Syslog メッセージ 302003 ~ 342008

この章は、次の項で構成されています。

メッセージ 302003 ~ 319004

この章では、302003 から 319004 までのメッセージについて説明します。

302003

エラーメッセージ %ASA-6-302003: Built H245 connection for foreign_address outside_address /outside_port local_address inside_address /inside_port

説明 H.245 接続が outside_address から inside_address に向けて開始されました。Secure Firewall ASA は、Intel Internet Phone の使用を検出しました。外部ポート(outside_port)は、外部から Secure Firewall ASA の接続にしか表示されません。ローカル ポート値(inside_port)は、内部インターフェイスで開始された接続にしか表示されません。

推奨アクション必要なし。

302004

エラーメッセージ %ASA-6-302004: Pre-allocate H323 UDP backconnection for foreign_address outside_address /outside_port to local_address inside_address /inside_port

説明 H.323 UDP バック接続がローカル アドレス(inside_address)から外部アドレス(outside_address)に事前割り当てされました。Secure Firewall ASA は、Intel Internet Phone の使用を検出しました。外部ポート(outside_port)は、Secure Firewall ASA外部からの接続にしか表示されません。ローカル ポート値(inside_port)は、内部インターフェイスで開始された接続にしか表示されません。

推奨アクション必要なし。

302010

エラーメッセージ %ASA-6-302010: connections in use, connections most used

説明使用中の接続数と最も使用されている接続数に関する情報を提供します。

  • connections:接続数

推奨アクション必要なし。

302012

エラーメッセージ %ASA-6-302012: Pre-allocate H225 Call Signalling Connection for faddr IP_address /port to laddr IP_address

説明 H.225 二次チャネルは事前割り当て済みです。

推奨アクション必要なし。

302013

エラーメッセージ%ASA-6-302013: Built {inbound|outbound} [Probe] TCP connection_id for interface :real-address /real-port (mapped-address/mapped-port ) [(idfw_user )] to interface :real-address /real-port (mapped-address/mapped-port ) [(idfw_user )] [(user )]

説明 2 つのホスト間に TCP 接続スロットが作成されました。

  • probe:TCP 接続がプローブ接続であることを示します

  • connection_id:一意の識別子
  • interfacereal-addressreal-port:実際のソケット
  • mapped-address、mapped-port:マッピングされたソケット
  • user:ユーザーの AAA の名前
  • idfw_user:アイデンティティ ファイアウォールのユーザー名

inbound が表示されている場合、元の制御接続は外部から開始されています。たとえば、FTP の場合、元の制御チャネルが着信であれば、すべてのデータ転送チャネルは着信です。outbound が表示されている場合、元の制御接続は内部から開始されています。

推奨アクション必要なし。

302014

エラーメッセージ %ASA-6-302014: Teardown [Probe] TCP connection id for interface :real-address /real-port [(idfw_user )] to interface :real-address /real-port [(idfw_user )] duration hh:mm:ss bytes bytes [reason [from teardown-initiator]] [(user )]

説明 2 つのホスト間の TCP 接続が削除されました。メッセージの値は次のとおりです。

  • probe:TCP 接続がプローブ接続であることを示します

  • id :一意の識別子

  • interface、real-address、real-port:実際のソケット

  • duration:接続のライフタイム

  • bytes接続中のデータ転送量

  • User:ユーザーの AAA の名前

  • idfw_user:アイデンティティ ファイアウォールのユーザー名

  • reason:接続終了の原因となったアクションreason 変数には、次の表に示されている TCP 終了の原因の 1 つが設定されています。

  • teardown-initiator:切断を開始した側のインターフェイス名。

表 1. TCP 終了の原因

理由

説明

Conn-timeout

非アクティビティ タイマーの期限切れのため、フローが終了したときに接続が終了しました。

Deny Terminate

フローは、アプリケーション インスペクションによって終了されました。

Failover primary closed

アクティブ装置から受信したメッセージが原因で、フェールオーバー ペアのスタンバイ装置が接続を削除しました。

FIN Timeout

最終 ACK を 10 分間待機した後、またはハーフクローズ タイムアウト後の強制終了です。

Flow closed by inspection

フローは、検査機能によって終了されました。

Flow terminated by IPS

フローは、IPS によって終了されました。

Flow reset by IPS

フローは、IPS によってリセットされました。

Flow terminated by TCP Intercept

フローは、TCP 代行受信によって終了されました。

Flow timed out

フローがタイムアウトしました。

Flow timed out with reset

フローがタイムアウトしましたが、リセットされました。

Flow is a loopback

フローはループバックです。

Free the flow created as result of packet injection

Packet Tracer 機能によって Secure Firewall ASA を介してシミュレート パケットが送信されたため、接続が確立されました。

Invalid SYN

SYN パケットが無効でした。

IPS fail-close

フローは、IPS カードのダウンのため終了されました。

No interfaces associated with zone

「no nameif」または「no zone-member」がインターフェイス メンバーのいないゾーンを離れた後、フローが切断されました。

No valid adjacency

Secure Firewall ASAが隣接情報を取得しようとしましたが、ネクスト ホップの MAC アドレスを取得できなかった場合、このカウンタが増分します。パケットはドロップされます。

Pinhole Timeout

Secure Firewall ASA がセカンダリ フローを開始しましたが、タイムアウト間隔内にこのフローにパケットが渡されなかったためにフローが削除されたことを報告するため、このカウンタが増分します。セカンダリ フローの例としては、FTP コントロール チャネル上でネゴシエーションの成功後に作成される FTP データ チャネルがあります。

Probe maximum retries of retransmission exceeded

TCP パケットが再送信の最大プローブ再試行回数を超えたため、接続が切断されました。

Probe maximum retransmission time elapsed

TCP パケットの最大プローブ時間が経過したため、接続が切断されました。

Probe received RST

プローブ接続によりサーバーから RST を受信したため、接続が切断されました。

Probe received FIN

プローブ接続によりサーバーから FIN を受信したため、FIN の終了プロセスが完了し、接続が切断されました。

Probe completed

プローブ接続が成功しました。

Route change

Secure Firewall ASA が低コスト(より良いメトリック)ルートを追加した場合、着信パケットが新しいルートに一致すると、ユーザー設定のタイムアウト値(floating-conn)後に既存の接続が切断されます。後続のパケットは、良好なメトリックを持つインターフェイスから接続を再構築します。コストが小さいルートの追加がアクティブ フローに影響を与えることを防ぐため、floating-conn 設定タイムアウト値を 0:0:0 に設定できます。

SYN Control

バック チャネル開始が誤った側から発生しました。

SYN Timeout

3 ウェイ ハンドシェイクの完了を 30 秒間待機した後の強制終了です。

TCP bad retransmission

不良 TCP 再送が原因で接続は終了しました。

TCP FINs

正常なクローズダウン シーケンスが発生しました。

TCP Invalid SYN

無効な TCP SYN パケットです。

TCP Reset - APPLIANCE

フローは、Secure Firewall ASA によって TCP リセットが生成された場合に終了します。

TCP Reset - I

内部からリセットされました。

TCP Reset - O

外部からリセットされました。

TCP segment partial overlap

部分的に重複するセグメントが検出されました。

TCP unexpected window size variation

TCP ウィンドウ サイズに変動があるため接続は終了しました。

Tunnel has been torn down

トンネルがダウンしているため、フローは終了しました。

Unauth Deny

許可は、URL フィルタによって拒否されました。

Unknown

不明なエラーが発生しました。

VPN reclassify failed

接続時に VPNトンネルを通過するための再分類に失敗した場合。

Xlate Clear

コマンド ラインが削除されました。

推奨アクション必要なし。

302015

エラーメッセージ %ASA-6-302015: Built {inbound|outbound} UDP connection number for interface_name :real_address /real_port (mapped_address /mapped_port ) [(idfw_user )] to interface_name :real_address /real_port (mapped_address /mapped_port )[(idfw_user )] [(user )]

説明 2 つのホスト間に UDP 接続スロットが作成されました。メッセージの値は次のとおりです。

  • number:一意の識別子
  • interface、real_address、real_port:実際のソケット
  • mapped_address、mapped_port:マッピングされたソケット
  • user:ユーザーの AAA の名前
  • idfw_user:アイデンティティ ファイアウォールのユーザー名

inbound が表示されている場合、元の制御接続は外部から開始されています。たとえば、UDP の場合、元の制御チャネルが着信であれば、すべてのデータ転送チャネルは着信です。outbound が表示されている場合、元の制御接続は内部から開始されています。

推奨アクション必要なし。

302016

エラーメッセージ %ASA-6-302016: Teardown UDP connection number for interface :real-address /real-port [(idfw_user )] to interface :real-address /real-port [(idfw_user )] duration hh :mm :ss bytes bytes [(user )]

説明 2 つのホスト間の UDP 接続スロットが削除されました。メッセージの値は次のとおりです。

  • number:一意の識別子
  • interface、real_address、real_port:実際のソケット
  • time:接続のライフタイム
  • bytes:接続中のデータ転送量
  • id:一意の識別子
  • interface、real-address、real-port:実際のソケット
  • duration:接続のライフタイム
  • bytes:接続中のデータ転送量
  • user:ユーザーの AAA の名前
  • idfw_user:アイデンティティ ファイアウォールのユーザー名

推奨アクション必要なし。

302017

エラーメッセージ %ASA-6-302017: Built {inbound|outbound} GRE connection id from interface :real_address (translated_address ) [(idfw_user )] to interface :real_address /real_cid (translated_address /translated_cid ) [(idfw_user )] [(user )

説明 2 つのホスト間に GRE 接続スロットが作成されました。id は、一意の識別子です。interface、real_address、real_cid タプルは、2 つのシンプレックス PPTP GRE ストリームのうちの 1 つを示します。カッコ付きの translated_addresstranslated_cid タプルは、ネットワーク アドレス変換(NAT)で変換された値を示します。inbound が表示されている場合、接続は着信だけに使用できます。outbound が表示されている場合、接続は発信だけに使用できます。メッセージの値は次のとおりです。

  • id:接続を識別するための一意の番号
  • inbound:制御接続は着信 PPTP GRE フロー用
  • outbound:制御接続は発信 PPTP GRE フロー用
  • interface_name:インターフェイス名
  • real_address:実際のホストの IP アドレス
  • real_cid:接続の変換前のコール ID
  • translated_address:変換後の IP アドレス
  • translated_cid:変換後のコール
  • user:AAA ユーザー名
  • idfw_user:アイデンティティ ファイアウォールのユーザー名

推奨アクション必要なし。

302018

エラーメッセージ %ASA-6-302018: Teardown GRE connection id from interface :real_address (translated_address ) [(idfw_user )] to interface :real_address /real_cid (translated_address /translated_cid ) [(idfw_user )] duration hh :mm :ss bytes bytes [(user )]

説明 2 つのホスト間の GRE 接続スロットが削除されました。interface、real_address、real_port タプルは、実際のソケットを示します。Duration は、接続のライフタイムを示します。メッセージの値は次のとおりです。

  • id:接続を識別するための一意の番号
  • interface:インターフェイス名
  • real_address:実際のホストの IP アドレス
  • real_port:実際のホストのポート番号
  • hh:mm:ss:時:分:秒の形式の時間
  • bytes:GRE セッションで転送された PPP バイトの数
  • reason:接続が終了された原因
  • user:AAA ユーザー名
  • idfw_user:アイデンティティ ファイアウォールのユーザー名

推奨アクション必要なし。

302019

エラーメッセージ %ASA-3-302019: H.323 library_name ASN Library failed to initialize, error code number

説明指摘された ASN ライブラリ(Secure Firewall ASA が H.323 メッセージのデコードに使用するライブラリ)の初期化に失敗しました。Secure Firewall ASA は到着する H.323 パケットのデコードも検査もできません。Secure Firewall ASAは、何も修正を加えずに H.323 パケットが通過できるようにします。次の H.323 メッセージが到着すると、Secure Firewall ASA はライブラリを再度初期化しようとします。

推奨アクションこのメッセージが特定のライブラリに対して始終生成される場合は、Cisco TAC にお問い合わせのうえ、すべてのログ メッセージ(タイムスタンプ付きが望ましい)を送付してください。

302020

エラーメッセージ %ASA-6-302020: Built {in | out} bound ICMP connection for faddr {faddr | icmp_seq_num } [(idfw_user )] gaddr {gaddr | icmp_type } laddr laddr [(idfw_user )] type {type } code {code } Rx [{circular_buffer_size }]

説明 このメッセージは、高速パスで ICMP セッションが確立されたときに生成されます。メッセージの値は次のとおりです。

  • faddr:外部ホストの IP アドレスを指定します
  • gaddr:グローバル ホストの IP アドレスを指定します
  • laddr:ローカル ホストの IP アドレスを指定します
  • idfw_user:アイデンティティ ファイアウォールのユーザー名
  • user:接続が開始されたホストに関連付けられているユーザー名
  • type:ICMP タイプを指定します。
  • code:ICMP コードを指定します。
  • Rx:受信データの循環バッファサイズを指定すると、バッファがいっぱいになったときに、バッファが先頭から順に上書きされます。

推奨アクション必要なし。

302021

エラーメッセージ %ASA-6-302021: Teardown ICMP connection for faddr {faddr | icmp_seq_num } [(idfw_user )] gaddr {gaddr | icmp_type } laddr laddr [(idfw_user )] type {type } code {code } Rx [{circular_buffer_size }]

説明 このメッセージは、高速パスで ICMP セッションが削除されたときに生成されます。メッセージの値は次のとおりです。

  • faddr:外部ホストの IP アドレスを指定します
  • gaddr:グローバル ホストの IP アドレスを指定します
  • laddr:ローカル ホストの IP アドレスを指定します
  • idfw_user:アイデンティティ ファイアウォールのユーザー名
  • user:接続が開始されたホストに関連付けられているユーザー名
  • type:ICMP タイプを指定します。
  • code:ICMP コードを指定します。
  • Rx:受信データの循環バッファサイズを指定すると、バッファがいっぱいになったときに、バッファが先頭から順に上書きされます。

推奨アクション必要なし。

302022

エラーメッセージ %ASA-6-302022: Built role stub TCP connection for interface :real-address /real-port (mapped-address /mapped-port ) to interface :real-address /real-port (mapped-address /mapped-port)

説明 TCP ディレクタ/バックアップ/フォワーダ フローが作成されました。

推奨アクション必要なし。

302023

エラーメッセージ %ASA-6-302023: Teardown stub TCP connection for interface :real-address /real-port to interface :real-address /real-port duration hh:mm:ss forwarded bytes bytes reason

説明 TCP ディレクタ/バックアップ/フォワーダ フローが切断されました。

推奨アクション必要なし。

302024

エラーメッセージ %ASA-6-302024: Built role stub UDP connection for interface :real-address /real-port (mapped-address /mapped-port ) to interface :real-address /real-port (mapped-address /mapped-port )

説明 UDP ディレクタ/バックアップ/フォワーダ フローが作成されました。

推奨アクション必要なし。

302025

エラーメッセージ %ASA-6-302025: Teardown stub UDP connection for interface :real-address /real-port to interface :real-address /real-port duration hh:mm:ss forwarded bytes bytes reason

説明 UDP ディレクタ/バックアップ/フォワーダ フローが切断されました。

推奨アクション必要なし。

302026

エラーメッセージ %ASA-6-302026: Built role stub ICMP connection for interface :real-address /real-port (mapped-address ) to interface :real-address /real-port (mapped-address )

説明 ICMP ディレクタ/バックアップ/フォワーダ フローが作成されました。

推奨アクション必要なし。

302027

エラーメッセージ %ASA-6-302027: Teardown stub ICMP connection for interface :real-address /real-port to interface :real-address /real-port duration hh:mm:ss forwarded bytes bytes reason

説明 ICMP ディレクタ/バックアップ/フォワーダ フローが切断されました。

推奨アクション必要なし。

302033

エラーメッセージ %ASA-6-302033:Pre-allocated H323 GUP Connection for faddr interface :foreign address /foreign-port to laddr interface :local-address /local-port

説明 GUP 接続は外部アドレスからローカル アドレスに開始されました。外部ポートは、セキュリティ デバイスの外部からの接続にしか表示されません。ローカル ポート値(内部ポート)は、内部インターフェイスで開始された接続にしか表示されません。

  • interface:インターフェイス名
  • foreign-address:外部ホストの IP アドレス
  • foreign-port:外部ホストのポート番号
  • local-address:ローカル ホストの IP アドレス
  • local-port:ローカル ホストのポート番号

推奨アクション必要なし。

302034

エラーメッセージ %ASA-4-302034: Unable to pre-allocate H323 GUP Connection for faddr interface :foreign address /foreign-port to laddr interface :local-address /local-port

説明モジュールが、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。

  • interface:インターフェイス名
  • foreign-address:外部ホストの IP アドレス
  • foreign-port:外部ホストのポート番号
  • local-address:ローカル ホストの IP アドレス
  • local-port:ローカル ホストのポート番号

推奨アクションこのメッセージが定期的に表示される場合は、無視できます。頻繁に繰り返される場合は、Cisco TAC にお問い合わせください。グローバル プールのサイズを確認して、内部のネットワーク クライアント数と比較できます。または、変換と接続のタイムアウト間隔を短くします。このメッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または増設メモリを購入してみます。

302035

エラー メッセージ %ASA-6-302035: Built {inbound|outbound} SCTP connection conn_id for outside_interface :outside_ip /outside_port (mapped_outside_ip /mapped_outside_port )[([outside_idfw_user ],[outside_sg_info ])] to inside_interface :inside_ip /inside_port (mapped_inside_ip /mapped_inside_port )[([inside_idfw_user ],[inside_sg_info ])] [(user )]

説明 SCTP 状態バイパスが設定されていないときの SCTP フローの作成が記録されます。

  • conn_id:固有の接続 ID
  • outside_interface:セキュリティ レベルが低いインターフェイス
  • outside_ip:ASA でセキュリティ レベルが低い側にあるホストの IP アドレス
  • outside_port:ASA でセキュリティ レベルが低い側にあるホストのポート番号
  • mapped_outside_ip:ASA でセキュリティ レベルが低い側にあるホストのマッピングされている IP アドレス
  • mapped_outside_port:ASA でセキュリティ レベルが低い側にあるホストのマッピングされているポート番号
  • outside_idfw_user:ASA でセキュリティ レベルが低い側にあるホストに関連付けられている IDFW ユーザー名
  • outside_sg_info:ASA でセキュリティ レベルが低い側にあるホストに関連付けられている SGT と SG 名
  • inside_interface:セキュリティ レベルが高いインターフェイス
  • inside_ip:ASA でセキュリティ レベルが高い側にあるホストの IP アドレス
  • inside_port:ASA でセキュリティ レベルが高い側にあるホストのポート番号
  • mapped_inside_ip:ASA でセキュリティ レベルが高い側にあるホストのマッピングされている IP アドレス
  • mapped_inside_port :ASA の高いセキュリティ レベル側のホストのマッピングされているポート番号
  • inside_idfw_user:ASA でセキュリティ レベルが高い側にあるホストに関連付けられている IDFW ユーザー名
  • inside_sg_info :ASA でセキュリティ レベルが高い側にあるホストに関連付けられている SGT と SG 名
  • user:接続が開始されたホストに関連付けられているユーザー名。

推奨アクション必要なし。

302036

951 complete topic

エラー メッセージ %ASA-6-302036: Teardown SCTP connection conn_id for outside_interface :outside_ip /outside_port [([outside_idfw_user ],[outside_sg_info ])] to inside_interface :inside_ip /inside_port [([inside_idfw_user ],[inside_sg_info ])] duration time bytes bytes reason [(user )]

説明 SCTP 状態バイパスが設定されていない場合の SCTP フローの削除の記録です。

  • conn_id:固有の接続 ID
  • outside_interface:セキュリティ レベルが低いインターフェイス
  • outside_ip:ASA でセキュリティ レベルが低い側にあるホストの IP アドレス
  • outside_port:ASA でセキュリティ レベルが低い側にあるホストのポート番号
  • outside_idfw_user:ASA でセキュリティ レベルが低い側にあるホストに関連付けられている IDFW ユーザー名
  • outside_sg_info:ASA でセキュリティ レベルが低い側にあるホストに関連付けられている SGT と SG 名
  • inside_interface:セキュリティ レベルが高いインターフェイス
  • inside_ip:ASA でセキュリティ レベルが高い側にあるホストの IP アドレス
  • inside_port:ASA でセキュリティ レベルが高い側にあるホストのポート番号
  • inside_idfw_user:ASA でセキュリティ レベルが高い側にあるホストに関連付けられている IDFW ユーザー名
  • inside_sg_info :ASA でセキュリティ レベルが高い側にあるホストに関連付けられている SGT と SG 名
  • user:接続が開始されたホストに関連付けられているユーザー名。
  • time:hh:mm:ss で示すフローの存続時間
  • bytes:フローで渡されたバイトの数
  • reason:接続が切断された理由

推奨アクション必要なし。

302302

エラーメッセージ %ASA-3-302302: ACL = deny; no sa created

説明 IPSec プロキシのミスマッチが発生しました。ネゴシエートした SA のプロキシ ホストは、deny access-list コマンド ポリシーに対応します。

推奨アクション コンフィギュレーションの access-list コマンド文を確認します。ピアの管理者にお問い合わせください。

302303

エラーメッセージ %ASA-6-302303: Built TCP state-bypass connection conn_id from initiator_interface :real_ip /real_port (mapped_ip /mapped_port ) to responder_interface :real_ip /real_port (mapped_ip /mapped_port )

説明新しい TCP 接続が作成されました。この接続は、TCP 状態バイパス接続です。このタイプの接続では、すべての TCP 状態チェックと追加のセキュリティ チェックおよび検査がバイパスされます。

推奨アクション標準的なすべての TCP 状態チェックと他のすべてのセキュリティ チェックおよび検査によって TCP トラフィックを保護する必要がある場合は、no set connection advanced-options tcp-state-bypass コマンドを使用して、TCP トラフィックに対してこの機能をディセーブルにできます。

302304

エラーメッセージ %ASA-6-302304: Teardown TCP state-bypass connection conn_id from initiator_interface :ip/port to responder_interface :ip/port duration , bytes , teardown reason .

説明新しい TCP 接続が切断されました。この接続は、TCP 状態バイパス接続です。このタイプの接続では、すべての TCP 状態チェックと追加のセキュリティ チェックおよび検査がバイパスされます。

  • duration:TCP 接続の期間
  • bytes:TCP 接続で転送された合計バイト数
  • teardown reason:TCP 接続の切断原因

推奨アクション標準的なすべての TCP 状態チェックと他のすべてのセキュリティ チェックおよび検査によって TCP トラフィックを保護する必要がある場合は、no set connection advanced-options tcp-state-bypass コマンドを使用して、TCP トラフィックに対してこの機能をディセーブルにできます。

302305

エラー メッセージ %ASA-6-302305: Built SCTP state-bypass connection conn_id for outside_interface :outside_ip /outside_port (mapped_outside_ip /mapped_outside_port )[([outside_idfw_user ],[outside_sg_info ])] to inside_interface :inside_ip /inside_port (mapped_inside_ip /mapped_inside_port )[([inside_idfw_user ],[inside_sg_info ])]

説明 SCTP 状態バイパスが設定されている場合の SCTP フローの作成の記録です。

  • conn_id:固有の接続 ID
  • outside_interface:セキュリティ レベルが低いインターフェイス
  • outside_ip:ASA でセキュリティ レベルが低い側にあるホストの IP アドレス
  • outside_port:ASA でセキュリティ レベルが低い側にあるホストのポート番号
  • mapped_outside_ip:ASA でセキュリティ レベルが低い側にあるホストのマッピングされている IP アドレス
  • mapped_outside_port:ASA でセキュリティ レベルが低い側にあるホストのマッピングされているポート番号
  • outside_idfw_user:ASA でセキュリティ レベルが低い側にあるホストに関連付けられている IDFW ユーザー名
  • outside_sg_info:ASA でセキュリティ レベルが低い側にあるホストに関連付けられている SGT と SG 名
  • inside_interface:セキュリティ レベルが高いインターフェイス
  • inside_ip:ASA でセキュリティ レベルが高い側にあるホストの IP アドレス
  • inside_port:ASA でセキュリティ レベルが高い側にあるホストのポート番号
  • mapped_inside_ip:ASA でセキュリティ レベルが高い側にあるホストのマッピングされている IP アドレス
  • mapped_inside_port :ASA の高いセキュリティ レベル側のホストのマッピングされているポート番号
  • inside_idfw_user:ASA でセキュリティ レベルが高い側にあるホストに関連付けられている IDFW ユーザー名
  • inside_sg_info :ASA でセキュリティ レベルが高い側にあるホストに関連付けられている SGT と SG 名

推奨アクション必要なし。

302306

エラーメッセージ %ASA-6-302306: Teardown SCTP state-bypass connection conn_id for outside_interface :outside_ip /outside_port [([outside_idfw_user ],[outside_sg_info ])] to inside_interface :inside_ip /inside_port [([inside_idfw_user ],[inside_sg_info ])] duration time bytes bytes reason

説明 SCTP 状態バイパスが設定されている場合の SCTP フローの削除の記録です。

  • conn_id:固有の接続 ID
  • outside_interface:セキュリティ レベルが低いインターフェイス
  • outside_ip:ASA でセキュリティ レベルが低い側にあるホストの IP アドレス
  • outside_port:ASA でセキュリティ レベルが低い側にあるホストのポート番号
  • outside_idfw_user:ASA でセキュリティ レベルが低い側にあるホストに関連付けられている IDFW ユーザー名
  • outside_sg_info:ASA でセキュリティ レベルが低い側にあるホストに関連付けられている SGT と SG 名
  • inside_interface:セキュリティ レベルが高いインターフェイス
  • inside_ip:ASA でセキュリティ レベルが高い側にあるホストの IP アドレス
  • inside_port:ASA でセキュリティ レベルが高い側にあるホストのポート番号
  • inside_outside_ip:ASA でセキュリティ レベルが高い側にあるホストのマッピングされている IP アドレス
  • inside_idfw_user:ASA でセキュリティ レベルが高い側にあるホストに関連付けられている IDFW ユーザー名
  • inside_sg_info :ASA でセキュリティ レベルが高い側にあるホストに関連付けられている SGT と SG 名
  • time:hh:mm:ss で示すフローの存続時間
  • bytes:フローで渡されたバイトの数
  • reason:接続が切断された理由

推奨アクション必要なし。

4302310

エラーメッセージ %ASA-4-302310: SCTP packet received from src_ifc:src_ip/src_port to dst_ifc:dst_ip/dst_port contains unsupported Hostname Parameter.

説明 init/init-ack パケットはホスト名パラメータで受信されます。

  • packet init/init-ack:ホスト名パラメータを伝送するメッセージ
  • src-ifc:入力インターフェイスを示します
  • src-ip/src-port:パケットの送信元 IP とポートを示します
  • dst-ifc:出力インターフェイスを示します
  • dst_ip/dst_port:パケットの送信元 IP とポートを示します

推奨アクション ホスト名ではなく、エンドポイントの実際の IP アドレスを使用します。ホスト名パラメータを無効にします。

302311

エラーメッセージ %ASA-4-302311: Failed to create a new protocol connection from ingress interface:source IP/source port to egress interface:destination IP/destination port due to application cache memory allocation failure. The app-cache memory threshold level is threshold% and threshold check is enabled/disabled.

説明アプリケーション キャッシュ メモリ割り当てに失敗したために、新しい接続を作成できませんでした。この障害は、システムのメモリ不足またはシステムがアプリケーション キャッシュ メモリしきい値を超えたことが原因である可能性があります。

  • protocol:接続を作成するために使用されるプロトコルの名前
  • ingress interface:インターフェイス名
  • source IP:送信元 IP アドレス

  • source port:送信元ポート番号

  • egress interface:インターフェイス名

  • destination IP:宛先アドレス

  • destination port:宛先ポート番号

  • threshold%:メモリしきい値のパーセンテージ値

  • enabled/disabled:アプリケーション キャッシュ メモリしきい値機能の有効化/無効化

推奨アクションデバイスでメモリを大量に消費する機能を無効にするか、through-the-box 接続の数を減らします。

303002

エラーメッセージ %ASA-6-303002: FTP connection from src_ifc :src_ip /src_port to dst_ifc :dst_ip /dst_port , user username action file filename

説明クライアントは、FTP サーバーとの間でファイルをアップロードまたはダウンロードしました。

  • src_ifc:クライアントが存在するインターフェイス。
  • src_ip:クライアントの IP アドレス。
  • src_port:クライアント ポート。
  • dst_ifc:サーバーが存在するインターフェイス。
  • dst_ip:FTP サーバーの IP アドレス。
  • dst_port:サーバー ポート。
  • username:FTP ユーザー名。
  • action:保存または取得されたアクション。
  • filename:保存または取得したファイル。

推奨アクション必要なし。

303004

エラーメッセージ %ASA-5-303004: FTP cmd_string command unsupported - failed strict inspection, terminating connection from source_interface :source_address /source_port to dest_interface :dest_address/dest_interface

説明 FTP トラフィックの厳密な FTP 検査が使用された、または FTP 要求メッセージに、デバイスに認識されないコマンドが含まれています。

推奨アクション必要なし。

303005

エラーメッセージ %ASA-5-303005: Strict FTP inspection matched match_string in policy-map policy-name , action_string from src_ifc :sip /sport to dest_ifc :dip /dport

説明 FTP 検査で、設定済みの値(ファイル名、ファイル タイプ、要求コマンド、サーバー、ユーザー名)のいずれかと一致した場合、このメッセージの action_string で指定されたアクションが実行されます。

  • match_string:ポリシー マップ内の match 節
  • policy-name:一致したポリシー マップ
  • action_string:実行するアクション(たとえば、Reset Connection)
  • src_ifc:送信元インターフェイス名
  • sip:送信元 IP アドレス
  • sport:送信元ポート
  • dest_ifc:宛先インターフェイス名
  • dip:宛先 IP アドレス
  • dport:宛先ポート

推奨アクション必要なし。

304001

エラー メッセージ %ASA-5-304001: user@source_address [(idfw_user )] Accessed URL dest_address : url .

説明 指定したホストが指定された URL にアクセスしようとしました。カスタムの HTTP ポリシー マップを使った HTTP 検査を有効にする場合は、以下の可能性があります。GET リクエストのパケットにホスト名パラメータが含まれていない場合、URI を出力する代わりに、%ASA-5-304001: client IP Accessed URL server ip:Hostname not present URI: URI というメッセージが出力されます。URI が大きくて 1 つの Syslog で出力できない場合は、分割して部分的に出力できます。たとえば、URL を複数のチャンクに分割して記録する場合、%ASA-5-304001: client IP Accessed URL server ip: http(/ftp)://hostname/URI_CHUNK1 partial%ASA-5-304001: client IP Accessed URL server ip: partial URI_CHUNK1 partial............%ASA-5-304001: client IP Accessed URL server ip: partial URI_CHUNKn というメッセージが出力されます。URI の制限は 1024 バイトです。現在のパケットで最初または最後に部分的な URI が含まれている場合は、上記で説明したとおりのロジックを使用します。

推奨アクション必要なし。

304002

エラーメッセージ %ASA-5-304002: Access denied URL chars SRC IP_address [(idfw_user )] DEST IP_address : chars

説明 送信元アドレスから指定された URL または FTP サイトへのアクセスが拒否されました。

推奨アクション必要なし。

304003

エラーメッセージ %ASA-3-304003:URL Server IP_address timed out URL url

説明 URL サーバーがタイムアウトになっています。

推奨アクション必要なし。

304004

エラーメッセージ %ASA-6-304004: URL Server IP_address request failed URL url

説明 Websense サーバー要求が失敗しました。

推奨アクション必要なし。

304005

エラーメッセージ %ASA-7-304005: URL Server IP_address request pending URL url

説明 Websense サーバー要求が保留中です。

推奨アクション必要なし。

304006

エラー メッセージ %ASA-3-304006: URL Server IP_address not responding

説明 Websense サーバーはアクセスに使用できません。ASA は、Websense サーバーがインストールされている唯一のサーバーである場合は同サーバーに、または複数のサーバーがある場合は別のサーバーにアクセスしようとします。

推奨アクション必要なし。

304007

エラー メッセージ %ASA-2-304007: URL Server IP_address not responding, ENTERING ALLOW mode.

説明 filter コマンドの allow オプションを使用したところ、Websense サーバーが応答していません。ASA は、サーバーが使用できない間すべての Web 要求がフィルタリングせずに継続できるようにします。

推奨アクション必要なし。

304008

エラー メッセージ %ASA-2-304008: LEAVING ALLOW mode, URL Server is up.

説明 filter コマンドの allow オプションを使用したところ、ASA は以前は応答しなかった Websense サーバーから応答メッセージを受け取りました。この応答メッセージにより、ASA は allow モードを終了します。これで URL フィルタリング機能が再びイネーブルになります。

推奨アクション必要なし。

304009

エラー メッセージ %ASA-7-304009: Ran out of buffer blocks specified by url-block command

説明 URL 保留バッファ ブロックが領域を使い切りました。

推奨アクション url-block block block_size コマンドを入力して、バッファブロックサイズを変更します

305005

エラー メッセージ %ASA-3-305005: No translation group found for protocol src interface_name: source_address/source_port [(idfw_user )] dst interface_name: dest_address /dest_port [(idfw_user )]

説明 パケットがどの発信 nat コマンド規則とも一致しません。指摘された送信元システムおよび宛先システムに NAT が設定されていない場合、メッセージは頻繁に生成されます。

推奨アクション このメッセージはコンフィギュレーション エラーを示します。送信元ホストにダイナミック NAT が望ましい場合は、nat コマンドが送信元 IP アドレスと一致することを確認します。送信元ホストにスタティック NAT が望ましい場合は、static コマンドのローカル IP アドレスが一致することを確認します。送信元ホストに NAT が望ましくない場合は、NAT 0 ACL にバインドされている ACL を確認します。

305006

エラーメッセージ %ASA-3-305006: {outbound static|identity|portmap|regular) translation creation failed for protocol src interface_name:source_address/source_port [(idfw_user )] dst interface_name:dest_address/dest_port [(idfw_user )]

説明 ICMP エラーインスペクションが有効になり、次の条件が満たされました。

  • プロトコルの異なる順方向フローと逆方向フローを使用したデバイスを介して確立された接続がありました。(順方向のフローが UDP または TCP で、逆方向のフローが ICMP である場合など)。プロトコルの切り替えは、受信者またはパス内の中間デバイスのいずれかが ICMP エラーメッセージ(タイプ 3 コード 3 など)を返したときに発生します。

  • デバイスがすべての ICMP メッセージタイプに PAT を適用しないため、リバースフローのパケットに一致し、外部ヘッダーの IP アドレスの変換に失敗した動的 NAT/PAT ステートメントがありました。PAT ICMP エコーおよびエコー応答パケット(タイプ 8 および 0)のみを適用します。

推奨アクション必要なし。

305007

エラーメッセージ %ASA-6-305007: addrpool_free(): Orphan IP IP_address on interface interface_number

説明 ASA が、自分のグローバル プールで見つけられないアドレスを変換しようとしました。ASA は、アドレスが削除されているとして、要求を廃棄します。

推奨アクション必要なし。

305008

エラー メッセージ %ASA-3-305008: Free unallocated global IP address.

説明 ASA カーネルは、割り当てられていないグローバル IP アドレスを解放してアドレス プールに戻そうとしたときに、不整合状態を検出しました。この異常状態は、ASA がステートフル フェールオーバー セットアップを実行中で、一部の内部状態がアクティブ装置とスタンバイ装置との間で瞬間的に同期していない場合に発生する可能性があります。この状態は破局的なものではなく、同期は自動的に回復します。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

305009

エラーメッセージ %ASA-6-305009: Built {dynamic|static} translation from interface_name [(acl-name)]:real_address [(idfw_user )] to interface_name :mapped_address

説明アドレス変換スロットが作成されました。スロットは、送信元アドレスをローカル側からグローバル側に変換します。また、逆方向では、宛先アドレスをグローバル側からローカル側に変換します。

推奨アクション必要なし。

305010

エラーメッセージ %ASA-6-305010: Teardown {dynamic|static} translation from interface_name :real_address [(idfw_user )] to interface_name :mapped_address duration time

説明アドレス変換スロットが削除されました。

推奨アクション必要なし。

305011

エラーメッセージ %ASA-6-305011: Built {dynamic|static} {TCP|UDP|ICMP} translation from interface_name :real_address/real_port [(idfw_user )] to interface_name :mapped_address/mapped_port

説明 TCP、UDP、または ICMP アドレス変換スロットが作成されました。スロットは、ローカル側からグローバル側に送信元ソケットを変換します。逆に、スロットは、グローバル側からローカル側に宛先ソケットを変換します。

推奨アクション必要なし。

305012

エラーメッセージ %ASA-6-305012: Teardown {dynamic|static} {TCP|UDP|ICMP} translation from interface_name [(acl-name )]:real_address /{real_port |real_ICMP_ID } [(idfw_user )] to interface_name :mapped_address /{mapped_port |mapped_ICMP_ID } duration time

説明アドレス変換スロットが削除されました。

推奨アクション必要なし。

305013

エラーメッセージ %ASA-5-305013: Asymmetric NAT rules matched for forward and reverse flows; Connection protocol src interface_name :source_address /source_port [(idfw_user )] dst interface_name :dst_address /dst_port [(idfw_user )] denied due to NAT reverse path failure.

説明実際のアドレスを使用して、マップされたホストへの接続を試みましたが、拒否されました。

推奨アクション NAT を使用するホストと同じインターフェイス上にないホストに接続する場合は、実際のアドレスではなく、マップされたアドレスを使用します。また、アプリケーションに IP アドレスが埋め込まれている場合は、inspect コマンドをイネーブルにします。

305014

エラーメッセージ %ASA-6-305014: Allocated block of ports for translation from real_interface :real_host_ip /real_source_port to real_dest_interface :real_dest_ip /real_dest_port.

説明 CGNAT の「block-allocation」が設定されている場合、この syslog は新しいポート ブロックの割り当て時に生成されます。

推奨アクションなし。

305015

エラーメッセージ %ASA-6-305015: Released block of ports for translation from real_interface :real_host_ip /real_source_port to real_dest_interface :real_dest_ip /real_dest_port.

説明 CGNAT の「block-allocation」が設定されている場合、この syslog は割り当てられたポートブロックのリリース時に生成されます。

推奨アクションなし。

305016

エラーメッセージ %ASA-3-305016: Unable to create protocol connection from real_interface :real_host_ip /real_source_port to real_dest_interface :real_dest_ip /real_dest_port due to reason .

説明ホストごとの最大ポート ブロックの制限数に達しているか、またはポート ブロックが枯渇しています。

  • reason:次のいずれかになります。
    • ホストごとの PAT ポート ブロック制限 value に達した
    • PAT プール内のポート ブロックの枯渇

推奨アクション ホストごとの PAT ポート ブロック制限に達した場合は、次のコマンドを入力して、ホストごとの最大ブロック制限数を確認します。


xlate block-allocation maximum-per-host 4

PAT プール内のポート ブロックの枯渇の場合は、プールのサイズを増やすことを推奨します。また、次のコマンドを入力して、ブロック サイズも確認してください。


xlate block-allocation size 512

305017

エラーメッセージ %ASA-3-305017: Pba-interim-logging: Active ICMP block of ports for translation from <source device IP> to <destination device IP>/<Active Port Block>

説明 CGNAT 一時ロギング機能がオンになっている場合、この Syslog により、特定のソース IP アドレスからその時点の宛先 IP アドレスへのアクティブポートブロックが示されます。

推奨処置なし。

305018

エラーメッセージ % ASA-6-305018: MAP translation from src_ifc:src_ip/src_port-dst_ifc:dst_ip/dst_port to src_ifc:translated_src_ip/src_port-dst_ifc:translated_dst_ip/dst_port

説明 確立されている接続に MAP スタイルのアドレス変換が適用され、その送信元と宛先が変換されました。

例:

%ASA-6-305018: MAP translation from inside:2001:DB8:0000:0000:0000:0000:0000:0002/57964-outside:2001:DB8:FFFF:0000:0000:0000:0000:0001/22 to inside:192.168.101.210/57964-outside:192.168.100.203/22

推奨処置なし。

305019

エラーメッセージ % ASA-3-305019: MAP node address ip/port has 不整合 port Set ID encoding

説明 パケットのアドレスは MAP の基本的なマッピングルールに一致しますが(つまり、変換されることを意味します)、アドレス内でエンコードされたポートセット ID には(RFC7599 との)一貫性がありません。これは、このパケットの発信元である MAP ノードのソフトウェア障害が原因である可能性があります。

%ASA-3-305019: MAP node address 2001:DB8:0000:FFFF:0000:0000:0000:0002/57964 has inconsistent Port Set ID encoding

推奨処置なし。

305020

エラーメッセージ % ASA-3-305020: MAP node with address ip is not allowed to use port port\n

説明 パケットには、MAP の基本的なマッピングルール(つまり、変換されることを意味する)に一致するアドレスがありますが、関連するポートは、そのアドレスに割り当てられた範囲内にありません。これは、このパケットの発信元である MAP ノードの設定に誤りがある可能性が高いことを意味します。

例:

%ASA-3-305020: MAP node with address 2001:DB8:0000:0000:0000:0000:0000:0002 is not allowed to use port 37964\n

推奨処置なし。

305021

エラーメッセージ %ASA-4-305021: Ports exhausted in pre-allocated PAT pool IP mapped_ip_address for host real_host_ip. Allocating from new PAT pool IP mapped_ip_address.

説明 このメッセージは、クラスタノードのスティッキ IP のすべてのポートが使い果たされ、空きポートで次に使用可能な IP に割り当てが移動した場合に生成されます。

例:

%ASA-4-305021: Ports exhausted in pre-allocated PAT pool IP 174.0.1.1 for host 192.168.1.20. Allocating from new PAT pool IP 174.0.1.2.

推奨アクションなし。

305022

エラーメッセージ %ASA-4-305022: Cluster unit unit_name has been allocated num_of_port_blocks port blocks for PAT usage. All units should have at least min_num_of_port_blocks port blocks.

説明 このメッセージは、ノードがクラスタに参加し、ポートブロックの共有がまったくないか、または等しくない場合に、ノードで生成されます。

%ASA-4-305022: Cluster unit ASA-4 has been allocated 0 port blocks for PAT usage. All units should have at least 32 port blocks.

%ASA-4-305022: Cluster unit ASA-4 has been allocated 12 port blocks for PAT usage. All units should have at least 32 port blocks.

推奨アクションなし。

308001

エラーメッセージ %ASA-6-308001: console enable password incorrect for number tries (from IP_address )

説明これは Secure Firewall ASA 管理メッセージです。このメッセージは、特権モードに入るためにユーザーがパスワードを指摘された回数だけ誤って入力した後に表示されます。最大試行回数は 3 回です。

推奨アクション パスワードを確認し、再度試行します。

308002

エラーメッセージ %ASA-4-308002: static global_address inside_address netmask netmask overlapped with global_address inside_address

説明 1 つまたは複数の static コマンド文の IP アドレスが重複しています。global_address は低セキュリティ レベルのインターフェイス上のアドレスであるグローバル アドレスであり、inside_address は高セキュリティ レベルのインターフェイス上のアドレスであるローカル アドレスです。

推奨アクション show static コマンドを使用してコンフィギュレーションの static コマンド文を表示し、重複しているコマンドを修正します。最も一般的な重複は、10.1.1.0 などのネットワーク アドレスを指定して、別の static コマンドで 10.1.1.5 などその範囲内にあるホストを指定する場合に発生します。

308003

エラーメッセージ % ASA-4-308003: WARNING: the enable password is not configured

説明 イネーブルモード(権限レベル 2 以上)に入る際にイネーブルパスワードが設定されていない場合は、権限レベル 15 のイネーブルパスワードを設定する必要があります。

推奨アクション イネーブルパスワードを設定します。許可されるパスワードの長さは 3 ~ 15 です。

308004

エラーメッセージ % ASA-4-308004: the enable password has has configured by user admin

説明初めてイネーブルパスワードを設定している。このメッセージは、既存のイネーブルパスワードを変更すると表示されません。

推奨アクションなし。

311001

エラーメッセージ %ASA-6-311001: LU loading standby start

説明スタンバイ Secure Firewall ASA が最初にオンラインになるときに、ステートフル フェールオーバー アップデート情報がスタンバイ Secure Firewall ASA に送信されました。

推奨アクション必要なし。

311002

エラーメッセージ %ASA-6-311002: LU loading standby end

説明ステートフル フェールオーバー アップデート情報が、スタンバイ Secure Firewall ASA への送信を停止しました。

推奨アクション必要なし。

311003

エラーメッセージ %ASA-6-311003: LU recv thread up

説明アップデート肯定応答がスタンバイ Secure Firewall ASA から受信されました。

推奨アクション必要なし。

311004

エラーメッセージ %ASA-6-311004: LU xmit thread up

説明ステートフル フェールオーバー アップデート情報が、スタンバイ Secure Firewall ASA に送信されました。

推奨アクション必要なし。

312001

エラーメッセージ %ASA-6-312001: RIP hdr failed from IP_address : cmd=string , version=number domain=string on interface interface_name

説明 Secure Firewall ASA が応答以外のオペレーション コードを持つ RIP メッセージを受信し、メッセージはこのインターフェイスで予想されるバージョン番号とは異なる番号を持ち、ルーティング ドメインのエントリは非ゼロでした。別の RIP デバイスは Secure Firewall ASA と通信するように正しく設定されていない可能性があります。

推奨アクション必要なし。

313001

エラーメッセージ %ASA-3-313001: Denied ICMP type=number , code=code from IP_address on interface interface_name

説明 icmp コマンドをアクセス リストとともに使用している場合、最初に一致したエントリが許可エントリであれば、ICMP パケットは処理を続行します。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しなかった場合、Secure Firewall ASA は ICMP パケットを廃棄し、このメッセージを生成します。icmp コマンドは、インターフェイスへの ping をイネーブルまたはディセーブルにします。ping の実行がディセーブルの場合、Secure Firewall ASAはネットワーク上で検出できません。この機能は、設定可能なプロキシ ping とも呼ばれます。

推奨アクション ピア デバイスの管理者にお問い合わせください。

313004

エラーメッセージ %ASA-4-313004:Denied ICMP type=icmp_type , from source_address on interface interface_name to dest_address :no matching session

説明ステートフル ICMP 機能で追加されたセキュリティ チェックのため、ICMP パケットが Secure Firewall ASA によって廃棄されました。通常、これに該当するのは、すでに Secure Firewall ASA を通過した有効なエコー要求を含まない ICMP エコー応答、またはすでに Secure Firewall ASA で確立されている TCP、UDP、または ICMP セッションに関連しない ICMP エラー メッセージのいずれかです。

推奨アクション必要なし。

313005

エラーメッセージ %ASA-4-313005: No matching connection for ICMP error message: icmp_msg_info on interface_name interface. Original IP payload: embedded_frame_info icmp_msg_info = icmp src src_interface_name :src_address [([idfw_user | FQDN_string ], sg_info )] dst dest_interface_name :dest_address [([idfw_user | FQDN_string ], sg_info )] (type icmp_type, code icmp_code ) embedded_frame_info = prot src source_address /source_port [([idfw_user | FQDN_string ], sg_info )] dst dest_address /dest_port [(idfw_user |FQDN_string ), sg_info ]

説明 ICMP エラー メッセージが Secure Firewall ASA ですでに確立されているどのセッションとも関連しないため、ICMP エラー パケットが Secure Firewall ASA によって廃棄されました。

推奨アクション原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

313008

エラーメッセージ %ASA-3-313008: Denied ICMPv6 type=number , code=code from IP_address on interface interface_name

説明 icmp コマンドをアクセス リストとともに使用している場合、最初に一致したエントリが許可エントリであれば、ICMPv6 パケットは処理を続行します。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しなかった場合、Secure Firewall ASA は ICMPv6 パケットを廃棄し、このメッセージを生成します。

icmp コマンドは、インターフェイスへの ping をイネーブルまたはディセーブルにします。ping をディセーブルにすると、Secure Firewall ASAがネットワーク上で検出できなくなります。この機能は、設定可能なプロキシ ping とも呼ばれます。

推奨アクション ピア デバイスの管理者にお問い合わせください。

313009

エラーメッセージ %ASA-4-313009: Denied invalid ICMP code icmp-code , for src-ifc :src-address /src-port (mapped-src-address/mapped-src-port) to dest-ifc :dest-address /dest-port (mapped-dest-address/mapped-dest-port) [user ], ICMP id icmp-id , ICMP type icmp-type

説明コードが不正な(ゼロ以外)ICMP エコー要求または応答パケットを受信しました。

推奨アクション断続的なイベントの場合は、対処不要です。原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

314001

エラーメッセージ %ASA-6-314001: Pre-allocated RTSP UDP backconnection for src_intf :src_IP to dst_intf :dst_IP /dst_port.

説明 Secure Firewall ASA が、サーバーからデータを受信していた RTSP クライアントに対して UDP メディア チャネルを開きました。

  • src_intf:送信元インターフェイス名
  • src_IP:送信元インターフェイス IP アドレス
  • dst_intf:宛先インターフェイス名
  • dst_IP:宛先 IP アドレス
  • dst_port:宛先ポート

推奨アクション必要なし。

314002

エラーメッセージ %ASA-6-314002: RTSP failed to allocate UDP media connection from src_intf :src_IP to dst_intf :dst_IP /dst_port : reason_string.

説明 Secure Firewall ASA がメディア チャネルに対して新しいピンホールを開くことができません。

  • src_intf:送信元インターフェイス名
  • src_IP:送信元インターフェイス IP アドレス
  • dst_intf:宛先インターフェイス名
  • dst_IP:宛先 IP アドレス
  • dst_port:宛先ポート
  • reason_string:「Pinhole already exists」または「Unknown」

推奨アクション原因が不明な場合は、Secure Firewall ASA のメモリが不足しているため、show memory コマンドを実行して利用可能な空きメモリを確認するか、または show conn コマンドを実行して使用されている接続数を確認します。

314003

エラーメッセージ %ASA-6-314003: Dropped RTSP traffic from src_intf :src_ip due to: reason.

説明 RTSP メッセージに予約ポート範囲内のポートが含まれているか、または最大許容制限を超える長さの URL が含まれているため、RTSP メッセージがユーザー設定の RTSP セキュリティ ポリシーに違反しました。

  • src_intf:送信元インターフェイス名
  • src_IP:送信元インターフェイス IP アドレス
  • reason:原因。次のいずれかの可能性があります。

- エンドポイントが予約ポート範囲 0 ~ 1024 のメディア ポートをネゴシエートしています。

- URL の長さ(url length バイト)が最大長(url length limit バイト)を超えています。

推奨アクション RTSP クライアントがセキュリティ ポリシーに違反するメッセージを送信する原因を調査します。要求された URL が正当である場合は、RTSP ポリシー マップで、より長い URL 長制限を指定して、ポリシーを緩和できます。

314004

エラーメッセージ %ASA-6-314004: RTSP client src_intf:src_IP accessed RTSP URL RTSP URL

説明 RTSP クライアントが RTSP サーバーにアクセスしようとしました。

  • src_intf:送信元インターフェイス名
  • src_IP:送信元インターフェイス IP アドレス
  • RTSP URL:RTSP サーバーの URL

推奨アクション必要なし。

314005

エラー メッセージ %ASA-6-314005: RTSP client src_intf:src_IP denied access to URL RTSP_URL.

説明 RTSP クライアントが禁止サイトにアクセスしようとしました。

  • src_intf:送信元インターフェイス名
  • src_IP:送信元インターフェイス IP アドレス
  • RTSP_URL:RTSP サーバーの URL

推奨アクション必要なし。

314006

エラー メッセージ %ASA-6-314006: RTSP client src_intf:src_IP exceeds configured rate limit of rate for request_method messages.

説明 特定の RTSP 要求メッセージが、RTSP ポリシーの設定済みレート制限を超えました。

  • src_intf:送信元インターフェイス名
  • src_IP:送信元インターフェイス IP アドレス
  • rate:設定済みレート制限
  • request_method:要求メッセージのタイプ

推奨アクション クライアントからの特定の RTSP 要求メッセージがレート制限を超えた原因を調査します。

315004

エラー メッセージ %ASA-3-315004: Fail to establish SSH session because RSA host key retrieval failed.

説明 ASA が、SSH セッションの確立に必要な RSA ホスト キーを見つけられません。ホスト キーが生成されていなかったため、またはこの ASA のライセンスが DES または 3DES 暗号化を許可しないために、ASA ホスト キーがない可能性があります。

推奨アクション ASA コンソールから show crypto key mypubkey rsa コマンドを入力して、RSA ホスト キーがあることを確認します。ホスト キーがない場合は、show version コマンドを入力して、DES または 3DES が許可されていることを確認します。RSA ホスト キーがある場合は、SSH セッションを再開します。RSA ホスト キーを生成するには、crypto key mypubkey rsa コマンドを入力します。

315011

エラー メッセージ %ASA-6-315011: SSH session from IP_address on interface interface_name for user user disconnected by SSH server, reason: reason

説明 SSH セッションが終了しました。ユーザーが quit または exit を入力すると、terminated normally メッセージが表示されます。ユーザー名は無効な場合や不明な場合は表示されませんが、有効な場合または no logging hide username コマンドが設定されている場合は表示されます。別の原因でセッションが切断された場合は、テキストで原因が説明されます。次の表に、セッションが切断される理由として考えられるものを一覧表示します。

表 2. SSH 切断の原因

テキスト文字列

説明

アクション

Bad checkbytes

SSH キー交換中にチェック バイトにミスマッチが検出されました。

SSH セッションを再開します。

CRC check failed

特定のパケットに対して計算された CRC 値が、パケットに埋め込まれている CRC 値と一致しません。パケットが不良です。

対処は不要です。このメッセージが引き続き表示される場合は、Cisco TAC にお問い合わせください。

Decryption failure

SSH キーの交換中に SSH セッション キーの解読が失敗しました。

RSA ホスト キーを確認し、再度試行します。

Format error

非プロトコル バージョンのメッセージが、SSH バージョン交換中に受信されました。

SSH クライアントをチェックし、サポート対象のバージョンであることを確認します。

Internal error

このメッセージは、ASA 上の SSH の内部エラー、あるいは RSA キーが ASA に入力されていないか、または取得できないことを示します。

ASA コンソールから show crypto key mypubkey rsa コマンドを入力して、RSA ホスト キーがあることを確認します。ホスト キーがない場合は、show version コマンドを入力して、DES または 3DES が許可されていることを確認します。RSA ホスト キーがある場合は、SSH セッションを再開します。RSA ホスト キーを生成するには、crypto key mypubkey rsa コマンドを入力します。

Invalid cipher type

SSH クライアントがサポートされていない暗号を要求しました。

show version コマンドを入力し、ライセンスがサポートしている機能を確認してから、サポートされている暗号を使用するように SSH クライアントを再設定します。

Invalid message length

ASA に到着する SSH メッセージの長さが 262,144 バイトを超えているか、または 4,096 バイト未満です。データが破損している可能性があります。

対処は不要です。

Invalid message type

ASA が非 SSH メッセージを受信したか、あるいはサポートされていない SSH メッセージまたは要求されていない SSH メッセージを受信しました。

ピアが SSH クライアントであるかどうかを確認します。ピアが SSHv1 をサポートしているクライアントであり、このメッセージが引き続き表示される場合は、ASA シリアル コンソールから debug ssh コマンドを入力して、デバッグ メッセージを取り込みます。その後、Cisco TAC にお問い合わせください。

Out of memory

このメッセージは、ASA が SSH サーバーで使用するメモリを割り当てられず、おそらくはトラフィックが多いために ASA がビジーになっている場合に表示されます。

後で SSH セッションを再開します。

Rejected by server

ユーザーの認証に失敗しました。

ユーザー名とパスワードを確認するようユーザーに求めます。

Reset by client

SSH クライアントが SSH_MSG_DISCONNECT メッセージを ASA に送信しました。

対処は不要です。

status code: hex (hex)

ユーザーが、SSH コンソールで quit または exit を入力せずに、SSH クライアント ウィンドウ(Windows で実行中)を閉じました。

対処は不要です。クライアントをただ終了するのではなく、正常に終了するようユーザーに推奨します。

Terminated by operator

SSH セッションが、ASA コンソールで ssh disconnect コマンドの入力により終了されました。

対処は不要です。

Time-out activated

SSH セッションが、ssh timeout コマンドで指定された継続時間を超えたため、タイムアウトしました。

SSH 接続を再開します。ssh timeout コマンドを使用して、5 分のデフォルト値を必要に応じて最大 60 分まで延長することができます。

推奨アクション必要なし。

315012

エラーメッセージ %ASA-3-315012: Weak SSH type (alg) provided from client IP_address on interface Int. Connection failed. Not FIPS 140-2 compliant.

説明 FIPS 140-2 認証の一部として、FIPS が有効な場合、SSH 接続を確立できるのは暗号方式として aes128-cbc または aes256-cbc、MAC として SHA1 を使用する場合のみです。この Syslog は、受け入れられない暗号方式または MAC が使われている場合に生成されます。FIPS モードが無効の場合、この Syslog は表示されません。

  • type:cipher または MAC
  • alg:受け入れられない暗号方式または MAC の名前
  • IP_address:クライアントの IP アドレス
  • int:クライアントが接続しようとしているインターフェイス

推奨アクション 受け入れられる暗号方式または MAC を指定します。

315013

エラー メッセージ %ASA-6-315013: SSH session from <SSH client address> on interface <interface name> for user “<user name>" rekeyed successfully.

説明 この Syslog は、SSH のキー再生成が正常に完了したことを示すために必要です。これはコモン クライテリア認証の要件です。

  • SSH_client_address:クライアントの IP アドレス
  • interface_name:クライアントが接続しようとしているインターフェイス
  • user_name:セッションに関連付けられているユーザー名

推奨アクション なし

316001

エラーメッセージ %ASA-3-316001: Denied new tunnel to IP_address . VPN peer limit (platform_vpn_peer_limit) exceeded

説明プラットフォーム VPN ピアの上限でサポートされているよりも多くの VPN トンネル(ISAKMP/IPSec)を同時に確立しようとした場合、過剰なトンネルは打ち切られます。

推奨アクション必要なし。

316002

エラーメッセージ %ASA-3-316002: VPN Handle error: protocol=protocol , src in_if_num :src_addr , dst out_if_num :dst_addr

説明 VPN ハンドルがすでに存在するため、Secure Firewall ASA は VPN ハンドルを作成できません。

  • protocol:VPN フローのプロトコル
  • in_if_num:VPN フローの入力インターフェイス番号
  • src_addr:VPN フローの送信元 IP アドレス
  • out_if_num:VPN フローの出力インターフェイス番号
  • dst_addr:VPN フローの宛先 IP アドレス

推奨アクションこのメッセージは、正常動作中に発生することもあります。ただし、メッセージが繰り返し表示され、VPN ベースのアプリケーションに深刻な誤動作が発生する場合は、ソフトウェア障害が原因となっている可能性があります。次のコマンドを入力して詳細な情報を収集し、Cisco TAC に問題の調査を依頼してください。


capture
 name
 type asp-drop vpn-handle-error
show asp table classify crypto detail
show asp table vpn-context

317001

エラーメッセージ %ASA-3-317001: No memory available for limit_slow

説明メモリが低下している状態のため、要求された操作が失敗しました。

推奨アクション他のシステム アクティビティを減らしてメモリの使用を軽減します。状況に応じて、より大容量のメモリ構成にアップグレードしてください。

317002

エラーメッセージ %ASA-3-317002: Bad path index of number for IP_address , number max

説明ソフトウェアのエラーが発生しました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

317003

エラーメッセージ %ASA-3-317003: IP routing table creation failure - reason

説明内部ソフトウェア エラーが発生したため、新しい IP ルーティング テーブルの作成が妨げられました。

推奨アクション メッセージをそのままコピーし、Cisco TAC に報告してください。

317004

エラーメッセージ %ASA-3-317004: IP routing table limit warning

説明名前付き IP ルーティング テーブル内のルート数が、設定された警告制限に到達しました。

推奨アクション テーブルのルート数を減らすか、制限を設定し直します。

317005

エラーメッセージ %ASA-3-317005: IP routing table limit exceeded - reason , IP_address netmask

説明追加のルートがテーブルに追加されます。

推奨アクション テーブルのルート数を減らすか、制限を設定し直します。

317006

エラーメッセージ %ASA-3-317006: Pdb index error pdb , pdb_index , pdb_type

説明 PDB に対するインデックスが範囲外です。

  • pdb:Protocol Descriptor Block(PDB インデックス エラーの記述子)
  • pdb_index:PDB インデックス識別子
  • pdb_type:PDB インデックス エラーのタイプ

推奨アクション問題が解決しない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco TAC にお問い合わせのうえ、TAC の担当者に収集した情報をご提供ください。

317007

エラーメッセージ %ASA-6-317007: Added route_type route dest_address netmask via gateway_address [distance /metric ] on interface_name route_type

説明新しいルートがルーティング テーブルに追加されました。

ルーティング プロトコルのタイプ:

C:接続、S:スタティック、I:IGRP、R:RIP、M:モバイル

B:BGP、D:EIGRP、EX:EIGRP 外部、O:OSPF

IA:OSPF 内部エリア、N1:OSPF NSSA 外部タイプ 1

N2:OSPF NSSA 外部タイプ 2、E1:OSPF 外部タイプ 1

E2:OSPF 外部タイプ 2、E:EGP、i:IS-IS、L1:IS-IS レベル 1

L2:IS-IS レベル 2、ia:IS-IS 内部エリア

  • dest_address:このルートの宛先ネットワーク
  • netmask:宛先ネットワークのネットマスク
  • gateway_address:宛先ネットワークが到達のために使用するゲートウェイのアドレス
  • distance:このルートのアドミニストレーティブ ディスタンス
  • metric:このルートのメトリック
  • interface_name:トラフィックがルーティングされるネットワーク インターフェイス名

推奨アクション必要なし。

317008

エラーメッセージ %ASA-6-317008: Community list check with bad list list_number

説明 範囲外のコミュニティリストが識別されると、このメッセージがリスト番号とともに生成されます。

推奨アクション必要なし。

317012

エラーメッセージ %ASA-3-317012: Interface IP route counter negative - nameif-string-value

説明インターフェイス ルートの数が負の値であることを示します。

  • nameif-string-value:nameif コマンドで指定したインターフェイス名

推奨アクション必要なし。

317077

エラーメッセージ %ASA-6-317077: Added <protocol_name> route <destination_address/subnet-mask> via <gateway-address> on <inf_name>

説明 このメッセージは、ルートが Cisco Secure Firewall Threat Defense デバイスに正常に追加されたときに生成されます。

推奨アクション必要なし。

317078

エラーメッセージ %ASA-6-317078: Deleted <protocol_name> route <destination_address/subnet-mask> via <gateway-address> on <inf_name>

説明 このメッセージは、ルートが Cisco Secure Firewall Threat Defense デバイスから削除されたときに生成されます。

推奨アクション必要なし。

317012

エラーメッセージ %ASA-3-317012: Interface IP route counter negative - nameif-string-value

説明インターフェイス ルートの数が負の値であることを示します。

  • nameif-string-value:nameif コマンドで指定したインターフェイス名

推奨アクション必要なし。

318001

エラーメッセージ %ASA-3-318001: Internal error: reason

説明内部ソフトウェア エラーが発生しました。このメッセージは 5 秒ごとに表示されます。

推奨アクション エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

318002

エラーメッセージ %ASA-3-318002: Flagged as being an ABR without a backbone area

説明ルータは、ルータにバックボーン エリアが設定されていないエリア境界ルータとしてフラグが立てられました。このメッセージは 5 秒ごとに表示されます。

推奨アクション OSPF プロセスを再起動します。

318003

エラーメッセージ %ASA-3-318003: Reached unknow n state in neighbor state machine

説明内部ソフトウェア エラーが発生しました。このメッセージは 5 秒ごとに表示されます。

推奨アクション エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

318004

エラーメッセージ %ASA-3-318004: area string lsid IP_address mask netmask adv IP_address type number

説明 OSPF プロセスでリンクステート アドバタイズメントの検出に問題が生じました。これはメモリ リークにつながる可能性があります。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

318005

エラーメッセージ %ASA-3-318005: lsid ip_address adv IP_address type number gateway gateway_address metric number network IP_address mask netmask protocol hex attr hex net-metric number

説明 OSPF で、そのデータベースと IP ルーティング テーブル間に不整合が検出されました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

318006

エラーメッセージ %ASA-3-318006: if interface_name if_state number

説明内部エラーが発生しました。

推奨アクション エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

318007

エラーメッセージ %ASA-3-318007: OSPF is enabled on interface_name during idb initialization

説明内部エラーが発生しました。

推奨アクション エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

318008

エラーメッセージ %ASA-3-318008: OSPF process number is changing router-id. Reconfigure virtual link neighbors with our new router-id

説明 OSPF プロセスがリセット中で、新しいルータ ID を選択しようとしています。このアクションによってすべての仮想リンクが停止させられます。

推奨アクションすべての隣接仮想リンクの仮想リンク コンフィギュレーションを、新しいルータ ID を反映するように変更します。

318009

エラーメッセージ %ASA-3-318009: OSPF: Attempted reference of stale data encountered in function , line: line_num

説明 OSPF が動作中で、他の場所で削除された一部の関連データ構造を参照しようとしました。インターフェイスおよびルータのコンフィギュレーションを消去すると、問題が解決する可能性があります。しかし、このメッセージが表示される場合は、シーケンスの一部のステップによってデータ構造の早期削除が生じているので、調査する必要があります。

  • function:予期しないイベントを受信した機能
  • line_num:コード中の行番号

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

318101

エラーメッセージ %ASA-3-318101: Internal error: REASON

説明内部ソフトウェア エラーが発生しました。

  • REASON:イベントの詳細な原因

推奨アクション必要なし。

318102

エラーメッセージ %ASA-3-318102: Flagged as being an ABR without a backbone area

説明ルータ内のバックボーン領域なしに、ルータが Area Border Router(ABR)としてフラグが設定されました。

推奨アクション OSPF プロセスを再起動します。

318103

エラーメッセージ %ASA-3-318103: Reached unknown state in neighbor state machine

説明内部ソフトウェア エラーが発生しました。

推奨アクション必要なし。

318104

エラーメッセージ %ASA-3-318104: DB already exist: area AREA_ID_STR lsid i adv i type 0x x

説明 OSPF で LSA を見つけることができないため、メモリのリークが発生する可能性があります。

  • AREA_ID_STR:領域を表す文字列
  • i:整数値
  • x:整数値の 16 進表記

推奨アクション必要なし。

318105

エラーメッセージ %ASA-3-318105: lsid i adv i type 0x x gateway i metric d network i mask i protocol #x attr #x net-metric d

説明 OSPF で、そのデータベースと IP ルーティング テーブル間に不整合が検出されました。

  • i:整数値
  • x:整数値の 16 進表記
  • d:数値

推奨アクション必要なし。

318106

エラーメッセージ %ASA-3-318106: if IF_NAME if_state d

説明内部エラーが発生しました。

  • IF_NAME:影響を受けるインターフェイスの名前
  • d:数値

推奨アクション必要なし。

318107

エラーメッセージ %ASA-3-318107: OSPF is enabled on IF_NAME during idb initialization

説明内部エラーが発生しました。

  • IF_NAME:影響を受けるインターフェイスの名前

推奨アクション必要なし。

318108

エラーメッセージ %ASA-3-318108: OSPF process d is changing router-id. Reconfigure virtual link neighbors with our new router-id

説明 OSPF プロセスがリセット中で、新しいルータ ID を選択しようとしています。これにより、すべての仮想リンクがダウンします。再び動作させるには、すべての仮想リンク ネイバー上の仮想リンク設定を変更する必要があります。

  • d:プロセス ID を表す番号

推奨アクションすべての近隣仮想リンクの仮想リンク コンフィギュレーションを、新しいルータ ID を含むように変更します。

318109

エラーメッセージ %ASA-3-318109: OSPFv3 has received an unexpected message: 0x / 0x

説明 OSPFv3 が予期しないプロセス間メッセージを受信しました。

  • x:整数値の 16 進表記

推奨アクション必要なし。

318110

エラーメッセージ %ASA-3-318110: Invalid encrypted key s .

説明指定された暗号キーが無効です。

  • s:暗号キーを表す文字列

推奨アクション クリア テキストのキーを指定し、service password-encryption コマンドを入力して暗号化するか、または指定した暗号キーが有効であることを確認します。指定された暗号キーが無効な場合は、システム設定時にエラー メッセージが表示されます。

318111

エラーメッセージ %ASA-3-318111: SPI u is already in use with ospf process d

説明すでに使用されている SPI を使用しようとしました。

  • u:SPI を表す番号
  • d:プロセス ID を表す番号

推奨アクション別の SPI を選択します。

318112

エラーメッセージ %ASA-3-318112: SPI u is already in use by a process other than ospf process d .

説明すでに使用されている SPI を使用しようとしました。

  • u:SPI を表す番号
  • d:プロセス ID を表す番号

推奨アクション別の SPI を選択します。すでに使用されている SPI のリストを表示するには、show crypto ipv6 ipsec sa コマンドを入力します。

318113

エラーメッセージ %ASA-3-318113: s s is already configured with SPI u .

説明すでに使用されている SPI を使用しようとしました。

  • s:インターフェイスを表す文字列
  • u:SPI を表す番号

推奨アクション最初に SPI を設定解除するか、別の SPI を選択します。

318114

エラーメッセージ %ASA-3-318114: The key length used with SPI u is not valid

説明キーの長さが間違っています。

  • u:SPI を表す番号

推奨アクション有効な IPsec キーを選択します。IPsec 認証キーは 32 桁(MD5)または 40 桁(SHA-1)の 16 進数値である必要があります。

318115

エラーメッセージ %ASA-3-318115: s error occured when attempting to create an IPsec policy for SPI u

説明 IPsec API(内部)エラーが発生しました。

  • s:エラーを表す文字列
  • u:SPI を表す番号

推奨アクション必要なし。

318116

エラーメッセージ %ASA-3-318116: SPI u is not being used by ospf process d .

説明 OSPFv3 で使用されていない SPI を設定解除しようとしました。

  • u:SPI を表す番号
  • d:プロセス ID を表す番号

推奨アクション OSPFv3 によって使用されている SPI を確認するには、show コマンドを入力します。

318117

エラーメッセージ %ASA-3-318117: The policy for SPI u could not be removed because it is in use.

説明表示された SPI のポリシーを削除しようとしましたが、そのポリシーがまだセキュア ソケットにより使用されていました。

  • u:SPI を表す番号

推奨アクション必要なし。

318118

エラーメッセージ %ASA-3-318118: s error occured when attemtping to remove the IPsec policy with SPI u

説明 IPsec API(内部)エラーが発生しました。

  • s:指定されたエラーを表す文字列
  • u:SPI を表す番号

推奨アクション必要なし。

318119

エラーメッセージ %ASA-3-318119: Unable to close secure socket with SPI u on interface s

説明 IPsec API(内部)エラーが発生しました。

  • u:SPI を表す番号
  • s:指定されたインターフェイスを表す文字列

推奨アクション必要なし。

318120

エラーメッセージ %ASA-3-318120: OSPFv3 was unable to register with IPsec

説明内部エラーが発生しました。

推奨アクション必要なし。

318121

エラーメッセージ %ASA-3-318121: IPsec reported a GENERAL ERROR: message s , count d

説明内部エラーが発生しました。

  • s:指定されたメッセージを表す文字列
  • d:生成メッセージの総数を表す数値

推奨アクション必要なし。

318122

エラーメッセージ %ASA-3-318122: IPsec sent a s message s to OSPFv3 for interface s . Recovery attempt d

説明内部エラーが発生しました。システムがセキュアなソケットの再オープンと復旧を試みています。

  • s:指定されたメッセージと指定されたインターフェイスを表す文字列
  • d:リカバリ試行回数を表す数値

推奨アクション必要なし。

318123

エラーメッセージ %ASA-3-318123: IPsec sent a s message s to OSPFv3 for interface IF_NAME . Recovery aborted

説明内部エラーが発生しました。リカバリの試行の最大数を超えました。

  • s:指定されたメッセージを表す文字列
  • IF_NAME:指定されたインターフェイス

推奨アクション必要なし。

318125

エラーメッセージ %ASA-3-318125: Init failed for interface IF_NAME

説明インターフェイスの初期化に失敗しました。考えられる原因は、次のとおりです。

  • インターフェイスの接続先となる領域が削除されています。
  • リンク スコープのデータベースを作成できませんでした。
  • ローカル ルータのネイバー データブロックを作成できませんでした。

推奨アクション インターフェイスを初期設定するコンフィギュレーション コマンドを削除して、再試行します。

318126

エラーメッセージ %ASA-3-318126: Interface IF_NAME is attached to more than one area

説明インターフェイスが、インターフェイスのリンク先以外の領域のインターフェイス リストに含まれています。

  • IF_NAME:指定されたインターフェイス

推奨アクション必要なし。

318127

エラーメッセージ %ASA-3-318127: Could not allocate or find the neighbor

説明内部エラーが発生しました。

推奨アクション必要なし。

319001

エラー メッセージ %ASA-3-319001: Acknowledge for arp update for IP address dest_address not received (number ).

説明 ASA 内の ARP プロセスが、ASA のオーバーロードが原因で内部同期外れになっています。

推奨アクション 不要。一時的なエラーです。ASA の平均負荷を確認し、許容量を超えて使用されていないことを確認します。

319002

エラー メッセージ %ASA-3-319002: Acknowledge for route update for IP address dest_address not received (number ).

説明 ASA 内のルーティング モジュールが、ASA のオーバーロードが原因で内部同期外れになっています。

推奨アクション 不要。一時的なエラーです。ASA の平均負荷を確認し、許容量を超えて使用されていないことを確認します。

319003

エラー メッセージ %ASA-3-319003: Arp update for IP address address to NPn failed.

説明 ARP エントリをアップデートする必要がある場合、内部 ARP テーブルをアップデートするためにネットワーク プロセッサ(NP)にメッセージが送信されます。モジュールでメモリ使用率が高くなっている場合、または内部テーブルが満杯になっている場合は、NP へのメッセージが拒否されて、このメッセージが生成される可能性があります。

推奨アクション ARP テーブルが満杯であるかどうかを確認します。満杯ではない場合、CPU 使用率および秒あたりの接続数を確認してモジュールの負荷を調べます。CPU 使用率が高いか、秒あたりの接続数が多い場合、負荷が正常に戻ると正常動作が再開されます。

319004

エラー メッセージ %ASA-3-319004: Route update for IP address dest_address failed (number ).

説明 ASA 内のルーティング モジュールが、システムのオーバーロードが原因で内部同期外れになっています。

推奨アクション 不要。一時的なエラーです。システムの平均負荷をチェックし、許容量を超えて使用されていないことを確認します。

メッセージ 320001 ~ 342008

この章では、320001 ~ 342008 のメッセージについて説明します。

320001

エラーメッセージ %ASA-3-320001: The subject name of the peer cert is not allowed for connection

説明 Secure Firewall ASA が簡単な VPN リモート デバイスまたはサーバーである場合、ピア証明書には ca verifycertdn コマンドの出力と一致しないサブジェクト名が含まれています。中間者攻撃が発生している可能性もあります。これは、デバイスがピア IP アドレスをスプーフィングし、Secure Firewall ASA から VPN 接続を代行受信しようとするものです。

推奨アクション必要なし。

321001

エラーメッセージ %ASA-5-321001: Resource var1 limit of var2 reached.

説明指摘されたリソースの設定使用率またはレート制限に達しました。

推奨アクション プラットフォームの最大接続数に達した場合、メモリを再割り当てしてシステムメモリを解放するのに時間がかかり、トラフィックに障害が発生します。メモリスペースが解放された後、デバイスをリロードする必要があります。その他の支援については、TAC にお問い合わせください。

321002

エラーメッセージ %ASA-5-321002: Resource var1 rate limit of var2 reached.

説明指摘されたリソースの設定使用率またはレート制限に達しました。

推奨アクション プラットフォームの最大接続数に達した場合、メモリを再割り当てしてシステムメモリを解放するのに時間がかかり、トラフィックに障害が発生します。メモリスペースが解放された後、デバイスをリロードする必要があります。その他の支援については、TAC にお問い合わせください。

321003

エラーメッセージ %ASA-6-321003: Resource var1 log level of var2 reached.

説明指摘されたリソースの設定リソース使用率またはレート ログ レベルに達しました。

推奨アクション必要なし。

321004

エラーメッセージ %ASA-6-321004: Resource var1 rate log level of var2 reached

説明指摘されたリソースの設定リソース使用率またはレート ログ レベルに達しました。

推奨アクション必要なし。

321005

エラーメッセージ %ASA-2-321005: System CPU utilization reached utilization %

説明システムの CPU 使用率が 95% 以上に到達し、5 分間このレベルにとどまっています。

  • utilization %:使用されている CPU のパーセンテージ

推奨アクションこのメッセージが定期的に表示される場合は、無視できます。頻繁に繰り返される場合は、show cpu コマンドの出力を確認し、CPU 使用率を確認します。これが高い場合は、Cisco TAC にお問い合わせください。

321006

エラーメッセージ %ASA-2-321006: System memory usage reached utilization %

説明システムのメモリ使用率が 80% 以上に到達し、5 分間このレベルにとどまっています。

  • utilization %:使用されているメモリのパーセンテージ

推奨アクションこのメッセージが定期的に表示される場合は、無視できます。頻繁に繰り返される場合は、show memory コマンドの出力を確認し、メモリ使用率を確認します。これが高い場合は、Cisco TAC にお問い合わせください。

321007

エラーメッセージ %ASA-3-321007: System is low on free memory blocks of size block_size (free_blocks CNT out of max_blocks MAX)

説明システムでメモリの空きブロックが不足しています。ブロックが不足すると、トラフィックの中断が発生する可能性があります。

  • block_size:メモリのブロック サイズ(たとえば、4、1550、8192)
  • free_blocks:空きブロック数。show blocks コマンドの使用後に CNT カラムに示されます
  • max_blocks:システムが割り当てることができるブロックの最大数。show blocks コマンドの使用後 MAX カラムに示されます

推奨アクション show blocks コマンドを使用して、示されたブロック サイズの出力の CNT カラムで空きブロックの量をモニターします。CNT カラムが長時間にわたってゼロかそれに非常に近いままになる場合、Secure Firewall ASA がオーバーロードになっているか、追加調査が必要な別の問題が発生している可能性があります。

322001

エラーメッセージ %ASA-3-322001: Deny MAC address MAC_address, possible spoof attempt on interface interface

説明 Secure Firewall ASA が、疑わしい MAC アドレスからのパケットを指定のインターフェイス上で受信しましたが、そのパケットの送信元 MAC アドレスは、コンフィギュレーションでは別のインターフェイスにスタティックにバインドされています。MAC スプーフィング攻撃または設定ミスが原因である可能性があります。

推奨アクション コンフィギュレーションを調べ、攻撃ホストを突き止めるか、またはコンフィギュレーションを訂正して適切な処置を行います。

322002

エラーメッセージ %ASA-3-322002: ARP inspection check failed for arp {request|response} received from host MAC_address on interface interface . This host is advertising MAC Address MAC_address_1 for IP Address IP_address , which is {statically|dynamically} bound to MAC Address MAC_address_2 .

説明 ARP 検査モジュールは、イネーブルになっている場合、パケット内でアドバタイズされる新しい ARP エントリが、静的に設定された IP-MAC アドレスまたは動的に取得された IP-MAC アドレスのバインディングに従っているかどうかをチェックしてから、Secure Firewall ASA を介して ARP パケットを転送します。このチェックが失敗した場合、ARP インスペクション モジュールは ARP パケットを廃棄し、このメッセージを生成します。ネットワーク上で ARP スプーフィング攻撃が発生しているか、またはコンフィギュレーション(IP-MAC バインディング)が無効である可能性があります。

推奨アクション原因が攻撃にある場合、ACL を使用してホストを拒否することができます。原因が無効なコンフィギュレーションにある場合、バインディングを修正します。

322003

エラーメッセージ %ASA-3-322003:ARP inspection check failed for arp {request|response} received from host MAC_address on interface interface . This host is advertising MAC Address MAC_address_1 for IP Address IP_address , which is not bound to any MAC Address.

説明 ARP 検査モジュールは、イネーブルになっている場合、パケット内でアドバタイズされる新しい ARP エントリが、静的に設定された IP-MAC アドレスのバインディングに従っているかどうかをチェックしてから、Secure Firewall ASA を介して ARP パケットを転送します。このチェックが失敗した場合、ARP インスペクション モジュールは ARP パケットを廃棄し、このメッセージを生成します。ネットワーク上で ARP スプーフィング攻撃が発生しているか、またはコンフィギュレーション(IP-MAC バインディング)が無効である可能性があります。

推奨アクション原因が攻撃にある場合、ACL を使用してホストを拒否することができます。原因が無効なコンフィギュレーションにある場合、バインディングを修正します。

322004

エラーメッセージ %ASA-6-322004: No management IP address configured for transparent firewall. Dropping protocol protocol packet from interface_in :source_address /source_port to interface_out :dest_address /dest_port

説明管理 IP アドレスがトランスペアレント モードで設定されていないため、Secure Firewall ASA がパケットを廃棄しました。

  • protocol:プロトコルの文字列または値
  • interface_in:入力インターフェイス名
  • source_address:パケットの送信元 IP アドレス
  • source_port:パケットの送信元ポート
  • interface_out:出力インターフェイス名
  • dest_address:パケットの宛先 IP アドレス
  • dest_port:パケットの宛先ポート

推奨アクション デバイスに管理 IP アドレスとマスクの値を設定します。

323001

エラーメッセージ %ASA-3-323001: Module module_id experienced a control channel communications failure.

%ASA-3-323001: Module in slot slot_num experienced a control channel communications failure.

説明 Secure Firewall ASA が、制御チャネルを介して、指定されたスロットに設置されているモジュールと通信できません。

  • module_id:ソフトウェア サービスのモジュールの場合、サービス モジュールの名前を指定します。
  • slot_num:ハードウェアのサービス モジュールの場合、障害が発生したスロットを指定します。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

323002

エラーメッセージ %ASA-3-323002: Module module_id is not able to shut down, shut down request not answered.

%ASA-3-323002: Module in slot slot_num is not able to shut down, shut down request not answered.

説明設置されているモジュールが、シャットダウン要求に応答しませんでした。

  • module_id:ソフトウェア サービスのモジュールの場合、サービス モジュールの名前を指定します。
  • slot_num:ハードウェアのサービス モジュールの場合、障害が発生したスロットを指定します。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

323003

エラーメッセージ %ASA-3-323003: Module module_id is not able to reload, reload request not answered.

%ASA-3-323003: Module in slot slotnum is not able to reload, reload request not answered.

説明設置されているモジュールが、リロード要求に応答しませんでした。

  • module_id:ソフトウェア サービスのモジュールの場合、サービス モジュールの名前を指定します。
  • slot_num:ハードウェアのサービス モジュールの場合、障害が発生したスロットを指定します。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

323004

エラーメッセージ %ASA-3-323004: Module string one failed to write software newver (currently ver ), reason . Hw-module reset is required before further use.

説明モジュールがソフトウェア バージョンに対応できませんでした。UNRESPONSIVE 状態に移行します。モジュールは、ソフトウェアがアップデートされるまで使用できません。

  • string one:モジュールを示すテキスト文字列
  • >newver:モジュールへの書き込みが正常に終了しなかったソフトウェアの新しいバージョン番号(1.0(1)0 など)
  • >ver:モジュール上のソフトウェアの現在のバージョン番号(1.0(1)0 など)
  • >reason:新しいバージョンがモジュールに書き込みできなかった原因。>reason に考えられる値は、次のとおりです。

- write failure

- failed to create a thread to write the image

推奨アクション モジュール ソフトウェアは、アップデートできない場合、使用できなくなります。問題が解決しない場合、Cisco TAC にお問い合わせください。

323005

エラーメッセージ %ASA-3-323005: Module module_id can not be started completely

%ASA-3-323005: Module in slot slot_num cannot be started completely

説明このメッセージは、モジュールが完全に起動できないことを示します。モジュールは、この状態が修正されるまで、UNRESPONSIVE 状態のままになります。最も可能性が高い原因として、モジュールがスロットに正しく取り付けられていないことが考えられます。

  • module_id:ソフトウェア サービスのモジュールの場合、サービス モジュールの名前を指定します。
  • slot_num:ハードウェアのサービス モジュールの場合、モジュールが装着されているスロット番号を指定します。

推奨アクション モジュールが正しく取り付けられていることを確認し、モジュールのステータス LED が点灯しているかどうかをチェックします。モジュールを正しく取り付け直した後、モジュールが電源投入されたことを Secure Firewall ASA が認識するまで数分かかることがあります。モジュールが取り付けられていることを確認し、sw-module module service-module-name reset コマンドまたは hw-module module slotnum reset コマンドを使用してモジュールをリセットした後もこのメッセージが表示される場合は、Cisco TAC にお問い合わせください。

323006

エラーメッセージ %ASA-1-323006: Module ips experienced a data channel communication failure, data channel is DOWN.

説明データ チャネル通信障害が発生し、Secure Firewall ASA がサービス モジュールにトラフィックを転送できませんでした。この障害が HA コンフィギュレーションのアクティブ Secure Firewall ASA で発生した場合は、フェールオーバーがトリガーされます。また、この障害によって、通常はサービス モジュールに送信されるトラフィックに、設定済みのフェール オープン ポリシーまたはフェール クローズ ポリシーが適用されます。このメッセージは、システム モジュールとサービス モジュールの間で Secure Firewall ASA のデータプレーンを介した通信上の問題が発生すると必ず生成されます。このような問題は、サービス モジュールが停止、リセット、取り外し、またはディセーブルにされた場合に発生する可能性があります。

推奨アクション IPS などのソフトウェア サービスモジュールの場合、sw-module module ips recover コマンドを使用してモジュールを回復します。ハードウェア サービス モジュールの場合、このメッセージが SSM のリロードまたはリセットの結果として生成されたのではなく、SSM が UP 状態に戻った後に、対応する syslog メッセージ 505010 が表示されない場合は、hw-module module 1 reset コマンドを使用してモジュールをリセットします。

323007

エラーメッセージ %ASA-3-323007: Module in slot slot experienced a firware failure and the recovery is in progress.

説明 4GE-SSM が装着された Secure Firewall ASA で、短い電力サージが発生し、その後リブートされました。その結果、4GE-SSM は、無応答状態でオンラインになっている可能性があります。Secure Firewall ASA は、4GE-SSM が無応答であることを検出し、自動的に 4GE-SSM を再起動します。

推奨アクション必要なし。

324000

エラーメッセージ %ASA-3-324000: Drop GTPv version message msg_type from source_interface :source_address /source_port to dest_interface:dest_address/dest_port Reason: reason

説明 処理中のパケットが、reason 変数に記述されているフィルタリング要件を満たしていないため、廃棄されました。

推奨アクション必要なし。

324001

エラーメッセージ %ASA-3-324001: GTPv0 packet parsing error from source_interface :source_address /source_port to dest_interface :dest_address /dest_port , TID: tid_value , Reason: reason

説明 パケットの処理にエラーがありました。考えられる原因は次のとおりです。

  • 必須 IE の不足
  • 必須の IE の不正
  • IE の順序の誤り
  • 無効なメッセージ フォーマット
  • オプションの IE の不正
  • 無効な TEID
  • 不明な IE
  • 不正な長さのフィールド
  • 不明な GTP メッセージ
  • 短すぎるメッセージ
  • 予期しないメッセージの表示
  • ヌル TID
  • サポートされていないバージョン

推奨アクション このメッセージが定期的に表示される場合は、無視できます。このメッセージが頻繁に表示される場合は、エンドポイントが攻撃の一部として不良パケットを送信している可能性があります。

324002

エラーメッセージ %ASA-3-324002: No PDP[MCB] exists to process GTPv0 msg_type from source_interface :source_address /source_port to dest_interface :dest_address /dest_port , TID: tid_value

説明 このメッセージが 321100(メモリ割り当てのエラー)の後に表示される場合、メッセージは PDP コンテキストを作成するのに十分なリソースがなかったことを示します。それ以外の場合、メッセージ 321100 がこの前に表示されることはありません。バージョン 0 では、対応する PDP コンテキストが見つからないことを示します。バージョン 1 では、メッセージ 324001 の後にこのメッセージが表示された場合、パケット処理エラーが発生して動作が停止しました。

推奨アクション 問題が解決しない場合は、送信元が有効な PDP コンテキストなしにパケットを送信している理由を特定します。

324003

エラー メッセージ %ASA-3-324003: No matching request to process GTPv version msg_type from source_interface:source_address/source_port to source_interface:dest_address/dest_port

説明 受信した応答は、要求キューと一致する要求が含まれていないため、それ以上処理されません。

推奨アクション このメッセージが定期的に表示される場合は、無視できます。しかし、このメッセージが頻繁に表示される場合は、エンドポイントが攻撃の一部として不良パケットを送信している可能性があります。

324004

エラー メッセージ %ASA-3-324004: GTP packet with version%d from source_interface :source_address /source_port to dest_interface :dest_address /dest_port is not supported

説明 処理中のパケットが、現在サポートされているバージョン 0 またはバージョン 1 以外のバージョンになっています。プリント アウトされているバージョン番号が誤った番号であり、頻繁に表示される場合は、エンドポイントが攻撃の一部として不良パケットを送信している可能性があります。

推奨アクション必要なし。

324005

エラーメッセージ %ASA-3-324005: Unable to create tunnel from source_interface :source_address /source_port to dest_interface :dest_address /dest_port

説明 転送プロトコル データ ユニットのトンネルを作成しようとしてエラーが発生しました。

推奨アクションこのメッセージが定期的に表示される場合は、無視できます。頻繁に繰り返される場合は、Cisco TAC にお問い合わせください。

324006

エラー メッセージ %ASA-3-324006:GSN IP_address tunnel limit tunnel_limit exceeded, PDP Context TID tid failed

説明 要求を送信している GPRS サポート ノードが、作成できる最大許容トンネル数を超えたため、トンネルが作成されません。

推奨アクション トンネル制限を増やす必要があるかどうか、またはネットワークへの攻撃の可能性があるかどうかを確認します。

324007

エラー メッセージ %ASA-3-324007: Unable to create GTP connection for response from source_address /0 to dest_address /dest_port

説明 異なるサービス GPRS サポート ノードまたはゲートウェイ GPRS サポート ノードの転送プロトコル データ ユニット用のトンネルを作成しようとしてエラーが発生しました。

推奨アクション デバッグ メッセージを調べて、接続が正しく作成されなかった理由を確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。

324008

エラー メッセージ %ASA-3-324008: No PDP exists to update the data sgsn [ggsn] PDPMCB Info REID: teid_value , Request TEID; teid_value , Local GSN: IPaddress (VPIfNum ), Remove GSN: IPaddress (VPIfNum )

説明 データ sgsn/ggsn PDPMCB 情報で PDP を更新するために GTP HA メッセージをスタンバイ装置で受信したところ、以前の PDP 更新メッセージがスタンバイ装置に正しく配信されていないか、または正常に処理されなかったため、PDP が見つかりません。

推奨アクション このメッセージが定期的に表示される場合は、無視できます。頻繁に発生する場合は、Cisco TAC にお問い合わせください。

324010

エラーメッセージ %ASA-5-324010: Subscriber IMSI PDP Context activated on network MCC/MNC mccmnc (IE type[/IE type]) [CellID cellID

説明

このメッセージは、PDP コンテキストがアクティブ化されると表示されます。MCC は常に 3 桁で、MNC は 2 桁または 3 桁です。


(注)  


パケットに位置情報 IE が含まれていない場合、MCC、MNC、IE タイプ、またはセル ID が「不明」になる可能性があります。

例:

%ASA-5-324010: Subscriber ID PDP Context activated on network MCC/MNC 11122 (v1 RAI/v1 ULI) CellID 1
%ASA-5-324010: Subscriber ID PDP Context activated on network Unknown

推奨アクション なし

324011

エラーメッセージ %ASA-5-324011: Subscriber IMSI location changed during handoff from MCC/MNC mccmnc (IE type[/IE type]) [CellID cellID] to MCC/MNC mccmnc (IE type[/IE type]) [CellID cellID]

説明

ロケーションが変更されると、メッセージが表示されます。MCC は常に 3 桁で、MNC は 2 桁または 3 桁です。この変更は、PDP が作成された後のハンドオフまたは後続の作成要求によってトリガーされ、ASA での以前の作成要求が期限切れになった可能性があります。


(注)  


パケットに位置情報 IE が含まれていない場合、MCC、MNC、IE タイプ、またはセル ID が「不明」になる可能性があります。

例:

%ASA-5-324011: Subscriber ID location changed during v1 handoff from MCC/MNC 11122 (v1 RAI/v1 ULI-CGI) CellID 1 to MCC/MNC 111222 (v1 RAI/v1 ULI-CGI) CellID 2
%ASA-5-324011: Subscriber ID location changed during v1 handoff from MCC/MNC 11122 (v2 ULI) CellID 1 to Unknown
%ASA-5-324011: Subscriber ID location changed during v1 handoff from Unknown to MCC/MNC 11122 (v1 RAI) CellID 1 

推奨アクション なし

324012

エラーメッセージ %ASA-5-324012: GTP_PARSE: GTP IE TYPEGTP IE TYPE NUMBER: Invalid Length Received Length: Length Received,Minimum Expected Length: Expected Length

説明

受信した GTP IE が最小長よりも短い場合は、次のデータを含むエラーメッセージが表示されます。

  • GTP IE TYPE:GTP IEの名前。

  • GTP IE TYPE NUMBER:GTP IE タイプに定義された番号。

  • Invalid Length Received:パケットで受信した無効な長さ。

  • Minimum Expected LengthIE で想定される最小の長さ

例:

%ASA-5-324012: GTP_PARSE: GTPV2_PARSE: Presence Reporting Area Action[177]: Invalid Length Received Length: 4, Minimum Expected Length: 11

推奨アクション なし

324300

エラー メッセージ %ASA-3-324300: Radius Accounting Request from from_addr has an incorrect request authenticator

説明 ホストに共有秘密が設定されている場合は、その秘密によって要求オーセンティケータが検証されます。検証に失敗すると、ログに記録され、パケット処理が停止します。

  • from_addr:RADIUS アカウンティング要求を送信しているホストの IP アドレス

推奨アクション 正しい共有秘密が設定されていることを確認します。正しい共有秘密が設定されている場合は、パケットの送信元を入念にチェックし、スプーフィングされていなかったことを確認します。

324301

エラーメッセージ %ASA-3-324301: Radius Accounting Request has a bad header length hdr_len , packet length pkt_len

説明 アカウンティング要求メッセージのヘッダーに示されているパケット長が実際のパケット長と異なるため、パケット処理が停止します。

  • hdr_len:要求のヘッダーに示されているパケット長
  • pkt_len:実際のパケット長

推奨アクション パケットがスプーフィングされていなかったことを確認します。パケットが正当である場合は、パケットを取り込み、メッセージで指摘されているように、ヘッダー長が誤っていることを確認します。ヘッダー長が正しく、問題が解決しない場合は、Cisco TAC にお問い合わせください。

324302

エラーメッセージ %ASA-4-324302: Server=IPaddr:port ID=id: Rejecting the RADIUS response: Reason

説明 このメッセージは、 RADIUS 応答が拒否された場合に生成されます。必要なメッセージ オーセンティケータ ペイロードが応答に含まれていない、またはメッセージ オーセンティケータ ペイロードが検証チェックに失敗したことが原因です。

  • IPaddr:port:RADIUS サーバーの IP アドレスおよびポート

  • id:RADIUS 要求 ID

  • Reason: RADIUS 応答が拒否された理由。

    • 必要なメッセージ オーセンティケータ ペイロードがありません

    • メッセージ オーセンティケータ ペイロードが検証チェックに失敗しました

推奨アクションなし。

324303

エラーメッセージ %ASA-6-324303: Server=IPaddr:port ID=id The RADIUS server supports and included the Message-Authenticator payload in its response. 中間者攻撃を防ぐには、セキュリティのベストプラクティスとして、このサーバーの aaa-server-group 設定で「message-authenticator」を有効にすることを検討してください。

説明このメッセージは、 RADIUS サーバーがメッセージ オーセンティケータ ペイロードに対応し、 RADIUS 応答にメッセージ オーセンティケータ ペイロードが含まれていることを伝えるために生成されます。また、設定可能なセキュリティのベストプラクティスを提供し、この Syslog を無効化にする可能性があります。

  • IPaddr:port:RADIUS サーバーの IP アドレスおよびポート

  • id:RADIUS 要求 ID

さらに、5 分間隔で 10 件を超える Syslog メッセージをレポートしないように、デフォルトでこの Syslog はレート制限されています。CLI を使用して、カスタムのレート制限間隔やメッセージ数を設定できます。

既存のレート制限を表示するには、次のコマンドを使用します。
show running-configuration all logging | grep 324303 
カスタム値を設定するには、次のコマンドを使用します。
logging rate-limit 10 300 message 324303 

推奨アクション AAA サーバー コンフィギュレーションで message-authenticator-required CLI を設定します。

325001

エラーメッセージ %ASA-3-325001: Router ipv6_address on interface has conflicting ND (Neighbor Discovery) settings

説明リンク上の別のルータが、矛盾するパラメータを持つルータ アドバタイズメントを送信しました。

  • ipv6_address:相手側ルータの IPv6 アドレス
  • interface:相手側ルータとのリンクのインターフェイス名

推奨アクション リンク上の IPv6 ルータがすべて、hop_limitmanaged_config_flagother_config_flagreachable_time、および ns_interval についてルータ アドバタイズメントに同じパラメータを持つことを確認し、複数のルータによってアドバタイズされる、同じプレフィックスの優先される有効なライフタイムが同じであることを確認します。インターフェイスごとにパラメータを示すには、show ipv6 interface コマンドを入力します。

325002

エラーメッセージ %ASA-4-325002: Duplicate address ipv6_address/MAC_address on interface

説明別のシステムが IPv6 アドレスを使用しています。

  • ipv6_address:相手側ルータの IPv6 アドレス
  • MAC_address:既知の場合は相手側システムの MAC アドレス、それ以外の場合は unknown
  • interface:相手側システムとのリンクのインターフェイス名

推奨アクション 2 つのシステムのうちの 1 つの IPv6 アドレスを変更します。

325004

エラーメッセージ %ASA-4-325004: IPv6 Extension Header hdr_type action configuration.protocol from src_int :src_ipv6_addr /src_port to dst_interface : dst_ipv6_addr /dst_port .

説明 ユーザーが指定した IPv6 ヘッダー拡張に対して 1 つまたは複数のアクションを設定しました。

  • hdr_type:次のいずれかの値になります。

ah:AH 拡張ヘッダーに対してアクションを設定しました

count:拡張ヘッダー数に対してアクションを設定しました

destination-option:宛先オプションの拡張ヘッダーに対してアクションを設定しました

esp:ESP 拡張ヘッダーに対してアクションを設定しました

fragment:フラグメント拡張ヘッダーに対してアクションを設定しました

hop-by-hop:ホップバイホップ拡張ヘッダーに対してアクションを設定しました

routing-address count:ルーティング拡張ヘッダーのアドレス数に対してアクションを設定しました

routing-type:ルーティング タイプ拡張ヘッダーに対してアクションを設定しました

  • action:次のいずれかの値になります。

denied:パケットは拒否されます。

denied/logged:パケットは拒否され、記録されます。

logged:パケットは記録されます。

推奨アクション 設定されたアクションが期待されない場合、policy-map コマンドの下で、match header extension_header_type コマンドと parameters コマンドを確認し、正しい変更を加えます。次に例を示します。


ciscoasa (config)# policy-map type inspect ipv6 pname
ciscoasa (config-pmap)# parameters
ciscoasa (config-pmap-p)# no match header extension_header_type
 ! to remove the configuration
ciscoasa (config-pmap-p)# no drop ! so packets with the specified extension_header_type 
are not dropped
ciscoasa (config-pmap-p)# no log ! so packets with the specified extension_header_type 
are not logged
ciscoasa (config-pmap-p)# no drop log ! so packets with the specified extension_header_type 
are not dropped or logged

325005

エラーメッセージ %ASA-4-325005: Invalid IPv6 Extension Header Content: string .detail regarding protocol, ingress and egress interface

説明 不正な拡張ヘッダーを持つ IPv6 パケットが検出されました。

  • string:次のいずれかの値になります。

- wrong extension header order

- duplicate extension header

- routing extension header

推奨アクション ドロップされたパケットを記録するために capture コマンドを設定してから、パケットがドロップされる原因を解析します。IPv6 拡張ヘッダーの有効性チェックを無視できる場合には、次のコマンドを入力して、IPv6 ポリシー マップの有効性チェックをディセーブルにします。


ciscoasa (config)# policy-map type inspect ipv6 policy_name
ciscoasa (config-pmap)# parameters
ciscoasa (config-pmap-p)# no verify-header type

325006

エラーメッセージ %ASA-4-325006: IPv6 Extension Header not in order: Type hdr_type occurs after Type hdr_type TCP prot from inside src_int : src_ipv6_addr /src_port to dst_interface :dst_ipv6_addr /dst_port

説明 順序が不正な拡張ヘッダーを持つ IPv6 パケットが検出されました。

推奨アクション ドロップされたパケットを記録するために capture コマンドを設定してから、ドロップされたパケットの拡張ヘッダーの順序を解析します。順序が不正なヘッダー拡張が許可されている場合、次のコマンドを入力して、IPv6 タイプ ポリシー マップで正しくない順序のチェックをディセーブルにします。


ciscoasa (config)# policy-map type inspect ipv6 policy_name
ciscoasa (config-pmap)# parameters
ciscoasa (config-pmap-p)# no verify-header order

326001

エラーメッセージ %ASA-3-326001: Unexpected error in the timer library: error_message

説明管理対象タイマー イベントが、コンテキストも正しいタイプもなしで受信されたか、あるいはハンドラがありません。または、キューに入るイベントの数がシステム制限を超えると、後で処理が試行されます。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326002

エラーメッセージ %ASA-3-326002: Error in error_message : error_message

説明 IGMP プロセスが要求に応じてシャットダウンできませんでした。このシャットダウンに備えて実行されるイベントが同期していない可能性があります。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326004

エラーメッセージ %ASA-3-326004: An internal error occurred while processing a packet queue

説明 IGMP パケット キューがパケットを持たない信号を受信しました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326005

エラーメッセージ %ASA-3-326005: Mrib notification failed for (IP_address, IP_address )

説明データ駆動型イベントをトリガーするパケットが受信され、MRIB を通知する試行が失敗しました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326006

エラーメッセージ %ASA-3-326006: Entry-creation failed for (IP_address, IP_address )

説明 MFIB は MRIB からエントリのアップデートを受信しましたが、表示されるアドレスに関連するエントリを作成できませんでした。メモリ不足が原因として考えられます。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326007

エラーメッセージ %ASA-3-326007: Entry-update failed for (IP_address, IP_address )

説明 MFIB が MRIB からインターフェイスのアップデートを受信しましたが、表示されるアドレスに関連するインターフェイスを作成できませんでした。メモリ不足が原因として考えられます。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326008

エラーメッセージ %ASA-3-326008: MRIB registration failed

説明 MFIB が MRIB に登録できませんでした。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326009

エラーメッセージ %ASA-3-326009: MRIB connection-open failed

説明 MFIB が MRIB への接続を開けませんでした。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326010

エラーメッセージ %ASA-3-326010: MRIB unbind failed

説明 MFIB が MRIB からアンバインドできませんでした。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326011

エラーメッセージ %ASA-3-326011: MRIB table deletion failed

説明 MFIB が削除されるはずだったテーブルを取得できませんでした。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326012

エラーメッセージ %ASA-3-326012: Initialization of string functionality failed

説明指摘された機能の初期化が失敗しました。このコンポーネントは引き続き、機能なしでも動作する可能性があります。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326013

エラーメッセージ %ASA-3-326013: Internal error: string in string line %d (%s )

説明 MRIB で基本エラーが発生しました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326014

エラーメッセージ %ASA-3-326014: Initialization failed: error_message error_message

説明 MRIB が初期化できませんでした。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326015

エラーメッセージ %ASA-3-326015: Communication error: error_message error_message

説明 MRIB が形式が誤っているアップデートを受信しました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326016

エラーメッセージ %ASA-3-326016: Failed to set un-numbered interface for interface_name (string )

説明 PIM トンネルが送信元アドレスがないため使用できません。この状況は、番号付きインターフェイスが見つからないため、または内部エラーが原因で発生します。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326017

エラーメッセージ %ASA-3-326017: Interface Manager error - string in string : string

説明 PIM トンネル インターフェイスを作成中に、エラーが発生しました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326019

エラーメッセージ %ASA-3-326019: string in string : string

説明 PIM RP トンネル インターフェイスを作成中に、エラーが発生しました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326020

エラーメッセージ %ASA-3-326020: List error in string : string

説明 PIM インターフェイス リストを処理中に、エラーが発生しました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326021

エラーメッセージ %ASA-3-326021: Error in string : string

説明 PIM トンネル インターフェイスの SRC を設定中に、エラーが発生しました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326022

エラーメッセージ %ASA-3-326022: Error in string : string

説明 PIM プロセスが要求に応じてシャットダウンできませんでした。このシャットダウンに備えて実行されるイベントが同期していない可能性があります。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326023

エラーメッセージ %ASA-3-326023: string - IP_address : string

説明 PIM グループ範囲を処理中に、エラーが発生しました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326024

エラーメッセージ %ASA-3-326024: An internal error occurred while processing a packet queue.

説明 PIM パケット キューがパケットを持たない信号を受信しました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326025

エラーメッセージ %ASA-3-326025: string

説明メッセージ送信の試行中に、内部エラーが発生しました。PIM トンネル IDB の削除など、メッセージの受信時に発生するようスケジュールされたイベントが発生しない可能性があります。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326026

エラーメッセージ %ASA-3-326026: Server unexpected error: error_message

説明 MRIB がクライアントを登録できませんでした。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326027

エラーメッセージ %ASA-3-326027: Corrupted update: error_message

説明 MRIB が破損したアップデートを受信しました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

326028

エラーメッセージ %ASA-3-326028: Asynchronous error: error_message

説明 MRIB API で未処理の非同期エラーが発生しました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

327001

エラーメッセージ %ASA-3-327001: IP SLA Monitor: Cannot create a new process

説明 IP SLA モニターが新しいプロセスを開始できませんでした。

推奨アクション システム メモリを確認します。メモリが不足している場合は、それが原因である可能性があります。メモリが利用可能になったときに、コマンドを再入力してみます。問題が解決しない場合、Cisco TAC にお問い合わせください。

327002

エラーメッセージ %ASA-3-327002: IP SLA Monitor: Failed to initialize, IP SLA Monitor functionality will not work

説明 IP SLA モニターが初期化に失敗しました。この状態は、タイマー ホイール機能が初期化に失敗した場合、またはプロセスが作成されなかった場合に発生します。タスクを完了するために利用できるメモリが十分でない可能性があります。

推奨アクション システム メモリを確認します。メモリが不足している場合は、それが原因である可能性があります。メモリが利用可能になったときに、コマンドを再入力してみます。問題が解決しない場合、Cisco TAC にお問い合わせください。

327003

エラーメッセージ %ASA-3-327003: IP SLA Monitor: Generic Timer wheel timer functionality failed to initialize

説明 IP SLA モニターがタイマー ホイールを初期化できません。

推奨アクション システム メモリを確認します。メモリが不足している場合は、そのためにタイマー ホイール機能が初期化されませんでした。メモリが利用可能になったときに、コマンドを再入力してみます。問題が解決しない場合、Cisco TAC にお問い合わせください。

328001

エラーメッセージ %ASA-3-328001: Attempt made to overwrite a set stub function in string .

説明レジストリ チェック付きスタブが起動されたときのコールバックとして、1 つの機能を設定できます。コールバック機能がすでに設定されていたため、新しいコールバックの設定試行が失敗しました。

  • string:機能の名前

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

328002

エラーメッセージ %ASA-3-328002: Attempt made in string to register with out of bounds key

説明 FASTCASE レジストリでは、レジストリが作成されたときに指定されたサイズよりもキーが小さくなければなりません。境界外のキーを使用して登録が試行されました。

推奨アクション エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

329001

エラーメッセージ %ASA-3-329001: The string0 subblock named string1 was not removed

説明ソフトウェアのエラーが発生しました。IDB サブブロックを削除できません。

  • string0:SWIDB または HWIDB
  • string1:サブブロックの名前

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

331001

エラーメッセージ %ASA-3-331001: Dynamic DNS Update for 'fqdn_name ' = ip_address failed

説明ダイナミック DNS サブシステムが DNS サーバー上のリソース レコードをアップデートできませんでした。この障害は、Secure Firewall ASA が DNS サーバーにアクセスできない場合、または対象のシステム上で DNS サービスが動作していない場合に発生する可能性があります。

  • fqdn_name:DNS アップデートが試行された完全修飾ドメイン名
  • ip_address:DNS アップデートの IP アドレス

推奨アクション DNS サーバーが設定されており、Secure Firewall ASA から到達可能であることを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。

331002

エラーメッセージ %ASA-5-331002: Dynamic DNS type RR for ('fqdn_name ' - ip_address | ip_address - 'fqdn_name ') successfully updated in DNS server dns_server_ip

説明 DNS サーバーでダイナミック DNS アップデートが成功しました。

  • type:リソース レコードのタイプ(A または PTR)
  • fqdn_name:DNS アップデートが試行された完全修飾ドメイン名
  • ip_address:DNS アップデートの IP アドレス
  • dns_server_ip:DNS サーバーの IP アドレス

推奨アクション必要なし。

332001

エラーメッセージ %ASA-3-332001: Unable to open cache discovery socket, WCCP V2 closing down.

説明内部エラーです。WCCP プロセスが、キャッシュからのプロトコル メッセージのリッスンに使用される UDP ソケットを開くことができなかったことを示しています。

推奨アクション IP コンフィギュレーションが正しいこと、および少なくとも 1 つの IP アドレスが設定されていることを確認します。

332002

エラーメッセージ %ASA-3-332002: Unable to allocate message buffer, WCCP V2 closing down.

説明内部エラーです。WCCP プロセスが、着信プロトコル メッセージを保持するためのメモリを割り当てることができなかったことを示しています。

推奨アクションすべてのプロセスに利用可能な十分なメモリがあることを確認します。

332003

エラーメッセージ %ASA-5-332003: Web Cache IP_address /service_ID acquired

説明 Secure Firewall ASA の Web キャッシュからのサービスが取得されました。

  • IP_address:Web キャッシュの IP アドレス
  • service_ID:WCCP サービス識別子

推奨アクション必要なし。

332004

エラーメッセージ %ASA-1-332004: Web Cache IP_address /service_ID lost

説明 Secure Firewall ASA の Web キャッシュからのサービスが失われました。

  • IP_address:Web キャッシュの IP アドレス
  • service_ID:WCCP サービス識別子

推奨アクション指摘された Web キャッシュの動作を確認します。

333001

エラーメッセージ %ASA-6-333001: EAP association initiated - context: EAP-context

説明リモート ホストとの EAP アソシエーションが開始されました。

  • EAP-context:EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)

推奨アクション必要なし。

333002

エラーメッセージ %ASA-5-333002: Timeout waiting for EAP response - context:EAP-context

説明 EAP 応答を待っている間にタイムアウトが発生しました。

  • EAP-context:EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)

推奨アクション必要なし。

333003

エラーメッセージ %ASA-6-333003: EAP association terminated - context:EAP-context

説明リモート ホストとの EAP アソシエーションが終了しました。

  • EAP-context:EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)

推奨アクション必要なし。

333004

エラーメッセージ %ASA-7-333004: EAP-SQ response invalid - context:EAP-context

説明 EAP ステータス クエリーの応答が、基本的なパケット検証に失敗しました。

  • EAP-context:EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

333005

エラーメッセージ %ASA-7-333005: EAP-SQ response contains invalid TLV(s) - context:EAP-context

説明 EAP ステータス クエリーの応答に、1 つまたは複数の無効な TLV が含まれています。

  • EAP-context:EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

333006

エラーメッセージ %ASA-7-333006: EAP-SQ response with missing TLV(s) - context:EAP-context

説明 EAP ステータス クエリーの応答に、1 つまたは複数の必須 TLV がありません。

  • EAP-context:EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

333007

エラーメッセージ %ASA-7-333007: EAP-SQ response TLV has invalid length - context:EAP-context

説明 EAP ステータス クエリーの応答に、無効な長さの TLV が含まれています。

  • EAP-context:EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

333008

エラーメッセージ %ASA-7-333008: EAP-SQ response has invalid nonce TLV - context:EAP-context

説明 EAP ステータス クエリーの応答に、無効なナンス TLV が含まれています。

  • EAP-context:EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

333009

エラーメッセージ %ASA-6-333009: EAP-SQ response MAC TLV is invalid - context:EAP-context

説明 EAP ステータス クエリーの応答に、計算された MAC と一致しない MAC が含まれています。

  • EAP-context:EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

333010

エラーメッセージ %ASA-5-333010: EAP-SQ response Validation Flags TLV indicates PV request - context:EAP-context

説明 EAP ステータス クエリーの応答に、ピアが完全なポスチャ検証を要求したことを示す検証フラグ TLV が含まれています。

推奨アクション必要なし。

334001

エラーメッセージ %ASA-6-334001: EAPoUDP association initiated - host-address

説明リモート ホストとの EAPoUDP アソシエーションが開始されました。

  • host-address:ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)

推奨アクション必要なし。

334002

エラーメッセージ %ASA-5-334002: EAPoUDP association successfully established - host-address

説明ホストとの EAPoUDP アソシエーションが正常に確立されました。

  • host-address:ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)

推奨アクション必要なし。

334003

エラーメッセージ %ASA-5-334003: EAPoUDP association failed to establish - host-address

説明ホストとの EAPoUDP アソシエーションを確立できませんでした。

  • host-address:ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)

推奨アクション Cisco Secure Access Control Server の設定を確認します。

334004

エラーメッセージ %ASA-6-334004: Authentication request for NAC Clientless host - host-address

説明 NAC クライアントレス ホストの認証要求が行われました。

  • host-address:ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)

推奨アクション必要なし。

334005

エラーメッセージ %ASA-5-334005: Host put into NAC Hold state - host-address

説明ホストの NAC セッションが Hold 状態になりました。

  • host-address:ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)

推奨アクション必要なし。

334006

エラーメッセージ %ASA-5-334006: EAPoUDP failed to get a response from host - host-address

説明ホストから EAPoUDP 応答を受信しませんでした。

  • host-address:ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)

推奨アクション必要なし。

334007

エラーメッセージ %ASA-6-334007: EAPoUDP association terminated - host-address

説明ホストとの EAPoUDP アソシエーションが終了しました。

  • host-address:ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)

推奨アクション必要なし。

334008

エラーメッセージ %ASA-6-334008: NAC EAP association initiated - host-address , EAP context: EAP-context

説明 EAPoUDP がホストとの EAP を開始しました。

  • host-address:ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)
  • EAP-context:EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)

推奨アクション必要なし。

334009

エラーメッセージ %ASA-6-334009: Audit request for NAC Clientless host - Assigned_IP.

説明指摘された割り当て済み IP アドレスの監査要求が送信されています。

  • Assigned_IP:クライアントに割り当てられている IP アドレス

推奨アクション必要なし。

335001

エラーメッセージ %ASA-6-335001: NAC session initialized - host-address

説明 リモート ホストの NAC セッションが開始されました。

  • host-address:ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)

推奨アクション必要なし。

335002

エラーメッセージ %ASA-5-335002: Host is on the NAC Exception List - host-address , OS: oper-sys

説明 クライアントが NAC 例外リストに入っているため、ポスチャ検証の対象になりません。

  • host-address:ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。
  • oper-sys:ホストのオペレーティング システム(たとえば、Windows XP)。

推奨アクション必要なし。

335003

エラーメッセージ %ASA-5-335003: NAC Default ACL applied, ACL:ACL-name - host-address

説明 クライアントに NAC デフォルト ACL が適用されました。

  • ACL-name:適用する ACL の名前。
  • host-address:ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。

推奨アクション必要なし。

335004

エラーメッセージ %ASA-6-335004: NAC is disabled for host - host-address

説明 リモート ホストに対して NAC がディセーブルになっています。

  • host-address:ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。

推奨アクション必要なし。

335005

エラーメッセージ %ASA-4-335005: NAC Downloaded ACL parse failure - host-address

説明 ダウンロードされた ACL の解析に失敗しました。

  • host-address:ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。

推奨アクション Cisco Secure Access Control Server の設定を確認します。

335006

エラーメッセージ %ASA-6-335006: NAC Applying ACL: ACL-name - host-address

説明 NAC ポスチャ検証の結果として適用されている ACL の名前です。

  • ACL-name:適用する ACL の名前。
  • host-address:ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。

推奨アクション必要なし。

335007

エラーメッセージ %ASA-7-335007: NAC Default ACL not configured - host-address

説明 NAC デフォルト ACL が設定されていません。

  • host-address:ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。

推奨アクション必要なし。

335008

エラーメッセージ %ASA-5-335008: NAC IPsec terminate from dynamic ACL: ACL-name - host-address

説明 PV の結果として取得されたダイナミック ACL には IPSec の終端が必要です。

  • ACL-name:適用する ACL の名前。
  • host-address:ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。

推奨アクション必要なし。

335009

エラーメッセージ %ASA-6-335009: NAC Revalidate request by administrative action - host-address

説明 管理者によって NAC Revalidate アクションが要求されました。

  • host-address:ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。

推奨アクション必要なし。

335010

エラー メッセージ %ASA-6-335010: NAC Revalidate All request by administrative action - num sessions

説明 管理者によって NAC Revalidate All アクションが要求されました。

  • num:再検証するセッション数を示す 10 進の整数

推奨アクション必要なし。

335011

エラー メッセージ %ASA-6-335011: NAC Revalidate Group request by administrative action for group-name group - num sessions

説明 管理者によって NAC Revalidate Group アクションが要求されました。

  • group-name:VPN グループ名
  • num:再検証するセッション数を示す 10 進の整数

推奨アクション必要なし。

335012

エラーメッセージ %ASA-6-335012: NAC Initialize request by administrative action - host-address

説明 管理者によって NAC Initialize アクションが要求されました。

  • host-address:ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。

推奨アクション必要なし。

335013

エラー メッセージ %ASA-6-335013: NAC Initialize All request by administrative action - num sessions

説明 管理者によって NAC Initialize All アクションが要求されました。

  • num:再検証するセッション数を示す 10 進の整数

推奨アクション必要なし。

335014

エラー メッセージ %ASA-6-335014: NAC Initialize Group request by administrative action for group-name group - num sessions

説明 管理者によって NAC Initialize Group アクションが要求されました。

  • group-name:VPN グループ名
  • num:再検証するセッション数を示す 10 進の整数

推奨アクション必要なし。

336001

エラーメッセージ %ASA-3-336001 Route desination_network stuck-in-active state in EIGRP-ddb_name as_num. Cleaning up

説明 SIA 状態とは、EIGRP ルータが指定された時間(約 3 分)以内に 1 つ以上のネイバーからクエリーに対する応答を受信できなかったことを意味します。この状態が発生した場合、EIGRP は、応答を送信しなかった隣接ルータとの隣接関係を解消し、アクティブになったルートに関するエラー メッセージをログに記録します。

  • destination_network:アクティブになったルート
  • ddb_name:IPv4
  • as_num:EIGRP ルータ

推奨アクション ルータが一部の隣接ルータから応答を受信しなかった原因、およびルートが消失した原因を確認します。

336002

エラーメッセージ %ASA-3-336002: Handle handle_id is not allocated in pool.

説明 EIGRP ルータは、ネクスト ホップのハンドルを見つけることができません。

  • handle_id:見つからないハンドルの ID

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

336003

エラーメッセージ %ASA-3-336003: No buffers available for bytes byte packet

説明 DUAL ソフトウェアが、パケット バッファを割り当てることができませんでした。Secure Firewall ASA のメモリが不足している可能性があります。

  • bytes:パケット内のバイト数

推奨アクション show mem または show tech コマンドを入力して、Secure Firewall ASA のメモリが不足しているかどうかを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。

336004

エラーメッセージ %ASA-3-336004: Negative refcount in pakdesc pakdesc.

説明リファレンス カウントのパケット カウントが負になりました。

  • pakdesc:パケット識別子

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

336005

エラーメッセージ %ASA-3-336005: Flow control error, error , on interface_name.

説明インターフェイスでマルチキャストのフロー ブロックが発生しています。Qelm はキュー要素で、この場合は、この特定のインターフェイスのキューにある最後のマルチキャスト パケットです。

  • error:エラー文:Qelm on flow ready
  • interface_name:エラーが発生したインターフェイスの名前

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

336006

エラーメッセージ %ASA-3-336006: num peers exist on IIDB interface_name.

説明 EIGRP の IDB のクリーンアップ中またはクリーンアップ後、特定のインターフェイス上にピアがまだ存在しています。

  • num:ピアの数
  • interface_name:インターフェイス名

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

336007

エラーメッセージ %ASA-3-336007: Anchor count negative

説明エラーが発生し、アンカーの解放時にアンカー カウントが負になりました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

336008

エラーメッセージ %ASA-3-336008: Lingering DRDB deleting IIDB, dest network, nexthop address (interface), origin origin_str

説明インターフェイスが削除されており、長期の DRDB が存在します。

  • network:宛先ネットワーク
  • address:ネクストホップ アドレス
  • interface:ネクストホップ インターフェイス
  • origin_str:発信元を定義する文字列

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

336009

エラーメッセージ %ASA-3-336009 ddb_name as_id: Internal Error

説明内部エラーが発生しました。

  • ddb_name:PDM 名(たとえば、IPv4 PDM)
  • as_id:自律システム ID

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

336010

エラーメッセージ %ASA-5-336010 EIGRP-ddb_name tableid as_id: Neighbor address (%interface) is event_msg: msg

説明隣接ルータがアップまたはダウンしました。

  • ddb_name:IPv4
  • tableid:RIB の内部 ID
  • as_id:自律システム ID
  • address:隣接ルータの IP アドレス
  • interface:インターフェイスの名前
  • event_msg:隣接ルータで発生しているイベント(つまり、up または down)
  • msg:イベントの原因。(event_msg msg の値ペアには次のものがあります)

- resync: peer graceful-restart

- down: holding timer expired

- up: new adjacency

- down: Auth failure

- down: Stuck in Active

- down: Interface PEER-TERMINATION received

- down: K-value mismatch

- down: Peer Termination received

- down: stuck in INIT state

- down: peer info changed

- down: summary configured

- down: Max hopcount changed

- down: metric changed

- down: [No reason]

推奨アクション隣接ルータのリンクがダウンまたはフラッピングしている原因を確認します。これは、問題の兆候である可能性があります。または、これが原因で問題が発生する可能性があります。

336011

エラーメッセージ %ASA-6-336011: event event

説明デュアル イベントが発生しました。イベントは次のいずれかです。

  • Redist rt change
  • SIA Query while Active

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

336012

エラーメッセージ %ASA-3-336012: Interface interface_names going down and neighbor_links links exist

説明インターフェイスがダウンしているか、または IGRP 経由でルーティングから削除されていますが、すべてのリンク(ネイバー)がトポロジ テーブルから削除されたわけではありません。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

336013

エラーメッセージ %ASA-3-336013: Route iproute, iproute_successors successors, db_successors rdbs

説明ハードウェアまたはソフトウェアのエラーが発生しました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

336014

エラーメッセージ %ASA-3-336014: “EIGRP_PDM_Process_name, event_log”

説明ハードウェアまたはソフトウェアのエラーが発生しました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

336015

エラーメッセージ %ASA-3-336015: “Unable to open socket for AS as_number”

説明ハードウェアまたはソフトウェアのエラーが発生しました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

336016

エラーメッセージ %ASA-3-336016: Unknown timer type timer_type expiration

説明ハードウェアまたはソフトウェアのエラーが発生しました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

336019

エラーメッセージ %ASA-3-336019: process_name as_number: prefix_source threshold prefix level (prefix_threshold) reached

説明トポロジ データベース内のプレフィックス数が、設定されたしきい値レベルまたはデフォルトのしきい値レベルに達しました。プレフィックスの送信元は次のいずれかになります。

  • ネイバー
  • 再配布済み
  • アグリゲート

推奨アクション show eigrp accounting コマンドを使用して、プレフィックスの送信元に関する詳細を取得し、是正措置を取ってください。

337000

エラーメッセージ %ASA-6-337000: Created BFD session with local discriminator <id> on <real_interface> with neighbor <real_host_ip>

説明この syslog メッセージは、BFD アクティブ セッションが作成されたことを示します。

  • id:特定の BFD セッションのローカル識別子の値を示す数値フィールド
  • real_interface:BFD セッションが実行されているインターフェイス名
  • real_host_ip:BFD セッションが確立されたネイバーの IP アドレス

推奨アクションなし。

337001

エラーメッセージ %ASA-6-337001: Terminated BFD session with local discriminator <id> on <real_interface> with neighbor <real_host_ip> due to <failure_reason>

説明この syslog メッセージは、アクティブな BFD セッションが終了したことを示します。

  • id:特定の BFD セッションのローカル識別子の値を示す数値フィールド
  • real_interface:BFD セッションが実行されているインターフェイス名
  • real_host_ip:BFD セッションが確立されたネイバーの IP アドレス
  • failure_reason:次のエラーの理由のいずれか。ピア側の BFD がダウン、ピア側の BFD 構成の削除、検出タイマーの期限切れ、エコー機能障害、ピアへのパスがダウン、ローカル BFD 構成の削除、BFD クライアント構成の削除

推奨アクションなし。

337005

エラーメッセージ %ASA-4-337005: Phone Proxy SRTP: Media session not found for media_term_ip/media_term_port for packet from in_ifc:src_ip/src_port to out_ifc:dest_ip/dest_port

説明適応型セキュリティ アプライアンスでメディア終端 IP アドレスおよびポートを宛先とした SRTP/RTP パケットを受信したが、このパケットを処理するための対応するメディア セッションが見つかりませんでした。

  • in_ifc:入力インターフェイス
  • src_ip:パケットの送信元 IP アドレス
  • src_port:パケットの送信元ポート
  • out_ifc:出力インターフェイス
  • dest_ip:パケットの宛先 IP アドレス
  • dest_port:パケットの宛先ポート

推奨アクションこのメッセージがコールの最後に生成された場合、正常であると考えられます。シグナリング メッセージによりメディア セッションは解放された可能性がありますが、エンドポイントでは引き続きいくつかの SRTP または RTP パケットが送信されているためです。このメッセージが奇数のメディア終端ポートに対して生成された場合、エンドポイントでは RTCP が送信されており、それを CUCM からディセーブルにする必要があります。このメッセージがコールに対して継続的に生成される場合は、電話プロキシ デバッグ コマンドまたは取り込みコマンドを使用してシグナリング メッセージ トランザクションをデバッグし、シグナリング メッセージがメディア終端 IP アドレスおよびポートで変更されているかどうかを確認します。

338001

エラーメッセージ %ASA-4-338001: Dynamic filter monitored blacklisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port) to out_interface :dest_ip_addr /dest_port , (mapped-ip /mapped-port), source malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のブロックリストに登録されているドメインからのトラフィックが発生しました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリの文字列は、ドメイン名がブラックリストに登録された理由を示します(botnet、Trojan、spyware など)。

推奨アクション 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染したマシンをトレースするか、dynamic-filter drop blacklist コマンドを入力して自動的にこのようなトラフィックをドロップします。

338002

エラーメッセージ %ASA-4-338002: Dynamic filter monitored blacklisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), destination malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のブロックリストに登録されているドメインへのトラフィックが発生しました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリの文字列は、ドメイン名がブラックリストに登録された理由を示します(botnet、Trojan、spyware など)。

推奨アクション 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、dynamic-filter drop blacklist コマンドを入力して自動的にこのようなトラフィックをドロップします。

338003

エラーメッセージ %ASA-4-338003: Dynamic filter monitored blacklisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port) to out_interface :dest_ip_addr /dest_port , (mapped-ip /mapped-port), source malicious address resolved from local or dynamic list: ip address/netmask, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のブロックリスト上の IP アドレスからのトラフィックが発生しました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリの文字列は、ドメイン名がブラックリストに登録された理由を示します(botnet、Trojan、spyware など)。

推奨アクション 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、dynamic-filter drop blacklist コマンドを入力して自動的にこのようなトラフィックをドロップします。

338004

エラーメッセージ %ASA-4-338004: Dynamic filter monitored blacklisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), destination malicious address resolved from local or dynamic list: ip address/netmask, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のブロックリスト上の IP アドレスへのトラフィックが発生しました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリの文字列は、ドメイン名がブラックリストに登録された理由を示します(botnet、Trojan、spyware など)。

推奨アクション 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染したマシンをトレースするか、dynamic-filter drop コマンドを入力して自動的にこのようなトラフィックをドロップします。

338005

エラーメッセージ %ASA-4-338005: Dynamic filter dropped blacklisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), source malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のブロックリストに登録されているドメイン名からのトラフィックが拒否されました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリの文字列は、ドメイン名がブラックリストに登録された理由を示します(botnet、Trojan、spyware など)。

推奨アクション必要なし。

338006

エラーメッセージ %ASA-4-338006: Dynamic filter dropped blacklisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), destination malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のブロックリストに登録されているドメインへのトラフィックが拒否されました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリの文字列は、ドメイン名がブラックリストに登録された理由を示します(botnet、Trojan、spyware など)。

推奨アクション必要なし。

338007

エラーメッセージ %ASA-4-338007: Dynamic filter dropped blacklisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), source malicious address resolved from local or dynamic list: ip address/netmask, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のブロックリスト上の IP アドレスからのトラフィックが拒否されました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリの文字列は、ドメイン名がブラックリストに登録された理由を示します(botnet、Trojan、spyware など)。

推奨アクション必要なし。

338008

エラーメッセージ %ASA-4-338008: Dynamic filter dropped blacklisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), destination malicious address resolved from local or dynamic list: ip address/netmask, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のブロックリスト上の IP アドレスへのトラフィックが拒否されました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリの文字列は、ドメイン名がブラックリストに登録された理由を示します(botnet、Trojan、spyware など)。

推奨アクション必要なし。

338101

エラーメッセージ %ASA-4-338101: Dynamic filter action whitelisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port) to out_interface :dest_ip_addr /dest_port , (mapped-ip /mapped-port), source malicious address resolved from local or dynamic list: domain name

説明 ダイナミック フィルタ データベース内の許可リストに登録されているドメインからのトラフィックが発生しました。

推奨アクション必要なし。

338102

エラーメッセージ %ASA-4-338102: Dynamic filter action whitelisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), destination malicious address resolved from local or dynamic list: domain name

説明 ダイナミック フィルタ データベース内の許可リストに登録されているドメイン名へのトラフィックが発生しました。

推奨アクション必要なし。

338103

エラーメッセージ %ASA-4-338103: Dynamic filter action whitelisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port) to out_interface :dest_ip_addr /dest_port , (mapped-ip /mapped-port), source malicious address resolved from local or dynamic list: ip address/netmask

説明 ダイナミック フィルタ データベース内の許可リスト上の IP アドレスからのトラフィックが発生しました。

推奨アクション必要なし。

338104

エラーメッセージ %ASA-4-338104: Dynamic filter action whitelisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), destination malicious address resolved from local or dynamic list: ip address/netmask

説明 ダイナミック フィルタ データベース内の許可リスト上の IP アドレスへのトラフィックが発生しました。

推奨アクション必要なし。

338201

エラーメッセージ %ASA-4-338201: Dynamic filter monitored greylisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port) to out_interface :dest_ip_addr /dest_port , (mapped-ip /mapped-port), source malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のグレーリストに登録されているドメインからのトラフィックが発生しました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリの文字列は、ドメイン名がブラックリストに登録された理由を示します(botnet、Trojan、spyware など)。

推奨アクション 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、dynamic-filter drop blacklist コマンドと dynamic-filter ambiguous-is-black コマンドを入力して自動的にこのようなトラフィックをドロップします。

338202

エラーメッセージ %ASA-4-338202: Dynamic filter monitored greylisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), destination malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のグレーリストに登録されているドメイン名へのトラフィックが発生しました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリの文字列は、ドメイン名がブラックリストに登録された理由を示します(botnet、Trojan、spyware など)。

推奨アクション 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、dynamic-filter drop blacklist コマンドと dynamic-filter ambiguous-is-black コマンドを入力して自動的にこのようなトラフィックをドロップします。

338203

エラーメッセージ %ASA-4-338203: Dynamic filter dropped greylisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), source malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のグレーリスト ドメイン名からのトラフィックが拒否されました。ただし、悪意のある IP アドレスはダイナミック フィルタ データベースで認識されていないドメイン名に解決されています。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリの文字列は、ドメイン名がブラックリストに登録された理由を示します(botnet、Trojan、spyware など)。

推奨アクション 悪意のあるサイトへのアクセスがドロップされました。IP アドレスが不明のドメイン名とブラックリスト上のメイン名の両方に一致するグレーリストトラフィックを自動的にドロップしない場合は、dynamic-filter ambiguous-is-black コマンドをディセーブルにします。

338204

エラーメッセージ %ASA-4-338204: Dynamic filter dropped greylisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), destination malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のグレーリスト ドメイン名へのトラフィックが拒否されました。ただし、悪意のある IP アドレスはダイナミック フィルタ データベースで認識されていないドメイン名に解決されています。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリの文字列は、ドメイン名がブラックリストに登録された理由を示します(botnet、Trojan、spyware など)。

推奨アクション 悪意のあるサイトへのアクセスがドロップされました。IP アドレスが不明のドメイン名とブラックリスト上のメイン名の両方に一致するグレーリストトラフィックを自動的にドロップしない場合は、dynamic-filter ambiguous-is-black コマンドをディセーブルにします。

338301

エラーメッセージ %ASA-4-338301: Intercepted DNS reply for domain name from in_interface :src_ip_addr /src_port to out_interface :dest_ip_addr /dest_port , matched list

説明 管理者の許可リスト、ブロックリスト、または IronPort リストに存在する DNS 応答が代行受信されました。

  • name:ドメイン名
  • list:ドメイン名が記載されているリスト、管理者許可リスト、ブロックリスト、または IronPort リスト

推奨アクション必要なし。

338302

エラーメッセージ %ASA-5-338302: Address ipaddr discovered for domain name from list , Adding rule

説明 ダイナミック フィルタ規則テーブルに DNS 応答から検出された IP アドレスが追加されました。

  • ipaddr:DNS 応答からの IP アドレス
  • name:ドメイン名
  • list:ドメイン名が記載されているリスト、管理者ブロックリスト、または IronPort リスト

推奨アクション必要なし。

338303

エラー メッセージ %ASA-5-338303: Address ipaddr (name) timed out, Removing rule

説明 ダイナミック フィルタ規則テーブルから検出された IP アドレスが削除されました。

  • ipaddr:DNS 応答からの IP アドレス
  • name:ドメイン名

推奨アクション必要なし。

338304

エラーメッセージ %ASA-6-338304: Successfully downloaded dynamic filter data file from updater server url

説明 新しいバージョンのデータ ファイルがダウンロードされました。

  • url:アップデータ サーバーの URL

推奨アクション必要なし。

338305

エラーメッセージ %ASA-3-338305: Failed to download dynamic filter data file from updater server url

説明 ダイナミック フィルタ データベースのダウンロードに失敗しました。

  • url:アップデータ サーバーの URL

推奨アクション アップデータ サーバーの URL を解決できるように、ASA に DNS コンフィギュレーションが存在することを確認します。ASA からサーバーに対して ping を実行できない場合は、正しいネットワーク接続およびルーティング コンフィギュレーションについてネットワーク管理者に確認してください。問題が解決しない場合、Cisco TAC にお問い合わせください。

338306

エラーメッセージ %ASA-3-338306: Failed to authenticate with dynamic filter updater server url

説明 ASA はダイナミック フィルタ アップデータ サーバーに対する認証に失敗しました。

  • url:アップデータ サーバーの URL

推奨アクション Cisco TAC にお問い合わせください。

338307

エラー メッセージ %ASA-3-338307: Failed to decrypt downloaded dynamic filter database file

説明 ダウンロードしたダイナミック フィルタ データベース ファイルの復号化に失敗しました。

推奨アクション Cisco TAC にお問い合わせください。

338308

エラー メッセージ %ASA-5-338308: Dynamic filter updater server dynamically changed from old_server_host : old_server_port to new_server_host : new_server_port

説明 ASA は、新しいアップデータ サーバーのホストまたはポートに変更されました。

  • old_server_host :old_server_port:今までのアップデータ サーバーのホストとポート
  • new_server_host :new_server_port:新しいアップデータ サーバーのホストとポート

推奨アクション必要なし。

338309

エラー メッセージ %ASA-3-338309: The license on this ASA does not support dynamic filter updater feature.

説明 ダイナミック フィルタ アップデータはライセンス対象の機能です。ただし、ASA のライセンスでは、この機能はサポートされていません。

推奨アクション必要なし。

338310

エラーメッセージ %ASA-3-338310: Failed to update from dynamic filter updater server url, reason: reason string

説明 ASA でダイナミック フィルタ アップデータ サーバーからのアップデートの受信に失敗しました。

  • url:アップデータ サーバーの URL
  • reason string:失敗の原因。次のいずれかです。

- アップデータ サーバーへの接続失敗

- 無効なサーバー応答の受信

- 無効なサーバー マニフェストの受信

- 格納されているアップデート ファイル情報のエラー

- スクリプト エラー

- 機能コール エラー

- メモリ不足

推奨アクション サーバーへのネットワーク接続を確認します。show dynamic-filter updater-client コマンドの出力に示されるサーバー URL に対して ping を実行します。ポートがネットワークを通過できるようになっていることを確認します。ネットワーク接続に問題がない場合は、ネットワーク管理者にお問い合わせください。

339001

エラーメッセージ %ASA-3-339001: DNSCRYPT certificate update failed for <num_tries> tries

説明 DNSCrypt は証明書の更新を受信できませんでした。

  • num_tries:DNSCrypt が証明書の更新を取得できなかった回数

推奨アクション 次の事項を確認します。

  • ルートが Umbrella サーバーに対して設定されている場合。

  • Umbrella サーバーの出力インターフェイスがアップしている場合。

  • 正しいプロバイダー公開キーが使用されている場合。

339002

エラーメッセージ %ASA-3-339002: Umbrella device registration failed with error code <err_code>

説明Umbrella デバイスの登録に失敗しました。

  • err_code:サーバーから返されたエラーコード。

推奨アクションエラーコードが次の場合:

  • 400:要求の形式またはコンテンツに問題があります。トークンが短すぎるか、破損している可能性があります。トークンが Umbrella ダッシュボードにあるものと一致するかどうかを確認します。

  • 401:トークンは承認されていません。トークンが Umbrella ダッシュボードで更新された場合は、ASA で新しいトークンを更新する必要があります。

  • 409:デバイス ID が別の組織と競合しています。Umbrella サーバー管理者にお問い合わせください。

  • 500:内部サーバーエラーがあります。Umbrella サーバー管理者にお問い合わせください。

339003

エラーメッセージ %ASA-3-339003: Umbrella device registration was successful

説明 Umbrella デバイスの登録に成功したメッセージ。

推奨アクションなし。

339004

エラーメッセージ %ASA-3-339004: Umbrella device registration failed due to missing token

説明 トークンがないため、Umbrella デバイスの登録に失敗しました。

推奨アクショントークンがグローバルな「包括」サブモードで設定されていることを確認してください。

339005

エラーメッセージ %ASA-3-339005: Umbrella device registration failed after <num_tries> retries

説明 Umbrella デバイスの登録に失敗しました。

  • num_tries:Umbrella デバイスが Umbrella サーバーへの登録に失敗した回数。

推奨アクション Syslog 339002 メッセージでエラーコードを見つけます。339002 Syslog メッセージの回避策を参照し、修正してください。

339006

エラーメッセージ %ASA-3-339006: Umbrella resolver current resolver ipv46 is reachable, resuming Umbrella redirect.

説明 Umbrella が開くことに失敗し、リゾルバが到達不能でした。現時点では、レゾルバが到達可能になっており、サービスが再開されています。

推奨処置なし。

339007

エラーメッセージ %ASA-3-339007: Umbrella resolver current resolver ipv46 is unreachable, moving to fail-open. Starting probe to resolver.

説明 Umbrella フェールオープンが設定されており、リゾルバの到達不能が検出されました。

推奨アクションUmbrella リゾルバへの到達可能性に関してネットワーク設定を確認します。

339008

エラーメッセージ %ASA-3-339008: Umbrella resolver current resolver ipv46 is unreachable, moving to fail-close.

説明 Umbrella フェールオープンが設定されて「おらず」、リゾルバの到達不能が検出されました。

推奨アクションUmbrella リゾルバへの到達可能性に関してネットワーク設定を確認します。

340001

エラーメッセージ %ASA-3-340001: Loopback-proxy error: error_string context id context_id , context type = version /request_type /address_type client socket (internal)= client_address_internal /client_port_internal server socket (internal)= server_address_internal /server_port_internal server socket (external)= server_address_external /server_port_external remote socket (external)= remote_address_external /remote_port_external

説明ループ バック プロキシは、Secure Firewall ASA で実行されているサード パーティ製アプリケーションがネットワークにアクセスすることを可能にします。ループ バック プロキシでエラーが発生しました。

  • context_id:各ループバック クライアント プロキシ要求に対して生成される一意の 32 ビット コンテキスト ID
  • version:プロトコル バージョン
  • request_type:要求タイプ。TC(TCP 接続)、TB(TCP バインド)、または UA(UDP アソシエーション)のいずれかになります
  • address_type:アドレス タイプ、IP4(IPv4)、IP6(IPv6)、または DNS(ドメイン名サービス)のいずれかになります
  • client_address_internal/server_address_internal:ループバック クライアントおよびループバック サーバーが通信に使用したアドレス
  • client_port_internal /server_port_internal:ループバック クライアントおよびループバック サーバーが通信に使用したポート
  • server_address_external /remote_address_external:ループバック サーバーとリモート ホストが通信に使用したアドレス
  • server_port_external /remote_port_external:ループバック サーバーとリモート ホストが通信に使用したポート
  • error_string:問題の解決に役立つエラー文字列

推奨アクション syslog メッセージをコピーし、Cisco TAC にお問い合わせください。

340002

エラーメッセージ %ASA-6-340002: Loopback-proxy info: error_string context id context_id , context type = version /request_type /address_type client socket (internal)= client_address_internal /client_port_internal server socket (internal)= server_address_internal /server_port_internal server socket (external)= server_address_external /server_port_external remote socket (external)= remote_address_external /remote_port_external

説明ループ バック プロキシは、Secure Firewall ASA で実行されているサード パーティ製アプリケーションがネットワークにアクセスすることを可能にします。ループバック プロキシは、トラブルシューティングで使用するデバッグ情報を生成しました。

  • context_id:各ループバック クライアント プロキシ要求に対して生成される一意の 32 ビット コンテキスト ID
  • version:プロトコル バージョン
  • request_type:要求タイプ。TC(TCP 接続)、TB(TCP バインド)、または UA(UDP アソシエーション)のいずれかになります
  • address_type:アドレス タイプ、IP4(IPv4)、IP6(IPv6)、または DNS(ドメイン名サービス)のいずれかになります
  • client_address_internal/server_address_internal:ループバック クライアントおよびループバック サーバーが通信に使用したアドレス
  • client_port_internal /server_port_internal:ループバック クライアントおよびループバック サーバーが通信に使用したポート
  • server_address_external /remote_address_external:ループバック サーバーとリモート ホストが通信に使用したアドレス
  • server_port_external /remote_port_external:ループバック サーバーとリモート ホストが通信に使用したポート
  • error_string:問題の解決に役立つエラー文字列

推奨アクション syslog メッセージをコピーし、Cisco TAC にお問い合わせください。

341001

エラーメッセージ %ASA-6-341001: Policy Agent started successfully for VNMC vnmc_ip_addr

説明ポリシー エージェント プロセス(DME、ducatiAG および commonAG)が正常に開始されました。

  • vnmc_ip_addr:VNMC サーバーの IP アドレス

推奨アクションなし。

341002

エラーメッセージ %ASA-6-341002: Policy Agent stopped successfully for VNMC vnmc_ip_addr

説明ポリシー エージェント プロセス(DME、ducatiAG および commonAG)が停止しました。

  • vnmc_ip_addr:VNMC サーバーの IP アドレス

推奨アクションなし。

341003

エラーメッセージ %ASA-3-341003: Policy Agent failed to start for VNMC vnmc_ip_addr

説明ポリシー エージェントの開始に失敗しました。

  • vnmc_ip_addr:VNMC サーバーの IP アドレス

推奨アクション コンソールの履歴やエラー メッセージの disk0:/pa/log/vnm_pa_error_status をチェックします。ポリシー エージェントの開始を再試行するには、registration host コマンドを再実行します。

341004

エラーメッセージ %ASA-3-341004: Storage device not available: Attempt to shutdown module %s failed.

説明すべての SSD が失敗したか、アップ状態のシステムから削除されました。システムがソフトウェア モジュールをシャット ダウンしようとしましたが、失敗しました。

  • %s:ソフトウェア モジュール(cxsc など)

推奨アクション削除されたか、障害が発生したドライブを交換し、Secure Firewall ASA をリロードします。

341005

エラーメッセージ %ASA-3-341005: Storage device not available. Shutdown issued for module %s .

説明すべての SSD が失敗したか、アップ状態のシステムから削除されました。システムがソフトウェア モジュールをシャット ダウンしています。

  • %s:ソフトウェア モジュール(cxsc など)

推奨アクション削除されたか、障害が発生したドライブを交換し、ソフトウェア モジュールをリロードします。

341006

エラーメッセージ %ASA-3-341006: Storage device not available. Failed to stop recovery of module %s .

説明すべての SSD が失敗したか、リカバリ状態のシステムから削除されました。システムがリカバリを停止しようとしましたが、失敗しました。

  • %s:ソフトウェア モジュール(cxsc など)

推奨アクション削除されたか、障害が発生したドライブを交換し、Secure Firewall ASA をリロードします。

341007

エラーメッセージ %ASA-3-341007: Storage device not available. Further recovery of module %s was stopped. This may take several minutes to complete.

説明すべての SSD が失敗したか、リカバリ状態のシステムから削除されました。システムはソフトウェア モジュールのリカバリを中断します。

  • %s:ソフトウェア モジュール(cxsc など)

推奨アクション削除されたか、障害が発生したドライブを交換し、ソフトウェア モジュールをリロードします。

341008

エラーメッセージ %ASA-3-341008: Storage device not found. Auto-boot of module %s cancelled. Install drive and reload to try again.

説明システムをアップ状態にした後、すべての SSD に障害が発生したか、システムをリロードする前に削除されました。ブート中のデフォルト動作ではソフトウェア モジュールが自動ブートされますが、利用可能なストレージ デバイスがないため、その動作がブロックされます。

推奨アクション削除されたか、障害が発生したドライブを交換し、ソフトウェア モジュールをリロードします。

341010

エラーメッセージ %ASA-6-341010: Storage device with serial number ser_no [inserted into | removed from] bay bay_no

説明 Secure Firewall ASA が挿入または削除のイベントを検出し、この syslog メッセージをすぐに生成します。

推奨アクション必要なし。

341011

エラーメッセージ %ASA-3-341011: Storage device with serial number ser_no in bay bay_no faulty.

説明 Secure Firewall ASA は 10 分ごとにハード ディスク ドライブ(HDD)のヘルス ステータスをポーリングし、HDD が障害状態の場合は、この syslog メッセージを生成します。

推奨アクション必要なし。

342001

エラー メッセージ %ASA-7-342001: REST API Agent started successfully.

説明 REST API クライアントで ASA を設定するには、その前に REST API エージェントを正常に起動する必要があります。

推奨アクションなし。

342002

エラーメッセージ %ASA-3-342002: REST API Agent failed, reason: reason

説明 REST API エージェントが、さまざまな理由で起動に失敗したかクラッシュした可能性があり、理由が示されます。

  • reason:REST API エラーの原因

推奨アクション 問題を解決するためのアクションは、記録された理由によって異なります。たとえば、REST API エージェントは Java プロセスでメモリが不足するとクラッシュします。この場合は、REST API エージェントを再起動する必要があります。正常に再起動できない場合は、根本原因の修正を特定するために Cisco TAC にお問い合わせください。

342003

エラーメッセージ %ASA-3-342003: REST API Agent failure notification received. Agent will be restarted automatically.

説明 REST API エージェントからのエラー通知が受信され、エージェントの再起動が試みられます。

推奨アクションなし。

342004

エラーメッセージ %ASA-3-342004: Failed to automatically restart the REST API Agent after 5 unsuccessful attempts. Use the 'no rest-api agent' and 'rest-api agent' commands to manually restart the Agent.

説明 REST API エージェントは何度か起動しようとしましたができませんでした。

推奨アクション 失敗の理由をさらに把握するには、syslog %ASA-3-342002(記録されている場合)を参照してください。no rest-api agent コマンドを入力して REST API エージェントをいったん無効にしてから、rest-api agent コマンドで再度 REST API エージェントを有効にしてみてください。

342005

エラー メッセージ %ASA-7-342005: REST API image has been installed successfully.

説明 REST API イメージは、REST API エージェントを起動する前に正常にインストールする必要があります。

推奨アクションなし。

342006

エラー メッセージ %ASA-3-342006: Failed to install REST API image, reason: <reason>.

説明 REST API イメージのインストールが、バージョン チェックに失敗した、イメージの検証に失敗した、イメージ ファイルが見つからない、フラッシュの領域を使い切った、マウントに失敗した、のいずれかの理由で失敗しました。

推奨処置 管理者は、障害を修復し、「rest-api image <image>」を使用してイメージを再インストールする必要があります。

342007

エラー メッセージ %ASA-7-342007: REST API image has been uninstalled successfully.

説明 新しいイメージをインストールする前に、古い REST API イメージを正常にアンインストールする必要があります。

推奨アクションなし。

342008

エラー メッセージ %ASA-3-342008: Failed to uninstall REST API image, reason: <reason>.

説明 REST API イメージは、マウント解除に失敗したか、または REST エージェントが有効になっているためにアンインストールできませんでした。

推奨アクション 管理者は REST API イメージをアンインストールする前に REST エージェントを無効にする必要があります。