4200 シリーズ アプライアンスのトラブルシューティング
この項では、4200 シリーズ アプライアンスのトラブルシューティングについて説明します。
ヒント アプライアンスをトラブルシューティングする前に、センサーにインストールしたソフトウェア バージョンの Readme で警告の項を調べて、既知の問題を確認してください。
この項では、次のトピックについて説明します。
• 「通信の問題」
• 「SensorApp およびアラート」
• 「ブロッキング」
• 「ロギング」
• 「センサーが NTP サーバに同期していることの確認」
• 「TCP リセットがシグニチャに対して実行されない」
• 「ソフトウェア アップグレード」
Telnet または SSH でセンサー CLI にアクセスできない
Telnet(すでにイネーブルにしてある場合)または SSH でセンサー CLI にアクセスできない場合は、次の手順を実行します。
(注) センサーで Telnet をイネーブルおよびディセーブルにする手順は、「Telnet のイネーブル化とディセーブル化」を参照してください。
ステップ 1 コンソール、端末、またはモジュール セッションからセンサー CLI にログインします。
CLI セッションをセンサーで直接開くためのさまざまな方法については、 第2章「センサーへのログイン」 を参照してください。
ステップ 2 センサーの管理インターフェイスがイネーブルになっていることを確認します。
Total Packets Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/1
Missed Packet Percentage = 0
Total Packets Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface GigabitEthernet0/0
Total Packets Received = 944333
Total Bytes Received = 83118358
Total Multicast Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 397633
Total Bytes Transmitted = 435730956
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
管理インターフェイスは、ステータス行が Media Type = TX
の、リスト内のインターフェイスです。Link Status が Down
の場合はステップ 3 に進みます。Link Status が Up
の場合はステップ 5 に進みます。
ステップ 3 センサーの IP アドレスが固有であることを確認します。
--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
User ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
host-ip 10.89.130.108/23,10.89.130.1
ネットワーク上の別のデバイスが同じ IP アドレスを持っていることを管理インターフェイスが検出した場合、管理インターフェイスは起動しません。
詳細については、「IP アドレス、ネットマスク、およびゲートウェイの変更」を参照してください。
ステップ 4 管理ポートがアクティブなネットワーク接続に接続していることを確認します。
管理ポートがアクティブなネットワーク接続に接続されていない場合、管理インターフェイスは起動しません。
ステップ 5 センサーに接続しようとしているワークステーションの IP アドレスがセンサーのアクセス リストで許可されていることを確認してください。
--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
User ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
host-ip 10.89.130.108/23,10.89.130.1
ワークステーションのネットワーク アドレスがセンサーのアクセス リストで許可されている場合は、ステップ 6 に進みます。
ステップ 6 ワークステーションのネットワーク アドレス用に許可エントリを追加し、コンフィギュレーションを保存し、接続を再試行します。
詳細については、「アクセス リストの変更」を参照してください。
ステップ 7 ネットワーク コンフィギュレーションでワークステーションがセンサーに接続できるようになっていることを確認します。
ファイアウォールの後ろでセンサーが保護されていて、ワークステーションがファイアウォールの前にある場合は、ワークステーションがセンサーにアクセスできるようにファイアウォールが設定されていることを確認します。あるいは、ワークステーションの IP アドレスでネットワーク アドレス変換を実行しているファイアウォールの後ろにワークステーションがあり、センサーがファイアウォールの前にある場合は、センサーのアクセス リストにワークステーションの変換済みアドレス用の許可エントリが含まれていることを確認します。
詳細については、「アクセス リストの変更」を参照してください。
設定が誤っているアクセス リスト
設定が誤っているアクセス リストを訂正するには、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 コンフィギュレーションを表示してアクセス リストを確認します。
sensor# show configuration | include access-list
ステップ 3 許可されたネットワークのリストにクライアントの IP アドレスがあることを確認します。ない場合は、追加します。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
sensor(config-hos-net)# access-list 171.69.70.0/24
ステップ 4 設定を確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.149.238/25,10.89.149.254 default: 10.1.9.201/24,10.1.9.1
host-name: qsensor-238 default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 3)
-----------------------------------------------
network-address: 10.0.0.0/8
-----------------------------------------------
network-address: 64.0.0.0/8
-----------------------------------------------
network-address: 171.69.70.0/24
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
重複 IP アドレスによりインターフェイスがシャットダウンする
同じ IP アドレスで新しくイメージが作成されたセンサーが 2 つあり、それらが同じネットワーク上で同時に起動すると、インターフェイスはシャットダウンします。Linux は、別のホストとのアドレスの競合を検出すると、コマンド/コントロール インターフェイスがアクティブ化するのを妨げます。
該当するセンサーにネットワーク上の別のホストとの IP アドレスの競合がないことを確認するには、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 インターフェイスが起動しているかどうかを判別します。
Total Packets Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/1
Missed Packet Percentage = 0
Total Packets Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface GigabitEthernet0/0
Total Packets Received = 1822323
Total Bytes Received = 131098876
Total Multicast Packets Received = 20
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 219260
Total Bytes Transmitted = 103668610
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
コマンド/コントロール インターフェイスのリンク ステータスがダウンであることが出力で示されている場合は、ハードウェアの問題または IP アドレスの競合があります。
ステップ 3 センサーの配線が正しいことを確認します。
『 Installing Cisco Intrusion Prevention System Appliances and Modules 5.1 』内の使用するセンサーに関する章を参照してください。
ステップ 4 setup コマンドを実行して、IP アドレスが正しいことを確認します。
手順については、「センサーの初期化」を参照してください。
SensorApp が動作していない
センシング プロセスの SensorApp は、常に動作している必要があります。動作していない場合は、アラートを受信しません。SensorApp は分析エンジンの一部なので、分析エンジンが動作していることを確認する必要があります。
分析エンジンが動作していることを確認するには、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 分析エンジン サービスのステータスを判別します。
Cisco Intrusion Prevention System, Version 5.0(1)S149.0
OS Version 2.4.26-IDS-smp-bigphys
Sensor up-time is 19 days.
Using 505495552 out of 1984704512 bytes of available memory (25% usage)
system is using 17.3M out of 29.0M bytes of available disk space (59% usage)
application-data is using 37.7M out of 166.6M bytes of available disk space (24% usage)
boot is using 40.5M out of 68.5M bytes of available disk space (62% usage)
MainApp 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Running
AnalysisEngine 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Not Running
CLI 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600
IDS-K9-maj-5.0-1- 14:16:00 UTC Thu Mar 04 2004
Recovery Partition Version 1.1 - 5.0(1)S149
ステップ 3 分析エンジンが動作していない場合は、それにつながるエラーを検索します。
sensor# show events error fatal past 13:00:00 | include AnalysisEngine
evError: eventId=1077219258696330005 severity=warning
time: 2004/02/19 19:34:20 2004/02/19 19:34:20 UTC
errorMessage: name=errUnclassified Generating new Analysis Engine configuration file.
(注) 最後の再起動の日付と時刻がリストされます。この例では、最後の再起動は 2004 年 2 月 19 日の 7 時 34 分でした。
ステップ 4 最新のソフトウェア アップデートを持っていることを確認してください。
IDS-K9-maj-5.0-1- 14:16:00 UTC Thu Mar 04 2004
Recovery Partition Version 1.1 - 5.0(1)S149
最新のソフトウェア アップデートを持っていない場合は、Cisco.com からダウンロードしてください。手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。
ステップ 5 ソフトウェア アップグレードに付属している Readme を参照して、SensorApp または分析エンジンの既知の DDTS を確認してください。
物理接続、SPAN、または VACL ポートの問題
センサーが適切に接続されていない場合は、アラートを受信しません。
センサーが適切に接続されていることを確認するには、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 インターフェイスが起動していることと、パケット カウントが増加していることを確認します。
Total Packets Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/1
Missed Packet Percentage = 0
Total Packets Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface GigabitEthernet0/0
Total Packets Received = 1830137
Total Bytes Received = 131624465
Total Multicast Packets Received = 20
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 220052
Total Bytes Transmitted = 103796666
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
ステップ 3 Link Status がダウンである場合は、センシング ポートが適切に接続されていることを確認します。
a. センシング ポートがアプライアンスで適切に接続されていることを確認します。
『 Installing Cisco Intrusion Prevention System Appliances and Modules 5.1 』内の使用するアプライアンスに関する章を参照してください。
b. センシング ポートが IDSM-2 で正しい SPAN または VACL キャプチャ ポートに接続されていることを確認します。
『Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface 5.1』内の IDSM-2 に関する章を参照してください。
ステップ 4 インターフェイス コンフィギュレーションを確認します。
a. インターフェイスが正しく設定されていることを確認します。
手順については、 第5章「インターフェイスの設定」 を参照してください。
b. Cisco スイッチで SPAN および VACL キャプチャ ポート コンフィギュレーションを確認します。
手順についてはスイッチのマニュアルを参照してください。
ステップ 5 インターフェイスが起動していることと、パケット カウントが増加していることを再び確認します。
アラートを表示できない
アラートが表示されない場合は、次のことを試してください。
• シグニチャがイネーブルになっていることを確認します。
• シグニチャが非アクティブになっていないことを確認します。
• Produce Alert がアクションとして設定されていることを確認します。
(注) Produce Alert を選択した後、戻って別のイベント アクションを追加し、Produce Alert を新規コンフィギュレーションに追加しないと、アラートはイベント ストアに送信されません。シグニチャを設定するたびに、新規コンフィギュレーションが古いコンフィギュレーションを上書きするので、各シグニチャに必要なイベント アクションをすべて設定してあることを確認してください。
• センサーがパケットを検出していることを確認します。
• アラートが生成中であることを確認します。
アラートが表示されることを確認するには、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 シグニチャがイネーブルになっていることを確認します。
sensor# configure terminal
sensor(config)# service signature-definition sig0
sensor(config-sig)# signatures 1300 0
sensor(config-sig-sig)# status
sensor(config-sig-sig-sta)# show settings
-----------------------------------------------
enabled: true <defaulted>
retired: false <defaulted>
-----------------------------------------------
sensor(config-sig-sig-sta)#
ステップ 3 Produce Alert が設定されていることを確認します。
sensor# configure terminal
sensor(config)# service signature-definition sig0
sensor(config-sig)# signatures 1300 0
sensor(config-sig-sig)# engine ?
normalizer Signature engine
sensor(config-sig-sig)# engine normalizer
sensor(config-sig-sig-nor)# event-action produce-alert
sensor(config-sig-sig-nor)# show settings
-----------------------------------------------
event-action: produce-alert default: produce-alert|deny-connection-inline
-----------------------------------------------
ステップ 4 センサーがパケットを検出していることを確認します。
sensor# show interfaces FastEthernet0/1
MAC statistics from interface FastEthernet0/1
Missed Packet Percentage = 0
Total Packets Received = 267581
Total Bytes Received = 24886471
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 57301
Total Bytes Transmitted = 3441000
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 1
Total Transmit FIFO Overruns = 0
ステップ 5 アラートをチェックします。
sensor# show statistics virtual-sensor
SigEvent Preliminary Stage Statistics
Number of Alerts received = 0
Number of Alerts Consumed by AlertInterval = 0
Number of Alerts Consumed by Event Count = 0
Number of FireOnce First Alerts = 0
Number of FireOnce Intermediate Alerts = 0
Number of Summary First Alerts = 0
Number of Summary Intermediate Alerts = 0
Number of Regular Summary Final Alerts = 0
Number of Global Summary Final Alerts = 0
Number of Alerts Output for further processing = 0alertDetails: Traffic Source: int0;
センサーがパケットを検出しない
センサーがネットワーク上のパケットを検出していない場合は、インターフェイスのセットアップが正しくない可能性があります。
センサーがパケットを検出していない場合は、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 インターフェイスが起動し、パケットを受信していることを確認します。
sensor# show interfaces GigabitEthernet0/1
MAC statistics from interface GigabitEthernet0/1
Missed Packet Percentage = 0
Total Packets Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
ステップ 3 インターフェイスが起動していない場合は、次の手順を実行します。
a. 配線を確認します。
センサーを適切に取り付けるための詳細については、『 Installing Cisco Intrusion Prevention System Appliances and Modules 5.1 』内の使用するセンサーに関係する章を参照してください。
b. インターフェイスをイネーブルにします。
sensor# configure terminal
sensor(config)# service interface
sensor(config-int)# physical-interfaces GigabitEthernet0/1
sensor(config-int-phy)# admin-state enabled
sensor(config-int-phy)# show settings
-----------------------------------------------
media-type: tx <protected>
admin-state: enabled default: disabled
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 4 インターフェイスが起動し、パケットを受信しているかどうかを確認します。
MAC statistics from interface GigabitEthernet0/1
Missed Packet Percentage = 0
Total Packets Received = 3
Total Bytes Received = 900
Total Multicast Packets Received = 3
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0 ...
破損した SensorApp コンフィギュレーションのクリーン アップ
SensorApp コンフィギュレーションが破損し SensorApp を実行できない場合は、コンフィギュレーションを完全に削除して SensorApp を再起動する必要があります。
SensorApp 設定を削除するには、次の手順を実行します。
ステップ 1 サービス アカウントにログインします。
ステップ 2 su で root になります。
ステップ 3 IPS アプリケーションを停止します。
ステップ 4 仮想センサー ファイルを置換します。
cp /usr/cids/idsRoot/etc/defVirtualSensorConfig.xml /usr/cids/idsRoot/etc/VS-Config/virtualSensor.xml
ステップ 5 キャッシュ ファイルを削除します。
rm /usr/cids/idsRoot/var/virtualSensor/*.pmz
ステップ 6 サービス アカウントを終了します。
ステップ 7 センサー CLI にログインします。
ステップ 8 IPS サービスを開始します。
ステップ 9 管理者特権でアカウントにログインします。
ステップ 10 センサーをリブートします。
Warning: Executing this command will stop all applications and reboot the node.
Continue with reset? [yes]:yes
IDS-4250-XL の不良メモリ
IDS-4250-XL の中には、問題のある DIMM を XL カードに搭載して出荷されたものがあります。問題のある DIMM によって、センサーが停止したり、SensorApp が機能を停止してコア ファイルを生成したりすることがあります。
メモリに問題があるかどうかに関して IDS-4250-XL をチェックする手順については、 Partner Field 52563 を参照してください。
ブロッキングのトラブルシューティング
ARC を設定すると、 show version コマンドを使用して ARC が正しく動作しているかどうかを確認できます。ARC がネットワーク デバイスに接続されていることを確認するには、 show statistics network-access コマンドを使用します。
(注) ARC は、以前は Network Access Controller と呼ばれていました。IPS 5.1 で名前が変更されましたが、IDM および CLI ではまだ、Network Access Controller、nac、および network-access として表示されます。
ARC をトラブルシューティングするには、次の手順を実行します。
1. ARC が動作していることを確認します。
手順については、 「ARC が動作していることの確認」 を参照してください。
2. ARC がネットワーク デバイスに接続していることを確認します。
手順については、「ARC 接続がアクティブであることの確認」を参照してください。
3. Event Action が特定のシグニチャの Block Host に設定されていることを確認します。
手順については、「シグニチャに対してブロッキングが実行されない」を参照してください。
4. マスター ブロッキング センサーが適切に設定されていることを確認します。
手順については、 「マスター ブロッキング センサー コンフィギュレーションの確認」 を参照してください。
(注) ARC アーキテクチャの説明については、「ARC」を参照してください。
ARC が動作していることの確認
ARC が動作していることを確認するには、 show version コマンドを使用します。MainApp が動作していないと、ARC は実行できません。ARC は MainApp の一部です。
ステップ 1 CLI にログインします。
ステップ 2 MainApp が動作していることを確認します。
Cisco Intrusion Prevention System, Version 5.0(1.1)S152.0
OS Version 2.4.26-IDS-smp-bigphys
Serial Number: JAB0815R017
Sensor up-time is 3 days.
Using 734863360 out of 3974291456 bytes of available memory (18% usage)
system is using 17.3M out of 29.0M bytes of available disk space (59% usage)
application-data is using 35.6M out of 166.8M bytes of available disk space (23% usage)
boot is using 40.5M out of 68.6M bytes of available disk space (62% usage)
MainApp 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Not Running
AnalysisEngine 2005_Mar_18_12.53 (Release) 2005-03-18T13:03:21-0600 Running
CLI 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600
IDS-K9-sp-5.0-1.1- 12:53:00 UTC Fri Mar 18 2005
Recovery Partition Version 1.1 - 5.0(1.1)
ステップ 3 MainApp によって Not Running
と表示される場合、ARC に障害が発生しています。TAC に連絡します。
ARC 接続がアクティブであることの確認
ARC 統計情報の State が Active
でない場合は、問題があります。
統計情報内で State が Active であることを確認するには、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 ARC が接続していることを確認します。
出力の State セクションを調べて、すべてのデバイスが接続中であることを確認します。
sensor# show statistics network-access
LogAllBlockEventsAndSensors = true
MaxDeviceInterfaces = 250
AclSupport = uses Named ACLs
ステップ 3 ARC が接続していない場合は、繰り返し発生するエラーを検索してください。
sensor# show events error hh:mm:ss month day year | include : nac
例
sensor# show events error 00:00:00 Apr 01 2005 | include : nac
ステップ 4 最新のソフトウェア アップデートを持っていることを確認してください。
IDS-K9-maj-5.0-1- 14:16:00 UTC Thu Mar 04 2004
Recovery Partition Version 1.1 - 5.0(1)S149
最新のソフトウェア アップデートを持っていない場合は、Cisco.com からダウンロードしてください。手順については、 「Cisco IPS ソフトウェアの入手方法」 を参照してください。
ステップ 5 ソフトウェア アップグレードに付属している Readme を参照して、ARC の既知の DDTS を確認してください。
ステップ 6 各デバイスのコンフィギュレーション設定が正しいことを確認します(ユーザ名、パスワード、IP アドレス)。
手順については、 「デバイス アクセスの問題」 を参照してください。
ステップ 7 各ネットワーク デバイスのインターフェイスと方向が正しいことを確認します。
手順については、「ネットワーク デバイス上のインターフェイスおよび方向の確認」を参照してください。
ステップ 8 ネットワーク デバイスが SSH-DES または SSH-3DES を使用している場合は、デバイスへの SSH 接続がイネーブルになっていることを確認します。
手順については、「ネットワーク デバイスへの SSH 接続のイネーブル化」を参照してください。
ステップ 9 制御されている各デバイスのインターフェイスと方向がそれぞれ正しいことを確認します。
手順については、「ネットワーク デバイス上のインターフェイスおよび方向の確認」を参照してください。
デバイス アクセスの問題
ARC が、管理しているデバイスにアクセスできないことがあります。管理対象デバイスの IP アドレス、ユーザ名、およびパスワードが正しいことと、インターフェイスおよび方向が正しく設定されていることを確認します。
(注) SSH デバイスが SSH 1.5 をサポートしている必要があります。センサーは SSH 2.0 をサポートしていません。
デバイス アクセスの問題をトラブルシューティングするには、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 管理対象デバイスの IP アドレスを確認します。
sensor# configure terminal
sensor (config)# service network-access
sensor(config-net)# show settings
-----------------------------------------------
log-all-block-events-and-errors: true <defaulted>
enable-nvram-write: false <defaulted>
enable-acl-logging: false <defaulted>
allow-sensor-block: false <defaulted>
block-enable: true <defaulted>
block-max-entries: 250 <defaulted>
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-networks (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
block-networks (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
user-profiles (min: 0, max: 250, current: 1)
-----------------------------------------------
-----------------------------------------------
enable-password: <hidden>
username: netrangr default:
-----------------------------------------------
-----------------------------------------------
cat6k-devices (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
router-devices (min: 0, max: 250, current: 1)
-----------------------------------------------
-----------------------------------------------
communication: telnet default: ssh-3des
nat-address: 0.0.0.0 <defaulted>
block-interfaces (min: 0, max: 100, current: 1)
-----------------------------------------------
-----------------------------------------------
pre-acl-name: <defaulted>
post-acl-name: <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
firewall-devices (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
ステップ 3 デバイスに手動で接続して、ユーザ名、パスワード、およびイネーブル パスワードが正しいことと、デバイスがセンサーから到達可能であることを確認します。
a. サービス アカウントにログインします。
b. ネットワーク デバイスに Telnet または SSH で接続して、コンフィギュレーションを確認します。
c. デバイスに到達できることを確認します。
d. ユーザ名とパスワードを確認します。
ステップ 4 各ネットワーク デバイスのインターフェイスと方向がそれぞれ正しいことを確認します。
手順については、「ネットワーク デバイス上のインターフェイスおよび方向の確認」を参照してください。
ネットワーク デバイス上のインターフェイスおよび方向の確認
制御対象デバイスそれぞれのインターフェイスおよび方向が正しいことを確認するには、手動ブロックを偽のホストに送信して、ルータの ACL にブロックされたアドレスの拒否エントリが存在するかどうかをチェックします。
(注) Monitoring > Active Host Blocks をクリックして、IDM から手動ブロックを実行することもできます。
偽のホストに対する手動ブロックを開始するには、次の手順を実行します。
ステップ 1 ARC 汎用サブモードに入ります。
sensor# configure terminal
sensor(config)# service network-access
sensor(config-net)# general
ステップ 2 偽のホスト IP アドレスに対する手動ブロックを開始します。
sensor(config-net-gen)# block-hosts 10.16.0.0
ステップ 3 汎用サブモードを終了します。
sensor(config-net-gen)# exit
ステップ 4 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
ステップ 5 ルータに Telnet 接続し、ブロックされるアドレスの拒否エントリがルータの ACL 内に存在することを確認します。
手順についてはルータのマニュアルを参照してください。
ステップ 6 ステップ 1 ~ 4(ただし、ステップ 2 ではコマンドの前に no を指定する)を繰り返して、手動ブロックを削除します。
sensor(config-net-gen)# no block-hosts 10.16.0.0
ネットワーク デバイスへの SSH 接続のイネーブル化
SSH-DES または SSH-3DES をネットワーク デバイスの通信プロトコルとして使用している場合は、それがデバイスでイネーブルになっていることを確認する必要があります。
ネットワーク デバイスへの SSH 接続をイネーブルにするには、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 コンフィギュレーション モードに入ります。
sensor# configure terminal
ステップ 3 SSH をイネーブルにします。
sensor(config)# ssh host blocking_device_ip_ address
ステップ 4 デバイスを受け入れるためのプロンプトが表示されたら、 yes を入力します。
シグニチャに対してブロッキングが実行されない
特定のシグニチャに対してブロッキングが実行されない場合は、ホストをブロックするようにイベント アクションが設定されているかどうかをチェックします。
特定のシグニチャに対してブロッキングが実行されていることを確認するには、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 シグニチャ定義サブモードに入ります。
sensor# configure terminal
sensor(config)# service signature-definition sig0
ステップ 3 ホストをブロックするようにイベント アクションが設定されていることを確認します。
(注) アラートを受信する場合は、イベント アクションを設定するたびに、必ず produce-alert を追加する必要があります。
sensor(config-sig)# signatures 1300 0
sensor(config-sig-sig)# engine normalizer
sensor(config-sig-sig-nor)# event-action produce-alert|request-block-host
sensor(config-sig-sig-nor)# show settings
-----------------------------------------------
event-action: produce-alert|request-block-host default: produce-alert|deny
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 4 シグニチャ定義サブモードを終了します。
sensor(config-sig-sig-nor)# exit
sensor(config-sig-sig)# exit
ステップ 5 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
マスター ブロッキング センサー コンフィギュレーションの確認
マスター ブロッキング センサーが正しくセットアップされていることを確認したり、正しくセットアップされていないマスター ブロッキング センサーをトラブルシューティングしたりするには、 show statistics network-access コマンドを使用します。リモート マスター ブロッキング センサーが Web アクセスに TLS を使用している場合は、転送センサーが信頼できる TLS ホストとしてセットアップされていることを確認します。
センサーのマスター ブロッキング センサー コンフィギュレーションを確認するには、次の手順を実行します。
ステップ 1 ARC の統計情報を表示して、マスター ブロッキング センサー エントリが統計情報内にあることを確認します。
sensor# show statistics network-access
ステップ 2 マスター ブロッキング センサーが統計情報内にない場合は、追加する必要があります。
手順については、「センサーをマスター ブロッキング センサーとして使用するための設定」を参照してください。
ステップ 3 マスター ブロッキング センサーが確実にブロックを開始するように、偽のホスト IP アドレスに対する手動ブロックを開始します。
sensor# configure terminal
sensor(config)# service network-access
sensor(config-net)# general
sensor(config-net-gen)# block-hosts 10.16.0.0
ステップ 4 ネットワーク アクセス汎用サブモードを終了します。
sensor(config-net-gen)# exit
ステップ 5 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
ステップ 6 ブロックが ARC の統計情報に表示されることを確認します。
sensor# show statistics network-access
ステップ 7 マスター ブロッキング センサー ホストの CLI にログインし、 show statistics network-access コマンドを使用して、ブロックが、マスター ブロッキング センサー ARC の統計情報にも表示されることを確認します。
sensor# show statistics network-access
ステップ 8 リモート マスター ブロッキング センサーが Web アクセスに TLS を使用している場合は、転送センサーが TLS ホストとして設定されていることを確認します。
sensor# configure terminal
sensor(config)# tls trust ip master_blocking_sensor_ip_address
ロギング
TAC は、トラブルシューティングの目的で、ユーザにデバッグ ロギングを有効にするように提案する場合があります。LogApp は、さまざまなロギング ゾーンのロギングの重大度を制御することによって、各アプリケーションによってどのログ メッセージが生成されるかを制御します。デフォルトでは、デバッグ ロギングはオンになりません。
個々のゾーン制御をイネーブルにすると、各ゾーンはそれが設定されているロギングのレベルを使用します。それ以外の場合は、すべてのゾーンに対して同じロギング レベルが使用されます。
この項では、次のトピックについて説明します。
• 「デバッグ ロギングのイネーブル化」
• 「ゾーン名」
• 「cidLog メッセージの SysLog への転送」
デバッグ ロギングのイネーブル化
注意
デバッグ ロギングをイネーブル化するとパフォーマンスに重大な影響があるので、TAC によって指示された場合に限り行ってください。
デバッグ ロギングをイネーブルにするには、次の手順を実行します。
ステップ 1 サービス アカウントにログインします。
ステップ 2 log.conf ファイルを編集して、追加のログ ステートメントを格納できるようにログのサイズを増やします。
vi /usr/cids/idsRoot/etc/log.conf
ステップ 3 fileMaxSizeInK=500
を fileMaxSizeInK=5000
に変更します。
ステップ 4 ファイルのゾーンおよび CID セクションを見つけて、デバッグの重大度を設定します。
ステップ 5 ファイルを保存し、vi エディタを終了し、サービス アカウントを終了します。
ステップ 6 管理者として CLI にログインします。
ステップ 7 マスター コントロール サブモードに入ります。
sensor# configure terminal
sensor(config)# service logger
sensor(config-log)# master-control
ステップ 8 すべてのゾーンに対してデバッグ ロギングをイネーブルにするには、次の手順を実行します。
sensor(config-log-mas)# enable-debug true
sensor(config-log-mas)# show settings
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: false <defaulted>
-----------------------------------------------
ステップ 9 個々のゾーン制御をオンにするには、次の手順を実行します。
sensor(config-log-mas)# individual-zone-control true
sensor(config-log-mas)# show settings
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: true default: false
-----------------------------------------------
ステップ 10 マスター ゾーン制御を終了します。
sensor(config-log-mas)# exit
ステップ 11 ゾーン名を表示します。
sensor(config-log)# show settings
-----------------------------------------------
enable-debug: false <defaulted>
individual-zone-control: true default: false
-----------------------------------------------
zone-control (min: 0, max: 999999999, current: 14)
-----------------------------------------------
zone-name: AuthenticationApp
severity: warning <defaulted>
severity: debug <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
zone-name: ctlTransSource
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
-----------------------------------------------
各ゾーン名が指す内容のリストについては、「ゾーン名」を参照してください。
ステップ 12 特定のゾーンの重大度レベル(デバッグ、タイミング、警告、またはエラー)を変更します。
sensor(config-log)# zone-control IdsEventStore severity error
sensor(config-log)# show settings
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: true default: false
-----------------------------------------------
zone-control (min: 0, max: 999999999, current: 14)
-----------------------------------------------
zone-name: AuthenticationApp
severity: warning <defaulted>
severity: debug <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: error default: warning
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
zone-name: ctlTransSource
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
-----------------------------------------------
ステップ 13 特定のゾーンのデバッグをオンにします。
sensor(config-log)# zone-control nac severity debug
sensor(config-log)# show settings
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: true default: false
-----------------------------------------------
zone-control (min: 0, max: 999999999, current: 14)
-----------------------------------------------
zone-name: AuthenticationApp
severity: warning <defaulted>
severity: debug <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: error default: warning
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
zone-name: ctlTransSource
severity: warning <defaulted>
severity: warning <defaulted>
severity: debug default: warning
severity: warning <defaulted>
severity: warning <defaulted>
-----------------------------------------------
ステップ 14 ログ サブモードを終了します。
ステップ 15 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
ゾーン名
表C-1 に、デバッグ ログ ゾーン名を示します。
表C-1 デバッグ ログ ゾーン名
|
|
AuthenticationApp |
認証ゾーン |
Cid |
汎用ロギング ゾーン |
Cli |
CLI ゾーン |
IdapiCtlTrans |
すべての制御トランザクション ゾーン |
IdsEventStore |
イベント ストア ゾーン |
MpInstaller |
IDSM-2 マスター パーティション インストーラ ゾーン |
cmgr |
Card Manager サービス ゾーン |
cplane |
Control Plane ゾーン |
csi |
CIDS サーブレット インターフェイス |
ctlTransSource |
送信制御トランザクション ゾーン |
intfc |
インターフェイス ゾーン |
nac |
ARC ゾーン |
SensorApp |
AnalysisEngine ゾーン |
tls |
SSL および TLS ゾーン |
cidLog メッセージの SysLog への転送
cidLog メッセージを syslog に転送すると役立つ場合があります。
cid ログ メッセージを syslog へ送信するには、次の手順を実行します。
ステップ 1 idsRoot/etc/log.conf ファイルへ移動します。
ステップ 2 次の変更を加えます。
a. Set [logApp] enabled=false
enabled=false
がデフォルトなので、 enabled=true
をコメント アウトします。
b. Set [drain/main] type=syslog
次の例は、ロギング コンフィギュレーション ファイルを示しています。
;-------- FIFO parameters --------
;-------- logApp zone and drain parameters --------
syslog 出力が、syslog メッセージの優先度への次の通信とともに syslog ファシリティ local6 に送信されます。
LOG_DEBUG, // debug
LOG_INFO, // timing
LOG_WARNING, // warning
LOG_ERR, // error
LOG_CRIT // fatal
(注) /etc/syslog.conf でそのファシリティが適切なプロパティでイネーブルになっていることを確認します。
注意 syslog は、logApp よりずっと低速です(毎秒約 1000 メッセージに対して、約 50 メッセージ)デバッグ重大度は一度に 1 つのゾーンでイネーブルにすることをお勧めします。
センサーが NTP サーバに同期していることの確認
IPS 5.1 では、無効な NTP 鍵の値や ID など、正しくない NTP コンフィギュレーションをセンサーに適用することはできません。正しくないコンフィギュレーションを適用しようとすると、エラー メッセージが表示されます。NTP コンフィギュレーションを確認するには、 show statistics host コマンドを使用してセンサー統計情報を収集します。NTP 統計情報セクションには、NTP サーバとのセンサーの同期に関するフィードバックを含む NTP 統計情報があります。
NTP コンフィギュレーションを確認するには、次の手順を実行します。
ステップ 1 センサーにログインします。
ステップ 2 ホスト統計情報を生成します。
sensor# show statistics host
remote refid st t when poll reach delay offset jitter
11.22.33.44 CHU_AUDIO(1) 8 u 36 64 1 0.536 0.069 0.001
LOCAL(0) 73.78.73.84 5 l 35 64 1 0.000 0.000 0.001
ind assID status conf reach auth condition last_event cnt
1 10372 f014 yes yes ok reject reachable 1
2 10373 9014 yes yes none reject reachable 1
status = Not Synchronized
ステップ 3 数分後にホスト統計情報を再び生成します。
sensor# show statistics host
remote refid st t when poll reach delay offset jitter
*11.22.33.44 CHU_AUDIO(1) 8 u 22 64 377 0.518 37.975 33.465
LOCAL(0) 73.78.73.84 5 l 22 64 377 0.000 0.000 0.001
ind assID status conf reach auth condition last_event cnt
1 10372 f624 yes yes ok sys.peer reachable 2
2 10373 9024 yes yes none reject reachable 2
ステップ 4 ステータスが Not Synchronized
のままの場合は、NTP サーバ管理者に問い合せて、NTP サーバが正しく設定されていることを確認します。
TCP リセットがシグニチャに対して実行されない
リセットするようにイベント アクションを設定していない場合、特定のシグニチャに対して TCP リセットは実行されません。
特定のシグニチャに対してリセットが実行されないことをトラブルシューティングするには、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 イベント アクションが TCP リセットに設定されていることを確認します。
sensor# configure terminal
sensor(config)# service signature-definition sig0
sensor(config-sig)# signatures 1000 0
sensor(config-sig-sig)# engine atomic-ip
sensor(config-sig-sig-ato)# event-action reset-tcp-connection|produc-alert
sensor(config-sig-sig-ato)# show settings
-----------------------------------------------
event-action: produce-alert|reset-tcp-connection default: produce-alert
fragment-status: any <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
specify-ip-payload-length
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 3 シグニチャ定義サブモードを終了します。
sensor(config-sig-sig-ato)# exit
sensor(config-sig-sig)# exit
ステップ 4 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
ステップ 5 正しいアラームが生成されていることを確認します。
sensor# show events alert
evAlert: eventId=1047575239898467370 severity=medium
signature: sigId=20000 sigName=STRING.TCP subSigId=0 version=Unknown
addr: locality=OUT 172.16.171.19
addr: locality=OUT 172.16.171.13 port: 23
ステップ 6 スイッチでセンサーからの着信 TCP リセット パケットが許可されていることを確認します。
手順についてはスイッチのマニュアルを参照してください。
ステップ 7 リセットが送信されていることを確認します。
root# ./tcpdump -i eth0 src host 172.16.171.19
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: listening on eth0
13:58:03.823929 172.16.171.19.32770 > 172.16.171.13.telnet: R 79:79(0) ack 62 win 0
13:58:03.823930 172.16.171.19.32770 > 172.16.171.13.telnet: R 80:80(0) ack 62 win 0
13:58:03.823930 172.16.171.19.32770 > 172.16.171.13.telnet: R 80:80(0) ack 62 win 0
13:58:03.823930 172.16.171.19.32770 > 172.16.171.13.telnet: R 80:80(0) ack 62 win 0
適用するアップデートとその前提条件
ソフトウェアの正しいサービス パックおよびマイナー バージョンとメジャー バージョンが必要です。新規ソフトウェアの適用でトラブルが発生した場合は、適切な前提条件で正しいアップデートを適用していることを確認してください。
• シグニチャ アップデートには、ファイル名にリストされた最小バージョンが必要です。
• サービス パックを適用するには、正しいマイナー バージョンが必要です。
• マイナー バージョンには正しいメジャー バージョンが必要です。
• メジャー バージョンには前のメジャー バージョンが必要です。
図C-1 に、IPS ソフトウェア ファイル名の解釈方法を示します。
図C-1 IPS ソフトウェアのファイル名
自動アップデートでの問題
次のリストに、自動アップデートのトラブルシューティングに関する提案を示します。
• tcpDump の実行
–サービス アカウントを作成します。センサーと FTP サーバの間でパケットを取得するには、su で root になり、コマンド/コントロール インターフェイスで tcpDump を実行します。
手順については、「サービス アカウントの作成」を参照してください。
–upgrade コマンドを使用して、手動でセンサーをアップグレードします。
手順については、 第17章「システム イメージのアップグレード、ダウングレード、およびインストール」 を参照してください。
–tcpDump 出力で、FTP サーバから戻されるエラーを検索します。
• センサーが正しいディレクトリ内にあることを確認します。
ディレクトリが正しく指定されている必要があります。これを行わないと、Windows FTP サーバで問題が発生します。ディレクトリ名の前にもう 1 つまたは 2 つの「/」が必要な場合があります。
これを確認するため、ご使用の FTP 接続による tcpDump 出力で表示される同じ FTP コマンドを使用します。
• カスタム プロンプトを使用するために FTP サーバを変更していないことを確認してください。
たとえば、FTP プロンプトを変更してセキュリティ警告を提供するようにすると、センサーがハードコード化された応答のリストを期待するため、問題が発生します。
(注) プロンプトを変更しないことは、4.1(4) より前のバージョンにのみ当てはまります。
• Windows FTP サーバ セットアップ オプションを使用して、UNIX ファイル構造と非 MS-DOS ファイル構造をエミュレートする必要があります。
• SCP を使用している場合は、既知のホスト リストに SSH ホスト鍵を追加したことを確認してください。
手順については、 「既知のホスト リストへのホストの追加」 を参照してください。
自動アップデートを試行する前に、手動で upgrade コマンドを試行してください。 upgrade コマンドが動作して、自動アップデートが動作しない場合は、次の操作を試してください。
• センサーの IPS ソフトウェア バーションを判別します(手順については、「バージョン情報の表示」を参照)。
バージョン 4.0(1) には、自動アップデートに既知の問題があります。自動アップデートの設定と使用を試行する前に、4.1(1) へ手動でアップグレードします。
• 自動アップデート用にパスワードが設定されていることを確認します。手動アップデートに使用したパスワードと一致することを確認します。
• FTP サーバ内のファイル名が、大文字小文字の区別も含め、Cisco.com の Downloads に表示されるものと完全に一致することを確認します。
Windows FTP サーバの中には、大文字小文字の区別が正しくないファイルへのアクセスを許可するものもありますが、最終的にはセンサーが名前の変更を理由にそのファイルを拒否します。
必要に応じて、自動アップデートで tcpDump を実行します。成功した手動アップデートと失敗した自動アップデートを比較して、そこからトラブルシューティングすることができます。
センサーに保存されているアップデートによるセンサーのアップデート
アップデート パッケージをセンサー上の /var ディレクトリに保存して、必要な場合、そこからセンサーをアップデートできます。
センサーに保存されているアップデートでセンサーをアップデートするには、次の手順を実行します。
ステップ 1 サービス アカウントにログインします。
ステップ 2 Cisco.com からアップデート パッケージ ファイルを取得します。
手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。
ステップ 3 アップデート ファイルをセンサーの /usr/cids/idsRoot/var ディレクトリへ FTP または SCP で送信します。
ステップ 4 ファイル許可を設定します。
chmod 644 ips_package_file_name
ステップ 5 サービス アカウントを終了します。
ステップ 6 管理者特権を持つアカウントを使用してセンサーにログインします。
ステップ 7 センサーのホスト鍵を保存します。
sensor# configure terminal
sensor(config)# service ssh
sensor(config-ssh)# rsa1-keys sensor_ip_address
ステップ 8 センサーをアップグレードします。
sensor(config)# upgrade scp://service@sensor_ip_address/upgrade/ips_package_file_name
IDM のトラブルシューティング
この項では、IDM のトラブルシューティング手順を示します。
(注) これらの手順は、ASDM の IPS セクションにも適用されます。
この項では、次のトピックについて説明します。
• 「Java プラグインのメモリ サイズの増加」
• 「IDM を起動できない:Java アプレットをロードできない」
• 「IDM を起動できない:分析エンジンがビジー状態」
• 「IDM、リモート マネージャ、またはセンシング インターフェイスがセンサーにアクセスできない」
• 「アラートを表示しないシグニチャ」
Java プラグインのメモリ サイズの増加
IDM を正しく実行するには、ブラウザに Java プラグイン 1.4.2 または 1.5 がインストールされている必要があります。デフォルトでは、Java プラグインは 64 MB のメモリを IDM に割り当てます。IDM は使用中にメモリを使い果たしてしまうことがあります。この場合、IDM は停止するか、空白の画面を表示します。メモリ不足は、 Refresh をクリックした場合にも発生することがあります。メモリ不足が発生すると常に、Java コンソールに OutofMemoryError
メッセージが表示されます。
(注) Sun Microsystems Java を使用することを推奨します。その他のバージョンの Java を使用すると、IDM に問題を引き起こすことがあります。
IDM を使用する前に Java プラグインのメモリ設定を変更する必要があります。必要最小メモリサイズは、256 MB です。
この項では、次のトピックについて説明します。
• 「Windows での Java プラグイン」
• 「Linux および Solaris での Java プラグイン」
Windows での Java プラグイン
Java プラグイン 1.4.2 および 1.5 用の Windows での Java プラグインの設定を変更するには、次の手順を実行します。
ステップ 1 Internet Explorer または Netscape のすべてのインスタンスを閉じます。
ステップ 2 Start > Settings > Control Panel をクリックします。
ステップ 3 Java プラグイン 1.4.2 がインストールされている場合は、次の手順を実行します。
a. Java プラグラインをクリックします。
Java Plug-in Control Panel が表示されます。
b. Advanced タブをクリックします。
c. Java RunTime Parameters フィールドに -Xmx256m と入力します。
d. Apply をクリックして Java Control Panel を終了します。
ステップ 4 Java プラグイン 1.5 がインストールされている場合は、次の手順を実行します。
a. Java をクリックします。
Java Control Panel パネルが表示されます。
b. Java タブをクリックします。
c. Java Applet Runtime Settings の下で View をクリックします。
Java Runtime Settings Panel が表示されます。
d. Java RunTime Parameters フィールドに -Xmx256m と入力して、 OK をクリックます。
e. OK をクリックして Java Control Panel を終了します。
Linux および Solaris での Java プラグイン
Linux および Solaris で Java プラグイン 1.4.2 または 1.5 の設定を変更するには、次の手順を実行します。
ステップ 1 Netscape または Mozilla のすべてのインスタンスを閉じます。
ステップ 2 ControlPanel 実行可能ファイルを起動すると、Java Plug-in Control Panel が表示されます。
(注) Java 2 SDK では、このファイルは <SDK インストール ディレクトリ>/jre/bin/ControlPanel にあります。たとえば、Java 2 SDK を /usr/j2se にインストールした場合、フルパスは /usr/j2se/jre/bin/ControlPanel です。
(注) Java 2 Runtime Environment をインストールした場合は、ファイルは <JRE インストール ディレクトリ>/bin/ControlPanel にあります。
ステップ 3 Java プラグイン 1.4.2 がインストールされている場合は、次の手順を実行します。
a. Advanced タブをクリックします。
b. Java RunTime Parameters フィールドに -Xmx256m と入力します。
c. Apply をクリックして Java Control Panel を閉じます。
ステップ 4 Java プラグイン 1.5 がインストールされている場合は、次の手順を実行します。
a. Advanced タブをクリックします。
b. Java Applet Runtime Settings の下で View をクリックします。
c. Java RunTime Parameters フィールドに -Xmx256m と入力して、 OK をクリックます。
d. OK をクリックして Java Control Panel を終了します。
IDM を起動できない:Java アプレットをロードできない
症状 ブラウザに、「 Loading Cisco IDM.Please wait ...
」と表示されます。ウィンドウの左下隅に、「 Loading Java Applet Failed
」と表示されます。
考えられる原因 この状態は、複数の Java プラグイン(1.4. x または 1.3. x 、あるいは両方)が IDM を起動するマシンにインストールされている場合に発生することがあります。
推奨処置 Java キャッシュをクリアして temp ファイルを削除し、使用しているブラウザの履歴をクリアします。結果として、これらのプラグインのどれもデフォルトでは使用されません。各アプレットは正しいプラグインを使用する必要があります。
キャッシュをクリアするには、次の手順を実行します。
ステップ 1 ブラウザのウィンドウをすべて閉じます。
ステップ 2 ava プラグイン 1.3. x がインストールされている場合は、次の手順を実行します。
a. Start > Settings > Control Panel > Java Plug-in 1.3.x をクリックします。
b. Advanced タブをクリックします。
c. Java Runtime Environment の下で、ドロップダウン メニューから JRE 1.3.x を選択します。
d. Cache タブをクリックします。
e. Clear をクリックします。
ステップ 3 ava プラグイン 1.4. x がインストールされている場合は、次の手順を実行します。
a. Start > Settings > Control Panel > Java Plug-in 1.4.x をクリックします。
b. Advanced タブをクリックします。
c. Java Runtime Environment の下で、ドロップダウン メニューから JRE 1.3.x を選択します。
d. Cache タブをクリックします。
e. Browser タブをクリックします。
f. ブラウザのチェックボックスをすべて選択解除します。
g. Clear Cache をクリックします。
ステップ 4 temp ファイルを削除し、ブラウザ内の履歴をクリアします。
IDM を起動できない:分析エンジンがビジー状態
エラー メッセージ Error connecting to sensor. Failed to load sensor-errNotAvailable-Analysis Engine is busy. Exiting IDM.
考えられる原因 この条件は、センサー内の分析エンジンがタスクを実行する準備のためにビジー状態で、IDM に応答しない場合に発生する可能性があります。
推奨処置 しばらく待ってから、接続を再試行してください。
IDM、リモート マネージャ、またはセンシング インターフェイスがセンサーにアクセスできない
IDM、リモート マネージャ、またはセンシング インターフェイスはセンサーにアクセスできないが、ユーザが SSH または Telnet を使用して(使用可能な場合)センサーの CLI にアクセスできる場合は、次の手順を実行します。
(注) センサーで Telnet をイネーブルおよびディセーブルにする手順は、「Telnet のイネーブル化とディセーブル化」を参照してください。
ステップ 1 ネットワーク コンフィギュレーションが、センサーで設定されている Web サーバ ポートにアクセスできることを確認します。
--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
User ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
host-ip 10.89.130.108/23,10.89.130.1
standard-time-zone-name UTC
summertime-option disabled
詳細については、「Web サーバ設定の変更」を参照してください。
ステップ 2 ルータ、スイッチ、またはファイアウォールなどのネットワーク デバイスがセンサーとワークステーションの間にある場合は、これらのデバイスが、ワークステーションによるセンサーの Web サーバ ポートへのアクセスを許可するように設定されていることを確認します。
リモート管理通信はすべてセンサーの Web サーバによって実行されます。
詳細については、「Web サーバ設定の変更」を参照してください。
アラートを表示しないシグニチャ
シグニチャが反応したときにアラートが表示されない場合は、Produce Alert がイベント アクションとして設定されていることを確認してください。
注意 イベント アクションを設定するたびにその他のアクションを追加することはできません。実際には、イベント アクションを設定するたびに、そのリストを置換しているので、イベント アクションを設定するたびに必ず Produce Alert を選択してください。
たとえば、Produce Alert を選択した場合に、後で別のイベント アクションを追加して、Produce Alert を新規コンフィギュレーションに追加しないと、アラートはイベント ストアに送信されません。
アラートを確実に受け取るようにするには、仮想センサーとイベント ストアの統計情報を使用します。
IDSM-2 のトラブルシューティング
IDSM-2 のソフトウェア アーキテクチャは、4200 シリーズのセンサーと同じです。「4200 シリーズ アプライアンスのトラブルシューティング」で説明されているのと同じトラブルシューティング ツールを使用できます。
この項では特に、IDSM-2 のトラブルシューティングについて説明します。
この項では、次のトピックについて説明します。
• 「IDSM-2 の問題の診断」
• 「トラブルシューティング用の switch コマンド」
• 「ステータス LED がオフ」
• 「ステータス LED はオンであるが、IDSM-2 がオンラインにならない」
• 「IDSM-2 コマンド/コントロール ポートと通信できない」
• 「TCP リセット インターフェイスの使用方法」
• 「IDSM-2 へのシリアル ケーブルの接続」
IDSM-2 の問題の診断
IDSM-2 の問題を診断するには、次のリストを使用します。
• IDSM-2 とマザーボードの間のリボン ケーブルがゆるくなっています。
モジュールを物理的に処理しているときに、コネクタがベース カードから外れ、ドーター カードとベース カードの接触が失われる場合があります。コネクタのリボン ケーブルがゆるむと、ポート 7 と 8 でオンライン診断エラーが発生します。この条件が存在する場合、モジュールは動作できません。
詳細については、 Partner Field Notice 52816 を参照してください。
• IDSM-2 の中に、出荷時に障害のある DIMM が同梱されているものがありました。
メモリに問題があるかどうかに関して IDSM-2 をチェックする手順については、 Partner Field 52563 を参照してください。
• ハードディスク ドライブが読み取りまたは書き込みを実行できません。
ハードディスク ドライブを長期(2 週間以上)にわたって連続使用すると、次のようないくつかの症状が現れる場合があります。
–ログインできない
–読み取り/書き込み動作中に、コンソールに I/O エラーが表示される( ls コマンド)
–コマンドが正しく実行されない(実行可能ファイルへのパスが見つからない)
スイッチはモジュールが良好であることを報告しますが、サービス アカウントにログインしてコマンドを実行しようとすると、問題が存在することが表示されます。4.1(4) サービス パックを使用すると、この問題は軽減されますが、4.1(4) アプリケーション パーティション イメージで IDSM-2 のイメージを再作成する場合は、4.1(4b) パッチを適用する必要があります。詳細については、 CSCef12198 を参照してください。
• ストリームベースのシグニチャ(1300 シリーズ)に対して IP ロギングをイネーブルにすると、SensorApp はクラッシュするか、CPU の 99% を消費します。回避策については、 CSCed32093 を参照してください。
• IDSM-2 はロックアップされると思われます。リモート アクセスは禁止されます(SSH、Telnet、IDM、イベント サーバ、制御トランザクション サーバ、および IP ログ サーバ)。
この障害は、SWAP の使用に関連しています。IDSM-2 は ping に応答します。この問題を解決するには、4.1(4) サービス パックを適用します。詳細については、 CSCed54146 を参照してください。
• IDSM-2 をアップグレードした直後、またはシグニチャを VMS で調整した直後に、IDSM-2 が応答しなくなり、多くの場合、SensorApp コア ファイルを生成します。この問題を修正するには、4.1(4b) パッチを適用します。
• サポートされるコンフィギュレーションが IDSM-2 にあることを確認します。
詳細については、「サポートされている IDSM-2 の設定」を参照してください。
IDSM-2 に上記の問題のいずれも発生していないことを確認し、それでも応答しないように見える場合、たとえば、SSH または Telnet からログインできない場合やスイッチに対してセッションを開始することができない場合などは、IDSM-2 が ping に応答するかどうかと、サービス アカウントからログインできるかどうかを確認してください。ログインできる場合は、cidDump およびコア ファイルを取得して、TAC に連絡してください。
トラブルシューティング用の switch コマンド
次の switch コマンドが、IDSM-2 のトラブルシューティングに役立ちます。
• show module (Cisco Catalyst ソフトウェアおよび Cisco IOS ソフトウェア)
• show version (Cisco Catalyst ソフトウェアおよび Cisco IOS ソフトウェア)
• show port (Cisco Catalyst ソフトウェア)
• show trunk (Cisco Catalyst ソフトウェア)
• show span (Cisco Catalyst ソフトウェア)
• show security acl (Cisco Catalyst ソフトウェア)
• show intrusion-detection module (Cisco IOS ソフトウェア)
• show monitor (Cisco IOS ソフトウェア)
• show vlan access-map (Cisco IOS ソフトウェア)
• show vlan filter (Cisco IOS ソフトウェア)
ステータス LED がオフ
IDSM-2 のステータス インジケータがオフになっている場合は、電源を入れて IDSM-2 をオンにする必要があります。
IDSM-2 のステータスを判別するには、次の手順を実行します。
ステップ 1 コンソールにログインします。
ステップ 2 IDSM-2 がオンラインであることを確認します。
Catalyst ソフトウェアの場合
cat6k> (enable) show module
Mod Slot Ports Module-Type Model Sub Status
--- ---- ----- ------------------------- ------------------- --- --------
1 1 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes ok
15 1 1 Multilayer Switch Feature WS-F6K-MSFC no ok
2 2 48 10/100BaseTX Ethernet WS-X6248-RJ-45 no ok
3 3 48 10/100/1000BaseT Ethernet WS-X6548-GE-TX no ok
4 4 16 1000BaseX Ethernet WS-X6516A-GBIC no ok
6 6 8 Intrusion Detection Mod WS-SVC-IDSM2 yes ok
Mod Module-Name Serial-Num
--- -------------------- -----------
Mod MAC-Address(es) Hw Fw Sw
--- -------------------------------------- ------ ---------- ----------------
1 00-d0-c0-cc-0e-d2 to 00-d0-c0-cc-0e-d3 3.1 5.3.1 8.4(1)
00-d0-c0-cc-0e-d0 to 00-d0-c0-cc-0e-d1
00-30-71-34-10-00 to 00-30-71-34-13-ff
15 00-30-7b-91-77-b0 to 00-30-7b-91-77-ef 1.4 12.1(23)E2 12.1(23)E2
2 00-30-96-2b-c7-2c to 00-30-96-2b-c7-5b 1.1 4.2(0.24)V 8.4(1)
3 00-0d-29-f6-01-98 to 00-0d-29-f6-01-c7 5.0 7.2(1) 8.4(1)
4 00-0e-83-af-15-48 to 00-0e-83-af-15-57 1.0 7.2(1) 8.4(1)
6 00-e0-b0-ff-3b-80 to 00-e0-b0-ff-3b-87 0.102 7.2(0.67) 5.0(0.30)
Mod Sub-Type Sub-Model Sub-Serial Sub-Hw Sub-Sw
--- ----------------------- ------------------- ----------- ------ ------
1 L3 Switching Engine WS-F6K-PFC SAD041303G6 1.1
6 IDS 2 accelerator board WS-SVC-IDSUPG . 2.0
Cisco IOS ソフトウェアの場合
Mod Ports Card Type Model Serial No.
--- ----- -------------------------------------- ------------------ -----------
1 48 48 port 10/100 mb RJ-45 ethernet WS-X6248-RJ-45 SAD0401012S
2 48 48 port 10/100 mb RJ45 WS-X6348-RJ-45 SAL04483QBL
3 48 SFM-capable 48 port 10/100/1000mb RJ45 WS-X6548-GE-TX SAD073906GH
5 8 Intrusion Detection System WS-SVC-IDSM-2 SAD0751059U
6 16 SFM-capable 16 port 1000mb GBIC WS-X6516A-GBIC SAL0740MMYJ
7 2 Supervisor Engine 720 (Active) WS-SUP720-3BXL SAD08320L2T
9 1 1 port 10-Gigabit Ethernet Module WS-X6502-10GE SAD071903BT
11 8 Intrusion Detection System WS-SVC-IDSM2 SAD05380608
13 8 Intrusion Detection System WS-SVC-IDSM-2 SAD072405D8
Mod MAC addresses Hw Fw Sw Status
--- ---------------------------------- ------ ------------ ------------ -------
1 00d0.d328.e2ac to 00d0.d328.e2db 1.1 4.2(0.24)VAI 8.5(0.46)ROC Ok
2 0003.6c14.e1d0 to 0003.6c14.e1ff 1.4 5.4(2) 8.5(0.46)ROC Ok
3 000d.29f6.7a80 to 000d.29f6.7aaf 5.0 7.2(1) 8.5(0.46)ROC Ok
5 0003.fead.651a to 0003.fead.6521 4.0 7.2(1) 5.0(1.1) Ok
6 000d.ed23.1658 to 000d.ed23.1667 1.0 7.2(1) 8.5(0.46)ROC Ok
7 0011.21a1.1398 to 0011.21a1.139b 4.0 8.1(3) 12.2(PIKESPE Ok
9 000d.29c1.41bc to 000d.29c1.41bc 1.3 Unknown Unknown PwrDown
11 00e0.b0ff.3340 to 00e0.b0ff.3347 0.102 7.2(0.67) 5.0(1.1) Ok
13 0003.feab.c850 to 0003.feab.c857 4.0 7.2(1) 5.0(1) Ok
Mod Sub-Module Model Serial Hw Status
--- --------------------------- ------------------ ------------ ------- -------
5 IDS 2 accelerator board WS-SVC-IDSUPG 07E91E508A 2.0 Ok
7 Policy Feature Card 3 WS-F6K-PFC3BXL SAD083305A1 1.3 Ok
7 MSFC3 Daughterboard WS-SUP720 SAD083206JX 2.1 Ok
11 IDS 2 accelerator board WS-SVC-IDSUPG . 2.0 Ok
13 IDS 2 accelerator board WS-SVC-IDSUPG 0347331976 2.0 Ok
(注) IDSM-2 を初めて取り付けたときに、ステータスが「other
」を示すのは正常な動作です。IDSM-2 が診断ルーチンを完了してオンラインになった後で、ステータスは「ok
」を示します。IDSM-2 がオンラインになるまでの時間としては、最長で 5 分間みてください。
ステップ 3 ステータスが ok
でない場合は、モジュールをオンにします。
switch# set module power up module_number
ステータス LED はオンであるが、IDSM-2 がオンラインにならない
ステータス インジケータがオンになっているが、IDSM-2 がオンラインにならないという場合は、次のトラブルシューティング ヒントを試してください。
• IDSM-2 をリセットします。
• IDSM-2 がスイッチに適切にインストールされていることを確認します。
• ハードディスク ドライブのステータスが失敗した場合は、アプリケーション パーティションのイメージを再作成します。
IDSM-2 をイネーブルにするには、次の手順を実行します。
ステップ 1 コンソールにログインします。
ステップ 2 IDSM-2 がイネーブルになっていることを確認します。
ステップ 3 ステータスが ok
でない場合は、IDSM-2 をイネーブルにします。
router# set module enable module_number
ステップ 4 IDSM-2 がそれでもオンラインにならない場合は、リセットしてください。
router# reset module_number
IDSM-2 がオンラインになるまで 5 分ほど待ってください。
ステップ 5 IDSM-2 がそれでもオンラインにならない場合は、ハードウェアとオペレーティング システムが良好であることを確認してください。
router# show test module_number
ステップ 6 port
ステータスが fail
の場合は、IDSM-2 がスイッチにしっかりと接続されていることを確認してください。
ステップ 7 hdd
ステータスが fail
の場合は、アプリケーション パーティションのイメージを再作成する必要があります。
手順については、 第17章「システム イメージのアップグレード、ダウングレード、およびインストール」 を参照してください。
IDSM-2 コマンド/コントロール ポートと通信できない
IDSM-2 コマンド/コントロール ポートと通信できない場合は、コマンド/コントロール ポートが正しい VLAN に置かれていない可能性があります。
IDSM-2 のコマンド/コントロール ポートと通信するには、次の手順を実行します。
ステップ 1 コンソールにログインします。
ステップ 2 その他のシステムからコマンド ポートを ping できることを確認します。
ステップ 3 IP アドレス、マスク、およびゲートウェイ設定が正しいことを確認します。
router# show configuration
ステップ 4 コマンド/コントロール ポートが正しい VLAN に置かれていることを確認します。
Catalyst ソフトウェアの場合
cat6k> (enable) show port 6/8
* = Configured MAC Address
# = 802.1X Authenticated Port Name.
Port Name Status Vlan Duplex Speed Type
----- -------------------- ---------- ---------- ------ ----------- ------------
6/8 connected trunk full 1000 IDS
Port Status ErrDisable Reason Port ErrDisableTimeout Action on Timeout
---- ---------- ------------------- ---------------------- -----------------
6/8 connected - Enable No Change
Port Align-Err FCS-Err Xmit-Err Rcv-Err UnderSize
----- ---------- ---------- ---------- ---------- ---------
Port Single-Col Multi-Coll Late-Coll Excess-Col Carri-Sen Runts Giants
----- ---------- ---------- ---------- ---------- --------- --------- ---------
----- --------------------------
6/8 Wed Mar 2 2005, 15:29:49
Cisco IOS ソフトウェアの場合
cat6k#show intrusion-detection module 5 management-port state
Intrusion-detection module 5 management-port:
Administrative Mode: dynamic desirable
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Vlans allowed and active in management domain: 1
Vlans in spanning tree forwarding state and not pruned:
ステップ 5 コマンド/コントロール ポートが正しい VLAN に置かれていない場合は、正しい VLAN に置いてください。
手順については、「IDSM-2 へのコマンド/コントロール アクセスのための Catalyst 6500 シリーズ スイッチの設定」を参照してください。
TCP リセット インターフェイスの使用方法
IDSM-2 には TCP リセット インターフェイス(ポート 1)があります。IDSM-2 は、センシング ポートに TCP リセットを送信できないので、専用の TCP リセット インターフェイスが用意されています。
IDSM-2 において TCP リセット上の問題が発生した場合は、次の手順を試してください。
• センシング ポートがアクセス ポート(1 つの VLAN)である場合、TCP リセット ポートが同じ VLAN に存在するように設定する必要があります。
• センシング ポートが dot1q トランク ポート(マルチ VLAN)である場合、このセンシング ポートと TCP リセット ポートはすべて同じネイティブ VLAN を持つ必要があり、TCP リセット ポートは両方のセンシング ポートによってトランク接続されている VLAN すべてにトランク接続されている必要があります。
IDSM-2 へのシリアル ケーブルの接続
シリアル ケーブルを IDSM-2 のシリアル コンソール ポートに直接接続することができます。これにより、スイッチおよびモジュール ネットワーク インターフェイスをバイパスできます。
IDSM-2 にシリアル ケーブルを接続するには、次の手順を実行します。
ステップ 1 IDSM-2 で 2 つの RJ-45 ポートを見つけます。
マザー ボードの中央あたりにあります。モジュールの前面プレートを見ている場合は、右側の RJ-45 ポートがシリアル コンソール ポートです。
ステップ 2 IDSM-2 で右側のポートにストレート ケーブルを接続してから、端末サーバ ポートにケーブルのもう一方の端を接続します。
ステップ 3 端末サーバ ポートを 19200 ボー、8 ビット、パリティなしに設定します。
これで、IDSM-2 に直接ログインできるようになります。
(注) ケーブルはシャーシの前面から出てくる必要があるので、シリアル ケーブルを IDSM-2 に接続するのは、スイッチ シャーシ内で IDSM-2 の上にモジュールがない場合だけです。
情報の収集
問題が発生したときに、情報を収集してセンサーの状態を診断するには、次の CLI コマンドおよびスクリプトが使用できます。すべてのセンサーの情報を収集するには、 show tech-support コマンドが使用できます。また、特定の情報については、この項にリストされているその他の個別のコマンドが使用できます。
この項では、次のトピックについて説明します。
• 「テクニカル サポート情報」
• 「バージョン情報」
• 「統計情報」
• 「インターフェイス情報」
• 「イベント情報」
• 「cidDump スクリプト」
• 「Cisco FTP サイトでのファイルのアップロードおよびアクセス」
概要
show tech-support コマンドは、センサー上のすべてのステータス情報およびコンフィギュレーション情報を取り込み、現在のコンフィギュレーション、バージョン情報、および cidDump 情報を組み込みます。出力が 1 MB を超えるなど、大きい可能性があります。出力をリモート システムに転送できます。出力をリモート システムにコピーする手順については、「テクニカル サポート情報の表示」を参照してください。
(注) Monitoring > Support Information > System Information をクリックすることによって、IDM から同じ情報を収集できます。
(注) TAC に連絡する前に、必ず show tech-support コマンドを実行してください。
テクニカル サポート情報の表示
システム情報を画面に表示するか、または特定の URL に送信するには、 show tech-support [ page ] [ password ] [ destination-url destination-url ] コマンドを使用します。この情報は、TAC でトラブルシューティング ツールとして使用できます。
次のパラメータはオプションです。
• page :一度に 1 ページずつ、情報の出力を表示します。
次の出力行を表示するには Enter キーを押し、次のページの情報を表示するには Space キーを押します。
• password :パスワードとその他のセキュリティ情報を出力に残します。
• destination-url :情報を HTML としてフォーマットし、このコマンドの後に続く宛先に送信するよう指示します。このキーワードを使用した場合、出力は画面に表示されません。
• destination-url :情報を HTML としてフォーマットすることを示します。URL は、情報の送信先を指定します。このキーワードを使用しない場合は、情報が画面に表示されます。
テクニカル サポート情報を表示するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用して CLI にログインします。
ステップ 2 画面に出力を表示します。
sensor# show tech-support page
システム情報が、一度に 1 ページずつ画面に表示されます。次のページを表示するには Space キーを押し、プロンプトへ戻るには Ctrl+C キーを押します。
ステップ 3 ファイルへ出力を送信する(HTML 形式で)には、次の手順を実行します。
a. 次のコマンドを入力し、その後に有効な宛先を入力します。
sensor# show tech-support destination-url destination-url
次の宛先タイプを指定できます。
• ftp: :FTP ネットワーク サーバの宛先 URL。このプレフィクスの構文は、 ftp:[[//username@location]/relativeDirectory]/filename
または ftp:[[//username@location]//absoluteDirectory]/filename
です。
• scp: :SCP ネットワーク サーバの宛先 URL。このプレフィクスの構文は、 scp:[[//username@]location]/relativeDirectory]/filename
または scp:[[//username@]location]//absoluteDirectory]/filename
です。
たとえば、ファイル /absolute/reports/sensor1Report.html
へテクニカル サポート出力を送信するには、次の手順を実行します。
sensor# show tech support dest ftp://csidsuser@10.2.1.2//absolute/reports/sensor1Report.html
password:
プロンプトが表示されます。
b. このユーザ アカウントのパスワードを入力します。
Generating report:
メッセージが表示されます。
テクニカル サポート コマンドの出力
show tech-support コマンドの出力例を次に示します。
(注) 次の出力例は、コマンドの最初の部分で、インターフェイス、Network Access Controller、および cidDump サービスの情報が示されています。
sensor# show tech-support page
This Report was generated on Fri Feb 21 03:33:52 2003.
Output from show interfaces
Total Packets Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/1
Missed Packet Percentage = 0
Total Packets Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface GigabitEthernet0/0
Total Packets Received = 2208534
Total Bytes Received = 157390286
Total Multicast Packets Received = 20
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 239437
Total Bytes Transmitted = 107163351
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
Output from show statistics networkAccess
LogAllBlockEventsAndSensors = true
MaxDeviceInterfaces = 250
CID Diagnostics Report Fri Feb 21 03:33:54 UTC 2003
<defaultVersion aspect="S">
Linux version 2.4.26-IDS-smp-bigphys (csailer@mcq) (gcc version 2.96 20000731 (R
ed Hat Linux 7.3 2.96-112)) #2 SMP Fri Mar 4 04:11:31 CST 2005
03:33:54 up 21 days, 23:15, 3 users, load average: 0.96, 0.86, 0.78
バージョン情報
show version コマンドは、センサーの一般的な健全性の確立に役立ちます。
この項では、次のトピックについて説明します。
• 「概要」
• 「バージョン情報の表示」
概要
show version コマンドは、センサーの一般的な健全性情報を表示して、障害が発生している場所を示すことができます。次の情報を提供します。
• どのアプリケーションが実行中か
• アプリケーションのバージョン
• ディスクおよびメモリの使用量
• アプリケーションのアップグレード履歴
(注) Monitoring > Support Information > Diagnostics Report をクリックすることによって、IDM または ASDM から同じ情報を収集できます。
バージョン情報の表示
インストール済みのすべてのオペレーティング システム パッケージ、シグニチャ パッケージ、およびシステムで動作中の IPS プロセスのバージョン情報を表示するには、 show version コマンドを使用します。システム全体のコンフィギュレーションを表示するには、 more current-config コマンドを使用します。
バージョンおよびコンフィギュレーションを表示するには、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 バージョン情報を表示します。
次の例に、アプライアンスと NM-CIDS のバージョン出力のサンプルを示します。
アプライアンスのバージョン出力のサンプル
Cisco Intrusion Prevention System, Version 5.0(0.29)S135.0
OS Version 2.4.26-IDS-smp-bigphys
Serial Number: JAB0815R017
Sensor up-time is 5 days.
Using 722145280 out of 3974291456 bytes of available memory (18% usage)
system is using 17.3M out of 29.0M bytes of available disk space (59% usage)
application-data is using 36.3M out of 166.8M bytes of available disk space (23% usage)
boot is using 39.4M out of 68.6M bytes of available disk space (61% usage)
MainApp 2005_Feb_18_03.00 (Release) 2005-02-18T03:13:47-0600 Running
AnalysisEngine 2005_Feb_18_03.00 (Release) 2005-02-18T03:13:47-0600 Running
CLI 2005_Feb_18_03.00 (Release) 2005-02-18T03:13:47-0600
IDS-K9-maj-5.0-0.29-S91-0.29-.pkg 03:00:00 UTC Mon Feb 16 2004
Recovery Partition Version 1.1 - 5.0(0.29)S91(0.29)
NM-CIDS のバージョン出力のサンプル
Cisco Intrusion Prevention System, Version 5.0(0.27)S129.0
OS Version 2.4.26-IDS-smp-bigphys
Serial Number: JAD06490681
Using 485675008 out of 509448192 bytes of available memory (95% usage)
system is using 17.3M out of 29.0M bytes of available disk space (59% usage)
application-data is using 31.1M out of 166.8M bytes of available disk space (20% usage)
boot is using 39.5M out of 68.6M bytes of available disk space (61% usage)
application-log is using 529.6M out of 2.8G bytes of available disk space (20% usage)
MainApp 2005_Feb_09_03.00 (Release) 2005-02-09T03:22:27-0600 Running
AnalysisEngine 2005_Feb_09_03.00 (Release) 2005-02-09T03:22:27-0600 Running
CLI 2005_Feb_09_03.00 (Release) 2005-02-09T03:22:27-0600
IDS-K9-maj-5.0-0.27-S91-0.27-.pkg 03:00:00 UTC Thu Feb 05 2004
Recovery Partition Version 1.1 - 5.0(0.27)S91(0.27)
(注) ---MORE---
プロンプトが表示されたら、Space キーを押して次の情報を表示するか、Ctrl+C キーを押して出力をキャンセルし、CLI プロンプトに戻ります。
ステップ 3 コンフィギュレーション情報を表示します。
(注) more current-config コマンドまたは show configuration コマンドを使用できます。
sensor# more current-config
! ------------------------------
! Current configuration last modified Wed Feb 16 03:20:54 2005
! ------------------------------
! ------------------------------
! ------------------------------
! ------------------------------
service event-action-rules rules0
! ------------------------------
host-ip 10.89.147.31/25,10.89.147.126
login-banner-text This message will be displayed on banner login.
統計情報
show statistics コマンドは、センサーのサービスの状態の検査に役立ちます。
この項では、次のトピックについて説明します。
• 「概要」
• 「統計情報の表示」
概要
show statistics コマンドは、センサーのサービスの状態のスナップショットを提供します。次の統計情報を提供します。
• 分析エンジン
• 認証
• 拒否された攻撃者
• イベント サーバ
• イベント ストア
• ホスト
• ロガー
• Attack Response(以前は Network Access と呼ばれていました)
• 通知
• SDEE サーバ
• トランザクション サーバ
• トランザクション ソース
• 仮想センサー
• Web サーバ
(注) Monitoring > Support Information > Statistics をクリックすることによって、IDM から同じ情報が収集できます。
統計情報の表示
仮想センサーの統計情報を表示するには、 show statistics virtual-sensor [ clear ] コマンドを使用します。各センサー アプリケーションごとに統計情報を生成するには、 show statistics [analysis-engine | authentication | denied-attackers | event-server | event-store | host | logger | network-access | notification | sdee-server | transaction-server | transaction-source | web-server ] [ clear ] コマンドを使用します。
(注) clear オプションは、分析エンジン、ホスト、またはネットワーク アクセス アプリケーションには使用できません。
センサーの統計情報を表示するには、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 仮想センサーの統計情報を表示します。
sensor# show statistics virtual-sensor
Virtual Sensor Statistics
Statistics for Virtual Sensor vs0
Name of current Signature-Definition instance = sig0
Name of current Event-Action-Rules instance = rules0
List of interfaces monitored by this virtual sensor = fe0_1
General Statistics for this Virtual Sensor
Number of seconds since a reset of the statistics = 1675
Measure of the level of resource utilization = 0
Total packets processed since reset = 241
Total IP packets processed since reset = 12
Total packets that were not IP processed since reset = 229
Total TCP packets processed since reset = 0
Total UDP packets processed since reset = 0
Total ICMP packets processed since reset = 12
Total packets that were not TCP, UDP, or ICMP processed since reset = 0
Total ARP packets processed since reset = 0
Total ISL encapsulated packets processed since reset = 0
Total 802.1q encapsulated packets processed since reset = 0
Total packets with bad IP checksums processed since reset = 0
Total packets with bad layer 4 checksums processed since reset = 0
Total number of bytes processed since reset = 22513
The rate of packets per second since reset = 0
The rate of bytes per second since reset = 13
The average bytes per packet since reset = 93
Denied Address Information
Number of Active Denied Attackers = 0
Number of Denied Attackers Inserted = 0
Number of Denied Attackers Total Hits = 0
Number of times max-denied-attackers limited creation of new entry = 0
Number of exec Clear commands during uptime = 0
Denied Attackers and hit count for each.
The Signature Database Statistics.
The Number of each type of node active in the system (can not be reset)
TCP nodes keyed on both IP addresses and both ports = 0
UDP nodes keyed on both IP addresses and both ports = 0
IP nodes keyed on both IP addresses = 0
The number of each type of node inserted since reset
Total nodes inserted = 28
TCP nodes keyed on both IP addresses and both ports = 0
UDP nodes keyed on both IP addresses and both ports = 0
IP nodes keyed on both IP addresses = 6
The rate of nodes per second for each time since reset
TCP nodes keyed on both IP addresses and both ports per second = 0
UDP nodes keyed on both IP addresses and both ports per second = 0
IP nodes keyed on both IP addresses per second = 0
The number of root nodes forced to expire because of memory constraints
TCP nodes keyed on both IP addresses and both ports = 0
Fragment Reassembly Unit Statistics for this Virtual Sensor
Number of fragments currently in FRU = 0
Number of datagrams currently in FRU = 0
Number of fragments received since reset = 0
Number of fragments forwarded since reset = 0
Number of fragments dropped since last reset = 0
Number of fragments modified since last reset = 0
Number of complete datagrams reassembled since last reset = 0
Fragments hitting too many fragments condition since last reset = 0
Number of overlapping fragments since last reset = 0
Number of Datagrams too big since last reset = 0
Number of overwriting fragments since last reset = 0
Number of Initial fragment missing since last reset = 0
Fragments hitting the max partial dgrams limit since last reset = 0
Fragments too small since last reset = 0
Too many fragments per dgram limit since last reset = 0
Number of datagram reassembly timeout since last reset = 0
Too many fragments claiming to be the last since last reset = 0
Fragments with bad fragment flags since last reset = 0
TCP Normalizer stage statistics
Dropped packets from queue = 0
Dropped packets due to deny-connection = 0
Current Streams Closed = 0
Current Streams Closing = 0
Current Streams Embryonic = 0
Current Streams Established = 0
Current Streams Denied = 0
Statistics for the TCP Stream Reassembly Unit
Current Statistics for the TCP Stream Reassembly Unit
TCP streams currently in the embryonic state = 0
TCP streams currently in the established state = 0
TCP streams currently in the closing state = 0
TCP streams currently in the system = 0
TCP Packets currently queued for reassembly = 0
Cumulative Statistics for the TCP Stream Reassembly Unit since reset
TCP streams that have been tracked since last reset = 0
TCP streams that had a gap in the sequence jumped = 0
TCP streams that was abandoned due to a gap in the sequence = 0
TCP packets that arrived out of sequence order for their stream = 0
TCP packets that arrived out of state order for their stream = 0
The rate of TCP connections tracked per second since reset = 0
SigEvent Preliminary Stage Statistics
Number of Alerts received = 491
Number of Alerts Consumed by AlertInterval = 0
Number of Alerts Consumed by Event Count = 0
Number of FireOnce First Alerts = 6
Number of FireOnce Intermediate Alerts = 480
Number of Summary First Alerts = 0
Number of Summary Intermediate Alerts = 0
Number of Regular Summary Final Alerts = 0
Number of Global Summary Final Alerts = 0
Number of Alerts Output for further processing = 491
SigEvent Action Override Stage Statistics
Number of Alerts received to Action Override Processor = 0
Number of Alerts where an override was applied = 0
deny-connection-inline = 0
produce-verbose-alert = 0
request-block-connection = 0
SigEvent Action Filter Stage Statistics
Number of Alerts received to Action Filter Processor = 0
Number of Alerts where an action was filtered = 0
Number of Filter Line matches = 0
deny-connection-inline = 0
produce-verbose-alert = 0
request-block-connection = 0
SigEvent Action Handling Stage Statistics.
Number of Alerts received to Action Handling Processor = 491
Number of Alerts where produceAlert was forced = 0
Number of Alerts where produceAlert was off = 0
deny-connection-inline = 0
produce-verbose-alert = 0
request-block-connection = 0
Deny Actions Requested in Promiscuous Mode
deny-packet not performed = 0
deny-connection not performed = 0
deny-attacker not performed = 0
modify-packet not performed = 0
Number of Alerts where deny-connection was forced for deny-packet action = 0
Number of Alerts where deny-packet was forced for non-TCP deny-connection action = 0
Per-Signature SigEvent count since reset
ステップ 3 分析エンジンの統計情報を表示します。
sensor# show statistics analysis-engine
Analysis Engine Statistics
Number of seconds since service started = 1999
Measure of the level of current resource utilization = 0
Measure of the level of maximum resource utilization = 0
The rate of TCP connections tracked per second = 0
The rate of packets per second = 0
The rate of bytes per second = 13
Total number of packets processed since reset = 290
Total number of IP packets processed since reset = 12
Total number of packets transmitted = 290
Total number of packets denied = 0
Total number of packets reset = 0
Fragment Reassembly Unit Statistics
Number of fragments currently in FRU = 0
Number of datagrams currently in FRU = 0
TCP Stream Reassembly Unit Statistics
TCP streams currently in the embryonic state = 0
TCP streams currently in the established state = 0
TCP streams currently in the closing state = 0
TCP streams currently in the system = 0
TCP Packets currently queued for reassembly = 0
The Signature Database Statistics.
TCP nodes keyed on both IP addresses and both ports = 0
UDP nodes keyed on both IP addresses and both ports = 0
IP nodes keyed on both IP addresses = 0
Statistics for Signature Events
Number of SigEvents since reset = 491
Statistics for Actions executed on a SigEvent
Number of Alerts written to the IdsEventStore = 11
ステップ 4 認証の統計情報を表示します。
sensor# show statistics authentication
totalAuthenticationAttempts = 2
failedAuthenticationAttempts = 0
ステップ 5 システム内で拒否された攻撃者の統計情報を表示します。
sensor# show statistics denied-attackers
Denied Attackers and hit count for each.
ステップ 6 イベント サーバの統計情報を表示します。
sensor# show statistics event-server
ステップ 7 イベント ストアの統計情報を表示します。
sensor# show statistics event-store
General information about the event store
The current number of open subscriptions = 2
The number of events lost by subscriptions and queries = 0
The number of queries issued = 0
The number of times the event store circular buffer has wrapped = 0
Number of events of each type currently stored
Log transaction events = 0
Error events, warning = 67
Alert events, informational = 60
Alert events, medium = 60
ステップ 8 ホストの統計情報を表示します。
sensor# show statistics host
Last Change To Host Config (UTC) = 16:11:05 Thu Feb 10 2005
Command Control Port Device = FastEthernet0/0
fe0_0 Link encap:Ethernet HWaddr 00:0B:46:53:06:AA
inet addr:10.89.149.185 Bcast:10.89.149.255 Mask:255.255.255.128
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1001522 errors:0 dropped:0 overruns:0 frame:0
TX packets:469569 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:57547021 (54.8 MiB) TX bytes:63832557 (60.8 MiB)
Interrupt:9 Base address:0xf400 Memory:c0000000-c0000038
Usage over last 5 seconds = 0
Usage over last minute = 1
Usage over last 5 minutes = 1
Memory usage (bytes) = 500498432
Memory free (bytes) = 894976032
lastDirectoryReadAttempt = N/A
lastDownloadAttempt = N/A
ステップ 9 ロギング アプリケーションの統計情報を表示します。
sensor# show statistics logger
The number of Log interprocessor FIFO overruns = 0
The number of syslog messages received = 11
The number of <evError> events written to the event store by severity
The number of log messages written to the message log by severity
ステップ 10 ARC の統計情報を表示します。
sensor# show statistics network-access
LogAllBlockEventsAndSensors = true
MaxDeviceInterfaces = 250
Communications = ssh-3des
InterfaceName = ethernet0/1
InterfacePostBlock = Post_Acl_Test
InterfaceName = ethernet0/1
InterfacePreBlock = Pre_Acl_Test
InterfacePostBlock = Post_Acl_Test
InterfacePreBlock = Pre_Acl_Test
InterfacePostBlock = Post_Acl_Test
AclSupport = Does not use ACLs
AclSupport = Does not use ACLs
AclSupport = Does not use ACLs
AclSupport = uses Named ACLs
ステップ 11 通知アプリケーションの統計情報を表示します。
sensor# show statistics notification
Number of SNMP set requests = 0
Number of SNMP get requests = 0
Number of error traps sent = 0
Number of alert traps sent = 0
ステップ 12 SDEE サーバの統計情報を表示します。
sensor# show statistics sdee-server
Blocked Subscriptions = 0
Maximum Available Subscriptions = 5
Maximum Events Per Retrieval = 500
ステップ 13 トランザクション サーバの統計情報を表示します。
sensor# show statistics transaction-server
totalControlTransactions = 35
failedControlTransactions = 0
ステップ 14 トランザクション ソースの統計情報を表示します。
sensor# show statistics transaction-source
totalControlTransactions = 0
failedControlTransactions = 0
ステップ 15 Web サーバの統計情報を表示します。
sensor# show statistics web-server
number of server session requests handled = 61
number of server session requests rejected = 0
total HTTP requests handled = 35
maximum number of session objects allowed = 40
number of idle allocated session objects = 10
number of busy allocated session objects = 0
crypto library version = 6.0.3
ステップ 16 ロギング アプリケーションなどのアプリケーションの統計情報をクリアするには、次の手順を実行します。
sensor# show statistics logger clear
The number of Log interprocessor FIFO overruns = 0
The number of syslog messages received = 141
The number of <evError> events written to the event store by severity
The number of log messages written to the message log by severity
統計情報が検出され、クリアされました。
ステップ 17 統計情報がクリアされたことを確認します。
sensor# show statistics logger
The number of Log interprocessor FIFO overruns = 0
The number of syslog messages received = 0
The number of <evError> events written to the event store by severity
The number of log messages written to the message log by severity
統計情報はすべて 0 から始まります。
インターフェイス情報
show interfaces コマンドは、センシング インターフェイスと、コマンド/コントロール インターフェイスの情報の収集に役立ちます。
この項では、次のトピックについて説明します。
• 「概要」
• 「インターフェイス コマンド出力」
概要
show interfaces コマンドで次の情報が表示できます。
• インターフェイスが起動しているか停止しているか
• パケットが表示されているかどうかと、どのインターフェイスに表示されているか
• パケットが SensorApp によってドロップされているかどうか
• パケットのドロップにつながるエラーがインターフェイスによって報告されているかどうか
show interfaces コマンドは、すべてのシステム インターフェイスの統計情報を表示します。
あるいは、個別のコマンドを使用してコマンド/コントロール インターフェイス( show interfaces command_control_interface_name )およびセンシング インターフェイス( show interfaces interface_name )の統計情報が表示できます。
インターフェイス コマンド出力
次の例は、 show interfaces コマンドの出力を示します。
Total Packets Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/1
Missed Packet Percentage = 0
Total Packets Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface GigabitEthernet0/0
Total Packets Received = 2211296
Total Bytes Received = 157577635
Total Multicast Packets Received = 20
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 239723
Total Bytes Transmitted = 107213390
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
センサー イベント
イベントには、次の 5 つのタイプがあります。
• evAlert:侵入検知アラート
• evError:アプリケーション エラー
• evStatus:IP ログを作成中など、ステータスの変化
• evLogTransaction:各センサー アプリケーションによって処理される制御トランザクションのレコード
• evShunRqst:ブロック要求
イベントは、新しいイベントに上書きされるまでイベント ストア内に残ります。
概要
show events コマンドは、Event Viewer や Security Monitor でイベントが表示されないというイベント キャプチャの問題をトラブルシューティングする場合に役立ちます。 show events コマンドを使用すると、センサーで生成されているイベントを判別して、イベントが生成されていて、障害がモニタ側に存在することを確認できます。
イベント ストアからすべてのイベントをクリアするには、 clear events コマンドを使用します。
次は、 show events コマンドのパラメータです。
alert Display local system alerts.
error Display error events.
hh:mm[:ss] Display start time.
nac Display NAC shun events.
past Display events starting in the past specified time.
status Display status events.
イベントの表示
イベント ストアからイベントを表示するには、 show events [{[ alert [informational] [low] [medium] [high] [ include-traits traits ] [ exclude-traits traits ]] | error [warning] [error] [fatal] | log | NAC | status }] [ hh:mm:ss [ month day [ year ]] | past hh:mm:ss ] コマンドを使用します。
開始時刻から、イベントが表示されます。開始時刻を指定しない場合は、現在時刻から、イベントが表示されます。イベント タイプを指定しない場合は、すべてのイベントが表示されます。
(注) イベントは、Ctrl+C キーを押して要求をキャンセルするまで、ライブ フィードとして表示されます。
次のオプションが適用されます。
• alert :アラートを表示します。攻撃が進行中であること、または攻撃が試みられたことを示している可能性のある不審なアクティビティを通知します。
レベル(informational、low、medium、または high)が選択されていない場合は、すべてのアラート イベントが表示されます。
• include-traits :指定した特性を持つアラートを表示します。
• exclude-traits :指定した特性を持つアラートを表示しません。
• traits :10 進数(0 ~ 15)で表した特性ビットの位置。
• error :エラー イベントを表示します。エラー イベントは、エラー条件が発生したときにサービスによって生成されます。
• log :ログ イベントを表示します。ログ イベントは、トランザクションが受信され、アプリケーションの応答があったときに生成されます。トランザクションの要求、応答、および成功または失敗に関する情報が含まれています。
• NAC :Attack Response Controller(ARC)要求を表示します。
(注) ARC は、以前は Network Access Controller(NAC)と呼ばれていました。この名前の変更は、IDM および CLI for IPS 5.1 で完全には反映されていません。
• status :ステータス イベントを表示します。
• past :指定された時間数、分数、秒数の間に開始されたイベントを表示します。
• hh:mm:ss :表示を開始する過去の時、分、秒。
(注) show events コマンドは、指定されたイベントが使用可能になるまで待機します。イベントを表示して待機している状態は、Ctrl+C キーを押して終了するまで継続します。
イベント ストアからイベントを表示するには、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 現在開始されているすべてのイベントを表示します。
evError: eventId=1041472274774840147 severity=warning vendor=Cisco
time: 2003/01/07 04:41:45 2003/01/07 04:41:45 UTC
errorMessage: name=errWarning received fatal alert: certificate_unknown
evError: eventId=1041472274774840148 severity=error vendor=Cisco
time: 2003/01/07 04:41:45 2003/01/07 04:41:45 UTC
errorMessage: name=errTransport WebSession::sessionTask(6) TLS connection exce
ption: handshake incomplete.
フィードは、 Ctrl+C キーを押すまですべてのイベントを表示し続けます。
ステップ 3 2005 年 2 月 9 日の午前 10 時から、ブロック要求を表示します。
sensor#@ show events NAC 10:00:00 Feb 9 2005
evShunRqst: eventId=1106837332219222281 vendor=Cisco
appName: NetworkAccessControllerApp
time: 2005/02/09 10:33:31 2004/08/09 13:13:31
host: connectionShun=false
protocol: numericType=0 other
evAlertRef: hostId=esendHost 123456789012345678
ステップ 4 2005 年 2 月 9 日の午前 10 時から、警告レベルのエラーを表示します。
sensor# show events error warning 10:00:00 Feb 9 2005
evError: eventId=1041472274774840197 severity=warning vendor=Cisco
time: 2003/01/07 04:49:25 2003/01/07 04:49:25 UTC
errorMessage: name=errWarning received fatal alert: certificate_unknown
ステップ 5 45 秒前からのアラートを表示します。
sensor# show events alert past 00:00:45
evIdsAlert: eventId=1109695939102805307 severity=medium vendor=Cisco
time: 2005/03/02 14:15:59 2005/03/02 14:15:59 UTC
signature: description=Nachi Worm ICMP Echo Request id=2156 version=S54
addr: locality=OUT 10.89.228.202
addr: locality=OUT 10.89.150.185
evIdsAlert: eventId=1109695939102805308 severity=medium vendor=Cisco
ステップ 6 過去 30 秒間に始まったイベントを表示します。
sensor# show events past 00:00:30
evStatus: eventId=1041526834774829055 vendor=Cisco
time: 2003/01/08 02:41:00 2003/01/08 02:41:00 UTC
controlTransaction: command=getVersion successful=true
description: Control transaction response.
evStatus: eventId=1041526834774829056 vendor=Cisco
time: 2003/01/08 02:41:00 2003/01/08 02:41:00 UTC
description: session opened for user cisco by cisco(uid=0)
イベントのクリア
イベント ストアをクリアするには、 clear events コマンドを使用します。
イベント ストアからイベントをクリアするには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用して CLI にログインします。
ステップ 2 イベント ストアをクリアします。
Warning: Executing this command will remove all events currently stored in the event store.
ステップ 3 yes を入力してイベントをクリアします。
cidDump スクリプト
IDM または CLI へのアクセス権限がない場合は、root としてログインして /usr/cids/idsRoot/bin/cidDump を実行することによって、基盤となるスクリプト cidDump をサービス アカウントから実行できます。cidDump ファイルのパスは /usr/cids/idsRoot/htdocs/private/cidDump.html です。
cidDump は大量の情報を取り込むためのスクリプトです。この情報には、IPS プロセス リスト、ログ ファイル、OS 情報、ディレクトリ リスト、パッケージ情報、設定ファイルなどがあります。
cidDump スクリプトを実行するには、次の手順を実行します。
ステップ 1 センサー サービス アカウントにログインします。
ステップ 2 サービス アカウント パスワードを使用して root に切り替えます。
ステップ 3 cidDump /usr/cids/idsRoot/bin/cidDump と入力します。
ステップ 4 結果として生成される /usr/cids/idsRoot/log/cidDump.html ファイルを圧縮します。
gzip /usr/cids/idsRoot/log/cidDump.html
ステップ 5 問題が発生した場合は、結果として生成される HTML ファイルを TAC または IPS 開発者に送信します。
手順については、「Cisco FTP サイトでのファイルのアップロードおよびアクセス」を参照してください。
Cisco FTP サイトでのファイルのアップロードおよびアクセス
大規模ファイル(たとえば、cidDump.html、show tech-support コマンドの出力、コアなど)を ftp-sj サーバにアップロードできます。
Cisco FTP サイトでファイルのアップロードやアクセスを実行するには、次の手順を実行します。
ステップ 1 anonymous として ftp-sj.cisco.com にログインします。
ステップ 2 /incoming ディレクトリに移動します。
ステップ 3 put コマンドを使用して、ファイルをアップロードします。
バイナリ転送タイプを使用していることを確認します。
ステップ 4 アップロードされたファイルにアクセスするには、ECS にサポートされたホストとしてログインします。
ステップ 5 /auto/ftp/incoming ディレクトリに移動します。