この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、ACE のシステム ログ メッセージをリストで示します。メッセージは、メッセージ コードの番号順で記載されています。
ACE のシステム ログ メッセージで使用される主な変数のリストについては、「システム メッセージ ロギングの設定」の 表1-2 を参照してください。ACE のシステム ログ メッセージを重大度の順に記載したリストについては、「重大度別メッセージ」を参照してください。
ここでは、106021 ~ 199006 のメッセージについて説明します。
説明 攻撃が進行中です。着信接続において IP アドレスのスプーフィングを試みている人物がいます。ルートで表される送信元アドレスを持たないパケットは、逆ルート ルックアップとしても知られているユニキャスト Reverse Path Forwarding(RPF)によって検出され、ACE への攻撃の一部であると見なされます。
ip verify reverse-path コマンドでユニキャスト RPF をイネーブルにすると、このメッセージが表示されます(『Cisco Application Control Engine Module Security Configuration Guide』を参照)。RPF は、インターフェイスに送信されるパケットに対して作用します。このコマンドを外部に対して作用するように設定した場合、外部から着信するパケットが ACE によってチェックされます。
ACE では、送信元アドレスに基づいてルートをルックアップします。エントリが見つからず、またルートが特定できない場合は、システム ログ メッセージが表示され、接続が破棄されます。
ルートが特定できる場合、そのインターフェイスにどのインターフェイスが対応しているかが ACE によってチェックされます。パケットが別のインターフェイスから着信した場合、それはスプーフィングであるか、または宛先へのパスが複数ある非対称ルーティング環境が存在しています。ACE では、非対称ルーティングはサポートされていません。
ACE が内部インターフェイス上で設定されていると、スタティック ルート コマンド文または RIP が ACE によってチェックされます。そして、送信元アドレスが見つからなかった場合は、内部ユーザがそのユーザに割り当てられているアドレスでスプーフィングを行っています。
推奨処置 攻撃が進行中であっても、この機能がイネーブルになっていれば、ユーザが対処する必要はありません。ACE は攻撃を撃退します。
説明 IP パケットが ACL によって拒否されました。このメッセージは、ACL に対してログ オプションがイネーブルに設定されていない場合でも表示されます。パケットが入力 ACL にヒットした場合、発信インターフェイスには通知されません。この場合、ACE は発信インターフェイスを不明として表示します。NAT で使用される場合、送信元 IP アドレスおよび宛先 IP アドレスは、それぞれ入力 ACL および出力 ACL 用の非マッピング アドレスとマッピング アドレスとなります。
hash 1 フィールドは、32 ビット 16 進数(0x nnnnnnnn )の MD5 ハッシュ値で、ACE は、ACL が設定されると直ちに access-list コマンドから算出します。ACE は、拒否 syslog メッセージ内にこのハッシュ値を含めて、 show access-list name detail コマンド出力の syslog の原因となった ACL エントリを識別できるようにします。このハッシュ値は、行番号に依存しません。
hash 2 フィールドは、16 ビット 16 進数(0xnnnn)のMD5 ハッシュ値です。この値は、ACE が ACL で設定したオブジェクト グループから作成される拡張アクセス リスト エントリにより、算出されます。インターフェイス上で ACL をアクティブにすると、ACE は hash 2 値を算出します。オブジェクト グループがない ACL の場合、 hash 2 値は常に 0x0 となります。また、ACE は、拒否 syslog メッセージ内に hash 2 値も含めることにより、syslog の原因となった拡張 ACL エントリを識別できるようにします。このハッシュ値も、行番号に依存しません。syslog の原因となった拡張 ACL エントリを一意に識別するには、 show access-list name detail コマンド出力で hash 1 および hash 2 両方の 16 進数値に一致する エントリを検索する必要があります。
リブート後に、拒否 syslog メッセージ内と、 show access-list detail コマンド出力での間に起こり得るハッシュ番号の不一致を避けるため、ACL に個々のエントリを設定する際には、タブ補完を使用するか、CLI にすべてのキーワードを入力してください。
推奨処置 同じ送信元アドレスからのメッセージが続く場合は、リモート ホストの管理者に連絡してください。このようなメッセージは、フット プリンティングまたはポートスキャンが行われている可能性があります。
説明 Access Control List(ACL; アクセス コントロール リスト)のコンパイル処理でメモリが不足したために、新しい ACL エントリを特定のインターフェイスに適用できなくなりました。ハードウェア内でそのインターフェイス用にダウンロードされた ACL 設定が、この障害が原因で、既知の状態にならない場合があります。
推奨処置 いくつかの ACL エントリを削除して、必要な設定のためのメモリを確保します。既知の状態を回復するには、影響を受けたインターフェイスを削除してから再作成する必要があります。
説明 このメッセージでは、ACE のリロード レコードおよびリロードの原因がログに記録されます。
reason では、リロードの発生した原因が説明されます。次の事項が原因になる可能性があります。
The when 変数は、リロード動作を規則的に開始する時刻を指定します。
whom 変数には、 reload コマンドを入力したユーザの名前を指定します。リロードが別の原因で発生した場合は、[System] が指定されます。
ここでは、212007 ~ 254002 のメッセージについて説明します。
説明 これは、SNMP デーモンの初期化に失敗したときにログに記録される SNMP メッセージです。SNMP デーモンは、デバイスの初期化中に作成されます。
• loading mib module(mib モジュールのロード)
• performing mts_bind(mts_bind の実行)
• performing mts_options_set(mts_options_set の実行)
• initializing kernel memory map(カーネル メモリ マップの初期化)
• registering read/write file descriptor(読み取り/書き込みファイル記述子の登録)
• creating socket endpoint(ソケット エンド ポイントの作成)
• creating daemon process(デーモン プロセスの作成)
推奨処置 ACE を再起動します(詳細については、『 Cisco Application Control Engine Module Administration Guide 』を参照してください)。それでもまだ SNMP デーモンの初期化に失敗する場合は、Cisco TAC に連絡して、 show processes コマンドと show np コマンドの出力を提出してください。
説明 これは、SNMPD プロセスでのメモリ割り当てに失敗した場合に、ログに記録される SNMP メッセージです。このエラーが発生すると、SNMPD プロセス(たとえば、SNMP Get/GetNext 応答、トラップ生成、または SNMP CLI)が影響を受ける場合があります。
推奨処置 show system コマンドを使用してシステム メモリをチェックします。ACE のメモリが不足した場合は、ACE を再起動します(詳細については、『 Cisco Application Control Engine Module Administration Guide 』を参照してください)。メモリが不足していない場合は、Cisco TAC に連絡して、 show system resources コマンドと show processes cpu memory コマンドの出力を提出してください。
説明 ACE には、特定のプローブ設定をサポートするだけの十分なメモリがありません。設定マネージャによってプローブ設定がヘルス モニタ モジュールへ送信される場合、ヘルス モニタ モジュールはプローブを設定するメモリを予約する必要があります。ヘルス モニタでプローブを設定するときにメモリが不足すると、syslog メッセージが送信されます。
説明 ポート P 上にあるサーバ A.B.C.D のスクリプト化されたヘルス プローブに対して、空のスクリプトが設定されました。
推奨処置 適切なプローブ情報を含むスクリプト ファイルをアップデートし、読み込みを解除してからスクリプトをリロードします(詳細については『 Cisco Application Control Engine Module Server Load-Balancing Configuration Guide 』を参照してください)。また、空ではないスクリプトを使用するヘルス プローブを再設定することもできます。
説明 ACE は、ロードする必要があるスクリプト ファイルを検出できません。
推奨処置 新しいスクリプト ファイルを作成し、古いファイルの読み込みを解除してから、新しいファイルをロードします(詳細については『 Cisco Application Control Engine Module Server Load-Balancing Configuration Guide 』を参照してください)。
説明 サーバ A.B.C.D. のポート P 上で設定されたサービスは、プローブの実行中に ACE で内部エラーが発生すると、ヘルス チェックで不合格になります。エラーはシステムの内部で発生するため、サーバの健全性が実際にどのようになっているかは不明です。
error message の可能性のある変数の値は、次のようになります。
• failed to setup a socket(ソケットの設定に失敗)
• failed to allocate memory(メモリ割り当てに失敗)
• failed to create SSL context(SSL コンテキストの作成に失敗)
• failed to create SSL context(SSL セッションの作成に失敗)
• failed to assign socket to SSL session(SSL セッションへのソケットの割り当てに失敗)
• failed to build a server query(サーバ クエリーの作成に失敗)
• failed to initialize LDAP(LDAP の初期化に失敗)
• failed to bind to LDAP(LDAP の作成に失敗)
• invalid probe request(無効なプローブ要求)
• failed to set LDAP option(LDAP オプションの設定に失敗)
説明 サーバ A.B.C.D. のポート P 上で設定されたサービスは、ICMP プローブの実行中に ACE で内部エラーが発生すると、ヘルス チェックで不合格になります。エラーはシステムの内部で発生するため、サーバの健全性が実際にどのようになっているかは不明です。
error message の可能性のある変数の値は、次のようになります。
• general encap-decap failure(一般的な encap-decap の失敗)
• received bad file descriptor(不正なファイル記述子を受信)
• data entry being modified(データ エントリが変更中)
説明 サーバ A.B.C.D. のポート P 上で設定されたサービスは、ネットワークの問題が原因でプローブがサーバに到達できないと、ヘルス チェックで不合格となります。
説明 設定された実サーバ A.B.C.D. は、ネットワーク接続の問題が原因で ICMP ヘルス プローブがサーバに到達できないと、ヘルス チェックで不合格になります。
error message の可能な変数の値は、次のようになります。
• host unreachable, no route found to destination(到達不可能なホスト、宛先へのルートが不明)
• ARP not resolved for destination ip address(宛先 IP アドレスで ARP が解決不能)
• interface has no ip address(インターフェイスの IP アドレスが不明)
• ICMP host unreachable(ICMP ホストに到達不能)
説明 サーバ A.B.C.D. のポート P 上で設定されたサービスは、サーバ応答が予期されたものでないと、ヘルス チェックで不合格になります。
error message の可能な変数の値は、次のようになります。
• connection reset by server(サーバによる接続のリセット)
• connection refused by server(サーバによる接続の拒否)
• authentication failed(認証に失敗)
• unrecognized or invalid response(認識不能または無効な応答)
• server reply timeout(サーバ応答のタイムアウト)
• graceful disconnect timeout (no FIN ACK)(正常な切断タイムアウト:FIN ACK なし)
• user defined Reg-Exp was not found in host response(ホスト応答内でユーザ定義 Reg-Exp が不明)
• expect status code mismatch(予期したステータス コードとミスマッチ)
• received invalid status code(不正なステータス コードを受信)
• MD5 checksum mismatch(MD5 チェックサムがミスマッチ)
• invalid server greeting(不正なサーバ グリーティング)
説明 設定された実サーバ A.B.C.D. は、ICMP サーバ応答が予期されたものでないと、ヘルス チェックで不合格になります。
error message 可能な変数の値は、次のようになります。
• ICMP time exceeded(ICMP 時間超過)
• received ICMP Echo request(ICMP エコー要求を受信)
• received ICMP Stale packet(ICMP Stale パケットを受信)
• received unexpected ICMP packet type(予期しない種類の ICMP パケットを受信)
• received packet is too short(短すぎるパケットを受信)
• received packet is too long(長すぎるパケットを受信)
説明 ACE でロードしようとしたスクリプト ファイルを読み取れません。ファイルが破損している可能性があります。
推奨処置 ファイルの内容が正しいことを確認します。正しい場合は、読み込みを解除してからスクリプト ファイルをリロードします(詳細については『 Cisco Application Control Engine Module Server Load-Balancing Configuration Guide 』を参照してください)。必要に応じて、新しいスクリプト ファイルを作成します。古いファイルの読み込みを解除してから、新しいファイルをロードします。
説明 ACE でスクリプト ファイルのサイズを確認できなかった場合に、このメッセージがログに記録されます。スクリプト ファイルをロードするには、ACE で、適切な量のメモリを割り当てるためにファイルのサイズを確認する必要があります。
推奨処置 ファイルの内容が正しいことを確認します。正しい場合は、読み込みを解除してからスクリプト ファイルをリロードします(詳細については『 Cisco Application Control Engine Module Server Load-Balancing Configuration Guide 』を参照してください)。必要に応じて、新しいスクリプト ファイルを作成します。古いファイルの読み込みを解除してから、新しいファイルをロードします。
説明 クライアント認証がイネーブルに設定されている場合、SSL ハンドシェイク中にこのメッセージがログに記録されます。ACE によって、証明書の期限が満了していることが確認されます。
説明 クライアント認証がイネーブルに設定されている場合、SSL ハンドシェイク中にこのメッセージがログに記録されます。ACE によって、証明書が現在無効であることが確認されます。
説明 クライアント認証がイネーブルに設定されている場合、SSL ハンドシェイク中にこのメッセージがログに記録されます。ACE によって、証明書に不明な Certificate Authority(CA; 認証局)があることが確認されます。
説明 クライアント認証がイネーブルに設定されている場合、SSL ハンドシェイク中にこのメッセージがログに記録されます。ACE によって、CA が証明書を取り消したことが確認されます。
説明 クライアント認証がイネーブルに設定されている場合、SSL ハンドシェイク中にこのメッセージがログに記録されます。ACE によって、証明書のシグニチャが無効であることが確認されます。
説明 クライアント認証がイネーブルに設定されている場合、SSL ハンドシェイク中にこのメッセージが ログに記録されます。ACE によって、証明書が無効であるか、または存在しないことが確認されます。
説明 ACE が期限満了している証明書を使用しようとした場合、このメッセージがログに記録されます。X509 証明書には、固定のライフタイムがあります。ACE が SSL ハンドシェイクで期限が満了した証明書を使用すると、クライアントは接続を拒否する可能性があります。 file_name 引数は、証明書が常駐しているファイル名です。
説明 ACE が CRL の取得に失敗した場合、このメッセージがログに記録されます。SSL クライアント認証に CRL チェックが定義されている場合、ACE は CRL を定期的に取得します。さまざまな理由により、これらの試行が失敗する場合があります。 crl_name 変数は、 crypto crl コマンドにより定義される CRL の名前です。
説明 証明書と鍵が一致しない場合、このメッセージがログに記録されます。この結果、SSL ハンドシェイクは失敗となり、ACE は設定内の不一致な証明書および鍵をダウンロードしません。X509 証明書には、一致する秘密鍵があります。 certificate_name 変数は、証明書ファイルの名前です。 key_file 変数は、鍵ファイルの名前です。
推奨処置 正しい証明書および鍵が、SSL プロキシ サービスで使用中であることを確認します。必要に応じて、正しいファイルを含めるように SSL プロキシ サービスを変更します。
説明 このメッセージは、指定されたコンテキスト( context_id )で使用中の ACL リソースが、リソース クラスで許可されている上限を超過していることを示しています。
説明 このメッセージは、指定されたコンテキスト( context_id )で、要求された最小 ACL リソースが保証されなかったことを示しています。
推奨処置 グローバル管理者に連絡をして、別のコンテキスト管理者により ACL リソースを開放してもらうよう要求してください。
ここでは、302022 ~ 327001 のメッセージについて説明します。
説明 これは、2 つのホスト間で TCP 接続スロットが作成されたときにログに記録される、情報メッセージです。このメッセージはコントロール プレーンによりフォーマット化されます。
説明 これは、2 つのホスト間で TCP 接続スロットが終了したときにログに記録される、情報メッセージです。
reason 変数は、接続の終了を引き起こす動作を指定します。 表2-1 に、TCP の終了の原因を示します。
|
|
---|---|
説明 2 つのホスト間で UDP 接続スロットが削除されました。このメッセージはコントロール プレーンによりフォーマット化されます。
reason 変数では、接続の終了を引き起こす動作を指定します。 表2-1 に、TCP の終了の原因を示します。
説明 ACE module は、FTP トラフィックで厳密な検査を使用しています。このメッセージは、 ftp-map コマンドからの厳密な FTP インスペクション ポリシーにより、FTP の request コマンドが拒否された場合に表示されます。
説明 ACE module は、FTP トラフィックで厳密な FTP インスペクションを使用しています。このメッセージは、FTP 要求メッセージ内にデバイスにより認識されないコマンドが含まれる場合に表示されます。
説明 これは、指定されたホストが指定された URL にアクセスしようとしたときにログに記録される、URL メッセージです。
説明 アドレス変換スロットが作成されました。スロットは、ローカル側からグローバル側への送信元アドレスを変換します。また、逆方向では、グローバル側からローカル側への宛先アドレスも変換します。
説明 セキュリティ チェックはステートフル ICMP 機能により追加されたので、ICMP パケットは ACE によって破棄されました。これらの ICMP パケットは、次の理由によって破棄されます。
• 受信された ICMP エコー応答に、すでに ACE を通過した有効なエコー要求がありません。
• 受信された ICMP エラー メッセージは、すでに ACE で確立された TCP、UDP、または ICMP セッションに関連付けられていません。
説明 ACE のコントロール プレーンで実行中の ICMP Manager を起動できません。
• Timer creation failed.(タイマーの作成に失敗しました)
• MTS initialization failed.(MTS の初期化に失敗しました)
• Error while opening system call.(システム コールをオープン中のエラーです)
• Error while mapping buffer manager memory.(マッピング バッファ マネージャのメモリのエラーです)
• Encap/Decap registration failed.(Encap/Decap の登録に失敗しました)
推奨処置 ACE では、カードを自動的に再起動する必要があります。再起動されない場合は、手動で再起動します。それでもまだ問題がある場合は、Cisco TAC に連絡して、 show tech-support コマンドの出力を提出してください。
• No memory available to create ping free list.(PING フリー リストの作成に利用できるメモリがありません)
• No memory from buffer manager.(バッファ マネージャのメモリがありません)Cannot send packet.(パケットを送信できません。)
• No memory available for ping block.(PING ブロッキングに利用できるメモリがありません)
• Possible memory corruption.(メモリが破損している可能性があります)
推奨処置 ACE を再起動します(詳細については、『 Cisco Application Control Engine Module Administration Guide 』を参照してください)。それでもまだ問題がある場合は、Cisco TAC に連絡して、次のコマンドの出力を提出してください。
• 「No memory from buffer manager.(バッファ マネージャのメモリがありません。)Cannot send packet.(パケットを送信できません)」というメッセージが表示された場合、 show buffer usage コマンドおよび show buffer stats コマンドで生成された出力を提供します。
• その他のメッセージが返された場合は、 show process cpu memory コマンドで生成された出力を提供します。
説明 ACE が、指定されたインターフェイスにおいて原因になっている MAC アドレスからのパケットを受信しましたが、パケットの送信元 MAC アドレスは現在の設定に含まれる別のインタフェースに静的にバインドされています。この状況は、MAC スプーフィング攻撃または誤った設定によって発生する可能性があります。
説明 ARP インスペクションがイネーブルにされている場合、ACE では、ARP パケットをフォワーディングする前に、パケット内でアドバタイズされた新しい ARP エントリが静的に設定または動的に学習される IP-MAC アドレス バインディングに準拠しているかどうかがチェックされます。このチェックで不合格になった場合、ACE では ARP パケットをドロップしてこのメッセージが生成されます。この状況は、ネットワーク内での ARP スプーフィング攻撃または無効な設定(IP-MAC バインディング)によって発生する可能性があります。
推奨処置 原因が攻撃の場合、ACL を使用してホストを拒否します。原因が無効な設定の場合は、バインディングを修正します(詳細については『 Cisco Application Control Engine Module Routing and Bridging Configuration Guide 』を参照してください)。
説明 ARP インスペクションがイネーブルにされている場合、ACE では、ARP パケットをフォワーディングする前に、パケット内でアドバタイズされた新しい ARP エントリが静的に設定された IP-MAC アドレス バインディングに準拠しているかどうかがチェックされます。このチェックで不合格になった場合、ACE では ARP パケットをドロップしてこのメッセージが生成されます。この状況は、ネットワーク内での ARP スプーフィング攻撃または無効な設定(IP-MAC バインディング)によって発生する場合があります。
推奨処置 原因が攻撃の場合、ACL を使用してホストを拒否します。原因が無効な設定の場合は、バインディングを修正します(詳細については『 Cisco Application Control Engine Module Routing and Bridging Configuration Guide 』を参照してください)。
説明 Encap テーブルのサイズは、32,000 エントリに制限されています。この制限に到達した後でカプセル化エントリを割り当てようとすると、このメッセージがログに記録されます。
ここでは、400000 ~ 444007 のメッセージについて説明します。
説明 Cisco Intrusion Detection System のシグニチャ メッセージです。
推奨処置 詳細については、『 Cisco Intrusion Detection System User Guide 』を参照してください。
説明 ACE が ARP パケットを受信しましたが、パケットの MAC アドレスが ARP キャッシュのエントリと異なっています。
推奨処置 このトラフィックは正規のものである場合と、ARP ポイゾニング攻撃が進行中であることを示している場合の 2 通りあります。送信元 MAC アドレスをチェックして、パケットの送信元と、そのホストが正当であるかどうかを確認してください。
説明 クライアントが FTP port コマンドを発行し、1024 未満のポート番号(通常、サーバ ポート専用の well-known ポート範囲)を指定しました。このエラー メッセージは、サイトのセキュリティ ポリシーを回避しようと試みていることを示しています。Cisco ASA はこのパケットをドロップし、接続を終了して、このイベントを記録します。
説明 クライアントが FTP port コマンドを発行し、接続で使用されているアドレス以外のアドレスを指定しました。このエラー メッセージは、サイトのセキュリティ ポリシーを回避しようと試みていることを示しています。カッコ内のアドレスは、 port コマンドからのアドレスです。たとえば、攻撃者が転送されたパケットを変更し、正しいソース情報の代わりに別のソース情報を設定することにより、FTP セッションをハイジャックしようとしている場合があります。セキュリティ アプライアンスはこのパケットをドロップし、接続を終了して、このイベントを記録します。
説明 ドメイン名の長さが UDP DNS パケット内で 255 バイトを超えています(RFC 1035 セクション 3.1 を参照)。
説明 ACE は、ホストがあるモジュール インターフェイスから別のインターフェイスに移動したことを検出しました。透過的な ACE では、ホスト(MAC)と ACE ポート間のマッピングは、レイヤ 2 転送テーブルで維持管理されます。このテーブルでは、パケットの送信元 MAC アドレスは、ACE ポートに動的にバインドされます。このバインディング処理の間に、ホストが 1 つのインターフェイスから別のインターフェイスに移動したことが検出されると、このエラー メッセージが生成されます。
推奨処置 ホストの移動は有効である場合と、他のインターフェイス上にあるホストの MAC をスプーフィングしようとする場合の 2 通りあります。次のいずれかの処置を行います。
• 正当なホスト移動である場合であれば、処置は必要はありません。
• MAC スプーフィングが試行されている場合は、攻撃されやすいホストをネットワーク上で特定してそれを削除するか、または静的な MAC エントリを設定します。静的な MAC エントリを設定すると、MAC アドレスとポートのバインディングは変更できなくなります。
説明 match content-type-verification コマンドが設定され、コンテンツタイプの HTTP ヘッダー フィールドの MIME タイプが、許可タイプのポリシー リストで検出されました。ただし、メッセージ本文の予想番号が正しい番号ではないため、このタイプのファイルを識別できません。この動作は異常であり、この接続によって機密データの盗難が試みられた可能性があります。
説明 HTTP パーサーが、HTTP メッセージの最初の数バイト中に有効な HTTP メッセージを検出できません。ユーザは、HTTP トランザクション用のポート上でプロトコルを実行している可能性があります。この動作は、ユーザが設定したポリシーに違反します。
説明 HTTP コンテンツで、トンネリング プロトコルが検出されました。ユーザは、HTTP をトランスポートとして使用して、トンネリング プロトコルを実行している可能性があります。この動作は、ユーザが設定したポリシーに違反します。
説明 インスタント メッセンジャー プロトコルで、HTTP コンテンツが検出されました。ユーザは、HTTP をトランスポートとして使用して、インスタント メッセンジャー プロトコルを実行している可能性があります。この動作は、ユーザが設定したポリシーに違反します。
説明 HTTP コンテンツで、ピアツーピア プロトコルが検出されました。ユーザは、HTTP をトランスポートとして使用して、ピアツーピア プロトコルを実行している可能性があります。この動作は、ユーザが設定したポリシーに違反します。
説明 SNMP シャドウ テーブルの追加に関するエラーが発生しました。SNMP の Get/Get-Next 要求は、 variable 1 によって指定された名前のテーブル上で失敗した可能性があります。
推奨処置 システム内でメモリ関連の情報をチェックします。 show processes cpu memory コマンドを入力して、出力の [MemAlloc] カラムにある情報を確認してください。
説明 SNMP シャドウ テーブルの削除に関するエラーが発生しました。削除エラーは、メモリ リーク、または variable 2 によって指定された名前のテーブルで、その後の Get/Get-Next 要求に対して不正な値、あるいは存在しない値が返されたのが原因で生じる場合があります。
推奨処置 システム内でメモリ関連の情報をチェックしてください。 show processes cpu memory コマンドを実行して、出力の [MemAlloc] カラムにある情報を確認してください。
説明 サーバファームのフェールオーバー イベントが発生しました。 name 変数は、サーバファームの名前です。 count1 変数は、プライマリ サーバファームがバックアップ サーバファームにフェールオーバーした回数です。 count2 変数は、プライマリ サーバファームがサービスを再開した回数です。
説明 稼働中のサーバファームのイベントが発生しました。 name 変数は、サーバファームの名前です。 count1 変数は、プライマリ サーバファームがバックアップ サーバファームにフェールオーバーした回数です。 count2 変数は、プライマリ サーバファームがサービスを再開した回数です。
説明 このメッセージでは、実サーバの状態変化が報告されます。
• outOfService since max connection reached(最大接続数に達したのでアウトオブサービス)
• outOfService since retcode threshold reached(retcode しきい値に達したのでアウトオブサービス)
説明 指定されたライセンスのファイル名で、ライセンスのインストールが完了しました。
推奨処置 このライセンスがインストールされたことを確認するには、 show license usage コマンドを使用します。
説明 指定されたライセンスのファイル名のアンインストールが完了しました。
推奨処置 このライセンスがアンインストールされたことを確認するには、 show license usage コマンドを使用します。
説明 指定されたライセンスは、残り日数および残り時間で表示されている指定期間の経過後、評価期間が終了します。このライセンスの期間満了後は、ライセンス機能に固有のすべての設定が削除されます。
説明 Revision 6 以前のハードウェアにインストールされた 16G スループット ライセンスは、次回 ACE をリブートするまで有効になりません。
ここでは、504001 ~ 504002 のメッセージについて説明します。
ここでは、607001 ~ 615004 のメッセージについて説明します。
説明 このメッセージは、Session Initiation Protocol(SIP)セッションでネゴシエーションされたメディア ストリームを許可するため、接続が事前割り当てされる場合に生成されます。
説明 このメッセージは、ACE が SIP パケットを許可またはドロップする、もしくは SIP コントロール接続(TCP 上である場合)をリセットする場合に生成され、ログ処理が設定されます。
説明 このメッセージは、Skinny Client Control Protocol(SCCP)セッションでネゴシエーションされたメディア ストリームを許可するため、接続が事前割り当てされる場合に生成されます。
説明 このメッセージは、SCCP トラフィック上で SCCP インスペクションを使用している場合に表示されます。これは、SCCP メッセージが小さすぎて、SCCP ペイロードを伝送できない場合に表示されます。
説明 このメッセージは、SCCP トラフィック上で SCCP インスペクションを使用している場合に表示されます。SCCP メッセージが設定された最大サイズよりも大きい場合に、表示されます。
説明 このメッセージは、SCCP トラフィック上でインスペクションを使用している場合に生成されます。SCCP インスペクション ポリシーによって、Skinny コマンドが拒否された場合に表示されます。
説明 このメッセージは、SCCP トラフィック上でインスペクションを使用している場合に生成されます。IP Phone を Cisco Call Manager(CCM)に正常に登録完了する前に、未登録のため許可されない Skinny コマンドが確認された場合に表示されます。
説明 指定された VLAN 番号は、すでに ACE に割り当てられていません。モジュール上のインターフェイスにその VLAN 番号が設定されると、そのインターフェイスはシャットダウン状態を維持したままになります。インターフェイスがすでに VLAN を使用するように設定されていてアップ状態になっている場合は、状態がシャットダウンに変化します。
推奨処置 ログ メッセージ内で指定されている VLAN が ACE に必要なものでない場合は、この VLAN を使用するすべてのインターフェイスをモジュール設定から削除してください。
説明 指定された VLAN 番号は、現在 ACE に割り当てられています。モジュールでは、その VLAN を使用してインターフェイスを設定すると、インターフェイス上でトラフィックを受信できます。
ここでは、727001 ~ 729003 のメッセージについて説明します。
説明 アクティブまたはスタンバイ デバイスがその冗長ピアに到達できません。このメッセージは両方のデバイスで表示され、スタンバイ デバイス上でスイッチオーバーを発生させます。スイッチオーバーが発生すると、両方のデバイスで冗長性が失われます。 error str 変数は、次のいずれかとなります。
• Heartbeat stopped.(ハートビートは停止しました)Ping on alternate interface failed.(代替インターフェイスへの PING は失敗しました)
• Heartbeat stopped.(ハートビートは停止しました)No alternate interface configured.(代替インターフェイスが設定されていません)
推奨処置 ピア間の接続を検証します。ピア デバイスが物理的にアップ状態でも接続に問題がある場合、2 つのアクティブ デバイスという結果になります。ピアがダウン状態になって接続が失われた場合は、2 つのデバイス間の冗長性を復元するためにピアを再起動してください。
説明 FT インターフェイス上で、ピア デバイスが到達不能です。この状況では、ネットワーク上で 2 つのデバイスがアクティブになるのを防止するために、スタンバイ デバイスはアクティブにスイッチオーバーすることはありません。 error str 変数は、次のいずれかとなります。
• Heartbeats stopped.(ハートビートは停止しました)Peer is reachable via alternate interface.(ピアには代替インターフェイス経由で到達可能です)
• Heartbeats are up but cannot use the Telnet connection to the peer device.(ハートビートはアップ状態ですが、ピア デバイスとの Telnet 接続を使用できません)
推奨処置 FT インターフェイス上の 2 つのデバイス間にある接続を検証します。ピア IP アドレスに対して PING を実行するか、Telnet を使用して、接続を確認してください。
説明 特定のコンテキストに対して冗長性がイネーブルになっていても、コンテキスト名がミスマッチであるために両方のデバイスがアクティブまたはスタンバイになることができません。
推奨処置 両方のデバイス上で、FT グループの設定をチェックします。両方のデバイスが同じコンテキストに関連付けられていることを確認してください。
説明 両方のデバイスが、同じ FT グループでアクティブとなっていることが確認されました。したがって、2 つのデバイスの 1 つは自動的に制御を放棄し、スタンバイ状態にスイッチオーバーします。
説明 error str 値によって返されたエラー条件が原因で、設定をピアのデバイスに同期させることができませんでした。 error str 変数は、次のいずれかとなります。
• Error on Standby device when applying Configuration file replicated from Active.(アクティブ デバイスから複製された設定ファイルを適用するときに、スタンバイ デバイスで発生したエラーです)
• Failed to transfer Configuration file to standby.(設定ファイルのスタンバイ デバイスへの転送に失敗しました)TFTP Failed.(TFTP は失敗しました)
• Failed to generate Running Configuration for peer device. [show running peer] failed.(ピア デバイスの実行コンフィギュレーションの生成に失敗しました。「実行ピアの表示」に失敗しました。)
• Failed to convert Configuration to peer version.(設定をピア バージョンに変換するのに失敗しました)Flip of peer addresses failed.(ピア アドレスの反転に失敗しました)
• Failed to retrieve Context Information.(コンテキスト情報の取得に失敗しました)
• Failed to rollback Running Configuration on Standby device.(スタンバイ デバイス上で実行コンフィギュレーションのロールバックに失敗しました)
• Failed to sync Running Configuration to Standby device.(実行コンフィギュレーションをスタンバイ デバイスに同期させるのに失敗しました)
• Failed to sync Startup Configuration to Standby device.(スタートアップ コンフィギュレーションをスタンバイ デバイスと同期させるのに失敗しました)
• Failed to send MTS message to peer to communicate config status.(MTS メッセージをピアへ送信して設定状態を通知するのに失敗しました)
推奨処置 両方のデバイスで、実行コンフィギュレーションとスタートアップ コンフィギュレーションをチェックします。回復させるには、設定同期をディセーブルにしてから、設定を各デバイスに手動で適用してください。
説明 ピア デバイスで互換性の確保ができません。これは、Software Relationship Graph(SRG)バージョンの不一致またはデバイス間でのライセンスのミスマッチが原因になっている可能性があります。失敗の理由は、エラー文字列によって示されます。
• License Compatibility Mismatch.(ライセンスの互換性がミスマッチ)
説明 冗長モジュールの 1 つが、初期化エラーが発生しました。 Error str 変数は、失敗の理由を示しています。
• MTS Init Failure(MTS の初期化に失敗)
• Select Call Failure(コールの選択に失敗)
説明 内部エラーが原因で、デバイスがハートビートをそのピアに送信できません。失敗の理由は、エラー文字列によって示されます。
• Failed to setup UDP Connection to Peer for Heartbeats.(ハートビート用にピアへの UDP 接続を確立するのに失敗しました)
• Failed to create Encap for Peer.(ピア用の Encap の作成に失敗しました)
説明 デバイスで、ピアへの TCP 接続が確立できません。 error str 変数は、[Failed to establish TCP connection to Peer device.](ピア デバイスへの TCP 接続の確立に失敗)になります。
説明 データ複製が失敗し、またデータがピア デバイスと正常に同期されません。次回の定期的同期では、このエラーが修正され、また損失したレコードが更新されます。 error str 変数は、失敗の理由を示しています。
• Failed to bulk sync Connection Records.(接続レコードのバルク同期に失敗しました)
• Failed to bulk sync Load Balancer Records.(ロード バランサ レコードのバルク同期に失敗しました)
説明 コンテキストに対して、設定の同期が行われません。失敗の理由は、エラー文字列によって示されます。
• Failed to open Startup Configuration File.(スタートアップ コンフィギュレーション ファイルを開くのに失敗しました)It does not exist.(ファイルが存在しません)
• HA election timed out.(HA 選定がタイムアウトになりました)
• Configuration sync to peer not initiated because Peer doesn't exist.(ピアが存在しないので、設定のピアへの同期は開始されませんでした)
• HA has not been configured for context.(HA がコンテキストに対して設定されていませんでした)
説明 このメッセージには、コンテキストの HA 状態(冗長)デバイスによって行われる状態遷移が表示されます。
表2-2 に、 NewState 変数の値をリスト表示します。
reason str 変数に関して返された値は、次のいずれかとなります。
説明 ピアからの冗長ハートビートが単方向になっています。したがって、ピアはハートビートを送信できますが受信することはできません。この問題は、ネットワーク プロセッサの 1 つに問題がある場合に発生します。
説明 1 つのピアから受信した冗長ハートビートが、もう 1 つのピアの値と異なっています。ハートビート間隔を動的に変更することを選択すると、このような状況になることがあります。表示される変更後のハートビート間隔は、調整済みの間隔を表しています。この値は、2 つの値よりも大きくなります。
ピアに対して複製が実行されています。 status 変数では、同期ステータスが示されます。
• Running Configuration sync has started to peer.(実行コンフィギュレーションの同期が、ピアに対して開始されました)
• Startup Configuration sync has started to peer.(スタートアップ コンフィギュレーションの同期が、ピアに対して開始されました)
• Startup Configuration sync has completed to peer.(ピアに対するスタートアップ コンフィギュレーションの同期は、完了しました)
• Running Configuration sync has completed to peer.(ピアに対する実行コンフィギュレーションの同期は、完了しました)
• Data Replication has completed to peer.(ピアに対するデータ複製は完了しました)
• Startup configuration has been applied successfully for context.(スタートアップ コンフィギュレーションは、コンテキストに正常に適用されました)
説明 ピアの状態をチェックするために代替インターフェイス上で ICMP PING が開始されました。このプロセスは、ピアからのハートビートが受信できなくなると開始されます。スタンバイ デバイスはピアに対して代わりの PING を発行して、ピアが引き続き機能していることを確認します。ピアが機能している場合、このデバイスはスイッチオーバーしません。これにより、ネットワーク上で 2 つのデバイスがアクティブ状態になるのが防止されます。
説明 代替インターフェイス上で、ICMP PING が停止しています。これは、ピアからのハートビートが受信され、またピアがアップ状態で到達可能になっていると発生します。
説明 ピアへの冗長接続が正常に確立されて、設定された間隔とカウントでピアへのハートビートが開始されました。
間隔変数では、間隔をミリ秒単位で指定します。カウント変数は、ピアがダウン状態と断定される前に、受信できなかったハートビート間隔の数を指定します。
説明 ピアへの冗長ハートビートが停止しています。これは、冗長性の設定を解除したり、またはピアの IP アドレスなどの基本的な接続パラメータを変更した場合に、発生することがあります。
説明 一般的な障害(たとえば、メモリ不足、スレッド生成の失敗、通信チャネル確立の失敗など)が原因で、ACE のロード バランシング プロセスの初期化は中断されました。
variable1 では、コードベースでの障害の正確な発生位置が特定されます。
推奨処置 syslog メッセージを文書に記録してから、ACE を再起動します(詳細については、『 Cisco Application Control Engine Module Administration Guide 』を参照してください)。Cisco TAC に連絡して、記録したメッセージ テキストを提出してください。
説明 スティッキ サブシステムの障害(たとえば、メモリ アライメントの失敗、スレッド生成の失敗、通信チャネル確立の失敗)が原因で、ACE のロード バランシング プロセスの初期化は中断されました。
variable1 では、コードベースでの障害の正確な発生位置が特定されます。
推奨処置 syslog メッセージを文書に記録してから、ACE を再起動します(詳細については、『 Cisco Application Control Engine Module Administration Guide 』を参照してください)。Cisco TAC に連絡して、記録したメッセージ テキストを提出してください。
説明 スティッキ データベースのエントリを割り当てるときに発生した障害(データベースが未割り当て)が原因で、ACE ロード バランシング プロセスの初期化は中断されました。
• variable1 ― スティッキ エントリの要求数を特定します。
• variable2 ― ハッシュ アルゴリズムで正しい演算を行うために必要なスティッキ エントリの最少数を特定します。
• variable3 ― 割り当てることができるエントリの最大数を特定します。
• variable4 ― コードベースで障害の正確な発生位置を特定します。
推奨処置 syslog メッセージを文書に記録してから、ACE を再起動します(詳細については、『 Cisco Application Control Engine Module Administration Guide 』を参照してください)。Cisco TAC に連絡して、記録したメッセージ テキストを提出してください。
説明 ACE のロード バランシング プロセスでは、送出することができない、スプリアスなまたは解析できない内部メッセージを検出します。負荷が高い状況下では、メッセージが失われる場合があります。
variable1 では、コードベースでの障害の正確な発生位置が特定されます。
推奨処置 このメッセージが頻繁に発生する場合、または通常のシステム負荷の状況でロード バランシングの問題が起きたときにこのメッセージが表示された場合は、Cisco TAC に連絡してください。
説明 ロード バランシング決定が、内部的に失われました。初期化できるサーバ接続がないので、確認されたクライアント接続はリセットされます。このようになった場合、そのクライアントでは再接続を試行できます。
variable1 では、接続のタイプが特定されます。変数は、次のようになります。
• destination (宛先:ロード バランサによって決定)
variable2 では、接続の発信元になっているクライアントのアドレスが特定されます。
variable3 では、コードのどの行で エラーがログに記録されたかを示す、Unique Identifier(UID; 固有識別情報)が特定されます。
推奨処置 このメッセージが頻繁に発生する場合は、syslog メッセージを文書に記録してから、Cisco TAC に連絡してください。
ロード バランシングの間に、識別できない内部メッセージが ACE によって受信されました。このメッセージは、未処理のまま破棄されます。
• variable1 ― 処理できなかったメッセージのタイプ(10 進数)が特定されます。
• variable2 ― コードのどの行でエラーがログに記録されたかを示す、UID が特定されます。
推奨処置 このメッセージが頻繁に発生する場合は、syslog メッセージを文書に記録してから、Cisco TAC に連絡してください。
説明 ロード バランシングの間に、スティッキ データベース リソースへの不適切な設定要求が ACE によって受信されました。リソースが許可されている量を超えているか、またはリソースを発見できなかった可能性があります。
variable1 では、コードのどの行でエラーがログに記録されたかを示す、UID が特定されます。
推奨処置 要求されたリソースが、選択されたコンテキストの中で使用可能であることを検証します。要求されたリソースが使用可能で、また設定によって使用が許可されている場合は、内部エラーが存在しています。Cisco TAC に連絡してください。
説明 ロード バランシングの間に、2 つのネットワーク プロセッサ間の通信にエラーがあることがACE によって検出されました。その結果として、一部のクライアント接続では、スティッキ ロード バランシングが発生しないことがあります。
• variable1 ― 受信したソース プロセッサの 10 進数の ID が特定されます。
• variable2 ― 受信した宛先プロセッサの 10 進数の ID が特定されます。
説明 このメッセージは、管理コンテキストから報告されます。 variable1 によって識別される管理コンテキストからの設定要求に対しては、応答は返されません。これは、設定要求が、スティッキ エントリに許可されているリソースを超えているからです。
• variable1 ― スティッキ エントリの動作を要求するコンテキストが特定されます。
• variable3 ― 要求されたスティッキ エントリの数が特定されます。
説明 このメッセージは管理コンテキストから報告され、スティッキ グループに関連付けられたコンテキストが追加または削除されると表示されます。この状況が存在し、さらにエラー メッセージがログに記録された場合でも、コンテキストの追加または削除自体は実行されます。
• variable1 ― 追加または削除されるコンテキストの ID が特定されます。
• variable2 ― 要求された動作が特定されます。指定できる値は、added(追加)または removed(削除)です。
• variable3 ― 検出された関連するスティッキ グループの数が特定されます。
• variable4 ― コードのどの行でエラーがログに記録されたかを示す、UID が特定されます。
推奨処置 コンテキストを追加または削除する前に、そのコンテキストに関連付けられているスティッキ グループがないことを確認します。
説明 CLI で実行した show コマンドへの応答に含まれるはずの収集データが、ネットワーク プロセッサから CLI に正常に返されませんでした。
• variable1 ― 要求を行ったコンテキストのコンテキスト ID が特定されます。
説明 ロード バランシングの初期化中に、キャッシュ アライメント エラーが検出されました。このエラーはパフォーマンスに影響しますが、ロード バランシングは引き続き正常に実行されます。
• variable1 では、キャッシュ アライメントの戻りコードが特定されます。
説明 ロード バランシングの間に、ACE 上にある 2 番目のネットワーク プロセッサからのメッセージを解析できませんでした。これが原因で 2 つのプロセッサ間のスティッキ情報が失われる可能性があり、結果的に一部のクライアントでスティッキ サーバ接続が失われます。
説明 ロード バランシングの動作中に、ロード バランシングの設定または表示ディレクティブを表示するための内部通信チャネルが、ACE でオープンまたは使用できませんでした。エラーが発生した特定のディレクティブは、(再試行されている場合も含め)完了されていません。
説明 冗長ピアから受信した冗長メッセージが解析できなかったために破棄された場合、このメッセージがログに記録されます。
variable1 では、コードのどの行でエラーがログに記録されたかを示す、UID が特定されます。
推奨処置 show ft stats group_id コマンドを使用して、FT グループのロード バランシング統計情報を表示します。
• この型の変数が値として 90(10 進数)を返した場合は、「Number of Sticky Entries Dropped」値を監視します。値が時間経過とともに増加する場合は、Cisco TAC に連絡してください。
• この型の変数が値として 99(10 進数)を返した場合は、「Number of Receive Failures」値を監視します。値が時間経過とともに増加する場合は、Cisco TAC に連絡してください。
説明 このメッセージは、現在のコンテキストから報告されます。冗長メッセージを冗長ピアへ送信しようとしましたが、メッセージの送信ができなかったので失敗しました。
variable1 では、コードのどの行でエラーがログに記録されたかを示す、UID が特定されます。
推奨処置 show ft stats group_id コマンドを使用して、FT グループのロード バランシング統計情報を表示します。[Number of Send Failure] の値を監視します。それでも問題が解決しない場合は、Cisco TAC に連絡してください。
説明 ACE によって、接続のサーバ側で別のサーバとの再バランスが必要なことが確認されました。これは、再バランスが発生したときにコンテキスト内で発行される情報メッセージです。
• variable1 では、プロキシ接続の識別名が特定されます。
説明 スティッキ グループでは設定済みのスティッキ エントリを発見できなかったので、スティッキ要求(ルックアップ、設定、またはスティッキ エントリの削除)はするべきではありませんでした。これは設定された制限を超えたことによる結果ではありませんが、スティッキ グループの予期されなかったルックアップ結果であることを示しています。
variable1 では、要求されたスティッキ動作が特定されます。変数は、次のようになります。
説明 このメッセージは、ロード バランシングの初期化中に ACE によってマッピングされた物理メモリの量、およびマッピングが成功したかどうかを示します。
説明 ロード バランシングの間に ACE によって処理されるさまざまなコマンドでは、関連するすべてのスティッキ エントリを発見するために、スティッキ データベースを検索する必要があります。予測に反して追加のスティッキ エントリが発見されなかった場合に、このメッセージが生成されます。このメッセージが役立つのは、スティッキの問題のトラブルシューティングを行う場合です。メッセージに示されている動作は終了になりますが、同じタイプ(または他のタイプ)の追加的な要求は完了されます。
variable1 では、終了された動作が特定されます。変数は、次のようになります。
• resetting timestamps (タイムスタンプのリセット:スティッキ エントリのエージング)
説明 指定された動作は、無効なハッシュ インデックスが原因で打ち切られました。
variable1 では、無効なハッシュ テーブル インデックスの値が特定されます。
説明 リソース制限を変更した結果として、コンテキストからスティッキ エントリが追加または削除されました。
variable1 では、動作が特定されます。変数は、次のようになります。
variable2 では、移動したスティッキ エントリの数が特定されます。
説明 2 番目のネットワーク プロセッサからの要求または応答では、認識できないタイプの動作が指示されています。要求または応答に対する反応はないので、要求や応答は破棄されます。このメッセージが役立つのは、スティッキ データベースをネットワーク プロセッサと同期させるときに発生する問題のトラブルシューティングを行う場合です。
variable1 では、メッセージ クラスが特定されます。変数は、次のようになります。
variable2 では、認識できないタイプの動作を表す数値が特定されます。
説明 ネットワーク プロセッサ間でスティッキ メッセージ(スティッキの挿入、スティッキのルックアップ、またはスティッキ接続のクローズ)が失われました。この情報が役立つのは、スティッキの機能に関する問題のトラブルシューティングを行う場合です。
variable1 では、失われたメッセージの数が特定されます。
variable2 では、メッセージのタイプが特定されます。変数は、次のようになります。
variable3 では、破棄されたメッセージの総数が特定されます(この数には、失われたメッセージと、送信できなかったために破棄されたメッセージの両方が含まれます)。
variable4 では、送信元のネットワーク プロセッサの ID が特定されます。
説明 無効なキーが原因で、接続のクローズ通知がリモート ネットワーク プロセッサに送信されなかった場合に、このメッセージが表示されます。 variable1 では、処理のタイプが特定されます(connection close)。この情報が役立つのは、スティッキの機能に関する問題のトラブルシューティングを行う場合です。
説明 ロード バランシング動作の間に、Control Processor(CP; コントロール プロセッサ)から認識できないメッセージを受信しました。このメッセージは、破棄されます。このメッセージが役立つのは、ACE によって無視された CP からのコマンドまたは設定ディレクティブの問題のトラブルシューティングを行う場合です。
• variable1 ― 受信された未加工(10 進数)の認識できないメッセージのタイプが特定されます。
説明 冗長ピアから受信した情報は、ローカルでマッピングすることはできません。関連するスティッキ エントリの情報は、破棄されます。
variable1 では、マッピングの失敗した理由が特定されます。変数は、次のようになります。
• Invalid sticky group id (無効なスティッキ グループ ID)
• Invalid real server id (無効な実サーバ ID)
• Sticky group not active (非アクティブなスティッキ グループ)
variable2 では、無効なエントリの ID(10 進数)が特定されます。エントリが [invalid real server id] の場合は、実サーバの ID の値が表示されます。その他の場合は、無効または非アクティブなスティッキ グループの ID が表示されます。
推奨処置 show ft stats group_id コマンドを使用して、FT グループのロード バランシング統計情報を表示します。[Number of Sticky Entries Dropped] の値を監視します。値が時間経過とともに増加する場合は、Cisco TAC に連絡してください。
説明 このメッセージでは、冗長ピアから受信された状態変更を追跡します。ロード バランシングに関係のないイベントは無視されます。このメッセージが役立つのは、冗長ピアの同期問題のトラブルシューティングを行うために、冗長性の状態を追跡する場合です。
variable1 では、耐障害性グループの ID(10 進数)が特定されます。
variable2 と variable3 では、以前および現在の状態変更イベントが特定されます。変数は、次のようになります。
説明 ACE がデータを処理できなかったことが原因で、ロード バランシングの動作中に冗長データを破棄する必要があります。冗長データが破棄されると、シームレスなフェールオーバーに影響することがあります。このメッセージが役立つのは、冗長ピアの問題のトラブルシューティングを行う場合です。
variable1 では、冗長ピアからデータを破棄した理由が特定されます。変数は、次のようになります。
• Received unknown message type(認識できないタイプのメッセージを受信)
• Received data packet in wrong HA state(不正な HA 状態のデータ パケットを受信)
説明 デバッグ ロギングの初期化中にメモリ マッピングが失敗しました。ロード バランシングは継続されていますが、コマンド ラインから起動したとしても、デバッグ ロギングは行われません。
推奨処置 ACE を再起動してデバッグ ロギング コンポーネントを再初期化します(詳細については、『 Cisco Application Control Engine Module Administration Guide 』を参照してください)。再起動を行うと、一時的なマッピングの問題を修正できる場合があります。それでも問題が解決しない場合は、Cisco TAC に連絡してください。
説明 サーバ ファーム上で HTTP 戻りコードをすでに設定している場合に、特定の実サーバが設定した戻りコードしきい値に達しました。
• variable1 ― サーバ ファーム内の実サーバの名前が特定されます。
• variable2 ― サーバ ファームの名前が特定されます。
• variable3 ― この メッセージがログに記録される原因となったサーバによって戻された HTTP 戻りコードの値が特定されます。
推奨処置 これらのサーバ戻りコードの応答を発生させたクライアント HTTP 要求のタイプを再調査します。問題が起こる可能性を指摘している戻りコードを探してください。たとえば、内容の欠落または不正なサーチ パスなどがあります。
説明 正規表現テーブルのコンパイル処理でメモリが不足したか、またはエラー状態になったために、新しい規則を指定のサービス ポリシーに適用できなくなりました。ハードウェア内でそのサービス ポリシー用にダウンロードされた正規表現の設定が、この障害が原因で、既知の状態にならない場合があります。
説明 この syslog メッセージでは、指定されたコンテキスト( context_id )で使用中の regex リソースが、リソース クラスで許可されている上限を超過していることを表しています。
説明 このメッセージは、指定されたコンテキスト( context_id )が要求された最小 regex リソースを保証できないことを示しています。