

420006

エラー メッセージ %ASA-3-420006 : Virtual Sensor not present and fail-close mode used, dropping protocol packet from ifc_in:SIP/SPORT to ifc_out:DIP/DPORT\n

説明 このメッセージは、IPS フェールクローズ モードが使用されており、パケット用の仮想センサーが存在しない場合に、パケットが廃棄されると表示されます。

ifc_in :入力インターフェイス名。

ifc_out :出力インターフェイス名。

SIP :パケットの送信元 IP。

SPORT :パケットの送信元ポート。

DIP :パケットの宛先 IP。

DPORT :パケットの宛先ポート。

推奨処置 仮想センサーを確認して追加します。

421001

エラー メッセージ %ASA-3-421001: TCP|UDP flow from interface_name : ip / port to interface_name : ip / port is dropped because application has failed.

説明 CSC SSM アプリケーションに障害が発生したため、パケットが廃棄されました。デフォルトでは、このメッセージは 10 秒に 1 回しか表示されないように制限されています。

interface_name :インターフェイス名。

IP_address :IP アドレス。

port :ポート番号。

application :現在のリリースでは、CSC SSM だけがサポート対象アプリケーションです。

推奨処置 すぐにサービス モジュールで問題を調査します。

421002

エラー メッセージ %ASA-6-421002: TCP|UDP flow from interface_name : IP_address / port to interface_nam : IP_address / port bypassed application checking because the protocol is not supported.

説明 接続に使用されているプロトコルをサービス モジュールがスキャンできないため、接続はサービス モジュールのセキュリティ チェックをバイパスしました。たとえば、CSC SSM は TELNET トラフィックをスキャンできません。ユーザが TELNET トラフィックのスキャンを設定した場合、トラフィックはスキャン サービスをバイパスします。デフォルトでは、このメッセージは 10 秒に 1 回しか表示されないように制限されています。

IP_address :IP アドレス。

port :ポート番号。

interface_name :ポリシーが適用されているインターフェイス名。

application :現在のリリースでは、CSC SSM だけがサポート対象アプリケーションです。

推奨処置 サービス モジュールがサポートしているプロトコルだけを含めるように、コンフィギュレーションを修正する必要があります。

421003

エラー メッセージ %ASA-3-421003: Invalid data plane encapsulation.

説明 サービス モジュールによって投入されたパケットが、正しいデータ プレーン ヘッダーを持っていませんでした。データ バックプレーンで交換されるパケットは、ASDP と呼ばれるシスコ独自のプロトコルに準拠しています。適切な ASDP ヘッダーを持たないパケットは、すべて廃棄されます。

推奨処置 capture name type asp-drop [ ssm-asdp-invalid-encap ] コマンドを使用して攻撃パケットを取り込み、Cisco TAC にお問い合せください。

421004

エラー メッセージ %ASA-7-421004: Failed to inject {TCP|UDP} packet from IP_address / port to IP_address / port

説明 セキュリティ アプライアンスがサービス モジュールの指示どおりにパケットを投入できませんでした。これは、すでに解放されたフローにセキュリティ アプライアンスがパケットを投入しようとした場合に発生することがあります。

IP_address :IP アドレス。

port :ポート番号。

推奨処置 これは、セキュリティ アプライアンスがサービス モジュールとは別に接続テーブルを保持しているために発生する可能性があります。通常は、これによって問題が生じることはありません。これがセキュリティ アプライアンスのパフォーマンスに影響を及ぼす場合、または問題が解決しない場合は、Cisco TAC にお問い合せください。

421005

エラー メッセージ %ASA-6-421005: interface_name : IP_address is counted as a user of application

説明 ホストがライセンス制限の対象と見なされています。指摘されたホストが、 application のユーザと見なされました。ライセンス検証のために、24 時間のユーザの総数が午前 0 時に計算されます。

interface_name :インターフェイス名。

IP_address :IP アドレス。

application :現在のリリースでは、CSC SSM だけがサポート対象アプリケーションです。

推奨処置 不要です。ただし、全体の数が、購入したユーザ ライセンスを超える場合は、シスコに連絡してライセンスをアップグレードしてください。

421006

エラー メッセージ %ASA-6-421006: There are number users of application accounted during the past 24 hours.

説明 過去 24 時間に application を使用したユーザの総数を示します。このメッセージは 24 時間ごとに生成され、サービス モジュールによって提供されたサービスを使用したホストの総数を示します。

推奨処置 不要です。ただし、全体の数が、購入したユーザ ライセンスを超える場合は、シスコに連絡してライセンスをアップグレードしてください。

421007

エラー メッセージ %ASA-3-421007: TCP|UDP flow from interface_name : IP_address / port to interface_name : IP_address / port is skipped because application has failed.

説明 このメッセージは、サービス モジュールのアプリケーションに障害が発生したためにフローがスキップされた場合に生成されます。デフォルトでは、このメッセージは 10 秒に 1 回しか表示されないように制限されています。

IP_address :IP アドレス。

port :ポート番号。

interface_name :ポリシーが適用されているインターフェイス名。

application :現在のリリースでは、CSC SSM だけがサポート対象アプリケーションです。

推奨処置 すぐにサービス モジュールで問題を調査します。

422004

エラー メッセージ %PIX|ASA-4-422004: IP SLA Monitor number0 : Duplicate event received. Event number number1

説明 IP SLA モニタ プロセスが、重複したイベントを受信しました。現在、このメッセージは破棄イベントに適用されます。1 つの破棄要求だけが適用されます。

number0 :SLA 動作番号。

number1 :SLA 動作のイベント ID。

推奨処置 これは単なる警告メッセージです。このメッセージが繰り返し表示される場合は、 show sla monitor configuration SLA_operation_id コマンドを入力して、コマンドの出力をコピーします。コンソールまたはシステム ログに表示されるメッセージをそのままコピーします。その後 Cisco TAC にお問い合せのうえ、収集した情報と、SLA プローブを設定およびポーリングしているアプリケーションに関する情報を TAC の担当者にご提供ください。

422005

エラー メッセージ %PIX|ASA-4-422005: IP SLA Monitor Probe(s) could not be scheduled because clock is not set.

説明 システム クロックが設定されていないため、1 つまたは複数の IP SLA モニタ プローブをスケジュールできませんでした。

推奨処置 システム クロックが NTP または別のメカニズムを使用して機能できることを確認します。

422006

エラー メッセージ %PIX|ASA-4-422006: IP SLA Monitor Probe number : string

説明 IP SLA モニタ プローブをスケジュールできませんでした。設定された開始時刻がすでに過ぎてしまっているか、開始時刻が無効です。

number :SLA 動作 ID。

string :エラーを説明する文字列。

推奨処置 無効な開始時刻を持つ失敗したプローブを再度スケジュールします。

423001

エラー メッセージ %ASA-4-423001: {Allowed | Dropped} invalid NBNS pkt_type_name with error_reason_str from ifc_name : ip_address / port to ifc_name : ip_address / port .

説明 NBNS パケットの形式が誤っています。

推奨処置 不要です。

423002

エラー メッセージ %ASA-4-423002: {Allowed | Dropped} mismatched NBNS pkt_type_name with error_reason_str from ifc_name : ip_address / port to ifc_name : ip_address / port .

説明 NBNS ID のミスマッチがあります。

推奨処置 不要です。

423003

エラー メッセージ %ASA-4-423003: {Allowed | Dropped} invalid NBDGM pkt_type_name with error_reason_str from ifc_name : ip_address / port to ifc_name : ip_address / port .

説明 NBDGM パケットの形式が誤っています。

推奨処置 不要です。

423004

エラー メッセージ %ASA-4-423004: {Allowed | Dropped} mismatched NBDGM pkt_type_name with error_reason_str from ifc_name : ip_address / port to ifc_name : ip_address / port .

説明 NBDGM ID のミスマッチがあります。

推奨処置 不要です。

423005

エラー メッセージ %ASA-4-423005: {Allowed | Dropped} NBDGM pkt_type_name fragment with error_reason_str from ifc_name : ip_address / port to ifc_name : ip_address / port .

説明 NBDGM フラグメントの形式が誤っています。

推奨処置 不要です。

424001

エラー メッセージ %ASA-4-424001: Packet denied protocol_string intf_in : src_ip / src_port intf_out : dst_ip / dst_port . [Ingress|Egress] interface is in a backup state.

説明 パケットが、セキュリティ アプライアンスと冗長インターフェイスとの間を経由しているために、廃棄されました。ローエンド プラットフォームでは、インターフェイス機能が制限されます。 backup interface コマンドで指定されているインターフェイスは、設定されているプライマリ インターフェイスのバックアップになることしかできません。プライマリ インターフェイスへのデフォルト ルートがアップしている場合は、バックアップ インターフェイスからのデバイス経由トラフィックはすべて拒否されます。逆に、プライマリ インターフェイスへのデフォルト ルートがダウンしている場合は、プライマリ インターフェイスからのデバイス経由トラフィックが拒否されます。

protocol_string :プロトコル文字列。たとえば、TCP やプロトコル ID(10 進数)。

intf_in :入力インターフェイス名。

src_ip :パケットの送信元 IP アドレス。

src_port :パケットの送信元ポート。

intf_out :出力インターフェイス名。

dst_ip :パケットの宛先 IP アドレス。

dst_port :パケットの宛先ポート。

推奨処置 拒否されたパケットの送信元を調査します。

424002

エラー メッセージ %ASA-4-424002: Connection to the backup interface is denied: protocol_string intf : src_ip / src_port intf : dst_ip / dst_port

説明 接続がバックアップ状態であったために、その接続が廃棄されました。ローエンド プラットフォームでは、インターフェイス機能が制限されます。バックアップ インターフェイスは、 backup interface コマンドで指定されているプライマリ インターフェイスのバックアップになることしかできません。プライマリ インターフェイスへのデフォルト ルートがアップしている場合は、バックアップ インターフェイス経由のセキュリティ アプライアンスへの接続はすべて拒否されます。逆に、プライマリ インターフェイスへのデフォルト ルートがダウンしている場合は、プライマリ インターフェイス経由のセキュリティ アプライアンスへの接続が拒否されます。

protocol_string :プロトコル文字列。たとえば、TCP やプロトコル ID(10 進数)。

intf_in :入力インターフェイス名。

src_ip :パケットの送信元 IP アドレス。

src_port :パケットの送信元ポート。

intf_out :出力インターフェイス名。

dst_ip :パケットの宛先 IP アドレス。

dst_port :パケットの宛先ポート。

推奨処置 拒否されたパケットの送信元を調査します。

425001

エラー メッセージ %ASA-6-425001 Redundant interface redundant _ interface_name created.

説明 このメッセージは、指摘された冗長インターフェイスがコンフィギュレーションに作成されたことを示しています。

redundant_interface_name :冗長インターフェイス名。

推奨処置 不要です。

425002

エラー メッセージ %ASA-6-425002 Redundant interface redundant _ interface_name removed.

説明 このメッセージは、指摘された冗長インターフェイスがコンフィギュレーションから削除されたことを示しています。

redundant_interface_name :冗長インターフェイス名。

推奨処置 不要です。

425003

エラー メッセージ %ASA-6-425003 Interface interface_name added into redundant interface redundant _ interface_name .

説明 このメッセージは、指摘された物理インターフェイスがメンバー インターフェイスとして、指摘された冗長インターフェイスに追加されたことを示しています。

interface_name :インターフェイス名。

redundant_interface_name :冗長インターフェイス名。

推奨処置 不要です。

425004

エラー メッセージ %ASA-6-425004 Interface interface_name removed from redundant interface redundant _ interface_name .

説明 このメッセージは、指摘された冗長インターフェイスが、指摘された冗長インターフェイスから削除されたことを示しています。

interface_name :インターフェイス名。

redundant_interface_name :冗長インターフェイス名。

推奨処置 不要です。

425005

エラー メッセージ %ASA-5-425005 Interface interface_name become active in redundant interface redundant _ interface_name

説明 冗長インターフェイスでは、1 つのメンバー インターフェイスがアクティブなメンバーとなります。トラフィックは、アクティブなメンバー インターフェイスだけを通過します。このメッセージは、指摘された物理インターフェイスが、指摘された冗長インターフェイスのアクティブなメンバーになることを示しています。次のいずれかがあてはまる場合、メンバー インターフェイスの切り替えが行われます。

EXEC コマンド redundant-interface interface-name active-member interface-name が実行された。

スタンバイ メンバー インターフェイスがアップ状態であるときに、アクティブなメンバー インターフェイスがダウンした。

アクティブなメンバー インターフェイスがダウン状態のままであるときに、スタンバイ メンバー インターフェイスが(ダウンから)アップ状態になった。

interface_name :インターフェイス名。

redundant_interface_name :冗長インターフェイス名。

推奨処置 メンバー インターフェイスのステータスを確認します。

425006

エラー メッセージ %ASA-3-425006 Redundant interface redundant _ interface_name switch active member to interface_name failed.

説明 このメッセージは、メンバー インターフェイスの切り替えが試行されたときにエラーが発生したことを示しています。

redundant_interface_name :冗長インターフェイス名。

interface_name :インターフェイス名。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

431001

エラー メッセージ %PIX|ASA-4-431001: RTP conformance: Dropping RTP packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port , Drop reason: drop_reason value

説明 RTP パケットが廃棄されました。

in_ifc :入力インターフェイス。

src_ip :パケットの送信元 IP アドレス。

src_port :パケットの送信元ポート。

out_ifc :出力インターフェイス。

dest_ip :パケットの宛先 IP アドレス。

dest_port :パケットの宛先ポート。

drop_reason :次の廃棄原因のいずれか。

- Incorrect version value :パケットのバージョン番号が誤っている。

- Invalid payload-type value :パケットのペイロード タイプが無効である。

- Incorrect SSRC value :パケットの SSRC が誤っている。

- Out-of-range sequence number value sequence number from the packet。

- Out of sequence in packet in probation value sequence number from the packet。

推奨処置 廃棄された RTP パケットを調べて、RTP 送信元が誤って設定しているフィールドを確認します。また、送信元を調べて、送信元が正当であり、セキュリティ アプライアンスの隙を突こうとしている攻撃者でないことを確認します。

428001

エラー メッセージ %ASA-6-428001: WAAS confirmed from in_interface : src_ip_addr/src_port to out_interface : dest_ip_addr/dest_port , inspection services bypassed on this connection.

説明 このシステム ログ メッセージは、接続で WAAS 最適化が検出された場合に生成されます。WAAS 最適化接続では、すべての L7 検査サービス(IPS を含む)がバイパスされます。

推奨処置 ネットワークに WAE デバイスが含まれている場合、処置は不要です。それ以外の場合、ネットワーク管理者は、この接続での WAAS オプションの使用を調査する必要があります。

431002

エラー メッセージ %PIX|ASA-4-431002: RTCP conformance: Dropping RTCP packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port , Drop reason: drop_reason value

in_ifc :入力インターフェイス。

src_ip :パケットの送信元 IP アドレス。

src_port :パケットの送信元ポート。

out_ifc :出力インターフェイス。

dest_ip :パケットの宛先 IP アドレス。

dest_port :パケットの宛先ポート。

drop_reason :次の廃棄原因のいずれか。

Incorrect version value :パケットのバージョン番号が誤っている。

Invalid payload-type value :パケットのペイロード タイプが誤っている。

推奨処置 廃棄された RTP パケットを調べて、RTP 送信元が誤って設定しているフィールドを確認します。また、送信元を調べて、送信元が正当であり、セキュリティ アプライアンスの隙を突こうとしている攻撃者でないことを確認します。

446001

エラー メッセージ ASA-4-446001: Maximum TLS Proxy session limit of max_sess reached.

説明 TLS プロキシの設定済み最大セッション制限に達しました。制限を超える新しいセッションは拒否されました。

max_sess :現在有効な最大セッション制限。

推奨処置 より多くの TLS セッションが必要な場合は、 tls-proxy maximum-sessions <max_sess> コマンドを使用して、制限値を大きくします。または、 tls-proxy <proxy_name> コマンドと tls-proxy maximum-sessions <max_sess> コマンドを使用し、その後リブートしてコマンドを有効にすることもできます。

450001

エラー メッセージ ASA-4-450001: Deny traffic for protocol protocol_id src interface_name : IP_address / port dst interface_name : IP_address / port , licensed host limit of num exceeded.

説明 ライセンスされているホスト制限を超えました。このメッセージは、ASA 5505 適応型セキュリティ アプライアンスに限り適用されます。

protocol_id :プロトコル ID 番号。

interface_name :パケットの送信側/受信側に関連付けられているインターフェイス。

IP_address :パケットの送信側/受信側の IP アドレス。

port :転送されたパケットのポート番号。

num :ホスト制限の最大値。

推奨処置 不要です。

メッセージ 500001 ~ 509001

この項では、500001 から 509001 までのメッセージについて説明します。

500001

エラー メッセージ %PIX|ASA-5-500001: ActiveX content modified src IP_address dest IP_address on interface interface_name .

説明 このメッセージは、filter コマンドを使用して activex オプションをオンにし、セキュリティ アプライアンスが ActiveX オブジェクトを検出すると表示されます。activex オプションを使用すると、セキュリティ アプライアンスでは、ActiveX オブジェクトを修正し、ActiveX コンテンツをフィルタリングして除外します。このため、ActiveX オブジェクトは HTML オブジェクトとしてタグ付けされなくなります。

推奨処置 不要です。

500002

エラー メッセージ %PIX|ASA-5-500002: Java content modified src IP_address dest IP_address on interface interface_name .

説明 このメッセージは、filter コマンドを使用して java オプションをオンにし、セキュリティ アプライアンスが Java アプレットを検出すると表示されます。java オプションを使用すると、セキュリティ アプライアンスでは、Java アプレットを修正し、Java コンテンツをフィルタリングして除外します。このため、Java アプレットは HTML オブジェクトとしてタグ付けされなくなります。

推奨処置 不要です。

500003

エラー メッセージ %PIX|ASA-5-500003: Bad TCP hdr length (hdrlen= bytes , pktlen= bytes ) from source_address / source_port to dest_address / dest_port , flags: tcp_flags , on interface interface_name

説明 このメッセージは、TCP 内のヘッダー長が誤りであることを示します。一部のオペレーティング システムは、ディセーブル状態のソケットへの接続要求に応答するときに、TCP リセット(RST)を正しく処理しません。クライアントがセキュリティ アプライアンスの外側にある FTP サーバに接続しようとしたときに、FTP がリスニングしていない場合、サーバは RST を送信します。一部のオペレーティング システムは誤った TCP ヘッダー長を送信します。このために、問題が発生します。UDP は、ICMP ポート到達不能メッセージを使用します。

TCP ヘッダー長は、パケット長よりも長いことを示す場合があります。このために、負のバイト数が転送されます。負の数値は、システム ログ メッセージでは符号なし数値として表示されます。このために、正常の場合よりも非常に大きな値が表示されます。たとえば、1 秒に 4 GB 転送されたことを示す場合があります。

推奨処置 不要です。このメッセージは、まれに発生します。

500004

エラー メッセージ %PIX|ASA-4-500004: Invalid transport field for protocol= protocol , from source_address / source_port to dest_address / dest_port

説明 このメッセージは、無効なトランスポート番号がある場合に表示されます。この場合、プロトコルの送信元または宛先のポート番号はゼロです。 protocol 値は、TCP の場合は 6、UDP の場合は 17 です。

推奨処置 メッセージがその後も表示される場合は、ピアの管理者にお問い合せください。

501101

エラー メッセージ %PIX|ASA-5-501101: User transitioning priv level

説明 コマンドの特権レベルが変更されました。

推奨処置 不要です。

502101

エラー メッセージ %PIX|ASA-5-502101: New user added to local dbase: Uname: user Priv: privilege_level Encpass: string

説明 新規のユーザ名レコードが作成されました。このメッセージは、ユーザ名、特権レベル、暗号化パスワードを表示します。

推奨処置 不要です。

502102

エラー メッセージ %PIX|ASA-5-502102: User deleted from local dbase: Uname: user Priv: privilege_level Encpass: string

説明 ユーザ名レコードが削除されました。このメッセージは、ユーザ名、特権レベル、暗号化パスワードを表示します。

推奨処置 不要です。

502103

エラー メッセージ %PIX|ASA-5-502103: User priv level changed: Uname: user From: privilege_level To: privilege_level

説明 ユーザの特権レベルが変更されました。

推奨処置 不要です。

502111

エラー メッセージ %PIX|ASA-5-502111: New group policy added: name: policy_name Type: policy_type

説明 これは、 group-policy CLI コマンドを使用してグループ ポリシーが設定されたことを示します。 policy_name はグループ ポリシーの名前です。 policy_type は、「internal」または「external」です。

推奨処置 不要です。

502112

エラー メッセージ %PIX|ASA-5-502112: Group policy deleted: name: policy_name Type: policy_type

説明 group-policy CLI コマンドを使用してグループ ポリシーが削除されました。 policy_name はグループ ポリシーの名前です。 policy_type は、「internal」または「external」です。

推奨処置 不要です。

503001

エラー メッセージ %PIX|ASA-5-503001: Process number, Nbr IP_address on interface_name from string to string , reason

説明 OSPF 近接の状態が変更されました。このメッセージには、変更およびその理由が記述されています。このメッセージは、OSPF プロセスに対して log-adjacency-changes コマンドが設定されている場合にのみ表示されます。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

504001

エラー メッセージ %PIX|ASA-5-504001: Security context context_name was added to the system

説明 セキュリティ コンテキストがシステムに正常に追加されました。

推奨処置 不要です。

504002

エラー メッセージ %PIX|ASA-5-504002: Security context context_name was removed from the system

説明 セキュリティ コンテキストがシステムから正常に削除されました。

推奨処置 不要です。

505001

エラー メッセージ %ASA-5-505001: Module in slot slotnum is shutting down. Please wait...

説明 カードのシャットダウン中に生成されます。

推奨処置 不要です。

505002

エラー メッセージ %ASA-5-505002: Module in slot slotnum is reloading. Please wait...

説明 カードのリロード中に生成されます。

推奨処置 不要です。

505003

エラー メッセージ %ASA-5-505003: Module in slot slotnum is resetting. Please wait...

説明 モジュールのリセット中に生成されます。

推奨処置 不要です。

505004

エラー メッセージ %ASA-5-505004: Module in slot slotnum shutdown is complete.

説明 モジュールがシャットダウンされた場合に生成されます。

推奨処置 不要です。

505005

エラー メッセージ %ASA-5-505005: Module in slot slotnum is initializing control communication. Please wait...

説明 モジュールが検出され、そのモジュールとの制御チャネル通信を ASA システム モジュールが初期化しているときに生成されます。

推奨処置 不要です。

505006

エラー メッセージ %ASA-5-505006: Module in slot slotnum is Up.

説明 モジュールが制御チャネルの初期化を完了して、UP 状態である場合に生成されます。

推奨処置 不要です。

505007

エラー メッセージ %ASA-5-505007: Module in slot slotnum is recovering. Please wait...

説明 hw-module module slotnum recover boot コマンドによるモジュールの回復中に生成されます。

推奨処置 不要です。

505008

エラー メッセージ %ASA-5-505008: Module in slot slotnum software is being updated to v newver (currently v ver )

説明 このメッセージは、システム モジュールによる 4GE SSM モジュール ソフトウェアのアップグレード中に表示されます。

slotnum :モジュールが存在しているスロット番号。

newver :モジュールへの書き込みが正常に終了しなかったソフトウェアの新しいバージョン番号(1.0(1)0 など)。

ver :モジュール上のソフトウェアの現在のバージョン番号(1.0(1)0 など)。

推奨処置 不要です。アップデートは正常に進行中です。

505009

エラー メッセージ %ASA-5-505009: Module in slot slotnum software was updated to v newver

説明 このメッセージは、4GE SSM モジュール ソフトウェアがシステム モジュールによって正常にアップグレードされた場合に表示されます。

slotnum :モジュールが存在しているスロット番号。

newver :モジュールへの書き込みが正常に終了しなかったソフトウェアの新しいバージョン番号(1.0(1)0 など)。

ver :モジュール上のソフトウェアの現在のバージョン番号(1.0(1)0 など)。

推奨処置 不要です。アップデートは正常に完了しました。

505010

エラー メッセージ %ASA-5-505010: Module in slot slot removed.

説明 このメッセージは、SSM が ASA シャーシから取り外された場合に生成されます。

slot :SSM が取り外されたスロット。

推奨処置 不要です。

505011

エラー メッセージ %ASA-1-505011: Type Module in slot slot , data channel communication is UP.

説明 このシステム ログ メッセージは、データ チャネル通信がダウン状態から回復すると必ず生成されます。

slot :アプリケーションが検出されたスロット。

Type :SSM のタイプ。

推奨処置 不要です。

505012

エラー メッセージ %ASA-5-505012: Module in slot slot , application stopped application , version version

説明 このメッセージは、アプリケーションが停止するか、または 4GE SSM から削除されると必ず生成されます。このメッセージは、4GE SSM がアプリケーションをアップグレードした場合、あるいは 4GE SSM 上のアプリケーションが停止またはアンインストールされた場合に表示される可能性があります。

slot :アプリケーションが停止したスロット。

application :停止したアプリケーションの名前。

version :停止したアプリケーションのバージョン。

推奨処置 4GE SSM でアップグレードが行われていなかった場合、あるいはアプリケーションの停止やアンインストールが意図的なものではなかった場合は、4GE SSM のログを調べて、アプリケーションが停止した原因を確認します。

505013

エラー メッセージ %ASA-5-505013: Module in slot slot application changed from: application version version to: newapplication version newversion .

説明 このメッセージは、アップグレード後などにアプリケーションのバージョンが変わると必ず生成されます。このメッセージは、モジュール上のアプリケーションのソフトウェア アップグレードが完了したときに表示されます。

slot :アプリケーションがアップグレードされたスロット。

application :アップグレードされたアプリケーションの名前。

version :アップグレードされたアプリケーションのバージョン。

newapplication :新しいアプリケーションの名前。

newversion :新しいアプリケーションのバージョン。

推奨処置 アップグレードが予期されていたこと、および新しいバージョンが正しいことを確認します。

505014

エラー メッセージ %ASA-1-505014: prod_id Module in slot slot , application down name , version version reason

説明 スロット slot のモジュール上のアプリケーションがディセーブルになっています。

prod_id :スロット slot に設置されているデバイスの製品 ID 文字列。

slot :スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。

name :アプリケーション名(文字列)。

application :アップグレードされたアプリケーションの名前。

version :アプリケーションのバージョン(文字列)。

reason :障害の原因(文字列)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

505015

エラー メッセージ %ASA-1-505015: SSM model Module in slot number , application up application , version version

説明 スロット number の SSM 上のアプリケーションがアップして、動作しています。

SSM model :スロット number に設置されているデバイスの SSM モデル。

number :スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されている SSM を示します。

application :アプリケーション名(文字列)。

version :アプリケーションのバージョン(文字列)。

推奨処置 不要です。

505016

エラー メッセージ %ASA-3-505016: prod_id Module in slot slot application changed from: name version version state state to: name version state state .

説明 アプリケーションのバージョンまたは名前の変更が検出されました。

prod_id :スロット slot に設置されているデバイスの製品 ID 文字列。

slot :スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。

name :アプリケーション名(文字列)。

version :アプリケーションのバージョン(文字列)。

state :アプリケーションの状態(文字列)。

application :アップグレードされたアプリケーションの名前。

推奨処置 変更が予期されていたこと、および新しいバージョンが正しいことを確認します。

506001

エラー メッセージ %ASA-5-506001: event_source_string event_string

説明 ファイル システムのステータスが変更されました。このメッセージには、ファイル システムを利用可能または利用不可にしたイベントおよびイベントのソースが記述されています。ファイル システムのステータスを変更させるソースおよびイベントの例には、次のものがあります。

外部 CompactFlash が除去された。

外部 CompactFlash が挿入された。

外部 CompactFlash の不明イベント。

推奨処置 不要です。

507001

エラー メッセージ %PIX|ASA-5-507001: Terminating TCP-Proxy connection from interface_inside : source_address / source_port to interface_outside : dest_address / dest_port - reassembly limit of limit bytes exceeded

説明 このメッセージは、TCP セグメントのアセンブリ中に、再構成バッファ制限を超えた場合に表示されます。

source_address/source_port :接続を開始しているパケットの送信元 IP アドレスと送信元ポート。

dest_address/dest_port :接続を開始しているパケットの宛先 IP アドレスと宛先ポート。

interface_inside :接続を開始したパケットが到着するインターフェイスの名前。

interface_outside :接続を開始したパケットを外部に送信するインターフェイスの名前。

limit :設定した初期接続のトラフィック クラスの制限。

推奨処置 不要です。

507002

エラー メッセージ %PIX|ASA-4-507002: Data copy in proxy-mode exceeded the buffer limit

説明 このシステム ログ メッセージは、フラグメント化された TCP メッセージの処理中に動作エラーが発生した場合に生成されます。

推奨処置 不要です。

508001

エラー メッセージ %PIX|ASA-5-508001: DCERPC message_type non-standard version_type version version_number from src_if : src_ip / src_port to dest_if : dest_ip / dest_port , terminating connection.

説明 このメッセージは、DCERPC 検査を使用している場合に生成されます。このメッセージは、メッセージ ヘッダーに非標準のメジャー バージョンまたはマイナー バージョンが含まれている場合にログに記録されます。

message_type :DCERPC メッセージ タイプ。

version_type :バージョンのタイプ。major(メジャー)または minor(マイナー)。

version_number :メッセージ ヘッダーに含まれている非標準のバージョン。

推奨処置 これが有効なバージョンであり、問題が解決しない場合は、Cisco TAC にお問い合せください。

508002

エラー メッセージ %PIX|ASA-5-508002: DCERPC response has low endpoint port port_number from src_if : src_ip / src_port to dest_if : dest_ip / dest_port , terminating connection.

説明 このメッセージは、DCERPC 検査を使用している場合に生成されます。このメッセージは、応答メッセージに 1024(周知のサーバ ポートの範囲内)より小さなエンドポイント ポート番号が含まれる場合にログに記録されます。

推奨処置 不要です。

509001

エラー メッセージ %ASA-5-509001: Connection attempt from src_intf : src_ip / src_port to dst_intf : dst_ip / dst_port was prevented by "no forward" command.

説明 このシステム ログ メッセージで指摘された送信元インターフェイスから宛先インターフェイスへのトラフィックをブロックするために、 no forward interface コマンドが入力されました。このコマンドは、ライセンス制限を超えたインターフェイスの作成を可能にするためにローエンド プラットフォームで必要となります。

src_intf no forward interface コマンドの制限が適用される送信元インターフェイス名。

dst_intf no forward interface コマンドの制限が適用される宛先インターフェイス名。

推奨処置 このコマンドをローエンド プラットフォームで使用しなくて済むようにライセンスをアップグレードし、このコマンドをコンフィギュレーションから削除します。

メッセージ 602101 ~ 622102

この項では、602101 から 622102 までのメッセージについて説明します。

602101

エラー メッセージ %PIX|ASA-6-602101: PMTU-D packet number bytes greater than effective mtu number dest_addr= dest_address , src_addr= source_address , prot= protocol

説明 このメッセージは、セキュリティ アプライアンスが ICMP 宛先到達不能メッセージを送信する場合、および、フラグメント化が必要であるが、「フラグメント化なし」ビットが設定されている場合に表示されます。

推奨処置 データが正しく送信されることを確認します。

602103

エラー メッセージ %PIX|ASA-6-602103: IPSEC: Received an ICMP Destination Unreachable from src_addr with suggested PMTU of rcvd_mtu; PMTU updated for SA with peer peer_addr, SPI spi, tunnel name username, old PMTU old_mtu, new PMTU new_mtu.

説明 このメッセージは、SA の MTU が変更されたときに表示されます。IPSec トンネル用のパケットを受信すると、対応する SA が特定され、ICMP パケットで推奨されている MTU に基づいて MTU がアップデートされます。推奨された MTU が 0 より大きく 256 未満の場合、新規 MTU は 256 に設定されます。推奨された MTU が 0 の場合、前の MTU は 256 を引いた値または 256 のどちらか大きい値に設定されます。推奨された MTU が 256 より大きい場合、新規 MTU は推奨された値に設定されます。

src_addr:PMTU 送信側の IP アドレス。

rcvd_mtu:PMTU メッセージで受信した推奨 MTU。

peer_addr:IPSec ピアの IP アドレス。

spi:IPSec のセキュリティ パラメータ インデックス。

username:IPSec トンネルに関連付けられているユーザ名。

old_mtu:IPSec トンネルに関連付けられている前の MTU。

new_mtu:IPSec トンネルに関連付けられている新規 MTU。

推奨処置 不要です。

602104

エラー メッセージ %PIX|ASA-6-602104: IPSEC: Received an ICMP Destination Unreachable from src_addr , PMTU is unchanged because suggested PMTU of rcvd_mtu is equal to or greater than the current PMTU of curr_mtu , for SA with peer peer_addr , SPI spi , tunnel name username .

src_addr :PMTU 送信側の IP アドレス。

rcvd_mtu :PMTU メッセージで受信した推奨 MTU。

curr_mtu :IPSec トンネルに関連付けられている現行 MTU。

peer_addr :IPSec ピアの IP アドレス。

spi :IPSec のセキュリティ パラメータ インデックス。

username :IPSec トンネルに関連付けられているユーザ名。

説明 このメッセージは、IPSec トンネル経由で送信されたパケットがパス MTU を超えたことを示す ICMP メッセージを受信し、推奨 MTU が現行 MTU 以上であるた場合に表示されます。MTU 値はすでに訂正されているので、MTU の調整は行われません。これは、現在の PMTU メッセージが処理される前に、さまざまな中間ステーションから複数の PMTU メッセージが受信され、MTU が調整された場合に発生します。

推奨処置 不要です。

602201

エラー メッセージ %PIX|ASA-6-602201: ISAKMP Phase 1 SA created (local IP_address / port (initiator|responder), remote IP_address / port , authentication= auth_type , encryption= encr_alg , hash= hash_alg , group= DH_grp , lifetime= seconds )

説明 このメッセージは、ISAKMP SA が作成された場合に表示されます。

推奨処置 不要です。

602202

エラー メッセージ %PIX|ASA-6-602202: ISAKMP session connected (local IP_address (initiator|responder), remote IP_address )

説明 ISAKMP ピアが接続されました。

推奨処置 不要です。

602203

エラー メッセージ %PIXPIX|ASA-6-602203: ISAKMP session disconnected (local IP_address (initiator|responder), remote IP_address )

説明 ISAKMP ピアが切断されました。

推奨処置 不要です。

602303

エラー メッセージ %PIX|ASA-6-602303: IPSEC: An direction tunnel_type SA (SPI= spi ) between local_IP and remote_IP ( username ) has been created.

direction:SA の方向(着信または発信)。

tunnel_type:SA のタイプ(リモート アクセスまたは L2L)。

spi:IPSec のセキュリティ パラメータ インデックス。

local_IP:トンネルのローカル エンドポイントの IP アドレス。

remote_IP:トンネルのリモート エンドポイントの IP アドレス。

username :IPSec トンネルに関連付けられているユーザ名。

説明 新規のセキュリティ アソシエーション(SA)が作成されました。

推奨処置 処置は不要です。

602304

エラー メッセージ %PIX|ASA-6-602304: IPSEC: An direction tunnel_type SA (SPI= spi ) between local_IP and remote_IP ( username ) has been deleted.

説明 このメッセージは、SA が削除された場合に表示されます。

direction:SA の方向(着信または発信)。

tunnel_type:SA のタイプ(リモート アクセスまたは L2L)。

spi:IPSec のセキュリティ パラメータ インデックス。

local_IP:トンネルのローカル エンドポイントの IP アドレス。

remote_IP:トンネルのリモート エンドポイントの IP アドレス。

username :IPSec トンネルに関連付けられているユーザ名。

推奨処置 処置は不要です。

603101

エラー メッセージ %PIX|ASA-6-603101: PPTP received out of seq or duplicate pkt, tnl_id= number , sess_id= number , seq= number .

説明 セキュリティ アプライアンスが、間違った順番の PPTP パケットまたは重複した PPTP パケットを受信しました。

推奨処置 このようなパケットが数多く発生する場合は、ピアの管理者に問い合せて、クライアントの PPTP コンフィギュレーションを確認します。

603102

エラー メッセージ %PIX|ASA-6-603102: PPP virtual interface interface_name - user: user aaa authentication started.

説明 セキュリティ アプライアンスが AAA サーバに認証要求を送信しました。

推奨処置 不要です。

603103

エラー メッセージ %PIX|ASA-6-603103: PPP virtual interface interface_name - user: user aaa authentication status

説明 セキュリティ アプライアンスが AAA サーバから認証応答を受信しました。

推奨処置 不要です。

603104

エラー メッセージ %PIX|ASA-6-603104: PPTP Tunnel created, tunnel_id is number , remote_peer_ip is remote_address , ppp_virtual_interface_id is number , client_dynamic_ip is IP_address , username is user , MPPE_key_strength is string

説明 PPTP トンネルが作成されました。

推奨処置 不要です。

603105

エラー メッセージ %PIX|ASA-6-603105: PPTP Tunnel deleted, tunnel_id = number , remote_peer_ip= remote_address

説明 PPTP トンネルが削除されました。

推奨処置 不要です。

603106

エラー メッセージ %PIX|ASA-6-603106: L2TP Tunnel created, tunnel_id is number , remote_peer_ip is remote_address , ppp_virtual_interface_id is number , client_dynamic_ip is IP_address , username is user

説明 L2TP トンネルが作成されました。

推奨処置 不要です。

603107

エラー メッセージ %PIX|ASA-6-603107: L2TP Tunnel deleted, tunnel_id = number , remote_peer_ip = remote_address

説明 L2TP トンネルが削除されました。

推奨処置 不要です。

603108

エラー メッセージ %PIX|ASA-6-603108: Built PPTP Tunnel at interface_name , tunnel-id = number , remote-peer = IP_address , virtual-interface = number , client-dynamic-ip = IP_address , username = user , MPPE-key-strength = number

説明 このメッセージは、新規 PPPoE トンネルが作成されるたびに表示されます。

推奨処置 不要です。

603109

エラー メッセージ %PIX|ASA-6-603109: Teardown PPPOE Tunnel at interface_name , tunnel-id = number , remote-peer = IP_address

説明 このメッセージは、新規 PPPoE トンネルが削除されるたびに表示されます。

推奨処置 不要です。

604101

エラー メッセージ %PIX|ASA-6-604101: DHCP client interface interface_name : Allocated ip = IP_address , mask = netmask , gw = gateway_address

説明 セキュリティ アプライアンス DHCP クライアントが DHCP サーバから IP アドレスを正常に取得しました。dhcpc コマンド ステートメントによって、セキュリティ アプライアンスは、ネットワーク インターフェイスの IP アドレスおよびネットワーク マスクを DHCP サーバから取得でき、またデフォルト ルートを取得できます。デフォルト ルート ステートメントでは、ゲートウェイ アドレスがデフォルト ルータのアドレスとして使用されます。

推奨処置 不要です。

604102

エラー メッセージ %PIX|ASA-6-604102: DHCP client interface interface_name : address released

説明 セキュリティ アプライアンス DHCP クライアントが、割り当てられた IP アドレスを解放して DHCP サーバに戻しました。

推奨処置 不要です。

604103

エラー メッセージ %PIX|ASA-6-604103: DHCP daemon interface interface_name : address granted MAC_address ( IP_address )

説明 セキュリティ アプライアンス DHCP サーバによって、IP アドレスが外部クライアントに付与されました。

推奨処置 不要です。

604104

エラー メッセージ %PIX|ASA-6-604104: DHCP daemon interface interface_name : address released

説明 外部クライアントが、IP アドレスを解放してセキュリティ アプライアンス DHCP サーバに戻しました。

推奨処置 不要です。

605004

エラー メッセージ %PIX|ASA-6-605004: Login denied from source-address / source-port to interface : destination / service for user " username "

ユーザがコンソールにログインしようとすると、次の形式のメッセージが表示されます。

Login denied from serial to console for user “username
 

説明 このメッセージは、セキュリティ アプライアンスへの誤ったログインの試行、またはログインの失敗の場合に表示されます。すべてのログインに対して、セッションあたり 3 回の試行が許容され、不正な試行が 3 回行われると、そのセッションは終了します。SSH ログインおよび TELNET ログインの場合、このメッセージは、3 回目の試行の失敗後、または 1 回または 2 回の試行の失敗後に TCP セッションが終了したときに、生成されます。他のタイプの管理セッションの場合、このメッセージは試行に失敗するたびに生成されます。

source-address :ログイン試行の送信元アドレス。

source-port :ログイン試行の送信元ポート。

interface :宛先管理インターフェイス。

destination :宛先 IP アドレス。

service :宛先サービス。

username :宛先管理インターフェイス。

推奨処置 このメッセージの表示頻度が少ない場合、処置は不要です。このメッセージが頻繁に表示される場合は、攻撃を示すことがあります。ユーザと通信して、ユーザ名とパスワードを確認します。

605005

エラー メッセージ %PIX|ASA-6-605005: Login permitted from source-address / source-port to interface : destination / service for user " username "

ユーザがコンソールにログインすると、次の形式のメッセージが表示されます。

Login permitted from serial to console for user “username
 

説明 このメッセージは、ユーザが正常に認証されて、管理セッションが開始されると表示されます。

source-address :ログイン試行の送信元アドレス。

source-port :ログイン試行の送信元ポート。

interface :宛先管理インターフェイス。

destination :宛先 IP アドレス。

service :宛先サービス。

username :宛先管理インターフェイス。

推奨処置 不要です。

606001

エラー メッセージ %PIX|ASA-6-606001: ASDM session number number from IP_address started

説明 このメッセージは、管理者が正常に認証されて、ASDM セッションが開始されたことを示します。

推奨処置 不要です。

606002

エラー メッセージ %PIX|ASA-6-606002: ASDM session number number from IP_address ended

説明 このメッセージは、ASDM セッションが終了したことを示します。

推奨処置 不要です。

606003

エラー メッセージ %PIX|ASA-6-606003: ASDM logging session number id from IP_address started id session ID assigned

説明 ASDM ロギング接続が、リモート管理クライアントによって開始されました。

IP_address :リモート管理クライアントの IP アドレス。

推奨処置 ユーザによる処置は不要です。

606004

エラー メッセージ %PIX|ASA-6-606004: ASDM logging session number id from IP_address ended

説明 ASDM ロギング接続が終了しました。

id :割り当てられたセッション ID。

IP_address :リモート管理クライアントの IP アドレス。

推奨処置 ユーザによる処置は不要です。

607001

エラー メッセージ %PIX|ASA-6-607001: Pre-allocate SIP connection_type secondary channel for interface_name : IP_address / port to interface_name:IP_address from string message

説明 このメッセージは、SIP メッセージの検査後、 fixup sip コマンドによって SIP 接続が割り当て済みであったことを示します。 connection_type は、次の文字列のいずれかです。

SIGNALLING UDP

SIGNALLING TCP

SUBSCRIBE UDP

SUBSCRIBE TCP

Via UDP

Route

RTP

RTCP

推奨処置 不要です。

607002

エラー メッセージ %PIX|ASA-4-607002: action_class : action SIP req_resp req_resp_info from src_ifc : sip / sport to dest_ifc : dip / dport ; further_info

説明 このメッセージは、SIP メッセージに対して SIP 分類が実施され、指定の基準が満たされた場合に生成されます。その後、設定済みのアクションが実行されます。

action_class :アクションのクラス。SIP の match コマンドの場合は「SIP Classification」、パラメータ コマンドの場合は「SIP Parameter」。

action :実行されるアクション。「Dropped」、「Dropped connection for」、「Reset connection for」、または「Masked header flags for」。

req_resp :「Request」または「Response」。

req_resp_info :タイプが「Request」である場合は、SIP メソッド名(INVITE、CANCEL など)。タイプが「Response」である場合は、SIP 応答コード(100、183、200 など)。

src_ifc :送信元インターフェイス名。

sip :送信元 IP アドレス。

sport :送信元ポート。

dest_ifc :宛先インターフェイス名。

dip :宛先 IP アドレス。

dport :宛先ポート。

further_info :次のように、SIP の match コマンドと SIP のパラメータ コマンドに関する詳細情報を表示します。

SIP の match コマンドの場合

matched Class id : class-name :次に例を示します。

matched Class 1234: my_class
 

SIP のパラメータ コマンドの場合

parameter-command : descriptive-message :次に例を示します。

strict-header-validation: Mandatory header field ‘Via’ is missing
state-checking: Message CANCEL is not permitted to create a Dialog.
 

推奨処置 不要です。

607003

エラー メッセージ %PIX|ASA-6-607003: action_class : Received SIP req_resp req_resp_info from src_ifc : sip / sport to dest_ifc : dip / dport ; further_info

説明 このイベントは、SIP メッセージに対して SIP 分類が実施され、指定の基準が満たされた場合に生成されます。その後、スタンドアロンのログ アクションが実行されます。

action_class :SIP の match コマンドの場合は SIP Classification、パラメータ コマンドの場合は SIP Parameter。

req_resp :「Request」または「Response」。

req_resp_info :タイプが「Request」である場合は、SIP メソッド名(INVITE、CANCEL など)。タイプが「Response」である場合は、SIP 応答コード(100、183、200 など)。

src_ifc :送信元インターフェイス名。

sip :送信元 IP アドレス。

sport :送信元ポート。

dest_ifc :宛先インターフェイス名。

dip :宛先 IP アドレス。

dport :宛先ポート。

further_info :次のように、SIP の match コマンドと SIP のパラメータ コマンドに関する詳細情報を表示します。

SIP の match コマンドの場合

matched Class id : class-name :次に例を示します。

matched Class 1234: my_class
 

SIP のパラメータ コマンドの場合

parameter-command : descriptive-message :次に例を示します。

strict-header-validation: Mandatory header field ‘Via’ is missing
state-checking: Message CANCEL is not permitted to create a Dialog.

推奨処置 不要です。

608001

エラー メッセージ %PIX|ASA-6-608001: Pre-allocate Skinny connection_type secondary channel for interface_name:IP_address to interface_name:IP_address/port from string message

説明 このメッセージは、Skinny メッセージの検査後、 inspect skinny コマンドによって Skinny 接続が割り当て済みであったことを示します。 connection_type は、次の文字列のいずれかです。

SIGNALLING UDP

SIGNALLING TCP

SUBSCRIBE UDP

SUBSCRIBE TCP

Via UDP

Route

RTP

RTCP

推奨処置 不要です。

608002

エラー メッセージ %PIX|ASA-4-608002: Dropping Skinny message for in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port , SCCPPrefix length value too small

説明 設定済みの最小長より短い SCCP プレフィクス長を持つ Skinny(SSCP)メッセージを受信しました。

in_ifc :入力インターフェイス。

src_ip :パケットの送信元 IP アドレス。

src_port :パケットの送信元ポート。

out_ifc :出力インターフェイス。

dest_ip :パケットの宛先 IP アドレス。

dest_port :パケットの宛先ポート。

value :パケットの SCCP プレフィクス長。

推奨処置 SCCP メッセージが有効である場合は、Skinny ポリシー マップをカスタマイズして、SSCP プレフィクスの最小長の値を大きくします。

608003

エラー メッセージ %PIX|ASA-4-608003: Dropping Skinny message for in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port , SCCPPrefix length value too large

説明 設定済みの最大長より長い SCCP プレフィクス長を持つ Skinny(SSCP)メッセージを受信しました。

in_ifc :入力インターフェイス。

src_ip :パケットの送信元 IP アドレス。

src_port :パケットの送信元ポート。

out_ifc :出力インターフェイス。

dest_ip :パケットの宛先 IP アドレス。

dest_port :パケットの宛先ポート。

value :パケットの SCCP プレフィクス長。

推奨処置 SCCP メッセージが有効である場合は、Skinny ポリシー マップをカスタマイズして、SCCP プレフィクスの最大長の値を大きくします。

608004

エラー メッセージ %PIX|ASA-4-608004: Dropping Skinny message for in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port , message id value not allowed

in_ifc :入力インターフェイス。

src_ip :パケットの送信元 IP アドレス。

src_port :パケットの送信元ポート。

out_ifc :出力インターフェイス。

dest_ip :パケットの宛先 IP アドレス。

dest_port :パケットの宛先ポート。

value :パケットの SCCP プレフィクス長。

説明 この SCCP メッセージ ID は、許可されません。

推奨処置 この SCCP メッセージを許可する必要がある場合は、Skinny ポリシー マップをカスタマイズして、この SCCP メッセージを許可します。

608005

エラー メッセージ %PIX|ASA-4-608005: Dropping Skinny message for in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port , message id value registration not complete

説明 エンドポイントが登録を完了しなかったため、この SCCP メッセージ ID は許可されません。

in_ifc :入力インターフェイス。

src_ip :パケットの送信元 IP アドレス。

src_port :パケットの送信元ポート。

out_ifc :出力インターフェイス。

dest_ip :パケットの宛先 IP アドレス。

dest_port :パケットの宛先ポート。

value :パケットの SCCP プレフィクス長。

推奨処置 廃棄されている SCCP メッセージが有効である場合は、Skinny ポリシー マップをカスタマイズして、登録の強制をディセーブルにします。

609001

エラー メッセージ %PIX|ASA-7-609001: Built local-host interface_name:IP_address

説明 ネットワーク ステート コンテナは、インターフェイス