[an error occurred while processing this directive]
日本語マニュアル一覧
セキュリティ/VPN
Cisco IDS/IPS
Cisco Intrusion Prevention System 5.0 コマンド リファレンス
はじめに
このマニュアルについて
表一覧
CLI の概要
使用可能なコマンド
非推奨コマンドおよびコマンドとプラットフォームの依存関係
CLI エラー メッセージ
用語集

セキュリティ/VPN
Cisco Intrusion Prevention System 5.0 コマンド リファレンス

この章では、IPS 5.0 のコマンドをアルファベット順に示します。

次の項があります。

banner login
clear denied-attackers
clear events
clear line
clock set
configure
copy
display-serial
downgrade
end
erase
exit
iplog
iplog-status
more
more begin
more exclude
more include
packet
password
ping
privilege
recover
reset
service
setup
show begin
show clock
show configuration
show events
show exclude
show history
show include
show interfaces
show inventory
show privilege
show settings
show ssh authorized-keys
show ssh server-key
show ssh host-keys
show statistics
show tech-support
show tls-fingerprint
show tls trusted-hosts
show users
show version
ssh authorized-key
ssh generate-key
ssh host-key
terminal
tls generate-key
tls trusted-host
trace
upgrade
username

banner login

端末画面に表示するバナー メッセージを作成するには、グローバル構成モードで banner login コマンドを使用します。ログイン バナーを削除するには、このコマンドの no 形式を使用します。バナー メッセージは、ユーザが CLI にアクセスしたときに、ユーザ名プロンプトとパスワード プロンプトの前に表示されます。

banner-login

no banner-login

構文説明

引数

CLI にログインする前に表示されるテキスト。メッセージの最大長は 2500 文字です。改行または疑問符(?)を入力する場合は、その前にキーストローク Ctrl+V を入力する必要があります。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

グローバル構成

管理者

コマンド履歴

リリース

修正

5.0

このコマンドを導入。

使用上のガイドライン

banner login コマンドによって、端末画面に表示される 2500 文字までのテキスト メッセージを作成できます。このメッセージは、CLI にアクセスしたときに表示されます。 Ctrl+V を入力してから改行または疑問符(?)を入力することによって、改行または疑問符をメッセージに含めることができます。改行は、作成したテキスト メッセージでは ^M と表示されますが、ユーザに対してメッセージが表示されるときは、実際の改行として表示されます。

Message プロンプトで Ctrl+C を入力すると、メッセージの要求がキャンセルされます。

このコマンドの形式は、IOS 12.0 の実装とは異なります。

次の例は、ログイン時に端末画面に表示されるメッセージを作成します。

sensor(config)# banner login

Banner[]: This message will be displayed on login. ^M Thank you!

ログイン時に、次のメッセージが表示されます。

This message will be displayed on login.

Thank you!

password:

clear denied-attackers

現在の拒否 IP アドレスのリストを削除するには、特権 EXEC モードで clear denied-attackers を使用します。

clear denied-attackers

構文説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者

コマンド履歴

リリース

修正

5.0

このコマンドを導入。

使用上のガイドライン

clear denied-attackers コマンドによって、拒否する攻撃者のリストをクリアし、以前拒否した IP アドレスとの通信を復元できます。このリストの IP アドレスを個別に選択し、削除することはできません。拒否する攻撃者のリストをクリアすると、リストからすべての IP アドレスが削除されます。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、拒否する攻撃者のリストからすべての IP アドレスを削除します。

sensor# clear denied-attackers

Warning: Executing this command will delete all addresses from the list of attackers currently being denied by the system.

Continue with clear? []: yes

sensor#

関連コマンド

コマンド

説明

show statistics denied-attackers

拒否する攻撃者のリストを表示します。

clear events

イベント ストアをクリアするには、特権 EXEC モードで clear events コマンドを使用します。

clear events

構文説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

このコマンドを使用すると、イベント ストアからすべてのイベントをクリアできます。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、イベント ストアをクリアします。

sensor# clear events

Warning: Executing this command will remove all events currently stored in the event store.

Continue with clear? []: yes

sensor#

clear line

別の CLI セッションを終了するには、特権 EXEC モードで clear line コマンドを使用します。

clear line cli-id [message]

構文説明

cli-id

ログイン セッションに関連付けられている CLI ID 番号。 show users コマンドを参照してください。

message

選択した場合、受信するユーザに送信するメッセージを要求するプロンプトが表示されます(オプション)。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

コマンド履歴

リリース

修正

5.0

このコマンドを導入。

管理者、オペレータ、ビューア

オペレータとビューアは、現在のログインと同じユーザ名の回線のみをクリアできます。

使用上のガイドライン

clear line コマンドを使用して、別の回線で実行中の特定のセッションをログアウトさせます。終了しようとするログイン セッションの端末に表示するオプションのメッセージを含めるには、 message キーワードを使用します。

clear line コマンドを使用して、サービス アカウント ログインをクリアすることはできません。

message キーワードは、このコマンドの IOS 12.0 ではサポートされていませんでした。

次の例は、最大セッション数に達した後、管理者権限を持つユーザがログインしようとしたときに表示される出力を示します。

Error: The maximum allowed CLI sessions are currently open, would you like to terminate one of the open sessions? [no] yes

CLI ID User Privilege

1253 admin1 administrator

1267 cisco administrator

1398 test operator

Enter the CLI ID to clear: 1253

Message: Sorry! I need access to the system, so I am terminating your session.

sensor#

次の例は、admin1 の端末に表示されるメッセージを示します。

sensor#

***

***

Termination request from Admin0

***

Sorry! I need access to the system, so I am terminating your session.

次の例は、最大セッション数に達した後、オペレータまたはビューア権限を持つユーザがログインしようとしたときに表示される出力を示します。

Error: The maximum allowed CLI sessions are currently open, please try again later.

関連コマンド

コマンド

説明

show users

CLI にログインしているユーザに関する情報を表示します。

clock set

アプライアンスのシステム クロックを手動で設定するには、特権 EXEC モードで clock set コマンドを使用します。

clock set hh:mm[:ss] month day year

構文説明

hh:mm[:ss]

時(24 時形式)、分、および秒形式の現在時間

month

現在月(月名)

day

月の現在日(日)

year

現在年(省略なし)

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

次の場合、システム クロックを設定する必要はありません。

システムが、NTP または VINES クロック ソースなど、有効な外部タイミング機構と同期化されている場合
カレンダ機能を持つルータを使用している場合

その他の時刻源を使用できない場合に、 clock set コマンドを使用します。このコマンドで指定する時間は、設定した時間帯での相対時間です。

次の例は、システム クロックを手動で 2002 年 7 月 29 日午後 1 時 32 分に設定します。

sensor# clock set 13:32 July 29 2002

sensor#

configure

グローバル構成モードに入るには、特権 EXEC モードで configure terminal コマンドを使用します。

configure terminal

構文説明

terminal

ターミナルから構成コマンドを実行します。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ、ビューア

使用上のガイドライン

configure terminal コマンドを実行すると、グローバル構成モードにすることができます。

次の例は、モードを特権 EXEC モードからグローバル構成モードに変更します。

sensor# configure terminal

sensor(config)#

copy

IP ログおよび構成ファイルをコピーするには、特権 EXEC モードで copy コマンドを使用します。

copy [/ erase ] source-url destination-url

copy iplog log-id destination-url

構文説明

/ erase

コピーする前に宛先ファイルを消去します。このキーワードは現行の構成だけに適用され、バックアップ構成は常に上書きされます。このキーワードが宛先の現行の構成に対して指定されると、ソース構成がシステムのデフォルト構成に適用されます。宛先の現行の構成に対して指定されない場合、ソース構成は現行の構成とマージされます。(オプション)。

source-url

コピーされるソース ファイルの場所。URL またはキーワードが一般的です。

destination-url

コピーされる宛先ファイルの場所。URL またはキーワードが一般的です。

log-id

コピーするファイルのログ ID。 iplog-status コマンドを使用して、log-id を取得します。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ( copy iplog または packet-file のみ)、ビューア( copy iplog または packet-file のみ)

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

ソースおよび宛先 URL の正確なフォーマットは、ファイルにより異なります。次の有効なタイプがサポートされています。

プレフィックス

ソースまたは宛先

ftp:

FTP ネットワーク サーバのソースまたは宛先 URL。このプレフィックスの構文は、次のとおりです。
ftp:[//[username@] location]/relativeDirectory]/filename
ftp:[//[username@]location]//absoluteDirectory]/filename

scp:

SCP ネットワーク サーバのソースまたは宛先 URL。このプレフィックスの構文は、次のとおりです。
scp:[//[username@] location]/relativeDirectory]/filename
scp:[//[username@] location]//absoluteDirectory]/filename

http:

Web サーバのソース URL。このプレフィックスの構文は、次のとおりです。
http:[//[username@]location]/directory]/filename
ソース URL のみを使用できます。

https:

Web サーバのソース URL。このプレフィックスの構文は、次のとおりです。

https:[[//username@]location]/directory]/filename

ソース URL のみを使用できます。

センサーのファイルの場所を指定するには、キーワードを使用します。次のファイルがサポートされています。

キーワード

ソースまたは宛先

current-config

現在実行中の構成。この構成は、IOS 12.0 の場合と異なり、コマンドが入力されると永続になります。ファイル フォーマットは CLI コマンドです。

backup-config

構成バックアップの保管場所。ファイル フォーマットは CLI コマンドです。

iplog

システムに組み込まれている iplog。IP ログはログ ID を基に検索されます。 iplog-status コマンドの出力を参照してください。IP ログはバイナリで保存され、ログ ビューアで表示されます。

license-key

加入ライセンス ファイル。

packet-file

packet capture コマンドを使用してキャプチャされ、ローカルに保管されている libpcap ファイル。

選択したプロトコルが FTP または SCP の場合、パスワードのプロンプトが表示されます。FTP セッションにパスワードが必要でない場合は、何も入力しないで Return キーを押します。

コマンド ラインですべての必要なソースおよび宛先 URL 情報とユーザ名を入力するか、または copy コマンドを入力して、不足している情報をセンサーからプロンプトで要求させることができます。

システム センシング インターフェイスと仮想センサーの構成が異なる別のセンサーから構成ファイルをコピーすると、エラーが発生することがあります。

IOS バージョン 12.0 の copy コマンドはさらに柔軟性があり、異なる宛先間でコピーできます。

次の例は、IP アドレスが 10.1.1.1 のセンサーのディレクトリ/ファイル名 ~csidsuser/configuration/cfg から現行の構成にファイルをコピーします。ディレクトリとファイルは、csidsuser のホーム アカウントからの相対パスです。

sensor# copy scp://csidsuser@10.1.1.1/configuration/cfg current-config

Password: *******

WARNING: Copying over the current configuration may leave the box in an unstable state.

Would you like to copy current-config to backup-config before proceeding? [yes]:

csidsuser@10.1.1.1's password:

cfg 100% |*********************************************************************| 36124 00:00

sensor#

次の例は、IP アドレスが 10.1.1.1 のセンサーのディレクトリ/ファイル名 ~csidsuser/iplog12345 に ID 12345 の iplog をコピーします。ディレクトリとファイルは、csidsuser のホーム アカウントからの相対パスです。

sensor# copy iplog 12345 scp://csidsuser@10.1.1.1/iplog12345

Password: *******

iplog 100% |*********************************************************************|

36124 00:00

sensor#

関連コマンド

コマンド

説明

iplog-status

使用可能な IP ログの内容の説明を表示します。

more

論理ファイルの内容を表示します。

packet

インターフェイス上のライブ トラフィックを表示またはキャプチャします。

display-serial

すべての出力をシリアル接続に転送するには、グローバル構成モードで display serial コマンドを使用します。 no display-serial コマンドを使用すると、ローカル端末への出力をリセットします。

display-serial

no display-serial

構文説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトの設定は、no display-serial です。

コマンド モード

EXEC

管理者、オペレータ

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

display-serial コマンドによって、ブート処理中にリモート コンソール(シリアル ポートを使用)でシステム メッセージを参照できます。このオプションが有効である限り、ローカル コンソールは使用できません。シリアル ポートに接続したときに、このオプションが設定されていないと、Linux が完全に起動してシリアル接続のサポートが有効になるまで、フィードバックを得られません。

次の例は、出力をシリアル ポートにリダイレクトします。

sensor(config)# display-serial

sensor(config)#

downgrade

最新のアップグレードを削除するには、グローバル構成モードで downgrade コマンドを使用します。

downgrade

構文説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

グローバル構成

管理者

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

次の例は、システムから最新のアップグレードを削除します。

sensor(config)# downgrade

Warning: Executing this command will reboot the system and downgrade to IDS-K9-sp-4.1-4-S91.rpm. Configuration changes made since the last upgrade will be lost and the system may be rebooted.

Continue with downgrade?: yes

sensor#

downgrade コマンドが使用できない場合(たとえば、アップグレードが適用されていない場合)、次のメッセージが表示されます。

sensor# downgrade

Error: No downgrade available

sensor#

関連コマンド

コマンド

説明

show version

すべてのインストール済み OS パッケージ、シグニチャ パッケージ、およびシステムで実行中の IPS プロセスのバージョン情報を表示します。

end

構成モードまたは構成サブモードを終了するには、グローバル構成モードで end コマンドを使用します。このコマンドは、最上位の EXEC メニューに戻ります。

end

構文説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

すべてのモード

管理者、オペレータ、ビューア

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

次の例は、構成およびインターフェイス構成サブモードの終了方法を示します。

sensor# configure terminal

sensor(config)# interface fastethernet 0/0

sensor(config-if)# end

sensor#

erase

論理ファイルを削除するには、特権 EXEC モードで erase コマンドを使用します。

erase { backup-config | current-config | packet-file }

構文説明

backup-config

現在実行中の構成。この構成は、IOS 12.0 の場合と異なり、コマンドが入力されると永続になります。ファイル フォーマットは CLI コマンドです。

current-config

構成バックアップの保管場所。ファイル フォーマットは CLI コマンドです。

packet-file

packet capture コマンドを使用してキャプチャされ、ローカルに保管されている libpcap ファイル。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

このコマンドの IOS 12.0 バージョンでは、ファイル システム全体を削除できました。IPS では、この概念はサポートされません。

次の例は、現行の構成ファイルを削除してすべての設定をデフォルトに戻します。このコマンドは、センサーのリブートを必要とする場合があります。

sensor# erase current-config

Warning: Removing the current-config file will result in all configuration being reset to default, including system information such as IP address.

User accounts will not be erased. They must be removed manually using the "no username" command.

Continue? []: yes

sensor#

exit

構成モードを終了、またはアクティブなターミナル セッションを閉じて、特権 EXEC モードを終了するには、 exit コマンドを使用します。

exit

構文説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

すべてのモード

管理者、オペレータ、ビューア

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

exit コマンドを使用すると、直前のメニュー レベルに戻ります。中に含まれるサブモードで変更を行った場合、変更を適用するかどうかを尋ねられます。no を選択すると、親サブモードに戻ります。

次の例は、直前のメニュー レベルに戻る方法を示します。

sensor# configure terminal

sensor(config)# exit

sensor#

iplog

仮想センサーの IP ロギングを開始するには、特権 EXEC モードで iplog コマンドを使用します。このコマンドの no 形式を使用すると、仮想センサーのすべてのロギング セッション、log-id に基づく特定のロギング セッション、またはすべてのロギング セッションがディセーブルになります。

iplog name ip-address [ duration minutes ] [ packets numPackets ] [ bytes numBytes ]

no iplog [ log-id log-id | name name ]

構文説明

name

ロギングを開始および終了する仮想センサー。

ip-address

指定された IP アドレスが含まれるログ パケットのみをロギングします。パラメータの詳細については、 setup コマンドを参照してください。

minutes

ロギングがアクティブな期間(分単位)。有効範囲は 1 〜 60 です。デフォルトは 10 分です。

numPackets

ロギングするパケットの合計数。有効範囲は 0 〜 4294967295 です。デフォルトは 1000 パケットです。値 0 は、無制限を意味します。

numBytes

ロギングする合計バイト数。有効範囲は 0 〜 4294967295 です。値 0 は、無制限を意味します。

log-id

停止するロギング セッションのログ ID。ログ ID は、 iplog-status コマンドを使用することで取得できます。

デフォルト

「構文説明」の表を参照してください。

コマンド モード

EXEC

管理者、オペレータ

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

パラメータを設定しないでこのコマンドを no 形式で使用すると、すべてのロギングが停止します。

期間、パケット数、およびバイト数を入力すると、ロギングは最初のイベントが発生したときに終了します。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、仮想センサー vs0 で、ソースまたは宛先アドレスに 10.2.3.1 を含むすべてのパケットのロギングを開始します。

sensor# iplog vs0 10.2.3.1

Logging started for virtual sensor vs0, IP address 10.2.3.1, Log ID 2342

WARNING: IP Logging will affect system performance.

sensor#

関連コマンド

コマンド

説明

iplog-status

使用可能な IP ログの内容の説明を表示します。

packet

インターフェイス上のライブ トラフィックを表示またはキャプチャします。

iplog-status

使用可能な IP ログの内容の説明を表示するには、特権 EXEC モードで iplog-status コマンドを使用します。

iplog-status

構文説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ、ビューア

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

4.0(2)

このコマンドに Status フィールドを追加。

使用上のガイドライン

ログが作成されたときのステータスは added です。最初のエントリがログに挿入されると、ステータスは started に変更されます。パケット数の上限に達するなどの条件によってログが終了すると、ステータスは completed に変更されます。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、すべての IP ログのステータスを表示します。

sensor# iplog-status

Log ID: 2425

IP Address: 10.1.1.2

Virtual Sensor: vs0

Status: started

Start Time: 2003/07/30 18:24:18 2002/07/30 12:24:18 CST

Packets Captured: 1039438

Log ID: 2342

IP Address: 10.2.3.1

Virtual Sensor: vs0

Status: completed

Event ID: 209348

Start Time: 2003/07/30 18:24:18 2002/07/30 12:24:18 CST

End Time: 2003/07/30 18:34:18 2002/07/30 12:34:18 CST

sensor#

関連コマンド

コマンド

説明

iplog

仮想センサーで IP ロギングを開始します。

more

論理ファイルの内容を表示するには、特権 EXEC モードで more コマンドを使用します。

more keyword

構文説明

current-config

現在実行中の構成。この構成は、IOS 12.0 の場合と異なり、コマンドが入力されると永続になります。ファイル フォーマットは CLI コマンドです。

backup-config

構成バックアップの保管場所。ファイル フォーマットは CLI コマンドです。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

IPS では、論理ファイルのみを表示できます。

パスワードなどの非表示フィールドは、管理者の場合にのみ表示されます。

IOS バージョン 12.0 のこのコマンドでは、デバイス内のさまざまなパーティションに格納されたファイルの内容を表示できます。

次の例は、 more コマンドの出力を示します。

sensor# more current-config

! ------------------------------

! Version 5.0(0.26)

! Current configuration last modified Thu Feb 17 04:25:15 2005

! ------------------------------

display-serial

! ------------------------------

service analysis-engine

exit

! ------------------------------

service authentication

exit

! ------------------------------

service event-action-rules rules0

exit

! ------------------------------

service host

network-settings

host-ip 10.89.147.31/25,10.89.147.126

host-name sensor

access-list 0.0.0.0/0

login-banner-text This message will be displayed on user login.

exit

time-zone-settings

offset -360

--MORE--

関連コマンド

コマンド

説明

more begin

more コマンドの出力を検索し、指定した文字列が最初に出現した位置から表示します。

more exclude

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

more include

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

more begin

more コマンドの出力を検索するには、特権 EXEC モードで more begin コマンドを使用します。このコマンドは、指定された正規表現を含む最初の行でフィルタ処理されない more コマンドの出力を開始します。

more keyword | begin regular-expression

構文説明

keyword

backup-config



current-config

現在実行中の構成。この構成は、IOS 12.0 の場合と異なり、コマンドが入力されると永続になります。ファイル フォーマットは CLI コマンドです。

構成バックアップの保管場所。ファイル フォーマットは CLI コマンドです。

|

縦棒は、出力処理指定が続くことを意味します。

regular-expression

more コマンド出力に存在する任意の正規表現。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

4.0(2)

more コマンドの begin 拡張を導入。

使用上のガイドライン

正規表現の引数は大文字小文字を区別し、複雑な照合の要件を指定できます。

次の例は、 more コマンドの出力を検索して、正規表現「ip」以降を表示する方法を示します。

sensor# more current-config | begin ip

host-ip 10.89.147.31/25,10.89.147.126

host-name sensor

access-list 0.0.0.0/0

login-banner-text This message will be displayed on user login.

exit

time-zone-settings

offset -360

standard-time-zone-name CST

exit

exit

! ------------------------------

service interface

exit

! ------------------------------

service logger

exit

! ------------------------------

service network-access

user-profiles mona

enable-password foobar

exit

exit

! ------------------------------

service notification

--MORE--

関連コマンド

コマンド

説明

more exclude

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

more include

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

show begin

特定の show コマンドの出力を検索し、指定した文字列が最初に出現した位置から表示します。

show exclude

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

show include

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

more exclude

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除するには、特権 EXEC モードで more exclude コマンドを使用します。

more keyword | exclude regular-expression

構文説明

keyword

backup-config



current-config

現在実行中の構成。この構成は、IOS 12.0 の場合と異なり、コマンドが入力されると永続になります。ファイル フォーマットは CLI コマンドです。

構成バックアップの保管場所。ファイル フォーマットは CLI コマンドです。

|

縦棒は、出力処理指定が続くことを意味します。

regular-expression

more コマンド出力に存在する任意の正規表現。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

4.0(2)

more コマンドの exclude 拡張を追加。

使用上のガイドライン

正規表現の引数は大文字小文字を区別し、複雑な照合の要件を指定できます。

次の例は、 more コマンドの出力を検索して、正規表現「ip」を排除して表示する方法を示します。

sensor# more current-config | exclude ip

! ------------------------------

! Version 5.0(0.26)

! Current configuration last modified Thu Feb 17 04:25:15 2005

! ------------------------------

display-serial

! ------------------------------

service analysis-engine

exit

! ------------------------------

service authentication

exit

! ------------------------------

service event-action-rules rules0

exit

! ------------------------------

service host

network-settings

host-name sensor

access-list 0.0.0.0/0

login-banner-text This message will be displayed on user login.

exit

time-zone-settings

offset -360

standard-time-zone-name CST

--MORE--

関連コマンド

コマンド

説明

more begin

more コマンドの出力を検索し、指定した文字列が最初に出現した位置から表示します。

more include

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

show begin

特定の show コマンドの出力を検索し、指定した文字列が最初に出現した位置から表示します。

show exclude

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

show include

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

more include

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示するには、特権 EXEC モードで more include コマンドを使用します。

more keyword | include regular-expression

構文説明

keyword

backup-config

current-config

現在実行中の構成。この構成は、IOS 12.0 の場合と異なり、コマンドが入力されると永続になります。ファイル フォーマットは CLI コマンドです。

構成バックアップの保管場所。ファイル フォーマットは CLI コマンドです。

|

縦棒は、出力処理指定が続くことを意味します。

regular-expression

more コマンド出力に存在する任意の正規表現。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

4.0(2)

more コマンドの include 拡張を追加。

使用上のガイドライン

正規表現の引数は大文字小文字を区別し、複雑な照合の要件を指定できます。

次の例は、 more コマンドの出力を検索して、正規表現「ip」を含む行のみを表示する方法を示します。

sensor# more current-config | include ip

host-ip 10.89.147.31/25,10.89.147.126

sensor#

関連コマンド

コマンド

説明

more begin

more コマンドの出力を検索し、指定した文字列が最初に出現した位置から表示します。

more exclude

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

show begin

特定の show コマンドの出力を検索し、指定した文字列が最初に出現した位置から表示します。

show exclude

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

show include

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

packet

インターフェイス上のライブ トラフィックを表示またはキャプチャするには、特権 EXEC モードで packet コマンドを使用します。 display オプションを使用すると、ライブ トラフィックまたは以前にキャプチャしたファイル出力を画面に直接ダンプできます。 capture オプションを使用すると、libpcap の出力をローカル ファイルにキャプチャできます。ローカル ファイル ストレージの場所は 1 か所だけなので、後続のキャプチャ要求によって既存のファイルは上書きされます。 copy コマンドと packet-file キーワードを使用して、ローカル ファイルをマシンからコピーできます。ローカル ファイルを表示するには、 display packet-file オプションを使用します。ローカル ファイルに関する情報がある場合は、 info オプションを使用して表示できます。

packet display interface-name [snaplen length] [count count] [verbose] [expression expression]

packet display packet-file [verbose] [expression expression

packet display iplog id [verbose] [expression expression]

packet capture interface-name [snaplen length] [count count] [expression expression]

packet display file-info

構文説明

interface-name

インターフェイス名、インターフェイス タイプ(GigabitEthernet、FastEthernet、Management)、スロット/ポート。システムに存在する有効なインターフェイス名のみを入力できます。

id

表示する既存の IP ログ ID。

file-info

保管されているパケット ファイルに関する情報を表示します。

verbose

1 行の要約ではなく、各パケットのプロトコル ツリーを表示します(オプション)。

length

スナップショットの長さ。デフォルトは 0 です。有効範囲は 0 〜 1600 です(オプション)。

count

キャプチャするパケット数。指定しない場合は、最大ファイル サイズをキャプチャすると、キャプチャは終了します(オプション)。

expression

パケット キャプチャ フィルタ式。この式が tethereal に直接渡されます。tcpdump 式の構文と一致する必要があります(オプション)。

デフォルト

「構文説明」の表を参照してください。

コマンド モード

EXEC

管理者、オペレータ、ビューア(表示のみ)

コマンド履歴

リリース

修正

5.0

このコマンドを導入。

使用上のガイドライン

ストレージは、1 つのローカル ファイルで使用可能です。このファイルのサイズは、プラットフォームによって異なります。可能な場合、要求したパケット カウントをキャプチャする前に最大ファイル サイズに達すると、メッセージが表示されます。 packet capture interface-name コマンドは、同時に 1 ユーザのみが使用できます。2 番目のユーザが要求すると、キャプチャを実行しているユーザに関する情報が含まれたエラー メッセージが表示されます。インターフェイスに関わる設定変更を行うと、そのインターフェイスで実行中の packet コマンドが異常終了することがあります。

このコマンドは、IOS 12.0 以前にはありません。

このコマンドを実行すると、パフォーマンスが大幅に低下します。

ライブ表示またはファイル キャプチャを終了するには、 Ctrl+C を押します。

式の構文については、ethereal-filter の man ページを参照してください。

file-info の表示は、次のとおりです。

Captured by: user:id, Cmd: cliCmd

Start: yyyy/mm/dd hh:mm:ss zone, End: yyyy/mm/dd hh:mm:ss zone or in-progress

ここで

user = キャプチャを開始したユーザのユーザ名

id = ユーザの CLI ID

cliCmd = キャプチャを実行するために入力したコマンド

次の例は、fastethernet 0/0 で発生するライブ トラフィックを表示します。

sensor# packet display fastethernet0/0

Warning This command will cause significant performance degradation.

Executing command: tethereal -i fastethernet0/0

0.000000 10.89.147.56 -> 64.101.182.20 SSH Encrypted response packet len=56

0.000262 64.101.182.20 -> 10.89.147.56 TCP 33053 > ssh [ACK] Seq=3844631470 Ack=2972370007 Win=9184 Len=0

0.029148 10.89.147.56 -> 64.101.182.20 SSH Encrypted response packet len=224

0.029450 64.101.182.20 -> 10.89.147.56 TCP 33053 > ssh [ACK] Seq=3844631470 Ack=2972370231 Win=9184 Len=0

0.030273 10.89.147.56 -> 64.101.182.20 SSH Encrypted response packet len=224

0.030575 64.101.182.20 -> 10.89.147.56 TCP 33053 > ssh [ACK] Seq=3844631470 Ack=2972370455 Win=9184 Len=0

0.031361 10.89.147.56 -> 64.101.182.20 SSH Encrypted response packet len=224

0.031666 64.101.182.20 -> 10.89.147.56 TCP 33053 > ssh [ACK] Seq=3844631470 Ack=2972370679 Win=9184 Len=0

0.032466 10.89.147.56 -> 64.101.182.20 SSH Encrypted response packet len=224

0.032761 64.101.182.20 -> 10.89.147.56 TCP 33053 > ssh [ACK]

次の例は、保管されているキャプチャ ファイルに関する情報を表示します。

sensor# packet display file-info

Captured by: raboyd:5292, Cmd: packet capture fastethernet0/0

Start: 2004/01/07 11:16:21 CST, End: 2004/01/07 11:20:35 CST

関連コマンド

コマンド

説明

iplog

仮想センサーで IP ロギングを開始します。

iplog-status

使用可能な IP ログの内容の説明を表示します。

password

ローカル センサーのパスワードを更新するには、グローバル構成モードで password コマンドを使用します。管理者は、 password コマンドを使用して既存のユーザのパスワードを変更することもできます。管理者は、コマンドの no 形式を使用して、ユーザ アカウントをディセーブルにできます。

password

ä«óùé"ópÇÃç\ïÅFpassword [ name [ newPassword ] ]

no password [ name ]

構文説明

name

ユーザ名を指定します。有効なユーザ名の長さは 1 〜 64 文字です。ユーザ名の先頭は、英数字にする必要があります。その他の文字には、スペース以外のすべての文字を使用できます。

password

このコマンドを入力すると、パスワードを要求されます。ユーザのパスワードを指定します。有効なパスワードの長さは 6 〜 32 文字です。スペースおよび「?」以外のすべての文字を使用できます。

デフォルト

cisco アカウントのデフォルト パスワードは cisco です。

コマンド モード

グローバル構成

管理者、オペレータ(現行ユーザのパスワードのみ)、ビューア(現行ユーザのパスワードのみ)

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

password コマンドを使用すると、現行ユーザのログイン パスワードを更新できます。管理者は、このコマンドを使用して既存のユーザのパスワードを変更できます。この場合、管理者に現行パスワードのプロンプトは表示されません。

最後の管理者アカウントをディセーブルにしようとすると、エラーが発生します。 password コマンドを使用して、ディセーブルにしたユーザ アカウントを再びイネーブルにし、ユーザ パスワードをリセットします。

パスワードは IPS で保護されます。

IOS バージョン 12.0 の password コマンドでは、パスワード行にクリア テキストで新規パスワードを入力できます。

次の例は、現行ユーザのパスワードの変更方法を示します。

sensor(config)# password

Enter Old Login Password: **********

Enter New Login Password: ******

Re-enter New Login Password: ******

sensor(config)#

次の例は、ユーザ tester のパスワードを変更します。このコマンドは、管理者のみが実行できます。

sensor(config)# password tester

Enter New Login Password: ******

Re-enter New Login Password: ******

sensor(config)#

関連コマンド

コマンド

説明

username

ローカル センサーのユーザを作成します。

ping

基本的なネットワーク接続を診断するには、特権 EXEC モードで ping コマンドを使用します。

ping address [ count ]

構文説明

address

ping の対象のシステムの IP アドレス。

count

送信するエコー要求数。値を指定しない場合、4 要求が送信されます。有効範囲は、1 〜 10000 です。

デフォルト

「構文説明」の表を参照してください。

コマンド モード

EXEC

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

管理者、オペレータ、ビューア

使用上のガイドライン

このコマンドは、オペレーティング システムで用意されている ping コマンドを使用して実装されます。コマンドからの出力は、オペレーティング システムにより若干異なります。

次の例は、Solaris システムでの ping コマンドの出力を示します。

sensor# ping 10.1.1.1

PING 10.1.1.1: 32 data bytes

40 bytes from 10.1.1.1: icmp_seq=0. time=0. ms

40 bytes from 10.1.1.1: icmp_seq=1. time=0. ms

40 bytes from 10.1.1.1: icmp_seq=2. time=0. ms

40 bytes from 10.1.1.1: icmp_seq=3. time=0. ms

----10.1.1.1 PING Statistics----

4 packets transmitted, 4 packets received, 0% packet loss

round-trip (ms) min/avg/max = 0/0/0

sensor#

次の例は、Linux システムでの ping コマンドの出力を示します。

sensor# ping 10.1.1.1 2

PING 10.1.1.1 from 10.1.1.2 : 32(60) bytes of data.

40 bytes from 10.1.1.1: icmp_seq=0 ttl=255 time=0.2 ms

40 bytes from 10.1.1.1: icmp_seq=1 ttl=255 time=0.2 ms

--- 10.1.1.1 ping statistics ---

2 packets transmitted, 2 packets received, 0% packet loss

round-trip min/avg/max = 0.2/0.2/0.2 ms

sensor#

次の例は、到達不能アドレスに対する出力を示します。

sensor# ping 172.21.172.1

PING 172.21.172.1 (172.21.172.1) from 10.89.175.50 : 56(84) bytes of data.

---172.21.172.1 ping statistics---

5 packets transmitted, 0 packets received, 100% packet loss

sensor#

privilege

既存のユーザの権限レベルを変更するには、グローバル構成モードで privilege コマンドを使用します。 username コマンドでユーザを作成するときに、権限を指定することもできます。

privilege user name [ administrator | operator | viewer ]

構文説明

name

ユーザ名を指定します。有効なユーザ名の長さは 1 〜 64 文字です。ユーザ名の先頭は、英数字にする必要があります。その他の文字には、スペース以外のすべての文字を使用できます。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

グローバル構成

管理者

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

このコマンドを使用すると、ユーザの権限を変更できます。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、ユーザ「tester」の権限をオペレータに変更します。

sensor(config)# privilege user tester operator

Warning: The privilege change does not apply to current CLI sessions. It will be applied to subsequent logins.

sensor(config)#

関連コマンド

コマンド

説明

username

ローカル センサーのユーザを作成します。

recover

回復パーティションに保存されているアプリケーション イメージでアプリケーション パーティションのイメージを再作成するには、特権 EXEC モードで recover コマンドを使用します。センサーは複数回リブートされて、ほとんどの構成(ネットワーク パラメータ、アクセス リスト パラメータ、時間パラメータ以外)がデフォルトの設定にリセットされます。

recover application-partition

構文説明

application-partition

アプリケーション パーティションのイメージを再作成します。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

グローバル構成

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

管理者

使用上のガイドライン

回復を続行する質問への有効な応答は、 yes または no です。 Y または N は、有効な応答ではありません。

コマンドを実行後、すぐにシャットダウンが開始されます。シャットダウンに少し時間がかかるため、CLI コマンドへのアクセスを続行できますが(アクセスは拒否されない)、アクセスは警告なしで終了します。必要であれば、アプリケーションがシャットダウンしている間、画面にピリオド(.)を 1 秒ごとに表示して進行を示すことができます。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、回復パーティションに保存されているバージョン 4.0(1)S29 のイメージを使用して、アプリケーション パーティションのイメージを再作成します。

sensor(config)# recover application-partition

Warning: Executing this command will stop all applications and re-image the node to version 5.0(1)Sx. All configuration changes except for network settings will be reset to default.

Continue with recovery? []: yes

Request Succeeded

sensor(config)#

reset

センサーで実行中のアプリケーションをシャットダウンし、アプライアンスをリブートするには、特権 EXEC モードで reset コマンドを使用します。 powerdown オプションを使用した場合は、アプライアンスの電源がオフ(可能な場合)、または電源をオフにできる状態になります。

reset [ powerdown ]

構文説明

powerdown

このオプションを指定すると、アプリケーションのシャットダウン後、センサーにより電源がオフになります。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

管理者

使用上のガイドライン

リセットを続行する質問への有効な応答は、 yes または no です。 Y または N は、有効な応答ではありません。

コマンドを実行後、すぐにシャットダウンが開始されます。シャットダウン中の CLI コマンドへのアクセスは拒否されませんが、開いているセッションは、シャットダウンが完了すると同時に、警告なしに終了します。必要であれば、アプリケーションがシャットダウンしている間、画面にピリオド(.)を 1 秒ごとに表示して進行を示すことができます。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、センサーをリブートします。

sensor# reset

Warning: Executing this command will stop all applications and reboot the node.

Continue with reset? []: yes

sensor#

service

さまざまな センサー サービスの構成メニューに入るには、グローバル構成モードで service コマンドを使用します。このコマンドの default 形式を使用すると、アプリケーションの構成全体が、工場出荷時のデフォルトにリセットされます。

service { authentication | analysis-engine | event-action-rules name | host | interface | logger | network-access | notification | signature-definition name | ssh-known-hosts | trusted-certificate | web-server }

default service { authentication | analysis-engine | host | interface | logger | network-access | notification | ssh-known-hosts | trusted-certificate | web-server }

構文説明

authentication

ユーザの認証に使用する方式の順序を設定します。

analysis-engine

グローバル分析エンジン パラメータを設定します。この設定によって、仮想センサーを作成し、シグニチャ定義、イベント アクション ルール、およびセンシング インターフェイスを仮想センサーに割り当てることができます。

event-action-rules

イベント アクション ルール設定のパラメータを設定します。この設定は、4.X アラーム チャネル設定を置き換えます。

host

システム クロック設定、アップグレード、および IP アクセス リストを設定します。

interface-config

物理インターフェイスとインライン インターフェイスのペアを設定します。

logger

デバッグ レベルを設定します。

network-access

ネットワーク アクセス コントローラに関連するパラメータを設定します。

notification

通知アプリケーションを設定します。

signature-definition

シグニチャ定義設定のパラメータを設定します。

ssh-known-hosts

システムの既知のホスト キーを設定します。

trusted-certificate

信頼できる認証機関の X.509 証明書のリストを設定します。

web-server

Web サーバ ポートなど、Web サーバに関するパラメータを設定します。

name

イベント アクション ルールまたはシグニチャ定義設定の論理名。

(注) 有効な名前は、イベント アクション ルール用の rules0 と、シグニチャ定義用の sig0 の 2 つだけです。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

グローバル構成

管理者、オペレータ、ビューア(表示のみ)

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

5.0

default キーワードを追加。通知アプリケーションのサポートを追加。

使用上のガイドライン

このコマンドで、サービス固有のパラメータを設定できます。この構成の項目とメニューはサービスによって異なり、コマンドが実行されたときにサービスから取得した構成に基づいて動的に作成されます。

このモードおよびその中に含まれるすべてのサブモードで行われた変更は、サービス モードを終了するときにサービスに適用されます。

コマンド モードは、コマンド プロンプトに表示されるサービス名で示されます。たとえば、service authentication では、次のプロンプトが表示されます。

sensor(config-aut)#

このコマンドは、IPS 固有です。

このコマンドは、IOS 12.0 以前にはありません。

service event-action-rules および service signature-definition モードでは、イベントをフィルタ処理する変数および構成ルールを作成できます。フィルタで変数を使用する場合は、変数の前にドル記号($SIG1)を使用して、入力した文字列が変数であることを指定する必要があります。

複数の IP アドレスを入力する場合は、アドレスの間にカンマを使用します(スペースではありません)。IP アドレスの範囲は、A.B.C.D/b の形式で表します。ここで A.B.C.D は IP アドレスで、b は範囲を指定するために IP アドレスのマスクとなる下位ビット数です。たとえば、値 10.1.0.0/8 は、IP アドレスが 10.1.0.0 で、下位 8 ビットがマスクでオフにされ、範囲が 10.1.0.0 〜 10.1.0.255 になります。allowPartialInput 属性が true に設定されている場合、部分 IP アドレスは IPv4 アドレスの範囲の一部として使用できます。範囲の値は包括的なので、10.2-10.3 は 10.2.0.0-10.3.255.255 と同じ値となります。範囲タイプのデータには、範囲のセットを使用することもできます。範囲のセットはカンマで区切られた複数の範囲で構成されます。たとえば、
10.1.9.20-10.1.9.30,10.1.10.40-10.1.10.50,10.2-10.3 です。

構成は、仮想センサーに割り当てられていない場合にだけ削除できます。

このコマンドは、IOS 12.0 以前にはありません。

次のコマンドは、認証サービスの構成モードに入ります。

sensor(config)# service authentication

sensor(config-aut)#

次のコマンドは、分析エンジン サービスの構成モードに入ります。

sensor(config)# service analysis-engine

sensor(config-ana)#

次のコマンドは、イベント アクション ルール サービスの構成モードに入ります。

sensor(config)# service event-action-rules rules0

sensor(config-rul)#

次のコマンドは、ホスト サービスの構成モードに入ります。

sensor(config)# service host

sensor(config-hos)#

次のコマンドは、インターフェイス サービスの構成モードに入ります。

sensor(config)# service interface

sensor(config-int)#

次のコマンドは、ロギング サービスの構成モードに入ります。

sensor(config)# service logger

sensor(config-log)#

次のコマンドは、NAC サービスの構成モードに入ります。

sensor(config)# service network-access

sensor(config-net)#

次のコマンドは、SNMP 通知サービスの構成モードに入ります。

sensor(config)# service notification

sensor(config-not)#

次のコマンドは、シグニチャ定義サービスの構成モードに入ります。

sensor(config)# service signature-definition sig0

sensor(config-sig)#

次のコマンドは、SSH 既知のホスト サービスの構成モードに入ります。

sensor(config)# service ssh-known-hosts

sensor(config-ssh)#

次のコマンドは、信頼できる認証サービスの構成モードに入ります。

sensor(config)# service trusted-certificate

sensor(config-tru)#

次のコマンドは、Web サーバ サービスの構成モードに入ります。

sensor(config)# service web-server

sensor(config-web)#

setup

基本的なセンサー設定を構成するには、特権 EXEC モードで setup コマンドを使用します。

setup

構文説明

このコマンドには、引数またはキーワードはありません。

デフォルト

hostname:sensor

IP interface:10.1.9.201/24,10.1.9.1

telnet-server:disabled

web-server port:443

summer time:disabled

ユーザが summer time を enabled にした場合、デフォルトは次のとおりです。

Summertime type:Recurring

Start Month:april

Start Week:first

Start Day:sunday

Start Time:02:00:00

End Month:october

End Week:last

End Day:sunday

End Time:02:00:00

Offset:60

システムの時間帯のデフォルトは、次のとおりです。

Timezone:UTC

UTC Offset:0

コマンド モード

EXEC

管理者

コマンド履歴

リリース

修正

4.0(2)

アクセス リストおよび時間設定の構成を追加。

使用上のガイドライン

setup コマンドを使用すると、システム コンソール画面に System Configuration Dialog と呼ばれる対話型ダイアログが表示されます。System Configuration Dialog によって、構成プロセスの手順が示されます。

各プロンプトの横のカッコ内に示される値が、最後に設定されたデフォルト値です。

System Configuration Dialog を終了してから、項目の変更に移る必要があります。変更しない項目についてデフォルトの設定を受け入れるには、 Enter を押します。

変更せず、また System Configuration Dialog を終了せずに EXEC プロンプトに戻るには、Ctrl+C を押します。

この機能には、各プロンプトに関するヘルプ テキストも用意されています。ヘルプ テキストにアクセスするには、プロンプトで疑問符(?)を入力します。

変更が完了すると、セットアップ セッションで作成された構成が表示されます。この構成を保存するかどうかを尋ねるプロンプトが表示されます。 yes と入力すると、構成はディスクに保存されます。 no と入力すると、構成は保存されず、処理が再開されます。このプロンプトに対するデフォルトはありません。 yes または no と入力する必要があります。

構成可能パラメータの有効な範囲は、次のとおりです。

IP Address/Netmask/Gateway: X.X.X.X/nn,Y.Y.Y.Y 。ここで、

X.X.X.X は、ピリオドで区切られた 4 オクテットの 32 ビット アドレスとしてセンサーの IP アドレスを指定します。 X = 0 〜 255 です。

nn は、ネットマスクのビット数を指定します。

Y.Y.Y.Y は、ピリオドで区切られた 4 オクテットの 32 ビット アドレスとしてデフォルト ゲートウェイを指定します。 Y = 0 〜 255 です。

Host Name:最大 256 文字の大文字小文字を区別する文字列。数字、「_」、および「-」は有効ですが、スペースは使用できません。

システムが NTP を使用しない場合にのみ、setup モードでクロック設定を入力します。NTP コマンドは、別に用意されています。

夏時間は、recurring モードまたは date モードで設定できます。recurring モードを選択した場合、開始日と終了日は、週、曜日、月、時間に基づいて入力します。date モードを選択した場合、開始日と終了日は、月、日、年、時間に基づいて入力します。disable を選択すると、夏時間がオフになります。

表2-1 に、クロック設定パラメータを示します。

表2-1 クロック設定パラメータ

DST zone

サマータイムが有効なときに表示される時間帯の名前。

week

週(1 〜 5 または last)。

day

曜日(Sunday、Monday など)。

date

日(1 〜 31)。

month

月(January、February など)。

year

年。省略なし(2001 〜 2035)。

hh:mm

開始/終了 DST(24 時形式)の時間と分。

offset

サマータイム中に加算する時間(分)。デフォルトは 60 です(オプション)。

timezone

標準時が有効なときに表示される時間帯の名前。

hours

UTC からの時間差。

hh:mm:ss

時(24 時形式)、分、および秒形式の現在時間。

デフォルトの仮想センサー vs0 の編集もできます。仮想センサーに混合/インラインのペアの一方または両方を割り当て、割り当てたインターフェイスをイネーブルにできます。セットアップが完了すると、仮想センサーはトラフィックを監視するように設定されます。

次の例は、 setup コマンドと System Configuration プログラムを示します。

sensor# setup

--- System Configuration Dialog ---

At any point you may enter a question mark '?' for help.

User ctrl-c to abort configuration dialog at any prompt.

Default settings are in square brackets '[]'.

Current Configuration:

service host

network-settings

host-ip 172.21.172.25/8,172.21.172.1

host-name sensor

telnet-option disabled

access-list 10.0.0.0/24

access-list 172.0.0.0/24

ftp-timeout 300

login-banner-text

exit

time-zone-settings

offset 0

standard-time-zone-name UTC

exit

summertime-option disabled

ntp-option disabled

exit

service web-server

port 443

exit

service interface

physical-interfaces GigbitEthernet0/0

admin-state enabled

exit

exit

service analysis-engine

virtual-sensor vs0

physical-interface GigabitEthernet0/0

exit

exit

Current time: Wed May 5 10:25:35 2004

Setup Configuration last modified: Mon May 3 15:34:30 2004

Continue with configuration dialog?[yes]:

Enter host name[sensor]:

Enter IP interface[172.21.172.25/8,172.21.172.1]:

Enter telnet-server status[enabled]:

Enter web-server port[8080]: 80

Modify current access list? [no]: yes

Current access list entries:

[1] 10.0.0.0/24

[2] 172.0.0.0/24

Delete: 1

Delete:

Permit: 173.0.0.0/24

Permit:

Modify system clock settings? [no]: yes

Use NTP? [yes] no

Modify summer time settings? [no]: yes

Recurring, Date or Disable[recurring]:

Start Month[apr]:

Start Week[1]:

Start Day[sun]:

Start Time[02:00:00]:

End Month[oct]:

End Week[last]:

End Day[sun]:

End Time[02:00:00]:

DST Zone[]: CDT

Offset[60]:

Modify system timezone? [no]: yes

Timezone[UTC]: CST

GMT Offset[-360]

Modify virtual sensor (vs0} configuration?[no]: yes

Current interface configuration

Command control: GigabitEthernet0/1

Unused:

GigabitEthernet2/1

GigabitEthernet2/0

Promiscuous:

GigabitEthernet0/0

Inline:

None

Delete Promiscuous interfaces?[no]:

Add Promiscuous interfaces?[no]:

Add Inline pairs?[no]: yes

Pair name: test

Description[Created via setup by user cisco]:

Interface1[]: GigabitEthernet2/0

Interface2[]: GigabitEthernet2/1

Pair name:

The following configuration was entered.

service host

network-settings

host-ip 172.21.172.25/8,172.21.172.1

host-name sensor

telnet-option enabled

access-list 172.0.0.0/24

access-list 173.0.0.0/24

ftp-timeout 300

login-banner-text

exit

time-zone-settings

offset -360

standard-time-zone-name CST

exit

summertime-option recurring

offset 60

summertime-zone-name CDT

start-summertime

month april

week-of-month first

day-of-week sunday

time-of-day 02:00:00

exit

end-summertime

month october

week-of-month last

day-of-week sunday

time-of-day 02:00:00

exit

exit

ntp-option disabled

exit

service web-server

port 80

exit

service interface

physical-interfaces GigabitEthernet0/0

admin-state enabled

exit

physical-interfaces GigabitEthernet2/1

admin-state enabled

exit

physical-interfaces GigabitEthernet2/0

admin-state enabled

exit

inline-interfaces test

description Created via setup by user cisco

interface1 GigabitEthernet2/0

interface2 GigabitEthernet2/1

exit

exit

service analysis-engine

virtual-sensor vs0

physical-interface GigabitEthernet0/0

logical-interface test

exit

exit

[0] Go to the command prompt without saving this config.

[1] Return back to the setup without saving this config.

[2] Save this configuration and exit.

Enter your selection [2]:

Configuration Saved.

Modify system date and time? [no] yes

Local Date[]: 2003-01-18

Local Time[4:33:49]: 10:33:49

System Time Updated successfully

sensor#

show begin

show コマンドの出力を検索するには、特権 EXEC モードで show begin コマンドを使用します。このコマンドは、指定された正規表現を含む最初の行でフィルタ処理されない show コマンドの出力を開始します。

show [ configuration | events | settings ] | begin regular-expression

構文説明

|

縦棒は、出力処理指定が続くことを意味します。

regular-expression

show コマンド出力に存在する任意の正規表現。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

4.0(2)

show コマンドの begin 拡張を追加。

使用上のガイドライン

正規表現 の引数は大文字小文字を区別し、複雑な照合の要件を指定できます。

次の例は、正規表現「ip」から始まる出力を示します。

sensor# show configuration | begin ip

host-ip 10.89.147.31/25,10.89.147.126

host-name sensor

access-list 0.0.0.0/0

login-banner-text This message will be displayed on user login.

exit

time-zone-settings

offset -360

standard-time-zone-name CST

exit

exit

! ------------------------------

service interface

exit

! ------------------------------

service logger

exit

! ------------------------------

service network-access

user-profiles mona

enable-password foobar

exit

exit

! ------------------------------

service notification

--MORE--

関連コマンド

コマンド

説明

more begin

more コマンドの出力を検索し、指定した文字列が最初に出現した位置から表示します。

more exclude

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

more include

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

show exclude

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

show include

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

show clock

システム クロックを表示するには、特権 EXEC モードで show clock コマンドを使用します。

show clock [detail]

構文説明

detail

クロック ソース(NTP またはシステム)および現行のサマータイム設定(設定されている場合)を示します(オプション)。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ、ビューア

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

システム クロックは「保証」フラグを保持して、時間が保証されるか(正確と見なされるか)どうかを示します。システム クロックが NTP などのタイミング ソースで設定された場合、このフラグがセットされます。 表2-2 保証フラグを示します。

表2-2 保証フラグ

記号

説明

*

時間は保証されない。

(ブランク)

時間は保証される。

.

時間は保証されるが、NTP は同期化されない。

次の例は、設定され、同期化された NTP を示します。

sensor# show clock detail

12:30:02 CST Tues Dec 19 2002

Time source is NTP

Summer time starts 03:00:00 CDT Sun Apr 7 2003

Summer time ends 01:00:00 CST Sun Oct 27 2003

sensor#

次の例は、時刻源が設定されていないことを示します。

sensor# show clock

*12:30:02 EST Tues Dec 19 2002

sensor#

次の例は、時刻源が設定されていないことを示します。

sensor# show clock detail

*12:30:02 CST Tues Dec 19 2002

No time source

Summer time starts 02:00:00 CST Sun Apr 7 2003

Summer time ends 02:00:00 CDT Sun Oct 27 2003

show configuration

more コマンドの more current-config コマンドを参照してください。

コマンド履歴

リリース

修正

4.0(2)

このコマンドを追加。

show events

ローカル イベント ログの内容を表示するには、特権 EXEC モードで show events コマンドを使用します。

show events [ { [ alert [ informational ] [ low ] [ medium ] [ high ] [ include-traits traits ] [ exclude-traits traits ] | error [ warning ] [ error ] [ fatal ] | log | NAC | status } ] [ hh:mm:ss [ month day [ year ] ] | past hh:mm:ss ]

構文説明

alert

アラートを表示します。侵入攻撃が行われているまたは試みられた可能性のある動作を通知します。アラート イベントは IPS シグニチャがネットワーク アクティビティでトリガーされると常に分析エンジンによって生成されます。レベル(情報、低、中、高)が選択されていない場合、すべてのアラート イベントが表示されます。

include-traits

指定された traits のあるアラートを表示します。

exclude-traits

指定された traits のあるアラートを表示しません。

traits

10 進(0 〜 15)の特性ビット位置。

error

エラー イベントを表示します。エラー イベントは、エラー条件が発生したときにサービスによって生成されます。レベル(警告、エラー、重大)が選択されていない場合、すべてのエラー イベントが表示されます。

log

ログ イベントを表示します。これらのイベントは、トランザクションが受信され、アプリケーションによって応答されたときに常に生成されます。要求、応答、およびトランザクションの成功または失敗についての情報が含まれます。

NAC

NAC 要求(ブロック要求)を表示します。

status

状況イベントを表示します。

hh:mm:ss

時(24 時形式)、分、および秒形式の開始時間。

day

月の開始日(日)。

month

開始月(月の名前)。

year

開始年(省略なし)。

past

今までに開始したイベントを表示します。 hh:mm:ss に表示を開始する過去の時間を指定します。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ、ビューア

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

4.02

複数のエラー イベント レベルを同時に選択できる機能を追加。

4.1(1)

include-traits exclude-traits 、および past オプションを追加。

使用上のガイドライン

show events コマンドを使用すると、要求された開始時間に始まる要求イベント タイプを表示できます。開始時間が入力されていない場合、現行時間に開始する選択されたイベントが表示されます。イベント タイプが入力されていない場合、すべての イベントが表示されます。イベントは、ライブ フィードとして表示されます。ライブ フィードをキャンセルするには、 Ctrl+C を押します。

show events コマンドで正規表現 | include shunInfo を使用すると、イベントのソース アドレスなどのブロッキング情報を表示できます。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、2000 年 12 月 25 日 10 時に開始したブロック要求を表示します。

sensor# show events NAC time 10:00:00 Dec 25 2000

次の例は、現行時間に開始するエラーおよび重大エラー メッセージを表示します。

sensor# show events error fatal error

次の例は、2000 年 12 月 25 日 10 時に開始したすべてのイベントを表示します。

sensor# show events 10:00:00 Dec 25 2000

次の例は、過去 30 秒に開始したすべてのイベントを表示します。

sensor# show events past 00:00:30

次の出力は、XML コンテンツから取得されます。

evAlert: eventId=1025376040313262350 severity=high

originator:

deviceName: sensor1

appName: sensorApp

time: 2002/07/30 18:24:18 2002/07/30 12:24:18 CST

signature: sigId=4500 subSigId=0 version=1.0 IOS Embedded SNMP Community Names

participants:

attack:

attacker: proxy=false

addr: 132.206.27.3

port: 61476

victim:

addr: 132.202.9.254

port: 161

protocol: udp

show exclude

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除するには、特権 EXEC モードで show exclude コマンドを使用します。

show [ configuration | events | settings ] | exclude regular-expression

構文説明

|

縦棒は、出力処理指定が続くことを意味します。

regular-expression

show コマンド出力に存在する任意の正規表現。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

4.0(2)

show コマンドの exclude 拡張を追加。

使用上のガイドライン

正規表現 の引数は大文字小文字を区別し、複雑な照合の要件を指定できます。

次の例は、正規表現「ip」を排除した出力を示します。

sensor# show configuration | exclude ip

! ------------------------------

! Version 5.0(0.26)

! Current configuration last modified Thu Feb 17 04:25:15 2005

! ------------------------------

display-serial

! ------------------------------

service analysis-engine

exit

! ------------------------------

service authentication

exit

! ------------------------------

service event-action-rules rules0

exit

! ------------------------------

service host

network-settings

host-name sensor

access-list 0.0.0.0/0

login-banner-text This message will be displayed on user login.

exit

time-zone-settings

offset -360

standard-time-zone-name CST

--MORE-

関連コマンド

コマンド

説明

more begin

more コマンドの出力を検索し、指定した文字列が最初に出現した位置から表示します。

more exclude

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

more include

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

show begin

特定の show コマンドの出力を検索し、指定した文字列が最初に出現した位置から表示します。

show include

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

show history

現行のメニューで入力したコマンドのリストを表示するには、すべてのモードで show history コマンドを使用します。

show history

構文説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

すべてのモード

管理者、オペレータ、ビューア

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

show history コマンドでは、現行メニューで入力したコマンドの記録が表示されます。履歴バッファに記録されるコマンド数は 50 です。

次の例は、show history コマンドで表示されるコマンドの記録を示します。

sensor# show history

show users

show events

sensor#

show include

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示するには、特権 EXEC モードで show include コマンドを使用します。

show [ configuration | events | settings ] | include regular-expression

構文説明

|

縦棒は、出力処理指定が続くことを意味します。

regular-expression

show コマンド出力に存在する任意の正規表現。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

4.0(2)

show コマンドの include 拡張を追加。

使用上のガイドライン

正規表現 の引数は大文字小文字を区別し、複雑な照合の要件を指定できます。

show settings コマンドの出力では、照合要求のヘッダー情報も表示され、照合コンテキストを判別できます。

次の例は、正規表現「ip」を含む行のみの出力を示します。

sensor# show configuration | include ip

host-ip 10.89.147.31/25,10.89.147.126

sensor#

関連コマンド

コマンド

説明

more begin

more コマンドの出力を検索し、指定した文字列が最初に出現した位置から表示します。

more exclude

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

more include

more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。

show begin

特定の show コマンドの出力を検索し、指定した文字列が最初に出現した位置から表示します。

show exclude

show コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。

show interfaces

すべてのシステム インターフェイスの統計情報を表示するには、特権 EXEC モードで show interfaces コマンドを使用します。このコマンドでは、 show interfaces management show interfaces fastethernet 、および show interfaces gigabitethernet を表示します。

show interfaces [clear]

show interfaces {fastethernet | gigabitethernet | management } [ slot/port ]

構文説明

clear

診断をクリアします。

fastethernet

FastEthernet インターフェイスの統計情報を表示します。

gigabitethernet

GigabitEthernet インターフェイスの統計情報を表示します。

management

Management インターフェイスの統計情報を表示します。

(注) このキーワードは、Management とマークされた外部ポートを持つプラットフォームでのみサポートされます。その他のプラットフォームの管理インターフェイスは、インターフェイスの種類(通常、FastEthernet)に基づいて、 show interfaces の出力で表示されます。

slot/port

スロットとポートの情報については、適切なハードウェア マニュアルを参照してください。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ、ビューア

コマンド履歴

リリース

修正

5.0

show interfaces group show interfaces sensing 、および show interfaces command-control を削除。

使用上のガイドライン

このコマンドは、コマンド、コントロール、およびセンシング インターフェイスに関する統計情報を表示します。clear オプションで統計情報をクリアしてリセットすることもできます。

次の例は、インターフェイス統計情報を示します。

sensor# show interfaces

Interface Statistics

Total Packets Received = 0

Total Bytes Received = 0

Missed Packet Percentage = 0

Current Bypass Mode = Auto_off

MAC statistics from interface GigabitEthernet0/0

Media Type = TX

Missed Packet Percentage = 0

Inline Mode = Unpaired

Pair Status = N/A

Link Status = Down

Link Speed = N/A

Link Duplex = N/A

Total Packets Received = 0

Total Bytes Received = 0

Total Multicast Packets Received = 0

Total Broadcast Packets Received = 0

Total Jumbo Packets Received = 0

Total Undersize Packets Received = 0

Total Receive Errors = 0

Total Receive FIFO Overruns = 0

Total Packets Transmitted = 0

Total Bytes Transmitted = 0

Total Multicast Packets Transmitted = 0

--MORE--

show inventory

PEP 情報を表示するには、特権 EXEC モードで show inventory コマンドを使用します。このコマンドは、センサーの PID、VID および SN で構成された UDI 情報を表示します。

show inventory

構文説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ、ビューア

コマンド履歴

リリース

修正

5.0

このコマンドを導入。

使用上のガイドライン

これは、Cisco PEP ポリシーで要求される show inventory IOS コマンドと同じです。 show inventory の出力は、ハードウェアによって異なります。

次の例は、 show inventory コマンドの出力例を示します。

sensor# show inventory

NAME: "Chassis", DESCR: "Chasis-4240"

PID: 4240-515E , VID: V04, SN: 639156

NAME: "slot 0", DESCR: "4 port I/O card"

PID: 4240-4IOE , VID: V04, SN: 4356785466

sensor#

show privilege

現行の権限レベルを表示するには、特権 EXEC モードで show privilege コマンドを使用します。

show privilege

構文説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ、ビューア

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

このコマンドを使用して、現行の権限レベルを表示します。権限レベルは、管理者だけが変更できます。詳細については、 username コマンドを参照してください。

次の例は、ユーザの権限を示します。

sensor# show privilege

Current privilege level is viewer

sensor#

関連コマンド

コマンド

説明

username

ローカル センサーのユーザを作成します。

show settings

現行のサブモードに含まれる構成の内容を表示するには、 サービス コマンド モードで show settings コマンドを使用します。

show settings [ terse ]

構文説明

terse

出力を簡潔に表示します。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

すべての サービス コマンド モード

管理者、オペレータ、ビューア(最上位コマンド ツリーの表示のみ)

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

このコマンドは、IPS 固有です。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、NAC 構成モードでの show settings コマンドの出力を示します。

sensor# configure terminal

sensor(config)# service network-access

sensor(config-net)# show settings

general

-----------------------------------------------

log-all-block-events-and-errors: true <defaulted>

enable-nvram-write: false <defaulted>

enable-acl-logging: false <defaulted>

allow-sensor-block: true default: false

block-enable: true <defaulted>

block-max-entries: 250 <defaulted>

max-interfaces: 250 <defaulted>

master-blocking-sensors (min: 0, max: 100, current: 0)

-----------------------------------------------

-----------------------------------------------

never-block-hosts (min: 0, max: 250, current: 0)

-----------------------------------------------

-----------------------------------------------

never-block-networks (min: 0, max: 250, current: 0)

-----------------------------------------------

-----------------------------------------------

block-hosts (min: 0, max: 250, current: 0)

-----------------------------------------------

-----------------------------------------------

block-networks (min: 0, max: 250, current: 0)

-----------------------------------------------

-----------------------------------------------

-----------------------------------------------

user-profiles (min: 0, max: 250, current: 0)

-----------------------------------------------

-----------------------------------------------

cat6k-devices (min: 0, max: 250, current: 0)

-----------------------------------------------

-----------------------------------------------

router-devices (min: 0, max: 250, current: 0)

-----------------------------------------------

-----------------------------------------------

firewall-devices (min: 0, max: 250, current: 0)

-----------------------------------------------

-----------------------------------------------

sensor(config-net)#

次の例は、シグニチャ定義サブモードでの show settings terse の出力を示します。

sensor# configure terminal

sensor(config)# service signature-definition sig0

sensor(config-sig)# show settings terse

variables (min: 0, max: 256, current: 2)

-----------------------------------------------

<protected entry>

variable-name: WEBPORTS

variable-name: user2

-----------------------------------------------

application-policy

-----------------------------------------------

http-policy

-----------------------------------------------

http-enable: false <defaulted>

max-outstanding-http-requests-per-connection: 10 <defaulted>

aic-web-ports: 80-80,3128-3128,8000-8000,8010-8010,8080-8080,8888-8888,

24326-24326 <defaulted>

-----------------------------------------------

ftp-enable: true default: false

-----------------------------------------------

fragment-reassembly

-----------------------------------------------

ip-reassemble-mode: nt <defaulted>

-----------------------------------------------

stream-reassembly

-----------------------------------------------

tcp-3-way-handshake-required: true <defaulted>

tcp-reassembly-mode: strict <defaulted>

--MORE--

次の例は、フィルタ処理された show settings の出力を示します。このコマンドは、HTTP が含まれる行のみを出力します。

sensor# configure terminal

sensor(config)# service signature-definition sig0

sensor(config-sig)# show settings | include HTTP

Searching:

sig-string-info: Bagle.Q HTTP propagation (jpeg) <defaulted>

sig-string-info: Bagle.Q HTTP propagation (php) <defaulted>

sig-string-info: GET ftp://@@@:@@@/pub HTTP/1.0 <defaulted>

sig-name: IMail HTTP Get Buffer Overflow <defaulted>

sig-string-info: GET shellcode HTTP/1.0 <defaulted>

sig-string-info: ..%c0%af..*HTTP <defaulted>

sig-string-info: ..%c1%9c..*HTTP <defaulted>

sig-name: IOS HTTP Unauth Command Execution <defaulted>

sig-name: Null Byte In HTTP Request <defaulted>

sig-name: HTTP tunneling <defaulted>

sig-name: HTTP tunneling <defaulted>

sig-name: HTTP tunneling <defaulted>

sig-name: HTTP tunneling <defaulted>

sig-name: HTTP CONNECT Tunnel <defaulted>

sig-string-info: CONNECT.*HTTP/ <defaulted>

sig-name: HTTP 1.1 Chunked Encoding Transfer <defaulted>

sig-string-info: INDEX / HTTP <defaulted>

sig-name: Long HTTP Request <defaulted>

sig-string-info: GET \x3c400+ chars>? HTTP/1.0 <defaulted>

sig-name: Long HTTP Request <defaulted>

sig-string-info: GET ......?\x3c400+ chars> HTTP/1.0 <defaulted>

sig-string-info: /mod_ssl:error:HTTP-request <defaulted>

sig-name: Dot Dot Slash in HTTP Arguments <defaulted>

sig-name: HTTPBench Information Disclosure <defaulted>

--MORE--

show ssh authorized-keys

現行ユーザの公開 RSA キーを表示するには、特権 EXEC モードで show ssh authorized-keys コマンドを使用します。

show ssh authorized-keys [ id]

構文説明

id

許可されたキーを一意に特定する 1 〜 256 文字の文字列。数字、「_」、および「-」は有効ですが、スペースと「?」は使用できません。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ、ビューア

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

オプションの ID を指定せずにこのコマンドを実行すると、システムで設定済みの ID のリストが表示されます。特定の ID を指定してコマンドを実行すると、その ID に関連付けられたキーが表示されます。このコマンドは、IPS 固有です。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、SSH 認証キーのリストを表示します。

sensor# show ssh authorized-keys

system1

system2

system3

system4

次の例は、system1 の SSH キーを表示します。

sensor# show ssh authorized-keys system1

1023 37 66022272955660983338089706716372943357082868686000817201780243492180421420781303592082950910170135848052503999393211250314745276837862091118998665371608981314792208604473991134136964287068231936192814852186409455741630613878646833511583591040494021313695435339616344979349705016792583146548622146467421997057

sensor#

関連コマンド

コマンド

説明

ssh authorized-key

現行ユーザに公開キーを追加し、クライアントが RSA 認証を使用してローカル SSH サーバにログインできるようにします。

show ssh server-key

SSH サーバのホスト キーとホスト キーのフィンガープリントを表示するには、特権 EXEC モードで show ssh server-key コマンドを使用します。

show ssh server-key

構文説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ、ビューア

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

このコマンドは、IPS 固有です。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、show ssh server-key コマンドの出力を示します。

sensor# show ssh server-key

1024 35 144719237233791547030730646600884648599022074867561982783071499320643934

48734496072779375489584407249259840037709354850629125941930828428605183115777190

69953460097510388011424663818234783053872210554889384417232132153750963283322778

52374794118697053304026570851868326130246348580479834689461788376232451955011

MD5: F3:10:3E:BA:1E:AB:88:F8:F5:56:D3:A6:63:42:1C:11

Bubble Babble: xucis-hehon-kizog-nedeg-zunom-kolyn-syzec-zasyk-symuf-rykum-sexyx

sensor#

関連コマンド

コマンド

説明

ssh generate-key

センサーで SSH サーバが使用するサーバ ホスト キーを変更します。

show ssh host-keys

センサーが接続に使用できるリモート SSH サーバの公開キーを含む既知のホスト テーブルを表示するには、特権 EXEC モードで show ssh host-keys を使用します。

show ssh host-keys [ ipaddress]

構文説明

ipaddress

ピリオドで区切られた 4 オクテットの 32 ビット アドレス。X.X.X.X、ここで X は 0 〜 255。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ、ビューア

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

4.0(1)

コマンドへの Bubble Babble および MD5 の出力を追加。

使用上のガイドライン

オプションの IP アドレス ID を指定せずにこのコマンドを実行すると、公開キーで設定済みの IP アドレスのリストが表示されます。特定の IP アドレスを指定してコマンドを実行すると、その IP アドレスに関連付けられたキーが表示されます。このコマンドは、IPS 固有です。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、 show ssh host-keys コマンドの出力を示します。

sensor# show ssh host-keys 10.1.2.3

1024 35 144719237233791547030730646600884648599022074867561982783071499320643934

48734496072779375489584407249259840037709354850629125941930828428605183115777190

69953460097510388011424663818234783053872210554889384417232132153750963283322778

52374794118697053304026570851868326130246348580479834689461788376232451955011

MD5: F3:10:3E:BA:1E:AB:88:F8:F5:56:D3:A6:63:42:1C:11

Bubble Babble: xucis-hehon-kizog-nedeg-zunom-kolyn-syzec-zasyk-symuf-rykum-sexyx

sensor#

関連コマンド

コマンド

説明

ssh host-key

既知のホスト テーブルにエントリを追加します。

show statistics

要求した統計情報を表示するには、特権 EXEC モードで show statistics コマンドを使用します。

show statistics { analysis-engine | authentication | denied-attackers | event-server | event-store | host | logger | network-access | notification | sdee-server | transaction-source | virtual-sensor | web-server } [ clear ]

構文説明

clear

統計情報が取得された後、統計情報をクリアします。

(注) このオプションは、分析エンジン、ホスト、またはネットワーク アクセスの統計情報には使用できません。

analysis-engine

分析エンジン統計情報を表示します。

authentication

許可および認証統計情報を表示します。

denied-attackers

拒否する IP アドレスおよび各攻撃者からのパケット数のリストを表示します。

event-server

イベント サーバ統計情報を表示します。

event-store

イベント ストア統計情報を表示します。

host

ホスト(メイン)統計情報を表示します。

logger

ログ機能統計情報を表示します。

network-access

NAC 統計情報を表示します。

notification

通知統計情報を表示します。

sdee-server

SDEE サーバ統計情報を表示します。

transaction-source

トランザクション ソース統計情報を表示します。

web-server

Web サーバ統計情報を表示します。

virtual-sensor

仮想センサー統計情報を表示します。

name

仮想センサーの論理名。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ、ビューア

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

5.0

analysis-engine virtual-sensor 、および denied-attackers を追加。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、認証統計情報を表示します。

sensor# show statistics authentication

General

totalAuthenticationAttempts = 9

failedAuthenticationAttempts = 0

sensor#

次の例は、イベント ストア統計情報を表示します。

sensor# show statistics event-store

Event store statistics

General information about the event store

The current number of open subscriptions = 1

The number of events lost by subscriptions and queries = 0

The number of queries issued = 1

The number of times the event store circular buffer has wrapped = 0

Number of events of each type currently stored

Debug events = 0

Status events = 129

Log transaction events = 0

Shun request events = 0

Error events, warning = 8

Error events, error = 13

Error events, fatal = 0

Alert events, informational = 0

Alert events, low = 0

Alert events, medium = 0

Alert events, high = 0

sensor#

次の例は、ログ機能統計情報を表示します。

sensor# show statistics logger

The number of Log interprocessor FIFO overruns = 0

The number of syslog messages received = 27

The number of <evError> events written to the event store by severity

Fatal Severity = 0

Error Severity = 13

Warning Severity = 35

TOTAL = 48

The number of log messages written to the message log by severity

Fatal Severity = 0

Error Severity = 13

Warning Severity = 8

Timing Severity = 0

Debug Severity = 0

Unknown Severity = 26

TOTAL = 47

sensor#

次の例は、NAC 統計情報を表示します。

sensor# show statistics network-access

Current Configuration

LogAllBlockEventsAndSensors = true

EnableNvramWrite = false

EnableAclLogging = false

AllowSensorBlock = false

BlockMaxEntries = 250

MaxDeviceInterfaces = 250

State

BlockEnable = true

sensor#

show tech-support

現行システムの状況を表示するには、特権 EXEC モードで show tech-support コマンドを使用します。

show tech-support [page] [password] [ destination-url destination url ]

構文説明

page

出力は 1 度に 1 ページの情報が表示されます。Enter キーを押して次の出力行を表示するか、スペース バーを押して次ページの情報を表示します。 page を使用しない場合、出力は改ページなしで表示されます(オプション)。

password

出力にパスワードとその他のセキュリティ情報が表示されます。 password を指定しない場合、パスワードとその他のセキュリティ機密情報は、 <removed> (デフォルト)というラベルで置き換えられます(オプション)。

destination-url

情報を HTML でフォーマット化し、このタグに続く宛先に送信することを示すタグ。このオプションを選択しない場合、出力は画面に表示されません。(オプション)。

destination url

レポート ファイルの宛先。URL を指定すると、出力は HTML ファイルにフォーマット化されて、指定された宛先に送信されます。指定しない場合は画面に表示されます(オプション)。

デフォルト

「構文説明」の表を参照してください。

コマンド モード

EXEC

管理者

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

IOS バージョン 12.0 では、このコマンドの宛先部分はサポートされません。

宛先 URL の正確なフォーマットはファイルにより異なります。ファイル名を選択できますが、.html で終了する必要があります。

次の宛先タイプを指定できます。

ftp: :FTP ネットワーク サーバの宛先 URL。このプレフィックスの構文は、ftp:[[//username@location]/relativeDirectory]/filename または ftp:[[//username@location]//absoluteDirectory]/filename です。
scp: :SCP ネットワーク サーバの宛先 URL。このプレフィックスの構文は、scp:[[//username@]location]/relativeDirectory]/filename または scp:[[//username@]location]//absoluteDirectory]/filename です。

レポートには、次のコマンドからの HTML リンク出力が含まれています。

show interfaces
show statistics network-access
cidDump

次の例は、tech-support の出力を ~csidsuser/reports/sensor1Report.html ファイルに保存します。パスは、csidsuser のホーム アカウントを基準とします。

sensor# show tech support destination-url ftp://csidsuser@10.2.1.2/reports/sensor1Report.html password: *******

次の例は、tech-support の出力を /absolute/reports/sensor1Report.html ファイルに保存します。

sensor# show tech support destination-url ftp://csidsuser@10.2.1.2//absolute/reports/sensor1Report.html password: *******

show tls-fingerprint

サーバの TLS 証明書のフィンガープリントを表示するには、特権 EXEC モードで show tls-fingerprint を使用します。

show tls fingerprint

構文説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ、ビューア

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

このコマンドは、IPS 固有です。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、 show tls-fingerprint コマンドの出力を示します。

sensor# show tls fingerprint

MD5: 1F:94:6F:2E:38:AD:FB:2C:42:0C:AE:61:EC:29:74:BB

SHA1: 16:AC:EC:AC:9D:BC:84:F5:D8:E4:1A:05:C4:01:BB:65:7B:4F:FC:AA

sensor#

関連コマンド

コマンド

説明

tls generate-key

サーバの自己署名 X.509 証明書を再生成します。

show tls trusted-hosts

センサーの信頼できるホストを表示するには、特権 EXEC モードで show tls trusted-hosts コマンドを使用します。

show tls trusted-hosts [ id ]

構文説明

id

許可されたキーを一意に特定する 1 〜 32 文字の文字列。数字、「_」、および「-」は有効ですが、スペースと「?」は使用できません。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ、ビューア

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

オプションの ID を指定せずにこのコマンドを実行すると、システムで設定済みの ID のリストが表示されます。特定の ID を指定してコマンドを実行すると、その ID に関連付けられた証明書のフィンガープリントが表示されます。

このコマンドは、IPS 固有です。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、show tls trusted-hosts コマンドの出力を示します。

sensor# show tls trusted-hosts 172.21.172.1

MD5: 1F:94:6F:2E:38:AD:FB:2C:42:0C:AE:61:EC:29:74:BB

SHA1: 16:AC:EC:AC:9D:BC:84:F5:D8:E4:1A:05:C4:01:BB:65:7B:4F:FC:AA

sensor#

関連コマンド

コマンド

説明

tls trusted-host

信頼できるホストをシステムに追加します。

show users

現在 CLI にログインしているユーザに関する情報を表示するには、特権 EXEC モードで show users コマンドを使用します。

show users [ all ]

構文説明

all

ログイン状況に関係なく、システムで構成されているすべてのユーザ アカウントのリストを表示します(オプション)。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者、オペレータ、ビューア(自分のログインの表示のみ)

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

4.1

ロックされたアカウントを表示するようにアップデート。 show users all でのビューアの表示を制限。

使用上のガイドライン

CLI でこのコマンドを使用すると、ID、ユーザ名、および権限を表示できます。説明の横の「*」は現行ユーザを示します。カッコ「( )」で囲まれたユーザ名は、アカウントがロックされていることを示します。アカウントは、ユーザが連続して X 回、不正なパスワードを入力するとロックされます。ロックされたユーザのパスワードを password コマンドでリセットすると、アカウントのロックが解除されます。

同時にログインできる CLI ユーザの最大数は、プラットフォームによって異なります。

このコマンドの出力は、IOS 12.0 コマンドの場合とは異なります。

次の例は、 show users コマンドの出力を示します。

sensor# show users

CLI ID User Privilege

1234 notheruser viewer

* 9802 curuser operator

5824 tester administrator

次の例は、tester2 のユーザ アカウントがロックされていることを示します。

sensor# show users all

CLI ID User Privilege

1234 notheruser viewer

* 9802 curuser operator

5824 tester administrator

(tester2) viewer

foobar operator

次の例は、ビューアに対する show users all の出力を示します。

sensor# show users all

CLI ID User Privilege

* 9802 tester viewer

5824 tester viewer

関連コマンド

コマンド

説明

clear line

別の CLI セッションを終了します。

show version

すべてのインストールされている OS パッケージ、シグニチャ パッケージ、およびシステムで実行している IPS プロセスに関するバージョン情報を表示するには、特権 EXEC モードで show version コマンドを使用します。

show version

構文説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者 オペレータ、ビューア

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

show version コマンドの出力は IPS 固有で、IOS コマンドの出力とは異なります。回復パーティション情報は、アプライアンスでのみ使用可能です。

シリアル番号の後ろに、次のいずれかのライセンス情報が表示されます。

No license present

Expired license: <expiration-date>

Valid license, expires: <expiration-date>

Valid demo license, expires: <expiration-date>

失効するライセンスの形式は dd-mon-yyyy です(04-dec-2004 など)。

次の例は、 show version コマンドの出力を示します。

sensor# show version

Application Partition:

Cisco Intrusion Prevention System, Version 5.0(0.1)S91(0.1)

OS Version 2.4.26-IDS-smp-bigphys

Platform: IDS-4235

No license present

Sensor up-time is 6 days.

Using 701513728 out of 922509312 bytes of available memory (76% usage)

Using 527.6M out of 15.9G bytes of available disk space (3% usage)

Using 192.0k out of 31.0M bytes of available disk space (1% usage)

MainApp 2004_Aug_16_03.00 (Release) 2004-08-16T03:19:41-0500 Running

AnalysisEngine 2004_Aug_16_03.00 (Release) 2004-08-16T03:19:41-0500 Running

CLI 2004_Aug_16_03.00 (Release) 2004-08-16T03:19:41-0500

Upgrade History:

No upgrades installed

Recovery Partition Version 5.0.1.S91.0.1

sensor#

ssh authorized-key

現行ユーザに公開キーを追加し、クライアントが RSA 認証を使用してローカル SSH サーバにログインできるようにするには、グローバル構成モードで ssh authorized-key コマンドを使用します。このコマンドを no 形式で使用すると、システムから許可されたキーを削除できます。

ssh authorized-key id key-modulus-length public-exponent public-modulus

no ssh authorized-key id

構文説明

id

許可されたキーを一意に特定する 1 〜 256 文字の文字列。数字、「_」、および「-」は有効ですが、スペースと「?」は使用できません。

key-modulus-length

511 〜 2048 の範囲の ASCII 10 進整数。

public-exponent

3 〜 2^32 の範囲の ASCII 10 進整数。

public-modulus

ASCII 10 進整数。(2^(キーモジュラス長))< x <(2^(キーモジュラス長))の x 値。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

グローバル構成

管理者、オペレータ、ビューア

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

このコマンドにより、現行ユーザの既知のホスト テーブルにエントリが追加されます。キーを変更するには、エントリを削除し、再作成する必要があります。

このコマンドは、IPS 固有です。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、既知のホスト テーブルにエントリを追加する方法を示します。

sensor(config)# ssh authorized-key system1 1023 37 66022272955660983338089706716372943357082868686000817201780243492180421420781303592082950910170135848052503999393211250314745276837862091118998665371608981314792208604473991134136964287068231936192814852186409455741630613878646833511583591040494021313695435339616344979349705016792583146548622146467421997057

sensor(config)#

関連コマンド

コマンド

説明

ssh authorized-keys

現行ユーザの公開 RSA キーを表示します。

ssh generate-key

センサーで SSH サーバが使用するサーバ ホスト キーを変更するには、特権 EXEC モードで ssh generate-key コマンドを使用します。

ssh generate-key

構文説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

表示されるキーのフィンガープリントは、このセンサーと今後接続されるリモート SSH クライアントが SSH プロトコル バージョン 1.5 を使用している場合、リモート クライアントで表示されるフィンガープリントと一致します。

このコマンドは、IPS 固有です。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、新しい SSH サーバ ホスト キーを生成する方法を示します。

sensor# ssh generate-key

MD5: 49:3F:FD:62:26:58:94:A3:E9:88:EF:92:5F:52:6E:7B

Bubble Babble: xebiz-vykyk-fekuh-rukuh-cabaz-paret-gosym-serum-korus-fypop-huxyx

sensor#

関連コマンド

コマンド

説明

show ssh server-key

SSH サーバのホスト キーとホスト キーのフィンガープリントを表示します。

ssh host-key

既知のホスト テーブルにエントリを追加するには、グローバル構成モードで ssh host-key コマンドを使用します。モジュラス、指数、および長さを指定しない場合、要求された IP アドレスの MD5 フィンガープリントおよび Bubble Babble がシステムに表示されて、テーブルにキーを追加できます。このコマンドを no 形式で使用すると、既知のホスト テーブルからエントリを削除できます。

ssh host-key ipaddress [ key-modulus-length public-exponent public-modulus ]

no ssh host-key ipaddress

構文説明

ipaddress

ピリオドで区切られた 4 オクテットの 32 ビット アドレス。X.X.X.X、ここで X は 0 〜 255。

key-modulus-length

511 〜 2048 の範囲の ASCII 10 進整数。

public-exponent

3 〜 2^32 の範囲の ASCII 10 進整数。

public-modulus

ASCII 10 進整数。(2^(キーモジュラス長))< x <(2^(キーモジュラス長))の x 値。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

グローバル構成

管理者、オペレータ

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

ssh host-key コマンドを使用すると、既知のホスト テーブルにエントリを追加できます。IP アドレスのキーを変更するには、エントリを削除し、再作成する必要があります。

モジュラス、指数、および長さを指定しない場合、指定された IP アドレスの SSH サーバに接続して、要求されたキーをネットワーク経由で取得します。指定するホストは、コマンドを発行した時点でアクセス可能である必要があります。

このコマンドは、IPS 固有です。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、10.1.2.3 の既知のホスト テーブルにエントリを追加する方法を示します。

sensor(config)# ssh host-key 10.1.2.3

1024 35 139306213541835240385332922253968814685684523520064131997839905113640120217816869696708721704631322844292073851730565044879082670677554157937058485203995572114631296604552161309712601068614812749969593513740598331393154884988302302182922353335152653860589163651944997842874583627883277460138506084043415861927

sensor(config)#

次の例は、10.1.2.3 の既知のホスト テーブルにエントリを追加する方法を示します。

sensor(config)# ssh host-key 10.1.2.3

MD5 fingerprint is 49:3F:FD:62:26:58:94:A3:E9:88:EF:92:5F:52:6E:7B

Bubble Babble is xebiz-vykyk-fekuh-rukuh-cabaz-paret-gosym-serum-korus-fypop-huxyx

Would you like to add this to the known hosts table for this host? [yes]

sensor(config)#

関連コマンド

コマンド

説明

show ssh host-key

センサーが接続できるリモート SSH サーバの公開キーを含む既知のホスト テーブルを表示します。

terminal

ログイン セッションのターミナル プロパティを変更するには、特権 EXEC モードで terminal コマンドを使用します。

terminal [ length screen-length ]

構文説明

screen-length

画面の行数を設定します。マルチ画面出力時に一時停止する条件を判別するには、この値を使用します。値ゼロの場合は、出力が画面長を超えても一時停止しません。デフォルトは 24 行です。この値は、ログイン セッション間で保存されません。

デフォルト

「構文説明」の表を参照してください。

コマンド モード

EXEC

管理者、オペレータ、ビューア

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

terminal length コマンドを使用すると、 --more-- プロンプトが表示される前に、表示される行数を設定できます。

次の例は、マルチ画面表示の画面間で一時停止しないように CLI を設定します。

sensor# terminal length 0

sensor#

次の例は、マルチ画面表示の各画面について 10 行表示するように CLI を設定します。

sensor# terminal length 10

sensor#

tls generate-key

サーバの自己署名 X.509 証明書を再生成するには、特権 EXEC モードで tls generate-key を使用します。ホストで自己署名証明書を使用しない場合は、エラーが返されます。

tls generate-key

構文説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

EXEC

管理者

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

このコマンドは、IPS 固有です。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、サーバの自己署名証明書を生成する方法を示します。

sensor(config)# tls generate-key

MD5: 1F:94:6F:2E:38:AD:FB:2C:42:0C:AE:61:EC:29:74:BB

SHA1: 16:AC:EC:AC:9D:BC:84:F5:D8:E4:1A:05:C4:01:BB:65:7B:4F:FC:AA

sensor(config)#

関連コマンド

コマンド

説明

show tls-fingerprint

サーバの TLS 証明書のフィンガープリントを表示します。

tls trusted-host

信頼できるホストをシステムに追加するには、グローバル構成モードで tls trusted-host コマンドを使用します。

tls trusted-host ip-address ip-address [ port port ]

no tls trusted-host ip-address ip-address[ port port ]

no tls trusted-host id id

構文説明

ip-address

追加または削除するホストの IP アドレス。

port

接続するホストのポート番号。デフォルトはポート 443 です(オプション)。

デフォルト

「構文説明」の表を参照してください。

コマンド モード

グローバル構成

管理者、オペレータ

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

このコマンドを使用すると、要求されたホスト/ポートの現行のフィンガープリントを取得して、その結果を表示できます。追加が要求されているホストから直接取得した情報に基づいて、フィンガープリントを受け入れるか拒否するかを選択できます。

各証明書は、ID フィールド付きで保存されます。IP アドレスおよびデフォルト ポートの ID フィールドは ipaddress で、IP アドレスおよび指定ポートの ID フィールドは ipaddress:port です。

このコマンドは、IOS 12.0 以前にはありません。

次のコマンドは、信頼できるホスト テーブルに、IP アドレス 172.21.172.1、ポート 443 のエントリを追加します。

sensor(config)# tls trusted-host ip-address 172.21.172.1

Certificate MD5 fingerprint is D4:C2:2F:78:B5:C6:30:F2:C4:6A:8E:5D:6D:C0:DE:32

Certificate SHA1 fingerprint is 36:42:C9:1B:9F:A4:A8:91:7F:DF:F0:32:04:26:E4:3A:7A:70:B9:95

Would you like to add this to the trusted certificate table for this host? [yes]

Certificate ID: 172.21.172.1 successfully added to the TLS trusted host table.

sensor(config)#

コマンドが正常に終了すると、要求された証明書に関して保存された証明書 ID が表示されます。

次のコマンドは、IP アドレス 172.21.172.1、ポート 443 の信頼できるホスト エントリを削除します。

sensor(config)# no tls trusted-host ip-address 172.21.172.1

sensor(config)#

または、次のコマンドを使用して、IP アドレス 172.21.172.1、ポート 443 の信頼できるホスト エントリを削除できます。

sensor(config)# no tls trusted-host id 172.21.172.1

sensor(config)#

次のコマンドは、信頼できるホスト テーブルに、IP アドレス 10.1.1.1、ポート 8000 のエントリを追加します。

sensor(config)# tls trusted-host ip-address 10.1.1.1 port 8000

Certificate MD5 fingerprint is D4:C2:2F:78:B5:C6:30:F2:C4:6A:8E:5D:6D:C0:DE:32

Certificate SHA1 fingerprint is 36:42:C9:1B:9F:A4:A8:91:7F:DF:F0:32:04:26:E4:3A:7A:70:B9:95

Would you like to add this to the trusted certificate table for this host? [yes]

Certificate ID: 10.1.1.1:8000 successfully added to the TLS trusted host table.

sensor(config)#

コマンドが正常に終了すると、要求された証明書に関して保存された証明書 ID が表示されます。

次のコマンドは、IP アドレス 10.1.1.1、ポート 8000 の信頼できるホスト エントリを削除します。

sensor(config)# no tls trusted-host ip-address 10.1.1.1 port 8000

sensor(config)#

または、次のコマンドを使用して、IP アドレス 10.1.1.1、ポート 8000 の信頼できるホスト エントリを削除できます。

sensor(config)# no tls trusted-host id 10.1.1.1:8000

sensor(config)#

関連コマンド

コマンド

説明

show tls trusted-hosts

センサーの信頼できるホストを表示します。

trace

IP パケットが宛先に送信されるルートを表示するには、特権 EXEC モードで trace コマンドを使用します。

trace address [ count ]

構文説明

address

ルートをトレースするシステムのアドレス。

count

使用するホップ数。デフォルトは 4 です。有効な値は 1 〜 256 です。

デフォルト

「構文説明」の表を参照してください。

コマンド モード

EXEC

Command Types

管理者 オペレータ、ビューア

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

trace コマンドには、コマンド割り込みはありません。コマンドは完了するまで実行する必要があります。

次の例は、 trace コマンドの出力を示します。

sensor# trace 10.1.1.1

traceroute to 172.21.172.24 (172.21.172.24), 30 hops max, 40 byte packets 1 171.69.162.2 (171.69.162.2) 1.25 ms 1.37 ms 1.58 ms 2 172.21.172.24 (172.21.172.24) 0.77 ms 0.66 ms 0.68 ms

sensor#

upgrade

サービス パック、シグニチャ アップデート、またはイメージ アップグレードを適用するには、グローバル構成モードで upgrade コマンドを使用します。

upgrade source-url

構文説明

source-url

取得するアップグレードの場所。

デフォルト

デフォルトの動作または値はありません。

コマンド モード

グローバル構成

管理者

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

コマンドラインから、すべての必要なソースおよび宛先 URL 情報とユーザ名を入力できます。コマンド( upgrade )の後にプレフィックス(ftp: または scp:)だけを入力した場合は、適用されるパスワードを含む、不足している情報についてのプロンプトが表示されます。

ディレクトリは、必要なファイルへの絶対パスで指定する必要があります。アップグレードを繰り返す場合は、ファイル名を指定しないでください。指定した曜日の指定した時間に、繰り返しアップグレードを行うようにセンサーを設定できます。または、最初のアップグレードから指定した時間が経過した後で繰り返しアップグレードを行うように設定できます。

ソースを指定する場合は、次のガイドラインに従います。

ftp: :FTP ネットワーク サーバのソース URL。このプレフィックスの構文は、ftp:[[//username@]location]/relativeDirectory/filename または ftp:[[//username@]location]//absoluteDirectory/filename です。
http: :Web サーバのソース URL。このプレフィックスの構文は、http:[[//username@]location]/directory]/filename です。
https: :Web サーバのソース URL。このプレフィックスの構文は、https:[[//username@]location]/directory]/filename です。

HTTPS プロトコルを使用するには、TLS を使用する信頼できるホストをセットアップする必要があります。詳細については、コマンドを参照してください。

scp: :SCP ネットワーク サーバのソース URL。このプレフィックスの構文は、scp:[[//username@]location]/relativeDirectory]/filename または scp:[[//username@]location]/absoluteDirectory]/filename です。

このコマンドは、IOS 12.0 以前にはありません。

次の例は、センサーに対して、指定されたアップグレードをすぐに確認するよう指示します。ディレクトリとパスは tester のユーザ アカウントを基準とします。

sensor(config)# upgrade scp://tester@10.1.1.1/upgrade/sp.rpm

Enter password: *****

Re-enter password: ****

username

ローカル センサーのユーザを作成するには、グローバル構成モードで username コマンドを使用します。ユーザを作成するには、管理者になる必要があります。このコマンドを no 形式で使用すると、センサーからユーザを削除できます。この場合、ユーザは CLI と Web アクセスの両方から削除されます。

username name [ password password ] [privilege privilege]

no username name

構文説明

name

ユーザ名を指定します。有効なユーザ名の長さは 1 〜 64 文字です。ユーザ名の先頭は、英数字にする必要があります。その他の文字には、すべての文字を使用できます。

password

ユーザのパスワードを指定します。有効なパスワードの長さは 6 〜 32 文字です。スペースおよび「?」以外のすべての文字を使用できます。

privilege

ユーザの権限レベルを指定します。使用できるレベルは、サービス、管理者、オペレータ、ビューアで、デフォルトはビューアです。

デフォルト

「構文説明」の表を参照してください。

コマンド モード

グローバル構成

管理者

コマンド履歴

リリース

修正

4.0

このコマンドを導入。

使用上のガイドライン

username コマンドを使用すると、ログインだけを目的としたユーザ名またはパスワード、またはその両方を認証できます。このコマンドを実行しているユーザは、自分自身を削除できません。

コマンドラインでパスワードを指定しなかった場合は、プロンプトが表示されます。 password コマンドを使用すると、現行ユーザまたはシステムの既存のユーザのパスワードを変更できます。 privilege コマンドを使用すると、システムの既存のユーザの権限を変更できます。

次の例は、ビューア レベルの権限とパスワード testpassword を持つユーザ tester を追加します。

sensor(config)# username tester password testerpassword

次の例は、入力パスワードが保護されていることを示します。

sensor(config)# username tester

Enter Login Password: **************

Re-enter Login Password: **************

次の例は、ユーザ「tester」の権限をオペレータに変更します。

sensor(config)# username tester privilege operator

関連コマンド

コマンド

説明

password

ローカル センサーのパスワードを更新します。

privilege

既存のユーザの権限レベルを変更します。


[an error occurred while processing this directive]