anomaly-detection load
KB ファイルを、指定した仮想センサーの現行の KB として設定するには、EXEC モードで anomaly-detection load コマンドを使用します。
anomaly-detection virtual-sensor load [ initial | file name ]
構文の説明
virtual-sensor |
仮想センサー。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。 |
initial |
初期の KB。 |
file |
既存の KB ファイル。 |
name |
KB ファイル名。1 ~ 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者
使用上のガイドライン
(注) このコマンドは、IPS 固有です。Release12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、現行の KB ファイルとして 2012-Mar-16-10_00_00 をロードします。
sensor# anomaly-detection vs0 load file 2012-Mar-16-10_00_00
anomaly-detection save
現行の異常検出 KB ファイルを取得してローカルに保存するには、EXEC モードで anomaly-detection save コマンドを使用します。
anomaly-detection virtual-sensor save [ new-name ]
構文の説明
virtual-sensor |
仮想センサー。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。 |
new-name |
(任意)新しい KB ファイル名。最大 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。 |
デフォルト
デフォルトで生成されるファイル名は YYYY-Mon-dd-hh_mm_ss です。 Mon は現在の月を示す 3 文字の省略形です。
コマンド モード
EXEC
管理者
使用上のガイドライン
このコマンドの実行時に異常検出がアクティブでない場合、エラーが表示されます。初期の KB ファイルを上書きすることはできません。KB ファイル名がすでに存在する場合は、新しい名前を選択するか、デフォルトを使用して古い KB を上書きします。
KB ファイルに使用できるサイズには、制限があります。新しい KB が生成され、この制限に到達すると、最も古い KB は(現行ファイルでも初期ファイルでもない場合)が削除されます。
(注) このコマンドは、IPS 固有です。Release 12.0 以前に、関連する IOS コマンドはありません。
例
次の例では、現行の KB を保存し、my-kb として保管します。
sensor# anomaly-detection vs0 save my-kb
attemptLimit
特定の回数に達するまでログインの試行に失敗したユーザが試行を続けられないようアカウントをロックするには、認証サブモードで attemptLimit number コマンドを使用します。デフォルトは 0 です。これは無制限の認証試行を示します。セキュリティのために、この数値を変更する必要があります。
attemptLimit number
構文の説明
attemptLimit |
ユーザがセンサーへのログインを試行できる回数の制限値を設定します。 |
number |
アカウントがロックされるまでの試行の失敗回数を指定します。 |
デフォルト
デフォルト値については、構文の説明の表を参照してください。
コマンド モード
グローバル コンフィギュレーション
管理者
使用上のガイドライン
attemptLimit コマンドは、アカウントがロックされるまでユーザがセンサーへのログインを試行できる回数の制限値を設定する方法を管理者に提供します。ロックされたアカウントは、show users all 出力内のカッコに示されます。
アカウント ロックを設定すると、ローカル認証だけでなく RADIUS 認証も影響を受けます。ローカルなログインまたは RADIUS アカウントへのログイン失敗が指定された試行回数に達すると、アカウントはセンサー上でローカルにロックされます。
例
次の例は、3 回に試行回数を設定します。
sensor# configure terminal
sensor(config)# service authentication
sensor(config-aut)# attemptLimit 3
関連コマンド
|
|
unlock user |
一定の回数に達するまで試行に失敗したためにユーザがロックされた場合、ローカル アカウントおよび RADIUS アカウントのロックを解除します。 |
show users all |
センサーのアカウントのあるすべてのユーザを表示します。 |
autoupdatenow
センサーに随時更新を適用するには、グローバル コンフィギュレーション モードで autoupdatenow コマンドを使用します。
autoupdatenow
構文の説明
このコマンドには引数またはキーワードはありません。
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
グローバル コンフィギュレーション
管理者
使用上のガイドライン
autoupdatenow コマンドを使用して、センサーで即時更新を実行します。このコマンドがセンサーの更新を即時に実行することを示す警告を受信します。スケジュールされた自動更新が必要ない場合は、このコマンドを実行した後で、ホスト サービス サブモードの自動アップグレードの設定で user-server/cisco-server オプションをディセーブルにします。
注意 autoupdatenow コマンドの実行中は、CLI、IDM、または IME を使用できません。また、アップグレードが完了するまで新しいセッションを開始できません。自動更新が進行中の間は、コマンドを実行しないでください。結果を確認して、他のコマンドを実行する前に最低 5 分以上待ちます。
(注) cisco.com から自動更新をダウンロードするには、DNS または HTTP プロキシ サーバを設定している必要があります。
(注) 自動更新が設定されており、更新を適用するための有効なライセンスを所有している必要があります。
(注) このコマンドは、Cisco IOS 12.0 以前にはありません。
例
次の例は、自動アップグレードをただちに適用するようにセンサーを促します。
Warning: Executing this command will perform an auto-upgrade on the sensor immediately.
Before executing this command, you must have a valid license to apply the Signature
AutoUpdates and auto-upgrade settings configured.After executing this command please
disable user-server/cisco-server inside 'auto-upgrade' settings, if you don't want
関連コマンド
|
|
auto-upgrade-option |
自動アップグレードを設定します。 |
show statistics host |
自動更新が行われたことを確認します。 |
banner login
端末画面に表示するバナーメッセージを作成するには、グローバル コンフィギュレーション モードで banner login コマンドを使用します。ログイン バナーを削除するには、このコマンドの no 形式を使用します。バナー メッセージは、ユーザが CLI にアクセスしたときに、ユーザ名プロンプトとパスワード プロンプトの前に表示されます。
banner login
no banner login
構文の説明
このコマンドには引数またはキーワードはありません。
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
グローバル コンフィギュレーション
管理者
使用上のガイドライン
banner login コマンドによって、端末画面に表示される 2500 文字までのテキスト メッセージを作成できます。このメッセージは、CLI にアクセスすると表示されます。Ctrl+V キーを押してから改行または疑問符(?)を入力することによって、改行または疑問符をメッセージに含めることができます。改行は、作成したテキストメッセージでは ^M と表示されますが、ユーザに対してメッセージが表示されるときは、実際の改行として表示されます。
Message
プロンプトで Ctrl+C キーを押すと、メッセージの要求がキャンセルされます。
(注) このコマンドの形式は、Cisco IOS Release 12.0 の実装とは異なります。
例
次の例は、ログイン時に端末画面に表示されるメッセージを作成します。
sensor(config)# banner login
Banner[]:
This message will be displayed on login. ^M Thank you!
ログイン時に、次のメッセージが表示されます。
This message will be displayed on login.
block host
ホストをブロックするには、EXEC モードで block host コマンドを使用します。ホストのブロックを削除するには、このコマンドの no 形式を使用します。
block host ip-address [timeout minutes ]
no block host ip-address
構文の説明
ip-address |
ブロックするホストの IP アドレス。 |
timeout |
(任意)ホスト ブロックのタイムアウトを指定します。 |
minutes |
(任意)ホスト ブロックの期間(分単位)。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
使用上のガイドライン
このコマンドを使用して、手動のホスト ブロックを追加します。タイムアウトを指定しない場合、ブロックは無期限になります。
(注) このコマンドは、Cisco IOS Release 12.0 以前にはありません。
例
次の例は、IP アドレス 10.2.3.1 を持つホストをブロックします。
sensor#
block host 10.2.3.1
sensor#
関連コマンド
|
|
block network |
ネットワークをブロックします。 |
block connection |
接続ブロックを実行します。 |
block network
ネットワークをブロックするには、EXEC モードで block network コマンドを使用します。ネットワークのブロックを削除するには、このコマンドの no 形式を使用します。
block network ip-address/netmask [timeout minutes ]
no block network ip-address/netmask
構文の説明
ip-address/netmask |
ネットワークのサブネットは X.X.X.X./nn 形式でブロックされます。 X.X.X.X は、ピリオドで区切られた 4 オクテットで記述される 32 ビット アドレスのセンサーの IP アドレスです。X は 0 ~ 255 です。 nn は、ネットマスクのビット数(1 ~ 32)を示します。 |
timeout |
(任意)ネットワーク ブロックのタイムアウトを指定します。 |
minutes |
(任意)ネットワーク ブロックの期間(分単位)。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
使用上のガイドライン
このコマンドを使用して、手動のネットワーク ブロックを追加します。タイムアウトを指定しない場合、ブロックは無期限になります。
(注) このコマンドは、Cisco IOS Release 12.0 以前にはありません。
例
次の例は、10.0.0.0/255.0.0.0 のサブネットを持つホストをブロックします。
sensor#
block network 10.0.0.0/8
sensor#
関連コマンド
|
|
block host |
ホストをブロックします。 |
block connection |
接続ブロックを実行します。 |
block connection
接続をブロックするには、EXEC モードで block connection コマンドを使用します。接続のブロックを削除するには、このコマンドの no 形式を使用します。
block connection source-ip-address destination-ip-address [port port-number ] [protocol type ] [timeout minutes ]
no block connection source-ip-address
構文の説明
source-ip-address |
接続ブロックの送信元 IP アドレス。 |
destination-ip-address |
接続ブロックの宛先 IP アドレス。 |
port |
(任意)接続ブロックのポートを指定します。 |
port-number |
(任意)宛先ポート番号。有効な範囲は 0 ~ 65535 です。 |
protocol |
(任意)接続ブロックのプロトコルを指定します。 |
type |
(任意)プロトコル タイプ。有効なタイプは、TCP または UDP です。 |
timeout |
(任意)接続ブロックのタイムアウトを指定します。 |
minutes |
(任意)接続ブロックの期間(分単位)。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
使用上のガイドライン
このコマンドを使用して、手動の接続ブロックを追加します。タイムアウトを指定しない場合、ブロックは無期限になります。
(注) このコマンドは、Cisco IOS Release 12.0 以前にはありません。
例
次の例は、宛先ポート 80、プロトコル TCP、および 30 分のタイムアウト時間の送信元 IP アドレス 10.2.3.1 と宛先 IP アドレス 11.2.3.1 との接続をブロックします。
sensor#
block connection 172.16.0.1 192.168.0.1 port 80 protocol tcp timeout 30
sensor#
関連コマンド
|
|
block host |
ホストをブロックします。 |
block network |
ネットワークをブロックします。 |
clear database
所定の仮想センサーのノード、アラート、インスペクタ、またはデータベース全体をクリアするには、EXEC モードで clear database コマンドを使用します。
clear database nodes コマンドを使用して、パケット ノード、TCP セッション情報、インスペクタ リストを含め、パケット データベース要素全体をクリアします。 clear database inspectors コマンドを使用して、ノード内に含まれるインスペクタ リストをクリアします。これは、TCP セッション情報またはノードをクリアしません。インスペクタ リストは、センサーの動作中に収集されたパケット作業と観察を表します。 clear database alerts コマンドを使用して、アラート ノード、メタ インスペクタ情報、サマリー状態、イベント カウント構造を含む、アラート データベース情報をクリアします。このコマンドは、サマリー アラートを廃棄します。
clear database [ virtual-sensor ] all | nodes | alerts | inspectors
構文の説明
virtual-sensor |
センサーに設定されている仮想センサーの名前。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。仮想センサー名を指定しない場合、すべての仮想センサー データベースがクリアされます。 |
all |
特定の仮想センサーのデータベース全体をクリアします。 |
nodes |
パケット ノード、TCP セッション情報、インスペクタ リストを含め、パケット データベース要素全体をクリアします。 |
alerts |
アラート ノード、メタ インスペクタ情報、サマリー状態、イベント カウント構造を含む、アラート データベース情報をクリアします。このコマンドによって、サマリー アラートは廃棄されます。 |
inspectors |
特定の仮想センサーのインスペクタ リストをクリアします。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
使用上のガイドライン
TAC の指示があった場合、またはテストなどで累積した状態の情報をクリアしてクリーンな状態で開始する場合を除いて、このコマンドを使用しないでください。
(注) このコマンドは、Cisco IOS Release 12.0 以前にはありません。
例
次の例は、ノード データベースをクリアします。
sensor#
clear database nodes
Warning: Executing this command will delete database on all virtual sensors
sensor#
関連コマンド
|
|
show statistics denied-attackers |
拒否された攻撃者のリストを表示します。 |
clear denied-attackers
現在の拒否 IP アドレスのリストを削除するには、EXEC モードで clear denied-attackers コマンドを使用します。
clear denied-attackers [ virtual-sensor ] [ ip-address ip-address ]
構文の説明
virtual-sensor |
(任意)センサーで設定する仮想センサーの名前。クリア操作は、特定された仮想センサーに関連付けられた学習済みアドレスに制限されます。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。仮想センサー名を指定しない場合、拒否されたすべての攻撃者がクリアされます。 |
ip-address |
(任意)クリアする IP アドレスを指定します。 |
ip-address |
仮想センサーを指定すると、要求した仮想センサーだけを対象に IP アドレスがクリアされます。仮想センサー名を指定しないと、すべての仮想センサー上で IP アドレスがクリアされます。IP アドレスは IPv4 または IPv6 形式にできます。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者
コマンド履歴
|
|
5.0(1) |
このコマンドが導入されました。 |
6.0(1) |
オプションの virtual-sensor および ip-address パラメータが追加されました。 |
6.2(0) |
ip-address パラメータに対する IPv4 および IPv6 両方のサポートが追加されました。 |
使用上のガイドライン
clear denied-attackers コマンドによって、拒否する攻撃者のリストをクリアし、以前拒否した IP アドレスとの通信を復元できます。このリストの IP アドレスを個別に選択し、削除することはできません。拒否する攻撃者のリストをクリアすると、リストからすべての IP アドレスが削除されます。
仮想センサーと IP アドレスは任意です。仮想センサー名を指定すると、要求した仮想センサーだけを対象に IP アドレスがクリアされます。仮想センサー名を指定しないと、すべての仮想センサー上で IP アドレスがクリアされます。
(注) このコマンドは、Cisco IOS Release 12.0 以前にはありません。
例
次の例は、拒否された攻撃者リストからすべての IP アドレスを削除します。
sensor#
clear denied-attackers
Warning: Executing this command will delete all addresses from the list of attackers currently being denied by the sensor.
Continue with clear? [yes]:
yes
次の例は、仮想センサー vs0 に関連付けられた、拒否された攻撃者のリストのすべてのエントリをクリアします。
sensor#
clear denied-attackers vs0
Warning: Executing this command will delete all addresses from the list of attackers being denied by virtual sensor vs0.
Continue with clear? [yes]:
yes
次の例は、仮想センサー vs0 に関連付けられた、拒否された攻撃者のリストから IP アドレス 10.1.1.1 をクリアします。
sensor#
clear denied-attackers vs0 ip-address 10.1.1.1
Warning: Executing this command will delete ip address 10.1.1.1 from the list of attackers being denied by virtual sensor vs0.
Continue with clear? [yes]:
yes
関連コマンド
|
|
show statistics denied-attackers |
拒否された攻撃者のリストを表示します。 |
clear events
イベント ストアをクリアするには、EXEC モードで clear events コマンドを使用します。
clear events
構文の説明
このコマンドには引数またはキーワードはありません。
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者
使用上のガイドライン
このコマンドを使用して、イベント ストアからすべてのイベントをクリアします。
(注) このコマンドは、IPS 固有です。Release 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、イベント ストアをクリアします。
Warning: Executing this command will remove all events currently stored in the event store.
Continue with clear? []:
yes
clear line
別の CLI セッションを終了するには、EXEC モードで clear line コマンドを使用します。
clear line cli-id [ message ]
構文の説明
cli-id |
ログイン セッションに関連付けられた CLI ID 番号。 show users コマンドを参照してください。 |
message |
(任意) message を選択した場合、メッセージを受信するユーザに送信する内容を入力するように求めるプロンプトが表示されます。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
コマンド履歴
管理者、オペレータ、ビューア
(注) オペレータおよびビューアは、現在のログインと同じユーザ名のある行しかクリアできません。
使用上のガイドライン
clear line コマンドを使用して、別の回線で実行中の特定のセッションをログアウトさせます。終了しようとするログイン セッションの端末に表示するメッセージ(オプション)を指定するには、 message キーワードを使用します。Ctrl+C キーは要求をキャンセルし、改行によって指定したメッセージとともに要求が送信されます。メッセージの最大長は 2550 文字です。Ctrl+V の後に改行を入力すると、メッセージ テキストに改行を含めることができます。
clear line コマンドを使用して、サービスアカウントのログインをクリアすることはできません。
(注) message キーワードは、このコマンドの Cisco IOS Release 12.0 バージョンではサポートされていません。
例
次の例は、最大セッション数に達した後、管理者権限を持つユーザがログインしようとしたときに表示される出力を示します。
Error: The maximum allowed CLI sessions are currently open, would you like to terminate one of the open sessions? [no]
yes
1253 admin1 administrator
Enter the CLI ID to clear:
1253
Message:
Sorry! I need access to the system, so I am terminating your session.
次の例は、admin1 の端末に表示されるメッセージを示します。
Termination request from Admin0
Sorry! I need access to the system, so I am terminating your session.
次の例は、最大セッション数に達した後、オペレータまたはビューア権限を持つユーザがログインしようとしたときに表示される出力を示します。
Error: The maximum allowed CLI sessions are currently open, please try again later.
関連コマンド
|
|
show users |
CLI にログインしているユーザに関する情報を表示します。 |
clear os-identification
センサーが受動分析によって学習した IP アドレスとの OS ID アソシエーションを削除するには、EXEC モードで clear os-identification コマンドを使用します。
clear os-identification [ virtual-sensor ] learned [ ip-address ]
構文の説明
virtual-sensor |
(任意)センサーで設定する仮想センサーの名前。クリア操作は、特定された仮想センサーに関連付けられた学習済みアドレスに制限されます。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。 |
learned |
(任意)クリアする学習済みの IP アドレスを指定します。 |
ip-address |
(任意)クリアする IP アドレス。センサーは、指定された IP アドレスにマッピングされた OS ID をクリアします。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ
使用上のガイドライン
仮想センサーと IP アドレスは任意です。IP アドレスを指定すると、指定した IP アドレスの OS ID だけがクリアされます。IP アドレスを指定しないと、学習した OS ID がすべてクリアされます。
仮想センサーを指定すると、指定した仮想センサーの OS ID だけがクリアされます。仮想センサーを指定しないと、すべての仮想センサーの学習した OS ID がクリアされます。仮想センサーなしで IP アドレスを指定した場合は、すべての仮想センサーで IP アドレスがクリアされます。
例
次の例は、すべての仮想センサーを対象に IP アドレス 10.1.1.12 の学習した OS ID をクリアします。
sensor# clear os-identification learned 10.1.1.12
関連コマンド
|
|
show statistics os-identification |
OS ID に関する統計情報を表示します。 |
show os-identification |
OS ID のリストを示します。 |
clock set
アプライアンスのシステム クロックを手動で設定するには、EXEC モードで clock set コマンドを使用します。
clock set hh:mm[:ss] month day year
構文の説明
hh:mm[:ss] |
現在の時間(24 時間形式)、分、および秒。 |
month |
現在の月(名前) |
day |
月の現在の日付 |
year |
現在の年(短縮表記しない) |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者
使用上のガイドライン
次の場合、システム クロックを設定する必要はありません。
• システムが、NTP または VINES クロック ソースなど、有効な外部タイミング機構と同期化されている場合
• カレンダ機能を持つルータを使用している場合
他の時刻源を使用できない場合は、 clock set コマンドを使用します。このコマンドで指定する時刻は、設定されている時間帯に対応します。
例
次の例は、システム クロックを手動で 2011 年 7 月 29 日 午後 1 時 32 分に設定します。
sensor# clock set 13:32 July 29 2011
configure
グローバル コンフィギュレーション モードを開始するには、EXEC モードで configure terminal コマンドを使用します。
configure terminal
構文の説明
configure terminal |
コンフィギュレーション コマンドを端末から実行します。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
使用上のガイドライン
configure terminal コマンドを実行すると、グローバル コンフィギュレーション モードを開始することができます。
例
次の例では、EXEC モードからグローバル コンフィギュレーション モードに変更します。
sensor# configure terminal
copy
IP ログおよびコンフィギュレーション ファイルをコピーするには、EXEC モードで copy コマンドを使用します。
copy [/ erase ] source-url destination-url
copy iplog log-id destination-url
構文の説明
erase |
(任意)コピーする前に宛先ファイルを消去します。 (注) このキーワードは current-config だけに適用され、backup-config は常に上書きされます。このキーワードが宛先の current-config 対して指定されると、ソース コンフィギュレーションがシステムのデフォルト コンフィギュレーションに適用されます。宛先の current-config に対して指定されない場合、ソース コンフィギュレーションは現行のコンフィギュレーションとマージされます。 |
source-url |
コピーされるソース ファイルの場所。URL またはキーワードを指定できます。 |
destination-url |
コピーされる宛先ファイルの場所。URL またはキーワードを指定できます。 |
copy iplog |
iplog をコピーします。 iplog-status コマンドを使用して、log-id を取得します。 |
log-id |
コピーするファイルのログ ID。 iplog-status コマンドを使用して、log-id を取得します。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ( copy iplog または packet-file のみ)、ビューア( copy iplog または packet-file のみ)
使用上のガイドライン
コピー元およびコピー先の URL の形式は、ファイルによって変わります。次の有効なタイプがサポートされます。
|
|
ftp: |
FTP ネットワーク サーバの送信元または宛先 URL。このプレフィックスの構文は、次のとおりです。 ftp:[//[username@] location]/relativeDirectory]/filename ftp:[//[username@]location]//absoluteDirectory]/filename |
scp: |
SCP ネットワーク サーバの送信元または宛先 URL。このプレフィックスの構文は、次のとおりです。 scp:[//[username@] location]/relativeDirectory]/filename scp:[//[username@] location]//absoluteDirectory]/filename |
http: |
Web サーバのソース URL。このプレフィックスの構文は、次のとおりです。 http:[//[username@]location]/directory]/filename ソース URL のみを使用できます。 |
https: |
Web サーバのソース URL。このプレフィックスの構文は次のとおりです。[[//username@]location]/directory]/filename ソース URL のみを使用できます。 |
センサーのファイルの場所を指定するには、キーワードを使用します。次のファイルがサポートされます。
|
|
current-config |
現在実行中のコンフィギュレーション。このコンフィギュレーションは、Cisco IOS Release 12.0 の場合と異なり、コマンドが入力されると固定になります。ファイル形式は CLI コマンドです。 |
backup-config |
コンフィギュレーション バックアップの保管場所。ファイル形式は CLI コマンドです。 |
iplog |
システムに組み込まれている iplog。IP ログは log-id を基に検索されます。 iplog-status コマンドの出力を参照してください。IP ログはバイナリで保存され、ログ ビューアで表示されます。 |
license-key |
加入ライセンス ファイル。 |
packet-file |
packet capture コマンドを使用してキャプチャされ、ローカルに保管されている libpcap ファイル。 |
選択したプロトコルが FTP または SCP の場合、パスワードのプロンプトが表示されます。FTP セッションにパスワードが必要でない場合は、何も入力しないで Return キーを押します
コマンドラインですべての必要なソースおよび宛先 URL 情報とユーザ名を入力するか、または copy コマンドを入力して、不足している情報をセンサーからプロンプトで要求させることができます。
警告 センサー インターフェイスと仮想センサーが同じ設定ではない場合、別のセンサーからコンフィギュレーション ファイルをコピーすると、エラーが発生する可能性があります。
(注) Cisco IOS Release 12.0 copy コマンドはさらに柔軟性があり、異なる宛先間でコピーできます。
例
次の例は、IP アドレスが 10.1.1.1 でディレクトリ/ファイル名が ~csidsuser/configuration/cfg のマシンから現行のコンフィギュレーションにファイルをコピーします。ディレクトリとファイルは、csidsuser のホーム アカウントからの相対パスです。
sensor# copy scp://csidsuser@10.1.1.1/configuration/cfg current-config
WARNING: Copying over the current configuration may leave the box in an unstable state.
Would you like to copy current-config to backup-config before proceeding? [yes]:
csidsuser@10.1.1.1's password:
cfg 100% |*********************************************************************|
Warning: Replacing existing network-settings may leave the box in an unstable state.
Would you like to replace existing network settings (host-ipaddress/netmask/gateway/access-list) on sensor before proceeding? [no]: no
次の例は、IP アドレスが 10.1.1.1 でディレクトリ/ファイル名が ~csidsuser/iplog12345 のマシンに ID 12345 の IP ログをコピーします。ディレクトリとファイルは、csidsuser のホーム アカウントからの相対パスです。
sensor# copy iplog 12345 scp://csidsuser@10.1.1.1/iplog12345
iplog 100% |*********************************************************************| 36124 00:00
関連コマンド
|
|
iplog-status |
使用可能な IP ログの内容を表示します。 |
more |
論理ファイルの内容を表示します。 |
packet |
インターフェイス上のライブ トラフィックを表示またはキャプチャします。 |
copy ad-knowledge-base
KB ファイルをコピーするには、EXEC モードで copy ad-knowledge-base コマンドを使用します。
copy ad-knowledge-base virtual-sensor [ current | initial | file name ] destination-url
copy ad-knowledge-base virtual-sensor source-url new-name
構文の説明
virtual-sensor |
KB ファイルを含む仮想センサー。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。 |
current |
現在ロードされている KB。 |
initial |
初期の KB。 |
file |
既存の KB ファイル。 |
name |
KB ファイル名。最大 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。 |
destination-url |
宛先 URL には FTP、SCP、HTTP、または HTTPS を指定することができます。構文の詳細については、「copy」を参照してください。 |
source-url |
ソース URL には FTP、SCP、HTTP、または HTTPS を指定することができます。構文の詳細については、「copy」を参照してください。 |
new-name |
新しい KB のファイル名。1 ~ 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者
使用上のガイドライン
すでに存在する名前にファイルをコピーすると、そのファイルは上書きされます。 current キーワードを new-name として使用することはできません。 load コマンドにより、新しい現行 KB が作成されます。
(注) このコマンドは、IPS 固有です。バージョン Release 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、IP アドレスが 10.1.1.1 のコンピュータの ~cidsuser/AD/my-kb に 2012-Mar-16-10_00_00 をコピーします。
sensor# copy ad-knowledge-base vs0 file 2012-Mar-16-10_00_00 scp://cidsuser@10.1.1.1/AD/my-kb
2012-Mar-16-10_00_00 100% 14920 0.0KB/s
copy instance
コンフィギュレーション インスタンス(セキュリティ ポリシー)をコピーするには、EXEC モードで copy instance コマンドを使用します。
copy [ anomaly-detection | event-action-rules | signature-definition ] source destination
構文の説明
anomaly-detection |
異常検出セキュリティ ポリシー。 |
event-action-rules |
イベント アクション規則セキュリティ ポリシー。 |
signature-definition |
シグニチャ定義セキュリティ ポリシー。 |
source |
コピーする既存のコンポーネント インスタンスの名前。 |
destination |
新規または既存のコンポーネント インスタンスの名前。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者
使用上のガイドライン
このコマンドを使用して、コンフィギュレーション インスタンス(セキュリティ ポリシー)をコピーします。インスタンスがすでに存在する場合や、新しいインスタンスで使用する十分なスペースがない場合には、エラーが生成されます。
例
次の例は、「sig0」というシグニチャ定義を「mySig」という新しい定義にコピーします。
sensor# copy signature-definition sig0 mySig
deny attacker
拒否された攻撃者の最新リストに拒否攻撃者の IP アドレスを 1 つ追加するには、EXEC モードで deny attacker コマンドを使用します。拒否された攻撃者の最新リストから攻撃者を削除するには、このコマンドの no 形式を使用します。
deny attacker [ virtual-sensor name ] ip-address attacker-ip-address [ victim victim-ip-address | port port-number ]
no deny attacker [ name ] ip-address attacker-ip-address [ victim victim-ip-address | port port-number ]
構文の説明
virtual-sensor |
(任意)センサーに設定された仮想センサーを指定します。 |
name |
(任意)センサーで設定する仮想センサーの名前。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。仮想センサー名を指定しない場合、攻撃者がすべての仮想センサーで拒否されます。 |
ip-address |
拒否する攻撃者の IP アドレスを指定します。 |
attacker-ip-address |
拒否する攻撃者の IP アドレス。IP アドレスは IPv4 または IPv6 形式にできます。 |
victim |
拒否する攻撃対象の IP アドレスを指定します。 |
victim-ip-address |
拒否する攻撃対象の IP アドレス。IP アドレスは IPv4 または IPv6 形式にできます。 |
port |
攻撃対象のポート番号を指定します。 |
port-number |
攻撃対象のポート番号。有効な範囲は 0 ~ 65535 です。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ
コマンド履歴
|
|
6.1(1) |
このコマンドが導入されました。 |
6.2(0) |
ip-address パラメータに対する IPv4 および IPv6 両方のサポートが追加されました。 |
使用上のガイドライン
deny attacker コマンドを使用して、特定の攻撃者の IP アドレスを拒否します。パラメータなしでこのコマンドの no 形式を使用すると、現在システムで拒否されているすべての攻撃者が削除されます。
(注) このコマンドは、Cisco IOS Release 12.0 以前にはありません。
例
次の例は、仮想センサー vs0 に対して IP アドレスが 10.1.1.1 の拒否攻撃者を追加し、IP アドレスが 10.2.2.2 の攻撃対象を追加します。
sensor#
deny attacker ip-address virtual-sensor vs0 ip-address 10.1.1.1 victim 10.2.2.2
次の例は、すべての仮想センサーのシステムで現在拒否されている攻撃者のリストから拒否された攻撃者を削除します。
sensor#
deny attacker ip-address 10.1.1.1 victim 10.2.2.2
Warning: Executing this command will delete this address from the list of attackers being denied by all virtual sensors.
関連コマンド
|
|
show statistics denied-attackers |
拒否された攻撃者のリストを表示します。 |
display serial
すべての出力をシリアル接続に転送するには、グローバル コンフィギュレーション モードで display serial コマンドを使用します。 no display-serial コマンドを使用して、ローカル端末への出力をリセットします。
display-serial
no display-serial
構文の説明
このコマンドには引数またはキーワードはありません。
デフォルト
デフォルトの設定は、no display-serial です。
コマンド モード
EXEC
管理者、オペレータ
使用上のガイドライン
display-serial コマンドによって、ブート処理中にリモート コンソール(シリアル ポートを使用)でシステム メッセージを参照できます。このオプションが有効である限り、ローカル コンソールは使用できません。シリアル ポートに接続したときに、このオプションが設定されていないと、Linux が完全に起動してシリアル接続のサポートが有効になるまで、フィードバックを得られません。
例
次の例は、出力をシリアル ポートにリダイレクトします。
sensor(config)# display-serial
downgrade
最後に適用したシグニチャ アップデートまたはサービス パックを削除するには、グローバル コンフィギュレーション モードで downgrade コマンドを使用します。
downgrade
構文の説明
このコマンドには引数またはキーワードはありません。
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
グローバル コンフィギュレーション
管理者
例
次の例は、適用した最新のシグニチャ アップデートをセンサーから削除します。
sensor(config)#
downgrade
Warning: Executing this command will reboot the system and downgrade to IDS-K9-sp-4.1-4-S91.rpm. Configuration changes made since the last upgrade will be lost and the system may be rebooted.
Continue with downgrade?:
yes
downgrade コマンドが使用できない場合(たとえば、アップグレードが適用されていない場合)、次のメッセージが表示されます。
Error: No downgrade available
関連コマンド
|
|
show version |
すべてのインストール済み OS パッケージ、シグニチャ パッケージ、およびシステムで実行中の IPS プロセスのバージョン情報を表示します。 |
end
コンフィギュレーション モードまたはコンフィギュレーション サブモードを終了するには、グローバル コンフィギュレーション モードで end コマンドを使用します。このコマンドは、最上位の EXEC メニューに戻ります。
end
構文の説明
このコマンドには引数またはキーワードはありません。
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
すべてのモード
管理者、オペレータ、ビューア
例
次の例は、コンフィギュレーション モードを終了する方法を示します。
sensor# configure terminal
erase
論理ファイルを削除するには、EXEC モードで erase コマンドを使用します。
erase { backup-config | current-config | packet-file }
構文の説明
backup-config |
現在実行中のコンフィギュレーション。このコンフィギュレーションは、Cisco IOS 12.0 の場合と異なり、コマンドが入力されると固定になります。ファイル形式は CLI コマンドです。 |
current-config |
コンフィギュレーション バックアップの保管場所。ファイル形式は CLI コマンドです。 |
packet-file |
packet capture コマンドを使用してキャプチャされ、ローカルに保管されている libpcap ファイル。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者
使用上のガイドライン
現行のコンフィギュレーションを削除すると、コンフィギュレーションの値はデフォルトにリセットされます。 service コマンドで作成したコンフィギュレーション インスタンスは削除されません。
(注) このコマンドの Cisco IOS 12.0 バージョンでは、ファイル システム全体を削除できます。IPS は、この概念をサポートしていません。
例
次の例は、現行のコンフィギュレーション ファイルを消去してすべての設定をデフォルトに戻します。このコマンドは、センサーのリブートを必要とする場合があります。
sensor# erase current-config
Warning: Removing the current-config file will result in all configuration being reset to default, including system information such as IP address.
User accounts will not be erased. They must be removed manually using the “no username” command.
erase ad-knowledge-base
センサーから KB ファイルを削除するには、EXEC モードで erase ad-knowledge-base コマンドを使用します。
erase ad-knowledge-base [ virtual-sensor [ name ]]
構文の説明
virtual-sensor |
(任意)KB ファイルが含まれる仮想センサー。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。 |
name |
(任意)KB ファイル名。最大 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者
使用上のガイドライン
現行の KB ファイルとしてロードされている KB ファイルは削除できません。初期の KB ファイルを削除することはできません。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、仮想センサー vs0 から 2012-Mar-16-10_00_00 を削除します。
sensor# erase ad-knowledge-base vs0 2012-Mar-16-10_00_00
次の例は、現行としてロードされたファイルおよび初期の KB を除く、すべての KB を仮想センサー vs0 から削除します。
sensor# erase ad-knowledge-base vs0
Warning: Executing this command will delete all virtual sensor 'vs0' knowledge bases except the file loaded as current and the initial knowledge base.
Continue with erase? : yes
次の例は、現行としてロードされたファイルおよび初期の KB を除く、すべての KB をすべての仮想センサーから削除します。
sensor# erase ad-knowledge-base
Warning: Executing this command will delete all virtual sensor knowledge bases except the file loaded as current and the initial knowledge base.
Continue with erase? : yes
erase license-key
センサーからライセンス キーを削除するには、EXEC モードで erase license-key コマンドを使用します。
erase license-key
構文の説明
このコマンドには引数またはキーワードはありません。
コマンド デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者
使用上のガイドライン
このコマンドは、センサーを再起動したり、サービス アカウントを使用してセンサーにログインしたりしなくても、インストール済みのライセンスを IPS センサーから削除します。
例
次の例は、センサーからライセンス キーを削除します。
sensor# erase license-key
Warning: Executing this command will remove the license key installed on the sensor.
You must have a valid license key installed on the sensor to apply the Signature Updates and use the Global Correlation features.
exit
コンフィギュレーション モードを終了、またはアクティブなターミナル セッションを閉じて、EXEC モードを終了するには、 exit コマンドを使用します。
exit
構文の説明
このコマンドには引数またはキーワードはありません。
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
すべてのモード
管理者、オペレータ、ビューア
使用上のガイドライン
exit コマンドを使用して、直前のメニュー レベルに戻ります。中に含まれるサブモードで変更を行った場合、変更を適用するかどうかを尋ねられます。no を選択すると、親サブモードに戻ります。
例
次の例は、直前のメニュー レベルに戻る方法を示します。
sensor#
configure terminal
iplog
仮想センサーの IP ロギングを開始するには、EXEC モードで iplog コマンドを使用します。このコマンドの no 形式を使用すると、仮想センサーのすべてのロギング セッション、log-id に基づく特定のロギング セッション、またはすべてのロギング セッションがディセーブルになります。
iplog name ip-address [ duration minutes ] [ packets numPackets ] [ bytes numBytes ]
no iplog [ log-id log-id | name name ]
構文の説明
name |
ロギングを開始および終了する仮想センサー。 |
ip-address |
指定された IP アドレスが含まれるログ パケットのみをロギングします。パラメータの詳細については、「setup」 を参照してください。IP アドレスは IPv4 または IPv6 形式にできます。 |
duration |
iplog の期間を指定します。 |
minutes |
ロギングがアクティブな期間(分単位)。有効範囲は 1 ~ 60 です。デフォルトは 10 分です。 |
packets |
パケットをロギングするように指定します。 |
numPackets |
ロギングされるパケットの合計数。有効範囲は 0 ~ 4294967295 です。デフォルトは 1000 パケットです。値 0 は、無制限を意味します。 |
bytes |
バイトをロギングするように指定します。 |
numBytes |
ロギングされる合計バイト数。有効範囲は 0 ~ 4294967295 です。値 0 は、無制限を意味します。 |
log-id |
ログ ID を指定します。 |
log-id |
停止するロギング セッションのログ ID。ログ ID は、 iplog-status コマンドを使用することで取得できます。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
6.2(0) |
ip-address パラメータに対する IPv4 および IPv6 両方のサポートが追加されました。 |
使用上のガイドライン
パラメータなしでこのコマンドを no 形式で指定すると、すべてのロギングが停止します。
期間、パケット数、およびバイト数を入力すると、ロギングは最初のイベントが発生したときに終了します。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、仮想センサー vs0 で、送信元または宛先アドレスに 10.2.3.1 を含むすべてのパケットのロギングを開始します。
sensor# iplog vs0 10.2.3.1
Logging started for virtual sensor vs0, IP address 10.2.3.1, Log ID 2342
WARNING: IP Logging will affect system performance.
関連コマンド
|
|
iplog-status |
使用可能な IP ログの内容を表示します。 |
packet |
インターフェイス上のライブ トラフィックを表示またはキャプチャします。 |
iplog-status
使用可能な IP ログの内容の説明を表示するには、EXEC モードで iplog-status コマンドを使用します。
iplog-status [log-id log-id ] [brief] [reverse] [|{begin regular-expression | exclude regular-expression | include regular-expression | redirect destination-url }]
構文の説明
log-id |
(任意)ログ ID を指定します。 |
log-id |
(任意)ステータスを表示するファイルのログ ID。 |
brief |
(任意)各ログの iplog ステータス情報の概要を表示します。 |
reverse |
(任意)リストを逆の日付順で(最新のログから順に)表示します。 |
| |
(任意)縦棒は、出力処理指定が続くことを意味します。 |
begin |
more コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。 |
regular-expression |
iplog-status の出力に存在する任意の正規表現。 |
exclude |
iplog-status コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。 |
include |
iplog-status コマンドの出力をフィルタ処理して、特定の正規表現を含む行が表示されるようにしま。 |
redirect |
iplog-status コマンドの出力を宛先 URL にリダイレクトします。 |
destination-url |
コピーされる宛先ファイルの場所。URL またはキーワードを指定できます。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
4.0(2) |
このコマンドに status フィールドが追加されました。 |
6.0(1) |
log-id 、 brief 、 reverse 、 begin 、 exclude 、 include 、および redirect オプションが追加されました。 |
使用上のガイドライン
ログが作成されると、ステータスは added
になります。最初のエントリがログに挿入されると、ステータスは started
に変更されます。パケット数の制限に達するなどしてログが完了すると、ステータスは completed
に変わります。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、すべての IP ログのステータスを示します。
Start Time: 2012/07/30 18:24:18 2011/07/30 12:24:18 CST
Packets Captured: 1039438
Start Time: 2012/07/30 18:24:18 2011/07/30 12:24:18 CST
End Time: 2012/07/30 18:34:18 2011/07/30 12:34:18 CST
次の例は、すべての IP ログの概要リストを示します。
sensor# iplog-status brief
Log ID VS IP Address1 Status Event ID Start Date
2425 vs0 10.1.1.2 started N/A 2012/07/30
2342 vs0 10.2.3.1 completed 209348 2012/07/30
関連コマンド
|
|
iplog |
仮想センサーで IP ロギングを開始します。 |
list component-configurations
コンポーネントの既存のコンフィギュレーション インスタンスを表示するには、EXEC モードで list component - configurations コマンドを使用します。
list [ anomaly-detection-configurations | event-action-rules-configurations | signature-definition-configurations ]
構文の説明
anomaly-detection-configurations |
異常検出設定。 |
event-action-rules-configurations |
イベント アクション規則設定。 |
signature-definition-configurations |
シグニチャ定義設定。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
使用上のガイドライン
ファイル サイズはバイト単位です。N/A の仮想センサーは、仮想センサーにインスタンスが割り当てられていないことを意味します。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、シグニチャ定義の既存の設定を示します。
sensor# list signature-definition-configurations
Instance Size Virtual Sensor
more
論理ファイルの内容を表示するには、EXEC モードで more コマンドを使用します。
more [current-config | backup config]
構文の説明
current-config |
現在実行中のコンフィギュレーション。このコンフィギュレーションは、Cisco IOS 12.0 の場合と異なり、コマンドが入力されると固定になります。ファイル形式は CLI コマンドです。 |
backup-config |
コンフィギュレーション バックアップの保管場所。ファイル形式は CLI コマンドです。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)
使用上のガイドライン
IPS では、論理ファイルのみを表示できます。パスワードなどの非表示フィールドは、管理者の場合にのみ表示されます。
(注) このコマンドの Cisco IOS 12.0 バージョンでは、デバイス内のさまざまなパーティションに格納されたファイルの内容を表示できます。
例
次の例は、 more コマンドの出力を示します。
sensor# more current-config
! ------------------------------
! Current configuration last modified Mon May 20 10:05:26 2013
! ------------------------------
! Signature Update S697.0 2013-02-15
! ------------------------------
physical-interfaces GigabitEthernet0/0
subinterface-type inline-vlan-pair
! ------------------------------
! ------------------------------
service event-action-rules rules0
! ------------------------------
host-ip 10.106.133.159/23,10.106.132.1
dns-primary-server disabled
! ------------------------------
! ------------------------------
! ------------------------------
! ------------------------------
service signature-definition sig0
event-action produce-alert
! ------------------------------
service signature-definition sig1
event-action produce-alert
event-action produce-alert
event-action produce-alert
! ------------------------------
! ------------------------------
service trusted-certificates
! ------------------------------
! ------------------------------
service anomaly-detection ad0
! ------------------------------
service external-product-interface
! ------------------------------
! ------------------------------
service global-correlation
! ------------------------------
! ------------------------------
physical-interface GigabitEthernet0/0 subinterface-number 1
signature-definition sig1
physical-interface GigabitEthernet0/0 subinterface-number 2
signature-definition sig1
physical-interface GigabitEthernet0/0 subinterface-number 3
signature-definition sig1
physical-interface GigabitEthernet0/0 subinterface-number 4
関連コマンド
|
|
more begin |
more コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。 |
more exclude |
more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。 |
more include |
more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。 |
more begin
more コマンドの出力を検索するには、EXEC モードで more begin コマンドを使用します。このコマンドは、指定された正規表現を含む最初の行で more のフィルタリングされていない出力を開始します。
more [current-config | backup-config] | begin regular-expression
構文の説明
current-config |
現在実行中のコンフィギュレーション。このコンフィギュレーションは、Cisco IOS 12.0 の場合と異なり、コマンドが入力されると固定になります。ファイル形式は CLI コマンドです。 |
backup-config |
コンフィギュレーション バックアップの保管場所。ファイル形式は CLI コマンドです。 |
| |
縦棒は、出力処理指定が続くことを意味します。 |
regular expression |
more コマンドの出力で検出される正規表現。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
4.0(2) |
more コマンドの begin 拡張が導入されました。 |
使用上のガイドライン
regular-expression 引数は、大文字と小文字が区別され、複雑な一致要件を指定することが可能です。
例
次の例は、 more コマンドの出力を検索して、正規表現「ip」以降を表示する方法を示します。
sensor# more current-config | begin ip
host-ip 192.168.1.2/24,192.168.1.1
login-banner-text This message will be displayed on user login.
standard-time-zone-name CST
! ------------------------------
! ------------------------------
! ------------------------------
! ------------------------------
関連コマンド
|
|
more exclude |
more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。 |
more include |
more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。 |
show begin |
特定の show コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。 |
show exclude |
show コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。 |
show include |
show コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。 |
more exclude
more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。EXEC モードで more exclude コマンドを使用します。
more [ current-config | backup-config] | exclude regular-expression
構文の説明
current-config |
現在実行中のコンフィギュレーション。このコンフィギュレーションは、Cisco IOS 12.0 の場合と異なり、コマンドが入力されると固定になります。ファイル形式は CLI コマンドです。 |
backup-config |
コンフィギュレーション バックアップの保管場所。ファイル形式は CLI コマンドです。 |
| |
縦棒は、出力処理指定が続くことを意味します。 |
regular expression |
more コマンドの出力で検出される正規表現。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
4.0(2) |
more コマンドに exclude 拡張が追加されました。 |
使用上のガイドライン
regular-expression 引数は、大文字と小文字が区別され、複雑な一致要件を指定することが可能です。
例
次の例は、 more コマンドの出力を検索して、正規表現「ip」を排除して表示する方法を示します。
sensor# more current-config | exclude ip
! ------------------------------
! Current configuration last modified Mon May 20 10:05:26 2013
! ------------------------------
! Signature Update S697.0 2013-02-15
! ------------------------------
physical-interfaces GigabitEthernet0/0
subinterface-type inline-vlan-pair
! ------------------------------
! ------------------------------
service event-action-rules rules0
! ------------------------------
dns-primary-server disabled
! ------------------------------
! ------------------------------
! ------------------------------
! ------------------------------
service signature-definition sig0
event-action produce-alert
! ------------------------------
service signature-definition sig1
event-action produce-alert
event-action produce-alert
event-action produce-alert
! ------------------------------
! ------------------------------
service trusted-certificates
! ------------------------------
! ------------------------------
service anomaly-detection ad0
! ------------------------------
service external-product-interface
! ------------------------------
! ------------------------------
service global-correlation
! ------------------------------
! ------------------------------
physical-interface GigabitEthernet0/0 subinterface-number 1
signature-definition sig1
physical-interface GigabitEthernet0/0 subinterface-number 2
signature-definition sig1
physical-interface GigabitEthernet0/0 subinterface-number 3
signature-definition sig1
physical-interface GigabitEthernet0/0 subinterface-number 4
関連コマンド
|
|
more begin |
more コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。 |
more include |
more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。 |
show begin |
特定の show コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。 |
show exclude |
show コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。 |
show include |
show コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。 |
more include
more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。EXEC モードで more include コマンドを使用します。
more [ current-config | backup-config] | include regular-expression
構文の説明
current-config |
現在実行中のコンフィギュレーション。このコンフィギュレーションは、Cisco IOS 12.0 の場合と異なり、コマンドが入力されると固定になります。ファイル形式は CLI コマンドです。 |
backup-config |
コンフィギュレーション バックアップの保管場所。ファイル形式は CLI コマンドです。 |
| |
縦棒は、出力処理指定が続くことを意味します。 |
regular expression |
more コマンドの出力で検出される正規表現。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
4.0(2) |
more コマンドに include 拡張が追加されました。 |
使用上のガイドライン
regular-expression 引数は、大文字と小文字が区別され、複雑な一致要件を指定することが可能です。
例
次の例は、 more コマンドの出力を検索して、正規表現「ip」を含む行のみを表示する方法を示します。
sensor# more current-config | include ip
host-ip 192.168.1.2/24,192.168.1.1
関連コマンド
|
|
more begin |
more コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。 |
more exclude |
more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。 |
show begin |
特定の show コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。 |
show exclude |
show コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。 |
show include |
show コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。 |
packet
インターフェイス上のライブ トラフィックを表示またはキャプチャするには、EXEC モードで packet コマンドを使用します。 display オプションを使用すると、ライブ トラフィックまたは以前にキャプチャしたファイル出力を画面に直接ダンプできます。 capture オプションを使用すると、libpcap の出力をローカル ファイルにキャプチャできます。ローカル ファイルの保管場所は 1 か所だけなので、後続のキャプチャ要求によって既存のファイルは上書きされます。 copy コマンドと packet-file キーワードを使用して、ローカル ファイルをマシンからコピーできます。ローカル ファイルを表示するには、 display packet-file オプションを使用します。ローカル ファイルに関する情報がある場合は、 info オプションを使用して表示できます。packet display iplog id [verbose] [expression expression] を使用して、iplog を表示します。
packet display interface-name [snaplen length] [count count] [verbose] [expression expression]
packet display packet-file [verbose] [expression expression]
packet display iplog id [verbose] [expression expression] vlan and
packet capture interface-name [snaplen length] [count count] [expression expression]
packet display file-info
構文の説明
display |
画面にパケットを表示します。 |
interface-name |
インターフェイス名、インターフェイス タイプとその後に続くスロット/ポート。システムに存在する有効なインターフェイス名のみを入力できます。 |
snaplen |
(任意)スナップショットの長さを使用するように指定します。 |
length |
(任意)スナップショットの長さ。デフォルトは 0 です。有効範囲は 0~1600 です。 |
count |
(任意)パケットをキャプチャすることを指定します。 |
count |
(任意)キャプチャするパケット数を指定します。指定しない場合は、最大ファイルサイズをキャプチャすると、キャプチャは終了します。有効な範囲は 1 ~ 10000 です。 |
verbose |
(任意)1 行のサマリーではなく、各パケットのプロトコル ツリーを表示します。 |
expression |
(任意)パケットをフィルタする式を使用するかを指定します。 |
expression |
(任意)パケット キャプチャ フィルタ式。この式は tcpdump に直接渡されるので、tcpdump 式の構文に従う必要があります。 |
id |
表示する既存の IP ログ ID。 |
file-info |
保管されているパケット ファイルに関する情報を表示します。 |
vlan and |
VLAN ヘッダーを持つパケットを照合します。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア(display のみ)
使用上のガイドライン
ストレージは、1 つのローカルファイルで使用可能です。このファイルのサイズは、プラットフォームによって異なります。可能な場合、要求したパケット カウントをキャプチャする前に最大ファイル サイズに達すると、メッセージが表示されます。 packet capture interface-name コマンドは、同時に 1 ユーザのみが使用できます。2 番めのユーザ要求が発行されるとエラー メッセージが表示され、キャプチャを実行しているユーザに関する情報が示されます。インターフェイスに関わるコンフィギュレーションの変更を行うと、そのインターフェイスで実行中の packet コマンドが異常終了することがあります。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
注意 このコマンドを実行すると、パフォーマンスが大幅に低下します。
(注) VLAN ヘッダーを持つパケットをモニタするときに expression オプションを使用する場合、vlan and が式の先頭に追加されていないと、式が正常に一致しません。たとえば、packet display iplog 926299444 verbose expression icmp は、ICMP パケットを表示しません。packet display iplog 926299444 verbose expression vlan and icmp は、ICMP パケットを表示します。トランク ポートに接続された IPS アプライアンス インターフェイスで、expression vlan and を使用することが必要になることがよくあります。
ライブ表示またはファイル キャプチャを終了するには、Ctrl+C キーを押します。
式の構文については、ethereal-filter の man ページを参照してください。
file-info の表示は、次のとおりです。
Captured by: user:id, Cmd: cliCmd
Start: yyyy/mm/dd hh:mm:ss zone, End: yyyy/mm/dd hh:mm:ss zone or in-progress
ここで、
user = キャプチャを開始したユーザのユーザ名
id = ユーザの CLI ID
cliCmd = キャプチャを実行するために入力したコマンド
例
次の例は、FastEthernet 0/0 で発生するライブ トラフィックを示します。
sensor# packet display fastethernet0/0
Warning This command will cause significant performance degradation.
Executing command: tethereal -i fastethernet0/0
0.000000 10.1.1.1 -> 64.101.182.20 SSH Encrypted response packet len=56
0.000262 64.101.182.20 -> 10.1.1.1 TCP 33053 > ssh [ACK] Seq=3844631470 Ack=2972370007 Win=9184 Len=0
0.029148 10.1.1.1 -> 64.101.182.20 SSH Encrypted response packet len=224
0.029450 64.101.182.20 -> 10.1.1.1 TCP 33053 > ssh [ACK] Seq=3844631470 Ack=2972370231 Win=9184 Len=0
0.030273 10.1.1.1 -> 64.101.182.20 SSH Encrypted response packet len=224
0.030575 64.101.182.20 -> 10.1.1.1 TCP 33053 > ssh [ACK] Seq=3844631470 Ack=2972370455 Win=9184 Len=0
0.031361 10.1.1.1 -> 64.101.182.20 SSH Encrypted response packet len=224
0.031666 64.101.182.20 -> 10.1.1.1 TCP 33053 > ssh [ACK] Seq=3844631470 Ack=2972370679 Win=9184 Len=0
0.032466 10.1.1.1 -> 64.101.182.20 SSH Encrypted response packet len=224
0.032761 64.101.182.20 -> 10.1.1.1 TCP 33053 > ssh [ACK]
次の例は、保管されているキャプチャ ファイルに関する情報を示します。
sensor# packet display file-info
Captured by: jsmith:5292, Cmd: packet capture fastethernet0/0
Start: 2012/01/07 11:16:21 CST, End: 2012/01/07 11:20:35 CST
関連コマンド
|
|
iplog |
仮想センサーで IP ロギングを開始します。 |
iplog-status |
使用可能な IP ログの内容を表示します。 |
password
ローカル センサーのパスワードを更新するには、グローバル コンフィギュレーション モードで password コマンドを使用します。管理者は、 password コマンドを使用して既存のユーザのパスワードを変更することもできます。管理者は、コマンドの no 形式を使用して、ユーザ アカウントをディセーブルにできます。
password
Administrator syntax: password [name [newPassword]]
no password name
構文の説明
name |
ユーザ名を指定します。有効なユーザ名の長さは 1 ~ 64 文字です。ユーザ名の先頭は、英数字にする必要があります。その他の文字には、スペース以外のすべての文字を使用できます。 |
newPassword |
このコマンドを入力すると、パスワードを要求されます。ユーザのパスワードを指定します。有効なパスワードの長さは 8 ~ 32 文字です。スペース以外のすべての文字を使用できます。 |
デフォルト
cisco アカウントのデフォルトのパスワードは cisco です。
コマンド モード
グローバル コンフィギュレーション
管理者、オペレータ(現行ユーザのパスワードのみ)、ビューア(現行ユーザのパスワードのみ)
使用上のガイドライン
password コマンドを使用すると、現行ユーザのログイン パスワードを更新できます。管理者は、このコマンドを使用して既存のユーザのパスワードを変更できます。この場合、管理者に現行パスワードのプロンプトは表示されません。
最後の管理者アカウントをディセーブルにしようとすると、エラーが発生します。 password コマンドを使用して、ディセーブルにしたユーザ アカウントを再びイネーブルにし、ユーザ パスワードをリセットします。
パスワードは IPS で保護されます。
(注) Cisco IOS 12.0 の password コマンドでは、パスワード行にクリアテキストで新規パスワードを入力できます。
例
次の例は、現行ユーザのパスワードの変更方法を示します。
Enter Old Login Password: **********
Enter New Login Password: ******
Re-enter New Login Password: ******
次の例は、ユーザ tester
のパスワードを変更します。このコマンドは、管理者のみが実行できます。
sensor(config)# password tester
Enter New Login Password: ******
Re-enter New Login Password: ******
関連コマンド
|
|
username |
ローカル センサーのユーザを作成します。 |
ping
基本的なネットワーク接続を診断するには、EXEC モードで ping コマンドを使用します。
ping address [ count ]
構文の説明
address |
PING を実行するシステムの IP アドレス。 |
count |
送信するエコー要求の数。値を指定しない場合、4 つの要求が送信されます。有効な範囲は 1 ~ 10000 です。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
使用上のガイドライン
このコマンドは、オペレーティング システムで用意されている ping コマンドを使用して実装されます。コマンドからの出力は、オペレーティング システムにより若干異なります。
例
次の例は、Solaris システムでの ping コマンドの出力を示します。
PING 10.1.1.1: 32 data bytes
40 bytes from 10.1.1.1: icmp_seq=0. time=0. ms
40 bytes from 10.1.1.1: icmp_seq=1. time=0. ms
40 bytes from 10.1.1.1: icmp_seq=2. time=0. ms
40 bytes from 10.1.1.1: icmp_seq=3. time=0. ms
----10.1.1.1 PING Statistics----
4 packets transmitted, 4 packets received, 0% packet loss
round-trip (ms) min/avg/max = 0/0/0
次の例は、Linux システムでの ping コマンドの出力を示します。
PING 10.1.1.1 from 10.1.1.2 : 32(60) bytes of data.
40 bytes from 10.1.1.1: icmp_seq=0 ttl=255 time=0.2 ms
40 bytes from 10.1.1.1: icmp_seq=1 ttl=255 time=0.2 ms
--- 10.1.1.1 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.2/0.2/0.2 ms
次の例は、到達不能アドレスに対する出力を示します。
sensor#
ping 172.21.172.1
PING 172.21.172.1 (172.21.172.1) from 10.89.175.50 : 56(84) bytes of data.
---172.21.172.1 ping statistics---
5 packets transmitted, 0 packets received, 100% packet loss
privilege
既存のユーザの権限レベルを変更するには、グローバル コンフィギュレーション モードで privilege コマンドを使用します。 username コマンドでユーザを作成するときに、権限を指定することもできます。
privilege user name [ administrator | operator | viewer ]
構文の説明
name |
ユーザ名を指定します。有効なユーザ名の長さは 1 ~ 64 文字です。ユーザ名の先頭は、英数字にする必要があります。その他の文字には、スペース以外のすべての文字を使用できます。 |
administrator |
管理者権限を指定します。 |
operator |
オペレータ権限を指定します。 |
viewer |
ビューア権限を指定します。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
グローバル コンフィギュレーション
管理者
使用上のガイドライン
このコマンドを使用すると、ユーザの権限を変更できます。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、ユーザ「tester」の権限をオペレータに変更します。
sensor(config)# privilege user tester operator
Warning: The privilege change does not apply to current CLI sessions. It will be applied to subsequent logins.
関連コマンド
|
|
username |
ローカル センサーのユーザを作成します。 |
recover
回復パーティションに保存されているアプリケーション イメージでアプリケーション パーティションのイメージを再作成するには、EXEC モードで recover コマンドを使用します。センサーは複数回リブートされて、ほとんどのコンフィギュレーション(ネットワーク、アクセス リスト、時間のパラメータ以外)がデフォルトの設定にリセットされます。
具体的には、次の設定は、 recover application-partition コマンドを使用したローカル リカバリの後で維持されます。ネットワーク設定(IP アドレス、ネットマスク、デフォルト ゲートウェイ、ホスト名、および Telnet(イネーブル/ディセーブル)、アクセス リストのエントリ/ACL0 の設定(IP アドレスおよびネットマスク)、および時間設定(オフセットおよび標準帯名)、残りのパラメータはデフォルト設定にリセットされます。
recover application-partition
構文の説明
application-partition |
アプリケーション パーティションのイメージを再作成します。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
グローバル コンフィギュレーション
使用上のガイドライン
回復を続行する質問への有効な応答は、 yes または no です。 Y または N は、有効な応答ではありません。
シャットダウンは、コマンドが実行されるとただちに開始されます。シャットダウンには多少時間がかかるため、引き続き CLI コマンドにアクセスできますが(アクセスは拒否されません)、このアクセスは警告なく終了する可能性があります。必要であれば、アプリケーションがシャットダウンしている間、画面にピリオド(.)を 1 秒ごとに表示して進行を示すことができます。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、回復パーティションに保存されているバージョン 7.2(1)E4 のイメージを使用して、アプリケーション パーティションのイメージを再作成します。
sensor(config)# recover application-partition
Warning: Executing this command will stop all applications and re-image the node to version 7.2(1)E4. All configuration changes except for network settings will be reset to default.
Continue with recovery? []:yes
rename ad-knowledge-base
既存の KB ファイルの名前を変更するには、EXEC モードで rename ad-knowledge-base コマンドを使用します。
rename ad-knowledge-base virtual-sensor [ current | file name ] new-name
構文の説明
virtual-sensor |
KB ファイルを含む仮想センサー。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。 |
current |
現在ロードされている KB。 |
file |
既存の KB ファイル。 |
name |
KB ファイル名。最大 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。 |
new-name |
新しい KB のファイル名。1 ~ 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者
使用上のガイドライン
current キーワードを使用すると、現在使用している KB の名前が変更されます。初期の KB ファイル名を変更することはできません。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、名前を 2006-Mar-16-10_00_00 から my-kb に変更します。
sensor# rename ad-knowledge-base vs0 file 2006-Mar-16-10_00_00 my-kb
reset
センサーで実行中のアプリケーションをシャットダウンし、アプライアンスをリブートするには、EXEC モードで reset コマンドを使用します。 powerdown オプションを使用した場合は、アプライアンスの電源がオフ(可能な場合)、または電源をオフにできる状態になります
reset [ powerdown ]
構文の説明
powerdown |
このオプションを指定すると、アプリケーションのシャットダウン後、センサーにより電源がオフになります。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
使用上のガイドライン
リセットを続行する質問への有効な応答は、 yes または no です。 Y または N は、有効な応答ではありません。
シャットダウンは、コマンドが実行されるとただちに開始されます。シャットダウン中の CLI コマンドへのアクセスは拒否されませんが、開いているセッションは、シャットダウンが完了すると同時に、警告なしに終了します。必要であれば、アプリケーションがシャットダウンしている間、画面にピリオド(.)を 1 秒ごとに表示して進行を示すことができます。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、センサーをリブートします。
Warning: Executing this command will stop all applications and reboot the node.
Continue with reset? []:
yes
service
さまざまなセンサー サービスのコンフィギュレーション メニューに入るには、グローバル コンフィギュレーション モードで service コマンドを使用します。このコマンドの default 形式を使用すると、アプリケーションのコンフィギュレーション全体が、工場出荷時のデフォルトにリセットされます。
service {aaa | analysis-engine | anomaly-detection | authentication | event-action-rules | external-product-interface | global-correlation | health-monitor | host | interface | logger | network-access | notification | signature-definitions | ssh-known-hosts | trusted-certificate | web-server}
default service {aaa | analysis-engine | anomaly-detection | authentication | event-action-rules | external-product-interface | global-correlation | health-monitor | host | interface | logger | network-access | notification | signature-definitions | ssh-known-hosts | trusted-certificate | web-server}
論理名が付けられたイベント アクション規則コンフィギュレーションのコンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで service event-action-rules name コマンドを使用します。 default キーワードを使用すると、コンフィギュレーションが工場出荷時の設定にリセットされます。 no キーワードを使用すると、センサーからイベント アクション規則コンフィギュレーションが削除されます。このコマンドは、コンフィギュレーションが仮想センサーに割り当てられていない場合にだけ、正常に実行されます。
service event-action-rules name
default service event-action-rules name
no service event-action-rules name
論理名が付けられたシグニチャ定義コンフィギュレーションのコンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで service signature-definition name コマンドを使用します。 default キーワードを使用すると、コンフィギュレーションが工場出荷時の設定にリセットされます。 no キーワードを使用すると、センサーからシグニチャ定義コンフィギュレーションが削除されます。このコマンドは、コンフィギュレーションが仮想センサーに割り当てられていない場合にだけ、正常に実行されます。
service signature-definition name
default service signature-definition name
no service signature-definition name
論理名が付けられた異常検出コンフィギュレーションのコンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで service anomaly-detection name コマンドを使用します。 default キーワードを使用すると、コンフィギュレーションが工場出荷時の設定にリセットされます。 no キーワードを使用すると、センサーから異常検出コンフィギュレーションが削除されます。このコマンドは、コンフィギュレーションが仮想センサーに割り当てられていない場合にだけ、正常に実行されます。
service anomaly-detection name
default anomaly-detection name
no service anomaly-detection name
構文の説明
aaa |
AAA のタイプを設定します。 |
analysis-engine |
グローバル分析エンジン パラメータを設定します。この設定によって、仮想センサーを作成し、シグニチャ定義、イベント アクション規則、およびセンシング インターフェイスを仮想センサーに割り当てることができます。 |
anomaly-detection |
異常検出のパラメータを設定します。 |
authentication |
ユーザの認証に使用する方式の順序を設定します。 |
event-action-rules |
イベント アクション規則コンフィギュレーションのパラメータを設定します。 |
external-product-interface |
外部製品インターフェイスのパラメータを設定します。 |
global-correlation |
グローバル相関のパラメータを設定します。 |
health-monitor |
ヘルスおよびセキュリティのモニタリングとレポートを設定します。 |
host |
システム クロック設定、アップグレード、および IP アクセス リストを設定します。 |
interface |
センサーのインターフェイスを設定します。 |
logger |
デバッグ レベルを設定します。 |
network-access |
ARC に関連するパラメータを設定します。 が表示されます。 |
notification |
通知アプリケーションを設定します。 |
signature-definition |
シグニチャ定義コンフィギュレーションのパラメータを設定します。 |
ssh-known-hosts |
システムの既知のホスト キーを設定します。 |
trusted-certificate |
信頼できる認証機関の X.509 証明書のリストを設定します。 |
web-server |
Web サーバ ポートなど、Web サーバに関するパラメータを設定します。 |
name |
イベント アクション規則またはシグニチャ定義コンフィギュレーションの論理名。論理名がすでに存在しなくなった場合、新しいコンフィギュレーション ファイルが作成されます。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
グローバル コンフィギュレーション
管理者、オペレータ(host および interface を除く)、ビューア(display のみ)
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
5.0(1) |
default キーワードおよび通知アプリケーションのサポートが追加されました。 |
6.0(1) |
anomaly-detection 、 external-product-interface 、および os-identification コマンドが追加されました。 |
7.0(1) |
global-correlation コマンドが追加されました。 |
7.1(3) |
aaa コマンドが追加されました。 |
使用上のガイドライン
このコマンドで、サービス固有のパラメータを設定できます。この構成の項目とメニューはサービスによって異なり、コマンドが実行されたときにサービスから取得した構成に基づいて動的に作成されます。
注意 このモード、およびそのいずれかのサブモードで加えられた変更は、サービス モードを終了するとサービスに適用されます。
コマンド モードは、サービス名でコマンド プロンプトに表示されます。たとえば、service authentication では、次のプロンプトが表示されます。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次のコマンドは、AAA サービスのコンフィギュレーション モードを開始します。
sensor(config)# service aaa
次のコマンドは、分析エンジン サービスのコンフィギュレーション モードを開始します。
sensor(config)# service analysis-engine
次のコマンドは、異常検出サービス用のコンフィギュレーション モードを開始します。
sensor(config)# service anomaly-detection
次のコマンドでは、認証サービスのコンフィギュレーション モードを開始します。
sensor(config)# service authentication
次のコマンドは、イベント アクション規則サービスのコンフィギュレーション モードを開始します。
sensor(config)# service event-action-rules rules0
次のコマンドは、外部製品インターフェイス サービスのコンフィギュレーション モードを開始します。
sensor(config)# service external-product-interface
次のコマンドは、グローバル相関サービスのコンフィギュレーション モードを開始します。
sensor(config)# service global-correlation
次のコマンドでは、ヘルス モニタ サービスのコンフィギュレーション モードを開始します。
sensor(config)# service health-monitor
次のコマンドは、ホスト サービスのコンフィギュレーション モードを開始します。
sensor(config)# service host
次のコマンドは、インターフェイス サービスのコンフィギュレーション モードを開始します。
sensor(config)# service interface
次のコマンドは、ロガー サービスのコンフィギュレーション モードを開始します。
sensor(config)# service logger
次のコマンドは、ARC サービスのコンフィギュレーション モードを開始します。
sensor(config)# service network-access
次のコマンドは、SNMP 通知サービスのコンフィギュレーション モードを開始します。
sensor(config)# service notification
次のコマンドは、シグニチャ定義サービスのコンフィギュレーション モードを開始します。
sensor(config)# service signature-definition sig0
次のコマンドは、SSH 既知ホスト サービスのコンフィギュレーション モードを開始します。
sensor(config)# service ssh-known-hosts
次のコマンドは、信頼できる証明書サービスのコンフィギュレーション モードを開始します。
sensor(config)# service trusted-certificate
次のコマンドは、Web サーバ サービスのコンフィギュレーション モードを開始します。
sensor(config)# service web-server
setup
基本的なセンサー コンフィギュレーションを設定するには、EXEC モードで setup コマンドを使用します。
setup
構文の説明
このコマンドには引数またはキーワードはありません。
デフォルト
hostname:sensor
IP interface:192.168.1.2/24,192.168.1.1
telnet-server:disabled
web-server port:443
summer time:disabled
ユーザが summer time を enabled にした場合、デフォルトは次のとおりです。
• Summertime type:Recurring
• Start Month:april
• Start Week:first
• Start Day:sunday
• Start Time:02:00:00
• End Month:october
• End Week:last
• End Day:sunday
• End Time:02:00:00
• Offset:60
システムの時間帯のデフォルトは、次のとおりです。
• Time zone:UTC
• UTC Offset:0
コマンド モード
EXEC
管理者
コマンド履歴
|
|
4.0(2) |
アクセス リストおよび時間設定のコンフィギュレーションが追加されました。 |
5.0(1) |
仮想センサー設定のコンフィギュレーションが追加されました。 |
5.1(1) |
インライン VLAN ペアのコンフィギュレーションが追加されました。 |
6.0(1) |
複数の仮想センサーおよび VLAN グループのコンフィギュレーションが追加されました。デフォルトで自動的に脅威を拒否するかどうかを尋ねるプロンプトが追加されました。 |
6.1(1) |
setup に自動モードを追加し、6.1(1) に必要な setup コマンドを変更しました。 |
7.0 |
グローバル相関が追加されました。 |
7.2(1) |
SSHv1 フォールバックが追加されました。 |
使用上のガイドライン
コンソール ケーブルを使用してセンサーに接続すると、センサーが自動的に setup コマンドを呼び出します。この時点では、センサーの基本的なネットワーク設定はまだ行われていません。次の条件下では、センサーは自動セットアップの呼び出しを行いません。
• 初期化がすでに正常に完了している場合。
• センサーの回復またはダウングレードを行った場合。
• 自動セットアップを使用してセンサーを正常に設定した後、ホスト コンフィギュレーションをデフォルトにした場合。
setup コマンドを入力すると、システムのコンソール画面に [System Configuration Dialog] と呼ばれる対話形式のダイアログが表示されます。[System Configuration Dialog] に従って設定プロセスを進めます。
前回設定されたデフォルト値は、各プロンプトの横のカッコ内に表示されます。
変更する項目に到達するまで [System Configuration Dialog] 全体を実行する必要があります。変更しない項目のデフォルト設定を使用するには、Enter を押します。
変更を中断し、[System Configuration Dialog] を最後まで実行せずに EXEC プロンプトに戻るには、Ctrl+C キーを押します。
このファシリティは、プロンプトごとにヘルプ テキストも提示します。ヘルプ テキストにアクセスするには、プロンプトで疑問符(?)を入力します。
変更が完了すると、セットアップ セッション中に作成されたコンフィギュレーション ファイルが表示されます。このコンフィギュレーションを保存するように促されます。 yes を入力すると、コンフィギュレーションがディスクに保存されます。 no を入力すると、設定は保存されずにプロセスが再開されます。このプロンプトにはデフォルトがありません。 yes または no を入力する必要があります。
設定可能なパラメータの有効な値の範囲は、次のとおりです。
IP Address/Netmask/Gateway: X.X.X.X/nn,Y.Y.Y.Y 。ここでは、
X.X.X.X は、ピリオドで区切られた 4 オクテットで記述される 32 ビット アドレスのセンサーの IP アドレスです。 X は 0 ~ 255 です。
nn はネットマスクのビット数を指定します。
Y.Y.Y.Y は、ピリオドで区切られた 4 オクテットで記述される 32 ビット アドレスのデフォルト ゲートウェイです。 Y は 0 ~ 255 です。
Host Name:最大 256 文字の大文字小文字を区別する文字列。数字、「_」、および「-」は有効ですが、スペースは使用できません。
システムが NTP を使用 しない 場合にのみ、setup モードでクロック設定を入力します。NTP コマンドは、別に用意されています。
サマータイムは、[recurring] モードまたは [date] モードのいずれかで設定できます。recurring モードを選択した場合、開始日と終了日は、週、曜日、月、時間に基づいて入力します。date モードを選択した場合、開始日と終了日は、月、日、年、時間に基づいて入力します。disable を選択すると、夏時間がオフになります。
表 2-1 に、クロック設定パラメータを示します。
表 2-1 クロック設定パラメータ
DST zone |
サマータイムが有効なときに表示される時間帯の名前。 |
week |
週(1 ~ 5 または last)。 |
day |
曜日(Sunday、Monday など)。 |
date |
日(1 ~ 31)。 |
month |
月(1 月、2 月など)。 |
year |
年、省略なし(2001 ~ 2035)。 |
hh:mm |
開始/終了 DST(24 時形式)の時間と分。 |
offset |
(任意)サマータイム中に加算する時間(分)。デフォルト値は 60 です。 |
timezone |
標準時が適用されているときに表示されるタイム ゾーンの名前。 |
hours |
UTC からの時間差。 |
hh:mm:ss |
現在の時間(24 時間形式)、分、および秒。 |
デフォルトの仮想センサー vs0 の編集もできます。仮想センサーに、混合/インラインのペアとインライン VLAN のペア(または、どちらか一方)を割り当て、割り当てたインターフェイスをイネーブルにできます。セットアップが完了すると、仮想センサーはトラフィックをモニタするように設定されます。
セットアップ時に、 deny-packet-inline アクションに関連付けられた上書き規則を有効または無効にすることができます。仮想センサーに割り当てられているイベント アクション規則コンフィギュレーションのすべてのインスタンスを変更できます。仮想センサーに割り当てられていないイベント アクション規則コンフィギュレーションのインスタンスは変更されません。
例
次の例は、 setup コマンドと System Configuration プログラムを示します。
--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
User ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
Current time: Mon Dec 3 07:15:11 2011
Setup Configuration last modified: Tue Nov 27 18:40:12 2009
Enter IP interface[172.21.172.25/8,172.21.172.1]:
Enter telnet-server status[enabled]:
Enter web-server port[8080]: 80
Modify current access list? [no]: yes
Current access list entries:
% Please enter a valid IP address and netmask in the form x.x.x.x/nn. For example:192.168.1.0/24
Use DNS server for global collaboration?[yes]:
DNS server IP address[10.10.10.10]:
Use HTTP proxy server for global collaboration?[yes]:
HTTP proxy server IP address[128.107.241.169]:
HTTP proxy server Port number[8080]:
Modify system clock settings? [no]: yes
Modify summer time settings?[no]: yes
Use USA SummerTime Defaults?[yes]: yes
Modify system timezone? [no]: yes
NTP Server IP Address[]: 10.89.147.12
Use NTP Authentication?[no]: yes
Network Participation level?[off]: partial
If you agree to participate in the SensorBase Network, Cisco will collect aggregated statistics about traffic sent to your IPS. This includes summary data on the Cisco IPS network traffic properties and how this traffic was handled by the Cisco appliances. We do not collect the data content of traffic or other sensitive business or personal information. All data is aggregated and sent via secure HTTP to the Cisco SensorBase Network servers in periodic intervals. All data shared with Cisco will be anonymous and treated as strictly confidential.
The table below describes how the data will be used by Cisco.
Participation Level = Partial:
* Type of Data: Protocol Attributes (e.g. TCP max nsegment size and options string)
Purpose: Track potential threats and understand threat exposure
* Type of Data: Attack Type (e.g. Signature Fired and Risk Rating)
Purpose: Used to understand current attacks and attack severity
* Type of Data: Connecting IP Address and port
Purpose: Identifies attack source
* Type of Data: Summary IPS performance (CPU utilization memory usage, inline vs. promiscuous, etc)
Purpose: Tracks product efficacy
Participation Level = Full:
* Type of Data: Victim IP Address and port
Purpose: Detect threat behavioral patterns
Do you agree to participate in the SensorBase network[no]?yes
The following configuration was entered.
host-ip 172.21.172.25/8,172.21.172.1
dns-primary-server enabled
dns-secondary-server disabled
dns-tertiary-server disabled
standard-time-zone-name CST
summertime-option recurring
ntp-option enabled-ntp-unauthenticated
service global-correlation
network-participation partial
[0] Go to the command prompt without saving this config.
[1] Return to the setup without saving this config.
[2] Save this configuration and exit setup.
[3] Continue to Advanced setup.
Enter telnet-server status[disabled]: enabled
Enter web-server port[443]:
Modify interface/virtual sensor configuration?[no]: yes
Current interface configuration
Command control GigabitEthernet0/1
GigabitEthernet1/0:10 (Vlans: 20, 10)
Event Action Rules: rules0
Signature Definitions: sig0
GigabitEthernet1/0:1 (Vlans: 2, 3)
GigabitEthernet1/0:2 (Vlans: 344, 23)
Event Action Rules: myEvr
Signature Definition: mySigs
GigabitEthernet1/1:3 (Vlans: 5-7,9)
Inline Interface Pair Vlan Groups:
foo:3 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 200-299)
foo:8 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 300-399)
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
次のプロンプトでは、インターフェイスを作成または削除できます。[Edit Virtual Sensor Configuration] セクションで、インターフェイスを仮想センサーに割り当てることができます。混合モードでモニタされているインターフェイスが VLAN によって細分化されていない場合、追加のコンフィギュレーションは必要ありません。仮想センサーのコンフィギュレーションに進み、仮想センサーにインターフェイスを割り当ててください。
[1] Remove interface configurations.
[2] Add/Modify Inline Vlan Pairs.
[3] Add/Modify Promiscuous Vlan Groups.
[4] Add/Modify Inline Interface Pairs.
[5] Add/Modify Inline Interface Pair Vlan Groups.
[6] Modify interface default-vlan.
[1] GigabitEthernet1/0:1 (Vlans: 2, 3)
[2] GigabitEthernet1/0:2 (Vlans: 344, 23)
[3] GigabitEthernet1/0:10 (Vlans: 20, 10)
[4] GigabitEthernet1/1:3 (Vlans: 5-7,9)
Inline Interface Pair Vlan Groups:
[5] foo:3 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 200-299)
[6] foo:8 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 300-399)
[1] Remove interface configurations.
[2] Add/Modify Inline Vlan Pairs.
[3] Add/Modify Promiscuous Vlan Groups.
[4] Add/Modify Inline Interface Pairs.
[5] Add/Modify Inline Interface Pair Vlan Groups.
[6] Modify interface default-vlan.
Inline Vlan Pairs for GigabitEthernet2/1:
Description[Created via setup by user cisco]:
[1] Remove interface configurations.
[2] Add/Modify Inline Vlan Pairs.
[3] Add/Modify Promiscuous Vlan Groups.
[4] Add/Modify Inline Interface Pairs.
[5] Add/Modify Inline Interface Pair Vlan Groups.
[6] Modify interface default-vlan.
Promiscuous Vlan Groups for GigabitEthernet1/1:
GigabitEthernet1/1:3 (Vlans: 5-7,9)
Description[Created via setup by user cisco]:
[1] Remove interface configurations.
[2] Add/Modify Inline Vlan Pairs.
[3] Add/Modify Promiscuous Vlan Groups.
[4] Add/Modify Inline Interface Pairs.
[5] Add/Modify Inline Interface Pair Vlan Groups.
[6] Modify interface default-vlan.
Description[Created via setup by user cisco]:
Interface1: GigabitEthernet4/0
Interface2: GigabitEthernet4/1
[1] Remove interface configurations.
[2] Add/Modify Inline Vlan Pairs.
[3] Add/Modify Promiscuous Vlan Groups.
[4] Add/Modify Inline Interface Pairs.
[5] Add/Modify Inline Interface Pair Vlan Groups.
[6] Modify interface default-vlan.
Available inline interface pairs:
[1] foo (GigabitEthernet3/0, GigabitEthernet3/1)
[2] test (GigabitEthernet4/0, GigabitEthernet4/1)
Inline Interface Pair Vlan Groups for foo:
Subinterface: 3; Vlans: 200-299
Description[Created via setup by user cisco]:
Available inline interface pairs:
[1] foo (GigabitEthernet3/0, GigabitEthernet3/1)
[2] test (GigabitEthernet4/0, GigabitEthernet4/1)
[1] Remove interface configurations.
[2] Add/Modify Inline Vlan Pairs.
[3] Add/Modify Promiscuous Vlan Groups.
[4] Add/Modify Inline Interface Pairs.
[5] Add/Modify Inline Interface Pair Vlan Groups.
[6] Modify interface default-vlan.
GigabitEthernet0/0 default-vlan[0]:
GigabitEthernet1/0 default-vlan[0]:
GigabitEthernet1/1 default-vlan[0]:
GigabitEthernet2/0 default-vlan[0]:
GigabitEthernet2/1 default-vlan[0]:
GigabitEthernet3/0 default-vlan[0]: 100
GigabitEthernet3/1 default-vlan[0]: 100
GigabitEthernet4/0 default-vlan[0]:
GigabitEthernet4/1 default-vlan[0]:
[1] Remove interface configurations.
[2] Add/Modify Inline Vlan Pairs.
[3] Add/Modify Promiscuous Vlan Groups.
[4] Add/Modify Inline Interface Pairs.
[5] Add/Modify Inline Interface Pair Vlan Groups.
[6] Modify interface default-vlan.
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
Current interface configuration
Command control GigabitEthernet0/1
GigabitEthernet1/0:10 (Vlans: 20, 10)
GigabitEthernet1/1:1 (Vlans: 3,8,34-39)
test (GigabitEthernet4/0, GigabitEthernet4/1)
Inline Interface Pair Vlan Groups:
foo:1 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 100-199)
Event Action Rules: rules0
Signature Definitions: sig0
GigabitEthernet1/0:1 (Vlans: 2, 3)
GigabitEthernet1/0:2 (Vlans: 344, 23)
Event Action Rules: myEvr
Signature Definition: mySigs
GigabitEthernet1/1:3 (Vlans: 5-7,9)
Inline Interface Pair Vlan Groups:
foo:3 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 200-299)
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
[1] Remove virtual sensor.
[2] Modify “vs0” virtual sensor configuration.
[3] Modify “myVs” virtual sensor configuration.
[4] Create new virtual sensor.
[1] Remove virtual sensor.
[2] Modify "vs0” virtual sensor configuration.
[3] Create new virtual sensor.
Event Action Rules: rules0
Signature Definitions: sig0
[1] GigabitEthernet1/0:1 (Vlans: 2, 3)
[2] GigabitEthernet1/0:2 (Vlans: 344, 23)
[3] GigabitEthernet1/0:2 (Vlans: 344, 23)
[4] GigabitEthernet1/0:10 (Vlans: 20, 10)
[5] GigabitEthernet1/1:1 (Vlans: 3,8,34-39)
[6] GigabitEthernet1/1:3 (Vlans: 5-7,9)
[7] test (GigabitEthernet4/0, GigabitEthernet4/1)
Inline Interface Pair Vlan Groups:
[8] foo:1 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 100-199)
[9] foo:3 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 200-299)
Current interface configuration
Command control GigabitEthernet0/1
GigabitEthernet1/0:2 (Vlans: 344, 23)
GigabitEthernet1/1:1 (Vlans: 3,8,34-39)
GigabitEthernet1/1:3 (Vlans: 5-7,9)
test (GigabitEthernet4/0, GigabitEthernet4/1)
Inline Interface Pair Vlan Groups:
foo:1 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 100-199)
foo:3 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 200-299)
Event Action Rules: rules0
Signature Definitions: sig0
GigabitEthernet1/0:1 (Vlans: 2, 3)
GigabitEthernet1/0:10 (Vlans: 20, 10)
[1] Remove virtual sensor.
[2] Modify “myVs” virtual sensor configuration.
[3] Create new virtual sensor.
Description[Created via setup by user cisco]:
Anomaly Detection Configuration:
[3] Create a new anomaly detection configuration
Signature Definition Configuration:
[3] Create new signature definition configuration
Event Action Rules Configuration:
[4] Create new event action rules configuration
[3] GigabitEthernet1/0:1 (Vlans: 2, 3)
[4] GigabitEthernet1/1:1 (Vlans: 3,8,34-39)
[5] GigabitEthernet1/1:3 (Vlans: 5-7,9)
[6] test (GigabitEthernet4/0, GigabitEthernet4/1)
Inline Interface Pair Vlan Groups:
[7] foo:1 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 100-199)
[8] foo:3 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 200-299)
Current interface configuration
Command control GigabitEthernet0/1
GigabitEthernet1/0:1 (Vlans: 2, 3)
GigabitEthernet1/1:1 (Vlans: 3,8,34-39)
GigabitEthernet1/1:3 (Vlans: 5-7,9)
test (GigabitEthernet4/0, GigabitEthernet4/1)
Inline Interface Pair Vlan Groups:
foo:1 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 100-199)
foo:3 (GigabitEthernet3/0, GigabitEthernet3/1 Vlans: 200-299)
Event Action Rules: rules0
Signature Definitions: sig0
GigabitEthernet1/0:1 (Vlans: 2, 3)
GigabitEthernet1/0:2 (Vlans: 344, 23)
GigabitEthernet1/0:10 (Vlans: 20, 10)
Event Action Rules: newRules
Signature Definition: mySigs
[1] Remove virtual sensor.
[2] Modify “vs0” virtual sensor configuration.
[3] Modify “newVs” virtual sensor configuration.
[4] Create new virtual sensor.
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
Modify default threat prevention settings? [no] yes
Virtual sensor vs0 is NOT configured to prevent a modified range of threats in inline mode. (Risk Rating 75-100)
Virtual sensor newVs is configured to prevent high risk threats in inline mode. (Risk Rating 90-100)
Do you want to enable automatic threat prevention on all virtual sensors? [no]
(注) 上記の質問への応答に yes を選択すると、その次の質問は表示されません。
(注) すべての仮想センサーが有効である場合、無効にするかどうかの質問だけが表示されます。
(注) すべての仮想センサーが無効である場合、有効にするかどうかの質問だけが表示されます。
Do you want to disable automatic threat prevention on all virtual sensors? [no] yes
The Event Action "overrides" rule for action "deny-packet-inline" has been Disabled on all virtual sensors.
The following configuration was entered.
host-ip 172.21.172.25/8,172.21.172.1
standard-time-zone-name CST
summertime-option recurring
ntp-option enabled-ntp-unauthenticated
service event-action-rules rules0
overrides deny-packet-inline
override-item-status Disabled
service event-action-rules myEvr
overrides deny-packet-inline
override-item-status Disabled
service event-action-rules newRules
overrides deny-packet-inline
override-item-status Disabled
service event-action-rules rules0
overrides deny-packet-inline
service event-action-rules newRules
overrides deny-packet-inline
physical-interfaces GigabitEthernet0/0
physical-interfaces GigabitEthernet1/0
subinterface-type inline-vlan-pair
description Created via setup by user cisco
description Created via setup by user cisco
description Created via setup by user cisco
physical-interfaces GigabitEthernet1/1
subinterface-type vlan-group
description Created via setup by user cisco
description Created via setup by user cisco
physical-interfaces GigabitEthernet2/0
physical-interfaces GigabitEthernet2/1
physical-interfaces GigabitEthernet3/0
physical-interfaces GigabitEthernet3/1
description Create via setup by user cisco
interface1 GigabitEthernet3/0
interface2 GigabitEthernet3/1
subinterface-type vlan-group
description Created via setup by user cisco
interface1 GigabitEthernet4/0
interface2 GigabitEthernet4/1
physical-interface GigabitEthernet1/0 subinterface-number 2
physical-interface GigabitEthernet1/0 subinterface-number 10
event-action-rulse newRules
signature-definition mySigs
physical-interface GigabitEthernet2/0
physical-interface GigabitEthermet2/1
[0] Go to the command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration and exit.
Enter your selection [2]:
show ad-knowledge-base diff
2 つの KB の違いを表示するには、EXEC モードで show ad-knowledge-base diff コマンドを使用します。
show ad-knowledge-base virtual-sensor diff [ current | initial | file name1 ][ current | initial | file name2 ] diff-percentage
構文の説明
virtual-sensor |
比較する KB ファイルが含まれる仮想センサー。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。 |
current |
現在ロードされている KB。 |
initial |
初期の KB。 |
file |
既存の KB ファイル。 |
name1 |
比較する 1 つ目の既存 KB ファイルの名前。最大 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。 |
name2 |
比較する 2 つ目の既存 KB ファイルの名前。最大 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。 |
diff-percentage |
(任意)しきい値が指定された割合よりも異なるサービスを表示します。有効な値は 1 ~ 100 です。デフォルトは 10% です。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
使用上のガイドライン
このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、2011-Mar-16-10_00_00 と仮想センサー vs0 に現在ロードされている KB を比較します。
sensor# show ad-knowledge-base vs0 diff current file 2011-Mar-16-10_00_00
2011-Mar-17-10_00_00 Only Services/Protocols
2006-Mar-16-10_00_00 Only Services/Protocols
Thresholds differ more than 10%
show ad-knowledge-base files
仮想センサーで使用できる異常検出 KB ファイルを表示するには、EXEC モードで show ad-knowledge-base files コマンド使用します。
show ad-knowledge-base virtual-sensor files
構文の説明
virtual-sensor |
(任意)KB ファイルが含まれる仮想センサー。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
使用上のガイドライン
ファイル名の前にある * は、その KB ファイルが現在ロードされていることを示します。現行 KB は必ず存在します(インストール後は初期の KB です)。異常検出で現在ロードされている KB、または異常検出が現在アクティブになっていない場合はロードされている KB が示されます。
仮想センサーを指定しない場合、すべての仮想センサーですべての KB ファイルが取得されます。
初期の KB は、しきい値が工場出荷時の設定になっている KB です。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、すべての仮想センサーで使用できる KB ファイルを示します。2011-Mar-16-10_00_00 ファイルは、仮想センサー vs0 にロードされた現行 KB ファイルです。
sensor# show ad-knowledge-base files
initial 84 04:27:07 CDT Wed Jan 28 2011
* 2011-Jan-29-10_00_01 84 04:27:07 CDT Wed Jan 29 2011
2011-Mar-17-10_00_00 84 10:00:00 CDT Fri Mar 17 2011
2011-Mar-18-10_00_00 84 10:00:00 CDT Sat Mar 18 2011
show ad-knowledge-base thresholds
KB のしきい値を表示するには、EXEC モードで show ad-knowledge-base thresholds コマンドを使用します。
show ad-knowledge-base virtual-sensor thresholds { current | initial | file name } [ zone { external | illegal | internal }] {[ protocol { tcp | udp }] [ dst-port port ] | [ protocol other ] [ number protocol-number ]}
構文の説明
virtual-sensor |
比較する KB ファイルが含まれる仮想センサー。1 ~ 64 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。 |
current |
現在ロードされている KB。 |
initial |
初期の KB。 |
file |
既存の KB ファイル。 |
name |
KB ファイル名。最大 32 文字の大文字小文字を区別する文字列です。有効な文字は A ~ Z、a ~ z、0 ~ 9、「-」および「_」です。 |
zone |
(任意)指定されたゾーンのしきい値だけを表示します。デフォルトでは、すべてのゾーンに関する情報が表示されます。 |
external |
外部ゾーンを表示します。 |
illegal |
無許可ゾーンを表示します。 |
internal |
内部ゾーンを表示します。 |
protocol |
(任意)指定したプロトコルのしきい値だけを表示します。デフォルトでは、すべてのプロトコルに関する情報が表示されます。 |
tcp |
TCP プロトコルを表示します。 |
udp |
UDP プロトコルを表示します。 |
dst-port |
(任意)指定されたポートのしきい値だけを表示します。デフォルトでは、すべての TCP ポートまたは UDP ポートに関する情報が表示されます。 |
port |
(任意)指定されたポートのしきい値だけを表示します。デフォルトでは、すべての TCP ポートまたは UDP ポートに関する情報が表示されます。有効な値は 0 ~ 65535 です。 |
protocol |
(任意)他のプロトコルのしきい値だけを表示します。 |
other |
TCP または UDP 以外のプロトコルを表示します。 |
number |
(任意)他の特定のプロトコル番号のしきい値だけを表示します。デフォルトでは、他のすべてのプロトコルに関する情報が表示されます。 |
protocol-number |
プロトコル番号。有効な値は 0 ~ 255 です。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
例
表示されたしきい値は、KB に含まれるしきい値です。上書きされるユーザ コンフィギュレーションがある場合のしきい値は、知識ベースのしきい値とユーザ コンフィギュレーションの両方が表示されます。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、KB 2011-Mar-16-10_00_00 の無許可ゾーンに含まれるしきい値を示します。
sensor# show ad-knowledge-base vs0 thresholds file 2011-Mar-16-10_00_00 zone illegal
>> User Configuration = 100
>> User Configuration: source IP 100 1 0
>> Knowledge Base: source IP 10 1 0
Knowledge Base: source IP 10 1 0
Knowledge Base: source IP 2 1 0
Knowledge Base: source IP 12 10 0
Knowledge Base: source IP 1 1 0
Knowledge Base: source IP 10 10 0
次の例は、現行 KB の無許可ゾーンに含まれ、プロトコルが TCP で宛先ポートが 20 である場合のしきい値を示します。
sensor# show ad-knowledge-base vs0 thresholds current zone illegal protocol tcp dst-port 20
>> User Configuration = 100
>> User Configuration: source IP 100 1 0
>> Knowledge Base: source IP 10 1 0
次の例は、現行 KB の無許可ゾーンに含まれ、プロトコルがその他で宛先ポート番号が 1 である場合のしきい値を示します。
sensor# show ad-knowledge-base vs0 thresholds current zone illegal protocol other number 1
>> User Configuration = 79
>> User Configuration: source IP 100 5 0
>> Knowledge Base: source IP 12 1 0
show begin
show コマンドの出力を検索するには、EXEC モードで show begin コマンドを使用します。このコマンドは、指定された正規表現を含む最初の行で show コマンドの出力を開始します。
show [configuration | events | settings | tech-support] | begin regular-expression
構文の説明
| |
縦棒は、出力処理指定が続くことを意味します。 |
regular-expression |
show コマンド出力に存在する任意の正規表現。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
4.0(2) |
show コマンドの begin 拡張が追加されました。 |
5.1(1) |
tech-support オプションが追加されました。 |
使用上のガイドライン
regular-expression 引数は、大文字と小文字が区別され、複雑な一致要件を指定することが可能です。
例
次の例は、正規表現「ip」から始まる出力を示します。
sensor# show configuration | begin ip
host-ip 172.21.172.25/8,172.21.172.1
login-banner-text This message will be displayed on user login.
standard-time-zone-name CST
! ------------------------------
! ------------------------------
! ------------------------------
! ------------------------------
関連コマンド
|
|
more begin |
more コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。 |
more exclude |
more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。 |
more include |
more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。 |
show exclude |
show コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。 |
show include |
show コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。 |
show clock
システム クロックを表示するには、EXEC モードで show clock コマンドを使用します。
show clock [detail]
構文の説明
detail |
(任意)クロック ソース(NTP またはシステム)および現行のサマータイム設定(設定されている場合)を示します。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
使用上のガイドライン
システム クロックは、時刻が信頼できる(正確であると信じられる)かどうかを示す「信頼性」フラグを保持しています。システム クロックがタイミング ソースによって設定されている場合は、フラグを設定します。 表 2-2 に、保証フラグを示します。
表 2-2 保証フラグ
|
|
* |
時刻は信頼できません。 |
(空白) |
時刻は信頼できます。 |
. |
時刻は信頼できますが、NTP と同期していません。 |
例
次の例は、設定され、同期化された NTP を示します。
sensor# show clock detail
12:30:02 CST Tues Dec 19 2011
Summer time starts 03:00:00 CDT Sun Apr 7 2011
Summer time ends 01:00:00 CST Sun Oct 27 2011
次の例は、時刻源が設定されていないことを示します。
*12:30:02 EST Tues Dec 19 2011
次の例は、時刻源が設定されていないことを示します。
sensor# show clock detail
*12:30:02 CST Tues Dec 19 2011
Summer time starts 02:00:00 CST Sun Apr 7 2011
Summer time ends 02:00:00 CDT Sun Oct 27 2011
show configuration
more コマンドの more current-config コマンドを参照してください。
show events
ローカル イベント ログの内容を表示するには、EXEC モードで show events コマンドを使用します。
show events [{ alert [ informational ] [ low ] [ medium ] [ high ] [ include-traits traits ] [ exclude-traits traits ] [ min-threat-rating min-rr ] [ max-threat-rating max-rr | error [ warning ] [ error ] [ fatal ] | NAC | status }] [ hh:mm:ss [ month day [ year ]] | past hh:mm:ss ]
構文の説明
alert |
アラートを表示します。侵入攻撃が行われている、または試みられた可能性のある動作を通知します。アラート イベントは、IPS シグニチャがネットワーク アクティビティでトリガーされると、常に分析エンジンによって生成されます。レベル(情報、低、中、高)が選択されていない場合、すべてのアラート イベントが表示されます。 |
informational |
情報アラートを指定します。 |
low |
低レベルのアラートを指定します。 |
medium |
中レベルのアラートを指定します。 |
high |
高レベルのアラートを指定します。 |
include-traits |
指定された traits のあるアラートを表示します。 |
exclude-traits |
指定された traits のあるアラートを表示しません。 |
traits |
10 進数(0 ~ 15)での特性ビット位置。 |
min-threat-rating |
最小の脅威レーティングを表示するように指定します。 |
min-rr |
この値以上の脅威レーティングを持つイベントを表示します。有効な範囲は 0 ~ 100 です。デフォルトは 0 です。 |
max-threat-rating |
この値以下の脅威レーティングを持つイベントを表示します。有効な範囲は 0 ~ 100 です。デフォルト値は 100 です。 |
max-rr |
最大の脅威レーティングを表示するように指定します。 |
error |
エラー イベントを表示します。エラー イベントは、エラー状態が検出されたときに、サービスによって生成されます。レベル(警告、エラー、または重大)が選択されていない場合、すべてのエラー イベントが表示されます。 |
warning |
警告レベルのエラーを指定します。 |
error |
エラーレベルのエラーを指定します。 |
fatal |
重大レベルのエラーを指定します。 |
NAC |
ARC 要求(ブロック要求)を表示します。 が表示されます。 |
status |
ステータス イベントを表示します。 |
hh:mm:ss |
時(24 時形式)、分、および秒形式の開始時間。 |
day |
月の開始日(日)。 |
month |
開始月(月の名前)。 |
year |
開始年(省略なし)。 |
past |
今までに開始したイベントを表示します。 hh: mm: ss に表示を開始する過去の時間を指定します。 |
デフォルト
デフォルト値については、構文の説明の表を参照してください。
コマンド モード
EXEC
管理者、オペレータ、ビューア
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
4.0(2) |
複数のエラー イベント レベルを同時に選択できる機能が追加されました。 |
4.1(1) |
include-traits 、 exclude-traits 、および past オプションが追加されました。 |
6.0(2) |
min-threat-rating および max-threat-rating オプションが追加されました。 |
使用上のガイドライン
show events コマンドは、要求された開始時刻から、要求されたイベントの種類を表示します。開始時刻を入力しないと、現在の時刻に始まる、選択されたタイプのイベントが表示されます。イベントの種類が入力されない場合、すべてのイベントが表示されます。イベントは、ライブ フィードとして表示されます。Ctrl+C を押すと、ライブ フィードをキャンセルできます。
show events コマンドで正規表現 | include shunInfo を使用すると、イベントのソース アドレスなどのブロッキング情報を表示できます。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、2011 年 7 月 25 日 午前 10 時に開始したブロック要求を示します。
sensor#
show events NAC 10:00:00 Jul 25 2011
次の例は、現行時間に開始するエラーおよび重大エラー メッセージを示します。
sensor#
show events error fatal error
次の例は、2011 年 7 月 25 日 午前 10 時に開始したすべてのイベントを示します。
sensor#
show events 10:00:00 Jul 25 2011
次の例は、過去 30 秒に開始したすべてのイベントを示します。
sensor#
show events past 00:00:30
次の出力は、XML コンテンツから取得されます。
evAlert: eventId=1025376040313262350 severity=high
time: 2011/07/30 18:24:18 2011/07/30 12:24:18 CST
signature: sigId=4500 subSigId=0 version=1.0 IOS Embedded SNMP Community Names
show exclude
show コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除するには、EXEC モードで show exclude コマンドを使用します。
show [configuration | events | settings | tech-support] | exclude regular-expression
構文の説明
| |
縦棒は、出力処理指定が続くことを意味します。 |
regular-expression |
show コマンド出力で検出される任意の正規表現。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
4.0(2) |
show コマンドの exclude 拡張が追加されました。 |
5.1(1) |
tech-support オプションが追加されました。 |
使用上のガイドライン
regular-expression 引数は、大文字と小文字が区別され、複雑な一致要件を指定することが可能です。
例
次の例は、正規表現「ip」を排除した出力を示します。
sensor# show configuration | exclude ip
! ------------------------------
! Current configuration last modified Mon May 20 10:05:26 2013
! ------------------------------
! Signature Update S697.0 2013-02-15
! ------------------------------
physical-interfaces GigabitEthernet0/0
subinterface-type inline-vlan-pair
! ------------------------------
! ------------------------------
service event-action-rules rules0
! ------------------------------
dns-primary-server disabled
! ------------------------------
! ------------------------------
! ------------------------------
! ------------------------------
service signature-definition sig0
event-action produce-alert
! ------------------------------
service signature-definition sig1
event-action produce-alert
event-action produce-alert
event-action produce-alert
! ------------------------------
! ------------------------------
service trusted-certificates
! ------------------------------
! ------------------------------
service anomaly-detection ad0
! ------------------------------
service external-product-interface
! ------------------------------
! ------------------------------
service global-correlation
! ------------------------------
! ------------------------------
physical-interface GigabitEthernet0/0 subinterface-number 1
signature-definition sig1
physical-interface GigabitEthernet0/0 subinterface-number 2
signature-definition sig1
physical-interface GigabitEthernet0/0 subinterface-number 3
signature-definition sig1
physical-interface GigabitEthernet0/0 subinterface-number 4
関連コマンド
|
|
more begin |
more コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。 |
more exclude |
more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。 |
more include |
more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。 |
show begin |
特定の show コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。 |
show include |
show コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。 |
show health
IPS のヘルスおよびセキュリティ ステータスを表示するには、EXEC モードで show health コマンドを使用します。
show health
構文の説明
このコマンドには引数またはキーワードはありません。
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
コマンド履歴
|
|
6.1(1) |
このコマンドが導入されました。 |
7.0(1) |
グローバル相関とネットワーク参加が追加されました。 |
使用上のガイドライン
このコマンドを使用して、IPS によって追跡されたヘルス メトリックのヘルス ステータス、および設定された各仮想センサーのセキュリティ ステータスを表示します。センサーがアップ状態になると、IPS が完全に初期化されるまで、一部のヘルス メトリックのステータスが赤になるのは正常な動作です。また、初期化が完了するまでセキュリティ ステータスは表示されません。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、IPS ヘルスのステータスを示します。
Overall Health Status Green
Health Status for Failed Applications Green
Health Status for Signature Updates Green
Health Status for License Key Expiration Green
Health Status for Running in Bypass Mode Green
Health Status for Interfaces Being Down Green
Health Status for the Inspection Load Green
Health Status for the Time Since Last Event Retrieval Green
Health Status for the Number of Missed Packets Green
Health Status for the Memory Usage Not Enabled
Health Status for Global Correlation Green
Health Status for Network Participation Not Enabled
Security Status for Virtual Sensor vs0 Green
show history
現行のメニューで入力したコマンドのリストを表示するには、すべてのモードで show history コマンドを使用します。
show history
構文の説明
このコマンドには引数またはキーワードはありません。
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
すべてのモード
管理者、オペレータ、ビューア
使用上のガイドライン
show history コマンドでは、現行メニューで入力したコマンドの記録が表示されます。履歴バッファに記録されるコマンド数は 50 です。
例
次の例は、show history コマンドで表示されるコマンドの記録を示します。
show include
show コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示するには、EXEC モードで show include コマンドを使用します。
show [configuration | events | settings | tech-support] | include regular-expression
構文の説明
| |
縦棒は、出力処理指定が続くことを意味します。 |
regular-expression |
show コマンド出力に存在する任意の正規表現。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ(current-config のみ)、ビューア(current-config のみ)
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
4.0(2) |
show コマンドの include 拡張が追加されました。 |
5.1(1) |
tech-support オプションが追加されました。 |
使用上のガイドライン
regular-expression 引数は、大文字と小文字が区別され、複雑な一致要件を指定することが可能です。
show settings コマンドの出力では、照合要求のヘッダー情報も表示され、照合コンテキストを判別できます。
例
次の例は、正規表現「ip」を含む行のみの出力を示します。
sensor# show configuration | include ip
host-ip 172.21.172.25/8,172.21.172.1
関連コマンド
|
|
more begin |
more コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。 |
more exclude |
more コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。 |
more include |
more コマンドの出力をフィルタ処理して、特定の正規表現を含む行のみを表示します。 |
show begin |
特定の show コマンドの出力を検索し、指定された文字列の最初のインスタンスからの出力を表示します。 |
show exclude |
show コマンドの出力をフィルタ処理して、特定の正規表現を含む行を排除します。 |
show inspection-load
現在の時刻のタイムスタンプと最新の検査負荷割合を表示するには、 show inspection-load コマンドを使用します。 history キーワードを使用して、検査負荷割合の履歴値の 3 つのヒストグラムを表示します。
show inspection-load [history]
構文の説明
history |
(任意)検査負荷割合の履歴値のタイムスタンプと 3 つのヒストグラムを表示します。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
コマンド履歴
|
|
7.1(3) |
show コマンドの inspection-load 拡張が追加されました。 |
使用上のガイドライン
show inspection-load コマンドを実行すると、現在の時刻のタイムスタンプと最新の検査負荷割合が表示されます。 show inspection-load history コマンドを実行すると、検査負荷割合の履歴値のタイムスタンプと 3 つのヒストグラムが表示されます。最初のヒストグラムは、直前の 6 分間の負荷を 10 秒間隔で表示します。2 番目のヒストグラムは直前の 60 分間の分単位の最大負荷レベルと平均負荷を表示します。3 番目のヒストグラムは、直前の 72 時間の時間単位の平均および最大負荷レベルを表示します。
例
次の例は、タイムスタンプ、最後の検査負荷割合、および 3 つのヒストグラムを示します。
sensor# show inspection-load
sensor 08:18:13 PM Friday Jan 15 2011 UTC
Inspection Load Percentage = 1
sensor# show inspection-load history
sensor 08:18:13 PM Friday Jan 15 2011 UTC
Inspection Load Percentage = 65
60 * * *** * ****** ** * * * * * * ** ** *
50 * * *** * ****** ** * * * * * * ** ** *
40 * *** ********************* * * * * ** * * * * * ***********
30 ********************************* ************ *************
20 ************************************************************
10 ************************************************************
0.........1.........2.........3.........4.........5.........6
Inspection Load Percentage (last 6 minutes at 10 second intervals)
60 * * *** * ****** ** * * * * * * ** ** *
50 * * *** * ****** ** * * * * * * ** ** *
40 * *** *********####******** * * * * ** * * * * * ***********
30 ####**###*###*######**##****#*#*# *********#*# #*##****#####
20 ############################################################
10 ############################################################
0....5....1....1....2....2....3....3....4....4....5....5....6
Inspection Load Percentage (last 60 minutes) *=maximum #=average
60 * * *** * ****** ** * * * * * * ** ** * * * *** *
50 * * *** * ****** ** * * * * * * ** ** * * * *** *
40 * *** ********************* * * * * ** * * * * * *********** * * ***
30 ******###**#**######**##****#*#*# *********#*# #*##****##**# #*#*###
20 #####################################################################
10 #####################################################################
0....5....1....1....2....2....3....3....4....4....5....5....6....6....7.
0 5 0 5 0 5 0 5 0 5 0 5 0
Inspection Load Percentage (last 72 hours) *=maximum #=average
show interfaces
すべてのシステム インターフェイスの統計情報を表示するには、EXEC モードで show interfaces コマンドを使用します。このコマンドは、 show interfaces management 、 show interfaces fastethernet 、および show interface gigabitethernet を表示します。
show interfaces [clear] [ brief ]
show interfaces {FastEthernet | GigabitEthernet | Management | PortChannel} [ slot/port ]
構文の説明
clear |
(任意)診断をクリアします。 |
brief |
(任意)各インターフェイスのユーザビリティ ステータスの概要を表示します。 |
FastEthernet |
FastEthernet インターフェイスの統計情報を表示します。 |
GigabitEthernet |
GigabitEthernet インターフェイスの統計情報を表示します。 |
Management |
Management インターフェイスの統計情報を表示します。 の出力で表示されます。 |
PortChannel |
PortChannel インターフェイスの統計情報を表示します。 |
slot/port |
スロット情報およびポート情報については、該当するハードウェア マニュアルを参照してください。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
コマンド履歴
|
|
5.0(1) |
show interfaces group 、 show interfaces sensing 、および show interfaces command-control コマンドが削除されました。 show interfaces FastEthernet 、 show interfaces GigabitEthernet 、および show interfaces Management コマンドが追加されました。 |
6.0(1) |
キーワード brief が追加されました。 |
7.1(1) |
Portchannel コマンドが追加されました。 |
使用上のガイドライン
このコマンドは、コマンド制御およびセンシング インターフェイスに関する統計情報を表示します。 clear オプションで統計情報をクリアしてリセットすることもできます。
インターフェイスの種類を指定してこのコマンドを使用すると、その種類のすべてのインターフェイスに関する統計情報が表示されます。スロット番号やポート番号を追加すると、その特定のインターフェイスに関する統計情報が表示されます。
エントリの横にある * は、そのインターフェイスがコマンドおよび制御インターフェイスであることを示します。
(注) IPS 4510 および IPS 4520 の show interface コマンドの出力には、サイズ不足パケット総数または送信 FIFO オーバーラン総数が含まれません。
例
次の例は、インターフェイス統計情報を示します。
Total Packets Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/0
Missed Packet Percentage = 0
Total Packets Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
次の例は、インターフェイス統計情報の概要出力を示します。
sensor# show interfaces brief
CC Interface Sensing State Link Inline Mode Pair Status
GigabitEthernet0/0 Enabled Up Unpaired N/A
* GigabitEthernet0/1 Enabled Up Unpaired N/A
GigabitEthernet2/1 Disabled Up Subdivided N/A
show interfaces-history
すべてのシステム インターフェイスの履歴統計情報を表示するには、EXEC モードで show interfaces-history コマンドを使用します。各インターフェイスの履歴情報は、60 秒単位で 3 日間保持されます。show interfaces-history {FastEthernet | GigabitEthernet | Management | PortChannel} [traffic-by-hour | traffic-by-minute] コマンドを使用して、特定のインターフェイスの統計情報を表示します。
show interfaces-history [traffic-by-hour | traffic-by-minute] past HH:MM
show interfaces-history {FastEthernet | GigabitEthernet | Management | PortChannel} [traffic-by-hour | traffic-by-minute] past HH:MM
構文の説明
traffic-by-hour |
時間単位でインターフェイス トラフィック履歴を表示します。 |
traffic-by-minute |
分単位でインターフェイス トラフィック履歴を表示します。 |
past |
履歴インターフェイス トラフィック情報を表示します。 |
HH:MM |
過去に遡って、トラフィックの表示を開始する時間を指定します。HH に指定できる範囲は 0 ~ 72 です。MM に指定できる範囲は 0 ~ 59 です。最小値は 00:01 で、最大値は 72:00 です。 |
FastEthernet |
FastEthernet インターフェイスの統計情報を表示します。 |
GigabitEthernet |
GigabitEthernet インターフェイスの統計情報を表示します。 |
Management |
Management インターフェイスの統計情報を表示します。 の出力で表示されます。 |
PortChannel |
PortChannel インターフェイスの統計情報を表示します。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
使用上のガイドライン
各レコードの形式は次のとおりです。
• Total packets received
• Total bytes received
• FIFO overruns
• Receive errors
• Received Mbps
• Missed packet percentage
• Average load
• Peak load
(注) 履歴インターフェイス機能をサポートするために、ヘルス モニタリングをイネーブルにしておく必要があります。
(注) 過去 72 時間の各インターフェイスの履歴データは、show tech-support コマンドにも含まれています。
(注) IPS 4510 および IPS 4520 の show interface コマンドの出力には、サイズ不足パケット総数または送信 FIFO オーバーラン総数が含まれません。
例
次の例は、履歴インターフェイス統計情報を示します。
sensor# show interfaces-history traffic-by-hour past 02:15
Time Packets Received Bytes Received Mbps MPP
FIFO Overruns Receive Errors Avg Load Peak Load
11:30:31 UTC Tue Mar 05 2013 0 0 0 0
10:27:32 UTC Tue Mar 05 2013 0 0 0 0
Time Packets Received Bytes Received Mbps MPP
FIFO Overruns Receive Errors Avg Load Peak Load
11:30:31 UTC Tue Mar 05 2013 0 0 0 0
10:27:32 UTC Tue Mar 05 2013 0 0 0 0
Time Packets Received Bytes Received Mbps MPP
FIFO Overruns Receive Errors Avg Load Peak Load
11:30:31 UTC Tue Mar 05 2013 0 0 0 0
10:27:32 UTC Tue Mar 05 2013 0 0 0 0
Time Packets Received Bytes Received Mbps MPP
FIFO Overruns Receive Errors Avg Load Peak Load
11:30:31 UTC Tue Mar 05 2013 0 0 0 0
10:27:32 UTC Tue Mar 05 2013 0 0 0 0
Time Packets Received Bytes Received Mbps MPP
FIFO Overruns Receive Errors Avg Load Peak Load
11:30:31 UTC Tue Mar 05 2013 31071600 3240924703 0 0
10:27:32 UTC Tue Mar 05 2013 30859941 3216904786 0 0
sensor# show interfaces-history traffic-by-minute past 00:45
Time Packets Received Bytes Received Mbps MPP
FIFO Overruns Receive Errors Avg Load Peak Load
12:27:49 UTC Tue Mar 05 2013 0 0 0 0
12:26:45 UTC Tue Mar 05 2013 0 0 0 0
12:25:48 UTC Tue Mar 05 2013 0 0 0 0
12:24:42 UTC Tue Mar 05 2013 0 0 0 0
12:23:37 UTC Tue Mar 05 2013 0 0 0 0
12:22:30 UTC Tue Mar 05 2013 0 0 0 0
12:21:31 UTC Tue Mar 05 2013 0 0 0 0
12:20:29 UTC Tue Mar 05 2013 0 0 0 0
12:19:25 UTC Tue Mar 05 2013 0 0 0 0
12:18:18 UTC Tue Mar 05 2013 0 0 0 0
12:17:12 UTC Tue Mar 05 2013 0 0 0 0
12:16:07 UTC Tue Mar 05 2013 0 0 0 0
12:15:00 UTC Tue Mar 05 2013 0 0 0 0
12:13:54 UTC Tue Mar 05 2013 0 0 0 0
12:12:49 UTC Tue Mar 05 2013 0 0 0 0
12:11:43 UTC Tue Mar 05 2013 0 0 0 0
12:10:36 UTC Tue Mar 05 2013 0 0 0 0
12:09:30 UTC Tue Mar 05 2013 0 0 0 0
12:08:24 UTC Tue Mar 05 2013 0 0 0 0
12:07:25 UTC Tue Mar 05 2013 0 0 0 0
12:06:23 UTC Tue Mar 05 2013 0 0 0 0
12:05:25 UTC Tue Mar 05 2013 0 0 0 0
Multicast Packets Transmitted = 0
次の例は、特定のインターフェイスの履歴インターフェイス統計情報を示します。
sensor# show interfaces-history GigabitEthernet0/0 traffic-by-minute past 00:05
Time Packets Received Bytes Received Mbps MPP
FIFO Overruns Receive Errors Avg Load Peak Load
13:34:38 UTC Thu Mar 07 2013 0 0 0 00
13:33:35 UTC Thu Mar 07 2013 0 0 0 00
13:32:32 UTC Thu Mar 07 2013 0 0 0 00
13:31:27 UTC Thu Mar 07 2013 0 0 0 00
13:30:25 UTC Thu Mar 07 2013 0 0 0 00
show inventory
PEP 情報を表示するには、EXEC モードで show inventory コマンドを使用します。このコマンドは、センサーの PID、VID および SN で構成された UDI 情報を表示します。FRUable 部分(たとえば、SFP/SFP+ モジュール、Regex アクセラレータ カード、および電源)も表示されます。
show inventory
構文の説明
このコマンドには引数またはキーワードはありません。
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
コマンド履歴
|
|
5.0(1) |
このコマンドが導入されました。 |
7.1(5) |
このコマンドは、SFP/SFP+ モジュールおよび Regex アクセラレータ カードを表示するように変更されました。 |
7.2(1) |
このコマンドは、IPS 4300 シリーズ センサーの電源を表示するように変更されました。 |
使用上のガイドライン
これは、Cisco PEP ポリシーで必要となる show inventory Cisco IOS コマンドと同じです。 show inventory の出力は、ハードウェアによって異なります。
例
次の例は、 show inventory コマンドの出力例を示します。
Name: "Chassis", DESCR: "IPS 4360 with SW, 8 GE data + 1 GE mgmt"
PID: IPS-4360 , VID: V00, SN: FCH1504V04T
Name: "RegexAccelerator/0", DESCR: "LCPX8640 (humphrey)"
PID: PREAKNESS 2G , VID: 335, SN: LXXXXXYYYY
NAME: "Chassis", DESCR: "Chasis-4240"
PID: 4240-515E , VID: V04, SN: 639156
NAME: "slot 0", DESCR: "4 port I/O card"
PID: 4240-4IOE , VID: V04, SN: 4356785466
Name: "Module", DESCR: "IPS 4510- 6 Gig E, 4 10 Gig E SFP+"
PID: IPS-4510-INC-K9 , VID: V01, SN: JAF1546CECE
Name: "Chassis", DESCR: "ASA 5585-X"
PID: ASA5585 , VID: V02, SN: JMX1552705F
Name: "power supply 0", DESCR: "ASA 5585-X AC Power Supply"
PID: ASA5585-PWR-AC , VID: V03, SN: POG1540001Z
Name: "power supply 1", DESCR: "ASA 5585-X AC Power Supply"
PID: ASA5585-PWR-AC , VID: V03, SN: POG1540000B
Name: "RegexAccelerator/0", DESCR: "LCPX5110 (LCPX5110)"
PID: LCPX5110 , VID: 335, SN: SL14200223
Name: "TenGigabitEthernet0/0", DESCR: "10G Based-SR"
PID: SFP-10G-SR , VID: V03, SN: AGD152740KZ
Name: "TenGigabitEthernet0/1", DESCR: "10G Based-SR"
PID: SFP-10G-SR , VID: V03, SN: AGD15264272
Name: "TenGigabitEthernet0/2", DESCR: "1000Based-SX"
PID: FTLF8519P2BCL-CS , VID: 000, SN: FNS110210C1
Name: "Chassis", DESCR: "IPS 4360 with SW, 8 GE Data + 1 GE Mgmt"
PID: IPS-4360 , VID: V01 , SN: FGL162740J6
Name: "RegexAccelerator/0", DESCR: "LCPX8640 (humphrey)"
PID: FCH162077NK , VID: 33554537, SN: LXXXXXYYYY
Name: "power supply 1", DESCR: "IPS4360 AC Power Supply "
PID: IPS-4360-PWR-AC , VID: 0700A, SN: 25Y1Y8
Name: "power supply 2", DESCR: "IPS4360 AC Power Supply "
PID: IPS-4360-PWR-AC , VID: 0700A, SN: 25Y1Y9
Name: "power supply 1", DESCR: "IPS-4345-K9 AC Power Supply "
PID: IPS-4345-PWR-AC , VID: A1, SN: 000783
show os-identification
センサーが受動分析によって学習した IP アドレスと関連付けられた OS ID を表示するには、EXEC モードで how os-identification コマンドを使用します。
show os-identification [ name ] learned [ ip-address ]
構文の説明
name |
(任意)センサーで設定する仮想センサーの名前。表示操作は、特定された仮想センサーに関連付けられた学習済みアドレスに制限されます。 |
learned |
学習された IP アドレスを指定します。 |
ip-address |
(任意)クエリ対象の IP アドレス。センサーは、指定された IP アドレスにマッピングされた OS ID をレポートします。 |
デフォルト
このコマンドにデフォルトまたは値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
使用上のガイドライン
IP アドレスと仮想センサーはオプションです。IP アドレスを指定すると、指定した IP アドレスの OS ID だけが表示されます。IP アドレスを指定しないと、ラーニングした OS ID がすべて表示されます。
仮想センサーを指定すると、指定した仮想センサーの OS ID だけが表示されます。仮想センサーを指定しないと、すべての仮想センサーの学習した OS ID が表示されます。仮想センサーを指定せずに IP アドレスを指定した場合、要求された IP アドレスが含まれるすべての仮想センサーが出力に表示されます。
例
次の例は、特定の IP アドレスの OS ID を表示します。
sensor# show os-identification learned 10.1.1.12
次の例は、すべての仮想センサーの OS ID を表示します。
sensor# show os-identification learned
関連コマンド
|
|
show statistics os-identification |
OS ID に関する統計情報を表示します。 |
clear os-identification |
センサーが受動分析によって学習した IP アドレスとの OS ID アソシエーションを削除します。 |
show privilege
現在の特権レベルを表示するには、EXEC モードで show privilege コマンドを使用します。
show privilege
構文の説明
このコマンドには引数またはキーワードはありません。
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
使用上のガイドライン
このコマンドを使用して、現行の特権レベルを表示します。特権レベルは、管理者だけが変更できます。詳細については、 username コマンドを参照してください。
例
次の例は、ユーザの特権を示します。
Current privilege level is viewer
関連コマンド
|
|
username |
ローカル センサーのユーザを作成します。 |
show settings
現行のサブモードに含まれるコンフィギュレーションの内容を表示するには、 service コマンド モードで show settings コマンドを使用します。
show settings [terse]
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
すべて service コマンド モード。
管理者、オペレータ、ビューア(最上位コマンド ツリーの表示のみ)
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
4.0(2) |
terse キーワードが追加されました。 |
使用上のガイドライン
このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、ARC コンフィギュレーション モードでの show settings コマンドの出力を示します。
(注) Network Access Controller は Attack Response Controller(ARC)と呼ばれるようになりました。サービスの名前は新しくなりましたが、Cisco IPS 6.2 以降の CLI には変更が反映されていません。CLI を使用すると、引き続き network-access および nac が表示されます。
sensor# configure terminal
sensor(config)# service network-access
sensor(config-net)# show settings
-----------------------------------------------
log-all-block-events-and-errors: true <defaulted>
enable-nvram-write: false <defaulted>
enable-acl-logging: false <defaulted>
allow-sensor-block: true default: false
block-enable: true <defaulted>
block-max-entries: 250 <defaulted>
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-networks (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
block-networks (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
user-profiles (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
cat6k-devices (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
router-devices (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
firewall-devices (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
次の例は、シグニチャ定義サブモードでの show settings terse の出力を示します。
sensor# configure terminal
sensor(config)# service signature-definition sig0
sensor(config-sig)# show settings terse
variables (min: 0, max: 256, current: 2)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
http-enable: false <defaulted>
max-outstanding-http-requests-per-connection: 10 <defaulted>
aic-web-ports: 80-80,3128-3128,8000-8000,8010-8010,8080-8080,8888-8888,
-----------------------------------------------
ftp-enable: true default: false
-----------------------------------------------
-----------------------------------------------
ip-reassemble-mode: nt <defaulted>
-----------------------------------------------
-----------------------------------------------
tcp-3-way-handshake-required: true <defaulted>
tcp-reassembly-mode: strict <defaulted>
次の例は、フィルタ処理された show settings の出力を示します。このコマンドは、HTTP が含まれる行のみを出力します。
sensor# configure terminal
sensor(config)# service signature-definition sig0
sensor(config-sig)# show settings | include HTTP
sig-string-info: Bagle.Q HTTP propagation (jpeg) <defaulted>
sig-string-info: Bagle.Q HTTP propagation (php) <defaulted>
sig-string-info: GET ftp://@@@:@@@/pub HTTP/1.0 <defaulted>
sig-name: IMail HTTP Get Buffer Overflow <defaulted>
sig-string-info: GET shellcode HTTP/1.0 <defaulted>
sig-string-info: ..%c0%af..*HTTP <defaulted>
sig-string-info: ..%c1%9c..*HTTP <defaulted>
sig-name: IOS HTTP Unauth Command Execution <defaulted>
sig-name: Null Byte In HTTP Request <defaulted>
sig-name: HTTP tunneling <defaulted>
sig-name: HTTP tunneling <defaulted>
sig-name: HTTP tunneling <defaulted>
sig-name: HTTP tunneling <defaulted>
sig-name: HTTP CONNECT Tunnel <defaulted>
sig-string-info: CONNECT.*HTTP/ <defaulted>
sig-name: HTTP 1.1 Chunked Encoding Transfer <defaulted>
sig-string-info: INDEX / HTTP <defaulted>
sig-name: Long HTTP Request <defaulted>
sig-string-info: GET \x3c400+ chars>? HTTP/1.0 <defaulted>
sig-name: Long HTTP Request <defaulted>
sig-string-info: GET ......?\x3c400+ chars> HTTP/1.0 <defaulted>
sig-string-info: /mod_ssl:error:HTTP-request <defaulted>
sig-name: Dot Dot Slash in HTTP Arguments <defaulted>
sig-name: HTTPBench Information Disclosure <defaulted>
show ssh authorized-keys
現行ユーザの公開 RSA キーを表示するには、EXEC モードで show ssh authorized-keys コマンドを使用します。
show ssh authorized-keys [id]
構文の説明
id |
認証キーを一意に特定する 1 ~ 256 文字の文字列。数字、「_」、および「-」は有効ですが、スペースと「?」は使用できません。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
使用上のガイドライン
オプションの ID を指定せずにこのコマンドを実行すると、システムで設定済みの ID のリストが表示されます。特定の ID を指定してコマンドを実行すると、その ID に関連付けられたキーが表示されます。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、SSH 認証キーのリストを表示します。
sensor# show ssh authorized-keys
次の例は、system1 の SSH キーを表示します。
sensor# show ssh authorized-keys system1
1023 37 660222729556609833380897067163729433570828686860008172017802434921804214207813035920829509
101701358480525039993932112503147452768378620911189986653716089813147922086044739911341369
642870682319361928148521864094557416306138786468335115835910404940213136954353396163449793
49705016792583146548622146467421997057
関連コマンド
|
|
ssh authorized-key |
現行ユーザに公開キーを追加し、クライアントが RSA 認証を使用してローカル SSH サーバにログインできるようにします。 |
show ssh server-key
SSH サーバのホスト キーとホストキーのフィンガープリントを表示するには、EXEC モードで show ssh server-key を使用します。
show ssh server-key
構文の説明
このコマンドには引数またはキーワードはありません。
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
7.2(1) |
SSHv2 が、このコマンドに追加されました。 |
使用上のガイドライン
このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、show ssh server-key コマンドの出力を示します。
sensor# show ssh server-key
RSA1 Key: 2048 35 28475571458358427179564144812645251624144286738483645319755783
71108591957884830186419167068171841119953372611231664567580531300713299471020616
21266071498322349083422687195890532868364107871521332162937365418348566385716395
77782345802844389767566973918553643456413731284657407109662096335108005478999063
74981307696593485564543294225942455096655327026973116355896561828782642545582705
22428196801338183854808005938329720150491359755817287379363432762952303861462787
80876532378243175906480003325166320494885252354341504797792430668216744564637063
205422759784035755861415797549261068816265104496491170668364680270806335959
RSA1 Bubble Babble: xufav-tolyf-lelet-tutec-getup-gizes-napym-bivab-vidux
RSA Key: AAAAB3NzaC1yc2EAAAABIwAAAQEA3EZLPNXkLqTjSnAeVas2bz4yF7SnmO8uks0qAdlscuH
Sqf+gWgsXtvzMoZyaI4GAqpc5afRhs8j3Zap++1rYmPbi2jiRgUHuk79w5/sLUs8LSKg9ah6TQXcRZrR
zjdLK9Tp799dxjyvPSnMYZc+bQZh0S91aZj+7/hpNjims/A6VsGYts/e16nYtd8K2/Uwj0rfpHXCMLYr
/eABLIP/7GhGM7TnBh3WKNdWbn6CZ/yepme+b3W3XGsbM3Pjr5TlgPJ58nfzJdzXHbM9E/y6vmlYbVCB
l7elYwdoI7o6fdi6SiLHCqiLW4yA7XD0XJCsfdtEZZkd0K7SoKXnDkDk6zw==
RSA Bubble Babble: xilan-dubet-zosil-sokem-sageh-purof-lodub-sykok-dupob-nymus-m
関連コマンド
|
|
ssh generate-key |
センサーの SSH サーバが使用するサーバ ホスト キーを変更します。 |
show ssh host-keys
センサーが接続に使用できるリモート SSH サーバの公開キーを含む既知のホスト テーブルを表示するには、EXEC モードで show ssh host-keys を使用します。
show ssh host-keys [ipaddress]
構文の説明
ipaddress |
ピリオドで区切られた 4 オクテットの 32 ビット アドレス。X.X.X.X、ここで X は 0 ~ 255。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
4.1(1) |
コマンドへの Bubble Babble および MD5 の出力が追加されました。 |
7.2(1) |
MD5 の出力は、このコマンドから削除されました。 |
使用上のガイドライン
オプションの IP アドレス ID を指定せずにこのコマンドを実行すると、公開キーで設定済みの IP アドレスのリストが表示されます。特定の IP アドレスを指定してコマンドを実行すると、その IP アドレスに関連付けられたキーが表示されます。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、 show ssh host-keys コマンドの出力を示します。
sensor# show ssh host-keys 10.1.2.3
AAAAB3NzaC1yc2EAAAABIwAAAQEAs8qugbu5Nw2cgKtRhhdQH+/tsK3WW34nulIpXvwV19O4N8Cv1dy9
kjgyS5o55FmlMth+PJm/EnFQnxQbFoyQLgVWup7cGbAogu/Qf0p9CPun3X9fLK6crnAxNP+mnZS4Pr1q
A+exnq2Xeepv1Xg24+QRRA+OSPFuqDeUi/WXq00RQoI24WuX/fAoS+0qRcwCBlRGNhAitLVoJWfKneud
/UaBytU7Rs9w0p/jqSxDPJOScmQ5tvehy26Ij80lL2qHAWG4sKXuJy41tAI/RLZqzsrVHLZnP4qBOLf5
rfOfkVIkZ0IelaETbZAdHvXveUla+wTmOLnZ9+trattGA5HnWQ==
RSA Bubble Babble: xoteh-tozyl-nuzyr-docic-kifuf-bubem-homoh-bimil-nidyf-cyrog-b
関連コマンド
|
|
ssh host-key |
既知ホストのテーブルにエントリを追加します。 |
show statistics
要求した統計情報を表示するには、EXEC モードで show statistics コマンドを使用します。
show statistics {analysis-engine | anomaly-detection | authentication | denied-attackers | event-server | event-store | external-product-interface | global-correlation | host | logger | network-access | notification | os-identification | sdee-server | transaction-server | virtual-sensor | web-server } [ clear ]
show statistics anomaly-detection 、 denied-attackers 、 virtual-sensor 、および os-identification コマンドは、センサーに含まれるすべての仮想センサーに関する統計情報を表示します。オプションの名前を指定すると、その仮想センサーに関する統計情報が表示されます。
show statistics { anomaly-detection | denied-attackers | os-identification | virtual-sensor } [ name ] [ clear ]
構文の説明
clear |
統計情報が取得された後、統計情報をクリアします。 (注) このオプションは、分析エンジン、異常検出、ホスト、OS ID、またはネットワーク アクセス統計情報には使用できません。 |
analysis-engine |
分析エンジンの統計情報を表示します。 |
anomaly-detection |
異常検出の統計情報を表示します。 |
authentication |
許可および認証の統計情報を表示します。 |
denied-attackers |
拒否する IP アドレスおよび各攻撃者からのパケット数のリストを表示します。 |
event-server |
イベント サーバの統計情報を表示します。 |
event-store |
イベント ストアの統計情報を表示します。 |
external-product-interface |
外部製品のインターフェイス統計情報を表示します。 |
global-correlation |
グローバル相関の統計情報を表示します。 |
host |
ホスト(メイン)統計情報を表示します。 |
logger |
ロガーの統計情報を表示します。 |
network-access |
ARC の統計情報を表示します。 が表示されます。 |
notification |
通知の統計情報を表示します。 |
os-identification |
OS ID の統計情報を表示します。 |
sdee-server |
SDEE サーバの統計情報を表示します。 |
transaction-server |
トランザクションサーバの統計情報を表示します。 |
web-server |
Web サーバの統計情報を表示します。 |
virtual-sensor |
仮想センサーの統計情報を表示します。 |
name |
仮想センサーの論理名。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
5.0(1) |
analysis-engine 、 virtual-sensor 、および denied-attackers が追加されました。 |
6.0(1) |
anomaly-detection 、 external-product-interface 、および os-identification が追加されました。 |
7.0(1) |
グローバル相関が追加されました。 |
使用上のガイドライン
このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、認証に関する統計情報を表示します。
sensor# show statistics authentication
totalAuthenticationAttempts = 9
failedAuthenticationAttempts = 0
次の例は、イベントストア統計情報を表示します。
sensor# show statistics event-store
General information about the event store
The current number of open subscriptions = 1
The number of events lost by subscriptions and queries = 0
The number of queries issued = 1
The number of times the event store circular buffer has wrapped = 0
Number of events of each type currently stored
Log transaction events = 0
Error events, warning = 8
Alert events, informational = 0
次の例は、ロガー機能統計情報を表示します。
sensor# show statistics logger
The number of Log interprocessor FIFO overruns = 0
The number of syslog messages received = 27
The number of <evError> events written to the event store by severity
The number of log messages written to the message log by severity
次の例は、ARC 統計情報を表示します。
sensor# show statistics network-access
LogAllBlockEventsAndSensors = true
MaxDeviceInterfaces = 250
IPS 4510 および IPS 4520 では、コマンド出力の末尾に、イーサネット コントローラで受信されたパケットの合計数、高負荷の条件でイーサネット コントローラでドロップされたパケットの合計数、およびカスタマー トラフィック パケットおよび内部キープアライブ パケット カウントを含む送信されたパケットの合計数などのイーサネット コントローラの統計情報が表示されます。
sensor# show statistics analysis-engine
Analysis Engine Statistics
Number of seconds since service started = 431157
Processing Load Percentage
The rate of TCP connections tracked per second = 0
The rate of packets per second = 0
The rate of bytes per second = 0
Total number of packets processed since reset = 0
Total number of IP packets processed since reset = 0
Total number of packets transmitted = 133698
Total number of packets denied = 203
Total number of packets reset = 3
Fragment Reassembly Unit Statistics
Number of fragments currently in FRU = 0
Number of datagrams currently in FRU = 0
TCP Stream Reassembly Unit Statistics
TCP streams currently in the embryonic state = 0
TCP streams currently in the established state = 0
TCP streams currently in the closing state = 0
TCP streams currently in the system = 0
TCP Packets currently queued for reassembly = 0
The Signature Database Statistics.
TCP nodes keyed on both IP addresses and both ports = 0
UDP nodes keyed on both IP addresses and both ports = 0
IP nodes keyed on both IP addresses = 0
Statistics for Signature Events
Number of SigEvents since reset = 0
Statistics for Actions executed on a SigEvent
Number of Alerts written to the IdsEventStore = 0
Inspector active call create delete loadPct
AtomicAdvanced 0 2312 4 4 33
MSRPC_UDP 0 1808 1575 1575 0
MultiString 0 145 10 10 2
ServiceDnsUdp 0 1841 3 3 0
ServiceGeneric 0 2016 14 14 1
ServiceNtp 0 3682 3176 3176 0
ServiceRpcUDP 0 1841 3 3 0
ServiceRpcTCP 0 130 9 9 0
ServiceSMBAdvanced 0 139 3 3 0
SweepUDP 0 1808 1555 1555 6
SweepOtherTcp 0 288 6 6 0
TrojanUdp 0 1808 1555 1555 0
ReputationFilterVersion = 0
AlertsWithModifiedRiskRating = 0
AlertsWithGlobalCorrelationDenyAttacker = 0
AlertsWithGlobalCorrelationDenyPacket = 0
AlertsWithGlobalCorrelationOtherAction = 0
AlertsWithAuditRepDenies = 0
ReputationForcedAlerts = 0
EventStoreInsertTotal = 0
EventStoreInsertWithHit = 0
EventStoreInsertWithMiss = 0
EventStoreDenyFromGlobalCorrelation = 0
EventStoreDenyFromOverride = 0
EventStoreDenyFromOverlap = 0
EventStoreDenyFromOther = 0
ReputationFilterDataSize = 0
ReputationFilterPacketsInput = 0
ReputationFilterRuleMatch = 0
DenyFilterHitsGlobalCorrelation = 0
SimulatedReputationFilterPacketsInput = 0
SimulatedReputationFilterRuleMatch = 0
SimulatedDenyFilterInsert = 0
SimulatedDenyFilterPacketsInput = 0
SimulatedDenyFilterRuleMatch = 0
TcpDeniesDueToGlobalCorrelation = 0
TcpDeniesDueToOverride = 0
TcpDeniesDueToOverlap = 0
SimulatedTcpDeniesDueToGlobalCorrelation = 0
SimulatedTcpDeniesDueToOverride = 0
SimulatedTcpDeniesDueToOverlap = 0
SimulatedTcpDeniesDueToOther = 0
LateStageDenyDueToGlobalCorrelation = 0
LateStageDenyDueToOverride = 0
LateStageDenyDueToOverlap = 0
LateStageDenyDueToOther = 0
SimulatedLateStageDenyDueToGlobalCorrelation = 0
SimulatedLateStageDenyDueToOverride = 0
SimulatedLateStageDenyDueToOverlap = 0
SimulatedLateStageDenyDueToOther = 0
SubmittedBytes = 72258005
TCPMissedPacketsDueToUpdate = 0
UDPMissedPacketsDueToUpdate = 0
MaliciousSiteDenyHitCounts
MaliciousSiteDenyHitCountsAUDIT
Ethernet Controller Statistics
Total Packets Received = 0
Total Received Packets Dropped = 0
Total Packets Transmitted = 13643"
show tech-support
現行システムの状況を表示するには、EXEC モード show tech-support コマンドを使用します。
show tech-support [page] [ destination-url destination url ]
構文の説明
page |
(任意)出力は一度に 1 ページの情報が表示されます。Enter を押して、出力の次の行を表示するか、スペースバーを使用して、次の情報ページを表示します。 page を使用しない場合、出力は改ページなしで表示されます。 |
destination-url |
(任意)情報を HTML でフォーマット化し、このタグに続く宛先に送信することを示すタグ。このオプションを選択した場合、出力は画面に表示されません。 |
destination url |
(任意)レポート ファイルの宛先。URL を指定すると、出力は HTML ファイルにフォーマット化されて、指定された宛先に送信されます。指定しない場合は画面に表示されます。 |
デフォルト
デフォルト値については、構文の説明の表を参照してください。
コマンド モード
EXEC
管理者
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
6.0(1) |
password オプションを削除しました。パスワードは暗号化されて表示されます。 |
7.2(1) |
過去 72 時間の各インターフェイスの履歴インターフェイス データを追加しました。varlog の内容の表示を追加しました。 |
使用上のガイドライン
Cisco IOS バージョン 12.0 では、このコマンドの宛先部分はサポートされません。
宛先 URL の正確なフォーマットはファイルにより異なります。ファイル名を選択できますが、.html で終了する必要があります。次の有効なタイプがサポートされます。
|
|
ftp: |
FTP ネットワーク サーバの宛先 URL。このプレフィックスの構文は、次のとおりです。 ftp:[//[username@] location]/relativeDirectory]/filename ftp:[//[username@]location]//absoluteDirectory]/filename |
scp: |
SCP ネットワーク サーバの宛先 URL。このプレフィックスの構文は、次のとおりです。 scp:[//[username@] location]/relativeDirectory]/filename scp:[//[username@] location]//absoluteDirectory]/filename |
レポートには、次のコマンドからの HTML リンク出力が含まれています。
• show interfaces
• show statistics network-access
• cidDump
varlog ファイル
/var/log/messages ファイルに最新のログがあります。varlog と呼ばれる新しいソフト リンクは /var/log/messages ファイルをポイントする /usr/cids/idsRoot/log フォルダの下に作成されています。古いログは varlog.1 および varlog.2 ファイルに保存されます。これらの varlog ファイルの最大サイズは 200 KB です。これらはサイズ制限を超えると、内容が切り替わります。varlog、varlog.1 および varlog.2 の内容は、show tech-support コマンドの出力に表示されます。ログ メッセージ(/usr/cids/idsRoot/varlog ファイル)は、センサーのリブートでのみ保持されます。古いログは、ソフトウェアのアップグレード中に失われます。
例
次の例は、技術サポートの出力を ~csidsuser/reports/sensor1Report.html
ファイルに保存します。パスは、csidsuser のホームアカウントを基準とします。
sensor#
show tech-support destination-url ftp://csidsuser@10.2.1.2/reports/sensor1Report.html
次の例は、技術サポートの出力を /absolute/reports/sensor1Report.html
ファイルに保存します。
sensor#
show tech-support destination-url ftp://csidsuser@10.2.1.2//absolute/reports/sensor1Report.html
show tls fingerprint
サーバの TLS 証明書のフィンガープリントを表示するには、EXEC モードで show tls fingerprint を使用します。
show tls fingerprint
構文の説明
このコマンドには引数またはキーワードはありません。
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
7.2(1) |
MD5 の出力は、このコマンドから削除されました。 |
使用上のガイドライン
このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、 show tls fingerprint コマンドの出力を示します。
sensor# show tls fingerprint
SHA1: 16:AC:EC:AC:9D:BC:84:F5:D8:E4:1A:05:C4:01:BB:65:7B:4F:FC:AA
関連コマンド
|
|
tls generate-key |
サーバの自己署名 X.509 証明書を再生成します。 |
show tls trusted-hosts
センサーの信頼できるホストを表示するには、EXEC モードで、 show tls trusted-hosts コマンドを使用します。
show tls trusted-hosts [ id ]
構文の説明
id |
認証キーを一意に特定する 1 ~ 32 文字の文字列。数字、「_」、および「-」は有効ですが、スペースと「?」は使用できません。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
7.2(1) |
MD5 の出力は、このコマンドから削除されました。 |
使用上のガイドライン
オプションの ID を指定せずにこのコマンドを実行すると、システムで設定済みの ID のリストが表示されます。特定の ID を指定してコマンドを実行すると、その ID に関連付けられた証明書のフィンガープリントが表示されます。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、show tls trusted-hosts コマンドの出力例を示します。
sensor# show tls trusted-hosts 172.21.172.1
SHA1: 16:AC:EC:AC:9D:BC:84:F5:D8:E4:1A:05:C4:01:BB:65:7B:4F:FC:AA
関連コマンド
|
|
tls trusted-host |
信頼できるホストをシステムに追加します。 |
show users
現在 CLI にログインしているユーザに関する情報を表示するには、EXEC モードで show users コマンドを使用します。
show users [ all ]
構文の説明
all |
(任意)ログイン状況に関係なく、システムで構成されているすべてのユーザ アカウントのリストを表示します。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者、オペレータ、ビューア(自分のログインの表示のみ)
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
4.1(1) |
ロックされたアカウントを表示するように更新されました。 show users all でのビューアの表示を制限しました。 |
使用上のガイドライン
CLI でこのコマンドを使用すると、ID、ユーザ名、および権限を表示できます。説明の横の「*」は現行ユーザを示します。カッコ「( )」で囲まれたユーザ名は、アカウントがロックされていることを示します。アカウントは、ユーザが連続して X 回、不正なパスワードを入力するとロックされます。ロックされたユーザのパスワードを password コマンドでリセットすると、アカウントのロックが解除されます。
同時にログインできる CLI ユーザの最大数は、プラットフォームによって異なります。
(注) このコマンドの出力は、Cisco IOS 12.0 コマンドの場合とは異なります。
例
次の例は、 show users コマンドの出力を示します。
5824 tester administrator
次の例は、tester2 のユーザ アカウントがロックされていることを示します。
5824 tester administrator
次の例は、ビューアに対する show users all の出力を示します。
関連コマンド
|
|
clear line |
他の CLI セッションを終了します。 |
show version
すべてのインストールされている OS パッケージ、シグニチャ パッケージ、およびシステムで実行している IPS プロセスに関するバージョン情報を表示するには、EXEC モードで show version コマンドを使用します。
show version
構文の説明
このコマンドには引数またはキーワードはありません。
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者 、 オペレータ、ビューア
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
7.1(5) |
4500 シリーズ センサーをサポートする出力に SwitchApp が追加されました。 |
使用上のガイドライン
show version コマンドの出力は IPS 固有で、Cisco IOS コマンドの出力とは異なります。
シリアル番号の後ろに、次のいずれかのライセンス情報が表示されます。
No license present
Expired license:
<expiration-date>
Valid license, expires:
<expiration-date>
Valid demo license, expires:
<expiration-date>
<expiration-date> の形式は dd-mon-yyyy です(04-dec-2004 など)。
(注) アップグレード履歴パッケージ名の前の * は、ダウングレードが実行された後の残りのバージョンを示します。* のマークが付いたパッケージがない場合、ダウングレードはできません。
例
下の例は、 show version コマンドの出力を示しています。
Cisco Intrusion Prevention System, Version 7.2(1)E4
Signature Update S697.0 2013-02-15
Serial Number: FCH1504V0CF
Sensor up-time is 3 days.
Using 14470M out of 15943M bytes of available memory (90% usage)
system is using 32.4M out of 160.0M bytes of available disk space (20% usage)
application-data is using 87.1M out of 376.1M bytes of available disk space (24%
boot is using 61.2M out of 70.1M bytes of available disk space (92% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
MainApp V-2013_04_10_11_00_7_2_0_14 (Release) 2013-04-10T11:05:55-0500 Running
AnalysisEngine V-2013_04_10_11_00_7_2_0_14 (Release) 2013-04-10T11:05:55-0500 Running
CollaborationApp V-2013_04_10_11_00_7_2_0_14 (Release) 2013-04-10T11:05:55-0500 Running
CLI V-2013_04_10_11_00_7_2_0_14 (Release) 2013-04-10T11:05:55-0500
IPS-K9-7.2-1-E4 11:17:07 UTC Thu Jan 10 2013
Recovery Partition Version 1.1 - 7.2(1)E4
Host Certificate Valid from: 17-Apr-2013 to 18-Apr-2015
次の例は、4500 シリーズ センサーの show version コマンドの出力を示します。
Cisco Intrusion Prevention System, Version 7.1(4)E4
Signature Update S642.0 2012-04-18
Platform: IPS-4510-INC-K9
Serial Number: JAF1523ATTF
Using 22593M out of 24019M bytes of available memory (94% usage)
system is using 26.2M out of 160.0M bytes of available disk space (16% usage)
application-data is using 74.7M out of 207.8M bytes of available disk space (38% usage)
boot is using 59.5M out of 70.5M bytes of available disk space (89% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96% usage)
MainApp U-2012_MAY_22_06_10_7_1_4 (Release) 2012-05-22T06:15:18-0500 Running
AnalysisEngine U-2012_MAY_22_06_10_7_1_4 (Release) 2012-05-22T06:15:18-0500 Running
CollaborationApp U-2012_MAY_22_06_10_7_1_4 (Release) 2012-05-22T06:15:18-0500 Running
SwitchApp U-2012_MAY_22_06_10_7_1_4 (Release) 2012-05-22T06:15:18-0500 Running
CLI U-2012_MAY_22_06_10_7_1_4 (Release) 2012-05-22T06:15:18-0500
IPS-K9-7.1-4-E4 00:09:07 UTC Wed May 23 2012
Recovery Partition Version 1.1 - 7.1(4)E4
Host Certificate Valid from: 24-Jun-2012 to 25-Jun-2014
ssh authorized-key
現行ユーザに公開キーを追加し、クライアントが RSA1 または RSA2 認証を使用してローカル SSH サーバにログインできるようにするには、グローバル コンフィギュレーション モードで ssh authorized-key のコマンドを使用します。このコマンドを no 形式で使用すると、システムから許可されたキーを削除できます。
ssh authorized-key id rsa1-pubkey id key-modulus-length public-exponent public-modulus
ssh authorized-key id rsa-pubkey pub-key
no ssh authorized-key id
構文の説明
id |
認証キーを一意に特定する 1 ~ 256 文字の文字列。数字、「_」、および「-」は有効ですが、スペースと「?」は使用できません。 |
rsa-pubkey |
RSA2(SSHv2)キーの詳細を指定します。 |
rsa1-pubkey |
RSA1(SSHv1)キーの詳細を指定します。 |
pub-key |
Base64 で符号化された公開キーを指定します。 |
key-modulus-length |
ASCII 10 進整数の範囲 [511、2048]。 |
public-exponent |
ASCII 10 進整数の範囲 [3、2^32]。 |
public-modulus |
ASCII 10 進整数(2^(キーモジュラス長-1))< x <(2^(キーモジュラス長))の x 値。 |
デフォルト
デフォルト値は、RSA2(SSHv2)です。
コマンド モード
グローバル コンフィギュレーション
管理者、オペレータ、ビューア
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
7.2(1) |
SSHv2 がこのコマンドに追加されました。 |
使用上のガイドライン
このコマンドにより、現行ユーザの既知のホスト テーブルにエントリが追加されます。キーを変更するには、エントリを削除し、再作成する必要があります。
このコマンドは、IPS 固有です。
(注) このコマンドは、Cisco IOS 12.0 以前にはありません。
例
次の例は、既知のホスト テーブルにエントリを追加する方法を示します。
SSHv1 の場合
sensor# configure terminal
sensor(config)# ssh authorized-key mhs rsa1-pubkey 512 34 8777777777777
SSHv2 の場合
sensor# configure terminal
sensor(config)# ssh authorized-key phs rsa-pubkey AAAAAAAAAAslkfjslkfjsjfs
関連コマンド
|
|
ssh authorized-keys |
現行ユーザの公開 RSA キーを表示します。 |
ssh generate-key
センサーで SSH サーバが使用するサーバ ホスト キーを変更するには、EXEC モードで ssh generate-key のコマンドを使用します。
ssh generate-key
構文の説明
このコマンドには引数またはキーワードはありません。
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
7.2(1) |
SSHv2 が追加され、MD5 出力がこのコマンドから削除されました。 |
使用上のガイドライン
表示されるキーのフィンガープリントは、このセンサーと今後接続されるリモート SSH クライアントが SSHv1 または SSHv2 を使用している場合、リモート SSH クライアントで表示されるフィンガープリントと一致します。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、新しい SSH サーバ ホスト キーを生成する方法を示します。
RSA1 Bubble Babble: xucor-gidyg-comym-zipib-pilyk-vucal-pekyd-hipuc-tuven-gigyr-fixyx
RSA Bubble Babble: xucot-sapaf-sufiz-duriv-rigud-kezol-tupif-buvih-zokap-sohoz-kixox
関連コマンド
|
|
show ssh server-key |
SSH サーバのホスト キーとホストキーのフィンガープリントを表示します。 |
ssh host-key
既知のホスト テーブルにエントリを追加するには、グローバル コンフィギュレーション モードで ssh host-key コマンドを使用します。SSHv1 または SSHv2 を使用できます。SSHv1 でモジュラス、指数、および長さを指定しない場合、要求された IP アドレスの Bubble Babble がシステムに表示されて、テーブルにキーを追加できます。このコマンドを no 形式で使用すると、既知のホスト テーブルからエントリを削除できます。
ssh host-key ipaddress rsa1-key [key-modulus-length public-exponent public-modulus]
ssh host-key ipaddress rsa-key key
no ssh host-key ipaddress
構文の説明
ipaddress |
ピリオドで区切られた 4 オクテットの 32 ビット アドレス。X.X.X.X、ここで X は 0 ~ 255。 |
rsa-key |
RSA(SSHv2)キーの詳細を指定します。 |
rsa1-key |
RSA1(SSHv1)キーの詳細を指定します。 |
key |
Base64 で符号化された公開キーを指定します。 |
key-modulus-length |
ASCII 10 進整数の範囲 [511、2048]。 |
public-exponent |
ASCII 10 進整数の範囲 [3、2^32]。 |
public-modulus |
ASCII 10 進整数(2^(キーモジュラス長-1))< x <(2^(キーモジュラス長))の x 値。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
グローバル コンフィギュレーション
管理者、オペレータ
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
7.2(1) |
コマンドの SSHv2 バージョンが導入されました。 |
使用上のガイドライン
ssh host-key コマンドは、既知のホスト テーブルにエントリを追加します。IP アドレスのキーを修正するには、エントリを削除し、再作成する必要があります。
モジュラス、指数、および長さを指定しない場合、指定された IP アドレスの SSH サーバに接続して、要求されたキーをネットワーク経由で取得します。指定したホストは、コマンドを発行するときにアクセス可能な状態でなければなりません。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、10.1.2.3 の既知のホスト テーブルにエントリを追加する方法を示します。
sensor(config)# ssh host-key 10.1.2.3
RSA Bubble Babble is xoteh-tozyl-nuzyr-docic-kifuf-bubem-homoh-bimil-nidyf-cyrog-bixex
RSA public key modulus length: 2048
Would you like to add this to the known hosts table for this host?[yes]: yes
次の例は、10.1.2.3 の既知のホスト テーブルにエントリを追加する方法を示します。
sensor(config)# ssh host-key 10.1.2.3
Bubble Babble is xebiz-vykyk-fekuh-rukuh-cabaz-paret-gosym-serum-korus-fypop-huxyx
Would you like to add this to the known hosts table for this host? [yes]
関連コマンド
|
|
show ssh host-key |
センサーが接続できるリモート SSH サーバの公開キーを含む既知のホスト テーブルを表示します。 |
terminal
ログイン セッションのターミナル プロパティを変更するには、EXEC モードで terminal コマンドを使用します。
terminal [ length screen-length ]
構文の説明
screen-length |
画面上の行の数を設定します。マルチ画面出力時に一時停止する行数を指定するには、この値を使用します。値ゼロの場合は、出力が画面長を超えても一時停止しません。デフォルトは 24 行です。この値は、ログイン セッション間で保存されません。 |
デフォルト
デフォルト値については、構文の説明の表を参照してください。
コマンド モード
EXEC
管理者、オペレータ、ビューア
使用上のガイドライン
terminal length コマンドを使用すると、 --more--
プロンプトが表示される前に、表示される行数を設定できます。
例
次の例は、マルチ画面表示の画面間で一時停止しないように CLI を設定します。
sensor#
terminal length 0
次の例は、マルチ画面表示の各画面について 10 行表示するように CLI を設定します。
sensor#
terminal length 10
tls generate-key
サーバの自己署名 X.509 証明書を再生成するには、EXEC モードで tls generate-key を使用します。ホストで自己署名証明書を使用しない場合は、エラーが返されます。
tls generate-key
構文の説明
このコマンドには引数またはキーワードはありません。
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
EXEC
管理者
使用上のガイドライン
このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次の例は、サーバの自己署名証明書を生成する方法を示します。
sensor(config)# tls generate-key
SHA1: 16:AC:EC:AC:9D:BC:84:F5:D8:E4:1A:05:C4:01:BB:65:7B:4F:FC:AA
関連コマンド
|
|
show tls fingerprint |
サーバの TLS 証明書のフィンガープリントを表示します。 |
tls trusted-host
信頼できるホストをシステムに追加するには、グローバル コンフィギュレーション モードで tls trusted-host コマンドを使用します。信頼できるホストの証明書を削除するには、このコマンドの no 形式を使用します。
tls trusted-host ip-address ip-address [port port]
no tls trusted-host ip-address ip-address [port port]
no tls trusted-host id id
構文の説明
ip-address |
追加または削除するホストの IP アドレス。 |
port |
(任意)接続するホストのポート番号。デフォルトはポート 443 です。 |
デフォルト
デフォルト値については、構文の説明の表を参照してください。
コマンド モード
グローバル コンフィギュレーション
管理者、オペレータ
コマンド履歴
|
|
4.0(1) |
このコマンドが導入されました。 |
4.0(2) |
オプションのポートが追加されました。ID に基づいた削除をサポートするために、 no コマンドが追加されました。 |
7.2(1) |
MD5 の出力は、このコマンドから削除されました。 |
使用上のガイドライン
このコマンドを使用すると、要求されたホスト/ポートの現行のフィンガープリントを取得して、その結果を表示できます。追加が要求されているホストから直接取得した情報に基づいて、フィンガープリントを受け入れるか拒否するかを選択できます。
各証明書は、識別子フィールドと一緒に保管されます。IP アドレスおよびデフォルト ポートの ID フィールドは ipaddress で、IP アドレスおよび指定ポートの ID フィールドは ipaddress:port です。
(注) このコマンドは、IPS 固有です。バージョン 12.0 以前に、関連する IOS コマンドはありません。
例
次のコマンドは、IP アドレス 172.21.172.1、ポート 443 の信頼できるホストのテーブルにエントリを追加します。
sensor(config)# tls trusted-host ip-address 172.21.172.1
Certificate SHA1 fingerprint is 36:42:C9:1B:9F:A4:A8:91:7F:DF:F0:32:04:26:E4:3A:7A:70:B9:95
Would you like to add this to the trusted certificate table for this host? [yes]
Certificate ID: 172.21.172.1 successfully added to the TLS trusted host table.
(注) コマンドが正常に終了すると、要求された証明書に関して保存された証明書 ID が表示されます。
次のコマンドは、IP アドレス 172.21.172.1、ポート 443 の信頼できるホスト エントリを削除します。
sensor(config)# no tls trusted-host ip-address 172.21.172.1
または IP アドレス 172.21.172.1、ポート 443 の信頼できるホスト エントリを削除するために、次のコマンドを使用できます。
sensor(config)# no tls trusted-host id 172.21.172.1
次のコマンドは、IP アドレス 10.1.1.1、ポート 8000 の信頼できるホスト テーブルを削除します。
sensor(config)# tls trusted-host ip-address 10.1.1.1 port 8000
Certificate SHA1 fingerprint is 36:42:C9:1B:9F:A4:A8:91:7F:DF:F0:32:04:26:E4:3A:7A:70:B9:95
Would you like to add this to the trusted certificate table for this host? [yes]
Certificate ID: 10.1.1.1:8000 successfully added to the TLS trusted host table.
(注) コマンドが成功した場合、要求した証明書用に保管される証明書 ID が表示されます。
次のコマンドは、IP アドレス 10.1.1.1、ポート 8000 の信頼できるホスト エントリを削除します。
sensor(config)# no tls trusted-host ip-address 10.1.1.1 port 8000
または IP アドレス 10.1.1.1、ポート 8000 の信頼できるホスト エントリを削除するために、次のコマンドを使用できます。
sensor(config)# no tls trusted-host id 10.1.1.1:8000
関連コマンド
|
|
show tls trusted-hosts |
センサーの信頼できるホストを表示します。 |
trace
IP パケットが宛先に送信されるルートを表示するには、EXEC モードで trace コマンドを使用します。
trace address [ count ]
構文の説明
address |
ルートをトレースするシステムのアドレス。 |
count |
(任意)使用するホップ数。デフォルト値は 4 です。有効値の範囲は 1 ~ 256 です。 |
デフォルト
デフォルト値については、構文の説明の表を参照してください。
コマンド モード
EXEC
使用上のガイドライン
trace コマンドには、コマンド割り込みはありません。コマンドは完了するまで実行する必要があります。
例
次の例は、 trace コマンドの出力を示します。
traceroute to 172.21.172.24 (172.21.172.24), 30 hops max, 40 byte packets 1 171.69.162.2 (171.69.162.2) 1.25 ms 1.37 ms 1.58 ms 2 172.21.172.24 (172.21.172.24) 0.77 ms 0.66 ms 0.68 ms
upgrade
サービス パック、シグニチャ アップデート、またはイメージ アップグレードを適用するには、グローバル コンフィギュレーション モードで upgrade コマンドを使用します。
upgrade source-url
構文の説明
source-url |
取得するアップグレードの場所。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
グローバル コンフィギュレーション
管理者
使用上のガイドライン
コマンドラインから、すべての必要なソースおよび宛先 URL 情報とユーザ名を入力できます。 upgrade コマンドの後にプレフィックス(ftp: または scp:)だけを入力した場合は、適用されるパスワードを含む、不足している情報についてのプロンプトが表示されます。
ディレクトリは、必要なファイルへの絶対パスで指定する必要があります。アップグレードを繰り返す場合は、ファイル名を指定しないでください。指定した曜日の指定した時間に、繰り返しアップグレードを行うようにセンサーを設定できます。または、最初のアップグレードから指定した時間が経過した後で繰り返しアップグレードを行うように設定できます。
ソース URL の正確なフォーマットはファイルにより異なります。次の有効なタイプがサポートされます。
|
|
ftp: |
FTP ネットワーク サーバのソース URL。このプレフィックスの構文は、次のとおりです。 ftp:[//[username@] location]/relativeDirectory]/filename ftp:[//[username@]location]//absoluteDirectory]/filename |
scp: |
SCP ネットワーク サーバのソース URL。このプレフィックスの構文は、次のとおりです。 scp:[//[username@] location]/relativeDirectory]/filename scp:[//[username@] location]//absoluteDirectory]/filename |
http: |
Web サーバのソース URL。このプレフィックスの構文は、次のとおりです。 http:[//[username@]location]/directory]/filename |
https: |
Web サーバのソース URL。このプレフィックスの構文は次のとおりです。[[//username@]location]/directory]/filename |
(注) このコマンドは、Cisco IOS 12.0 以前にはありません。
例
次の例は、センサーに対して、指定されたアップグレードをすぐに確認するよう指示します。ディレクトリとパスは tester のユーザ アカウントを基準とします。
sensor(config)#
upgrade scp://tester@10.1.1.1/upgrade/sp.rpm
unlock user
一定の回数に達するまで試行に失敗した後にユーザがロックされた後でローカルおよび RADIUS アカウントのロックを解除するには、グローバル コンフィギュレーション モードで unlock user username コマンドを使用します。ユーザ アカウントのロックを解除するには、管理者である必要があります。
unlock user username
構文の説明
unlock user |
ユーザのアカウントをロック解除します。 |
username |
ユーザ名を指定します。 |
デフォルト
このコマンドにデフォルトの動作または値はありません。
コマンド モード
グローバル コンフィギュレーション
管理者
使用上のガイドライン
unlock user コマンドは、試行の失敗数が制限を超えたユーザのローカルまたは RADIUS アカウントのロックを解除するための方法を管理者に提供します。ロックされたアカウントは、show users all 出力内のカッコに示されます。
アカウント ロックを設定すると、ローカル認証だけでなく RADIUS 認証も影響を受けます。ローカルなログインまたは RADIUS アカウントへのログイン失敗が指定された試行回数に達すると、アカウントはセンサー上でローカルにロックされます。ローカル アカウントの場合は、パスワードをリセットするか、 unlock user username コマンドを使用してアカウントのロックを解除します。RADIUS ユーザ アカウントの場合は、 unlock user username コマンドを使用してアカウントのロックを解除する必要があります。
例
次の例は、ユーザ jsmith のロックを解除します。
sensor# configure terminal
sensor(config)# unlock user jsmith
関連コマンド
|
|
attemptLimit |
ユーザ アカウントがロックされるまでのログイン試行の回数を設定します。 |
show users all |
センサーのアカウントのあるすべてのユーザを表示します。 |
username
ローカル センサーのユーザを作成するには、グローバル コンフィギュレーション モードで username コマンドを使用します。ユーザを作成するには、管理者である必要があります。センサーからユーザを削除するには、このコマンドの no 形式を使用します。この場合、ユーザは CLI と Web アクセスの両方から削除されます。
username name [password password] [privilege privilege]
no username name
構文の説明
name |
ユーザ名を指定します。有効なユーザ名の長さは 1 ~ 64 文字です。ユーザ名の先頭は、英数字にする必要があります。その他の文字には、すべての文字を使用できます。 |
password |
ユーザのパスワードを指定します。 |
password |
有効なパスワードの長さは 8 ~ 32 文字です。スペース以外のすべての文字を使用できます。 |
privilege |
ユーザの権限レベルを設定します。 |
privilege |
使用できるレベルは、サービス、管理者、オペレータ、ビューアです。デフォルト値は、ビューアです。 |
デフォルト
デフォルト値については、構文の説明の表を参照してください。
コマンド モード
グローバル コンフィギュレーション
管理者
使用上のガイドライン
username コマンドは、ログインだけを目的としてユーザ名および(または)パスワードの認証を行います。このコマンドを実行しているユーザは、自分自身を削除できません。
コマンドラインでパスワードを指定しなかった場合は、プロンプトが表示されます。 password コマンドを使用して、現行ユーザまたはシステムの既存のユーザのパスワードを変更します。 privilege コマンドを使用して、システムの既存のユーザの特権を変更します。
例
次の例は、ビューア レベルの特権とパスワード testpassword を持つユーザ tester を追加します。
sensor(config)# username tester password testerpassword
次の例は、入力パスワードが保護されていることを示します。
sensor(config)# username tester
Enter Login Password: **************
Re-enter Login Password: **************
次の例は、ユーザ「tester」の特権をオペレータに変更します。
sensor(config)# username tester privilege operator
関連コマンド
|
|
password |
ローカル センサーのパスワードを更新します。 |
privilege |
既存のユーザの特権レベルを変更します。 |