Management Center for IDS Sensors 2.0 ユーザ ガイド
IDS MC のトラブルシューティ ング
IDS MC のトラブルシューティング
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

IDS MC のトラブルシューティング

CiscoWorks デスクトップが起動しない

Security Monitor でのアラームの表示に失敗する

IDS MC 2.0 および Security Monitor 2.0 用のポストアップグレード インストレーション ノート

IDS MC のトラブルシューティング

CiscoWorks デスクトップが起動しない場合は、「CiscoWorks デスクトップが起動しない」でトラブルシューティングの手順を参照してください。

Security Monitor でアラームを受信しているはずの場合に、アラームが受信されない場合は、「Security Monitor でのアラームの表示に失敗する」を参照してください。

IDS Sensor ソフトウェアのアップデートに問題が発生している場合は、「NTP サーバの識別」を参照してください。そこで示されている手順がトラブルシューティングに役立つ可能性があります。

データベース用のディスク スペースを増やす必要がある場合の解決案については、「Sybase データベース .log ファイルの切り捨て」を参照してください。

IOS IPS 暗号コンフィギュレーションのアップデートに問題が発生している場合は、tftp サーバが動作していないか、tftp ディレクトリに十分な権限がない可能性があります。解決案については、「IOS IPS 暗号コンフィギュレーションのアップデート」を参照してください。

SSH キーに関する問題が発生している場合は、次の特殊なケースがあることに注意してください。特定の Sensor をマスター ブロッキング Sensor として使用する場合、その Sensor では SSH キーを使用できません。

IDS MC 1.2.3 から IDS MC 2.0 にアップグレードした場合は、アップグレード インストレーション ノートが適用されます。「IDS MC 2.0 および Security Monitor 2.0 用のポストアップグレード インストレーション ノート」を参照してください。

Management Center for IDS Sensors(IDS MC)の GUI で ACL を入力している場合は、次の点に注意してください。


) IOS IPS Rules ページまたは IOS IPS Filters ページで ACL を入力しても、ACL の名前または番号が特定されるだけで、ACL は作成されません。ACL を作成するには、設定している IOS IPS デバイスでコマンドラインを使用します。ACL の名前または番号を入力してコンフィギュレーションを展開しても、対応する ACL がルータに存在しない場合、このコマンドは無効です。



) IOS IPS Port Mapping ページで ACL を入力しても、ACL 番号が特定されるだけで、ACL は作成されません。ACL を作成するには、設定している IOS IPS デバイスでコマンドラインを使用します。ACL 番号を入力してコンフィギュレーションを展開しても、対応する ACL がルータに存在しない場合、このコマンドは無効です。


IOS IPS デバイスの初期展開中にエラー メッセージが表示される場合は、その IOS IPS デバイスで利用可能なメモリを超過した可能性があります。詳細については、Cisco Software Bug Toolkit または IDS MC 用のリリース ノートで CSCsa22185 の箇所を参照してください。

IDS MC または Monitoring Center for Security(Security Monitor)へのデバイスの追加に関して問題がある場合、次の情報で解決できる可能性があります。デバイスだけでなく、サーバの Sensor ソフトウェア バージョンとシグニチャ リリース レベルが適切にアップデートされていることを確認します。その理由は、特定の Sensor が最新でもサーバが最新でない場合、デバイスを追加できないからです。

CiscoWorks デスクトップが起動しない

このトラブルシューティング手順は、CiscoWorks Server をインストールした後で、Cisco IDS Event Viewer をインストールし、その後 CiscoWorks デスクトップが起動しなくなった場合に役に立ちます。


) この手順は、4.0 以前の Sensor のソフトウェア バージョンの一部である Cisco IDS Event Viewer に適用されます。


Cisco IDS Event Viewer は、IDS MC に関連していません。また、CiscoWorks Server も使用していません。Cisco IDS Event Viewer と IDS MC の両方をインストールして使用したい場合は、相互運用性に関係なく、通常の条件で、使用できます。しかし、Cisco IDS Event Viewer を先にインストールする必要があります。これを行わない場合、Cisco IDS Event Viewer の Java Runtime Environment(JRE)と CiscoWorks Server で使用する Java Plug-in の JRE の間で競合が発生します。

Cisco IDS Event Viewer は、JRE 1.3.0 を使用(およびインストール)します。プラグインは、JRE 1.3.1 を使用(およびインストール)します。

CiscoWorks デスクトップが起動しない場合は、次の手順を実行します。


ステップ 1 CiscoWorks デスクトップが起動しないホストに移動します。これは、Web クライアントとして使用しているホストです。

ステップ 2 CiscoWorks Server をインストールした後、Cisco IDS Event Viewer をインストールしたことを確認します。その場合、または分からない場合は、次の手順を行います。それ以外の場合は、別の手順を行います。

ステップ 3 Windows 2000 で、 Start > Settings > Control Panel > System を選択します。

ステップ 4 Advanced をクリックします。

ステップ 5 Environment Variables をクリックします。

ステップ 6 Path 変数からの次のディレクトリを削除します。 ÅuProgram Files\Cisco Systems\Cisco IDS Event Viewer\JRE\binÅv

これで、Cisco IDS Event Viewer の JRE と CiscoWorks Server で使用している Java Plug-in の JRE の間の競合は解消しました。インストールに関してほかに問題がなければ、CiscoWorks デスクトップは起動します。


ヒント Path 変数から指定したディレクトリを削除した後、ホスト コンピュータを再起動する必要はありません。



 

Security Monitor でのアラームの表示に失敗する

Security Monitor でアラームを受信しているはずの場合に、アラームが受信されない場合、次の手順で問題を解決できる可能性があります。この手順は、Security Monitor および IDS MC で使用している 4.x Sensor に適用されます。

データベースにアラームがあるかどうかを判別します。判別するには、コマンド ウィンドウで「IdsAlarms」を実行します。

Security Monitor でアラームを受信しているはずの場合に、アラームが受信されない場合は、次の手順を実行します。


ステップ 1 IdsAlarms を実行した結果、データが出力されない場合は、データベースにデータがありません。データベースにアラームがない場合、通信上の問題である可能性があります。次のサブステップは、その問題に対処することを目的とするものです。

a. Sensor のスニファ インターフェイスがイネーブルになっていることを確認します。

b. Security Monitor サーバが Sensor と通信できることを確認します。接続が確立された後に検出されたイベントだけが表示されることに注意してください。

c. Sensor のイベント サーバが動作していることを確認します。

d. IDS MC で、目的のシグニチャが少なくとも 1 つはイネーブルであること、および接続が確立されてからイベントが少なくとも 1 つは検出されていることを確認します。

e. 「minimum event severity」設定を調べて、Sensor で表示されているイベントに、それ以上の重大度があることを確認します。

f. IDS_Receiver.log ファイルでエラー メッセージを調べます。

ステップ 2 IdsAlarms を実行した結果、データが出力される場合は、データベースにデータがあります。データベースにアラームがありながらアラームが受信されない場合、Event Viewer の問題である可能性があります。次のサブステップは、その問題に対処することを目的とするものです。

a. IDS_EvsServer.log ファイルを調べます。


 

IDS MC 2.0 および Security Monitor 2.0 用のポストアップグレード インストレーション ノート

このポストアップグレード インストレーション ノートは、次の条件を 2 つとも満たしている場合に適用されます。

1. IDS MC 1.2.3 から IDS MC 2.0 にアップグレードしているか、Security Monitor 1.2.3 から Security Monitor 2.0 にアップグレードしている。アップグレード インストールではなく、新規のインストール(「クリーン」インストールとも呼ばれる)を実行している場合、この条件は適用されません。

2. Cisco Secure Access Control Server(CSACS または ACS)を使用してユーザ アカウントを定義している。

IDS MC 2.0 または Security Monitor 2.0 をインストールした後、アップグレード インストレーションを確実に適切な状態にするには、次の手順を実行します。


ステップ 1 IDS MC をインストールした場合は、ACS の Shared Profile Components ページで、IDS MC 用の Help Desk コマンド セットを選択し、削除します。

ステップ 2 Security Monitor をインストールした場合も、ACS の Shared Profile Components ページで、Security Monitor 用の Help Desk コマンド セットを選択し、削除します。

ステップ 3 IDS MC をインストールした場合は、VPN/Security Management Solution の AAA server ページで、IDS MC を登録します。

ステップ 4 Security Monitor をインストールした場合も、VPN/Security Management Solution の AAA server ページで、Security Monitor を登録します。