概要
このドキュメントでは、Cisco Security Manager 内での Cisco Intrusion Prevention System(IPS)の問題に関する、共通の問題と解決策について説明しています。
前提条件
要件
このドキュメントに関しては個別の要件はありません。
使用するコンポーネント
このドキュメントの情報は、Cisco Security Manager バージョン 4.3 に基づいています。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
関連製品
このドキュメントでは、Cisco Security Manager 4.3 で見つかった一般的な問題について説明します。 このドキュメントでは、Cisco Security Manager バージョン 4.3 に重点を置いていますが、同じ問題とソリューションが他のバージョンにも適用可能です。
IPS に接続できない
問題
Cisco Security Manager を介して IPS に接続できません。 ただし、Cisco Security Manager サーバからセキュア シェル(SSH)と IPS Device Manager(IDM)には接続できます。
解決策
IPS が現在の X.509 証明書を使用していることを確認します。 証明書のバージョンを確認するには、IPS CLI で show version コマンドを実行します。 証明書が期限切れの場合は、新しい証明書を取得するために tls generate-key コマンドを実行します。 キーの生成後、IPS 証明書をインポートします。
7.1(6)E4 へのアップグレード後に AIP-SSM センサーが認識されない
問題
Cisco Security Manager バージョン4.3 で Cisco ASA Advanced Inspection and Prevention Security Services Module(AIP-SSM)モジュールをバージョン7.1(6) E4 にアップグレードした後、Cisco Security Manager が AIP-SSM センサーを認識しません。
解決策
この問題を解決するには、7.1 IPS ソフトウェアで AIP-SSM をサポートできるように、Cisco Security Manager バージョン 4.3 サービス パック 1、またはサービス パック 2 を、Cisco Security Manager サーバにインストールする必要があります。
IPS シグネチャが Grace Period で自動更新されない
問題
IPS が猶予期間内であるのに、Cisco Security Manager が IPS シグニチャ イベントを自動更新しません。
解決策
センサーが猶予期間内にある場合、Cisco Security Manager はシグニチャを自動更新しません。 この問題を解決するには、Cisco Security Manager インターフェイスで [Tools] > [Apply IPS updates] を選択して、シグニチャを手動で更新します。
IPS デバイスへの多量の Radius リクエスト
問題
Cisco Security Manager から IPS デバイスに多量の RADIUS リクエストが送信されます。
解決策
この問題は、Cisco Security Manager がモニタ対象デバイスを急速にポーリングした場合に発生します。 デフォルトでは、Cisco Security Manager のイベント モニタリング(イベンティング)機能の影響を受けるバージョンは、モニタ対象デバイスに毎秒数回のポーリングを試みることができます。 他の Cisco Security Manager のモニタ機能(ヘルス状態とパフォーマンスのモニタリングやレポート マネージャ)が有効になっている場合は、追加のデバイスのポーリングが発生します。
この問題を解決するために、デフォルトの待機時間(スリープ インターバル)を変更できます。 デバイス ポーリング間隔のデフォルトのスリープ インターバルは、250 ミリ秒に設定されます。 この値は、手動でさらに大きな値や適切な値に変更できます。 待機時間の値を変更するには、Cisco Security Manager サーバ上でコミュニケーション プロパティ ファイルを編集します。 このファイルは、< NMSROOT>\MDC\eventing\config\communication.properties にあります。
コミュニケーション プロパティ ファイルで、SLEEP_INTERVAL_SYNCH_CALLS=250 を SLEEP_INTERVAL_SYNCH_CALLS=2000 に置き換えます。
注: この値は、ミリ秒(ms)単位で指定します。 したがって、2000 は 2 秒に相当します。
注意: このファイルを編集するときには慎重に行ってください。 上記以外でこのファイルを変更すると、Cisco Security Manager に望ましくない影響が及ぶ可能性があります。
ファイルを変更して保存した後、すべての Cisco Security Manager クライアント アプリケーションが閉じられていることを確認し、Cisco Security Manager Daemon Manager(CRMDmgtd)サービスを再起動します。
関連情報