- このマニュアルについて
- CLI コンフィギュレーション ガイドの 概要
- センサーへのログイン
- センサーの初期化
- 初期コンフィギュレーション タスク
- インターフェイスの設定
- イベント アクション ルールの設定
- シグニチャの定義
- IP ロギングの設定
- インターフェイスのライブ トラフィック の表示と取り込み
- ブロッキングとレート制限のための ARC の設定
- SNMPの設定
- コンフィギュレーション ファイルの処理
- センサーの管理タスク
- AIP SSM コンフィギュレーション タスク
- IDSM-2 の設定
- NM-CIDS の設定
- システム イメージのアップグレード、 ダウングレード、およびインストール
- ソフトウェアの入手方法
- システム アーキテクチャ
- シグニチャ エンジン
- トラブルシューティング
- 用語集
- 索引
コマンドライン インターフェイスによる Cisco Intrusion Prevention System Sensor 5.1 の設定
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月14日
章のタイトル: IP ロギングの設定
IP ロギングの設定
IP ロギングについて
IP アドレスで指定したホストに関連付けられている IP トラフィックをすべて取り込むように、センサーを手動で設定することができます。IP トラフィックのログを記録する期間、記録する IP パケット数、および記録するバイト数を指定できます。センサーは、指定した最初のパラメータで IP トラフィックのロギングを停止します。
また、特定のシグニチャが反応するたびに、IP パケットをログに記録するようセンサーを設定することもできます。センサーで IP トラフィックのログを記録する期間、および記録する IP パケット数とバイト数を指定できます。
(注) IP ログ ファイルは、削除したり、管理したりすることはできません。no iplog コマンドでは、該当の IP ログにそれ以上パケットが記録されないようになるだけで、IP ログは削除されません。IP ログは、一杯になることのない循環バッファに格納されます。これは、新しい IP ログが古いログを上書きするためです。
IP ログをセンサーからコピーして、libpcap 形式のパケット ファイルを読み取る Ethereal や tcpdump などのツールで分析することができます。
(注) 各アラートは、そのアラートのために作成された IP ログを参照します。複数のアラートにより同一の IP アドレスに対して IP ログが作成される場合は、すべてのアラートについて IP ログが 1 つだけ作成されます。各アラートは、同一の IP ログを参照します。しかし、IP ログ ステータスの出力は、IP ログをトリガーした最初のアラートのイベント ID だけを表示します。
自動 IP ロギングの設定
センサーで自動 IP ロギング パラメータを設定するには、 ip-log-packets number 、 ip-log-time number 、 ip-log-bytes number の各コマンドを使用します。
•
ip-log-packets :ログに記録するパケット数を指定します。
有効な値は 0 ~ 65535 です。デフォルトは 0 です。
• ip-log-time :センサーでログを記録する期間を指定します。
有効な値は 0 ~ 65535 分です。デフォルトは 30 分です。
• ip-log-bytes :ログに記録する最大バイト数を指定します。
有効な値は 0 ~ 2147483647 です。デフォルトは 0 です。
(注) 自動 IP ログは、これらのパラメータのいずれかに達するまでパケットの取り込みを継続します。
パラメータをリセットするには、 default キーワードを使用します。IP ログ ファイルのコピーと表示については、「IP ログ ファイルのコピーと表示」を参照してください。
自動 IP ロギングは、シグニチャ単位で設定するか、イベント アクション オーバーライドとして設定します。自動 IP ロギングは、次のアクションによってトリガーされます。
詳細については、 第6章「イベント アクション ルールの設定」 を参照してください。
自動 IP ロギング パラメータを設定するには、次の手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して CLI にログインします。
ステップ 2 シグニチャ IP ログ コンフィギュレーション サブモードに入ります。
sensor(config)# service signature-definition sig0
ステップ 3 センサーでログに記録するパケット数を設定します。
ステップ 4 センサーでパケットをログに記録する期間を設定します。
ステップ 8 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
特定の IP アドレスの手動 IP ロギングの設定
特定の IP アドレスの仮想センサーで IP パケットを手動でログに記録するには、 iplog name ip-address [ duration minutes ] [ packets numPackets ] [ bytes numBytes ] コマンドを使用します。
(注) IPS 5.0 バージョン 0 では仮想センサーは 1 つだけです。
• ip-address :指定された送信元 IP アドレスまたは宛先 IP アドレス(あるいはその両方)を含むパケットをログに記録します。
有効な範囲は 1 ~ 60 分です。デフォルトは 10 分です。
有効な範囲は 0 ~ 4294967295 です。デフォルトは 1000 パケットです。
有効な範囲は 0 ~ 4294967295 です。値 0 はバイト数に制限がないことを示します。
(注) minutes、numPackets、および numBytes の各パラメータはオプションです。3 つすべてを指定する必要はありません。ただし、2 つ以上のパラメータを指定した場合、センサーは最初のしきい値に達するまでしかロギングを継続しません。たとえば、期間を 5 分、パケット数を 1000 と指定した場合、センサーは 2 分しか経過していなくても、1000 番目のパケットを取り込んだ後でロギングを停止します。
特定の IP アドレスの IP パケットのロギングを停止する場合は、「アクティブな IP ログの停止」を参照してください。IP パケットをシグニチャに関連付けられたイベントとしてログに記録する場合は、「自動 IP ロギングの設定」を参照してください。IP ログ ファイルのコピーと表示については、「IP ログ ファイルのコピーと表示」を参照してください。
特定の IP アドレスの仮想センサーでパケットを手動でログに記録するには、次の 3 つの手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して CLI にログインします。
ステップ 2 特定の IP アドレスの IP ロギングを開始します。
この例では、センサーが IP アドレス 10.16.0.0 で送受信されるすべての IP パケットを 5 分間ログに記録しています。
(注) 後で参照するときのために、ログ ID をメモしておいてください。
ステップ 3 iplog-status コマンドで、IP ログのステータスを監視します。
(注) 各アラートは、そのアラートのために作成された IP ログを参照します。複数のアラートにより同一の IP アドレスに対して IP ログが作成される場合は、すべてのアラートについて IP ログが 1 つだけ作成されます。各アラートは、同一の IP ログを参照します。しかし、IP ログ ステータスの出力は、IP ログをトリガーした最初のアラートのイベント ID だけを表示します。
アクティブな IP ログの停止
started 状態のログのロギングを停止したり、 added 状態のログを削除したりするには、 no iplog [ log-id log-id | name name ] コマンドを使用します。
(注) added の状態の IP ログに対して no iplog コマンドを使用すると、IP ログが停止します。added の状態は、その IP ログが空のままである(パケットがない)ことを意味します。パケットが存在しない状態での停止は、空の IP ログの停止ということです。空のログは、停止すると削除されます。
(注) no iplog コマンドでは、IP ログは削除されません。このコマンドは、センサーに対してその IP ログでの追加パケットの取り込みを停止するようにシグナルを送信するだけです。
• log-id :停止するロギング セッションのログ ID。ログ ID を検索するには、 iplog-status コマンドを使用します。
(注) IPS 5.0 バージョン 0 では仮想センサーは 1 つだけです。
1 つまたはすべての IP ロギング セッションを停止するには、次の手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して CLI にログインします。
ステップ 2 特定の IP ロギング セッションを停止するには、次の手順を実行します。
a. iplog-status コマンドを使用して、停止するセッションのログ ID を検索します。
(注) 各アラートは、そのアラートのために作成された IP ログを参照します。複数のアラートにより同一の IP アドレスに対して IP ログが作成される場合は、すべてのアラートについて IP ログが 1 つだけ作成されます。各アラートは、同一の IP ログを参照します。しかし、IP ログ ステータスの出力は、IP ログをトリガーした最初のアラートのイベント ID だけを表示します。
ステップ 3 仮想センサー上のすべての IP ロギング セッションを停止するには、次のコマンドを実行します。
ログが停止すると、ステータスに completed と表示されます。
IP ログ ファイルのコピーと表示
IP ログ ファイルを FTP サーバまたは SCP サーバにコピーして、Ethereal や tcpdump などのスニフィング ツールで表示できるようにするには、 copy iplog log-id destination-url コマンドを使用します。
• log-id :ロギング セッションのログ ID。ログ ID は、 iplog-status コマンドを使用して取得できます。
• destination-url :コピー先のファイルの場所。URL またはキーワードです。
コピー元およびコピー先の URL の正確な形式は、ファイルによって異なります。有効なタイプは次のとおりです。
• ftp::FTP ネットワーク サーバの宛先 URL。このプレフィクスの構文は、次のとおりです。
ftp:[//[username@] location]/relativeDirectory]/filename
ftp:[//[username@]location]//absoluteDirectory]/filename
• scp::SCP ネットワーク サーバの宛先 URL。このプレフィクスの構文は、次のとおりです。
scp:[//[username@] location]/relativeDirectory]/filename
scp:[//[username@] location]//absoluteDirectory]/filename
FTP または SCP プロトコルを使用する場合は、パスワードの入力を求められます。
IP ログ ファイルを FTP サーバまたは SCP サーバにコピーするには、次の手順を実行します。
ステップ 2 コピーするログ ファイルのログ ID のステータスが completed と表示されるまで、 iplog-status コマンドを使用して IP ログのステータスを監視します。
ステップ 3 IP ログを FTP サーバまたは SCP サーバにコピーします。
ステップ 4 Ethereal や tcpdump などのスニファ プログラムを使用して IP ログを開きます。
Ethereal の詳細については、 http://www.ethereal.com を参照してください。tcpdump の詳細については、 http://www.tcpdump.org/ を参照してください。
フィードバック