この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Traffic Anomaly Detector Module(Detector モジュール)に関する統計情報や診断を表示する方法について説明します。この章は、次の項で構成されています。
• 接続の確認
Detector モジュールの設定ファイルを表示できます。このファイルには、インターフェイスの IP アドレス、デフォルト ゲートウェイ アドレス、および設定されたゾーンなど、Detector モジュールの設定に関する情報が含まれています。
Detector モジュールの設定ファイルを表示するには、次のコマンドを使用します。
show running-config [all | Detector module | interfaces interface-name | self-protection | zones]
表12-1 に、 show running-config コマンドの引数とキーワードを示します。
|
|
---|---|
Detector モジュールのすべての機能(Detector モジュール、ゾーン、インターフェイス、および自己保護)の設定ファイルを表示します。 |
|
次の例は、Detector モジュールの設定ファイルを表示する方法を示しています。
設定ファイルは、Detector モジュールを現在の設定値で設定するために入力するコマンドで構成されています。Detector モジュールの設定ファイルをリモート FTP サーバにエクスポートして、バックアップ用にしたり、別の Detector モジュールにその Detector モジュールの設定パラメータを実装できるようにすることができます。詳細については、「Detector モジュールのゾーンの表示」を参照してください。
グローバル モードで show コマンドを入力することにより、ゾーンの概要を表示して、アクティブなゾーンやゾーンの現在のステータスを確認できます。
表12-2 に、各種のゾーン ステータスを示します。
次の例は、Detector モジュールのゾーンの概要を表示する方法を示しています。
Detector モジュールおよびゾーン カウンタを表示することで、Detector モジュールが処理している現在のトラフィック上の情報を表示したり、ゾーン トラフィックを分析したり、監視タスクを実行することができます。
• Detector モジュールおよびゾーンのカウンタのクリア
ゾーン カウンタを表示するには、次のコマンドのいずれかを入力します。
• show [ zone zone-name ] rates: 受信カウンタの平均トラフィック レートを表示します。
• show [ zone zone-name ] rates deta ils:受信カウンタの平均トラフィック レートを表示します。
• show [ zone zone-name ] rates history: 過去 24 時間における 1 分ごとの 受信カウンタ の平均トラフィック レートを表示します。
• show [ zone zone-name ] counters:受信カウンタを表示します。
• show [ zone zone-name ] counters details:受信カウンタを表示します。
• show [ zone zone-name ] counters history:過去 1 時間の受信カウンタの値を 1 分ごとに表示します。
Detector モジュール カウンタを表示するには、グローバル モードまたは設定モードでこのコマンドを使用します。
ゾーン カウンタを表示するには、次のコマンド モードのいずれかでコマンドを使用します。
• ゾーン設定モード: zone zone-name キーワードおよび引数を使用しないでください。
• グローバル モードまたは設定モード: zone キーワードおよび zone-name 引数を入力してゾーン名を指定します。
レート単位は、ビット/秒(bps) およびパケット/秒(pps)で表されます。
(注) ゾーンのレートは、ゾーン異常検出をイネーブルにしている場合、またはラーニング プロセスをアクティブにしている場合にだけ使用できます。
カウンタの単位はパケットおよびキロビットです。カウンタは、ゾーン 検出 をアクティブにしたときにゼロにリセットされます。
表12-3 に、Detector モジュールのカウンタを示します。
|
|
---|---|
異常検出がイネーブルになっているいずれのゾーンにも宛先変更されなかったトラフィック。この情報は、Detector モジュールのカウンタに限り使用可能です( zone キーワードを使用せずにグローバル モードまたは設定モードでコマンドを入力した場合)。 |
次の例は、Detector モジュールの平均トラフィック レートを表示する方法を示しています。
テストを行う予定で、カウンタにテスト セッションからの情報だけを含める場合は、Detector モジュールまたはゾーン カウンタをクリアできます。Detector モジュールはカウンタおよび平均トラフィック レートをクリアします。
Detector モジュールのカウンタをクリアするには、グローバル モードまたは設定モードでこのコマンドを使用します。
次の例は、Detector モジュール のカウンタをクリアする方法を示しています。
ゾーン カウンタをクリアするには、次のコマンドのいずれかを入力します。
• clear zone zone-name counters: グローバル モードまたは設定モード。 zone-name 引数には、ゾーンの名前を指定します。
ゾーンの概要とそのステータスを表示するには、ゾーン設定モードで show コマンドを使用します。概要には、次の情報が含まれます。
• ゾーンのステータス:動作状態を示します。動作状態は、保護モード、保護およびラーニングのモード、しきい値調整モード、ポリシー構築モード、または非アクティブのいずれかです。
• ゾーンの基本設定:検出モード(自動またはインタラクティブ)、しきい値、タイマー、および IP アドレスなど、ゾーンの基本的な設定を示します。
詳細については、「ゾーンのアトリビュートの設定」を参照してください。
• ゾーン フィルタ:フレックスコンテンツ フィルタの設定、およびアクティブな動的フィルタの数を示します。ゾーンがインタラクティブ検出モードの場合、概要には推奨事項の数が表示されます。
詳細については、「フレックスコンテンツ フィルタの設定」および 「動的フィルタの設定」を参照してください。
• ゾーンのトラフィック レート:ゾーンの正当なトラフィックと悪意あるトラフィックのレートを表示します。
詳細については、「カウンタを使用したトラフィックの分析」を参照してください。
Detector モジュールは、システムのアクティビティおよびイベントを自動的にログに記録します。Detector モジュールのログを表示して、Detector モジュールのアクティビティを確認および追跡できます。
表12-4 に、イベント ログのレベルを示します。
|
|
|
---|---|---|
ログ ファイルには、すべてのログ レベル(emergencies、alerts、critical、errors、warnings、notification、informational、および debugging)が表示されます。Detector モジュールのログ ファイルには、emergencies、alerts、critical、errors、warnings、および notification という重大度を持つゾーン イベントが含まれます。
イベント ログは、ローカルで表示することも、リモート サーバから表示することもできます。この項では、次のトピックについて取り上げます。
この項では、Detector モジュールのイベントのリアルタイム ロギングを管理する方法について説明します。この項では、次のトピックについて取り上げます。
Detector モジュールの監視機能をアクティブにして、リアルタイム イベント ログを表示すると、Detector モジュール イベントのオンライン ロギングを表示できます。オンライン イベント ログを表示するには、次のコマンドを使用します。
次の例は、モニタリングをアクティブにする方法を示しています。
画面は新しいイベントを表示するために、定期的にアップデートされます。
(注) モニタリングを非アクティブにするには、no event monitor コマンドを使用してください。
Detector モジュールのオンライン イベント ログをエクスポートして、ログファイルに登録された Detector モジュールの動作を表示できます。また、Detector モジュールのログ ファイルに登録されている Detector モジュールのイベントをリモート ホストから表示できます。Detector モジュールのログ ファイルは、syslog メカニズムを使用してエクスポートされます。Detector モジュールのログ ファイルを複数の syslog サーバにエクスポートし、追加サーバを指定できるため、1 つのサーバがオフラインになっても、他のサーバがメッセージを受信できます。
Detector モジュールのオンライン ログのエクスポートは、リモート syslog サーバだけに適用できます。リモート syslog サーバが使用できない場合は、 copy log コマンドを使用して、Detector モジュールのログ情報をファイルにエクスポートしてください。
Sep 11 16:34:40 10.4.4.4 cm: scannet, 5 threshold-tuning-start: Zone activation completed successfully.
event-date event-time Detector-IP-address detection-level zone-name event-severity-level event-type event-description
オンライン イベント ログをエクスポートするには、次の手順を実行します。
ステップ 1 (オプション)設定モードで次のコマンドを入力して、ロギング パラメータを設定します。
表12-5 に、logging コマンドのキーワードを示します。
(注) 動的フィルタの追加および削除に関するイベントを受信するには、トラップ レベルを informational に変更してください。
ステップ 2 次のコマンドを入力して、リモート syslog サーバの IP アドレスを設定します。
logging host remote-syslog-server-ip
remote-syslog-server-ip 引数には、リモート syslog サーバの IP アドレスを指定します。
ロギング メッセージを受信する syslog サーバのリストを作成するには、logging host コマンドを複数回入力してください。
次の例は、重大度レベルが notification より高いトラップを送信するように Detector モジュールを設定する方法を示しています。Detector モジュールは、ファシリティ local3 を使用して、IP アドレス 10.0.0.191 の syslog サーバにトラップを送信します。
Detector モジュールがオンライン イベント ログのエクスポートに使用する設定を表示するには、 show logging コマンドまたは show log export-ip コマンドを使用します。
この項では、Detector モジュールのログ ファイルを管理する方法について説明します。この項では、次のトピックについて取り上げます。
診断または監視のために Detector モジュールのログを表示できます。Detector モジュールのログ ファイルには、emergencies、alerts、critical、errors、warnings、および notification という重大度を持つゾーン イベントが含まれます。
Detector モジュールのログを表示するには、グローバル モードで次のコマンドを使用します。
次の例は、Detector モジュールのログを表示する方法を示しています。
グローバル モードで次のいずれかのコマンドを入力することにより、監視または診断を行うために、Detector モジュールのログ ファイルをネットワーク サーバにエクスポートできます。
• copy [ zone zone-name ] log ftp server full-file-name [ login [ password ]]
• copy [ zone zone-name ] log { sftp | scp } server full-file-name login
(注) logging host コマンドを使用すると、イベント ログを自動的にエクスポートするように Detector モジュールを設定できます。詳細については、「オンライン イベント ログのエクスポート」を参照してください。
SFTP および SCP は、セキュアな通信では Secure Shell(SSH; セキュア シェル)を使用するため、 sftp オプションまたは scp オプションを使用して copy コマンドを入力する前に Detector モジュールが使用する鍵が設定されていない場合、Detector モジュールはパスワードの入力を要求します。Detector モジュールがセキュアな通信のために使用する鍵を設定する方法の詳細については、「SFTP 接続および SCP 接続用の鍵の設定」を参照してください。
表12-6 に、 copy log ftp コマンドの引数とキーワードを示します。
次の例は、Detector モジュールのログ ファイルを FTP サーバにエクスポートする方法を示しています。
Detector モジュールまたはゾーンのログ ファイルが大きい場合、またはテストを行う予定で、ログ ファイルにテスト セッションからの情報だけが含まれるようにする場合は、ログ ファイルをクリアすることができます。
Detector モジュールまたはゾーンのログ ファイルのエントリをすべてクリアするには、設定モードまたはゾーン設定モードで次のコマンドを使用します。
zone-name 引数には、ゾーン名を指定します。デフォルトでは、Detector モジュールのログ ファイルがクリアされます。 clear log コマンドをゾーン設定モードで入力する場合、 zone zone-name キーワードと引数は使用できません。現在のゾーン ログの全エントリをクリアするには、ゾーン設定モードで clear log コマンドを使用します。
次の例は、Detector モジュール ログをクリアする方法を示しています。
ネットワークの動作を阻害しないタップを使用して、ネットワークから直接トラフィックを記録するように Detector モジュールを設定できます。記録されたトラフィックからデータベースを作成できます。記録されたトラフィックのデータベースのクエリーによって、過去のイベントの分析、攻撃シグニチャの生成、ネットワークの現在のトラフィック パターンと Detector モジュールで以前に正常のトラフィック状態で記録されたトラフィック パターンとの比較などを行うことができます。
フィルタを設定すると、特定の基準を満たすトラフィックだけを Detector モジュールで記録することや、すべてのトラフィック データを記録して、Detector モジュールに表示するトラフィックをフィルタリングするように指定できます。
Detector モジュールは、トラフィックを gzip(GNU zip)プログラムで圧縮された PCAP 形式で保存し、記録されたデータを説明する Extensible Markup Language(XML)形式のファイルを添付します。
記録されたトラフィックの重要な用途は、記録された攻撃パケットのペイロードに共通のパターンまたはシグニチャが見られるかどうかを判断するというものです。Detector モジュールには、記録されたトラフィックを分析して、シグニチャを抽出する機能が備わっています。シグニチャを使用すると、そのシグニチャと一致するパケット ペイロードを含むすべてのトラフィックをブロックするようにフレックスコンテンツ フィルタを設定できます。
Detector モジュールは、次の 2 つの方法でトラフィックを記録できます。
• 自動:トラフィック データは持続的にパケットダンプ キャプチャ ファイルに記録されます。
新しいパケットダンプ キャプチャ ファイルによって、以前のファイルは置き換えられます。以前のパケットダンプ キャプチャ ファイルを保存するには、それらをネットワーク サーバにエクスポートする必要があります。
• 手動:ユーザがアクティブにしている場合に、トラフィックがパケットダンプ キャプチャ ファイルに記録されます。
以前のパケットダンプ キャプチャ ファイルは新しいファイルに置き換えられます。記録されたトラフィックを保存するには、Detector モジュールでトラフィックの記録を再開する前に、パケットダンプ キャプチャ ファイルをネットワーク サーバにエクスポートします。
1 つのゾーンに対し、手動パケットダンプ キャプチャは一度に 1 つずつしかアクティブにできませんが、手動パケットダンプ キャプチャと自動パケットダンプ キャプチャを同時にアクティブにすることはできます。手動の場合、Detector モジュールは最大 4 つのゾーンのトラフィックを同時に記録できます。
デフォルトでは、Detector モジュールは、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 20 MB のディスク スペースを割り当てています。すべてのゾーンで最大 80 MB の手動および自動によるパケットダンプ キャプチャ ファイルを保存できます。将来のパケットダンプ キャプチャ ファイル用にディスク スペースを開放するため、古いファイルを削除する必要があります。
• Detector モジュールの自動トラフィック記録の設定
• Detector モジュールの手動トラフィック記録のアクティブ化
• Detector モジュールの手動トラフィック記録の停止
• パケットダンプ キャプチャ ファイルからの攻撃シグニチャの生成
Detector モジュールは、自動的にネットワーク トラフィックを記録するようにアクティブにすることができます。これにより、ネットワークに問題や攻撃が発生したときに、分析または比較に使用できるトラフィックの記録を入手できます。パケットダンプ キャプチャ フィルタを使用して、指定した基準を満たすトラフィックだけが記録されるように Detector モジュールを設定できます。また、すべてのトラフィックを記録し、その記録済みのトラフィックを表示するときにパケットダンプ キャプチャ フィルタを適用することもできます。
Detector モジュールでは、トラフィックがキャプチャ バッファに記録されます。キャプチャ バッファのサイズが 50MB に到達するか、または 10 分が経過すると、Detector モジュールはバッファを圧縮形式のローカル ファイルに保存し、バッファをクリアしてから、トラフィックの記録を継続します。
Detector モジュールは、複数の自動パケットダンプ キャプチャ ファイルを保存します。Detector モジュールによって記録されたトラフィックは、トラフィックの処理方法に基づいて分割されるため、複数の自動パケットダンプ キャプチャ ファイルを 1 つの時間枠から取得できます。自動パケットダンプ キャプチャ ファイルの名前には、Detector モジュールでトラフィックが記録された日時およびトラフィックの処理方法に関する情報が含まれます。
表12-7 に、自動パケットダンプ キャプチャ ファイルの名前セクションを示します。
Detector モジュールは、ラーニング プロセスから取得した 1 つのパケットダンプ キャプチャ ファイル、およびゾーン保護がイネーブルの場合は、次の 2 つのタイプのパケットダンプ キャプチャ ファイルを保存します。
ゾーン検出をアクティブにした場合、またはネットワーク トラフィックを自動的に記録するために Detector モジュールをアクティブにした場合、Detector モジュールは検出プロセス中に記録した以前のパケットダンプ キャプチャ ファイルをすべて消去し、新しいファイルを作成します。
ネットワーク トラフィックを自動的に記録するように Detector モジュールを設定するには、次の手順を実行します。
ステップ 1 ゾーン トラフィックを自動的に記録するように Detector モジュールを設定します。ゾーン設定モードで次のコマンドを入力します。
ステップ 2 (オプション)パケットダンプ キャプチャ データベースを作成するには、パケットダンプ キャプチャ ファイルをネットワーク サーバにエクスポートします。以前のパケットダンプ キャプチャ ファイルは新しいファイルに置き換えられます。パケットダンプ キャプチャ データベースを作成するには、パケットダンプ キャプチャ ファイルをエクスポートする必要があります。
「パケットダンプ キャプチャ ファイルの自動エクスポート」を参照してください。
次の例は、自動的にゾーン トラフィックを記録するように Detector モジュールを設定する方法を示しています。
Detector モジュールでゾーンのトラフィック データの自動キャプチャを停止するには、 no packet-dump auto-capture コマンドを使用します。
トラフィックの記録を開始するように Detector モジュールをアクティブにできるため、特定の期間のトラフィックを記録したり、Detector モジュールがトラフィックの記録に使用する基準を変更することができます。
指定した数のパケットが記録された時点、またはラーニング プロセスかゾーン検出のどちらかが終了した時点で、Detector モジュールはトラフィックの記録を停止し、手動パケットダンプ キャプチャをファイルに保存します。
1 つのゾーンに対し、手動パケットダンプ キャプチャは一度に 1 つずつしかアクティブにできませんが、手動パケットダンプ キャプチャと自動パケットダンプ キャプチャを同時にアクティブにすることはできます。Detector モジュールは、最大 10 個のゾーンの手動パケットダンプ キャプチャを同時に記録できます。
手動パケットダンプ キャプチャをアクティブにするには、ゾーン設定モードで次のコマンドを使用します。
packet-dump capture [ view ] capture-name pdump-rate pdump-count [ tcpdump-expression ]
(注) トラフィックをキャプチャする間は、CLI セッションが停止します。キャプチャの進行中に作業を続行するには、Detector モジュールとのセッションを追加で確立してください。
表12-8 に、 packet-dump コマンドの引数とキーワードを示します。
|
|
---|---|
|
|
|
パケットダンプ キャプチャ ファイルの名前。1 ~ 63 文字の英数字文字列を入力します。文字列にアンダースコア(_)を含めることはできますが、スペースを含めることはできません。 |
|
サンプル レート(pps)。1 ~ 10000 の値を入力します。 (注) Detector モジュールでは、同時に発生するすべての手動キャプチャについて、最大で 10,000 パケット/秒の累積パケットダンプ キャプチャ レートがサポートされます。 高いサンプル レート値を設定したパケットダンプ キャプチャは、多くのリソースを消費します。パフォーマンスに悪影響を与える可能性があるため、高いレート値を設定するときは注意してください。 |
|
記録対象のパケットの数。Detector モジュールが指定した数のパケットの記録を終了した時点で、手動パケットダンプ キャプチャ バッファがファイルに保存されます。1 ~ 5000 の整数を入力します。 |
|
(オプション)記録対象のトラフィックを指定するために適用するフィルタ。Detector モジュールは、フィルタの式に適合するトラフィックだけをキャプチャします。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです。詳細については、「tcpdump 式の構文の設定」を参照してください。 |
次の例は、手動パケットダンプ キャプチャをアクティブにして、10 pps のサンプルレートで 1000 パケットを記録して、キャプチャしたパケットを表示する方法を示しています。
Detector モジュールでは、キャプチャをアクティブにしたときに指定したパケット数が記録された時点で、手動パケットダンプ キャプチャが停止します。ただし、Detector モジュールが指定された数のパケットを記録する前に、ユーザは手動パケットダンプ キャプチャを停止できます。
Detector モジュールで手動トラフィック記録を停止するには、次のいずれかのアクションを実行します。
• 開かれている CLI セッションで Ctrl+C キーを押す。
• 新しい CLI セッションを開き、関連するゾーン設定モードで次のコマンドを入力する。
no packet-dump capture capture-name
Detector モジュールが手動パケットダンプ キャプチャ ファイル用に割り当てたディスク スペースの現在の容量を表示するには、設定モードまたはグローバル モードで show packet-dump コマンドを使用します。Detector モジュールでは、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に、単一ブロックのディスク スペースが割り当てられます。
次の例は、Detector モジュールがゾーンの手動パケットダンプ キャプチャ ファイルに割り当てるディスク スペースの現在の総計を表示する方法を示しています。
表12-9 に、 show packet-dump コマンド出力のフィールドを示します。
|
|
---|---|
|
|
|
割り当てられたディスク スペースのうち、すべてのゾーンからの手動パケット ダンプ ファイルによって消費されたパーセンテージを示します。 |
FTP、Secure FTP(SFTP)、または Secure Copy(SCP)を使用してファイルを転送するネットワーク サーバにパケットダンプ キャプチャ ファイルを自動的にエクスポートするように Detector モジュールを設定できます。自動エクスポート機能をイネーブルにすると、Detector モジュールでパケットダンプ バッファの内容がローカル ファイルに保存されるたびに、パケットダンプ キャプチャ ファイルがエクスポートされます。Detector モジュールは、「gzip」(GNU zip)プログラムで圧縮、符号化したパケットダンプ キャプチャ ファイルを PCAP 形式でエクスポートし、記録されたデータを説明する XML 形式のファイルを添付します。XML スキーマについては、このバージョンに付属の Capture.xsd ファイルを参照してください。次の URL にある Cisco.com のソフトウェア センターからこのバージョンに付属の xsd ファイルをダウンロードできます。
http://www.cisco.com/public/sw-center/
Detector モジュールがパケットダンプ キャプチャ ファイルを自動的にエクスポートするように設定するには、設定モードで次のコマンドを使用します。
export packet-dump file-server-name
file-server-name 引数は、 file-server コマンドを使用して設定したファイルをエクスポートするネットワーク サーバの名前を指定します。SFTP または SCP を使用するようにネットワーク サーバを設定する場合は、Detector モジュールが SFTP 通信および SCP 通信で使用する SSH 鍵を設定する必要があります。詳細については、「ファイルを自動的にエクスポートする方法」を参照してください。
次の例は、パケットダンプ キャプチャ ファイルを自動的にエクスポートする方法を示しています。
FTP、SFTP、または SCP を使用してファイルを転送するネットワーク サーバにパケットダンプ キャプチャ ファイルを自動的にエクスポートするように設定できます。パケットダンプ キャプチャ ファイルを 1 つエクスポートすることも、特定のゾーンのパケットダンプ キャプチャ ファイルをすべてエクスポートすることもできます。Detector モジュールは、gzip(GNU zip)プログラムで圧縮、符号化したパケットダンプ キャプチャ ファイルを PCAP 形式でエクスポートし、記録されたデータを説明する XML 形式のファイルを添付します。XML スキーマについては、このバージョンに付属の Capture.xsd ファイルを参照してください。次の URL にある Cisco.com のソフトウェア センターからこのバージョンに付属の xsd ファイルをダウンロードできます。
http://www.cisco.com/public/sw-center/
パケットダンプ キャプチャ ファイルをネットワーク サーバに手動でエクスポートするには、グローバル モードで次のいずれかのコマンドを使用します。
• copy zone zone-name packet-dump captures [ capture-name] ftp server remote-path [login [password]]
• copy zone zone-name packet-dump captures [ capture-name] { sftp | scp } server remote-path login
• copy zone zone-name packet-dump captures [ capture-name] file-server-name
SFTP および SCP は安全な通信の SSH に従うので、Detector モジュールは sftp オプションまたは scp オプションを使用して copy コマンドを入力する前に Detector モジュールが使用する鍵を設定しない場合、パスワードの入力を求めます。Detector モジュールがセキュアな通信のために使用する鍵を設定する方法の詳細については、「SFTP 接続および SCP 接続用の鍵の設定」を参照してください。
表12-10 に、 copy zone packet-dump コマンドの引数とキーワードを示します。
|
|
---|---|
(オプション)既存のパケットダンプ キャプチャ ファイルの名前。パケットダンプ キャプチャ ファイルの名前を指定しない場合、Detector モジュールはゾーンのすべてのパケットダンプ キャプチャ ファイルをエクスポートします。詳細については、「パケットダンプ キャプチャ ファイルの表示」を参照してください。 |
|
ネットワーク サーバの IP アドレス。IP アドレスをドット区切り 10 進表記で入力します(たとえば |
|
login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しなかった場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。 |
|
(オプション)リモート FTP サーバのパスワード。パスワードを入力しない場合、Detector モジュールによってパスワードを要求されます。 |
|
ネットワーク サーバの名前。 file-server コマンドを使用してネットワーク サーバを設定する必要があります。 SFTP または SCP を使用してネットワーク サーバを設定する場合は、Detector モジュールが SFTP 通信および SCP 通信で使用する SSH 鍵を設定する必要があります。 詳細については、「ファイルを自動的にエクスポートする方法」を参照してください。 |
次の例は、ゾーン scannet のパケットダンプ キャプチャ ファイルを FTP サーバ 10.0.0.191 にエクスポートする方法を示しています。
次の例は、ゾーン scannet のパケットダンプ キャプチャ ファイルを file-server コマンドを使用して定義されたネットワーク サーバに手動でエクスポートする方法を示しています。
ネットワーク サーバからパケットダンプ キャプチャ ファイルを Detector モジュールにインポートできるため、過去のイベントを分析することや、現在のネットワーク トラフィック パターンと Detector モジュールが以前に通常のトラフィック状態で記録したトラフィック パターンとを比較することができます。Detector モジュールは、パケットダンプ キャプチャ ファイルを XML 形式と PCAP 形式の両方でインポートします。
パケットダンプ キャプチャ ファイルをインポートするには、グローバル モードで次のいずれかのコマンドを使用します。
• copy ftp zone zone-name packet-dump captures server full-file-name [login [password]]
• copy { sftp | scp } zone zone-name packet-dump captures server full-file-name login
• copy file-server-name zone zone-name packet-dump captures capture-name
SFTP および SCP は安全な通信の SSH に従うので、Detector モジュールは sftp オプションまたは scp オプションを使用して copy コマンドを入力する前に Detector モジュールが使用する鍵を設定しない場合、パスワードの入力を求めます。Detector モジュールがセキュアな通信のために使用する鍵を設定する方法の詳細については、「SFTP 接続および SCP 接続用の鍵の設定」を参照してください。
表12-11 に、 copy zone packet-dump コマンドの引数とキーワードを示します。
|
|
---|---|
ネットワーク サーバの IP アドレス。IP アドレスをドット区切り 10 進表記で入力します(たとえば |
|
インポート対象のファイルの完全なパスとファイル名。ファイル拡張子は除きます。パスを指定しない場合、サーバはユーザのホーム ディレクトリからファイルをコピーします。 (注) ファイル拡張子を指定しないでください。指定すると、インポート プロセスが失敗する場合があります。 |
|
login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しなかった場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。 |
|
(オプション)FTP サーバのパスワード。パスワードを入力しない場合、Detector モジュールによってパスワードを要求されます。 |
|
ネットワーク サーバの名前。 file-server コマンドを使用してネットワーク サーバを設定する必要があります。 SFTP または SCP を使用してネットワーク サーバを設定する場合は、Detector モジュールが SFTP 通信および SCP 通信で使用する SSH 鍵を設定する必要があります。 詳細については、「ファイルを自動的にエクスポートする方法」を参照してください。 |
|
インポートするファイルの名前。Detector モジュールは、 file-server コマンドを使用して、ネットワーク サーバとして定義したパスにファイルの名前を追加します。 |
次の例は、ゾーン scannet のパケットダンプ キャプチャ ファイルを FTP サーバ 10.0.0.191 からインポートする方法を示しています。
次の例は、ネットワーク サーバからパケットダンプ キャプチャ ファイルをインポートする方法を示しています。
パケットダンプ キャプチャ ファイルのリスト、または 1 つのパケットダンプ キャプチャ ファイルの内容を表示できます。デフォルトでは、Detector モジュールはすべてのゾーンのパケットダンプ キャプチャ ファイルのリストを表示します。
パケットダンプ キャプチャ ファイルを表示するには、ゾーン設定モードで次のコマンドを使用します。
show packet-dump captures [ capture-name [ tcpdump-expression ]]
表12-12 に、show packet-dump captures コマンドの引数を示します。
|
|
(オプション)既存のパケットダンプ キャプチャ ファイルの名前。パケットダンプ キャプチャ ファイルの名前を指定しない場合、Detector モジュールはすべてのゾーンのパケットダンプ キャプチャ ファイルのリストを表示します。コマンド出力のフィールドの説明については、 表12-13 を参照してください。 パケットダンプ キャプチャ ファイルの名前を指定した場合、Detector モジュールはそのファイルを TCPDump 形式で表示します。 |
|
|
(オプション)Detector モジュールでパケットダンプ キャプチャ ファイルを表示する際に使用されるフィルタ。Detector モジュールは、パケットダンプ キャプチャ ファイルのうち、フィルタの基準に一致する部分だけを表示します。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです。詳細については、「tcpdump 式の構文の設定」を参照してください。 |
次の例は、パケットダンプ キャプチャ ファイルのリストを表示する方法を示しています。
表12-13 に、 show packet-dump captures コマンド出力フィールドを示します。
|
|
---|---|
パケットダンプ キャプチャ ファイルの名前。自動パケットダンプ キャプチャ ファイルの名前の説明については、 表12-7 を参照してください。 |
|
|
|
|
Detector モジュールがトラフィックの記録時に使用するユーザ定義のフィルタ。このフィルタは TCPDump 形式です。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです。詳細については、「tcpdump 式の構文の設定」を参照してください。 |
攻撃シグニチャは、攻撃パケットのペイロードに見られる共通パターンを記述するものです。Detector モジュールをアクティブにして異常なトラフィックのシグニチャを生成し、この情報を使用して同じタイプの将来の攻撃をすばやく識別できます。この機能を使用すると、シグニチャが発行される前であっても(アンチウィルス ソフトウェアのメーカーやメーリング リストなどから)、新しい DDoS 攻撃(分散型サービス拒絶攻撃)やインターネット ワームを検出することができます。
Detector モジュールでは、フレックスコンテンツ フィルタのパターン式の構文を使用して、攻撃シグニチャが生成されます。このシグニチャをフレックスコンテンツ フィルタのパターンで使用して、異常なトラフィックをフィルタリングして排除できます。詳細については、「フレックスコンテンツ フィルタの設定」を参照してください。
トラフィックが通常状態のときに Detector モジュールが記録したパケットダンプ キャプチャ ファイルを、参照のために追加で指定できます。参照用のパケットダンプ キャプチャ ファイルを指定した場合、Detector モジュールでは、異常なトラフィックのシグニチャが生成され、トラフィックが通常状態のときに記録されたトラフィックの中に、シグニチャが存在している時間の割合が特定されます。正常のトラフィック状態で記録されたトラフィックに攻撃シグニチャが高い確率で出現しても、攻撃のパターンを意味するとは限りません。
ステップ 1 packet-dump capture コマンドを使用して、Detector モジュールをアクティブにし、攻撃中のトラフィックを記録します。
詳細については、「Detector モジュールの手動トラフィック記録のアクティブ化」を参照してください。
ステップ 2 攻撃進行中に Detector モジュールが記録したパケットダンプ キャプチャ ファイルを確認します。パケットダンプ キャプチャ ファイルのリストを表示するには、 show packet-dump captures コマンドを使用します。
詳細については、「パケットダンプ キャプチャ ファイルの表示」を参照してください。
ステップ 3 Detector モジュールで攻撃トラフィックのシグニチャの生成をアクティブにします。ゾーン設定モードで次のコマンドを入力します。
表12-14 に、 show packet-dump signatures コマンドの引数を示します。
|
|
---|---|
(オプション)トラフィックが通常状態のときに |
表12-15 に、 show packet-dump signatures コマンド出力フィールドを示します。
|
|
---|---|
|
パケット ペイロード開始からのオフセット(バイト単位)。ここでパターンが開始します。 このパターンをフレックスコンテンツ フィルタのパターン式にコピーする場合、このオフセットをフレックスコンテンツ フィルタの start-offset 引数にコピーします。 |
|
パケット ペイロード開始からのオフセット(バイト単位)。ここでパターンが終了します。 このパターンをフレックスコンテンツ フィルタのパターン式にコピーする場合、このオフセットをフレックスコンテンツ フィルタの end-offset 引数にコピーします。 |
|
Detector モジュールが生成したシグニチャ。Detector モジュールでは、フレックスコンテンツ フィルタのパターン式の構文を使用して、シグニチャが生成されます。詳細については、「パターン式構文の設定」を参照してください。 |
|
次の例は、手動パケットダンプ キャプチャ ファイルからシグニチャを生成する方法を示しています。
1 つのパケットダンプ キャプチャ ファイル、または 1 つのファイルの一部を、新しい名前でコピーできます。Detector モジュールは、既存の自動パケットダンプ キャプチャ ファイルを新しい自動パケットダンプ キャプチャ ファイルで上書きします。自動パケットダンプ キャプチャ ファイルまたは手動パケットダンプ キャプチャ ファイルをコピーする場合、Detector モジュールはこれらのファイルを手動ファイルとして保存します。ディスク スペースを解放する必要がある場合は、そのコピーを手動で削除します。詳細については、「パケットダンプ キャプチャ ファイルの削除」を参照してください。
パケットダンプ キャプチャ ファイルをコピーするには、設定モードで次のコマンドを使用します。
copy zone zone-name packet-dump captures capture-name [ tcpdump-expression ] new-name
表12-16 に、copy zone packet-dump captures コマンドの引数とキーワードを示します。
|
|
---|---|
|
(オプション)Detector モジュールでパケットダンプ キャプチャ ファイルのコピーに使用されるフィルタ。Detector モジュールは、パケットダンプ キャプチャ ファイルのうち、フィルタの基準に一致する部分だけをコピーします。この式の規則は、フレックスコンテンツ フィルタの TCPDump 式の規則と同じです。詳細については、「tcpdump 式の構文の設定」を参照してください。 |
|
名前は、1 ~ 63 文字の英数字の文字列で、スペースを含めることはできませんが、アンダースコアを含めることはできます。 |
次の例は、パケットダンプ キャプチャ ファイル capture-1 の一部で capture-2 という名前のキャプチャ ファイルに適合する部分をコピーする方法を示しています。
デフォルトでは、Detector モジュールは、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 20 MB のディスク スペースを割り当てています。すべてのゾーンで最大 80 MB の手動および自動によるパケットダンプ キャプチャ ファイルを保存できます。将来のパケットダンプ キャプチャ ファイルのためにディスク スペースを解放するには、古いパケットダンプ キャプチャ ファイルを削除します。
ゾーンごとに保存できる手動パケットダンプ キャプチャ ファイルは 1 つだけです。また、Detector モジュールに保存できるパケットダンプ キャプチャ ファイルは 10 個までです。新しい手動パケットダンプ キャプチャ ファイルのためのスペースを解放するには、古いファイルを削除する必要があります。
自動パケットダンプ キャプチャ ファイルまたは手動パケットダンプ キャプチャ ファイルを削除するには、次のいずれかのコマンドを使用します。
• clear zone zone-name packet-dump captures { * | name }(設定モードで)
• clear packet-dump captures { * | name }(ゾーン設定モードで)
表12-17 に、clear packet-dump コマンドの引数とキーワードを示します。
|
|
次の例は、すべての手動パケットダンプ キャプチャ ファイルを削除する方法を示しています。
一般的な診断データを表示するには、次のコマンドを使用します。
show diagnostic-info [ details ]
• Line Card Number:Detector モジュールの識別子文字列。
• Number of Pentium-class Processors:Detector モジュールのプロセッサの番号。Detector モジュールはプロセッサ 1 をサポートします。
• BIOS Vendor:Detector モジュール上の BIOS のベンダー。
• BIOS Version :Detector モジュール 上の BIOS バージョン。
• Total available memory:Detector モジュール上で使用可能なメモリの合計。
• Size of compact flash:Detector モジュール上のコンパクト フラッシュのサイズ。
• Slot Num:モジュールをシャーシに装着するためのスロットの番号(1 ~ 9)。
(注) CFE のバージョンを変更するには、新しいフラッシュ バージョンをインストールする必要があります。CFE の新しいバージョンを焼き付けるには、flash-burn コマンドを使用します。詳細については、「新しいフラッシュ バージョンの焼き付け」を参照してください。
• Recognition Average Sample Loss:計算済みの平均パケット サンプル損失。
• Forward failures (no resources):システム リソースが不足しているために転送されなかったパケット数。
(注) Recognition Average Sample Loss または Forward failures の値が大きい場合、Detector モジュールのトラフィックが過負荷の状態に陥っています。負荷分散型の構成で複数の Detector モジュールをインストールすることをお勧めします。
Detector モジュールは、アクティビティ ログおよびゾーン攻撃レポートを保持します。ディスクの使用率が 75% を超えている場合、または Detector モジュールに多数のゾーン(500 を超える)が定義されている場合は、ファイル履歴パラメータの値を小さくすることをお勧めします。使用されているディスク スペースがディスクの最大キャパシティの約 80% に達すると、Detector モジュールは syslog に警告メッセージを表示します。
Detector モジュールが警告メッセージを表示する場合は、ゾーン攻撃レポートをネットワーク サーバにエクスポートしてから、古い攻撃レポートを削除できます(「攻撃レポートのエクスポート」および「攻撃レポートの削除」を参照)。
Detector モジュールのレコードをネットワーク サーバに定期的に格納してから、ログをクリアすることをお勧めします。
(注) ディスク使用率がディスクの最大キャパシティの 80% に達すると、Detector モジュールは情報を消去して、ディスク使用率を約 75% に減らします。
Detector モジュールにインストールされているフラッシュ メモリの合計に対する使用可能なフラッシュ メモリの割合を表示するには、グローバル モードで次のコマンドを入力します。
次の例は、フラッシュ メモリの使用率を表示する方法を示しています。
• Detector モジュール統計エンジンが Anomaly Detection Engine Used Memory フィールドとして使用するメモリのパーセンテージ。
異常検出エンジンのメモリ使用量は、アクティブなゾーンの数および各ゾーンが監視するサービスの数に影響されます。
(注) 異常検出エンジンのメモリ使用率が 90% を超えた場合は、アクティブなゾーンの数を減らすことを強くお勧めします。
Detector モジュールのメモリ消費量を表示するには、次のコマンドを使用します。
次の例は、Detector モジュールのメモリ消費量を表示する方法を示しています。
(注) Detector モジュールの空きメモリの合計量は、空きメモリとキャッシュ メモリの合計です。
Detector モジュールはユーザ モード、システム モード、ナイス値が負のタスク(負のナイス値を持つタスク、ナイス値はプロセスの優先順位を表す)、およびアイドル状態の CPU 時間のパーセンテージを表示します。ナイス値が負のタスクは、システム時間およびユーザ時間の両方でカウントされるため、CPU 使用率の合計が 100% を超えることがあります。
現在の CPU 使用率を表示するには、次のコマンドを使用します。
グローバル モードまたは設定モードで次のコマンドを入力することで、Detector モジュールがシステム ステータスの分析および監視の支援に使用しているリソースの概要を表示できます。
表12-18 に、show resources コマンド出力フィールドを示します。
|
|
---|---|
ユーザ モード、システム モード、ナイス値が負のタスク(負のナイス値を持つタスクで、プロセスの優先順位を表す)、およびアイドル状態における CPU1 の CPU 時間のパーセンテージ。ナイス値が負のタスクは、システム時間およびユーザ時間にもカウントされるため、CPU 使用率の合計が 100% を超えることがあります。 |
|
Detector モジュールが使用している、割り当て済みのフラッシュ スペースのパーセンテージ。 フラッシュ スペースの使用率がフラッシュの最大キャパシティの約 75% に達すると、Detector モジュールは syslog に警告メッセージを表示し、トラップを送信します。 (注) フラッシュ使用率がフラッシュの最大キャパシティの 80% に達すると、Detector モジュールは情報を消去して、フラッシュ使用率を約 75% に減らします。 Detector モジュールのレコードをネットワーク サーバに定期的に格納してから、古いレポートを削除することをお勧めします。 |
|
フラッシュ スペースの使用率が 80% に達した場合は、ゾーン攻撃レポートをネットワーク サーバにエクスポートしてから、古い攻撃レポートを削除することができます(「攻撃レポートのエクスポート」および「攻撃レポートの削除」を参照)。 |
|
アクセラレータ カードが使用しているメモリのパーセンテージ。 アクセラレータ カードのメモリ使用率が 85 パーセントを超えると、Detector モジュールは SNMP トラップを生成します。値が大きいときは、Detector モジュールが大量のトラフィックを監視している場合があります。 |
|
アクセラレータ カードの CPU の使用率が 85 パーセントを超えた場合、Detector モジュールは SNMP トラップを生成します。値が大きいときは、Detector モジュールが大量のトラフィックを監視している場合があります。 |
|
Detector モジュール統計エンジンが使用するメモリのパーセンテージを指定。異常検出エンジンのメモリ使用率は、アクティブなゾーンの数、各ゾーンが監視するサービスの数、Detector モジュールが監視しているスプーフィングされていないトラフィックの合計に影響されます。 |
|
すべてのゾーンでアクティブな動的フィルタの総数。Detector モジュールは、アクティブな動的フィルタの数と、Detector モジュールがサポートする動的フィルタの総数(150,000)に対するアクティブな動的フィルタのパーセンテージを表示します。アクティブな動的フィルタの数が 150,000 に到達すると、Detector モジュールは重大度 |
Detector モジュールが生成するトラップの詳細については、「SNMP トラップ」 を参照してください。
ARP キャッシュを表示または操作して、アドレス マッピング エントリを消去または手動で定義できます。ARP キャッシュを管理するには、次のコマンドのいずれかを入力します。
arp [-evn] [-H type] [-i if] -a [hostname]
arp [-v] [-i if] -d hostname [pub]
arp [-v] [-H type] [-i if] -s hostname hw_addr [temp]
arp [-v] [-H type] [-i if] -s hostname hw_addr [netma sk nm] pub
arp [-v] [-H type] [-i if] -Ds hostname if a [netmask nm] pub
arp [-vnD ] [-H type] [-i if] -f [filename]
(注) キーワードを完全に入力することも、キーワードの省略形を入力することもできます。キーワードの省略形には、先頭にダッシュ(-)が付きます。完全なキーワードには先頭にダッシュが 2 つ(--)付きます。
表12-19 に、 arp コマンドの引数とキーワードを示します。
次の例は、デフォルトの形式で ARP エントリを表示する方法を示しています。
ホスト ネットワーク接続、ルーティング テーブル、インターフェイス統計情報、およびマルチキャスト メンバシップを表示してネットワークの問題をデバッグするには、次のいずれかのコマンドを入力します。
netstat [address_family_options] [--tcp | -t] [--udp | -u] [--raw | -w] [--listening | -l] [--all | -a] [--numeric | -n] [--numeric-hosts] [--numeric-ports] [--numeric-ports] [--symbolic | -N] [--extend | -e [--extend | -e]] [--timers | -o] [--program | -p] [--verbose | -v] [--continuous | -c] [delay]
netstat {--route | -r} [address_family_options] [--extend | -e [--extend | -e]] [--verbose | -v] [--numeric | -n] [--numeric-hosts] [--numeric-ports] [--numeric-ports] [--continuous | -c] [delay]
netstat {--interfaces | -i} [iface] [--all | -a] [--extend | -e [--extend | -e]] [--verbose | -v] [--program | -p] [--numeric | -n] [--numeric-hosts] [--numeric-ports] [--numeric-ports] [--continuous | -c] [delay]
netstat {--groups | -g} [--numeric | -n] [--numeric-hosts] [--numeric-ports] [--numeric-ports] [--continuous | -c] [delay]
netstat {--masquerade | -M} [--extend | -e] [--numeric | -n] [--numeric-hosts] [--numeric-ports] [--numeric-ports] [--continuous | -c] [delay]
netstat {--statistics | -s} [--tcp | -t] [--udp | -u] [--raw | -w] [delay]
(注) アドレス ファミリを指定しない場合、Detector モジュールは設定されているすべてのアドレス ファミリのアクティブなソケットを表示します。
表12-20 に、 netstat コマンドの引数とキーワードを示します。
(注) キーワードを完全に入力することも、キーワードの省略形を入力することもできます。キーワードの省略形には、先頭にダッシュ(-)が付きます。完全なキーワードには先頭にダッシュが 2 つ(--)付きます。
|
完全な名前 |
|
---|---|---|
(オプション)アドレス ファミリ オプションは、次のいずれかです。 • [--protocol={inet,unix,ipx,ax25,netrom,ddp}[,...]] |
||
Network Address Translation(NAT; ネットワーク アドレス変換)が使用されたマスカレード接続のリストを表示します。 |
||
(注) 1 つのコマンドに最大 13 の引数とキーワードを入力できます。
次の例は、netstat 情報を詳細に表示する方法を示しています。
次のコマンドを入力することで、ネットワーク問題をデバッグするために、パケットがネットワーク ホストに到達するまでに取るルートを決定できます。
traceroute ip-address [-F] [-f first_ttl] [-g gateway] [-i iface] [-m max_ttl] [-p port] [-q nqueries] [-s src_addr] [-t tos] [-w waittime] [packetlen]
(注) traceroute コマンドでは IP アドレスだけが表示され、名前は表示されません。
表12-21 に、 traceroute コマンドの引数とキーワードを示します。
次の例は、IP アドレス 10.10.10.34 へのルートをトレースする方法を示しています。
次のコマンドを入力することにより、ネットワーク ホストに ICMP ECHO_REQUEST パケットを送信して、接続を確認できます。
ping ip-address [-c count] [-i interval] [-l preload] [-s packetsize] [-t ttl] [-w deadline] [-F flowlabel] [-I interface] [-Q tos] [-T timestamp option] [-W timeout]
表12-22 に、 ping コマンドの引数とキーワードを示します。
1 つのコマンドに最大 10 の引数とキーワードを入力できます。
次の例は、1 つの ICMP ECHO_REQUEST パケットを IP アドレス 10.10.10.30 に送信する方法を示しています。
Detector モジュールに動作上の問題が発生した場合は、シスコのテクニカルサポートがお客様に Detector モジュールの内部デバッグ情報のコピーを送信するようお願いすることがあります。Detector モジュールのデバッグ コア ファイルには、Detector モジュールの動作不良をトラブルシューティングするための情報が含まれています。このファイルの出力は暗号化されており、Cisco TAC の担当者のみが使用するよう意図されています。
デバッグ情報を FTP サーバに抽出するには、次の手順を実行します。
ステップ 1 Detector モジュール ログ ファイルを表示します。
詳細については、「ログ ファイルの表示」を参照してください。
ステップ 2 デバッグ情報を抽出する時期を判断するため、問題を示す最初のログ メッセージを識別します。Detector モジュールは、指定した時間から現在の時間までのデバッグ情報を抽出します。
ステップ 3 グローバル モードで次のコマンドを入力して、FTP サーバにデバッグ情報を抽出します。
表12-23 に、 copy debug-core コマンドの引数とキーワードを示します。
次の例は、今年の 11 月 9 日 午前 6:45 のデバッグ情報を FTP サーバ 10.0.0.191 に抽出する方法を示しています。