Cisco ISA 3000 のアラーム

Cisco ISA 3000 デバイスのアラーム システムを設定して、望ましくない状況になったときに警告することができます。

アラームについて

さまざまな条件でアラームを発行するように ISA 3000 を設定できます。いずれかの条件が設定と一致しない場合、アラームがトリガーされます。これにより、LED、Syslog メッセージ、SNMP トラップによって、またアラーム出力インターフェイスに接続された外部デバイスを通じて、アラートがレポートされます。デフォルトでは、トリガーされたアラームにより Syslog メッセージだけが発行されます。

次のものをモニタするようにアラーム システムを設定できます。

  • 電源装置

  • プライマリおよびセカンダリ温度センサー

  • アラーム入力インターフェイス

ISA 3000 には内部センサーに加えて 2 つのアラーム入力インターフェイスと 1 つのアラーム出力インターフェイスがあります。アラーム入力インターフェイスにはドア センサーなどの外部センサーを接続できます。アラーム出力インターフェイスにはブザーやライトなどの外部アラーム デバイスを接続できます。

アラーム出力インターフェイスはリレー メカニズムです。アラーム状態に応じて、リレーは通電または非通電のいずれかの状態になります。リレーが通電状態になると、インターフェイスに接続されているデバイスがアクティブになります。リレーが非通電状態になると、接続されているデバイスが非アクティブ状態になります。アラームがトリガーされるかぎり、リレーは通電状態のままになります。

外部センサーとアラーム リレーの接続については、『Cisco ISA 3000 Industrial Security Appliance Hardware Installation Guide』を参照してください。

アラーム入力インターフェイス

アラーム入力インターフェイス(または接点)は外部センサー(ドアが開いているかどうかを検出するセンサーなど)に接続できます。

各アラーム入力インターフェイスには対応する LED があります。これらの LED は各アラーム入力のアラーム ステータスを示します。アラーム入力ごとにトリガーとシビラティ(重大度)を設定できます。LED に加えて、出力リレーのトリガー(外部アラームをアクティブにするため)、Syslog メッセージの送信、および SNMP トラップの送信を行うように接点を設定できます。

次の表に、アラーム入力のアラーム状態に応じた LED のステータスを示します。また、アラーム入力に対する出力リレー、Syslog メッセージ、および SNMP トラップの応答を有効にしている場合のそれらの動作も示します。

アラーム ステータス

LED

出力リレー

Syslog

SNMP トラップ

アラームが設定されていない

オフ

アラームがトリガーされていない

緑色で点灯

アラームがアクティブになっている

マイナー アラーム:赤色で点灯

メジャー アラーム:赤色で点滅

リレーが通電状態になる

Syslog が生成される

SNMP トラップが送信される

アラームが終了した

緑色で点灯

リレーが非通電状態になる

Syslog が生成される

アラーム出力インターフェイス

アラーム出力インターフェイスにはブザーやライトなどの外部アラームを接続できます。

アラーム出力インターフェイスはリレーとして機能します。また、このインターフェイスには、入力インターフェイスに接続された外部センサーや、デュアル電源センサー、温度センサーなどの内部センサーのアラーム ステータスを示す、対応する LED があります。出力リレーをアクティブにする必要があるアラームがある場合は、それを設定します。

次の表に、アラーム状態に応じた LED と出力リレーのステータスを示します。また、アラームに対する Syslog メッセージおよび SNMP トラップの応答を有効にしている場合のそれらの動作も示します。

アラーム ステータス

LED

出力リレー

Syslog

SNMP トラップ

アラームが設定されていない

オフ

アラームがトリガーされていない

緑色で点灯

アラームがアクティブになっている

赤色で点灯

リレーが通電状態になる

Syslog が生成される

SNMP トラップが送信される

アラームが終了した

緑色で点灯

リレーが非通電状態になる

Syslog が生成される

Syslog アラーム

デフォルトでは、アラームがトリガーされるとシステムは syslog メッセージを送信します。メッセージを送信しない場合は、syslog メッセージングを無効にすることができます。

syslog アラームを機能させるには、[デバイス(Device)] > [システム設定(System Settings)] > [ロギング設定(Logging Settings)] で診断ロギングも有効にする必要があります。syslog サーバ、コンソールロギング、または内部バッファロギングを設定します。

診断ロギングの宛先を有効にしなければ、アラームシステムはどこにも syslog メッセージを送信しません。

SNMPトラップ アラーム

必要に応じて、SNMP トラップを SNMP サーバに送信するようにアラームを設定できます。SNMP トラップ アラームが機能するには、SNMP を設定する必要があります。

SNMP を設定するには、Threat Defense API を使用します。[詳細オプション(More options)] ボタン([その他のオプション(More options)] ボタン。)をクリックし、[APIエクスプローラ(API Explorer)] を選択します。次に、SNMP リソースを探し、そのモデルのマニュアルを調べて、機能の設定方法を確認します。SNMP バージョン 2c または 3 を使用できます。バージョン 1 はサポートされていません。SNMP の設定の詳細については、最新バージョンの ASA ソフトウェア用の『CLI Book 1: Cisco ASA Series General Operations CLI Configuration Guide』にある SNMP に関する章を参照してください。このガイドは、https://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-installation-and-configuration-guides-list.html から入手できます。

アラームのデフォルト設定

次の表に、アラーム入力インターフェイス(コンタクト)、冗長電源、および温度のデフォルト設定を示します。

アラーム

トリガー

シビラティ(重大度)

SNMP トラップ

出力リレー

Syslog メッセージ

アラーム コンタクト 1

[有効(Enabled)]

クローズ状態

マイナー

無効

無効

有効

アラーム コンタクト 2

[有効(Enabled)]

クローズ状態

マイナー

無効

無効

有効

冗長電源(有効な場合)

[有効(Enabled)]

無効

無効

有効

温度

プライマリ温度アラームで有効(高温/低温のデフォルトしきい値はそれぞれ 92°C および -40°C)。

セカンダリ アラームでは無効。

プライマリ温度アラームで有効

プライマリ温度アラームで有効

プライマリ温度アラームで有効

ISA 3000 のアラームの設定

ISA 3000 のアラームを設定するには FlexConfig を使用します。ここでは、さまざまなタイプのアラームの設定方法について説明します。

アラーム入力コンタクトの設定

アラーム入力コンタクト(インターフェイス)を外部センサーに接続する場合、センサーからの入力に基づいてアラームを発行するようコンタクトを設定できます。実際には、デフォルトで、コンタクトはクローズ状態つまりコンタクトを流れる電流が停止すると syslog メッセージを送信するようになっています。デフォルトでは要件が満たされない場合にのみ、コンタクトを設定する必要があります。

アラーム コンタクトには 1 および 2 の番号が付いているため、正しく設定するためにどのように物理ピンを接続するのかを理解する必要があります。コンタクトを個別に設定します。

手順

ステップ 1

[デバイス(Device)] > [詳細設定(Advanced Configuration)] で [設定の表示(View Configuration)] をクリックします。

ステップ 2

詳細設定の目次で [FlexConfig] > [FlexConfigオブジェクト(FlexConfig Objects)] をクリックします。

ステップ 3

[+] ボタンをクリックして新しいオブジェクトを作成します。

ステップ 4

オブジェクトの名前を入力します。たとえば、Enable_Alarm_Contact などです。

ステップ 5

[テンプレート(Template)] エディタで、コンタクトの設定に必要なコマンドを入力します。

  1. アラームコンタクトの説明を設定します。

    alarm contact {1 | 2} description string

    たとえば、コンタクト 1 の説明を「Door Open」に設定するには、次のように入力します。 

    
alarm contact 1 description Door Open

  2. アラームコンタクトの重大度を設定します。

    alarm contact {1 | 2 | any} severity {major | minor | none}

    1 つのコンタクトを設定する代わりに、any を指定してすべてのコンタクトの重大度を変更できます。重大度によって、コンタクトに関連付けられている LED の動作が制御されます。

    • major :LED が赤色で点滅します。

    • minor:LED が赤色で点灯します。これがデフォルトです。

    • none:LED が消灯します。

    たとえば、コンタクト 1 のシビラティ(重大度)をメジャーに設定するには、次のように入力します。 

    
alarm contact 1 severity major

  3. アラームコンタクトのトリガーを設定します。

    alarm contact {1 | 2 | any} trigger {open | closed}

    1 つのコンタクトを設定する代わりに、any を指定してすべてのコンタクトのトリガーを変更できます。トリガーは、アラート信号を発する電気条件を決定します。

    • open :コンタクトの通常状態はクローズです。つまり、コンタクトに電流が流れています。コンタクトがオープンになる、つまり電流が停止するとアラートがトリガーされます。

    • closed :コンタクトの通常状態はオープンです。つまり、コンタクトに電流は流れていません。コンタクトがクローズになる、つまり電流がコンタクトを流れ始めるとアラートがトリガーされます。これはデフォルトです。

    たとえば、ドア センサーをアラーム入力コンタクト 1 に接続して、通常状態ではアラーム コンタクトに電流は流れていない(オープン)とします。ドアが開くとコンタクトはクローズになり、アラーム コンタクトに電流が流れます。アラーム トリガーをクローズに設定しているため、電流が流れ始めたらアラームはオフになります。

    
alarm contact 1 trigger closed

  4. アラームコンタクトがトリガーされるときに実行するアクションを設定します。

    alarm facility input-alarm {1 | 2} {relay | syslog | notifies}

    複数のアクションを設定できます。たとえば、デバイスを設定して、外部アラームをアクティブ化したり、syslog メッセージを送信したり、SNMP トラップを送信することもできます。

    • [リレー(relay)]:アラーム出力リレーに通電します。これにより、ブザーやフラッシュ ライトになどに接続した外部アラームがアクティブ化されます。出力 LED も赤色になります。

    • [syslog]:syslog メッセージを送信します。このオプションは、デフォルトで有効です。

    • [通知(notifies)]:SNMP トラップを送信します。

    たとえば、アラーム入力コンタクト 1 のすべてのアクションを有効にするには、次のように入力します。 

    
alarm facility input-alarm 1 relay 
alarm facility input-alarm 1 syslog
alarm facility input-alarm 1 notifies

ステップ 6

[ネゲートテンプレート(Negate Template)] エディタで、この設定を元に戻すために必要な行を入力します。

これらすべてのコマンドでは、no 形式を使用して設定を無効化し、デフォルト設定に戻します。たとえば、テンプレートにこの手順で示したすべてのコマンド例が含まれている場合、ネゲートテンプレートは次のようになります。 


no alarm contact 1 description Door Open
no alarm contact 1 severity major 
no alarm contact 1 trigger closed 
no alarm facility input-alarm 1 relay 
no alarm facility input-alarm 1 syslog
no alarm facility input-alarm 1 notifies

ステップ 7

[OK] をクリックしてオブジェクトを保存します。

ステップ 8

オブジェクトを FlexConfig ポリシーに追加します。

  1. 目次で [FlexConfig ポリシー(FlexConfig Policy)] をクリックします。

  2. [グループ リスト(Group List)] で [+] をクリックします。

  3. Enable_Alarm_Contact オブジェクトを選択して、[OK] をクリックします。

    プレビューはテンプレート内のコマンドで更新されます。予想していたコマンドが表示されていることを確認します。

  4. [保存(Save)] をクリックします。

    これで、ポリシーを展開できます。

ステップ 9

展開が完了したら、CLI コンソールまたは SSH セッションで、show running-config コマンドを使用し、実行中の設定が正しく変更されていることを確認します。外部センサーをテストして、アラームがトリガーされていることを確認します。

電源装置アラームの設定

ISA 3000 には、電源装置が 2 台搭載されています。デフォルトでは、システムはシングル電源モードで稼働しています。ただし、デュアル モードでシステムを稼働するよう設定できます。その場合、プライマリ電源が故障すると 2 つ目の電源が自動的に電力を供給します。デュアル モードを有効にすると、電源アラームが自動的に有効になって syslog アラートが送信されますが、アラートを無効にしたり、SNMP トラップまたはアラーム ハードウェア リレーを有効にすることもできます。

次の手順では、デュアルモードを有効にする方法と電源アラームを設定する方法について説明します。

手順

ステップ 1

[デバイス(Device)] > [詳細設定(Advanced Configuration)] で [設定の表示(View Configuration)] をクリックします。

ステップ 2

詳細設定の目次で [FlexConfig] > [FlexConfigオブジェクト(FlexConfig Objects)] をクリックします。

ステップ 3

[+] ボタンをクリックして新しいオブジェクトを作成します。

ステップ 4

オブジェクトの名前を入力します。たとえば、Enable_Power_Supply_Alarm などです。

ステップ 5

[テンプレート(Template)] エディタで、電源アラームの設定に必要なコマンドを入力します。

  1. デュアル電源モードを有効にします。

    power-supply dual

    次に例を示します。 

    
power-supply dual

  2. 電源アラームがトリガーされたときに実行するアクションを設定します。

    alarm facility power-supply rps {relay | syslog | notifies | disable}

    複数のアクションを設定できます。たとえば、デバイスを設定して、外部アラームをアクティブ化したり、syslog メッセージを送信したり、SNMP トラップを送信することもできます。

    • [リレー(relay)]:アラーム出力リレーに通電します。これにより、ブザーやフラッシュ ライトになどに接続した外部アラームがアクティブ化されます。出力 LED も赤色になります。

    • [syslog]:syslog メッセージを送信します。このオプションは、デフォルトで有効です。

    • [通知(notifies)]:SNMP トラップを送信します。

    • [無効(disable)]:電源アラームを無効にします。電源アラームに設定されたその他のアクションは動作しなくなります。

    たとえば、電源アラームのすべてのアクションを有効にするには、次のように入力します。 

    
alarm facility power-supply rps relay 
alarm facility power-supply rps syslog
alarm facility power-supply rps notifies

ステップ 6

[ネゲートテンプレート(Negate Template)] エディタで、この設定を元に戻すために必要な行を入力します。

これらすべてのコマンドでは、no 形式を使用して設定を無効化し、デフォルト設定に戻します。たとえば、テンプレートにこの手順で示したすべてのコマンド例が含まれている場合、ネゲートテンプレートは次のようになります。 


no power-supply dual
no alarm facility power-supply rps relay 
no alarm facility power-supply rps syslog
no alarm facility power-supply rps notifies

ステップ 7

[OK] をクリックしてオブジェクトを保存します。

ステップ 8

オブジェクトを FlexConfig ポリシーに追加します。

  1. 目次で [FlexConfig ポリシー(FlexConfig Policy)] をクリックします。

  2. [グループ リスト(Group List)] で [+] をクリックします。

  3. Enable_Power_Supply_Alarm オブジェクトを選択して、[OK] をクリックします。

    プレビューはテンプレート内のコマンドで更新されます。予想していたコマンドが表示されていることを確認します。

  4. [保存(Save)] をクリックします。

    これで、ポリシーを展開できます。

ステップ 9

展開が完了したら、CLI コンソールまたは SSH セッションで、show running-config コマンドを使用し、実行中の設定が正しく変更されていることを確認します。

温度アラームの設定

デバイスの CPU カードの温度に基づいてアラームを設定できます。

プライマリ温度範囲とセカンダリ温度範囲を設定できます。温度が下限しきい値以下になるか上限しきい値以上になると、アラームがトリガーされます。

プライマリ温度アラームは、すべてのアラーム アクション(出力リレー、syslog、および SNMP)についてデフォルトで有効になっています。プライマリ温度範囲のデフォルト設定値は -40°C ~ 92°C です。

セカンダリ温度アラームはデフォルトでディセーブルになっています。セカンダリ温度は、-35°C ~ 85°C の範囲で設定できます。

セカンダリ温度範囲はプライマリ範囲よりも制限されているため、セカンダリの低温または高温のいずれかを設定すると、プライマリ設定にデフォルト以外の値を設定していたとしても、対応するプライマリ設定はこの設定によって無効になります。2 つの異なる高温アラームと 2 つの異なる低温アラームを有効にすることはできません。

したがって、実際には、プライマリのみまたはセカンダリのみの高温値および低温値を設定する必要があります。

手順

ステップ 1

[デバイス(Device)] > [詳細設定(Advanced Configuration)] で [設定の表示(View Configuration)] をクリックします。

ステップ 2

詳細設定の目次で [FlexConfig] > [FlexConfigオブジェクト(FlexConfig Objects)] をクリックします。

ステップ 3

[+] ボタンをクリックして新しいオブジェクトを作成します。

ステップ 4

オブジェクトの名前を入力します。たとえば、Enable_Temperature_Alarm などです。

ステップ 5

[テンプレート(Template)] エディタで、温度アラームの設定に必要なコマンドを入力します。

  1. 許容温度範囲を設定します。

    alarm facility temperature {primary | secondary} {low | high} temperature

    温度は摂氏で示されます。プライマリ アラームの許容範囲は -40 ~ 92 で、これがデフォルト範囲でもあります。セカンダリ アラームの許容範囲は、-35 ~ 85 です。低い値は、高い値より小さくする必要があります。

    たとえば、セカンダリ アラームの許容範囲内で、より制限された温度範囲の -20 ~ 80 を設定するには、次のようにセカンダリ アラームを設定します。 

    
alarm facility temperature secondary low -20
alarm facility temperature secondary high 80

  2. 温度アラームがトリガーされたときに実行するアクションを設定します。

    alarm facility temperature {primary | secondary} {relay | syslog | notifies}

    複数のアクションを設定できます。たとえば、デバイスを設定して、外部アラームをアクティブ化したり、syslog メッセージを送信したり、SNMP トラップを送信することもできます。

    • [リレー(relay)]:アラーム出力リレーに通電します。これにより、ブザーやフラッシュ ライトになどに接続した外部アラームがアクティブ化されます。出力 LED も赤色になります。

    • [syslog]:syslog メッセージを送信します。

    • [通知(notifies)]:SNMP トラップを送信します。

    たとえば、セカンダリ温度アラームのすべてのアクションを有効にするには、次のように入力します。 

    
alarm facility temperature secondary relay 
alarm facility temperature secondary syslog
alarm facility temperature secondary notifies

ステップ 6

[ネゲートテンプレート(Negate Template)] エディタで、この設定を元に戻すために必要な行を入力します。

次のすべてのコマンドでは、no 形式を使用してデフォルト設定に戻したり(プライマリアラームの場合)、設定を無効にします(セカンダリアラームの場合)。たとえば、テンプレートにこの手順で示したすべてのコマンド例が含まれている場合、ネゲートテンプレートは次のようになります。 


no alarm facility temperature secondary low -20
no alarm facility temperature secondary high 80 
no alarm facility temperature secondary relay 
no alarm facility temperature secondary syslog
no alarm facility temperature secondary notifies

ステップ 7

[OK] をクリックしてオブジェクトを保存します。

ステップ 8

オブジェクトを FlexConfig ポリシーに追加します。

  1. 目次で [FlexConfig ポリシー(FlexConfig Policy)] をクリックします。

  2. [グループ リスト(Group List)] で [+] をクリックします。

  3. Enable_Temperature_Alarm オブジェクトを選択して、[OK] をクリックします。

    プレビューはテンプレート内のコマンドで更新されます。予想していたコマンドが表示されていることを確認します。

  4. [保存(Save)] をクリックします。

    これで、ポリシーを展開できます。

ステップ 9

展開が完了したら、CLI コンソールまたは SSH セッションで、show running-config コマンドを使用し、実行中の設定が正しく変更されていることを確認します。

アラームのモニタリング

ここでは、アラームのモニタおよび管理方法について説明します。

アラーム ステータスのモニタリング

CLI で次のコマンドを使用してアラームをモニタすることができます。

  • show alarm settings

    使用可能な各アラームの現在の設定が表示されます。

  • show environment alarm-contact

    入力アラーム コンタクトの物理ステータスに関する情報が表示されます。

  • show facility-alarm relay

    出力リレーをトリガーしたアラームに関する情報が表示されます。

  • show facility-alarm status[info |major |minor]

    トリガーされたすべてのアラームに関する情報が表示されます。major ステータスまたは minor ステータスでフィルタリングすることで表示の絞り込みができます。info キーワードを使用すると、キーワードを使用しない場合と同じ出力になります。

アラームに関する Syslog メッセージのモニタリング

設定するアラームのタイプに応じて、次の Syslog メッセージが表示される場合があります。

デュアル電源アラーム

  • %FTD-1-735005:Power Supply Unit Redundancy OK

  • %FTD-1-735006:Power Supply Unit Redundancy Lost

温度アラーム

これらのアラームでは、Celsius は、デバイス上で検出された温度(摂氏単位)に置き換えられます。

  • %FTD-6-806001:Primary alarm CPU temperature is High Celsius

  • %FTD-6-806002:Primary alarm for CPU high temperature is cleared

  • %FTD-6-806003:Primary alarm CPU temperature is Low Celsius

  • %FTD-6-806004:Primary alarm for CPU Low temperature is cleared

  • %FTD-6-806005:Secondary alarm CPU temperature is High Celsius

  • %FTD-6-806006:Secondary alarm for CPU high temperature is cleared

  • %FTD-6-806007:Secondary alarm CPU temperature is Low Celsius

  • %FTD-6-806008:Secondary alarm for CPU Low temperature is cleared

アラーム入力コンタクトアラーム

これらのアラームでは、「description 」は、設定したコンタクトの説明です。

  • %FTD-6-806009:Alarm asserted for ALARM_IN_1 alarm_1_description

  • %FTD-6-806010:Alarm cleared for ALARM_IN_1 alarm_1_description

  • %FTD-6-806011:Alarm asserted for ALARM_IN_2 alarm_2_description

  • %FTD-6-806012: Alarm cleared for ALARM_IN_2 alarm_2_description

外部アラームをオフにする

アラーム出力にアタッチされる外部アラームを使用していて、アラームがトリガーされる場合、clear facility-alarm output コマンドを使用してデバイス CLI から外部アラームをオフにできます。このコマンドは、出力ピンの電源を切り、出力 LED もオフにします。