予防保守
ここでは、センサーの予防保守の実施方法について説明します。次の事項について説明します。
• 「予防保守について」
• 「バックアップ コンフィギュレーション ファイルの作成と使用」
• 「リモート サーバを使用したコンフィギュレーション ファイルのバックアップと復元」
• 「サービス アカウントの作成」
予防保守について
次の処理は、センサーの維持に役立ちます。
• 適切な設定をバックアップします。現在の設定が使用不可能になっても、それをバックアップ バージョンと交換することができます。
• バックアップ設定をリモート システムに保存します。
• 手動アップグレードは、必ず設定をバックアップしてから行ってください。自動アップグレードが設定されている場合は、定期バックアップを必ず実施してください。
• サービス アカウントを作成します。サービス アカウントは、TAC から指示される特別なデバッグ状況において必要になります。
注意 サービス アカウントを作成するかどうかは、慎重に検討する必要があります。サービス アカウントは、システムへのシェル アクセスを提供するため、システムが脆弱になります。状況を分析して、システムにサービス アカウントを存在させるかどうかを決定してください。
詳細情報
• コンフィギュレーション ファイルをバックアップするための手順については、「バックアップ コンフィギュレーション ファイルの作成と使用」を参照してください。
• リモート サーバを使用してコンフィギュレーション ファイルをコピー/復元するための手順については、「リモート サーバを使用したコンフィギュレーション ファイルのバックアップと復元」を参照してください。
• サービス アカウントの詳細については、「サービス アカウントの作成」を参照してください。
バックアップ コンフィギュレーション ファイルの作成と使用
設定を保護するために、現在の設定のバックアップを作成し、表示することによってそれが保存したい設定であることを確認できます。この設定を復元する必要があるときは、バックアップ コンフィギュレーション ファイルを現在の設定とマージするか、現在のコンフィギュレーション ファイルにバックアップ コンフィギュレーション ファイルを上書きします。
現在の設定をバックアップするには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 現在の設定を保存します。現在の設定がバックアップ ファイルに保存されます。
sensor# copy current-config backup-config
ステップ 3 バックアップ コンフィギュレーション ファイルを表示します。バックアップ コンフィギュレーション ファイルが表示されます。
sensor# more backup-config
ステップ 4 バックアップの設定を現在の設定とマージすることも、現在の設定を上書きすることもできます。
• バックアップの設定を現在の設定とマージする場合
sensor# copy backup-config current-config
• バックアップの設定で現在の設定を上書きする場合
sensor# copy /erase backup-config current-config
リモート サーバを使用したコンフィギュレーション ファイルのバックアップと復元
(注) コンフィギュレーション ファイルをアップグレードする前に、現在のコンフィギュレーション ファイルをリモート サーバにコピーすることを推奨します。
copy [ /erase ] source_url destination_url keyword コマンドを使用して、コンフィギュレーション ファイルをリモート サーバにコピーします。これで、リモート サーバから現在の設定を復元できます。最初に、現在の設定をバックアップするように求めるメッセージが表示されます。
オプション
次のオプションが適用されます。
• /erase :コピー前にコピー先ファイルを消去します。
このキーワードは current-config のみに適用されます。backup-config は常に上書きされます。このキーワードがコピー先の current-config に指定されている場合、コピー元の設定はシステムのデフォルト設定に適用されます。このキーワードがコピー先の current-config に指定されていない場合、コピー元の設定は current-config とマージされます。
• source_url :コピー元ファイルの場所。URL またはキーワードで指定します。
• destination_url :コピー先ファイルの場所。URL またはキーワードで指定します。
• current-config :現在の実行コンフィギュレーション。コマンドが入力されると、設定が固定されます。
• backup-config :設定のバックアップの保管場所。
コピー元およびコピー先の URL の形式は、ファイルによって変わります。有効なタイプは次のとおりです。
• ftp::FTP ネットワーク サーバのソース URL または宛先 URL。このプレフィクスの構文は、次のとおりです。
ftp:[//[username@] location]/relativeDirectory]/filename
ftp:[//[username@]location]//absoluteDirectory]/filename
• scp::SCP ネットワーク サーバのソース URL または宛先 URL。このプレフィクスの構文は、次のとおりです。
scp:[//[username@] location]/relativeDirectory]/filename
scp:[//[username@] location]//absoluteDirectory]/filename
(注) FTP プロトコルまたは SCP プロトコルを使用する場合は、パスワードの入力を求められます。SCP プロトコルを使用する場合は、SSH 既知ホスト リストにリモート ホストも追加する必要があります。
• http::Web サーバのソース URL です。このプレフィクスの構文は、次のとおりです。
http:[[/[username@]location]/directory]/filename
• https::Web サーバのソース URL です。このプレフィクスの構文は、次のとおりです。
https:[[/[username@]location]/directory]/filename
(注) HTTP および HTTPS では、Web サイトのアクセスにユーザ名が必要な場合、パスワードの入力が求められます。HTTPS プロトコルを使用する場合、リモート ホストは TLS 信頼済みホストである必要があります。
注意 コンフィギュレーション ファイルを別のセンサーからコピーする際、センシング インターフェイスと仮想センサーが同様に設定されていない場合は、エラーが発生することがあります。
リモート サーバへの現在の設定のバックアップ
現在の設定をリモート サーバにバックアップするには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 現在の設定をリモート サーバにバックアップします。
sensor# copy current-config scp://user@192.0.2.0//configuration/cfg current-config
Warning: Copying over the current configuration may leave the box in an unstable state.
Would you like to copy current-config to backup-config before proceeding? [yes]:
ステップ 3 現在の設定をバックアップ設定にコピーするには、 yes と入力します。
cfg 100% |************************************************| 36124 00:00
バックアップ ファイルからの現在の設定の復元
バックアップ ファイルから現在の設定を復元するには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 現在の設定をリモート サーバにバックアップします。
sensor# copy scp://user@192.0.2.0//configuration/cfg current-config
Warning: Copying over the current configuration may leave the box in an unstable state.
Would you like to copy current-config to backup-config before proceeding? [yes]:
ステップ 3 現在の設定をバックアップ設定にコピーするには、 yes と入力します。
cfg 100% |************************************************| 36124 00:00
Warning: Replacing existing network-settings may leave the box in an unstable state.
Would you like to replace existing network settings (host-ipaddress/netmask/gateway/access-list) on sensor before proceeding? [no]:
ステップ 4 現在設定されているホスト名、IP アドレス、サブネット マスク、管理インターフェイス、およびアクセス リストを維持するには、 no と入力します。残りの設定が復元された後でもセンサーへのアクセスを維持するには、この情報を保持することを推奨します。
詳細情報
サポートされる HTTP/HTTPS サーバの一覧については、「サポートされる FTP サーバおよび HTTP/HTTPS サーバ」を参照してください。
サービス アカウントの作成
トラブルシューティングの際に使用する TAC 用のサービス アカウントを作成できます。センサーには複数のユーザがアクセスできますが、センサーに対するサービス権限を持てるのは 1 人のユーザだけです。サービス アカウントは、サポートの目的のためにのみ使用します。
サービス アカウントを作成した場合、root ユーザのパスワードは、サービス アカウントのパスワードに同期します。root でアクセスするには、サービス アカウントでログインしてから su - root コマンドを使用して root ユーザに切り替える必要があります。
注意 TAC の指示に基づく場合を除き、
サービス アカウントを使用してセンサーに変更を加えないでください。サービス アカウントを使用してセンサーを設定すると、その設定は TAC のサポート対象外になります。サービス アカウントを使用してオペレーティング システムにサービスを追加すると、他の IPS サービスのパフォーマンスと機能に影響し、適切でなくなります。TAC は、追加のサービスが加えられたセンサーをサポートしません。
注意 サービス アカウントを作成するかどうかは、慎重に検討する必要があります。サービス アカウントは、システムへのシェル アクセスを提供するため、システムが脆弱になります。ただし、管理者のパスワードが失われた場合は、サービス アカウントを使用してパスワードを作成できます。状況を分析して、システムにサービス アカウントを存在させるかどうかを決定してください。
サービス アカウントを追加するには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 コンフィギュレーション モードを開始します。
sensor# configure terminal
ステップ 3 サービス アカウントのパラメータを指定します。ユーザ名は ^[A-Za-z0-9()+:,_/-]+$ というパターンに従います。つまり、ユーザ名の先頭の 1 文字は英数字にする必要があり、A ~ Z(大文字または小文字)までの任意の英字、0 ~ 9 までの任意の数字、- および _ を含めることができます。またユーザ名は 1 ~ 64 文字使用できます。
sensor(config)# user username privilege service
ステップ 4 入力を要求されたらパスワードを指定します。このセンサーに対してサービス アカウントがすでに存在する場合は、次のエラー メッセージが表示され、サービス アカウントは作成されません。
Error: Only one service account may exist
ステップ 5 コンフィギュレーション モードを終了します。
サービス アカウントを使用して CLI にログインすると、次の警告が表示されます。
************************ WARNING *******************************************************
UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED. This account is intended to be used for support and troubleshooting purposes only. Unauthorized modifications are not supported and will require this device to be reimaged to guarantee proper operation.
****************************************************************************************
センサーのトラブルシューティング
ここでは、センサーのトラブルシューティングについて説明します。次の事項について説明します。
• 「接触不良のトラブルシューティング」
• 「分析エンジンがビジーの場合」
• 「通信に関する問題」
• 「SensorApp とアラート」
• 「ブロッキング」
• 「Logging」
• 「ソフトウェアのアップグレード」
接触不良のトラブルシューティング
センサーおよび適応型セキュリティ アプライアンスの接触不良についてトラブルシューティングを行うには、次の手順を実行します。
• すべての電源コードがしっかり接続されていることを確認します。
• すべてのケーブルが正しく配置され、すべての外部コンポーネントおよび内部コンポーネントに対してしっかり接続されていることを確認します。
• すべてのデータ ケーブルおよび電源ケーブルを外して、損傷がないかどうかを確認します。すべてのケーブルにピンの折れやコネクタの損傷がないことを確認します。
• 各デバイスが正しく装着されていることを確認します。
• デバイスにラッチがある場合、それらが完全に閉じられロックされていることを確認します。
• コンポーネントが正しく接続されていないことを示すインターロック インジケータまたはインターコネクト インジケータをすべて確認します。
• 問題が継続する場合は、各デバイスを取り外してから再度取り付け、コネクタおよびソケットにピンの折れや他の損傷がないかどうかを確認します。
分析エンジンがビジーの場合
センサーのイメージを再作成した後、分析エンジンは正規表現テーブルの再構築でビジーとなり、新しい設定に応答しません。 show statistics virtual-sensor コマンドを使用して、分析エンジンがビジーかどうかを確認できます。分析エンジンがビジーの場合、次のエラー メッセージが表示されます。
sensor# show statistics virtual-sensor
Error: getVirtualSensorStatistics : Analysis Engine is busy rebuilding regex tables. This may take a while.
分析エンジンが正規表現テーブルの再構築でビジーとなっているときに、シグニチャのイネーブルや廃棄などにより設定を更新しようとすると、エラー メッセージが表示されます。
sensor# configure terminal
sensor(config)# service sig sig0
sensor(config-sig)# sig 2000 0
sensor(config-sig-sig)# status enabled
sensor(config-sig-sig)# status
sensor(config-sig-sig-sta)# enabled true
sensor(config-sig-sig-sta)# retired false
sensor(config-sig-sig-sta)# exit
sensor(config-sig-sig)# exit
Error: editConfigDeltaSignatureDefinition : Analysis Engine is busy rebuilding regex tables. This may take a while.
The configuration changes failed validation, no changes were applied.
Would you like to return to edit mode to correct the errors? [yes]: no
No changes were made to the configuration.
センサーをブートした直後に仮想センサーの統計情報を取得しようとした場合は、エラー メッセージが表示されます。センサーによるキャッシュ ファイルの再構築が完了しているにもかかわらず、仮想センサーの初期化は完了しません。
sensor# show statistics virtual-sensor
Error: getVirtualSensorStatistics : Analysis Engine is busy.
分析エンジンがビジーである旨のエラーを受信した場合は、しばらく待ってから設定の変更を試みてください。分析エンジンが再度使用可能になるタイミングを確認するには、 show statistics virtual-sensor コマンドを使用します。
Telnet または SSH 経由でセンサー CLI にアクセスできない場合
Telnet(すでにイネーブルにしてある場合)または SSH 経由でセンサー CLI にアクセスできない場合は、次の手順を実行します。
ステップ 1
コンソール セッション、端末セッション、またはモジュール セッション経由でセンサー CLI にログインします。
ステップ 2 センサー管理インターフェイスがイネーブルになっていることを確認します。管理インターフェイスは、ステータス行 Media Type = TX
を含むリスト内のインターフェイスです。Link Status が Down
の場合は、ステップ 3 に進みます。Link Status が Up
の場合は、ステップ 5 に進みます。
Total Packets Received = 15389221
Total Bytes Received = 18446744073559969280
Missed Packet Percentage = 0
MAC statistics from interface Management0/0
Interface function = Command-control interface
Total Packets Received = 554088
Total Bytes Received = 52105105
Total Multicast Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 750113
Total Bytes Transmitted = 776942561
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface PortChannel0/0
Interface function = Sensing interface
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Admin Enabled Status = Enabled
Missed Packet Percentage = 0
Total Packets Received = 15389221
Total Bytes Received = 4145384960
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 91518
Total Undersize Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 15388390
Total Bytes Transmitted = 4144934528
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 91518
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface Management0/1
Interface function = Reserved for future use
ステップ 3 センサーの IP アドレスが一意であることを確認します。管理インターフェイスは、ネットワーク上の別のデバイスに同じ IP アドレスが設定されていることを検出した場合、起動しません。
--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
User ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
host-ip 10.89.130.108/23,10.89.130.1
ステップ 4 アクティブなネットワーク接続に管理ポートが接続されていることを確認します。管理ポートがアクティブなネットワーク接続に接続されていない場合、管理インターフェイスは起動しません。
ステップ 5 センサーへの接続を試みているワークステーションの IP アドレスが、センサーのアクセス リストで許可されていることを確認します。ワークステーションのネットワーク アドレスがセンサーのアクセス リストで許可されている場合は、ステップ 6 に進みます。
--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
User ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
host-ip 10.89.130.108/23,10.89.130.1
ステップ 6 ワークステーションのネットワーク アドレスに対する許可エントリを追加し、設定を保存し、再度接続を試みます。
ステップ 7 ネットワーク設定で、ワークステーションのセンサーへの接続が許可されていることを確認します。
センサーがファイアウォールの背後に保護され、ワークステーションがファイアウォールの前にある場合は、ワークステーションからセンサーへのアクセスを許可するようにファイアウォールが設定されていることを確認します。また、ワークステーションの IP アドレスに対してネットワーク アドレス変換を実行しているファイアウォールの背後にワークステーションがあり、センサーがファイアウォールの前にある場合は、センサーのアクセス リストにワークステーションの変換済みアドレスに対する許可エントリが含まれていることを確認します。
詳細情報
• IP アドレスの変更、アクセス リストの変更、および Telnet のイネーブルおよびディセーブルの手順については、「ネットワークの設定」を参照してください。
• センサー上で直接 CLI セッションを開くさまざまな方法については、「IPS SSP へのログイン」を参照してください。
設定が誤っているアクセス リストの修正
設定が誤っているアクセス リストを修正するには、次の手順を実行します。
ステップ 1
CLI にログインします。
ステップ 2 設定を表示して、アクセス リストを確認します。
sensor# show configuration | include access-list
ステップ 3 クライアント IP アドレスが許可されたネットワーク内にリストされているかどうか確認します。リストされていない場合は、次のように追加します。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
sensor(config-hos-net)# access-list 171.69.70.0/24
ステップ 4 設定を確認できます。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.149.238/25,10.89.149.254 default: 10.1.9.201/24,10.1.9.1
host-name: sensor-238 default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 3)
-----------------------------------------------
network-address: 10.0.0.0/8
-----------------------------------------------
network-address: 64.0.0.0/8
-----------------------------------------------
network-address: 171.69.70.0/24
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
重複している IP アドレスがインターフェイスをシャットダウンする
同じ IP アドレスを持つ 2 台のセンサーが新たにイメージ化され、同じネットワーク上で同時にアップ状態になると、インターフェイスはシャットダウンします。Linux では、他のホストとのアドレスの競合を検出した場合、コマンド/コントロール インターフェイスはアクティブになりません。
問題のセンサーが、ネットワーク上の別のホストと競合する IP アドレスを持っていないことを確認するには、次の手順を実行します。
ステップ 1
CLI にログインします。
ステップ 2 インターフェイスがアップ状態かどうかを判断します。出力で、コマンド/コントロール インターフェイスのリンク ステータスがダウン状態の場合は、ハードウェアに問題があるか、IP アドレスの競合が発生しています。
Total Packets Received = 15389221
Total Bytes Received = 18446744073559969280
Missed Packet Percentage = 0
MAC statistics from interface Management0/0
Interface function = Command-control interface
Total Packets Received = 554088
Total Bytes Received = 52105105
Total Multicast Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 750113
Total Bytes Transmitted = 776942561
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface PortChannel0/0
Interface function = Sensing interface
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Admin Enabled Status = Enabled
Missed Packet Percentage = 0
Total Packets Received = 15389221
Total Bytes Received = 4145384960
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 91518
Total Undersize Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 15388390
Total Bytes Transmitted = 4144934528
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 91518
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface Management0/1
Interface function = Reserved for future use
ステップ 3 センサーのケーブル接続が正しいことを確認します。
ステップ 4 IP アドレスが正しいことを確認します。
詳細情報
• センサーのケーブル接続が正しいことを確認するには、『 Installing the Cisco Intrusion Prevention System Security Services Processor 7.1 』でご使用のセンサーに関する章を参照してください。
• IP アドレスが正しいことを確認するための手順については、「ネットワークの設定」を参照してください。
SensorApp が動作していない場合
センシング プロセス(SensorApp)は、常に動作している必要があります。常に動作していないと、アラートを受信できません。SensorApp は分析エンジンの一部であるため、分析エンジンが動作していることを確認する必要があります。
分析エンジンが動作していることを確認するには、次の手順を実行します。
ステップ 1
CLI にログインします。
ステップ 2 分析エンジン サービスのステータスを特定します。
Cisco Intrusion Prevention System, Version 7.1(1)E4
Signature Update S518.0 2010-10-04
Platform: ASA5585-SSP-IPS20
Serial Number: ABC1234DEFG
Licensed, expires: 04-Oct-2011 UTC
Using 10378M out of 11899M bytes of available memory (87% usage)
system is using 25.1M out of 160.0M bytes of available disk space (16% usage)
application-data is using 65.4M out of 171.4M bytes of available disk space (40%
boot is using 56.1M out of 71.7M bytes of available disk space (83% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
MainApp S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
AnalysisEngine S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
T00:29:47-0500 NotRunning
CollaborationApp S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
CLI S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
IPS-K9-7.1-1-E4 00:42:07 UTC Thu Oct 21 2010
Recovery Partition Version 1.1 - 7.1(1)E4
Host Certificate Valid from: 21-Oct-2010 to 21-Oct-2012
ステップ 3 分析エンジンが動作していない場合は、それに関係するエラーが発生していないか調べます。最後に再起動した日付と時刻が表示されます。この例では、最後の再起動は 2004 年 2 月 19 日 7 時 34 分になります。
sensor# show events error fatal past 13:00:00 | include AnalysisEngine
evError: eventId=1077219258696330005 severity=warning
time: 2004/02/19 19:34:20 2004/02/19 19:34:20 UTC
errorMessage: name=errUnclassified Generating new Analysis Engine configuration file.
ステップ 4 ソフトウェアのアップデートが最新のものであることを確認します。最新のものではない場合は、Cisco.com からダウンロードします。SensorApp または分析エンジンの既知の DDTS については、ソフトウェア アップグレードに添付の Readme を読んでください。
Cisco Intrusion Prevention System, Version 7.1(1)E4
Signature Update S518.0 2010-10-04
Platform: ASA5585-SSP-IPS20
Serial Number: ABC1234DEFG
Licensed, expires: 04-Oct-2011 UTC
Using 10378M out of 11899M bytes of available memory (87% usage)
system is using 25.1M out of 160.0M bytes of available disk space (16% usage)
application-data is using 65.4M out of 171.4M bytes of available disk space (40%
boot is using 56.1M out of 71.7M bytes of available disk space (83% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
MainApp S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
AnalysisEngine S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
T00:29:47-0500 NotRunning
CollaborationApp S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
CLI S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
IPS-K9-7.1-1-E4 00:42:07 UTC Thu Oct 21 2010
Recovery Partition Version 1.1 - 7.1(1)E4
Host Certificate Valid from: 21-Oct-2010 to 21-Oct-2012
ステップ 5 分析エンジンがまだ動作しない場合は、 show tech-support と入力し、出力を保存します。
ステップ 6 センサーをリブートします。
ステップ 7 問題が解決したことを確認するには、センサーが安定した後で show version と入力します。
ステップ 8 分析エンジンにまだ Not Running
と表示される場合は、元の show tech support コマンド出力を用意して TAC に連絡してください。
詳細情報
• IPS システム アーキテクチャの詳細については、 付録 A「システム アーキテクチャについて」 を参照してください。
• 最新の Cisco IPS ソフトウェアを取得するための手順については、「Cisco IPS ソフトウェアの入手」を参照してください。
物理的な接続性、SPAN、または VACL ポートの問題
センサーが正しく接続されていないと、アラートを受信しません。
センサーが正しく接続されていることを確認するには、次の手順を実行します。
ステップ 1
CLI にログインします。
ステップ 2 インターフェイスがアップ状態にあり、パケット カウントが増加していることを確認します。
Total Packets Received = 15389221
Total Bytes Received = 18446744073559969280
Missed Packet Percentage = 0
MAC statistics from interface Management0/0
Interface function = Command-control interface
Total Packets Received = 554088
Total Bytes Received = 52105105
Total Multicast Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 750113
Total Bytes Transmitted = 776942561
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface PortChannel0/0
Interface function = Sensing interface
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Admin Enabled Status = Enabled
Missed Packet Percentage = 0
Total Packets Received = 15389221
Total Bytes Received = 4145384960
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 91518
Total Undersize Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 15388390
Total Bytes Transmitted = 4144934528
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 91518
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface Management0/1
Interface function = Reserved for future use
ステップ 3 リンク ステータスがダウン状態の場合は、センシング ポートが適切に接続されていることを確認します。
a. アプライアンス上でセンシング ポートが適切に接続されていることを確認します。
b. センシング ポートが IDSM2 上の正しい SPAN または VACL キャプチャ ポートに接続されていることを確認します。
ステップ 4 インターフェイス設定を確認します。
a. インターフェイスが正しく設定されていることを確認します。
b. Cisco スイッチ上で SPAN および VACL キャプチャ ポート設定を確認します。
手順については、スイッチのマニュアルを参照してください。
ステップ 5 インターフェイスがアップ状態であり、パケット カウントが増加していることを再び確認します。
詳細情報
• センサーのセンシング インターフェイスを正しくインストールするための手順については、『 Installing the Cisco Intrusion Prevention System Security Services Processor 7.1 』でご使用のアプライアンスに関する章を参照してください。
• センサーのインターフェイスを設定するための手順については、「インターフェイスの設定」を参照してください。
アラートを表示できない
アラートが表示されない場合、次の手順を実行します。
• シグニチャがイネーブルであることを確認します。
• シグニチャが廃棄されていないことを確認します。
• Produce Alert がアクションとして設定されていることを確認します。
(注) Produce Alert を選択した後に別のイベント アクションを追加し、Produce Alert を新しい設定に追加しなかった場合、イベント ストアにアラートは送信されません。シグニチャを設定するたびに、新しい設定によって古い設定が上書きされるため、各シグニチャに対してすべてのイベント アクションを設定したことを確認してください。
• センサーがパケットを監視していることを確認します。
• アラートが生成されていることを確認します。
• センシング インターフェイスが仮想センサー内に存在することを確認します。
アラートが表示されることを確認するには、次の手順を実行します。
ステップ 1
CLI にログインします。
ステップ 2 シグニチャが有効であることを確認します。
sensor# configure terminal
sensor(config)# service signature-definition sig0
sensor(config-sig)# signatures 1300 0
sensor(config-sig-sig)# status
sensor(config-sig-sig-sta)# show settings
-----------------------------------------------
enabled: true <defaulted>
retired: false <defaulted>
-----------------------------------------------
sensor(config-sig-sig-sta)#
ステップ 3 Produce Alert が設定されていることを確認します。
sensor# configure terminal
sensor(config)# service signature-definition sig0
sensor(config-sig)# signatures 1300 0
sensor(config-sig-sig)# engine ?
normalizer Signature engine
sensor(config-sig-sig)# engine normalizer
sensor(config-sig-sig-nor)# event-action produce-alert
sensor(config-sig-sig-nor)# show settings
-----------------------------------------------
event-action: produce-alert default: produce-alert|deny-connection-inline
-----------------------------------------------
ステップ 4 センサーがパケットを監視していることを確認します。
sensor# show interfaces PortChannel0/0
MAC statistics from interface PortChannel0/0
Interface function = Sensing interface
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Admin Enabled Status = Enabled
Missed Packet Percentage = 0
Total Packets Received = 15957591
Total Bytes Received = 4280897856
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 92531
Total Undersize Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 15956725
Total Bytes Transmitted = 4280427264
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 92531
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
ステップ 5 アラートを確認します。
sensor# show statistics virtual-sensor
SigEvent Preliminary Stage Statistics
Number of Alerts received = 2503738
Number of Alerts Consumed by AlertInterval = 626
Number of Alerts Consumed by Event Count = 919
Number of FireOnce First Alerts = 1497
Number of FireOnce Intermediate Alerts = 1597767
Number of Summary First Alerts = 436
Number of Summary Intermediate Alerts = 24254
Number of Regular Summary Final Alerts = 150
Number of Global Summary Final Alerts = 18
Number of Active SigEventDataNodes = 115
Number of Alerts Output for further processing = 2490605
センサーがパケットを監視しない
センサーがネットワーク上のパケットを監視していない場合、インターフェイスの設定が正しくないことが考えられます。
センサーがパケットを監視していない場合は、次の手順を実行します。
ステップ 1
CLI にログインします。
ステップ 2 インターフェイスがアップ状態であり、パケットを受信していることを確認します。
sensor# show interfaces PortChannel0/0
MAC statistics from interface PortChannel0/0
Interface function = Sensing interface
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Admin Enabled Status = Enabled
Missed Packet Percentage = 0
Total Packets Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
ステップ 3 インターフェイスがアップ状態でない場合は、ケーブル接続を確認します。
ステップ 4 インターフェイスがアップ状態であり、パケットを受信していることを確認します。
sensor# show interfaces PortChannel0/0
MAC statistics from interface PortChannel0/0
Interface function = Sensing interface
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Admin Enabled Status = Enabled
Missed Packet Percentage = 0
Total Packets Received = 15957591
Total Bytes Received = 4280897856
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 92531
Total Undersize Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 15956725
Total Bytes Transmitted = 4280427264
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 92531
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
詳細情報
センサーを正しく取り付けるための手順については、『 Installing the Cisco Intrusion Prevention System Security Services Processor 7.1 』でご使用のセンサーに関する章を参照してください。
破損した SensorApp 設定のクリーンアップ
SensorApp 設定が破損状態となり SensorApp が動作しない場合は、SensorApp を完全に削除して SensorApp を再起動する必要があります。
SensorApp 設定を削除するには、次の手順を実行します。
ステップ 1
サーバ アカウントにログインします。
ステップ 2 root に su します。
ステップ 3 IPS アプリケーションを停止します。
ステップ 4 仮想センサー ファイルを交換します。
cp /usr/cids/idsRoot/etc/defVirtualSensorConfig.xml /usr/cids/idsRoot/etc/VS-Config/virtualSensor.xml
ステップ 5 キャッシュ ファイルを削除します。
rm /usr/cids/idsRoot/var/virtualSensor/*.pmz
ステップ 6 サービス アカウントを終了します。
ステップ 7 センサー CLI にログインします。
ステップ 8 IPS サービスを起動します。
ステップ 9 管理者権限でアカウントにログインします。
ステップ 10 センサーをリブートします。
Warning: Executing this command will stop all applications and reboot the node.
Continue with reset? [yes]:yes
詳細情報
IPS システム アーキテクチャの詳細については、 付録 A「システム アーキテクチャについて」 を参照してください。
ブロッキングのトラブルシューティング
ARC の設定が終了すると、 show version コマンドを使用して ARC が正しく動作しているかどうかを確認できます。ネットワーク デバイスに ARC が接続されていることを確認するには、 show statistics network-access コマンドを使用します。
(注) ARC は、以前は Network Access Controller と呼ばれていました。IPS 5.1 から名前は変更されましたが、IDM、IME、および CLI には Network Access Controller、nac、および network-access として登場します。
ARC のトラブルシューティングを行うには、次の手順を実行します。
1. ARC が動作していることを確認します。
2. ARC がネットワーク デバイスに接続されていることを確認します。
3. 特定のシグニチャについて、イベント アクションが Block Host に設定されていることを確認します。
4. マスター ブロッキング センサーが正しく設定されていることを確認します。
詳細情報
• ARC が動作していることを確認するための手順については、「ARC が動作していることの確認」を参照してください。
• ARC が接続されていることを確認するための手順については、「ARC 接続がアクティブであることの確認」を参照してください。
• イベント アクションが Block Host に設定されていることを確認するための手順については、「シグニチャに対してブロッキングが発生していない」を参照してください。
• マスター ブロッキング センサーが正しく設定されていることを確認するための手順については、「マスター ブロッキング センサーの設定を確認する」を参照してください。
• ARC アーキテクチャの詳細については、「Attack Response Controller」を参照してください。
ARC が動作していることの確認
ARC が動作していることを確認するには、 show version コマンドを使用します。MainApp が動作していない場合、ARC は動作しません。ARC は MainApp の一部です。
ARC が動作していることを確認するには、次の手順を実行します。
ステップ 1
CLI にログインします。
ステップ 2 MainApp が動作していることを確認します。
Cisco Intrusion Prevention System, Version 7.1(1)E4
Signature Update S518.0 2010-10-04
Platform: ASA5585-SSP-IPS20
Serial Number: ABC1234DEFG
Licensed, expires: 04-Oct-2011 UTC
Using 10378M out of 11899M bytes of available memory (87% usage)
system is using 25.1M out of 160.0M bytes of available disk space (16% usage)
application-data is using 65.4M out of 171.4M bytes of available disk space (40%
boot is using 56.1M out of 71.7M bytes of available disk space (83% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
MainApp S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
T00:29:47-0500 NotRunning
AnalysisEngine S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
CollaborationApp S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
CLI S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
IPS-K9-7.1-1-E4 00:42:07 UTC Thu Oct 21 2010
Recovery Partition Version 1.1 - 7.1(1)E4
Host Certificate Valid from: 21-Oct-2010 to 21-Oct-2012
ステップ 3 MainApp が Not Running
と表示されている場合、ARC は故障しています。TAC に連絡してください。
詳細情報
IPS システム アーキテクチャの詳細については、 付録 A「システム アーキテクチャについて」 を参照してください。
ARC 接続がアクティブであることの確認
ARC の統計情報で状態が アクティブ
でない場合は問題があります。
統計情報で状態がアクティブであることを確認するには、次の手順を実行します。
ステップ 1
CLI にログインします。
ステップ 2 ARC が接続状態にあることを確認します。
出力の State セクションを調べて、すべてのデバイスが接続状態にあることを確認します。
sensor# show statistics network-access
LogAllBlockEventsAndSensors = true
MaxDeviceInterfaces = 250
AclSupport = uses Named ACLs
ステップ 3 ARC が接続状態にない場合は、繰り返し発生しているエラーを探します。
sensor# show events error hh:mm:ss month day year | include : nac
例
sensor# show events error 00:00:00 Apr 01 2007 | include : nac
ステップ 4 ソフトウェアのアップデートが最新のものであることを確認します。
Cisco Intrusion Prevention System, Version 7.1(1)E4
Signature Update S518.0 2010-10-04
Platform: ASA5585-SSP-IPS20
Serial Number: ABC1234DEFG
Licensed, expires: 04-Oct-2011 UTC
Using 10378M out of 11899M bytes of available memory (87% usage)
system is using 25.1M out of 160.0M bytes of available disk space (16% usage)
application-data is using 65.4M out of 171.4M bytes of available disk space (40%
boot is using 56.1M out of 71.7M bytes of available disk space (83% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
MainApp S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
AnalysisEngine S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
CollaborationApp S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
CLI S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
IPS-K9-7.1-1-E4 00:42:07 UTC Thu Oct 21 2010
Recovery Partition Version 1.1 - 7.1(1)E4
Host Certificate Valid from: 21-Oct-2010 to 21-Oct-2012
(注) 最新のものではない場合は、Cisco.com からダウンロードします。ARC の既知の DDTS については、ソフトウェア アップグレードに添付の Readme を参照してください。
ステップ 5 デバイスごとに設定(ユーザ名、パスワード、IP アドレス)が正しいことを確認します。
ステップ 6 ネットワーク デバイスごとにインターフェイスと方向が正しいことを確認します。
ステップ 7 ネットワーク デバイスが 3DES を使用している場合、デバイスへの SSH 接続をイネーブルにしてください。
ステップ 8 制御対象の各デバイスで各インターフェイスとその方向が正しいことを確認します。
詳細情報
• 最新の Cisco IPS ソフトウェアを取得するための手順については、「Cisco IPS ソフトウェアの入手」を参照してください。
• デバイスの追加の詳細については、「デバイスのアクセスに関する問題点」を参照してください。
• ネットワーク デバイスごとにインターフェイスと方向を確認するための手順については、「ネットワーク デバイス上のインターフェイスおよび方向の確認」を参照してください。
• SSH をイネーブルにするための手順については、「ネットワーク デバイスへの SSH 接続を有効にする」を参照してください。
デバイスのアクセスに関する問題点
ARC は、管理しているデバイスにアクセスできない場合があります。管理対象のデバイスの IP アドレス、ユーザ名、およびパスワードが正しいこと、およびインターフェイスと方向が正しく設定されていることを確認します。
(注) SSH デバイスは SSH 1.5 をサポートしている必要があります。センサーは SSH 2.0 をサポートしていません。
デバイスへのアクセスの問題についてトラブルシューティングを行うには、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 管理対象デバイスの IP アドレスを確認します。
sensor# configure terminal
sensor (config)# service network-access
sensor(config-net)# show settings
-----------------------------------------------
log-all-block-events-and-errors: true <defaulted>
enable-nvram-write: false <defaulted>
enable-acl-logging: false <defaulted>
allow-sensor-block: false <defaulted>
block-enable: true <defaulted>
block-max-entries: 250 <defaulted>
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-networks (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
block-networks (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
user-profiles (min: 0, max: 250, current: 1)
-----------------------------------------------
-----------------------------------------------
enable-password: <hidden>
username: netrangr default:
-----------------------------------------------
-----------------------------------------------
cat6k-devices (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
router-devices (min: 0, max: 250, current: 1)
-----------------------------------------------
-----------------------------------------------
communication: telnet default: ssh-3des
nat-address: 0.0.0.0 <defaulted>
block-interfaces (min: 0, max: 100, current: 1)
-----------------------------------------------
-----------------------------------------------
pre-acl-name: <defaulted>
post-acl-name: <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
firewall-devices (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
ステップ 3 デバイスに手動で接続して、正しいユーザ名、正しいパスワード、および有効なパスワードを使用していること、さらにセンサーからデバイスに到達可能であることを確認します。
a. サーバ アカウントにログインします。
b. Telnet または SSH を使用してネットワーク デバイスに接続し、設定を確認します。
c. デバイスに到達できることを確認します。
d. ユーザ名とパスワードを確認します。
ステップ 4 各ネットワーク デバイスで各インターフェイスとその方向が正しいことを確認します。
詳細情報
ネットワーク デバイスごとにインターフェイスと方向を確認するための手順については、「ネットワーク デバイス上のインターフェイスおよび方向の確認」を参照してください。
ネットワーク デバイス上のインターフェイスおよび方向の確認
制御対象の各デバイス上で各インターフェイスとその方向が正しいことを確認するには、手動ブロックを不正なホストに送信し、ルータの ACL 内のブロックされているアドレスについて拒否エントリが存在するかどうかを確認できます。
(注) 手動ブロックを実行するには、[Monitoring] > [Sensor Monitoring] > [Time-Based Actions] > [Host Blocks] を選択します。
不正なホストに対する手動ブロックを開始するには、次の手順を実行します。
ステップ 1 ARC 一般サブモードを開始します。
sensor# configure terminal
sensor(config)# service network-access
sensor(config-net)# general
ステップ 2 不正なホストの IP アドレスの手動ブロックを開始します。
sensor(config-net-gen)# block-hosts 10.16.0.0
ステップ 3 一般サブモードを終了します。
sensor(config-net-gen)# exit
ステップ 4 Enter を押して変更を適用するか、 no と入力して廃棄します。
ステップ 5 ルータに Telnet 接続して、ブロックされたアドレスの拒否エントリがルータの ACL 内に存在することを確認します。手順については、ルータのマニュアルを参照してください。
ステップ 6 手動ブロックを削除するにはステップ 1 ~ 4 を繰り返します。ただし、ステップ 2 では、コマンドの前に no を配置します。
sensor(config-net-gen)# no block-hosts 10.16.0.0
ネットワーク デバイスへの SSH 接続を有効にする
ネットワーク デバイスの通信プロトコルとして SSH 3DES を使用している場合は、デバイス上で該当するプロトコルを必ずイネーブルにしておく必要があります。
ネットワーク デバイスへの SSH 接続を有効にするには、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 コンフィギュレーション モードを開始します。
sensor# configure terminal
ステップ 3 SSH をイネーブルにします。
sensor(config)# ssh host blocking_device_ip_address
ステップ 4 デバイスを受け入れるよう指示するメッセージが表示されたら、 yes と入力します。
シグニチャに対してブロッキングが発生していない
特定のシグニチャに対してブロッキングが発生していない場合は、イベント アクションがホストをブロックするように設定されていることを確認します。
特定のシグニチャに対してブロッキングが発生していることを確認するには、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 シグニチャ定義サブモードを開始します。
sensor# configure terminal
sensor(config)# service signature-definition sig0
ステップ 3 イベント アクションがホストをブロックするように設定されていることを確認します。
(注) アラートが受信する場合は、イベント アクションを設定するたびに produce-alert を常に追加する必要があります。
sensor(config-sig)# signatures 1300 0
sensor(config-sig-sig)# engine normalizer
sensor(config-sig-sig-nor)# event-action produce-alert|request-block-host
sensor(config-sig-sig-nor)# show settings
-----------------------------------------------
event-action: produce-alert|request-block-host default: produce-alert|deny
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 4 シグニチャ定義サブモードを終了します。
sensor(config-sig-sig-nor)# exit
sensor(config-sig-sig)# exit
ステップ 5 Enter を押して変更を適用するか、 no と入力して廃棄します。
マスター ブロッキング センサーの設定を確認する
マスター ブロッキング センサーが適切に設定されていることを確認するには、あるいは適切に設定されていないマスター ブロッキング センサーのトラブルシューティングを行うには、 show statistics network-access コマンドを使用できます。リモート マスター ブロッキング センサーが TLS を使用して Web アクセスを行っている場合は、転送センサーが TLS 信頼済みホストとして設定されていることを確認します。
マスター ブロッキング センサーの設定を確認するには、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 ARC の統計情報を表示し、マスター ブロッキング センサーのエントリが統計情報にあることを確認します。
sensor# show statistics network-access
ステップ 3 統計情報にマスター ブロッキング センサーが表示されていない場合は追加する必要があります。
ステップ 4 不正なホスト IP アドレスへの手動ブロックを開始し、マスター ブロッキング センサーがブロックを開始していることを確認します。
sensor# configure terminal
sensor(config)# service network-access
sensor(config-net)# general
sensor(config-net-gen)# block-hosts 10.16.0.0
ステップ 5 ネットワーク アクセス一般サブモードを終了します。
sensor(config-net-gen)# exit
ステップ 6 Enter を押して変更を適用するか、 no と入力して廃棄します。
ステップ 7 ARC の統計情報にブロックが表示されていることを確認します。
sensor# show statistics network-access
ステップ 8 マスター ブロッキング センサー ホストの CLI にログインし、 show statistics network-access コマンドを使用して、ブロックがマスター ブロッキング センサー の ARC 統計情報にも表示されていることを確認します。
sensor# show statistics network-access
ステップ 9 リモート マスター ブロッキング センサーが TLS を使用して Web アクセスを行っている場合は、転送センサーが TLS ホストとして設定されていることを確認します。
sensor# configure terminal
sensor(config)# tls trust ip master_blocking_sensor_ip_address
詳細情報
センサーをマスター ブロッキング センサーに設定するための手順については、「マスター ブロッキング センサーの設定」を参照してください。
デバッグ ロギングについて
TAC では、トラブルシューティングのためにデバッグ ロギングをオンにすることを推奨する場合もあります。ロガーでは、さまざまなロギング ゾーンのロギングの重大度を制御することにより、各アプリケーションが生成するログ メッセージの種類を制御します。デフォルトでは、デバッグ ロギングはオンではありません。
個別ゾーン制御を有効にすると、各ゾーンでは設定されたロギング レベルを使用します。個別ゾーン制御を有効にしなければ、すべてのゾーンで同じロギング レベルが使用されます。
デバッグ ロギングをイネーブルにする
注意
デバッグ ロギングをイネーブルにすることは、パフォーマンスに重大な影響を与えるので、TAC によって指示された場合にのみ使用する必要があります。
デバッグ ロギングをイネーブルにするには、次の手順を実行できます。
ステップ 1 サーバ アカウントにログインします。
ステップ 2 log.conf ファイルを編集し、追加のログ文を収容するためにログのサイズを増やします。
vi /usr/cids/idsRoot/etc/log.conf
ステップ 3 fileMaxSizeInK=500
を fileMaxSizeInK=5000
に変更します。
ステップ 4 ファイルのゾーンおよび CID セクションの位置を特定し、重大度をデバッグに設定します。
ステップ 5 ファイルを保存し、vi エディタを終了し、サービス アカウントを終了します。
ステップ 6 CLI に管理者としてログインします。
ステップ 7 マスター制御サブモードを開始します。
sensor# configure terminal
sensor(config)# service logger
sensor(config-log)# master-control
ステップ 8 すべてのゾーンでデバッグ ロギングをイネーブルにする方法は、次のとおりです。
sensor(config-log-mas)# enable-debug true
sensor(config-log-mas)# show settings
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: false <defaulted>
-----------------------------------------------
ステップ 9 個別ゾーン制御を有効にする方法は、次のとおりです。
sensor(config-log-mas)# individual-zone-control true
sensor(config-log-mas)# show settings
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: true default: false
-----------------------------------------------
ステップ 10 マスター ゾーン制御を終了します。
sensor(config-log-mas)# exit
ステップ 11 ゾーン名を表示します。
sensor(config-log)# show settings
-----------------------------------------------
enable-debug: false <defaulted>
individual-zone-control: true default: false
-----------------------------------------------
zone-control (min: 0, max: 999999999, current: 14)
-----------------------------------------------
zone-name: AuthenticationApp
severity: warning <defaulted>
severity: debug <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
zone-name: ctlTransSource
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
-----------------------------------------------
ステップ 12 特定のゾーンに対する重大度(debug、timing、warning、または error)を変更します。
sensor(config-log)# zone-control IdsEventStore severity error
sensor(config-log)# show settings
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: true default: false
-----------------------------------------------
zone-control (min: 0, max: 999999999, current: 14)
-----------------------------------------------
zone-name: AuthenticationApp
severity: warning <defaulted>
severity: debug <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: error default: warning
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
zone-name: ctlTransSource
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
-----------------------------------------------
ステップ 13 特定のゾーンに対して、デバッグをオンにします。
sensor(config-log)# zone-control nac severity debug
sensor(config-log)# show settings
-----------------------------------------------
enable-debug: true default: false
individual-zone-control: true default: false
-----------------------------------------------
zone-control (min: 0, max: 999999999, current: 14)
-----------------------------------------------
zone-name: AuthenticationApp
severity: warning <defaulted>
severity: debug <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: error default: warning
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
severity: warning <defaulted>
zone-name: ctlTransSource
severity: warning <defaulted>
severity: warning <defaulted>
severity: debug default: warning
severity: warning <defaulted>
severity: warning <defaulted>
-----------------------------------------------
ステップ 14 ロガー サブモードを終了します。
ステップ 15 Enter を押して変更を適用するか、 no と入力して廃棄します。
詳細情報
それぞれのゾーン名が示す内容に関するリストについては、「ゾーン名」を参照してください。
ゾーン名
表 C-1 デバッグ ロガー ゾーン名をリストします。
表 C-1 デバッグ ロガー ゾーン名
|
|
AD |
異常検出ゾーン |
AuthenticationApp |
認証ゾーン |
Cid |
一般的なロギング ゾーン |
Cli |
CLI ゾーン |
IdapiCtlTrans |
すべての制御トランザクション ゾーン |
IdsEventStore |
イベント ストア ゾーン |
MpInstaller |
IDSM-2 マスター パーティション インストーラ ゾーン |
cmgr |
Card Manager サービス ゾーン |
cplane |
コントロール プレーン ゾーン |
csi |
CIDS サーブレット インターフェイス |
ctlTransSource |
発信制御トランザクション ゾーン |
intfc |
インターフェイス ゾーン |
nac |
ARC ゾーン |
rep |
レピュテーション ゾーン |
sched |
自動アップデート スケジューラ ゾーン |
sensorApp |
分析エンジン ゾーン |
tls |
SSL および TLS ゾーン |
詳細情報
IPS ロガー サービスの詳細については、「Logger」を参照してください。
SysLog に cidLog メッセージを転送する
cidLog メッセージを syslog に転送することが有用な場合があります。
cidLog メッセージを syslog に転送するには、次の手順を実行します。
ステップ 1
idsRoot/etc/log.conf ファイルに進みます。
ステップ 2 次の変更を加えます。
a. Set [logApp] enabled=false
enabled=true
はコメント化されます。これは enabled=false
がデフォルトであるためです。
b. [drain/main] type=syslog
を設定します。
次の例に、ロギング設定ファイルを示します。
;-------- FIFO parameters --------
;-------- logApp zone and drain parameters --------
syslog の出力が syslog ファシリティ local6 に送信され、syslog メッセージ プロパティとは次の対応関係があります。
LOG_DEBUG, // debug
LOG_INFO, // timing
LOG_WARNING, // warning
LOG_ERR, // error
LOG_CRIT // fatal
(注) /etc/syslog.conf の該当するファシリティが適切な優先順位で有効になっていることを確認します。
注意 syslog は logApp よりかなり時間がかかります(1 秒あたり 50 メッセージ程度。logApp は 1 秒あたり 1000 メッセージ程度)。デバッグの重大度は、一度に 1 つのゾーンでのみイネーブルにすることを推奨します。
最新バージョンへのアップグレード
IPS センサーをアップグレードする際 、 分析エンジンが動作していない旨のエラーが表示される場合があります。
sensor#
upgrade scp://user@10.1.1.1/upgrades/IPS-K9-7.1-1-E4.pkg
Warning: Executing this command will apply a major version upgrade to the application partition. The system may be rebooted to complete the upgrade.
Continue with upgrade?: yes
Error: AnalysisEngine is not running. Please reset box and attempt upgrade again.
このエラーが表示された場合は、分析エンジンを稼動させてから再度アップグレードを試みる必要があります。このエラーは、現在の動作バージョンの不具合により頻繁に発生します。センサーのリブートを試みます。リブート後に setup コマンドを実行し、仮想センサー vs0 からインターフェイスを削除します。センサーがトラフィックをモニタしていない場合、通常、分析エンジンは稼動し続けます。これでアップグレードが可能になります。アップグレード後は、 setup コマンドを使用して仮想センサー vs0 にインターフェイスを再度追加します。
または、システム イメージ ファイルを使用して、直接希望するバージョンにセンサーのイメージを再作成できます。イメージの再作成プロセスでは、分析エンジンが動作しているかどうかをチェックしないため、エラーが発生することなくイメージを再作成できます。
注意 システム イメージ ファイルを使用したイメージの再作成では、すべてのデフォルト設定が復元されます。
詳細情報
• setup コマンドの実行については、「IPS SSP の初期化」を参照してください。
• センサーのイメージの再作成については、「IPS SSP のシステム イメージのインストール」を参照してください。
適用するアップデートの種類と順序
ソフトウェアのサービス パックのバージョンとマイナー/メジャー バージョンは正しいものを使用する必要があります。新しいソフトウェアの適用に関して問題が発生している場合は、適切なアップデートを適切な順序で実行しているかどうかを確認します。
• シグニチャの更新には、ファイル名にリストされている最小バージョンとエンジン バージョンが必要です。
• エンジンの更新には、エンジン更新ファイル名に記載されているメジャー/マイナー バージョンが必要です。サービス パックを適用するには、正しいマイナー バージョンが必要です。
• マイナー バージョンを適用するには、正しいメジャー バージョンが必要です。
• メジャー バージョンを適用するには、前のメジャー バージョンが必要です。
詳細情報
IPS ソフトウェア ファイル名の確認方法を理解するには、「IPS ソフトウェアのバージョン管理」を参照してください。
自動アップデートに関する問題
次のリストに、自動アップデートのトラブルシューティングに役立つ情報を示します。
• TCPDUMP を実行します。
– サービス アカウントを作成します。root に su し、さらにコマンド/コントロール インターフェイスで TCPDUMP を実行して、センサーと FTP サーバとの間のパケットをキャプチャします。
– upgrade コマンドを使用して、センサーを手動でアップグレードします。
– FTP サーバから返されるエラーの TCPDUMP 出力を調べます。
• センサーが正しいディレクトリ内にあることを確認します。ディレクトリを正しく指定する必要があります。これが、Windows FTP サーバにおける問題の原因です。場合によっては、ディレクトリ名の前に余分に「/」を 1 つ、あるいは「/」を 2 つ付ける必要があります。これを確認するには、固有の FTP 接続を介して送信された TCPDUMP 出力に示されているのと同じ FTP コマンドを使用します。
• MS-DOS ファイル構造体ではなく UNIX ファイル構造体をエミュレートするには、Windows FTP サーバ セットアップ オプションを使用する必要があります。
• SCP を使用する場合は、SSH ホスト キーを既知のホスト リストに必ず追加しておきます。
手動による upgrade コマンドを試してから、自動アップデートを試みます。 upgrade コマンドでは動作するが、自動アップデートでは動作しない場合は、次の手順を実行します。
• センサーの IPS ソフトウェア バージョンを特定します。
• 自動アップデートには、必ずパスワードを設定します。自動アップデートのパスワードは、手動アップデートで使用されるパスワードと一致する必要があります。
• FTP サーバ内のファイル名が、Cisco.com の [Downloads] に表示されるものと同じであることを確認します。これには大文字の使用も含まれます。一部の Windows FTP サーバは大文字化されていないファイルへのアクセスを許可しますが、名前が変更されているのでセンサーは最終的にファイルを拒否します。
• 必要に応じて、自動アップデートで TCPDUMP を実行します。正常な手動アップデートを異常な自動アップデートと比較し、そこからトラブルシューティングを行うことができます。
詳細情報
• サービス アカウントを作成するための手順については、「サービス アカウントの作成」を参照してください。
• センサーのイメージを再作成するための手順については、「IPS SSP のシステム イメージのインストール」を参照してください。
• SSH 既知ホスト リストにホストを追加するための手順については、「既知のホスト キーの定義」を参照してください。
• ソフトウェア バージョンを特定するための手順については、「バージョン情報の表示」を参照してください。
センサーに格納されたアップデートを使用してセンサーを更新する
アップデート パッケージをセンサー上の /var ディレクトリに格納し、必要に応じて、そこからセンサーを更新することができます。
センサーに格納されたアップデートを使用してセンサーを更新するには、次の手順を実行します。
ステップ 1
サーバ アカウントにログインします。
ステップ 2 Cisco.com からアップデート パッケージファイルを取得します。
ステップ 3 FTP または SCP を使用して、アップデート ファイルをセンサーの /usr/cids/idsRoot/var ディレクトリに送信します。
ステップ 4 ファイルの権限を設定します。
chmod 644 ips_package_file_name
ステップ 5 サービス アカウントを終了します。
ステップ 6 管理者権限を持つアカウントを使用して次のようにセンサーにログインします。
ステップ 7 センサーのホスト キーを格納します。
sensor# configure terminal
sensor(config)# service ssh
sensor(config-ssh)# rsa1-keys sensor_ip_address
ステップ 8 センサーをアップグレードします。
sensor(config)# upgrade scp://service@sensor_ip_address/upgrade/ips_package_file_name
詳細情報
Cisco IPS ソフトウェアを取得するための手順については、「Cisco IPS ソフトウェアの入手」を参照してください。
情報の収集
次に示す CLI コマンドおよびスクリプトを使用すれば、問題が発生した際にセンサーに関する情報を収集し、センサーの状態を診断することができます。 show tech-support コマンドを使用してすべてのセンサーの情報を収集できます。また、この項にリストしたその他の個別のコマンドを使用して、特定の情報を収集することもできます。次の事項について説明します。
• 「ヘルスおよびネットワーク セキュリティ情報」
• 「技術サポート情報」
• 「バージョン情報」
• 「統計情報」
• 「インターフェイス情報」
• 「イベント情報」
• 「cidDump スクリプト」
• 「Cisco FTP サイトへのファイルのアップロードおよびそのサイト上のファイルへのアクセス」
ヘルスおよびネットワーク セキュリティ情報
特権 EXEC モードで show health コマンドを使用し、センサーのヘルス ステータス情報を表示します。ヘルス ステータスのカテゴリは赤と緑で評価され、赤は重大であることを示します。
注意 センサーが最初に起動すると、通常、センサーが完全に稼動するまで特定のヘルス メトリックのステータスが赤になります。
センサー全体のヘルス ステータスを表示するには、次の手順を実行します。
ステップ 1
CLI にログインします。
ステップ 2 センサーのヘルスおよびセキュリティのステータスを表示します。
Overall Health Status Red
Health Status for Failed Applications Green
Health Status for Signature Updates Green
Health Status for License Key Expiration Red
Health Status for Running in Bypass Mode Green
Health Status for Interfaces Being Down Red
Health Status for the Inspection Load Green
Health Status for the Time Since Last Event Retrieval Green
Health Status for the Number of Missed Packets Green
Health Status for the Memory Usage Not Enabled
Health Status for Global Correlation Red
Health Status for Network Participation Not Enabled
Security Status for Virtual Sensor vs0 Green
show tech-support コマンドについて
show tech-support コマンドはセンサーにおけるすべてのステータスと情報をキャプチャし、現在の設定、バージョン情報、cidDump 情報などが含まれます。出力は、大きくなり 1 MB を超えることもあります。出力はリモート システムに転送できます。
(注) IDM から同様の情報を取得するには、[Monitoring] > [Sensor Monitoring] > [Support Information] > [System Information] を選択します。TAC に連絡する前に、常に show tech-support コマンドを実行します。
詳細情報
リモート システムに出力をコピーするための手順については、「技術サポート情報の表示」を参照してください。
技術サポート情報の表示
システム情報を画面に表示したり、特定の URL に送信したりするには、 show tech-support [ page ] [ destination-url destination_url ] コマンドを使用します。この情報は、トラブルシューティングのツールとして TAC とともに使用できます。
次のパラメータはオプションです。
• page :一度に 1 ページの情報として出力を表示します。
次の行の出力を表示するには Enter を押します。また、次のページの情報を表示するにはスペースキーを使用します。
• destination-url :HTML としてフォーマットし、このコマンドに続く宛先に送信する必要がある情報を示します。このキーワードを使用した場合、出力は画面上には表示されません。
• destination_url :HTML としてフォーマットする必要がある情報を示します。URL は、情報を送信する宛先を示します。このキーワードを使用しない場合、情報は画面上に表示されます。
技術サポート情報を表示するには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 画面上に出力を表示します。システム情報が画面上に一度に 1 ページずつ表示されます。次のページを表示するにはスペースキーを押します。プロンプトに戻るには、Ctrl キーを押した状態で C キーを押します。
sensor# show tech-support page
ステップ 3 出力(HTML フォーマット)をファイルに送信するには、次の手順を実行します。
a. 次のコマンドを入力し、その後に有効な宛先を指定します。 password:
プロンプトが表示されます。
sensor# show tech-support destination-url destination_url
次に示す種類の宛先を指定できます。
• ftp: :FTP ネットワーク サーバの宛先 URL。このプレフィクスの構文は、 ftp:[[//username@location]/relativeDirectory]/filename
または ftp:[[//username@location]//absoluteDirectory]/filename
です。
• scp: :SCP ネットワーク サーバの宛先 URL。このプレフィクスの構文は、 scp:[[//username@]location]/relativeDirectory]/filename
または scp:[[//username@]location]//absoluteDirectory]/filename
です。
たとえば、技術サポート出力をファイル /absolute/reports/sensor1Report.html
に送信するには、次のコマンドを入力します。
sensor# show tech support dest ftp://csidsuser@10.2.1.2//absolute/reports/sensor1Report.html
b. このユーザ アカウントのパスワードを入力します。 Generating report:
メッセージが表示されます。
技術サポート コマンドの出力
show tech-support コマンド出力の例を次に示します。
(注) この出力例は、コマンドの先頭部分を示しており、インターフェイス、ARC、および cidDump サービスに関する情報が表示されています。
sensor# show tech-support page
This Report was generated on Fri Oct 22 14:17:14 2010.
Cisco Intrusion Prevention System, Version 7.1(1)E4
Signature Update S518.0 2010-10-04
Platform: ASA5585-SSP-IPS20
Serial Number: ABC1234DEFG
Licensed, expires: 04-Oct-2011 UTC
Using 10396M out of 11899M bytes of available memory (87% usage)
system is using 25.1M out of 160.0M bytes of available disk space (16% usage)
application-data is using 65.4M out of 171.4M bytes of available disk space (40% usage)
boot is using 56.1M out of 71.7M bytes of available disk space (83% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
MainApp S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
AnalysisEngine S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
CollaborationApp S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
CLI S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
IPS-K9-7.1-1-E4 00:42:07 UTC Thu Oct 21 2010
Recovery Partition Version 1.1 - 7.1(1)E4
Host Certificate Valid from: 21-Oct-2010 to 21-Oct-2012
Output from show interfaces
Total Packets Received = 16872495
Total Bytes Received = 240314624
Missed Packet Percentage = 0
MAC statistics from interface Management0/0
Interface function = Command-control interface
Total Packets Received = 622172
Total Bytes Received = 57697740
show version コマンドについて
show version コマンドは、センサーの基本的な状態を表示します。また、障害が発生している場所を特定できます。次のような情報が提供されます。
• 実行中のアプリケーション
• アプリケーションのバージョン
• ディスクおよびメモリの用途
• アプリケーションのアップグレード履歴
(注) IDM から同様の情報を取得するには、[Monitoring] > [Sensor Monitoring] > [Support Information] > [Diagnostics Report] を選択します。
バージョン情報の表示
インストールされているすべてのオペレーティング システム パッケージ、シグニチャ パッケージ、およびシステムで実行中の IPS プロセスのバージョン情報を表示するには、 show version コマンドを使用します。システム全体の設定を表示するには、 more current-config コマンドを使用します。
バージョンおよび設定を表示するには、次の手順を実行します。
ステップ 1
CLI にログインします。
ステップ 2 バージョン情報を表示します。
Cisco Intrusion Prevention System, Version 7.1(1)E4
Signature Update S518.0 2010-10-04
Platform: ASA5585-SSP-IPS20
Serial Number: ABC1234DEFG
Licensed, expires: 04-Oct-2011 UTC
Using 10378M out of 11899M bytes of available memory (87% usage)
system is using 25.1M out of 160.0M bytes of available disk space (16% usage)
application-data is using 65.4M out of 171.4M bytes of available disk space (40% usage)
boot is using 56.1M out of 71.7M bytes of available disk space (83% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96% usage)
MainApp S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
AnalysisEngine S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
CollaborationApp S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
CLI S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
IPS-K9-7.1-1-E4 00:42:07 UTC Thu Oct 21 2010
Recovery Partition Version 1.1 - 7.1(1)E4
Host Certificate Valid from: 21-Oct-2010 to 21-Oct-2012
(注) --MORE---
というプロンプトが表示された場合、スペースキーを押すと情報がさらに表示され、Ctrl+C を押すと出力がキャンセルされ CLI プロンプトに戻ります。
ステップ 3 設定情報を表示します。
(注) more current-config または show configuration コマンドを使用できます。
sensor# more current-config
! ------------------------------
! Current configuration last modified Fri Oct 22 14:04:10 2010
! ------------------------------
! Signature Update S518.0 2010-10-04
! ------------------------------
! ------------------------------
! ------------------------------
service event-action-rules rules0
! ------------------------------
host-ip 10.89.148.15/24,10.89.148.254
dns-primary-server disabled
dns-secondary-server disabled
dns-tertiary-server disabled
! ------------------------------
! ------------------------------
! ------------------------------
! ------------------------------
service signature-definition sig0
! ------------------------------
! ------------------------------
service trusted-certificates
! ------------------------------
! ------------------------------
service anomaly-detection ad0
! ------------------------------
service external-product-interface
! ------------------------------
! ------------------------------
service global-correlation
! ------------------------------
physical-interface PortChannel0/0
show statistics コマンドについて
センサーのサービスの状態のスナップショットを表示するには、 show statistics コマンドを使用します。次のサービスの統計情報が表示されます。
• 分析エンジン
• 認証
• 拒否攻撃者
• イベント サーバ
• イベント ストア
• ホスト
• ロガー
• Attack Response(旧称 Network Access)
• 通知
• SDEE サーバ
• トランザクション サーバ
• トランザクション ソース
• 仮想センサー
• Web サーバ
(注) IDM から同様の情報を取得するには、[Monitoring] > [Sensor Monitoring] > [Support Information] > [Statistics] を選択します。
統計情報の表示
各センサー アプリケーションの統計情報を表示するには、 show statistics [analysis-engine | anomaly-detection | authentication | denied-attackers | event-server | event-store | external-product-interface | global-correlation | host | logger | network-access | notification | os-identification | sdee-server | transaction-server | virtual-sensor | web-server ] [ clear ] コマンドを使用します。
すべての仮想センサーに対して、これらのコンポーネントの統計情報を表示するには、 show statistics { anomaly-detection | denied-attackers | os-identification | virtual-sensor } [ name | clear ] コマンドを使用します。仮想センサー名を入力した場合、該当する仮想センサーのみの統計情報が表示されます。
(注) clear オプションは、分析エンジン、異常検出、ホスト、ネットワーク アクセス、および OS 識別アプリケーションでは使用できません。
センサーの統計情報を表示するには、次の手順を実行します。
ステップ 1
CLI にログインします。
ステップ 2 分析エンジンの統計情報を表示します。
sensor# show statistics analysis-engine
Analysis Engine Statistics
Number of seconds since service started = 1421127
Measure of the level of current resource utilization = 0
Measure of the level of maximum resource utilization = 0
The rate of TCP connections tracked per second = 0
The rate of packets per second = 0
The rate of bytes per second = 0
Total number of packets processed since reset = 0
Total number of IP packets processed since reset = 0
Total number of packets transmitted = 0
Total number of packets denied = 0
Total number of packets reset = 0
Fragment Reassembly Unit Statistics
Number of fragments currently in FRU = 0
Number of datagrams currently in FRU = 0
TCP Stream Reassembly Unit Statistics
TCP streams currently in the embryonic state = 0
TCP streams currently in the established state = 0
TCP streams currently in the closing state = 0
TCP streams currently in the system = 0
TCP Packets currently queued for reassembly = 0
The Signature Database Statistics.
TCP nodes keyed on both IP addresses and both ports = 0
UDP nodes keyed on both IP addresses and both ports = 0
IP nodes keyed on both IP addresses = 0
Statistics for Signature Events
Number of SigEvents since reset = 0
Statistics for Actions executed on a SigEvent
Number of Alerts written to the IdsEventStore = 0
ステップ 3 異常検出の統計情報を表示します。
sensor# show statistics anomaly-detection
Statistics for Virtual Sensor vs0
Next KB rotation at 10:00:01 UTC Sat Jan 18 2008
Statistics for Virtual Sensor vs1
Next KB rotation at 10:00:00 UTC Sat Jan 18 2008
ステップ 4 認証の統計情報を表示します。
sensor# show statistics authentication
totalAuthenticationAttempts = 128
failedAuthenticationAttempts = 0
ステップ 5 システム内の拒否攻撃者の統計情報を表示します。
sensor# show statistics denied-attackers
Denied Attackers and hit count for each.
Denied Attackers and hit count for each.
Statistics for Virtual Sensor vs0
Denied Attackers with percent denied and hit count for each.
Denied Attackers with percent denied and hit count for each.
Statistics for Virtual Sensor vs1
Denied Attackers with percent denied and hit count for each.
Denied Attackers with percent denied and hit count for each.
ステップ 6 イベント サーバの統計情報を表示します。
sensor# show statistics event-server
ステップ 7 イベント ストアの統計情報を表示します。
sensor# show statistics event-store
General information about the event store
The current number of open subscriptions = 2
The number of events lost by subscriptions and queries = 0
The number of queries issued = 0
The number of times the event store circular buffer has wrapped = 0
Number of events of each type currently stored
Log transaction events = 0
Error events, warning = 67
Alert events, informational = 60
Alert events, medium = 60
ステップ 8 グローバル相関の統計情報を表示します。
sensor# show statistics global-correlation
Total Connection Attempts = 0
Total Connection Failures = 0
Connection Failures Since Last Success = 0
Status Of Last Update Attempt = Disabled
Time Since Last Successful Update = never
Update Failures Since Last Success = 0
Total Update Attempts = 0
Total Update Failures = 0
Update Interval In Seconds = 300
Update Server = update-manifests.ironport.com
Update Server Address = Unknown
Unlicensed = Global correlation inspection and reputation filtering have been
disabled because the sensor is unlicensed.
Action Required = Obtain a new license from http://www.cisco.com/go/license.
ステップ 9 ホストの統計情報を表示します。
sensor# show statistics host
Last Change To Host Config (UTC) = 16:11:05 Thu Feb 10 2008
Command Control Port Device = FastEthernet0/0
fe0_0 Link encap:Ethernet HWaddr 00:0B:46:53:06:AA
inet addr:10.89.149.185 Bcast:10.89.149.255 Mask:255.255.255.128
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1001522 errors:0 dropped:0 overruns:0 frame:0
TX packets:469569 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:57547021 (54.8 Mib) TX bytes:63832557 (60.8 MiB)
Interrupt:9 Base address:0xf400 Memory:c0000000-c0000038
Usage over last 5 seconds = 0
Usage over last minute = 1
Usage over last 5 minutes = 1
Memory usage (bytes) = 500498432
Memory free (bytes) = 894976032
lastDirectoryReadAttempt = 15:26:33 CDT Tue Jun 17 2008
= Read directory: http://tester@198.133.219.243//cisco/ciscosecure/ips/6.x/sigup/
lastDownloadAttempt = 15:26:33 CDT Tue Jun 17 2008
= Download: http://bmarquardt@198.133.219.243//cisco/ciscosecure/ips/6.x/sigup/IPS-
= Error: httpResponse status returned: Unauthorized
nextAttempt = 16:26:30 CDT Tue Jun 17 2008
ステップ 10 ロギング アプリケーションの統計情報を表示します。
sensor# show statistics logger
The number of Log interprocessor FIFO overruns = 0
The number of syslog messages received = 11
The number of <evError> events written to the event store by severity
The number of log messages written to the message log by severity
ステップ 11 ARC の統計情報を表示します。
sensor# show statistics network-access
LogAllBlockEventsAndSensors = true
MaxDeviceInterfaces = 250
Communications = ssh-3des
Communications = ssh-3des
InterfaceName = ethernet0/1
InterfacePostBlock = Post_Acl_Test
InterfaceName = ethernet0/1
InterfacePreBlock = Pre_Acl_Test
InterfacePostBlock = Post_Acl_Test
InterfacePreBlock = Pre_Acl_Test
InterfacePostBlock = Post_Acl_Test
AclSupport = Does not use ACLs
AclSupport = Does not use ACLs
AclSupport = Does not use ACLs
AclSupport = uses Named ACLs
ステップ 12 通知アプリケーションの統計情報を表示します。
sensor# show statistics notification
Number of SNMP set requests = 0
Number of SNMP get requests = 0
Number of error traps sent = 0
Number of alert traps sent = 0
ステップ 13 OS 識別の統計情報を表示します。
sensor# show statistics os-identification
Statistics for Virtual Sensor vs0
ステップ 14 SDEE サーバの統計情報を表示します。
sensor# show statistics sdee-server
Blocked Subscriptions = 0
Maximum Available Subscriptions = 5
Maximum Events Per Retrieval = 500
ステップ 15 トランザクション サーバの統計情報を表示します。
sensor# show statistics transaction-server
totalControlTransactions = 35
failedControlTransactions = 0
ステップ 16 仮想センサーの統計情報を表示します。
sensor# show statistics virtual-sensor vs0
Statistics for Virtual Sensor vs0
Name of current Signature-Definition instance = sig0
Name of current Event-Action-Rules instance = rules0
List of interfaces monitored by this virtual sensor =
General Statistics for this Virtual Sensor
Number of seconds since a reset of the statistics = 1421711
Measure of the level of resource utilization = 0
Total packets processed since reset = 0
Total IP packets processed since reset = 0
Total packets that were not IP processed since reset = 0
Total TCP packets processed since reset = 0
Total UDP packets processed since reset = 0
Total ICMP packets processed since reset = 0
Total packets that were not TCP, UDP, or ICMP processed since reset =
Total ARP packets processed since reset = 0
Total ISL encapsulated packets processed since reset = 0
Total 802.1q encapsulated packets processed since reset = 0
Total packets with bad IP checksums processed since reset = 0
Total packets with bad layer 4 checksums processed since reset = 0
Total number of bytes processed since reset = 0
The rate of packets per second since reset = 0
The rate of bytes per second since reset = 0
The average bytes per packet since reset = 0
Denied Address Information
Number of Active Denied Attackers = 0
Number of Denied Attackers Inserted = 0
Number of Denied Attacker Victim Pairs Inserted = 0
Number of Denied Attacker Service Pairs Inserted = 0
Number of Denied Attackers Total Hits = 0
Number of times max-denied-attackers limited creation of new entry = 0
Number of exec Clear commands during uptime = 0
Denied Attackers and hit count for each.
Denied Attackers with percent denied and hit count for each.
The Signature Database Statistics.
The Number of each type of node active in the system (can not be reset
TCP nodes keyed on both IP addresses and both ports = 0
UDP nodes keyed on both IP addresses and both ports = 0
IP nodes keyed on both IP addresses = 0
The number of each type of node inserted since reset
TCP nodes keyed on both IP addresses and both ports = 0
UDP nodes keyed on both IP addresses and both ports = 0
IP nodes keyed on both IP addresses = 0
The rate of nodes per second for each time since reset
TCP nodes keyed on both IP addresses and both ports per second = 0
UDP nodes keyed on both IP addresses and both ports per second = 0
IP nodes keyed on both IP addresses per second = 0
The number of root nodes forced to expire because of memory constraint
TCP nodes keyed on both IP addresses and both ports = 0
Packets dropped because they would exceed Database insertion rate limit
Fragment Reassembly Unit Statistics for this Virtual Sensor
Number of fragments currently in FRU = 0
Number of datagrams currently in FRU = 0
Number of fragments received since reset = 0
Number of fragments forwarded since reset = 0
Number of fragments dropped since last reset = 0
Number of fragments modified since last reset = 0
Number of complete datagrams reassembled since last reset = 0
Fragments hitting too many fragments condition since last reset = 0
Number of overlapping fragments since last reset = 0
Number of Datagrams too big since last reset = 0
Number of overwriting fragments since last reset = 0
Number of Initial fragment missing since last reset = 0
Fragments hitting the max partial dgrams limit since last reset = 0
Fragments too small since last reset = 0
Too many fragments per dgram limit since last reset = 0
Number of datagram reassembly timeout since last reset = 0
Too many fragments claiming to be the last since last reset = 0
Fragments with bad fragment flags since last reset = 0
TCP Normalizer stage statistics
Dropped packets from queue = 0
Dropped packets due to deny-connection = 0
Current Streams Closed = 0
Current Streams Closing = 0
Current Streams Embryonic = 0
Current Streams Established = 0
Current Streams Denied = 0
Statistics for the TCP Stream Reassembly Unit
Current Statistics for the TCP Stream Reassembly Unit
TCP streams currently in the embryonic state = 0
TCP streams currently in the established state = 0
TCP streams currently in the closing state = 0
TCP streams currently in the system = 0
TCP Packets currently queued for reassembly = 0
Cumulative Statistics for the TCP Stream Reassembly Unit since reset
TCP streams that have been tracked since last reset = 0
TCP streams that had a gap in the sequence jumped = 0
TCP streams that was abandoned due to a gap in the sequence = 0
TCP packets that arrived out of sequence order for their stream = 0
TCP packets that arrived out of state order for their stream = 0
The rate of TCP connections tracked per second since reset = 0
SigEvent Preliminary Stage Statistics
Number of Alerts received = 0
Number of Alerts Consumed by AlertInterval = 0
Number of Alerts Consumed by Event Count = 0
Number of FireOnce First Alerts = 0
Number of FireOnce Intermediate Alerts = 0
Number of Summary First Alerts = 0
Number of Summary Intermediate Alerts = 0
Number of Regular Summary Final Alerts = 0
Number of Global Summary Final Alerts = 0
Number of Active SigEventDataNodes = 0
Number of Alerts Output for further processing = 0
SigEvent Action Override Stage Statistics
Number of Alerts received to Action Override Processor = 0
Number of Alerts where an override was applied = 0
deny-attacker-victim-pair-inline = 0
deny-attacker-service-pair-inline = 0
deny-connection-inline = 0
produce-verbose-alert = 0
request-block-connection = 0
SigEvent Action Filter Stage Statistics
Number of Alerts received to Action Filter Processor = 0
Number of Alerts where an action was filtered = 0
Number of Filter Line matches = 0
Number of Filter Line matches causing decreased DenyPercentage = 0
deny-attacker-victim-pair-inline = 0
deny-attacker-service-pair-inline = 0
deny-connection-inline = 0
produce-verbose-alert = 0
request-block-connection = 0
SigEvent Action Handling Stage Statistics.
Number of Alerts received to Action Handling Processor = 0
Number of Alerts where produceAlert was forced = 0
Number of Alerts where produceAlert was off = 0
deny-attacker-victim-pair-inline = 0
deny-attacker-service-pair-inline = 0
deny-connection-inline = 0
produce-verbose-alert = 0
ステップ 17 Web サーバの統計情報を表示します。
sensor# show statistics web-server
number of server session requests handled = 61
number of server session requests rejected = 0
total HTTP requests handled = 35
maximum number of session objects allowed = 40
number of idle allocated session objects = 10
number of busy allocated session objects = 0
crypto library version = 6.0.3
ステップ 18 アプリケーション(ロギング アプリケーションなど)の統計情報をクリアします。統計情報は取得された後、クリアされます。
sensor# show statistics logger clear
The number of Log interprocessor FIFO overruns = 0
The number of syslog messages received = 141
The number of <evError> events written to the event store by severity
The number of log messages written to the message log by severity
ステップ 19 統計情報がクリアされたことを確認します。統計情報はすべて 0 から開始されます。
sensor# show statistics logger
The number of Log interprocessor FIFO overruns = 0
The number of syslog messages received = 0
The number of <evError> events written to the event store by severity
The number of log messages written to the message log by severity
show interfaces コマンドについて
show interfaces コマンドにより次の情報を把握することができます。
• インターフェイスがアップ状態かダウン状態かどうか
• パケットが監視されているかどうか、どのインターフェイスでそれが行われるかどうか
• SensorApp によってパケットがドロップされているかどうか
• パケット ドロップを生じるようなエラーがインターフェイスによってレポートされているかどうか
show interfaces コマンドは、すべてのシステム インターフェイスの統計情報を表示します。また、個別のコマンドを使用して、コマンド/コントロール インターフェイス( show interfaces command_control_interface_name )やセンシング インターフェイス( show interfaces interface_name )の統計情報を表示できます。
インターフェイス コマンドの出力
次に、 show interfaces コマンドの出力例を示します。
Total Packets Received = 15389221
Total Bytes Received = 18446744073559969280
Missed Packet Percentage = 0
MAC statistics from interface Management0/0
Interface function = Command-control interface
Total Packets Received = 554088
Total Bytes Received = 52105105
Total Multicast Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 750113
Total Bytes Transmitted = 776942561
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface PortChannel0/0
Interface function = Sensing interface
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Admin Enabled Status = Enabled
Missed Packet Percentage = 0
Total Packets Received = 15389221
Total Bytes Received = 4145384960
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 91518
Total Undersize Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 15388390
Total Bytes Transmitted = 4144934528
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 91518
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface Management0/1
Interface function = Reserved for future use
センサーのイベント
5 種類のイベントがあります。
• evAlert:侵入検知アラート
• evError:アプリケーション エラー
• evStatus:ステータスの変更(IP ログの作成など)
• evLogTransaction:各センサー アプリケーションによって処理されるコントロール トランザクションのレコード
• evShunRqst:ブロックの要求
イベントは、新しいイベントによって上書きされるまでイベント ストアにとどまります。
show events コマンドについて
show events コマンドは、Event Viewer または Security Monitor でイベントを確認できないといった、イベント キャプチャの問題をトラブルシューティングするために役立ちます。 show events コマンドを使用すれば、イベントが生成されていることを確認するためにセンサー上でどのイベントが生成されているかを特定し、モニタ側に障害があるかどうかを判定することができます。イベント ストアからすべてのイベントをクリアするには、 clear events コマンドを使用します。
ここで、 show events コマンドのパラメータを示します。
alert Display local system alerts.
error Display error events.
hh:mm[:ss] Display start time.
nac Display NAC shun events.
past Display events starting in the past specified time.
status Display status events.
イベントの表示
イベント ストアのイベントを表示するには、 show events [{ alert [informational] [low] [medium] [high] [ include-traits traits ] [ exclude-traits traits ] [ min-threat-rating min-rr ] [ max-threat-rating max-rr ] | error [warning] [error] [fatal] | NAC | status }] [ hh:mm:ss [ month day [ year ]] | past hh:mm:ss ] コマンドを使用します。
開始時刻からのイベントが表示されます。開始時刻を指定しない場合は、現在時刻からのイベントが表示されます。イベント タイプを指定しない場合、すべてのイベントが表示されます。
(注) イベントは、ライブ フィードとして表示されます。要求をキャンセルするには、Ctrl キーを押した状態で C キーを押します。
次のオプションが適用されます。
• alert :アラートを表示します。攻撃が進行中であるか試みられたことを示す可能性がある、ある種の疑わしいアクティビティを通知します。alert イベントは、シグニチャがネットワーク アクティビティによってトリガーされるたびに、分析エンジンによって生成されます。レベル(informational、low、medium、または high)が選択されていない場合、すべての alert イベントが表示されます。
• include-traits :指定された特性を持つアラートを表示します。
• exclude-traits :指定された特性を持つアラートを表示しません。
• traits :特性ビットの位置(0 ~ 15 の 10 進数)。
• min-threat-rating :この値以上の脅威レーティングを持つイベントを表示します。デフォルトは 0 です。有効な範囲は 0 ~ 100 です。
• max-threat-rating:この値以下の脅威レーティングを持つイベントを表示します。デフォルトは 100 です。有効な範囲は 0 ~ 100 です。
• error :error イベントを表示します。error イベントは、エラー条件が発生したときにサービスによって生成されます。レベル(warning、error、または fatal)が選択されていない場合、すべての error イベントが表示されます。
• NAC :ARC(ブロック)要求を表示します。
(注) ARC は、以前は NAC と呼ばれていました。この名前の変更は、Cisco IPS 7.1 の IDM、IME、および CLI 全体で完全に実装されているわけではありません。
• status :status イベントを表示します。
• past :指定された時、分、および秒だけさかのぼった時刻からのイベントを表示します。
• hh:mm:ss :表示の開始をさかのぼる時、分、秒。
(注) show events コマンドは、指定されたイベントが使用できるようになるまで、イベントを表示し続けます。終了するには、Ctrl キーを押した状態で C キーを押します。
イベント ストアのイベントを表示するには、次の手順を実行します。
ステップ 1
CLI にログインします。
ステップ 2 現在から開始されるすべてのイベントを表示します。フィードは Ctrl+C を押すまで、すべてのイベントを表示し続けます。
evError: eventId=1041472274774840147 severity=warning vendor=Cisco
time: 2008/01/07 04:41:45 2008/01/07 04:41:45 UTC
errorMessage: name=errWarning received fatal alert: certificate_unknown
evError: eventId=1041472274774840148 severity=error vendor=Cisco
time: 2008/01/07 04:41:45 2008/01/07 04:41:45 UTC
errorMessage: name=errTransport WebSession::sessionTask(6) TLS connection exception: handshake incomplete.
ステップ 3 2008 年 2 月 9 日 10:00 a.m. からのブロック要求を表示します。
sensor# show events NAC 10:00:00 Feb 9 2008
evShunRqst: eventId=1106837332219222281 vendor=Cisco
appName: NetworkAccessControllerApp
time: 2008/02/09 10:33:31 2008/08/09 13:13:31
host: connectionShun=false
protocol: numericType=0 other
evAlertRef: hostId=esendHost 123456789012345678
ステップ 4 2008 年 2 月 9 日 10:00 a.m. からの warning レベルのエラーを表示します。
sensor# show events error warning 10:00:00 Feb 9 2008
evError: eventId=1041472274774840197 severity=warning vendor=Cisco
time: 2008/01/07 04:49:25 2008/01/07 04:49:25 UTC
errorMessage: name=errWarning received fatal alert: certificate_unknown
ステップ 5 45 秒さかのぼった時刻からのアラートを表示します。
sensor# show events alert past 00:00:45
evIdsAlert: eventId=1109695939102805307 severity=medium vendor=Cisco
time: 2008/03/02 14:15:59 2008/03/02 14:15:59 UTC
signature: description=Nachi Worm ICMP Echo Request id=2156 version=S54
addr: locality=OUT 10.89.228.202
addr: locality=OUT 10.89.150.185
evIdsAlert: eventId=1109695939102805308 severity=medium vendor=Cisco
ステップ 6 30 秒さかのぼった時刻からのイベントを表示します。
sensor# show events past 00:00:30
evStatus: eventId=1041526834774829055 vendor=Cisco
time: 2008/01/08 02:41:00 2008/01/08 02:41:00 UTC
controlTransaction: command=getVersion successful=true
description: Control transaction response.
evStatus: eventId=1041526834774829056 vendor=Cisco
time: 2008/01/08 02:41:00 2008/01/08 02:41:00 UTC
description: session opened for user cisco by cisco(uid=0)
イベントのクリア
イベント ストアをクリアするには、 clear events コマンドを使用します。
イベント ストアからイベントをクリアするには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 イベント ストアをクリアします。
Warning: Executing this command will remove all events currently stored in the event store.
ステップ 3 イベントをクリアする場合は、 yes と入力します。
cidDump スクリプト
IDM、IME または CLI にアクセスしなくても、ルートとしてログインし /usr/cids/idsRoot/bin/cidDump を実行することにより、サービス アカウントから基本的なスクリプトである cidDump を実行できます。cidDump ファイルのパスは /usr/cids/idsRoot/htdocs/private/cidDump.html です。
cidDump は大量の情報をキャプチャするスクリプトです。この情報には、IPS プロセス リスト、ログ ファイル、OS 情報、ディレクトリ リスト、パッケージ情報、設定ファイルなどがあります。
cidDump スクリプトを実行するには、次の手順を実行します。
ステップ 1
センサーのサービス アカウントにログインします。
ステップ 2 サービス アカウント パスワードを使用して root に su します。
ステップ 3 次のコマンドを入力します。
/usr/cids/idsRoot/bin/cidDump
ステップ 4 生成された /usr/cids/idsRoot/log/cidDump.html ファイルを圧縮するには、次のコマンドを入力します。
gzip /usr/cids/idsRoot/log/cidDump.html
ステップ 5 問題がある場合は、生成された HTML ファイルを TAC または IPS の開発者に送信します。
詳細情報
Cisco FTP サイト上にファイルを配置するための手順については、「Cisco FTP サイトへのファイルのアップロードおよびそのサイト上のファイルへのアクセス」を参照してください。
Cisco FTP サイトへのファイルのアップロードおよびそのサイト上のファイルへのアクセス
大きなファイル(cidDump.html、 show tech-support コマンドの出力、コア ファイルなど)を ftp-sj サーバにアップロードできます。
Cisco FTP サイトへのファイルのアップロードおよび Cisco FTP サイトのファイルへのアクセスを行うには、次の手順に従います。
ステップ 1
ftp-sj.cisco.com に匿名でログインします。
ステップ 2 /incoming というディレクトリに変更します。
ステップ 3 put コマンドを使用してファイルをアップロードします。必ずバイナリ転送タイプを使用します。
ステップ 4 アップロードされたファイルにアクセスするには、ECS でサポートされたホストにログインします。
ステップ 5 /auto/ftp/incoming ディレクトリに変更します。