a-module

Packet is unknown or traced:

   不明なプリプロセッサによってパケットがブロックされたときにこのカウンタが増加します。

Recommendations:

    なし。

Syslogs:

    なし。

-------------------------

acl-drop

Flow is denied by configured rule:

    このカウンタは、パケットがドロップルールにヒットしてドロップされたときに増加します。This rule could be a default rule created when the box comes up, when various features are turned on or off, when an acl is applied to interface or any other feature etc. Apart from default rule drops, a packet could be dropped because of:

     1）インターフェイスに設定された ACL

     2）AAA およびユーザー拒否された AAA に設定された ACL

     3）管理専用インターフェイスに到着するスルーボックストラフィック

     4）IPSec 対応インターフェイスに到着する暗号化されていないトラフィック

推奨事項：

    以下の ACL のいずれかが発生した場合に注意してください。

Syslogs:

    106023、106100、106004

-------------------------

app-recv-queue-not-ready

Inspect Datapath peer index not ready:

    このカウンタは、アプリケーション受信キューが準備できていないときに増加します。

Recommendations:

    このイベントは、システムが起動中または Snort が起動または停止中の一時的な状態にあるときにのみ発生します。

Syslogs:

    なし。

-------------------------

appid

Blocked or blacklisted by the AppID preprocessor:

    AppID プリプロセッサの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

async-lock-queue-limit

Async lock queue limit exceeded:

    各非同期ロックの作業キューの制限は 1000 です。When more SIP packets are attempted to be dispatch to the work queue, packet will be dropped.

推奨事項：

    SIP トラフィックのみドロップされる可能性があります。When SIP packets have the same parent lock and they can be queued into the same async lock queue, thus may result into blocks depletion, becasue only single core is handling all the media. If a SIP packet attempts to be queued when the size of the async lock queue exceeds the limit, the packet will be dropped.

Syslogs:

    なし。

-------------------------

back-orifice

Blocked or blacklisted by the back orifice preprocessor:

    バック オリフィス プリプロセッサの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

backplane-channel-null

Backplane channel null:

The card backplane channel was NULL. This may happen because the channel

was not initialized correctly and had to be closed. ASA will drop the packet.

推奨事項：

    これは発生してはならない事象です。Cisco TAC に連絡して、サポートを受けてください。

Syslogs:

    なし。

-------------------------

bad-crypto

Bad crypto return in packet:

    このカウンタは、アプライアンスがパケットに対して暗号化操作を試み、暗号化操作が失敗したときに増加します。This is not a normal condition and could indicate possible software or hardware problems with the appliance

推奨事項：

    不正な暗号化の通知を多数受信する場合、アプライアンスの点検が必要である可能性があります。You should enable syslog 402123 to determine whether the crypto errors are hardware or software errors. You can also check the error counter in the global IPSec statistics with the 'show ipsec stats' CLI command. If the IPSec SA which is triggering these errors is known, the SA statistics from the 'show ipsec sa detail' command will also be useful in diagnosing the problem.

Syslog：

    402123

-------------------------

bad-ipsec-natt

BAD IPSec NATT packet:

    このカウンタは、NAT-T をネゴシエートした IPSec 接続でアプライアンスがパケットを受信したものの、パケットが NAT-T UDP 宛先ポート 4500 にアドレス指定されていないか、パケットのペイロード長が無効である場合に増加します。

推奨事項：

    ネットワークトラフィックを分析して、NAT-T トラフィックの発信元を特定してください。

Syslog：

    なし

-------------------------

bad-ipsec-prot

IPSec not AH or ESP:

このカウンタは、アプライアンスが AH または ESP プロトコルではない IPSec 接続上のパケットを受信すると増加します。これは正常な状態ではありません。

推奨事項：

アプライアンスで AH または ESP ではない IPSec の通知を多数受信する場合は、ネットワークトラフィックを分析してトラフィックの発信元を特定してください。

Syslog：

    402115

-------------------------

bad-ipsec-udp

BAD IPSec UDP packet:

    このカウンタは、IPSec over UDP がネゴシエートした IPSec 接続上で、ペイロード長が無効なパケットをアプライアンスが受信すると増加します。

推奨事項：

    ネットワークトラフィックを分析して、NAT-T トラフィックの発信元を特定してください。

Syslog：

    なし

-------------------------

bad-tcp-cksum

Bad TCP checksum:

    計算された TCP チェックサムが TCP ヘッダーに記録されたチェックサムと一致しない TCP パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendation:

    パケットの破損は、悪いケーブルや回線上のノイズが原因である可能性があります。また、TCP エンドポイントから破損したパケットが送信され、攻撃を受けている可能性もあります。Please use the packet capture feature to learn more about the origin of the packet. To allow packets with incorrect TCP checksum disable checksum-verification feature under tcp-map.

Syslogs:

    なし

-------------------------

bad-tcp-flags

Bad TCP flags:

    TCP ヘッダーに無効な TCP フラグを持つ TCP パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。Example a packet with SYN and FIN TCP flags set will be dropped.

Recommendations:

    パケットの破損は、悪いケーブルや回線上のノイズが原因である可能性があります。また、TCP エンドポイントから破損したパケットが送信され、攻撃を受けている可能性もあります。Please use the packet capture feature to learn more about the origin of the packet.

Syslogs:

    なし

-------------------------

blks-export-lim

Drop the frame as blocks consuming >80% and

    ブロックをそれ以上エクスポートできないと、このカウンタは増加し、パケットがドロップされます。

Recommendations:

    古いブロックを確認して、ブロックを保持しているユーザーを把握してください

Syslogs:

    なし。

-------------------------

blks-export-lim-fp

Drop the frame as blocks consuming >80% and

    ブロックをそれ以上エクスポートできないと、このカウンタは増加し、パケットがドロップされます。

Recommendations:

    古いブロックを確認して、ブロックを保持しているユーザーを把握してください

Syslogs:

    なし。

-------------------------

blks-export-lim-inline-flow

Drop the frame as blocks consuming >80% and

    ブロックをそれ以上エクスポートできないと、このカウンタは増加し、パケットがドロップされます。

Recommendations:

    古いブロックを確認して、ブロックを保持しているユーザーを把握してください

Syslogs:

    なし。

-------------------------

blks-export-lim-no-app-info

Drop the frame as blocks consuming >80% and

    ブロックをそれ以上エクスポートできないと、このカウンタは増加し、パケットがドロップされます。

Recommendations:

    古いブロックを確認して、ブロックを保持しているユーザーを把握してください

Syslogs:

    なし。

-------------------------

block-no-prepend

Module does not have enough space to insert header:

    このカウンタは、ネットワークにパケットを配置するために、パケットデータの前にヘッダーを付加する十分なスペースがないと増加します。

Recommendation:

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

Syslogs:

   なし。

-------------------------

bvi-missing-nameif

Bridge interface missing nameif:

    このカウンタは、入力インターフェイスがブリッジグループに属し、別のブリッジグループに属するインターフェイスまたは入力 BVI インターフェイスで nameif が設定されていない L3 インターフェイスを介して離れると増加します。

推奨事項：

    BVI インターフェイスを離れるトラフィックの場合、nameif は入力 BVI インターフェイスに設定する必要があります。

Syslog：

    なし

-------------------------

bvi-unsupported-packet

Unsupported packet on Bridge interface:

    このカウンタは、サポートされていないパケットが BVI インターフェイスでパントされるとき増加します。

推奨事項：

    パケットを分析して、BVI インターフェイスにパントしようとするサポートされていないパケットの送信元を特定してください。

Syslog：

    なし

-------------------------

captive-portal

Blocked or blacklisted by the captive portal preprocessor:

    キャプティブ ポータル プリプロセッサの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

channel-closed

Data path channel closed:

    このカウンタは、データパスチャネルを介したパケットの送信が試みられる前にこのチャネルが閉じられると増加します。Recommendation:

    マルチプロセッサシステムでは、1 つのプロセッサがチャネルを閉じ（例：CLI 経由）、別のプロセッサがそのチャネルを介してパケットを送信しようとする場合、これは正常です。

Syslog：

    なし

-------------------------

cluster-app-no-forward

Application packet not allowed to be forwarded:

    一部のアプリケーションでは、パケットが転送されると問題が発生する可能性があります。

Recommendation:

    なし。

Syslogs:

    なし。

-------------------------

cluster-bad-ifc-goid-in-trailer

Failed to find ifc from goid in the trailer:

    トレーラから抽出された goid は、有効な実際の ifc を生成しません。

Recommendation:

    なし。

Syslogs:

    なし。

-------------------------

cluster-bad-tp-pkt

Failed to fetch the transport layer header of the packet:

    パケットのトランスポート層ヘッダーの取得に失敗しました。

    これは、TTL が 254 で、次のいずれかの条件に一致する場合に発生します。

    1. クラスタリングが無効です。

    2. パケットは UDP ではありません。

    3. 宛先ポートが 4193 ではありません。

Recommendation:

    なし。

Syslogs:

    なし。

-------------------------

cluster-bad-trailer

Failed to fetch the trailer of the packet:

    パケットのトレーラの取得に失敗しました。

Recommendation:

    なし。

Syslogs:

    なし。

-------------------------

cluster-bad-trailer-tlv

Cluster CCL packet trailer has incorrect tlv:

    クラスタ CCL インターフェイスで受信されたパケットに不正なトレーラ tlv オプションがあります。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cluster-ccl-backup

Cluster CCL backup:

    クラスタデータパケットがバックアップユニットで CCL 経由で受信されましたが、本来はオーナー + ディレクタユニットで受信されるべきでした。

Recommendation:

    なし。

Syslogs:

    なし。

-------------------------

cluster-ccl-bad-unxlate-redirect

Cluster member dropped an unexpected NAT untranslate redirect packet from peer:

    ダイナミック PAT プールの所有者がピアから NAT アンストランスレート パケットを受信しました。However it matches a director stub flow.

Recommendation:

    このカウンタは、クラスタメンバーの障害発生後の一時的な状態です。However, if this counter is incremented continuously, there could be a timing issue that caused the error. Contact Cisco Systems in such case.Syslogs:

    なし。

-------------------------

cluster-ccl-bad-unxlate-redirect-backup

Cluster member dropped an unexpected NAT untranslate redirect packet from peer:

    ダイナミック PAT プールの所有者がピアから NAT アンストランスレート パケットを受信しました。However it matches a backup stub flow.

Recommendation:

    このカウンタは、クラスタメンバーの障害発生後の一時的な状態です。However, if this counter is incremented continuously, there could be a timing issue that caused the error. Contact Cisco Systems in such case.Syslogs:

    なし。

-------------------------

cluster-ccl-cfull-sent

CLU FULL sent:

    クラスタデータパケットが CCL を介して受信されており、完全なフローが新しいオーナーに基づいて構築されます。This packet is no longer needed.

Recommendation:

    なし。

Syslogs:

    なし。

-------------------------

cluster-ccl-unknown

Cluster CCL unknown role:

    クラスタデータパケットが CCL を介して受信されており、一致するフローが検出されず、ユニットが不明なロールを持っています。

Recommendation:

    なし。

Syslogs:

    なし。

-------------------------

cluster-ccl-unknown-stub

Cluster CCL unknown stub:

    クラスタデータパケットが CCL を介して受信され、一致するスタブフローが検出されましたが、ユニットに不明なロールがあります。

Recommendation:

    なし。

Syslogs:

    なし。

-------------------------

cluster-data-node-data-ifc-not-ready

データノードユニットのクラスタ データ インターフェイスの準備ができていません（いくつかのデータインターフェイスがコントロールノードと異なる状態にあります）。管理専用ではない L3 インターフェイスの場合、データインターフェイスの準備が完了するまでは、データノードはこの L3 インターフェイス上の接続を所有できません。データノードが所有する必要があるパケットは、ドロップされます。ボックスからのパケットも、データノードのデータインターフェイスが準備できる前にドロップされます。このドロップは、データノードのデータインターフェイスが準備完了し、データノードがクラスタに完全に参加した後には発生しません。

Recommendation:

    このカウンタは情報提供であり、予想される動作です。パケットはドロップされます。

Syslogs:

    なし。

-------------------------

cluster-data-node-ignored

Flow matched a cluster drop-on-data node classify rule:

    マルチキャスト ルーティング パケットが L3 クラスタインターフェイスで受信され、そのユニットがデータノードでした。これらのパケットを処理できるのは制御ノードだけです。

推奨事項：

    このカウンタは情報提供であり、予想される動作です。パケットは制御ノードによって処理されます。

Syslogs:

    なし。

-------------------------

cluster-dir-flow-create-fail

Cluster director failed to create director flow:

    ディレクタがスタブフローの作成を試みたものの、リソースの制限により失敗しました。リソースの制限は、次のとおりです。

       1）システムメモリ

       2）パケットブロック拡張メモリ

       3）システム接続制限

    原因 1 と 2 は、フロードロップ理由「フローを完了するメモリがありません（No memory to complete flow）」と同時に発生します。

推奨事項：

    - システムの空きメモリが少ないかどうかを観察します。

    - フロードロップ理由「フローを完了するメモリがありません（No memory to complete flow）」が発生するかどうかを観察します。

    - "show resource usage" コマンドで接続数がシステム接続制限に達するかどうかを観察します。

Syslogs:

    なし

-------------------------

cluster-dir-invalid-ifc

Cluster director has packet with invalid ingress/egress interface:

    クラスタディレクタが、無効な入力インターフェイスと出力インターフェイスのいずれかまたは両方を持つ、以前にキューに入れられたパケットを処理しました。This is a result of interface removal (through CLI) before the packet can be processed.

推奨事項：

    このカウンタは情報提供であり、予想される動作です。パケットはドロップされます。

Syslogs:

    なし。

-------------------------

cluster-dir-nat-changed

Cluster director NAT action changed:

    キュー内の CCL データパケットが処理される前に、NAT ポリシーの変更、更新、または期限切れにより、クラスタディレクタの NAT アクションが変更されました。推奨事項：

    このカウンタは情報提供であり、予想される動作です。パケットはドロップされます。

Syslogs:

    なし。

-------------------------

cluster-dispatch-queue-fail

Cluster failed to enqueue into global dispatch work queue:

    転送されたデータパケットがグローバル ディスパッチ ワーク キューへのエンキューに失敗しました。

推奨事項：

    これは内部ソフトウェアエラーの可能性があります。購入された代理店にお問い合わせください。

Syslogs:

    なし。

-------------------------

cluster-early-sec-chk-fail

Cluster early security check has failed:

    ACL、WCCP リダイレクト、TCP 代行受信、または IP オプションが原因で、ディレクタが適用した早期セキュリティチェックに失敗しました。

推奨事項：

    このカウンタは情報提供であり、予想される動作です。パケットはドロップされます。

Syslogs:

    なし。

-------------------------

cluster-forward-error

Cluster member failed to send data packet over CCL:

    クラスタメンバーが CCL リンクを介した制御パケットの送信に失敗しました。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cluster-frag-error

The fragment is not formatted correctly:

    フラグメントが正しくフォーマットされておらず、処理できないか、フラグメントオーナーへの転送に失敗しました。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cluster-frag-owner-query-error

Cluster fragment failed to query flow director for flow owner:

    最初のフラグメントをフローディレクタに転送するときの失敗、またはフラグメントチェーンの再挿入の失敗です。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cluster-invalid-owner

Cluster invalid owner:

    オーナーがクラスタ内に存在しないときにクラスタデータパケットが受信されました。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cluster-invalid-pkt

Cluster rcvd invalid packet:

    無効なクラスタパケットが受信されました。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cluster-ip-version-error

IP version mismatch between layer-2 and layer-3 headers:

    レイヤ 2 とレイヤ 3 ヘッダーの IP プロトコルバージョンが一致しません

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cluster-no-msgp

Cluster unit is out of message descriptor:

    クラスタロジック更新（CLU）メッセージを送信するためにクラスタがオーバーサブスクライブ状態であるため、クラスタに高い負荷がかかっている可能性があります。

推奨事項：

    クラスタロジック更新（CLU）メッセージを送信するためにクラスタがオーバーサブスクライブされ、クラスタに高い負荷がかかっていると、この動作が予想されます。Please avoid oversubscribing the cluster.

Syslogs:

    なし。

-------------------------

cluster-non-ip-pkt

Layer 3 protocol of the packet is not IP:

    パケットは IPv4、IPv6、または ARP パケットではありません。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cluster-non-owner-ignored

Flow matched a cluster drop-on-non-owner classify rule:

    ユニットが選出された所有者ユニットでないときに、マルチキャスト データ パケットが L3 クラスタインターフェイスで受信されました。Only an elected owner unit is permitted to process these packets.

推奨事項：

    このカウンタは情報提供であり、予想される動作です。The packet is processed by one elected owner unit.

Syslogs:

    なし。

-------------------------

cluster-not-owner

Cluster not owner:

    クラスタデータパケットがフローなしで受信されました。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cluster-not-supported

Cluster not supported:

    このプラットフォームではクラスタがサポートされていません。

推奨事項：

    クラスタ設定を削除してください

Syslogs:

    なし。

-------------------------

cluster-owner-update

Cluster owner update:

    フローオーナーを更新するクラスタデータパケットが受信されました。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cluster-peer-mcast-ignored

Flow matched a cluster peer mcast data traffic classify rule:

    マルチキャスト データ パケットが L3 クラスタインターフェイスで受信され、そのパケットはクラスタピアユニット対応のインターフェイスからのものでした。This is a packet flooded back from L3 subnet.

推奨事項：

    このカウンタは情報提供であり、予想される動作です。The packet has been forwarded out of the cluster and should be ignored by cluster.

Syslogs:

    なし。

-------------------------

cluster-queued-ccl-unknown

Cluster CCL unknown stub:

    CCL を介して受信され、キューに入れられたクラスタデータパケットが処理されましたが、ユニットに不明なロールがあります。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cluster-semi-scale-not-ready

Semi scalable owner flow is not ready yet:

    一括同期で、この半スケーラブルなフローの有効な新しいオーナーがまだ選択されていません。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cluster-stub-to-full

Cluster stub to full flow:

    クラスタパケットがディレクタで受信され、スタブフローがフルフローに変換されました。Drop this packet and wait for retransmission.

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cluster-stub-uninterested

Cluster stub uninterested:

    オーナーまたはディレクタが存在しないときに、クラスタデータパケットが受信されました。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cluster-tp-sender-myself

DP message over CCL from a unit with same ID as myself:

    トランスポートヘッダーの送信者情報が、送信者が自分であることを示しています。これは、同じネットワークセグメント上に 2 つのクラスタ（重複する ID を持つ）が存在する場合に発生する可能性があります。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cluster-tp-version-incompatible

The packet contains an incompatible transport protocol:

    パケットのトランスポートプロトコルに、互換性のないトランスポートプロトコルが含まれています。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cluster-ttl-expired

TTL of the packet has expired:

    このパケットの最大 TTL 値を超えました。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cluster-ttl-invalid

TTL of the packet is invalid:

    パケットの TTL 値が有効な値ではありません。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cmd-invalid-encap

Invalid Encapsulation:

    このカウンタは、セキュリティアプライアンスが無効な CMD パケットを受信すると増加します。パケットはドロップされます。

推奨事項：

    直接接続された CMD 対応デバイスが適切な CMD 設定を持っていることを確認してください。

Syslogs:

    なし。

-------------------------

conn-limit

Connection limit reached:

    この理由は、接続制限またはホスト接続制限を超えたためにパケットがドロップされると表示されます。If this is a TCP packet which is dropped during TCP connection establishment phase due to connection limit, the drop reason 'TCP connection limit reached' is also reported.

推奨事項：

    これが急速に増加している場合、syslog を確認して、どのホストの接続制限に達したかを特定してください。トラフィックが正常な場合、またはホストが攻撃を受けている場合は、接続制限値を増分する必要があることもあります。

Syslogs:

    201011

-------------------------

connection-lock

Connection locking failed:

    パケットが処理を待機している間に、使用される予定のフローが破棄されました。

推奨事項：

    このメッセージは、パケットを積極的に処理しているデバイスで接続を削除するユーザー インターフェイス コマンドから発生する可能性があります。Otherwise, investigate flow drop counter. This message may occur if the flow are forced dropped from error.

Syslogs:

    なし。

-------------------------

connection-q-expired

Expired flow:

    このカウンタは、セキュリティアプライアンスがすでに期限切れのフローに属する新しいまたはキャッシュされたパケットを注入しようとしたときに増加します。また、アプライアンスがすでに期限切れの TCP フローに対して RST を送信しようとしたとき、または IDS ブレードからパケットが戻ってきたがフローがすでに期限切れだったときにも増加します。The packet is dropped

推奨事項：

    有効なアプリケーションが先取りされている場合は、より長いタイムアウトが必要かどうかを調査してください。

Syslogs:

   なし。

-------------------------

cp-event-queue-error

CP event queue error:

    このカウンタは、キューの長さを超えたために CP イベントキューのエンキュー試行が失敗したときに増加します。This queue is used by the data-path to punt packets to the control-point for additional processing. このような状況が発生する可能性があるのは、マルチプロセッサ環境だけです。The module that attempted to enqueue the packet may issue it's own packet specific drop in response to this error. Recommendation:

    このエラーはパケットを完全に処理できなかったことを示していますが、接続に悪影響を与えることはないかもしれません。If the condition persists or connections are adversely affected contact the Cisco Technical Assistance Center (TAC). Syslogs:

    なし

-------------------------

cp-syslog-event-queue-error

CP syslog event queue error:

    このカウンタは、キューの長さを超えたために CP syslog イベントキューのエンキュー試行が失敗したときに増加します。This queue is used by the data-path to punt logging events to the control-point when logging destinations other than to a UDP server are configured. このような状況が発生する可能性があるのは、マルチプロセッサ環境だけです。Recommendation:

    このエラーはログイベントを完全に処理できなかったことを示していますが、UDP サーバーへのログには影響しないはずです。If the condition persists consider lowering the logging level and/or removing logging destinations or contact the Cisco Technical Assistance Center (TAC). Syslogs:

    なし

-------------------------

ctm-error

CTM returned error:

    このカウンタは、アプライアンスがパケットに対して暗号化操作を試み、暗号化操作が失敗したときに増加します。This is not a normal condition and could indicate possible software or hardware problems with the appliance.

推奨事項：

    不正な暗号化の通知を多数受信する場合、アプライアンスの点検が必要である可能性があります。You should enable syslog 402123 to determine whether the crypto errors are hardware or software errors. You can also check the error counter in the global IPSec statistics with the 'show ipsec stats' CLI command. If the IPSec SA which is triggering these errors is known, the SA statistics from the 'show ipsec sa detail' command will also be useful in diagnosing the problem.

Syslog：

    402123

-------------------------

cxsc-bad-handle-received

Received Bad flow handle in a packet from CXSC Module, thus dropping flow.

    CX フローのハンドルがフローの期間中に変更されたときに、このカウンタが増加し、フローとパケットは ASA でドロップされます。

Recommendations:

    CXSC モジュールの syslog とアラートを確認してください。

Syslogs:

    なし

-------------------------

cxsc-bad-tlv-received

CXSC Module requested drop:

    パケットに不良な TLV があると、CXSC モジュールの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    CXSC モジュールの syslog とアラートを確認してください。

Syslogs:

    なし

-------------------------

cxsc-fail

CXSC config removed for connection:

    特定の接続に対して CXSC 設定が見つからないと、このカウンタが増加し、パケットがドロップされます。

Recommendations:

   CXSC の設定変更が行われたかどうかを確認してください。

Syslogs:

   なし

-------------------------

cxsc-fail-close

CXSC card is down:

    CXSC カードがダウンしていて、CXSC アクションでフェールクローズオプションが使用されたときに、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    CXSC カードを確認して動作させてください。

Syslogs:

    429001

-------------------------

cxsc-ha-request

CXSC HA replication drop:

    このカウンタは、セキュリティアプライアンスが CXSC HA リクエストパケットを受信したが、処理できないと増加し、パケットがドロップされます。

推奨事項：

    これは、ASA HA の状態が変更された直後のように、CXSC が最新の ASA HA 状態を持っていないときに、時折発生することがあります。If the counter is constantly increasing however, then it can be because CXSC and ASA are out of sync. If that happens, contact Cisco TAC for assistance.

Syslogs:

    なし。

-------------------------

cxsc-invalid-encap

CXSC invalid header drop:

    このカウンタは、セキュリティアプライアンスが無効なメッセージヘッダーを持つ CXSC パケットを受信すると増加し、パケットがドロップされます。

推奨事項：

    これは発生してはならない事象です。Cisco TAC に連絡して、サポートを受けてください。

Syslogs:

    なし。

-------------------------

cxsc-malformed-packet

CXSC Module requested drop:

    パケットが不正な形式の場合、CXSC モジュールの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    CXSC モジュールの syslog とアラートを確認してください。

Syslogs:

    なし

-------------------------

cxsc-request

CXSC Module requested drop:

    パケットが CXSC エンジンの署名に一致したときに、CXSC モジュールの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    CXSC モジュールの syslog とアラートを確認してください。

Syslogs:

    429002

-------------------------

cxsc-rx-monitor-only

CXSC invalid monitor-only receive drop:

    セキュリティアプライアンスがモニター専用モードで CXSC パケットを受信すると、このカウンタが増加し、パケットがドロップされます。

推奨事項：

    これは発生してはならない事象です。Cisco TAC に連絡して、サポートを受けてください。

Syslogs:

    なし。

-------------------------

daq-retry

Wait for re-transmitted packet from DAQ:

    このカウンタは、DAQ からのパケットの再送信が必要なときに増加します。

Recommendations:

    なし。

Syslogs:

    なし。

-------------------------

最適化

Blocked or blacklisted by the defragmentation preprocessor:

    最適化プリプロセッサの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

df-bit-set

Egress fragmentation needed, DF bit is set:

    このカウンタは、パケットが出力フラグメンテーションを必要とするものの、IP ヘッダーの DF ビットが設定されているときに増加します。パケットはドロップされ、ICMP エラーメッセージが送信元に送信されます。

推奨事項：

    出力インターフェイスの MTU 設定を確認してください。

Syslogs:

    なし

-------------------------

dispatch-block-alloc

Dispatch block unavailable:

     インターフェイスドライバが受信したパケットを処理するためのコアローカルブロックをアプライアンスが割り当てることができなかったときに、このカウンタが増加し、パケットがドロップされます。

推奨事項：

    これは、パケットが後で処理されるためにキューに入れられているか、ブロックリークが原因である可能性があります。コア ローカル ブロックが空きリソース再バランス ロジックによって時間通りに補充されない場合は、コア ローカル ブロックも利用できないことがあります。Please use "show blocks core" to further diagnose the problem.

Syslogs:

    なし

-------------------------

dispatch-decode-err

Dispatch decode error:

    このカウンタは、パケット ディスパッチ モジュールがフレームをデコードするときにエラーを検出すると増加します。このエラーの一例として、サポートされていないパケット フレームがあります。Recommendation:

    キャプチャツールでパケットフォーマットを確認してください。

Syslog：

    なし

-------------------------

dispatch-queue-limit

Dispatch queue limit reached:

    32K のロードバランサキューがあり、パケットはそれらにハッシュされる可能性があります。各キューのパケット数は、1000 個に制限されています。When more packets are attempted, tail drop occurs and this counter is incremented.

推奨事項：

    これが過度に発生する場合、影響を受けるキューとそのキューにハッシュされる接続を確認してください。Send this information to development

Syslogs:

    なし

-------------------------

dns-guard-id-not-matched

DNS Guard ID not matched:

    このカウンタは、DNS 応答メッセージの ID が同じ接続上で以前にアプライアンスを通過した DNS クエリのいずれにも一致しなかった場合に、増加します。このカウンタは、DNS Guard 機能により増分します。

推奨事項：

    断続的なイベントの場合は、対処不要です。原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

Syslogs:

    なし。

-------------------------

dns-guard-out-of-app-id

DNS Guard out of App ID:

    このカウンタは、DNS Guard 機能が DNS メッセージの ID を保存するためのデータ構造の割り当てに失敗すると増加します。

推奨事項：

    システムメモリの使用状況を確認してください。通常このイベントは、システムがメモリ不足になった場合に発生します。

Syslogs:

    なし。

-------------------------

dst-l2_lookup-fail

Dst MAC L2 Lookup Failed:

    このカウンタは、アプライアンスがレイヤ 2 スイッチング用に設定され、レイヤ 2 送信先 MAC アドレスのルックアップが失敗すると増加します。Upon the lookup failure, the appliance will begin the destination MAC discovery process and attempt to find the location of the host via ARP and/or ICMP messages.

推奨事項：

    これは、アプライアンスがレイヤ 2 スイッチング用に設定されている場合の通常の状態です。You can also execute (show mac-address-table) to list the L2 MAC address locations currently discovered by the appliance.

Syslog：

    なし

-------------------------

eve-handler

Blocked or blacklisted by the eve-handler:

    eve-handler の要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

failed-to-setup-pdts-flow-param

Failure during setting up pdts flow paramters:

    このカウンタは、pdts フローパラメータの設定に失敗すると増加します。

Recommendations:

    モジュール固有の Snort/pdts デバッグメッセージを有効にして確認してください。

Syslogs:

    なし。

-------------------------

file-process

Blocked or blacklisted by the file process preprocessor:

    ファイル プロセス プリプロセッサの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

ファイアウォール

Blocked or blacklisted by the firewall preprocessor:

    ファイアウォール プリプロセッサの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

flow-being-freed

Flow is being freed:

    このカウンタは、フローが解放され、検査のためにキューに入れられたすべてのパケットがドロップされると増加します。

推奨事項：

    特にアクションを取る必要はありません。

Syslogs:

    なし

-------------------------

flow-expired

Expired flow:

    このカウンタは、セキュリティアプライアンスがすでに期限切れのフローに属する新しいまたはキャッシュされたパケットを注入しようとしたときに増加します。また、アプライアンスがすでに期限切れの TCP フローに対して RST を送信しようとしたとき、または IDS ブレードからパケットが戻ってきたがフローがすでに期限切れだったときにも増加します。The packet is dropped

推奨事項：

    有効なアプリケーションが先取りされている場合は、より長いタイムアウトが必要かどうかを調査してください。

Syslogs:

   なし。

-------------------------

flow-expired-drop

Expired flow:

    このカウンタは、セキュリティアプライアンスがすでに期限切れのフローに属する新しいまたはキャッシュされたパケットを注入しようとしたときに増加します。また、アプライアンスがすでに期限切れの TCP フローに対して RST を送信しようとしたとき、または IDS ブレードからパケットが戻ってきたがフローがすでに期限切れだったときにも増加します。The packet is dropped

推奨事項：

    有効なアプリケーションが先取りされている場合は、より長いタイムアウトが必要かどうかを調査してください。

Syslogs:

   なし。

-------------------------

flow-out-of-memory

Flow out of memory:

    このカウンタは、システムが新しいフローのメモリを割り当てるのに失敗すると増加します。パケットはドロップされます。

Recommendations:

    - システムメモリの使用状況を確認してください。

    - システム内のフロー数を確認してください。

Syslogs:

    なし

-------------------------

fo-standby

Dropped by standby unit:

    through-the-box パケットがスタンバイ状態のアプライアンスまたはコンテキストに到着し、フローが作成されると、パケットはドロップされ、フローが削除されます。パケットがこの方法でドロップされるたびに、このカウンタが増分します。

推奨事項：

    このカウンタは、アクティブなアプライアンスまたはコンテキストで増加しないようにする必要があります。However, it is normal to see it increment on the Standby appliance or context.

Syslogs:

    302014、302016、302018

-------------------------

fragment-full-reassembly-failed

Fragment full reassembly failed:

    このカウンタは、アプライアンスがフラグメント化されたパケットのチェーンを単一のパケットにリアセンブルするときにメモリの割り当てに失敗すると増加します。一連のフラグメント パケットはすべてドロップされます。

推奨事項：

    show blocks コマンドを使用して、現在のブロックメモリをモニターします。

Syslogs:

    なし

-------------------------

fragment-reassembly-failed

Fragment reassembly failed:

    このカウンタは、アプライアンスがフラグメント化された IP パケットのリアセンブルに失敗すると増加します。一連のフラグメント パケットはすべてドロップされます。

推奨事項：

    'show fragment' コマンドを使用して、失敗したカウンタすべてを確認してください。

Syslogs:

    なし

-------------------------

ftp

Blocked or blacklisted by the FTP preprocessor:

    FTP プリプロセッサの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

geneve-dual-arm-no-data-saved

Geneve dual-arm; no geneve data saved:

    このカウンタは、保存された Geneve データをインターネットからデュアルアームパケットにコピーしようとしたときに保存される Geneve データがないと増加します。これは通常、Geneve データを保存しようとしたときにフローが作成されていないと発生します。

推奨事項：

    なし。

Syslogs:

   なし。

-------------------------

geneve-encap-error

Fail to encap with Geneve:

    このカウンタは、セキュリティアプライアンスが Geneve でパケットのカプセル化に失敗すると増加します。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

geneve-invalid-header

Invalid Geneve header format:

    このカウンタは、正しい Geneve 宛先ポート番号を持つ UDP パケットをセキュリティアプライアンスが受信したものの、Geneve ヘッダーの復号に失敗すると増加します。

推奨事項：

    なし。

Syslogs:

    860004。

-------------------------

geneve-invalid-header-thru-traffic

Invalid Geneve header format for through-the-box traffic:

    このカウンタは、正しい Geneve 宛先ポート番号を持つ through-the-box UDP パケットをセキュリティアプライアンスが受信したものの、Geneve ヘッダーの復号に失敗すると増加します。

推奨事項：

    なし。

Syslogs:

    860008。

-------------------------

geneve-invalid-nve-peer

Geneve packet from an invalid NVE peer:

このカウンタは、設定されていない NVE ピアからの Geneve パケットをセキュリティアプライアンスが受信すると増加します。

推奨事項：

    なし。

Syslogs:

    860007。

-------------------------

geneve-invalid-udp-checksum

Invalid Geneve header format:

    このカウンタは、UDP ヘッダーのチェックサム値が正しくない Geneve パケットをセキュリティアプライアンスが受信すると増加します。

推奨事項：

    なし。

Syslogs:

    860006。

-------------------------

geneve-invalid-vni-mcast-ip

Invalid Multicast IP on Geneve VNI interface:

    このカウンタは、セキュリティアプライアンスが VNI インターフェイスからマルチキャストグループ IP を取得できなかった場合に増加します。

推奨事項：

    設定されたピア NVE がない場合、VNI インターフェイスに有効なマルチキャストグループ IP が設定されていることを確認します。

Syslogs:

    なし。

-------------------------

geneve-missing-peer-vtep-ip

Geneve Peer VTEP IP not found:

    このカウンタは、セキュリティアプライアンスが Geneve カプセル化の内部宛先 IP のピア VTEP IP を見つけられないと増加します。

推奨事項：

    show arp vtep-mapping/show mac-address-table vtep-mapping/show ipv6 neighbor vtep-mapping で、希望するリモート内部ホストの VTEP IP が存在することを確認してください。

Syslogs:

    なし。

-------------------------

ha-nlp-invalid-fragments

NLP sending invalid fragments in failover link:

     NLP が、無効なサイズのフラグメント化されたパケットのフェールオーバーリンクを介した送信を試みると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

ha-nlp-lu-link-not-ready

Failover link is not ready for processing NLP packets:

     NLP がパケットを送信または受信を試みたが、フェールオーバーリンクの lu ステータスがダウンしていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

ha-nlp-send-ha-msg-err

Send NLP packet over HA failover link failed:

     NLP がフェールオーバーリンクを介したパケットの送信に失敗すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    失敗の詳細情報については、show counters の結果を確認してください。

Syslogs:

    なし

-------------------------

hop-limit-exceeded

hop-limit exceeded:

    このカウンタは、ホップ制限の値が許容制限を超えた IPv6 パケットをセキュリティアプライアンスが受信すると増加します。Specifically if the packet has hop-limit less than 1, the packet is dropped.

Syslogs:

    なし。

-------------------------

host-move-pkt

FP host move packet:

    このカウンタは、アプライアンス/コンテキストがトランスペアレントに設定されており、既知の L2 MAC アドレスの送信元インターフェイスが別のインターフェイスで検出されると増加します。

推奨事項：

    これは、ホストが 1 つのインターフェイス（例：LAN セグメント）から別のインターフェイスに移動したことを示します。実際にホストが移動している場合、トランスペアレント モードではこれは正常な状態です。ただし、ホストがインターフェイス間であちこち移動する場合は、ネットワーク ループが存在している可能性があります。

Syslog：

    412001、412002、322001

-------------------------

ids-pkts-processed

Packets processed in IDS modes:

    このカウンタは、インラインタップモードおよびパッシブモードでパケット処理が完了した後に増加します。その後、パケットがドロップされます。

Recommendations:

    これらのモードでは予期される動作のため、アクションは不要です。

Syslogs:

    なし。

-------------------------

ifc-classify

Virtual firewall classification failed:

    パケットが共有インターフェイスに到着しましたが、特定のコンテキスト インターフェイスへの分類が失敗しました。

推奨事項：

    カスタマイズ可能な MAC アドレスサポートがないソフトウェアバージョンの場合、各コンテキスト インターフェイスに属する IPv4 アドレスを指定するために "global" または "static" コマンドを使用してください。For software versions with customizable mac-address support, enable "mac-address auto" in system context. Alternatively, configure unique MAC addresses for each context interfaces residing over a shared interface with "mac-address" command under each context interface submode.

Syslogs:

    なし。

-------------------------

ifc-not-cmd-enabled

Interface not CMD configured

    このカウンタは、CMD パケットを受信するように設定されていないインターフェイスでセキュリティアプライアンスが CMD パケットを受信すると増加します。パケットはドロップされます。

推奨事項：

    インターフェイスが適切な CMD 設定を持っていることを確認してください。

Syslogs:

   なし。

-------------------------

ike-sa-global-rate-limit

IKE need SA indication global rate limit exceeded:

    このカウンタは、レート制限された制御ポイントサービスルーチンに新しい SA が必要であることを示すメッセージをアプライアンスが送信しようとし、グローバルレート制限（1 秒あたり）を超えると増加します。The current rate is ten message per second.

推奨事項：

    このカウンタは情報提供であり、予想される動作です。パケットはドロップされます。

Syslog：

    なし

-------------------------

ike-sa-rate-limit

IKE need SA indication per SA rule rate limit exceeded:

    このカウンタは、レート制限された制御ポイントサービスルーチンに新しい SA が必要であることを示すメッセージをアプライアンスが送信しようとし、レート制限（1 秒あたり）を超えると増加します。The current rate is one message every two seconds.

推奨事項：

    このカウンタは情報提供であり、予想される動作です。パケットはドロップされます。

Syslog：

    なし

-------------------------

ike-spi-cookie-expired

IKE packet with expired SPI cookie:

    着信パケットで受信した SPI が期限切れと見なされると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットの発信元の詳細については syslog を確認してください。If this is a valid peer connection, this may be the result of a very long network delay that should be eliminated. If the drops persist, call TAC to investigate further.

Syslogs:

    753001

-------------------------

ike-spi-corrupted-value

IKE packet containing corrupted SPI:

    SPI 整合性チェックが失敗する（パケットが送信中に変更された可能性があることを示す）と、このカウンタが増加し、パケットがドロップされます。

Recommendations:

     パケットの発信元の詳細については syslog を確認してください。この状況は正常であり、一時的である場合があります。ドロップが続く場合は、TAC に連絡してさらに調査してください。

Syslogs:

    753001

-------------------------

inspect-dns-id-not-matched

DNS Inspect ID not matched:

    このカウンタは、DNS 応答メッセージの ID が同じ接続上で以前にアプライアンスを通過した DNS クエリのいずれにも一致しなかった場合に、増加します。

推奨事項：

    断続的なイベントの場合は、対処不要です。原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

Syslogs:

    なし。

-------------------------

inspect-dns-invalid-domain-label

DNS Inspect invalid domain label:

    このカウンタは、アプライアンスが無効な DNS ドメイン名またはラベルを検出すると増加します。DNS ドメイン名とラベルのチェックは、RFC 1035 ごとに行われます。

推奨事項：

    対処不要です。If the domain name and label check is not desired, disable the protocol-enforcement parameter in the DNS inspection policy-map (in supported releases).

Syslogs:

    なし。

-------------------------

inspect-dns-invalid-pak

DNS Inspect invalid packet:

    このカウンタは、アプライアンスが無効な DNS パケットを検出すると増加します。Examples: A DNS packet with no DNS header; the number of DNS resource records not matching the counter in the header; etc.

推奨事項：

    対処不要です。

Syslogs:

    なし。

-------------------------

inspect-dns-opt-format-error

DNS Inspect Multiple OPT Record:

    このカウンタは、単一の DNS パケット内で複数の OPT レコードが見つかったときに増加します。

推奨事項：

    対処不要です。

Syslogs:

    なし。

-------------------------

inspect-dns-out-of-app-id

DNS Inspect out of App ID:

    このカウンタは、DNS 検査エンジンが DNS メッセージの ID を保存するためのデータ構造の割り当てに失敗すると増加します。

推奨事項：

    システムメモリの使用状況を確認してください。通常このイベントは、システムがメモリ不足になった場合に発生します。

Syslogs:

    なし。

-------------------------

inspect-dns-pak-too-long

DNS Inspect packet too long:

    このカウンタは、DNS メッセージ長が設定されている最大値を超えると増加します。

推奨事項：

    対処不要です。If DNS message length checking is not desired, enable DNS inspection without the 'maximum-length' option, or disable the 'message-length maximum' parameter in the DNS inspection policy-map (in supported releases).

Syslogs:

    410001

-------------------------

inspect-dns-umbrella-appid-fail

Umbrella DNS Transaction Id entry creation or lookup fail:

    要求トランザクション ID に対する応答がなく、app-id テーブルが更新されませんでした。

推奨事項：

    dns フロー、システム負荷、メモリ使用量を確認してください。

Syslogs:

    なし。

-------------------------

inspect-dns-umbrella-flow-exp

Umbrella DNS packet delay. Flow expired:

    このカウンタは、Cisco Umbrella からの dns 応答がパケットをリダイレクトするためのペアリング クライアント フローを見つけられなかった場合に増加します。パケットはドロップされます

推奨事項：

    Cisco Umbrella リゾルバへの到達可能性またはネットワーク遅延を確認してください。

Syslogs:

    なし。

-------------------------

inspect-dns-umbrella-no-memory

DNS Inspect Umbrella memory allocation failure:

    このカウンタは、Cisco Umbrella が新しいメモリを割り当てることができず、現在処理中のパケットがドロップされると増加します。

推奨事項：

    システム負荷を確認してください。CHeck memory usage.

Syslogs:

    なし。

-------------------------

inspect-dp-out-of-memory

Inspect Datapath out of memory:

    このカウンタは、検査データパスがメモリの割り当てに失敗すると増加します。

Recommendations:

    システムメモリの使用状況を確認してください。通常このイベントは、システムがメモリ不足になった場合に発生します。

Syslogs:

    なし。

-------------------------

inspect-gtp

GTP inspection:

    GTP 検査で検証エラーまたは内部エラーが検出されるか、ポリシードロップが実行されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    この ASP ドロップ理由を使用して、トラブルシューティングのためにドロップされた GTP パケットをキャプチャしてください。

Syslogs:

    なし

-------------------------

inspect-icmp-bad-code

ICMP Inspect bad icmp code:

    このカウンタは、ICMP エコー要求または応答メッセージの ICMP コードがゼロ以外のときに増加します。

推奨事項：

    断続的なイベントの場合は、対処不要です。原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

Syslogs:

    313009。

-------------------------

inspect-icmp-error-different-embedded-conn

ICMP Error Inspect different embedded conn:

    このカウンタは、ICMP エラーメッセージに埋め込まれたフレームが、ICMP 接続の作成時に識別された確立済みの接続と一致しないと増加します。

推奨事項：

    断続的なイベントの場合は、対処不要です。原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

Syslogs:

    313005

-------------------------

inspect-icmp-error-nat64-error

ICMP NAT64 Error Inspect XLATE Error:

    このカウンタは、アプライアンスが IPv6 と IPv4 の間で ICMP エラーメッセージを変換できないと増加します。

推奨事項：

    断続的なイベントの場合は、対処不要です。原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

Syslogs:

    313005

-------------------------

inspect-icmp-error-no-existing-conn

ICMP Error Inspect no existing conn:

    このカウンタは、ICMP エラーメッセージに埋め込まれたフレームに関連する確立された接続が見つからないと増加します。

推奨事項：

    断続的なイベントの場合は、対処不要です。原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

Syslogs:

    313005

-------------------------

inspect-icmp-invalid-pak

ICMP Inspect invalid packet:

    このカウンタは、アプライアンスが無効な ICMPv4 パケットまたは ICMPv6 パケットを検出すると増加します。Examples: Incomplete ICMP header; malformed ICMP Next Header; invalid hop-limit for ICMPv6 NS (neighbor solicitation); etc.

推奨事項：

    断続的なイベントの場合は、対処不要です。原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

Syslogs:

    なし。

-------------------------

inspect-icmp-nat64-frag

ICMP NAT64 Inspect Fragmentation Error:

    このカウンタは、フラグメンテーションが原因でアプライアンスが IPv6 と IPv4 の間で ICMP メッセージを変換できないと増加します。Per RFC-6145, ICMP packet fragments will not be translated.

推奨事項：

    対処不要です。

Syslogs:

    313005

-------------------------

inspect-icmp-out-of-app-id

ICMP Inspect out of App ID:

    このカウンタは、ICMP 検査エンジンが「App ID」データ構造の割り当てに失敗すると増加します。このデータ構造は、ICMP パケットのシーケンス番号を保存するのに使用します。

推奨事項：

    システムメモリの使用状況を確認してください。通常このイベントは、システムがメモリ不足になった場合に発生します。

Syslogs:

    なし。

-------------------------

inspect-icmp-seq-num-not-matched

ICMP Inspect seq num not matched:

    このカウンタは、ICMP エコー応答メッセージのシーケンス番号が、同じ接続で以前にアプライアンスを通過した ICMP エコーメッセージと一致しないと増加します。

推奨事項：

    断続的なイベントの場合は、対処不要です。原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

Syslogs:

    313004

-------------------------

inspect-icmpv6-error-invalid-pak

ICMPv6 Error Inspect invalid packet:

    このカウンタは、ICMPv6 パケットに埋め込まれた無効なフレームをアプライアンスが検出すると増加します。このチェックは IPv6 パケットと同じものです。Examples: Incomplete IPv6 header; malformed IPv6 Next Header; etc.

推奨事項：

    対処不要です。

Syslogs:

    なし。

-------------------------

inspect-icmpv6-error-no-existing-conn

ICMPv6 Error Inspect no existing conn:

    このカウンタは、ICMPv6 エラーメッセージに埋め込まれたフレームに関連する確立された接続が見つからないと増加します。

推奨事項：

    断続的なイベントの場合は、対処不要です。原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

Syslogs:

    313005

-------------------------

inspect-rtcp-invalid-length

Invalid RTCP Packet length:

    このカウンタは、UDP パケット長が RTCP ヘッダーのサイズよりも小さい場合に増加します。

推奨事項：

    対処不要です。A capture can be used to figure out which RTP source is sending the incorrect packets and you can deny the host using the ACLs.

Syslogs:

    なし。

-------------------------

inspect-rtcp-invalid-payload-type

Invalid RTCP Payload type field:

    このカウンタは、RTCP ペイロードタイプフィールドに 200 ～ 204 の値が含まれていないと増加します。

推奨事項：

    RTP ソースを検証して、RFC 1889 で推奨される範囲外のペイロードタイプを送信している理由を確認する必要があります。

Syslogs:

    431002。

-------------------------

inspect-rtcp-invalid-version

Invalid RTCP Version field:

    このカウンタは、RTCP バージョンフィールドに 2 以外のバージョンが含まれていると増加します。

推奨事項：

    ネットワーク内の RTP ソースが RFC 1889 に適合した RTCP パケットを送信していないようです。The reason for this has to be identified and you can deny the host using ACLs if required.

Syslogs:

    431002。

-------------------------

inspect-rtp-invalid-length

Invalid RTP Packet length:

    このカウンタは、UDP パケット長が RTP ヘッダーのサイズより短いと増加します。

推奨事項：

    対処不要です。A capture can be used to figure out which RTP source is sending the incorrect packets and you can deny the host using the ACLs.

Syslogs:

    なし。

-------------------------

inspect-rtp-invalid-payload-type

Invalid RTP Payload type field:

    このカウンタは、信号を発しているチャネルがこの RTP セカンダリ接続のオーディオメディアタイプについてネゴシエートしたときに、RTP ペイロードタイプフィールドにオーディオペイロードタイプが含まれていないと増加します。カウンタは、ビデオ ペイロード タイプの場合と同じように増分します。

推奨事項：

    ネットワーク内の RTP ソースがオーディオ RTP セカンダリ接続を使用してビデオを送信しているか、またはその逆です。If you wish to prevent this you can deny the host using ACLs.

Syslogs:

    431001。

-------------------------

inspect-rtp-invalid-version

Invalid RTP Version field:

    このカウンタは、RTP バージョンフィールドに 2 以外のバージョンが含まれていると増加します。

推奨事項：

    ネットワーク内の RTP ソースが RFC 1889 に適合した RTP パケットを送信していないようです。The reason for this has to be identified and you can deny the host using ACLs if required.

Syslogs:

    431001。

-------------------------

inspect-rtp-max-outofseq-paks-probation

RTP out of sequence packets in probation period:

    このカウンタは、RTP ソースが検証されているときに順序不正パケットが 20 を超えると増加します。検査では、順番どおりのパケットを 5 つ検出すると、ソースが確認済みであると判断されます。

推奨事項：

    RTP ソースを確認して、最初の数パケットが順番どおりでない理由を確認し、修正してください。

Syslogs:

    431001。

-------------------------

inspect-rtp-sequence-num-outofrange

RTP Sequence number out of range:

    このカウンタは、パケット内の RTP シーケンス番号が検査により予想された範囲内にないと増加します。

推奨事項：

    RTP ソースからのシーケンス番号の欠落後に、検査が新しいシーケンス番号からの追跡を試みるため、アクションは不要です。

Syslogs:

    431001。

-------------------------

inspect-rtp-ssrc-mismatch

Invalid RTP Synchronization Source field:

    このカウンタは、パケット内の RTP SSRC フィールドが、すべての RTP パケット内の RTP ソースからの、検査により確認された SSRC と一致しないと増加します。

推奨事項：

    これは、ネットワーク内の RTP ソースが再起動して SSRC を変更しているか、ファイアウォール上の開かれたセカンダリ RTP 接続を使用して RTP パケットを送信しようとしている別のホストが原因である可能性があります。問題があるかどうか確認するために、さらに調べる必要があります。

Syslogs:

    431001。

-------------------------

inspect-scansafe-duplicate-conn

Inspect scansafe duplicate connection:

このカウンタは、同じ送信元 IP アドレスとポートで重複した接続があると増加します。This packet will be dropped and connection will be closed.

Syslogs:

775002.

-------------------------

inspect-scansafe-encoding-failed

Inspect scansafe header encoding failed :

    このカウンタは、ユーザー名とグループ名の Base64 エンコーディングが失敗すると増加します。The packet is dropped and connection is closed.

Syslogs:

    775002。

-------------------------

inspect-scansafe-hdr-encryption-failed

Inspect scansafe header encryption failed:

    このカウンタは、ScanSafe ヘッダーの暗号化が失敗すると増加します。The packet is dropped and connection is closed.

Syslogs:

    775002。

-------------------------

inspect-scansafe-license-key-not-configured

Scansafe license key not configured:

    このカウンタは、ScanSafe ライセンスキーが未設定のときに増加します。The packet is dropped and the connection isclosed.

推奨事項：

    設定済みの Scansafe ライセンスキーがセキュリティアプライアンスに設定されているか確認してください。

Syslogs:

    775002。

-------------------------

inspect-scansafe-max-conn-reached

Inspect scansafe max allowed connections reached:

    このカウンタは、新しい接続を取得し、プラットフォームの許容最大同時 ScanSafe 接続数にすでに達していると増加します。The packet is dropped and connection is closed.

Syslogs:

    775002。

-------------------------

inspect-scansafe-public_key_not_configured

Scansafe public key not configured:

    このカウンタは、ScanSafe 公開キーが未設定のときに増加します。The packet is dropped and the connection isclosed.

推奨事項：

    設定済みの Scansafe 公開キーがセキュリティアプライアンスに設定されているか確認してください。

Syslogs:

    775002。

-------------------------

inspect-scansafe-server-not-reachable

Scansafe server not reachable:

    このカウンタは、ScanSafe クラウドがダウンしていることをセキュリティアプライアンスが見つけると増加します。The packet is dropped and the connection isclosed.

推奨事項：

    設定済みの ScanSafe サーバーがセキュリティアプライアンスから到達可能か確認してください。

Syslogs:

    775002。

-------------------------

inspect-stun-invalid-pak

STUN Inspect invalid packet:

    このカウンタは、アプライアンスが無効な STUN パケットを検出すると増加します。

Examples: Incomplete STUN header; malformed STUN Header; etc.

推奨事項：

    断続的なイベントの場合は、対処不要です。原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

Syslogs:

    なし。

-------------------------

inspect-stun-out-of-memory

STUN Inspect out of Memory:

    このカウンタは、STUN 検査エンジンがメモリの割り当てに失敗すると増加します。

推奨事項：

    システムメモリの使用状況を確認してください。通常このイベントは、システムがメモリ不足になった場合に発生します。

Syslogs:

    なし。

-------------------------

inspect-stun-out-of-trans-id

STUN Inspect out of Trans ID:

    このカウンタは、STUN 検査エンジンが「Trans ID」データ構造の割り当てに失敗すると増加します。The structure is used to store the transaction id of the STUN packet.

推奨事項：

    システムメモリの使用状況を確認してください。通常このイベントは、システムがメモリ不足になった場合に発生します。

Syslogs:

    なし。

-------------------------

inspect-stun-pinhole-fail

STUN Inspect failed to open pinhole:

    このカウンタは、STUN 要求と正常な応答メッセージの交換後にアプライアンスがピンホールを開くことに失敗すると増加します。

推奨事項：

    システムメモリの使用状況を確認してください。通常このイベントは、システムがメモリ不足になった場合に発生します。

Syslog:

    なし。

-------------------------

inspect-stun-trans-id-no-match

STUN Inspect trans id not matched:

    このカウンタは、STUN の成功/エラー応答メッセージのトランザクション ID が、同じ接続上で以前にアプライアンスを通過した STUN 要求メッセージと一致しないと増加します。

推奨事項：

    断続的なイベントの場合は、対処不要です。原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

Syslogs:

    313004

-------------------------

intercept-unexpected

Intercept unexpected packet:

    サーバーからの SYNACK を待機している間にクライアントからデータを受信したか、TCP インターセプトの特定の状態で処理できないパケットを受信しました。

推奨事項：

    このドロップが接続の失敗を引き起こしている場合、問題を報告する際にクライアント側とサーバー側の接続のスニファトレースを取得してください。The box could be under attack and the sniffer traces or capture would help narrowing down the culprit.

Syslogs:

    なし。

-------------------------

interface-down

Interface is down:

    このカウンタは、'shutdown' インターフェイス サブモード コマンドによってシャットダウンされたインターフェイスでパケットが受信されるたびに増加します。入トラフィックでは、セキュリティ コンテキスト分類が行われ、そのコンテキストに関連付けられたインターフェイスがシャットダウンしている場合、このパケットはドロップされます。出トラフィックでは、出トラフィックがシャットダウンしている場合、パケットがドロップされます。

推奨事項：

    対処不要です。

Syslogs:

    なし。

-------------------------

invalid-adjacency

No valid adjacency:

    このカウンタは、セキュリティアプライアンスが隣接関係の取得を試みたもののネクストホップの MAC アドレスを取得できないと増加します。パケットはドロップされます。

推奨事項：

    このドロップ理由のキャプチャを設定し、指定された宛先アドレスを持つホストが接続されたネットワーク上に存在するか、デバイスからルーティング可能かを確認してください。

Syslogs:

   なし。

-------------------------

invalid-app-length

Invalid App length:

    このカウンタは、アプライアンスがパケット内に無効な長さのレイヤ 7 ペイロードを検出すると増加します。現在は、DNS Guard 機能のみによるドロップをカウントします。Example: Incomplete DNS header.

推奨事項：

    対処不要です。

Syslogs:

    なし。

-------------------------

invalid-encap

Invalid Encapsulation:

    このカウンタは、サポートされていないリンクレベルプロトコルに属するフレームをセキュリティアプライアンスが受信するか、フレームで指定された L3type がアプライアンスでサポートされていないと増加します。パケットはドロップされます。

推奨事項：

    直接接続されたホストが適切なリンクレベルプロトコル設定を持っていることを確認してください。

Syslogs:

    なし。

-------------------------

invalid-encryption-packet

Invalid encryption packet received:

    このカウンタは、暗号化フラグがオンになっていないフローの IPSec 接続に関連付けられたパケットをアプライアンスが受信すると増加します。

推奨事項：

    通常の操作の一部として、このカウンタの増加を確認することができます。However, if the counter is rapidly incrementing and there is a traffic disruption, then this may be caused by a misconfiguration or a software defect.

Syslog：

    なし

-------------------------

invalid-ethertype

Invalid Ethertype:

    このカウンタは、IP バージョン 4 または IP バージョン 6 に属していないフラグメント化されたパケットをセキュリティアプライアンスのフラグメンテーション モジュールが受信するか送信しようとすると増加します。パケットはドロップされます。

推奨事項：

    デバイスおよび接続されたネットワーク上の他のデバイスの mtu を確認して、デバイスがそのようなフラグメントを処理している理由を特定してください。

Syslogs:

    なし。

-------------------------

invalid-geneve-segment-id

Invalid Geneve segment-id:

    このカウンタは、無効なセグメント ID を持つ Geneve パケットのカプセル化をセキュリティアプライアンスが解除すると増加します。

推奨事項：

    なし。

Syslogs:

   860001。

-------------------------

invalid-geneve-segment-id-fp

Invalid VXLAN in-tag:

    このカウンタは、無効なセグメント ID を持つ FP の VXLAN パケットのカプセル化をセキュリティアプライアンスが解除すると増加します。

推奨事項：

    なし。

Syslogs:

    778003。

-------------------------

invalid-geneve-shared-ch

Invalid Geneve segment-id:

    このカウンタは、無効なセグメント ID を持つ Geneve パケットのカプセル化をセキュリティアプライアンスが解除すると増加します。

推奨事項：

    なし。

Syslogs:

   860001。

-------------------------

invalid-ip-header

Invalid IP header:

    IP ヘッダーの計算されたチェックサムがヘッダーに記録されたチェックサムと一致しない IP パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

推奨事項：

    パケットの破損は、悪いケーブルや回線上のノイズが原因である可能性があります。また、ピアから破損したパケットが送信され、攻撃を受けている可能性もあります。Please use the packet capture feature to learn more about the origin of the packet.

Syslogs:

    なし

-------------------------

invalid-ip-length

Invalid IP Length:

    このカウンタは、ヘッダー長または IP ヘッダーの合計長フィールドが無効であるか受信したパケット長と一致しない IPv4 パケットまたは IPv6 パケットをセキュリティアプライアンスが受信すると増加します。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

invalid-ip-option

IP option drop:

    このカウンタは、IP オプションを持つユニキャストパケットや、受け入れられるように設定されていない IP オプションを持つマルチキャストパケットをセキュリティアプライアンスが受信すると増加します。パケットはドロップされます。

推奨事項：

    送信者が IP オプションを持つパケットを送信している理由を調査してください。

Syslogs:

    なし。

-------------------------

invalid-map-address-port

Invalid MAP address/port combination:

    MAP（アドレスとポートのマッピング）ドメインの基本マッピングルールに一致するアドレスを持つパケットのエンコーディングに一貫性がないか、使用されているポート番号が割り当てられた範囲内にありません。

推奨事項：

    MAP BR と CE の設定を確認して、同じ MAP ドメイン内で一貫していることを確認してください。Note that this can also be caused by a rouge MAP CE that maliciously tries to use an unallotted port.

Syslogs:

    305019、305020

-------------------------

invalid-onwer-id-received

Packet dropped as invalid owner id received:

    このカウンタは、クラスタノードが VPN ディレクタから無効なオーナー ID を取得すると増加します。

Recommendations:

    なし。

Syslogs:

    なし。

-------------------------

invalid-peer-nve

Invalid peer NVE:

    このカウンタは、セキュリティアプライアンスがピア NVE の IP アドレスおよび MAC アドレスの取得に失敗すると増加します。

推奨事項：

    ピア NVE が NVE に設定済みまたは学習済みであることを確認してください。

Syslogs:

    なし。

-------------------------

invalid-sctp-length

Invalid SCTP Length:

    このカウンタは、セキュリティアプライアンスが SCTP パケットを受信する際、その共通ヘッダーサイズが必要となるサイズ（12 バイト）よりも小さい場合に増加します。

推奨事項：

    無効なパケットは攻撃者によって送信された偽のパケットである可能性があります。

Syslog:

    なし。

-------------------------

invalid-tcp-hdr-length

Invalid TCP Length:

    このカウンタは、セキュリティアプライアンスが最小許可ヘッダー長より小さいサイズの TCP パケットを受信した場合、または受信したパケットの長さに準拠していない場合に増加します。

推奨事項：

    無効なパケットは攻撃者によって送信された偽のパケットである可能性があります。

Investigate the traffic from source in the following syslog.

Syslogs:

    500003。

-------------------------

invalid-udp-length

Invalid UDP Length:

    このカウンタは、ヘッダーのフィールドから計算されたサイズがネットワークから受信したパケットの測定サイズと異なる UDP パケットをセキュリティアプライアンスが受信すると増加します。

推奨事項：

    無効なパケットは攻撃者によって送信された偽のパケットである可能性があります。

Syslogs:

    なし。

-------------------------

invalid-vxlan-segment-id

Invalid VXLAN segment-id:

    このカウンタは、無効なセグメント ID を持つ VXLAN パケットのカプセル化をセキュリティアプライアンスが解除すると増加します。

推奨事項：

    なし。

Syslogs:

   778001。

-------------------------

invalid-vxlan-segment-id-fp

Invalid VXLAN in-tag:

    このカウンタは、無効なセグメント ID を持つ FP の VXLAN パケットのカプセル化をセキュリティアプライアンスが解除すると増加します。

推奨事項：

    なし。

Syslogs:

    778003。

-------------------------

invalid-vxlan-segment-id-tvi

Invalid VXLAN segment-id on TVI:

    このカウンタは、無効なセグメント ID を持つ VXLAN パケットを TVI インターフェイスが処理すると増加します。

推奨事項：

    なし。

Syslogs:

   なし。

-------------------------

ips-fail

IPS config removed for connection:

    特定の接続に対して IPS 設定が見つからないときに、このカウンタが増加し、パケットがドロップされます。

Recommendations:

   IPS の設定変更が行われたかどうかを確認してください。

Syslogs:

   なし

-------------------------

ips-fail-close

IPS card is down:

    IPS カードがダウンしていて、IPS 検査でフェールクローズオプションが使用されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    IPS カードを確認して動作させてください。

Syslogs:

    420001

-------------------------

ips-license-disabled-fail-close

IPS module license disabled:

    IPS モジュールライセンスが無効になっているときに、IPS 検査でフェールクローズオプションが使用されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    IPS モジュールライセンスが有効なアクティベーションキーを適用してください。

Syslogs:

    420008

-------------------------

ips-no-ipv6

Executing IPS software does not support IPv6:

    このカウンタは、IPS SSM カードで実行されているソフトウェアが IPv6 をサポートしていないために、IPS SSM に送信されるように設定された IPv6 パケットが廃棄されると増加します。

Recommendations:

   IPS ソフトウェアをバージョン 6.2 以降にアップグレードしてください。

Syslogs:

   なし

-------------------------

ips-preproc

Blocked or blacklisted by the IPS preprocessor:

    IPS プリプロセッサの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

ips-request

IPS Module requested drop:

    パケットが IPS エンジンの署名と一致すると、IPS モジュールの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    IPS モジュールの syslog とアラートを確認してください。

Syslogs:

    420002

-------------------------

ipsec-clearpkt-notun

IPSec Clear Pkt w/no tunnel:

    このカウンタは、アプライアンスが暗号化されているはずにもかかわらず暗号化されていないパケットを受信すると、増加します。パケットは、アプライアンスで設定および確立された IPSec 接続の内部ヘッダー セキュリティ ポリシー チェックと一致しましたが、暗号化されずに受信されました。これはセキュリティの問題です。

推奨事項：

    ネットワークトラフィックを分析して、スプーフィングされた IPSec トラフィックの送信元を特定します。

Syslog：

    402117

-------------------------

ipsec-decrypt

IPSec パケット復号エラー：

    このカウンタは、暗号オフロードハードウェアで復号できなかったパケット、またはアンチリプレイチェック、長さチェック、SA エラー、SA または SPI の不一致、ハードウェア障害などの問題が原因で無効とマークされたパケットを IPSec 接続でアプライアンスが受信すると増加します。

推奨事項：

    ネットワークトラフィックを分析して、これらのトラフィックの送信元および/または設定の問題を特定してください。

Syslog：

    なし

-------------------------

ipsec-ipv6

IPSec via IPV6:

    このカウンタは、アプライアンスが IPSec ESP パケット、IPSec NAT-T ESP パケット、または IP バージョン 6 ヘッダーにカプセル化された IPSec over UDP ESP パケットを受信すると増加します。The appliance does not currently support any IPSec sessions encapsulated in IP version 6.

推奨事項：

    なし

Syslog：

    なし

-------------------------

ipsec-lock-error

IPSec locking error:

    このカウンタは、IPSec 操作が試行されたものの内部ロックエラーのために失敗すると増加します。

推奨事項：

    この状態は通常の操作中には発生しないはずであり、アプライアンスのソフトウェアの問題を示している可能性があります。Contact the Cisco Technical Assistance Center (TAC) if this error occurs.

Syslogs:

    なし。

-------------------------

ipsec-need-sa

IPSec SA not negotiated yet:

    このカウンタは、暗号化を必要とするものの確立された IPSec セキュリティ アソシエーションを持たないパケットをアプライアンスが受信すると増加します。これは通常、LAN-to-LAN IPSec 設定に見られる正常な状態です。この指示により、アプライアンスは宛先ピアとの　ISAKMP ネゴシエーションを開始します。

推奨事項：

    アプライアンスで IPSec LAN-to-LAN を設定している場合、この表示は正常であり、問題を示すものではありません。However, if this counter increments rapidly it may indicate a crypto configuration error or network error preventing the ISAKMP negotiation from completing. Verify that you can communicate with the destination peer and verify your crypto configuration via the 'show running-config' command.

Syslog：

    なし

-------------------------

ipsec-selector-failure

IPSec VPN inner policy selector mismatch detected:

    このカウンタは、トンネルに設定されたポリシーと一致しない内部 IP ヘッダーを含む IPSec パケットが受信されると増加します。

推奨事項：

    トンネルの暗号 ACL が正しいこと、および許容可能なすべてのパケットがトンネル ID に含まれていることを確認してください。Verify that the box is not under attack if this message is repeatedly seen.

Syslog：

    402116

-------------------------

ipsec-spoof

IPSec spoof detected:

    このカウンタは、アプライアンスが暗号化されているはずにもかかわらず暗号化されていないパケットを受信すると、増加します。パケットは、アプライアンスで設定および確立された IPSec 接続の内部ヘッダー セキュリティ ポリシー チェックと一致しましたが、暗号化されずに受信されました。これはセキュリティの問題です。

推奨事項：

    ネットワークトラフィックを分析して、スプーフィングされた IPSec トラフィックの送信元を特定します。

Syslog：

    402117

-------------------------

ipsec-tun-down

IPSec tunnel is down:

    このカウンタは、削除中の IPSec 接続に関連するパケットをアプライアンスが受信すると増加します。

推奨事項：

    これは、IPSec トンネルが何らかの理由により切断された場合に見られる正常な状態です。

Syslog：

    なし

-------------------------

ipsec-tun-need-swap

Needed to swap to another IPSEC tunnel:

    このカウンタは、ダウンしていて別の IPSec 接続にスワップする必要がある IPSec 接続に関連付けられたパケットをアプライアンスが受信すると増加します。

推奨事項：

    これは、IPSec トンネルがダウンし、パケットを別の IPSec トンネルに移動できる通常の状態です。これが頻繁に発生する場合は、IPSec トンネルの障害を調査してください。

Syslog：

    なし

-------------------------

ipsecudp-keepalive

IPSEC/UDP keepalive message:

    このカウンタは、アプライアンスが IPSec over UDP キープアライブメッセージを受信すると増加します。IPSec over UDP keepalive messages are sent from the IPSec peer to the appliance to keep NAT/PAT flow information current in network devices between the IPSec over UDP peer and the appliance. Note - These are not industry standard NAT-T keepalive messages which are also carried over UDP and addressed to UDP port 4500.

推奨事項：

    アプライアンスで IPSec over UDP を設定している場合、この表示は正常であり、問題を示しているわけではありません。If IPSec over UDP is not configured on your appliance, analyze your network traffic to determine the source of the IPSec over UDP traffic.

Syslog：

    なし

-------------------------

ipv6-ah-denied

AH is denied by IPv6 extension header configuration:

    ユーザー設定ルールによって拒否された AH 拡張ヘッダーを持つ IPv6 パケットをアプライアンスが受信したときに、このカウンタが増加し、パケットがドロップされます。

推奨事項：

    'policy-map type ipv6' の 'match header ah' のアクションを確認してください。Remove action 'drop' if AH should be allowed.

Syslog：

    325004

-------------------------

ipv6-bad-eh

Bad IPv6 extension header is detected and denied:

    不正な拡張ヘッダーを持つ IPv6 パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

推奨事項：

Check 'verify-header type' of 'parameters' in 'policy-map type ipv6'. Remove 'verify-header type' if the header conformance can be skipped.

Syslog：

    325005

-------------------------

ipv6-bad-eh-order

IPv6 extension headers not in proper order is detected and denied:

    順序が正しくない拡張ヘッダーを持つ IPv6 パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

推奨事項：

Check 'verify-header order' of 'parameters' in 'policy-map type ipv6'. Remove 'verify-header order' if the header order can be arbitrary.

Syslog：

    325005

-------------------------

ipv6-dest-option-denied

destination-option is denied by IPv6 extension header configuration:

    ユーザー設定ルールによって拒否された宛先オプション拡張ヘッダーを持つ IPv6 パケットをアプライアンスが受信したときにすると、このカウンタが増加し、パケットがドロップされます。

推奨事項：

    'policy-map type ipv6' の 'match header destination-option' のアクションを確認してください。Remove action 'drop' if destination-option should be allowed.

Syslog：

    325004

-------------------------

ipv6-eh-count-denied

IPv6 extension headers exceeding configured maximum extension headers is denied:

extension header count is denied by IPv6 extension header configuration:

    ユーザー設定ルールによって拒否されるフラグメンテーション拡張ヘッダーを持つ IPv6 パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

推奨事項：

    'policy-map type ipv6' の 'match header fragmentation' のアクションを確認してください。Remove action 'drop' if fragmentation should be allowed.

Syslog：

    325004

-------------------------

ipv6-eh-inspect-failed

IPv6 extension header is detected and denied:

    アプライアンスが IPv6 パケットを受信したものの、メモリ割り当ての失敗により拡張ヘッダーを検査できなかった場合、このカウンタが増加し、パケットがドロップされます。

推奨事項：

Also check 'show memory' output to make sure appliance has enough memory to operate.

Syslog：

    なし

-------------------------

ipv6-esp-denied

ESP is denied by IPv6 extension header configuration:

    ユーザー設定ルールによって拒否された ESP 拡張ヘッダーを持つ IPv6 パケットをアプライアンスが受信したときに、このカウンタが増加し、パケットがドロップされます。

推奨事項：

    'policy-map type ipv6' の 'match header esp' のアクションを確認してください。Remove action 'drop' if ESP should be allowed.

Syslog：

    325004

-------------------------

ipv6-fragment-denied

IPv6 fragmentation extension header is denied by user configuration:

    ユーザー設定ルールによって拒否されるフラグメンテーション拡張ヘッダーを持つ IPv6 パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

推奨事項：

    'policy-map type ipv6' の 'match header fragmentation' のアクションを確認してください。Remove action 'drop' if fragmentation should be allowed.

Syslog：

    325004

-------------------------

ipv6-hop-by-hop-denied

IPv6 hop-by-hp extension header is denied by user configuration:

    ユーザー設定ルールによって拒否されたホップバイホップ拡張ヘッダーを持つ IPv6 パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます

推奨事項：

    'policy-map type ipv6' の 'match header hop-by-hop' のアクションを確認してください。Remove action 'drop' if hop-by-hop should be allowed.

Syslog：

    325004

-------------------------

ipv6-mobility-denied

IPv6 mobility extension header is denied by user configuration:

    ユーザー設定ルールによって拒否されるモビリティ拡張ヘッダーを持つ IPv6 パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます

推奨事項：

    'policy-map type ipv6' の 'match header mobility' のアクションを確認してください。Remove action 'drop' if mobility should be allowed.

Syslog：

    325004

-------------------------

ipv6-mobility-type-denied

IPv6 mobility type extension header is denied by user configuration:

    ユーザー設定ルールによって拒否されるモビリティタイプ拡張ヘッダーを持つ IPv6 パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

推奨事項：

    'policy-map type ipv6' の 'match header mobility type' のアクションを確認してください。Remove action 'drop' if mobility should be allowed.

Syslog：

    325004

-------------------------

ipv6-routing-type-denied

routing type is denied by IPv6 extension header configuration:

    ユーザー設定ルールによって拒否されるルーティングタイプ拡張ヘッダーを持つ IPv6 パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

推奨事項：

    'policy-map type ipv6' の 'match header routing-type' のアクションを確認してください。Remove action 'drop' if routing-type should be allowed.

Syslog：

    325004

-------------------------

ipv6-sp-security-failed

IPv6 slowpath security checks failed:

    次のいずれかの理由により、このカウンタが増加し、パケットがドロップされます。

1) IPv6 through-the-box packet with identical source and destination address.

2) IPv6 through-the-box packet with linklocal source or destination address.

3) IPv6 through-the-box packet with multicast destination address.

推奨事項：

    これらのパケットは悪意のあるアクティビティを示している可能性があるか、誤って設定された IPv6 ホストの結果である可能性があります。パケット キャプチャ機能を使用して type asp パケットをキャプチャし、送信元 MAC アドレスを使用して送信元を特定します。

Syslogs:

    同一の送信元アドレスおよび宛先アドレスの場合、syslog 106016。それ以外はなし。

-------------------------

l2_acl

FP L2 rule drop:

    このカウンタは、レイヤ 2 ACL によりアプライアンスがパケットを拒否すると増加します。By default, in routed mode the appliance will PERMIT:

    1）IPv4 パケット

    2）IPv6 パケット

    3）ARP パケット

    4）FFFF:FFFF:FFFF の L2 宛先 MAC（ブロードキャスト）

    5）宛先 L2 が 0100:5E00:0000-0100:5EFE:FFFF の IPv4 MCAST パケット

    6）宛先 L2 が 3333:0000:0000-3333:FFFF:FFFF の IPv6 MCAST パケット

    デフォルトでは、トランスペアレントモードでルーテッドモード ACL が許可され、以下が許可されます。

    1）宛先 L2 が 0100:0CCC:CCCD の BPDU パケット

    2）宛先 L2 が 0900:0700:0000-0900:07FF:FFFF の AppleTalk パケット

    ユーザーは、他の種類の L2 トラフィックを許可するために、ethertype ACL を設定し、インターフェイスに適用することもできます。

    注：L2 ACL によって許可されたパケットは、L3-L4 ACL によってドロップされる可能性もあります。

推奨事項：

    アプライアンス/コンテキストをトランスペアレントモードで実行していて、非 IP パケットがアプライアンスによってドロップされる場合、ethertype ACL を設定し、ACL をアクセスグループに適用できます。Note - the appliance ethertype CLI only supports protocol types and not L2 destination MAC addresses.

Syslog：

    106026、106027

-------------------------

l2_acl_vxlan

FP L2 rule VXLAN drop:

    このカウンタは、レイヤ 2 ACL の適用を確認するときに VXLAN out_tag を見つけられないためにアプライアンスがパケットを拒否すると増加します。

推奨事項：

   これは、VXLAN ベースのタグスイッチングのユースケースでのみ発生します。Please make sure VXLAN segment-id configuration and tag switching table are correct.

Syslog：

    なし

-------------------------

l2_same-lan-port

L2 Src/Dst same LAN port:

    このカウンタは、アプライアンス/コンテキストがトランスペアレントモードに設定されており、宛先インターフェイスの L2 MAC アドレスが入力インターフェイスと同じであるとアプライアンスが判断すると増加します。

推奨事項：

    これは、アプライアンス/コンテキストがトランスペアレントモードに設定されている場合の通常の状態です。Since the appliance interface is operating in promiscuous mode, the appliance/context receives all packets on the local LAN seqment.

Syslog：

    なし

-------------------------

loopback-buffer-full

Loopback buffer full:

    共有インターフェイスを介してアプライアンスのあるコンテキストから別のコンテキストにパケットが送信され、ループバックキューにバッファスペースがない場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    システム CPU が過負荷になっていないことを確認してください。

Syslogs:

    なし

-------------------------

loopback-count-exceeded

Loopback count exceeded:

    アプライアンスのあるコンテキストから別のコンテキストに共有インターフェイスを介してパケットが送信され、ただしこのパケットがループバックキューにキューされる回数を超えた場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    各コンテキストのコンテキスト設定を確認してください。The packet is entering a loop in the context configurations so that it is stuck between contexts, and is repeatedly put into the loopback queue.

Syslogs:

    なし

-------------------------

loopback-ifc-not-found

Loopback output interface not found:

    共有インターフェイスを介してアプライアンスのあるコンテキストから別のコンテキストにパケットが送信され、ループバックキューにバッファスペースが出力インターフェイスに見つからない場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    この状態は通常の操作中には発生しないはずであり、アプライアンスのソフトウェアの問題を示している可能性があります。Contact the Cisco Technical Assistance Center (TAC) if this error occurs.

Syslogs:

    なし

-------------------------

loopback-lock-failed

Loopback lock failed:

    共有インターフェイスを介してアプライアンスのあるコンテキストから別のコンテキストにパケットが送信され、ループバックキューがロックの取得に失敗した場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    この状態は通常の操作中には発生しないはずであり、アプライアンスのソフトウェアの問題を示している可能性があります。Contact the Cisco Technical Assistance Center (TAC) if this error occurs.

Syslogs:

    なし

-------------------------

lu-invalid-pkt

Invalid LU packet:

    スタンバイユニットが破損した論理更新パケットを受信しました。

推奨事項：

    パケットの破損は、不良のケーブル、インターフェイスカード、回線ノイズ、またはソフトウェアの欠陥によって引き起こされる可能性があります。インターフェイスが正しく機能しているように見えても、この問題を Cisco TAC に報告してください。

Syslogs:

    なし

-------------------------

mcast-in-nonactive-device

The device in HA mode received a multicast packet when it is not in active state:

    この理由は、HA モードでありながら現在はアクティブ状態ではないデバイスがマルチキャストパケットを受信したときに、パケットがドロップされると表示されます。As the HA device can only process the multicast in the active state, the received packet will be dropped.

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

memif-non-ip-pkt

MEMIF Non IP Packet:

    このカウンタは、ポリシールックアップのために Memif で非 IP パケットが受信されると増加します。Non IP packets are dropped in that case.

推奨事項：

    送信者がポリシールックアップのために非 IP パケットを送信している理由を調査してください。

Syslogs:

    なし。

-------------------------

memif-non-policy-pkt

MEMIF No Policy Packet:

    このカウンタは、ポリシールックアップのためにタグ付けされていないパケットが Memif で受信されると増加します。Such packets are dropped in that case.

推奨事項：

    送信者がポリシールックアップのために非 IP パケットを送信している理由を調査してください。

Syslogs:

    なし。

-------------------------

meta-expired

Expired flow:

    このカウンタは、セキュリティアプライアンスがすでに期限切れのフローに属する新しいまたはキャッシュされたパケットを注入しようとしたときに増加します。また、アプライアンスがすでに期限切れの TCP フローに対して RST を送信しようとしたとき、または IDS ブレードからパケットが戻ってきたがフローがすでに期限切れだったときにも増加します。The packet is dropped

推奨事項：

    有効なアプリケーションが先取りされている場合は、より長いタイムアウトが必要かどうかを調査してください。

Syslogs:

   なし。

-------------------------

monitor-only-mode-hdr-mismatch

Monitor-only mode packets:

     モニター専用モードの設定と AFBP ヘッダーフラグに不一致がある場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

      なし

Syslogs:

      なし

-------------------------

mp-pf-queue-full

Port Forwarding Queue Is Full:

       このカウンタは、ポート フォワーディング アプリケーションの内部キューがいっぱいになっているときに別の送信パケットを受信すると増加します。

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

Syslogs:

    なし。

-------------------------

mp-send-cp-fail

SVC Module send CP error failed:

    このカウンタは、セキュリティアプライアンスがエラー情報を CP に送信できないと増加します。

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

Syslogs:

   なし。

-------------------------

mp-service-inject-failed

SERVICE Module failed to inject a packet:

    このエラーは、サービスモジュールを介してパケットを注入しようとして失敗した場合に発生します。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

mp-svc-addr-renew-response

SVC Module received address renew response data frame:

    このカウンタは、セキュリティアプライアンスが SVC からアドレス更新応答メッセージを受信すると増加します。SVC はこのメッセージを送信しません。

推奨事項：

    これは、SVC ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

Syslogs:

   なし。

-------------------------

mp-svc-async-qlimit

SVC Module reached ASYNC Q LIMIT:

    DTLS アウトバウンドパケットはハッシュされ、ASYNC LOCK Q にキューイングされます。FPR4245 の場合、各非同期ロック Q は 5000 パケットに制限されます。それ以上のパケットのキューイングが試行されると、ドロップが発生し、このカウンタが増加します。

推奨事項：

    これは、DTLS セッションの場合に FPR4245 で発生する可能性があります。これによりパフォーマンスが低下する場合は、Cisco TAC にお問い合わせください。

Syslogs:

   なし。

-------------------------

mp-svc-bad-compress

SVC Module unable to compress a packet:

    このカウンタは、AnyConnect クライアントに送信されるパケットを圧縮できないと増加します。

推奨事項：

    AnyConnect クライアントへのすべての圧縮を無効にしてください。

Syslogs:

    なし。

-------------------------

mp-svc-bad-decompress

SVC Module unable to decompress a packet:

    このカウンタは、AnyConnect クライアンから受信するパケットを圧縮できないと増加します。

推奨事項：

    AnyConnect クライアントへのすべての圧縮を無効にしてください。

Syslogs:

    なし。

-------------------------

mp-svc-bad-framing

SVC Module received badly framed data:

    このカウンタは、セキュリティアプライアンスが SVC から、またはデコードできないコントロールソフトウェアからパケットを受信すると増加します。

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。SVC またはセキュリティ アプライアンスで、障害が発生している可能性があります。

Syslogs:

    722037（SVC 受信データ専用）。

-------------------------

mp-svc-bad-length

SVC Module received bad data length:

    このカウンタは、セキュリティアプライアンスが SVC から、または計算された指定の長さが一致しないコントロールソフトウェアからパケットを受信すると増加します。

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。SVC またはセキュリティ アプライアンスで、障害が発生している可能性があります。

Syslogs:

    722037（SVC 受信データ専用）。

-------------------------

mp-svc-compress-error

SVC Module compression error:

    このカウンタは、セキュリティアプライアンスが、SVC へのデータの圧縮中にエラーを検出すると増加します。

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。SVC またはセキュリティ アプライアンスで、障害が発生している可能性があります。

Syslogs:

   722037。

-------------------------

mp-svc-decompress-error

SVC Module decompression error:

    このカウンタは、セキュリティアプライアンスが SVC からのデータの圧縮解除中にエラーを検出すると増加します。

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。SVC またはセキュリティ アプライアンスで、障害が発生している可能性があります。

Syslogs:

   722037。

-------------------------

mp-svc-delete-in-progress

SVC Module received data while connection was being deleted:

    このカウンタは、削除中の SVC 接続に関連するパケットをセキュリティアプライアンスが受信したときに増加します。

推奨事項：

    これは、SVC 接続が何らかの理由により切断された場合に見られる正常な状態です。このエラーが繰り返し何度も発生する場合は、クライアントのネットワーク接続に問題があると考えられます。

Syslogs:

    なし。

-------------------------

mp-svc-flow-control

SVC Session is in flow control:

    このカウンタは、SVC が一時的にこれ以上データを受信できないため、セキュリティアプライアンスがデータをドロップする必要があると増加します。

推奨事項：

    asp-drop タイプのパケットキャプチャを使用して、パケットの方向を判断してください。Most often this indicates that the client is unable to accept more data. On rare occasion, the counter can indicate the appliance cannot handle the inbound traffic if the packet direcion is towards the appliance.

Syslogs:

   なし。

-------------------------

mp-svc-invalid-mac

SVC Module found invalid L2 data in the frame:

    このカウンタは、セキュリティアプライアンスが SVC から受信したデータに添付された L2 MAC ヘッダーが無効であると検出すると増加します。

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

Syslogs:

   なし。

-------------------------

mp-svc-invalid-mac-len

SVC Module found invalid L2 data length in the frame:

    このカウンタは、セキュリティアプライアンスが SVC から受信したデータに添付された L2 MAC 長が無効であると検出すると増加します。

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

Syslogs:

   なし。

-------------------------

mp-svc-invalid-src-addr

SVC Module found invalid inner SRC address:

    このカウンタは、セキュリティアプライアンスが SVC から受信したデータに添付された内部 SRC アドレスが無効であると検出すると増加します。

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

Syslogs:

   なし。

-------------------------

mp-svc-no-channel

SVC Module does not have a channel for reinjection:

    このカウンタは、暗号化データを受信したインターフェイスが、復号化データを注入する際に検出されないと増加します。

推奨事項：

    接続中にインターフェイスがシャットダウンされた場合、これが発生する可能性があります。インターフェイスを再有効化/確認してください。接続中にシャットダウンしたのでない場合は、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

Syslogs:

   なし。

-------------------------

mp-svc-no-fragment

SVC Module unable to fragment packet:

    このカウンタは、SVC に送信するパケットのフラグメンテーションが許可されない場合、またはパケットをフラグメンテーションするために十分なデータバッファがない場合に増加します。

推奨事項：

    SVC の MTU を増やし、フラグメンテーションを減らしてください。フラグメンテーションを許容しないアプリケーションの使用は避けてください。デバイスにかかる負荷を少なくして、使用可能なデータ バッファを増加させてください。

Syslogs:

    なし。

-------------------------

mp-svc-no-mac

SVC Module unable to find L2 data for frame:

    このカウンタは、セキュリティアプライアンスが SVC から受信したデータの L2 MAC ヘッダーを検出できないと増加します。

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

Syslogs:

   なし。

-------------------------

mp-svc-no-prepend

SVC Module does not have enough space to insert header:

    このカウンタは、ネットワークにパケットを配置するために、パケットデータの前に MAC ヘッダーを付加する十分なスペースがないと増加します。

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

Syslogs:

   なし。

-------------------------

mp-svc-no-session

SVC Module does not have a session:

    このカウンタは、セキュリティアプライアンスがこのデータを送信しなければならない SVC セッションを決定できないと増加します。

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

Syslogs:

   なし。

-------------------------

mp-svc-session-frag-fail

SVC Module failed to send frag fail:

    このカウンタは、セキュリティアプライアンスが ICMP エラーメッセージを生成できないと増加します。

推奨事項：

    この状態は通常の操作中には発生しないはずであり、アプライアンスのソフトウェアの問題を示している可能性があります。Contact the Cisco Technical Assistance Center (TAC) if this error occurs.

Syslogs:

    なし。

-------------------------

mp-svc-session-lock-failure

SVC Module failed to acquire the session lock:

    このカウンタは、セキュリティアプライアンスがこのデータを送信しなければならない SVC セッションのロックを取得できないと増加します。

推奨事項：

    この状態は通常の操作中には発生しないはずであり、アプライアンスのソフトウェアの問題を示している可能性があります。Contact the Cisco Technical Assistance Center (TAC) if this error occurs.

Syslogs:

    なし。

-------------------------

mp-svc-unknown-type

SVC Module received unknown data frame:

    このカウンタは、セキュリティアプライアンスがデータのタイプが不明な SVC からパケットを受信すると増加します。

推奨事項：

    クライアントが使用している SVC がセキュリティ アプライアンス ソフトウェアのバージョンと互換性があることを確認してください。

Syslogs:

   なし。

-------------------------

nat-64-or-46-conversion-fail

IPv6 to IPv4 or vice-versa conversion failure:

    この状態は、IPv6 トラフィックを IPv4 へ、またはその逆への変換に失敗したときに発生します。

推奨事項：

    NAT64 または NAT46 ポリシーが正しく設定されているか確認してください。

Syslogs:

    なし。

-------------------------

nat-cluster-input

NAT invalid input:

    クラスタリング通信の入力値に、予期しない値または無効な値が含まれています。

推奨事項：

    これは内部ソフトウェアエラーの可能性があります。購入された代理店にお問い合わせください。

Syslogs:

    なし。

-------------------------

nat-cluster-invalid-unxlate-redirect

Cluster member dropped an invalid NAT untranslate redirect packet from peer:

    クラスタメンバーがピアから NAT アンストランスレート パケットを受信しました。However this member does not own the NAT address pool the packet belongs to.

推奨事項：

    このカウンタは、クラスタメンバーの障害後の一時的な状態です。However, if this counter is incremented continuously, it could be an internal software error. Contact Cisco Systems in such case.Syslogs:

    なし。

-------------------------

nat-cluster-pool-update-fail

Cluster control node failed to send NAT pool update to data node:

    クラスタコントロールノードが NAT プールの更新をデータノードに送信できませんでした。This drop will increase if system resources is low.

推奨事項：

    - システムの空きメモリが少ないかどうかを観察します。

    - "SEC_NAT_SEND_NO_BUFFER" カウンタが増加しているかどうかを観察します。

Syslogs:

    なし。

-------------------------

nat-host-pb-limits-reached

NAT failed due to host limits reached:

    ホストがポートブロックの制限に達したため、IP またはトランスポートヘッダーを変換するための xlate の作成に失敗しました。

推奨事項：

    "show local host" を確認して、xlate とポートブロック作成のためのホスト割り当てを確認してください。

Syslogs:

    305016

-------------------------

nat-no-xlate-to-pat-pool

NAT no xlate to pat pool:

    PAT プール内のマッピングアドレスと一致する宛先との接続で、既存の xlate が見つかりませんでした。

推奨事項：

    アクセスが必要な場合は、静的 PAT を設定してください。

Syslogs:

    なし。

-------------------------

nat-rpf-failed

NAT reverse path failed:

    変換されたホストの実際のアドレスを使用して、変換されたホストに接続しようとして拒否されました。

推奨事項：

    NAT 経由のホストと同じインターフェイス上にない場合は、実際のアドレスの代わりにマップされたアドレスを使用してホストに接続してください。Also, enable the appropriate inspect command if the application embeds IP address.

Syslogs:

    305005

-------------------------

nat-xlate-failed

NAT failed:

    IP またはトランスポートヘッダーを変換するための xlate の作成に失敗しました。

推奨事項：

    NAT が不要な場合は、"nat-control" を無効にしてください。Otherwise, use the "static", "nat" or "global" command to configure NAT policy for the dropped flow. For dynamic NAT, ensure that each "nat" command is paired with at least one "global" command. Use "show nat" and "debug pix process" to verify NAT rules.

Syslogs:

    305005、305006、305009、305010、305011、305012

-------------------------

nat-xlate-pool-exhausted

NAT failed due to pool exhaustion:

    プールの枯渇により、IP またはトランスポートヘッダーを変換するための xlate の作成に失敗しました。

推奨事項：

    "show nat pool" を確認して、NAT プールが xlate 作成にどのように割り当てられているかを確認してください。

Syslogs:

    305005、305006、305009、305010、305011、305012

-------------------------

natt-keepalive

NAT-T keepalive message:

    このカウンタは、アプライアンスが IPSec NAT-T キープアライブメッセージを受信すると増加します。NAT-T keepalive messages are sent from the IPSec peer to the appliance to keep NAT/PAT flow information current in network devices between the NAT-T IPSec peer and the appliance.

推奨事項：

    アプライアンスで IPSec NAT-T を設定している場合、この表示は正常であり、問題を示しているわけではありません。If NAT-T is not configured on your appliance, analyze your network traffic to determine the source of the NAT-T traffic.

Syslog：

    なし

-------------------------

no-adjacency

No valid adjacency:

    このカウンタは、セキュリティアプライアンスが隣接関係の取得を試みたもののネクストホップの MAC アドレスを取得できないと増加します。パケットはドロップされます。

推奨事項：

    このドロップ理由のキャプチャを設定し、指定された宛先アドレスを持つホストが接続されたネットワーク上に存在するか、デバイスからルーティング可能かを確認してください。

Syslogs:

   なし。

-------------------------

no-mcast-entry

FP no mcast entry:

    パケットがマルチキャストフローに一致して到着しましたが、マルチキャストサービスが無効になっているか、フローが構築された後に再有効化されました。

    - OR -

    パケットが CP にパントされた後にマルチキャストエントリの変更が検出され、エントリが存在しないために NP がパケットを転送できません。

推奨事項：

    マルチキャストが無効になっている場合は再有効化してください。

    - OR -

    対処不要です。

Syslogs:

    なし

-------------------------

no-mcast-intrf

FP no mcast output intrf:

    すべての出力インターフェイスがマルチキャストエントリから削除されました。

    - OR -

    マルチキャストパケットを転送できませんでした。

推奨事項：

    このグループに受信者がいないことを確認してください。

    - OR -

    このパケットのフローが存在することを確認してください。

Syslogs:

    なし

-------------------------

no-paired-ifc

No valid adjacency:

    このカウンタは、セキュリティアプライアンスが隣接関係の取得を試みたもののネクストホップの MAC アドレスを取得できないと増加します。パケットはドロップされます。

推奨事項：

    このドロップ理由のキャプチャを設定し、指定された宛先アドレスを持つホストが接続されたネットワーク上に存在するか、デバイスからルーティング可能かを確認してください。

Syslogs:

   なし。

-------------------------

no-route

No route to host:

    このカウンタは、セキュリティアプライアンスがパケットをインターフェイスから送信しようとし、そのルートがルーティングテーブルで見つからないと増加します。

推奨事項：

    生成された syslog から取得した宛先アドレスに対するルートが存在することを確認してください。

Syslogs:

   110001。

-------------------------

no-route-to-peer-nve

No route to peer NVE:

    このカウンタは、セキュリティアプライアンスがピア NVE へのネクストホップを見つけられなかったときに増加します。

推奨事項：

    送信元インターフェイスを介してピア NVE が到達可能であることを確認してください。

Syslogs:

    なし。

-------------------------

no-same-security-traffic

No same-security-traffic configured:

    このカウンタは、復号トンネルと暗号化トンネルが同じインターフェイスによって所有され、same-security-traffic が設定されていないと増加します。

推奨事項：

    "same-security-traffic permit intra-interface" を設定してください。

Syslogs:

    なし。

-------------------------

no-v4-adjacency

No valid adjacency:

    このカウンタは、セキュリティアプライアンスが隣接関係の取得を試みたもののネクストホップの MAC アドレスを取得できないと増加します。パケットはドロップされます。

推奨事項：

    このドロップ理由のキャプチャを設定し、指定された宛先アドレスを持つホストが接続されたネットワーク上に存在するか、デバイスからルーティング可能かを確認してください。

Syslogs:

   なし。

-------------------------

no-v6-adjacency

No valid adjacency:

    このカウンタは、セキュリティアプライアンスが隣接関係の取得を試みたもののネクストホップの MAC アドレスを取得できないと増加します。パケットはドロップされます。

推奨事項：

    このドロップ理由のキャプチャを設定し、指定された宛先アドレスを持つホストが接続されたネットワーク上に存在するか、デバイスからルーティング可能かを確認してください。

Syslogs:

   なし。

-------------------------

no-valid-nve-ifc

No valid NVE interface:

    このカウンタは、セキュリティアプライアンスが VNI インターフェイスの NVE インターフェイスを識別できないと増加します。

推奨事項：

    NVE がすべてのインターフェイスに設定されていることを確認してください。

Syslogs:

    なし。

-------------------------

no-valid-vni-ifc

No valid VNI interface:

    このカウンタは、セキュリティアプライアンスが特定のセグメント ID によって VNI インターフェイスを識別できないと増加します。

推奨事項：

    syslog のセグメント ID がインターフェイスに設定されていることを確認してください。

Syslogs:

   778002。

-------------------------

non-ip-pkt-in-routed-mode

Non-IP packet received in routed mode:

    このカウンタは、アプライアンスが受信したパケットが IPv4、IPv6、ARP のいずれでもなく、アプライアンスまたはコンテキストがルーテッドモードに設定されているときに増加します。In normal operation such packets should be dropped by the default L2 ACL configuration.

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

Syslog：

    106026、106027

-------------------------

none

Not a Blocking Packet:

    このカウンタは、パケットがブロックされていないと増加します。

Recommendations:

    なし。

Syslogs:

    なし。

-------------------------

np-socket-closed

Dropped pending packets in a closed socket:

    ソケットがユーザーまたはソフトウェアにより突然終了すると、そのソケットのパイプライン中にある保留中のパケットもドロップされます。このカウンタは、パイプライン中にある各ソケットがドロップするたびに増分します。

推奨事項：

    通常の操作の一部として、このカウンタが増加するのは一般的です。ただし、カウンタが急速に増加し、ソケットベースのアプリケーションに大きな誤動作がある場合は、ソフトウェアの欠陥が原因である可能性があります。問題をさらに調査するには、Cisco TAC に連絡してください。

Syslogs:

    なし。

-------------------------

np-socket-lock-failure

Dropped pending packets due to a failed attempt to get an internal socket lock:

    このエラーは、内部ソケットロックの取得に失敗すると発生します。

推奨事項：

    この状態は通常の操作中には発生しないはずであり、アプライアンスのソフトウェアの問題を示している可能性があります。Contact the Cisco Technical Assistance Center (TAC) if this error occurs.

Syslogs:

    なし。

-------------------------

np-sp-invalid-spi

Invalid SPI:

    このカウンタは、アプライアンスが現在認識していない SPI（セキュリティ パラメータ インデックス）を指定するアプライアンス宛ての IPSec ESP パケットを受信すると増加します。

推奨事項：

    再キー処理中に無効な SPI の表示が時々発生するのは一般的です。無効な SPI が何度も表示される場合は、何らかの問題または DoS 攻撃を示している可能性があります。無効な SPI が頻繁に表示される場合は、ネットワーク トラフィックを分析して ESP トラフィックの送信元を特定します。

Syslog：

    402114

-------------------------

object-group-search-threshold-exceeded

object group search threshold exceeded:

    このカウンタは、パケットがアクセスリストと照合され、パケットと一致したアクセスリスト オブジェクトグループの数が 10000 を超えると増加します。If this occurs, the packet is dropped. Access-list checks can negatively impact the performance of the device when a packet matches an excessive number of object-groups when object-group-search access-control feature is enabled.

Recommendations:

    アクセスリストとオブジェクトグループの設定を再設定して、トラフィックが過剰な数のオブジェクトグループと一致しないようにしてください。Usually this problem is triggered by a large number of overlapping or duplicated objects. Examine the traffic being dropped with 'capture asp type asp-drop ogs-match-limit-exceeded', then 'show capture asp'.

Syslogs:

    なし。

-------------------------

packet-infinite-looping

Infinite looping of packet:

    ループバックキューへのパケットのキューイングが試みられ、その出力インターフェイスが無限ループをトリガーすると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    絶対に発生しないはずです。パケットの内部処理が間違っている可能性があります。パケットがインターフェイスで無限ループに入っています。

Syslogs:

    なし

-------------------------

passenger-flow-handling-failed

Passenger flow processing error mishandling:

    このカウンタは、セキュリティアプライアンスがサポートされているトンネル IP パケットを受信し、パッセンジャ IP パケット処理中にエラーが発生したときに増加します。パケットがドロップされます。

推奨事項：

    対処不要です。

Syslogs:

    なし

-------------------------

passenger-flow-invalid-encap-request

Passenger flow processing error invalid tunnel encap request:

    このカウンタは、セキュリティアプライアンスが IP パケットのカプセル化を試み、要求されたトンネルカプセル化が無効であるためにエラーが発生すると増加します。パケットがドロップされます。

推奨事項：

    対処不要です。

Syslogs:

    なし

-------------------------

passenger-flow-malformed-packet

Passenger flow processing error malformed tunnel encap:

    このカウンタは、セキュリティアプライアンスがサポートされているトンネル IP パケットを受信し、トンネルカプセル化が不正な形式であるためにエラーが発生すると増加します。パケットがドロップされます。

推奨事項：

    対処不要です。

Syslogs:

    なし

-------------------------

passenger-flow-no-encap-info

Passenger flow processing error missing tunnel encap info:

    このカウンタは、セキュリティアプライアンスが IP パケットのカプセル化を試み、必要なトンネルカプセル化情報がないためにエラーが発生すると増加します。パケットがドロップされます。

推奨事項：

    対処不要です。

Syslogs:

    なし

-------------------------

passenger-flow-unsupported-encap

Passenger flow processing error unsupported tunnel encap:

    このカウンタは、セキュリティアプライアンスがサポートされていないトンネル IP パケットを受信し、パッセンジャフロー処理バイパスが失敗したためにエラーが発生すると増加します。パケットがドロップされます。

推奨事項：

    対処不要です。

Syslogs:

    なし

-------------------------

passenger-flow-unsupported-payload

パッセンジャフロー処理エラーのサポートされていないトンネルのカプセル化：

    このカウンタは、サポートされているトンネル IP パケットをセキュリティアプライアンスが受信し、トンネルペイロードがサポートされておらず、パッセンジャフロー処理バイパスが失敗したためにエラーが発生すると増加します。パケットがドロップされます。

推奨事項：

    対処不要です。

Syslogs:

    なし

-------------------------

pat-pool-interface-mismatch

PAT pool interface mismatch:

    現在のプールインターフェイスとランタイムポート割り当てデータの間に不一致があります。これは通常、同じプールを使用して、ダイナミック PAT ルールが削除され、「任意の」インターフェイスで戻す、またはその逆が行われると発生します。

推奨事項：

    以下の推奨ステップを実行してください。- 1. Remove the current policy which resulted in this inconsistent state 2. 削除されたポリシーによって確立されたアクティブな変換を "clear xlate global <ip1[-ip2]>" としてクリアする [クラスタ内のすべてのノードで] 3. "cluster exec show xlate global <ip1[-ip2]>" を使用して、以前のグローバル IP を使用しているアクティブな変換がないことを確認する [クラスタ内のすべてのノードで] 4. 必要なインターフェイスと pat-pool オプションでポリシーを戻す。

Syslogs:

    なし。

-------------------------

pat-port-block-state-mismatch

PAT port block state mismatch:

    クラスタ全体でポートのブロック状態と設定が一致していません。This usually happens when a dynamic PAT rule is converted from "block-allocation" to regular or vice-versa with active translations.

推奨事項：

    以下の推奨ステップを実行してください。- 1. Remove the current policy which resulted in this inconsistent state 2. Clear the active translations established by the removed policy as "cluster exec clear xlate global <ip1[-ip2]>" 3. Make sure there are no active translations using previous global IPs, through "cluster exec show xlate global <ip1[-ip2]>" 4. Add back the policy with needed pat-pool options.

Syslogs:

    なし。

-------------------------

pbr-next-hop-same

Drop the packet if next hop of pbr is self:

    PBR で設定されたネクストホップが、接続されている IP のものである場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    接続済み IP を PBR のネクストホップとして追加しないでください。

Syslogs:

    なし。

-------------------------

pdts-non-fragmented-pkt-received-err

Non-fragmented packet received from snort:

    このカウンタは、フラグメント化されていないパケットを Snort から受信すると増加します。

Recommendations:

    モジュール固有の Snort/pdts デバッグメッセージを有効にして確認してください。

Syslogs:

    なし。

-------------------------

pdts-punt-limit-exceeded

PDTS Punt limit exceeded:

     データパスがパケットをインスペクタにパントし、キューイングされたパケットの数が上限を超えると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

      なし

Syslogs:

      なし

-------------------------

pdts-received-first-pkt-fragment-id-ooo

First packet received from snort fragment number is out of order:

    このカウンタは、Snort から受信した最初のパケットのフラグメント番号が間違っていると増加します。

Recommendations:

    モジュール固有の Snort/pdts デバッグメッセージを有効にして確認してください。

Syslogs:

    なし。

-------------------------

pdts-received-pkt-fragment-id-ooo

Packet received from snort fragment ID is out of order:

    このカウンタは、Snort から受信したパケットのフラグメント ID が間違っていると増加します。

Recommendations:

    モジュール固有の Snort/pdts デバッグメッセージを有効にして確認してください。

Syslogs:

    なし。

-------------------------

pdts-received-pkt-fragment-num-ooo

Packet received from snort fragment number is out of order:

    このカウンタは、Snort から受信したパケットのフラグメント番号が間違っていると増加します。

Recommendations:

    モジュール固有の Snort/pdts デバッグメッセージを有効にして確認してください。

Syslogs:

    なし。

-------------------------

pdts-received-pkt-marked-drop-by-dp

Flow marked as drop by snort:

    このカウンタは、フローが Snort によってドロップとマークされると増加します。

Recommendations:

    モジュール固有の Snort/pdts デバッグメッセージを有効にして確認してください。

Syslogs:

    なし。

-------------------------

pdts-snort-info-missing

Flow missing pdts snort info:

    Snort によって検査されるフローに Snort データをキャプチャするための関連情報がない場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

permit-validate

Permit validation failed:

    この理由は、最初の接続の確立中に、このリスナーの登録済み検証が失敗し、パケットがドロップされると表示されます。

推奨事項：

    このカウンタが急速に増加している場合、syslog を確認して、どのホストが指定されたリスナーで検証に失敗しているかを特定してください。

Syslogs:

    201011

-------------------------

pkt-inject-queue-limit

Async lock queue limit reached at packet injection:

    32K の非同期ロックキューがあり、パケットはそれらにハッシュされる可能性があります。各キューのパケット数は、1000 個に制限されています。When more packets are attempted, tail drop occurs and this counter is incremented.

推奨事項：

    これが過度に発生する場合、影響を受けるキューとそのキューにハッシュされる接続を確認してください。Send this information to development

Syslogs:

    なし

-------------------------

platform-unlicensed

ASAv platform is unlicensed:

    ASAv はライセンスされていません。All data traffic traversing the appliance will be dropped until the ASAv is licensed.

推奨事項：

    "show activation-key" を使用してプラットフォームのライセンス状態を確認し、適切な ASAv プラットフォームライセンスをインストールしてください。

Syslogs:

    なし。

-------------------------

pmtu-reinject-fail

Dispatch PMTU Reinject Fail:

ICMP PMTU がグローバル ディスパッチ ワーク キューへのエンキューに失敗しました：

    転送されたデータパケットがグローバル ディスパッチ ワーク キューへのエンキューに失敗しました。

推奨事項：

    これは内部ソフトウェアエラーの可能性があります。購入された代理店にお問い合わせください。

Syslogs:

    なし。

-------------------------

policy-params-failed

Unable to create policy params:

    データプレーンのセキュリティコンテキストに有効なポリシーがインストールされていないと、このカウンタが増加し、すべてのパケットがドロップされます。

推奨事項：

    このカウンタが増加している場合、データプレーンログを確認して、ポリシーインストールの失敗理由を確認してください。

Syslogs:

    なし

-------------------------

prefilter

Blocked or blacklisted by the prefilter preprocessor:

    プレフィルタプリプロセッサの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

punt-no-mem

Punt no memory:

    パケットを制御ポイントにパントするためのデータ構造を作成するためのメモリがないと、このカウンタが増加し、パケットがドロップされます。

推奨事項：

    この状態が一時的であれば、特にアクションを取る必要はありません。If this condition persists due to low memory, then system upgrade might be necessary.

Syslogs:

    なし

-------------------------

punt-queue-limit

Punt queue limit exceeded:

    パントキュー制限を超える（制御ポイントでボトルネックが形成されていることを示す）と、このカウンタが増加し、パケットがドロップされます。

推奨事項：

    特にアクションを取る必要はありません。これは設計上の制限値です。

Syslogs:

    なし

-------------------------

punt-rate-limit

Punt rate limit exceeded:

    このカウンタは、レート制限された制御ポイントサービスルーチンへのレイヤ 2 パケットの転送をアプライアンスが試みたもののレート制限（1 秒あたり）を超えると増加します。Currently, the only layer-2 packets destined for a control point service routine which are rate limited are ARP packets. ARP パケットのレート制限は、インターフェイスあたり毎秒 500 ARP です。

推奨事項：

    ネットワークトラフィックを分析し、ARP パケットの高いレートの原因を特定してください。

Syslog：

    322002、322003

-------------------------

punt_action

FP L2 rule drop:

    このカウンタは、レイヤ 2 ACL によりアプライアンスがパケットを拒否すると増加します。By default, in routed mode the appliance will PERMIT:

    1）IPv4 パケット

    2）IPv6 パケット

    3）ARP パケット

    4）FFFF:FFFF:FFFF の L2 宛先 MAC（ブロードキャスト）

    5）宛先 L2 が 0100:5E00:0000-0100:5EFE:FFFF の IPv4 MCAST パケット

    6）宛先 L2 が 3333:0000:0000-3333:FFFF:FFFF の IPv6 MCAST パケット

    デフォルトでは、トランスペアレントモードでルーテッドモード ACL が許可され、以下が許可されます。

    1）宛先 L2 が 0100:0CCC:CCCD の BPDU パケット

    2）宛先 L2 が 0900:0700:0000-0900:07FF:FFFF の AppleTalk パケット

    ユーザーは、他の種類の L2 トラフィックを許可するために、ethertype ACL を設定し、インターフェイスに適用することもできます。

    注：L2 ACL によって許可されたパケットは、L3-L4 ACL によってドロップされる可能性もあります。

推奨事項：

    アプライアンス/コンテキストをトランスペアレントモードで実行していて、非 IP パケットがアプライアンスによってドロップされる場合、ethertype ACL を設定し、ACL をアクセスグループに適用できます。Note - the appliance ethertype CLI only supports protocol types and not L2 destination MAC addresses.

Syslog：

    106026、106027

-------------------------

queue-removed

Rate-limiter queued packet dropped:

    QoS 設定が変更または削除されると、送信を待機している出力キュー内の既存のパケットがドロップされ、このカウンタが増加します。

推奨事項：

    通常の条件下では、ユーザーによって QoS 設定が変更された場合に見られることがあります。If this occurs when no changes to QoS config were performed, please contact Cisco Technical Assistance Center (TAC).

Syslogs:

   なし。

-------------------------

quic-initial-malformed-pkt

QUIC Initial Malformed pkt received:

    QUIC プロキシが最初の不正な形式のパケットを受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

      なし

Syslogs:

      なし

-------------------------

quic-malformed-pkt

QUIC Malformed pkt received:

    QUIC プロキシが不正な形式のパケットを受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

      なし

Syslogs:

      なし

-------------------------

quic-proxy-0rtt-pkt-drop

QUIC Proxy 0RTT received:

    QUIC プロキシが 0RTT パケットを受信すると、このカウンタが増加し、パケットがドロップされます。

推奨事項：

      なし

Syslogs:

      なし

-------------------------

quic-proxy-alloc-fail

QUIC Allocation failed:

    QUIC プロキシメタ割り当てが失敗すると、このカウンタが増加し、パケットがドロップされます。

Syslogs:

    なし

-------------------------

quic-proxy-destroy-tx-queue-drop

QUIC Proxy destroy queue packet drop:

    tx キューが破棄されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

quic-proxy-invalid-cid

QUIC Proxy invalid connection-id packet drop:

    connection-id 検証が失敗すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

quic-proxy-large-reassembly-packet

QUIC Proxy large reassembly packet:

      存在しないフローに対してパケットが受信され、かつそのパケットが初期パケットでない場合に、このカウンタが増加し、パケットがドロップされます。

推奨事項：

     なし

Syslogs:

     なし

-------------------------

quic-proxy-non-quic-pkt-drop

QUIC Proxy droping packet as packet type cannot be deducted.:

    QUIC LIB がパケットタイプを推測できないと、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

quic-proxy-null-flow-drop

QUIC Proxy NULL flow:

    存在しないフローのパケットを QUIC プロキシが受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

quic-proxy-null-flow-drop-after-fover

QUIC Proxy NULL flow:

    フェールオーバー後に存在しないフローのパケットを QUIC プロキシが受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

quic-proxy-only-ack-drop

QUIC Proxy only Ack received:

    ACK のみを含むパケットを QUIC プロキシが受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

quic-proxy-quic-ping-pkt-drop

QUIC Proxy PING received:

    QUIC プロキシが Ping パケットを受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

      なし

Syslogs:

      なし

-------------------------

quic-proxy-residue-packet

QUIC プロキシ残存パケット：

      存在しないフローに対してパケットが受信され、かつそのパケットが初期パケットでない場合に、このカウンタが増加し、パケットがドロップされます。

推奨事項：

     なし

Syslogs:

     なし

-------------------------

rate-exceeded

QoS rate exceeded:

    このカウンタは、出力/入力インターフェイスでレート制限（ポリシング）が設定されており、設定されているバーストレートを出力/入力トラフィックレートが超えると増加します。パケットがドロップされるたび、このカウンタが増分します。

推奨事項：

    インターフェイスを出入りするトラフィックのレートが設定されたレートを超える理由を調査し、特定してください。正常な状態の場合もあれば、ウイルスの感染や攻撃を示している可能性もあります。

Syslogs:

    なし。

-------------------------

reason-info

Preprocessor sending packet info to tracer:

    このカウンタは Snort で内部的に使用されます。

Recommendations:

    なし。

Syslogs:

    なし。

-------------------------

reinject-fail

Expired flow:

    このカウンタは、セキュリティアプライアンスがすでに期限切れのフローに属する新しいまたはキャッシュされたパケットを注入しようとしたときに増加します。また、アプライアンスがすでに期限切れの TCP フローに対して RST を送信しようとしたとき、または IDS ブレードからパケットが戻ってきたがフローがすでに期限切れだったときにも増加します。The packet is dropped

推奨事項：

    有効なアプリケーションが先取りされている場合は、より長いタイムアウトが必要かどうかを調査してください。

Syslogs:

   なし。

-------------------------

reputation

Blocked or blacklisted by the reputation preprocessor:

    レピュテーション プリプロセッサの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

rm-conn-limit

RM connection limit reached:

    このカウンタは、コンテキストまたはシステムの最大接続数に到達して新しい接続が試行されると増加します。

推奨事項：

    デバイス管理者は、'show resource usage' および 'show resource usage system' コマンドを使用して、コンテキストおよびシステムのリソース制限値と 'Denied' カウントを表示し、必要に応じてリソース制限値を調整できます。

Syslog：

    321001

-------------------------

rm-conn-rate-limit

RM connection rate limit reached:

    このカウンタは、コンテキストまたはシステムの最大接続レートに到達して新しい接続が試行されると増加します。

推奨事項：

    デバイス管理者は、'show resource usage' および 'show resource usage system' コマンドを使用して、コンテキストおよびシステムのリソース制限値と 'Denied' カウントを表示し、必要に応じてリソース制限値を調整できます。

Syslog：

    321002

-------------------------

rpf-violated

Reverse-path verify failed:

    このカウンタは、インターフェイスに ip-verify が設定されており、パケットを受信したインターフェイスと同じインターフェイスが source-ip のルートルックアップによって得られなかったパケットをセキュリティアプライアンスが受信すると増加します。

推奨事項：

    以下の syslog に印刷された source-ip に基づいてトラフィックの送信元を追跡し、偽装されたトラフィックを送信している理由を調査してください。

Syslogs:

    106021。

-------------------------

rule-transaction-in-progress

Initial rule transaction compiling in progress:

    この理由は、トランザクション コミット モードが使用され、初期ルールトランザクションのコンパイルがまだ進行中のときにパケットがドロップされると表示されます。All through-the-box traffic is dropped when the ASA is in this state.

推奨事項：

    これは、システム初期化またはセキュリティコンテキスト初期化中に一度発生する一時的な状態です。The duration of this condition depends on the number of rules, such as ACLs or NAT rules, in the configuration.

Syslogs:

    なし。

-------------------------

safe-search

Blocked or blacklisted by the safe search preprocessor:

    Safe Search プリプロセッサの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

same-physical-interface

Same input and output physical interface:

    フローでは、ASA 1000V の入力と出力に同じ物理インターフェイスを使用できません。

推奨事項：

    ASA 1000V で設定された NAT およびルーティングポリシーを確認してください。Use ASA 1000V "packet-tracer" command to determine which security-profiles are used based on the NAT and routing policies configured. Use "show running-config service-interface" to display the association between the physical interfaces and the configured security-profiles.

Syslogs:

    なし。

-------------------------

sctp queue-limit

SCTP Out-of-order queue full:

    SCTP 順序不正パケットキューがデフォルトの制限である 20 を超えると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-abort-chunk-unexpected

Received SCTP ABORT chunk unexpectedly:

    SCTP チャンクが予期せず受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-cookie-ack-in-invalid-state

SCTP COOKIE ACK is not received in COOKIE ECHOED state:

    SCTP COOKIE ACK チャンクが COOKIE ECHOED 状態で受信されないと、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-cookie-ack-no-assoc

SCTP COOKIE ACK is received with no association:

    SCTP COOKIE ACK チャンクがアソシエーションなしで受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-cookie-echo-cookie-len

SCTP COOKIE ECHO contains cookie with different length:

    SCTP COOKIE ECHO チャンクに異なる長さのエコーされた Cookie が含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-cookie-echo-in-close

SCTP COOKIE ECHO is received in CLOSED state:

    SCTP COOKIE ECHO チャンクがアソシエーション CLOSED 状態で受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-cookie-echo-in-shut

SCTP COOKIE ECHO is received during shutdown:

    関連付けのシャットダウン中に SCTP COOKIE ECHO チャンクが受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-cookie-echo-no-assoc

SCTP COOKIE ECHO is received with no association:

    SCTP COOKIE ECHO チャンクがアソシエーションなしで受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-descriptor-unavailable

SCTP DATA chunk descriptor unavailable:

    SCTP チャンク記述子を利用できないと、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-fwd-tsn-gap-out-of-range

SCTP FWD TSN gap is out of range:

    SCTP FORWARD CUMULATIVE TSN ギャップが範囲（100）外の場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-fwd-tsn-in-invalid-state

SCTP FWD TSN is not received in valid state:

    SCTP FORWARD CUMULATIVE TSN チャンクが有効な状態で受信されないと、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-fwd-tsn-too-small

SCTP FWD TSN length is too small:

    SCTP FORWARD CUMULATIVE TSN チャンク長が小さすぎると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-heartbeat-ack-no-assoc

SCTP HEARTBEAT ACK is received with no association:

    SCTP HEARTBEAT ACK チャンクがアソシエーションなしで受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-heartbeat-no-assoc

SCTP HEARTBEAT is received with no association:

    SCTP HEARTBEAT チャンクがアソシエーションなしで受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-init-0-stream-cnt

SCTP INIT contains 0 value inbound/outbound stream count:

    SCTP INIT チャンクに 0 値のインバウンド/アウトバウンドストリーム数が含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-init-0-tag

SCTP INIT contains 0 value initiate tag:

    SCTP INIT チャンクに 0 値の開始タグが含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-init-ack-0-stream-cnt

SCTP INIT ACK contains 0 value inbound/outbound stream count:

    SCTP INIT ACK チャンクに 0 値のインバウンド/アウトバウンドストリーム数が含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-init-ack-inv-ipv4-param-len

SCTP INIT ACK contains invalid ipv4 parameter length value:

    SCTP INIT ACK チャンクに無効な IPv4 パラメータ長の値が含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-init-ack-inv-ipv6-param-len

SCTP INIT ACK contains invalid ipv6 parameter length value:

    SCTP INIT ACK チャンクに無効な IPv6 パラメータ長の値が含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-init-asconf-auth-inconsistent

SCTP INIT contains contains ASCONF support without AUTH support:

    SCTP INIT チャンクに AUTH サポートのない ASCONF サポートが含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-init-in-shutdown

SCTP INIT is seen in shutdown state:

    SCTP INIT チャンクが SHUTDOWN 状態で受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-init-inv-ipv4-param-len

SCTP INIT contains invalid ipv4 parameter length value:

    SCTP INIT チャンクに無効な IPv4 パラメータ長の値が含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-init-inv-ipv6-param-len

SCTP INIT contains invalid ipv6 parameter length value:

    SCTP INIT チャンクに無効な IPv6 パラメータ長の値が含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-init-inv-param-len

SCTP INIT ACK contains invalid parameter length value:

    SCTP INIT ACK チャンクに無効なパラメータ長の値が含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-init-new-addr

SCTP restart INIT chunk contains new address:

    SCTP 再起動 INIT チャンクに新しいアドレスが含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-init-param-too-small

SCTP INIT chunk parameter length value is smaller then the parameter header size:

    SCTP パラメータ長の値がパラメータヘッダーのサイズより小さいと、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-init-redundancy-auth-inconsistent

SCTP INIT contains contains REDUNDANCY support without AUTH support:

    SCTP INIT チャンクに AUTH サポートのない REDUNDANCY サポートが含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-init-restart-bad-ip

SCTP INIT (restart) contains IP address not in previous INIT:

    SCTP INIT（再起動）チャンクに以前の INIT にない IP アドレスが含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-init-rwnd-too-small

SCTP INIT receive-window value is too small:

    SCTP INIT チャンク受信ウィンドウの値が小さすぎる（1500 未満）場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-init-too-small

SCTP chunk length value is smaller then the INIT chunk size:

    SCTP チャンク長の値が INIT チャンクのサイズより小さい場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-initack-0-tag

SCTP INIT ACK contains 0 value initiate tag:

    SCTP INIT ACK チャンクに 0 値の開始タグが含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-initack-no-matching-init

SCTP INITACK chunk has no matching INIT:

    一致する INIT がない SCTP INIT ACK チャンクが受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    このドロップは、クライアントとサーバー間に冗長なパスがある場合や、ネットワークの混雑により、INIT 用に作成された接続が切断された後に INIT ACK が受信される場合などのシナリオで発生する可能性があります。If this error occurs in large numbers, please use packet capture feature to help isolate the issue.

Syslogs:

    なし

-------------------------

sctp-chunk-initack-rwnd-too-small

SCTP INIT ACK receive-window value is too small:

    SCTP INIT ACK チャンク受信ウィンドウの値が小さすぎる（1500 未満）場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-initack-too-small

SCTP chunk length value is smaller then the INIT ACK chunk size:

    SCTP チャンク長の値が INIT ACK チャンクのサイズより小さい場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-inva-ver-tag

Received SCTP chunk with invalid verification tag:

    アソシエーションタグと一致しない検証タグがパケットに含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-invalid-bundle

SCTP chunk bundle included INIT, INIT_ACK, or SHUTDOWN_COMPLETE:

    SCTP チャンクバンドルに INIT、INIT_ACK、または SHUTDOWN_COMPLETE が含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-param-supaddrlen-inv

SCTP chunk parameter SUPPORTED ADDRESS contains invalid length:n This counter is incremented and the packet is dropped when SCTP INIT/INIT ACK chunk parameter SUPPORTED ADDRESS contains invalid length (< 4).

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-sack-in-invalid-state

SCTP SACK is not received in valid state:

    SCTP SACK チャンクが有効な状態で受信されないと、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-sack-no-assoc

SCTP SACK is received with no association:

    SCTP SACK チャンクがアソシエーションなしで受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-sack-too-small

SCTP SACK length is too small:

    SCTP SACK チャンク長が小さすぎると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-shutdown-ack-in-invalid-state

SCTP SHUTDOWN ACK is not received in valid state:

    SCTP SHUTDOWN ACK チャンクが有効な状態で受信されないと、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-shutdown-ack-no-assoc

SCTP SHUTDOWN ACK is received with no association:

    SCTP SHUTDOWN ACK チャンクがアソシエーションなしで受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-shutdown-comp-no-assoc

SCTP SHUTDOWN COMPLETE is received with no association:

    SCTP SHUTDOWN COMPLETE チャンクがアソシエーションなしで受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-shutdown-complete-in-invalid-state

SCTP SHUTDOWN COMPLETE is not received in valid state:

    SCTP SHUTDOWN COMPLETE チャンクが有効な状態で受信されないと、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-shutdown-in-invalid-state

SCTP SHUTDOWN is not received in valid state:

    SCTP SHUTDOWN チャンクが有効な状態で受信されないと、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-shutdown-no-assoc

SCTP SHUTDOWN is received with no association:

    SCTP SHUTDOWN チャンクがアソシエーションなしで受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-shutdown-too-small

SCTP SHUTDOWN length is too small:

    SCTP SHUTDOWN チャンク長が小さすぎる場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-too-small

SCTP chunk length value is smaller then chunk header size:

    SCTP チャンク長の値がチャンクヘッダーのサイズより小さい場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-unexpected

Received SCTP chunk unexpectedly:

    チャンクが予期せず受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-unrec-param

SCTP chunk contains unrecognizable parameter:

    SCTP チャンクに認識できないパラメータが含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-chunk-zero-ver-tag

Received SCTP non-INIT/ABORT chunk with zero verification tag:

    INIT/ABORT チャンクを含むパケットの検証タグがゼロの場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-data-chunk-in-invalid-state

SCTP DATA chunk in invalid state:

    SCTP DATA チャンクが無効な状態で受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-data-chunk-len-exceeds-rwnd

SCTP DATA chunk length greater than receive window:

    SCTP DATA チャンク長が受信ウィンドウより大きい場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-data-chunk-len-invalid

SCTP DATA chunk length is invalid:

    SCTP DATA チャンクのチャンク長が無効である場合、このカウンタが増加し、チャンクがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-data-chunk-len-too-small

SCTP DATA chunk length is too small:

    SCTP DATA チャンク長が小さすぎる場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-dgram-header-unavailable

SCTP Datagram header unavailable:

    SCTP データグラムヘッダーを利用できない場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-drop-fixme

SCTP drop fixme:

    このカウンタは、FIXME ドロップ理由を持つ SCTP パケットをセキュリティアプライアンスが受信すると増加します。

推奨事項：

    なし。

Syslog:

    なし。

-------------------------

sctp-duplicate-data-stream

Received duplicate SCTP DATA stream:

    重複する SCTP DATA ストリームを受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-initack-chunk-inv-state

Received SCTP INIT ACK chunk in non-COOKIE-WAIT state:

    INIT ACK チャンクを含む SCTP パケットが非 cookie-wait 状態で受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-invalid-bundle

SCTP packet bundle has control chunks after data chunks:

    SCTP パケットのデータチャンクの後に制御チャンクがあり、そのパケットがドロップされると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-invalid-fragments

SCTP invalid fragments received:

     このカウンタが増加し、リアセンブルキュー内のすべてのフラグメントが削除されます。これには、まだキューイングされていないフラグメントも含まれます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-no-association

SCTP no association:

    このパケットに一致するアソシエーションが存在しない場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-pkt-auth-chunk-extra

SCTP packets contains more than one AUTH chunk:

    SCTP パケットに複数の AUTH チャンクが含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-pkt-auth-chunk-no-data

SCTP packets contains only AUTH chunks:

    SCTP パケットに AUTH チャンクのみが含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-pkt-partial_chunk

SCTP packet has partial chunk:

    SCTP パケットに部分的なチャンクが含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-pkt-too-small

SCTP packet size less than minimum length of 16:

    SCTP パケットサイズが共通ヘッダーとチャンクヘッダーの合計サイズよりも小さい場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-reassembly-buffer-size-limit

SCTP Reassembly Datagram queue bytesize limit exceeded:

     データグラム リアセンブル キュー内のチャンクの合計バイトサイズが最大（8192 バイト）に達すると、このカウンタが増加し、リアセンブルデータグラムがストリーム リアセンブル キュー（すべてのフラグメント）から削除されます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-reassembly-queue-limit

SCTP Reassembly queue limit exceeded:

    リアセンブルキュー内のフラグメントの数が最大数（6）に達すると、このカウンタが増加し、フラグメント化されたチャンクがリアセンブルキューから削除されます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-reassembly-queue-timeout

SCTP Reassembly queue timeout:

    フラグメント化されたチャンクがリアセンブルキューに 30 秒間保持されると、このカウンタが増加し、フラグメント化されたチャンクがリアセンブルキューから削除されます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-reassembly-system-limit

SCTP Reassembly Datagram queue limit exceeded:

    ASA のリアセンブルキュー内のデータグラム数が最大数（コアあたり 125）に達すると、このカウンタが増加し、新しい着信フラグメントについてリアセンブルデータグラムが作成されません。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-reorder-queue-limit

SCTP Reorder queue limit exceeded:

    順序不正チャンクの数がストリームの制限（ストリームあたり 50）を超えると、このカウンタが増加し、チャンクがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-reorder-queue-timeout

SCTP Reorder queue timeout:

    順序不正 SCTP データチャンクが 30 秒間バッファに保持されると、このカウンタが増加し、データチャンクがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-reorder-stream-limit

SCTP Number of streams in reorder exceeded limit:

    順序変更のストリーム数が最大数（64 X CPU コア数）に達した後、最初の順序不正チャンクが受信されると、このカウンタが増加し、チャンクがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-shutack-chunk-unexpected

Received SCTP SHUTDOWN ACK chunk unexpectedly:

    SHUTDOWN ACK が予期せず受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-shutcomplete-chunk-unexpected

Received SCTP SHUTDOWN COMPLETE chunk unexpectedly:

    SHUTDOWN COMPLETE が予期せず受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

sctp-stream-id-invalid

SCTP DATA chunk contains invalid stream id:

    SCTP DATA チャンクに無効なストリーム ID が含まれていると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

security-failed

Early security checks failed:

    セキュリティアプライアンスが次の場合、このカウンタが増加し、パケットはドロップされます。

    - パケットマルチキャスト MAC アドレスがパケットマルチキャスト宛先 IP アドレスと一致しないと、IPv4 マルチキャストパケットを受信する

    - 小さいオフセットまたはフラグメントの重複を含む IPv6 または IPv4 ティアドロップフラグメントを受信する

    - IP 監査（IPS）署名に一致する IPv4 パケットを受信する

推奨事項：

    リモートピアの管理者に連絡するか、またはセキュリティポリシーに従ってこの問題の危険度を高くしてください。

    IP 監査攻撃の確認の詳細な説明と syslogs については、コマンドリファレンスガイドの IP 監査署名セクションを参照してください

Syslogs:

    106020

    400xx（IP 監査確認の場合）

-------------------------

security-profile-not-matched

Security-profile not matched:

    このトラフィックには、ASA 1000V のセキュリティプロファイルと一致しないセキュリティプロファイル ID が含まれています。

推奨事項：

    "show port-profile" で Nexus 1000V のポートプロファイル設定を確認し、セキュリティプロファイルの各 port-profile リダイレクトトラフィックが ASA 1000V に設定されていて、セキュリティプロファイル名が Nexus 1000V と ASA 1000V 間で一致していることを確認してください。Verify that security-profiles are associated with the inside interface using "service-interface security-profile all <inside_interface_name>" on ASA 1000V. Use "show vsn port" on Nexus 1000V and "show vsn security-profile" on ASA 1000V to verify that security-profiles have matching ID values on both devices.

Syslogs:

    なし。

-------------------------

security-profile-not-used

Security-profile not used:

    このトラフィックは、セキュリティプロファイルを使用しません。Traffic through ASA 1000V is expected to use a security-profile configured on Nexus 1000V.

推奨事項：

    "show port-profile" で Nexus 1000V のポートプロファイル設定を確認し、セキュリティプロファイルの各 port-profile リダイレクトトラフィックが ASA 1000V に設定されていて、セキュリティプロファイル名が Nexus 1000V と ASA 1000V 間で一致していることを確認してください。Verify that security-profiles are associated with the inside interface using "service-interface security-profile all <inside_interface_name>" on ASA 1000V. Use "show vsn port" on Nexus 1000V and "show vsn security-profile" on ASA 1000V to verify that security-profiles have matching ID values on both devices.

Syslogs:

    なし。

-------------------------

send-ctm-error

Send to CTM returned error:

    このカウンタはアプライアンスで廃止されており、増加することはありません。

推奨事項：

    なし

Syslog：

    なし

-------------------------

service-interface-down

Service interface is down:

    サービスインターフェイスが設定されていない場合、ASA 1000V は、vPath タグ付きトラフィックをドロップします。

推奨事項：

    すべてのセキュリティ プロファイル インターフェイスが、次を使用してインターフェイス内で関連付けられていることを確認してください

    service-interface security-profile all <inside_interface_name>

    （ASDM モードでのみ必要）

Syslogs:

    なし。

-------------------------

session-preproc

Blocked or blacklisted by the session preprocessor:

    セッションプリプロセッサの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

session-string

Session debug info:

    このカウンタは Snort で内部的に使用されます。

Recommendations:

    なし。

Syslogs:

    なし。

-------------------------

sfr-bad-handle-received

Received Bad flow handle in a packet from SFR Module, thus dropping flow.

    SFR フローのハンドルがフローの期間中に変更されると、このカウンタが増加し、フローとパケットは ASA でドロップされます。

Recommendations:

    SFR モジュールの syslog とアラートを確認してください。

Syslogs:

    なし

-------------------------

sfr-bad-tlv-received

SFR Module requested drop:

    パケットに不良な TLV があると、SFR モジュールの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    SFR モジュールの syslog とアラートを確認してください。

Syslogs:

    なし

-------------------------

sfr-fail-close

SFR card is down:

    SFR カードがダウンしていて、SFR アクションでフェールクローズオプションが設定されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    SFR カードを確認して動作させてください。

Syslogs:

    434001

-------------------------

sfr-ha-request

SFR HA replication drop:

    このカウンタは、セキュリティアプライアンスが SFR HA リクエストパケットを受信したが、処理できないと増加し、パケットがドロップされます。

推奨事項：

    これは、ASA HA の状態が変更された直後のように、SFR が最新の ASA HA 状態を持っていないときに、時折発生することがあります。If the counter is constantly increasing however, then it can be because SFR and ASA are out of sync. If that happens, contact Cisco TAC for assistance.

Syslogs:

    なし。

-------------------------

sfr-invalid-encap

SFR invalid header drop:

    このカウンタは、セキュリティアプライアンスが無効なメッセージヘッダーを持つ SFR パケットを受信すると増加し、パケットがドロップされます。

推奨事項：

    これは発生してはならない事象です。Cisco TAC に連絡して、サポートを受けてください。

Syslogs:

    なし。

-------------------------

sfr-malformed-packet

SFR Module requested drop:

    パケットが不正な形式の場合、SFR モジュールの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    SFR モジュールの syslog とアラートを確認してください。

Syslogs:

    なし

-------------------------

sfr-no-flow

SFR config removed for connection:

    特定の接続に対して SFR 設定が見つからないと、このカウンタが増加し、パケットはドロップされます。

Recommendations:

   SFR の設定変更が行われたかどうかを確認してください。

Syslogs:

   なし

-------------------------

sfr-request

SFR Module requested drop:

    パケットが SFR エンジンの署名に一致したときに、SFR モジュールの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    SFR モジュールの syslog とアラートを確認してください。

Syslogs:

    434002

-------------------------

sfr-request-ssl-decrypt

SFR Module SSL decryption requested drop:

    パケットが復号されるときに SFR モジュールの SSL 復号の要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    SFR モジュールの syslog とアラートを確認してください。

Syslogs:

    なし

-------------------------

sfr-rx-monitor-only

SFR invalid monitor-only receive drop:

    セキュリティアプライアンスがモニター専用モードで SFR パケットを受信すると、このカウンタが増加し、パケットがドロップされます。

推奨事項：

    これは発生してはならない事象です。Cisco TAC に連絡して、サポートを受けてください。

Syslogs:

    なし。

-------------------------

shunned

Packet shunned:

    このカウンタは、shun データベース内のホストと一致する送信元 IP アドレスを持つパケットを受信すると増加します。

推奨事項：

    対処不要です。

Syslogs:

    401004

-------------------------

si

Blocked or blacklisted by the SI preprocessor:

    SI プリプロセッサの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

smb

Blocked or blacklisted by the SMB preprocessor:

    SMB プリプロセッサの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

snort-blacklist

Packet is blacklisted by snort:

    フローが Snort によってブラックリストに登録されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    フローを拒否するルールがあるかどうか、Snort ポリシーを確認してください。

Syslogs:

    なし。

-------------------------

snort-blist-full

Snort flow block list limit reached:

     高速転送フローでの順序不正を回避するためにデータパスがパケットをバッファリングし、キューイングされたパケットの数が上限を超えると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

      なし

Syslogs:

      なし

-------------------------

snort-blist-full-failopen

Snort flow block list limit reached:

     フェールオープンフローでの順序不正を回避するためにデータパスがパケットをバッファリングし、キューイングされたパケットの数が上限を超えると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

      なし

Syslogs:

      なし

-------------------------

snort-block

Packet is blocked as requested by snort:

    Snort の要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    フローを拒否するルールがあるかどうか、Snort ポリシーを確認してください。

Syslogs:

    なし。

-------------------------

snort-busy

Drop the frame as SNORT instance is busy and can not handle:

    Snort モジュールがビジー状態で、フレームを処理できないと、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    SNORT インスタンスの高負荷の理由を確認するために、Snort 統計を確認してください。

Syslogs:

    なし。

-------------------------

snort-busy-in-fp

Drop the frame as SNORT instance is busy and can not handle:

    Snort モジュールがビジー状態で、フルプロキシモードで処理できないと、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    SNORT インスタンスの高負荷の理由を確認するために、Snort 統計を確認してください。

Syslogs:

    なし。

-------------------------

snort-busy-inline-flow

Drop the frame as SNORT instance is busy and can not handle:

    Snort モジュールがビジー状態で、インラインまたはパッシブでのフローの場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    SNORT インスタンスの高負荷の理由を確認するために、Snort 統計を確認してください。

Syslogs:

    なし。

-------------------------

snort-busy-no-app-info

Drop the frame as SNORT instance is busy and can not handle:

    Snort モジュールがビジー状態で、アプリ情報またはフローを見つけられないと、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    SNORT インスタンスの高負荷の理由を確認するために、Snort 統計を確認してください。

Syslogs:

    なし。

-------------------------

snort-busy-not-fp

Drop the frame as SNORT instance is busy and can not handle:

    フルプロキシモードのときに Snort モジュールがビジー状態で、処理できないと、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    SNORT インスタンスの高負荷の理由を確認するために、Snort 統計を確認してください。

Syslogs:

    なし。

-------------------------

snort-detain

Packet is detained as requested by snort:

    Snort の要求に応じて、このカウンタが増加し、パケットが留め置かれます。

推奨事項：

    このカウンタは情報提供であり、動作は予想されます。

Syslogs:

    なし。

-------------------------

snort-down

Drop the frame as the SNORT instance is down:

    Snort モジュールがダウンすると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    Snort 統計を確認して、SNORT インスタンスがダウンしている理由を確認してください。

Syslogs:

    なし。

-------------------------

snort-down-in-fp

Drop the frame as the SNORT instance is down:

    Snort モジュールがダウンしていて、フルプロキシモードで処理できないと、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    Snort 統計を確認して、SNORT インスタンスがダウンしている理由を確認してください。

Syslogs:

    なし。

-------------------------

snort-down-inline-flow

Drop the frame as the SNORT instance is down:

    Snort モジュールがダウンしていて、インラインまたはパッシブでのフローの場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    Snort 統計を確認して、SNORT インスタンスがダウンしている理由を確認してください。

Syslogs:

    なし。

-------------------------

snort-down-no-app-info

Drop the frame as the SNORT instance is down:

    Snort モジュールがダウンしていて、アプリ情報またはフローを見つけられないと、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    Snort 統計を確認して、SNORT インスタンスがダウンしている理由を確認してください。

Syslogs:

    なし。

-------------------------

snort-down-not-fp

Drop the frame as the SNORT instance is down:

    フルプロキシモードのときに Snort モジュールがダウンしていて、処理できないと、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    Snort 統計を確認して、SNORT インスタンスがダウンしている理由を確認してください。

Syslogs:

    なし。

-------------------------

snort-drop

Snort requested to drop the frame:

    Snort モジュールの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    フローを拒否するルールがあるかどうか、Snort ポリシーを確認してください。

Syslogs:

    なし。

-------------------------

snort-flow-mismatch

Received an different flow from snort:

    Snort から受信したフローが異なっていて、ドロップする必要があると、このカウンタは増加します。

Recommendations:

    モジュール固有の Snort/pdts デバッグメッセージを有効にして確認してください。

Syslogs:

    なし。

-------------------------

snort-inject-data-pkt

Inject a new data packet after being received from from snort:

    このカウンタは、新しいデータパケットが挿入され、ドロップする必要がある場合に増加します。

Recommendations:

    モジュール固有の Snort/pdts デバッグメッセージを有効にして確認してください。

Syslogs:

    なし。

-------------------------

snort-inject-data-pkt-l2-hdr

Inject a new data L2 header packet after being received from from snort:

    このカウンタは、新しい L2 ヘッダーデータパケットが挿入され、ドロップする必要がある場合に増加します。

Recommendations:

    モジュール固有の Snort/pdts デバッグメッセージを有効にして確認してください。

Syslogs:

    なし。

-------------------------

snort-invalid-msg

Received an invalid message from snort:

    このカウンタは、Snort によってフレーム化されたパケットが正しくなく、ドロップする必要がある場合に増加します。

Recommendations:

    モジュール固有の Snort/pdts デバッグメッセージを有効にして確認してください。

Syslogs:

    なし。

-------------------------

snort-invalid-verdict

Received invalid verdict from snort:

    判定が無効で、対処できない場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    モジュール固有の Snort/pdts デバッグメッセージを有効にして確認してください。

Syslogs:

    なし。

-------------------------

snort-module

Blocked or blacklisted by snort:

    Snort の要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

snort-react

Blocked or blacklisted by the snort react preprocessor:

    Snort 反応プリプロセッサの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

snort-replace-data-pkt

Replace fixed length of data packet after being received from from snort:

    このカウンタは、固定長のデータが置き換えられてドロップする必要がある場合に増加します。

Recommendations:

    モジュール固有の Snort/pdts デバッグメッセージを有効にして確認してください。

Syslogs:

    なし。

-------------------------

snort-response

Blocked or blacklisted by the snort response preprocessor:

    Snort 応答プリプロセッサの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

snort-silent-drop

Packet is dropped silently as requested by snort:

    Snort の要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    モジュール固有の Snort/pdts デバッグメッセージを有効にして確認してください。

Syslogs:

    なし。

-------------------------

snp-ha-udp-lu-link-resource-alloc-failure

Failover dropped packet due to resource limitation:

    システムリソースが制限されているためにブロック拡張の割り当てが失敗すると、このカウンタが増加し、パケットはドロップされます。リソースの制限は、次のとおりです。

       1）システムメモリ

       2）パケットブロック拡張メモリ

推奨事項：

    - システムの空きメモリが少ないかどうかを観察します。

Syslogs:

    なし

-------------------------

snp-ha-udp-lu-link-unexpected-packet

Failover UDP trans received an unexpected packet:

    NP HA UDP トランスポートが異なるエンティティ宛てのパケットを受信すると、このカウンタが増加し、パケットはドロップされます。

推奨事項：

    アプライアンスが攻撃を受けているかどうかを確認してください。疑わしいパケットがない場合、このカウンタはソフトウェアエラーによって増加している可能性が高いです。カウンタの増分の原因であるトラフィックを把握し、Cisco TAC に連絡してください。

Syslogs:

    なし

-------------------------

sp-security-failed

Slowpath security checks failed:

    セキュリティアプライアンスが次の場合、このカウンタが増加し、パケットがドロップされます。

    1）ルーテッドモードで through-the-box を受信する：

       - L2 ブロードキャストパケット

       - 宛先 IP アドレスが 0.0.0.0 の IPv4 パケット

       - 送信元 IP アドレスが 0.0.0.0 の IPv4 パケット

    2）ルーテッドまたはトランスペアレントモードで through-the-box IPv4 パケットを受信する：

       - 送信元 IP アドレスの最初のオクテットがゼロ

       - 送信元 IP アドレスがループバック IP アドレス

       - 送信元 IP アドレスのネットワーク部分がすべて 0

       - 送信元 IP アドレスのネットワーク部分がすべて 1

       - 送信元 IP アドレスのホスト部分がすべて 0 またはすべて 1

       - 送信先 IP アドレスのホスト部分がすべて 0

    3）ルーティングまたは透過モードで、送信元と送信先の IP アドレスが同じ IPv4 または IPv6 パケットを受信する

推奨事項：

    1 と 2）外部ユーザーが保護されたネットワークを侵害しようとしているかどうかを判断してください。設定に誤りのあるクライアントをチェックします。

    3）このメッセージのカウンタが急速に増加している場合、攻撃が進行中である可能性があります。パケット キャプチャ機能を使用して type asp パケットをキャプチャし、パケット内の送信元 MAC アドレスをチェックして送信元を特定します。

Syslogs:

    1 と 2）106016

    3）106017

-------------------------

ssl-alert-length-invalid

SSL alert length invalid:

    SSL ハンドシェイクアラートの必要最小長は 2 バイトです。If the handshake record is less than 2 bytes, the packet will be dropped.

推奨事項：

    このカウンタは、SSL アラートが 2 バイト未満の無効な SSL レコードタイプに対して増加します。This invalid type received from the remote peer is treated as a fatal error and the SSL packets that encounter this error must be dropped.

Syslog：

    なし

-------------------------

ssl-first-record-invalid

SSL first record invalid:

    SSL の最初のハンドシェイクレコードは、必要最小長が 11 バイトです。If the first record is less than 11 bytes, the packet will be dropped.

推奨事項：

    このカウンタは、最初の SSL レコードが 11 バイト未満の無効な SSL レコードタイプに対して増加します。This invalid type received from the remote peer is treated as a fatal error and the SSL packets that encounter this error must be dropped.

Syslog：

    なし

-------------------------

ssl-preproc

Blocked or blacklisted by the SSL preprocessor:

    SSL プリプロセッサの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

ssl-record-length-invalid

SSL record length invalid:

    SSL ハンドシェイクレコードの必要最小長は 4 バイトです。If the handshake record is less than 4 bytes, the packet will be dropped.

推奨事項：

    このカウンタは、SSL レコードが 4 バイト未満の無効な SSL レコードタイプに対して増加します。This invalid type received from the remote peer is treated as a fatal error and the SSL packets that encounter this error must be dropped.

Syslog：

    なし

-------------------------

ssm-app-fail

Service module is down:

    このカウンタは、ASA 5500 シリーズ適応型セキュリティアプライアンスにのみ適用されます。SSM により検査されるパケットが、SSM が使用不可になったためにドロップすると増分します。たとえば、ソフトウェアまたはハードウェアの欠陥、ソフトウェアまたはシグナチャのアップグレード、またはシャットダウンするモジュールなどです。

推奨事項：

    セキュリティアプライアンスのコントロールプレーンで実行されているカードマネージャプロセスは、システムメッセージと CLI 警告を発行して障害を通知していました。Please consult the documentation that comes with the SSM to trouble shoot the SSM failure. Contact Cisco Technical Assistance Center (TAC) if needed.

Syslog:

    なし。

-------------------------

ssm-app-request

Service module requested drop:

    このカウンタは、ASA 5500 シリーズ適応型セキュリティアプライアンスにのみ適用されます。このカウンタは、SSM で実行するアプリケーションが、セキュリティ アプライアンスがパケットをドロップすることを要求すると増分します。

推奨事項：

    SSM 自体によって生成されたインシデントレポートまたはシステムメッセージを照会することで、詳細情報を取得できます。手順については、SSM に付属のマニュアルを参照してください。

Syslog：

    なし。

-------------------------

ssm-asdp-invalid

Invalid ASDP packet received from SSM card:

    このカウンタは、ASA 5500 シリーズ適応型セキュリティアプライアンスにのみ適用されます。セキュリティ アプライアンスが内部データ プレーン インターフェイスから ASA SSM Dataplane Protocol（ASDP）パケットを受信したが、このパケットを解析してドライバに問題が生じると増分します。ASDP is a protocol used by the security appliance to communicate with certain types of SSMs, like the CSC-SSM. This could happen for various reasons, for example ASDP protocol version is not compatible between the security appliance and SSM, in which case the card manager process in the control plane issues system messages and CLI warnings to inform you of the proper version of images that need to be installed; the ASDP packet belongs to a connection that has already been terminated on the security appliance; the security appliance has switched to the standby state (if failover is enable) in which case it can no longer pass traffic; or any unexpected value when parsing the ASDP header and payload.

推奨事項：

    このカウンタは通常 0 または非常に小さな数です。But user should not be concerned if the counter slowly increases over the time, especially when there has been a failover, or you have manually cleared connections on the security appliance via CLI. If the counter increases drastically during normal operation, please contact Cisco Technical Assistance Center (TAC).

Syslogs:

    421003

    421004

-------------------------

ssm-dpp-invalid

Invalid packet received from SSM card:

    このカウンタは、ASA 5500 シリーズ適応型セキュリティアプライアンスにのみ適用されます。セキュリティ アプライアンスが内部データ プレーン インターフェイスから ASA SSM Dataplane Protocol（ASDP）パケットを受信するが、それを解析する適切なドライバを検出できない場合に増分します。

推奨事項：

    データプレーンドライバは、システムにインストールされている SSM のタイプに応じて動的に登録されます。したがって、この現象は、セキュリティ アプライアンスが完全に初期化される前にデータ プレーン パケットが到着すると発生する可能性があります。このカウンタ値は通常 0 です。少々のドロップがあっても気にする必要はありません。ただし、システムが起動して稼働中であるときにこのカウンタの値が上昇し続ける場合は、問題があることを示している可能性があります。Please contact Cisco Technical Assistance Center (TAC) if you suspect it affects the normal operation of your the security appliance.

Syslogs:

    なし。

-------------------------

stream

Blocked or blacklisted by the stream preprocessor:

    ストリームプリプロセッサの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

sts-lookup-failure

STS lookup failure:

    このカウンタは、VNI インターフェイスでタグスイッチングが有効になっている場合に、セキュリティアプライアンスが特定の入力タグに対する出力タグのルックアップに失敗すると増加します。

推奨事項：

    生成された syslog から取得した入力タグに対する出力タグが存在することを確認してください。

Syslogs:

   779001。

-------------------------

sts-nat-diff-egress

STS locates different egress from NAT:

    このカウンタは、セキュリティアプライアンスが STS と NAT で異なる出力インターフェイスを検出すると増加します。

推奨事項：

    syslog に表示されるインターフェイスの NAT 設定が正しいことを確認してください。

Syslogs:

   779002。

-------------------------

tcp-3whs-failed

TCP failed 3 way handshake:

    アプライアンスが 3 ウェイハンドシェイク中に無効な TCP パケットを受信すると、このカウンタが増加し、パケットがドロップされます。Example SYN-ACK from client will be dropped for this reason.

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-ack-syn-diff

TCP ACK in SYNACK invalid:

    アプライアンスが 3 ウェイハンドシェイク中に不正な TCP 確認応答番号を持つ SYN-ACK パケットを受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-acked

TCP DUP and has been ACKed:

    再送信されたデータパケットをアプライアンスが受信し、そのデータがピア TCP エンドポイントによって確認応答されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-bad-option-length

TCP option length invalid:

    TCP オプション長が 0 の TCP パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。これは、非 NOP オプションについては無効です。

推奨事項：

    なし。

Syslogs:

    なし

-------------------------

tcp-bad-option-list

TCP option list invalid:

    非標準 TCP ヘッダーオプションを持つ TCP パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    そのような TCP パケットを許可するか、非標準の TCP ヘッダーオプションをクリアしてからパケットを許可するには、tcp-map の下で tcp-options 設定を使用してください。

Syslogs:

    なし

-------------------------

tcp-buffer-full

TCP Out-of-Order packet buffer full:

    アプライアンスが接続で順序不正 TCP パケットを受信し、このパケットを保存するバッファ領域がない場合、このカウンタが増加し、パケットがドロップされます。Typically TCP packets are put into order on connections that are inspected by the appliance or when packets are sent to SSM for inspection. There is a default queue size and when packets in excess of this default queue size are received they will be dropped.

Recommendations:

    ASA プラットフォームでは、tcp-map の下で queue-limit 設定を使用してキューサイズを増やすことができます。

Syslogs:

    なし

-------------------------

tcp-buffer-timeout

TCP Out-of-Order packet buffer timeout:

    キューイングされた順序不正 TCP パケットが過剰に長い時間バッファに保持されると、このカウンタが増加し、パケットがドロップされます。通常、TCP パケットは、セキュリティアプライアンスによって、またはパケットが検査のために SSM に送信されるときに検査される接続の順番に入力されます。When the next expected TCP packet does not arrive within a certain period, the queued out of order packet is dropped.

Recommendations:

    次に予期される TCP パケットは、通常ビジー状態であるネットワークの輻輳が原因で到着しない可能性があります。The TCP retransmission mechanism in the end host will retransmit the packet and the session will continue.

Syslogs:

    なし

-------------------------

tcp-conn-limit

TCP connection limit reached:

    この理由は、TCP 接続確立フェーズで接続制限を超え、TCP パケットがドロップされると表示されます。The connection limit is configured via the 'set connection conn-max' action command.

推奨事項：

    これが急速に増加している場合、syslog を確認して、どのホストの接続制限に達したかを特定してください。トラフィックが正常な場合、またはホストが攻撃を受けている場合は、接続制限値を増分する必要があることもあります。

Syslogs:

    201011

-------------------------

tcp-data-past-fin

TCP data send after FIN:

    接続を閉じるために FIN を送信したエンドポイントからアプライアンスが新しい TCP データパケットを受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-discarded-ooo

TCP ACK in 3 way handshake invalid:

    アプライアンスが 3 ウェイハンドシェイク中にクライアントから TCP ACK パケットを受信し、シーケンス番号が次に予期されるシーケンス番号ではない場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-dual-open

TCP Dual open denied:

    初期 TCP 接続がすでに開いているときに、アプライアンスがサーバーから TCP SYN パケットを受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-dup-in-queue

TCP dup of packet in Out-of-Order queue:

    順序不正パケットキューにすでに入れられている再送信されたデータパケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-fo-drop

TCP replicated flow pak drop:

    アプライアンスがアクティブユニットとして引き継いだ直後に、確立された接続で、SYN、FIN、RST などの制御フラグを持つ TCP パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-global-buffer-full

TCP global Out-of-Order packet buffer full:

    セキュリティアプライアンスが接続で順序不正 TCP パケットを受信し、使用可能なグローバルバッファがなくなると、このカウンタが増加し、パケットがドロップされます。Typically TCP packets are put into order on connections that are inspected by the security appliance or when packets are sent to the SSM for inspection. When the global Out-of-Order buffer queue is full, the packet will be dropped and this counter will increment.

Recommendations:

    これは、すべてのグローバルバッファが使用されている一時的な状態です。If this counter is constantly incrementing, then please check your network for large amounts of Out-of-Order traffic, which could be caused by traffic of the same flow taking different routes through the network.

Syslogs:

    なし

-------------------------

tcp-invalid-ack

TCP invalid ACK:

    ピア TCP エンドポイントによって送信されたデータよりも大きい確認応答番号を持つ TCP パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-mss-exceeded

TCP data exceeded MSS:

    ピア TCP エンドポイントによってアドバタイズされた MSS よりも大きいデータ長の TCP パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    そのような TCP パケットを許可するには、tcp-map の下で exceed-mss 設定を使用してください。

Syslogs:

    4419001

-------------------------

tcp-not-syn

First TCP packet not SYN:

    非傍受かつ非固定接続の最初のパケットである非 SYN パケットを受信しました。

推奨事項：

    通常の条件下では、これは、アプライアンスがすでに接続を閉じているときに、クライアントまたはサーバーが接続が開いていると信じ、データを送信し続ける場合に見られることがあります。Some examples where this may occur is just after a 'clear local-host' or 'clear xlate' is issued. Also, if connections have not been recently removed, and the counter is incrementing rapidly, the appliance may be under attack. 原因を特定するためには、スニファ トレースを取り込みます。

Syslogs:

    6106015

-------------------------

tcp-paws-fail

TCP packet failed PAWS test:

    タイムスタンプ ヘッダー オプションを持つ TCP パケットが PAWS（ラップされたシーケンス番号に対する保護）テストに失敗すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    そのような接続を許可するには、tcp-map の下で tcp-options 設定を使用してタイムスタンプオプションをクリアしてください。

Syslogs:

    なし

-------------------------

tcp-proxy-3whs-failed

TCP proxy three way handshake failed:

    TCP プロキシで 3 ウェイハンドシェイク中にエラーが発生すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-copy-failed-drop

TCP proxy packet copy failed:

    TCP プロキシが、新しいパケットを割り当てることができなかったためにパケットをコピーできなかった場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-fp-flow-null-drop

TCP proxy full proxy NULL flow:

    フローがフルプロキシモードで NULL のときに、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-fp2lw-enqueue-limit-drop

TCP proxy FP2LW enqueue limit:

    TCP プロキシがフルプロキシのバイパスを試みているときにパケットを受信し、プロキシレイヤがエンキュー制限に達すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-invalid-tcp-checksum-drop

TCP proxy invalid TCP checksum:

    データパケットを含む RST/FIN が受信され、チェックサムが無効だった場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-invalid-tcp-state-drop

TCP proxy invalid TCP state:

    TCB が無効な状態である場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-l2-copy-failed-drop

TCP proxy L2 copy failed:

    TCP プロキシがフルプロキシモードで L2 ヘッダーをパケットにコピーできなかった場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-l2-no-header-room

TCP proxy L2 no header room:

    フルプロキシモードでパケットの L2 ヘッダー用のヘッダースペースが残っていない場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-l2-not-initialized

TCP proxy L2 not initialized:

    パケットの L2 ヘッダーがフルプロキシモードで初期化されていなかった場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-mixed-mode-drop

TCP proxy mixed mode drop:

    TCP プロキシが軽量 TCP プロキシからフル TCP プロキシに移行すると、このカウンタが増加し、軽量プロキシ TX キューがクリアされます。検査が進行中のときに FIN セグメントをエンキューします。フルプロキシをトリガーすると、このキューはクリアされるはずです。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-mixed-mode-failed

TCP proxy mixed mode failed:

    TCP プロキシで混合モード動作中にエラーが発生し、軽量 TCP プロキシからフルモード TCP プロキシに移行すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-no-inspection

TCP proxy no inspection:

    TCP プロキシが検査のためにパケットを渡すことができなかった場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-null-flow-drop

TCP proxy NULL flow:

    存在しないフローのパケットを TCP プロキシが受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-ooo-drop

TCP proxy OOO:

    TCP プロキシが軽量モードでの処理のために順序不正パケットを受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-probe-blk-alloc-failed

TCP proxy block allocation during collision:

    コリジョン中に TCP プロキシのブロック割り当てが失敗すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-probe-client-conn-collision

TCP proxy client connection matches probe tuple:

    クライアントからのパケットがプローブのタプルと一致すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-probe-fin-ack-rcv

ACK received in response to FIN-ACK for probe:

    TCP プロキシプローブへの FIN-ACK に応答して ACK を受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-probe-inject-pkt

TCP proxy inject probe packet:

    TCP プロキシプローブがパケットを挿入したときに、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-probe-invalid-tcp

Invalid TCP while processing FIN on TCP proxy probe:

    TCP プロキシプローブで FIN の処理中に無効な TCP が発生すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-probe-lock-fin-fail

Unable to lock TCP during FIN processing on TCP proxy probe:

    TCP プロキシプローブが FIN 処理中に TCP をロックできないと、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-probe-max-port-collision

TCP proxy maximum port collision:

    TCP プロキシ接続が最大ポートコリジョンに達すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-probe-rst-injected

TCP proxy reset injected during probe:

    サーバーの hello の完了後に Snort によって RESET が挿入されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-probe-server-fin

Server initiated FIN to TCP proxy probe:

    サーバーが開始した FIN が TCP プロキシプローブに受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-probe-server-rst

Server intitated reset message to TCP proxy probe:

    サーバーが開始したリセットメッセージが TCP プロキシプローブに受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-probe-tcp-probe-drop

TCP proxy probe reply:

    プローブメッセージへの応答が受信されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-proxy-retransmit-drop

TCP proxy retransmit:

    まだ検査中の再送信パケットを TCP プロキシが受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-reserved-set

TCP reserved flags set:

    TCP ヘッダーに予約済みフラグが設定された TCP パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットの破損は、悪いケーブルや回線上のノイズが原因である可能性があります。また、TCP エンドポイントから破損したパケットが送信され、攻撃を受けている可能性もあります。Please use the packet capture feature to learn more about the origin of the packet. To allow such TCP packets or clear reserved flags and then pass the packet use reserved-bits configuration under tcp-map.

Syslogs:

    なし

-------------------------

tcp-rst-syn-in-win

TCP RST/SYN in window:

    確立された接続で、ウィンドウ内のシーケンス番号ではあるものの次に予期されるものではないシーケンス番号を持つ TCP SYN パケットまたは TCP RST パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-rstfin-ooo

TCP RST/FIN out of order:

    不正な TCP シーケンス番号を持つ RST または FIN パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-seq-past-win

TCP packet SEQ past window:

    ピア TCP エンドポイントで許可されたウィンドウを超えるシーケンス番号を持つ TCP データパケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-seq-syn-diff

TCP SEQ in SYN/SYNACK invalid:

    アプライアンスが 3 ウェイハンドシェイク中に不正な TCP シーケンス番号を持つ SYN パケットまたは SYN-ACK パケットを受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-syn-data

TCP SYN with data:

    データを含む TCP SYN パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    そのような TCP パケットを許可するには、tcp-map の下で syn-data 設定を使用してください。

Syslogs:

    なし

-------------------------

tcp-syn-ooo

TCP SYN on established conn:

    確立された TCP 接続でアプライアンスが TCP SYN パケットを受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp-synack-data

TCP SYNACK with data:

    データを含む TCP SYN-ACK パケットをアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットの破損は、悪いケーブルや回線上のノイズが原因である可能性があります。また、TCP エンドポイントから破損したパケットが送信され、攻撃を受けている可能性もあります。Please use the packet capture feature to learn more about the origin of the packet.

Syslogs:

    なし

-------------------------

tcp-synack-ooo

TCP SYNACK on established conn:

    確立された TCP 接続でアプライアンスが TCP SYN-ACK パケットを受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcp_xmit_partial

TCP retransmission partial:

    再送信チェック機能が有効になっており、部分的な TCP 再送信が受信された場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcpnorm-rexmit-bad

TCP bad retransmission:

    再送信チェック機能が有効になっていて、元のパケットと異なるデータを持つ TCP 再送信が受信された場合、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

tcpnorm-win-variation

TCP unexpected window size variation:

    TCP エンドポイントによってアドバタイズされたウィンドウサイズが、それほど多くのデータを受け入れずに大幅に変更されると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    そのようなパケットを許可するには、tcp-map の下で window-variation 設定を使用してください。

Syslogs:

    なし

-------------------------

telnet-not-permitted

Telnet not permitted on least secure interface:

    アプライアンスへの Telnet セッションを確立しようとしている TCP SYN パケットをアプライアンスが受信し、そのパケットが最も安全性の低いインターフェイスで受信された場合、このカウンタが増加し、パケットがドロップされます。

推奨事項：

    最もセキュアでないインターフェイスを介してアプライアンスに Telnet セッションを確立するには、まずそのインターフェイスに IPSec トンネルを確立し、そのトンネルを介して Telnet セッションを接続してください。

Syslog：

    402117

-------------------------

tfw-no-mgmt-ip-config

No management IP address configured for TFW:

    このカウンタは、セキュリティアプライアンスがトランスペアレントモードで IP パケットを受信し、管理 IP アドレスが定義されていない場合に増加します。パケットはドロップされます。

推奨事項：

    デバイスに管理 IP アドレスとマスク値を設定してください。

Syslogs:

    322004

-------------------------

ttl-exceeded

ttl exceeded:

    このカウンタは、TTL（存続可能時間）値が許容制限を超えた IP パケットを、セキュリティアプライアンスが受信すると増加します。Specifically if the packet has ttl value of 1, when set connection decrement-ttl command is configured, or less than 1, the packet is dropped.

Syslogs:

    なし。

-------------------------

tunnel-pending

Tunnel being brought up or torn down:

    このカウンタは、アプライアンスがセキュリティ ポリシー データベース（つまり、クリプトマップ）のエントリと一致するパケットを受信したが、セキュリティ アソシエーションが交渉中で、まだ完了していない場合に増加します。

    このカウンタは、アプライアンスがセキュリティ ポリシー データベースのエントリと一致するパケットを受信したが、セキュリティ アソシエーションが削除された、または削除中の場合にも増加します。この表示と「トンネルが切断されました」という表示の違いは、後者は確立されたフローに対するものであるということです。

推奨事項：

    これは、IPSec トンネルが交渉中または削除中に見られる正常な状態です。

Syslogs:

    なし

-------------------------

unable-to-add-flow

Flow hash full:

    このカウンタは、新しく作成されたフローがフローハッシュテーブルに挿入され、ハッシュテーブルがいっぱいだったために挿入が失敗した場合に増加します。フローとパケットはドロップされます。This is different from counter that gets incremented when maximum connection limit is reached.

推奨事項：

    このメッセージは、デバイス上で本来成功するはずの操作をサポートするためのリソースが不足していることを示しています。Please check if the connections in the 'show conn' output have exceeded their configured idle timeout values. If so, contact the Cisco Technical Assistance Center (TAC).

Syslogs:

    なし。

-------------------------

unable-to-add-to-owner-table

Packet dropped due to failure to add an entry to the owner table:

    このカウンタは、クラスタノードが接続のオーナーエントリの追加に失敗すると増加します。

Recommendations:

    なし。

Syslogs:

    なし。

-------------------------

unable-to-create-flow

Flow denied due to resource limitation:

    システムリソースが制限されているためにフローの作成が失敗すると、このカウンタが増加し、パケットがドロップされます。リソースの制限は、次のとおりです。

       1）システムメモリ

       2）パケットブロック拡張メモリ

       3）システム接続制限

    原因 1 と 2 は、フロードロップ理由「フローを完了するメモリがありません（No memory to complete flow）」と同時に発生します。

推奨事項：

    - システムの空きメモリが少ないかどうかを観察します。

    - フロードロップ理由「フローを完了するメモリがありません（No memory to complete flow）」が発生するかどうかを観察します。

    - "show resource usage" コマンドで接続数がシステム接続制限に達するかどうかを観察します。

Syslogs:

    なし

-------------------------

unable-to-create-vpn-fwd-cflow

Packet dropped due to resource limitation:

    このカウンタは、転送された VPN 復号パケットを受信するピアでのクラスタスタブフローの作成が失敗すると増加します。

Recommendations:

    なし。

Syslogs:

    なし。

-------------------------

unable-to-find-owner

Packet dropped due to failure to find the owner:

    このカウンタは、クラスタノードが VPN ディレクタからの接続のオーナーを見つけられなかった場合に増加します。

Recommendations:

    ディレクタノードがクエリを処理する準備ができているかどうかを確認してください。

Syslogs:

    なし。

-------------------------

unable-to-find-vpn-context

Packet dropped due to failure to find the VPN context:

    このカウンタは、クラスタピアがパケットの暗号化を試みたものの VPN コンテキストを取得できなかった場合に増加します。

Recommendations:

    なし。

Syslogs:

    なし。

-------------------------

unable-to-replicate-packets

Packet dropped and not replicated due to resource limitation:

    共有インターフェイスの場合は、マルチキャストトラフィックおよびブロードキャスト トラフィックをループバックする必要があります。When system resource 'packet block extension memory' limitation is reached, this counter will be incremented, the packet will be droppped and the packet will not be replicated to other contexts.

推奨事項：

    - システムの空きメモリが少ないかどうかを観察します。

Syslog：

    なし

-------------------------

unexpected-packet

Unexpected packet:

    このカウンタは、トランスペアレントモードのアプライアンスがその MAC アドレス宛ての非 IP パケットを受信したものの、パケットを処理するための対応するサービスがアプライアンス上で実行されていない場合に増加します。

推奨事項：

    アプライアンスが攻撃を受けているかどうかを確認してください。If there are no suspicious packets, or the device is not in transparent mode, this counter is most likely being incremented due to a software error. カウンタの増分の原因であるトラフィックを把握し、Cisco TAC に連絡してください。

Syslogs:

    なし

-------------------------

unsupport-ipv6-hdr

Unsupported IPv6 header:

    サポートされていない IPv6 拡張ヘッダーを持つ IPv6 パケットを受信した場合、このカウンタが増加し、パケットがドロップされます。サポートされている IPv6 拡張ヘッダーは、TCP、UDP、ICMPv6、ESP、AH、Hop オプション、Destination オプション、および Fragment です。IPv6 ルーティング拡張ヘッダーはサポートされていません。また、上記以外の拡張ヘッダーもサポートされていません。IPv6 ESP ヘッダーと AH ヘッダーは、パケットが through-the-box の場合にのみサポートされます。To-the-box の IPv6 ESP パケットと AH パケットはサポートされず、ドロップされます。

推奨事項：

    このエラーは、間違った設定のホストが原因で発生する可能性があります。このエラーが再発する場合、または何度も発生する場合は、DoS 攻撃など偽のアクティビティや悪意のあるアクティビティを示している可能性があります。

Syslogs:

    なし。

-------------------------

unsupported-ip-version

Unsupported IP version:

    このカウンタは、IP ヘッダーのバージョンフィールドにサポートされていないバージョンが含まれている IP パケットをセキュリティアプライアンスが受信すると増加します。Specifically, if the packet does not belong to version 4 or version 6. パケットはドロップされます。

推奨事項：

    接続されたネットワーク上の他のデバイスが、バージョン 4 または 6 の IP パケットのみを送信するように設定されていることを確認してください。

Syslogs:

    なし。

-------------------------

unsupported_8021q_vlan_tags

Unsupported 802.1Q VLAN tags:

    VLAN タグのレイヤが多すぎるパケットをセキュリティアプライアンスが受信すると、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

uztna-policy-data-not-found

Hybrid Zero-Trust Policy data not found

    ハイブリッド ゼロトラスト フローに関連付けられているポリシーデータが見つからない場合、このカウンタが増加し、パケットがドロップされます。

推奨事項：

    なし

Syslogs:

    なし。

-------------------------

uztna-src-translation-failure

universal-zero-trust SRC NAT POOL exhaustion

    ユニバーサル ゼロトラスト トラフィックの送信元変換が設定されても、プールがすべて使用されていると、このカウンタが増加し、パケットがドロップされます。

推奨事項：

    これは、ユニバーサル ゼロトラスト アプリケーション宛てのトラフィックの送信元を変換するために設定された IP が不十分である可能性があります。送信元変換プールに IP をさらに追加することを検討してください。

Syslogs:

    なし。

-------------------------

vaccess-channel

Vaccess channel drop:

    このカウンタは、セキュリティアプライアンスが Vaccess インターフェイスチャネルを介したパケットの転送を試みると増加します。パケットはドロップされます。

推奨事項：

    予期されたシナリオでは、vaccess インターフェイスに転送されたパケットがドロップされます（icmp、mcast などの場合）。

Syslogs:

   なし。

-------------------------

vPath-license-failure

Packet dropped due to vPath license failure:

    ASA 1000V のライセンス障害が原因で、トラフィックがドロップされます。

推奨事項：

    Nexus 1000V を確認し、使用中のすべての ASA 1000V 仮想マシンをサポートするのに十分な ASA 1000V ライセンスがインストールされていることを確認してください。Use "show license" to check the available licenses for ASA 1000V and use "show license usage" to check the status of them.

Syslogs:

    4450002。

-------------------------

vpn-cflow-fail-due-to-full-flow

Packet dropped due to a conflicting full flow:

    このカウンタは、すでにフルフローが存在するために、転送された VPN 復号パケットを受信するピアでのクラスタスタブフローの作成が失敗すると増加します。

Recommendations:

    なし。

Syslogs:

    なし。

-------------------------

vpn-context-expired

Expired VPN context:

    このカウンタは、セキュリティアプライアンスが暗号化または復号を必要とするパケットを受信し、操作の実行に必要な ASP VPN コンテキストが無効になると増加します。

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

Syslog：

    なし

-------------------------

vpn-handle-error

VPN Handle Error:

    このカウンタは、VPN ハンドルがすでに存在するためにアプライアンスが VPN ハンドルを作成できない場合に増加します。

推奨事項：

    通常の操作の一部としてこのカウンタが増加することがありますが、カウンタが急速に増加し、VPN ベースのアプリケーションに重大な不具合がある場合、これはソフトウェアの欠陥が原因である可能性があります。Contact the Cisco TAC to investigate the issue further.

Syslog：

    なし。

-------------------------

vpn-handle-mismatch

VPN Handle Mismatch:

    このカウンタは、アプライアンスがブロックを転送する必要があり、VPN ハンドルによって参照されるフローがブロックに関連付けられたフローと異なる場合に増加します。

推奨事項：

    これは通常の事象ではありません。詳細な分析のため、show console-output を実行して出力を CISCO TAC に送信してください。

Syslog：

    なし。

-------------------------

vpn-lock-error

IPSec locking error:

    このカウンタは、内部ロックエラーにより VPN フローを作成できないと増加します。

推奨事項：

    この状態は通常の操作中には発生しないはずであり、アプライアンスのソフトウェアの問題を示している可能性があります。Contact the Cisco Technical Assistance Center (TAC) if this error occurs.

Syslogs:

    なし。

-------------------------

vpn-overlap-conflict

VPN Network Overlap Conflict:

    パケットが復号されると、内部パケットが暗号マップの設定に対して検査されます。パケットが受信したものとは異なる暗号マップエントリと一致する場合、パケットはドロップされ、このカウンタが増加します。これの一般的な原因は、類似または重複するアドレス空間を含む 2 つの暗号マップエントリによるものです。

推奨事項：

    重複するネットワークがないか VPN 設定を確認してください。Verify the order of your crypto maps and use of 'deny' rules in ACLs.

Syslog：

    なし

-------------------------

vpn-reclassify-failed

VPN Reclassify Failed:

    このカウンタは、VPN の状態が変化した後にフローの再分類に失敗したために VPN フローのパケットがドロップされると増加します。

推奨事項：

    このカウンタは、VPN CLI またはトンネル状態の変更により再分類が必要な VPN フローのパケットが到着すると増加します。If the flow no longer matches the existing policies, then the flow is freed and the packet dropped.

Syslog：

    このイベントに新しい syslog は伴いません。

-------------------------

vtemplate-channel

Vtemplate チャネルドロップ：

    このカウンタは、セキュリティアプライアンスが仮想テンプレート インターフェイス チャネルを介したパケットの転送を試みると増加します。パケットはドロップされます。

推奨事項：

    予期されたシナリオでは、仮想テンプレート インターフェイスに転送されたパケットがドロップされます（icmp、mcast などの場合）。

Syslogs:

   なし。

-------------------------

vti-channel

VTI チャネルドロップ：

    このカウンタは、セキュリティアプライアンスが VTI インターフェイスチャネルを介したパケットの転送を試みると増加します。パケットはドロップされます。

推奨事項：

    予期されたシナリオでは、VTI インターフェイスに転送されたパケットがドロップされます（icmp、mcast などの場合）。

Syslogs:

   なし。

-------------------------

vxlan-ccl-inner-dip-not-found

Peer CCL inner IP not found:

    このカウンタは、セキュリティアプライアンスがピア CCL 内部宛先 IP の検出に失敗すると増加します。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

vxlan-encap-error

Fail to encap with VXLAN:

    このカウンタは、セキュリティアプライアンスが VXLAN でのパケットのカプセル化に失敗すると増加します。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

vxlan-invalid-header

Invalid VXLAN header format:

    このカウンタは、正しい VXLAN 宛先ポート番号を持つ UDP パケットをセキュリティアプライアンスが受信したものの、VXLAN ヘッダーの復号に失敗すると増加します。

推奨事項：

    なし。

Syslogs:

    778004。

-------------------------

vxlan-invalid-header-thru-traffic

Invalid VXLAN header format for through-the-box traffic:

    このカウンタは、正しい VXLAN 宛先ポート番号を持つ through-the-box UDP パケットをセキュリティアプライアンスが受信したものの、VXLAN ヘッダーの復号に失敗すると増加します。

推奨事項：

    なし。

Syslogs:

    778008。

-------------------------

vxlan-invalid-nve-peer

VXLAN packet from an invalid NVE peer:

    このカウンタは、設定されていない NVE ピアからの VXLAN パケットをセキュリティアプライアンスが受信すると増加します。

推奨事項：

    なし。

Syslogs:

    778007。

-------------------------

vxlan-invalid-udp-checksum

Invalid VXLAN header format:

    このカウンタは、UDP ヘッダーのチェックサム値が正しくない VXLAN パケットをセキュリティアプライアンスが受信すると増加します。

推奨事項：

    なし。

Syslogs:

    778006。

-------------------------

vxlan-invalid-vni-mcast-ip

Invalid Multicast IP on VNI interface:

    このカウンタは、セキュリティアプライアンスが VNI インターフェイスからマルチキャストグループ IP を取得できなかった場合に増加します。

推奨事項：

    設定されたピア NVE がない場合、VNI インターフェイスに有効なマルチキャストグループ IP が設定されていることを確認します。

Syslogs:

    なし。

-------------------------

vxlan-missing-peer-vtep-ip

Peer VTEP IP not found:

    このカウンタは、セキュリティアプライアンスが VXLAN カプセル化のための内部宛先 IP に対するピア VTEP IP を見つけられないと増加します。

推奨事項：

    show arp vtep-mapping/show mac-address-table vtep-mapping/show ipv6 neighbor vtep-mapping で、希望するリモート内部ホストの VTEP IP が存在することを確認してください。

Syslogs:

    なし。

-------------------------

wccp-redirect-no-route

No route to Cache Engine:

    このカウンタは、セキュリティアプライアンスがパケットのリダイレクトを試行し、キャッシュエンジンへのルートを検出できないと増加します。

推奨事項：

    キャッシュエンジンへのルートが存在することを確認してください。

Syslogs:

   なし。

-------------------------

wccp-return-no-route

No route to host for WCCP returned packet:

    このカウンタは、パケットがキャッシュエンジンから戻され、セキュリティアプライアンスがパケットの元の送信元へのルートを検出できないと増加します。

推奨事項：

    送信元 IP アドレスのルートがキャッシュエンジンから返されたパケットに対して存在することを確認してください。

Syslogs:

    なし。

-------------------------

x-link2state

Blocked or blacklisted by the x-link2state preprocessor:

    x-link2state プリプロセッサの要求に応じて、このカウンタが増加し、パケットがドロップされます。

Recommendations:

    パケットトレーサで Snort 出力を確認するか、トレースを有効にしてキャプチャしてください。

Syslogs:

    なし。

-------------------------

zta-src-translation-failure

ZeroTrustAccess SRC NAT POOL exhaustion

    ゼロトラストトラフィックの送信元変換が設定されても、プールがすべて使用されていると、このカウンタが増加し、パケットはドロップされます。

推奨事項：

    これは、ゼロトラスト アプリケーション宛てのトラフィックの送信元を変換するために設定された IP が不十分である可能性があります。送信元変換プールに IP をさらに追加することを検討してください。

Syslogs:

    なし。

-------------------------

acl-drop

Flow is denied by access rule:

     このカウンタは、パケットがドロップルールにヒットし、フローの作成が拒否されると増加します。This rule could be a default rule created when the box comes up, when various features are turned on or off, when an acl is applied to interface or any other feature etc. Apart from default rule drops, a flow could be denied because of:

     1）インターフェイスに設定された ACL

     2）AAA およびユーザー拒否された AAA に設定された ACL

     3）管理専用インターフェイスに到着するスルーボックストラフィック

     4）IPSec 対応インターフェイスに到着する暗号化されていないトラフィック

     5）ACL の最後にある暗黙の拒否 'ip any any'

推奨事項：

    パケットドロップに関連する syslog が発生しているかどうかを確認してください。Flow drop results in the corresponding packet-drop that would fire requisite syslog.

Syslogs:

    なし。

-------------------------

acl-drop-reclassify

Flow is denied by access rule after reclassification:

     このカウンタは、ACL ルールの再分類中にパケットがドロップルールにヒットすると増加します。

推奨事項：

    パケットドロップに関連する syslog が発生しているかどうかを確認してください。Flow drop results in the corresponding packet-drop that would fire requisite syslog.

Syslogs:

    なし。

-------------------------

asa-teardown

ASA requested flow to be torndown:

    ASA がフローの削除を要求しました。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

audit-failure

Audit failure:

    関連するアクションとしてリセットされた「IP 監査」シグニチャが照合された後、フローが解放されました。

推奨事項：

    フローの削除がこのシグニチャの一致の望ましい結果ではない場合は、"ip audit" コマンドからリセットアクションを削除します。

Syslogs:

    なし

-------------------------

channel-closed

Channel closed:

    このカウンタは、チャネルが閉じられると増加します。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

children-limit

Max per-flow children limit exceeded:

    1 つの親フローに関連付けられている子フローの数が内部制限の 200 を超えています。

推奨事項：

    このメッセージは、アプリケーションの動作に問題があるか、ファイアウォールメモリを使い果たそうとしていることを示しています。Use "set connection per-client-max" command to further fine tune the limit. For FTP, additionally enable the "strict" option in "inspect ftp".

Syslogs:

    210005

-------------------------

clean_for_vpn_stub

Clean up for creation of a new VPN stub:

    この理由は、新しい VPN スタブ接続の準備として競合する接続が切断されると表示されます。

Recommendations:

    なし。

Syslogs:

    なし。

-------------------------

closed-by-block-reset

Flow is cleared on receiving block with reset:

     Snort はリセットされたブロックを送信します

推奨事項：

    このカウンタは情報提供であり、動作は予想されます。

Syslogs:

    なし。

-------------------------

closed-by-inspection

Flow closed by inspection:

    この理由は、アプリケーション検査中にエラーが検出されたためにフローが終了すると表示されます。For example, if an error is detected during inspecting an H323 message, the corresponding H323 flow is closed with this reason.

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cluster-ccl-backup

Cluster CCL backup:

    クラスタデータパケットがバックアップユニットで CCL 経由で受信されましたが、本来はオーナー + ディレクタユニットで受信されるべきでした。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

cluster-ccl-bad-unxlate-redirect

Cluster member dropped an unexpected NAT untranslate redirect packet from peer:

    ダイナミック PAT プールの所有者がピアから NAT アンストランスレート パケットを受信しました。However it matches a director stub flow.

推奨事項：

    このカウンタは、クラスタメンバーの障害発生後の一時的な状態です。However, if this counter is incremented continuously, there could be a timing issue that caused the error. Contact Cisco Systems in such case.Syslogs:

    なし。

-------------------------

cluster-cflow-clu-closed

Cluster flow with CLU closed on owner:

    ディレクタ/バックアップユニットは、所有者ユニットからクラスタフロー CLU 削除メッセージを受信し、フローを終了しました。

推奨事項：

    このカウンタは、所有者ユニットで破棄される複製された CLU ごとに増加する必要があります。

Syslogs:

    なし。

-------------------------

cluster-cflow-clu-timeout

Cluster flow with CLU removed from due to idle timeout:

    ディレクタ/バックアップユニットがオーナーから定期的な更新（フローが稼働していれば一定間隔で発生すると想定される）を受信しなくなると、CLU を使用したクラスタフローはアイドル状態と見なされます。

推奨事項：

    このカウンタは情報提供用です。

Syslogs:

    なし。

-------------------------

cluster-cflow-isakmp-owner-closed

Cluster flow closed on ISAKMP owner:

    ディレクタ/バックアップユニットが転送ユニットから ISAKMP リダイレクトパケットを受信し、フローを終了しました。

推奨事項：

    このカウンタは、ISAKMP 所有者ユニットで ISAKMP リダイレクトパケットによって破棄されたフローごとに増加する必要があります。

Syslogs:

    なし。

-------------------------

cluster-cflow-nat-pool-removed

Cluster flow is removed due to non-existent nat pool:

    すでに削除されている NAT プール IP を参照しているために、ディレクタ/バックアップフローが削除されました。

推奨事項：

    このカウンタは情報提供用です。

Syslogs:

    なし。

-------------------------

cluster-cflow-stale-clu-closed

Cluster flow with CLU removed due to stale owner:

    オーナー情報が古いため、クラスタフローが削除されました。Stale info can happen due to missing CLU_DELETE as normally this is not a reliable msg.

推奨事項：

    このカウンタは情報提供用です。

Syslogs:

    なし。

-------------------------

cluster-convert-to-dirbak

Forwarding or redirect flow converted to director or backup flow:

    転送またはリダイレクトフローが削除され、ディレクタまたはバックアップフローを作成できるようになりました。

Recommendations:

    このカウンタは情報提供であり、予想される動作です。

Syslogs:

    なし。

-------------------------

cluster-ctp-punt-channel-missing

Flow removed at bulk sync becasue CTP punt channel is missing:

    クラスタで復元されたフローに CTP パントチャネルがないため、バルク同期中にフローが削除されます。

推奨事項：

    クラスタ制御ノードがクラスタを離れたばかりである可能性があります。And there might be packet drops on the Cluster Control Link.

Syslogs:

    302014

-------------------------

cluster-dir-removed-dup-owner

Duplicated owner flow removed by director:

    別のユニットがフローを所有しているため、ディレクタがこのユニットのフローを削除しました。

Recommendations:

    このカウンタは情報提供であり、動作は予想されます。

Syslogs:

    なし。

-------------------------

cluster-director-change

The flow director changed due to a cluster join event:

    新しいユニットがクラスタに加わり、現在、フローのディレクタになっています。The old director/backup has removed it's flow and the flow owner will update the new director.

Recommendations:

    このカウンタは情報提供であり、予想される動作です。

Syslogs:

    なし。

-------------------------

cluster-director-closed

Flow removed due to director flow closed:

    オーナーユニットはディレクタユニットからクラスタフロー CLU 削除メッセージを受信し、フローを終了しました。

推奨事項：

    このカウンタは、ディレクタユニットで破棄される複製された CLU ごとに増加する必要があります。

Syslogs:

    なし。

-------------------------

cluster-drop-on-data-node

Flow matched a cluster drop-on-data-node classify rule:

    これは、L3 サブネットからのパケットがすべてのユニットで認識され、制御ノードのみがそれらを処理する必要がある場合です。

Recommendations:

    このカウンタは情報提供であり、予想される動作です。パケットは制御ノードによって処理されます。

Syslogs:

    なし。

-------------------------

cluster-dup-owner-to-dir

Duplicated owner flow detected, and I will become a director later:

    別のユニットがフローを所有しているため、後で代わりのディレクタフローを作成するために、このフローを削除する必要があります。

Recommendations:

    このカウンタは情報提供であり、動作は予想されます。

Syslogs:

    なし。

-------------------------

cluster-mcast-owner-change

The multicast flow owner changed due to a cluster join or leave event:

     このフローは、新しいオーナーユニットで作成されます。

Recommendations:

    このカウンタは情報提供であり、予想される動作です。

Syslogs:

    なし。

-------------------------

cluster-mobility-backup-removed

Flow mobility has backup removed:

    フローモビリティにより、このフローは別のユニットに移動しました。This backup will be removed because new owner and director are on difference nodes.

Recommendations:

    このカウンタは情報提供であり、予想される動作です。

Syslogs:

    なし。

-------------------------

cluster-mobility-fwder-removed

Flow mobility has old fwder removed:

    フローモビリティにより、このフローは別のユニットに移動しました。This old fwder will be removed because it's turning into a backup.

Recommendations:

    このカウンタは情報提供であり、予想される動作です。

Syslogs:

    なし。

-------------------------

cluster-mobility-owner-2-dir

Flow mobility has old owner/director changed to director only:

    フローモビリティにより、このフローは別のユニットに移動しました。This unit used to be both owner and director, now will host director flow only.

Recommendations:

    このカウンタは情報提供であり、予想される動作です。

Syslogs:

    なし。

-------------------------

cluster-mobility-owner-removed

Flow mobility has old owner removed:

    フローモビリティにより、このフローは別のユニットに移動しました。This old owner will be removed.

Recommendations:

    このカウンタは情報提供であり、予想される動作です。

Syslogs:

    なし。

-------------------------

cluster-owner-2-dir

Another owner overrides me, and I will become a director later:

    別のユニットがフローを所有しているため、後で代わりのディレクタフローを作成するためにフローの削除が要求されます。

Recommendations:

    このカウンタは情報提供であり、動作は予想されます。

Syslogs:

    なし。

-------------------------

cluster-owner-2-fwd

Another owner overrides me, and I will become a forwarder later:

    別のユニットがフローを所有しているため、後で代わりのフォワーダフローを作成するためにフローの削除が要求されます。

Recommendations:

    このカウンタは情報提供であり、動作は予想されます。

Syslogs:

    なし。

-------------------------

cluster-parent-owner-left

Flow removed at bulk sync becasue parent flow is gone:

    親フローの所有者がクラスタを離れたため、一括同期中にフローが削除されます。

推奨事項：

    このカウンタは情報提供であり、予想される動作です。

Syslogs:

    302014

-------------------------

cluster-pinhole-control-node-change

Control node only pinhole flow removed at bulk sync due to control node change:

    クラスタ制御ノードが変更されたために、一括同期中に、制御ノードのみのピンホールフローが削除されました。

推奨事項：

    このカウンタは情報提供であり、予想される動作です。

Syslogs:

    302014

-------------------------

cluster-redirect

Flow matched a cluster redirect classify rule:

    その後、スタブ転送フローは、フローを所有するクラスタユニットにパケットを転送します。

Recommendations:

    このカウンタは情報提供であり、予想される動作です。The packet was forwarded to the owner over the Cluster Control Link.

Syslogs:

    なし。

-------------------------

cluster-removed-stale-stub

Stale stub flow removed by owner:

    これは古いスタブフローであるため、所有者がこのユニットでフローを削除しました。

Recommendations:

    このカウンタは情報提供であり、動作は予想されます。

Syslogs:

    なし。

-------------------------

conn-limit-exceeded

Connection limit exceeded:

    この理由は、接続制限を超えたときにフローが終了すると表示されます。The connection limit is configured via the 'set connection conn-max' action command.

推奨事項：

    なし。

Syslogs:

    201011

-------------------------

connection-timeout

Connection timeout:

    このカウンタは、非アクティブタイマーの期限切れのためにフローが終了すると増加します。

推奨事項：

    対処不要です。

Syslogs:

    302014、302016、302018、302021

-------------------------

ctm-crypto-request-error

CTM crypto request error:

    このカウンタは、CTM が暗号化要求を受け入れることができないと、そのたびに増加します。これは通常、暗号ハードウェア要求キューがいっぱいであることを意味します。

推奨事項：

    show crypto protocol statistics ssl コマンドを発行し、この情報で Cisco TAC にお問い合わせください。

Syslogs:

    なし。

-------------------------

cxsc-bad-hdl

Flow terminated by ASA due to bad handle from CX

    CX から受信したハンドルが無効であるため、フローをドロップします。

Recommendations:

    CXSC モジュールの syslog とアラートを確認してください。

Syslogs:

    421004

-------------------------

cxsc-fail-close

CXSC fail-close:

    この理由は、CXSC カードがダウンしており、CXSC アクションでフェールクローズオプションが使用されたため、フローが終了すると表示されます。

Recommendations:

    CXSC カードを確認して動作させてください

Syslogs:

    429001

-------------------------

cxsc-request

Flow terminated by CXSC:

    この理由は、CXSC モジュールの要求に応じてフローが終了すると表示されます。

Recommendations:

    CXSC モジュールの syslog とアラートを確認してください。

Syslogs:

    429002

-------------------------

dtls-hello-close

DTLS hello close:

    このカウンタは、DTLS クライアントの hello メッセージ処理が終了した後に UDP 接続がドロップされると増加します。This does not indicatean error.

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

dynamic-filter

Flow matched dynamic-filter blacklist:

    フローが、トラフィックをドロップするように設定された脅威レベルのしきい値よりも高い脅威レベルを持つダイナミック フィルタ ブロックリストまたはグレーリストエントリと一致しました。

推奨事項：

    内部 IP アドレスを使用して、感染したホストを追跡してください。Take remidiation steps to remove the infection.

Syslogs:

    なし。

-------------------------

fin-timeout

FIN Timeout:

    この理由は、ハーフクローズタイマーの期限切れにより TCP フローが終了すると表示されます。

Recommendations:

    これらが TCP フローを終了するのに時間がかかる有効なセッションがある場合は、ハーフクローズタイムアウトを増分してください。

Syslogs:

    302014

-------------------------

flow-missing-snort-info

Snort inspected flow missing pdts snort info:

    この理由は、接続に Snort 関連の構造がないためにフローが終了すると表示されます。

Recommendations:

    対処不要です。

Syslogs:

    なし。

-------------------------

flow-reclaimed

Non-tcp/udp flow reclaimed for new request:

    このカウンタは、新しいフロー用のスペースを確保するために再利用可能なフローが削除されると増加します。これは、アプライアンスを通過するフローの数が、ソフトウェアによって課された制限により許可されている最大数と等しく、新しいフロー要求が受信された場合にのみ発生します。これが発生した場合、再利用可能なフローの数がアプライアンスで許可されている VPN トンネルの数を超えると、最も古い再利用可能なフローが削除され、新しいフロー用のスペースが確保されます。以下を除くすべてのフローは、再利用可能と見なされます。

    1. TCP、UDP、GRE およびフェールオーバーフロー

    2. ICMP フロー（ICMP ステートフル検査がイネーブルの場合）

    3. アプライアンスへの ESP フロー

推奨事項：

    このカウンタがゆっくりと増加している場合は、アクションは不要です。If this counter is incrementing rapidly, it could mean that the appliance is under attack and the appliance is spending more time reclaiming and rebuilding flows.

syslog

    302021

-------------------------

fo-primary-closed

Failover primary closed:

    スタンバイユニットがアクティブユニットからフロー削除メッセージを受信し、フローを終了しました。

推奨事項：

    アプライアンスがステートフル フェールオーバーを実行している場合、このカウンタは、スタンバイアプライアンスで切断されている、複製された接続ごとに増加する必要があります。

Syslogs:

    302014、302016、302018

-------------------------

fo-standby

Flow closed by failover standby:

    through-the-box パケットがスタンバイ状態のアプライアンスまたはコンテキストに到着し、フローが作成されると、パケットはドロップされ、フローが削除されます。このカウンタは、この方法でフローが削除されるたびに増分します。

推奨事項：

    このカウンタは、アクティブなアプライアンスまたはコンテキストで増加しないようにする必要があります。However, it is normal to see it increment on the Standby appliance or context.

Syslogs:

    302014、302016、302018

-------------------------

fo_rep_err

Standby flow replication error:

    スタンバイユニットがフローの複製に失敗しました。

推奨事項：

    アプライアンスが VPN トラフィックを処理している場合は、IKE SA 情報よりも先にフローが複製されるため、このカウンタはスタンバイ装置上で常に増加しています。No action is required in this case. If the appliance is not processing VPN traffic, then this indicate a software detect, turn on the debug: "debug fover fail" on the standby unit, collect the debug output, and report the problem to Cisco TAC.

Syslogs:

    302014、302016、302018

-------------------------

fover-idle-timeout

Flow removed from standby unit due to idle timeout:

    スタンバイユニットがアクティブユニットから定期的な更新（フローが稼働していれば一定間隔で発生すると想定される）を受信しなくなると、フローはアイドル状態と見なされます。This counter is incremented when such flow is removed from standby unit.

推奨事項：

    このカウンタは情報提供用です。

Syslogs:

    なし。

-------------------------

geneve-encap-error

Fail to encap with Geneve:

    このカウンタは、セキュリティアプライアンスがフローの Geneve でパケットのカプセル化に失敗すると増加します。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

host-removed

Host is removed:

    "clear local-host" コマンドに応答してフローが削除されました。

推奨事項：

    これは情報カウンタです。

Syslogs:

    302014、302016、302018、302021、305010、305012、609002

-------------------------

ifc-addr-chg

Stale Ike flow with incorrect outbound ifc, cleared as part of Address change/removal on tunnel src interface(vti):

この理由は、トンネル src インターフェイスで ip/ipv6 アドレスの変更/削除が発生したために作成される、誤ったアウトバウンド ifc を持つ古い ike フローが終了すると表示されます。

Recommendations:

    対処不要です。

Syslogs:

    なし。

-------------------------

ifc-vrf-chg

Interface experienced a VRF change:

    この理由は、親インターフェイスがある VRF から別の VRF に移動したためにフローが終了すると表示されます。

Recommendations:

    対処不要です。

Syslogs:

    なし。

-------------------------

ifc-zn-chg

Interface experienced a zone change:

    この理由は、親インターフェイスがゾーンに参加またはゾーンから離脱したためにフローが終了すると表示されます。

Recommendations:

    対処不要です。

Syslogs:

    302014、302016、302018、302021、302304

-------------------------

ike-pkt-with-bad-spi

Flow removed for IKE packet with corrupted or expired SPI:

    SPI の破損または期限切れのためにこのフロー内の IKE パケットがドロップされると、このカウンタが増加し、フローがドロップされます。

Recommendations:

    パケットの発信元の詳細については syslog を確認してください。この状況は正常であり、一時的である場合があります。ドロップが続く場合は、TAC に連絡してさらに調査してください。

Syslogs:

    753001

-------------------------

inspect-fail

Inspection failure:

    このカウンタは、アプライアンスが接続に対して NP によって実行されるプロトコル検査を有効にできない場合に増加します。これは、メモリ割り当ての失敗が原因であるか、または ICMP エラーメッセージの場合、アプライアンスが、ICMP エラーメッセージに埋め込まれたフレームに関連する確立された接続を検出できないことが原因である可能性があります。

推奨事項：

    システムメモリの使用状況を確認してください。For ICMP error message, if the cause is an attack, you can deny the host using the ACLs.

Syslogs:

313004（ICMP エラーの場合）。

-------------------------

inspect-scansafe-server-not-reachable

Scansafe server is not configured or the cloud is down:

    scansafe サーバーの IP が scansafe 一般オプションで指定されていないか、scansafe サーバーに到達できません。

Recommendations:

    このカウンタは情報提供であり、予想される動作です。

Syslogs:

    なし。

-------------------------

invalid-geneve-segment-id

Invalid Geneve segment-id:

    このカウンタは、セキュリティアプライアンスがフローに付加された無効な Geneve セグメント ID を検出すると増加します。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

invalid-map-address-port

Invalid MAP address/port combination:

    MAP（アドレスとポートのマッピング）ドメインの基本マッピングルールに一致するアドレスを持つパケットのエンコーディングに一貫性がないか、使用されているポート番号が割り当てられた範囲内にありません。

推奨事項：

    MAP BR と CE の設定を確認して、同じ MAP ドメイン内で一貫していることを確認してください。Note that this can also be caused by a rouge MAP CE that maliciously tries to use an unallotted port.

Syslogs:

    305019、305020

-------------------------

invalid-peer-nve

Invalid peer NVE:

    このカウンタは、セキュリティアプライアンスがフローのピア NVE の IP アドレスおよび MAC アドレスの取得に失敗すると増加します。

推奨事項：

    ピア NVE が NVE に設定済みまたは学習済みであることを確認してください。

Syslogs:

    なし。

-------------------------

invalid-vxlan-segment-id

Invalid VXLAN segment-id:

    このカウンタは、セキュリティアプライアンスがフローに付加された無効な VXLAN セグメント ID を検出すると増加します。

推奨事項：

    なし。

Syslogs:

    なし。

-------------------------

ips-conn-timeout

IPS CONN タイムアウト：

    この理由は、接続タイマーの期限が切れたために、最適化された状態追跡軽量 TCP フローが終了すると表示されます。

Recommendations:

    これらが確立するのに時間がかかる有効なセッションである場合、接続は初期タイムアウトを増分します。

Syslogs:

    302014

-------------------------

ips-fail-close

IPS fail-close:

    この理由は、IPS カードがダウンし、IPS 検査でフェールクローズオプションが使用されたため、フローが終了すると表示されます。

Recommendations:

    IPS カードを確認して動作させてください

Syslogs:

    420001

-------------------------

ips-license-disabled-fail-close

IPS module license disabled:

    この理由は、IPS モジュールライセンスが無効になっていて、IPS 検査でフェールクローズオプションが使用されたときにフローが終了すると表示されます。

Recommendations:

    IPS モジュールライセンスが有効なアクティベーションキーを適用してください。

Syslogs:

    420008

-------------------------

ips-request

Flow terminated by IPS:

    この理由は、IPS モジュールの要求に応じてフローが終了すると表示されます。

Recommendations:

    IPS モジュールの syslog とアラートを確認してください。

Syslogs:

    420002

-------------------------

ips-syn-timeout

IPS SYN Timeout:

    この理由は、初期タイマーの期限が切れたために、最適化された状態追跡軽量 TCP フローが終了すると表示されます。

Recommendations:

    これらが確立するのに時間がかかる有効なセッションである場合、接続は初期タイムアウトを増分します。

Syslogs:

    302014

-------------------------

ipsec-detunnel-fail

IPsec detunnel processing failed:

  このカウンタは、クリアテキストフローが IPSec トンネルフロー処理に失敗すると増加します。

推奨事項：

    次のコマンドを使用して、より具体的なパケットドロップを確認してください。

    show asp drop

Syslogs:

    なし

-------------------------

ipsec-selector-failure

IPSec VPN inner policy selector mismatch detected:

    このカウンタは、トンネルに設定されたポリシーと一致しない内部 IP ヘッダーを含む IPSec パケットが受信されると増加します。

推奨事項：

    トンネルの暗号 ACL が正しいこと、および許容可能なすべてのパケットがトンネル ID に含まれていることを確認してください。Verify that the box is not under attack if this message is repeatedly seen.

Syslog：

    402116

-------------------------

ipsec-spoof-detect

IPSec spoof packet detected:

    このカウンタは、アプライアンスが暗号化されているはずにもかかわらず暗号化されていないパケットを受信すると、増加します。パケットは、アプライアンスで設定および確立された IPSec 接続の内部ヘッダー セキュリティ ポリシー チェックと一致しましたが、暗号化されずに受信されました。これはセキュリティの問題です。

推奨事項：

    ネットワークトラフィックを分析して、スプーフィングされた IPSec トラフィックの送信元を特定します。

Syslogs:

    402117

-------------------------

loopback

Flow is a loopback:

    この理由は、次の条件によりフローが終了すると表示されます：1）フローに U ターントラフィックが存在する場合、2）'same-security-traffic permit intra-interface' が設定されていない場合。

推奨事項：

    インターフェイスで U ターントラフィックを許可するには、'same-security-traffic permit intra-interface' を使用してインターフェイスを設定します。

Syslogs:

    なし。

-------------------------

max-retries-of-retransmission-exceeded

Maximum retries of retransmission exceeded:

    TCP パケットが再送信の最大再試行回数を超え、ピアからの応答がなく、接続が切断されたため、接続が切断されました。

推奨事項：

    なし。

Syslogs:

    302014

-------------------------

mcast-entry-removed

Multicast entry removed:

    パケットがマルチキャストフローに一致して到着しましたが、マルチキャストサービスが無効になっているか、フローが構築された後に再有効化されました。

    - OR -

    マルチキャストエントリが削除されたため、フローがクリーンアップされていますが、パケットはデータパスに再注入されます。

推奨事項：

    マルチキャストが無効になっている場合は再有効化してください。

    - OR -

    対処不要です。

Syslogs:

    なし

-------------------------

mcast-intrf-removed

Multicast interface removed:

    出力インターフェイスがマルチキャストエントリから削除されました。

    - OR -

    すべての出力インターフェイスがマルチキャストエントリから削除されました。

推奨事項：

    対処不要です。

    - OR -

    このグループに受信者がいないことを確認してください。

Syslogs:

    なし

-------------------------

nat-failed

NAT failed:

    IP またはトランスポートヘッダーを変換するための xlate の作成に失敗しました。

推奨事項：

    NAT が不要な場合は、"nat-control" を無効にしてください。Otherwise, use the "static", "nat" or "global" command to configure NAT policy for the dropped flow. For dynamic NAT, ensure that each "nat" command is paired with at least one "global" command. Use "show nat" and "debug pix process" to verify NAT rules.

Syslogs:

    305005、305006、305009、305010、305011、305012

-------------------------

nat-rpf-failed

NAT reverse path failed:

    変換されたホストの実際のアドレスを使用して、変換されたホストに接続しようとして拒否されました。

推奨事項：

    NAT 経由のホストと同じインターフェイス上にない場合は、実際のアドレスの代わりにマップされたアドレスを使用してホストに接続してください。Also, enable the appropriate inspect command if the application embeds IP address.

Syslogs:

    305005

-------------------------

nat64/46-conversion-fail

IPv6 to IPv4 or vice-versa conversion failure:

    この状態は、IPv6 トラフィックを IPv4 へ、またはその逆への変換に失敗したときに発生します。

推奨事項：

    なし。

Syslog：

    なし。

-------------------------

need-ike

Need to start IKE negotiation:

    このカウンタは、暗号化を必要とするものの確立された IPSec セキュリティ アソシエーションを持たないパケットをアプライアンスが受信すると増加します。これは通常、LAN-to-LAN IPSec 設定に見られる正常な状態です。この指示により、アプライアンスは宛先ピアとの　ISAKMP ネゴシエーションを開始します。

推奨事項：

    アプライアンスで IPSec LAN-to-LAN を設定している場合、この表示は正常であり、問題を示すものではありません。ただし、このカウンタが急速に増加する場合は、ISAKMP ネゴシエーションの完了を妨げる暗号設定エラーまたはネットワークエラーが発生している可能性があります。

    宛先ピアと通信可能であることを確認し、'show running-config' コマンドを使用して、暗号化設定を確認してください。

Syslogs:

    なし

-------------------------

no-adjacency

No valid adjacency:

    このカウンタは、有効な出力隣接関係がない既存のフローのパケットをセキュリティアプライアンスが受信すると増加します。This can occur if the nexthop is no longer reachable or if a routing change has occurred typically in a dynamic routing environment.

推奨事項：

    対処不要です。

Syslog：

    なし

-------------------------

no-inspect

Failed to allocate inspection:

    このカウンタは、セキュリティアプライアンスが、接続の作成時にランタイム検査のデータ構造を割り当てに失敗すると増加します。接続が切断されます。

推奨事項：

    このエラー状態は、セキュリティアプライアンスのシステムメモリが不足すると発生します。Please check the current available free memory by executing the "show memory" command.

Syslogs:

    なし

-------------------------

no-ipv6-ipsec

IPSec over IPv6 unsupported:

    このカウンタは、アプライアンスが IPSec ESP パケット、IPSec NAT-T ESP パケット、または IP バージョン 6 ヘッダーにカプセル化された IPSec over UDP ESP パケットを受信すると増加します。The appliance does not currently support any IPSec sessions encapsulated in IP version 6.

推奨事項：

    なし

Syslogs:

    なし

-------------------------

no-route-to-peer-nve

No route to peer NVE:

    このカウンタは、セキュリティアプライアンスがピア NVE へのネクストホップを見つけられなかったときに増加します。

推奨事項：

    送信元インターフェイスを介してピア NVE が到達可能であることを確認してください。

Syslogs:

    なし。

-------------------------

no-valid-nve-ifc

No valid NVE interface:

    このカウンタは、セキュリティアプライアンスがフローの VNI インターフェイスの NVE インターフェイスを識別できないと増加します。

推奨事項：

    NVE がすべてのインターフェイスに設定されていることを確認してください。

Syslogs:

    なし。

-------------------------

non_tcp_syn

non-syn TCP:

    この理由は、最初のパケットが SYN パケットではないと TCP フローが終了すると表示されます。

Recommendations:

    なし

Syslogs:

    なし

-------------------------

np-context-removed

NP virtual context removed:

    このカウンタは、フローに関連付ける仮想コンテキストが削除されていると増加します。This could happen in multi-core environment when one CPU core is in the process of destroying the virtual context, and another CPU core tries to create a flow in the context.

推奨事項：

    特に対処の必要はありません。

Syslog:

    なし。

-------------------------

np-midpath-cp-event-failure

NP midpath CP event failure:

    これは、CP に送信できなかった重大なミッドパスイベントのカウンタです。

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

Syslog:

    なし。

-------------------------

np-midpath-service-failure

NP midpath service failure:

    これは、重大なミッドパスサービスエラーの一般的なカウンタです。

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

Syslog:

    なし。

-------------------------

np-socket-block-conv-failure

NP socket block conversion failure:

    このカウンタは、ソケットブロックの変換に失敗すると増加します。

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

Syslog:

    なし。

-------------------------

np-socket-conn-not-accepted

A new socket connection was not accepted:

    このカウンタは、セキュリティアプライアンスによって受け入れられない新しいソケット接続ごとに増加します。

推奨事項：

    通常の操作の一部として、このカウンタの増加を確認することができます。ただし、カウンタが急速に増加し、ソケットベースのアプリケーションに大きな誤動作がある場合は、ソフトウェアの欠陥が原因である可能性があります。問題をさらに調査するには、Cisco TAC に連絡してください。

Syslog:

    なし。

-------------------------

np-socket-data-move-failure

NP socket data movement failure:

    このカウンタは、ソケットデータ移動エラーが発生すると増加します。

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

Syslog:

    なし。

-------------------------

np-socket-failure

NP socket failure:

    これは、重大なソケット処理エラーの一般的なカウンタです。

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

Syslog:

    なし。

-------------------------

np-socket-new-conn-failure

NP socket new connection failure:

    このカウンタは、新しいソケットの接続が失敗すると増加します。

推奨事項：

    これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。