Cisco Security Manager 4.2 ユーザ ガイド
外部モニタリング、トラブルシューティング、 および診断ツールの使用方法
外部モニタリング、トラブルシューティング、および診断ツールの使用方法
発行日;2012/05/09 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

外部モニタリング、トラブルシューティング、および診断ツールの使用方法

Packet Tracer を使用した ASA または PIX の設定の分析

ping、トレース ルート、または NS ルックアップ ツールを使用した接続問題の分析

ping を使用した設定の分析

TraceRoute を使用した設定の分析

NS ルックアップを使用した設定の分析

Packet Capture Wizard の使用

デバイス マネージャの起動

デバイス マネージャのトラブルシューティング

デバイス マネージャからのアクセス ルールの検索

ASDM からアクセス ルールへのナビゲート

SDM からアクセス ルールへのナビゲート

インベントリ ステータスの表示

ステータス プロバイダーの設定

Performance Monitor のステータス収集のトラブルシューティング

[Inventory Status] ウィンドウ

CS-MARS と Security Manager の統合

CS-MARS と Security Manager を統合するためのチェックリスト

CS-MARS ポリシー クエリーに応答するための Security Manager サーバの設定

Security Manager での CS-MARS サーバの登録

デバイスの CS-MARS コントローラの検出または変更

CS-MARS クエリーのトラブルシューティングに関するヒント

Security Manager ポリシーの CS-MARS イベントの検索

アクセス ルールの CS-MARS イベントの表示

IPS シグニチャの CS-MARS イベントの表示

CS-MARS イベントからの Security Manager ポリシーの検索

ポリシー検索に対してサポートされるシステム ログ メッセージ

CS-MARS での NetFlow イベント レポート

外部モニタリング、トラブルシューティング、および診断ツールの使用方法

大規模な企業やサービス プロバイダーには、ハイ アベイラビリティのネットワークが必要です。ネットワーク管理者は、ハイ アベイラビリティを実現するためにさまざまな課題に直面しています。課題には、予定外のダウン タイム、専門知識の不足、不十分なツール、複雑なテクノロジー、ビジネス統合、競争の激しい市場などがあります。これらの課題に対応して解決するには、ネットワーク モニタリング、問題診断、およびトラブルシューティングが不可欠です。

モニタリングでは、ネットワーク アクティビティおよびデバイスのステータスを調査して、異常なイベントおよび動作を識別します。ネットワークおよびシステムの障害(停止や低下など)を迅速に診断および修正することによりサービス アベイラビリティが向上するため、問題を切り分け、分析、および修正するためのツールが不可欠です。

デバイス イベントをモニタリングする主要な Security Manager ツールは、Event Viewer です(「イベントの表示」を参照)。Event Viewer 以外に、次の項では、Security Manager で使用できるその他のモニタリング、トラブルシューティング、および診断ツールについて説明します。

「Packet Tracer を使用した ASA または PIX の設定の分析」

「ping、トレース ルート、または NS ルックアップ ツールを使用した接続問題の分析」

「Packet Capture Wizard の使用」

「デバイス マネージャの起動」

「インベントリ ステータスの表示」

「CS-MARS と Security Manager の統合」

Packet Tracer を使用した ASA または PIX の設定の分析

Packet Tracer は、トランスペアレント モードで稼動していない、バージョン 7.2.1+ を実行している ASA および PIX セキュリティ アプライアンス用のポリシー デバッグ ツールです。アプライアンスで現在実行されているアクティブなポリシーを検査します。実際のトラフィックを生成しなくても、2 つのアドレス間でトラフィックがセキュリティ アプライアンスをどのように通過するか(ドロップまたは許可)を分析できます。結果が予期しないものである場合は、問題がある場所を判別し、Security Manager で対応するポリシーを更新して解決できます。

Packet Tracer は、シミュレートされたパケットがセキュリティ アプライアンスのアクティブな設定によってどのように処理されるかについて、段階的に分析します。ルート ルックアップ、アクセス リスト、NAT 変換、VPN など、アクティブなファイアウォール モジュールを通過するパケットのフローをトレースします。アクティブなモジュールのセットは、設定されているパケットのタイプとアクティブな設定に基づいて変わります。たとえば、VPN ポリシーが設定されていない場合、VPN モジュールは評価されません。

ネットワーク トラフィックを生成しなくても、シミュレートされたパケットの通過を検査し、syslog メッセージをイネーブルにして、生成される syslog メッセージを手動で確認できます。Packet Tracer では、パケットでアクティブな設定によって実施されたアクションが詳細に示されます。コンフィギュレーション コマンドによってパケットがドロップされた場合、「Drop-reason: (telnet-not-permitted) Telnet not permitted on least secure interface」などの理由が示されます。

セキュリティ アプライアンスを通過するシミュレートされたパケットの寿命をトレースして、パケットの動作が予期したとおりかどうかを確認できます。Packet Tracer の用途は、次のとおりです。

運用ネットワークでのすべてのパケット ドロップをデバッグします。

設定が意図したとおりに機能していることを確認します。

パケットに適用されるすべてのルール(ルールを定義する CLI を含む)を表示します。

データ パスでのパケットの変化のタイム ラインを表示します。

データ パスでパケットをトレースします。

明示的なアクセス ルールによってパケットがブロックまたは許可されている場合、ルールを編集できるように、ショートカットを使用してポリシーに移動できます。

ヒント:

Packet Tracer は ASDM アプリケーションおよび ASA コマンドラインでも使用でき、Security Manager のバージョンは ASDM のバージョンと同じです。ASDM および CLI から Packet Tracer を使用して設定を分析する例については、「 PIX/ASA 7.2(1) and later: Intra-Interface Communications 」を参照してください。

デバイスに対して Packet Tracer を使用する前に、デバイスをインベントリに追加したあとで少なくとも 1 回はポリシー変更を送信する必要があります。

Packet Tracer では、デバイスで実行されているアクティブな設定だけが分析されます。このため、提案された設定がデバイスに展開されて実行される前に、Packet Tracer を使用してテストすることはできません。設定変更が保留中のデバイスで Packet Tracer を使用しないでください。変更を展開してから Packet Tracer を使用して、Packet Tracer の結果が有効になるようにしてください。

Packet Tracer を使用するには、次の手順を実行します。


ステップ 1 (デバイス ビュー)ASA または PIX 7.2.1+ のデバイスを右クリックし、ショートカット メニューで [Packet Tracer] を選択して [Packet Tracer] ウィンドウを開きます。

ステップ 2 [Interfaces] リストから、テストするインターフェイスを選択します。このリストには、デバイスで定義されているすべてのインターフェイスが含まれています。

ステップ 3 次のフィールドを設定して、トレースするパケットをモデル化します。

[Packet Type]:TCP、UDP、ICMP、IP のいずれのパケットをトレースするかを選択します。

[Source, Destination IP Address]:次のアドレス タイプから選択し、通信(送信元から宛先へ)の両端のホスト アドレスを入力します。

ホストの IP アドレス。

ユーザ(送信元のみ)。たとえば、DOMAIN¥Administrator のように指定します。ユーザに割り当てられた IP アドレスがトレースに使用されます。このタイプのアドレスを使用するには、アイデンティティ オプションを設定することにより、アイデンティティ対応のファイアウォールを有効にする必要があります。

ホストの FQDN(完全修飾ドメイン名)。たとえば、host.example.com のように指定します。このタイプのアドレスを使用するには、DNS を設定する必要があります。

[Source, Destination Port (TCP and UDP only)]:トラフィック タイプを表すポート番号を入力(または選択)します。選択リストでは、指定アプリケーションの標準ポート番号と一致する名前が使用されています。たとえば、 http を選択することと、 80 を入力することは同じです。

[Type, Code, ID (ICMP only)]:ICMP パケットをモデル化する場合、次のフィールドすべてに値を入力する必要があります。

[Type]:ICMP パケット タイプを選択するか、同等の番号を入力します。リストには、主要な ICMP タイプがすべて含まれています。タイプと関連するコードの一覧については、 http://www.ietf.org/rfc/rfc1700.txt で RFC 1700 を参照し、「ICMP Type Numbers」を検索してください。

[Code]:ゼロ以外のコードを持つパケット タイプをモデル化している場合以外は、 0 を入力します。これらは、宛先到達不能(タイプ 3、コード 0 ~ 12)、リダイレクト(タイプ 5、コード 0 ~ 3)、時間超過(タイプ 11、コード 0 ~ 1)、およびパラメータの問題(タイプ 12、コード 0 ~ 2)です。コードの説明については、RFC 1700 を参照してください。追加のコードが他の RFC に導入されている場合がある点に注意してください。

[ID]:限定された数のメッセージ タイプだけに対してフィールドが使用される場合でも、ID の値を入力する必要があります。ID は、要求および応答バージョン(エコー、エコー要求など)を含む ICMP タイプに対して、応答を要求に一致させるために使用されます。値は 1 ~ 255 です。

[Protocol (IP only)]:次のレベルのプロトコルを示す番号を入力します。プロトコル コードの一覧については、 http://www.ietf.org/rfc/rfc1700.txt で RFC 1700 を参照し、「Protocol Numbers」の見出しを検索してください。この項の執筆時点では、番号 1 ~ 54 および 61 ~ 100 が、許容範囲である 0 ~ 255 から実際のプロトコルに割り当てられている値を表しています。

ステップ 4 トレースの経過を表示するには、[Show animation] を選択します。選択しない場合、トレースが完了するまでウィンドウは結果によって更新されません。

ステップ 5 [Start] をクリックして、パケットをトレースします。

ポリシーが検査され、結果がウィンドウの下部にグラフィカル情報と詳細情報という 2 つの形式で表示されます。グラフィカル ビューでは、パケットのパスで評価されたフェーズの概要が示されます。チェックマークはパケットがフェーズに合格したことを示し、赤い X はパケットがそのポイントでドロップされたことを示します。

詳細情報では、フェーズに対応するフォルダで結果が整理されます。[Action] カラムにフェーズの結果が示されます(合格した場合はチェックマーク、ドロップされた場合は赤い X)。フォルダを開くには、その見出しをクリックします。詳細情報には、評価された特定のコンフィギュレーション コマンドおよび show コマンドから取得されたデータを含めることができます。Result という名前の最後のフォルダでは、トレース結果の概要が示されます。

ヒント:

明示的なアクセス ルールによってパケットが許可または拒否される場合、そのルールにジャンプできます。Access-List フォルダを選択して開き、セクションの一番上にある [Show access rule] リンクをクリックします。Access Rule ポリシーが表示され、そのルールが強調表示されます。必要に応じてルールを編集できます。暗黙的な廃棄ルールによってパケットがドロップされる場合、ルールがポリシー テーブルに存在しないため、[Show access rule] リンクは使用できません。

分析中にネットワーク障害によってデバイスがシャットダウンされるかデバイスに到達できない場合、「Device Connectivity is Failed」というエラー メッセージが表示されます。

新しいトレースを開始すると、表示されていた情報は自動的にクリアされます。ただし、[Clear] をクリックして自分でクリアできます。


 

ping、トレース ルート、または NS ルックアップ ツールを使用した接続問題の分析

ping またはトレース ルートのツールを使用して、ネットワークの設定および接続の調査およびトラブルシューティングを行うことができます。通常は、Security Manager 内から特定の起動ポイントとパラメータを指定して、デバイスのこれらのコマンドを実行します。これにより、Security Manager で対応するコマンドが生成されます。一方、NS ルックアップは通常、Security Manager クライアントから実行します。

 

表 67-1 ping、トレース ルート、および NS ルックアップの各トラブルシューティング コマンドのプロファイル

ツール
プロファイル
ping

ping を使用すると、特定のホストが IP ネットワーク上で到達可能かどうかをテストし、ローカル ホストから宛先のコンピュータに送信されたパケットのラウンドトリップ時間を測定します。これには、ICMP メッセージを使用するローカル ホスト独自のインターフェイスの測定も含む場合があります。

このツールの使用方法の詳細については、「ping を使用した設定の分析」を参照してください。

トレース ルート

トレース ルートを使用すると、IP ネットワーク上でパケットが通過するルートが表示されます。システムは、行われたホップ数と通過した各デバイスのアドレスを返します。

このツールの使用方法の詳細については、「TraceRoute を使用した設定の分析」を参照してください。

NS ルックアップ

NS ルックアップ(ネームスペース ルックアップ)を使用すると、デバイスから NS ルックアップ コマンドを発行するため、問い合わせされたデバイスが使用する DNS サーバの内容をテストできます。

このツールの使用方法の詳細については、「NS ルックアップを使用した設定の分析」を参照してください。

 

適用性

ping ツールは、ASA(7.0 ~ 8.3)、PIX(6.3(1-5) ~ 8.0(2-4))、FWSM(2.2(1) ~ 4.1(1))、およびすべての IOS のデバイスで適用可能です。IPS には適用できません。

トレース ルート ツールは、ASA(7.2(1) 以降)、PIX(6.3(1-5) ~ 8.0(2-4))、およびすべての IOS のデバイスで適用可能です。これは FWSM にも IPS にも適用できません。

NS ルックアップ ツールは、CSM によって管理されるデバイスではいずれもサポートされず、Windows API を使用して CSM クライアントから実行します。

ping を使用した設定の分析

ping ツールは、デフォルトで ICMP エコー要求およびエコー応答メッセージを使用して、リモート システムへの到達可能性をテストします。また、ping の実行に TCP を使用するように選択できます。一番簡単な形式で、ping は単純に IP パケットが宛先 IP アドレスに送信されて戻ってくることを確認します。ping が IP アドレスに送信されると、応答が返されます。このプロセスを使用して、ネットワーク デバイスは、相互に検出、識別、およびテストすることができます。Security Manager 内から、ping コマンドの発行元のネットワーク デバイスと、エコー要求のターゲットの両方を指定できます。このツールは、一般に 2 つの情報を返します。送信元が宛先に到達可能かどうか(推測によるこの逆への到達可能性も)と Round-Trip Time(RTT; ラウンドトリップ時間、ミリ秒単位)です。

ping 診断ツールは、次のようにさまざまな方法で使用できます。

セキュリティ アプライアンスに対する ping の実行 :他のセキュリティ アプライアンス上のインターフェイスに ping を実行して、インターフェイスが起動していて応答することを検証します。

2 つのインターフェイス間のループバック テスト :同じセキュリティ アプライアンス上の一方のインターフェイスから相手側のインターフェイスに ping を、外部ループバック テストとして起動して、双方のインターフェイスの基本的な「アップ」ステータスおよび動作を検証します。

セキュリティ アプライアンスを介した ping の実行 :ping ツールから発信した ping パケットは、デバイスに向かう途中、中間にあるセキュリティ アプライアンスをパススルーする場合があります。エコー パケットが返されるときも、そのインターフェイスのうち 2 つをパススルーします。これを使用して、中間にある装置のインターフェイス、動作、応答時間についての基本的なテストを実行できます。

中間の通信をテストするための ping の実行 :セキュリティ アプライアンス インターフェイスから、正しく機能していてエコー要求を返すことがわかっているネットワーク デバイスに ping を起動します。エコーを受信した場合、物理的な接続と任意の中間デバイスの正常な動作を確認します。


ヒント Event Manager 内から、イベントを右クリックし、ping ツールを開いて関連デバイスに ping を実行します。


ステップ 1 デバイス ビューで、[Tools] > [Ping, TraceRoute and NS Lookup . . .] を選択します。

[Ping, TraceRoute and NS Lookup] ダイアログが表示されます。

ステップ 2 デバイス セレクタから、[Ping] コマンドの発行元にするデバイスを選択します。

選択したデバイスがダイアログボックスの右上に表示されます。


) ping に TCP を使用するには、[Packet Type] で [TCP] を選択します(デフォルトのパケット タイプは ICMP です)。


ステップ 3 [Hostname/IPv4address] に ping の送信先にするホスト ネットワーク/ホスト ポリシー オブジェクトの IP アドレスを入力します。

または、[Select] をクリックして、ping の送信先にするホスト ネットワーク/ホスト ポリシー オブジェクトを定義するホスト ネットワーク/ホスト オブジェクトを選択します。

ステップ 4 タイムアウト値を入力します(任意)。

ステップ 5 [Ping] をクリックします。

ウィンドウ下部の領域に結果が表示されます。

ping の実行結果の例:

Sending 5, 100-byte ICMP Echos to out-pc, timeout is 2 seconds:
 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
 

ping の実行結果が失敗の場合の例:

Sending 5, 100-byte ICMP Echos to 10.132.80.101, timeout is 2 seconds:
?????
 
Success rate is 0 percent (0/5)
 

[Clear Output] をクリックすると、ping の結果領域から以前の応答を削除できます。

ping コマンドの詳細については、Cisco.com の「 Troubleshooting TCP/IP 」を参照してください。


 

TraceRoute を使用した設定の分析

Traceroute ツールを使用して、パケットが宛先に到着するまでのルートを判断できます。このツールは、送信される各プローブの結果を出力します。出力の各行が 1 つの TTL 値に対応します(昇順)。

Traceroute は、ネットワーク全体の TCP/IP 接続に関して役立つ情報を返します。次の表に、Traceroute ユーティリティによって返されるコードとその考えられる原因を示します。

 

表 67-2 Traceroute の出力記号

出力記号
説明

*

タイムアウトの期間内にプローブへの応答を受信しませんでした。

nn msec

各ノードで、指定した数のプローブのラウンドトリップにかかる時間(ミリ秒)。

!N.

ICMP ネットワークに到達できません。

!H

ICMP ホストに到達できません。

!P

ICMP に到達できません。

!A

ICMP が設定によって禁止されています。

?

ICMP の原因不明のエラーが発生しました。

 


ステップ 1 デバイス ビューで、[Tools] > [Ping, TraceRoute and NS Lookup . . .] を選択します。

[Ping, TraceRoute and NS Lookup] ダイアログが表示されます。


ヒント Event Manager 内から、イベントを右クリックし、[TraceRoute] ページを開いて関連デバイスのルートをトレースします。


ステップ 2 [Trace Route] タブを選択します。

[Trace Route] ページが表示されます。

ステップ 3 デバイス セレクタから、ルートのトレース元にするホストを選択します。

ステップ 4 [IPv4 Address/Hostname] を入力して、ルートのトレース先にするホストのアドレスまたは名前を指定します。

または、[Select] をクリックして、IP アドレスを定義するホスト ネットワーク/ホスト オブジェクトを選択します。

ステップ 5 必要に応じて、次のフィールドの値を指定します。

 

表 67-3 Traceroute フィールド

フィールド
説明

Timeout (任意)

接続がタイムアウトになるまでの応答の待機時間(秒単位)。デフォルトは 3 秒です。

Port (任意)

UDP プローブ メッセージで使用される宛先ポート。デフォルトは 33434 です。

Probes per hop (任意)

TTL の各レベルで送信するプローブの数。デフォルトは 3 です。

TTL Min (任意)

最初のプローブの TTL の最小値(デフォルトは 1 です)。

TTL Max (任意)

最初のプローブの TTL の最大値(デフォルトは 30 です)。

ステップ 6 必要に応じて、[Specify Source Interface or IP Address] を選択してから次のいずれかを実行します。

ドロップダウン リストから送信元の [Interface] を選択します。

[IP Address] を入力します。

ステップ 7 必要に応じて、[Reverse Resolve] を選択して、アドレスとホスト名の表示を入れ替えます。

ステップ 8 必要に応じて、[ICMP] を選択して、IP ではなくプロトコルを使用します。

ステップ 9 [Trace] をクリックします。

traceroute は、パケットが宛先に到達するか、または TTL の最大値に達すると終了します。行われたホップおよび各ホップに対応するデバイス アドレスが表示されます。


 

NS ルックアップを使用した設定の分析

NS ルックアップ ツールを使用して、ホスト名を使用している場合はリモート ホスト アドレスを検索し、アドレスを使用している場合はホスト名を検索します。

ping ツールおよび Traceroute ツールとは異なり、NS ルックアップは、Security Manager クライアント上で実行されます。


ステップ 1 デバイス ビューで、[Tools] > [Ping, TraceRoute and NS Lookup . . .] を選択します。

[Ping, TraceRoute and NS Lookup] ダイアログが表示されます。

ステップ 2 [NS Lookup] タブを選択します。

ステップ 3 [IPv4Address/Hostname] にアドレスまたはホスト名を入力します。

または、[Select] をクリックして、IP アドレスを定義するホスト ネットワーク/ホスト オブジェクトを選択します。

ステップ 4 任意で、検索に特定の DNS サーバを使用するには、DNS サーバのサーバ名またはアドレスを入力します。

ステップ 5 [Lookup] をクリックします。

システムでは、検索に使用する DNS サーバだけでなく、特定のアドレス/ホスト名のペアも表示されます。


 

Packet Capture Wizard の使用

Packet Capture Wizard を使用して、エラーのトラブルシューティングを行うために、キャプチャを設定、実行、表示、および保存できます。事前設定されたアクセス リストを使用するか、または 1 つ以上のインターフェイス上の送信元および宛先のアドレス/ポートなどのパケット パラメータの一致基準を使用して、キャプチャを実行できます。このウィザードは、入出力インターフェイスのそれぞれでキャプチャを 1 回実行します。キャプチャを Cisco Security Manager クライアント コンピュータに保存して、パケット アナライザによるキャプチャの検査が可能です。

事前設定されたアクセス リストを使用するか、または 1 つ以上のインターフェイス上の送信元および宛先のアドレス/ポートなどのパケット パラメータの一致基準を使用して、キャプチャを実行できます。

次の点に注意してください。

Packet Capture Wizard は、ファイアウォール デバイス(PIX、ASA、または FWSM)だけで使用できます。

パケットの一致基準に基づいたパケット キャプチャは、ASA バージョン 7.2(3) 以降を実行するデバイスだけでサポートされます。他のデバイスについては、パケット キャプチャをアクセス リストに基づいて実行できるだけです。

Packet Capture Wizard を使用するには、次の手順に従います。


ステップ 1 次のいずれかの方法を使用して、Packet Capture Wizard を起動します。

[Tools] > [Packet Capture Wizard] を選択します。

(デバイス ビュー)ASA、PIX、または FWSM のデバイスを右クリックし、ショートカット メニューで [Packet Capture] を選択します。ステップ 3 に進みます。

(Event Viewer)ASA、PIX、または FWSM のデバイスのイベントを右クリックし、ショートカット メニューで [Packet Capture] を選択します。ステップ 3 に進みます。

ステップ 2 [Tools] メニューから [Packet Capture Wizard] を起動する場合は、パケットをキャプチャするデバイスを選択して [Next] をクリックします。[Security Devices] リストには、パケット キャプチャが実行可能なデバイスだけが含まれています。

ステップ 3 ドロップダウン リストから入力インターフェイスを選択します。


) 同じウィザードでは、同じインターフェイスを入力と出力の両方として選択できません。


ステップ 4 [Packet Match Criteria] 領域で、次のいずれかの操作を実行します。

パケットの照合に使用するアクセス リストを指定するには、[Access-List] オプション ボタンを選択して、ドロップダウン リストからアクセス リストを選択します。

パケット パラメータを指定するには、[Packet Parameters] オプション ボタンを選択して、次のフィールドを入力します。

[Source Host / Network] フィールドおよび [Destination Host / Network] フィールドに、それぞれ送信元および宛先を指定します。次のいずれかを使用して、送信元または宛先を指定できます。

ネットワーク/ホスト オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します。選択リストから、新しいネットワーク/ホスト オブジェクトを作成することもできます。

ホスト IP アドレス(10.10.10.100 など)。

ネットワーク アドレスとサブネット マスク。形式は 10.10.10.0/24 または 10.10.10.0/255.255.255.0。

キャプチャするプロトコル タイプをドロップダウン リストから選択します。指定できるキャプチャのプロトコル タイプは、ah、eigrp、esp、gre、icmp、icmp6、igmp、igrp、ip、ipinip、nos、ospf、pcp、pim、snp、tcp、または udp です。

プロトコルが ICMP の場合は、ドロップダウン リストから ICMP タイプを選択します。指定できるタイプは、ALL、alternate-address、conversion-error、echo、echo-reply、information-reply、information-request、mask-reply、mask-request、mobile-redirect、parameter-problem、redirect、router-advertisement、router-solicitation、source-quench、time-exceeded、timestamp-reply、timestamp-request、traceroute、または unreachable です。

プロトコルが TCP または UDP の場合は、送信元および宛先のポート サービスを指定します。指定できるオプションは次のとおりです。

すべてのサービスを含めるには、[All Services] を選択します。

特定のサービスを指定するには、ドロップダウン リストから適切な演算子(=、!=、>、<、または range)を選択してから、aol、bgp、chargen、cifs、citrix-ica、ctiqbe、daytime、discard、domain、echo、exec、finger、ftp、ftp-data、gopher、h323、hostname、http、https、ident、imap4、irc、kerberos、klogin、kshell、ldap、ldaps、login、lotusnotes、lpd、netbios-ssn、nfs、nntp、pcanywhere-data、pim-auto-rp、pop2、pop3、pptp、rsh、rtsp、sip、smtp、sqlnet、ssh、sunrpc、tacacs、talk、telnet、uucp、whois、または www のいずれかを選択します。>、<、および range の演算子は、選択したサービスに割り当てられたポート番号に基づいて機能します。

range 演算子を使用する場合は、別のドロップダウン リストがイネーブルになります。2 つのドロップダウン リストを使用して、指定する範囲の開始サービスと終了サービスを選択します。対応するポート番号が小さい方のサービスを最初のドロップダウン リストに選択し、対応するポート番号の大きい方のサービスを 2 番めのドロップダウン リストに選択する必要があります。

ステップ 5 [Next] をクリックして、[Select egress interface] ステップに進みます。

ステップ 6 ドロップダウン リストから出力インターフェイスを選択します。


) 同じウィザードでは、同じインターフェイスを入力と出力の両方として選択できません。


ステップ 7 [Packet Match Criteria] 領域で、次のいずれかの操作を実行します。


) 入力インターフェイスに選択した [Packet Match Criteria] オプション(アクセス リストまたはパケット パラメータ)は、出力インターフェイスにも使用されます。また、入力インターフェイスでの照合にパケット パラメータを使用した場合は、使用したプロトコル定義が出力インターフェイスにも使用されます。


アクセス リストを使用してパケットを照合している場合は、ドロップダウン リストからアクセス リストを選択します。

パケット パラメータを使用してパケットを照合している場合、入力に使用されるパラメータは、出力にも使用されます。

ステップ 8 [Next] をクリックして、[Set buffer parameters] ステップに進みます。

ステップ 9 次のフィールドを設定して、バッファ パラメータを指定します。

[Buffer Parameters] 領域で、バッファ サイズとパケット サイズを指定します。バッファ サイズは、キャプチャがパケットを保存するために使用可能なメモリの最大容量です。パケット サイズは、キャプチャが保持できる最長のパケットです。できる限り多くの情報をキャプチャするため、最長パケット サイズを使用することを推奨します。

[Read capture buffer every 10 seconds]:このオプションを選択すると、10 秒ごとにキャプチャ データを自動的に取得します。このオプションを選択する場合は、循環バッファを使用する必要があります。

[Use a circular buffer]:このオプションを選択すると、バッファが一杯になった後もパケットのキャプチャを継続します。この設定を選択すると、すべてのバッファ ストレージが使用されている場合、キャプチャは最も古いパケットへの上書きを始めます。

[Buffer Size]:キャプチャがパケットを保存するために使用可能なバイト数(1534 ~ 33554432)を入力します。

[Maximum Packet Size]:キャプチャが単一のパケットを保存するために使用可能なバイト数(14 ~ 1522)を入力します。最大値の 1522 を使用すると、可能な限り多くの情報をキャプチャします。

ステップ 10 [Next] をクリックして [Summary] ステップに進みます。入力したトラフィック セレクタとバッファ パラメータが表示されます。

ステップ 11 [Next] をクリックして、[Run, View & Save] ステップに進みます。

ステップ 12 [Run, View & Save] ステップからは、次の操作を実行できます。

[Start Capture] をクリックすると、パケットのキャプチャを開始します。

[Stop Capture] をクリックすると、パケットのキャプチャを停止します。

[Display Capture Packets] をクリックすると、キャプチャされたパケットの次のセットをデバイスから取得し、バッファ ステータス バーを更新します。このボタンは、[Set buffer parameters] ステップで [Read capture buffer every 10 seconds] オプションが選択されなかった場合だけイネーブルになります。

[Ingress Capture] ウィンドウまたは [Egress Capture] ウィンドウの上にある [Launch Network Sniffer] ボタンをクリックすると、外部パケット分析ツールを使用して、対応する入力キャプチャまたは出力キャプチャを表示します。パケット アナライザがインストールされていて、*.pcap ファイル拡張子に関連付けられている必要があります。

[View Data in Larger Window] をクリックすると、大きいウィンドウに並べてパケットのキャプチャ データを表示します。

[Save captures] をクリックすると、[Save Capture] ダイアログボックスが表示されます。キャプチャしたパケットに含める形式として、ASCII または PCAP を選択します。入力キャプチャまたは出力キャプチャを保存するオプションがあります。

[Clear Device Buffer] をクリックすると、現在のパケットの内容を削除して、バッファに別のパケットをキャプチャするスペースを確保します。


) デバイス バッファをクリアする前に、キャプチャを保存することを推奨します。デバイス バッファをクリアする前にキャプチャを保存しないと、キャプチャされたデータは消失します。


ステップ 13 [Finish] をクリックして、ウィザードを終了します。


 

デバイス マネージャの起動

デバイス マネージャを起動して、Security Manager からデバイスの設定とステータスを表示できます。ASA、ASA-SM、PIX、FWSM、IPS、および IOS の各デバイスのデバイス マネージャを起動できます。各デバイス マネージャには、デバイス上で実行されているサービスに関する情報およびシステムの全体的なヘルスのスナップショットを提供する複数のモニタリングおよび診断機能が含まれています。これらのデバイス マネージャを使用して、既存のデバイス設定の表示および現在のステータスのモニタを行うことができますが、デバイスに設定変更を適用することはできません。


) IPS 仮想センサーに対してデバイス マネージャを起動することはできません。


デバイス マネージャを起動するには、デバイス ビューでデバイスを選択し、右クリックして [Device Manager] を選択します。[Launch] > [Device Manager] を選択してデバイス マネージャを起動することもできます。

Security Manager からデバイス マネージャを起動すると、デバイス マネージャ実行ファイルがクライアント システムにダウンロードされます。ネットワーク デバイスにデバイス マネージャをインストールする必要はありません。デバイス マネージャを最初に起動するときは、ソフトウェアをワークステーションにダウンロードするのに時間がかかります(経過表示バーが表示されます)(問題が発生した場合は、「デバイス マネージャのトラブルシューティング」のヒントを確認してください)。

Security Manager によって、ネットワーク デバイス上で実行されているオペレーティング システムに基づいて、最適なデバイス マネージャ バージョンが選択されます。選択されたデバイスとのその後の通信は、ユーザにはまったく意識されません。Security Manager からデバイス マネージャを起動することによって、クライアント システムとモニタ対象デバイスとの間で HTTPS 接続を開く必要がなくなります。


ヒント デバイス マネージャ セッションを開始すると、Security Manager によって、デバイスで実行されているオペレーティング システム ソフトウェア バージョンに適切なマネージャのバージョンが開かれます。ただし、使用している Security Manager バージョンのリリースよりもあとに新しいデバイス マネージャ バージョンがリリースされた場合、Security Manager によって、利用できる最新のデバイス マネージャ バージョンが開かれない場合があります。デバイス マネージャを起動するときは、そのバージョンを確認してください(たとえば、デバイス マネージャ ウィンドウで [Help] > [About] を選択します)。必要な機能を備えた、さらに新しいデバイス マネージャが使用可能な場合、その新機能を使用するには、Security Manager 以外でそのデバイス マネージャをインストールして使用する必要があります。

デバイスで実行されている外部デバイス マネージャを使用してデバイス設定を直接変更する場合、これらの変更は Security Manager によってアウトオブバンドと見なされ、次に Security Manager から設定を展開するときに上書きされる場合があることに注意してください。アウトオブバンド変更の詳細と、アウトオブバンド変更の識別および再作成については、次の項を参照してください。

「アウトオブバンド変更の処理方法について」

「アウトオブバンド変更の検出および分析」

Security Manager では、デバイスごとにデバイス マネージャのインスタンスが 1 つだけ起動されます。Security Manager を終了するか、アイドル セッションのタイムアウト時間が過ぎると、デバイス マネージャは終了します。複数のデバイス マネージャ ウィンドウを(異なるデバイスに接続して)同時に開くことができます。

次の表に、Security Manager から起動できるデバイス マネージャの概要を示します。

 

表 67-4 Security Manager で使用可能なデバイス マネージャ

デバイス マネージャ
説明

IDM

IPS Device Manager(IDM)を使用すると、Security Manager インベントリの一部である IPS センサーおよびモジュールをモニタできます。

このデバイス マネージャの使用方法の詳細については、 IDM のマニュアル を参照してください。

PDM

PIX Device Manager(PDM)を使用すると、PIX 6.x デバイスおよび初期の FWSM(つまり、シングル コンテキスト モードまたはマルチ コンテキスト モードの FWSM リリース 1.1、2.2、および 2.3)をモニタできます。

このデバイス マネージャの使用方法の詳細については、 PDM のマニュアル を参照してください。

ASDM

Adaptive Security Device Manager(ASDM)を使用すると、ASA、ASA-SM、PIX 7.x+、および FWSM 3.x+ デバイスをモニタできます。

このデバイス マネージャの使用方法の詳細については、 ASDM のマニュアル を参照してください。

SDM

Security Device Manager(SDM)を使用すると、Cisco IOS ベースのリソースをモニタできます。SDM では、シスコ デバイスまたは Cisco Command-Line Interface(CLI; コマンドライン インターフェイス)に関するこれまでの経験は必要ありません。Cisco SDM では、広範囲の Cisco IOS ソフトウェア リリースがサポートされます。

このデバイス マネージャの使用方法の詳細については、 SDM のマニュアル を参照してください。

次の項では、デバイス マネージャのトラブルシューティングおよび使用について詳細に説明します。

「デバイス マネージャのトラブルシューティング」

「デバイス マネージャからのアクセス ルールの検索」

「ASDM からアクセス ルールへのナビゲート」

「SDM からアクセス ルールへのナビゲート」

デバイス マネージャのトラブルシューティング

設定をデバイスに正常に展開できた場合、Security Manager でデバイスとのデバイス マネージャ セッションを開くことができます(「デバイス マネージャの起動」を参照)。ただし、接続の確立または開かれたセッションの使用に問題がある場合は、次のトラブルシューティングに関するヒントを考慮してください。ヒントは、基本的なヒントと複数のデバイス マネージャの使用に関するヒントに分かれています。

デバイス マネージャのトラブルシューティングに関する基本的なヒント

一般に、Security Manager インベントリでデバイス用に設定されているクレデンシャルが、デバイス マネージャの起動に使用されます。ただし、SDM のいくつかのバージョンでは、デバイス マネージャの起動時にユーザ名およびパスワードを入力する必要があります。デバイスのクレデンシャルがないか、または有効ではないというエラーが表示された場合は、デバイスにログインできるユーザ名およびパスワードを使用して、[Device Properties Credentials] ページを更新します。デバイス ビューで、デバイスを右クリックして、[Device Properties] を選択します。詳細については、「デバイス プロパティの表示または変更」および「[Device Credentials] ページ」を参照してください。

CiscoWorks Common Services ロールのいずれかに関連付けられているすべてのユーザには、Security Manager からデバイス マネージャを起動する権限があります。ただし、Help Desk ロールと、定義済みのすべての Cisco Secure ACS ロールを除きます。適切な権限があることを確認してください。

Security Manager とデバイス間のセキュアな通信を実現するには、SSL/HTTPS がターゲット デバイスでイネーブルである必要があります。デバイスで SSL がイネーブルになっていない場合、エラー メッセージが表示されます。詳細については、「デバイスの通信要件について」を参照してください。

デバイス マネージャ サービス( xdm-launcher.exe )を起動するには、Security Manager システムおよびワークステーションで、Cisco Security Agent またはその他のアンチウイルスやネットワーク ファイアウォール ソフトウェアを変更する必要がある場合があります。

ターゲット デバイスへのアクセスおよび通信に関して Security Manager が正しく設定されていることを確認します。特に、アイデンティティ、オペレーティング システム、クレデンシャルなどのデバイスのプロパティを確認します。目的のデバイスを選択し、右クリックして [Device Properties] を選択します。[General] および [Credentials] ページで設定を確認します。[Credentials] タブを選択して [Test Connectivity] をクリックすることにより、Security Manager がデバイスに接続できるかどうかをテストできます(「デバイス接続のテスト」を参照)。

デバイス マネージャは、トランスペアレント モード(レイヤ 2 ファイアウォール)またはルーテッド モード(レイヤ 3 ファイアウォール)で実行されており、1 つのセキュリティ コンテキストまたは複数のセキュリティ コンテキストをサポートしている FWSM および ASA に対して起動できます。複数のセキュリティ コンテキストを実行している FWSM および ASA デバイスの場合、セキュリティ コンテキストごとに一意の管理 IP アドレスを定義する必要があります。

プラットフォームがデバイス マネージャの起動に対してサポートされていないというメッセージが表示されたが、このガイドの情報ではプラットフォームはサポートされている場合、デバイスで実行されているオペレーティング システムのバージョンと、使用している Security Manager ソフトウェアのバージョンを考慮してください。最近のオペレーティング システムを使用しているが、比較的古いレベルのバージョンの Security Manager を使用している場合は、Security Manager をアップグレード(またはサービス パックを適用)するか、Cisco Technical Support に問い合わせるか、あるいは最新のデバイス マネージャをネットワーク デバイスにインストールして Security Manager 以外で使用する必要があることがあります。Security Manager 以外でデバイス マネージャを使用する前に、「デバイス マネージャの起動」でアウトオブバンド変更に関する情報を確認してください。

複数のデバイス マネージャ セッションのトラブルシューティングに関するヒント

複数のデバイス マネージャを起動すると、Security Manager サーバとクライアントの両方のパフォーマンスに影響することがあります。クライアントでは、メモリ要件およびパフォーマンスへの影響は、起動されるデバイス マネージャの数に比例します。サーバでは、デバイス マネージャの起動またはデバイスからの最新情報の取得に対する大量の要求が、パフォーマンスに悪影響を及ぼす可能性があります。

すべてのクライアントから 1 つのデバイスに対して確立できる永続的な HTTPS 接続の最大数は、デバイスのタイプおよびモデルによって異なります。この制限を超えようとすると、エラー メッセージが表示されます。

たとえば、1 つの PIX 6.x では、複数のクライアントがそれぞれ 1 つのブラウザ セッションを開くことができ、最大 16 個の同時 PDM セッションがサポートされます。FWSM(1.1、2.2、または 2.3)では、モジュール全体で最大 32 個の PDM セッションと、コンテキストごとに最大 5 つの同時 HTTPS 接続が許可されます。

個別の制限については、該当するデバイスの資料を参照してください。

デバイス マネージャからのアクセス ルールの検索

アクセス ルールのセットが、各デバイス インターフェイスに関連付けられています。これらのルールは、順序が付けられたリストまたは表の形式で提供されます。このリストは Access-Control List(ACL; アクセス コントロール リスト)と呼ばれ、リスト内の各ルールは Access-Control Entry(ACE; アクセス コントロール エントリ)と呼ばれます。パケットを転送するかドロップするかを決定するときに、デバイスは、リストされている順序で各アクセス ルールに照らしてパケットをテストします。ルールが一致した場合、デバイスは指定されたアクションを実行します。その後の処理のためにデバイスへのパケットを許可するか、エントリを拒否します。パケットがどのルールとも一致しない場合、パケットは拒否されます。

ファイアウォールまたはルータでのアクティビティは、syslog メッセージを使用してモニタできます。デバイスでロギングがイネーブルの場合、syslog メッセージを生成するように設定されたアクセス ルールが一致すると(たとえば、拒否されている IP アドレスから接続が試行された場合)、ログ エントリが生成されます。


) デバイスでログ エントリを生成するには、デバイスでロギングをイネーブルにする必要があります(ASA/PIX デバイスの場合は [Logging Setup] ページ、IOS デバイスの場合はロギング ポリシー(「Cisco IOS ルータにおけるロギング」を参照))。また、一致した場合にログ メッセージを生成するように個々のアクセス ルールを設定する必要があります(「[Advanced]/[Edit Options] ダイアログボックス」を参照)。


Security Manager から起動されたデバイス マネージャで syslog メッセージをモニタできます。一部のデバイス マネージャでは、特定のメッセージを生成した Security Manager のアクセス ルールをモニタリング ウィンドウから検索できます。syslog エントリをトリガーしたアクセス ルールは、複数の一致があった場合でも、最初に一致したものが Security Manager で強調表示されます。

このアクセス ルール検索は、IOS を実行しているすべての管理対象ルータの場合は SDM で使用可能であり、バージョン 8.0(3) 以降を実行している管理対象 PIX デバイスおよび ASA デバイス(ASA-SM を含む)、およびバージョン 3.1 以降を実行している FWSM デバイスの場合は ASDM で使用可能です。

次の項では、デバイス マネージャから Security Manager のアクセス ルールを検索する方法について説明します。

「ASDM からアクセス ルールへのナビゲート」

「SDM からアクセス ルールへのナビゲート」

ASDM からアクセス ルールへのナビゲート

Security Manager から起動された ASDM デバイス マネージャでは、[Real-time Log Viewer] ウィンドウおよび [Log Buffer] ウィンドウでシステム ログ メッセージをモニタできます。いずれかのウィンドウで表示された syslog メッセージを選択し、メッセージをトリガーした Security Manager のアクセス コントロール ルールにナビゲートして、必要に応じてルールを更新できます。

[Real-time Log Viewer] は、syslog メッセージが記録されたときにそれを表示できる独立したウィンドウです。独立した [Log Buffer] ウィンドウでは、syslog バッファ内に存在するメッセージを表示できます。

次の syslog メッセージ ID に関連付けられたアクセス ルールを検索できます。

106023:アクセス ルールによって IP パケットが拒否されたときに生成されます。このメッセージは、ルールに対してロギングがイネーブルになっていない場合にも表示されます。

106100:一致したアクセス ルールに対してロギングがイネーブルの場合(「[Advanced]/[Edit Options] ダイアログボックス」を参照)、このメッセージは、設定されているパラメータに応じて、トラフィック フローに関する情報を提供します。このメッセージは、拒否されたパケットだけを記録するメッセージ 106023 よりも多くの情報を提供します。

次の手順では、ASDM の [Real-time Log Viewer] または [Log Buffer] ウィンドウから Security Manager のアクセス ルールを検索する方法について説明します。

関連項目

「デバイス マネージャからのアクセス ルールの検索」

「SDM からアクセス ルールへのナビゲート」


ステップ 1 Security Manager デバイス インベントリで、PIX、ASA、ASA-SM または FWSM を選択します。

ステップ 2 [Launch] > [Device Manager] を選択して ASDM を開始します。デバイス マネージャの起動の詳細については、「デバイス マネージャの起動」を参照してください。

ステップ 3 [ASDM] ウィンドウで、[Monitoring] ボタンをクリックして [Monitoring] パネルを表示します。左側のペインで [Logging] をクリックして、ログ表示オプションにアクセスします。

ステップ 4 [Real-time Log Viewer] または [Log Buffer] を選択します。

ステップ 5 [View] ボタンをクリックして、選択したログ表示ウィンドウを開きます。


) デバイスでロギングがイネーブルになっていない場合、[View] ボタンは表示されません。


ウィンドウに表示される各 syslog メッセージには、メッセージ ID 番号、メッセージが生成された日時、ロギング レベル、およびパケットが送受信されたネットワーク アドレスまたはホスト アドレスが含まれています。

ステップ 6 特定の syslog メッセージをトリガーしたアクセス ルールを表示するには、メッセージを選択し、ASDM ツールバーの [Show Rule] ボタンをクリックします(または、メッセージを右クリックして、ポップアップ メニューから [Go to Rule in CSM] を選択します)。

Security Manager クライアント ウィンドウがアクティブになり、[Access Rules] ページが表示されます。このページでは、ルール テーブル内のルールが強調表示されます。syslog エントリが現在の Security Manager アクティビティで参照されていないアクセス ルールによってトリガーされた場合、エラー メッセージが表示されます。


 

SDM からアクセス ルールへのナビゲート

Security Manager から起動された SDM デバイス マネージャでは、[Logging] ウィンドウの [Syslog] タブで、セキュリティ レベルで分類されたイベントのログを表示できます。syslog メッセージを選択し、メッセージをトリガーした Security Manager のアクセス コントロール ルールにナビゲートして、必要に応じてルールを更新できます。

SDM の [Monitor] > [Logging] オプションには、4 つのログ タブがあります。そのうち [Syslog] だけに、Security Manager アクセス ルール検索オプションがあります。ルータには、重大度レベルで分類されたイベントのログが含まれています。ログ メッセージが syslog サーバに転送されている場合でも、[Syslog] タブにはルータ ログが表示されます。

Cisco IOS デバイスでは、syslog メッセージは log または log-input キーワードを使用して設定されたアクセス ルール用に生成されます。 log キーワードでは、パケットがルールと一致したときにメッセージが生成されます。 log-input キーワードでは、パケットの送信元および宛先 IP アドレスとポートに加えて、入力インターフェイスおよび送信元 MAC アドレスを含むメッセージが生成されます。同一のパケットが一致すると、メッセージは、直近の 5 分間に許可または拒否されたパケット数によって、5 分間隔で更新されます。

次の手順では、SDM の [Logging] パネルの [Syslog] タブから Security Manager のアクセス ルールを検索する方法について説明します。

関連項目

「デバイス マネージャからのアクセス ルールの検索」

「ASDM からアクセス ルールへのナビゲート」


ステップ 1 Security Manager デバイス インベントリで、IOS ルータを選択します。

ステップ 2 [Launch > Device Manager] を選択して SDM を開始します。デバイス マネージャの起動の詳細については、「デバイス マネージャの起動」を参照してください。

ステップ 3 [SDM] ウィンドウで、[Monitoring] ボタンをクリックして [Monitoring] パネルを表示します。左側のペインで [Logging] をクリックして、ログ表示オプションにアクセスします。

[Syslog] タブが表示された [Logging] ペインが表示されます。

ステップ 4 特定の syslog メッセージをトリガーしたアクセス ルールを表示するには、メッセージを選択し、ログ メッセージの表の上にある [Go to Rule in CSM] ボタンをクリックします。

Security Manager クライアント ウィンドウがアクティブになり、[Access Rules] ページが表示されます。このページでは、ルール テーブル内のルールが強調表示されます。syslog エントリが現在の Security Manager アクティビティで参照されていないアクセス ルールによってトリガーされた場合、エラー メッセージが表示されます。


 

インベントリ ステータスの表示

表示することを許可されているすべてのデバイスのデバイス プロパティの概要を表示できます。概要には、デバイス アクセス情報およびすべてのデバイス設定が含まれています。概要では、どの設定がローカルであり、どの設定が共有ポリシーを使用しているかが示され、また有効なポリシー オブジェクト オーバーライドも示されます。

Performance Monitor を使用してデバイスをモニタしている場合、Performance Monitor からのステータス情報を提供するように Security Manager が設定されていると、それをインベントリ概要に含めることができます。デバイスへの設定展開のステータスを表示することもできます。この情報を表示するようにインベントリ ステータスを設定する方法の詳細については、「ステータス プロバイダーの設定」を参照してください。

レポートは表形式であり、フィルタリング、ソート、並べ替え、およびカラムの削除によって情報を整理できます。また、表の内容を Security Manager サーバ上の Comma-Separated Values(CSV; カンマ区切り値)ファイルにエクスポートすることもできます。


ステップ 1 デバイス ビューで、[Tools] > [Inventory Status] を選択して、「[Inventory Status] ウィンドウ」を開きます。

ステップ 2 上部の表で、詳細なステータスを表示するデバイスを選択します。詳細情報が下部のペインのタブに表示されます。情報はフォルダに整理されています。[+] または [-] アイコンをクリックして、フォルダを開いたり閉じたりします。または、フォルダ名をダブルクリックします。次のタブを使用できます。

[Inventory]:選択したデバイスのデバイス プロパティ、展開方法、デバイス グループ メンバーシップ、およびモジュールの親デバイスに関する概要情報が表示されます。

[Policy]:選択したデバイスに対して設定できるポリシーの現在のステータスが表示されます。ポリシーのステータスは、未割り当て(未定義)、ローカル ポリシー、または共有ポリシーです。

[Policy Object Overrides]:選択したデバイスに対して定義されたオーバーライドを持つポリシー オブジェクトが表示されます。

[Status]:選択したデバイスに対するステータス メッセージを持つステータス プロバイダーがイベント タイプ別に整理されて表示されます。Security Manager 展開ジョブまたは Performance Monitor からステータスを参照できます。

イベント は、管理対象デバイスまたはコンポーネントで異常な状態が発生したことを示す通知です。1 つのモニタ対象デバイスまたはサービス モジュールで複数のイベントが同時に発生する場合もあります。ただし、Performance Monitor ではしきい値を設定でき、指定したしきい値を超えたイベントだけが表示されます。

Security Manager では、各タイプの最近のイベントだけが表示されます。過去のステータス情報を表示するには、必要に応じて Deployment Manager または Performance Monitor を使用します。Performance Monitor のステータスについて問題がある場合は、「Performance Monitor のステータス収集のトラブルシューティング」を参照してください。

ステップ 3 [Close] をクリックして、[Inventory Status] ウィンドウを閉じます。


 

ステータス プロバイダーの設定

ユーザは、[Tools] > [Inventory Status] を選択して、自分が設定できるデバイスについて設定の概要とステータス情報を表示できます(「インベントリ ステータスの表示」を参照)。

[Status] タブで使用可能な情報は、設定するステータス プロバイダーのタイプによって異なります。デフォルトでは、デバイスに影響する展開ジョブのステータスが Security Manager によって表示されます。

システムが適切に設定されている場合は、Cisco Performance Monitor から取得されるステータスを表示することもできます(Performance Monitor は、Cisco Security Management Suite の一部です)。Performance Monitor では、登録されたステータス プロバイダーとして、イベントのステータス(VPN トンネルのアップ/ダウン ステータスなど)、デバイス到達可能性、およびモニタ対象デバイスの CPU 使用率しきい値が収集され、Security Manager にレポートされます。

Security Manager が Performance Monitor サーバからステータス情報を収集できるようにするには、Performance Monitor サーバを Security Manager に登録する必要があります。最大 5 つのサーバを追加できます。次の手順では、Performance Monitor サーバをステータス プロバイダーとして登録する方法について説明します。


ステップ 1 [Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Status] を選択して、「[Status] ページ」を開きます。

ステップ 2 [Add] ボタンをクリックし、「[Add or Edit Status Provider] ダイアログボックス」を使用して Performance Monitor サーバを追加します。

ステップ 3 Performance Monitor サーバを識別する情報を入力します。このダイアログボックスの主要なフィールドは次のとおりです。

[Provider name]、[Short name]:Security Manager で表示される名前。デバイスで設定されているものと一致している必要はありません。

[Server]:Performance Monitor サーバの IP アドレスまたは完全修飾ホスト名。

[Username]、[Password]、[Confirm]:Performance Monitor サーバにログインできるユーザ アカウント。

それぞれのインストールの必要に応じて、他のフィールドを変更できます。頻度を増やすか、または減らす場合は、ポーリング期間を変更します。

完了したら [OK] をクリックします。Performance Monitor がプロバイダー リストに追加されます。

ステップ 4 [Status] ページで [Save] をクリックして変更を保存します。


ヒント [Status] カラムの設定を変更することによって、このページで Performance Monitor サーバを選択的にディセーブルまたはイネーブルにすることができます。このことによって、登録を削除しなくても、サーバのステータスのポーリングを一時的に中断できます。



 

Performance Monitor のステータス収集のトラブルシューティング

Performance Monitor からデバイス ステータスを取得するように Security Manager を設定したが(「ステータス プロバイダーの設定」を参照)、 [Inventory Status] ウィンドウに Performance Monitor からのステータスが表示されない場合は、この接続をイネーブルにするために必要なすべての要素を設定していることを確認します。

Performance Monitor によるモニタ用に各デバイスを設定する。

Performance Monitor でデバイスをモニタするために必要な基本設定を行う必要があります(SNMP や syslog など)。必要な設定に関する特定の情報については、『 User Guide for Cisco Performance Monitor 』の「Before You Begin」の章のブートストラップ情報を参照してください。


) Security Manager と Performance Monitor でサポートされるデバイスは同じではありません。両方のアプリケーションによってサポートされるデバイスについてだけ、Performance Monitor からステータス情報を取得できます。


各デバイスを Performance Monitor インベントリに追加する。

デバイスを Performance Monitor に追加する方法の詳細については、『 User Guide for Cisco Performance Monitor 』の「Before You Begin」の章を参照してください。

サポートされている各モニタ対象デバイスを Security Manager インベントリに追加する。

具体的な手順については、「デバイス インベントリへのデバイスの追加」を参照してください。

Security Manager で Performance Monitor をステータス プロバイダーとして登録する。

この手順によって、Security Manager と Performance Monitor サーバ間の通信が確立されます。この手順の説明については、「ステータス プロバイダーの設定」を参照してください。最大 5 つの Performance Monitor サーバを Security Manager に登録できます。

Performance Monitor 用に Security Manager で設定するユーザ アカウントが Performance Monitor サーバで定義されていることを確認します。

この設定が正しいことを確認したら、次のトラブルシューティングに関するヒントを考慮してください。

Security Manager サーバから Performance Monitor サーバにログインできることを確認します。Security Manager は、登録された各 Performance Monitor との SSL 接続を確立し、Performance Monitor のクレデンシャルを認証したあとにステータス レポートの受信を開始します。ワークステーションからログインできる場合でも、この接続がテストされたことにはなりません。Security Manager サーバ上で Windows にログインし、Performance Monitor へのブラウザ接続を開く必要があります。

一部のデバイスで Performance Monitor のステータスが表示され、他のデバイスでは表示されない場合、情報が表示されないデバイスが Performance Monitor インベントリに含まれていること、およびデバイスが Performance Monitor でのモニタから除外されていないことを確認します。デバイスを Performance Monitor ポーリングから除外すると、デバイス ヘルスおよびパフォーマンス レポートは Security Manager で使用できなくなります。

Security Manager では、各タイプの最近のイベントだけが表示されます。つまり、Security Manager では、異なる時点でステータス プロバイダーによってレポートされたイベントは蓄積されません。

たとえば、正午 12 時に、Performance Monitor によって「デバイス」イベントが「クリティカル」重大度、「インターフェイス」イベントが「警告」重大度で記録され、それ以降はどちらのタイプのイベントも発生しなかったとします。この場合は、両方のイベントが表示されます。ただし、このとき、Performance Monitor によって午後 1 時に「デバイス」イベントが「警告」重大度で、午後 2 時に別の「クリティカル」デバイス イベントが記録された場合、午後 2 時の「クリティカル」イベントが保持されて表示されている唯一のデバイス イベントになります。過去のイベントを表示するには、Performance Monitor にログインする必要があります。

Performance Monitor では、ポーリングのタイムアウト時間内に、あるデバイスからの応答の取得に失敗した場合、すべてのデバイスのポーリングが停止します。Performance Monitor でデバイスのポーリングが続いていることを確認し、ポーリングのタイムアウト値を増やすことを検討してください。詳細については、Performance Monitor のマニュアルを参照してください。

[Inventory Status] ウィンドウ

[Inventory Status] ウィンドウを使用して、表示することを許可されているデバイスのデバイス プロパティおよびステータスを表示します。このウィンドウでは、個々のデバイスごとにデバイス プロパティを開かなくても済むように、デバイス情報の概要が示されます。

デバイス プロパティ情報に加え、各デバイスのポリシーの設定方法(ローカル、共有、または未設定)および各デバイスのオーバーライドを持つポリシー オブジェクトに関する概要情報を表示できます。

Performance Monitor を使用してデバイスをモニタしている場合、Performance Monitor からのステータス情報がインベントリ概要に含まれます。デバイスへの設定展開のステータスを表示することもできます。

[Inventory Status] ウィンドウには、2 つのペインがあります。上部のペインを使用して、すべてのデバイスの一覧を表示したり、属性をデバイスでソートしたり、特定のデバイスを除外したりします。下部のペインを使用して、上部のペインで選択したデバイスのデバイス プロパティの詳細を表示します。

ナビゲーション パス

[Tools] > [Inventory Status] を選択します。

関連項目

「インベントリ ステータスの表示」

「ステータス プロバイダーの設定」

「Performance Monitor のステータス収集のトラブルシューティング」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

フィールド リファレンス

 

表 67-5 [Inventory Status] ウィンドウ

要素
説明
すべてのデバイスのデバイス概要情報(上部のペイン)

[Export] ボタン

インベントリを Comma-Separated Values(CSV; カンマ区切り値)ファイルとしてエクスポートするには、このボタンをクリックします。ファイル名を指定して、Security Manager サーバ上のフォルダを選択するように求められます。エクスポート ファイルは参照または分析に使用できます。

Display Name

Security Manager に表示されるデバイス名。

Deployment

デバイスの設定展開のステータス。このカラムは、ステータス プロバイダーとして展開をイネーブルにした場合にだけ表示されます(「[Status] ページ」を参照)。

Performance Monitor

Performance Monitor によってレポートされたデバイスのステータス。このカラムは、Performance Monitor サーバによってモニタされるようにデバイスを設定し、そのサーバからステータスを取得するように Security Manager を設定した場合にだけ表示されます。詳細については、「[Status] ページ」を参照してください。

OS Type

デバイスで実行されているオペレーティング システムのファミリ。IOS、IPS、ASA、FWSM、PIX など。

Running OS Version

デバイスで実行されているオペレーティング システムのバージョン。

Target OS Version

設定を適用するターゲット OS バージョン。設定は、このバージョンでサポートされているコマンドに基づきます。

Host Name.Domain Name

デバイスの DNS ホスト名および DNS ドメイン名。

IP Address

デバイスの管理 IP アドレス。

Device Type

デバイスのタイプ。

選択したデバイスの詳細(下部のペイン)

詳細情報が下部のペインのタブに表示されます。情報はフォルダに整理されています。[+] または [-] アイコンをクリックして、フォルダを開いたり閉じたりします。または、フォルダ名をダブルクリックします。

Inventory

選択したデバイスのデバイス プロパティ、展開方法、デバイス グループ メンバーシップ、およびモジュールの親デバイスに関する概要情報が表示されます。

Policy

選択したデバイスに対して設定できるポリシーの現在のステータスが表示されます。ポリシーのステータスは、未割り当て(未定義)、ローカル ポリシー、または共有ポリシーです。

Policy Object Overrides

選択したデバイスに対して定義されたオーバーライドを持つポリシー オブジェクトが表示されます。ポリシー オブジェクト オーバーライドの詳細については、「ポリシー オブジェクト オーバーライドのページ」を参照してください。

Status

選択したデバイスに対するステータス メッセージを持つステータス プロバイダーが表示されます。

イベントはイベント タイプ別に整理されています。イベントの詳細には、タイムスタンプ、説明、および推奨するアクションが含まれています。タイムスタンプは、デバイスの最新のポーリング時刻ではなく、デバイスのステータスが最後に変更された時刻です。

ステータス メッセージの最も高い重大度レベルも表示されます。Performance Monitor では、イベント ステータスは次の Performance Monitor イベント プライオリティと同じです。

クリティカル イベント:P1、P2

メジャー イベント:P3

マイナー イベント:P4

警告イベント:P5

ナビゲーション ボタン

インベントリ リスト内を移動するには、ナビゲーション ボタンをクリックします。ボタンの意味は、左から右の順で、リスト内の最初のデバイスに移動、前のデバイスに移動、次のデバイスに移動、最後のデバイスに移動です。中央のフィールドに、現在選択されているデバイスが行番号で示されます(たとえば、5/10 は、リスト内の 10 個のデバイスのうちの 5 番めを意味します)。

CS-MARS と Security Manager の統合

Cisco Security Manager では、ネットワーク内のセキュリティ ポリシーおよびデバイス設定を集中管理できます。一方、Cisco Security Monitoring, Analysis and Response System(CS-MARS)は、デバイスをモニタしてイベント情報(syslog メッセージや NetFlow トラフィック レコードなど)を収集する別のアプリケーションであり、Security Manager よりも広範なネットワーク モニタリング機能を備えています。CS-MARS では、大量のネットワークおよびセキュリティ データが、使いやすい形式で集約および提供されます。CS-MARS レポートから取得された情報に基づいて、セキュリティ脅威に対抗するために Security Manager でデバイス ポリシーを編集できます。

特に、Security Manager を使用してファイアウォール アクセス ルールおよび IPS シグニチャを設定する場合、それらのポリシーに関連する情報を収集して Security Manager ユーザに対して使用可能にするように、CS-MARS を設定できます。CS-MARS サーバを Security Manager に登録することによって、ユーザは特定のアクセス ルールまたは IPS シグニチャから直接 CS-MARS レポート ウィンドウにナビゲートできます。このウィンドウには、そのルールまたはシグニチャのクエリー基準があらかじめ読み込まれています。

同様に、CS-MARS ユーザは、特定の CS-MARS イベントに関連する Security Manager ポリシーを表示できます。特定のイベントとそれをトリガーしたポリシーとの双方向マッピングと、ポリシーを即時に変更する機能を結合することによって、大規模または複雑なネットワークの設定およびトラブルシューティングに要する時間を大幅に削減できます。

この相互通信をイネーブルにするには、CS-MARS サーバを Security Manager に登録し、Security Manager サーバを CS-MARS サーバに登録する必要があります。また、特定のデバイスを各アプリケーションに登録する必要もあります。これにより、デバイスのファイアウォール アクセス ルールまたは IPS シグニチャを操作するときに、Security Manager ユーザは、そのルールまたはシグニチャに関連するリアルタイムおよび過去のイベント情報を迅速に表示できます。

次の項では、CS-MARS と Security Manager の相互通信をイネーブルにして使用する方法について説明します。

「CS-MARS と Security Manager を統合するためのチェックリスト」

「Security Manager ポリシーの CS-MARS イベントの検索」

「CS-MARS イベントからの Security Manager ポリシーの検索」

CS-MARS と Security Manager を統合するためのチェックリスト

CS-MARS と Security Manager 間の相互通信(「CS-MARS と Security Manager の統合」を参照)をイネーブルにするには、アプリケーションを相互に識別させ、両方のアプリケーションによって管理されるデバイスが適切に設定されるようにする必要があります。次の表に、統合の手順を示します。

相互通信について問題がある場合は、「CS-MARS クエリーのトラブルシューティングに関するヒント」を参照してください。

 

表 67-6 CS-MARS と Security Manager の統合

作業
説明
Security Manager および CS-MARS にデバイスを追加する

Security Manager へのデバイスの追加については、「デバイス インベントリへのデバイスの追加」を参照してください。CS-MARS インベントリへのデバイスの追加については、『 Device Configuration Guide for Cisco Security MARS 』を参照してください。

デバイスに相互通信を提供するには、デバイスが両方のアプリケーションによってサポートされている必要があります。サポートされているデバイス タイプは、一般に、[Firewall] > [Access Rules] または [IPS] > [Signatures] ポリシーを提供するデバイス タイプです(PIX、ASA および FWSM アプライアンス、Cisco IOS ルータ、Cisco IPS センサーとモジュール、Cisco Catalyst スイッチなどがあります)。

必要に応じてアプリケーションごとにデバイスを設定する

Security Manager の基本的な設定要件については、「デバイスを管理するための準備」を参照してください。CS-MARS の広範な要件については、『 Device Configuration Guide for Cisco Security MARS 』を参照してください。

Security Manager を CS-MARS に登録する

Security Manager と通信するための CS-MARS の設定については、『 User Guide for Cisco Security MARS Local and Global Controllers 』を参照してください。

Security Manager とのリンク専用の CS-MARS ユーザ アカウントを作成する場合があります。「CS-MARS ポリシー クエリーに応答するための Security Manager サーバの設定」を参照してください。

CS-MARS コントローラを Security Manager に登録する

CS-MARS コントローラの Security Manager への登録については、「Security Manager での CS-MARS サーバの登録」を参照してください。

Security Manager で CS-MARS コントローラをデバイスにリンクする

Security Manager で、デバイスの [Device Properties] ページで [Discover CS-MARS] をクリックして、特定のデバイスをモニタする CS-MARS コントローラをプロアクティブに検出できます(「デバイスの CS-MARS コントローラの検出または変更」を参照)。そのようにしない場合は、ユーザがデバイスのイベントを検索しようとしたときに、適切なコントローラが自動的に検出されます(複数のコントローラがデバイスをモニタしている場合、ユーザはコントローラを選択するように求められます)。

関連項目

「アクセス ルールの CS-MARS イベントの表示」

「IPS シグニチャの CS-MARS イベントの表示」

「CS-MARS イベントからの Security Manager ポリシーの検索」

CS-MARS ポリシー クエリーに応答するための Security Manager サーバの設定

CS-MARS は、ポリシー検索クエリーを実行してポリシー情報を取得できるように、Security Manager サーバへのアクセスを許可されている必要があります。

サーバで Common Services AAA 認証を使用している場合(Cisco Secure ACS など)、CS-MARS が Security Manager サーバにクライアント アクセスできるように、管理アクセス設定を更新する必要があります。

Security Manager で CS-MARS がクエリーの実行に使用できるユーザ アカウントを定義します。Security Manager サーバで特定の監査証跡を提供するために、別個のアカウントを作成することを推奨します。このアカウントを次の Common Services ロールの 1 つに割り当てる必要があります。

Approver

Network Operator

Network Administrator

System Administrator

Help Desk セキュリティ レベルのユーザは、CS-MARS 内のポリシー検索テーブルの表示だけを行うことができます。つまり、Security Manager をクロス起動してポリシーを変更することはできません。


) Security Manager サーバを CS-MARS に登録するときに、ポリシー テーブル検索のために Security Manager クレデンシャルを求める場合、認証用に Common Services で別の CS-MARS アカウントを用意する必要がなくなることがあります。


Common Services でのユーザの追加およびロールの関連付けの詳細については、『 User Guide for CiscoWorks Common Services 』を参照してください。

関連項目

「Security Manager での CS-MARS サーバの登録」

「デバイスの CS-MARS コントローラの検出または変更」

Security Manager での CS-MARS サーバの登録

CS-MARS と Security Manager を同時に使用する場合は、「CS-MARS と Security Manager を統合するためのチェックリスト」の説明に従って、CS-MARS コントローラを Security Manager に登録し、これらのアプリケーション間の相互通信をイネーブルにする必要があります。

これにより、ユーザがデバイスのイベントを検索するときに、Security Manager によって、そのデバイスのイベントを収集している CS-MARS コントローラが識別されます。複数の CS-MARS コントローラによってデバイスのイベントが収集されている場合、ユーザは使用する CS-MARS コントローラを選択できます。各デバイスの [Device Properties] ウィンドウで、使用する正しい CS-MARS コントローラを指定することもできます(詳細については、「デバイスの CS-MARS コントローラの検出または変更」を参照してください。)


) Security Manager で明示的にサポートされている CS-MARS バージョンについては、製品のこのバージョンの『Release Notes for Cisco Security Manager』を参照してください。明示的にはサポートされていないバージョンを使用する場合、4.3.4 または 5.3.4 よりも前の CS-MARS バージョンは使用できません。



ステップ 1 [Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルで [CS-MARS] を選択して、「[CS-MARS] ページ」を表示します。

ステップ 2 [Add] ボタンをクリックして、CS-MARS サーバを追加します。[New CS-MARS Device] ダイアログボックスが開きます(詳細については、「[New CS-MARS Device]/[Edit CS-MARS Device] ダイアログボックス」を参照してください)。

ステップ 3 [New CS-MARS Device] ダイアログボックスで、サーバの IP アドレスまたは完全修飾 DNS ホスト名と、サーバにログインするためのユーザ名およびパスワードを入力します。ローカル コントローラを追加する場合、入力するユーザ名はローカル アカウントとグローバル アカウントのいずれかです。[User Type] リストからアカウントのタイプを選択します。


ヒント CS-MARS Global Controller を使用している場合は、個別の Local Controller ではなく Global Controller を追加します。Global Controller を追加することによって、各 Local Controller を追加しなくても、Security Manager でデバイスの正しい Local Controller を識別できます。Global Controller を追加する場合は、Global Controller によってモニタされる個別の Local Controller を追加しないでください。


[Retrieve From Device] をクリックして、サーバの認証証明書を取得します。証明書が提示されたら、[Accept] をクリックします。

完了したら、[OK] をクリックします。[New CS-MARS Device] ダイアログボックスが閉じて、サーバが CS-MARS デバイス リストに追加されます。

ステップ 4 [When Launching CS-MARS] リストから、ユーザがイベント ステータスを要求したときに CS-MARS サーバにログインするように求められるようにするか、またはユーザが Security Manager にログインしたときに提供されたクレデンシャルを使用して Security Manager が CS-MARS に自動的にログインするかを選択します。

Security Manager クレデンシャルの使用を選択した場合は、必要なユーザ アカウントを CS-MARS で設定する必要があります。詳細については、CS-MARS のマニュアルを参照してください。

ステップ 5 [CS-MARS] ページで [Save] をクリックして変更を保存します。


 

デバイスの CS-MARS コントローラの検出または変更

Cisco Security Monitoring, Analysis and Response System(CS-MARS)コントローラを使用してデバイスをモニタする場合、このコントローラを Security Manager に登録することにより、個々のデバイスのファイアウォール アクセスまたは IPS シグニチャ ルールに関連する syslog およびイベントを表示できます。

ルールに関連するイベントを表示しようとすると、Security Manager によって、デバイスをモニタする CS-MARS コントローラを自動的に検出できます。複数のコントローラによってデバイスがモニタされている場合は、使用するコントローラの選択を求められます。

デバイスの CS-MARS コントローラを、そのデバイスの [Device Properties] ウィンドウでプロアクティブに選択することもできます。同様に、デバイスに割り当てられている CS-MARS コントローラを変更する必要がある場合は、[Device Properties] ウィンドウで選択内容を変更できます。次の手順では、デバイスの CS-MARS コントローラをそのデバイスの [Device Properties] ウィンドウで検出または変更する方法について説明します。

始める前に

デバイスをモニタする CS-MARS コントローラが、[CS-MARS] 管理ページ([Tools] > [Security Manager Administration] > [CS-MARS])で Security Manager にすでに登録されている必要があります。詳細については、「Security Manager での CS-MARS サーバの登録」を参照してください。


ステップ 1 デバイス ビューのデバイス セレクタで次のいずれかを実行し、[Device Properties] ダイアログボックスを開きます。

デバイスをダブルクリックします。

デバイスを右クリックして、[Device Properties] を選択します。

デバイスを選択して、[Tools] > [Device Properties] の順に選択します。

ステップ 2 コンテンツ テーブルで [General] をクリックして、[General] プロパティ ページを開きます(「[General] ページ」を参照)。

ステップ 3 [CS-MARS Monitoring] グループで、[Discover CS-MARS] をクリックします。Security Manager によって、デバイスをモニタしている登録済みコントローラが判別されます(存在する場合)。複数ある場合は、使用する CS-MARS コントローラを選択するように求められます。


 

CS-MARS クエリーのトラブルシューティングに関するヒント

CS-MARS と Security Manager を一緒に使用しているときに発生する可能性がある問題を識別して解決するには、次のトラブルシューティングに関するヒントを使用します。

Security Manager サーバと CS-MARS 間の通信には、HTTPS が必要です。

インターフェイス名は、Security Manager では大文字と小文字が区別されませんが、CS-MARS では区別されます。たとえば、「outside」と「Outside」は CS-MARS アプライアンスでは排他と見なされますが、Security Manager では同一です。さらに、syslog メッセージでは、すべてのインターフェイス名に小文字が使用されます。その結果、CS-MARS で生成されたイベントから Security Manager ポリシーのクエリーを実行する場合、syslog イベントに記録されるインターフェイス名は、Security Manager のそのポリシーでのインターフェイス名と一致しない場合があります。この問題を回避するには、すべてのインターフェイス名、インターフェイス ロールの定義、CS-MARS で小文字を使用します。

Security Manager ポリシーから CS-MARS イベントを照会するには、Security Manager クライアントが、Network Address Translation(NAT; ネットワーク アドレス変換)境界について、CS-MARS アプライアンスおよび Security Manager サーバと同じ側にある必要があります。

同様に、CS-MARS クライアントが NAT 境界について CS-MARS アプライアンスおよび Security Manager サーバと同じ側にない場合は、Security Manager ポリシーを検索できますが、読み取り専用モードになります。読み取り専用ポリシー検索テーブルからは Security Manager クライアントを起動できません。Security Manager クライアントを CS-MARS から起動して、一致したポリシーを変更する場合、クライアントは NAT 境界について CS-MARS アプライアンスおよび Security Manager サーバと同じ側にある必要があります。

複数の独立したセキュリティ コンテキストが存在する FWSM、PIX、および ASA デバイスの場合、CS-MARS イベントを照会するには、セキュリティ コンテキストごとに Security Manager で一意の管理 IP アドレスを定義する必要があります。また、各仮想コンテキストのホスト名およびレポート IP アドレスが、CS-MARS に追加される前に設定されている必要があります。設定されていないと、これらのコンテキストのポリシーからのイベント検索は失敗します。

すべての IPS デバイスおよびサービス ポリシーについて、IPS ポリシーを検出しない場合、または設定済みのポリシーをデバイスから削除する場合は、デフォルトのシグニチャ ポリシーがデバイスに割り当てられます。デフォルトのシグニチャからイベント検索を実行しようとすると、「Policy not found」というエラー メッセージが表示されます。ただし、デフォルトのシグニチャを編集して保存すると、CS-MARS でイベントにナビゲートできます。

Security Manager で定義されたアクセス ルールに対してオブジェクト グループ化またはルール最適化がイネーブルであり、デバイス上の関連付けられた access-list コマンドが最適化されたルールと一致しない場合、CS-MARS でイベントは表示されません。

アクセス ルールに対してロギングがイネーブルになっていない場合は、警告メッセージが表示され、それらのルールのトラフィック フロー イベントだけを検索できます。

デバイスでサポートされている場合は、Access-Control Entry(ACE; アクセス コントロール エントリ)によって生成された syslog メッセージについて CS-MARS を照会するときに、Security Manager によって ACE ハッシュコードが追加キーワードとして使用されます。大きな Access-Control List(ACL; アクセス コントロール リスト)には、このようなハッシュコードが数千含まれる場合もあります。キーワードの数か、または ACE やシグニチャの送信元、宛先、およびプロトコルの合計数がクエリー制限の 150 を超えた場合は、エラー メッセージが表示されます。エラー メッセージには、考えられる原因と推奨アクションが示されます。

次の状況で、ルールとレポートされるイベントとの間で同期の問題が発生する場合があります。

デバイスが Security Manager に追加されましたが、それに対する設定または変更がデータベースに保存されていません。これは、デバイスが CS-MARS に追加されて以降に変更されたが展開されていないアクセス ルールの場合に特に該当します。

Security Manager 内に対応するルールがないアクセス ルールがデバイス上に存在するか、またはその逆です。すべてのデバイスが Security Manager に追加され、Security Manager を使用してデバイス上にアクセス ルールが設定されるようにします。

ルールが定義されていない、イベントをトリガーしている「間違った」方向のトラフィック。たとえば、インバウンド トラフィック ルールだけが定義されている高いセキュリティ レベルのインターフェイスでのアウトバウンド トラフィックがあります。

CS-MARS からポリシー検索を実行し、Security Manager クライアントがアクティブである場合、クエリーは、開かれているアクティビティまたは設定セッション内のすべてのポリシーと、データベースに保存されているポリシー(コミットされた設定)に対して実行されます。Security Manager クライアントがアクティブではない場合は、コミットされたポリシーだけが考慮されます。

関連項目

「CS-MARS と Security Manager を統合するためのチェックリスト」

「Security Manager ポリシーの CS-MARS イベントの検索」

「Security Manager での CS-MARS サーバの登録」

Security Manager ポリシーの CS-MARS イベントの検索

CS-MARS と Security Manager を統合したあと、特定のファイアウォール アクセス ルールまたは IPS シグニチャに関連する CS-MARS 内のイベントを検索できます。

CS-MARS がイベントを受信すると、イベントは解析され、「セッション化」されて、イベント バッファに書き込まれてから、データベースに書き込まれます。セッション化には 2 つの形式があります。セッション指向プロトコル(TCP など)では、セッションには初期ハンドシェイクから接続のティアダウンまでが含まれます。セッションレス プロトコル(UDP など)では、セッションの開始時刻と終了時刻は、制限された時間内で追跡される最初と最後のパケットに基づきます。時間外のパケットは、他のセッションの一部と見なされます。

新しく受信したデータと完全に処理されたデータには違いがあるため、リアルタイム イベントまたは過去イベントのいずれも検索できます。

リアルタイム :セッション化には時間がかかり、イベントをキャッシュ内に最大 2 分間保持するため、リアルタイム イベント クエリーを使用して解析直後のイベントを表示し、受信した最新データへのアクセスを提供できます。

リアルタイム イベントを照会すると、クエリーは Security Manager から取得されたポリシー値に基づいて自動的に実行され、結果は CS-MARS の [Query Results] ウィンドウに表示されます。このリアルタイム イベント ビューアを使用して、未処理イベントがセッション化される前の CS-MARS へのストリーミング中に、最大 5 秒の遅延で、CS-MARS トラフィックをほぼリアルタイムでモニタできます。セッション化されたイベント ストリームの表示を選択することもできます。そのためには、[Query Results] ウィンドウで [Edit] をクリックし、[Realtime] ドロップダウン メニューから [Sessionized events] を選択します。セッション内のイベント数が多い場合には、遅延が長くなる可能性があります。

過去 :過去のイベントのレポートは、リアルタイム モニタリングで可能な期間よりも長期にわたる傾向を識別するのに役立ちます。過去のイベントを照会すると、CS-MARS の [Query Criteria: Result] ウィンドウが開きます。クエリーをすぐに実行するか、あとで実行するために基準を「レポート」として保存できます。過去のイベントの場合、[Result Format] は [All Matching Events] オプションであり、[Filter By Time] 値は過去 10 分に設定されます。

次の項では、イベント検索についてより詳細に説明します。

「アクセス ルールの CS-MARS イベントの表示」

「IPS シグニチャの CS-MARS イベントの表示」

アクセス ルールの CS-MARS イベントの表示

Security Manager の [Firewall] > [Access Rules] ポリシーから、アクセス ルールを選択し、CS-MARS の関連するイベント情報を表示できます。ルールと一致するリアルタイム イベントまたは過去のイベント、トラフィック フロー、送信元アドレス、または宛先アドレスを表示できます。アクセス ルールをサポートする任意のデバイス(ASA、PIX、FWSM、ルータ、スイッチなど)のイベントを表示できます。

ファイアウォール アクセス ルールは、順序が付けられたリストまたは表の形式で提供されます。展開されると、このポリシーは Access-Control List(ACL; アクセス コントロール リスト)となります。リスト内の各エントリは、Access-Control Entry(ACE; アクセス コントロール エントリ)と呼ばれます(詳細については、「アクセス ルールについて」を参照してください)。

パケットを転送するかドロップするかを決定するときに、デバイスは、リストされている順序で各アクセス ルールに照らしてパケットをテストします。アクセス ルールに対してロギングをイネーブルにすると、テストの結果はルールごとのログ設定に従って記録されます。ASA などの一部のデバイスでは、ロギングを明示的に設定しない場合でも、拒否されたアクセスのログ エントリが生成されます。ロギング オプションを含むアクセス ルールの作成の詳細については、「アクセス ルールの設定(IPv4 または IPv6)」を参照してください。

次のタイプのトラフィックのアクセス ルールに関連するリアルタイム イベントまたは過去のイベントについて、CS-MARS を照会できます。コマンドを使用するには、ルールを右クリックしてコンテキスト メニューから選択します。

フロー :トラフィック フローは、ルールの送信元と宛先の IP アドレス、プロトコル、およびポートによって定義されます。レポートされるフロー イベントには、接続の設定およびティアダウンが含まれます。この情報を記録するには、アクセス ルールに対してロギングをイネーブルにする必要があります。

フロー関連のイベントを表示するには、次の右クリック コマンドを使用します。

[Show Events] > [Realtime] > [Matching this Flow]:このトラフィック フローと一致するイベントについて CS-MARS でリアルタイム クエリーの結果を表示します。いつでも CS-MARS ウィンドウでクエリー基準を変更し、新しいパラメータを適用して、リアルタイムの結果を変更できます。

[Show Events] > [Historical] > [Matching this Flow]:CS-MARS で過去のクエリー基準ページを開きます。フィールドは、選択したルールのトラフィック フローに基づいて読み込まれます。必要に応じてルール パラメータとクエリー基準を編集し、[Apply] をクリックして続行します。次に、[Query] ウィンドウで、クエリーを送信するか、または保存してあとで送信したり再利用したりできます。

ルール :ルールに対してロギングがイネーブルの場合(「[Advanced]/[Edit Options] ダイアログボックス」を参照)、イベントをログに記録するために、(デバイスが CS-MARS によってモニタされていると想定する場合は)デバイスから CS-MARS に syslog メッセージが送信されます。このクエリーには、使用可能なキーワード情報などのアクセス ルール パラメータが含まれています。レポートされるイベントには、接続の設定およびティアダウンは含まれません。

ルール関連のイベントを表示するには、次の右クリック コマンドを使用します。

[Show Events] > [Realtime] > [Matching this Rule]:このルール(フロー パラメータおよびキーワード)と一致するイベントについて、CS-MARS でリアルタイム クエリーの結果を表示します。結果は 5 秒以内にスクロールを開始します。いつでも CS-MARS ウィンドウでクエリー基準を変更し、新しいパラメータを適用して、リアルタイムの結果を変更できます。

[Show Events] > [Historical] > [Matching this Rule]:CS-MARS で過去のクエリー基準ページを開きます。フィールドは、アクセル ルール(フロー パラメータおよびキーワード)に基づいて読み込まれます。必要に応じてルール パラメータとクエリー基準を編集し、[Apply] をクリックして続行します。次に、[Query] ウィンドウで、クエリーを送信するか、または保存してあとで送信したり再利用したりできます。

送信元または宛先 :アクセス ルール エントリの [Source] セルまたは [Destination] セルを右クリックした場合、ルールの送信元または宛先の IP アドレスと一致するリアルタイム イベントまたは過去のイベントを表示するように選択することもできます。

送信元または宛先アドレスのイベントを表示するには、[Source] セルまたは [Destination] セルのアドレスを右クリックし、次のコマンドのいずれかを選択します(選択するセルによってコマンドは異なります)。

[Show Events] > [Realtime] > [Matching this Source/Destination]:送信元または宛先アドレスが一致するイベントについて、CS-MARS でリアルタイム クエリーの結果を表示します。いつでも CS-MARS ウィンドウでクエリー基準を変更し、新しいパラメータを適用して、リアルタイムの結果を変更できます。

[Show Events] > [Historical] > [Matching this Source/Destination]:CS-MARS で過去のクエリー基準ページを開きます。フィールドは、アクセス ルールの送信元または宛先アドレスに基づいて読み込まれます。必要に応じてルール パラメータとクエリー基準を編集し、[Apply] をクリックして続行します。次に、[Query] ウィンドウで、クエリーを送信するか、または保存してあとで送信したり再利用したりできます。

トラフィック フローまたはアクセス ルール イベント クエリーの基準として、Security Manager から CS-MARS に次の情報が提供されます。

[Device details]:ホスト名、ドメイン名、管理 IP アドレス、表示名などのデバイスに関する一般情報。

[Source addresses]:ホストおよび IP アドレスのネットワークまたは集合を表示するために拡張されたネットワーク/ホスト オブジェクトの送信元アドレス。

[Destination addresses]:ホストおよび IP アドレスのネットワークまたは集合を表示するために拡張されたネットワーク/ホスト オブジェクトの宛先アドレス。

[Service]:プロトコルおよびポート情報。

[Event Type]:許可ルールの場合は「Built/teardown/permitted IP connection」および拒否ルールの場合は「Deny packet due to security policy」。

[Keyword](ルール イベントだけ。トラフィック フロー クエリーには提供されない):論理演算子 OR で接続された ACL 名および ACE ハッシュコード(使用可能な場合)。

バージョン 7.0 以降の PIX および ASA デバイスでは、各アクセス ルールには MD5 ハッシュコードが割り当てられます。これは、そのルールによって生成される syslog に含まれています。大規模な ACL には数千のアクセス ルールを含めることができます。クエリーのキーワードとして使用すると、これらのハッシュコードは、より正確なイベント一致を生成するのに役立ちます。デバイスでハッシュコードがサポートされていない場合、キーワードがあいまいであるためクエリー結果が不正確な可能性があるという警告が表示されます。クエリーを続行し、クエリー キーワード リストを編集して送信し直します。

ヒント:

一度に照会できるアクセス ルールは 1 つだけです。

セキュリティ デバイスで NAT または PAT が設定されている場合、送信元アドレスと宛先アドレスは変換前および変換後のアドレスにマッピングされ、Security Manager から CS-MARS にクエリーが送信されるときは変換後のアドレスが使用されます。インバウンド アクセス ルールの場合、宛先アドレスは変換前アドレスと見なされ、アウトバウンド アクセス ルールの場合、送信元アドレスは変換後アドレスと見なされます。

デバイスが複数の CS-MARS コントローラによってモニタされている場合は、使用する CS-MARS インスタンスを選択するように要求されます。

システムでのクレデンシャル検証の設定方法によっては、CS-MARS にログインするように要求される場合があります。詳細については、「Security Manager での CS-MARS サーバの登録」を参照してください。

関連項目

「アクセス ルール ページ(IPv4 または IPv6)」

「Security Manager ポリシーの CS-MARS イベントの検索」

「IPS シグニチャの CS-MARS イベントの表示」

IPS シグニチャの CS-MARS イベントの表示

着信トラフィックを設定済みのシグニチャと比較することにより、IPS または IOS IPS デバイスによってネットワーク侵入が検出およびレポートされると、デバイス上で syslog メッセージが生成されます。デバイスが CS-MARS によってモニタされている場合、シグニチャに関連付けられたログがデバイスから取得されたあと、CS-MARS でインシデントが生成されます。特定のシグニチャに関連付けられたイベントを検索すると、攻撃を迅速に識別し、デバイス設定を調整して侵入を最小限に抑えるか、または防止できます。

レポートされたネットワーク侵入イベントを CS-MARS で表示するには、Security Manager のデバイスの Signatures ポリシーで 1 つ以上のエントリを選択し、CS-MARS の [Query] ページにナビゲートしてリアルタイム イベントおよび過去のイベントを表示します。

シグニチャのリアルタイム イベントを検索すると、クエリーが自動的に実行され、結果が CS-MARS に表示されます。ただし、シグニチャの過去のイベントを検索すると、Security Manager から CS-MARS に送信される値が、クエリー フィールドへの読み込みに使用されます。必要に応じてクエリー フィールドを変更し、クエリーを実行するか、あとで使用するために保存できます。

クエリー基準として、Security Manager から CS-MARS に次のシグニチャ情報が提供されます。

[Device details]:ホスト名、ドメイン名、管理 IP アドレス、表示名などのデバイスに関する一般情報。

[Keyword]:シグニチャ ID、サブシグニチャ ID、および仮想センサー名(該当する場合)。

仮想センサーの場合、センサーの名前がキーワード基準として他のデバイス情報およびシグニチャ パラメータとともに含まれます。

関連項目

「Security Manager ポリシーの CS-MARS イベントの検索」

「アクセス ルールの CS-MARS イベントの表示」


ステップ 1 (デバイス ビュー)IPS または IOS IPS デバイスを選択して、[IPS] > [Signatures] > [Signatures] を選択し、「[Signatures] ページ」を表示します。

ステップ 2 シグニチャ テーブルで目的のエントリを右クリックするか、または複数のエントリを選択してそのうちの 1 つを右クリックし、[Show Events] メニューから次のコマンドのいずれかを選択します。

[Realtime]:このシグニチャと一致するイベントについて CS-MARS でリアルタイム クエリーの結果を表示します。5 秒以内にこの結果のスクロールが開始されます。CS-MARS へのストリーミング中の未処理イベントを表示するには、このオプションを使用します。

いつでも CS-MARS の [Query Results] ウィンドウでクエリー基準を変更し、新しいパラメータを適用して、リアルタイムの結果を変更できます。

[Historical]:CS-MARS で過去のクエリー基準ページを開きます。フィールドは、シグニチャ パラメータに基づいて読み込まれます。必要に応じてパラメータとクエリー基準を編集し、[Apply] をクリックして続行します。次に、[Query] ウィンドウで、クエリーを送信するか、または保存してあとで送信したり再利用したりできます。クエリーは編集でき、あとで再度実行する場合はレポートとして保存できます。

ヒント:

シグニチャがディセーブルの場合、警告が表示され、イベント検索に進むかどうかが確認されます。

デバイスが複数の CS-MARS コントローラによってモニタされている場合は、使用する CS-MARS インスタンスを選択するように要求されます。

システムでのクレデンシャル検証の設定方法によっては、CS-MARS にログインするように要求される場合があります。詳細については、「Security Manager での CS-MARS サーバの登録」を参照してください。

カスタム シグニチャはすべて、CS-MARS では「Unknown Device Event Type」イベントとして分類されます。

IPS デバイスを Security Manager インベントリに追加するとき、または設定済みの IPS ポリシーをデバイスから削除するときに、IPS ポリシーを検索しない場合は、デフォルトのシグニチャがデバイスに割り当てられます。デフォルトのシグニチャからイベントを検索しようとすると、「Policy not found」というエラー メッセージが表示されます。ただし、デフォルトのシグニチャを編集して保存すると、CS-MARS で関連するイベントを照会できます。

タイプが Packet Data および Context Data のイベントはシグニチャ ルールによってトリガーされないため、これらのイベントはクエリー結果に表示されません。


 

CS-MARS イベントからの Security Manager ポリシーの検索

User Guide for Cisco Security MARS Local and Global Controllers 』には、CS-MARS に表示されているイベントに基づいてポリシーを検索する方法に関する詳細情報が記載されています。この情報には、起こりうる問題を解決するのに役立つ広範なトラブルシューティング情報と、相互作用をイネーブルにするために CS-MARS で設定する必要がある項目のチェックリストが含まれています。

ポリシー検索を実行する主な理由は、ポリシーが生成しているイベントに基づいてポリシーを調整することです。たとえば、アクセス ルールにより、実際には許可すべきトラフィックがドロップされることがあります。イベントが表示中であるため、そのイベントを発生させているポリシーがあることがわかります。数回のクリックで、そのイベントから再設定する必要があるポリシーにたどり着くことができます。

デバイスで生成されたイベントに基づいてポリシーを検索するための一般的なプロセスは次のとおりです。ポリシー検索を実行するには、Security Manager クライアントがシステムにインストールされている必要があることに注意してください。

関連項目

「アクセス ルールの CS-MARS イベントの表示」

「IPS シグニチャの CS-MARS イベントの表示」


ステップ 1 CS-MARS の [Query Results] または [Incident Details] ページでイベントを検索します。

アクセス ルールの照会に使用できる syslog および NetFlow イベントの詳細については、次の項を参照してください。

「ポリシー検索に対してサポートされるシステム ログ メッセージ」

「CS-MARS での NetFlow イベント レポート」

ステップ 2 イベントの [Reporting Device] セルにある [Security Manager] アイコンをクリックします。CS-MARS の設定によっては、Security Manager へのログインを求められる場合があります。

Security Manager で複数のデバイスがイベントの特性と一致する場合は、デバイスを選択するように求められます。

ステップ 3 詳細情報が Security Manager から取得され、イベントがアクセス ルールに関するものか、または IPS シグニチャに関するものかに応じて表示されます。

アクセル ルール :アクセス ルールが CS-MARS の読み取り専用ウィンドウに表示され、イベントと一致するルールが強調表示されます。

ルールを編集する場合は、ルール番号をクリックします。Security Manager クライアントの Access Rule ポリシーにルールが表示されます。ルールを編集して保存し、設定を展開できます。変更内容を展開するまで、デバイスに対して変更は行われません。

アクセス ルールの設定の詳細については、「アクセス ルールの設定(IPv4 または IPv6)」を参照してください。

IPS シグニチャ :シグニチャ詳細が CS-MARS の読み取り専用ウィンドウに表示されます。

シグニチャを編集するには、[Edit Signature] をクリックします。Signatures ポリシーにシグニチャが表示され、変更できるようになります。詳細については、「シグニチャ パラメータの編集(シグニチャの調整)」を参照してください。

特定のアクションをイベントから削除するか、またはイベントを完全に削除してセンサーが処理できないようにする場合は、[Add Filter] をクリックします。Security Manager で [Add Event Filter] ダイアログボックスが開き、イベント フィルタを設定できます。詳細については、「[Add Filter Item]/[Edit Filter Item] ダイアログボックス」を参照してください。

アクセス ルールと同様に、変更内容は、新しい設定を展開するまで有効になりません。


 

ポリシー検索に対してサポートされるシステム ログ メッセージ

セキュリティ アプライアンスおよび IOS デバイスでアクセス ルールを設定するときに、「[Advanced]/[Edit Options] ダイアログボックス」で、システム ログ(syslog)メッセージを生成するロギング オプションを設定できます。複数のコンテキストを持つデバイスでは、各セキュリティ コンテキストに独自のロギング設定が含まれ、独自のメッセージが生成されます。Security Manager が CS-MARS と相互に機能するように設定されている場合、これらのメッセージは CS-MARS にレポートされ、レポートされた情報をルールごとに照会できます。

これらのメッセージ ID の詳細については、該当する製品マニュアルの『System Message Guide』を参照してください。

セキュリティ アプライアンス メッセージ

セキュリティ アプライアンス syslog メッセージはパーセント記号(%)で始まり、その構造は次のとおりです。

%{ASA | PIX | FWSM}-Level-Message_number: Message_text
 

次に例を示します。

%ASA-2-302013: Built outbound TCP connection 42210
for outside:9.1.154.12/23 (9.1.154.12/23) to inside:2.168.154.12/4402 (192.168.154.12/4402)
 

これらのメッセージの前に追加情報(日付やタイムスタンプなど)が付加されることに注意してください。具体的な追加情報は、デバイスのタイプによって異なります。

各メッセージは一意の 6 桁の数字(前の例では 302013 )によって識別されます。Security Manager から CS-MARS へのクエリーでは、次のセキュリティ アプライアンス syslog メッセージ ID がサポートされます。セキュリティ アプライアンスのロギング レベルを変更した場合、これらのメッセージは新しいレベルで生成されます。

メッセージ ID
メッセージ

106023

IP パケットがアクセス ルールによって拒否されました。このメッセージは、ルールに対してロギングがイネーブルにされていない場合でも記録されます。これは、デフォルトのロギング オプションです。

106100

IP パケットがアクセス ルールによって許可または拒否されました。「[Advanced]/[Edit Options] ダイアログボックス」でルールに対して定義されているロギング レベルに基づいて、追加情報が提供されます。

302013

2 つのホスト間の TCP 接続が確立されました。

302014

2 つのホスト間の TCP 接続がティアダウンされました。

302015

2 つのホスト間の UDP 接続が確立されました。

302016

2 つのホスト間の UDP 接続がティアダウンされました。

302020

2 つのホスト間の ICMP 接続が確立されました。

302021

2 つのホスト間の ICMP 接続がティアダウンされました。

ルータ メッセージ

Cisco IOS ルータでも、アクセス ルールに対して syslog メッセージが生成されます。アクセス リストをトリガーする最初のパケットによって、即座にロギング メッセージが生成され、後続パケットは表示または記録されるまで 5 分間隔で収集されます。各ロギング メッセージには、アクセス リスト番号、パケットが許可されたか拒否されたか、パケットの送信元 IP アドレス、および前の 5 分間隔で許可または拒否されたその送信元からのパケットの数が含まれます。

Security Manager から CS-MARS へのクエリーでは、次の IOS syslog メッセージ ID がサポートされます。

%SEC-6-IPACCESSLOGP

特定のアクセス リストのログ基準と一致するパケットが検出されました(TCP および UDP)。

%SEC-6-IPACCESSLOGS

特定のアクセス リストのログ基準と一致するパケットが検出されました(IP アドレス)。

%SEC-6-IPACCESSLOGDP

特定のアクセス リストのログ基準と一致するパケットが検出されました(ICMP)。

%SEC-6-IPACCESSLOGNP

特定のアクセス リストのログ基準と一致するパケットが検出されました(その他のすべての IPv4 プロトコル)。


) 過剰な数の syslog が生成されて CS-MARS にレポートされている場合は、「[Advanced]/[Edit Options] ダイアログボックス」を使用して、最も多くのメッセージを生成しているアクセス ルールのロギング レベルを変更します。生成されるメッセージのタイプを制限するために、デバイスのロギング ポリシーの変更を考慮することもできます。


CS-MARS での NetFlow イベント レポート

CS-MARS でのイベント レポートに、ASA 8.1+ デバイスからの NetFlow イベントを含めることができます。

NetFlow Security Event Logging では、高性能環境でセキュリティ テレメトリを効率的に配信するために、NetFlow バージョン 9 のフィールドおよびテンプレートが使用されます。NetFlow Security Event Logging は、syslog メッセージングよりも拡張性が高く、記録されるイベントについて同様に詳細な情報を提供します。ASA NetFlow 実装では、定期的な間隔でフローに関するデータがエクスポートされるのではなく、フローの寿命の中で重大なイベントだけがエクスポートされます。次のフロー イベントがエクスポートされます。

フロー作成

フロー ティアダウン

アクセス ルールによって拒否されたフロー

ASA は syslog メッセージもエクスポートしますが、これには同じ情報が含まれています。デバイスで NetFlow をイネーブルにする場合、同等の syslog メッセージをディセーブルにすることを検討できます。同等の syslog メッセージをディセーブルにすると、同じイベントを表す NetFlow レコードと syslog メッセージの両方を生成および処理することによりパフォーマンスが低下する可能性を回避できます。次の表に、syslog メッセージおよび同等の NetFlow イベントを示します。NetFlow イベント ID および拡張イベント ID も示します。NetFlow と同等の syslog メッセージをディセーブルにする方法については、「[Server Setup] ページ」を参照してください。

syslog ID
syslog の説明
NetFlow イベント ID
拡張イベント ID

302013
302015
302017
302020

TCP、UDP、GRE、および ICMP 接続の確立。

1 = フロー作成

0 = 無視

302014
302016
302018
302021

TCP、UDP、GRE、および ICMP 接続のティアダウン。

2 = フロー削除

0 = 無視、または
> 2000 = ASP ドロップ理由

710003

デバイスのインターフェイスへの接続の試みが拒否されました。

3 = フロー拒否

1003 = 設定により To-the-box フローが拒否されました。

106015

最初のパケットが SYN パケットではなかったため、TCP フローが拒否されました。

3 = フロー拒否

1004 = 最初のパケットが TCP SYN パケットではなかったため、フローが拒否されました。

313001

デバイスへの ICMP パケットが拒否されました。

3 = フロー拒否

1003 = 設定により To-the-box フローが拒否されました。

313008

デバイスへの ICMP v6 パケットが拒否されました。

3 = フロー拒否

1003 = 設定により To-the-box フローが拒否されました。

106023

アクセス グループ コマンドでインターフェイスに付加されたアクセス リストによってフローが拒否されました。

3 = フロー拒否

1001 - 入力 ACL によってフローが拒否されました。
1002 - 出力 ACL によってフローが拒否されました。

106100

アクセス ルールがヒットしました。

1 = フロー作成(ACL によってフローが許可された場合)
3 = フロー拒否(ACL によってフローが拒否された場合)

0 - ACL によってフローが許可された場合。
1001 - 入力 ACL によってフローが拒否されました。
1002 - 出力 ACL によってフローが拒否されました。

Flow Denied NetFlow イベントの場合、次の表に示すように、拡張イベント ID によって拒否の理由が示されます。

拡張イベント ID
イベント
説明

1001

フロー拒否

フローが入力 ACL によって拒否されました。

1002

フロー拒否

フローが出力 ACL によって拒否されました。

1003

フロー拒否

インターフェイス サービスへの接続の試みがセキュリティ アプライアンスによって拒否されました。たとえば、このメッセージは、セキュリティ アプライアンスが、権限のない SNMP 管理ステーションからの SNMP 要求を受信したときに(サービス SNMP とともに)表示されます。

1004

フロー拒否

最初のパケットが TCP SYN パケットではなかったため、フローが拒否されました。

> 2000

フロー削除

2000 を超える値は、フローが終了したさまざまな理由を表します。