Cisco ASA 5500 シリーズ システム ログ メッセージ, 8.2
syslog メッセージ
syslog メッセージ
発行日;2012/02/04 | 英語版ドキュメント(2011/12/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

syslog メッセージ

メッセージ 101001 ~ 199012

101001

101002

101003、101004

101005

102001

103001

103002

103003

103004

103005

103006

103007

104001、104002

104003

104004

105001

105002

105003

105004

105005

105006、105007

105008

105009

105010

105011

105020

105021

105031

105032

105034

105035

105036

105037

105038

105039

105040

105042

105043

105044

105045

105046

105047

105048

106001

106002

106006

106007

106010

106011

106012

106013

106014

106015

106016

106017

106018

106020

106021

106022

106023

106024

106025、106026

106027

106100

106101

106102

107001

107002

108002

108003

108004

108005

108006

108007

109001

109002

109003

109005

109006

109007

109008

109010

109011

109012

109013

109014

109016

109017

109018

109019

109020

109021

109022

109023

109024

109025

109026

109027

109028

109029

109030

109031

109032

109033

109034

109035

110002

110003

111001

111002

111003

111004

111005

111007

111008

111009

111111

112001

113001

113003

113004

113005

113006

113007

113008

113009

113010

113011

113012

113013

113014

113015

113016

113017

113018

113019

113020

113021

113022

113023

113024

113025

113026

113027

114001

114002

114003

114004

114005

114006

114007

114008

114009

114010

114011

114012

114013

114014

114015

114016

114017

114018

114019

114020

114021

115000

115001

115002

199001

199002

199003

199005

199010

199011

199012

メッセージ 201002 ~ 219002

201002

201003

201004

201005

201006

201008

201009

201010

201011

201012

201013

202001

202005

202011

208005

209003

209004

209005

210001

210002

210003

210005

210006

210007

210008

210010

210011

210020

210021

210022

211001

211003

212001

212002

212003

212004

212005

212006

212009

212010

212011

212012

213001

213002

213003

213004

213005

213006

214001

215001

217001

216001

216002

216003

216004

216005

218001

218002

218003

218004

219002

メッセージ 302003 ~ 338310

302003

302004

302009

302010

302012

302013

302014

302015

302016

302017

302018

302019

302020

302021

302033

302034

302302

302303

302304

303003

303004

303005

304001

304002

304003

304004

304005

304006

304007

304008

304009

305005

305006

305007

305008

305009

305010

305011

305012

305013

308001

308002

311001

311002

311003

311004

312001

313001

313004

313005

313008

314001

314002

314003

314004

314005

314006

315004

315011

316001

316002

317001

317002

317003

317004

317005

317006

318001

318002

318003

318004

318005

318006

318007

318008

318009

319001

319002

319003

319004

320001

321001

321002

321003

321004

322001

322002

322003

322004

323001

323002

323003

323004

323005

323006

324000

324001

324002

324003

324004

324005

324006

324007

324300

324301

325001

325002

326001

326002

326004

326005

326006

326007

326008

326009

326010

326011

326012

326013

326014

326015

326016

326017

326019

326020

326021

326022

326023

326024

326025

326026

326027

326028

327001

327002

327003

328001

329001

331001

331002

332001

332002

332003

332004

333001

333002

333003

333004

333005

333006

333007

333008

333009

333010

334001

334002

334003

334004

334005

334006

334007

334008

334009

335001

335002

335003

335004

335004

335005

335006

335007

335008

335009

335010

335011

335012

335013

335014

336001

336002

336003

336004

336005

336006

336007

336008

336009

336010

336011

337001

337002

337003

337004

337005

337006

337007

337008

337009

338001

338002

338003

338004

338101

338102

338103

338104

338201

338202

338301

338302

338303

338304

338305

338306

338307

338308

338309

338310

メッセージ 400000 ~ 450001

4000nn

401001

401002

401003

401004

401005

402101

402102

402103

402106

402114

402115

402116

402117

402118

402119

402120

402121

402122

402123

402124

402125

402126

402127

402128

402129

402130

403101

403102

403103

403104

403106

403107

403108

403109

403110

403500

403501

403502

403503

403504

403505

403506

403507

404101

404102

405001

405101

405002

405101

405102

405103

405104

405105

405106

405107

405201

405300

405301

406001

406002

407001

407002

407003

408001

408002

408003

409001

409002

409003

409004

409005

409006

409007

409008

409009

409010

409011

409012

409013

409023

410001

410002

410003

410004

411001

411002

411003

411004

412001

412002

413001

413002

413003

413004

413005

413006

414001

414002

414003

414004

415001

415002

415003

415004

415005

415006

415007

415008

415009

415010

415011

415012

415013

415014

415015

415016

415017

415018

415019

415020

416001

417001

417004

417006

418001

419001

419002

419003

420001

420002

420003

420004

420005

420006

421001

421002

421003

421004

421005

421006

421007

422004

422005

422006

423001

423002

423003

423004

423005

424001

424002

425001

425002

425003

425004

425005

425006

428001

431001

431002

444004

444005

444100

444101

444102

444103

444104

444105

444106

444107

444108

444109

444110

444111

446001

450001

メッセージ 500001 ~ 509001

500001

500002

500003

500004

500005

501101

502101

502102

502103

502111

502112

503001

504001

504002

505001

505002

505003

505004

505005

505006

505007

505008

505009

505010

505011

505012

505013

505014

505015

505016

506001

507001

507002

507003

508001

508002

509001

メッセージ 602101 ~ 622102

602101

602103

602104

602201

602202

602203

602303

602304

603101

603102

603103

603104

603105

603106

603107

603108

603109

603110

604101

604102

604103

604104

605004

605005

606001

606002

606003

606004

607001

607002

607003

608001

608002

608003

608004

608005

609001

609002

610001

610002

610101

611101

611102

611103

611104

611301

611302

611303

611304

611305

611306

611307

611308

611309

611310

611311

611312

611313

611314

611315

611316

611317

611318

611319

611320

611321

611322

611323

612001

612002

612003

613001

613002

613003

614001

614002

615001

615002

616001

617001

617002

617003

617004

617100

620001

620002

621001

621002

621003

621006

621007

622001

622101

622102

634001

メッセージ 701001 ~ 738007

701001

701002

702201

702202

702203

702204

702205

702206

702207

702208

702209

702210

702211

702212

702305

702307

703001

703002

709001、709002

709003

709004

709005

709006

709007

710001

710002

710003

710004

710005

710006

710007

711001

711002

711003

713004

713006

713008

713009

713010

713012

713014

713016

713017

713018

713020

713022

713024

713025

713026

713027

713028

713029

713030

713031

713032

713033

713034

713035

713036

713037

713039

713040

713041

713042

713043

713048

713049

713050

713051

713052

713056

713059

713060

713061

713062

713063

713065

713066

713068

713072

713073

713074

713075

713076

713078

713081

713082

713083

713084

713085

713086

713088

713092

713094

713098

713099

713102

713103

713104

713105

713107

713109

713112

713113

713114

713115

713116

713117

713118

713119

713120

713121

713122

713123

713124

713127

713128

713129

713130

713131

713132

713133

713134

713135

713136

713137

713138

713139

713140

713141

713142

713143

713144

713145

713146

713147

713148

713149

713152

713154

713155

713156

713157

713158

713159

713160

713161

713162

713163

713164

713165

713166

713167

713168

713169

713170

713171

713172

713174

713176

713177

713178

713179

713182

713184

713185

713186

713187

713189

713190

713193

713194

713195

713196

713197

713198

713199

713203

713204

713205

713206

713208

713209

713210

713211

713212

713213

713214

713215

713216

713217

713218

713219

713220

713221

713222

713223

713224

713225

713226

713228

713229

713230

713231

713232

713233

713234

713235

713236

713237

713238

713239

713240

713241

713242

713243

713244

713245

713246

713247

713248

713249

713250

713251

713252

713253

713254

713255

713256

713257

713258

713259

713900

713901

713902

713903

713904

714001

714002

714003

714004

714005

714006

714007

714011

715001

715004

715005

715006

715007

715008

715009

715013

715019

715020

715021

715022

715027

715028

715033

715034

715035

715036

715037

715038

715039

715040

715041

715042

715044

715045

715046

715047

715048

715049

715050

715051

715052

715053

715054

715055

715056

715057

715058

715059

715060

715061

715062

715063

715064

715065

715066

715067

715068

715069

715070

715071

715072

715074

715075

715076

715077

716001

716002

716003

716004

716005

716006

716007

716008

716009

716010

716011

716012

716013

716014

716015

716016

716017

716018

716019

716020

716021

716022

716023

716024

716025

716026

716027

716028

716029

716030

716031

716032

716033

716034

716035

716036

716037

716038

716039

716040

716041

716042

716043

716044

716045

716046

716047

716048

716049

716050

716051

716052

716053

716054

716055

716056

716057

716500

716501

716502

716503

716504

716505

716506

716507

716508

716509

716510

716512

716513

716515

716516

716517

716518

716519

716520

716521

716522

716525

716526

716527

716528

717001

717002

717003

717004

717005

717006

717007

717008

717009

717010

717011

717012

717013

717014

717015

717016

717017

717018

717019

717020

717021

717022

717023

717024

717025

717026

717027

717028

717029

717030

717031

717033

717034

717035

717036

717037

717038

717039

717040

717041

717042

717043

717044

717045

717046

717047

717048

717049

718001

718002

718003

718004

718005

718006

718007

718008

718009

718010

718011

718012

718013

718014

718015

718016

718017

718018

718019

718020

718021

718022

718023

718024

718025

718026

718027

718028

718029

718030

718031

718032

718033

718034

718035

718036

718037

718038

718039

718040

718041

718042

718043

718044

718045

718046

718047

718048

718049

718050

718051

718052

718053

718054

718055

718056

718057

718058

718059

718060

718061

718062

718063

718064

718065

718066

718067

718068

718069

718070

718071

718072

718073

718074

718075

718076

718077

718078

718079

718080

718081

718082

718083

718084

718085

718086

718087

718088

719001

719002

719003

719004

719005

719006

719007

719008

719009

719010

719011

719012

719013

719014

719015

719016

719017

719018

719019

719020

719021

719022

719023

719024

719025

719026

720001

720002

720003

720004

720005

720006

720007

720008

720009

720010

720011

720012

720013

720014

720015

720016

720017

720018

720019

720020

720021

720022

720023

720024

720025

720026

720027

720028

720029

720030

720031

720032

720033

720034

720035

720036

720037

720038

720039

720040

720041

720042

720043

720044

720045

720046

720047

720048

720049

720050

720051

720052

720053

720054

720055

720056

720057

720058

720059

720060

720061

720062

720063

720064

720065

720066

720067

720068

720069

720070

720071

720072

720073

721001

721002

721003

721004

721005

721006

721007

721008

721009

721010

721011

721012

721013

721014

721015

721016

721017

721018

721019

722001

722002

722003

722004

722005

722006

722007

722008

722009

722010

722011

722012

722013

722014

722015

722016

722017

722018

722019

722020

722021

722022

722023

722024

722025

722026

722027

722028

722029

722030

722031

722032

722033

722034

722035

722036

722037

722038

722039

722040

722041

722042

722043

722044

722045

722046

722047

722048

722049

722050

722051

722053

723001

723002

723003

723004

723005

723006

723007

723008

723009

723010

723011

723012

723013

723014

724001

724002

725001

725002

725003

725004

725005

725006

725007

725008

725009

725010

725011

725012

725013

725014

725015

726001

730001

730002

730004

730005

730010

733100

733101

733102

733103

733104

733105

731001

731002

731003

732001

732002

732003

734001

734002

734003

734004

734005

735001

735002

735003

735004

735005

735006

735007

735008

735009

735010

736001

737001

737002

737003

737004

737005

737006

737007

737008

737009

737010

737011

737012

737013

737014

737015

737016

737017

737018

737019

737023

737024

737025

737026

737027

737028

737029

737030

737031

737032

737033

741000

741001

741002

741003

741004

741005

741006

syslog メッセージ

この章では、syslog メッセージについて番号順に説明します。


) 番号が連番から抜けている場合、そのメッセージは適応型セキュリティ アプライアンス コードにはありません。


ロギングおよび SNMP を設定する方法については、 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

表 1-1 に、syslog メッセージのクラスおよび各クラスに関連付けられている syslog メッセージ ID を示します。syslog メッセージ ID の有効な範囲は 100000 ~ 999999 です。

 

表 1-1 syslog メッセージのクラスおよび関連付けられているメッセージ ID 番号

クラス
定義
syslog メッセージ ID 番号

auth

ユーザ認証

109、113

bridge

透過ファイアウォール

110、220

ca

PKI 認証局

717

config

コマンド インターフェイス

111、112、208、308

e-mail

電子メール プロキシ

719

dap

動的アクセス ポリシー

734

ha

高可用性(フェールオーバー)

101、102、103、104、210、311、709

ip

IP スタック

209、215、313、317、408

ipaa

IP アドレス割り当て

735

ips

侵入防御システム

400、401、415

np

ネットワーク プロセッサ

319

npssl

NP SSL

725

ospf

OSPF ルーティング

318、409、503、613

rip

RIP ルーティング

107、312

rm

リソース マネージャ

321

session

ユーザ セッション

106、108、201、202、204、302、303、304、305、314、405、406、407、500、502、607、608、609、616、620、703、710

snmp

SNMP

212

sys

システム

199、211、214、216、306、307、315、414、604、605、606、610、612、614、615,701、711、741

vpdn

PPTP および L2TP セッション

213、403、603

vpn

IKE および IPSec

316、320、402、404、501、602、702、713、714、715

vpnc

VPN クライアント

611

vpnfo

VPN フェールオーバー

720

vpnlb

VPN ロード バランシング

718

webvpn

Web ベースの VPN

716

この章には、次の項があります。

「メッセージ 101001 ~ 199012」(P.1-2)

「メッセージ 201002 ~ 219002」(P.1-64)

「メッセージ 302003 ~ 338310」(P.1-88)

「メッセージ 400000 ~ 450001」(P.1-155)

「メッセージ 500001 ~ 509001」(P.1-219)

「メッセージ 602101 ~ 622102」(P.1-232)

「メッセージ 701001 ~ 738007」(P.1-261)

メッセージ 101001 ~ 199012

この項では、101001 から 199012 までのメッセージについて説明します。

101001

エラー メッセージ %ASA-1-101001: (Primary) Failover cable OK.

説明 これはフェールオーバー メッセージです。このメッセージは、フェールオーバー ケーブルが接続され、正常に機能していることを報告します。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 不要です。

101002

エラー メッセージ %ASA-1-101002: (Primary) Bad failover cable.

説明 これはフェールオーバー メッセージです。このメッセージは、フェールオーバー ケーブルが接続されているが、正常には機能していないことを報告します。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 フェールオーバー ケーブルを交換します。

101003、101004

エラー メッセージ %ASA-1-101003: (Primary) Failover cable not connected (this unit). エラー メッセージ %ASA-1-101004: (Primary) Failover cable not connected (other unit).

説明 この例は、両方ともフェールオーバー メッセージです。これらのメッセージは、フェールオーバー モードがイネーブルになっているが、フェールオーバー ケーブルがフェールオーバー ペアの一方の装置に接続されていない場合に記録されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 フェールオーバー ケーブルをフェールオーバー ペアの両方の装置に接続します。

101005

エラー メッセージ %ASA-1-101005: (Primary) Error reading failover cable status.

説明 これはフェールオーバー メッセージです。このメッセージは、フェールオーバー ケーブルが接続されているが、プライマリ装置が自分のステータスを判断できない場合に表示されます。

推奨処置 ケーブルを交換します。

102001

エラー メッセージ %ASA-1-102001: (Primary) Power failure/System reload other side.

説明 これはフェールオーバー メッセージです。このメッセージは、プライマリ装置が相手装置にシステム リロードまたは電源障害を検出すると記録されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 リロードが発生した装置で show crashinfo コマンドを発行して、リロードに関連するトレースバックがあるかどうかを判別します。さらに、装置の電源が投入され、ケーブルが正しく接続されていることを確認します。

103001

エラー メッセージ %ASA-1-103001: (Primary) No response from other firewall (reason code = code).

説明 これはフェールオーバー メッセージです。このメッセージは、プライマリ装置がフェールオーバー ケーブル経由でセカンダリ装置と通信できない場合に表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。 表 1-2 に、フェールオーバーが発生した原因を判断するための原因コードおよび説明を示します。

 

表 1-2 原因コード

原因コード
説明

1

シリアル ケーブルでフェールオーバー hello が 30 秒以上受信されていません。これによって相手装置でフェールオーバーが正常に動作していることが保証されます。

2

インターフェイスが 4 つのフェールオーバー テストのうちのいずれか 1 つを通過させませんでした。4 つのテストは、1)Link Up、2)Monitor for Network Traffic、3)ARP、および 4)Broadcast Ping です。

3

シリアル ケーブルでコマンドが送信された後 15 秒以上適切な ACK が受信されません。

4

ローカル装置がフェールオーバー LAN および他のデータ インターフェイスで hello パケットを受信しておらず、ピアがダウンしていることを宣言しています。

5

コンフィギュレーション同期化プロセス中に、スタンバイ ピアがダウンしました。

推奨処置 フェールオーバー ケーブルが正しく接続され、両方の装置が同じハードウェア、ソフトウェア、およびコンフィギュレーションになっていることを確認します。問題が解決しない場合、Cisco TAC にお問い合せください。

103002

エラー メッセージ %ASA-1-103002: (Primary) Other firewall network interface interface_number OK.

説明 これはフェールオーバー メッセージです。このメッセージは、セカンダリ装置のネットワーク インターフェイスが正常であることをプライマリ装置が検出すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 不要です。

103003

エラー メッセージ %ASA-1-103003: (Primary) Other firewall network interface interface_number failed.

説明 これはフェールオーバー メッセージです。このメッセージは、プライマリ装置がセカンダリ装置に不良ネットワーク インターフェイスを検出すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 セカンダリ装置のネットワーク接続をチェックして、ネットワーク ハブ接続を確認します。必要に応じて、障害の発生したネットワーク インターフェイスを交換します。

103004

エラー メッセージ %ASA-1-103004: (Primary) Other firewall reports this firewall failed.

説明 これはフェールオーバー メッセージです。このメッセージは、プライマリ装置に障害が発生していることを示すメッセージをプライマリ装置がセカンダリ装置から受信すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 プライマリ装置のステータスを確認します。

103005

エラー メッセージ %ASA-1-103005: (Primary) Other firewall reporting failure.

説明 これはフェールオーバー メッセージです。このメッセージは、セカンダリ装置がプライマリ装置に障害を報告すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 セカンダリ装置のステータスを確認します。

103006

エラー メッセージ %ASA-1-103006: (Primary|Secondary) Mate version ver_num is not compatible with ours ver_num

説明 このメッセージは、ピア装置で実行されているバージョンがローカル装置と異なり、かつ HA Hitless Upgrade 機能と互換性がないことを適応型セキュリティ アプライアンスが検出した場合に表示されます。

ver_num :バージョン番号

推奨処置 両方のファイアウォール装置に、同じバージョンまたは互換性のあるバージョンのイメージをインストールします。

103007

エラー メッセージ %ASA-1-103007: (Primary|Secondary) Mate version ver_num is not identical with ours ver_num

説明 このメッセージは、ピア装置で実行されているバージョンがローカル装置と異なるが、Hitless Upgrade をサポートしており、ローカル装置と互換性があることを適応型セキュリティ アプライアンスが検出した場合に表示されます。イメージのバージョンが異なるために、システムのパフォーマンスが低下する恐れがあります。また、異なるイメージを長期間実行すると、適応型セキュリティ アプライアンスで安定性の問題が発生する可能性があります。

ver_num :バージョン番号

推奨処置 できるだけ早く、両方の装置に同じバージョンのイメージをインストールします。

104001、104002

エラー メッセージ %ASA-1-104001: (Primary) Switching to ACTIVE (cause: string ). エラー メッセージ %ASA-1-104002: (Primary) Switching to STNDBY (cause: string ).

説明 この例は、両方ともフェールオーバー メッセージです。これらのメッセージは通常、スタンバイ装置で failover active コマンドを入力するか、またはアクティブ装置で no failover active コマンドを入力することによって強制的にペアの役割を切り替えると記録されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。string 変数の値は次のとおりです。

state check

bad/incomplete config

ifc [interface] check, mate is healthier

the other side wants me to standby

in failed state, cannot be active

switch to failed state

other unit set to active by CLI config command 'fail active'

推奨処置 手作業による介入が原因でメッセージが表示される場合は、処置は不要です。それ以外の場合は、セカンダリ装置から報告された原因を使用して、ペアの装置両方のステータスを確認します。

104003

エラー メッセージ %ASA-1-104003: (Primary) Switching to FAILED.

説明 これはフェールオーバー メッセージです。このメッセージは、プライマリ装置に障害が発生すると表示されます。

推奨処置 プライマリ装置の syslog メッセージを確認して、問題の性質を示す表示がないかどうかを調べます(syslog メッセージ 104001 を参照)。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

104004

エラー メッセージ %ASA-1-104004: (Primary) Switching to OK.

説明 これはフェールオーバー メッセージです。このメッセージは、前に障害になった装置が現在は再び動作していると報告すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 不要です。

105001

エラー メッセージ %ASA-1-105001: (Primary) Disabling failover.

説明 バージョン 7.x 以降では、このメッセージは、モードのミスマッチ(シングルまたはマルチ)、ライセンスのミスマッチ(暗号化またはコンテキスト)、またはハードウェアの相違(一方の装置には IPS SSM がインストールされ、そのピアには CSC SSM がインストールされている)が原因でフェールオーバーが自動的にディセーブルになったことを示す場合があります。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 不要です。

105002

エラー メッセージ %ASA-1-105002: (Primary) Enabling failover.

説明 これはフェールオーバー メッセージです。このメッセージは、これまでフェールオーバーをディセーブルにしていたコンソールで引数をとらずに failover コマンドを入力すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 不要です。

105003

エラー メッセージ %ASA-1-105003: (Primary) Monitoring on interface interface_name waiting

説明 これはフェールオーバー メッセージです。適応型セキュリティ アプライアンスが指摘されたネットワーク インターフェイス(フェールオーバー ペアの相手装置とのインターフェイス)をテストしています。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 不要です。適応型セキュリティ アプライアンスは、正常動作中に自分のネットワーク インターフェイスを頻繁に監視します。

105004

エラー メッセージ %ASA-1-105004: (Primary) Monitoring on interface interface_name normal

説明 これはフェールオーバー メッセージです。このメッセージは、指摘されたネットワーク インターフェイスのテストが成功したことを示します。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 不要です。

105005

エラー メッセージ %ASA-1-105005: (Primary) Lost Failover communications with mate on interface interface_name.

説明 これはフェールオーバー メッセージです。このメッセージは、フェールオーバー ペアのこの装置がペアの相手装置と通信できなくなると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 指摘されたインターフェイスに接続されているネットワークが正しく機能していることを確認します。

105006、105007

エラー メッセージ %ASA-1-105006: (Primary) Link status ‘Up' on interface interface_name. エラー メッセージ %ASA-1-105007: (Primary) Link status ‘Down' on interface interface_name.

説明 この例は、両方ともフェールオーバー メッセージです。これらのメッセージは、指摘されたインターフェイスのリンク ステータスの監視結果を報告します。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 リンク ステータスがダウンである場合は、指摘されたインターフェイスに接続されているネットワークが正しく動作していることを確認します。

105008

エラー メッセージ %ASA-1-105008: (Primary) Testing interface interface_name.

説明 これはフェールオーバー メッセージです。このメッセージは、指摘されたネットワーク インターフェイスをテストすると表示されます。このテストは、想定された間隔後に適応型セキュリティ アプライアンスがそのインターフェイス上でスタンバイ装置からメッセージを受け取ることができなかった場合に限って実行されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 不要です。

105009

エラー メッセージ %ASA-1-105009: (Primary) Testing on interface interface_name {Passed|Failed}.

説明 これはフェールオーバー メッセージです。このメッセージは、前のインターフェイス テストの結果(Passed または Failed)を報告します。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 結果が Passed であれば不要です。結果が Failed の場合は、両方のフェールオーバー装置へのネットワーク ケーブル接続、およびネットワーク自体が正しく機能していることをチェックし、スタンバイ装置のステータスを確認します。

105010

エラー メッセージ %ASA-3-105010: (Primary) Failover message block alloc failed

説明 ブロック メモリが枯渇しています。これは一時メッセージで、適応型セキュリティ アプライアンスは回復する必要があります。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 show blocks コマンドを使用して、現在のブロック メモリを監視します。

105011

エラー メッセージ %ASA-1-105011: (Primary) Failover cable communication failure

説明 フェールオーバー ケーブルがプライマリ装置とセカンダリ装置間の通信を許可していません。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 ケーブルが正しく接続されていることを確認します。

105020

エラー メッセージ %ASA-1-105020: (Primary) Incomplete/slow config replication

説明 フェールオーバーが発生すると、アクティブな適応型セキュリティ アプライアンスはメモリ内の不完全なコンフィギュレーションを検出します。通常、これは複製サービスの中断が原因となっています。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 適応型セキュリティ アプライアンスによってフェールオーバーが検出されると、適応型セキュリティ アプライアンスは自分自身を自動的にリロードして、フラッシュ メモリからコンフィギュレーションをロードするか、または別の適応型セキュリティ アプライアンスと再同期化します(両方行うこともあります)。フェールオーバーが引き続き発生する場合は、フェールオーバー コンフィギュレーションを調べて、両方の適応型セキュリティ アプライアンス装置が互いに通信できることを確認します。

105021

エラー メッセージ %ASA-1-105021: ( failover_unit ) Standby unit failed to sync due to a locked context_name config. Lock held by lock_owner_name

説明 コンフィギュレーションの同期化中に、他のプロセスが 5 分以上コンフィギュレーションをロックして、フェールオーバー プロセスが新しいコンフィギュレーションを適用するのを妨げている場合、スタンバイ装置は自分自身をリロードします。これは、コンフィギュレーション同期化の進行中に、管理者がスタンバイ装置で実行コンフィギュレーションに目を通している場合に発生することがあります。 show running-config EXEC コマンドおよび pager lines num CONFIG コマンドも参照してください。

推奨処置 コンフィギュレーションが最初に起動し、アクティブ装置とのフェールオーバー接続を確立している間は、スタンバイ装置でコンフィギュレーションを表示または修正しないでください。

105031

エラー メッセージ %ASA-1-105031: Failover LAN interface is up

説明 LAN フェールオーバー インターフェイス リンクがアップしています。

推奨処置 不要です。

105032

エラー メッセージ %ASA-1-105032: LAN Failover interface is down

説明 LAN フェールオーバー インターフェイス リンクがダウンしています。

推奨処置 LAN フェールオーバー インターフェイスの接続を確認します。速度/二重通信の設定が正しいことを確認します。

105034

エラー メッセージ %ASA-1-105034: Receive a LAN_FAILOVER_UP message from peer.

説明 ピアがブートされて、初期コンタクト メッセージが送信されました。

推奨処置 不要です。

105035

エラー メッセージ %ASA-1-105035: Receive a LAN failover interface down msg from peer.

説明 ピア LAN フェールオーバー インターフェイス リンクがダウンしています。装置がスタンバイ モードになっている場合、アクティブ モードに切り替わります。

推奨処置 ピア LAN フェールオーバー インターフェイスの接続を確認します。

105036

エラー メッセージ %ASA-1-105036: dropped a LAN Failover command message.

説明 適応型セキュリティ アプライアンスは無応答の LAN フェールオーバー コマンド メッセージを廃棄しました。これは LAN フェールオーバー インターフェイスの接続障害を示します。

推奨処置 LAN インターフェイス ケーブルが接続されていることを確認します。

105037

エラー メッセージ %ASA-1-105037: The primary and standby units are switching back and forth as the active unit.

説明 プライマリ装置およびスタンバイ装置がアクティブ装置として交互に切り替わっています。これは、LAN フェールオーバー接続障害またはソフトウェアのバグを示します。

推奨処置 LAN インターフェイス ケーブルが接続されていることを確認します。

105038

エラー メッセージ %ASA-1-105038: (Primary) Interface count mismatch

説明 フェールオーバーが発生すると、アクティブな適応型セキュリティ アプライアンスはメモリ内の不完全なコンフィギュレーションを検出します。通常、これは複製サービスの中断が原因となっています。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 適応型セキュリティ アプライアンスによってフェールオーバーが検出されると、適応型セキュリティ アプライアンスは自分自身を自動的にリロードして、フラッシュ メモリからコンフィギュレーションをロードするか、または別の適応型セキュリティ アプライアンスと再同期化します(両方行うこともあります)。フェールオーバーが引き続き発生する場合は、フェールオーバー コンフィギュレーションを調べて、両方の適応型セキュリティ アプライアンス装置が互いに通信できることを確認します。

105039

エラー メッセージ %ASA-1-105039: (Primary) Unable to verify the Interface count with mate. Failover may be disabled in mate.

説明 フェールオーバーは最初にプライマリおよびセカンダリの適応型セキュリティ アプライアンスで設定されているインターフェイスの数が同じであることを確認します。このメッセージは、セカンダリの適応型セキュリティ アプライアンスで設定されているインターフェイスの数をプライマリの適応型セキュリティ アプライアンスが確認できないことを示します。このメッセージは、プライマリの適応型セキュリティ アプライアンスがフェールオーバー インターフェイス経由でセカンダリの適応型セキュリティ アプライアンスと通信できないことを示します。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。

推奨処置 プライマリおよびセカンダリの適応型セキュリティ アプライアンスでフェールオーバー LAN、インターフェイス コンフィギュレーション、およびステータスを確認します。セカンダリの適応型セキュリティ アプライアンスが適応型セキュリティ アプライアンス アプリケーションを実行しており、フェールオーバーがイネーブルになっていることを確認します。

105040

エラー メッセージ %ASA-1-105040: (Primary) Mate failover version is not compatible.

説明 プライマリおよびセカンダリの適応型セキュリティ アプライアンスは、フェールオーバー ペアとして動作するために同じフェールオーバー ソフトウェアのバージョンを実行する必要があります。このメッセージは、セカンダリの適応型セキュリティ アプライアンス フェールオーバー ソフトウェアのバージョンがプライマリの適応型セキュリティ アプライアンスと互換性がないことを示します。フェールオーバーがプライマリの適応型セキュリティ アプライアンスでディセーブルになっています。(Primary) は、セカンダリの適応型セキュリティ アプライアンスの場合は (Secondary) と示されることもあります。

推奨処置 フェールオーバーをイネーブルにするために、プライマリおよびセカンダリの適応型セキュリティ アプライアンス間で一致したソフトウェア バージョンを使用します。

105042

エラー メッセージ %ASA-1-105042: (Primary) Failover interface OK

説明 LAN フェールオーバー インターフェイス リンクがアップしています。

説明 セカンダリの適応型セキュリティ アプライアンスにフェールオーバー メッセージを送信するために使用されるインターフェイスが機能しています。(Primary) は、セカンダリの適応型セキュリティ アプライアンスの場合は (Secondary) と示されることもあります。

推奨処置 不要です。

105043

エラー メッセージ %ASA-1-105043: (Primary) Failover interface failed

説明 LAN フェールオーバー インターフェイス リンクがダウンしています。

推奨処置 LAN フェールオーバー インターフェイスの接続を確認します。速度/二重通信の設定が正しいことを確認します。

105044

エラー メッセージ %ASA-1-105044: (Primary) Mate operational mode mode is not compatible with my mode mode.

説明 動作モード(シングルまたはマルチ)がフェールオーバー ピア間で一致しない場合、フェールオーバーはディセーブルになります。

推奨処置 同じ動作モードになるようにフェールオーバー ピアを設定してから、フェールオーバーを再度イネーブルにします。

105045

エラー メッセージ %ASA-1-105045: (Primary) Mate license (number contexts) is not compatible with my license (number contexts).

説明 フィーチャ ライセンスがフェールオーバー ピア間で一致しない場合、フェールオーバーはディセーブルになります。

推奨処置 同じフィーチャ ライセンスを持つようにフェールオーバー ピアを設定してから、フェールオーバーを再度イネーブルにします。

105046

エラー メッセージ %ASA-1-105046 (Primary|Secondary) Mate has a different chassis

説明 このメッセージは、2 つのフェールオーバー装置が異なるタイプのシャーシを持つ場合に発行されます。たとえば、一方が 3 スロットのシャーシを持ち、もう一方が 6 スロットのシャーシを持つ場合です。

推奨処置 2 つのフェールオーバー装置が同じであることを確認します。

105047

エラー メッセージ %ASA-1-105047: Mate has a io_card_name1 card in slot slot_number which is different from my io_card_name2

説明 2 つのフェールオーバー装置は、対応するスロットに異なるタイプのカードが実装されています。

推奨処置 フェールオーバー装置のカード コンフィギュレーションが同じであることを確認します。

105048

エラー メッセージ %ASA-1-105048: ( unit ) Mate's service module ( application ) is different from mine ( application )

説明 アクティブ装置とスタンバイ装置のサービス モジュールで異なるアプリケーションが動作していることをフェールオーバー プロセスが検出しました。異なるサービス モジュールが使用されている場合、2 つのフェールオーバー装置は互換性がありません。

unit :プライマリまたはセカンダリ

application :アプリケーションの名前(たとえば、InterScan Security Card)

推奨処置 フェールオーバーを再度イネーブルにする前に、両方の装置が同じサービス モジュールを装備していることを確認します。

106001

エラー メッセージ %ASA-2-106001: Inbound TCP connection denied from IP_address/port to IP_address/port flags tcp_flags on interface interface_name

説明 これは接続関連のメッセージです。このメッセージは、内部アドレスに接続しようとしたが、指摘されたトラフィック タイプに定義されているセキュリティ ポリシーによって拒否された場合に表示されます。表示される tcp_flags 値は、接続が拒否されたときに存在していた TCP ヘッダーのフラグに対応します。たとえば、適応型セキュリティ アプライアンスに接続状態が存在しない TCP パケットが到着し、それが廃棄された場合です。このパケットの tcp_flags は FIN および ACK です。

tcp_flags を次に示します。

ACK:肯定応答番号が受信されました。

FIN:データが送信されました。

PSH:受信者がデータをアプリケーションに渡しました。

RST:接続がリセットされました。

SYN:シーケンス番号が接続を開始するために同期化されました。

URG:緊急ポインタが有効であると宣言されました。

推奨処置 不要です。

106002

エラー メッセージ %ASA-2-106002: protocol Connection denied by outbound list acl_ID src inside_address dest outside_address

説明 これは接続関連のメッセージです。このメッセージは、 outbound deny コマンドが原因で、指摘された接続が失敗した場合に表示されます。 protocol 変数は ICMP、TCP、または UDP になります。

推奨処置 show outbound コマンドを使用して、発信リストを確認します。

106006

エラー メッセージ %ASA-2-106006: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port on interface interface_name.

説明 これは接続関連のメッセージです。このメッセージは、着信 UDP パケットが、指摘されたトラフィック タイプに定義されているセキュリティ ポリシーによって拒否された場合に表示されます。

推奨処置 不要です。

106007

エラー メッセージ %ASA-2-106007: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port due to DNS {Response|Query}.

説明 これは接続関連のメッセージです。このメッセージは、DNS クエリーまたは応答を含んでいる UDP パケットが拒否された場合に表示されます。

推奨処置 内部ポート番号が 53 の場合、内部ホストはキャッシング ネーム サーバとして設定されていると考えられます。 access-list コマンド文を追加して、UDP ポート 53 のトラフィックおよび内部ホストの変換エントリを許可します。外部ポート番号が 53 の場合、DNS サーバの応答が遅かったため、クエリーには別のサーバが応答したと考えられます。

106010

エラー メッセージ %ASA-3-106010: Deny inbound protocol src interface_name : dest_address / dest_port dst interface_name : source_address / source_port

説明 これは接続関連のメッセージです。このメッセージは、着信接続がセキュリティ ポリシーによって拒否された場合に表示されます。

推奨処置 トラフィックを許可する必要がある場合は、セキュリティ ポリシーを修正します。このメッセージが繰り返し表示される場合は、リモート ピアの管理者にお問い合せください。

106011

エラー メッセージ %ASA-3-106011: Deny inbound (No xlate) string

説明 このメッセージは、Web ブラウザ経由でインターネットにアクセスしている内部ユーザがいる場合、通常のトラフィック条件で表示されます。接続がリセットされた場合は常に、適応型セキュリティ アプライアンスがリセットを受信した後に、その接続の端にあるホストがパケットを送信すると、このメッセージが表示されます。これは通常、無視してかまいません。

推奨処置 no logging message 106011 コマンドを入力して、この syslog メッセージが syslog サーバに記録されないようにします。

106012

エラー メッセージ %ASA-6-106012: Deny IP from IP_address to IP_address , IP options hex.

説明 これはパケット整合性チェック メッセージです。 IP パケットが IP オプションとともに表示されました。IP オプションはセキュリティ リスクと見なされるので、パケットは廃棄されました。

推奨処置 リモート ホスト システムの管理者に問い合せて、問題を判別します。 ローカル サイトを確認して、あいまいなソース ルーティングや厳密なソース ルーティングがないかどうかを調べます。

106013

エラー メッセージ %ASA-2-106013: Dropping echo request from IP_address to PAT address IP_address

説明 適応型セキュリティ アプライアンスは、PAT グローバル アドレスに対応する宛先アドレスを持つ着信 ICMP エコー要求パケットを廃棄しました。着信パケットは、そのパケットを受信するべき PAT ホストを指定できないので廃棄されます。

推奨処置 不要です。

106014

エラー メッセージ %ASA-3-106014: Deny inbound icmp src interface_name: IP_address dst interface_name: IP_address (type dec, code dec)

説明 適応型セキュリティ アプライアンスは、すべての着信 ICMP パケット アクセスを拒否しました。デフォルトで、ICMP パケットはすべて、特に許可されている場合を除き、拒否されます。

推奨処置 不要です。

106015

エラー メッセージ %ASA-6-106015: Deny TCP (no connection) from IP_address /port to IP_address /port flags tcp_flags on interface interface_name.

説明 適応型セキュリティ アプライアンスは、関連付けられている接続が 適応型セキュリティ アプライアンス 接続テーブルにない TCP パケットを廃棄しました。適応型セキュリティ アプライアンスは、新しい接続の確立要求を示す SYN フラグをパケットで探します。その SYN フラグが設定されておらず、既存の接続もない場合、 適応型セキュリティ アプライアンス はそのパケットを廃棄します。

推奨処置 適応型セキュリティ アプライアンスがこれらの無効な TCP パケットを大量に受信する場合を除き、不要です。大量に受信する場合は、パケットを送信元までトレースして、これらのパケットが送信された原因を判別します。

106016

エラー メッセージ %ASA-2-106016: Deny IP spoof from ( IP_address ) to IP_address on interface interface_name.

説明 このメッセージは、宛先 IP アドレスを 0.0.0.0 とし、宛先 MAC アドレスを適応型セキュリティ アプライアンス インターフェイスのアドレスとするパケットが適応型セキュリティ アプライアンス インターフェイスに到着した場合に生成されます。また、このメッセージは、適応型セキュリティ アプライアンスが無効な送信元アドレス(たとえば、次に示すアドレスなどの無効アドレス)を持つパケットを廃棄した場合にも生成されます。

ループバック ネットワーク(127.0.0.0)

ブロードキャスト(limited、net-directed、subnet-directed、および all-subnets-directed)

宛先ホスト(land.c)

スプーフィング パケット検出をさらに強化するには、 icmp コマンドを使用して、内部ネットワークに属する送信元アドレスを持つパケットを廃棄するように適応型セキュリティ アプライアンスを設定します。 現在、 access-list コマンドは推奨されておらず、正しく動作することも保証されていません。

推奨処置 外部ユーザが保護されているネットワークを危険にさらそうとしていないかどうかを判別します。誤って設定したクライアントがないかどうかを確認します。

106017

エラー メッセージ %ASA-2-106017: Deny IP due to Land Attack from IP_address to IP_address

説明 IP 送信元アドレスと IP 宛先が同一で、かつ宛先ポートと送信元ポートが同一のパケットを適応型セキュリティ アプライアンスが受信しました。このメッセージは、システムの攻撃を目的としてスプーフィングされたパケットを示します。この攻撃は、Land 攻撃と呼ばれます。

推奨処置 このメッセージが引き続き表示される場合は、攻撃が進行中である可能性があります。パケットは、攻撃の起点を決定するのに十分な情報を提供しません。

106018

エラー メッセージ %ASA-2-106018: ICMP packet type ICMP_type denied by outbound list acl_ID src inside_address dest outside_address

説明 ローカル ホスト(inside_address)から外部ホスト(outside_address)への発信 ICMP パケット(指摘された ICMP のパケット)が発信 ACL リストによって拒否されました。

推奨処置 不要です。

106020

エラー メッセージ %ASA-2-106020: Deny IP teardrop fragment (size = number, offset = number) from IP_address to IP_address

説明 適応型セキュリティ アプライアンスが、小さなオフセットまたはフラグメントの重複が含まれる teardrop シグニチャを持つ IP パケットを廃棄しました。これは、適応型セキュリティ アプライアンスまたは侵入検知システムを欺く敵対イベントです。

推奨処置 リモート ピアの管理者に問い合せるか、またはセキュリティ ポリシーに従ってこの問題の解決を依頼します。

106021

エラー メッセージ %ASA-1-106021: Deny protocol reverse path check from source_address to dest_address on interface interface_name

説明 攻撃が進行中です。着信接続で IP アドレスをスプーフィングしようとする試みが行われています。逆ルート ルックアップとも呼ばれる Unicast RPF は、ルートによって表される送信元アドレスを持たないパケットを検出し、そのパケットを適応型セキュリティ アプライアンスへの攻撃の一部であると想定します。

このメッセージは、ip verify reverse-path コマンドで Unicast RPF をイネーブルにしている場合に表示されます。この機能は、インターフェイスに入力されるパケットについて動作します。外側で設定されている場合、適応型セキュリティ アプライアンスは、外部から到達するパケットを確認します。

適応型セキュリティ アプライアンスは、source_address に基づいてルートを検索します。エントリが検出されず、ルートが定義されない場合は、syslog メッセージが表示され、接続は廃棄されます。

ルートがある場合、適応型セキュリティ アプライアンスは対応するインターフェイスを確認します。パケットが別のインターフェイスに到着した場合、これはスプーフィングであるか、または宛先まで複数のパスがある非対象なルーティング環境です。適応型セキュリティ アプライアンスは、非対称ルーティングはサポートしていません。

適応型セキュリティ アプライアンスが内部インターフェイスで設定されている場合はスタティック route コマンド文または RIP をチェックし、source_address が見つからない場合は、内部ユーザがアドレスをスプーフィングしています。

推奨処置 攻撃が進行中であっても、この機能がイネーブルになっていれば、ユーザによる処置は不要です。適応型セキュリティ アプライアンスは攻撃を撃退します。

106022

エラー メッセージ %ASA-1-106022: Deny protocol connection spoof from source_address to dest_address on interface interface_name

説明 接続と一致するパケットが、その接続を開始したインターフェイスとは異なるインターフェイスに到着します。

たとえば、ユーザが内部インターフェイスで接続を開始したが、適応型セキュリティ アプライアンスが境界インターフェイスに到着する同じ接続を検出する場合、適応型セキュリティ アプライアンスは宛先へのパスを複数持っていることになります。これは非対称ルーティングと呼ばれ、適応型セキュリティ アプライアンスではサポートされていません。

攻撃者は、適応型セキュリティ アプライアンスに侵入する方法として、1 つの接続から別の接続にパケットを付加しようと試みることもあります。どちらの場合も、適応型セキュリティ アプライアンスはこのメッセージを表示して、接続を廃棄します。

推奨処置 このメッセージは、ip verify reverse-path コマンドが設定されていない場合に表示されます。ルーティングが非対称でないことを確認します。

106023

エラー メッセージ %ASA-4-106023: Deny protocol src [ interface_name : source_address/source_port ] dst interface_name : dest_address/dest_port [type { string }, code { code }] by access_group acl_ID

説明 IP パケットが ACL によって拒否されました。このメッセージは、たとえ ACL に対して log オプションがイネーブルになっていない場合でも表示されます。

推奨処置 同じ送信元アドレスからのメッセージが引き続き表示される場合は、フットプリンティングまたはポート スキャンが行われようとしていることをメッセージが示している可能性もあります。リモート ホストの管理者にお問い合せください。

106024

エラー メッセージ %ASA-2-106024: Access rules memory exhausted

説明 アクセス リストのコンパイル プロセスで、メモリが不足しています。最後の正常なアクセス リスト以降に追加されたコンフィギュレーション情報はすべて、システムから削除されました。最新のコンパイル済みアクセス リストのセットが引き続き使用されます。

推奨処置 Access Lists、AAA、ICMP、SSH、Telnet、および他の規則タイプは、アクセス リストの規則タイプとして格納され、コンパイルされます。これらの規則タイプの一部を削除して、他の規則タイプを追加できるようにします。

106025、106026

エラー メッセージ %ASA-6-106025: Failed to determine the security context for the packet:sourceVlan:source_address dest_address source_port dest_port protocol エラー メッセージ %ASA-6-106026: Failed to determine the security context for the packet:sourceVlan:source_address dest_address source_port dest_port protocol

説明 マルチコンテキスト モードのパケットのセキュリティ コンテキストを判定できません。どちらのメッセージも、ルータまたは透過モードで廃棄される IP パケットに対して生成されることがあります。

推奨処置 不要です。

106027

エラー メッセージ %ASA-4-106027:Failed to determine the security context for the packet:vlansource Vlan#:ethertype src sourceMAC dst destMAC

説明 マルチコンテキスト モードのパケットのセキュリティ コンテキストを判定できません。このメッセージは、透過モードで廃棄される非 IP パケットに対してだけ生成されます。

推奨処置 不要です。

106100

エラー メッセージ %ASA-4-106100: access-list acl_ID {permitted | denied | est-allowed} protocol interface_name / source_address ( source_port ) - interface_name / dest_address ( dest_port ) hit-cnt number ({first hit | number -second interval})

説明 access-list コマンドに log 引数を設定した場合、パケットが ACL 文と一致しました。メッセージ レベルは、 access-list コマンドに設定されているレベルによって決まります(デフォルトでは、レベルは 6 です)。このメッセージは、最初の出現か、またはある期間の合計出現数を示します。このメッセージは、拒否されたパケットだけを記録して、ヒット数も設定可能なレベルも含まないメッセージ 106023 よりも多くの情報を提供します。

access-list 行に log 引数が含まれている場合、非同期パケットが適応型セキュリティ アプライアンスに到達し、access-list によって評価されることによって、この syslog ID がトリガーされる可能性があると想定されます。たとえば、適応型セキュリティ アプライアンスで(接続テーブルに TCP 接続が存在しない)ACK パケットを受信した場合、デバイスによって syslog 106100 が生成される可能性があります。このメッセージは、パケットは許可されたが、一致する接続が存在しないために後で正しく廃棄されることを示します。

メッセージの値は次のとおりです。

permitted | denied | est-allowed:これらの値は、パケットが ACL によって許可されたか拒否されたかを指摘します。値が est-allowed の場合、パケットは ACL によって拒否されましたが、すでに確立されているセッションで許可されました(たとえば、内部ユーザがインターネットへのアクセスを許可され、通常は ACL によって拒否される応答パケットが許可されます)。

protocol :TCP、UDP、ICMP、または IP プロトコル番号。

interface_name :ログ フローの送信元または宛先のインターフェイス名。VLAN インターフェイスがサポートされています。

source_address :ログ フローの送信元 IP アドレス。

dest_address :ログ フローの宛先 IP アドレス。

source_port :ログ フローの送信元ポート(TCP または UDP)。ICMP の場合、このフィールドは 0 です。

dest_port :ログ フローの宛先ポート(TCP または UDP)。ICMP の場合、このフィールドは src_addr です。

hit-cnt number :設定した期間に、このフローが ACL エントリによって許可または拒否された回数。適応型セキュリティ アプライアンスがこのフローに対して最初の syslog メッセージを生成するときの値は 1 です。

first hit:このフローに対して生成された最初のメッセージ。

number -second interval:ヒット数を累算する対象期間。この期間は、 access-list コマンドで interval オプションを使用して設定します。

推奨処置 不要です。

106101

エラー メッセージ %ASA-1-106101 The number of ACL log deny-flows has reached limit ( number ).

説明 ACL deny 文( access-list id deny コマンド)に log オプションを設定してあり、トラフィック フローが ACL 文と一致する場合、適応型セキュリティ アプライアンスはフロー情報をキャッシュします。このメッセージは、適応型セキュリティ アプライアンスでキャッシュされる一致フローの数がユーザが設定した制限( access-list deny-flow-max コマンドを使用)を超えたことを示します。このメッセージは、Denial of Service(DoS; サービス拒絶)攻撃の結果生成される可能性があります。

number access-list deny-flow-max コマンドを使用して設定された制限

推奨処置 不要です。

106102

エラー メッセージ %ASA-6-106102: access-list acl_ID {permitted|denied} protocol interface_name / source_address source_port interface_name / dest_address dest_port hit-cnt number {first hit| number -second interval}

説明 このメッセージは、VPN フィルタを通じて適用される access-list によってパケットが許可または拒否されたことを示します。

推奨処置 不要です。

107001

エラー メッセージ %ASA-1-107001: RIP auth failed from IP_address : version=number, type=string, mode=string, sequence=number on interface interface_name

説明 これはアラート ログ メッセージです。適応型セキュリティ アプライアンスは不正な認証を持つ RIP 応答メッセージを受信しました。このメッセージは、ルータまたは適応型セキュリティ アプライアンスの設定の誤り、または適応型セキュリティ アプライアンスのルーティング テーブルへの攻撃の失敗が原因となることもあります。

推奨処置 このメッセージは攻撃の可能性を示しているため、監視する必要があります。このメッセージに示されている送信元 IP アドレスを熟知していない場合は、信頼できるエンティティ間で RIP 認証キーを交換します。攻撃者が既存のキーを判別しようと試みている可能性もあります。

107002

エラー メッセージ %ASA-1-107002: RIP pkt failed from IP_address : version=number on interface interface_name

説明 これはアラート ログ メッセージです。このメッセージは、ルータのバグ、非 RFC 値を内部に持つパケット、または形式が誤っているエントリが原因で表示される可能性があります。これは発生してはならないもので、適応型セキュリティ アプライアンスのルーティング テーブルを利用しようとする試みの可能性もあります。

推奨処置 このメッセージは攻撃の可能性を示しているため、監視する必要があります。パケットは認証を渡しましたが(イネーブルの場合)、不良データがパケット内にあります。パケットの発信者について疑わしい点があれば、状況を監視してキーを変更します。

108002

エラー メッセージ %ASA-2-108002: SMTP replaced string: out source_address in inside_address data: string

説明 これは、inspect esmtp コマンドによって生成された Mail Guard(SMTP)メッセージです。このメッセージは、適応型セキュリティ アプライアンスが電子メール アドレスの無効な文字をスペースで置き換えた場合に表示されます。

推奨処置 不要です。

108003

エラー メッセージ %ASA-2-108003: Terminating ESMTP/SMTP connection; malicious pattern detected in the mail address from source_interface:source_address/source_port to dest_interface:dest_address/dset_port . Data: string

説明 このメッセージは、Mail Guard(SMTP)によって生成されます。このメッセージは、適応型セキュリティ アプライアンスが電子メール アドレスに悪意のあるパターンを検出して、接続を廃棄する場合に表示されます。これは、攻撃が進行中であることを示します。

推奨処置 不要です。

108004

エラー メッセージ %ASA-4-108004: action_class: action ESMTP req_resp from src_ifc:sip | sport to dest_ifc:dip | dport;further_info

説明 このイベントは、ESMTP メッセージに対して ESMTP 分類が実施され、指定の基準が満たされた場合に生成されます。設定済みのアクションが実行されます。

action_class :アクションのクラス(ESMTP の match コマンドの場合は「ESMTP Classification」、パラメータ コマンドの場合は「ESMTP Parameter」)

action :実行されるアクション(「Dropped」、「Dropped connection for」、「Reset connection for」、または「Masked header flags for」)

req_resp :「Request」または「Response」

src_ifc :送信元インターフェイス名

sip|sport :送信元 IP アドレスまたは送信元ポート

dest_ifc :宛先インターフェイス名

dip|dport :宛先 IP アドレスまたは宛先ポート

further info :次のいずれか

1 つの match コマンドの場合:matched Class id : match_command (たとえば、matched Class 1234: match body length 100)

パラメータ コマンドの場合: parameter-command : descriptive-message (たとえば、mail-relay: No Mail Relay allowed)

推奨処置 不要です。

108005

エラー メッセージ %ASA-6-108005: action_class: Received ESMTP req_resp from src_ifc:sip | sport to dest_ifc:dip | dport;further_info

説明 このイベントは、ESMTP メッセージに対して ESMTP 分類が実施され、指定の基準が満たされた場合に生成されます。スタンドアロンのログ アクションが実行されます。

action_class :アクションのクラス(ESMTP の match コマンドの場合は「ESMTP Classification」、パラメータ コマンドの場合は「ESMTP Parameter」)

req_resp :「Request」または「Response」

src_ifc :送信元インターフェイス名

sip|sport :送信元 IP アドレスまたは送信元ポート

dest_ifc :宛先インターフェイス名

dip|dport :宛先 IP アドレスまたは宛先ポート

further info :次のいずれか

1 つの match コマンドの場合:matched Class id : match_command (たとえば、matched Class 1234: match body length 100)

パラメータ コマンド(パラメータ セクションのコマンド)の場合: parameter-command : descriptive-message (たとえば、mail-relay: No Mail Relay allowed)

推奨処置 不要です。

108006

エラー メッセージ %ASA-7-108006: Detected ESMTP size violation from src_ifc:sip | sport to dest_ifc:dip | dport; declared size is: decl_size, actual size is act_size.

説明 このイベントは、ESMTP メッセージのサイズが RCPT コマンドで宣言されたサイズを超えている場合に生成されます。

src_ifc :送信元インターフェイス名

sip|sport :送信元 IP アドレスまたは送信元ポート

dest_ifc :宛先インターフェイス名

dip|dport :宛先 IP アドレスまたは宛先ポート

decl_size :宣言されたサイズ

act_size :実際のサイズ

推奨処置 不要です。

108007

エラー メッセージ %ASA-6-108007: TLS started on ESMTP session between client client-side interface-name : client IP address / client port and server server-side interface-name : server IP address / server port

説明 このメッセージは、ESMTP 接続でサーバがクライアントの STARTTLS コマンドに対して 220 応答コードで応答したことを示します。ESMTP インスペクション エンジンでは、この接続のトラフィックは検査されなくなります。

client-side interface-name :クライアント側に向かうインターフェイスの名前

client IP address :クライアントの IP アドレス

client port :クライアントの TCP ポート番号

server-side interface-name :サーバ側に向かうインターフェイスの名前

server IP address :サーバの IP アドレス

server port :サーバの TCP ポート番号

推奨処置 メッセージをログに記録して確認します。この接続に関連付けられている ESMTP ポリシー マップに「allow-tls action log」が設定されていることを確認します。設定されていない場合は、Cisco TAC にお問い合せください。

109001

エラー メッセージ %ASA-6-109001: Auth start for user user from inside_address/ inside_port to outside_address/ outside_port

説明 これは AAA メッセージです。このメッセージは、適応型セキュリティ アプライアンスが AAA 用に設定されており、指摘されたユーザによる認証要求を検出した場合に表示されます。

推奨処置 不要です。

109002

エラー メッセージ %ASA-6-109002: Auth from inside_address/inside_port to outside_address/outside_port failed (server IP_address failed) on interface interface_name.

説明 これは AAA メッセージです。このメッセージは、指摘された認証サーバにモジュールがアクセスできないために認証要求が失敗した場合に表示されます。

推奨処置 指摘された認証サーバ上で認証デーモンが動作していることを確認します。

109003

エラー メッセージ %ASA-6-109003: Auth from inside_address to outside_address/outside_port failed (all servers failed) on interface interface_name, so marking all servers ACTIVE again.

説明 これは AAA メッセージです。このメッセージは、認証サーバを見つけることができなかった場合に表示されます。

推奨処置 適応型セキュリティ アプライアンスから認証サーバに対して ping を実行します。デーモンが動作していることを確認します。

109005

エラー メッセージ %ASA-6-109005: Authentication succeeded for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.

説明 これは AAA メッセージです。このメッセージは、指摘された認証要求が成功すると表示されます。

推奨処置 不要です。

109006

エラー メッセージ %ASA-6-109006: Authentication failed for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.

説明 これは AAA メッセージです。このメッセージは、おそらくパスワードが誤っているために、指摘された認証要求が失敗した場合に表示されます。

推奨処置 不要です。

109007

エラー メッセージ %ASA-6-109007: Authorization permitted for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.

説明 これは AAA メッセージです。このメッセージは、指摘された認可要求が成功すると表示されます。

推奨処置 不要です。

109008

エラー メッセージ %ASA-6-109008: Authorization denied for user user from outside_address/outside_port to inside_address/ inside_port on interface interface_name.

説明 これは AAA メッセージです。このメッセージは、おそらくパスワードが誤っているために、指摘されたアドレスへのアクセスをユーザが許可されなかった場合に表示されます。

推奨処置 不要です。

109010

エラー メッセージ %ASA-3-109010: Auth from inside_address/inside_port to outside_address/outside_port failed (too many pending auths) on interface interface_name.

説明 これは AAA メッセージです。このメッセージは、サーバで多くの要求が保留中であるために、認証要求が処理できなかった場合に表示されます。

推奨処置 認証サーバが遅すぎるために認証要求に応答できないのかどうかを確認します。Flood Defender 機能を floodguard enable コマンドでイネーブルにします。

109011

エラー メッセージ %ASA-2-109011: Authen Session Start: user ' user ', sid number

説明 認証セッションがホストと適応型セキュリティ アプライアンスの間で開始されましたが、まだ完了していません。

推奨処置 不要です。

109012

エラー メッセージ %ASA-5-109012: Authen Session End: user 'user', sid number, elapsed number seconds

説明 認証キャッシュがタイムアウトになっています。 ユーザは、次の接続で再認証が必要になります。timeout uauth コマンドを使用して、このタイマーのタイムアウト時間を変更できます。

推奨処置 不要です。

109013

エラー メッセージ %ASA-3-109013: User must authenticate before using this service

説明 ユーザは、サービスを使用する前に認証を受ける必要があります。

推奨処置 サービスを使用する前に FTP、Telnet、または HTTP を使用して認証します。

109014

エラー メッセージ %ASA-7-109014: uauth_lookup_net fail for uauth_in()

説明 認証の要求に、対応する認可の要求がありませんでした。

推奨処置 aaa authentication および aaa authorization コマンド文がコンフィギュレーションに含まれていることを確認します。

109016

エラー メッセージ %ASA-3-109016: Can't find authorization ACL acl_ID for user ' user '

説明 このユーザの AAA サーバで指定されているアクセス コントロール リストが、適応型セキュリティ アプライアンスに存在しません。このエラーは、適応型セキュリティ アプライアンスを設定する前に AAA サーバを設定した場合に発生することがあります。AAA サーバで Vendor-Specific Attribute(VSA; ベンダー固有のアトリビュート)が次の値のいずれかになっている可能性があります。

acl=acl_ID

shell:acl=acl_ID

ACS:CiscoSecured-Defined-ACL=acl_ID

推奨処置 適応型セキュリティ アプライアンスに ACL を追加し、AAA サーバで指定したものと同じ名前を必ず使用します。

109017

エラー メッセージ %ASA-4-109017: User at IP_address exceeded auth proxy connection limit (max)

説明 ユーザが、ユーザ認証のプロキシ制限を超えて、プロキシに多くの接続を開きました。

推奨処置 proxy-limit proxy_limit コマンドを入力してプロキシ制限を増やすか、または未使用の接続を閉じるようユーザに要求します。引き続きエラーが表示される場合は、DoS 攻撃の可能性を示していることもあります。

109018

エラー メッセージ %ASA-3-109018: Downloaded ACL acl_ID is empty

説明 ダウンロードされた認可アクセス コントロール リストに ACE がありません。この状況は、アトリビュート文字列「ip:inacl#」のつづりの誤り、または access-list コマンドの省略が原因となっている可能性があります。

junk:junk# 1=permit tcp any any eq junk ip:inacl#1=”
 

推奨処置 指摘されたエラーのある ACL コンポーネントを AAA サーバ上で修正します。

109019

エラー メッセージ %ASA-3-109019: Downloaded ACL acl_ID has parsing error; ACE string

説明 ダウンロードした認可アクセス コントロール リストのアトリビュート文字列 ip:inacl#NNN= のシーケンス番号 NNN を解析中にエラーが発生しました。= の欠落、数字以外の文字やスペース以外の文字が「#」と「=」の間にある、NNN が 999999999 より大きい、などの原因が考えられます。

ip:inacl# 1 permit tcp any any
ip:inacl# 1junk2=permit tcp any any
ip:inacl# 1000000000=permit tcp any any
 

推奨処置 指摘されたエラーのある ACL 要素を AAA サーバ上で修正します。

109020

エラー メッセージ %ASA-3-109020: Downloaded ACL has config error; ACE

説明 ダウンロードされた認可アクセス コントロール リストのコンポーネントの 1 つにコンフィギュレーション エラーがあります。要素のテキスト全体は、syslog メッセージに含まれています。このメッセージは通常、無効な access-list コマンド文が原因となっています。

推奨処置 指摘されたエラーのある ACL コンポーネントを AAA サーバ上で修正します。

109021

エラー メッセージ %ASA-7-109021: Uauth null proxy error

説明 内部ユーザ認証エラーが発生しました。

推奨処置 不要です。ただし、このエラーが繰り返し表示される場合は、Cisco TAC にお問い合せください。

109022

エラー メッセージ %ASA-4-109022: exceeded HTTPS proxy process limit

説明 適応型セキュリティ アプライアンスは、各 HTTPS 認証に対して 1 つの専用プロセスで認証要求を処理します。同時に動作しているプロセスの数がシステムによって課せられた制限を超えると、適応型セキュリティ アプライアンスは認証を実行せず、このメッセージが表示されます。

推奨処置 不要です。

109023

エラー メッセージ %ASA-3-109023: User from source_address / source_port to dest_address / dest_port on interface outside_interface must authenticate before using this service.

説明 これは AAA メッセージです。このサービス ポートは、設定されたポリシーに基づいて認証を受けてから、使用する必要があります。

推奨処置 このサービス ポートを使用しようとするときは、事前に Telnet、FTP、または HTTP を使用して認証します。

109024

エラー メッセージ %ASA-6-109024: Authorization denied from source_address / source_port to dest_address / dest_port (not authenticated) on interface interface_name using protocol

説明 これは AAA メッセージです。このメッセージは、適応型セキュリティ アプライアンスが AAA 用に設定され、ユーザが事前の認証なしに適応型セキュリティ アプライアンスを通して TCP 接続を行おうとした場合に表示されます。

推奨処置 不要です。

109025

エラー メッセージ %ASA-6-109025: Authorization denied (acl= acl_ID ) for user ' user ' from source_address / source_port to dest_address / dest_port on interface interface_name using protocol

説明 アクセス コントロール リストのチェックが失敗しました。チェックは、拒否と一致したか、または暗黙的な拒否のように、何とも一致しませんでした。接続は、Cisco Secure Access Control Server(ACS)の AAA 認可ポリシーに従って定義されたユーザ アクセス コントロール リスト acl_ID によって拒否されました。

推奨処置 不要です。

109026

エラー メッセージ %ASA-3-109026: [ aaa protocol ] Invalid reply digest received; shared server key may be mismatched.

説明 AAA サーバからの応答が検証できませんでした。設定されたサーバ キーが誤っていることが考えられます。このイベントは、RADIUS サーバまたは TACACS+ サーバとのトランザクション中に生成されることがあります。

推奨処置 aaa-server コマンドを使用して設定されたサーバ キーが正しいことを確認します。

109027

エラー メッセージ %ASA-4-109027: [aaa protocol] Unable to decipher response message Server = server_IP_address , User = user

説明 AAA サーバからの応答が検証できませんでした。設定されたサーバ キーが誤っている可能性があります。このメッセージは、RADIUS サーバまたは TACACS+ サーバとのトランザクション中に表示されることがあります。 server_IP_address は、関連する AAA サーバの IP アドレスです。 user は、接続に関連付けられているユーザ名です。

推奨処置 aaa-server コマンドを使用して設定されたサーバ キーが正しいことを確認します。

109028

エラー メッセージ %ASA-4-109028: aaa bypassed for same-security traffic from ingress_ interface:source_address/source_port to egress_interface:dest_address/dest_port

説明 AAA が設定された AAA 規則と一致する同じセキュリティ トラフィックに対してバイパスされています。これが発生する可能性があるのは、同じ設定済みセキュリティ レベルを持つ 2 つのインターフェイス間をトラフィックが通過する場合、同じセキュリティ トラフィックが許可される場合、および AAA コンフィギュレーションが include 構文または exclude 構文を使用する場合だけです。

推奨処置 不要です。

109029

エラー メッセージ %ASA-5-109029: Parsing downloaded ACL: string

説明 ユーザ認証中に RADIUS サーバからダウンロードされたアクセス リストを解析している間に構文エラーが発生しました。

string :アクセス リストの正しい解析を妨げた構文エラーを詳述するエラー メッセージ

推奨処置 このメッセージに提示されている情報を使用して、RADIUS サーバ コンフィギュレーション内のアクセス リスト定義にある構文エラーを特定し、訂正します。

109030

エラー メッセージ %ASA-4-109030: Autodetect ACL convert wildcard did not convert ACL access_list source | dest netmask netmask .

説明 このメッセージは、RADIUS サーバで設定されたダイナミック ACL が、ワイルドカード ネットマスクを自動的に検出するメカニズムによって変換されなかった場合に表示されます。問題は、ネットマスクがワイルドカードであるか、通常のネットマスクであるかをこのメカニズムが判別できないために発生します。

access_list :変換できなかったアクセス リスト

source :送信元 IP アドレス

dest :宛先 IP アドレス

netmask :宛先アドレスまたは送信元アドレスに対する 10 進数表記のサブネット マスク

推奨処置 RADIUS サーバのアクセス リスト ネットマスクを確認して、ワイルドカード コンフィギュレーションがないかどうかを調べます。ネットマスクをワイルドカードにする予定の場合、およびそのサーバのアクセス リスト ネットマスクすべてがワイルドカードである場合、AAA サーバの acl-netmask-convert に wildcard 設定を使用します。それ以外の場合は、ネットマスクを通常のネットマスクまたはホールを含まないワイルドカード ネットマスクに変更します(つまり、ネットマスクは連続する 2 進数の 1 を提示します。たとえば、00000000.00000000.00011111.11111111 または 16 進数の 0.0.31.255 のようになります)。マスクを通常にする予定の場合、およびそのサーバのすべてのアクセス リスト ネットマスクが通常である場合、AAA サーバの acl-netmask-convert に normal 設定を使用します。

109031

エラー メッセージ %ASA-4-109031: NT Domain Authentication Failed: rejecting guest login for username .

説明 このメッセージは、ユーザがゲスト アカウントのアクセス用に設定された NT ドメインに認証を試みたとき、username が NT サーバで有効なユーザ名でない場合に表示されます。接続は拒否されます。

推奨処置 ユーザが有効なユーザの場合は、アカウントを NT サーバに追加します。ユーザがアクセスを許可されていない場合は、処置は不要です。

109032

エラー メッセージ %ASA-3-109032: Unable to install ACL access_list , downloaded for user username ; Error in ACE: ace .

説明 このメッセージは、ネットワーク ユーザの認証中に RADIUS サーバからアクセス コントロール リストが受信されると表示されます。このログ イベントは、アクセス リストの要素の 1 つに構文エラーがあることを示します。このエラーが発生する場合、要素は廃棄されますが、アクセス リストの残りの部分は引き続き適用されます。形式が誤っている要素のテキスト全体は、メッセージに含まれています。この状態は認証の失敗をもたらすものではないことに注意してください。

access_list show access-list コマンドの出力に表示されるダイナミック アクセス リストに割り当てられている名前

username :その接続がこのアクセス リストの制御を受けるユーザの名前

ace :エラーが検出されたときに処理されていたアクセス リストのエントリ

推奨処置 RADIUS サーバのコンフィギュレーションのアクセス リスト定義を訂正します。

109033

エラー メッセージ %ASA-4-109033: Authentication failed for admin user user from src_IP . Interactive challenge processing is not supported for protocol connections

説明 管理接続の認証中に AAA チャレンジ処理がトリガーされましたが、適応型セキュリティ アプライアンスはそのクライアント アプリケーションでの対話型チャレンジ処理を開始できません。このような場合は、認証試行が拒否され、接続が拒否されます。

user :認証対象のユーザの名前

src_IP :クライアント ホストの IP アドレス

protocol :クライアント接続プロトコル(SSH v1 または管理 HTTP)

推奨処置 これらの接続タイプに対してチャレンジ処理が発生しないように AAA を再設定します。これは、通常、RSA SecurID サーバ、または RADIUS 経由のトークンベース AAA サーバに対して、これらの接続タイプの認証を避けることを意味します。

109034

エラー メッセージ %ASA-4-109034: Authentication failed for network user user from src_IP/port to dst_IP/port . Interactive challenge processing is not supported for protocol connections

説明 ネットワーク接続の認証中に AAA チャレンジ処理がトリガーされましたが、適応型セキュリティ アプライアンスはそのクライアント アプリケーションでの対話型チャレンジ処理を開始できません。このような場合は、認証試行が拒否され、接続が拒否されます。

user :認証対象のユーザの名前

src_IP/port :クライアント ホストの IP アドレスおよびポート

dst_IP/port :クライアントが接続しようとしているサーバの IP アドレスおよびポート

protocol :クライアント接続プロトコル(たとえば、FTP)

推奨処置 これらの接続タイプに対してチャレンジ処理が発生しないように AAA を再設定します。これは、通常、RSA SecurID サーバ、または RADIUS 経由のトークンベース AAA サーバに対して、これらの接続タイプの認証を避けることを意味します。

109035

エラー メッセージ %ASA-3-109035: Exceeded maximum number (999) of DAP attribute instances for user = string.

説明 動的アクセス ポリシーでは、AAA サーバから同じアトリビュートの複数の値を受信することがサポートされています。AAA サーバから同じアトリビュートに関して 999 を超える値を含む応答が送信されてきた場合、適応型セキュリティ アプライアンスではこの応答メッセージを形式誤りとして処理し、認証を拒否します。このような状況は、特殊なテスト ツールを使用するラボ環境でだけ確認されています。実際の実稼動ネットワークで発生する可能性はまずありません。

string :ログイン時のユーザ名

推奨処置 このメッセージが生成された場合は、プロトコル スニファ(WireShark など)を使用して適応型セキュリティ アプライアンスと AAA サーバ間の認証トラフィックを取り込み、トレース ファイルを Cisco Engineering に転送して分析を依頼することを推奨します。

110002

エラー メッセージ %ASA-6-110002: Failed to locate egress interface for protocol from src interface : src IP/src port to dest IP/dest port

説明 適応型セキュリティ アプライアンスでパケットの送信に使用するインターフェイスを検出しようとしたときに、エラーが発生しました。

protocol :パケットのプロトコル

src interface :パケットの送信元インターフェイス

src IP :パケットの送信元 IP アドレス

src port :送信元ポート番号

dest IP :パケットの宛先 IP アドレス

dest port :宛先ポート番号

推奨処置 エラー メッセージ、コンフィギュレーション、およびエラーの原因となったイベントの詳細をコピーし、Cisco TAC にお問い合せください。

110003

エラー メッセージ %ASA-6-110003: Routing failed to locate next-hop for protocol from src interface : src IP/src port to dest interface : dest IP/dest port

説明 適応型セキュリティ アプライアンスでインターフェイス ルーティング テーブル上のネクストホップを検出しようとしたときに、エラーが発生しました。

protocol :パケットのプロトコル

src interface :パケットの送信元インターフェイス

src IP :パケットの送信元 IP アドレス

src port :送信元ポート番号

dest IP :パケットの宛先 IP アドレス

dest port :宛先ポート番号

推奨処置 エラー メッセージ、コンフィギュレーション、およびエラーの原因となったイベントの詳細をコピーし、Cisco TAC にお問い合せください。デバッグ時にルーティング テーブルの詳細を表示するには、 show asp table routing コマンドを使用します。

111001

エラー メッセージ %ASA-5-111001: Begin configuration: IP_address writing to device

説明 このメッセージは、 write コマンドを入力してコンフィギュレーションを device(フロッピーディスク、フラッシュ メモリ、TFTP、フェールオーバー スタンバイ装置、またはコンソール端末のいずれか)に格納する場合に表示されます。 IP_address は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。

推奨処置 不要です。

111002

エラー メッセージ %ASA-5-111002: Begin configuration: IP_address reading from device

説明 このメッセージは、 read コマンドを入力してコンフィギュレーションを device(フロッピーディスク、フラッシュ メモリ、TFTP、フェールオーバー スタンバイ装置、またはコンソール端末のいずれか)から読み取る場合に表示されます。 IP_address は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。

推奨処置 不要です。

111003

エラー メッセージ %ASA-5-111003: IP_address Erase configuration

説明 これは管理メッセージです。このメッセージは、コンソールで write erase コマンドを入力してフラッシュ メモリの内容を消去する場合に表示されます。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。

推奨処置 コンフィギュレーションを消去した後、適応型セキュリティ アプライアンスを再設定して新しいコンフィギュレーションを保存します。または、フロッピーディスクまたはネットワークの他の場所にある TFTP サーバに以前保存してあるコンフィギュレーションから情報を復元できます。

111004

エラー メッセージ %ASA-5-111004: IP_address end configuration: {FAILED|OK}

説明 このメッセージは、 config floppy/memory/ network コマンドまたは write floppy/memory/network/standby コマンドを入力すると表示されます。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。

推奨処置 メッセージが OK で終われば不要です。このメッセージでエラーが表示された場合は、問題を解決します。たとえば、フロッピーディスクに書き込む場合は、フロッピーディスクが書き込み禁止になっていないことを確認します。TFTP サーバに書き込む場合は、サーバが動作していることを確認します。

111005

エラー メッセージ %ASA-5-111005: IP_address end configuration: OK

説明 このメッセージは、コンフィギュレーション モードを終了すると表示されます。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。

推奨処置 不要です。

111007

エラー メッセージ %ASA-5-111007: Begin configuration: IP_address reading from device.

説明 このメッセージは、 reload コマンドまたは configure コマンドを入力してコンフィギュレーションを読み込む場合に表示されます。device テキストは、フロッピーディスク、メモリ、ネット、スタンバイ、または端末になります。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。

推奨処置 不要です。

111008

エラー メッセージ %ASA-5-111008: User user executed the command string

説明 ユーザが show コマンド以外の任意のコマンドを入力しました。

推奨処置 不要です。

111009

エラー メッセージ %ASA-7-111009:User user executed cmd: string

説明 ユーザがコンフィギュレーションを修正しないコマンドを入力しました。このメッセージは、 show コマンドに限り表示されます。

推奨処置 不要です。

111111

エラー メッセージ %ASA-1-111111 error_message

説明 システム エラーまたはインフラストラクチャ エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

112001

エラー メッセージ %ASA-2-112001: ( string : dec ) Clear complete.

説明 このメッセージは、モジュール コンフィギュレーションを消去する要求が完了したことを示します。ソース ファイルおよび行番号が特定されます。

推奨処置 不要です。

113001

エラー メッセージ %ASA-3-113001: Unable to open AAA session. Session limit [ limit ] reached.

説明 システム リソースが使用できないために、IPSec トンネルまたは WebVPN 接続で AAA 動作を実行できませんでした。 limit 値は、同時 AAA トランザクションの最大数を示します。

推奨処置 可能であれば、AAA リソースの要求を減らします。

113003

エラー メッセージ %ASA-6-113003: AAA group policy for user user is being set to policy_name .

説明 トンネル グループに関連付けられているグループ ポリシーは、ユーザ固有のポリシー policy_name で上書きされています。 policy_name は、LOCAL 認証の設定時に username コマンドを使用して指定されており、RADIUS 認証の設定時に RADIUS CLASS アトリビュートで返されます。

推奨処置 不要です。

113004

エラー メッセージ %ASA-6-113004: AAA user aaa_type Successful: server = server_IP_address , User = user

説明 このメッセージは、IPSec 接続または WebVPN 接続で AAA 動作が正常に完了したことを示します。AAA タイプは「認証」、「認可」、または「アカウンティング」です。 server_IP_address は、関連する AAA サーバの IP アドレスです。 user は、接続に関連付けられているユーザ名です。

推奨処置 不要です。

113005

エラー メッセージ %ASA-6-113005: AAA user authentication Rejected: reason = string : server = server_IP_address , User = user

説明 このメッセージは、IPSec 接続または WebVPN 接続に関連付けられているユーザの認証要求または認可要求が拒否されたことを示します。要求が拒否された理由の詳細は reason フィールドに示されています。 server_IP_address は、関連する AAA サーバの IP アドレスです。 user は、接続に関連付けられているユーザ名です。 aaa_operation は、認証または認可のどちらかです。

推奨処置 不要です。

113006

エラー メッセージ %ASA-6-113006: User user locked out on exceeding number successive failed authentication attempts

説明 ローカルに設定されているユーザがロックアウトされています。このメッセージは、このユーザについて認証失敗が連続して設定回数だけ発生したときに現れ、今後このユーザが認証を受けようとしても、管理者が clear aaa local user lockout コマンドを使用してユーザをアンロックするまでは、すべて拒否されることを示します。 user は現在ロックされているユーザであり、 number aaa local authentication attempts max-fail コマンドで設定されている連続失敗しきい値です。

推奨処置 clear_aaa_local_user_lockout コマンドを使用してユーザをアンロックするか、許容される連続認証失敗の最大数を調整します。

113007

エラー メッセージ %ASA-6-113007: User user unlocked by administrator

説明 ローカルに設定されたユーザが、 aaa local authentication attempts max-fail コマンドによって設定された連続認証失敗の最大数を超えたためロックアウトされた後、表示されている管理者によってアンロックされました。

推奨処置 不要です。

113008

エラー メッセージ %ASA-6-113008: AAA transaction status ACCEPT: user = user

説明 IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが正常に完了しました。 user は、接続に関連付けられているユーザ名です。

推奨処置 不要です。

113009

エラー メッセージ %ASA-6-113009: AAA retrieved default group policy policy for user user

説明 このメッセージは、IPSec 接続または WebVPN 接続の認証中または認可中に生成される可能性があります。 tunnel-group コマンドまたは webvpn コマンドで指定されたグループ ポリシーのアトリビュートが取得されました。

推奨処置 不要です。

113010

エラー メッセージ %ASA-6-113010: AAA challenge received for user user from server server_IP_address

説明 このメッセージは、認証が SecurID サーバで行われる場合、IPSec 接続の認証中に生成される可能性があります。ユーザは、認証に先立って詳細情報を入力するよう求められます。

user :接続に関連付けられているユーザ名

server _IP_address :関連する AAA サーバの IP アドレス

推奨処置 不要です。

113011

エラー メッセージ %ASA-6-113011: AAA retrieved user specific group policy policy for user user

説明 このイベントは、IPSec 接続または WebVPN 接続の認証中または認可中に生成される可能性があります。 tunnel-group コマンドまたは webvpn コマンドで指定されたグループ ポリシーのアトリビュートが取得されました。

推奨処置 不要です。

113012

エラー メッセージ %ASA-6-113012: AAA user authentication Successful: local database: user = user

説明 IPSec 接続または WebVPN 接続に関連付けられているユーザが、ローカル ユーザ データベースに正常に認証されました。

user :接続に関連付けられているユーザ名

推奨処置 不要です。

113013

エラー メッセージ %ASA-6-113013: AAA unable to complete the request Error: reason = reason : user = user

説明 IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが、エラーにより失敗したか、またはポリシー違反により拒否されました。

reason :理由の詳細

user :接続に関連付けられているユーザ名

推奨処置 不要です。

113014

エラー メッセージ %ASA-6-113014: AAA authentication server not accessible: server = server_IP_address : user = user

説明 デバイスが、IPSec 接続または WebVPN 接続に関連付けられている AAA トランザクション中に設定済み AAA サーバと通信できませんでした。このため、ユーザが接続しようとしたとき、 aaa-server グループに設定されているバックアップ サーバおよびそのサーバのアベイラビリティ次第で、接続に失敗する場合も、失敗しない場合もあります。

推奨処置 設定済みの AAA サーバとの接続を確認します。

113015

エラー メッセージ %ASA-6-113015: AAA user authentication Rejected: reason = reason : local database: user = user

説明 IPSec 接続または WebVPN 接続に関連付けられているユーザのローカル ユーザ データベースへの認証要求が拒否されました。

reason :要求が拒否された理由の詳細

user :接続に関連付けられているユーザ名

推奨処置 不要です。

113016

エラー メッセージ %ASA-6-113016: AAA credentials rejected: reason = reason : server = server_IP_address : user = user

説明 IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが、エラーにより失敗したか、またはポリシー違反により拒否されました。

reason :理由の詳細

server_IP_address :関連する AAA サーバの IP アドレス

user :接続に関連付けられているユーザ名

推奨処置 不要です。

113017

エラー メッセージ %ASA-6-113017: AAA credentials rejected: reason = reason : local database: user = user

説明 このメッセージは、IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが、エラーにより失敗したか、またはポリシー違反により拒否されたことを示します。このイベントが表示されるのは、AAA トランザクションが外部 AAA サーバではなくローカル ユーザ データベースと行われる場合だけです。

reason :理由の詳細

user :接続に関連付けられているユーザ名

推奨処置 不要です。

113018

エラー メッセージ %ASA-3-113018: User: user , Unsupported downloaded ACL Entry: ACL_entry , Action: action

説明 サポートされていないフォーマットの ACL エントリが認証サーバからダウンロードされました。メッセージの値は次のとおりです。

user :ログインを試行しているユーザ

ACL_entry :認証サーバからダウンロードされたサポートされていない ACL エントリ

action :サポートされていない ACL エントリに対して実行するアクション

推奨処置 認証サーバの ACL エントリは、サポートされている ACL エントリ フォーマットに適合するように管理者が変更する必要があります。

113019

エラー メッセージ %ASA-4-113019: Group = group , Username = username , IP = peer_address , Session disconnected. Session Type: type , Duration: duration , Bytes xmt: count , Bytes rcv: count , Reason: reason

説明 これは情報メッセージです。このメッセージは、最大アイドル ユーザが切断された状況とその原因を示します。

group :グループ名

username :ユーザ名

peer_address :ピア アドレス

type :セッション タイプ(たとえば、IPSec/UDP)

duration :接続期間(時間、分、および秒)

count :バイト数

reason :切断原因

- ポートが切り替えられました。この原因は、(同一ユーザによる)同時ログイン許容数を超えたことを示します。この問題を解決するには、同時ログイン数を増やすか、ユーザに対して特定のユーザ名とパスワードで 1 回だけログインを許可するようにします。

推奨処置 不要です。

113020

エラー メッセージ %ASA-3-113020: Kerberos error: Clock skew with server ip_address greater than 300 seconds

説明 このメッセージは、Kerberos サーバ経由の IPSec または WebVPN のユーザの認証が、適応型セキュリティ アプライアンスのクロックとそのサーバのクロックが 5 分(300 秒)以上ずれているために失敗した場合に表示されます。この失敗が起こったときは、接続しようとしても拒否されます。

ip_address :Kerberos サーバの IP アドレス

推奨処置 適応型セキュリティ アプライアンス サーバと Kerberos サーバのクロックを同期させます。

113021

エラー メッセージ %ASA-3-113021: Attempted console login failed. User username did NOT have appropriate Admin Rights.

説明 ユーザが管理コンソールにアクセスしようとしましたが、拒否されました。

username :ユーザが入力したユーザ名

推奨処置 新しく追加された Admin Rights ユーザの場合は、そのユーザのサービスタイプ(LOCAL または RADIUS 認証サーバ)が次のようなアクセスを許可するように設定されていることを確認します。

nas-prompt:コンソールへのログインおよび要求されたレベルの EXEC 特権を許可しますが、イネーブル(コンフィギュレーション修正)アクセスは許可しません。

admin:すべてのアクセスを許可します。コマンド特権によって制約できます。

上記以外のユーザの場合は、そのユーザが管理コンソールへの不適切なアクセスを試みています。実行されるアクションは、このような問題に関する社内のポリシーに適合している必要があります。

113022

エラー メッセージ %ASA-2-113022: AAA Marking RADIUS server servername in aaa-server group AAA-Using-DNS as FAILED

説明 この syslog メッセージは、適応型セキュリティ アプライアンスが AAA サーバに認証、認可、またはアカウンティングの要求を試みましたが、設定されているタイムアウト期間内に応答を受信しなかったことを示しています。この AAA サーバには「failed」のマークが付けられます。この AAA サーバは、サービスから削除されました。

protocol :次のいずれかのタイプの認証プロトコル

- RADIUS

- TACACS+

- NT

- RSA SecurID

- Kerberos

- LDAP

ip-addr :AAA サーバの IP アドレス

tag :サーバ グループ名

推奨処置 AAA サーバがオンラインで、適応型セキュリティ アプライアンスからアクセスできることを確認します。

113023

エラー メッセージ %ASA-2-113023: AAA Marking protocol server ip-addr in server group tag as ACTIVE

説明 この syslog メッセージは、以前「failed」のマークを付けられた AAA サーバが、適応型セキュリティ アプライアンスによって再びアクティブにされたことを示しています。現在、AAA 要求の処理に、この AAA サーバを使用できます。

protocol :次のいずれかのタイプの認証プロトコル

- RADIUS

- TACACS+

- NT

- RSA SecurID

- Kerberos

- LDAP

ip-addr :AAA サーバの IP アドレス

tag :サーバ グループ名

推奨処置 不要です。

113024

エラー メッセージ %ASA-5-113024: Group tg : Authenticating type connection from ip with username, user_name , from client certificate

説明 このメッセージは、ユーザ名の事前入力機能によって、AAA 用にクライアント証明書から抽出されたユーザ名で元のユーザ名が上書きされたことを示します。

tg :トンネル グループ

type :接続のタイプ(SSL クライアントまたはクライアントレス)

ip :接続しているユーザの IP アドレス

user_name :AAA 用にクライアント証明書から抽出された名前

推奨処置 不要です。

113025

エラー メッセージ %ASA-5-113025: Group tg : fields Could not authenticate connection type connection from ip

説明 このメッセージは、証明書からユーザ名を正常に抽出できなかったことを示します。

tg :トンネル グループ

fields :検索対象の DN フィールド

connection type :接続のタイプ(SSL クライアントまたはクライアントレス)

ip :接続しているユーザの IP アドレス

推奨処置 管理者は、 authentication aaa certificate ssl certificate-authentication 、および authorization-dn-attributes の各キーワードがすべて正しく設定されていることを確認する必要があります。

113026

エラー メッセージ %ASA-4-113026: Error error while executing Lua script for group tunnel group

説明 この syslog は、AAA 用にクライアント証明書からユーザ名を抽出中に、どのようなエラーが発生したかを示します。username-from-certificate use-script がイネーブルになっていない場合、このログは生成されません。

error :Lua 環境から返されたエラー文字列

tunnel group :証明書からユーザ名を抽出しようとしたトンネル グループ

推奨処置 username-from-certificate で使用されているスクリプトにエラーがないかどうかを調べます。

113027

エラー メッセージ %ASA-2-113027: Error activating tunnel-group scripts

説明 このメッセージは、スクリプト ファイルを正常にロードできなかったことを示しています。「username-from-certificate use-script」オプションを使用するトンネル グループが正しく動作していません。

推奨処置 管理者は、ASDM を使用して、スクリプト ファイルにエラーがないかどうかを確認する必要があります。 debug aaa コマンドを使用して詳細なエラー メッセージを取得すると役立ちます。

114001

エラー メッセージ %ASA-1-114001: Failed to initialize 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードを初期化できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. 適応型セキュリティ アプライアンスで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114002

エラー メッセージ %ASA-1-114002: Failed to initialize SFP in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードの SFP コネクタを初期化できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. 適応型セキュリティ アプライアンスで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114003

エラー メッセージ %ASA-1-114003: Failed to run cached commands in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードにキャッシュされたコマンドを実行できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. 適応型セキュリティ アプライアンスで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114004

エラー メッセージ %ASA-6-114004: 4GE SSM I/O Initialization start.

説明 このメッセージは、4GE SSM I/O 初期化が開始されたことをユーザに通知するために表示されます。

syslog_id :メッセージ識別子

推奨処置 不要です。

114005

エラー メッセージ %ASA-6-114005: 4GE SSM I/O Initialization end.

説明 このメッセージは、4GE SSM I/O 初期化が終了したことをユーザに通知するために表示されます。

syslog_id :メッセージ識別子

推奨処置 不要です。

114006

エラー メッセージ %ASA-3-114006: Failed to get port statistics in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのポート統計情報を取得できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. 適応型セキュリティ アプライアンスで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114007

エラー メッセージ %ASA-3-114007: Failed to get current msr in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードの現在のモジュール ステータス レジスタ情報を取得できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. 適応型セキュリティ アプライアンスで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114008

エラー メッセージ %ASA-3-114008: Failed to enable port after link is up in 4GE SSM I/O card due to either I2C serial bus access error or switch access error.

説明 このメッセージは、I2C シリアル バス アクセス エラーまたはスイッチ アクセス エラーのために、Up 状態へのリンク移行が 4GE SSM I/O カードで検出された後にシステムがポートをイネーブルにできなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. 適応型セキュリティ アプライアンスで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114009

エラー メッセージ %ASA-3-114009: Failed to set multicast address in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのマルチキャスト アドレスを設定できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. 適応型セキュリティ アプライアンスで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114010

エラー メッセージ %ASA-3-114010: Failed to set multicast hardware address in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのマルチキャスト ハードウェア アドレスを設定できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. 適応型セキュリティ アプライアンスで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114011

エラー メッセージ %ASA-3-114011: Failed to delete multicast address in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのマルチキャスト アドレスを削除できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. 適応型セキュリティ アプライアンスで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114012

エラー メッセージ %ASA-3-114012: Failed to delete multicast hardware address in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのマルチキャスト ハードウェア アドレスを削除できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. 適応型セキュリティ アプライアンスで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114013

エラー メッセージ %ASA-3-114013: Failed to set mac address table in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードの MAC アドレス テーブルを設定できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. 適応型セキュリティ アプライアンスで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114014

エラー メッセージ %ASA-3-114014: Failed to set mac address in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードの MAC アドレスを設定できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. 適応型セキュリティ アプライアンスで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114015

エラー メッセージ %ASA-3-114015: Failed to set mode in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードの個別モードまたは混在モードを設定できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. 適応型セキュリティ アプライアンスで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114016

エラー メッセージ %ASA-3-114016: Failed to set multicast mode in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのマルチキャスト モードを設定できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. 適応型セキュリティ アプライアンスで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114017

エラー メッセージ %ASA-3-114017: Failed to get link status in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C シリアル バス アクセス エラーまたはスイッチ アクセス エラーのためにシステムが 4GE SSM I/O カードのリンク ステータスを取得できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. システム管理者に通知します。

2. イベントに関連付けられているメッセージとエラーを記録して確認します。

3. 適応型セキュリティ アプライアンスで実行しているソフトウェアをリブートします。

4. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

5. 問題が解決しない場合、Cisco TAC にお問い合せください。

114018

エラー メッセージ %ASA-3-114018: Failed to set port speed in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのポート速度を設定できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. 適応型セキュリティ アプライアンスで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114019

エラー メッセージ %ASA-3-114019: Failed to set media type in 4GE SSM I/O card (error error_string ).

説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのメディア タイプを設定できなかった場合に表示されます。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. 適応型セキュリティ アプライアンスで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114020

エラー メッセージ %ASA-3-114020: Port link speed is unknown in 4GE SSM I/O card.

説明 このメッセージは、システムが 4GE SSM I/O カードのポート リンク速度を検出できなかった場合に表示されます。

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージを記録して確認します。

2. 4GE SSM I/O カードをリセットし、ソフトウェアがイベントから自動的に回復するかどうかを観察します。

3. ソフトウェアが自動的に回復しない場合は、デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

114021

エラー メッセージ %ASA-3-114021: Failed to set multicast address table in 4GE SSM I/O card due to error .

説明 このメッセージは、I2C シリアル バス アクセス エラーまたはスイッチ アクセス エラーのためにシステムが 4GE SSM I/O カードのマルチキャスト アドレス テーブルを設定できなかった場合に表示されます。

error :スイッチ アクセス エラー(10 進数のエラー コード)または I2C シリアル バス エラー。考えられる I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージを記録して確認します。

2. 適応型セキュリティ アプライアンスのリブートを試みます。

3. ソフトウェアが自動的に回復しない場合は、デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

115000

エラー メッセージ %ASA-2-115000: Critical assertion in process: process name fiber: fiber name , component: component name , subcomponent: subcomponent name , file: filename , line: line number , cond: condition

説明 このメッセージは、重要なアサーションが失敗したことを示します。このメッセージは、チェック ビルドでの開発時にだけ使用され、実稼動ビルドでは使用されません。

process name :プロセスの名前

fiber name :ファイバの名前

component name :指摘されたコンポーネントの名前

subcomponent name :指摘されたサブコンポーネントの名前

filename :指摘されたファイルの名前

line number :指摘された行の行番号

condition :指摘された状態

推奨処置 優先度の高い障害を記録として残し、アサーションの原因を調査し、問題を修正する必要があります。

115001

エラー メッセージ %ASA-3-115001: Error in process: process name fiber: fiber name , component: component name , subcomponent: subcomponent name , file: filename , line: line number , cond: condition

説明 このメッセージは、エラー アサーションが失敗したことを示します。このメッセージは、チェック ビルドでの開発時にだけ使用され、実稼動ビルドでは使用されません。

process name :プロセスの名前

fiber name :ファイバの名前

component name :指摘されたコンポーネントの名前

subcomponent name :指摘されたサブコンポーネントの名前

filename :指摘されたファイルの名前

line number :指摘された行の行番号

condition :指摘された状態

推奨処置 障害を記録として残し、アサーションの原因を調査し、問題を修正する必要があります。

115002

エラー メッセージ %ASA-4-115002: Warning in process: process name fiber: fiber name , component: component name , subcomponent: subcomponent name , file: filename , line: line number , cond: condition

説明 このメッセージは、警告アサーションが失敗したことを示します。このメッセージは、チェック ビルドでの開発時にだけ使用され、実稼動ビルドでは使用されません。

process name :プロセスの名前

fiber name :ファイバの名前

component name :指摘されたコンポーネントの名前

subcomponent name :指摘されたサブコンポーネントの名前

filename :指摘されたファイルの名前

line number :指摘された行の行番号

condition :指摘された状態

推奨処置 アサーションの原因を調査し、問題が見つかった場合は、障害を記録として残し、問題を修正する必要があります。

199001

エラー メッセージ %ASA-5-199001: Reload command executed from Telnet (remote IP_address ).

説明 このメッセージは、 reload コマンドで適応型セキュリティ アプライアンスのリブートを開始したホストのアドレスを記録します。

推奨処置 不要です。

199002

エラー メッセージ %ASA-6-199002: startup completed. Beginning operation.

説明 適応型セキュリティ アプライアンスが、その初期ブートおよびフラッシュ メモリ読み取りシーケンスを完了し、正常動作を開始する準備が整いました。


) このメッセージは、no logging message コマンドを使用してもブロックできません。


推奨処置 不要です。

199003

エラー メッセージ %ASA-6-199003: Reducing link MTU dec .

説明 適応型セキュリティ アプライアンスが、内部ネットワークよりも大きい MTU を使用している外部ネットワークからパケットを受信しました。その後適応型セキュリティ アプライアンスは、適切な MTU をネゴシエートするため、ICMP メッセージをその外部ホストに送信しました。ログ メッセージには、ICMP メッセージのシーケンス番号が含まれています。

推奨処置 不要です。

199005

エラー メッセージ %ASA-6-199005: Startup begin

説明 適応型セキュリティ アプライアンスが起動しました。

推奨処置 不要です。

199010

エラー メッセージ %ASA-1-199010: Signal 11 caught in process/fiber(rtcli async executor process)/(rtcli async executor) at address 0xf132e03b, corrective action at 0xca1961a0

説明 このメッセージは、システムが重大なエラーから回復した後、クラッシュ リカバリ メカニズムにより生成されます。

推奨処置 Cisco TAC にお問い合せください。

199011

エラー メッセージ %ASA-2-199011: Close on bad channel in process/fiber process/fiber , channel ID p , channel state s process/fiber name of the process/fiber that caused the bad channel close operation.

説明 予期しないチャネル クローズ状態が検出されました。

p :チャネル ID

process/fiber :不正なチャネル クローズ動作の原因となったプロセス/ファイバの名前

s :チャネル状態

推奨処置 Cisco TAC にお問い合せのうえ、ログ ファイルを添付してください。

199012

エラー メッセージ %ASA-1-1199012: Stack smash during new_stack_call in process/fiber process/fiber , call target f , stack size s , process/fiber name of the process/fiber that caused the stack smash

説明 スタック スマッシュ状態が検出されました。

f :new_stack_call のターゲット

process/fiber :スタック スマッシュの原因となったプロセス/ファイバの名前

s :new_stack_call で指定されている新しいスタック サイズ

推奨処置 Cisco TAC にお問い合せのうえ、ログ ファイルを添付してください。

メッセージ 201002 ~ 219002

この項では、201002 から 219002 までのメッセージについて説明します。

201002

エラー メッセージ %ASA-3-201002: Too many TCP connections on {static|xlate} global_address ! econns nconns

説明 これは接続関連のメッセージです。このメッセージは、指摘されたグローバル アドレスへの TCP 接続が最大数を超えた場合に表示されます。

econns:最大初期接続数

nconns:スタティックまたは xlate グローバル アドレスに許可される最大接続数

推奨処置 show static コマンドまたは show nat コマンドを使用して、スタティック アドレスへの接続に課されている制限を確認します。制限は設定可能です。

201003

エラー メッセージ %ASA-2-201003: Embryonic limit exceeded nconns/elimit for outside_address/outside_port ( global_address ) inside_address / inside_port on interface interface_name

説明 これは、適応型セキュリティ アプライアンスへのトラフィックに関する接続関連のメッセージです。このメッセージは、指摘されたスタティック グローバル アドレスを持つ、指摘された外部アドレスから指摘されたローカル アドレスへの初期接続の数が初期接続の制限を超えた場合に表示されます。適応型セキュリティ アプライアンスへの初期接続の制限に達すると、適応型セキュリティ アプライアンスは何としても受け入れようと試みますが、その接続に時間制限を課します。この状況により、たとえ適応型セキュリティ アプライアンスがビジー状態であっても、一部の接続が成功することがあります。

nconns:受信した最大初期接続数

elimit :static コマンドまたは nat コマンドで指定された最大初期接続数

推奨処置 このメッセージは、メッセージ 201002 よりもさらに深刻なオーバーロードを示します。このオーバーロードは、SYN 攻撃、または正規のトラフィックの非常に重い負荷が原因となっている可能性があります。show static コマンドを使用して、スタティック アドレスへの初期接続に課されている制限を確認します。

201004

エラー メッセージ %ASA-3-201004: Too many UDP connections on {static|xlate} global_address!udp connections limit

説明 これは接続関連のメッセージです。このメッセージは、指摘されたグローバル アドレスへの UDP 接続が最大数を超えた場合に表示されます。

udp conn limit:スタティック アドレスまたは変換に許可される UDP 接続の最大数

推奨処置 show static コマンドまたは show nat コマンドを使用して、スタティック アドレスへの接続に課されている制限を確認します。制限は設定可能です。

201005

エラー メッセージ %ASA-3-201005: FTP data connection failed for IP_address IP_address

説明 適応型セキュリティ アプライアンスが、メモリ不足のため FTP のデータ接続を追跡するための構造を割り当てることができませんでした。

推奨処置 メモリ使用量を減らすか、または増設メモリを購入します。

201006

エラー メッセージ %ASA-3-201006: RCMD backconnection failed for IP_address/port .

説明 これは接続関連のメッセージです。このメッセージは、メモリ不足のため適応型セキュリティ アプライアンスが rsh コマンドに対する着信標準出力のための接続を事前割り当てできなかった場合に表示されます。

推奨処置 rsh クライアント バージョンを確認します。適応型セキュリティ アプライアンスがサポートしているのは Berkeley rsh クライアント バージョンだけです。メモリ使用量を減らすか、または増設メモリを購入することもできます。

201008

エラー メッセージ %ASA-3-201008: The security appliance is disallowing new connections.

説明 このメッセージは、TCP システム ログ メッセージングをイネーブルにしても syslog サーバに到達できない場合、または適応型セキュリティ アプライアンス syslog サーバ(PFSS)を使用しており Windows NT システムのディスクが満杯になっている場合、または自動アップデート タイムアウトが設定されており Auto Update Server に到達できない場合に表示されます。

推奨処置 TCP syslog メッセージングをディセーブルにします。PFSS を使用している場合は、PFSS のある Windows NT システム上のスペースを解放します。さらに、syslog サーバが動作しており、適応型セキュリティ アプライアンス コンソールからそのホストに ping できることを確認します。次に、TCP システム メッセージ ロギングを再開してトラフィックを許可します。Auto Update Server に一定期間アクセスしなかった場合、 [no] auto-update timeout period コマンドを入力してパケットの送信が停止されるようにします。

201009

エラー メッセージ %ASA-3-201009: TCP connection limit of number for host IP_address on interface_name exceeded

説明 これは接続関連のメッセージです。このメッセージは、指摘されたスタティック アドレスへの接続が最大数を超えた場合に表示されます。

number:ホストに許可されている接続の最大数

IP_address :ホスト IP アドレス

interface_name :ホストの接続先インターフェイスの名前

推奨処置 show static コマンドおよび show nat コマンドを使用して、アドレスへの接続に課されている制限を確認します。制限は設定可能です。

201010

エラー メッセージ %ASA-3-201010: Embryonic connection limit exceeded econns/limit for dir packet from source_address/source_port to dest_address/dest_port on interface interface_name

説明 TCP 接続を確立しようとしたが、トラフィック クラスに対して set connection embryonic-conn-max MPC コマンドで設定されている初期接続の制限を超えたために失敗しました。

econns :設定したトラフィック クラスに関連付けられている初期接続の現在の数

limit :設定した初期接続のトラフィック クラスの制限

dir :input(接続を開始した最初のパケットはインターフェイス interface_name 上の入力パケットです)または output(接続を開始した最初のパケットはインターフェイス interface_name 上の出力パケットです)

source_address/source_port :接続を開始しているパケットの送信元 IP アドレスと送信元ポート

dest_address/dest_port :接続を開始しているパケットの宛先 IP アドレスと宛先ポート

interface_name :ポリシー制限が強制されているインターフェイスの名前

推奨処置 不要です。

201011

エラー メッセージ %ASA-3-201011: Connection limit exceeded cnt / limit for dir packet from sip / sport to dip / dport on interface if_name .

説明 ファイアウォール デバイス経由の新しい接続により、少なくとも 1 つの設定済み最大接続制限を超えました。このメッセージは、 static コマンドを使用して設定された接続制限にも、Cisco Modular Policy Framework を使用して設定された接続制限にも適用されます。既存の接続のいずれかが切断されて現在の接続数が設定済みの最大値を下回るまで、ファイアウォール デバイス経由の新しい接続は許可されません。

cnt :現在の接続数

limit :設定されている接続制限

dir :トラフィックの方向(着信または発信)

sip :送信元 IP アドレス

sport :送信元ポート

dip :宛先 IP アドレス

dport :宛先ポート

if_name :トラフィックを受信したインターフェイスの名前

推奨処置 不要です。

201012

エラー メッセージ %ASA-6-201012: Per-client embryonic connection limit exceeded curr num / limit for [input|output] packet from IP_address / port to ip / port on interface interface_name

説明 TCP 接続を確立しようとしましたが、クライアントごとの初期接続制限を超えたために失敗しました。デフォルトでは、このメッセージは 10 秒に 1 回しか表示されないように制限されています。

curr num :現在の数

limit :設定されている制限

[input|output]:インターフェイス interface_name 上の入力パケットまたは出力パケット

IP_address :IP アドレス

port :TCP ポートまたは UDP ポート

interface_name :ポリシーが適用されているインターフェイスの名前

推奨処置 制限に達すると、SYN フラッド アタックを防止するために、それ以降の接続要求はすべて適応型セキュリティ アプライアンスによってプロキシされます。クライアントが 3 ウェイ ハンドシェイクを終了できる場合に限り、適応型セキュリティ アプライアンスはサーバに接続します。これは、通常、エンド ユーザにもアプリケーションにも影響しません。ただし、正当に多数の初期接続を必要とするアプリケーションに問題が生じる場合は、 set connection per-client-embryonic-max コマンドを入力して設定を調整できます。

201013

エラー メッセージ %ASA-3-201013: Per-client connection limit exceeded curr num / limit for [input|output] packet from ip / port to ip / port on interface interface_name

説明 クライアントごとの接続制限を超えたため、接続が拒否されました。

curr num :現在の数

limit :設定されている制限

[input|output]:インターフェイス interface_name 上の入力パケットまたは出力パケット

ip :IP アドレス

port :TCP ポートまたは UDP ポート

interface_name :ポリシーが適用されているインターフェイスの名前

推奨処置 制限に達すると、それ以降の接続要求はすべて警告なしで廃棄されます。通常は、アプリケーションで接続が再試行されるため、遅延が発生します。再試行がすべて失敗した場合にはタイムアウトも発生します。アプリケーションが正当に多数の同時接続を必要とする場合は、 set connection per-client-max コマンドを入力して設定を調整できます。

202001

エラー メッセージ %ASA-3-202001: Out of address translation slots!

説明 これは接続関連のメッセージです。このメッセージは、適応型セキュリティ アプライアンスに使用可能なアドレス変換スロットがなくなった場合に表示されます。

推奨処置 グローバル プールのサイズを確認し、内部のネットワーク クライアント数と比較します。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または可能であれば増設メモリを購入します。

202005

エラー メッセージ %ASA-3-202005: Non-embryonic in embryonic list outside_address/outside_port inside_address/inside_port

説明 これは接続関連のメッセージです。このメッセージは、接続オブジェクト(xlate)が誤ったリストに入っている場合に表示されます。

推奨処置 Cisco TAC にお問い合せください。

202011

エラー メッセージ %ASA-3-202011: Connection limit exceeded econns/limit for dir packet from source_address/source_port to dest_address/dest_port on interface interface_name

説明 このメッセージは、TCP 接続または UDP 接続を作成しようとしたが、トラフィック クラスに対して set connection conn-max MPC コマンドで設定されている接続の制限を超えたために失敗した場合に表示されます。

econns :設定したトラフィック クラスに関連付けられている初期接続の現在の数

limit :設定した初期接続のトラフィック クラスの制限

dir :input(接続を開始した最初のパケットはインターフェイス interface_name 上の入力パケットです) または output(接続を開始した最初のパケットはインターフェイス interface_name 上の出力パケットです)

source_address / source_port :接続を開始しているパケットの送信元 IP アドレスと送信元ポート

dest_address / dest_port :接続を開始しているパケットの宛先 IP アドレスと宛先ポート

interface_name :ポリシー制限が強制されているインターフェイスの名前

推奨処置 不要です。

208005

エラー メッセージ %ASA-3-208005: (function:line_num) clear command return code

説明 適応型セキュリティ アプライアンスが、フラッシュ メモリ内のコンフィギュレーションを消去しようとしたときに非ゼロ値(内部エラー)を受信しました。このメッセージには、報告サブルーチンのファイル名および行番号が含まれています。

推奨処置 パフォーマンス上の理由から、エンド ホストは IP フラグメントを投入しないように設定する必要があります。このコンフィギュレーションの変更は、NFS が原因と考えられます。読み取りサイズおよび書き込みサイズを NFS のインターフェイス MTU と等しく設定します。

209003

エラー メッセージ %ASA-4-209003: Fragment database limit of number exceeded: src = source_address , dest = dest_address , proto = protocol , id = number

説明 現在リアセンブリを待っている IP フラグメントが多すぎます。デフォルトでは、フラグメントの最大数は 200 です(最大値を大きくするには、『 Cisco ASA 5500 Series Command Reference 』の fragment size コマンドを参照してください)。適応型セキュリティ アプライアンスは、同時にリアセンブリできる IP フラグメントの数を制限します。この制約により、異常なネットワーク条件下で適応型セキュリティ アプライアンスのメモリが枯渇するのが防止されます。一般に、フラグメント化されたトラフィックは、混合トラフィック全体のわずかな割合に抑える必要があります。例外は、ほとんどがフラグメント化されたトラフィックである NFS over UDP のネットワーク環境の場合です。このタイプのトラフィックが適応型セキュリティ アプライアンス経由で中継される場合、その代わりに NFS over TCP の使用を検討します。フラグメント化を防ぐには、『 Cisco ASA 5500 Series Command Reference 』の sysopt connection tcpmss bytes コマンドを参照してください。

推奨処置 このメッセージが引き続き表示される場合は、DoS 攻撃(サービス拒絶攻撃)が進行している可能性があります。リモート ピアの管理者またはアップストリームのプロバイダーにお問い合せください。

209004

エラー メッセージ %ASA-4-209004: Invalid IP fragment, size = bytes exceeds maximum size = bytes : src = source_address , dest = dest_address , proto = protocol , id = number

説明 IP フラグメントの形式が誤っています。リアセンブリ済み IP パケットの合計サイズが、最大可能サイズの 65,535 バイトを超えています。

推奨処置 侵入イベントが進行している可能性があります。このメッセージが引き続き表示される場合は、リモート ピアの管理者またはアップストリームのプロバイダーにお問い合せください。

209005

エラー メッセージ %ASA-4-209005: Discard IP fragment set with more than number elements: src = Too many elements are in a fragment set.

説明 適応型セキュリティ アプライアンスは、24 よりも多くのフラグメントにフラグメント化されている IP パケットを拒否します。詳細については、『 Cisco ASA 5500 Series Command Reference 』の fragment コマンドを参照してください。

推奨処置 侵入イベントが進行している可能性があります。このメッセージが引き続き表示される場合は、リモート ピアの管理者またはアップストリームのプロバイダーにお問い合せください。 fragment chain xxx interface_name コマンドを使用して、パケットあたりのフラグメントの数を変更できます。

210001

エラー メッセージ %ASA-3-210001: LU sw_module_name error = number

説明 ステートフル フェールオーバー エラーが発生しました。

推奨処置 適応型セキュリティ アプライアンス経由のトラフィックが減少した後もこのエラーが引き続き表示される場合は、Cisco TAC にこのエラーを報告してください。

210002

エラー メッセージ %ASA-3-210002: LU allocate block ( bytes ) failed.

説明 ステートフル フェールオーバーが、ステートフル情報をスタンバイ適応型セキュリティ アプライアンスに送信するためのメモリのブロックを割り当てることができませんでした。

推奨処置 show interface コマンドを使用してフェールオーバー インターフェイスを調べて、その送信が正常であることを確認します。さらに、 show block コマンドを使用して、現在のブロック メモリを調べます。現在使用可能なカウントが 0 になっているメモリのブロックがあれば、適応型セキュリティ アプライアンス ソフトウェアをリロードして失われたメモリのブロックを回復します。

210003

エラー メッセージ %ASA-3-210003: Unknown LU Object number

説明 ステートフル フェールオーバーが、サポートされていない Logical Update オブジェクトを受信したため、そのオブジェクトを処理できませんでした。これは、破損したメモリ、LAN 伝送、または他のイベントが原因となっている可能性があります。

推奨処置 このエラーがまれにしか表示されない場合は、処置は不要です。このエラーが頻繁に発生する場合は、ステートフル フェールオーバー リンク LAN 接続を確認します。エラーが不適切なフェールオーバー リンク LAN 接続のためでない場合は、外部ユーザが保護されているネットワークを危険にさらそうとしていないかどうかを判別します。また、誤って設定したクライアントがないかどうかも確認します。

210005

エラー メッセージ %ASA-3-210005: LU allocate connection failed

説明 ステートフル フェールオーバーが、スタンバイ装置に新しい接続を割り当てられません。これは、適応型セキュリティ アプライアンス内の利用可能な RAM メモリがほとんどないか、またはまったくないことが原因となっている可能性があります。

推奨処置 show memory コマンドを使用して適応型セキュリティ アプライアンス システムの空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリを適応型セキュリティ アプライアンスに追加します。

210006

エラー メッセージ %ASA-3-210006: LU look NAT for IP_address failed

説明 ステートフル フェールオーバーが、スタンバイ装置上で IP アドレス用の NAT グループを検出できませんでした。アクティブおよびスタンバイの適応型セキュリティ アプライアンス装置が相互に同期していない可能性があります。

推奨処置 アクティブ装置で write standby コマンドを使用して、システム メモリをスタンバイ装置に同期させます。

210007

エラー メッセージ %ASA-3-210007: LU allocate xlate failed

説明 ステートフル フェールオーバーが、変換(xlate)スロット レコードを割り当てることができませんでした。

推奨処置 show memory コマンドを使用して適応型セキュリティ アプライアンス システムの空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリを追加します。

210008

エラー メッセージ %ASA-3-210008: LU no xlate for inside_address / inside_port outside_address / outside_port

説明 適応型セキュリティ アプライアンスでステートフル フェールオーバー接続の変換スロット(xlate)レコードを検出できませんでした。そのため、適応型セキュリティ アプライアンスで接続情報を処理できませんでした。

推奨処置 アクティブ装置で write standby コマンドを入力して、システム メモリをアクティブ装置とスタンバイ装置との間で同期させます。

210010

エラー メッセージ %ASA-3-210010: LU make UDP connection for outside_address : outside_port inside_address : inside_port failed

説明 ステートフル フェールオーバーが、UDP 接続に新しいレコードを割り当てることができませんでした。

推奨処置 show memory コマンドを使用して適応型セキュリティ アプライアンス システムの空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリを追加します。

210011

エラー メッセージ %ASA-3-210011: Connection limit exceeded cnt / limit for dir packet from sip / sport to dip / dport on interface if_name .

説明 この syslog メッセージは、適応型セキュリティ アプライアンス経由の新しい接続の確立により、少なくとも 1 つの設定済み最大接続制限を超えることを示しています。この syslog メッセージは、 static コマンドを使用して設定された接続制限にも、Cisco Modular Policy Framework を使用して設定された接続制限にも適用されます。既存の接続のいずれかが切断されて現在の接続数が設定済みの最大値を下回るまで、適応型セキュリティ アプライアンス経由の新しい接続は許可されません。

cnt :現在の接続数

limit :設定されている接続制限

dir :トラフィックの方向(着信または発信)

sip :送信元 IP アドレス

sport :送信元ポート

dip :宛先 IP アドレス

dport :宛先ポート

if_name :トラフィック ユニットを受信したインターフェイスの名前(「Primary」または「Secondary」)

推奨処置 接続制限は正当な理由で設定されているため、この syslog メッセージは DOS 攻撃の可能性を示すことがあります。その場合、トラフィックの送信元はスプーフィングされた IP アドレスである可能性があります。送信元 IP アドレスが必ずしもランダムではない場合は、送信元を特定し、それをアクセス リストでブロックすると攻撃を防止できます。その他の場合は、スニファ トレースを取得してトラフィックの送信元を分析すると、不要なトラフィックを正当なトラフィックから切り離すために役立ちます。

210020

エラー メッセージ %ASA-3-210020: LU PAT port port reserve failed

説明 ステートフル フェールオーバーが、使用中の特定の PAT アドレスを割り当てることができません。

推奨処置 アクティブ装置で write standby コマンドを入力して、システム メモリをアクティブ装置とスタンバイ装置との間で同期させます。

210021

エラー メッセージ %ASA-3-210021: LU create static xlate global_address ifc interface_name failed

説明 ステートフル フェールオーバーが変換スロット(xlate)を作成できません。

推奨処置 アクティブ装置で write standby コマンドを入力して、システム メモリをアクティブ装置とスタンバイ装置との間で同期させます。

210022

エラー メッセージ %ASA-6-210022: LU missed number updates

説明 ステートフル フェールオーバーが、スタンバイ装置に送信された各レコードにシーケンス番号を割り当てます。受信したレコードのシーケンス番号が最後にアップデートされたレコードと一致していない場合、その間の情報が失われたものと見なされ、その結果、このエラー メッセージが送信されます。

推奨処置 LAN の中断がない場合は、両方の適応型セキュリティ アプライアンス装置の利用可能なメモリをチェックして、ステートフル情報を処理するのに十分なメモリがあることを確認します。 show failover コマンドを使用して、ステートフル情報のアップデートの品質を監視します。

211001

エラー メッセージ %ASA-3-211001: Memory allocation Error

説明 このメッセージは、適応型セキュリティ アプライアンスが RAM システム メモリの割り当てに失敗した場合に表示されます。

推奨処置 このメッセージが一定期間ごとに発生する場合は、無視してかまいません。頻繁に繰り返される場合は、Cisco TAC にお問い合せください。

211003

エラー メッセージ このメッセージは、CPU 使用率が%ASA-3-211003: CPU utilization for number seconds = percent

説明 number 秒間 100 パーセントを超えた場合に表示されます。

推奨処置 このメッセージが一定期間ごとに発生する場合は、無視してかまいません。頻繁に繰り返される場合は、Cisco TAC にお問い合せください。

212001

エラー メッセージ %ASA-3-212001: Unable to open SNMP channel (UDP port port ) on interface interface_number , error code = code

説明 これは SNMP メッセージです。このメッセージは、適応型セキュリティ アプライアンスがこのインターフェイス上にある SNMP 管理ステーションから適応型セキュリティ アプライアンス宛ての SNMP 要求を受信できないことを報告します。これは、適応型セキュリティ アプライアンスを介してインターフェイスを通過する SNMP トラフィックに影響しません。エラー コードは次のとおりです。

エラー コード -1 は、適応型セキュリティ アプライアンスがそのインターフェイスに対して SNMP トランスポートを開けなかったことを示します。このエラーは、SNMP がクエリーを受け入れるポートを別の機能ですでに使われているポートに変更しようとした場合に発生する可能性があります。この場合、SNMP が使用するポートは、着信 SNMP クエリー用のデフォルト ポート(UDP 161)にリセットされます。

エラー コード -2 は、適応型セキュリティ アプライアンスがそのインターフェイスに対して SNMP トランスポートをバインドできなかったことを示します。

推奨処置 トラフィック量が少ないときに、適応型セキュリティ アプライアンスがリソースの一部を再要求してから、対象となるインターフェイスに対して snmp-server host コマンドを再入力します。

212002

エラー メッセージ %ASA-3-212002: Unable to open SNMP trap channel (UDP port port ) on interface interface_number , error code = code

説明 これは SNMP メッセージです。このメッセージは、適応型セキュリティ アプライアンスが適応型セキュリティ アプライアンスからこのインターフェイス上にある SNMP 管理ステーションに自分の SNMP トラップを送信できないことを示します。これは、適応型セキュリティ アプライアンスを介してインターフェイスを通過する SNMP トラフィックに影響しません。エラー コードは次のとおりです。

エラー コード -1 は、適応型セキュリティ アプライアンスがそのインターフェイスに対して SNMP トラップ トランスポートを開けなかったことを示します。

エラー コード -2 は、適応型セキュリティ アプライアンスがそのインターフェイスに対して SNMP トラップ トランスポートをバインドできなかったことを示します。

エラー コード -3 は、適応型セキュリティ アプライアンスがトラップ チャネルを書き込み専用として設定できなかったことを示します。

推奨処置 トラフィック量が少ないときに、適応型セキュリティ アプライアンスがリソースの一部を再要求してから、対象となるインターフェイスに対して snmp-server host コマンドを再入力します。

212003

エラー メッセージ %ASA-3-212003: Unable to receive an SNMP request on interface interface_number , error code = code , will try again.

説明 これは SNMP メッセージです。このメッセージは、指摘されたインターフェイス上の適応型セキュリティ アプライアンス宛ての SNMP 要求を受信する際の内部エラーが原因で表示されます。エラー コードは次のとおりです。

エラー コード -1 は、適応型セキュリティ アプライアンスがインターフェイスに対してサポートされているトランスポート タイプを検出できなかったことを示します。

エラー コード -5 は、適応型セキュリティ アプライアンスがインターフェイスの UDP チャネルからデータを受信しなかったことを示します。

エラー コード -7 は、適応型セキュリティ アプライアンスがサポートされているバッファ サイズを超える着信要求を受信したことを示します。

エラー コード -14 は、適応型セキュリティ アプライアンスが UDP チャネルからの送信元 IP アドレスを判別できなかったことを示します。

エラー コード -22 は、適応型セキュリティ アプライアンスが無効なパラメータを受信したことを示します。

推奨処置 不要です。適応型セキュリティ アプライアンス SNMP エージェントは元に戻って次の SNMP 要求を待ちます。

212004

エラー メッセージ %ASA-3-212004: Unable to send an SNMP response to IP Address IP_address Port port interface interface_number , error code = code

説明 これは SNMP メッセージです。このメッセージは、指摘されたインターフェイス上の指摘されたホストに適応型セキュリティ アプライアンスから SNMP 応答を送信する際の内部エラーが原因で表示されます。エラー コードは次のとおりです。

エラー コード -1 は、適応型セキュリティ アプライアンスがインターフェイスに対してサポートされているトランスポート タイプを検出できなかったことを示します。

エラー コード -2 は、適応型セキュリティ アプライアンスが無効なパラメータを送信したことを示します。

エラー コード -3 は、適応型セキュリティ アプライアンスが UDP チャネルに宛先 IP アドレスを設定できなかったことを示します。

エラー コード -4 は、適応型セキュリティ アプライアンスがサポートされている UDP セグメント サイズを超える PDU 長を送信したことを示します。

エラー コード -5 は、適応型セキュリティ アプライアンスが PDU 構築用のシステム ブロックを割り当てることができなかったことを示します。

推奨処置 不要です。

212005

エラー メッセージ %ASA-3-212005: incoming SNMP request ( number bytes) on interface interface_name exceeds data buffer size, discarding this SNMP request.

説明 これは SNMP メッセージです。このメッセージは、着信 SNMP 要求、つまり適応型セキュリティ アプライアンス宛ての要求の長さが、内部処理中に要求を格納するために使用される内部データ バッファのサイズ(512 バイト)を超えていることを報告します。適応型セキュリティ アプライアンスはこの要求を処理できません。この状況は、インターフェイスを使用して適応型セキュリティ アプライアンスを通過する SNMP トラフィックに影響しません。

推奨処置 SNMP 管理ステーションに長さの短い要求を再送信させます。たとえば、1 つの要求で複数の MIB 変数にクエリーを実行するのではなく、1 つの要求で 1 つの MIB 変数だけにクエリーを実行するようにします。SNMP マネージャ ソフトウェアのコンフィギュレーションの修正が必要になる可能性もあります。

212006

エラー メッセージ %ASA-3-212006: Dropping SNMP request from src_addr / src_port to ifc : dst_addr / dst_port because: reason username

説明 この SNMP メッセージは、適応型セキュリティ アプライアンスが次の理由により自分宛ての SNMP 要求を処理できない場合に表示されます。

user not found:ユーザ名がローカル SNMP ユーザ データベース内に見つかりません。

username exceeds maximum length:PDU に埋め込まれているユーザ名が SNMP RFC で許可されている最大長を超えています。

authentication algorithm failure:無効なパスワードにより認証が失敗したか、またはパケットが不適切なアルゴリズムで認証されました。

privacy algorithm failure:無効なパスワードによりプライバシー障害が発生したか、またはパケットが不適切なアルゴリズムで暗号化されました。

error decrypting request:ユーザ要求を復号化するプラットフォーム暗号モジュールでエラーが発生しました。

error encrypting response:ユーザ応答またはトラップ通知を暗号化するプラットフォーム暗号モジュールでエラーが発生しました。

engineBoots has reached maximum value:engineBoots 変数が最大許容値に達しました。詳細については、syslog メッセージ 212011 を参照してください。


) 上記の各理由の後にユーザ名が表示されます。


推奨処置 適応型セキュリティ アプライアンス SNMP サーバ設定をチェックし、NMS コンフィギュレーションで想定どおりのユーザ、認証、および暗号化設定が使用されていることを確認します。プラットフォーム暗号モジュールのエラーを分離するには、 show crypto accelerator statistics コマンドを入力します。

212009

エラー メッセージ %ASA-5-212009: Configuration request for SNMP group groupname failed. User username , reason .

説明 ユーザが SNMP サーバのグループ コンフィギュレーションを変更しようとしました。グループを参照する 1 人または複数のユーザの設定が不十分であるため、要求されたグループの変更に応じることができません。

groupname :グループ名を表す文字列

username :ユーザ名を表す文字列

reason :次のいずれかの原因を表す文字列

- missing auth-password :ユーザがグループに認証を追加しようとしましたが、その際、認証パスワードを指定しませんでした。

- missing priv-password :ユーザがグループにプライバシーを追加しようとしましたが、その際、暗号化パスワードを指定しませんでした。

- reference group intended for removal :ユーザが、所属ユーザが存在するグループを削除しようとしました。

推奨処置 ユーザは、グループを変更したり、指摘されたユーザを削除したりする前に、指摘されたユーザのコンフィギュレーションをアップデートする必要があります。その後で、グループを変更し、ユーザを追加し直します。

212010

エラー メッセージ %ASA-3-212010: Configuration request for SNMP user % s failed. Host % s reason .

説明 ユーザが SNMP サーバのユーザ コンフィギュレーションを変更しようとしました。つまり、対象のユーザを参照する 1 つまたは複数のホストを削除しようとしました。ホストごとに 1 つのメッセージが生成されます。

%s :ユーザ名またはホスト名を表す文字列

reason :次の原因を表す文字列

- references user intended for removal :ユーザ名がホストから削除されようとしました。

推奨処置 ユーザは、ユーザを変更したり、指摘されたホストを削除したりする前に、指摘されたホストのコンフィギュレーションをアップデートする必要があります。その後で、ユーザを変更し、ホストを追加し直します。

212011

エラー メッセージ %ASA-3-212011: SNMP engineBoots is set to maximum value. Reason : %s User intervention necessary.

次に例を示します。

%ASA-3-212011: SNMP engineBoots is set to maximum value. Reason: error accessing persistent data. User intervention necessary.
 

説明 デバイスが 214783647 回(engineBoots 変数の最大許容値)リブートされたか、またはフラッシュ メモリから固定値を読み取り中にエラーが発生しました。engineBoots 値は、フラッシュ メモリ内の flash:/snmp/ ctx-name ファイルに格納されます。ここで、 ctx-name はコンテキストの名前です。シングルモードの場合、このファイルの名前は flash:/snmp/single_vf です。マルチモードの場合、管理コンテキスト用のファイルの名前は flash:/snmp/admin です。リブート時にデバイスでファイルの読み書きができない場合、engineBoots 値は最大値に設定されます。

%s :engineBoots 値が最大許容値に設定されている原因を表す文字列。有効な文字列は「device reboots」および「error accessing persistent data」の 2 つです。

推奨処置 1 つ目の文字列の場合、管理者は、すべての SNMP バージョン 3 ユーザを削除してから追加し直すことで、engineBoots 変数を 1 にリセットする必要があります。それ以降のすべてのバージョン 3 クエリーは、すべてのユーザが削除されるまで失敗します。2 つ目の文字列の場合、管理者は、コンテキスト固有のファイルを削除し、すべての SNMP バージョン ユーザを削除してから追加し直すことで、engineBoots 変数を 1 にリセットする必要があります。それ以降のすべてのバージョン 3 クエリーは、すべてのユーザが削除されるまで失敗します。

212012

エラー メッセージ %ASA-3-212012: Unable to write SNMP engine data to persistent storage.

説明 SNMP エンジン データは flash:/snmp/ context-name ファイルに書き込まれます。たとえば、シングルモードでは、データは flash:/snmp/single_vf ファイルに書き込まれます。マルチモードの管理コンテキストでは、ファイルは flash:/snmp/admin ディレクトリに書き込まれます。flash:/snmp ディレクトリの作成または flash:/snmp/ context-name ファイルの作成に失敗すると、エラーが発生する可能性があります。また、ファイルへの書き込みに失敗した場合も、エラーが発生する可能性があります。

推奨処置 システム管理者は、flash:/snmp/ context-name ファイルを削除し、すべての SNMP バージョン 3 ユーザを削除してから追加し直す必要があります。この手順により、flash:/snmp/ context-name ファイルが再作成されるはずです。問題が解決しない場合、システム管理者はフラッシュの再フォーマットを試みる必要があります。

213001

エラー メッセージ %ASA-3-213001: PPTP control daemon socket io string , errno = number .

説明 内部 TCP ソケット I/O エラーが発生しました。

推奨処置 Cisco TAC にお問い合せください。

213002

エラー メッセージ %ASA-3-213002: PPTP tunnel hashtable insert failed, peer = IP_address .

説明 新しい PPTP トンネルの作成中に、内部ソフトウェア エラーが発生しました。

推奨処置 Cisco TAC にお問い合せください。

213003

エラー メッセージ %ASA-3-213003: PPP virtual interface interface_number isn't opened.

説明 PPP 仮想インターフェイスのクローズ中に、内部ソフトウェア エラーが発生しました。

推奨処置 Cisco TAC にお問い合せください。

213004

エラー メッセージ %ASA-3-213004: PPP virtual interface interface_number client ip allocation failed.

説明 IP アドレスを PPTP クライアントに割り当てている間に、IP ローカル アドレス プールの枯渇により内部ソフトウェア エラーが発生しました。

推奨処置 ip local pool コマンドを使用して、さらに大きいプールを割り当てることを検討します。

213005

エラー メッセージ %ASA-3-213005%: Dynamic-Access-Policy action (DAP) action aborted

説明 動的アクセス ポリシーは、ユーザの認可権限およびリモート エンドポイント デバイスのポスチャ アセスメント結果に基づいて設定済みアクセス ポリシーを選択することにより、動的に作成されます。作成された動的ポリシーは、セッションを終了する必要があることを示しています。

推奨処置 不要です。

213006

エラー メッセージ %ASA-3-213006%: Unable to read dynamic access policy record.

説明 DAP ポリシー レコード データの取得でエラーが発生したか、またはアクションのコンフィギュレーションが欠落していました。

推奨処置 コンフィギュレーションの変更によって、動的アクセス ポリシー レコードが削除された可能性があります。ASDM を使用して、動的アクセス ポリシー レコードを再作成します。

214001

エラー メッセージ %ASA-2-214001: Terminating manager session from IP_address on interface interface_name . Reason: incoming encrypted data ( number bytes) longer than number bytes

説明 適応型セキュリティ アプライアンス管理ポート宛ての着信暗号化データ パケットは、パケット長が指摘された上限を超えていることを示します。これは敵対イベントの場合があります。適応型セキュリティ アプライアンスは、ただちにこの管理接続を終了します。

推奨処置 管理接続が Cisco Secure Policy Manager によって開始されたことを確認します。

215001

エラー メッセージ %ASA-2-215001:Bad route_compress() call, sdb = number

説明 内部ソフトウェア エラーが発生しました。

推奨処置 Cisco TAC にお問い合せください。

217001

エラー メッセージ %ASA-2-217001: No memory for string in string

説明 メモリ不足が原因で動作が失敗しました。

推奨処置 十分なメモリが存在する場合は、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。

216001

エラー メッセージ %ASA- n -216001: internal error in: function : message

説明 このメッセージは、正常動作中に発生してはならないさまざまな内部エラーを報告します。重大度は、メッセージの原因によって異なります。

n :メッセージの重大度

function :影響を受けたコンポーネント

message :問題の原因を説明するメッセージ

推奨処置 Bug Toolkit で特定のテキスト メッセージを検索します。また、アウトプット インタープリタを使用して問題の解決を試みます。問題が解決しない場合、Cisco TAC にお問い合せください。

216002

エラー メッセージ ASA-3-216002: Unexpected event (major: major_id , minor: minor_id ) received by task_string in function at line: line_num

説明 このメッセージは、タスクがイベント通知に登録したが、そのタスクが特定のイベントを処理できない場合に表示されます。監視できるイベントには、キュー、ブーリアン、タイマー サービスなどに関連付けられているイベントが含まれます。登録されているイベントのいずれかが発生した場合、スケジューラはタスクを再起動してイベントを処理します。このメッセージは、予期しないイベントがタスクを再起動したので、タスクがそのイベントの処理方法を認識していない場合に生成されます。

イベントが未処理のままになっている場合、そのイベントが頻繁にタスクを再起動して処理されていることを確認しますが、これは正常状態では発生してはならないことです。このメッセージが表示された場合、必ずしもデバイスが使用できないという意味ではなく、問題が発生し、調査する必要があることを意味しています。

major_id :イベント識別子

minor_id :イベント識別子

task_string :タスクが自分自身を認識するために通過させたカスタム文字列

function :予期しないイベントを受信した機能

line_num :コード中の行番号

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

216003

エラー メッセージ %ASA-3-216003: Unrecognized timer timer_ptr , timer_id received by task_string in function at line: line_num

説明 このメッセージは、予期しないタイマー イベントがタスクを再起動し、タスクがそのイベントの処理方法を認識していない場合に表示されます。タスクは、一連のタイマー サービスをスケジューラに登録できます。タイマーのいずれかが期限満了になった場合、スケジューラはタスクを再起動してアクションを実行します。このメッセージは、認識できないタイマー イベントによってタスクが再起動された場合に生成されます。

期限満了になったタイマーは、タスクが未処理のままになっている場合、途切れることなくタスクを再起動して処理されていることを確認しますが、これは望ましいことではありません。これは正常状態では発生してはならないことです。このメッセージが表示された場合、必ずしもデバイスが使用できないという意味ではなく、問題が発生し、調査する必要があることを意味しています。

timer_ptr :タイマーへのポインタ

timer_id :タイマー識別子

task_string :タスクが自分自身を認識するために通過させたカスタム文字列

function :予期しないイベントを受信した機能

line_num :コード中の行番号

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

216004

エラー メッセージ %ASA-4-216004:prevented: error in function at file ( line ) - stack trace

説明 この syslog メッセージは、内部ロジック エラーを報告します。このエラーは、正常動作中に発生してはならないものです。

error :内部ロジック エラー。考えられるエラーは、次のとおりです。

- 例外

- ヌル ポインタの逆参照

- 範囲外の配列インデックス

- 無効なバッファ サイズ

- 入力からの書き込み

- 送信元と宛先の重複

- 無効な日付

- 配列インデックスからのアクセス オフセット

function :エラーを生成した呼び出し機能。

file(line) :エラーを生成したファイルと行番号。

stack trace :完全なコール スタック トレースバック。呼び出し機能から開始します。たとえば、("0x001010a4 0x00304e58 0x00670060 0x00130b04") です。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

216005

エラー メッセージ %ASA-1-216005: ERROR: Duplex-mismatch on interface_name resulted in transmitter lockup. A soft reset of the switch was performed.

説明 ポート上のデュプレックスのミスマッチが原因で問題が発生し、ポートでパケットを転送できなくなりました。この状況が検出されたため、スイッチがこの状況から自動回復するようにリセットされました。このメッセージは ASA 5505 デバイスにだけ適用されます。

interface_name :ロックされたインターフェイス名

推奨処置 指摘されたポートとそれに接続されているデバイスとの間にデュプレックスのミスマッチが存在します。両方のデバイスを「auto」に設定するか、または両端のデュプレックスが同じになるようにハードコードすることで、デュプレックスのミスマッチを修正します。

218001

エラー メッセージ %ASA-2-218001: Failed Identification Test in slot# [ fail #/ res ].

説明 適応型セキュリティ アプライアンスの slot# のモジュールが、シスコ純正製品として識別できませんでした。シスコの保証およびサポート プログラムは、シスコ純正製品だけに適用されます。シスコは、サポート問題の原因がシスコ製以外のメモリ、SSM モジュール、SSC モジュールなどのモジュールに関連していると判断した場合、現在の保証またはシスコ サポート プログラム(SmartNet など)の下でのサポートを拒否することがあります。

推奨処置 このメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されるメッセージをそのままコピーします。アウトプット インタープリタを使用して、エラーを調査し、解決を試みます。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合せください。

218002

エラー メッセージ %ASA-2-218002: Module ( slot# ) is a registered proto-type for Cisco Lab use only, and not certified for live network operation.

説明 指摘された場所のハードウェアが、シスコのラボで製造されたプロトタイプ モジュールです。

推奨処置 このメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されるメッセージをそのままコピーします。アウトプット インタープリタを使用して、エラーを調査し、解決を試みます。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合せください。

218003

エラー メッセージ %ASA-2-218003: Module Version in slot# is obsolete. The module in slot = slot# is obsolete and must be returned via RMA to Cisco Manufacturing. If it is a lab unit, it must be returned to Proto Services for upgrade.

説明 この syslog メッセージは、古いハードウェアが検出された場合、またはそのモジュールに対して show module コマンドが入力された場合に生成されます。この syslog メッセージは、生成が開始されると、その後は毎分生成されます。

推奨処置 このメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されるメッセージをそのままコピーします。アウトプット インタープリタを使用して、エラーを調査し、解決を試みます。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合せください。

218004

エラー メッセージ %ASA-2-218004: Failed Identification Test in slot# [ fail# / res ]

説明 指摘された場所でハードウェアを識別しているときに問題が発生しました。

推奨処置 このメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されるメッセージをそのままコピーします。アウトプット インタープリタを使用して、エラーを調査し、解決を試みます。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合せください。

219002

エラー メッセージ %ASA-3-219002: I2C_API_name error, slot = slot_number , device = device_number , address = address , byte count = count . Reason: reason_string

説明 ハードウェアまたはソフトウェアの問題が原因で I2C シリアル バス API が失敗しました。

I2C_API_name :失敗した I2C API。次のいずれかです。

I2C_read_byte_w_wait()

I2C_read_word_w_wait()

I2C_read_block_w_wait()

I2C_write_byte_w_wait()

I2C_write_word_w_wait()

I2C_write_block_w_wait()

I2C_read_byte_w_suspend()

I2C_read_word_w_suspend()

I2C_read_block_w_suspend()

I2C_write_byte_w_suspend()

I2C_write_word_w_suspend()

I2C_write_block_w_suspend()

slot_number :この syslog メッセージを生成した I/O 動作が行われたスロットの番号(16 進数)。スロット番号は、シャーシ内のスロットとして一意でないことがあります。シャーシによっては、2 つの異なるスロットが同じ I2C スロット番号を持つことがあります。また、値は必ずしもスロット数以下ではありません。値は、I2C ハードウェアがどのように配線されているかによって異なります。

device_number :I/O 動作が行われたスロット上のデバイスの番号(16 進数)。

address :I/O 動作が行われたデバイスのアドレス(16 進数)。

byte_count :I/O 動作のバイト数(10 進数)。

error_string :エラーの原因。次のいずれかです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。この syslog メッセージが継続的に表示されず、数分後に表示されなくなる場合は、I2C シリアル バスのビジー状態が原因である可能性があります。

2. 適応型セキュリティ アプライアンスで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合せください。

メッセージ 302003 ~ 338310

この項では、302003 から 338310 までのメッセージについて説明します。

302003

エラー メッセージ %ASA-6-302003: Built H245 connection for foreign_address outside_address / outside_port local_address inside_address / inside_port

説明 これは接続関連のメッセージです。このメッセージは、H.245 接続が outside_address から inside_address に向けて開始されている場合に表示されます。このメッセージが発生するのは、適応型セキュリティ アプライアンスが Intel インターネット電話の使用を検出した場合だけです。外部ポートは、適応型セキュリティ アプライアンス外部からの接続にしか表示されません。ローカル ポート値(内部ポート)は、内部インターフェイスで開始された接続にしか表示されません。

推奨処置 不要です。

302004

エラー メッセージ %ASA-6-302004: Pre-allocate H323 UDP backconnection for foreign_address outside_address / outside_port to local_address inside_address / inside_port

説明 これは接続関連のメッセージです。このメッセージは、H.323 UDP バック接続がローカル アドレス( inside_address )から外部アドレス( outside_address )に事前割り当てされている場合に表示されます。このメッセージが発生するのは、適応型セキュリティ アプライアンスが Intel インターネット電話の使用を検出した場合だけです。外部ポート( outside_port )は、適応型セキュリティ アプライアンス外部からの接続にしか表示されません。ローカル ポート値(inside_port)は、内部インターフェイスで開始された接続にしか表示されません。

推奨処置 不要です。

302009

エラー メッセージ %ASA-6-302009: Rebuilt TCP connection number for foreign_address outside_address / outside_port global_address global_address / global_port local_address inside_address / inside_port

説明 これは接続関連のメッセージです。このメッセージは、フェールオーバー後に TCP 接続が再確立された後に表示されます。同期パケットは相手側の適応型セキュリティ アプライアンスには送信されません。 outside_address IP アドレスは外部ホストであり、 global_address IP アドレスは低セキュリティ レベルのインターフェイス上のグローバル アドレスであり、 inside_address IP アドレスは高セキュリティ レベルのインターフェイス上の適応型セキュリティ アプライアンスの「背後にある」ローカル IP アドレスです。

推奨処置 不要です。

302010

エラー メッセージ %ASA-6-302010: connections in use, connections most used

説明 これは接続関連のメッセージです。このメッセージは、TCP 接続が再開された後に表示されます。

connections :接続数

推奨処置 不要です。

302012

エラー メッセージ %ASA-6-302012: Pre-allocate H225 Call Signalling Connection for faddr IP_address / port to laddr IP_address

説明 H.225 二次チャネルは事前割り当て済みです。

推奨処置 不要です。

302013

エラー メッセージ %ASA-6-302013: Built {inbound|outbound} TCP connection_id for interface : real-address / real-port ( mapped-address/mapped-port ) to interface : real-address / real-port ( mapped-address/mapped-port ) [( user )]

説明 2 つのホスト間の TCP 接続スロットが作成されました。

connection_id :一意の識別子

interface real-address real-port :実際のソケット

mapped-address、mapped-port :マッピングされたソケット

user :ユーザの AAA の名前

inbound が表示されている場合、元の制御接続は外部から開始されています。たとえば、FTP の場合、元の制御チャネルが着信であれば、すべてのデータ転送チャネルは着信です。outbound が表示されている場合、元の制御接続は内部から開始されています。

推奨処置 不要です。

302014

エラー メッセージ %ASA-6-302014: Teardown TCP connection id for interface : real-address / real-port to interface : real-address / real-port duration hh:mm:ss bytes bytes [ reason ] [( user )]

説明 2 つのホスト間の TCP 接続が削除されました。メッセージの値は次のとおりです。

id :一意の識別子

interface、real-address、real-port :実際のソケット

duration :接続のライフタイム

bytes :接続中のデータ転送量

user :ユーザの AAA の名前

reason :接続終了の原因となったアクション ( reason 変数には、 表 1-3 に示されている TCP 終了の原因の 1 つが設定されています)

表 1-3 TCP 終了の原因

原因
説明

Conn-timeout

接続は、設定されているアイドル タイムアウトよりも長時間アイドルであったため終了しました。

Deny Terminate

フローは、アプリケーション検査によって終了されました。

Failover primary closed

アクティブ装置から受信したメッセージが原因で、フェールオーバー ペアのスタンバイ装置が接続を削除しました。

FIN Timeout

最終 ACK を 10 分間待機した後、またはハーフクローズ タイムアウト後の強制終了です。

Flow closed by inspection

フローは、検査機能によって終了されました。

Flow terminated by IPS

フローは、IPS によって終了されました。

Flow reset by IPS

フローは、IPS によってリセットされました。

Flow terminated by TCP Intercept

フローは、TCP 代行受信によって終了されました。

Flow timed out

フローがタイムアウトしました。

Flow timed out with reset

フローがタイムアウトしましたが、リセットされました。

Invalid SYN

SYN パケットが無効です。

Idle Timeout

接続は、タイムアウト値よりも長時間アイドルであったためタイムアウトしました。

IPS fail-close

フローは、IPS カードのダウンのため終了されました。

Pinhole Timeout

アプライアンスによってセカンダリ フローが開かれましたが、パケットがタイムアウト間隔内にこのフローを通過しなかったため削除されました。このことを報告するために、カウンタが増加しました。セカンダリ フローの例としては、FTP 制御チャネルでのネゴシエーションが成功した後に作成される FTP データ チャネルがあります。

SYN Control

誤った側からのバック チャネル開始です。

SYN Timeout

3 ウェイ ハンドシェイクの完了を 30 秒間待機した後の強制終了です。

TCP bad retransmission

不良 TCP 再送が原因で接続は終了しました。

TCP FINs

正常なクローズ ダウン シーケンスです。

TCP Invalid SYN

無効な TCP SYN パケットです。

TCP Reset-I

内部からリセットされました。

TCP Reset-O

外部からリセットされました。

TCP segment partial overlap

部分的に重複するセグメントを検出しました。

TCP unexpected window size variation

TCP ウィンドウ サイズに変動があるため接続は終了しました。

Tunnel has been torn down

トンネルがダウンしているため、フローは終了しました。

Unauth Deny

URL フィルタにより拒否されました。

Unknown

その他の各種エラーです。

Xlate Clear

コマンドライン削除です。

推奨処置 不要です。

302015

エラー メッセージ %ASA-6-302015: Built {inbound|outbound} UDP connection number for interface_name : real_address / real_port ( mapped_address / mapped_port ) to interface_name : real_address / real_port ( mapped_address / mapped_port ) [( user )]

説明 2 つのホスト間の UDP 接続スロットが作成されました。メッセージの値は次のとおりです。

number :一意の識別子

interface、real_address、real_port :実際のソケット

mapped_address、mapped_port :マッピングされたソケット

user :ユーザの AAA の名前

inbound が表示されている場合、元の制御接続は外部から開始されています。たとえば、UDP の場合、元の制御チャネルが着信であれば、すべてのデータ転送チャネルは着信です。outbound が表示されている場合、元の制御接続は内部から開始されています。

推奨処置 不要です。

302016

エラー メッセージ %ASA-6-302016: Teardown UDP connection number for interface : real-address / real-port to interface : real-address / real-port duration hh : mm : ss bytes bytes [( user )]

説明 2 つのホスト間の UDP 接続スロットが削除されました。メッセージの値は次のとおりです。

number :一意の識別子

interface、real_address、real_port :実際のソケット

time :接続のライフタイム

bytes :接続中のデータ転送量

id :一意の識別子

interface、real-address、real-port :実際のソケット

duration :接続のライフタイム

bytes :接続中のデータ転送量

user :ユーザの AAA の名前

推奨処置 不要です。

302017

エラー メッセージ %ASA-6-302017: Built {inbound|outbound} GRE connection id from interface : real_address ( translated_address ) to interface : real_address / real_cid ( translated_address / translated_cid )[( user )

説明 2 つのホスト間の GRE 接続スロットが作成されました。 id は、一意の識別子です。 interface、real_address、real_cid タプルは、2 つのシンプレックス PPTP GRE ストリームのうちの 1 つを示します。カッコ付きの translated_address translated_cid タプルは、Network Address Translation(NAT; ネットワーク アドレス変換)で変換された値を示します。

inbound が表示されている場合、接続は着信だけに使用できます。 outbound が表示されている場合、接続は発信だけに使用できます。メッセージの値は次のとおりです。

id :接続を識別するための一意の番号

inbound :制御接続は着信 PPTP GRE フロー用

outbound :制御接続は発信 PPTP GRE フロー用

interface_name :インターフェイス名

real_address :実際のホストの IP アドレス

real_cid :接続の変換前のコール ID

translated_address :変換後の IP アドレス

translated_cid :変換後のコール

user :AAA ユーザ名

推奨処置 不要です。

302018

エラー メッセージ %ASA-6-302018: Teardown GRE connection id from interface:real_address ( translated_address ) to interface : real_address / real_cid ( translated_address / translated_cid ) duration hh : mm : ss bytes bytes [( user )]

説明 2 つのホスト間の GRE 接続スロットが削除されました。 interface、real_address、real_port タプルは、実際のソケットを示します。 Duration は、接続のライフタイムを示します。メッセージの値は次のとおりです。

id :接続を識別するための一意の番号

interface :インターフェイス名

real_address :実際のホストの IP アドレス

real_port :実際のホストのポート番号

hh:mm:ss :時:分:秒の形式の時間

bytes :GRE セッションで転送された PPP バイトの数

reason :接続が終了された原因

user :AAA ユーザ名

推奨処置 不要です。

302019

エラー メッセージ %ASA-3-302019: H.323 library_name ASN Library failed to initialize, error code number

説明 指摘された ASN ライブラリ(適応型セキュリティ アプライアンスが H.323 メッセージのデコードに使用するライブラリ)の初期化に失敗しました。適応型セキュリティ アプライアンスは到着する H.323 パケットのデコードも検査もできません。適応型セキュリティ アプライアンスは、何も修正を加えずに H.323 パケットが通過できるようにします。次の H.323 メッセージが到着すると、適応型セキュリティ アプライアンスはライブラリを再度初期化しようとします。

推奨処置 このメッセージが特定のライブラリに対して始終生成される場合は、Cisco TAC にお問い合せのうえ、すべてのログ メッセージ(タイムスタンプ付きが望ましい)を送付してください。

302020

エラー メッセージ %-6-302020: Built {in | out}bound ICMP connection for faddr { faddr | icmp_seq_num } gaddr { gaddr | cmp_type } laddr laddr

説明 inspect icmp コマンドを使用してステートフル ICMP をイネーブルにすると、ICMP セッションがファースト パスで確立されます。

推奨処置 不要です。

302021

エラー メッセージ %-6-302021: Teardown ICMP connection for faddr { faddr | icmp_seq_num } gaddr { gaddr | cmp_type } laddr laddr

説明 inspect icmp コマンドを使用してステートフル ICMP をイネーブルにすると、ICMP セッションがファースト パスで削除されます。

推奨処置 不要です。

302033

エラー メッセージ %ASA-6-302033:Pre-allocated H323 GUP Connection for faddr interface : foreign address / foreign-port to laddr interface : local-address / local-port

説明 これは接続関連のメッセージです。このメッセージは、GUP 接続が外部アドレスからローカル アドレスに向けて開始されている場合に表示されます。外部ポートは、セキュリティ デバイスの外部からの接続にしか表示されません。ローカル ポート値(内部ポート)は、内部インターフェイスで開始された接続にしか表示されません。

interface :インターフェイス名

foreign-address :外部ホストの IP アドレス

foreign-port :外部ホストのポート番号

local-address :ローカル ホストの IP アドレス

local-port :ローカル ホストのポート番号

推奨処置 不要です。

302034

エラー メッセージ %ASA-4-302034: Unable to pre-allocate H323 GUP Connection for faddr interface : foreign address / foreign-port to laddr interface : local-address / local-port

説明 モジュールが、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。

interface :インターフェイス名

foreign-address :外部ホストの IP アドレス

foreign-port :外部ホストのポート番号

local-address :ローカル ホストの IP アドレス

local-port :ローカル ホストのポート番号

推奨処置 このメッセージが一定期間ごとに発生する場合は、無視してかまいません。頻繁に繰り返される場合は、Cisco TAC にお問い合せください。グローバル プールのサイズを確認して、内部のネットワーク クライアント数と比較できます。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または増設メモリを購入してみます。

302302

エラー メッセージ %ASA-3-302302: ACL = deny; no sa created

説明 IPSec プロキシのミスマッチが発生しました。ネゴシエートした SA のプロキシ ホストは、deny access-list コマンド ポリシーに対応します。

推奨処置 コンフィギュレーションの access-list コマンド文を確認します。ピアの管理者にお問い合せください。

302303

エラー メッセージ %ASA-6-302303: Built TCP state-bypass connection conn_id from initiator_interface : real_ip / real_port ( mapped_ip / mapped_port ) to responder_interface : real_ip / real_port ( mapped_ip / mapped_port )

説明 新しい TCP 接続が作成されました。この接続は、TCP 状態バイパス接続です。このタイプの接続では、すべての TCP 状態チェックと追加のセキュリティ チェックおよび検査がバイパスされます。

推奨処置 標準的なすべての TCP 状態チェックと他のすべてのセキュリティ チェックおよび検査によって TCP トラフィックを保護する必要がある場合は、 no set connection advanced-options tcp-state-bypass コマンドを使用して、TCP トラフィックに対してこの機能をディセーブルにできます。

302304

エラー メッセージ %ASA-6-302304: Teardown TCP state-bypass connection conn_id from initiator_interface :ip/port to responder_interface :ip/port duration , bytes , teardown reason .

説明 新しい TCP 接続が切断されました。この接続は、TCP 状態バイパス接続です。このタイプの接続では、すべての TCP 状態チェックと追加のセキュリティ チェックおよび検査がバイパスされます。

duration :TCP 接続の期間

bytes :TCP 接続で転送された合計バイト数

teardown reason :TCP 接続の切断原因

推奨処置 標準的なすべての TCP 状態チェックと他のすべてのセキュリティ チェックおよび検査によって TCP トラフィックを保護する必要がある場合は、 no set connection advanced-options tcp-state-bypass コマンドを使用して、TCP トラフィックに対してこの機能をディセーブルにできます。

303003

エラー メッセージ %ASA-5-303003: FTP cmd_string command denied - failed strict inspection, terminating connection from %s:%A/%d to %s:%A/%d\n.

説明 このメッセージは、FTP トラフィックに厳密な FTP 検査を使用している場合に生成されます。これは、FTP 要求メッセージがデバイスに認識されないコマンドを含んでいる場合に表示されます。

推奨処置 不要です。

303004

エラー メッセージ %ASA-5-303004: FTP cmd_string command unsupported - failed strict inspection, terminating connection from source_interface : source_address / source_port to dest_interface : dest_address/dest_interface

説明 このメッセージは、FTP トラフィックに厳密な FTP 検査を使用している場合に生成されます。これは、FTP 要求メッセージがデバイスに認識されないコマンドを含んでいる場合に表示されます。

推奨処置 不要です。

303005

エラー メッセージ %ASA-5-303005: Strict FTP inspection matched match_string in policy-map policy-name , action_string from src_ifc : sip / sport to dest_ifc : dip / dport

説明 このメッセージは、FTP 検査で、設定済みの値(ファイル名、ファイル タイプ、要求コマンド、サーバ、ユーザ名)のいずれかと一致した場合に生成されます。その後、この syslog メッセージの action_string で指摘されたアクションが実行されます。

match_string :ポリシー マップ内の match 節

policy-name :一致したポリシー マップ

action_string :実行するアクション(たとえば、「Reset Connection」)

src_ifc :送信元インターフェイス名

sip :送信元 IP アドレス

sport :送信元ポート

dest_ifc :宛先インターフェイス名

dip :宛先 IP アドレス

dport :宛先ポート

推奨処置 不要です。

304001

エラー メッセージ %ASA-5-304001: user source_address Accessed {JAVA URL|URL} dest_address : url .

説明 これは FTP/URL メッセージです。このメッセージは、指摘されたホストが指摘された URL にアクセスしようとした場合に表示されます。

推奨処置 不要です。

304002

エラー メッセージ %ASA-5-304002: Access denied URL chars SRC IP_address DEST IP_address : chars

説明 これは FTP/URL メッセージです。このメッセージは、送信元アドレスから指摘された URL または FTP サイトへのアクセスが拒否された場合に表示されます。

推奨処置 不要です。

304003

エラー メッセージ %ASA-3-304003: URL Server IP_address timed out URL url

説明 URL サーバがタイムアウトになっています。

推奨処置 不要です。

304004

エラー メッセージ %ASA-6-304004: URL Server IP_address request failed URL url

説明 これは FTP/URL メッセージです。このメッセージは、Websense サーバ要求が失敗した場合に表示されます。

推奨処置 不要です。

304005

エラー メッセージ %ASA-7-304005: URL Server IP_address request pending URL url

説明 これは FTP/URL メッセージです。このメッセージは、Websense サーバ要求が保留中の場合に表示されます。

推奨処置 不要です。

304006

エラー メッセージ %ASA-3-304006: URL Server IP_address not responding

説明 これは FTP/URL メッセージです。Websense サーバはアクセスに使用できません。適応型セキュリティ アプライアンスは、Websense サーバがインストールされている唯一のサーバである場合は同サーバに、または複数のサーバがある場合は別のサーバに、アクセスしようとします。

推奨処置 不要です。

304007

エラー メッセージ %ASA-2-304007: URL Server IP_address not responding, ENTERING ALLOW mode.

説明 これは FTP/URL メッセージです。このメッセージは、filter コマンドの allow オプションを使用し、Websense サーバが応答しなかった場合に表示されます。適応型セキュリティ アプライアンスは、サーバが使用できない間すべての Web 要求がフィルタリングせずに継続できるようにします。

推奨処置 不要です。

304008

エラー メッセージ %ASA-2-304008: LEAVING ALLOW mode, URL Server is up.

説明 これは FTP/URL メッセージです。このメッセージは、filter コマンドの allow オプションを使用し、適応型セキュリティ アプライアンスが、以前は応答しなかった Websense サーバから応答メッセージを受け取った場合に表示されます。この応答メッセージにより適応型セキュリティ アプライアンスは allow モードを終了します。これで URL フィルタリング機能が再びイネーブルになります。

推奨処置 不要です。

304009

エラー メッセージ %ASA-7-304009: Ran out of buffer blocks specified by url-block command

説明 URL 保留バッファ ブロックが領域を使い切りました。

推奨処置 url-block block block_size コマンドを入力して、バッファ ブロック サイズを変更します。

305005

エラー メッセージ %ASA-3-305005: No translation group found for protocol src interface_name : source_address / source_port dst interface_name : dest_address / dest_port

説明 パケットがどの発信 nat コマンド規則とも一致しません。指摘された送信元システムおよび宛先システムに NAT が設定されていない場合、メッセージは頻繁に生成されます。

推奨処置 このメッセージはコンフィギュレーション エラーを示します。送信元ホストにダイナミック NAT が望ましい場合は、 nat コマンドが送信元 IP アドレスと一致することを確認します。送信元ホストにスタティック NAT が望ましい場合は、 static コマンドのローカル IP アドレスが一致することを確認します。送信元ホストに NAT が望ましくない場合は、NAT 0 ACL にバインドされている ACL を確認します。

305006

エラー メッセージ %ASA-3-305006: {outbound static|identity|portmap|regular) translation creation failed for protocol src interface_name : source_address / source_port dst interface_name : dest_address / dest_port

説明 プロトコル(UDP、TCP、または ICMP)が適応型セキュリティ アプライアンス経由で変換を作成できませんでした。適応型セキュリティ アプライアンスは、ネットワーク アドレスまたはブロードキャスト アドレス宛てのパケットの通過を許可していません。適応型セキュリティ アプライアンスは、static コマンドで明示的に識別されるアドレスに対してこのチェックを行います。着信トラフィックの場合、適応型セキュリティ アプライアンスはネットワーク アドレスまたはブロードキャスト アドレスと識別された IP アドレスの変換を拒否します。

適応型セキュリティ アプライアンスは、すべての ICMP メッセージ タイプに PAT を適用するのではなく、ICMP エコーとエコー応答パケット(タイプ 8 と 0)に限り PAT を適用します。特に、ICMP エコーまたはエコー応答パケットだけが、PAT 変換を作成します。そのため、他の ICMP メッセージ タイプが廃棄されるとき、このメッセージが生成されます。

適応型セキュリティ アプライアンスは、設定済み static コマンドのグローバル IP アドレスとマスクを使用して、標準 IP アドレスを、ネットワーク IP アドレスまたはブロードキャスト IP アドレスと区別します。グローバル IP アドレスが、一致するネットワーク マスクを持つ有効なネットワーク アドレスである場合、適応型セキュリティ アプライアンスは着信パケットのネットワーク IP アドレスまたはブロードキャスト IP アドレスに対して変換を作成しません。

次に例を示します。

static (inside,outside) 10.2.2.128 10.1.1.128 netmask 255.255.255.128
 

適応型セキュリティ アプライアンスは、ネットワーク アドレスとしてグローバル アドレス 10.2.2.128 に応答し、ブロードキャスト アドレスとして 10.2.2.255 に応答します。既存の変換がない場合、適応型セキュリティ アプライアンスは、10.2.2.128 または 10.2.2.255 宛ての着信パケットを拒否して、このメッセージに記録します。

疑わしい IP アドレスがホスト IP アドレスである場合、サブネット static コマンドの直前にホスト マスクを持つ別の static コマンドを設定します(static コマンドに対する最初の一致規則)。その後の static コマンドでは、適応型セキュリティ アプライアンスがホスト アドレスとして 10.2.2.128 に応答します。

static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.255
static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.128
 

変換は、疑わしい IP アドレスを持つ内部ホストから開始されるトラフィックによって作成される可能性があります。適応型セキュリティ アプライアンスはネットワーク IP アドレスまたはブロードキャスト IP アドレスを重複したサブネット スタティック コンフィギュレーションを持つホスト IP と見なすので、両方の static コマンドのネットワーク アドレス変換は同じである必要があります。

推奨処置 不要です。

305007

エラー メッセージ %ASA-6-305007: addrpool_free(): Orphan IP IP_address on interface interface_number

説明 適応型セキュリティ アプライアンスが、自分のグローバル プールで見つけられないアドレスを変換しようとしました。適応型セキュリティ アプライアンスは、アドレスが削除されているとして、要求を廃棄します。

推奨処置 不要です。

305008

エラー メッセージ %ASA-3-305008: Free unallocated global IP address.

説明 適応型セキュリティ アプライアンス カーネルは、割り当てられていないグローバル IP アドレスを解放してアドレス プールに戻そうとしたときに、不整合状態を検出しました。この異常状態は、適応型セキュリティ アプライアンスがステートフル フェールオーバー セットアップを実行中で、一部の内部状態がアクティブ装置とスタンバイ装置との間で瞬間的に同期していない場合に発生する可能性があります。この状態は破局的なものではなく、同期は自動的に回復します。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

305009

エラー メッセージ %ASA-6-305009: Built {dynamic|static} translation from interface_name [(acl-name)]:real_address to interface_name : mapped_address

説明 アドレス変換スロットが作成されました。スロットは、ローカル側からグローバル側に送信元アドレスを変換します。逆に、スロットは、グローバル側からローカル側に宛先アドレスを変換します。

推奨処置 不要です。

305010

エラー メッセージ %ASA-6-305010: Teardown {dynamic|static} translation from interface_name : real_address to interface_name : mapped_address duration time

説明 アドレス変換スロットが削除されました。

推奨処置 不要です。

305011

エラー メッセージ %ASA-6-305011: Built {dynamic|static} {TCP|UDP|ICMP} translation from interface_name : real_address / real_port to interface_name : mapped_address / mapped_port

説明 TCP、UDP、または ICMP アドレス変換スロットが作成されました。スロットは、ローカル側からグローバル側に送信元ソケットを変換します。逆に、スロットは、グローバル側からローカル側に宛先ソケットを変換します。

推奨処置 不要です。

305012

エラー メッセージ %ASA-6-305012: Teardown {dynamic|static} {TCP|UDP|ICMP} translation from interface_name [ ( acl-name ) ]: real_address /{ real_port | real_ICMP_ID }to interface_name : mapped_address /{ mapped_port | mapped_ICMP_ID } duration time

説明 アドレス変換スロットが削除されました。

推奨処置 不要です。

305013

エラー メッセージ %ASA-5-305013: Asymmetric NAT rules matched for forward and reverse flows; Connection protocol src interface_name : source_address / source_port dest interface_name : dest_address / dest_port denied due to NAT reverse path failure.

説明 実際のアドレスを使用して、マップされたホストへの接続を試みましたが、拒否されました。

推奨処置 NAT を使用するホストと同じインターフェイス上にないホストに接続する場合は、実際のアドレスではなく、マップされたアドレスを使用します。また、アプリケーションに IP アドレスが埋め込まれている場合は、 inspect コマンドをイネーブルにします。

308001

エラー メッセージ %ASA-6-308001: console enable password incorrect for number tries (from IP_address )

説明 これは適応型セキュリティ アプライアンス管理メッセージです。このメッセージは、特権モードに入るためにユーザがパスワードを指摘された回数だけ誤って入力した後に表示されます。最大試行回数は 3 回です。

推奨処置 パスワードを確認し、再度試行します。

308002

エラー メッセージ %ASA-4-308002: static global_address inside_address netmask netmask overlapped with global_address inside_address

説明 1 つまたは複数の static コマンド文の IP アドレスが重複しています。 global_address は低セキュリティ レベルのインターフェイス上のアドレスであるグローバル アドレスであり、 inside_address は高セキュリティ レベルのインターフェイス上のアドレスであるローカル アドレスです。

推奨処置 show static コマンドを使用してコンフィギュレーションの static コマンド文を表示し、重複しているコマンドを修正します。最も一般的な重複は、10.1.1.0 などのネットワーク アドレスを指定して、別の static コマンドで 10.1.1.5 などその範囲内にあるホストを指定する場合に発生します。

311001

エラー メッセージ %ASA-6-311001: LU loading standby start

説明 スタンバイ適応型セキュリティ アプライアンスが最初にオンラインになるときに、ステートフル フェールオーバー アップデート情報がスタンバイ適応型セキュリティ アプライアンスに送信されました。

推奨処置 不要です。

311002

エラー メッセージ %ASA-6-311002: LU loading standby end

説明 ステートフル フェールオーバー アップデート情報が、スタンバイ適応型セキュリティ アプライアンスへの送信を停止しました。

推奨処置 不要です。

311003

エラー メッセージ %ASA-6-311003: LU recv thread up

説明 アップデート肯定応答がスタンバイ適応型セキュリティ アプライアンスから受信されました。

推奨処置 不要です。

311004

エラー メッセージ %ASA-6-311004: LU xmit thread up

説明 このメッセージは、ステートフル フェールオーバー アップデートがスタンバイ適応型セキュリティ アプライアンスに送信される場合に表示されます。

推奨処置 不要です。

312001

エラー メッセージ %ASA-6-312001: RIP hdr failed from IP_address : cmd= string , version= number domain= string on interface interface_name

説明 適応型セキュリティ アプライアンスが応答以外のオペレーション コードを持つ RIP メッセージを受信し、メッセージはこのインターフェイスで予想されるバージョン番号とは異なる番号を持ち、ルーティング ドメインのエントリは非ゼロでした。

推奨処置 これは情報メッセージですが、別の RIP デバイスが適応型セキュリティ アプライアンスと通信するように正しく設定されていないことを示している可能性もあります。

313001

エラー メッセージ %ASA-3-313001: Denied ICMP type= number , code= code from IP_address on interface interface_name

説明 icmp コマンドをアクセス リストとともに使用している場合、最初に一致したエントリが許可エントリであれば、ICMP パケットは処理を続行します。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しなかった場合、適応型セキュリティ アプライアンスは ICMP パケットを廃棄し、この syslog メッセージを生成します。 icmp コマンドは、インターフェイスへの ping をイネーブルまたはディセーブルにします。ping をディセーブルにすると、適応型セキュリティ アプライアンスがネットワーク上で検出できなくなります。この機能は、「設定可能なプロキシ ping」とも呼ばれます。

推奨処置 ピア デバイスの管理者にお問い合せください。

313004

エラー メッセージ %ASA-4-313004:Denied ICMP type= icmp_type , from source_address on interface interface_name to dest_address :no matching session

説明 ステートフル ICMP 機能で追加されたセキュリティ チェックのため、ICMP パケットが適応型セキュリティ アプライアンスによって廃棄されました。通常、これに該当するのは、すでに適応型セキュリティ アプライアンスを通過した有効なエコー要求を含まない ICMP エコー応答、またはすでに適応型セキュリティ アプライアンスで確立されている TCP、UDP、または ICMP セッションに関連しない ICMP エラー メッセージのいずれかです。

推奨処置 不要です。

313005

エラー メッセージ %ASA-4-313005: No matching connection for ICMP error message: icmp_msg_info on interface_name interface. Original IP payload: embedded_frame_info icmp_msg_info = icmp src src_interface_name : src_address dst dest_interface_name : dest_address (type icmp_type , code icmp_code ) embedded_frame_info = prot src source_address / source_port dst dest_address / dest_port

説明 ICMP エラー メッセージが適応型セキュリティ アプライアンスですでに確立されているどのセッションとも関連しないため、ICMP エラー パケットが適応型セキュリティ アプライアンスによって廃棄されました。

推奨処置 原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

313008

エラー メッセージ %ASA-3-313008: Denied ICMPv6 type= number , code= code from IP_address on interface interface_name

説明 icmp コマンドをアクセス リストとともに使用している場合、最初に一致したエントリが許可エントリであれば、ICMPv6 パケットは処理を続行します。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しなかった場合、適応型セキュリティ アプライアンスは ICMPv6 パケットを廃棄し、この syslog メッセージを生成します。

icmp コマンドは、インターフェイスへの ping をイネーブルまたはディセーブルにします。ping をディセーブルにすると、適応型セキュリティ アプライアンスがネットワーク上で検出できなくなります。この機能は、「設定可能なプロキシ ping」とも呼ばれます。

推奨処置 ピア デバイスの管理者にお問い合せください。

314001

エラー メッセージ %ASA-6-314001: Pre-allocated RTSP UDP backconnection for src_intf : src_IP to dst_intf : dst_IP / dst_port.

説明 適応型セキュリティ アプライアンスが、サーバからデータを受信していた RTSP クライアントに対して UDP メディア チャネルを開きました。

src_intf :送信元インターフェイス名

src_IP :送信元インターフェイス IP アドレス

dst_intf :宛先インターフェイス名

dst_IP :宛先 IP アドレス

dst_port :宛先ポート

推奨処置 不要です。

314002

エラー メッセージ %ASA-6-314002: RTSP failed to allocate UDP media connection from src_intf : src_IP to dst_intf : dst_IP / dst_port : reason_string.

説明 適応型セキュリティ アプライアンスがメディア チャネルに対して新しいピンホールを開くことができません。

src_intf :送信元インターフェイス名

src_IP :送信元インターフェイス IP アドレス

dst_intf :宛先インターフェイス名

dst_IP :宛先 IP アドレス

dst_port :宛先ポート

reason_string :「Pinhole already exists」または「Unknown」

推奨処置 原因が「unknown」の場合は、適応型セキュリティ アプライアンスのメモリが不足しているため、 show memory コマンドを実行して利用可能な空きメモリを確認するか、または show conn コマンドを実行して使用されている接続数を確認します。

314003

エラー メッセージ %ASA-6-314003: Dropped RTSP traffic from src_intf : src_ip due to: reason .

説明 RTSP メッセージに予約ポート範囲内のポートが含まれているか、または最大許容制限を超える長さの URL が含まれているため、RTSP メッセージがユーザ設定の RTSP セキュリティ ポリシーに違反しました。

src_intf :送信元インターフェイス名

src_IP :送信元インターフェイス IP アドレス

reason :次の 2 つの原因のいずれか

- エンドポイントが予約ポート範囲 0 ~ 1024 のメディア ポートをネゴシエートしています。

- URL の長さ( url length バイト)が最大長( url length limit バイト)を超えています。

推奨処置 RTSP クライアントがセキュリティ ポリシーに違反するメッセージを送信する原因を調査します。要求された URL が正当である場合は、RTSP ポリシー マップで、より長い URL 長制限を指定して、ポリシーを緩和できます。

314004

エラー メッセージ %ASA-6-314004: RTSP client src_intf:src_IP accessed RTSP URL RTSP URL

説明 RTSP クライアントが RTSP サーバにアクセスしようとしました。

src_intf :送信元インターフェイス名

src_IP :送信元インターフェイス IP アドレス

RTSP URL :RTSP サーバの URL

推奨処置 不要です。

314005

エラー メッセージ %ASA-6-314005: RTSP client src_intf:src_IP denied access to URL RTSP_URL.

説明 RTSP クライアントが禁止サイトにアクセスしようとしました。

src_intf :送信元インターフェイス名

src_IP :送信元インターフェイス IP アドレス

RTSP_URL :RTSP サーバの URL

推奨処置 不要です。

314006

エラー メッセージ %ASA-6-314006: RTSP client src_intf:src_IP exceeds configured rate limit of rate for request_method messages.

説明 特定の RTSP 要求メッセージが、RTSP ポリシーの設定済みレート制限を超えました。

src_intf :送信元インターフェイス名

src_IP :送信元インターフェイス IP アドレス

rate :設定済みレート制限

request_method :要求メッセージのタイプ

推奨処置 クライアントからの特定の RTSP 要求メッセージがレート制限を超えた原因を調査します。

315004

エラー メッセージ %ASA-3-315004: Fail to establish SSH session because RSA host key retrieval failed.

説明 適応型セキュリティ アプライアンスが、SSH セッションの確立に必要な適応型セキュリティ アプライアンス RSA ホスト キーを見つけられませんでした。ホスト キーが生成されていなかったため、またはこの適応型セキュリティ アプライアンスのライセンスが DES または 3DES を許可しないために、適応型セキュリティ アプライアンス ホスト キーがない可能性があります。

推奨処置 適応型セキュリティ アプライアンス コンソールから show crypto key mypubkey rsa コマンドを入力して、RSA ホスト キーがあることを確認します。ホスト キーがない場合は、 show version コマンドを入力して、DES または 3DES が許可されていることを確認します。RSA ホスト キーがある場合は、SSH セッションを再開します。RSA ホスト キーを生成するには、 crypto key mypubkey rsa コマンドを入力します。

315011

エラー メッセージ %ASA-6-315011: SSH session from IP_address on interface interface_name for user user disconnected by SSH server, reason: reason

説明 このメッセージは、SSH セッションが完了した後に表示されます。ユーザが quit または exit を入力すると、 terminated normally メッセージが表示されます。別の原因でセッションが切断された場合は、テキストで原因が説明されます。 表 1-4 に、考えられるセッション切断の原因を示します。

 

表 1-4 SSH 切断の原因

テキスト文字列
説明
アクション

Bad checkbytes

SSH キー交換中にチェック バイトにミスマッチが検出されました。

SSH セッションを再開します。

CRC check failed

特定のパケットに対して計算された CRC 値が、パケットに埋め込まれている CRC 値と一致しません。パケットが不良です。

不要です。このメッセージが引き続き表示される場合は、Cisco TAC にお問い合せください。

Decryption failure

SSH キーの交換中に SSH セッション キーの解読が失敗しました。

RSA ホスト キーを確認し、再度試行します。

Format error

非プロトコル バージョンのメッセージが、SSH バージョン交換中に受信されました。

SSH クライアントをチェックし、サポート対象のバージョンであることを確認します。

Internal error

このメッセージは、適応型セキュリティ アプライアンス上の SSH の内部エラー、あるいは RSA キーが適応型セキュリティ アプライアンスに入力されていないか、または取得できないことを示します。

適応型セキュリティ アプライアンス コンソールから show crypto key mypubkey rsa コマンドを入力して、RSA ホスト キーがあることを確認します。ホスト キーがない場合は、 show version コマンドを入力して、DES または 3DES が許可されていることを確認します。RSA ホスト キーがある場合は、SSH セッションを再開します。RSA ホスト キーを生成するには、 crypto key mypubkey rsa コマンドを入力します。

Invalid cipher type

SSH クライアントがサポートされていない暗号を要求しました。

show version コマンドを入力し、ライセンスがサポートしている機能を確認してから、サポートされている暗号を使用するように SSH クライアントを再設定します。

Invalid message length

適応型セキュリティ アプライアンスに到着する SSH メッセージの長さが 262,144 バイトを超えているか、または 4,096 バイト未満です。データが破損している可能性があります。

不要です。

Invalid message type

適応型セキュリティ アプライアンスが非 SSH メッセージを受信したか、あるいはサポートされていない SSH メッセージまたは要求されていない SSH メッセージを受信しました。

ピアが SSH クライアントであるかどうかを確認します。ピアが SSHv1 をサポートしているクライアントであり、このメッセージが引き続き表示される場合は、適応型セキュリティ アプライアンス シリアル コンソールから debug ssh コマンドを入力して、デバッグ メッセージを取り込みます。その後、Cisco TAC にお問い合せください。

Out of memory

このメッセージは、適応型セキュリティ アプライアンスが SSH サーバが使用するメモリを割り当てられず、おそらくはトラフィックが多いために適応型セキュリティ アプライアンスがビジーになっている場合に表示されます。

後で SSH セッションを再開します。

Rejected by server

ユーザ認証が失敗しました。

ユーザ名とパスワードを確認するようユーザに求めます。

Reset by client

SSH クライアントが SSH_MSG_DISCONNECT メッセージを適応型セキュリティ アプライアンスに送信しました。

不要です。

status code: hex ( hex )

ユーザが、SSH コンソールで quit または exit を入力せずに、SSH クライアント ウィンドウ(Windows で実行中)を閉じました。

不要です。クライアントをただ終了するのではなく、正常に終了するようユーザに推奨します。

Terminated by operator

SSH セッションが、適応型セキュリティ アプライアンス コンソールで ssh disconnect コマンドの入力により終了されました。

不要です。

Time-out activated

SSH セッションが、ssh timeout コマンドで指定された継続時間を超えたため、タイムアウトしました。

SSH 接続を再開します。ssh timeout コマンドを使用して、5 分のデフォルト値を必要に応じて最大 60 分まで延長することができます。

推奨処置 不要です。

316001

エラー メッセージ %ASA-3-316001: Denied new tunnel to IP_address . VPN peer limit ( platform_vpn_peer_limit) exceeded

説明 プラットフォーム VPN ピアの上限でサポートされているよりも多くの VPN トンネル(ISAKMP/IPSec)を同時に確立しようとした場合、過剰なトンネルは打ち切られます。

推奨処置 不要です。

316002

エラー メッセージ %ASA-3-316002: VPN Handle error: protocol= protocol , src in_if_num : src_addr , dst out_if_num : dst_addr

説明 このメッセージは、VPN ハンドルがすでに存在するために、適応型セキュリティ アプライアンスが VPN ハンドルを作成できない場合に生成されます。

protocol :VPN フローのプロトコル

in_if_num :VPN フローの入力インターフェイス番号

src_addr :VPN フローの送信元 IP アドレス

out_if_num :VPN フローの出力インターフェイス番号

dst_addr :VPN フローの宛先 IP アドレス

推奨処置 このメッセージは、正常動作中に発生することもあります。ただし、メッセージが繰り返し表示され、VPN ベースのアプリケーションに深刻な誤動作が発生する場合は、ソフトウェア障害が原因となっている可能性があります。次のコマンドを入力して詳細な情報を収集し、Cisco TAC に問題の調査を依頼してください。

capture name type asp-drop vpn-handle-error
show asp table classify crypto detail
show asp table vpn-context
 

317001

エラー メッセージ %ASA-3-317001: No memory available for limit_slow

説明 要求された動作がメモリ不足状態が原因で失敗しました。

推奨処置 他のシステム アクティビティを減らして、メモリ要求を緩和します。条件によって保証される場合は、さらにメモリ容量の大きな構成にアップグレードします。

317002

エラー メッセージ %ASA-3-317002: Bad path index of number for IP_address , number max

説明 ソフトウェア エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

317003

エラー メッセージ %ASA-3-317003: IP routing table creation failure - reason

説明 内部ソフトウェア エラーが発生したため、新しい IP ルーティング テーブルの作成が妨げられました。

推奨処置 エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

317004

エラー メッセージ %ASA-3-317004: IP routing table limit warning

説明 名前付き IP ルーティング テーブル内のルート数が、設定された警告制限に到達しました。

推奨処置 テーブルのルート数を減らすか、制限を設定し直します。

317005

エラー メッセージ %ASA-3-317005: IP routing table limit exceeded - reason , IP_address netmask

説明 追加のルートはテーブルに加えられます。

推奨処置 テーブルのルート数を減らすか、制限を設定し直します。

317006

エラー メッセージ %ASA-3-317006: Pdb index error pdb , pdb_index , pdb_type

説明 PDB に対するインデックスが範囲外です。

pdb :Protocol Descriptor Block(PDB インデックス エラーの記述子)

pdb_index :PDB インデックス識別子

pdb_type :PDB インデックス エラーのタイプ

推奨処置 問題が解決しない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco TAC にお問い合せのうえ、TAC の担当者に収集した情報をご提供ください。

318001

エラー メッセージ %ASA-3-318001: Internal error: reason

説明 内部ソフトウェア エラーが発生しました。このメッセージは 5 秒ごとに表示されます。

推奨処置 エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

318002

エラー メッセージ %ASA-3-318002: Flagged as being an ABR without a backbone area

説明 ルータには、ルータで設定されたバックボーン エリアのない Area Border Router(ABR; エリア境界ルータ)としてフラグが付いています。このメッセージは 5 秒ごとに表示されます。

推奨処置 OSPF プロセスを再起動します。

318003

エラー メッセージ %ASA-3-318003: Reached unknown state in neighbor state machine

説明 内部ソフトウェア エラーが発生しました。このメッセージは 5 秒ごとに表示されます。

推奨処置 エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

318004

エラー メッセージ %ASA-3-318004: area string lsid IP_address mask netmask adv IP_address type number

説明 OSPF プロセスで Link State Advertisement(LSA; リンクステート アドバタイズメント)の検出に問題が生じました。これはメモリ リークにつながる可能性があります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

318005

エラー メッセージ %ASA-3-318005: lsid ip_address adv IP_address type number gateway gateway_address metric number network IP_address mask netmask protocol hex attr hex net-metric number

説明 OSPF で、そのデータベースと IP ルーティング テーブルとの間に不整合が検出されました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

318006

エラー メッセージ %ASA-3-318006: if interface_name if_state number

説明 内部エラーが発生しました。

推奨処置 エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

318007

エラー メッセージ %ASA-3-318007: OSPF is enabled on interface_name during idb initialization

説明 内部エラーが発生しました。

推奨処置 エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

318008

エラー メッセージ %ASA-3-318008: OSPF process number is changing router-id. Reconfigure virtual link neighbors with our new router-id

説明 OSPF プロセスがリセット中で、新しいルータ ID を選択しようとしています。このアクションによってすべての仮想リンクが停止させられます。

推奨処置 すべての近隣仮想リンクの仮想リンク コンフィギュレーションを、新しいルータ ID を反映するように変更します。

318009

エラー メッセージ %ASA-3-318009: OSPF: Attempted reference of stale data encountered in function , line: line_num

説明 このメッセージは、OSPF が動作中で、他の場所で削除された一部の関連データ構造を参照しようとする場合に表示されます。インターフェイスおよびルータのコンフィギュレーションを消去すると、問題が解決する可能性があります。しかし、このメッセージが表示される場合は、シーケンスの一部のステップによってデータ構造の早期削除が生じているので、調査する必要があります。

function :予期しないイベントを受信した機能

line_num :コード中の行番号

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

319001

エラー メッセージ %ASA-3-319001: Acknowledge for arp update for IP address dest_address not received ( number ).

説明 適応型セキュリティ アプライアンス内の ARP プロセスが、システムのオーバーロードが原因で内部同期外れになっています。

推奨処置 不要です。一時的なエラーです。システムの平均負荷をチェックし、許容量を超えて使用されていないことを確認します。

319002

エラー メッセージ %ASA-3-319002: Acknowledge for route update for IP address dest_address not received ( number ).

説明 適応型セキュリティ アプライアンス内のルーティング モジュールが、システムのオーバーロードが原因で内部同期外れになっています。

推奨処置 不要です。一時的なエラーです。システムの平均負荷をチェックし、許容量を超えて使用されていないことを確認します。

319003

エラー メッセージ %ASA-3-319003: Arp update for IP address address to NPn failed.

説明 ARP エントリをアップデートする必要がある場合、内部 ARP テーブルをアップデートするために Network Processor(NP; ネットワーク プロセッサ)にメッセージが送信されます。モジュールでメモリ使用率が高くなっている場合、または内部テーブルが満杯になっている場合は、NP へのメッセージが拒否されて、このメッセージが生成される可能性があります。

推奨処置 ARP テーブルが満杯であるかどうかを確認します。満杯ではない場合、CPU 使用率および秒あたりの接続数を確認してモジュールの負荷を調べます。CPU 使用率が高いか、秒あたりの接続数が多い場合、負荷が正常に戻ると正常動作が再開されます。

319004

エラー メッセージ %ASA-3-319004: Route update for IP address dest_address failed ( number ).

説明 適応型セキュリティ アプライアンス内のルーティング モジュールが、システムのオーバーロードが原因で内部同期外れになっています。

推奨処置 不要です。一時的なエラーです。システムの平均負荷をチェックし、許容量を超えて使用されていないことを確認します。

320001

エラー メッセージ %ASA-3-320001: The subject name of the peer cert is not allowed for connection

説明 適応型セキュリティ アプライアンスが簡単な VPN リモート デバイスまたはサーバである場合、ピア証明書には ca verifycertdn コマンドの出力と一致しないサブジェクト名が含まれています。

推奨処置 このメッセージは、「中間者攻撃」を示している可能性もあります。これは、デバイスがピア IP アドレスをスプーフィングし、適応型セキュリティ アプライアンスから VPN 接続を代行受信しようとするものです。

321001

エラー メッセージ %ASA-5-321001: Resource var1 limit of var2 reached.

説明 指摘されたリソースの設定使用率またはレート制限に達しました。

推奨処置 不要です。

321002

エラー メッセージ %ASA-5-321002: Resource var1 rate limit of var2 reached.

説明 指摘されたリソースの設定使用率またはレート制限に達しました。

推奨処置 不要です。

321003

エラー メッセージ %ASA-6-321003: Resource var1 log level of var2 reached.

説明 指摘されたリソースの設定リソース使用率またはレート ログ レベルに達しました。

推奨処置 不要です。

321004

エラー メッセージ %ASA-6-321004: Resource var1 rate log level of var2 reached

説明 指摘されたリソースの設定リソース使用率またはレート ログ レベルに達しました。

推奨処置 不要です。

322001

エラー メッセージ %ASA-3-322001: Deny MAC address MAC_address, possible spoof attempt on interface interface

説明 適応型セキュリティ アプライアンスが、指摘されたインターフェイス上の攻撃 MAC アドレスからパケットを受信しましたが、パケットの送信元 MAC アドレスはコンフィギュレーション内の別のインターフェイスに静的にバインドされています。これは、MAC スプーフィング攻撃または設定の誤りのいずれかが原因となっている可能性があります。

推奨処置 コンフィギュレーションを調べ、攻撃ホストを突き止めるか、またはコンフィギュレーションを訂正して適切な処置を行います。

322002

エラー メッセージ %ASA-3-322002: ARP inspection check failed for arp {request|response} received from host MAC_address on interface interface . This host is advertising MAC Address MAC_address_1 for IP Address IP_address , which is {statically|dynamically} bound to MAC Address MAC_address_2 .

説明 ARP 検査モジュールは、イネーブルになっている場合、パケット内でアドバタイズされる新しい ARP エントリが、静的に設定された IP-MAC アドレスまたは動的に取得された IP-MAC アドレスのバインディングに従っているかどうかをチェックしてから、適応型セキュリティ アプライアンスを介して ARP パケットを転送します。このチェックが失敗した場合、ARP 検査モジュールは ARP パケットを廃棄し、このメッセージを生成します。この状況は、ネットワーク内の ARP スプーフィング攻撃または無効なコンフィギュレーション(IP-MAC バインディング)が原因となっている可能性があります。

推奨処置 原因が攻撃にある場合、ACL を使用してホストを拒否することができます。原因が無効なコンフィギュレーションにある場合、バインディングを修正します。

322003

エラー メッセージ %ASA-3-322003:ARP inspection check failed for arp {request|response} received from host MAC_address on interface interface . This host is advertising MAC Address MAC_address_1 for IP Address IP_address , which is not bound to any MAC Address.

説明 ARP 検査モジュールは、イネーブルになっている場合、パケット内でアドバタイズされる新しい ARP エントリが、静的に設定された IP-MAC アドレスのバインディングに従っているかどうかをチェックしてから、適応型セキュリティ アプライアンスを介して ARP パケットを転送します。このチェックが失敗した場合、ARP 検査モジュールは ARP パケットを廃棄し、このメッセージを生成します。この状況は、ネットワーク内の ARP スプーフィング攻撃または無効なコンフィギュレーション(IP-MAC バインディング)が原因となっている可能性があります。

推奨処置 原因が攻撃にある場合、ACL を使用してホストを拒否することができます。原因が無効なコンフィギュレーションにある場合、バインディングを修正します。

322004

エラー メッセージ %ASA-6-322004: No management IP address configured for transparent firewall. Dropping protocol protocol packet from interface_in : source_address / source_port to interface_out : dest_address / dest_port

説明 管理 IP アドレスが透過モードで設定されていないため、適応型セキュリティ アプライアンスがパケットを廃棄しました。

protocol :プロトコルの文字列または値

interface_in :入力インターフェイス名

source_address :パケットの送信元 IP アドレス

source_port :パケットの送信元ポート

interface_out :出力インターフェイス名

dest_address :パケットの宛先 IP アドレス

dest_port :パケットの宛先ポート

推奨処置 デバイスに管理 IP アドレスとマスクの値を設定します。

323001

エラー メッセージ %ASA-3-323001: Module in slot slotnum experienced a control channel communications failure.

説明 適応型セキュリティ アプライアンスが、制御チャネルを介して、スロット slot に設置されているモジュールと通信できません。

slotnum :障害が発生したスロット。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。このエラーの場合、スロットは必ず 1 となります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

323002

エラー メッセージ %ASA-3-323002: Module in slot slotnum is not able to shut down, shut down request not answered.

説明 スロット slot に設置されているモジュールが、シャットダウン要求に応答しませんでした。

slotnum :障害が発生したスロット。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。このメッセージの場合、スロットは必ず 1 となります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

323003

エラー メッセージ %ASA-3-323003: Module in slot slotnum is not able to reload, reload request not answered.

説明 スロット slot に設置されているモジュールが、リロード要求に応答しませんでした。

slotnum :障害が発生したスロット。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。このメッセージの場合、スロットは必ず 1 となります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

323004

エラー メッセージ %ASA-3-323004: Module in slot slotnum failed to write software newver (currently ver ), reason . Hw-module reset is required before further use.

説明 指摘されたスロット番号のモジュールがソフトウェア バージョンに対応できませんでした。UNRESPONSIVE 状態に移行します。モジュールは、ソフトウェアがアップデートされるまで使用できません。

slotnum :モジュールが存在しているスロット番号。

newver :モジュールへの書き込みが正常に終了しなかったソフトウェアの新しいバージョン番号(1.0(1)0 など)。

ver :モジュール上のソフトウェアの現在のバージョン番号(1.0(1)0 など)。

reason :新しいバージョンがモジュールに書き込みできなかった原因。 reason に考えられる値は、次のとおりです。

- write failure

- failed to create a thread to write the image

推奨処置 モジュールは、 hw-module module slotnum reset コマンドを使用してリセットしてから、さらにアップグレードの試行を行う必要があります。モジュール ソフトウェアは、アップデートできない場合、使用できなくなります。モジュールがシャーシにしっかりと取り付けられていることを確認します。問題が解決しない場合、Cisco TAC にお問い合せください。

323005

エラー メッセージ %ASA-3-323005: Module in slot slotnum can not be powered on completely

説明 このメッセージは、モジュールが完全には電源投入できないことを示します。モジュールは、この状態が修正されるまで、UNRESPONSIVE 状態のままになります。この原因として、モジュールがスロットに正しく取り付けられていないことが考えられます。

slotnum :モジュールが存在しているスロット番号

推奨処置 モジュールがスロットに正しく取り付けられていることを確認し、モジュールのステータス LED が点灯しているかどうかをチェックします。モジュールを正しく取り付け直した後、モジュールが電源投入されたことをシステムが認識するまで数分かかることがあります。モジュールが取り付けられていることを確認し、 hw-module module slotnum reset コマンドを使用してモジュールをリセットした後もこのメッセージが表示される場合は、Cisco TAC にお問い合せください。

323006

エラー メッセージ %ASA-1-323006: Type Module in slot slot experienced a data channel communication failure, data channel is DOWN.

説明 このメッセージは、データ チャネル通信障害が発生し、システムが SSM にトラフィックを転送できなかったことを示しています。この障害が HA コンフィギュレーションのアクティブ アプライアンスで発生した場合は、フェールオーバーがトリガーされます。また、この障害によって、通常は SSM に送信されるトラフィックに、設定済みのフェール オープン ポリシーまたはフェール クローズ ポリシーが適用されます。このメッセージは、システム モジュールと SSM の間で適応型セキュリティ アプライアンスのデータプレーンを介した通信上の問題が発生すると必ず生成されます。このような問題は、SSM が停止、リセット、または取り外された場合に発生する可能性があります。

Type :SSM のタイプ(たとえば、ASA-SSM-10)

slot :障害が発生したスロット(たとえば、スロット 1)

推奨処置 このメッセージが SSM のリロードまたはリセットの結果として生成されたのではなく、SSM が UP 状態に戻った後に、対応するメッセージ 505010 が表示されない場合は、 hw-module module 1 reset コマンドによるモジュールのリセットが必要になることがあります。

324000

エラー メッセージ %ASA-3-324000: Drop GTPv version message msg_type from source_interface : source_address / source_port to dest_interface:dest_address/dest_port Reason: reason

説明 処理中のパケットが、 reason 変数に記述されているフィルタリング要件を満たしていないため、廃棄されました。

推奨処置 不要です。

324001

エラー メッセージ %ASA-3-324001: GTPv0 packet parsing error from source_interface : source_address / source_port to dest_interface : dest_address / dest_port , TID: tid_value , Reason: reason

説明 パケットの処理にエラーがありました。考えられる原因は次のとおりです。

必須 IE の不足

必須 IE の誤り

IE の順序の誤り

無効なメッセージ フォーマット

オプション IE の誤り

無効な TEID

不明な IE

不正な長さのフィールド

不明な GTP メッセージ

短すぎるメッセージ

予期しないメッセージの表示

ヌル TID

サポートされていないバージョン

推奨処置 このメッセージが一定期間ごとに表示される場合は、無視してかまいません。このメッセージが頻繁に表示される場合は、エンドポイントが攻撃の一部として不良パケットを送信している可能性があります。

324002

エラー メッセージ %ASA-3-324002: No PDP[MCB] exists to process GTPv0 msg_type from source_interface : source_address / source_port to dest_interface : dest_address / dest_port , TID: tid_value

説明 このメッセージが 321100: Memory allocation Error(メモリ割り当てのエラー)の後に表示される場合、メッセージは PDP コンテキストを作成するのに十分なリソースがなかったことを示します。それ以外の場合、メッセージ 321100 がこの前に表示されることはありません。バージョン 0 では、対応する PDP コンテキストが見つからなかったことを示します。バージョン 1 では、メッセージ 324001 の後にこのメッセージが表示された場合、パケット処理エラーが発生して動作が停止しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

324003

エラー メッセージ %ASA-3-324003: No matching request to process GTPv version msg_type from source_interface:source_address/source_port to source_interface:dest_address/dest_port

説明 受信した応答は、要求キューと一致する要求が含まれていないため、それ以上処理されません。

推奨処置 このメッセージが一定期間ごとに表示される場合は、無視してかまいません。しかし、このメッセージが頻繁に表示される場合は、エンドポイントが攻撃の一部として不良パケットを送信している可能性があります。

324004

エラー メッセージ %ASA-3-324004: GTP packet with version%d from source_interface : source_address / source_port to dest_interface : dest_address / dest_port is not supported

説明 処理中のパケットが、現在サポートされているバージョン 0 またはバージョン 1 以外のバージョンになっています。プリント アウトされているバージョン番号が誤った番号であり、頻繁に表示される場合は、エンドポイントが攻撃の一部として不良パケットを送信している可能性があります。

推奨処置 不要です。

324005

エラー メッセージ %ASA-3-324005: Unable to create tunnel from source_interface : source_address / source_port to dest_interface : dest_address / dest_port

説明 TPDU のトンネルを作成する試行中にエラーが発生しました。

推奨処置 このメッセージが一定期間ごとに発生する場合は、無視してかまいません。頻繁に繰り返される場合は、Cisco TAC にお問い合せください。

324006

エラー メッセージ %ASA-3-324006:GSN IP_address tunnel limit tunnel_limit exceeded, PDP Context TID tid failed

説明 要求を送信している GSN が、作成される最大許容トンネル数を超えたため、トンネルが作成されません。

推奨処置 トンネル制限を増やす必要があるかどうか、またはネットワークへの攻撃の可能性があるかどうかを確認します。

324007

エラー メッセージ %ASA-3-324007: Unable to create GTP connection for response from source_address / 0 to dest_address / dest_port

説明 異なる SGSN または GGSN に対して TPDU のトンネルを作成する試行中にエラーが発生しました。

推奨処置 デバッグ メッセージを調べて、接続が正しく作成されなかった理由を確認します。問題が解決しない場合、Cisco TAC にお問い合せください。

324300

エラー メッセージ %ASA-3-324300: Radius Accounting Request from from_addr has an incorrect request authenticator

説明 ホストに共有秘密が設定されている場合は、その秘密によって要求オーセンティケータが検証されます。検証に失敗すると、ログに記録され、パケット処理が停止します。

from_addr :RADIUS アカウンティング要求を送信しているホストの IP アドレス

推奨処置 正しい共有秘密が設定されていることを確認します。正しい共有秘密が設定されている場合は、パケットの送信元を入念にチェックし、スプーフィングされていないことを確認します。

324301

エラー メッセージ %ASA-3-324301: Radius Accounting Request has a bad header length hdr_len , packet length pkt_len

説明 アカウンティング要求メッセージのヘッダーに示されているパケット長が実際のパケット長と異なるため、パケット処理が停止します。

hdr_len :要求のヘッダーに示されているパケット長

pkt_len :実際のパケット長

推奨処置 パケットがスプーフィングされていないことを確認します。パケットが正当である場合は、パケットを取り込み、syslog メッセージで指摘されているように、ヘッダーに示されているパケット長が誤っていることを確認します。ヘッダーに示されているパケット長が正しく、問題が解決しない場合は、Cisco TAC にお問い合せください。

325001

エラー メッセージ %ASA-3-325001: Router ipv6_address on interface has conflicting ND (Neighbor Discovery) settings

説明 リンク上の別のルータが、矛盾するパラメータを持つルータ アドバタイズメントを送信しました。

ipv6_address :相手側ルータの IPv6 アドレス

interface :相手側ルータとのリンクのインターフェイス名

推奨処置 リンク上の IPv6 ルータがすべて、 hop_limit managed_config_flag other_config_flag reachable_time 、および ns_interval についてルータ アドバタイズメントに同じパラメータを持つことを確認し、複数のルータによってアドバタイズされる、同じプレフィクスの優先される有効なライフタイムが同じであることを確認します。インターフェイスごとにパラメータを示すには、 show ipv6 interface コマンドを入力します。

325002

エラー メッセージ %ASA-4-325002: Duplicate address ipv6_address/MAC_address on interface

説明 別のシステムが IPv6 アドレスを使用しています。

ipv6_address :相手側ルータの IPv6 アドレス

MAC_address :既知の場合は相手側システムの MAC アドレス、それ以外の場合は「unknown」

interface :相手側システムとのリンクのインターフェイス名

推奨処置 2 つのシステムのうちの 1 つの IPv6 アドレスを変更します。

326001

エラー メッセージ %ASA-3-326001: Unexpected error in the timer library: error_message

説明 管理対象タイマー イベントが、コンテキストも正しいタイプもなしで受信されたか、あるいはハンドラがありません。このメッセージは、キューに入るイベントの数がシステム制限を超えたため、後で処理が試行される場合にも表示されます。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326002

エラー メッセージ %ASA-3-326002: Error in error_message : error_message

説明 IGMP プロセスが要求に応じてシャットダウンできませんでした。このシャットダウンに備えて実行されるイベントが同期していない可能性があります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326004

エラー メッセージ %ASA-3-326004: An internal error occurred while processing a packet queue

説明 IGMP パケット キューがパケットを持たない信号を受信しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326005

エラー メッセージ %ASA-3-326005: Mrib notification failed for ( IP_address , IP_address )

説明 データ駆動型イベントをトリガーするパケットが受信され、MRIB を通知する試行が失敗しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326006

エラー メッセージ %ASA-3-326006: Entry-creation failed for ( IP_address , IP_address )

説明 MFIB は MRIB からエントリのアップデートを受信しましたが、表示されるアドレスに関連するエントリを作成できませんでした。このためメモリ不足が生じる可能性があります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326007

エラー メッセージ %ASA-3-326007: Entry-update failed for ( IP_address , IP_address )

説明 MFIB が MRIB からインターフェイスのアップデートを受信しましたが、表示されるアドレスに関連するインターフェイスを作成できませんでした。メモリ不足が原因として考えられます。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326008

エラー メッセージ %ASA-3-326008: MRIB registration failed

説明 MFIB が MRIB に登録できませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326009

エラー メッセージ %ASA-3-326009: MRIB connection-open failed

説明 MFIB が MRIB への接続を開けませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326010

エラー メッセージ %ASA-3-326010: MRIB unbind failed

説明 MFIB が MRIB からアンバインドできませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326011

エラー メッセージ %ASA-3-326011: MRIB table deletion failed

説明 MFIB が削除されるはずだったテーブルを取得できませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326012

エラー メッセージ %ASA-3-326012: Initialization of string functionality failed

説明 指摘された機能の初期化が失敗しました。このコンポーネントは引き続き、機能なしでも動作する可能性があります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326013

エラー メッセージ %ASA-3-326013: Internal error: string in string line %d ( %s )

説明 MRIB で基本エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326014

エラー メッセージ %ASA-3-326014: Initialization failed: error_message error_message

説明 MRIB が初期化できませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326015

エラー メッセージ %ASA-3-326015: Communication error: error_message error_message

説明 MRIB が形式が誤っているアップデートを受信しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326016

エラー メッセージ %ASA-3-326016: Failed to set un-numbered interface for interface_name ( string )

説明 PIM トンネルが送信元アドレスがないため使用できませんでした。この状況は、番号付きインターフェイスが見つからなかったため、または何らかの内部エラーが原因で発生します。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326017

エラー メッセージ %ASA-3-326017: Interface Manager error - string in string : string

説明 PIM トンネル インターフェイスを作成中に、エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326019

エラー メッセージ %ASA-3-326019: string in string : string

説明 PIM RP トンネル インターフェイスを作成中に、エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326020

エラー メッセージ %ASA-3-326020: List error in string : string

説明 PIM インターフェイス リストを処理中に、エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326021

エラー メッセージ %ASA-3-326021: Error in string : string

説明 PIM トンネル インターフェイスの SRC を設定中に、エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326022

エラー メッセージ %ASA-3-326022: Error in string : string

説明 PIM プロセスが要求に応じてシャットダウンできませんでした。このシャットダウンに備えて実行されるイベントが同期していない可能性があります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326023

エラー メッセージ %ASA-3-326023: string - IP_address : string

説明 PIM グループ範囲を処理中に、エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326024

エラー メッセージ %ASA-3-326024: An internal error occurred while processing a packet queue.

説明 PIM パケット キューがパケットを持たない信号を受信しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326025

エラー メッセージ %ASA-3-326025: string

説明 メッセージ送信の試行中に、内部エラーが発生しました。PIM トンネル IDB の削除など、メッセージの受信時に発生するようスケジュールされたイベントが発生しない可能性があります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326026

エラー メッセージ %ASA-3-326026: Server unexpected error: error_message

説明 MRIB がクライアントを登録できませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326027

エラー メッセージ %ASA-3-326027: Corrupted update: error_message

説明 MRIB が破損したアップデートを受信しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

326028

エラー メッセージ %ASA-3-326028: Asynchronous error: error_message

説明 MRIB API で未処理の非同期エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

327001

エラー メッセージ %ASA-3-327001: IP SLA Monitor: Cannot create a new process

説明 IP SLA モニタが新しいプロセスを開始できませんでした。

推奨処置 システム メモリを確認します。メモリが不足している場合は、それが原因である可能性があります。メモリが利用可能になったときに、コマンドを再入力してみます。問題が解決しない場合、Cisco TAC にお問い合せください。

327002

エラー メッセージ %ASA-3-327002: IP SLA Monitor: Failed to initialize, IP SLA Monitor functionality will not work

説明 IP SLA モニタが初期化に失敗しました。この状態は、タイマー ホイール機能が初期化に失敗した場合、またはプロセスが作成されなかった場合に発生します。タスクを完了するために利用できるメモリが十分でない可能性があります。

推奨処置 システム メモリを確認します。メモリが不足している場合は、それが原因である可能性があります。メモリが利用可能になったときに、コマンドを再入力してみます。問題が解決しない場合、Cisco TAC にお問い合せください。

327003

エラー メッセージ %ASA-3-327003: IP SLA Monitor: Generic Timer wheel timer functionality failed to initialize

説明 IP SLA モニタがタイマー ホイールを初期化できませんでした。

推奨処置 システム メモリを確認します。メモリが不足している場合は、そのためにタイマー ホイール機能が初期化されませんでした。メモリが利用可能になったときに、コマンドを再入力してみます。問題が解決しない場合、Cisco TAC にお問い合せください。

328001

エラー メッセージ %ASA-3-328001: Attempt made to overwrite a set stub function in string .

説明 レジストリ チェック付きスタブが起動されたときのコールバックとして、1 つの機能を設定できます。このメッセージは、コールバック機能がすでに設定されていたため、新しいコールバックの設定試行が失敗したことを示しています。

string :機能の名前

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

329001

エラー メッセージ %ASA-3-329001: The string0 subblock named string1 was not removed

説明 ソフトウェア エラーが発生しました。このメッセージは、IDB サブブロックを削除できない場合に表示されます。

string0 :SWIDB または HWIDB

string1 :サブブロックの名前

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

331001

エラー メッセージ ASA-3-331001: Dynamic DNS Update for ' fqdn_name ' = ip_address failed

説明 このメッセージは、ダイナミック DNS サブシステムが DNS サーバ上のリソース レコードをアップデートできなかった場合に生成されます。この障害は、適応型セキュリティ アプライアンスが DNS サーバにアクセスできない場合、または対象のシステム上で DNS サービスが動作していない場合に発生する可能性があります。

fqdn_name :DNS アップデートが試行された完全修飾ドメイン名

ip_address :DNS アップデートの IP アドレス

推奨処置 DNS サーバが設定されており、適応型セキュリティ アプライアンスから到達可能であることを確認します。問題が解決しない場合、Cisco TAC にお問い合せください。

331002

エラー メッセージ ASA-5-331002: Dynamic DNS type RR for (' fqdn_name ' - ip_address | ip_address - ' fqdn_name ') successfully updated in DNS server dns_server_ip

説明 このメッセージは、DNS サーバでダイナミック DNS アップデートが成功した場合に生成されます。

type :リソース レコードのタイプ(「A」や「PTR」など)

fqdn_name :DNS アップデートが試行された完全修飾ドメイン名

ip_address :DNS アップデートの IP アドレス

dns_server_ip :DNS サーバの IP アドレス

推奨処置 不要です。

332001

エラー メッセージ %ASA-3-332001: Unable to open cache discovery socket, WCCP V2 closing down.

説明 内部エラーです。WCCP プロセスが、キャッシュからのプロトコル メッセージのリスンに使用される UDP ソケットを開くことができなかったことを示しています。

推奨処置 IP コンフィギュレーションが正しいこと、および少なくとも 1 つの IP アドレスが設定されていることを確認します。

332002

エラー メッセージ %ASA-3-332002: Unable to allocate message buffer, WCCP V2 closing down.

説明 内部エラーです。WCCP プロセスが、着信プロトコル メッセージを保持するためのメモリを割り当てることができなかったことを示しています。

推奨処置 すべてのプロセスに利用可能な十分なメモリがあることを確認します。

332003

エラー メッセージ %ASA-5-332003: Web Cache IP_address / service_ID acquired

説明 適応型セキュリティ アプライアンスの Web キャッシュからのサービスが取得されました。

IP_address :Web キャッシュの IP アドレス

service_ID :WCCP サービス識別子

推奨処置 不要です。

332004

エラー メッセージ %ASA-1-332004: Web Cache IP_address / service_ID lost

説明 適応型セキュリティ アプライアンスの Web キャッシュからのサービスが失われました。

IP_address :Web キャッシュの IP アドレス

service_ID :WCCP サービス識別子

推奨処置 指摘された Web キャッシュの動作を確認します。

333001

エラー メッセージ %ASA-6-333001: EAP association initiated - context: EAP-context

説明 リモート ホストとの EAP アソシエーションが開始されました。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 不要です。

333002

エラー メッセージ %ASA-5-333002: Timeout waiting for EAP response - context: EAP-context

説明 EAP 応答を待っている間にタイムアウトが発生しました。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 不要です。

333003

エラー メッセージ %ASA-6-333003: EAP association terminated - context: EAP-context

説明 リモート ホストとの EAP アソシエーションが終了しました。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 不要です。

333004

エラー メッセージ %ASA-7-333004: EAP-SQ response invalid - context: EAP-context

説明 EAP ステータス クエリーの応答が、基本的なパケット検証に失敗しました。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

333005

エラー メッセージ %ASA-7-333005: EAP-SQ response contains invalid TLV(s) - context: EAP-context

説明 EAP ステータス クエリーの応答に、1 つまたは複数の無効な TLV が含まれています。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

333006

エラー メッセージ %ASA-7-333006: EAP-SQ response with missing TLV(s) - context: EAP-context

説明 EAP ステータス クエリーの応答に、1 つまたは複数の必須 TLV がありません。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

333007

エラー メッセージ %ASA-7-333007: EAP-SQ response TLV has invalid length - context: EAP-context

説明 EAP ステータス クエリーの応答に、無効な長さの TLV が含まれています。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

333008

エラー メッセージ %ASA-7-333008: EAP-SQ response has invalid nonce TLV - context: EAP-context

説明 EAP ステータス クエリーの応答に、無効なナンス TLV が含まれています。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

333009

エラー メッセージ %ASA-6-333009: EAP-SQ response MAC TLV is invalid - context: EAP-context

説明 EAP ステータス クエリーの応答に、計算された MAC と一致しない MAC が含まれています。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

333010

エラー メッセージ %ASA-5-333010: EAP-SQ response Validation Flags TLV indicates PV request - context: EAP-context

説明 EAP ステータス クエリーの応答に、ピアが完全なポスチャ検証を要求したことを示す Validation Flags TLV が含まれています。

推奨処置 不要です。

334001

エラー メッセージ %ASA-6-334001: EAPoUDP association initiated - host-address

説明 リモート ホストとの EAPoUDP アソシエーションが開始されました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

334002

エラー メッセージ %ASA-5-334002: EAPoUDP association successfully established - host-address

説明 ホストとの EAPoUDP アソシエーションが正常に確立されました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

334003

エラー メッセージ %ASA-5-334003: EAPoUDP association failed to establish - host-addre ss

説明 ホストとの EAPoUDP アソシエーションを確立できませんでした。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 Cisco Secure Access Control Server のコンフィギュレーションを確認します。

334004

エラー メッセージ %ASA-6-334004: Authentication request for NAC Clientless host - host-address

説明 NAC クライアントレス ホストの認証要求が行われました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

334005

エラー メッセージ %ASA-5-334005: Host put into NAC Hold state - host-address

説明 ホストの NAC セッションが Hold 状態になりました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

334006

エラー メッセージ %ASA-5-334006: EAPoUDP failed to get a response from host - host-address

説明 ホストから EAPoUDP 応答を受信しませんでした。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

334007

エラー メッセージ %ASA-6-334007: EAPoUDP association terminated - host-address

説明 ホストとの EAPoUDP アソシエーションが終了しました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

334008

エラー メッセージ %ASA-6-334008: NAC EAP association initiated - host-address , EAP context: EAP-context

説明 EAPoUDP がホストとの EAP を開始しました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 不要です。

334009

エラー メッセージ %ASA-6-334009: Audit request for NAC Clientless host - Assigned_IP.

説明 これは、指摘された割り当て済み IP アドレスの監査要求が送信されていることを示す情報メッセージです。

Assigned_IP :クライアントに割り当てられている IP アドレス

推奨処置 不要です。

335001

エラー メッセージ %ASA-6-335001: NAC session initialized - host-address

説明 リモート ホストの NAC セッションが開始されました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

335002

エラー メッセージ %ASA-5-335002: Host is on the NAC Exception List - host-address , OS: oper-sys

説明 クライアントが NAC 例外リストに入っているため、ポスチャ検証の対象になりません。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

oper-sys :ホストのオペレーティング システム(たとえば、Windows XP)。

推奨処置 不要です。

335003

エラー メッセージ %ASA-5-335003: NAC Default ACL applied, ACL: ACL-name - host-address

説明 クライアントに NAC デフォルト ACL が適用されました。

ACL-name :適用されている ACL の名前。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

335004

エラー メッセージ %ASA-6-335004: NAC is disabled for host - host-address

説明 リモート ホストに対して NAC がディセーブルになっています。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

335004

エラー メッセージ %ASA-6-335004: NAC is disabled for host - host-address

説明 リモート ホストに対して NAC がディセーブルになっています。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

335005

エラー メッセージ %ASA-4-335005: NAC Downloaded ACL parse failure - host-address

説明 ダウンロードされた ACL の解析に失敗しました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 Cisco Secure Access Control Server のコンフィギュレーションを確認します。

335006

エラー メッセージ %ASA-6-335006: NAC Applying ACL: ACL-name - host-address

説明 NAC ポスチャ検証の結果として適用されている ACL の名前です。

ACL-name :適用されている ACL の名前。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

335007

エラー メッセージ %ASA-7-335007: NAC Default ACL not configured - host-address

説明 NAC デフォルト ACL が設定されていません。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

335008

エラー メッセージ %ASA-5-335008: NAC IPSec terminate from dynamic ACL: ACL-name - host-address

説明 PV の結果として取得されたダイナミック ACL が IPSec の終端を保証します。

ACL-name :適用されている ACL の名前。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

335009

エラー メッセージ %ASA-6-335009: NAC 'Revalidate' request by administrative action - host-address

説明 管理者によって NAC の「Revalidate」が要求されました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

335010

エラー メッセージ %ASA-6-335010: NAC 'Revalidate All' request by administrative action - num sessions

説明 管理者によって NAC の「Revalidate All」が要求されました。

num :再検証されるセッション数を示す 10 進の整数

推奨処置 不要です。

335011

エラー メッセージ %ASA-6-335011: NAC 'Revalidate Group' request by administrative action for group-name group - num sessions

説明 管理者によって NAC の「Revalidate Group」が要求されました。

group-name :VPN グループ名

num :再検証されるセッション数を示す 10 進の整数

推奨処置 不要です。

335012

エラー メッセージ %ASA-6-335012: NAC 'Initialize' request by administrative action - host-address

説明 管理者によって NAC の「Initialize」が要求されました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

335013

エラー メッセージ %ASA-6-335013: NAC 'Initialize All' request by administrative action - num sessions

説明 管理者によって NAC の「Initialize All」が要求されました。

num :再検証されるセッション数を示す 10 進の整数

推奨処置 不要です。

335014

エラー メッセージ %ASA-6-335014: NAC 'Initialize Group' request by administrative action for group-name group - num sessions

説明 管理者によって NAC の「Initialize Group」が要求されました。

group-name :VPN グループ名

num :再検証されるセッション数を示す 10 進の整数

推奨処置 不要です。

336001

エラー メッセージ %ASA-3-336001 Route desination_network stuck-in-active state in EIGRP- ddb_name as_num. Cleaning up

説明 stuck-in-active(SIA)状態とは、EIGRP ルータが、割り当てられた時間(約 3 分)内に 1 つまたは複数の隣接ルータからクエリーに対する応答を受信しなかったことを意味します。この状態が発生した場合、EIGRP は、応答を送信しなかった隣接ルータとの隣接関係を解消し、アクティブになったルートに関するエラー メッセージをログに記録します。

destination_network :アクティブになったルート

ddb_name :IPv4

as_num :EIGRP ルータ

推奨処置 ルータが一部の隣接ルータから応答を受信しなかった原因、およびルートが消失した原因を確認します。

336002

エラー メッセージ %ASA-3-336002: Handle handle_id is not allocated in pool.

説明 EIGRP ルータは、ネクストホップのハンドルを見つけることができません。

handle_id :見つからないハンドルの ID

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

336003

エラー メッセージ %ASA-3-336003: No buffers available for bytes byte packet

説明 Diffusing Update Algorithm(DUAL)ソフトウェアが、パケット バッファを割り当てることができませんでした。システムのメモリが不足している可能性があります。

bytes :パケット内のバイト数

推奨処置 show mem または show tech コマンドを入力して、システムのメモリが不足しているかどうかを確認します。問題が解決しない場合、Cisco TAC にお問い合せください。

336004

エラー メッセージ %ASA-3-336004: Negative refcount in pakdesc pakdesc.

説明 リファレンス カウントのパケット カウントが負になりました。

pakdesc :パケット識別子

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

336005

エラー メッセージ %ASA-3-336005: Flow control error, error , on interface_name.

説明 このログは、インターフェイスでマルチキャストのフローブロックが発生した場合に発行されます。Qelm はキュー要素で、この場合は、この特定のインターフェイスのキューにある最後のマルチキャスト パケットです。

error :エラー文「Qelm on flow ready」

interface_name :エラーが発生したインターフェイスの名前

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

336006

エラー メッセージ %ASA-3-336006: num peers exist on IIDB interface_name.

説明 EIGRP の IDB のクリーンアップ中またはクリーンアップ後、特定のインターフェイス上にピアがまだ存在しています。

num :ピアの数

interface_name :インターフェイス名

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

336007

エラー メッセージ %ASA-3-336007: Anchor count negative

説明 エラーが発生し、アンカーの解放時にアンカー カウントが負になりました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

336008

エラー メッセージ %ASA-3-336008: Lingering DRDB deleting IIDB, dest network, nexthop address (interface), origin origin_str

説明 インターフェイスが削除されており、長期の DRDB が存在します。

network:宛先ネットワーク

address:ネクストホップ アドレス

interface:ネクストホップ インターフェイス

origin_str:起点を定義する文字列

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

336009

エラー メッセージ %ASA-3-336009 ddb_name as_id: Internal Error

説明 内部エラーが発生しました。

ddb_name :Protocol Dependent Module(PDM; プロトコル依存モジュール)名(たとえば、IPv4 PDM)

as_id :自律システム ID

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

336010

エラー メッセージ %ASA-5-336010 EIGRP- ddb_name tableid as_id: Neighbor address (%interface) is event_msg: msg

説明 隣接ルータがアップまたはダウンしました。

ddb_name :IPv4

tableid :RIB の内部 ID

as_id :自律システム ID

address :隣接ルータの IP アドレス

interface :インターフェイスの名前

event_msg :隣接ルータで発生しているイベント(つまり、「up」または「down」)

msg :イベントの原因 ( event_msg msg の値ペアには次のものがあります)

- resync: peer graceful-restart

- down: holding timer expired

- up: new adjacency

- down: Auth failure

- down: Stuck in Active

- down: Interface PEER-TERMINATION received

- down: K-value mismatch

- down: Peer Termination received

- down: stuck in INIT state

- down: peer info changed

- down: summary configured

- down: Max hopcount changed

- down: metric changed

- down: [No reason]

推奨処置 隣接ルータのリンクがダウンまたはフラッピングしている原因を確認します。これは、問題の兆候である可能性があります。または、これが原因で問題が発生する可能性があります。

336011

エラー メッセージ %ASA-6-336011: event event

説明 デュアル イベントが発生しました。イベントは次のいずれかです。

Redist rt change

SIA Query while Active

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

337001

エラー メッセージ %ASA-3-337001: Phone Proxy SRTP: Encryption failed on packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port

説明 このメッセージは、暗号ハードウェアで SRTP 暗号化を実行できなかった場合に表示されます。

in_ifc :入力インターフェイス

src_ip :パケットの送信元 IP アドレス

src_port :パケット出力インターフェイスの送信元ポート

dest_ip :パケットの宛先 IP アドレス

dest_port :パケットの宛先ポート

推奨処置 このメッセージが引き続き表示される場合は、暗号ハードウェアをデバッグして SRTP 暗号化が失敗する原因を調べてもらうよう Cisco TAC に依頼してください。

337002

エラー メッセージ %ASA-3-337002: Phone Proxy SRTP: Decryption failed on packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port

説明 このメッセージは、暗号ハードウェアで SRTP 復号化を実行できなかった場合に表示されます。

in_ifc :入力インターフェイス

src_ip :パケットの送信元 IP アドレス

src_port :パケット出力インターフェイスの送信元ポート

dest_ip :パケットの宛先 IP アドレス

dest_port :パケットの宛先ポート

推奨処置 このメッセージが引き続き表示される場合は、暗号ハードウェアをデバッグして SRTP 復号化が失敗する原因を調べてもらうよう Cisco TAC に依頼してください。

337003

エラー メッセージ %ASA-3-337003: Phone Proxy SRTP: Authentication tag generation failed on packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port

説明 このメッセージは、暗号ハードウェアで認証タグの生成に失敗した場合に表示されます。

in_ifc :入力インターフェイス

src_ip :パケットの送信元 IP アドレス

src_port :パケット出力インターフェイスの送信元ポート

dest_ip :パケットの宛先 IP アドレス

dest_port :パケットの宛先ポート

推奨処置 このメッセージが引き続き表示される場合は、暗号ハードウェアをデバッグして認証タグの SRTP 生成が失敗する原因を調べてもらうよう Cisco TAC に依頼してください。

337004

エラー メッセージ %ASA-3-337004: Phone Proxy SRTP: Authentication tag validation failed on packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port

説明 このメッセージは、計算された認証タグがパケット内の認証タグと一致しない場合に表示されます。

in_ifc :入力インターフェイス

src_ip :パケットの送信元 IP アドレス

src_port :パケット出力インターフェイスの送信元ポート

dest_ip :パケットの宛先 IP アドレス

dest_port :パケットの宛先ポート

推奨処置 攻撃が進行中かどうかを確認します。

337005

エラー メッセージ %ASA-4-337005: Phone Proxy SRTP: Media session not found for media_term_ip / media_term_port for packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port

説明 このメッセージは、適応型セキュリティ アプライアンスでメディア終端 IP アドレスおよびポートを宛先とした SRTP/RTP パケットを取得したが、このパケットを処理するための対応するメディア セッションが見つからない場合に表示されます。

in_ifc :入力インターフェイス

src_ip :パケットの送信元 IP アドレス

src_port :パケットの送信元ポート

out_ifc :出力インターフェイス

dest_ip :パケットの宛先 IP アドレス

dest_port :パケットの宛先ポート

推奨処置 この syslog がコールの最後に生成された場合、正常であると考えられます。シグナリング メッセージによりメディア セッションは解放された可能性がありますが、エンドポイントでは引き続きいくつかの SRTP/RTP パケットが送信されているためです。この syslog が奇数のメディア終端ポートに対して生成された場合、エンドポイントでは RTCP が送信されており、それを CUCM からディセーブルにする必要があります。この syslog がコールに対して継続的に生成される場合は、電話プロキシ デバッグ コマンドまたは取り込みコマンドを使用してシグナリング メッセージ トランザクションをデバッグし、シグナリング メッセージがメディア終端 IP アドレスおよびポートで変更されているかどうかを確認します。

337006

エラー メッセージ %ASA-3-337006: Phone Proxy SRTP: Failed to sign file filename requested by UDP client cifc:caddr/cport for sifc : saddr / sport

説明 このメッセージは、暗号ハードウェアで暗号化の実行とファイルのシグニチャの作成が失敗した場合に表示されます。

filename :ファイルの名前

sifc :サーバ インターフェイス

saddr :サーバ IP アドレス

sport :サーバ ポート

cifc :クライアント インターフェイス

caddr :クライアント IP アドレス

cport :クライアント ポート

推奨処置 このメッセージが引き続き表示される場合は、関連する syslog メッセージで暗号ハードウェア エンジン関連の他のエラーを確認してください。

337007

エラー メッセージ %ASA-3-337007: Phone Proxy SRTP: Failed to find configuration file filename for UDP client cifc:caddr/cport by server sifc : saddr / sport

説明 このメッセージは、電話によりそのコンフィギュレーション ファイルが要求されたときに CUCM から「File Not Found」エラーが返された場合に表示されます。

filename :ファイルの名前

sifc :サーバ インターフェイス

saddr :サーバ IP アドレス

sport :サーバ ポート

cifc :クライアント インターフェイス

caddr :クライアント IP アドレス

cport :クライアント ポート

推奨処置 対象の電話が CUCM で設定されていることを確認します。

337008

エラー メッセージ %ASA-3-337008: Phone Proxy: Unable to allocate media port from media-termination address phone_proxy_ifc : media_term_IP for client_ifc : client_IP / client_port ; call failed.

説明 この syslog は、新しいメディア セッションの作成時にデバイスでメディアに割り当てるポートを検出できなかった場合に表示されます。このメッセージは、ユーザが電話プロキシ用に media-termination address コマンドで指定したポート範囲が十分に広くない場合や利用可能なすべてのポートがすでに使用されている場合にも表示されることがあります。

media-termination address :メディア終端アドレス

phone_proxy_ifc :メディア終端インターフェイス名(ID)

media_term_ip :メディア終端 IP アドレス

client_ifc :クライアント インターフェイス名

client_ip :クライアント IP アドレス

client_port :クライアント ポート

推奨処置 電話プロキシ コンフィギュレーションを確認して、指定されているメディア ポートの範囲を調べ、範囲が狭すぎる場合は広範囲のメディア ポートを割り当てます(セキュリティ ポリシーで許可される場合)。デフォルトのポート範囲は 16384 ~ 32767 です。

337009

エラー メッセージ %ASA-3-337009: Unable to create secure phone entry, interface : IPaddr is already configured for the same MAC mac_addr .

説明 この syslog は、同じセキュア電話を異なる IP アドレスで登録しようとした場合に生成されます。古い IP アドレスに対応する MAC アドレスのエントリはすでに存在するため、同じ MAC アドレスと別の IP アドレスを使用したエントリを複数登録することはできません。

interface :既存のエントリの登録に使用されたインターフェイス名

ipaddr :既存のセキュア電話エントリの IP アドレス

mac_addr :電話の MAC アドレス

推奨処置 show phone-proxy secure-phones コマンドの出力を確認します。 clear コマンドを実行して、問題の原因となっているエントリを消去します。その後、電話を新しい IP アドレスで登録します。

338001

エラー メッセージ %ASA-4-338001: Dynamic filter action black listed protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port) to out_interface : dest_ip_addr / dest_port , ( mapped-ip / mapped-port), source malicious address resolved from local or dynamic list: domain name

説明 この syslog メッセージは、ダイナミック フィルタ データベース内のブラックリスト ドメインからのトラフィックが発生した場合に生成されます。

推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、シャニングまたはアクセス コントロールを追加して対象の感染ホストまたはブラックリスト IP アドレスに対する今後のアクセスをブロックします。

338002

エラー メッセージ %ASA-4-338002: Dynamic filter action black listed protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: domain name

説明 この syslog メッセージは、ダイナミック フィルタ データベース内のブラックリスト ドメインへのトラフィックが発生した場合に生成されます。

推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、シャニングまたはアクセス コントロールを追加して対象の感染ホストまたはブラックリスト IP アドレスに対する今後のアクセスをブロックします。

338003

エラー メッセージ %ASA-4-338003: Dynamic filter action black listed protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port) to out_interface : dest_ip_addr / dest_port , ( mapped-ip / mapped-port), source malicious address resolved from local or dynamic list: ip address/netmask

説明 この syslog メッセージは、ダイナミック フィルタ データベース内のブラックリスト IP アドレスからのトラフィックが発生した場合に生成されます。

推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、シャニングまたはアクセス コントロールを追加して対象の感染ホストまたはブラックリスト IP アドレスに対する今後のアクセスをブロックします。

338004

エラー メッセージ %ASA-4-338004: Dynamic filter action black listed protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: ip address/netmask

説明 この syslog メッセージは、ダイナミック フィルタ データベース内のブラックリスト IP アドレスへのトラフィックが発生した場合に生成されます。

推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、シャニングまたはアクセス コントロールを追加して対象の感染ホストまたはブラックリスト IP アドレスに対する今後のアクセスをブロックします。

338101

エラー メッセージ %ASA-4-338101: Dynamic filter action white listed protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port) to out_interface : dest_ip_addr / dest_port , ( mapped-ip / mapped-port), source malicious address resolved from local or dynamic list: domain name

説明 この syslog メッセージは、ダイナミック フィルタ データベース内のホワイトリスト ドメインへのトラフィックが発生した場合に生成されます。

推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、シャニングまたはアクセス コントロールを追加して対象の感染ホストまたはホワイトリスト IP アドレスに対する今後のアクセスをブロックします。

338102

エラー メッセージ %ASA-4-338102: Dynamic filter action white listed protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: domain name

説明 この syslog メッセージは、ダイナミック フィルタ データベース内のホワイトリスト ドメインからのトラフィックが発生した場合に生成されます。

推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、シャニングまたはアクセス コントロールを追加して対象の感染ホストまたはホワイトリスト IP アドレスに対する今後のアクセスをブロックします。

338103

エラー メッセージ %ASA-4-338103: Dynamic filter action white listed protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port) to out_interface : dest_ip_addr / dest_port , ( mapped-ip / mapped-port), source malicious address resolved from local or dynamic list: ip address/netmask

説明 この syslog メッセージは、ダイナミック フィルタ データベース内のホワイトリスト IP アドレスへのトラフィックが発生した場合に生成されます。

推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、シャニングまたはアクセス コントロールを追加して対象の感染ホストまたはホワイトリスト IP アドレスに対する今後のアクセスをブロックします。

338104

エラー メッセージ %ASA-4-338104: Dynamic filter action white listed protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: ip address/netmask

説明 この syslog メッセージは、ダイナミック フィルタ データベース内のホワイトリスト IP アドレスからのトラフィックが発生した場合に生成されます。

推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、シャニングまたはアクセス コントロールを追加して対象の感染ホストまたはホワイトリスト IP アドレスに対する今後のアクセスをブロックします。

338201

エラー メッセージ %ASA-4-338201: Dynamic filter action grey listed protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port) to out_interface : dest_ip_addr / dest_port , ( mapped-ip / mapped-port), source malicious address resolved from local or dynamic list: domain name

説明 この syslog メッセージは、ダイナミック フィルタ データベース内のグレーリスト ドメインへのトラフィックが発生した場合に生成されます。

推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、シャニングまたはアクセス コントロールを追加して対象の感染ホストまたはグレーリスト IP アドレスに対する今後のアクセスをブロックします。

338202

エラー メッセージ %ASA-4-338202: Dynamic filter action grey listed protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: domain name

説明 この syslog メッセージは、ダイナミック フィルタ データベース内のグレーリスト ドメインからのトラフィックが発生した場合に生成されます。

推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、シャニングまたはアクセス コントロールを追加して対象の感染ホストまたはグレーリスト IP アドレスに対する今後のアクセスをブロックします。

338301

エラー メッセージ %ASA-4-338301: Intercepted DNS reply for domain name from in_interface : src_ip_addr / src_port to out_interface : dest_ip_addr / dest_port , matched list

説明 この syslog メッセージは、管理者のホワイトリスト、ブラックリスト、または IronPort リストに存在する DNS 応答が代行受信された場合に生成されます。

name :ドメイン名

list :ドメイン名、管理者のホワイトリスト、ブラックリスト、または IronPort リストを含むリスト

推奨処置 不要です。

338302

エラー メッセージ %ASA-5-338302: Address ipaddr discovered for domain name from list , Adding rule

説明 この syslog メッセージは、ダイナミック フィルタ規則テーブルに対する DNS 応答から検出された IP アドレスが追加された場合に生成されます。

ipaddr :DNS 応答からの IP アドレス

name :ドメイン名

list :ドメイン名、管理者のブラックリスト、または IronPort リストを含むリスト

推奨処置 不要です。

338303

エラー メッセージ %ASA-5-338303: Address ipaddr ( name) timed out, Removing rule

説明 この syslog メッセージは、ダイナミック フィルタ規則テーブルから検出された IP アドレスが削除された場合に生成されます。

ipaddr :DNS 応答からの IP アドレス

name :ドメイン名

推奨処置 不要です。

338304

エラー メッセージ %ASA-6-338304: Successfully downloaded dynamic filter data file from updater server url

説明 この syslog メッセージは、新しいバージョンのデータ ファイルがダウンロードされた場合に生成されます。

url :アップデータ サーバの URL

推奨処置 不要です。

338305

エラー メッセージ %ASA-3-338305: Failed to download dynamic filter data file from updater server url

説明 この syslog メッセージは、ダイナミック フィルタ データベースのダウンロードに失敗した場合に生成されます。

url :アップデータ サーバの URL

推奨処置 アップデータ サーバの URL を解決できるように、適応型セキュリティ アプライアンスに DNS コンフィギュレーションが存在することを確認します。適応型セキュリティ アプライアンスからサーバに対して ping を実行できない場合は、正しいネットワーク接続およびルーティング コンフィギュレーションについてネットワーク管理者に確認してください。問題が解決しない場合、Cisco TAC にお問い合せください。

338306

エラー メッセージ %ASA-3-338306: Failed to authenticate with dynamic filter updater server url

説明 この syslog メッセージは、適応型セキュリティ アプライアンスがダイナミック フィルタ アップデータ サーバに対する認証に失敗した場合に生成されます。

url :アップデータ サーバの URL

推奨処置 Cisco TAC にお問い合せください。

338307

エラー メッセージ %ASA-3-338307: Failed to decrypt downloaded dynamic filter database file

説明 この syslog メッセージは、ダウンロードしたダイナミック フィルタ データベース ファイルの復号化に失敗した場合に生成されます。

推奨処置 Cisco TAC にお問い合せください。

338308

エラー メッセージ %ASA-5-338308: Dynamic filter updater server dynamically changed from old_server_host : old_server_port to new_server_host : new_server_port

説明 この syslog メッセージは、適応型セキュリティ アプライアンスが新しいアップデータ サーバのホストまたはポートに向けられた場合に生成されます。

old_server_host : old_server_port :今までのアップデータ サーバのホストとポート

new_server_host : new_server_port :新しいアップデータ サーバのホストとポート

推奨処置 不要です。

338309

エラー メッセージ %ASA-3-338309: The license on this ASA does not support dynamic filter updater feature.

説明 ダイナミック フィルタ アップデータはライセンス対象の機能です。ただし、適応型セキュリティ アプライアンスのライセンスでは、この機能はサポートされていません。

推奨処置 不要です。

338310

エラー メッセージ %ASA-3-338310: Failed to update from dynamic filter updater server url, reason: reason string

説明 適応型セキュリティ アプライアンスでダイナミック フィルタ アップデータ サーバからのアップデートの受信に失敗しました。

url :アップデータ サーバの URL。

reason string :失敗の原因。次のいずれかです。

- アップデータ サーバへの接続失敗

- 無効なサーバ応答の受信

- 無効なサーバ マニフェストの受信

- 格納されているアップデート ファイル情報のエラー

- スクリプト エラー

- 機能コール エラー

- メモリ不足

推奨処置 サーバへのネットワーク接続を確認します。 show dynamic-filter updater-client コマンドの出力に示されるサーバ URL に対して ping を実行します。ポートがネットワークを通過できるようになっていることを確認します。ネットワーク接続に問題がない場合は、ネットワーク管理者にお問い合せください。

メッセージ 400000 ~ 450001

この項では、400000 から 450001 までのメッセージについて説明します。

4000nn

エラー メッセージ %ASA-4-4000nn: IPS: number string from IP_address to IP_address on interface interface_name

説明 メッセージ 400000 ~ 400051 は、Cisco Intrusion Prevention Service のシグニチャ メッセージです。

推奨処置 Cisco.com にある『Cisco Intrusion Prevention Service User Guide』を参照してください。

今回のリリースの適応型セキュリティ アプライアンスでは、このメッセージがすべてサポートされているわけではありません。IPS syslog メッセージは、すべて 4-4000nn で始まり、次の形式になります。

 

number

シグニチャ番号。詳細については、Cisco.com にある『Cisco Intrusion Prevention Service User Guide』を参照してください。

string

シグニチャ メッセージ(NetRanger シグニチャ メッセージとほぼ同じです)。

IP_address

シグニチャが適用されるローカル ツー リモート アドレス。

interface_name

シグニチャが基づくインターフェイスの名前。

次に例を示します。

%ASA-4-400013 IPS:2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz
%ASA-4-400032 IPS:4051 UDP Snork attack from 10.1.1.1 to 192.168.1.1 on interface outside
 

表 1-5 に、サポートされているシグニチャ メッセージを示します。

 

表 1-5 IPS Syslog メッセージ

メッセージ番号
シグニチャ ID
シグニチャ タイトル
シグニチャ タイプ

400000

1000

IP options-Bad Option List

情報

400001

1001

IP options-Record Packet Route

情報

400002

1002

IP options-Timestamp

情報

400003

1003

IP options-Security

情報

400004

1004

IP options-Loose Source Route

情報

400005

1005

IP options-SATNET ID

情報

400006

1006

IP options-Strict Source Route

情報

400007

1100

IP Fragment Attack

攻撃

400008

1102

IP Impossible Packet

攻撃

400009

1103

IP Fragments Overlap

攻撃

400010

2000

ICMP Echo Reply

情報

400011

2001

ICMP Host Unreachable

情報

400012

2002

ICMP Source Quench

情報

400013

2003

ICMP Redirect

情報

400014

2004

ICMP Echo Request

情報

400015

2005

ICMP Time Exceeded for a Datagram

情報

400016

2006

ICMP Parameter Problem on Datagram

情報

400017

2007

ICMP Timestamp Request

情報

400018

2008

ICMP Timestamp Reply

情報

400019

2009

ICMP Information Request

情報

400020

2010

ICMP Information Reply

情報

400021

2011

ICMP Address Mask Request

情報

400022

2012

ICMP Address Mask Reply

情報

400023

2150

Fragmented ICMP Traffic

攻撃

400024

2151

Large ICMP Traffic

攻撃

400025

2154

Ping of Death Attack

攻撃

400026

3040

TCP NULL flags

攻撃

400027

3041

TCP SYN+FIN flags

攻撃

400028

3042

TCP FIN only flags

攻撃

400029

3153

FTP Improper Address Specified

情報

400030

3154

FTP Improper Port Specified

情報

400031

4050

UDP Bomb attack

攻撃

400032

4051

UDP Snork attack

攻撃

400033

4052

UDP Chargen DoS attack

攻撃

400034

6050

DNS HINFO Request

情報

400035

6051

DNS Zone Transfer

情報

400036

6052

DNS Zone Transfer from High Port

情報

400037

6053

DNS Request for All Records

情報

400038

6100

RPC Port Registration

情報

400039

6101

RPC Port Unregistration

情報

400040

6102

RPC Dump

情報

400041

6103

Proxied RPC Request

攻撃

400042

6150

ypserv (YP server daemon) Portmap Request

情報

400043

6151

ypbind (YP bind daemon) Portmap Request

情報

400044

6152

yppasswdd (YP password daemon) Portmap Request

情報

400045

6153

ypupdated (YP update daemon) Portmap Request

情報

400046

6154

ypxfrd (YP transfer daemon) Portmap Request

情報

400047

6155

mountd (mount daemon) Portmap Request

情報

400048

6175

rexd (remote execution daemon) Portmap Request

情報

400049

6180

rexd (remote execution daemon) Attempt

情報

400050

6190

statd Buffer Overflow

攻撃

401001

エラー メッセージ %ASA-4-401001: Shuns cleared

説明 メモリから既存の排除を削除するために clear shun コマンドが入力されました。

推奨処置 不要です。このメッセージは、シャニング アクティビティの記録を組織が保持できるようにするために表示されます。

401002

エラー メッセージ %ASA-4-401002: Shun added: IP_address IP_address port port

説明 shun コマンドが入力されました。このコマンドの最初の IP アドレスは排除されたホストです。その他のアドレスとポートはオプションであり、有効な場合は接続を終了するのに使用されます。

推奨処置 不要です。このメッセージは、シャニング アクティビティの記録を組織が保持できるようにするために表示されます。

401003

エラー メッセージ %ASA-4-401003: Shun deleted: IP_address

説明 排除されたホストの 1 つが排除データベースから削除されました。

推奨処置 不要です。このメッセージは、シャニング アクティビティの記録を組織が保持できるようにするために表示されます。

401004

エラー メッセージ %ASA-4-401004: Shunned packet: IP_address = IP_address on interface interface_name

説明 IP SRC によって定義されたホストは排除データベースのホストであるために、パケットが廃棄されました。排除されたホストは、そこで排除されたインターフェイスにトラフィックを渡すことはできません。たとえば、インターネット上の外部ホストは外部インターフェイス上で排除されます。

推奨処置 不要です。このメッセージは、排除されたホストのアクティビティの記録を提供します。このメッセージと %ASA-4-401005 を使用すると、このホストに関するリスク評価を詳しく見積もることができます。

401005

エラー メッセージ %ASA-4-401005: Shun add failed: unable to allocate resources for IP_address IP_address port port

説明 適応型セキュリティ アプライアンスのメモリが不足しています。排除が適用できません。

推奨処置 Cisco Intrusion Detection System は、引き続き、この規則を適用しようとします。メモリを再利用して排除を手動で再適用するか、または Cisco Intrusion Detection System によって排除が適用されるのを待機します。

402101

エラー メッセージ %ASA-4-402101: decaps: rec'd IPSEC packet has invalid spi for destaddr= dest_address , prot= protocol , spi= number

説明 適応型セキュリティ アプライアンスで、Security Association Database(SADB; セキュリティ アソシエーション データベース)に存在しない Security Parameter Index(SPI; セキュリティ パラメータ インデックス)を指定した IPSec パケットを受信しました。これは、IPSec ピア間の SA のエージングのわずかな相違による一時的な状態か、またはローカル SA の消去が原因です。この状態は、IPSec ピアから不正なパケットが送信された場合にも発生することがあります。攻撃の場合もあります。

推奨処置 ローカル SA が消去されたことを、ピアは認識していないことがあります。新しい接続がローカル ルータから確立された場合、2 つのピアが正常に再度確立されることがあります。問題の発生が短期間にとどまらない場合は、接続を新規に確立してみるか、またはピアの管理者に問い合せます。

402102

エラー メッセージ %ASA-4-402102: decapsulate: packet missing {AH|ESP}, destadr= dest_address , actual prot= protocol

説明 適応型セキュリティ アプライアンスで、期待された AH または ESP ヘッダーがない IPSec パケットを受信しました。ピアは、ネゴシエートされたセキュリティ ポリシーと一致しないパケットを送信中です。これは攻撃の場合があります。

推奨処置 特定のピアの管理者にお問い合せください。

402103

エラー メッセージ %ASA-4-402103: identity doesn't match negotiated identity (ip) dest_address= dest_address , src_addr= source_address , prot= protocol , (ident) local= inside_address , remote= remote_address , local_proxy= IP_address / IP_address / port / port , remote_proxy= IP_address / IP_address / port / port

説明 カプセル化されていない IPSec パケットが、ネゴシエートされた ID と一致しません。ピアは、セキュリティ アソシエーション選択エラーのために、このセキュリティ アソシエーションを使用して他のトラフィックを送信中です。これは敵対イベントの場合があります。

推奨処置 ピアの管理者に問い合せて、ポリシーの設定を比較します。

402106

エラー メッセージ %ASA-4-402106: Rec'd packet not an IPSEC packet (ip) dest_address= dest_address , src_addr= source_address , prot= protocol

説明 受信パケットは暗号マップ ACL と一致しますが、IPSec でカプセル化されていません。IPSec ピアはカプセル化されていないパケットを送信中です。このエラーは、ピアのポリシー セットアップ エラーが原因で発生することがあります。たとえば、適応型セキュリティ アプライアンスは、外部インターフェイス ポート 23 への暗号化 Telnet トラフィックだけを受信します。IPSec 暗号化を行わないで、ポート 23 上の外部インターフェイスに Telnet で送信しようとすると、このメッセージが表示されます。このエラーは、敵対イベントを示すこともあります。この syslog メッセージは、引用した条件以外では生成されません(たとえば、適応型セキュリティ アプライアンス インターフェイス自体へのトラフィックの場合は生成されません)。TCP および UDP 要求を追跡するメッセージ 710001、710002、および 710003 を参照してください。

推奨処置 ピアの管理者に問い合せて、ポリシーの設定を比較します。

402114

エラー メッセージ %ASA-4-402114: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num ) from remote_IP to local_IP with an invalid SPI.

protocol :IPSec プロトコル

spi :IPSec のセキュリティ パラメータ インデックス

seq_num:IPSec シーケンス番号

remote_IP:トンネルのリモート エンドポイントの IP アドレス

username :IPSec トンネルに関連付けられているユーザ名

local_IP:トンネルのローカル エンドポイントの IP アドレス

説明 このメッセージは、SA データベースに存在しない SPI を指定している IPSec パケットを受信した場合に表示されます。これは、IPSec ピア間の SA のエージングのわずかな相違による一時的な状態か、またはローカル SA の消去が原因です。また、IPSec ピアによって不正なパケットが送信されたことを示すこともあります。これも攻撃の一部の場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

推奨処置 ローカル SA が消去されたことを、ピアは認識していないことがあります。新しい接続がローカル ルータから確立された場合、2 つのピアが正常に再度確立されることがあります。あるいは、問題の発生が短期間にとどまらない場合は、接続を新規に確立してみるか、またはピアの管理者に問い合せます。

402115

エラー メッセージ %ASA-4-402115: IPSEC: Received a packet from remote_IP to local_IP containing act_prot data instead of exp_prot data.

説明 このメッセージは、期待された ESP ヘッダーのない IPSec パケットを受信した場合に表示されます。ピアは、ネゴシエートされたセキュリティ ポリシーと一致しないパケットを送信中です。これは攻撃を示す場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

remote_IP:トンネルのリモート エンドポイントの IP アドレス

local_IP:トンネルのローカル エンドポイントの IP アドレス

act_prot :受信した IPSec プロトコル

exp_prot :期待された IPSec プロトコル

推奨処置 ピアの管理者にお問い合せください。

402116

エラー メッセージ %ASA-4-402116: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num ) from remote_IP ( username ) to local_IP . The decapsulated inner packet doesn't match the negotiated policy in the SA. The packet specifies its destination as pkt_daddr , its source as pkt_saddr , and its protocol as pkt_prot . The SA specifies its local proxy as id_daddr / id_dmask / id_dprot / id_dport and its remote proxy as id_saddr / id_smask / id_sprot / id_sport .

説明 このメッセージは、カプセル化解除された IPSec パケットがネゴシエートされた ID と一致しない場合に表示されます。ピアは、このセキュリティ アソシエーションを使用して他のトラフィックを送信中です。ピアによるセキュリティ アソシエーション選択エラーが原因の場合もあれば、攻撃の一部の場合もあります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

protocol :IPSec プロトコル

spi :IPSec のセキュリティ パラメータ インデックス

seq_num:IPSec シーケンス番号

remote_IP:トンネルのリモート エンドポイントの IP アドレス

username :IPSec トンネルに関連付けられているユーザ名

local_IP:トンネルのローカル エンドポイントの IP アドレス

pkt_daddr:カプセル化解除されたパケットからの宛先アドレス

pkt_saddr:カプセル化解除されたパケットからの送信元アドレス

pkt_prot:カプセル化解除されたパケットからのトランスポート プロトコル

id_daddr:ローカル プロキシ IP アドレス

id_dmask:ローカル プロキシ IP サブネット マスク

id_dprot:ローカル プロキシ トランスポート プロトコル

id_dport:ローカル プロキシ ポート

id_saddr:リモート プロキシ IP アドレス

id_smask:リモート プロキシ IP サブネット マスク

id_sprot:リモート プロキシ トランスポート プロトコル

id_sport:リモート プロキシ ポート

推奨処置 ピアの管理者に問い合せて、ポリシーの設定を比較します。

402117

エラー メッセージ %ASA-4-402117: IPSEC: Received a non-IPSec ( protocol ) packet from remote_IP to local_IP .

説明 このメッセージは、受信パケットは暗号マップ ACL と一致したが、IPSec でカプセル化されていなかった場合に表示されます。IPSec ピアはカプセル化されていないパケットを送信中です。このエラーは、ピアのポリシー セットアップ エラーが原因で発生することがあります。たとえば、外部インターフェイス ポート 23 への暗号化 Telnet トラフィックだけを受信するようにファイアウォールを設定できます。IPSec 暗号化を行わないで、ポート 23 上の外部インターフェイスに対して Telnet で送信しようとすると、このメッセージが表示されますが、ポート 23 以外の外部インターフェイスに対する Telnet またはトラフィックの場合は表示されません。このエラーは、攻撃を示すこともあります。この syslog メッセージは、これらの条件以外では生成されません(たとえば、適応型セキュリティ アプライアンス インターフェイス自体へのトラフィックの場合は生成されません)。TCP および UDP 要求を追跡するメッセージ 710001、710002、および 710003 を参照してください。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

protocol :IPSec プロトコル

remote_IP:トンネルのリモート エンドポイントの IP アドレス

local_IP:トンネルのローカル エンドポイントの IP アドレス

推奨処置 ピアの管理者に問い合せて、ポリシーの設定を比較します。

402118

エラー メッセージ %ASA-4-402118: IPSEC: Received an protocol packet (SPI= spi , sequence number seq_num ) from remote_IP ( username ) to local_IP containing an illegal IP fragment of length frag_len with offset frag_offset .

説明 このメッセージは、カプセル化解除された IPSec パケットに、128 バイト以下のオフセットの IP フラグメントが含まれている場合に発生します。最新バージョンの Security Architecture for IP RFC では、リアセンブリ攻撃を防止するために最小 IP フラグメント オフセットを 128 バイトにすることを推奨しています。これは攻撃の一部の場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

protocol :IPSec プロトコル

spi :IPSec のセキュリティ パラメータ インデックス

seq_num:IPSec シーケンス番号

remote_IP:トンネルのリモート エンドポイントの IP アドレス

username :IPSec トンネルに関連付けられているユーザ名

local_IP:トンネルのローカル エンドポイントの IP アドレス

frag_len:IP フラグメント長

frag_offset:IP フラグメント オフセット(バイト)

推奨処置 リモート ピアの管理者に問い合せて、ポリシーの設定を比較します。

402119

エラー メッセージ %ASA-4-402119: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num ) from remote_IP ( username ) to local_IP that failed anti-replay checking.

説明 このメッセージは、シーケンス番号が無効な IPSec パケットを受信したときに表示されます。ピアは、以前に使用された可能性のあるシーケンス番号が含まれたパケットを送信中です。この syslog メッセージは、受け入れ許容範囲外のシーケンス番号の IPSec パケットを受信したことを示します。このパケットは、可能性ある攻撃の一部として IPSec により廃棄されます。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

protocol :IPSec プロトコル

spi :IPSec のセキュリティ パラメータ インデックス

seq_num:IPSec シーケンス番号

remote_IP:トンネルのリモート エンドポイントの IP アドレス

username :IPSec トンネルに関連付けられているユーザ名

local_IP:トンネルのローカル エンドポイントの IP アドレス

推奨処置 ピアの管理者にお問い合せください。

402120

エラー メッセージ %ASA-4-402120: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num ) from remote_IP ( username ) to local_IP that failed authentication.

説明 このメッセージは、IPSec パケットを受信したが認証に失敗したときに表示されます。パケットは廃棄されます。パケットが中継中に破損した場合、またはピアが無効な IPSec パケットを送信中の場合があります。これらのパケットの多くを同じピアから受信しているときは、攻撃を示す場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

protocol :IPSec プロトコル

spi :IPSec のセキュリティ パラメータ インデックス

seq_num:IPSec シーケンス番号

remote_IP:トンネルのリモート エンドポイントの IP アドレス

username :IPSec トンネルに関連付けられているユーザ名

local_IP:トンネルのローカル エンドポイントの IP アドレス

推奨処置 受信したパケットの認証失敗が多い場合は、リモート ピアの管理者にお問い合せください。

402121

エラー メッセージ %ASA-4-402121: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num ) from peer_addr ( username ) to lcl_addr that was dropped by IPSec ( drop_reason ).

説明 このメッセージは、カプセル化解除する IPSec パケットを受信したが、そのパケットが IPSec サブシステムによって後で廃棄された場合に表示されます。これは、デバイス設定またはデバイスそのものに問題が存在する可能性があることを示しています。

protocol :IPSec プロトコル

spi :IPSec のセキュリティ パラメータ インデックス

seq_num:IPSec シーケンス番号

peer_addr:トンネルのリモート エンドポイントの IP アドレス

username :IPSec トンネルに関連付けられているユーザ名

lcl_addr:トンネルのローカル エンドポイントの IP アドレス

drop_reason:パケットが廃棄された原因

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

402122

エラー メッセージ %ASA-4-402122: Received a cleartext packet from src_addr to dest_addr that was to be encapsulated in IPSec that was dropped by IPSec ( drop_reason ).

説明 IPSec でカプセル化するパケットを受信しましたが、そのパケットが IPSec サブシステムによって後で廃棄されました。これは、デバイス設定またはデバイスそのものに問題が存在する可能性があることを示しています。

src_addr :送信元 IP アドレス

dest_addr :宛先 IP アドレス

drop_reason:パケットが廃棄された原因

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

402123

エラー メッセージ %ASA-4-402123: CRYPTO: The accel_type hardware accelerator encountered an error (code= error_string ) while executing crypto command command .

説明 このメッセージは、ハードウェア アクセラレータで暗号コマンドを実行中に、エラーが検出された場合に表示されます。これは、アクセラレータの問題を示すことがあります。このタイプのエラーは、さまざまな理由で発生します。このメッセージは、原因の判定に役立つように暗号アクセラレータ カウンタを補足します。

accel_type:ハードウェア アクセラレータ タイプ

error_string :エラーのタイプを示すコード

command:エラーを生成した暗号コマンド

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

402124

エラー メッセージ %ASA-4-402124: CRYPTO: The ASA hardware accelerator encountered an error (Hardware error address, Core, Hardware error code, IstatReg, PciErrReg, CoreErrStat, CoreErrAddr, Doorbell Size, DoorBell Outstanding, SWReset).

説明 この syslog メッセージは、暗号ハードウェア チップが重大エラーを報告した場合に表示され、チップが動作不能であることを示します。この syslog メッセージからの情報は、情報を取り込み、この問題をさらに分析できるようにします。この状態が検出されると、暗号チップがリセットされ、円滑に適応型セキュリティ アプライアンスの機能を継続できます。また、この問題が検出されたときの暗号環境が、フラッシュ上の暗号アーカイブ ディレクトリに書き込まれ、さらなるデバッグ情報を提供します。この syslog メッセージには、暗号ハードウェアに関連する次のようなさまざまなパラメータが含まれています。

HWErrAddr:ハードウェア アドレス(暗号チップによって設定)

Core:エラーが発生している暗号コア

HwErrCode:ハードウェア エラー コード(暗号チップによって設定)

IstatReg:割り込みステータス レジスタ(暗号チップによって設定)

PciErrReg:PCI エラー レジスタ(暗号チップによって設定)

CoreErrStat:コア エラー ステータス(暗号チップによって設定)

CoreErrAddr:コア エラー アドレス(暗号チップによって設定)

Doorbell Size:許可される暗号コマンドの最大数

DoorBell Outstanding:処理待ちの暗号コマンド数

SWReset:ブート後の暗号チップ リセット回数

推奨処置 syslog メッセージの情報を Cisco TAC に転送し、さらなる分析を依頼してください。

402125

エラー メッセージ %ASA-4-402125: The ASA hardware accelerator ring timed out ( parameters ).

説明 IPSEC または SSL/Admin の記述子リングが進行していないことを暗号ドライバが検出しました。つまり、暗号チップが機能していないと思われます。この状態が検出されると、暗号チップがリセットされ、円滑に適応型セキュリティ アプライアンスの機能を継続できます。また、この問題が検出されたときの暗号環境が、フラッシュ上の暗号アーカイブ ディレクトリに書き込まれ、さらなるデバッグ情報を提供します。

ring :IPSEC リングまたは Admin リング

parameters :次のとおり

- Desc:記述子アドレス

- CtrlStat:制御/ステータス値

- ResultP:成功ポインタ

- ResultVal:成功値

- Cmd:暗号コマンド

- CmdSize:コマンド サイズ

- Param:コマンド パラメータ

- Dlen:データ長

- DataP:データ ポインタ

- CtxtP:VPN コンテキスト ポインタ

- SWReset:ブート後の暗号チップ リセット回数

推奨処置 syslog メッセージの情報を Cisco TAC に転送し、さらなる分析を依頼してください。

402126

エラー メッセージ %ASA-4-402126: CRYPTO: The ASA created Crypto Archive File Archive Filename as a Soft Reset was necessary. Please forward this archived information to Cisco.

説明 ハードウェア暗号チップで機能上の問題が検出されました(syslog メッセージ 4402124 および 4402125 を参照)。暗号の問題をさらにデバッグするために、現在の暗号ハードウェア環境(ハードウェア レジスタ、Crypto Desc Entries など)を含む暗号アーカイブ ファイルが生成されます。ブート時に、フラッシュ ファイル システム上に crypto_archive ディレクトリが自動的に作成されます(事前に存在していない場合)。このディレクトリには、最大 2 つの暗号アーカイブ ファイルが存在できます。

Archive Filename :暗号アーカイブ ファイルの名前。暗号アーカイブ ファイルの名前は「crypto_arch_x.bin」という形式です。ここで、「x」は 1 または 2 です。

推奨処置 暗号アーカイブ ファイルを Cisco TAC に転送し、さらなる分析を依頼してください。

402127

エラー メッセージ %ASA-4-402127: CRYPTO: The ASA is skipping the writing of latest Crypto Archive File as the maximum # of files, max_number, allowed have been written to archive_directory . Please archive & remove files from Archive Directory if you want more Crypto Archive Files saved.

説明 ハードウェア暗号チップで機能上の問題が検出されました(syslog メッセージ 4402124 および 4402125 を参照)。この syslog メッセージは、最大数の暗号アーカイブ ファイルがすでに存在していたため、暗号アーカイブ ファイルが書き込まれなかったことを示しています。

max_number :アーカイブ ディレクトリで許可されているファイルの最大数(現在は 2 に設定されています)

archive_directory :アーカイブ ディレクトリの名前

推奨処置 以前に生成された暗号アーカイブ ファイルを Cisco TAC に転送します。以前に生成されたアーカイブ ファイルを削除して、別のアーカイブ ファイルを書き込むことができるようにします(必要であると思われる場合)。

402128

エラー メッセージ %ASA-5-402128: CRYPTO: An attempt to allocate a large memory block failed, size: size , limit: limit

説明 SSL 接続で許容量を超えるメモリの使用が試みられています。要求が拒否されました。

size :割り当てられようとしたメモリ ブロックのサイズ

limit :許容割り当てメモリの最大サイズ

推奨処置 このメッセージが引き続き表示される場合は、SSL サービス拒絶(DoS)攻撃が進行している可能性があります。リモート ピアの管理者またはアップストリームのプロバイダーにお問い合せください。

402129

エラー メッセージ %ASA-6-402129: CRYPTO: An attempt to release a DMA memory block failed, location: address

説明 内部ソフトウェア エラーが発生しました。

address :解放されようとしたアドレス

推奨処置 Cisco TAC に問い合せてサポートを受けてください。

402130

エラー メッセージ %ASA-6-402130: CRYPTO: Received an ESP packet (SPI = 0x54A5C634, sequence number=0x7B) from 75.2.96.101 (user=user) to 85.2.96.10 with incorrect IPsec padding.

説明 適応型セキュリティ アプライアンスの暗号ハードウェア アクセラレータで無効な埋め込みデータを含む IPSec パケットが検出されました。

SPI :パケットに関連付けられている SPI

sequence number :パケットに関連付けられているシーケンス番号

user :ユーザ名文字列

padding :パケットからの埋め込みデータ

推奨処置 ATT VPN クライアントでは、IPSec パケットの埋め込みが不適切に行われる場合があります。この syslog が単なる情報メッセージであり、適応型セキュリティ アプライアンスの問題が示されていない場合、ATT VPN クライアントを使用しているお客様は VPN クライアント ソフトウェアのアップグレードが必要になることがあります。

403101

エラー メッセージ %ASA-4-403101: PPTP session state not established, but received an XGRE packet, tunnel_id= number , session_id= number

説明 適応型セキュリティ アプライアンスが、対応する制御接続セッションのない PPTP XGRE パケットを受信しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

403102

エラー メッセージ %ASA-4-403102: PPP virtual interface interface_name rcvd pkt with invalid protocol: protocol , reason: reason .

説明 プロトコル フィールドが無効な XGRE カプセル化 PPP パケットをモジュールが受信しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

403103

エラー メッセージ %ASA-4-403103: PPP virtual interface max connections reached.

説明 モジュールは、追加の PPTP 接続を受け入れることはできません。

推奨処置 不要です。接続は有効になるとすぐに割り当てられます。

403104

エラー メッセージ %ASA-4-403104: PPP virtual interface interface_name requires mschap for MPPE.

説明 Microsoft Point-to-Point Encryption(MPPE)は設定されていますが、MS-CHAP 認証が設定されていません。

推奨処置 vpdn group group_name ppp authentication コマンドで、MS-CHAP 認証を追加します。

403106

エラー メッセージ %ASA-4-403106: PPP virtual interface interface_name requires RADIUS for MPPE.

説明 MPPE は設定されていますが、RADIUS 認証が設定されていません。

推奨処置 vpdn group group_name ppp authentication コマンドで、RADIUS 認証を追加します。

403107

エラー メッセージ %ASA-4-403107: PPP virtual interface interface_name missing aaa server group info

説明 AAA サーバ設定情報を検出できません。

推奨処置 vpdn group group_name client authentication aaa aaa_server_group コマンドで、AAA サーバ情報を追加します。

403108

エラー メッセージ %ASA-4-403108: PPP virtual interface interface_name missing client ip address option

説明 クライアント IP アドレス プール情報が欠落しています。

推奨処置 vpdn group group_name client configuration address local address_pool_name コマンドで、IP アドレス プール情報を追加します。

403109

エラー メッセージ %ASA-4-403109: Rec'd packet not an PPTP packet. ( ip ) dest_address = dest_address , src_addr = source_address , data: string.

説明 スプーフィングされた PPTP パケットをモジュールが受信しました。これは敵対イベントの場合があります。

推奨処置 ピアの管理者に問い合せて、PPTP コンフィギュレーション設定を確認します。

403110

エラー メッセージ %ASA-4-403110: PPP virtual interface interface_name , user: user missing MPPE key from aaa server.

説明 AAA サーバは、MPPE 暗号化ポリシーのセットアップに必要な MPPE キー アトリビュートを返しません。

推奨処置 AAA サーバ コンフィギュレーションを確認して、AAA サーバが MPPE キー アトリビュートを返せない場合は、代わりに vpdn group group_name client authentication local コマンドでローカル認証を使用します。

403500

エラー メッセージ %ASA-6-403500: PPPoE - Service name 'any' not received in PADO. Intf: interface_name AC: ac_name .

説明 適応型セキュリティ アプライアンスが、インターネット サービス プロバイダーのアクセス コントローラからの PPPoE サービス「any」を要求しました。サービス プロバイダーからの応答には他のサービスが含まれていますが、サービス「any」は含まれていません。これは、プロトコルの実装の不一致です。PADO パケットは正常に処理されて、接続ネゴシエーションが続行されます。

推奨処置 不要です。

403501

エラー メッセージ %ASA-3-403501: PPPoE - Bad host-unique in PADO - packet dropped. Intf: interface_name AC: ac_name

説明 適応型セキュリティ アプライアンスは、ホスト固有値と呼ばれる ID をアクセス コントローラに送信しました。アクセス コントローラは、異なるホスト固有値で応答しました。適応型セキュリティ アプライアンスはこの応答に対応する接続要求を識別できません。パケットは廃棄され、接続ネゴシエーションは切断されます。

推奨処置 インターネット サービス プロバイダーにお問い合せください。サービス プロバイダーのアクセス コントローラがホスト固有値の処理を誤っているか、または PADO パケットが不正です。

403502

エラー メッセージ %ASA-3-403502: PPPoE - Bad host-unique in PADS - dropping packet. Intf: interface_name AC: ac_name

説明 適応型セキュリティ アプライアンスは、ホスト固有値と呼ばれる ID をアクセス コントローラに送信しました。アクセス コントローラは、異なるホスト固有値で応答しました。適応型セキュリティ アプライアンスはこの応答に対応する接続要求を識別できません。パケットは廃棄され、接続ネゴシエーションは切断されました。

推奨処置 インターネット サービス プロバイダーにお問い合せください。サービス プロバイダーのアクセス コントローラがホスト固有値の処理を誤っているか、または PADO パケットが不正です。

403503

エラー メッセージ %ASA-3-403503: PPPoE:PPP link down: reason

説明 PPP リンクがダウンしました。これが発生する原因は数多くあります。最初の形式に表示される理由は、PPP からの理由の場合です。

推奨処置 ネットワーク リンクを調べて、リンクが接続されていることを確認します。アクセス コンセントレータがダウンしていることがあります。認証プロトコルがアクセス コンセントレータと一致することを確認します。名前とパスワードが正しいことを確認します。ISP またはネットワーク サポート担当者にご確認ください。

403504

エラー メッセージ %ASA-3-403504: PPPoE:No 'vpdn group group_name ' for PPPoE is created

説明 PPPoE では、PPPoE セッションを開始する前に、ダイヤルアウト コンフィギュレーションが必要です。一般的にコンフィギュレーションでは、ダイヤル ポリシー、PPP 認証、ユーザ名、およびパスワードを指定する必要があります。次の例では、適応型セキュリティ アプライアンスを PPPoE ダイヤルアウト用に設定します。my-username コマンドおよび my-password コマンドは、必要であれば PAP を使用して、アクセス コンセントレータの認証に使用されます。

次に例を示します。

hostname# vpdn group my-pppoe request dialout pppoe
hostname# vpdn group my-pppoe ppp authentication pap
hostname# vpdn group my-pppoe localname my-username
hostname# vpdn username my-username password my-password
hostname# ip address outside pppoe setroute
 

推奨処置 PPPoE 用の VPDN グループを設定します。

403505

エラー メッセージ %ASA-4-403505: PPPoE:PPP - Unable to set default route to IP_address at interface_name

説明 通常、このメッセージには「default route already exists」というメッセージが続きます。

推奨処置 現行のデフォルト ルートを削除するか、または「setroute」パラメータを削除して、PPPoE と手動で設定したルートが競合しないようにします。

403506

エラー メッセージ %ASA-4-403506: PPPoE:failed to assign PPP IP_address netmask netmask at interface_name

説明 このメッセージには、「subnet is the same as interface」または「on failover channel」というメッセージが続きます。

推奨処置 最初の場合は、競合の原因となったアドレスを変更します。2 番目の場合は、フェールオーバー インターフェイス以外のインターフェイスに PPPoE を設定します。

403507

エラー メッセージ %ASA-3-403507:PPPoE:PPPoE client on interface interface failed to locate PPPoE vpdn group group_name

説明 pppoe client vpdn group group_name コマンドを入力して、インターフェイス上の PPPoE クライアントが特定の VPDN グループを使用するように設定できます。システムの起動時に、設定した名前の PPPoE VPDN グループが見つからない場合、この syslog メッセージが生成されます。

interface :どのインターフェイス上の PPPoE クライアントに障害が発生したか

group_name :インターフェイス上の PPPoe クライアントの VPDN グループ名

推奨処置 次の手順を実行します。

1. vpdn group group_name コマンドを入力して、必要な VPDN グループを追加します。グローバル コンフィギュレーション モードでダイヤルアウト PPPoE を要求し、すべてのグループ プロパティを追加します。

2. 指摘されたインターフェイスから pppoe client vpdn group group_name コマンドを削除します。この場合、PPPoE クライアントは、定義済みの最初の PPPoE VPDN グループを使用しようとします。


) すべての変更内容は、ip address pppoe コマンドを入力してインターフェイス上の PPPoE クライアントを再起動した後に限り有効になります。


404101

エラー メッセージ %ASA-4-404101: ISAKMP: Failed to allocate address for client from pool string

説明 ISAKMP は、ip local pool コマンドで指定されたプールから VPN クライアント用の IP アドレスを割り当てるのに失敗しました。

推奨処置 ip local pool コマンドを使用して、プールに追加 IP アドレスを指定します。

404102

エラー メッセージ %ASA-3-404102: ISAKMP: Exceeded embryonic limit

説明 500 を超える初期セキュリティ アソシエーション(SA)が存在します。これは DoS 攻撃を意味する場合があります。

推奨処置 show crypto isakmp ca コマンドを入力して、攻撃元を判別します。攻撃元を特定した後、攻撃 IP アドレスまたはネットワークへのアクセスを拒否します。

405001

エラー メッセージ %ASA-4-405001: Received ARP {request | response} collision from IP_address / MAC_address on interface interface_name

説明 適応型セキュリティ アプライアンスは ARP パケットを受信しましたが、パケット内の MAC アドレスが ARP キャッシュ エントリと異なります。

推奨処置 このトラフィックは、正当である場合もあれば、ARP ポイズニング攻撃が進行中であることを示す場合もあります。送信元 MAC アドレスを確認してパケットの送信元を判別し、そのパケットが有効なホストに属しているかどうかを調べます。

405101

エラー メッセージ %ASA-4-405101: Unable to Pre-allocate H225 Call Signalling Connection for foreign_address outside_address [/ outside_port ] to local_address inside_address [/ inside_port ]

説明 モジュールが、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。

推奨処置 このメッセージが一定期間ごとに発生する場合は、無視してかまいません。グローバル プールのサイズを確認して、内部のネットワーク クライアント数と比較できます。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または増設メモリを購入してみます。問題が解決しない場合、Cisco TAC にお問い合せください。

405002

エラー メッセージ %ASA-4-405002: Received mac mismatch collision from IP_address / MAC_address for authenticated host

説明 このパケットは、次のどちらかの条件の場合に表示されます。

適応型セキュリティ アプライアンスは IP アドレスが同じだが、MAC アドレスがその uauth エントリの 1 つとは異なるパケットを受信しました。

適応型セキュリティ アプライアンスに vpnclient mac-exempt コマンドを設定しました。除外 MAC アドレスを持つが、対応する uauth エントリとは異なる IP アドレスを持つパケットが適応型セキュリティ アプライアンスによって受信されます。

推奨処置 このトラフィックは、正当である場合もあれば、スプーフィング攻撃が進行中であることを示す場合もあります。送信元 MAC アドレスと IP アドレスを確認してパケットの送信元を判別し、そのパケットが有効なホストに属しているかどうかを調べます。

405101

エラー メッセージ %ASA-4-405101: Unable to Pre-allocate H225 Call Signalling Connection for foreign_address outside_address [/ outside_port ] to local_address inside_address [ / inside_port ]

説明 適応型セキュリティ アプライアンスが、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。

推奨処置 グローバル プールのサイズを確認し、内部のネットワーク クライアント数と比較します。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または増設メモリを購入します。このメッセージが一定期間ごとに発生する場合は、無視してかまいません。問題が解決しない場合、Cisco TAC にお問い合せください。

405102

エラー メッセージ %ASA-4-405102: Unable to Pre-allocate H245 Connection for foreign_address outside_address [/ outside_port ] to local_address inside_address [/ inside_port ]

説明 適応型セキュリティ アプライアンスが、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。

推奨処置 グローバル プールのサイズを確認し、内部のネットワーク クライアント数と比較します。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または増設メモリを購入します。このメッセージが一定期間ごとに発生する場合は、無視してかまいません。問題が解決しない場合、Cisco TAC にお問い合せください。

405103

エラー メッセージ %ASA-4-405103: H225 message from source_address/source_port to dest_address / dest_port contains bad protocol discriminator hex

説明 適応型セキュリティ アプライアンスはプロトコル識別子 0x08 を予測していますが、0x08 以外の識別子を受信しました。このエラー メッセージは、エンドポイントから不良パケットが送信されている場合、または最初のセグメント以外のメッセージ セグメントを受信した場合に発生することがあります。

推奨処置 不要です。パケットの通過は許可されます。

405104

エラー メッセージ %ASA-4-405104: H225 message received from outside_address / outside_port to inside_address / inside_port before SETUP

説明 このメッセージは、H.225 メッセージを間違った順番で受信すると表示されます。初期 SETUP メッセージの前に H.225 メッセージを受信しました。これは許可されません。適応型セキュリティ アプライアンスは、その H.225 コール シグナリング チャネルに関する初期 SETUP メッセージを受信してから、他のすべての H.225 メッセージを受信する必要があります。

推奨処置 不要です。

405105

エラー メッセージ %ASA-4-405105: H323 RAS message AdmissionConfirm received from source_address / source_port to dest_address / dest_port without an AdmissionRequest

説明 ゲートキーパーから admission confirm(ACF; 許可確認)が送信されましたが、適応型セキュリティ アプライアンスはゲートキーパーに admission request(ARQ; 許可要求)を送信していません。

推奨処置 指摘された source_address のゲートキーパーを確認して、適応型セキュリティ アプライアンスから ARQ を受信していないのに ACF が送信された理由を判定します。

405106

エラー メッセージ %ASA-4-405106: H323 num channel is not created from %I/%d to %I/%d %s\n

説明 この syslog メッセージは、適応型セキュリティ アプライアンスが H.323 メディア タイプ チャネルに関して一致条件を作成しようとした場合に生成されます。詳細については、 match media-type コマンドを参照してください。

推奨処置 不要です。

405107

エラー メッセージ %ASA-4-405107: H245 Tunnel is detected and connection dropped from %I/%d to %I/%d %s

説明 この syslog メッセージは、コール セットアップ中に試行された H.245 トンネル制御のために、H.323 接続が廃棄された場合に生成されます。詳細については、 h245-tunnel-block コマンドを参照してください。

推奨処置 不要です。

405201

エラー メッセージ %ASA-4-405201: ILS ILS_message_type from inside_interface:source_IP_address to outside_interface:/destination_IP_address has wrong embedded address embedded_IP_address

説明 ILS パケット ペイロードに埋め込まれたアドレスが、IP パケット ヘッダーの送信元 IP アドレスと異なります。

推奨処置 指摘された source_IP_address のホストを確認して、誤った埋め込み IP アドレスで ILS パケットが送信された理由を判定します。

405300

エラー メッセージ %ASA-4-405300: Radius Accounting Request received from from_addr is not allowed

説明 ポリシー マップに設定されていないホストからのアカウンティング要求を受け取りました。このメッセージがログに記録され、処理が停止します。

from_addr :要求を送信しているホストの IP アドレス

推奨処置 ホストが RADIUS アカウンティング メッセージを適応型セキュリティ アプライアンスに送信するように設定されている場合は、サービスポリシーに適用された正しいポリシー マップにホストが設定されていることを確認します。ホストが RADIUS アカウンティング メッセージを適応型セキュリティ アプライアンスに送信するように設定されていない場合は、メッセージが送信されている原因を確認します。メッセージが正当でない場合は、適切な ACL を作成してパケットを廃棄します。

405301

エラー メッセージ %ASA-4-405301: Attribute attribute_number does not match for user user_ip

説明 validate-attribute コマンドが入力されている場合に、受信した Accounting Request Start に格納されているアトリビュート値が、エントリ(存在する場合)に格納されているアトリビュート値と一致しません。

attribute_number :RADIUS アカウンティングで検証される RADIUS アトリビュート。値の範囲は 1 ~ 191 です。ベンダー固有のアトリビュートはサポートされていません。

user_ip :ユーザの IP アドレス(Framed IP アトリビュート)。

推奨処置 不要です。

406001

エラー メッセージ %ASA-4-406001: FTP port command low port: IP_address / port to IP_address on interface interface_name

説明 クライアントが FTP ポート コマンドを入力して、1024(通常はサーバ ポート専用の周知のポート範囲にある)より小さなポート番号を指定しました。これは、サイト セキュリティ ポリシーを回避しようとしていることを示します。適応型セキュリティ アプライアンスは、パケットの廃棄、接続の終了、およびイベントの記録を行います。

推奨処置 不要です。

406002

エラー メッセージ %ASA-4-406002: FTP port command different address: IP_address( IP_address ) to IP_address on interface interface_name

説明 クライアントが FTP ポート コマンドを発行して、接続に使用されているアドレス以外のアドレスを指定しました。このエラー メッセージは、サイトのセキュリティ ポリシーを回避しようとしていること示します。たとえば、攻撃者が途中でパケットを変更し、正しいソース情報の代わりに別のソース情報を設定して FTP セッションをハイジャックしようとしている場合があります。適応型セキュリティ アプライアンスは、パケットの廃棄、接続の終了、およびイベントの記録を行います。カッコ内のアドレスは、ポート コマンドからのアドレスです。

推奨処置 不要です。

407001

エラー メッセージ %ASA-4-407001: Deny traffic for local-host interface_name : inside_address , license limit of number exceeded

説明 ホスト制限を超えました。次のどちらかの条件に当てはまる場合、内部ホストは制限にカウントされます。

内部ホストは、この 5 分以内に、適応型セキュリティ アプライアンス経由でトラフィックを転送しました。

内部ホストは現在、適応型セキュリティ アプライアンスで、xlate 接続またはユーザ認証を予約しています。

推奨処置 ホスト制限はローエンド プラットフォームに適用されます。ホスト制限を表示するには、 show version コマンドを使用します。適応型セキュリティ アプライアンスでのセッションを持つ現在のアクティブ ホストと内部ユーザを表示するには、 show local-host コマンドを使用します。1 つまたは複数のユーザを強制的に切断するには、 clear local-host コマンドを使用します。内部ユーザを制限になる前に期限切れにするには、xlate、接続、および uauth タイムアウトを推奨値以下に設定します ( 表 1-6 を参照)。

 

表 1-6 タイムアウトおよび推奨値

タイムアウト
推奨値

xlate

00:05:00(5 分)

conn

00:01:00(1 時間)

uauth

00:05:00(5 分)

407002

エラー メッセージ %ASA-4-407002: Embryonic limit nconns / elimit for through connections exceeded. outside_address / outside_port to global_address ( inside_address )/ inside_port on interface interface_name

説明 これは適応型セキュリティ アプライアンス経由の接続に関するメッセージです。このメッセージは、指摘されたグローバル アドレスを経由して、指摘された外部アドレスから指摘されたローカル アドレスに接続された数が、そのスタティックの最大初期制限を超えた場合に表示されます。適応型セキュリティ アプライアンスは、接続にメモリが割り当て可能な場合は、その接続を受け入れようとします。ローカル ホストに代わってプロキシ ホストとなり、SYN_ACK パケットを外部ホストに送信します。適応型セキュリティ アプライアンスは、該当する状態情報を保持し、パケットを廃棄して、クライアントからの ACK を待ちます。

推奨処置 このメッセージは、正当なトラフィックを示す場合もあれば、DoS 攻撃が進行中であることを示す場合もあります。送信元アドレスを調べてパケットの送信元を判別し、それが有効なホストであるかどうかを確認します。

407003

エラー メッセージ %ASA-4-407003: Established limit for RPC services exceeded number

説明 適応型セキュリティ アプライアンスは、最大ホール数に達した後、すでに設定されている RPC サーバ ペアまたは RPC サービス ペアに対して、新規のホールをオープンしようとしました。

推奨処置 他のホールがクローズされるのを待機するか(関連タイムアウト有効期限を使用)、またはサーバまたはサービスのアクティブ ペア数を制限します。

408001

エラー メッセージ %ASA-4-408001: IP route counter negative - reason , IP_address Attempt: number

説明 IP ルート カウンタを負の値に減少しようとしましたが失敗しました。

推奨処置 clear ip route * コマンドを入力して、ルート カウンタをリセットします。問題が解決しない場合、Cisco TAC にお問い合せください。

408002

エラー メッセージ %ASA-4-408002: ospf process id route type update address1 netmask1 [ distance1/metric1 ] via source IP : interface1 address2 netmask2 [ distance2 / metric2 ] interface2

説明 既存のルートよりも適切なメトリックを持つ同じ距離の別のインターフェイスからネットワーク アップデートを受信しました。新規のルートによって、別のインターフェイスを使用してインストールされた既存のルートが上書きされます。新規のルートは冗長目的に限り使用され、ネットワーク内でパスが移動されたことを意味します。この変更は、トポロジと再配布を使用して制御する必要があります。この変更の影響を受ける既存の接続は、ディセーブルにされる可能性があり、タイムアウトになります。このパスの移動は、パス冗長をサポートするようにネットワーク トポロジが特に設計されている場合(このケースが予測されます)に限り発生します。

推奨処置 不要です。

408003

エラー メッセージ %ASA-4-408003: can't track this type of object hex

説明 トラッキング システムのコンポーネントが、サポートしていないオブジェクト タイプを検出しました。STATE オブジェクトが予期されていました。

hex :メモリ内の変数値またはアドレスを示す 16 進値

推奨処置 トラック オブジェクトを再設定して、STATE オブジェクトにします。

409001

エラー メッセージ %ASA-4-409001: Database scanner: external LSA IP_address netmask is lost, reinstalls

説明 ソフトウェアによって、予想外の状態が検出されました。ルータによって修正処置が行われ、続行されます。

推奨処置 不要です。

409002

エラー メッセージ %ASA-4-409002: db_free: external LSA IP_address netmask

説明 内部ソフトウェア エラーが発生しました。

推奨処置 不要です。

409003

エラー メッセージ %ASA-4-409003: Received invalid packet: reason from IP_address , interface_name

説明 無効な OSPF パケットを受信しました。詳細は、エラー メッセージに記載されています。原因は、送信側の誤った OSPF コンフィギュレーションか内部エラーの可能性があります。

推奨処置 受信側の OSPF コンフィギュレーションと送信側のコンフィギュレーションに不整合がないかを確認します。

409004

エラー メッセージ %ASA-4-409004: Received reason from unknown neighbor IP_address

説明 OSPF hello、データベース記述、またはデータベース要求パケットを受信しましたが、ルータは送信側を識別できませんでした。

推奨処置 この状態は、自分自身で訂正されます。不要です。

409005

エラー メッセージ %ASA-4-409005: Invalid length number in OSPF packet from IP_address (ID IP_address ), interface_name

説明 正常なヘッダー サイズよりも短いフィールド長の OSPF パケット、または到着した IP パケットのサイズと一致しない OSPF パケットを受信しました。これは、パケットの送信側のコンフィギュレーション エラーを示しています。

推奨処置 近接アドレスから、問題のルータを特定しリブートします。

409006

エラー メッセージ %ASA-4-409006: Invalid lsa: reason Type number , LSID IP_address from IP_address , IP_address , interface_name

説明 LSA タイプが無効の LSA をルータが受信しました。原因は、ルータ上のメモリの破損または予想外の動作のどちらかです。

推奨処置 近接アドレスから、問題のルータを特定しリブートします。問題が解決しない場合、Cisco TAC にお問い合せください。

409007

エラー メッセージ %ASA-4-409007: Found LSA with the same host bit set but using different mask LSA ID IP_address netmask New: Destination IP_address netmask

説明 内部ソフトウェア エラーが発生しました。

推奨処置 エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

409008

エラー メッセージ %ASA-4-409008: Found generating default LSA with non-zero mask LSA type: number Mask: netmask metric: number area: string

説明 ルータが誤ったマスクでデフォルト LSA を生成しようとしました。内部ソフトウェア エラーのためにメトリックが間違っている可能性があります。

推奨処置 エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

409009

エラー メッセージ %ASA-4-409009: OSPF process number cannot start. There must be at least one up IP interface, for OSPF to use as router ID

説明 OSPF は、自分の 1 つのインターフェイスの IP アドレスからルータ ID を割り当てようとして、失敗しました。

推奨処置 IP アドレスが有効な動作中のインターフェイスが少なくとも 1 つあることを確認します。ルータで複数の OSPF プロセスが動作している場合、各プロセスは一意のルータ ID を必要とします。十分な数のインターフェイスを動作させて、各プロセスがルータ ID を取得できるようにする必要があります。

409010

エラー メッセージ %ASA-4-409010: Virtual link information found in non-backbone area: string

説明 内部エラーが発生しました。

推奨処置 エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

409011

エラー メッセージ %ASA-4-409011: OSPF detected duplicate router-id IP_address from IP_address on interface interface_name

説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。

推奨処置 OSPF ルータ ID は一意である必要があります。隣接ルータのルータ ID を変更します。

409012

エラー メッセージ %ASA-4-409012: Detected router with duplicate router ID IP_address in area string

説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。

推奨処置 OSPF ルータ ID は一意である必要があります。隣接ルータのルータ ID を変更します。

409013

エラー メッセージ %ASA-4-409013: Detected router with duplicate router ID IP_address in Type-4 LSA advertised by IP_address

説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。

推奨処置 OSPF ルータ ID は一意である必要があります。隣接ルータのルータ ID を変更します。

409023

エラー メッセージ %ASA-4-409023: Attempting AAA Fallback method method_name for request_type request for user user :Auth-server group server_tag unreachable

説明 外部サーバに対する認証または認可の試行が失敗し、ローカル ユーザ データベースを使用して実行されるようになります。

aaa_operation :「authentication」または「authorization」

username :接続に関連付けられているユーザ

server_group :サーバが到達不能であった AAA サーバの名前

推奨処置 最初の方法で設定された AAA サーバの接続性の問題を調査します。適応型セキュリティ アプライアンスから認証サーバに対して ping を実行します。AAA サーバでデーモンが動作中であることを確認します。

410001

エラー メッセージ %ASA-4-410001: UDP DNS request from source_interface : source_address / source_port to dest_interface : dest_address / dest_port ; (label length | domain-name length) 52 bytes exceeds remaining packet length of 44 bytes.

説明 この syslog メッセージは、UDP DNS パケット内でドメイン名の長さが 255 バイトを超えた場合に表示されます (RFC 1035 の Section 3.1 を参照)。

推奨処置 不要です。

410002

エラー メッセージ %ASA-2-410002: Dropped num DNS responses with mis-matched id in the past sec second(s): from src_ifc : sip / sport to dest_ifc : dip / dport

説明 この syslog メッセージは、適応型セキュリティ アプライアンスが、ミスマッチの DNS 識別子を持つ過剰な数の DNS 応答を検出した場合に生成されます。しきい値は、 id-mismatch DNS ポリシー マップ パラメータ サブモード コマンドで設定します。

num id-mismatch コマンドによって設定されている ID ミスマッチ インスタンスの数

sec id-mismatch コマンドによって設定されている期間(秒単位)

src_ifc :ミスマッチの DNS 識別子を持つ DNS メッセージが受信された送信元インターフェイス名

sip :送信元 IP アドレス

sport :送信元ポート

dest_ifc :宛先インターフェイス名

dip :宛先 IP アドレス

dport :宛先ポート

推奨処置 ミスマッチの DNS 識別子の比率が高い場合は、キャッシュに対する攻撃を示している可能性があります。syslog メッセージで IP アドレスとポートを確認し、攻撃元をトレースします。その攻撃元からのトラフィックを永続的にブロックするように ACL を設定できます。

410003

エラー メッセージ %ASA-4-410003: action_class : action DNS query_response from src_ifc : sip / sport to dest_ifc : dip / dport ; further_info

説明 この syslog メッセージは、DNS メッセージに対して DNS 分類が実施され、指定の基準が満たされた場合に生成されます。その後、設定済みのアクションが実行されます。

action_class :「DNS Classification」アクション クラス

action :実行されるアクション(「Dropped」、「Dropped (no TSIG)」、または「Masked header flags for」)

query_response :「query」または「response」

src_ifc :送信元インターフェイス名

sip :送信元 IP アドレス

sport :送信元ポート

dest_ifc :宛先インターフェイス名

dip :宛先 IP アドレス

dport :宛先ポート

further_info :「matched Class id: class_name 」、「matched Class id: match_command 」(スタンドアロンの match コマンドの場合)、「TSIG resource record not present」( tsig enforced コマンドによって生成された syslog メッセージの場合)のいずれか

推奨処置 不要です。

410004

エラー メッセージ %ASA-6-410004: action_class : action DNS query_response from src_ifc : sip / sport to dest_ifc : dip / dport ; further_info

説明 このイベントは、DNS メッセージに対して DNS 分類が実施され、指定の基準が満たされた場合に生成されます。

action_class :「DNS Classification」アクション クラス

action :実行されるアクション(「Received」または「Received (no TSIG)」)

query_response :「query」または「response」

src_ifc :送信元インターフェイス名

sip :送信元 IP アドレス

sport :送信元ポート

dest_ifc :宛先インターフェイス名

dip :宛先 IP アドレス

dport :宛先ポート

further_info :「matched Class id: class_name 」、「matched Class id: match_command 」(スタンドアロンの match コマンドの場合)、「TSIG resource record not present」( tsig enforced コマンドによって生成された syslog メッセージの場合)のいずれか

推奨処置 不要です。

411001

エラー メッセージ %ASA-4-411001: Line protocol on interface interface_name changed state to up

説明 回線プロトコルのステータスが、 down から up に変化しました。 interface_name が論理インターフェイス名(「inside」および「outside」など)の場合、このメッセージは、論理インターフェイス回線プロトコルが down から up に変化したことを示します。 interface_name が物理インターフェイス名(「Ethernet0」および「GigabitEthernet0/1」など)の場合、このメッセージは、物理インターフェイス回線プロトコルが down から up に変化したことを示します。

推奨処置 不要です。

411002

エラー メッセージ %ASA-4-411002:Line protocol on interface interface_name changed state to down

説明 回線プロトコルのステータスが up から down に変化しました。 interface_name が論理インターフェイス名(「inside」および「outside」など)の場合、このメッセージは、論理インターフェイス回線プロトコルが up から down に変化したことを示します。この場合、物理インターフェイス回線プロトコルのステータスは影響を受けません。 interface_name が物理インターフェイス名(「Ethernet0」および「GigabitEthernet0/1」など)の場合、このメッセージは、物理インターフェイス回線プロトコルが up から down に変化したことを示します。

推奨処置 これがインターフェイス上の予期しないイベントの場合、物理回線を確認します。

411003

エラー メッセージ %ASA-4-411003: Configuration status on interface interface_name changed state to downup

説明 インターフェイスのコンフィギュレーション ステータスが down から up に変化しました。

推奨処置 これが予期しないイベントの場合、物理回線を確認します。

411004

エラー メッセージ %ASA-4-411004: Configuration status on interface interface_name changed state to up

説明 インターフェイスのコンフィギュレーション ステータスが down から up に変化しました。

推奨処置 不要です。

412001

エラー メッセージ %ASA-4-412001:MAC MAC_address moved from interface_1 to interface_2

説明 このメッセージは、モジュール インターフェイス間でのホストの移動が検出された場合に生成されます。透過適応型セキュリティ アプライアンスでは、ホスト(MAC)と適応型セキュリティ アプライアンス ポートの間のマッピングはレイヤ 2 転送テーブルに保持されています。このテーブルでは、パケット送信元 MAC アドレスが適応型セキュリティ アプライアンス ポートに動的にバインドされます。このプロセスでは、インターフェイス間でのホストの移動が検出されると常に、このメッセージが生成されます。

推奨処置 ホストの移動が有効である場合もあれば、ホストの移動が、他のインターフェイス上のホスト MAC をスプーフィングしようとしている場合もあります。MAC スプーフィングの場合は、ネットワーク上の脆弱なホストを特定して削除するか、またはスタティック MAC エントリ(MAC アドレスおよびポート バインディングは変更できない)を設定します。実際にホスト移動が行われた場合、処置は不要です。

412002

エラー メッセージ %ASA-4-412002:Detected bridge table full while inserting MAC MAC_address on interface interface . Number of entries = num

説明 このメッセージは、ブリッジ テーブルがいっぱいの場合に、さらに 1 つエントリを追加しようとしたときに生成されます。適応型セキュリティ アプライアンスは、コンテキストごとに別個のレイヤ 2 転送テーブルを保持しており、コンテキストがサイズ制限を超えると常にこのメッセージが生成されます。MAC アドレスは追加されますが、テーブル内の最も古い既存のダイナミック エントリ(有効な場合)が置換されます。

推奨処置 攻撃が行われようとした可能性があります。新規ブリッジ テーブル エントリが有効であることを確認します。攻撃の場合には、EtherType ACL を使用して脆弱なホストへのアクセスを制御します。

413001

エラー メッセージ %ASA-4-413001: Module in slot slotnum is not able to shut down. Module Error: errnum message

説明 slotnum 内のモジュールは、適応型セキュリティ アプライアンス システム モジュールからのシャットダウンの要求に応じることができませんでした。ソフトウェア アップグレードのような中断できないタスクを実行していることがあります。 errnum および message テキストに、モジュールをシャットダウンできなかった理由と推奨される修正処置が記載されています。

推奨処置 モジュール上のタスクが完了するのを待ってからモジュールをシャットダウンするか、または session コマンドを使用してモジュールの CLI にアクセスし、モジュールのシャットダウンを妨げているタスクを停止します。

413002

エラー メッセージ %ASA-4-413002: Module in slot slotnum is not able to reload. Module Error: errnum message

説明 slotnum 内のモジュールは、適応型セキュリティ アプライアンス システム モジュールからのリロードの要求に応じることができませんでした。ソフトウェア アップグレードのような中断できないタスクを実行していることがあります。 errnum および message テキストに、モジュールをリロードできなかった理由と推奨される修正処置が記載されています。

推奨処置 モジュールのタスクが完了するのを待ってからモジュールをリロードするか、または session コマンドを使用してモジュールの CLI にアクセスし、モジュールのリロードを妨げているタスクを停止します。

413003

エラー メッセージ %ASA-4-413003: Module in slot slotnum is not a recognized type

説明 このメッセージは、有効なカード タイプとして認識されないカードを検出するたびに生成されます。

推奨処置 インストールされているモジュール タイプをサポートする適応型セキュリティ アプライアンス システム ソフトウェアのバージョンにアップグレードします。

413004

エラー メッセージ %ASA-4-413004: Module in slot slotnum failed to write software newver (currently ver ), reason . Trying again.

説明 指摘されたスロット番号のモジュールがソフトウェア バージョンに対応できませんでした。UNRESPONSIVE 状態に移行します。モジュール ソフトウェアのアップデートがさらに試行されます。

slotnum :モジュールが存在しているスロット番号。

newver :モジュールへの書き込みが正常に終了しなかったソフトウェアの新しいバージョン番号(1.0(1)0 など)。

ver :モジュール上のソフトウェアの現在のバージョン番号(1.0(1)0 など)。

reason :新しいバージョンがモジュールに書き込みできなかった原因。 reason に考えられる値は、次のとおりです。

- write failure

- failed to create a thread to write the image

推奨処置 不要です。その後の試行で、アップデートの成功または失敗を示すメッセージが生成されます。その後のアップデート試行後の UP へのモジュール遷移を確認するには、 show module slotnum コマンドを使用します。

413005

エラー メッセージ %ASA-1-413005: prod_id Module in slot slot , application is not supported app_name version app_vers type app_type

説明 スロット slot に設置されているモジュールが、サポートされていないアプリケーション バージョンまたはアプリケーション タイプを実行しています。

prod_id :製品 ID 文字列。

slot :スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示す。このエラーの場合、スロットは必ず 1 となります。

app_name :アプリケーション名(文字列)。

app_vers :アプリケーションのバージョン(文字列)。

app_type :アプリケーションのタイプ(10 進数)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

413006

エラー メッセージ %ASA-4-413006: prod-id Module software version mismatch; slot slot is prod-id version running-vers . Slot slot prod-id requires required-vers .

説明 スロット slot のモジュール上で動作しているソフトウェアのバージョンが、別のモジュールから要求されたバージョンではありません。

slot :スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示す。

prod_id :スロット slot に設置されているデバイスの製品 ID 文字列。

running_vers :スロット slot に設置されているモジュール上で現在動作しているソフトウェアのバージョン。

required_vers :スロット slot のモジュールから要求されたソフトウェアのバージョン。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

414001

エラー メッセージ %ASA-3-414001: Failed to save logging buffer using file name filename to FTP server ftp_server_address on interface interface_name : [ fail_reason ]

説明 この syslog メッセージは、ロギング モジュールによる外部 FTP サーバへのロギング バッファの保存が失敗した場合に生成されます。

推奨処置 失敗した原因に基づいて適切な処置を行います。

プロトコル エラー:FTP サーバと適応型セキュリティ アプライアンスとの間の接続に問題がなく、FTP サーバが FTP PORT コマンドと PUT 要求を受け入れることができることを確認します。

無効なユーザ名またはパスワード:設定された FTP クライアント ユーザ名およびパスワードが正しいことを確認します。

他のエラーすべて:問題が解決しない場合、Cisco TAC にお問い合せください。

414002

エラー メッセージ %ASA-3-414002: Failed to save logging buffer to flash:/syslog directory using file name: filename : [ fail_reason ]

説明 この syslog メッセージは、ロギング モジュールによるシステム フラッシュへのロギング バッファの保存が失敗した場合に生成されます。

推奨処置 十分な領域がないために失敗した場合は、システム フラッシュの空き領域をチェックして、 logging flash-size コマンドの設定制限が正しく設定されていることを確認します。エラーが、フラッシュ ファイル システムの入出力エラーの場合は、Cisco TAC に問い合せてサポートを受けてください。

414003

エラー メッセージ %ASA-3-414003: TCP Syslog Server intf : IP_Address / port not responding. New connections are [permitted|denied] based on logging permit-hostdown policy.

説明 このメッセージは、リモート ホスト ロギング用の TCP syslog サーバが正常であること、サーバに接続されていること、および新しい接続は logging permit-hostdown ポリシーに基づいて許可または拒否されることを示しています。logging permit-hostdown が設定されている場合、新しい接続は許可されます。設定されていない場合、新しい接続は拒否されます。

intf :サーバが接続されている適応型セキュリティ アプライアンスのインターフェイス

IP_Address :リモート TCP syslog サーバの IP アドレス

port :リモート TCP syslog サーバのポート

推奨処置 設定されている TCP syslog サーバが動作していることを確認します。新しい接続を許可するには、logging permit-hostdown ポリシーを設定します。新しい接続を拒否するには、logging permit-hostdown ポリシーを設定しません。

414004

エラー メッセージ %ASA-6-414004: TCP Syslog Server intf : IP_Address / port - Connection restored

説明 TCP syslog サーバへの再試行が成功し、接続が確立されました。このメッセージは、接続が成功した後に syslog サーバに最初に到達するメッセージです。

intf :サーバが接続されている適応型セキュリティ アプライアンスのインターフェイス

IP_Address :リモート TCP syslog サーバの IP アドレス

port :リモート TCP syslog サーバのポート

推奨処置 不要です。

415001

エラー メッセージ %ASA-6-415001: HTTP - matched matched_string in policy-map map_name , header field count exceeded connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、次のいずれかが発生した場合に生成されます。

HTTP ヘッダーのフィールドの総数が、ユーザ設定のヘッダー フィールド数を超えました。関連するコマンドは match { request | response } header count num です。

HTTP ヘッダー内の指摘されたフィールドの出現数が、そのヘッダー フィールドに対してユーザが設定した数を超えました。関連するコマンドは match { request | response } header header-name count num です。

matched_string :次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

- この syslog メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 match { request | response } header コマンドを入力して、HTTP ヘッダーのフィールド値を再設定します。

415002

エラー メッセージ %ASA-6-415002: HTTP - matched matched_string in policy-map map_name , header field length exceeded connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、指摘された HTTP ヘッダー フィールド長がユーザ設定の長さを超えた場合に生成されます。

matched_string :次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

- この syslog メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 match { request | response } header header_name length gt num コマンドを入力して、HTTP ヘッダー フィールド長を変更します。

415003

エラー メッセージ %ASA-6-415003: HTTP - matched matched_string in policy-map map_name , body length exceeded connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、メッセージ本体の長さがユーザ設定の長さを超えた場合に生成されます。

matched_string :次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

- この syslog メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 match { request | response } body length gt num command コマンドを入力して、メッセージ本体の長さを変更します。

415004

エラー メッセージ %ASA-5-415004: HTTP - matched matched_string in policy-map map_name , content-type verification failed connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、HTTP メッセージ本体の「マジック番号」が、HTTP メッセージ ヘッダーの「content-type」フィールドに指定されている MIME タイプの正しいマジック番号でない場合に生成されます。

matched_string :次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

- この syslog メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 match {request | response} header content-type violation コマンドを入力して、エラーを修正します。

415005

エラー メッセージ %ASA-5-415005: HTTP - matched matched_string in policy-map map_name , URI length exceeded connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、URI の長さがユーザ設定の長さを超えた場合に生成されます。

matched_string :次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

- この syslog メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 match request uri length gt num コマンドを入力して、URI の長さを変更します。

415006

エラー メッセージ %ASA-5-415006: HTTP - matched matched_string in policy-map map_name , URI matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、URI がユーザ設定の正規表現と一致した場合に生成されます。詳細については、 match request uri regex { regex-name | class class-name } コマンドを参照してください。

matched_string :次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

- この syslog メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 不要です。

415007

エラー メッセージ %ASA-5-415007: HTTP - matched matched_string in policy-map map_name , Body matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、メッセージ本体がユーザ設定の正規表現と一致した場合に生成されます。詳細については、 match { request | response } body regex { regex-name | class class-name } コマンドを参照してください。

matched_string :次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

- この syslog メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 不要です。

415008

エラー メッセージ %ASA-5-415008: HTTP - matched matched_string in policy-map map_name , header matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、メッセージ ヘッダーのユーザ指定フィールドの値がユーザ設定の正規表現と一致した場合に生成されます。詳細については、 match { request | response } header header-field-name { regex-name | class class-name } コマンドを参照してください。

matched_string :次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

- この syslog メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 不要です。

415009

エラー メッセージ %ASA-5-415009: HTTP - matched matched_string in policy-map map_name , method matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、HTTP メソッドがユーザ設定の正規表現と一致した場合に生成されます。詳細については、 match request method { regex-name | class class-name } コマンドを参照してください。

matched_string :次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

- この syslog メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 不要です。

415010

エラー メッセージ %ASA-5-415010: matched matched_string in policy-map map_name , transfer encoding matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、「transfer encoding」フィールドの値がユーザ設定の正規表現またはキーワードと一致した場合に発行されます。詳細については、 match { request | response } header transfer-encoding {{ regex-name | class class-name } | keyword } コマンドを参照してください。

matched_string :次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

- この syslog メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 不要です。

415011

エラー メッセージ %ASA-5-415011: HTTP - policy-map map_name :Protocol violation connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、HTTP パーサーが HTTP メッセージの最初の数バイトの中で有効な HTTP メッセージを検出できない場合に生成されます。

map_name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 protocol-violation action { drop | reset } log コマンドを入力して、問題を修正します。

415012

エラー メッセージ %ASA-5-415012: HTTP - matched matched_string in policy-map map_name , Unknown mime-type connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、「content-type」フィールドに、組み込み MIME タイプと一致する MIME タイプが含まれていない場合に生成されます。

matched_string :次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

- この syslog メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 match { request | response } header content-type unknown コマンドを入力して、問題を修正します。

415013

エラー メッセージ %ASA-5-415013: HTTP - policy-map map-name :Malformed chunked encoding connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、チャンク符号化の形式が誤っているために HTTP メッセージを解析できず、 protocol-violation コマンドでロギングが設定されている場合に必ず生成されます。

map-name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 protocol-violation action { drop | reset } log コマンドを入力して、問題を修正します。

415014

エラー メッセージ %ASA-5-415014: HTTP - matched matched_string in policy-map map_name , Mime-type in response wasn't found in the accept-types of the request connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、HTTP 応答の MIME タイプが、要求の「accept」フィールドに存在しない場合に生成されます。

matched_string :次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

- この syslog メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 match req-resp content-type mismatch コマンドを入力して、問題を修正します。

415015

エラー メッセージ %ASA-5-415015: HTTP - matched matched_string in policy-map map_name , transfer-encoding unknown connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、空の転送符号化が発生した場合に生成されます。

matched_string :次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

- この syslog メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 match { request | response } header transfer-encoding empty コマンドを入力して、問題を修正します。

415016

エラー メッセージ %ASA-4-415016: policy-map map_name :Maximum number of unanswered HTTP requests exceeded connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、応答のない HTTP 要求の数が、内部で許可されている要求数を超えた場合に表示されます。

map_name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 protocol-violation action { drop | reset } log コマンドを入力して、問題を修正します。

415017

エラー メッセージ %ASA-6-415017: HTTP - matched_string in policy-map map_name , arguments matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、引数のパターンがユーザ設定の正規表現またはキーワードと一致した場合に生成されます。詳細については、 match request args regex { regex-name | class class-name } コマンドを参照してください。

matched_string :次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

- この syslog メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 不要です。

415018

エラー メッセージ %ASA-5-415018: HTTP - matched matched_string in policy-map map_name , Header length exceeded connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、ヘッダーの全長がユーザ設定のヘッダー長を超えた場合に生成されます。

matched_string :次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

- この syslog メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 match { request | response } header length gt num コマンドを入力して、ヘッダー長を短くします。

415019

エラー メッセージ %ASA-5-415019: HTTP - matched matched_string in policy-map map_name , status line matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、応答のステータス行がユーザ設定の正規表現と一致した場合に生成されます。詳細については、 match response status-line regex { regex-name | class class-name } コマンドを参照してください。

matched_string :次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

- この syslog メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 不要です。

415020

エラー メッセージ %ASA-5-415020: HTTP - matched matched_string in policy-map map_name , a non-ASCII character was matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num

説明 この syslog メッセージは、非 ASCII 文字が見つかった場合に生成されます。

matched_string :次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。

- この syslog メッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

map_name :ポリシー マップの名前

connection_action :「Dropping connection」または「Resetting connection」

interface_type :インターフェイスのタイプ(たとえば、DMZ、outside(外部)など)

IP_address :インターフェイスの IP アドレス

port_num :ポート番号

推奨処置 match { request | response } header non-ascii コマンドを入力して、問題を修正します。

416001

エラー メッセージ %ASA-4-416001: Dropped UDP SNMP packet from source_interface : source_IP / source_port to dest_interface : dest_address / dest_port ; version ( prot_version ) is not allowed through the firewall

説明 SNMP パケットが、不良パケット フォーマットのため、または prot_version は適応型セキュリティ アプライアンスを通過することを許可されていないために、適応型セキュリティ アプライアンスを通過することを拒否されました。 prot_version フィールドの値は、1、2、2c、または 3 のうちのいずれかです。

推奨処置 snmp-map コマンドを使用して、SNMP 検査の設定を変更します。このコマンドを使用すると、ユーザが特定のプロトコル バージョンを許可または拒否できます。

417001

エラー メッセージ %ASA-4-417001: Unexpected event received: number

説明 プロセスで信号を受信しましたが、イベントのハンドラが見つかりませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

417004

エラー メッセージ %ASA-4-417004: Filter violation error: conn number ( string : string ) in string

説明 クライアントが、自分が所有していないルート アトリビュートを修正しようとしました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

417006

エラー メッセージ %ASA-4-417006: No memory for string ) in string . Handling: string

説明 メモリ不足のために動作が失敗しましたが、別のメカニズムで処理されます。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

418001

エラー メッセージ %ASA-4-418001: Through-the-device packet to/from management-only network is denied: protocol_string from interface_name IP_address ( port ) to interface_name IP_address ( port )

説明 指摘された送信元から宛先へのパケットが、適応型セキュリティ アプライアンスと管理専用ネットワークとの間を経由しているために、廃棄されます。

protocol_string :TCP、UDP、ICMP、または 10 進数のプロトコル ID

interface_name :インターフェイス名

IP_address :IP アドレス

port :ポート番号

推奨処置 このようなパケットを生成している個人と理由を調査します。

419001

エラー メッセージ %ASA-4-419001: Dropping TCP packet from src_ifc : src_IP / src_port to dest_ifc : dest_IP / dest_port , reason : MSS exceeded, MSS size , data size

説明 このメッセージは、TCP パケットの長さが 3 ウェイ ハンドシェイクでアドバタイズされた MSS を超えている場合に生成されます。

src_ifc :入力インターフェイス名

src_IP :パケットの送信元 IP アドレス

src_port :パケットの送信元ポート

dest_ifc :出力インターフェイス名

dest_IP :パケットの宛先 IP アドレス

dest_port :パケットの宛先ポート

推奨処置 MSS を超えるパケットを許可する必要がある場合は、 exceed-mss コマンドを使用して TCP マップを作成します。次に例を示します。

hostname# access-list http-list permit tcp any host server_ip eq 80

hostname# class-map http
hostname# match access-list http-list

hostname# tcp-map tmap
hostname# exceed-mss allow

hostname# policy-map global_policy
hostname# class http
hostname# set connection advanced-options tmap
 

419002

エラー メッセージ %ASA-4-419002: Received duplicate TCP SYN from in_interface : src_address / src_port to out_interface : dest_address / dest_port with different initial sequence number.

説明 3 ウェイ ハンドシェイク中に、初期接続を開いた SYN とは異なる初期シーケンス番号を持つ重複 TCP SYN を受信しました。これは、SYN がスプーフィングされていることを示している可能性があります。このメッセージは、リリース 7.0.4.1 以降で表示されます。

in_interface :入力インターフェイス

src_address :パケットの送信元 IP アドレス

src_port :パケットの送信元ポート

out_interface :出力インターフェイス

dest_address :パケットの宛先 IP アドレス

dest_port :パケットの宛先ポート

推奨処置 不要です。

419003

エラー メッセージ %ASA-4-419003: Cleared TCP urgent flag from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port .

説明 3 ウェイ ハンドシェイク中に、初期接続を開いた SYN とは異なる初期シーケンス番号を持つ重複 TCP SYN を受信しました。これは、SYN がスプーフィングされていることを示している可能性があります。このメッセージは、リリース 7.0.4.1 以降で表示されます。

in_ifc :入力インターフェイス

src_ip :パケットの送信元 IP アドレス

src_port :パケットの送信元ポート

out_ifc :出力インターフェイス

dest_ip :パケットの宛先 IP アドレス

dest_port :パケットの宛先ポート

推奨処置 TCP ヘッダー内の緊急フラグを保持する必要がある場合は、TCP マップ コンフィギュレーション モードで urgent-flag allow コマンドを使用します。

420001

エラー メッセージ %ASA-3-420001: IPS card not up and fail-close mode used, dropping ICMP packet ifc_in : SIP to ifc_out : DIP (type ICMP_TYPE , code ICMP_CODE )

次に例を示します。

%ASA-3-420001: IPS card not up and fail-close mode used, dropping TCP packet from ifc_in:SIP/SPORT to ifc_out:DIP/DPORT\n
%ASA-3-420001: IPS card not up and fail-close mode used, dropping UDP packet from ifc_in:SIP/SPORT to ifc_out:DIP/DPORT\n
%ASA-3-420001: IPS card not up and fail-close mode used, dropping protocol protocol packet from ifc_in:SIP to ifc_out:DIP\n
 

説明 このメッセージは、IPS フェールクローズ モードが使用されており、IPS カードが動作していない場合に、パケットが廃棄されると表示されます。このメッセージは表示が制限されています。

ifc_in :入力インターフェイス名

ifc_out :出力インターフェイス名

SIP :パケットの送信元 IP

SPORT :パケットの送信元ポート

DIP :パケットの宛先 IP

DPORT :パケットの宛先ポート

ICMP_TYPE :ICMP パケットのタイプ

ICMP_CODE :ICMP パケットのコード

推奨処置 IPS カードを確認して動作させます。

420002

エラー メッセージ %ASA-4-420002: IPS requested to drop ICMP packets ifc_in : SIP to ifc_out : DIP (type ICMP_TYPE , code ICMP_CODE )

次に例を示します。

%ASA-4-420002: IPS requested to drop TCP packet from ifc_in:SIP/SPORT to ifc_out:DIP/DPORT\n
%ASA-4-420002: IPS requested to drop UDP packet from ifc_in:SIP/SPORT to ifc_out:DIP/DPORT\n
%ASA-4-420002: IPS requested to drop protocol packet from ifc_in:SIP to ifc_out:DIP\n
 

説明 このメッセージは、パケットを廃棄するように IPS が要求した場合に表示されます。

ifc_in :入力インターフェイス名

ifc_out :出力インターフェイス名

SIP :パケットの送信元 IP

SPORT :パケットの送信元ポート

DIP :パケットの宛先 IP

DPORT :パケットの宛先ポート

ICMP_TYPE :ICMP パケットのタイプ

ICMP_CODE :ICMP パケットのコード

推奨処置 不要です。

420003

エラー メッセージ %ASA-4-420003: IPS requested to reset TCP connection from ifc_in : SIP / SPORT to ifc_out : DIP / DPORT

説明 このメッセージは、TCP 接続のリセットを IPS が要求した場合に表示されます。

ifc_in :入力インターフェイス名

ifc_out :出力インターフェイス名

SIP :パケットの送信元 IP

SPORT :パケットの送信元ポート

DIP :パケットの宛先 IP

DPORT :パケットの宛先ポート

推奨処置 不要です。

420004

エラー メッセージ %ASA-6-420004: Virtual Sensor sensor_name was added on the AIP SSM

説明 AIP SSM カードに仮想センサーが追加されました。

n :カード番号

推奨処置 不要です。

420005

エラー メッセージ %ASA-6-420005: Virtual Sensor sensor_name was deleted from the AIP SSM

説明 AIP SSM カードから仮想センサーが削除されました。

n :カード番号

推奨処置 不要です。

420006

エラー メッセージ %ASA-3-420006: Virtual Sensor not present and fail-close mode used, dropping protocol packet from ifc_in:SIP/SPORT to ifc_out:DIP/DPORT\n

説明 このメッセージは、IPS フェールクローズ モードが使用されており、パケット用の仮想センサーが存在しない場合に、パケットが廃棄されると表示されます。

ifc_in :入力インターフェイス名

ifc_out :出力インターフェイス名

SIP :パケットの送信元 IP

SPORT :パケットの送信元ポート

DIP :パケットの宛先 IP

DPORT :パケットの宛先ポート

推奨処置 仮想センサーを確認して追加します。

421001

エラー メッセージ %ASA-3-421001: TCP|UDP flow from interface_name : IP_address/port to interface_name : IP_address / port is dropped because application has failed.

説明 CSC SSM アプリケーションに障害が発生したため、パケットが廃棄されました。デフォルトでは、このメッセージは 10 秒に 1 回しか表示されないように制限されています。

interface_name :インターフェイス名

IP_address :IP アドレス

port :ポート番号

application :CSC SSM(現在のリリースでサポートされているのはこのアプリケーションだけです)

推奨処置 すぐにサービス モジュールで問題を調査します。

421002

エラー メッセージ %ASA-6-421002: TCP|UDP flow from interface_name : IP_address / port to interface_name : IP_address / port bypassed application checking because the protocol is not supported.

説明 接続に使用されているプロトコルをサービス モジュールがスキャンできないため、接続はサービス モジュールのセキュリティ チェックをバイパスしました。たとえば、CSC SSM は Telnet トラフィックをスキャンできません。ユーザが Telnet トラフィックのスキャンを設定した場合、トラフィックはスキャン サービスをバイパスします。デフォルトでは、このメッセージは 10 秒に 1 回しか表示されないように制限されています。

IP_address :IP アドレス

port :ポート番号

interface_name :ポリシーが適用されているインターフェイスの名前

application :CSC SSM(現在のリリースでサポートされているのはこのアプリケーションだけです)

推奨処置 サービス モジュールがサポートしているプロトコルだけを含めるように、コンフィギュレーションを修正する必要があります。

421003

エラー メッセージ %ASA-3-421003: Invalid data plane encapsulation.

説明 サービス モジュールによって投入されたパケットが、正しいデータ プレーン ヘッダーを持っていませんでした。データ バックプレーンで交換されるパケットは、ASDP と呼ばれるシスコ独自のプロトコルに準拠しています。適切な ASDP ヘッダーを持たないパケットは、すべて廃棄されます。

推奨処置 capture name type asp-drop [ ssm-asdp-invalid-encap ] コマンドを使用して攻撃パケットを取り込み、Cisco TAC にお問い合せください。

421004

エラー メッセージ %ASA-7-421004: Failed to inject {TCP|UDP} packet from IP_address / port to IP_address / port

説明 適応型セキュリティ アプライアンスがサービス モジュールの指示どおりにパケットを投入できませんでした。これは、すでに解放されたフローに適応型セキュリティ アプライアンスがパケットを投入しようとした場合に発生することがあります。

IP_address :IP アドレス

port :ポート番号

推奨処置 これは、適応型セキュリティ アプライアンスがサービス モジュールとは別に接続テーブルを保持しているために発生する可能性があります。通常は、これによって問題が生じることはありません。これが適応型セキュリティ アプライアンスのパフォーマンスに影響を及ぼす場合、または問題が解決しない場合は、Cisco TAC にお問い合せください。

421005

エラー メッセージ %ASA-6-421005: interface_name : IP_address is counted as a user of application

説明 ホストがライセンス制限の対象と見なされています。指摘されたホストが、 application のユーザと見なされました。ライセンス検証のために、24 時間のユーザの総数が午前 0 時に計算されます。

interface_name :インターフェイス名

IP_address :IP アドレス

application :CSC SSM

推奨処置 不要です。ただし、全体の数が、購入したユーザ ライセンスを超える場合は、Cisco TAC に連絡してライセンスをアップグレードしてください。

421006

エラー メッセージ %ASA-6-421006: There are number users of application accounted during the past 24 hours.

説明 このメッセージは、過去 24 時間にアプリケーションを使用したユーザの総数を示します。このメッセージは 24 時間ごとに生成され、サービス モジュールによって提供されたサービスを使用したホストの総数を示します。

application :CSC SSM

推奨処置 不要です。ただし、全体の数が、購入したユーザ ライセンスを超える場合は、Cisco TAC に連絡してライセンスをアップグレードしてください。

421007

エラー メッセージ %ASA-3-421007: TCP|UDP flow from interface_name : IP_address / port to interface_name : IP_address / port is skipped because application has failed.

説明 このメッセージは、サービス モジュールのアプリケーションに障害が発生したためにフローがスキップされた場合に生成されます。デフォルトでは、このメッセージは 10 秒に 1 回しか表示されないように制限されています。

IP_address :IP アドレス

port :ポート番号

interface_name :ポリシーが適用されているインターフェイスの名前

application :CSC SSM

推奨処置 すぐにサービス モジュールで問題を調査します。

422004

エラー メッセージ %ASA-4-422004: IP SLA Monitor number0 : Duplicate event received. Event number number1

説明 IP SLA モニタ プロセスが、重複したイベントを受信しました。現在、このメッセージは破棄イベントに適用されます。1 つの破棄要求だけが適用されます。

number0 :SLA 動作番号

number1 :SLA 動作のイベント ID

推奨処置 これは単なる警告メッセージです。このメッセージが繰り返し表示される場合は、 show sla monitor configuration SLA_operation_id コマンドを入力して、コマンドの出力をコピーします。コンソールまたはシステム ログに表示されるメッセージをそのままコピーします。その後 Cisco TAC にお問い合せのうえ、収集した情報と、SLA プローブを設定およびポーリングしているアプリケーションに関する情報を TAC の担当者にご提供ください。

422005

エラー メッセージ %ASA-4-422005: IP SLA Monitor Probe(s) could not be scheduled because clock is not set.

説明 システム クロックが設定されていないため、1 つまたは複数の IP SLA モニタ プローブをスケジュールできませんでした。

推奨処置 システム クロックが NTP または別のメカニズムを使用して機能できることを確認します。

422006

エラー メッセージ %ASA-4-422006: IP SLA Monitor Probe number : string

説明 IP SLA モニタ プローブをスケジュールできませんでした。設定された開始時刻がすでに過ぎてしまっているか、開始時刻が無効です。

number :SLA 動作 ID

string :エラーを説明する文字列

推奨処置 失敗したプローブを有効な開始時刻で再度スケジュールします。

423001

エラー メッセージ %ASA-4-423001: {Allowed | Dropped} invalid NBNS pkt_type_name with error_reason_str from ifc_name : ip_address / port to ifc_name : ip_address / port .

説明 NetBIOS Name Server(NBNS; NetBIOS ネーム サーバ)パケットの形式が誤っています。

推奨処置 不要です。

423002

エラー メッセージ %ASA-4-423002: {Allowed | Dropped} mismatched NBNS pkt_type_name with error_reason_str from ifc_name : ip_address / port to ifc_name : ip_address / port .

説明 NBNS ID のミスマッチがあります。

推奨処置 不要です。

423003

エラー メッセージ %ASA-4-423003: {Allowed | Dropped} invalid NBDGM pkt_type_name with error_reason_str from ifc_name : ip_address / port to ifc_name : ip_address / port .

説明 NBDGM パケットの形式が誤っています。

推奨処置 不要です。

423004

エラー メッセージ %ASA-4-423004: {Allowed | Dropped} mismatched NBDGM pkt_type_name with error_reason_str from ifc_name : ip_address / port to ifc_name : ip_address / port .

説明 NBDGM ID のミスマッチがあります。

推奨処置 不要です。

423005

エラー メッセージ %ASA-4-423005: {Allowed | Dropped} NBDGM pkt_type_name fragment with error_reason_str from ifc_name : ip_address / port to ifc_name : ip_address / port .

説明 NBDGM フラグメントの形式が誤っています。

推奨処置 不要です。

424001

エラー メッセージ %ASA-4-424001: Packet denied protocol_string intf_in : src_ip / src_port intf_out : dst_ip / dst_port . [Ingress|Egress] interface is in a backup state.

説明 パケットが、適応型セキュリティ アプライアンスと冗長インターフェイスとの間を経由しているために、廃棄されました。ローエンド プラットフォームでは、インターフェイス機能が制限されます。 backup interface コマンドで指定されているインターフェイスは、設定されているプライマリ インターフェイスのバックアップになることしかできません。プライマリ インターフェイスへのデフォルト ルートがアップしている場合は、バックアップ インターフェイスからのデバイス経由トラフィックはすべて拒否されます。逆に、プライマリ インターフェイスへのデフォルト ルートがダウンしている場合は、プライマリ インターフェイスからのデバイス経由トラフィックが拒否されます。

protocol_string :プロトコル文字列(たとえば、TCP または 10 進数のプロトコル ID)

intf_in :入力インターフェイス名

src_ip :パケットの送信元 IP アドレス

src_port :パケットの送信元ポート

intf_out :出力インターフェイス名

dst_ip :パケットの宛先 IP アドレス

dst_port :パケットの宛先ポート

推奨処置 拒否されたパケットの送信元を調査します。

424002

エラー メッセージ %ASA-4-424002: Connection to the backup interface is denied: protocol_string intf : src_ip / src_port intf : dst_ip / dst_port

説明 接続がバックアップ状態であったために、その接続が廃棄されました。ローエンド プラットフォームでは、インターフェイス機能が制限されます。バックアップ インターフェイスは、 backup interface コマンドで指定されているプライマリ インターフェイスのバックアップになることしかできません。プライマリ インターフェイスへのデフォルト ルートがアップしている場合は、バックアップ インターフェイス経由の適応型セキュリティ アプライアンスへの接続はすべて拒否されます。逆に、プライマリ インターフェイスへのデフォルト ルートがダウンしている場合は、プライマリ インターフェイス経由の適応型セキュリティ アプライアンスへの接続が拒否されます。

protocol_string :プロトコル文字列(たとえば、TCP または 10 進数のプロトコル ID)

intf_in :入力インターフェイス名

src_ip :パケットの送信元 IP アドレス

src_port :パケットの送信元ポート

intf_out :出力インターフェイス名

dst_ip :パケットの宛先 IP アドレス

dst_port :パケットの宛先ポート

推奨処置 拒否されたパケットの送信元を調査します。

425001

エラー メッセージ %ASA-6-425001 Redundant interface redundant _ interface_name created.

説明 このメッセージは、指摘された冗長インターフェイスがコンフィギュレーションに作成されたことを示しています。

redundant_interface_name :冗長インターフェイス名

推奨処置 不要です。

425002

エラー メッセージ %ASA-6-425002 Redundant interface redundant _ interface_name removed.

説明 このメッセージは、指摘された冗長インターフェイスがコンフィギュレーションから削除されたことを示しています。

redundant_interface_name :冗長インターフェイス名

推奨処置 不要です。

425003

エラー メッセージ %ASA-6-425003 Interface interface_name added into redundant interface redundant _ interface_name .

説明 このメッセージは、指摘された物理インターフェイスがメンバー インターフェイスとして、指摘された冗長インターフェイスに追加されたことを示しています。

interface_name :インターフェイス名

redundant_interface_name :冗長インターフェイス名

推奨処置 不要です。

425004

エラー メッセージ %ASA-6-425004 Interface interface_name removed from redundant interface redundant _ interface_name .

説明 このメッセージは、指摘された冗長インターフェイスが、指摘された冗長インターフェイスから削除されたことを示しています。

interface_name :インターフェイス名

redundant_interface_name :冗長インターフェイス名

推奨処置 不要です。

425005

エラー メッセージ %ASA-5-425005 Interface interface_name become active in redundant interface redundant _ interface_name

説明 冗長インターフェイスでは、1 つのメンバー インターフェイスがアクティブなメンバーとなります。トラフィックは、アクティブなメンバー インターフェイスだけを通過します。このメッセージは、指摘された物理インターフェイスが、指摘された冗長インターフェイスのアクティブなメンバーになることを示しています。次のいずれかが当てはまる場合、メンバー インターフェイスの切り替えが行われます。

redundant-interface interface-name active-member interface-name コマンドが実行された。

スタンバイ メンバー インターフェイスがアップ状態であるときに、アクティブなメンバー インターフェイスがダウンした。

アクティブなメンバー インターフェイスがダウン状態のままであるときに、スタンバイ メンバー インターフェイスが(ダウンから)アップ状態になった。

interface_name :インターフェイス名

redundant_interface_name :冗長インターフェイス名

推奨処置 メンバー インターフェイスのステータスを確認します。

425006

エラー メッセージ %ASA-3-425006 Redundant interface redundant _ interface_name switch active member to interface_name failed.

説明 このメッセージは、メンバー インターフェイスの切り替えが試行されたときにエラーが発生したことを示しています。

redundant_interface_name :冗長インターフェイス名

interface_name :インターフェイス名

推奨処置 問題が解決しない場合、Cisco TAC にお問い合せください。

428001

エラー メッセージ %ASA-6-428001: WAAS confirmed from in_interface : src_ip_addr/src_port to out_interface : dest_ip_addr/dest_port , inspection services bypassed on this connection.

説明 この syslog メッセージは、接続で WAAS 最適化が検出された場合に生成されます。WAAS 最適化接続では、すべての L7 検査サービス(IPS を含む)がバイパスされます。

推奨処置 ネットワークに WAE デバイスが含まれている場合、処置は不要です。それ以外の場合、ネットワーク管理者は、この接続での WAAS オプションの使用を調査する必要があります。

431001

エラー メッセージ %ASA-4-431001: RTP conformance: Dropping RTP packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port , Drop reason: drop_reason value

説明 RTP パケットが廃棄されました。

in_ifc :入力インターフェイス

src_ip :パケットの送信元 IP アドレス

src_port :パケットの送信元ポート

out_ifc :出力インターフェイス

dest_ip :パケットの宛先 IP アドレス

dest_port :パケットの宛先ポート

drop_reason :次の廃棄原因のいずれか

- Incorrect version value :パケットのバージョン番号が誤っている。

- Invalid payload-type value :パケットのペイロード タイプが無効である。

- Incorrect SSRC value :パケットの SSRC が誤っている。

- Out-of-range sequence number value sequence number from the packet。

- Out of sequence in packet in probation value sequence number from the packet。

推奨処置 廃棄された RTP パケットを調べて、RTP 送信元が誤って設定しているフィールドを確認します。また、送信元を調べて、送信元が正当であり、適応型セキュリティ アプライアンスの隙を突こうとしている攻撃者でないことを確認します。

431002

エラー メッセージ %ASA-4-431002: RTCP conformance: Dropping RTCP packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port , Drop reason: drop_reason value

説明 RTCP パケットが廃棄されました。

in_ifc :入力インターフェイス

src_ip :パケットの送信元 IP アドレス

src_port :パケットの送信元ポート

out_ifc :出力インターフェイス

dest_ip :パケットの宛先 IP アドレス

dest_port :パケットの宛先ポート

drop_reason :次の廃棄原因のいずれか

- Incorrect version value :パケットのバージョン番号が誤っている。

- Invalid payload-type value :パケットのペイロード タイプが誤っている。

推奨処置 廃棄された RTP パケットを調べて、RTP 送信元が誤って設定しているフィールドを確認します。また、送信元を調べて、送信元が正当であり、適応型セキュリティ アプライアンスの隙を突こうとしている攻撃者でないことを確認します。

444004

エラー メッセージ %ASA-2-444004: Temporary license key key has expired. Applying permanent license key permkey

説明 インストールされている一時ライセンスの有効期限が切れました。このライセンスで提供されている機能は今後使用できません。

key :一時アクティベーション キー

permkey :永久アクティベーション キー

推奨処置 永久ライセンスを購入してインストールする必要があります。

444005

エラー メッセージ %ASA-4-444005: Temporary license key key will expire in days days

説明 指摘された期間が経過すると、一時ライセンスの有効期限が切れます。有効期限を過ぎると、このライセンスで提供されている機能は使用できなくなります。

key :一時アクティベーション キー

days:有効期限までの残り日数

推奨処置 一時ライセンスの有効期限が切れる前に、永久ライセンスを購入してインストールする必要があります。

444100

エラー メッセージ %ASA-5-444100: Shared request request failed. Reason: reason

説明 共有ライセンスのクライアント要求がサーバによって正常に送信または処理されませんでした。

request :要求。有効な要求は次のとおりです。

- get SSLVPN

- release SSLVPN

- transfer SSLVPN

reason :要求が失敗した原因。有効な原因は次のとおりです。

- connection failed to server

- version not supported by server

- message signature invalid

- client ID unknown by server

- server is not active

- license capacity reached

推奨処置 不要です。

444101

エラー メッセージ %ASA-5-444101: Shared license service is active. License server address: address

説明 共有ライセンス サーバがアクティブになりました。

address :ライセンス サーバの IPv4 または IPv6 アドレス

推奨処置 不要です。

444102

エラー メッセージ %ASA-2-444102: Shared license service inactive. License server is not responding.

説明 共有ライセンス サーバからの応答がないため、ライセンス サーバは非アクティブです。

推奨処置 デバイスを共有ライセンス サーバに登録できません。ライセンス サーバのアドレス、シークレット、およびポートが正しく設定されている