IOS デバイスの設定

ASA Cisco IOS デバイス設定

ASA Cisco IOS など、一部のタイプのデバイスは、設定を 1 つの構成ファイルに保存します。これらのデバイスの場合、Security Cloud Control でデバイス構成ファイルを表示し、デバイスに応じてさまざまな操作を実行できます。

デバイスの構成ファイルを表示する

Cisco ASA、SSH 管理対象デバイス、Cisco IOS を実行しているデバイスなど、構成全体を 1 つの構成ファイルに保存するデバイスの場合、Security Cloud Control を使用して構成ファイルを表示できます。


(注)  


SSH 管理対象デバイスと Cisco IOS デバイスには読み取り専用の設定があります。


手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

設定を表示するデバイスまたはモデルを選択します。

ステップ 5

右側の [管理(Management] ペインで、[設定(Configuration)] をクリックします。

完全な構成ファイルが表示されます。

Security Cloud Control コマンドライン インターフェイス

Security Cloud Control は、、Cisco IOS デバイスを管理するためのコマンド ライン インターフェイス(CLI)をユーザーに提供します。コマンドは、単一のデバイスに送信することも、複数のデバイスに同時に送信することも可能です。

コマンドライン インターフェイスの使用

手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

コマンド ライン インターフェイス(CLI)を使用して管理するデバイスを見つけるには、デバイスタブとフィルタボタンを使用します。

ステップ 4

デバイスを選択します。

ステップ 5

[デバイスアクション(Device Actions)] ペインで、[>_コマンドラインインターフェイス(>_ Command Line Interface)] をクリックします。

ステップ 6

[コマンドラインインターフェイス(Command Line Interface)] タブをクリックします。

ステップ 7

コマンドペインにコマンドを入力して、[送信(Send)] をクリックします。コマンドに対するデバイスの応答は、「応答ペイン」の下に表示されます。

(注)  

 

実行できるコマンドに制限がある場合、それらの制限はコマンドペインの上に一覧表示されます。


コマンドラインインターフェイスでのコマンドの入力

1 つのコマンドを 1 行に入力することも、複数のコマンドを複数の行に連続して入力することもでいます。Security Cloud Control では、入力順にコマンドが実行されます。次の ASA の例では、3 つのネットワークオブジェクトと、それらのネットワークオブジェクトを含むネットワーク オブジェクト グループを作成するコマンドのバッチを送信します。

[Cisco IOSコマンドの入力(Entering Cisco IOS commands)]:Security Cloud Control は、ユーザー EXEC モードでコマンドを実行します。enable のすぐ後に config t を入力して一連のコマンドを開始して、グローバル コンフィギュレーション モードで実行する必要があります。

長いコマンド:非常に長いコマンドを入力すると、Security Cloud Control は、コマンドを複数のコマンドに分割して、すべてのコマンドを API に対して実行できるようにします。コマンドの適切な区切りを Security Cloud Control が判断できない場合、コマンドリストを区切る箇所に関するヒントを求めるプロンプトが表示されます。次に例を示します。

エラー:Security Cloud Control は、600 文字を超える長さのこのコマンドの一部を実行しようとしました。コマンドリストを分割して間に追加の空行を挿入することで、適切なコマンド分離ポイントを Security Cloud Control に示すことができます。

このエラーが表示された場合:

手順


ステップ 1

[CLI履歴(CLI History)] ペインで、エラーの原因となったコマンドをクリックします。 Security Cloud Control は、コマンドの長いリストをコマンドボックスに入力します。

ステップ 2

関連するコマンドのグループの後に空行を挿入して、コマンドの長いリストを編集します。たとえば、上記の例のように、ネットワークオブジェクトのリストを定義し、それらをグループに追加した後に空の行を追加します。この作業を、コマンドリストのいくつかの箇所で実行することになる場合があります。

ステップ 3

[送信(Send)] をクリックします。


コマンド履歴での動作

CLI コマンドを送信すると、Security Cloud Control はそのコマンドを [コマンドラインインターフェイス(Command Line Interface)] ページの履歴ペインに記録します。履歴ペインに保存されたコマンドは、再実行することも、コマンドをテンプレートとして使用することもできます。

手順


ステップ 1

左側のペインで、セキュリティデバイス ページをクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

[>_コマンドラインインターフェイス(>_Command Line Interface)] をクリックします。

ステップ 5

履歴ペインがまだ展開されていない場合は、時計アイコン をクリックして展開します。

ステップ 6

[履歴(History)] ペインで変更または再送信するコマンドを選択します。

ステップ 7

コマンドをそのまま再利用するか、コマンドペインでコマンドを編集し、[送信(Send)] をクリックします。Security Cloud Control の応答ペインにコマンドの結果が表示されます。

(注)  

 

次の 2 つの状況で「完了しました(Done!)」というメッセージが Security Cloud Control の応答ペインに表示されます。

  • コマンドが正常に実行された後。

  • コマンドの返すべき結果が何もなかった場合。たとえば、設定エントリを検索する正規表現を含む show コマンドを発行したとします。正規表現の条件に一致する設定エントリがなかった場合、Security Cloud Control は「完了しました(Done!)」を返します。


一括コマンド ライン インターフェイス

Security Cloud Control では、コマンド ライン インターフェイス(CLI)を使用してSecure Firewall ASAFDM による管理脅威防御、SSH、および Cisco IOS デバイスを管理できます。コマンドは、単一のデバイスに送信することも、同じ種類の複数のデバイスに同時に送信することも可能です。このセクションでは、CLI コマンドを複数のデバイスに一度に送信する方法について説明します。

一括 CLI インターフェイス


(注)  


次の 2 つの状況で「完了しました(Done!)」というメッセージが Security Cloud Control に表示されます。

  • コマンドがエラーなしで正常に実行された後。

  • コマンドの返すべき結果が何もなかった場合。たとえば、特定の設定エントリを検索する正規表現を含む show コマンドを発行したとします。正規表現の条件に一致する設定エントリがなかった場合、Security Cloud Control は「完了しました(Done!)」を返します。


ケース

説明

1

コマンド履歴ペインを展開したり折りたたんだりするには、時計アイコンをクリックします。

2

コマンド履歴。コマンドを送信すると、Security Cloud Control はこの履歴ペインにコマンドを記録するので、コマンドをもう一度選択し、再度実行できます。

3

コマンドペイン。このペインのプロンプトにコマンドを入力します。

4

応答ペイン。Security Cloud Control は、コマンドに対するデバイスの応答と Security Cloud Control メッセージを表示します。複数のデバイスの応答が同じだった場合、応答ペインに「X デバイスの応答を表示しています(Showing Responses for X devices)」というメッセージが表示されます。[Xデバイス(X Devices)] をクリックすると、コマンドに対して同じ応答を返したすべてのデバイスが Security Cloud Control に表示されます。

(注)  

 

次の 2 つの状況で「完了しました(Done!)」というメッセージが Security Cloud Control に表示されます。

  • コマンドがエラーなしで正常に実行された後。

  • コマンドの返すべき結果が何もなかった場合。たとえば、特定の設定エントリを検索する正規表現を含む show コマンドを発行したとします。正規表現の条件に一致する設定エントリがなかった場合、Security Cloud Control は「完了しました(Done!)」を返します。

5

[マイリスト(My List)] タブには、[セキュリティデバイス] テーブルから選択したデバイスが表示されます。このタブで、コマンドの送信先デバイスを含めたり、除外したりできます。

[6]

上の図で強調表示されている [実行(Execution)] タブには、履歴ペインで選択されているコマンドの対象デバイスが表示されます。この例では、履歴ペインで show run | grep user コマンドが選択され、[実行(Execution)] タブに、10.82.109.160、10.82.109.181、および 10.82.10.9.187 に送信されたことが表示されます。

7

[応答別(By Response)] タブをクリックすると、コマンドによって生成された応答のリストが表示されます。同一の応答は 1 行にグループ化されます。[応答別(By Response)] タブで行を選択すると、Security Cloud Control はそのコマンドへの応答を応答ペインに表示します。

8

[デバイス別(By Device)] タブをクリックすると、各デバイスからの個別の応答が表示されます。リスト内のいずれかのデバイスをクリックすると、特定のデバイスからのコマンドへの応答を表示できます。

コマンドの一括送信

手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

コマンド ライン インターフェイスを使用して設定するデバイスを見つけるには、適切なデバイスタブを選択し、フィルタボタンを使用します。

ステップ 4

デバイスを選択します。

ステップ 5

[デバイスアクション(Device Actions)] ペインで、[>_コマンドラインインターフェイス(>_ Command Line Interface)] をクリックします。

ステップ 6

[マイリスト(My List)] フィールドで、コマンドを送信するデバイスをオンまたはオフにすることができます。

ステップ 7

コマンドペインにコマンドを入力して、[送信(Send)] をクリックします。コマンド出力が応答ペインに表示されます。コマンドは変更ログに記録され、Security Cloud Control コマンドはコマンドを [一括CLI(Bulk CLI)] ウィンドウの [履歴(History)] ペインに記録します。


一括コマンド履歴での動作

一括 CLI コマンドを送信すると、Security Cloud Control がそのコマンドを [一括CLIページ(Bulk CLI page)] の履歴ページに記録します。一括 CLI インターフェイス履歴ペインに保存されたコマンドは、再実行することも、コマンドをテンプレートとして使用することもできます。履歴ペインのコマンドは、それらが実行された元のデバイスに関連付けられています。

手順


ステップ 1

ナビゲーションウィンドウで、セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックし、フィルタアイコンをクリックして、設定するデバイスを見つけます。

ステップ 4

デバイスを選択します。

ステップ 5

[コマンドラインインターフェイス(Command Line Interface)] をクリックします。

ステップ 6

[履歴(History)] ペインで変更または再送信するコマンドを選択します。選択したコマンドは特定のデバイスに関連付けられており、最初のステップで選択したものとは限らないことに注意してください。

ステップ 7

[マイリスト(My List)] タブを見て、送信しようとしているコマンドが対象のデバイスに送信されることを確認します。

ステップ 8

コマンドペインでコマンドを編集し、[送信(Send)] をクリックします。Security Cloud Control の応答ペインにコマンドの結果が表示されます。


一括コマンドフィルタでの動作

一括 CLI コマンドを実行後、[応答別(By Response)] フィルタと [デバイス別(By Device)] フィルタを使用して、デバイスの設定を続行できます。

応答別フィルタ

一括コマンドを実行すると、コマンドを送信したデバイスから返された応答のリストが Security Cloud Control の [応答別(By Response)] タブに入力されます。同じ応答のデバイスは 1 行にまとめられます。[応答別(By Response)] タブの行をクリックすると、応答ペインにデバイスからの応答が表示されます。応答ペインに複数のデバイスの応答が表示される場合、「X デバイスの応答を表示しています(Showing Responses for X devices)」というメッセージが表示されます。[Xデバイス(X devices)] をクリックすると、コマンドに対して同じ応答を返したすべてのデバイスが Security Cloud Control に表示されます。

コマンド応答に関連付けられたデバイスのリストにコマンドを送信するには、次の手順に従います。

手順

ステップ 1

[応答別(By Response)] タブの行にあるコマンドシンボルをクリックします。

ステップ 2

コマンドペインでコマンドを確認し、[送信(Send)] をクリックしてコマンドを再送信するか、[クリア(Clear)] をクリックしてコマンドペインをクリアし、新しいコマンドを入力してデバイスに送信してから、[送信(Send)] をクリックします。

ステップ 3

コマンドから受け取った応答を確認します。

ステップ 4

選択したデバイスの実行コンフィギュレーション ファイルに変更が反映されていることが確実な場合は、コマンドペインに write memory と入力し、[送信(Send)] をクリックします。この操作により、実行コンフィギュレーションがスタートアップ コンフィギュレーションに保存されます。


デバイス別フィルタ

一括コマンドの実行後、Security Cloud Control は [実行(Execution)] タブと [デバイス別(By Device)] タブに、コマンドを送信したデバイスのリストを入力します。[デバイス別(By Device)] タブの行をクリックすると、各デバイスの応答が表示されます。

同じデバイスリストでコマンドを実行するには、次の手順に従います。

手順

ステップ 1

[デバイス別(By Device)] タブをクリックします。

ステップ 2

[>_これらのデバイスでコマンドを実行(>_Execute a command on these devices)] をクリックします。

ステップ 3

[クリア(Clear)] をクリックしてコマンドペインをクリアし、新しいコマンドを入力します。

ステップ 4

[マイリスト(My List)] ペインで、リスト内の個々のデバイスを選択または選択解除して、コマンドを送信するデバイスのリストを指定します。

ステップ 5

[送信(Send)] をクリックします。コマンドへの応答が応答ペインに表示されます。応答ペインに複数のデバイスの応答が表示される場合、「X デバイスの応答を表示しています(Showing Responses for X devices)」というメッセージが表示されます。[Xデバイス(X Devices)] をクリックすると、コマンドに対して同じ応答を返したすべてのデバイスが Security Cloud Control に表示されます。

ステップ 6

選択したデバイスの実行コンフィギュレーション ファイルに変更が反映されていることが確実な場合は、コマンドペインに write memory と入力し、[送信(Send)] をクリックします。


コマンド ライン インターフェイス マクロ

CLI マクロは、すぐに使用できる完全な形式の CLI コマンド、または実行前に変更できる CLI コマンドのテンプレートです。すべてのマクロは、1 つ以上の Cisco IOS デバイスで同時に実行できます。

テンプレートに似た CLI マクロを使用して、複数のデバイスで同じコマンドを同時に実行します。CLI マクロは、デバイスの設定と管理の一貫性を促進します。完全な形式の CLI マクロを使用して、デバイスに関する情報を取得します。Cisco IOS デバイスですぐに使用できるさまざまな CLI マクロがあります。

頻繁に実行するタスクを監視するための CLI マクロを作成できます。詳細については、「CLI マクロの作成」を参照してください。

CLI マクロは、システム定義またはユーザー定義です。システム定義マクロは Security Cloud Control によって提供され、編集も削除もできません。ユーザー定義マクロはユーザーが作成し、編集または削除できます。


(注)  


デバイスが Security Cloud Control にオンボードされた後にのみ、デバイスのマクロを作成できます。


例として ASA を使用すると、いずれかの ASA で特定のユーザーを検索する場合は、次のコマンドを実行できます。

show running-config | grep username

このコマンドを実行すると、検索しているユーザーのユーザー名が username に置き換わります。このコマンドからマクロを作成するには、同じコマンドを使用して、username を中括弧で囲みます。

パラメータには任意の名前を付けることができ、そのパラメータ名で同じマクロを作成することもできます。

パラメータ名は説明的な名前にでき、英数字と下線を使用する必要があります。この場合、コマンドシンタックスは次のようになります。
show running-config | grep
コマンドの一部として、コマンドの送信先のデバイスに適した CLI シンタックスを使用する必要があります。

新規コマンドからの CLI マクロの作成

手順


ステップ 1

CLI マクロを作成する前に Security Cloud Control のコマンド ライン インターフェイスでコマンドをテストして、コマンドの構文が正しく、信頼できる結果が返されることを確認します。

(注)  

 

ステップ 2

左側のペインで セキュリティデバイス をクリックします。

ステップ 3

[デバイス(Devices)] タブをクリックしてデバイスを見つけます。

ステップ 4

適切なデバイスタイプのタブをクリックし、オンラインかつ同期されているデバイスを選択します。

ステップ 5

[>_コマンドラインインターフェイス(>_Command Line Interface)] をクリックします。

ステップ 6

CLI マクロのお気に入りのスター をクリックして、すでに存在するマクロを確認します。

ステップ 7

プラスボタン をクリックします。

ステップ 8

マクロに一意の名前を指定します。必要に応じて、CLI マクロの説明とメモを入力します。

ステップ 9

[コマンド(Command)] フィールドにコマンドを入力します。

ステップ 10

コマンドの実行時に変更したいコマンドの部分を、中括弧で囲まれたパラメータ名に置き換えます。

ステップ 11

[作成(Create)] をクリックします。作成したマクロは、最初に指定したデバイスだけでなく、そのタイプのすべてのデバイスで使用できます。

コマンドを実行するには、『デバイスでの CLI マクロの実行』を参照してください。


CLI 履歴または既存の CLI マクロからの CLI マクロの作成

この手順では、すでに実行したコマンド、別のユーザー定義マクロ、またはシステム定義マクロからユーザー定義マクロを作成します。

手順


ステップ 1

左側のペインで [インベントリ(Inventory)]セキュリティデバイスをクリックします。

(注)  

 

CLI 履歴からユーザー定義マクロを作成する場合は、コマンドを実行したデバイスを選択します。CLI マクロは、同じアカウントのデバイス間で共有されますが、CLI 履歴は共有されません。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックし、オンラインかつ同期されているデバイスを選択します。

ステップ 4

[>_コマンドラインインターフェイス(>_Command Line Interface)] をクリックします。

ステップ 5

CLI マクロを作成するコマンドを見つけて選択します。次のいずれかの方法を使用してください。

  • クロック をクリックして、そのデバイスで実行したコマンドを表示します。マクロに変換するコマンドを選択すると、コマンドペインにそのコマンドが表示されます。

  • CLI マクロのお気に入りのスター をクリックして、すでに存在するマクロを確認します。変更するユーザー定義またはシステム定義の CLI マクロを選択します。コマンドがコマンドペインに表示されます。

ステップ 6

コマンドがコマンドペインに表示された状態で、CLI マクロの金色の星 をクリックします。このコマンドが、新しい CLI マクロの基礎になります。

ステップ 7

マクロに一意の名前を指定します。必要に応じて、CLI マクロの説明とメモを入力します。

ステップ 8

[コマンド(Command)] フィールドのコマンドを確認し、必要な変更を加えます。

ステップ 9

コマンドの実行時に変更したいコマンドの部分を、中括弧で囲まれたパラメータ名に置き換えます。

ステップ 10

[作成(Create)] をクリックします。作成したマクロは、最初に指定したデバイスだけでなく、そのタイプのすべてのデバイスで使用できます。

コマンドを実行するには、CLI マクロの実行を参照してください。


CLI マクロの実行

手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックし、1 つ以上のデバイスを選択します。

ステップ 4

[>_コマンドラインインターフェイス(>_Command Line Interface)] をクリックします。

ステップ 5

コマンドパネルで、スター をクリックします。

ステップ 6

コマンドパネルから CLI マクロを選択します。

ステップ 7

次のいずれかの方法でマクロを実行します。

  • 定義するパラメータがマクロに含まれていない場合は、[送信(Send)] をクリックします。コマンドへの応答が応答ペインに表示されます。これで完了です。

  • マクロにパラメータが含まれている場合(下の Configure DNS マクロなど)、[>_ パラメータの表示(>_ View Parameters)] をクリックします。

ステップ 8

[パラメータ(Parameters)] ペインで、パラメータの値を [パラメータ(Parameters)] の各フィールドに入力します。

ステップ 9

[送信(Send)] をクリックします。Security Cloud Control が正常にコマンドを送信し、デバイスの構成を更新すると、「完了(Done!)」というメッセージが表示されます。

ステップ 10

コマンドを送信した後で、「一部のコマンドが実行コンフィギュレーションに変更を加えた可能性があります」というメッセージが 2 つのリンクとともに表示されることがあります。

  • [ディスクへの書き込み(Write to Disk)] をクリックすると、このコマンドによって加えられた変更と、実行コンフィギュレーションのその他の変更がデバイスのスタートアップ構成に保存されます。

  • [取り消す(Dismiss)] をクリックすると、メッセージが取り消されます。


CLI マクロの編集

ユーザー定義の CLI マクロは編集できますが、システム定義のマクロは編集できません。CLI マクロを編集すると、すべての Cisco IOS デバイスでマクロが変更されます。マクロは特定のデバイス固有のものではありません。

手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

デバイスを選択します。

ステップ 5

[コマンドラインインターフェイス(Command Line Interface)] をクリックします。

ステップ 6

編集するユーザー定義マクロを選択します。

ステップ 7

マクロラベルの編集アイコンをクリックします。

ステップ 8

[マクロの編集(Edit Macro)] ダイアログボックスで CLI マクロを編集します。

ステップ 9

[保存(Save)] をクリックします。

CLI マクロの実行方法については、「CLI マクロの実行」を参照してください。


CLI マクロの削除

ユーザー定義の CLI マクロは削除できますが、システム定義のマクロは削除できません。CLI マクロを削除すると、すべてのデバイスでマクロが削除されます。マクロは特定のデバイス固有のものではありません。

手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

デバイスを選択します。

ステップ 5

[コマンドラインインターフェイス(Command Line Interface)] をクリックします。

ステップ 6

削除するユーザー定義 CLI マクロを選択します。

ステップ 7

CLI マクロラベルのゴミ箱アイコン をクリックします。

ステップ 8

CLI マクロを削除することを確認します。


Security Cloud Control CLI コマンドの結果のエクスポート

スタンドアロンデバイスまたは複数のデバイスに発行された CLI コマンドの結果をコンマ区切り値(.csv)ファイルにエクスポートして、必要に応じて情報をフィルタリングおよび並べ替えることができます。単一のデバイスまたは多数のデバイスの CLI 結果を一度にエクスポートできます。エクスポートされた情報には、次のものが含まれます。

  • デバイス

  • 日付

  • ユーザー

  • コマンド

  • 出力

CLI コマンドの結果のエクスポート

コマンドウィンドウで実行したコマンドの結果を .csv ファイルにエクスポートできます。

手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つまたは複数のデバイスを選択してハイライトします。

ステップ 5

デバイスの [デバイスアクション(Device Actions)] ペインで、>_ [コマンドラインインターフェイス(Command Line Interface)] をクリックします。

ステップ 6

[コマンドラインインターフェイス(Command Line Interface)] ペインでコマンドを入力し、[送信(Send)] をクリックしてデバイスに送ります。

ステップ 7

入力されたコマンドのウィンドウの右側で、エクスポートアイコン をクリックします。

ステップ 8

.csv ファイルにわかりやすい名前を付け、ファイルをローカルファイルシステムに保存します。.csv ファイル上のコマンド出力を読み取る場合、すべてのセルを展開して、コマンドのすべての結果を表示します。


CLI マクロの結果のエクスポート

コマンドウィンドウで実行されたマクロの結果をエクスポートできます。次の手順で、1 つまたは複数のデバイスで実行された CLI マクロの結果を .csv ファイルにエクスポートします。

手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つまたは複数のデバイスを選択してハイライトします。

ステップ 5

デバイスの [デバイスアクション(Device Actions)] ペインで、>_ [コマンドラインインターフェイス(Command Line Interface)] をクリックします。

ステップ 6

CLI ウィンドウの左側のペインで、CLI マクロのお気に入りを示す星を選択します。

ステップ 7

エクスポートするマクロコマンドをクリックします。適切なパラメータを入力し、[送信(Send)] をクリックします。

ステップ 8

入力されたコマンドのウィンドウの右側で、エクスポートアイコン をクリックします。

ステップ 9

.csv ファイルにわかりやすい名前を付け、ファイルをローカルファイルシステムに保存します。.csv ファイル上のコマンド出力を読み取る場合、すべてのセルを展開して、コマンドのすべての結果を表示します。


CLI コマンド履歴のエクスポート

次の手順を使用して、1 つまたは複数のデバイスの CLI 履歴を .csv ファイルにエクスポートします。

手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つまたは複数のデバイスを選択してハイライトします。

ステップ 5

デバイスの [デバイスアクション(Device Actions)] ペインで、[>_コマンドラインインターフェイス(>_Command Line Interface)] をクリックします。

ステップ 6

履歴ペインがまだ展開されていない場合は、[時計(Clock)] アイコン をクリックして展開します。

ステップ 7

入力されたコマンドのウィンドウの右側で、エクスポートアイコン をクリックします。

ステップ 8

.csv ファイルにわかりやすい名前を付け、ファイルをローカルファイルシステムに保存します。.csv ファイル上のコマンド出力を読み取る場合、すべてのセルを展開して、コマンドのすべての結果を表示します。


CLI マクロのリストをエクスポートする

コマンドウィンドウで実行されたマクロのみをエクスポートできます。次の手順で、1 つまたは複数のデバイスの CLI マクロを .csv ファイルにエクスポートします。

手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つまたは複数のデバイスを選択してハイライトします。

ステップ 5

デバイスの [デバイス アクション] ペインで、[>_コマンドラインインターフェイス(>_Command Line Interface)] をクリックします。

ステップ 6

CLI ウィンドウの左側のペインで、CLI マクロのお気に入りを示す星を選択します。

ステップ 7

エクスポートするマクロコマンドをクリックします。適切なパラメータを入力し、[送信(Send)] をクリックします。

ステップ 8

入力されたコマンドのウィンドウの右側で、エクスポートアイコン をクリックします。

ステップ 9

.csv ファイルにわかりやすい名前を付け、ファイルをローカルファイルシステムに保存します。


ASA および Cisco IOS デバイス構成ファイルの管理

ASA および Cisco IOS デバイスなど、一部のタイプのデバイスでは、設定が 1 つのファイルに保存されます。それらのデバイスの場合、Security Cloud Control で構成ファイルを確認し、さまざまな操作を実行できます。

デバイスの構成ファイルを表示する

Cisco ASA、SSH 管理対象デバイス、Cisco IOS を実行しているデバイスなど、構成全体を 1 つの構成ファイルに保存するデバイスの場合、Security Cloud Control を使用して構成ファイルを表示できます。


(注)  


SSH 管理対象デバイスと Cisco IOS デバイスには読み取り専用の設定があります。


手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

設定を表示するデバイスまたはモデルを選択します。

ステップ 5

右側の [管理(Management] ペインで、[設定(Configuration)] をクリックします。

完全な構成ファイルが表示されます。

完全なデバイス設定ファイルの編集

ASA Cisco IOS など、一部のタイプのデバイスは、設定を 1 つの構成ファイルに保存します。これらのデバイスの場合、Security Cloud Control でデバイス構成ファイルを表示し、デバイスに応じてさまざまな操作を実行できます。


注意    


この手順は、デバイスの構成ファイルのシンタックスに精通している上級ユーザーを対象としています。この手法では、Security Cloud Control に保存されている構成ファイルのコピーに直接変更を加えます。


手順

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[ASA] タブをクリックします。

ステップ 4

構成を編集するデバイスを選択します。

ステップ 5

右側の [管理(Management] ペインで、[構成(Configuration)] をクリックします。

ステップ 6

[デバイスの構成(Device Configuration)] ページで、[編集(Edit)] をクリックします。

ステップ 7

右側のエディターボタンをクリックして、既定のテキストエディタ(Vim または Emacs テキストエディタ)を選択します。

ステップ 8

ファイルを編集し、変更を保存します。

ステップ 9

[セキュリティデバイス(Security Devices)] ページに戻り、変更をプレビューして展開します。


デバイス設定変更について

デバイスを管理するために、Security Cloud Control は、デバイスの設定のコピーを独自のデータベースに保存する必要があります。Security Cloud Control は、管理対象デバイスから設定を「読み取る」とき、デバイス設定のコピーを作成し、それを保存します。Security Cloud Control が最初にデバイスの設定のコピーを読み取って保存するのは、デバイスが導入準備されたときです。以下 の選択肢のように、さまざまな目的に応じて設定を読み取ります。

  • [変更の破棄(Discard Changes)]:このアクションは、デバイスの設定ステータスが「未同期」の場合に使用できます。未同期の状態では、デバイスの設定に対する変更が Security Cloud Control で保留中になっています。このオプションを使用すると、保留中のすべての変更を取り消すことができます。保留中の変更は削除され、Security Cloud Control は設定のコピーをデバイスに保存されている設定のコピーで上書きします。

  • [変更の確認(Check for Changes)]:このアクションは、デバイスの設定ステータスが同期済みの場合に使用できます。[変更の確認(Checking for Changes)] をクリックすると、Security Cloud Control は、デバイスの設定のコピーを、デバイスに保存されている設定のコピーと比較するように指示します。違いがある場合、Security Cloud Control はデバイスに保存されているコピーでそのデバイスの設定のコピーをすぐに上書きします。

  • [競合の確認(Review Conflict)] と [レビューなしで承認(Accept Without Review)]:デバイスで [競合検出(Conflict Detection)] を有効にすると、Security Cloud Control はデバイスに加えられた設定の変更を 10 分ごとにチェックします。https://docs.defenseorchestrator.com/Welcome_to_Cisco_Defense_Orchestrator/Basics_of_Cisco_Defense_Orchestrator/Synchronizing_Configurations_Between_Defense_Orchestrator_and_Device/0010_Conflict_Detectionデバイスに保存されている設定のコピーが変更された場合、Security Cloud Control は「競合が検出されました」という設定ステータスを表示して通知します。

    • [競合の確認(Review Conflict)]:[競合の確認(Review Conflict)] をクリックすると、デバイスで直接行われた変更を確認し、それらを受け入れるか拒否するかを選択できます。

    • [レビューなしで承認(Accept Without Review)]:このアクションにより、Security Cloud Control がもつ、デバイスの構成のコピーが、デバイスに保存されている構成の最新のコピーで上書きされます。Security Cloud Control では、上書きアクションを実行する前に、構成の 2 つのコピーの違いを確認するよう求められません。

[すべて読み取り(Read All)] :これは一括操作です。任意の状態にある複数のデバイスを選択し、[すべて読み取り(Read All)] をクリックして、Security Cloud Control に保存されているすべてのデバイスの設定を、デバイスに保存されている設定で上書きできます。

  • [変更の展開(Deploy Changes)]:デバイスの設定に変更を加えると、Security Cloud Control では、加えた変更が独自のコピーに保存されます。これらの変更は、デバイスに展開されるまで Security Cloud Control で「保留」されています。デバイスの設定に変更があり、それがデバイスに展開されていない場合、デバイスは未同期構成状態になります。

    保留中の設定変更は、デバイスを通過するネットワークトラフィックには影響しません。変更は、Security Cloud Control がデバイスに展開した後にのみ影響を及ぼします。Security Cloud Control がデバイスの設定に変更を展開すると、変更された設定の要素のみが上書きされます。デバイスに保存されている構成ファイル全体を上書きすることはありません。展開は、1 つのデバイスに対して開始することも、複数のデバイスに対して同時に開始することもできます。

  • [すべて破棄(Discard All)] は、[プレビューして展開...(Preview and Deploy..)] をクリックした後にのみ使用できるオプションです。 。[プレビューして展開(Preview and Deploy)] をクリックすると、Security Cloud Control で保留中の変更のプレビューが Security Cloud Control に表示されます。[すべて破棄(Discard All)] をクリックすると、保留中のすべての変更が Security Cloud Control から削除され、選択したデバイスには何も展開されません。上述の [変更の破棄(Discard Changes)] とは異なり、保留中の変更を削除すると操作が終了します。

すべてのデバイス設定の読み取り

Security Cloud Control の外部にあるデバイスの設定が変更された場合、Security Cloud Control に保存されているデバイスの設定と、当該デバイスの設定のローカルコピーは同じではなくなります。多くの場合、Security Cloud Control にあるデバイスの設定のコピーをデバイスに保存されている設定で上書きして、設定を再び同じにしたいと考えます。[すべて読み取り(Read All)] リンクを使用して、多くのデバイスでこのタスクを同時に実行できます。

Security Cloud Control によるデバイス設定の 2 つのコピーの管理方法の詳細については、「設定変更の読み取り、破棄、チェック、および展開」を参照してください。

[すべて読み取り(Read All)] をクリックした場合に、Security Cloud Control にあるデバイスの設定のコピーがデバイスの設定のコピーで上書きされる 3 つの設定ステータスを次に示します。

  • [競合検出(Conflict Detected)]:競合検出が有効になっている場合、Security Cloud Control は、設定に加えられた変更について、管理するデバイスを 10 分ごとにポーリングします。Security Cloud Control がデバイスの設定が変更されたことを検出した場合、Security Cloud Control はデバイスの [競合検出(Conflict Detected)] 設定ステータスを表示します。

  • [同期(Synced)]:デバイスが [同期(Synced)] 状態の場合に、[すべて読み取り(Read All)] をクリックすると、Security Cloud Control はすぐにデバイスをチェックして、設定に直接変更が加えられているかどうかを判断します。[すべて読み取り(Read All)] をクリックすると、Security Cloud Control はデバイスの設定のコピーを上書きすることを確認し、その後 Security Cloud Control が上書きを実行します。

  • [非同期(Not Synced)]:デバイスが [非同期(Not Synced)] 状態の場合に、[すべて読み取り(Read All)] をクリックすると、Security Cloud Control は、Security Cloud Control を使用したデバイスの設定に対する保留中の変更があること、および [すべて読み取り(Read All)] 操作を続行すると保留中の変更が削除されてから、Security Cloud Control にある設定のコピーがデバイス上の設定で上書きされることを警告します。この [すべて読み取り(Read All)] は、[変更の破棄(Discard Changes)] と同様に機能します。設定変更の破棄

手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

(任意)変更ログでこの一括アクションの結果を簡単に識別できるように、変更リクエストラベルを作成します。

ステップ 5

Security Cloud Control を保存する設定のデバイスを選択します。Security Cloud Control では、選択したすべてのデバイスに適用できるアクションのコマンドボタンのみ提供されることに注意してください。

ステップ 6

[すべて読み取り(Read All)] をクリックします。

ステップ 7

選択したデバイスのいずれかについて、Security Cloud Control で設定変更がステージングされている場合、Security Cloud Control は警告を表示し、設定の一括読み取りアクションを続行するかどうかを尋ねられます。[すべて読み取り(Read All)] をクリックして続行します。

ステップ 8

設定の [すべて読み取り(Read All)] 操作の進行状況については、[通知(notifications)] タブで確認します。一括操作の個々のアクションの成功または失敗に関する詳細を確認する場合は、青色の [レビュー(Review)] リンクをクリックすると、[ジョブ(Jobs)] ページに移動します。 Security Cloud Control でのジョブのモニタリング

ステップ 9

変更リクエストラベルを作成してアクティブ化した場合は、他の設定変更を誤ってこのイベントに関連付けないように、忘れずにラベルをクリアしてください。


Cisco IOS または SSH から Security Cloud Control への変更の読み取り

Cisco IOS または SSH デバイスを管理するために、Security Cloud Control は、デバイスの構成ファイルのコピーを独自で保存している必要があります。Security Cloud Control が最初にデバイスの構成ファイルのコピーを読み取って保存するのは、デバイスがオンボードされたときです。その後、Security Cloud Control は、デバイスからの設定をチェックするときに、デバイスの構成ファイルのコピーを取得し、独自のデータベースに保持している構成ファイルのコピーを完全に上書きします。詳細については、「設定変更の読み取り、破棄、チェック、および展開」を参照してください。

Security Cloud Control の外部で Cisco IOS または SSH デバイスに直接加えられた変更を検出する方法の詳細については、「変更の確認」を参照してください。

Security Cloud Control で開始したものの IOS または SSH デバイスに展開していない設定変更を「元に戻す」方法の詳細については、「変更の破棄」を参照してください。

すべてのデバイスの設定変更のプレビューと展開

テナント上のデバイスに構成変更を加えたものの、その変更をまだ展開していない場合に、Security Cloud Control は展開アイコン にオレンジ色のドットを表示して通知します。これらの変更の影響を受けるデバイスには、[デバイスとサービス(Devices and Services)] ページに「非同期(Not Synced)」のステータスが表示されます。[展開(Deploy)] をクリックすると、保留中の変更があるデバイスを確認し、それらのデバイスに変更を展開できます。


(注)  


作成および変更を行う新しい FDM または FTD ネットワークオブジェクトまたはグループごとに、Security Cloud Control は、Security Cloud Control によって管理されるすべての オンプレミス Management Centerに対してこのページにエントリを作成します。


この展開方法は、サポートされているすべてのデバイスで使用できます。

この展開方法を使用して、単一の構成変更を展開することも、待機して複数の変更を一度に展開することもできます。

手順


ステップ 1

画面の右上で [デプロイ(Deploy)] アイコン をクリックします。

ステップ 2

展開する変更があるデバイスを選択します。デバイスに黄色の三角の注意マークが付いている場合、そのデバイスに変更を展開することはできません。黄色の三角の注意マークにマウスを合わせると、そのデバイスに変更を展開できない理由を確認できます。

ステップ 3

(オプション)保留中の変更に関する詳細情報を表示する場合は、[詳細な変更ログを表示(View Detailed Changelog)] リンクをクリックして、その変更に関連付けられた変更ログを開きます。[展開(Deploy)] アイコンをクリックして、[保留中の変更があるデバイス(Devices with Pending Changes)] ページに戻ります。

ステップ 4

(オプション)[保留中の変更があるデバイス(Devices with Pending Changes)] ページを離れずに、変更を追跡する変更リクエストを作成します。

ステップ 5

[今すぐ展開(Deploy Now)] をクリックして、選択したデバイスに今すぐ変更を展開します。[ジョブ(Jobs)] トレイの [アクティブなジョブ(Active jobs)] インジケータに進行状況が表示されます。

ステップ 6

(オプション)展開が完了したら、Security Cloud Control ナビゲーションバーの [ジョブ(Jobs)] をクリックします。展開の結果を示す最近の「変更の展開(Deploy Changes)」ジョブが表示されます。

ステップ 7

変更リクエストラベルを作成し、それに関連付ける構成変更がない場合は、それをクリアします。


次のタスク

デバイス設定の一括展開

共有オブジェクトを編集するなどして複数のデバイスに変更を加えた場合、影響を受けるすべてのデバイスにそれらの変更を一度に適用できます。

手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

Security Cloud Control で設定を変更した、すべてのデバイスを選択します。これらのデバイスは、「未同期」ステータスが表示されているはずです。

ステップ 5

次のいずれかの方法を使用して、変更を展開します。

  • 画面の右上にある ボタンをクリックして、[保留中の変更があるデバイス(Devices with Pending Changes)] ウィンドウを表示します。これにより、選択したデバイス上の保留中の変更を展開する前に確認することができます。変更を展開するには、[今すぐ展開(Deploy Now)] をクリックします。

    (注)  

     

    [保留中の変更があるデバイス(Devices with Pending Changes)] 画面でデバイスの横に黄色の警告三角形が表示されている場合、そのデバイスに変更を展開することはできません。そのデバイスに変更を展開できない理由を確認するには、警告三角形の上にマウスカーソルを置きます。

  • 詳細ペインで [すべて展開(Deploy All)] をクリックします。 すべての警告を確認し、[OK] をクリックします。一括展開は、変更を確認せずにすぐに開始します。

ステップ 6

(任意)ナビゲーションバーの [ジョブ(Jobs)] アイコン をクリックして、一括展開の結果を表示します。


スケジュールされた自動展開について

Security Cloud Control を使用すると、CDO が管理する 1 つ以上のデバイスの構成を変更し、都合のよいタイミングでそれらのデバイスに変更を展開するようにスケジュールできます。

[設定(Settings)] ページの [テナント設定(Tenant Settings)] タブで 自動展開をスケジュールするオプションを有効にする をした場合のみ、展開をスケジュールできます。このオプションを有効にすると、展開スケジュールを作成、編集、削除できます。展開スケジュールによって、Security Cloud Control に保存されたすべてのステージング済みの変更が、設定した日時に展開されます。[ジョブ] ページから、展開スケジュールを表示および削除することもできます。

Security Cloud Control読み取られていないデバイスに直接変更が加えられた場合、その競合が解決されるまで、展開スケジュールはスキップされます。[ジョブ(Jobs)] ページには、スケジュールされた展開が失敗したインスタンスが一覧表示されます。[自動展開をスケジュールするオプションを有効にする(Enable the Option to Schedule Automatic Deployments)] をオフにすると、スケジュールされたすべての展開が削除されます。


注意    


複数のデバイスの新しい展開をスケジュールし、それらのデバイスの一部に展開が既にスケジュールされている場合、既存の展開スケジュールが新しい展開スケジュールで上書きされます。



(注)  


展開スケジュールを作成すると、スケジュールはデバイスのタイムゾーンではなく現地時間で作成されます。展開スケジュールは、サマータイムに合わせて自動的に調整されません


自動展開のスケジュール

展開スケジュールは、単一のイベントまたは繰り返し行われるイベントにすることができます。繰り返し行われる自動展開は、繰り返し行われる展開をメンテナンス期間に合わせるための便利な方法です。次の手順に従って、単一のデバイスに対して 1 回限りまたは繰り返し行われる展開をスケジュールします。


(注)  


既存の展開がスケジュールされているデバイスへの展開をスケジュールすると、新しくスケジュールされた展開によって既存の展開が上書きされます。


手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つ以上のデバイスを選択します。

ステップ 5

[デバイスの詳細(Device Details)] ペインで、[スケジュールされた展開( Scheduled Deployments)] タブを見つけて、[スケジュール(Schedule)] をクリックします。

ステップ 6

展開をいつ実行するかを選択します。

  • 1 回限りの展開の場合は、[1回限り(Once on)] オプションをクリックして、カレンダーから日付と時刻を選択します。

  • 繰り返し展開する場合は、[定期(Every)] オプションをクリックします。日に 1 回と週に 1 回のいずれかの展開を選択できます。展開を実行する [曜日(Day)] と [時刻(Time)] を選択します。

ステップ 7

[保存(Save)] をクリックします。


スケジュールされた展開の編集

スケジュールされた展開を編集するには、次の手順に従います。

手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つ以上のデバイスを選択します。

ステップ 5

[デバイスの詳細(Device Details)] ペインで、[スケジュールされた展開( Scheduled Deployments)] タブを見つけて、[編集(Edit)] をクリックします。

ステップ 6

スケジュールされた展開の繰り返し回数、日付、または時刻を編集します。

ステップ 7

[保存(Save)] をクリックします。


スケジュールされた展開の削除

スケジュールされた展開を削除するには、次の手順に従います。


(注)  


複数のデバイスの展開をスケジュールしてから、一部のデバイスのスケジュールを変更または削除した場合は、残りのデバイスの元のスケジュールされた展開が保持されます。


手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つ以上のデバイスを選択します。

ステップ 5

[デバイスの詳細(Device Details)] ペインで、[スケジュールされた展開( Scheduled Deployments)] タブを見つけて、[削除(Delete)] をクリックします。


次のタスク

設定変更の確認

[変更の確認(Check for Changes)] をクリックして、デバイスの設定がデバイス上で直接変更されているか、Security Cloud Control に保存されている設定のコピーと異なっているかどうかを確認します。このオプションは、デバイスが [同期(Synced)] 状態のときに表示されます。

変更を確認するには、次の手順を実行します。

手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

設定がデバイス上で直接変更された可能性があるデバイスを選択します。

ステップ 5

右側の [同期(Synced)] ペインで [変更の確認(Check for Changes)] をクリックします。

ステップ 6

次の動作は、デバイスによって若干異なります。

  • デバイスの場合、デバイスの設定に変更があった場合、次のメッセージが表示されます。

    Reading the policy from the device. If there are active deployments on the device, reading will start after they are finished.

    • [OK] をクリックして、先へ進みます。デバイスの設定で、Security Cloud Control に保存されている設定が上書きされます。

    • 操作をキャンセルするには、[キャンセル(Cancel)] をクリックします。

  • IOS デバイスの場合:

  1. 提示された 2 つの設定を比較します。[続行(Continue)] をクリックします。最後に認識されたデバイス設定(Last Known Device Configuration)というラベルの付いた設定は、Security Cloud Control に保存されている設定です。[デバイスで検出(Found on Device)] というラベルの付いた設定は、ASA に保存されている設定です。

  2. 次のいずれかを選択します。

    1. [拒否(Reject)]:アウトオブバンド変更を拒否して、「最後に認識されたデバイス設定(Last Known Device Configuration)」を維持します。

    2. [承認(Accept)]:アウトオブバンド変更を承認して、Security Cloud Control に保存されているデバイスの設定を、デバイスで見つかった設定で上書きします。

  3. [続行(Continue)] をクリックします。


設定変更の破棄

Security Cloud Control を使用してデバイスの構成に加えた、展開されていない構成変更のすべてを「元に戻す」場合は、[変更の破棄(Discard Changes)] をクリックします。[変更の破棄(Discard Changes)] をクリックすると、Security Cloud Control は、デバイスに保存されている構成でデバイスの構成のローカルコピーを完全に上書きします。

[変更の破棄(Discard Changes)] をクリックすると、デバイスの構成ステータスは [非同期(Not Synced)] 状態になります。変更を破棄すると、Security Cloud Control 上の構成のコピーは、デバイス上の構成のコピーと同じになり、Security Cloud Control の構成ステータスは [同期済み(Synced)] に戻ります。

デバイスの展開されていない構成変更のすべてを破棄する(つまり「元に戻す」)には、次の手順を実行します。

手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

構成変更を実行中のデバイスを選択します。

ステップ 5

右側の [未同期(Not Synced)] ペインで [変更の破棄(Discard Changes)] をクリックします。

  • FDM による管理 デバイスの場合は、Security Cloud Control で「Security Cloud Control 上の保留中の変更は破棄され、このデバイスに関する Security Cloud Control 構成は、デバイス上の現在実行中の構成に置き換えられます(Pending changes on CDO will be discarded and the CDO configuration for this device will be replaced with the configuration currently running on the device)」という警告メッセージが表示されます。[続行(Continue)] をクリックして変更を破棄します。

  • Meraki デバイスの場合は、Security Cloud Control で変更がすぐに削除されます。

  • AWS デバイスの場合は、Security Cloud Control で削除しようとしているものが表示されます。[同意する(Accept)] または [キャンセル(Cancel)] をクリックします。


デバイスのアウトオブバンド変更

アウトオブバンド変更とは、Security Cloud Control を使用せずにデバイス上で直接行われた変更を指します。アウトオブバンド変更は、SSH 接続を介してデバイスのコマンド ライン インターフェイスを使用して、または、ASA の場合は Adaptive Security Device Manager(ASDM)、FDM による管理 デバイスの場合は FDMオンプレミス Firewall Management Center ユーザーインターフェイス上の オンプレミス Firewall Management Center などのローカルマネージャを使用して行うことができます。アウトオブバンド変更により、Security Cloud Control に保存されているデバイスの設定とデバイス自体に保存されている設定との間で競合が発生します。

デバイスでのアウトオブバンド変更の検出

ASA、FDM による管理 デバイス、Cisco IOS デバイス、または オンプレミス Firewall Management Center に対して競合検出が有効になっている場合、Security Cloud Control は 10 分ごとにデバイスをチェックし、Security Cloud Control の外部でデバイスの設定に直接加えられた新たな変更を検索します。

Security Cloud Control は、Security Cloud Control に保存されていないデバイスの設定に対する変更を検出した場合、そのデバイスの [設定ステータス(Configuration Status)] を [競合検出(Conflict Detected)] 状態に変更します。

Security Cloud Control が競合を検出した場合、次の 2 つの状態が考えられます。

  • Security Cloud Control のデータベースに保存されていない設定変更が、デバイスに直接加えられています。

  • FDM による管理 デバイスの場合、FDM による管理 デバイスに展開されていない「保留中」の設定変更がある可能性があります。

  • オンプレミス Firewall Management Center の場合、たとえば、Security Cloud Control との同期が保留されている Security Cloud Control の外部で行われた変更や、オンプレミス Firewall Management Center への展開が保留されている Security Cloud Control で行われた変更がある可能性があります。

Security Cloud Control とデバイス間の設定を同期する

設定の競合について

[セキュリティデバイス(Security Devices)] ページで、デバイスまたはサービスのステータスが [同期済み(Synced)]、[未同期(Not Synced)]、または [競合検出(Conflict Detected)] になっていることがあります。Security Cloud Control を使用して管理するオンプレミス Firewall Management Center のステータスを確認するには、[ツールとサービス(Tools & Services)] > [Firewall Management Center] に移動します。

  • デバイスが [同期済み(Synced)] の場合、Security Cloud Control の設定と、デバイスにローカルに保存されている設定は同じです。

  • デバイスが [未同期(Not Synced)] の場合、Security Cloud Control に保存された設定が変更され、デバイスにローカルに保存されている設定とは異なっています。Security Cloud Control からデバイスに変更を展開すると、Security Cloud Control のバージョンに一致するようにデバイスの設定が変更されます。

  • Security Cloud Control の外部でデバイスに加えられた変更は、アウトオブバンドの変更と呼ばれます。デバイスの競合検出が有効になっている場合、アウトオブバンドの変更が行われると、デバイスのステータスが [競合が検出されました(Conflict Detected)] に変わります。アウトオブバンドの変更を受け入れると、Security Cloud Control の設定がデバイスの設定と一致するように変更されます。

競合検出

競合検出が有効になっている場合、Security Cloud Control はデフォルトの間隔でデバイスをポーリングして、Security Cloud Control の外部でデバイスの構成が変更されたかどうかを判断します。変更が行われたことを検出すると、Security Cloud Control はデバイスの構成ステータスを [競合検出(Conflict Detected)] に変更します。Security Cloud Control の外部でデバイスに加えられた変更は、「アウトオブバンドの」変更と呼ばれます。

Security Cloud Control によって管理されているオンプレミス Firewall Management Center で、ステージングされた変更があり、デバイスが [未同期(Not Synced)] 状態の場合、Security Cloud Control はデバイスのポーリングを停止して変更を確認します。Security Cloud Control との同期が保留されている Security Cloud Control の外部で行われた変更と、オンプレミス Management Center への展開が保留されている Security Cloud Control で行われた変更がある場合、Security Cloud Controlオンプレミス Management Centerが [競合検出(Conflict Detected)] 状態であることを宣言します。

このオプションを有効にすると、デバイスごとに競合または OOB 変更を検出する頻度を設定できます。詳細については、デバイス変更のポーリングのスケジュールを参照してください。

競合検出の有効化

競合検出を有効にすると、Security Cloud Control の外部でデバイスに変更が加えられた場合に警告が表示されます。

手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブを選択します。

ステップ 4

競合検出を有効にする 1 台または複数のデバイスを選択します。

ステップ 5

デバイステーブルの右側にある [競合検出(Conflict Detection)] ボックスで、リストから [有効(Enabled)] を選択します。


デバイスからのアウトオブバンド変更の自動的な受け入れ

変更の自動的な受け入れを有効にすることで、管理対象デバイスに直接加えられた変更を自動的に受け入れるように Security Cloud Control を設定できます。Security Cloud Control を使用せずにデバイスに直接加えられた変更は、アウトオブバンド変更と呼ばれます。アウトオブバンドの変更により、Security Cloud Control に保存されているデバイスの設定とデバイス自体に保存されている設定との間で競合が発生します。

変更の自動受け入れ機能は、競合検出のための強化機能です。デバイスで変更の自動受け入れを有効にしている場合、Security Cloud Control は 10 分ごとに変更をチェックして、デバイスの設定に対してアウトオブバンドの変更が行われたかどうかを確認します。設定が変更されていた場合、Security Cloud Control は、プロンプトを表示することなく、デバイスの設定のローカルバージョンを自動的に更新します。

Security Cloud Control で行われたいずれかの設定変更がデバイスにまだ展開されていない場合、Security Cloud Control は設定変更を自動的に受け入れません画面上のプロンプトに従って、次のアクションを決定します。

変更の自動承認を使用するには、最初に、[セキュリティデバイス(Security Devices)] ページの [競合検出(Conflict Detection)] メニューで自動承認オプションをテナントが表示できるようにします。次に、個々のデバイスでの変更の自動承認を有効にします。

Security Cloud Control でアウトオブバンドの変更を検出するものの、変更を手動で受け入れたり拒否したりするオプションを選択する場合は、代わりに 競合検出 を有効にします。

自動承認変更の設定

手順


ステップ 1

管理者またはネットワーク管理者権限を持つアカウントを使用して Security Cloud Control にログインします。

ステップ 2

左側のペインで [管理(Administration)] > [一般設定(General Settings)] をクリックします。

ステップ 3

[テナント設定(Tenant Settings)] エリアで、[デバイスの変更を自動承認するオプションの有効化(Enable the Option to Auto-accept Device Changes)] のトグルをクリックします。[セキュリティデバイス(Security Devices)] ページの [競合検出(Conflict Detection)] メニューに [変更の自動承認(Auto-Accept Changes)] メニューオプションが表示されます。

ステップ 4

左側のペインで セキュリティデバイス をクリックして、アウトオブバンドの変更を自動承認するデバイスを選択します。

ステップ 5

[競合の検出(Devices & Services)] メニューで、ドロップダウンメニューから [変更の自動承認(Auto-Accept Changes)] を選択します。


テナント上のすべてのデバイスの自動承認変更の無効化

手順


ステップ 1

[管理者(Admin)] または [ネットワーク管理者(Super Admin)] 権限を持つアカウントを使用して Security Cloud Control にログインします。

ステップ 2

左側のペインで [管理(Administration)] > [一般設定(General Settings)] をクリックします。

ステップ 3

[テナント設定(Tenant Settings)] 領域で、トグルを左にスライドして灰色の X を表示し、[デバイスの変更を自動承認するオプションを有効にする(Enable the option to auto-accept device changes)] を無効にします。これにより、競合検出メニューの [変更の自動承認(Auto-Accept Changes)] オプションが無効になり、テナント上のすべてのデバイスでこの機能が無効になります。

(注)  

 

[自動承認(Auto-Accept)] を無効にした場合、Security Cloud Control で承認する前に、各デバイスの競合を確認する必要があります。これまで変更の自動承認が設定されていたデバイスも対象になります。


設定の競合の解決

このセクションでは、デバイスで発生する設定の競合の解決に関する情報を提供します。

未同期ステータスの解決

次の手順を使用して、「未同期」の設定ステータスのデバイスを解決します。

手順


ステップ 1

ナビゲーションバーで セキュリティデバイス をクリックします。

(注)  

 

オンプレミス Firewall Management Center の場合は、[管理(Administration)] > [Firewall Management Center] をクリックして、[未同期(Not Synced)] 状態の FMC を選択し、ステップ 5 から続行します。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

未同期と報告されたデバイスを選択します。

ステップ 5

右側の [未同期(Not synced)] パネルで、次のいずれかを選択します。

  • [プレビューして展開...(Preview and Deploy..)] :設定の変更を Security Cloud Control からデバイスにプッシュする場合は、今行った変更をプレビューして展開するか、待ってから一度に複数の変更を展開します。

  • [変更の破棄(Discard Changes)]:設定の変更を Security Cloud Control からデバイスにプッシュしない場合、または Security Cloud Control で開始した設定の変更を「元に戻す」場合。このオプションは、Security Cloud Control に保存されている設定を、デバイスに保存されている実行構成で上書きします。


競合検出ステータスの解決

Security Cloud Control を使用すると、ライブデバイスごとに競合検出を有効化または無効化できます。競合検出 が有効になっていて、Security Cloud Control を使用せずにデバイスの設定に変更が加えられた場合、デバイスの設定ステータスには [競合検出(Conflict Detected)] と表示されます。

[競合検出(Conflict Detected)] ステータスを解決するには、次の手順に従います。

手順


ステップ 1

ナビゲーションバーで セキュリティデバイス をクリックします。

(注)  

 

オンプレミス Firewall Management Center の場合は、[管理(Administration)] > [Firewall Management Center] をクリックして、[未同期(Not Synced)] 状態の FMC を選択し、ステップ 5 から続行します。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

競合を報告しているデバイスを選択し、右側の詳細ペインで [競合の確認(Review Conflict)] をクリックします。

ステップ 5

[デバイスの同期(Device Sync)] ページで、強調表示されている相違点を確認して、2 つの設定を比較します。

  • 「最後に認識されたデバイス設定(Last Known Device Configuration)」というラベルの付いたパネルは、Security Cloud Control に保存されているデバイス設定です。

  • [デバイスで検出(Found on Device)] というラベルの付いたパネルは、ASA の実行コンフィギュレーションに保存されている設定です。

ステップ 6

次のいずれかを選択して、競合を解決します。

  • [デバイスの変更を承認(Accept Device changes)]:設定と、Security Cloud Control に保存されている保留中の変更がデバイスの実行コンフィギュレーションで上書きされます。

    (注)  

     

    Security Cloud Control はコマンド ライン インターフェイス以外での Cisco IOS デバイスへの変更の展開をサポートしていないため、競合を解決する際の Cisco IOS デバイスの唯一の選択肢は [レビューなしで承認(Accept Without Review)] です。

  • [デバイスの変更を拒否(Reject Device Changes)]:デバイスに保存されている設定を Security Cloud Control に保存されている設定で上書きします。

(注)  

 

拒否または承認されたすべての設定変更は、変更ログに記録されます。


デバイス変更のポーリングのスケジュール

競合検出 を有効にしている場合、または [設定(Settings)] ページで [デバイスの変更を自動承認するオプションの有効化(Enable the Option to Auto-accept Device Changes)] オプションを有効にしている場合、Security Cloud Control はデフォルトの間隔でデバイスをポーリングして、Security Cloud Control の外部でデバイスの設定に変更が加えられたかどうかを判断します。Security Cloud Control による変更のポーリング間隔は、デバイスごとにカスタマイズできます。ポーリング間隔の変更は、複数のデバイスに適用できます。

デバイスでこの間隔が選択されていない場合は、間隔は「テナントのデフォルト」に自動的に設定されます。


(注)  


[セキュリティデバイス(Security Devices)] ページでデバイスごとの間隔をカスタマイズすると、[一般設定(General Settings)] ページの [デフォルトの競合検出間隔(Default Conflict Detection Interval)] で選択したポーリング間隔がオーバーライドされます。デフォルトの競合検出間隔


[セキュリティデバイス(Security Devices)] ページで [競合検出(Conflict Detection)] を有効にするか、[設定(Settings)] ページで [デバイスの変更を自動承認するオプションの有効化(Enable the Option to Auto-accept Device Changes)] オプションを有効にしたら、次の手順に従い Security Cloud Control によるデバイスのポーリング間隔をスケジュールします。

手順


ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

競合検出を有効にする 1 台または複数のデバイスを選択します。

ステップ 5

[競合検出(Conflict Detection)] と同じ領域で、[チェック間隔(Check every)] のドロップダウンメニューをクリックし、目的のポーリング間隔を選択します。