Cisco Security Manager 4.2 ユーザ ガイド
Security Manager サーバの管理
Security Manager サーバの管理
発行日;2012/05/08 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

Security Manager サーバの管理

Security Manager サーバの管理および運用の概要

Security Manager サーバのクラスタの管理

Security Manager サーバ クラスタの管理

Security Manager サーバの分割

Security Manager サーバ間での共有ポリシーの同期

デバイス インベントリのエクスポート

Security Manager クライアントからのデバイス インベントリのエクスポート

インベントリのインポート/エクスポートでサポートされる CSV 形式

コマンドラインからのデバイス インベントリのエクスポート

共有ポリシーのエクスポート

ポリシーまたはデバイスのインポート

Security Manager のライセンス ファイルのインストール

監査レポートの使用

監査レポートについて

監査レポートの生成

[Audit Report] ウィンドウの使用

監査ログ エントリのパージ

別のユーザの作業の引き継ぎ

管理ユーザまたは他のユーザのパスワード変更

Security Manager データベースのバックアップおよび復元

サーバ データベースのバックアップ

サーバ データベースの復元

Cisco Technical Assistance Center 用データの生成

Cisco Technical Assistance Center の診断ファイルの作成

展開ステータス レポートまたは検出ステータス レポートの生成

Cisco Technical Assistance Center 用の差分データベース バックアップの生成

Security Manager サーバの管理および運用の概要

Cisco Security Manager は、ソフトウェア アプリケーションの 1 つとして、CiscoWorks Common Services アプリケーションにより提供されるフレームワークで動作します。基本的なサーバ制御機能の多くは、Common Services によって提供されます。たとえば、Security Manager に複数サーバ セットアップを作成するには、Common Services でそのセットアップを作成する必要があります。また、Common Services には、ローカル ユーザ アカウントの作成と管理、データベースのバックアップと復元、システム機能に関する各種レポートの生成を行うためのツールや、その他多くの基本的な機能に対応するツールも備わっています。

Common Services アプリケーションにアクセスするには、次のいずれかを実行します。

Security Manager クライアントが現在開いている場合は、[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Server Security] を選択できます。[Server Security] ページには、Common Services の特定のページにリンクするボタンおよび特定のページを開くボタンが含まれています。任意のボタンをクリックして、Common Services の目的のページにナビゲートできます。

Web ブラウザを使用し、URL https:// servername を使用して Security Manager サーバにリンクします( servername はサーバの IP アドレスまたは DNS 名です)。この URL によって Security Manager ホームページが開きます。[Server Administration] または [CiscoWorks] リンクをクリックして、Common Services を開きます。

Common Services で実行可能な操作の詳細については、Common Services オンライン ヘルプを参照してください。

Security Manager サーバのクラスタの管理

Security Manager サーバ クラスタは、ネットワークを管理するために使用される 2 つ以上の Security Manager サーバです。一般的に、そのサーバ間の関係は維持することが求められます。クラスタ内のサーバ間に体系的な関係はありませんが、クラスタのような関係を維持するために使用できる方法があります。この章の各項では、Security Manager サーバのグループをクラスタとして管理する方法を説明します。

ここでは、次の項目について説明します。

「Security Manager サーバ クラスタの管理」

「デバイス インベントリのエクスポート」

「共有ポリシーのエクスポート」

「ポリシーまたはデバイスのインポート」

Security Manager サーバ クラスタの管理

多数のデバイスを 1 台の Security Manager サーバで管理することができます。また一方で、ネットワークの管理に 2 つ以上の Security Manager サーバを使用する理由はさまざまです。次に例を示します。

管理対象のデバイスが非常に多い、大規模なネットワークの場合、単一のサーバからすべてのデバイスを管理しようとすると、パフォーマンスが許容できなくなる可能性があります。

地理的な理由から、管理対象デバイスにより近いサーバを用意した方が改善されると判断する場合。たとえば、世界各地に主要サイトがある場合は、各主要サイトに分けてサーバを置くと、管理を簡易化し、パフォーマンスを向上できます。また、管理対象デバイスに設定を展開する場合を例にすると、バンガロールにあるデバイスへの設定の展開は、サンフランシスコにある Security Manager サーバよりも、バンガロールにある Security Manager サーバの方がはるかに速く展開することができます。単純に物理的なネットワークの距離がとても近いためです。

管理されたテクノロジーに基づいて、デバイス管理をセグメント化する場合。たとえば、1 台のサーバでサイト間 VPN を管理し、もう 1 台のサーバで ASA ファイアウォールとリモート アクセス VPN ポリシーを管理し、さらに 3 台目のサーバで IPS を管理する場合があります。

分かれた複数の IT 組織がネットワークのそれぞれ別の部分を管理している場合。デバイス レベルでアクセス コントロールを微調整するように ACS を設定できますが、それよりも IT 組織ごとに別個の Security Manager サーバを用意する方が簡易化できます。

2 つ以上の Security Manager サーバをインストールする場合の主な課題は次のとおりです。

単一のサーバを 2 つ以上のサーバに分ける:現在、単一の Security Manager サーバを使用していて、複数のサーバの必要性がある場合。1 つの Security Manager サーバを 2 つ以上のサーバに分ける方法については、「Security Manager サーバの分割」を参照してください。

同一セットの共有ポリシーの維持:複数のサーバを使用して同じデバイス タイプを管理する場合は、デバイスに割り当てる共有ポリシーを同一に保つことができます。たとえば、同一セットの必須およびデフォルトのアクセス ルールをすべての ASA デバイスで継承させることができます。

同じ共有ポリシーのセットをサーバのクラスタ内で自動的に管理するプロセスは存在しません。代わりに、手動でメイン サーバからポリシーをエクスポートし、その他のサーバにインポートする必要があります。詳細については、「Security Manager サーバ間での共有ポリシーの同期」を参照してください。

Security Manager サーバの分割

単一の Security Manager サーバを 2 つ以上のサーバに切り替える必要がある場合は、元のサーバで管理しているデバイスのサブセットを新しいサーバに移動することによって、サーバを分けることができます。特定の 1 つのネットワーク デバイスは単一の Security Manager サーバから管理する必要があるため、移動したデバイスを元のサーバから削除することに留意してください。


ヒント すべてのサーバ上で、同じリリースの Security Manager ソフトウェアを使用してください。

関連項目

「Security Manager サーバ クラスタの管理」

「Security Manager サーバ間での共有ポリシーの同期」

「共有ポリシーのエクスポート」


ステップ 1 Installation Guide for Cisco Security Manager 』で説明されているように、新しい Security Manager サーバをインストールします。

サーバが正しく機能していること、またサーバに移動しようとしているデバイスに対して十分なデバイス数でライセンスをインストールしたことを確認します。Professional ライセンスを必要とするデバイス タイプを管理する場合は、必ずそのライセンスを使用します。ライセンスのインストールについては、「Security Manager のライセンス ファイルのインストール」を参照してください。

ステップ 2 元のサーバ上の移動対象デバイスのポリシーで、新しいサーバの IP アドレスからのアクセスが許可されていることを確認します。たとえば、ASA およびルータ上のアクセス ルール、および IPS デバイス上の Allowed Hosts ポリシーを検討します。

ステップ 3 元のサーバで、移動しているデバイスに対するすべての設定変更が送信済みおよび展開済みであることを確認します。スタッフにその変更を送信して展開するように依頼する必要があります。Security Manager 内でこのステータスを確認する簡単な方法はありません。

この手順では、保留中で未確定の変更がないことを確認します。設定の展開の詳細については、Workflow モードに基づく次の項目を参照してください。

「Workflow 以外のモードでの設定の展開」

「Workflow モードでの設定の展開」

ステップ 4 [File] > [Export] > [Devices] を選択して、元の Security Manager サーバから割り当てられたポリシーとポリシー オブジェクトを持つデバイスをエクスポートします。デバイスのエクスポート時に [Export Devices, Policies, and Objects] を選択して、ポリシー情報が含まれるようにします。ファイル タイプは dev にする必要があります。詳細については、「Security Manager クライアントからのデバイス インベントリのエクスポート」を参照してください。

新規 Security Manager サーバごとに独自のデバイスを含む個別のエクスポート ファイルを作成します。


ヒント この時点では、元のサーバ内のエクスポートされたデバイスに対してポリシーの変更を行わないでください。また、これらのデバイスに設定を展開しないでください。分割を行う前に元のサーバのデバイスに変更を行う必要性が見つかった場合は、新しいエクスポート ファイルを作成します。


ステップ 5 新しい Security Manager サーバそれぞれで、[File] > [Import] を選択して、エクスポートされた情報を新しいサーバにインポートします。詳細については、「ポリシーまたはデバイスのインポート」を参照してください。


ヒント インポート時にデバイス グループは維持されません。すべてのデバイスが、All グループに配置されます。手動で目的のデバイス グループ構成を再作成し、デバイスを適切なグループに追加する必要があります。


ステップ 6 新しい Security Manager サーバごとに新しくインポートされたデバイスを管理できることを確認します。たとえば、変更されていないデバイスに対しても展開を行って、新しいサーバがすべてのデバイスに正しく接続し、設定を展開できることを確認します。


ヒント 「ポリシーまたはデバイスのインポート」で説明されているように、デバイスを設定するための変更が適用される前に、ポリシーを送信する必要があります。展開を行う前にポリシーを送信します。


ステップ 7 元のサーバを使用して、移動対象デバイスのいずれかをモニタしていた場合(つまり、Event Viewer およびオプションの Report Manager を使用していた場合)、新しいサーバに syslog メッセージが送信されるように、また新しいサーバからの接続を許可するように関連ポリシーを更新します。元のサーバのイベント データまたはレポート データはいずれも、新しいサーバには転送されません。

Security Manager のモニタをイネーブルにするようにデバイスを設定する方法については、次の項を参照してください。

「イベント管理のための ASA と FWSM デバイスの設定」

「イベント管理のための IPS デバイスの設定」

ステップ 8 元の Security Manager サーバ上で [File] > [Delete Devices] を選択して、元のサーバから移動されたデバイスを削除します。デバイスの削除の詳細については、「Security Manager インベントリからのデバイスの削除」を参照してください。


 

Security Manager サーバ間での共有ポリシーの同期

複数の Security Manager サーバが存在する場合、これらのサーバ間で共有ポリシーを手動で同期できます。共有ポリシーを同期すると、これらの共有ポリシーで使用されるポリシー オブジェクトも同期されます。

ヒント

単一の Security Manager サーバを「マスター」サーバ(正式なバージョンの共有ポリシーを含むサーバ)として識別するためのプログラム的な方法はありません。どのサーバをマスターとして使用するか決め、そのサーバだけで共有ポリシーを編集するように統制する必要があります。

すべてのサーバ上で、同じリリースの Security Manager ソフトウェアを使用してください。

また、特定タイプのポリシー オブジェクトが共有ポリシーで使用されていない場合であっても、それらのオブジェクトを同期することができます。同期するネットワーク/ホスト、サービス、またはポート リスト オブジェクトがある場合は、「ポリシー オブジェクトのインポートおよびエクスポート」に説明されているコマンドを使用できます。

共有ポリシーおよびポリシー オブジェクトのインポート時には、常に同じ名前の既存の共有ポリシーまたはポリシー オブジェクトがインポートされた情報によって置換されます。したがって、ユーザに対してサーバ上で独自の共有ポリシーおよびオブジェクトの作成を許可する場合には、新たにインポートされるポリシーとオブジェクトによってユーザのポリシーとオブジェクトが偶発的に上書きされることがないように、ポリシーとオブジェクトの命名標準を作成することが非常に重要です。

関連項目

「Security Manager サーバ クラスタの管理」

「Security Manager サーバの分割」

「Security Manager クライアントからのデバイス インベントリのエクスポート」


ステップ 1 元のサーバで、共有ポリシーおよびポリシー オブジェクトに対するすべての設定変更が送信済みであることを確認します。スタッフにその変更を送信して承認が行われるように依頼する必要があります。Security Manager 内でこのステータスを確認する簡単な方法はありません。

共有ポリシーのエクスポート時には、そのポリシーに割り当てられたデバイスに新しい変更が展開されることを確認する必要はありません。デバイスの割り当てと展開のステータスは、エクスポートされた情報には含まれません。

ステップ 2 [File] > [Export] > [Policies] を選択して、共有ポリシー、およびそのポリシーで使用されるポリシー オブジェクトをエクスポートします。エクスポート処理では、 pol の拡張子を持つファイルが作成されます。


ヒント エクスポートするポリシーは選択できません。選択できるのはポリシー タイプだけです。選択したタイプのすべての共有ポリシーがエクスポートされます。


詳細については、「共有ポリシーのエクスポート」を参照してください。

ステップ 3 他の Security Manager サーバそれぞれで、[File] > [Import] を選択して、エクスポートされた共有ポリシー情報をサーバにインポートします。詳細については、「ポリシーまたはデバイスのインポート」を参照してください。


ヒント インポートされるものと同じ名前の共有ポリシーまたはオブジェクトがあれば置換されます。ポリシーまたはオブジェクトがすでにロックされている場合は、ポリシーまたはオブジェクトのインポートに失敗します。「ポリシーまたはデバイスのインポート」で説明されているように、デバイスを設定するための変更が適用される前に、ポリシーを送信する必要があります。


ステップ 4 共有ポリシーをすべてインポートしない場合、他のサーバ上ではインポートする予定のなかった共有ポリシーを削除します。これは手動の処理です。


 

デバイス インベントリのエクスポート

デバイス インベントリをエクスポートすると、インベントリを他のネットワーク管理アプリケーションにインポートしたり、独自のレポートを生成する目的で出力を操作したりできます。デバイス インベントリをエクスポートするには、相互に関連のない 2 つの方法があります。

[File] > [Export] > [Devices] コマンドを使用する:このコマンドを使用して、デバイスとその設定ポリシー全体を含む単純な Comma-Separated Values(CSV; カンマ区切り値)ファイルまたは圧縮された .dev ファイルを作成できます。CSV ファイルは、CiscoWorks Common Services Device Credential Repository(DCR)、Cisco Security Monitoring, Analysis and Response System(CS-MARS)、または Security Manager へのインポートに適した形式です。つまり、スプレッドシートやテキスト エディタのプログラムでこのファイルを開いて表示できます。.dev ファイルは、他の Security Manager サーバへのインポート専用です。詳細については、「Security Manager クライアントからのデバイス インベントリのエクスポート」を参照してください。

Perl スクリプト CSMgrDeviceExport を使用する:この Perl スクリプトでは、Security Manager クライアントを起動せずにインベントリをエクスポートできます。出力を画面または Comma-Separated Value(CSV; カンマ区切り値)ファイルに転送できます。詳細については、「コマンドラインからのデバイス インベントリのエクスポート」を参照してください。

Security Manager クライアントからのデバイス インベントリのエクスポート

デバイス インベントリをさまざまな形式でエクスポートできます。主な選択肢を次に示します。

Comma-Separated Values(CSV; カンマ区切り値)でエクスポート :CSM(Cisco Security Manager で使用)、Device Credential Repository(DCR、CiscoWorks Common Services 用)、および CS-MARS シード ファイル(Cisco Security Monitoring, Analysis and Response System で使用)のいずれかの形式のインベントリ情報を含む単純な CSV ファイルを作成できます。CSV ファイルは、スプレッドシートまたはテキスト エディタで開くことができ、また他の Security Manager サーバを含めて、この形式をサポートする任意のアプリケーションで使用できます。ただし、この形式にはポリシー情報が含まれないため、他の Security Manager サーバで使用する場合は、デバイスの追加時にポリシーを見つける必要があります。

CSV 形式の詳細については、「インベントリのインポート/エクスポートでサポートされる CSV 形式」を参照してください。

CSV ファイルからデバイスをインポートする方法については、「インベントリ ファイルからのデバイスの追加」を参照してください。

Export Devices, Policies, and Objects:デバイスで使用されるすべてのデバイス プロパティ、ポリシー、およびポリシー オブジェクトとともにデバイス インベントリをエクスポートします。エクスポートされる情報には次のような内容が含まれます。

ポリシー内で使用されるすべてのポリシー オブジェクトおよびオブジェクトに対する任意のデバイス レベルのオーバーライドを含めて、デバイスに割り当てるすべてのローカル ポリシーと共有ポリシー。共有ポリシーの割り当ては維持されます。

デバイス プロパティおよびデバイス インベントリ。

デバイスの Configuration Archive データ。

デバイスの履歴スナップショット。

デバイス証明書。

IPS デバイス ライセンスおよび証明書情報。適用されているシグニチャはエクスポートされません(デバイスのインポート時には、サーバ上に同じシグニチャ パッケージを登録する必要があります)。IPS 更新設定は含まれません。インポート後に再作成する必要があります。

デバイスが参加している VPN トポロジ。ただし、VPN トポロジは、そのトポロジに参加しているすべてのデバイスがエクスポートに含まれる場合のみエクスポートされます。エクストラネット VPN は常にエクスポートされます。

したがって、エクスポート ファイルには、選択したデバイスのポリシー設定全体が含まれます。作成されたファイルは拡張子 .dev を持ち、他の Security Manager サーバからは読み取り専用にすることができます(ファイルの内容は圧縮されており、解読不能であるため、ユーザのポリシー情報のセキュリティが保持されます)。

他の Security Manager サーバに対する .dev ファイルのインポートの詳細については、「ポリシーまたはデバイスのインポート」を参照してください。

ヒント

Security Manager サーバまたはローカル Security Manager クライアントにインポートできます。ローカル Security Manager クライアントにエクスポートまたはインポートする機能は、[Tools] > [Security Manager Administration] > [Customize Desktop] から制御できます。詳細については、「[Customize Desktop] ページ」を参照してください。

エクスポートされたデバイスは、インベントリから削除されません。別の Security Manager サーバからデバイスを管理する場合には、別のサーバに正しくインポートした後、そのデバイスを削除します。

AUS または Configuration Engine を使用するデバイスを選択する場合、エクスポートするデバイスのリストからサーバを選択する必要もあります。AUS または Configuration Engine の情報は、CS-MARS 形式にはエクスポートできません。

管理対象外デバイスをエクスポートできます。

ポリシー付きでデバイスをエクスポートする場合、送信されて承認済みのポリシーおよびポリシー オブジェクトだけがエクスポート ファイルに含まれます。ポリシーおよびポリシー オブジェクトとともにデバイスをエクスポートする前に、必要なすべての送信と承認が行われていることを確認します。

どのタイプのエクスポート ファイルにも、イベント データおよびレポート データ(つまり、Event Viewer または Report Manager を通して使用できるデータ)は含まれません。したがって、別の Security Manager サーバに移動する目的でデバイスをエクスポートしている場合には、そのデバイスに関してすでに収集したイベント データおよびレポート データは、新しいサーバ上では使用できません。

どのタイプのエクスポート ファイルにも、デバイス グループ情報は含まれません。デバイスをインポートしたあとに、手動でデバイス グループを再作成し、そのグループにデバイスを割り当てる必要があります。

セキュリティ コンテキストまたは仮想センサーを選択している場合には、ホスト デバイスも選択する必要があります。また、デバイスが VPN に参加している場合は、デバイス、ポリシー、およびポリシー オブジェクトのエクスポート時に VPN 内のすべてのデバイスを選択するようにします。

IPS または IOS IPS デバイスを選択する場合は、すでに IPS シグニチャの更新をデバイスに適用済みであることを確認します。基本センサー パッケージ(Sig0)で IPS または IOS IPS デバイスをエクスポートできますが、インポートできません。「missing Sig0 package」というインポート エラーが発生します。

別のデバイスに含まれているデバイス タイプのうち、Catalyst 6500/7600 内の任意のモジュール、ルータ内の AIM モジュールまたは NME モジュールを選択すると、ホスティング デバイスも自動的にエクスポートされます。ASA デバイスとその IPS モジュールを別々にエクスポートできます。

アクティビティ セッションまたは設定セッションの承認中は、デバイスとそのポリシー(.dev 形式)をエクスポートできません。デバイスとそのポリシーをエクスポートするには、先にすべての承認が完了している必要があります。アプルーバのいる Workflow モードでは、アプルーバに問い合わせ、承認をただちに完了させるように依頼します。Workflow 以外のモードまたはアプルーバのいない Workflow モードでは、変更が送信されると承認が自動的に行われるため、数分待ってからエクスポートを再試行します。

デバイスとそのポリシー(.dev 形式)のエクスポート中は、ポリシーの変更を承認できません。エクスポート ファイルが作成されるとすぐにコマンドが終了し、ユーザは再びポリシーの変更を承認できるようになります。このことは、Workflow 以外のモードまたはアプルーバのいない Workflow モードの場合、エクスポート処理中に送信ができないということになります。

デバイス、ポリシー、およびポリシー オブジェクトをエクスポートするには、ポリシーとオブジェクトのタイプに対するポリシー変更とオブジェクト変更の権限、およびデバイス変更の権限が必要です。認可制御のために ACS を使用する場合、これらの権限は、別々のポリシー、オブジェクト、およびデバイスに割り当てることができます。システム管理者、ネットワーク管理者、またはセキュリティ管理者の権限を持つと、それに必要な権限が与えられます。

デバイスを CSV にエクスポートする場合、デバイス変更の権限のみ必要です。

関連項目

「セレクタ内の項目のフィルタリング」

「Security Manager でのファイルまたはディレクトリの選択または指定」

「[Customize Desktop] ページ」


ステップ 1 デバイス ビューで、[File] > [Export] > [Devices] を選択して、[Export Inventory] ダイアログボックスを開きます。

ステップ 2 [Export as CSV] または [Export Devices, Policies, and Objects] のいずれかを選択します。これらのオプションについては、上記に説明があります。

ステップ 3 エクスポート ファイルに含めるデバイスを選択し、[>>] をクリックして [Selected Devices] リストに追加します。フォルダを選択して、フォルダ内のすべてのデバイスを選択できます。

デバイスを選択するためのリストには、デバイス変更の権限があるデバイスだけが表示されます。


ヒント 性能上の理由から、ポリシー付き(.dev 形式)でデバイスをエクスポートする場合、選択内容を 500 デバイス以下に制限する場合があります。


ステップ 4 [Browse] をクリックして、エクスポート ファイルの作成先となるフォルダを選択し、エクスポート ファイルの名前を入力します。[File Type] で作成するファイルのタイプを選択します。CSV ファイルを作成する場合にはこの選択は重要ですが、.dev ファイルを作成する場合にはオプションが 1 つしかありません。

クライアント側ファイルのブラウズが有効な場合、該当するタブを選択することによって Security Manager サーバまたはローカル Security Manager クライアントにエクスポートできます。


ヒント Security Manager クライアントにエクスポートまたはインポートする機能は、[Tools] > [Security Manager Administration] > [Customize Desktop] から制御できます。詳細については、「[Customize Desktop] ページ」を参照してください。


[Save] をクリックして [Export Inventory] ダイアログボックスに戻ります。[Export Inventory To] フィールドが、エクスポート ファイル情報で更新されます。

ステップ 5 [OK] をクリックして、エクスポート ファイルを作成します。

エクスポートの完了、およびエクスポート時にエラーが発生したかどうかを示すメッセージが表示されます。エクスポート中に問題が発生した場合は、[OK] をクリックすると、ダイアログボックスが開き、メッセージが表示されます。ダイアログボックスに [Details] ボタンがある場合は、メッセージを選択して [Details] をクリックすると、さらに読みやすい形式のメッセージを確認できます。


 

インベントリのインポート/エクスポートでサポートされる CSV 形式

Comma-Separated Values(CSV; カンマ区切り値)ファイルにデバイスをエクスポートする場合([File] > [Export] > [Devices] を選択して [Export as CSV] を選択)、または CSV ファイルからデバイスをインポートする場合([File] > [New Device] を選択して New Device ウィザードの [File] から [Add Device] を選択)は、次のいずれかの CSV ファイル形式を選択できます。

Device Credential Repository(DCR) :CiscoWorks Common Services 用のデバイス管理システム。この形式の詳細については、次の URL で、Common Services のマニュアルのサンプル バージョン 3.0 CSV ファイルの説明を参照してください。 http://www.cisco.com/en/US/docs/net_mgmt/ciscoworks_common_services_software/3.3/user/guide/dcr.html#wp1193611

CS-MARS シード ファイル :Cisco Security Monitoring, Analysis and Response System。この形式の詳細については、次の URL で、CS-MARS のマニュアルを参照してください。 http://www.cisco.com/en/US/docs/security/security_management/cs-mars/6.0/device/configuration/guide/chDvcOver.html#wp162016

Cisco Security Manager :Security Manager 形式。DCR バージョン 3.0 形式にフィールドをいくつか追加したものです。インベントリを別の Security Manager サーバにインポートしている場合は、この形式を選択すると、デバイスでポリシーを検出せずにインベントリをインポートできます。


) ファイルにデバイスの os_type および os_version が指定されていない場合は、デバイスを追加するときにデバイスから直接ポリシーを検出する必要があります。


各行の末尾に表示される追加のフィールドは次のとおりです。

os_type。オペレーティング システム タイプ。PIX、ASA、IOS、FWSM、IPS のいずれかになります。このフィールドは、すべてのデバイス タイプに必須です。

os_version。ターゲット オペレーティング システム バージョン。[Add New Device] を選択したときに New Device ウィザードのリストに示されるバージョン番号のいずれかになります。許容できるバージョン番号はデバイス モデルによって異なるため、CSV ファイルを手作業で作成している場合は、このリストに慎重に目を通してください。この方法を使用したデバイスの追加の詳細については、「手動定義によるデバイスの追加」を参照してください。このフィールドは、すべてのデバイス タイプに必須です。

fw_os_mode。ファイアウォール デバイスが実行されているモード。TRANSPARENT、ROUTER、MIXED のいずれかになります。このフィールドは、ASA、PIX、および FWSM デバイスに必須です。

fw_os_context。ファイアウォール デバイスが実行されているコンテキスト。SINGLE または MULTI になります。このフィールドは、ASA、PIX、および FWSM デバイスに必須です。

anc_os_type。Cisco IOS-IPS デバイスの補助的なオペレーティング システム タイプ。存在する場合は IPS となります。このフィールドは、IOS IPS デバイスに必須です。

anc_os_version。補助的なターゲット オペレーティング システム バージョンで、IPS ターゲット オペレーティング システム バージョンです。存在する場合は、サポートされている IOS-IPS バージョンのいずれかになります。このフィールドは、IOS IPS デバイスに必須です。

これらの CSV ファイルは、そのファイル形式をサポートする任意のプログラムで使用できます。ユーザ自身で CSV ファイルを作成し、そのファイルを使用して Security Manager にインベントリをインポートすることもできます。

関連項目

「Security Manager クライアントからのデバイス インベントリのエクスポート」

「ポリシーまたはデバイスのインポート」

「インベントリ ファイルからのデバイスの追加」

コマンドラインからのデバイス インベントリのエクスポート

Security Manager には、Security Manager クライアントを起動せずにデバイス インベントリをエクスポートするのに使用できる Perl スクリプトが用意されています。このスクリプトを使用すると、組織で必要になるさまざまなオフライン レポート タスクを自動化できます。出力を Comma-Separated Value(CSV; カンマ区切り値)ファイルにパイプできます。また、出力をキャプチャして操作することもできます。


ヒント このコマンドでは、デバイスのインポートまたは「ファイルから」のデバイスの追加に使用できるファイルは作成しません。このコマンドは、インベントリ情報をエクスポートし、統合されたエクスポート機能のように見えますが、コマンドの有効性は、独自のオフラインのレポート プロセス要件を持つ組織でのレポートの目的に限定されます。

Perl コマンドは $NMSROOT¥bin(通常は C:¥Program Files¥CSCSpx¥bin)にあります。コマンドの構文は次のとおりです。

perl [ path ] CSMgrDeviceExport.pl -u username [ -p password ] [ -s { Dhdoirtg }] [ -h ] [ > filename.csv ]

構文

perl [ path ] CSMgrDeviceExport.pl

Perl スクリプト コマンド。システム パス変数内に CSMgrDeviceExport.pl ファイルへのパスが定義されていない場合は、そのパスを追加します。

-u username

Security Manager のユーザ名。エクスポートされるデータは、このユーザに割り当てられた権限によって制限されます。ユーザには、デバイス表示の権限が必要です。

-p password

(任意)ユーザのパスワード。コマンドにパスワードを含めていない場合、パスワードの入力を求められます。

-s { Dhdoirtg }

(任意)出力に含めるために選択されているフィールド。-s オプションを指定しない場合は、すべてのフィールドが含められます。次の 1 つ以上を指定できます。

D:表示名。

h:ホスト名。

d:ドメイン名。

o:オペレーティング システム(OS)タイプ。

I:イメージ名。

r:実行中の OS バージョン。

t:ターゲット OS バージョン。

g:デバイス グループ。

-h

(任意)コマンドラインのヘルプを表示します。このオプションを指定すると、他のすべてのオプションは無視されます。

> filename.csv

(任意)出力を指定のファイルにパイプします。ファイルを指定しない場合、出力は画面に表示されます。

出力形式

出力は標準の Comma-Separated Value(CSV; カンマ区切り値)形式であるため、スプレッドシート プログラムで開いたり、独自のスクリプトで処理したりできます。最初の行はカラムの見出しです。カラムは左から右に、上記の -s オプションで説明したフィールドの順に並んでいます。

特定のフィールドに値がない場合、そのフィールドは出力でブランクになります。

デバイス グループ出力フィールドは二重引用符で囲まれ、複数のグループ名が含まれることがあります。グループ名には、グループのパス構造が含まれています。たとえば、次の出力はデバイスが 2 つのグループの一部であることを示します。[Department] フォルダの East Coast グループと、[New] フォルダの NewGroup グループです。グループは、セミコロンで区切られています。

"/Department/East Coast; /New/NewGroup"
 
 

スクリプトが生成したエラー メッセージがあれば、出力ファイルに書き込まれます。

共有ポリシーのエクスポート

他の Security Manager サーバにインポートするために使用する共有ポリシーおよびポリシー オブジェクトをエクスポートできます。これにより、「Security Manager サーバ間での共有ポリシーの同期」で説明したように、サーバのグループ内で同じポリシーを保持できるようになります。

ヒント

Security Manager サーバまたはローカル Security Manager クライアントにインポートできます。ローカル Security Manager クライアントにエクスポートまたはインポートする機能は、[Tools] > [Security Manager Administration] > [Customize Desktop] から制御できます。詳細については、「[Customize Desktop] ページ」を参照してください。

共有ポリシーおよびポリシー オブジェクトは、送信されて承認済みのものだけがエクスポート ファイルに含まれます。ポリシーをエクスポートする前に、必要なすべての送信と承認が行われていることを確認します。

また、共有ポリシーによって参照されるすべてのポリシー オブジェクトもエクスポートされます。ただし、ポリシー オブジェクトが参照されていない場合はエクスポートされません。ネットワーク/ホスト、サービス、およびポート リストのオブジェクトを直接エクスポートするために使用できる個別のコマンドがあります。詳細については、「ポリシー オブジェクトのインポートおよびエクスポート」を参照してください。

アクティビティ セッションまたは設定セッションの承認中は、ポリシーをエクスポートできません。ポリシーをエクスポートするには、先にすべての承認が完了している必要があります。アプルーバのいる Workflow モードでは、アプルーバに問い合わせ、承認をただちに完了させるように依頼します。Workflow 以外のモードまたはアプルーバのいない Workflow モードでは、変更が送信されると承認が自動的に行われるため、数分待ってからエクスポートを再試行します。

ポリシーのエクスポート中は、ポリシーの変更を承認できません。エクスポート ファイルが作成されるとすぐにコマンドが終了し、ユーザは再びポリシーの変更を承認できるようになります。このことは、Workflow 以外のモードまたはアプルーバのいない Workflow モードの場合、エクスポート処理中に送信ができないということになります。

ポリシーおよびそのポリシー オブジェクトをエクスポートするには、ポリシーとオブジェクトのタイプに対するポリシー変更とオブジェクト変更の権限が必要です。認可制御のために ACS を使用する場合、これらの権限は、別々のポリシー、オブジェクト、およびデバイスに割り当てることができます。システム管理者、ネットワーク管理者、またはセキュリティ管理者の権限を持つと、それに必要な権限が与えられます。

関連項目

「Security Manager サーバ クラスタの管理」

「Security Manager サーバの分割」

「Security Manager サーバ間での共有ポリシーの同期」

「Security Manager クライアントからのデバイス インベントリのエクスポート」

「Security Manager でのファイルまたはディレクトリの選択または指定」

「[Customize Desktop] ページ」


ステップ 1 Configuration Manager で、[File] > [Export] > [Policies] を選択して、[Export Shared Policies] ダイアログボックスを開きます。

ダイアログボックスが開く前に、Security Manager は、定義された共有ポリシーを評価する必要があります。

ステップ 2 [Available Shared Policy Types] リストからエクスポートする共有ポリシーのタイプを選択し、[>>] をクリックして選択したリストに移動します。フォルダを選択して、選択したリストにフォルダ内のすべてのタイプを移動できます。

共有ポリシーが定義されているポリシー タイプだけが表示されます。

ステップ 3 [Export Shared Policies To] フィールドの横にある [Browse] をクリックして、エクスポート ファイルの作成先のフォルダを選択し、ファイルの名前を入力します。ファイル タイプは、.pol としてあらかじめ選択されているため、変更できません。

クライアント側ファイルのブラウズが有効な場合、該当するタブを選択することによって Security Manager サーバまたはローカル Security Manager クライアントにエクスポートできます。


ヒント Security Manager クライアントにエクスポートまたはインポートする機能は、[Tools] > [Security Manager Administration] > [Customize Desktop] から制御できます。詳細については、「[Customize Desktop] ページ」を参照してください。


[OK] をクリックして、ファイル名と場所を保存します。

ステップ 4 [Export Shared Policies] ダイアログボックスの [OK] をクリックして、エクスポートを開始します。エクスポートが完了すると、エクスポートした共有ポリシーの数が通知され、警告やエラーがある場合は、ダイアログボックスが開いて問題が表示されます。

「ポリシーまたはデバイスのインポート」で説明したように、これで、別の Security Manager サーバにポリシーをインポートできます。


 

ポリシーまたはデバイスのインポート

共有ポリシー(.pol)ファイル、または別の Security Manager サーバからエクスポートされたデバイス インベントリとポリシー(.dev)ファイルをインポートできます。

ヒント

Security Manager サーバまたはローカル Security Manager クライアントからインポートできます。ローカル Security Manager クライアントにエクスポートまたはインポートする機能は、[Tools] > [Security Manager Administration] > [Customize Desktop] から制御できます。詳細については、「[Customize Desktop] ページ」を参照してください。

デバイスのインポート時、サーバには、インポートしているデバイスの数およびタイプに対応する十分な Security Manager ライセンスが必要です。Professional ライセンスを必要とするデバイス タイプをインポートする前に、そのライセンスをインストールするようにします。ライセンスのインストールについては、「Security Manager のライセンス ファイルのインストール」を参照してください。

ポリシーのインポート時には、デバイス ポリシーまたは共有ポリシーのインポート中は、[Security Manager Administration] の [Policy Management] ページで管理用に選択したポリシー タイプのみ表示されます。ただし、すべてのポリシーがインポートされます。以前管理用に選択を解除したポリシー タイプを選択すると、そのインポートされたポリシーは、インポートされた設定とともに表示されます。選択的なポリシー管理の詳細については、「ルータおよびファイアウォール デバイスのポリシー管理のカスタマイズ」を参照してください。

共有ポリシーおよびポリシー オブジェクトのインポート時、サーバ上のポリシーまたはオブジェクトがインポートするものと同じ名前の場合は、インポートされるポリシーまたはオブジェクトによって置換されます。ポリシーまたはオブジェクトに対するロックが存在する場合、そのポリシーまたはオブジェクトのインポートは失敗します。メッセージには、失敗の原因がロックの問題であることが示されます。問題を防止するには、インポートを行う前に、すべてのユーザが、共有ポリシーまたはポリシー オブジェクトに対する変更を送信済みおよび承認済みであることを確認してください。

デバイスのインポート時には、そのデバイスに割り当てられたすべての共有ポリシーおよびポリシー オブジェクトもインポートされ、またこれらのポリシーおよびオブジェクトにより、共有ポリシーのインポート時に使用されたのと同じ条件下にある既存のポリシーとオブジェクトが置換されます。

ポリシーおよびそのポリシー オブジェクトをインポートするには、ポリシーとオブジェクトのタイプに対するポリシー変更とオブジェクト変更の権限が必要です。デバイスのインポート時には、デバイス変更の権限も持っている必要があります。認可制御のために ACS を使用する場合、これらの権限は、別々のポリシー、オブジェクト、およびデバイスに割り当てることができます。システム管理者、ネットワーク管理者、またはセキュリティ管理者の権限を持つと、それに必要な権限が与えられます。

同じリリースの Security Manager が稼動しているサーバからエクスポートされたファイルのみ、インポートすることができます。

デバイスがすでにインベントリにある場合には、そのデバイスをインポートできません。したがって、インポート ファイルからデバイス ポリシーを更新できません。デバイスを再インポートする場合は、あらかじめインベントリからそのデバイスを削除します。

AUS または Configuration Engine サーバを使用して設定の展開を管理するデバイスをインポートする場合、そのサーバがインポート ファイルに含まれているか、または Security Manager サーバですでに定義されている必要があります(いずれか一方)。インベントリにすでに定義されている AUS または Configuration Engine がインポート ファイルに含まれている場合は、重複する表示名のエラーが発生します。AUS または Configuration Engine サーバが割り当てられたデバイスをインポートしようとすると、サーバがインポート ファイルに含まれていない場合、またはインベントリに定義されていない場合には、「invalid server selection」エラーが発生します。

管理対象外デバイスをインポートできます。

IPS デバイスのインポート時、サーバは、インポートされるデバイスと同じシグニチャ レベルである必要があります。たとえば、2 つの IPS デバイスがあり、一方がシグニチャ レベル 481 で、もう一方が 530 で稼動していて、これらのデバイスをインポートする場合、サーバには 481 と 530 の両方がインストールされている必要があります。IPS デバイスをインポートする前に、「IPS 更新の確認とダウンロード」に説明されているようにシグニチャ パッケージのダウンロードが必要な場合があります。

この手順では、.pol ファイルまたは .dev ファイルのインポート方法について説明します。CSV ファイルからデバイス インベントリをインポートする場合、手順の説明は 「インベントリ ファイルからのデバイスの追加」にあります。これらの手順は異なります。

関連項目

「Security Manager サーバ クラスタの管理」

「Security Manager サーバの分割」

「Security Manager サーバ間での共有ポリシーの同期」

「Security Manager でのファイルまたはディレクトリの選択または指定」

「[Customize Desktop] ページ」


ステップ 1 Configuration Manager で、[File] > [Import] を選択して [Import] ダイアログボックスを開きます。

ステップ 2 [Browse] をクリックしてファイルを選択します。[Select a File] ダイアログボックスの [Files of Type] リストから目的のファイル タイプ(.pol または .dev)を選択するようにします。

クライアント側ファイルのブラウズが有効な場合、該当するタブを選択することによって Security Manager サーバまたはローカル Security Manager クライアントからインポートできます。


ヒント Security Manager クライアントにエクスポートまたはインポートする機能は、[Tools] > [Security Manager Administration] > [Customize Desktop] から制御できます。詳細については、「[Customize Desktop] ページ」を参照してください。


ファイルを選択したら、[OK] をクリックします。

ステップ 3 [Import] ダイアログボックスで、[OK] をクリックします。

インポートされるポリシーまたはポリシー オブジェクトによる同じ名前のポリシーおよびオブジェクトの置換が警告されます。必要な認可権限(システム管理者または管理変更)がある場合は、[Display a warning on all shared policies and imported objects] を選択解除するオプションがあります。選択した場合は、共有ポリシーおよびインポートされたオブジェクトのバナーにより、インポート中に共有ポリシーが作成された可能性があること、およびインポート中に特定のオブジェクトが実際に作成されたことがユーザに警告されます。この警告は、ユーザがポリシーまたはオブジェクトを変更する場合に、この変更がそのあとに行われるポリシーのインポートによって上書きされる可能性があるという注意を促します。警告を表示するかどうかを選択して、[Yes] をクリックします。


ヒント 警告を表示するかどうかをあとで変更する場合は、[Tools] > [Security Manager Administration] > [Policy Management] ページで [Display a warning on all shared policies and imported objects] オプションを変更できます。


情報がインポートされ、その結果が通知されます。エラーが発生した場合、インポートは行われず、エラーを説明するダイアログボックスが開きます。最も一般的なエラーには、デバイス表示名の重複や、インポート中のものと同じ名前を持つ共有ポリシーまたはポリシー オブジェクトがロックされている場合があります。

表示名の重複問題を解決するには、インベントリからデバイスを削除するか、そのデバイスの名前を変更する必要があります。デバイスを選択してインポートすることはできません。すべてインポートするかインポートしないかのいずれかです。


) 重複するデバイス名がすべて表示されるわけではありません。AUS または Configuration Engine を使用して設定の展開を管理している場合、インポートされる AUS 名および設定名は、管理対象デバイス名より先に評価されます。したがって、最初に出るエラーを修正したあとに、新たな重複表示名のエラーが表示されることがあります。


ロックの問題を解決するには、ユーザがポリシーの変更を送信したら、その変更を承認させるようにする必要があります。デバイスのインポート時、インポートを再試行する前にインポートされたデバイスの削除が必要な場合があります。


ヒント デバイスのインポート時、デバイスがデバイス ビューのデバイス リストに表示されるまで時間がかかる場合があります。また、インポート時にデバイス グループは維持されません。すべてのデバイスが、All グループに配置されます。手動で目的のデバイス グループ構成を再作成し、デバイスを適切なグループに追加する必要があります。


ステップ 4 ポリシーの変更はアクティビティ セッションまたは設定セッションで実行されるため、インポートされるポリシーおよびポリシー オブジェクトは、まだ Security Manager データベースにコミットされていません。変更を送信および承認する必要があります。Workflow モードに基づいて、次のように行います。

Workflow 以外のモード:[File] > [Submit] を選択します。

アプルーバのいない Workflow モード:[Activities] > [Approve Activity] を選択します。

アプルーバのいる Workflow モード:[Activities] > [Submit Activity] を選択します。アクティビティは、変更をコミットする前に承認する必要があります。

インポートに問題がある場合は、アクティビティ セッションまたは設定セッションを廃棄できます。ただし、デバイスのインポート時、デバイスがアクティビティ セッションまたは設定セッション以外で追加されます。したがって、アクティビティまたは設定セッションを廃棄する場合は、デバイス ポリシーと VPN トポロジを廃棄しますが、デバイスはインベントリに残ります。「Security Manager インベントリからのデバイスの削除」に説明されているように、デバイスを削除する必要もあります。


 

Security Manager のライセンス ファイルのインストール

ご使用の Security Manager ソフトウェア ライセンスの条件に従って、使用可能な機能や管理できるデバイス数を含めて多くの事柄が決まります。ライセンスの目的で、IP アドレスを使用する物理デバイス、セキュリティ コンテキスト、仮想センサー、または Catalyst セキュリティ サービス モジュールが、デバイスとしてカウントされます。フェールオーバー ペアは 1 つのデバイスとしてカウントされます。PIX ファイアウォール、FWSM、および ASA デバイスが(複数のセキュリティ コンテキストをホストするように)マルチ コンテキスト モードで設定されている場合は、セキュリティ コンテキストだけがデバイスとしてカウントされ、ホスティング デバイスは個別のデバイスとしてカウントされません。

Standard、Professional、および Upgrade の 3 つのライセンス タイプが入手可能です。また、デバイス数が最大 50 に制限される 90 日間の無償評価期間があります。入手可能なライセンス タイプと、サポートされているさまざまなアップグレード パス、および購入可能な Cisco Software Application Support サービス契約の詳細については、 http://www.cisco.com/en/US/products/ps6498/prod_bulletins_list.html でこのバージョンの Security Manager の製品速報を参照してください。『 Installation Guide for Cisco Security Manager 』も参照してください。

割り当てられた時間(評価版ライセンスの場合)、またはご使用のライセンスで管理可能なデバイス数を超過すると、ライセンス制限が発生します。評価版ライセンスの権限は、Professional 版ライセンスの権限と同じです。製品を継続して使用できるように、無償評価期間の 90 日以内にできるだけ早く必要なデバイス数に対して Security Manager を登録することが重要です。アプリケーションを起動するたびに、評価版ライセンスの残りの日数が通知され、評価期間中にアップグレードするように求められます。評価期間終了後は、ライセンスをアップグレードしないとログインできなくなります。

非評価ライセンスについては、ご使用の設定ライセンスで許可された数よりも多くのデバイスがデータベースに含まれる場合、Security Manager クライアントを使用してアプリケーションにログインできません。ログイン中にライセンスの追加を要求され、該当するライセンスを追加するまでログインが完了しません。


ヒント デバイスの数には、それらを検出したアクティビティを送信していない場合、および現時点でデバイス セレクタに表示されていない場合であっても、検出されたすべてのセキュリティ コンテキストと仮想センサーが含まれます。インベントリ内のデバイス数がライセンスで許可されるデバイス数よりも少ないのに、デバイス カウント エラー メッセージが表示される場合は、検出されたデバイスの数を決定するためにすべてのアクティビティを送信してください。管理対象でないデバイスは削除してください。

始める前に

基本ライセンスまたはアップグレード ライセンスと、その他の必要なライセンスを取得します。Cisco.com ユーザ ID が必要です。また、Cisco.com でソフトウェアのコピーを登録する必要があります。登録時に、出荷ソフトウェア パッケージ内の Software License Claim Certificate に対応付けられている Product Authorization Key(PAK; 製品認証キー)を指定する必要があります。

Cisco.com ユーザとして登録済みの場合は、 http://www.cisco.com/go/license にアクセスしてください。

Cisco.com ユーザとして登録されていない場合は、 http://tools.cisco.com/RPF/register/register.do にアクセスしてください。

登録後に、基本ソフトウェア ライセンスが、指定した電子メール アドレスに送られてきます。Security Manager の PAK とライセンスを受信するのに加えて、購入したデバイス カウント パックごとに PAK が 1 つ追加されます。

これらのライセンス ファイルを、Security Manager サーバまたはローカル Security Manager クライアント上のフォルダにコピーします。Security Manager サーバにライセンス ファイルをコピーする場合、ライセンス ファイルは、Security Manager サーバのローカル ディスクに格納する必要があります。サーバに対応付けらたドライブを使用することはできません。Windows ではこの制限が課されますが、これにより Security Manager のパフォーマンスとセキュリティが向上します。


ヒント ライセンス ファイルを、Security Manager サーバ上にある製品のインストール フォルダ内の etc/licenses/CSM フォルダに格納しないでください。このフォルダに格納した場合、ライセンスを追加しようとするとエラーが発生します。ファイルは、製品フォルダ以外のフォルダに格納してください。

Common Services にライセンス ファイルは必要ありません。

Auto Update Server にライセンス ファイルは必要ありません。


ステップ 1 [Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Licensing] を選択します。

ステップ 2 タブがアクティブになっていない場合は、[CSM] をクリックします。このタブの各フィールドの説明については、「[CSM] タブ、[Licensing] ページ」を参照してください。

ステップ 3 [Install a License] をクリックして、[Install a License] ダイアログボックスを開きます。

[Install a License] ダイアログボックスには、ライセンスを取得するための Cisco.com へのリンクが含まれています(まだライセンスを取得していない場合)。[Browse] をクリックしてライセンス ファイルを選択し、[Install a License] ダイアログボックスで [OK] をクリックしてライセンスをインストールします。

すべてのライセンスのインストールが完了するまで、このプロセスを繰り返します。


 

監査レポートの使用

Security Manager で状態変更が生じると、監査ログ内に監査エントリが作成されます。このエントリを表示するには、[Manage] > [Audit Report] を選択します。ここでは、監査レポートについて詳しく説明します。

「監査レポートについて」

「監査レポートの生成」

「監査ログ エントリのパージ」

監査レポートについて

Security Manager で状態変更が生じると、監査ログ内に監査エントリが作成されます。このエントリを表示するには、[Manage] > [Audit Report] を選択します。

次の状態変更が行われると、イベントが生成され、監査エントリが作成されます。

実行時環境に対する変更:

システム変更(ログイン試行(成功または失敗)、ログアウト、計画的なバックアップなど)

認可の問題(試行の失敗やセキュリティ違反など)

マップの変更(バックグラウンド マップ ビューの保存、削除、変更など)

管理上の変更(ワークフロー モードの変更など)

Security Manager オブジェクトの状態の変更:

アクティビティの変更(アクティビティの作成、編集、送信、承認など)

展開の変更(展開ジョブの作成、編集、送信など)

管理対象デバイスの状態の変更:

オブジェクトの変更(ポリシー オブジェクトの変更など)

インベントリの変更(インベントリ内のデバイスの追加、削除、変更など)

ポリシーの変更(ポリシーの作成、復元、変更、削除など)

VPN の変更(VPN の作成、変更、削除など)。

監査レポートを表示するとき、目的のレコードだけが選択されるように検索基準を指定することにより、エントリのサブセットを表示できます。

関連項目

「監査レポートの生成」

「監査ログ エントリのパージ」

監査レポートの生成

監査ログを確認して、Security Manager システムで発生したイベントを分析できます。この情報は、デバイスに対して行った変更を追跡する場合、または興味のあるその他のシステム イベントを識別する場合に役立ちます。[Audit Report] ウィンドウに、興味のある特定の監査ログ エントリを表示するために役立つ拡張的な検索基準が表示されます。


ヒント CiscoWorks Common Services を通して、監査ログを表示することもできます。[Common Services Server Administration] ページから [Server] > [Reports] を選択し、コンテンツ テーブルから [Audit Log] を選択します。[Generate Report] をクリックすると、日付ごとにログのリストが表示されます。目的のログのリンクをクリックすると、そのログが開きます。これらのログは、Program Files/CSCOpx/MDC/Logs/audit/ ディレクトリに格納されています。Common Services へのログインの詳細については、「Cisco Security Management Suite サーバへのログイン」を参照してください。

関連項目

「監査レポートについて」


ステップ 1 [Manage] > [Audit Report] を選択して、[Audit Report] ウィンドウを開きます。

ステップ 2 レポートを興味のある領域に関連する特定のレコード セットに縮小するには、[Search] をクリックします。検索フィールドの詳細については、「[Audit Report] ウィンドウの使用」を参照してください。

次に、検索基準の例について説明します。

デバイス router1 が Security Manager 管理から取り除かれた日時を調べるには、[Search by action] セレクタから [Devices] > [Delete] を選択します。[Search by all or part of the object name] フィールドに、デバイスの表示名(router1)を入力します。

システムでログイン試行失敗が発生したかどうかを調べるには、[Search by action] セレクタから [System] > [Authorization] > [Login] > [Failed] を選択します。

ステップ 3 レポート内のエントリの内容を表示するには、そのエントリをダブルクリックします。この処理によりダイアログボックスが開き、エントリに関連するメッセージが表示されます。このダイアログボックス内で、上矢印ボタンと下矢印ボタンを使用して、レポート全体をスクロールできます。


 

[Audit Report] ウィンドウの使用

[Audit Report] ウィンドウを使用して、Security Manager の状態変更のレコードを表示します。

[Audit Report] ページには、2 つのペインが含まれます。左側のペインを使用して、監査レポートを生成するためのパラメータを定義します。右側のペインには、監査エントリまたはメッセージごとに 1 行ずつ使用して監査レポートが表示されます。監査レポートの内容は、左側のペインで定義したパラメータによって異なります。このため、表に示されたすべてのカラムが生成済みの監査レポートに表示されるとはかぎりません。

ナビゲーション パス

[Manage] > [Audit Report] を選択します。

関連項目

「監査レポートについて」

「監査レポートの生成」

フィールド リファレンス

 

表 10-1 [Audit Report] ウィンドウ

要素
説明

検索基準(左側のペイン)

[Audit Report] ウィンドウの左側には、レポートの検索基準が表示されます。デフォルトのレポートには、昨日から今日にかけてのすべての状態変更が、新しい順に上から表示されます。

Search by action

監査レポートに含める 1 つ以上の処理ソース。何も選択しない場合、レポートは処理に基づいてフィルタリングされません。すべての処理ソースを含める場合は、[All] を選択できます。

Search by date

レポートに含める期間。開始日から終了日までに発生した処理が表示されます。カレンダー アイコンをクリックして、日付を選択します。

このフィルタのデフォルト(リセット位置)では、昨日から今日までの処理が含められます。

Search for activity by state

このフィールドは他の検索フィールドとは異なり、主に Workflow モードで使用されます。このフィールドを使用して 1 つ以上のアクティビティを選択し、レポートに含めることができます。アクティビティは、ドロップダウン リストの下の表示ボックスに示されます。ドロップダウン リストを使用すると、レポートするアクティビティを簡単に見つけることができます。

この検索メカニズムを使用するには、レポートするアクティビティのアクティビティ状態を選択してから、アクティビティを選択します。複数のアクティビティを選択するには、Ctrl を押しながらそれらのアクティビティをクリックします。

アクティビティに基づいてフィルタリングしない場合は、[No Activity] を選択します。

Search by message warning level

メッセージ警告レベル。レポートには、選択した重大度のメッセージだけが表示されます。複数のレベルを選択するには、Ctrl を押しながらそれらのレベルをクリックします。

Search by user name

レポートに含める処理実行者のユーザ名。Security Manager システムにより生成された処理を表示するには、ユーザ名 System を入力します。

Search by a phrase in the message body

監査レポート エントリのメッセージ内に表示するテキスト文字列。最大 1025 文字を入力できます。

メッセージはレポート表には表示されません。エントリに関連するメッセージを表示するには、そのエントリをダブルクリックします。

Search by all or part of the object name

監査エントリが生成されたオブジェクトの名前に表示するテキスト文字列。最大 1025 文字を入力できます。

[Search] ボタン

このボタンをクリックすると、右側のペイン内にレポートが生成されます。

[Reset] ボタン

このボタンをクリックすると、検索条件がリセットされ、選択した値または項目がすべて削除されます。

監査レポート(右側のペイン)

[Audit Report] ウィンドウの右側には、監査レポートが含まれます。それぞれの行が 1 つの監査エントリを表しています。行をダブルクリックすると、[Audit Message Details] ダイアログボックスが開きます。このダイアログボックスでは、より読みやすいレイアウトで情報が表示され、エントリに関連付けられた特定のメッセージが表示されます。[Audit Message Details] ダイアログボックス内から、レポートのエントリ全体をスクロールできます。

Message Level

メッセージ警告レベル:[Information]、[Warning]、[Success]、[Failure]、および [Internal System Error]。

Date

処理が行われた日時。

Source

監査エントリの送信元:[Objects]、[License]、[Admin]、[Firewall]、[Policy Manager]、[Devices]、[Topology]、[VPN]、[Config Archive]、[Deployment]、[System]、および [Activity]。

Action

実行された処理:[Add]、[Assign]、[Create]、[Delete]、[Open]、[Purge]、[Unassign]、および [Update]。

Object

処理のオブジェクトの ID。たとえば、カテゴリがデバイスの場合、オブジェクト ID はデバイス名または IP アドレスとなります。カテゴリが展開の場合、オブジェクト ID はジョブ名やジョブ ID などになります。特定のオブジェクト名がないこともよくあります。

User Name

処理実行者のユーザ名。

Activity

処理が行われたアクティビティの名前(ある場合)。

# of rows per page

各ページに表示する行数。

[<] 矢印

このボタンをクリックすると、監査レポートの直前のページに戻ります。

[>] 矢印

このボタンをクリックすると、監査レポートの次のページに進みます。

監査ログ エントリのパージ

Security Manager は、ログ エントリの経過時間に基づいて、自動的に監査ログを削除します。ログのサイズを自分で管理する必要はありません。ただし、デフォルトを変更して、ログの最大サイズを拡大または縮小することにより、データベースの全体的なサイズを管理することはできます。

監査ログのデフォルト設定を変更するには、[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Logs] を選択します(「[Logs] ページ」を参照)。ログのサイズは、エントリの最大経過日数と、ログ内の全体的な最大エントリ数によって制御されます。これらの設定は同時に機能し、ログが常に最大エントリ数を超えないように、また最大日数を経過したエントリが含まれないように、エントリは定期的に削除されます。ログの最大サイズを縮小する場合は、[Purge Now] をクリックして、通常の削除サイクルよりも前に超過エントリを削除します。


) [Purge Now] ボタンは、データベースから監査レポートを削除するだけです。<install_dir>¥CSCOpx¥MDC¥log¥audit フォルダの *.csv ファイルは削除されません。これらの *.csv ファイルは、直接削除できます。


また、ログ内に取り込まれるイベントの重大度レベルを変更することによっても、ログのサイズを制御できます。たとえば、重大なイベントだけを取り込むようにすれば、ログのサイズが小さく保たれます。ただし、情報のレベルを縮小すると、ログの価値も低下する可能性があります。

関連項目

「監査レポートについて」

「監査レポートの生成」

「[Audit Report] ウィンドウの使用」

別のユーザの作業の引き継ぎ

管理権限を持つユーザは、Workflow 以外のモードで別のユーザの作業を引き継ぐことができます。あるユーザがデバイスおよびポリシーに対する操作を実行しているためデバイスおよびポリシーがロックされたが、別のユーザが同じデバイスおよびポリシーへのアクセスを必要としている場合、別のユーザの作業を引き継ぐと便利です。


ステップ 1 [Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Take Over User Session] を選択して、[Take Over User Session] ページを開きます(「[Take Over User Session] ページ」を参照)。

ステップ 2 引き継ぐユーザ セッションを選択します。

ステップ 3 [Take over session] をクリックします。選択されたユーザが行った変更が転送されます。まだコミットされていない変更はすべて廃棄されます。

選択されたユーザが変更の引き継ぎ時にログインしている場合、ユーザに警告メッセージが表示され、進行中の変更が失われて、ユーザがログアウトされます。


 

管理ユーザまたは他のユーザのパスワード変更

管理ユーザは、すべての Security Manager 機能にアクセスできる事前定義ユーザです。製品をインストールするときに、管理ユーザのパスワードを設定します。パスワードを忘れた場合は、次の手順を使用してパスワードを変更します。この手順は、他のユーザ アカウントのパスワードをリセットする場合にも使用できます。


ステップ 1 Security Manager サーバ上の Windows にログインし、Windows コマンドライン ウィンドウを開きます。

ステップ 2 次のコマンドを使用して、デーモン マネージャ サービスを停止します。

net stop crmdmgtd


ヒント デーモン マネージャの停止と起動は、[Services] コントロール パネルを使用して行うこともできます。


ステップ 3 ユーザ名として admin を指定して、resetpasswd.exe コマンドを実行します。この例では、製品が次のデフォルト ディレクトリにインストールされていることを想定しています。別のディレクトリを使用した場合は、ディレクトリ パスを変更してください。

C:¥Program Files¥CSCOpx¥bin¥resetpasswd.exe admin

新しいパスワードを入力するように求められます。


ヒント 別のユーザのパスワードを変更する場合は、admin をそのユーザ名に置き換えてください。


ステップ 4 次のコマンドを使用して、デーモン マネージャ サービスを開始します。

net start crmdmgtd


 

Security Manager データベースのバックアップおよび復元

作業の復元が必要な場合に備えて、Security Manager データベースを定期的にバックアップする必要があります。


ヒント Security Manager データベース バックアップには、Event Manager サービスで使用されるイベント データ ストアは含まれません。イベント管理データをバックアップする場合は、「イベント データ ストアのアーカイブまたはバックアップと復元」を参照してください。

ここでは、Security Manager データベースのバックアップおよび復元の方法について説明します。

「サーバ データベースのバックアップ」

「サーバ データベースの復元」

サーバ データベースのバックアップ

Security Manager では、CiscoWorks Common Services 機能を使用してデータベースのバックアップおよび復元を行います。Security Manager クライアントで、[Tools] > [Backup] を選択して、バックアップ スケジュールを作成するための [CiscoWorks Common Services Backup] ページを開きます。必要な場合にデータベースを復元できるように、定期的にデータベースをバックアップしておく必要があります。

バックアップが完了すると、Security Manager によりバックアップが圧縮されます。[CiscoWorks Common Services backup] ページで電子メール アドレスを設定した場合、バックアップおよび圧縮のプロセスが完了したことを示す通知を受け取ります。ファイル圧縮で問題が発生する場合、またはバックアップを圧縮しない場合は、バックアップ圧縮をオフに切り替えることができます。%NMSROOT%¥conf フォルダ(通常は C:¥Program Files¥CSCOpx¥conf)の backup.properties ファイルを編集し、バックアップ圧縮プロパティを VMS_FILEBACKUP_COMPRESS=NO のように変更します(YES の代わりに NO を指定します)。


ヒント バックアップには、設定データベースおよびレポート データベースが含まれますが、イベント保管領域は含まれません。backup.properties ファイル内の SKIP_RPT_DB_BACKUP プロパティ値を YES に変更することで、レポート データベースを除外できます。YES を指定した場合でも、バックアップには、レポート スケジュールで生成されるレポートが含まれます。イベント データ ストアのバックアップについては、「イベント データ ストアのアーカイブまたはバックアップと復元」を参照してください。

データのバックアップおよび復元中、Common Services と Security Manager の両方のプロセスがシャットダウンされてから再起動されます。Security Manager の再起動が完了するまでには数分かかる可能性があるため、再起動の完了前にユーザがクライアントを起動してしまうことがあります。この場合、デバイス ポリシーのウィンドウに「error loading page」というメッセージが表示されることがあります。

古いバックアップを復元する前に、現在のシステムのバックアップを作成することを強く推奨します。

旧バージョンの Security Manager のバックアップに保留中のデータが含まれている場合、そのデータはまだデータベースにコミットされていないデータであるため、そのバージョンからバックアップを復元することはできません。新しいバージョンの Cisco Security Manager にアップグレードする前に、コミットされていない変更をコミットまたは廃棄してから、データベースのバックアップを作成することを推奨します。次の手順を使用すると、保留中のデータをコミットまたは廃棄する場合に便利です。

Workflow 以外のモードで、次の手順を実行します。

変更をコミットするには、[File] > [Submit] を選択します。

コミットされていない変更を廃棄するには、[File] > [Discard] を選択します。

保留中のデータを持つユーザが複数存在する場合、それらのユーザの変更もコミットまたは廃棄する必要があります。別のユーザの変更をコミットまたは廃棄する必要がある場合は、そのユーザのセッションを引き継ぐことができます。セッションを引き継ぐには、[Tools] > [Security Manager Administration] > [Take Over User Session] を選択し、[Take Over Session] をクリックします。

Workflow モードで、次の手順を実行します。

変更をコミットして承認するには、[Manage] > [Activities] を選択します。[Activity Manager] ウィンドウからアクティビティを選択し、[Approve] をクリックします。アクティビティ アプルーバを使用している場合は、[Submit] をクリックして、アプルーバにアクティビティを承認してもらいます。

コミットされていない変更を廃棄するには、[Manage] > [Activities] を選択します。[Activity Manager] ウィンドウからアクティビティを選択し、[Discard] をクリックします。廃棄できるのは、Edit または Edit Open の状態にあるアクティビティだけです。

また、Windows コマンド プロンプトから次のコマンドを使用してデータベースをバックアップすることもできます。

[ path ] perl [ path ] backup.pl backup_directory [ log_filename [ email= email_address [ number_of_generations [ compress ]]]]

構文

[ path ] perl [ path ] backup.pl

Perl スクリプト コマンド。システム パス変数内に perl コマンドおよび backup.pl ファイルへのパスが定義されていない場合は、そのパスを追加します。両方とも、通常のパスは C:¥Progra~1¥CSCOpx¥bin¥ です。

backup_directory

バックアップを作成するディレクトリ。C:¥Backups などです。

log_filename

(任意)バックアップ中に生成されたメッセージのログ ファイル。現在のディレクトリ以外の場所にバックアップを作成する場合は、そのパスを追加します。C:¥BackupLogs などです。

名前を指定しない場合、ログは %NMSROOT%¥log¥dbbackup.log となります。

email = email_address

(任意)通知を送信する電子メール アドレス。電子メール アドレスは指定しないが、後続のパラメータを指定する必要がある場合、等号またはアドレスを指定せずに email を入力します。

CiscoWorks Common Services で SMTP を設定して、通知をイネーブルにする必要があります。詳細については、「電子メール通知用の SMTP サーバおよびデフォルト アドレスの設定」を参照してください。

number_of_generations

(任意)バックアップ ディレクトリに保存するバックアップ世代の最大数。最大数に達すると、古いバックアップが削除されます。デフォルトは 0 で、保存される世代数に制限はありません。

compress

(任意)バックアップ ファイルを圧縮するかどうかを指定します。このキーワードを入力しないと、backup.properties ファイル内に VMS_FILEBACKUP_COMPRESS=NO が指定されている場合、バックアップは圧縮されません。指定されていない場合は、このキーワードを入力しなくてもバックアップは圧縮されます。バックアップは圧縮することを推奨します。

次のコマンドでは、現在のディレクトリに perl コマンドと backup.pl コマンドが含まれていることを想定しています。バックアップ ディレクトリ内に圧縮されたバックアップおよびログ ファイルが作成され、admin@domain.com に通知が送信されます。圧縮パラメータを含めるには、バックアップ世代を指定する必要があります。ログ ファイル パラメータのあとに何らかのパラメータを指定した場合、その前にあるすべてのパラメータの値を含める必要があります。

perl backup.pl C:¥backups C:¥backups¥backup.log email=admin@domain.com 0 compress
 

ヒント 進行中のバックアップを中止する場合は、他のバックアップを実行する前に、Security Manager のインストール ディレクトリ(通常は C:¥Progra~1¥CSCOpx)にある backup.LOCK ファイルを削除する必要があります。

サーバ データベースの復元

コマンドラインからスクリプトを実行することにより、データベースを復元できます。データの復元中に、CiscoWorks をシャットダウンしてから再起動する必要があります。ここでは、サーバ上のバックアップ データベースを復元する方法について説明します。バックアップおよび復元のための機能は 1 つだけであり、CiscoWorks サーバにインストールされているすべてのアプリケーションをバックアップおよび復元できます。個々のアプリケーションをバックアップまたは復元することはできません。

複数のサーバにアプリケーションをインストールした場合は、インストールされているアプリケーションに適したデータが含まれるデータベース バックアップを復元する必要があります。


ヒント 以前のリリースのアプリケーションから作成したバックアップは、このバージョンのアプリケーションへのダイレクト ローカル インライン アップグレードがサポートされているバージョンからのバックアップであれば、復元できます。アップグレードがサポートされているバージョンの詳細については、この製品リリースの『Installation Guide for Cisco Security Manager』を参照してください。


ステップ 1 コマンドラインで次のように入力して、すべてのプロセスを停止します。

net stop crmdmgtd

ステップ 2 次のように入力して、データベースを復元します。

$NMSROOT ¥bin¥perl $NMSROOT ¥bin¥restorebackup.pl [ -t temporary_directory ] [ -gen generationNumber ] -d backup_directory [ -h ]

それぞれの説明は次のとおりです。

$NMSROOT :Common Services インストール ディレクトリのフル パス名(デフォルトは C:¥Program Files¥CSCOpx)。

-t temporary_directory :(任意)復元プログラムで一時ファイルを保存するために使用されるディレクトリまたはフォルダ。デフォルトでは、このディレクトリは $NMSROOT ¥tempBackupData です。

-gen generationNumber :(任意)復元するバックアップ世代番号。デフォルトでは、最新の世代です。世代 1 ~ 5 が存在する場合、5 が最新の世代となります。

-d backup_directory :復元するバックアップが保存されたバックアップ ディレクトリ。

-h :(任意)ヘルプを表示します。-d BackupDirectory とともに使用すると、適切な構文と、使用可能なスイートおよび世代がヘルプに表示されます。

たとえば、c:¥var¥backup ディレクトリから最新のバージョンを復元する場合は、次のコマンドを入力します。

C:¥Progra~1¥CSCOpx¥bin¥perl C:¥Progra~1¥CSCOpx¥bin¥restorebackup.pl -d C:¥var¥backup


ヒント RME データが含まれるデータベースを復元する場合は、インベントリ データを収集するかどうか尋ねられることがあります。このデータの収集には時間がかかることがあります。No で応答して、インベントリをスケジュールするように RME を設定できます。RME で、[Devices] > [Inventory] を選択します。


ステップ 3 ログ ファイル NMSROOT ¥log¥restorebackup.log を調べて、データベースが復元されたことを確認します。

ステップ 4 次のように入力して、システムを再起動します。

net start crmdmgtd

ステップ 5 Security Manager サービス パックのインストール前にバックアップされたデータベースを復元する場合は、データベースの復元後にサービス パックを再適用する必要があります。


 

Cisco Technical Assistance Center 用データの生成

Cisco Technical Assistance Center(TAC)の担当者は、アプリケーションの使用中に発生する問題の識別や解決に役立てるため、さまざまなデータを送信するようにユーザに依頼することがあります。次の項を参考に必要な情報を生成できます。ただし、これらのタスクを実行するのは、TAC の指示がある場合だけにしてください。問題の解決にその情報が必ずしも必要であるとは限らないためです。

「Cisco Technical Assistance Center の診断ファイルの作成」

「展開ステータス レポートまたは検出ステータス レポートの生成」

「Cisco Technical Assistance Center 用の差分データベース バックアップの生成」

Cisco Technical Assistance Center の診断ファイルの作成

問題レポートを提出した際に、Cisco Technical Assistance Center(TAC)の担当者により、システム設定情報の提出を求められることがあります。この情報は、問題の診断に役立ちます。診断ファイルの提出は、求められた場合だけでかまいません。

診断ファイルを作成する前に、報告する問題の原因となった処理を実行してください。必要に応じて、[Debug Options] ページ([Tools] > [Security Manager Administration] > [Debug Options])で設定を変更することにより、診断情報の詳細レベルを制御できます。詳細については、「[Debug Options] ページ」を参照してください。

診断ファイルを作成するには、次の手順を実行します。

Security Manager クライアントを使用する:[Tools] > [Security Manager Diagnostics] を選択します。ダイアログボックスが開きます。[OK] をクリックして、ファイル生成を開始します。ダイアログボックスに経過が表示されます。ファイルが生成されたら、[Close] をクリックします。

Security Manager サーバで Windows コマンドラインを使用する:サーバで Windows コマンドライン ウィンドウを開きます(たとえば、[Start] > [Run] を選択し、コマンドを入力します)。C:¥Program Files¥CSCOpx¥MDC¥bin¥CSMDiagnostics プログラムを実行します。診断ファイルを作成する宛先に別のフォルダ( CSMDiagnostics C:¥Temp など)を指定することもできます。


ヒント コマンドラインから診断ファイルを作成する場合は、コマンドが完了してからウィンドウを閉じる必要があります。そうしないと、そのあと CSMDiagnostics コマンドを実行しても、正常に動作しません。誤ってウィンドウを閉じた場合は、C:¥Program Files¥CSCOpx¥MDC¥etc¥mdcsupporttemp フォルダを削除してから、コマンドを再試行してください。

別のフォルダを指定しないかぎり、CSMDiagnostics.zip ファイルは <installation_location> /CSCOpx/MDC/etc フォルダに格納されます。ここで、 <installation_location> は、CiscoWorks Common Services をインストールしたドライブおよびディレクトリ(c:¥Program Files など)です。診断ファイルは作成するたびに上書きされるため、作成した後で移動するか、または名前を変更する必要があります。

CSMDiagnostics.zip ファイルには、次のファイルが含まれます。

設定ファイル

Apache の設定ファイルとログ ファイル

Tomcat 設定ファイルとログ ファイル

インストール、監査および操作のログ ファイル

CiscoWorks Common Services Registry サブツリー([HKEY_LOCAL_MACHINE][SOFTWARE][Cisco][MDC])

Windows の System Event ログ ファイルおよび Application Event ログ ファイル

ホスト環境情報(オペレーティング システムのバージョンとインストール済みサービス パック、RAM の大きさ、すべてのボリュームのディスク スペース、コンピュータ名、および仮想メモリ サイズ)

展開ステータス レポートまたは検出ステータス レポートの生成

展開ジョブおよびポリシー検出ジョブについて、ステータス レポートを生成できます。展開または検出に伴う問題が発生した場合は、これらのレポートは、Cisco Technical Support(TAC)の担当者による問題の解決に役立ちます。主にレポートはトラブルシューティングのためのものですが、個人で使用するためのレポートを生成することもできます。

ステータス レポートは、ご使用のワークステーション上に Adobe Acrobat(PDF)ファイルとして生成されます(PDF ファイルを保存する場所を選択するように指示されます)。レポートには、ジョブの概要、およびそのジョブのデバイス別の概要が含まれます。展開ステータス レポートには、完全な設定とデルタ設定、および Security Manager とデバイス間通信のトランスクリプトも含まれます。

次の方法で展開レポートまたは検出レポートを生成できます。

展開ステータス レポート

展開ジョブが成功または成功せずに完了した場合は、[Deployment Status] ダイアログボックスにある [Generate Report] ボタンをクリックします。「[Deployment Status Details] ダイアログボックス」を参照してください。

以前完了済みのジョブの場合、Deployment Manager でジョブを選択し、[Generate Report] ボタンをクリックします。「[Deployment Manager] ウィンドウ」を参照してください。

検出ステータス レポート

検出ジョブの実行中(デバイスの追加時またはインベントリにすでにあるデバイスのポリシーの再検時に発生するジョブ)、[Discovery Status] ダイアログボックスにある [Generate Report] ボタンをクリックします。「[Discovery Status] ダイアログボックス」を参照してください。

以前完了済みのジョブの場合、[Policy Discovery Status] ダイアログボックスでジョブを選択し、[Generate Report] ボタンをクリックします。「[Policy Discovery Status] ページ」を参照してください。

Cisco Technical Assistance Center 用の差分データベース バックアップの生成


注意 この項では、差分データベース バックアップの作成方法について説明します。差分バックアップは不完全なものであり、これをフル バックアップの代わりとしては使用できません。差分バックアップは、トラブルシューティングでの使用に限定されます。Cisco Technical Assistance(TAC)の担当者が指示した場合にかぎり、生成するようにしてください。

差分データベース バックアップには、定期バックアップと同じ特徴がありますが、それよりも限定されたデータ セットです。差分バックアップを作成する場合は、Configuration Archive のデータを含めるかどうか確認され、含める場合は、(デバイス単位に)アーカイブのバージョンをいくつ分含めるか確認されます(定期バックアップには Configuration Archive 全体が含まれます)。定期バックアップの説明については、「サーバ データベースのバックアップ」を参照してください。


ヒント 差分バックアップでは、「サーバ データベースのバックアップ」に説明されているように、backup.properties ファイルの設定に基づいてレポート データベースを含めたり、除外したりします。

データのバックアップおよび復元中、Common Services と Security Manager の両方のプロセスがシャットダウンされてから再起動されます。Security Manager の再起動が完了するまでには数分かかる可能性があるため、再起動の完了前にユーザがクライアントを起動してしまうことがあります。この場合、デバイス ポリシーのウィンドウに「error loading page」というメッセージが表示されることがあります。差分バックアップを復元しようとする場合、システムにより、それが差分バックアップであることが指摘されるため、ユーザは差分バックアップの復元を行うことを確認する必要がある点に注意してください。

差分バックアップを生成するには、Security Manager サーバ上の Windows コマンド プロンプトで次のコマンドを使用します。

[ path ] perl [ path ] partial_backup.pl backup_directory [ log_filename [ email= email_address [ number_of_generations [ compress ]]]]

構文

[ path ] perl [ path ] partial_backup.pl

Perl スクリプト コマンド。システム パス変数内に perl コマンドおよび partial_backup.pl ファイルへのパスが定義されていない場合は、そのパスを追加します。両方とも、通常のパスは C:¥Progra~1¥CSCOpx¥bin¥ です。

backup_directory

バックアップを作成するディレクトリ。C:¥Backups などです。

log_filename

(任意)バックアップ中に生成されたメッセージのログ ファイル。現在のディレクトリ以外の場所にバックアップを作成する場合は、そのパスを追加します。C:¥BackupLogs などです。

名前を指定しない場合、ログは %NMSROOT%¥log¥dbbackup.log となります。

email = email_address

(任意)通知を送信する電子メール アドレス。電子メール アドレスは指定しないが、後続のパラメータを指定する必要がある場合、等号またはアドレスを指定せずに email を入力します。

CiscoWorks Common Services で SMTP を設定して、通知をイネーブルにする必要があります。詳細については、「電子メール通知用の SMTP サーバおよびデフォルト アドレスの設定」を参照してください。

number_of_generations

(任意)バックアップ ディレクトリに保存するバックアップ世代の最大数。最大数に達すると、古いバックアップが削除されます。デフォルトは 0 で、保存される世代数に制限はありません。

compress

(任意)バックアップ ファイルを圧縮するかどうかを指定します。このキーワードを入力しないと、backup.properties ファイル内に VMS_FILEBACKUP_COMPRESS=NO が指定されている場合、バックアップは圧縮されません。指定されていない場合は、このキーワードを入力しなくてもバックアップは圧縮されます。バックアップは圧縮することを推奨します。

次のコマンドでは、現在のディレクトリに perl コマンドと partial_backup.pl コマンドが含まれていることを想定しています。バックアップ ディレクトリ内に圧縮された差分バックアップおよびログ ファイルが作成され、admin@domain.com に通知が送信されます。圧縮パラメータを含めるには、バックアップ世代を指定する必要があります。ログ ファイル パラメータのあとに何らかのパラメータを指定した場合、その前にあるすべてのパラメータの値を含める必要があります。また、Configuration Archive を含めるかどうか確認されることも留意してください。含める場合は、バックアップに含めるアーカイブ バージョンの数が確認されます。この例では、デバイス単位に 5 つのアーカイブ バージョンをバックアップに含めます。

perl partial_backup.pl C:¥backups C:¥backups¥pbackup.log email=admin@domain.com 0 compress
Root: c:¥backups
Do you also want to take config-archive backup(Yes/No): Yes
How many previous config-archive you want to restore: 5