- FireSIGHT System ユーザ ガイド
- Contents
- Cisco FireSIGHT システムの概要
- FireSIGHT システム へのログイン
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスの設定
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- 集約インターフェイスのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- ユーザに基づくトラフィックの制御
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- ネットワーク資産に応じた侵入防御の調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの理解と作成
- マルウェアと禁止されたファイルのブロッ キング
- ネットワーク トラフィックの接続のロギ ング
- 接続およびセキュリティ インテリジェンス のデータの使用
- マルウェアとファイル アクティビティの 分析
- 侵入イベントの操作
- インシデント対応
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ネットワーク検出の概要
- ネットワーク検出の拡張
- アクティブ スキャンの設定
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- FireSIGHT システムのコンプライアンス ツー ルとしての使用
- トラフィック プロファイルの作成
- 修復の設定
- ダッシュボードの使用
- Context Explorer の使用
- レポートの操作
- ワークフローの概要と使用
- カスタム テーブルの使用
- イベントの検索
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システム のライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ設定の指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、お よび通信ポート
- サードパーティ製品
- Glossary
- 基本的な CLI コマンド
- Show コマンド
- access-control-config
- alarms
- arp-tables
- audit-log
- bypass
- clustering
- cpu
- database
- device-settings
- disk
- disk-manager
- dns
- expert
- fan-status
- fastpath-rules
- gui
- hostname
- hosts
- hyperthreading
- iab
- inline-sets
- interfaces
- ifconfig
- lcd
- link-aggregation
- link-state
- log-ips-connection
- managers
- memory
- model
- mpls-depth
- NAT
- netstat
- network
- network-modules
- network-static-routes
- ntp
- perfstats
- portstats
- power-supply-status
- process-tree
- processes
- route
- routing-table
- serial-number
- ssl-policy-config
- stacking
- summary
- time
- traffic-statistics
- user
- users
- version
- virtual-routers
- virtual-switches
- vmware-tools
- VPN
- clustering
- bypass
- gui
- iab
- lcd
- log-ips-connections
- manager
- mpls-depth
- network
- dns searchdomains
- dns servers
- hostname
- http-proxy
- http-proxy-disable
- ipv4 delete
- ipv4 dhcp
- ipv4 manual
- ipv6 delete
- ipv6 dhcp
- ipv6 router
- ipv6 manual
- management-interface disable
- management-interface disable-event-channel
- management-interface disable-management-channel
- management-interface enable
- management-interface enable-event-channel
- management-interface enable-management-channel
- management-interface tcpport
- management-port
- static-routes ipv4 add
- static-routes ipv4 delete
- static-routes ipv6 add
- static-routes ipv6 delete
- password
- stacking disable
- user
- vmware-tools
コマンドライン リファレンス
このリファレンスでは、FirePOWER アプライアンス、仮想デバイス、および ASA FirePOWER デバイスの ASA FirePOWER モジュールのコマンドライン インターフェイス(CLI)について説明します。CLI を使用して、FireSIGHT システムを表示、設定、およびトラブルシューティングすることができます。
(注
) コマンドライン インターフェイスは、防御センター、シリーズ 2 アプライアンス、Blue Coat X-Series 向け Cisco NGIPS、および ASA FirePOWER デバイスの ASA モジュールではサポートされていません。
CLI モードには show や configure など多数あり、これらのモードにはモード名で始まる一連のコマンドが含まれています。モードを開始して、そのモードで有効なコマンドを入力することも、任意のモードからフル コマンドを入力することもできます。たとえば、Analyst1 というユーザ アカウントの情報を表示するには、CLI プロンプトで次のように入力します。
すでに show モードを開始している場合は、CLI プロンプトで次のように入力します。
各モードで、ユーザが使用できるコマンドは、ユーザの CLI アクセスによって異なります。ユーザ アカウントを作成する場合は、手動で次のいずれかの CLI アクセス レベル に割り当てることができます。
ユーザは読み取り専用のアクセス権を持ち、システムのパフォーマンスに影響を与えるコマンドを実行することはできません。
ユーザは、読み取り/書き込みアクセス権があり、システムのパフォーマンスに影響を与えるコマンドを実行することができます。
シリーズ 3 デバイスでは、Web インターフェイスの [ユーザ管理(User Management)] ページでコマンドラインの権限を割り当てることができます。詳細については、ユーザの管理を参照してください。仮想デバイスと ASA FirePOWER デバイスでは、CLI 自身を通じてコマンドラインの権限を割り当てます。
(注) シリーズ 3 デバイスをリブートし、できるだけ早く CLI にログインしても、Web インターフェイスが使用できるようになるまで、実行するすべてのコマンドは監査ログに記録されません。
CLI コマンドでは大文字と小文字が区別されません。ただし、ユーザ名や検索フィルタなど、テキストが CLI フレームワークの一部ではないパラメータでは区別されることに注意してください。
コマンドラインへのログインの詳細については、アプライアンスへのログインを参照してください。
基本的な CLI コマンド
基本的な CLI コマンドを使用して、CLI とやりとりすることができます。これらのコマンドはデバイスの処理に影響しません。基本的なコマンドは、すべての CLI ユーザが使用できます。
configure password
現行のユーザは、自身のパスワードを変更することができます。コマンドを発行すると、CLI は現在の(古い)パスワードを入力するようユーザに要求し、その後で新しいパスワードを 2 回入力するよう要求します。
end
ユーザをデフォルトのモードに戻します(ユーザを任意の下位レベルの CLI コンテキストから最大デフォルト モードまで移動します)。
exit
CLI コンテキストを、次に高い CLI コンテキスト レベルへ移動します。デフォルト モードからこのコマンドを発行すると、ユーザは現行の CLI セッションからログアウトします。これは、CLI コマンドの logout を発行するのと同じです。
help
history
ここで limit は履歴リストのサイズを設定します。サイズを無制限に設定するには、0 を入力します。
logout
現行の CLI コンソール セッションから現行のユーザをログアウトします。
? (疑問符)
CLI コマンドおよびパラメータの状況依存ヘルプを表示します。次のように、疑問符( ? )のコマンドを使用します。
- 現在の CLI コンテキスト内で使用できるコマンドのヘルプを表示するには、コマンド プロンプトで疑問符(
?)を入力します。 - 特定文字セットから始まる使用可能なコマンドのリストを表示するには、疑問符(
?)に続けて短縮されたコマンドを入力します。 - コマンドの正式な引数のヘルプを表示するには、コマンド プロンプトの引数の代わりに疑問符(
?)を入力します。
疑問符( ? )は、コンソールにエコーバックされないことに注意してください。
?? (二重の疑問符)
CLI コマンドおよびパラメータの詳細な状況依存ヘルプを表示します。
Show コマンド
Show コマンドは、デバイスの状態に関する情報を提供します。これらのコマンドはデバイスの動作モードを変更しません。また、これらのコマンドを実行しても、システムの動作に対する影響は最小限になります。ほとんどの show コマンドはすべての CLI ユーザが利用できますが、 show user コマンドを発行できるのは、configuration CLI アクセス権限を持つユーザのみです。
- access-control-config
- alarms
- arp-tables
- audit-log
- bypass
- clustering
- cpu
- database
- device-settings
- disk
- disk-manager
- dns
- expert
- fan-status
- fastpath-rules
- gui
- hostname
- hosts
- hyperthreading
- iab
- ifconfig
- inline-sets
- interfaces
- lcd
- link-state
- log-ips-connection
- managers
- memory
- model
- mpls-depth
- NAT
- netstat
- network
- network-modules
- network-static-routes
- ntp
- perfstats
- portstats
- power-supply-status
- process-tree
- processes
- route
- routing-table
- serial-number
- ssl-policy-config
- stacking
- summary
- time
- traffic-statistics
- user
- users
- version
- virtual-routers
- virtual-switches
- vmware-tools
access-control-config
次のように現在適用されているアクセス コントロールの設定を表示します:セキュリティ インテリジェンス設定、参照された SSL ポリシー、ネットワーク分析ポリシー、侵入ポリシー、およびファイル ポリシーの名前、侵入変数セットのデータ、ロギング設定、およびポリシー レベルのパフォーマンス、前処理、一般設定などのその他の詳細設定。
また、送信元と宛先のポート データ(ICMP エントリのタイプとコードを含む)および各アクセス コントロール ルールに一致した接続数(ヒット数)などの、ポリシーに関連する接続情報も表示します。
alarms
デバイス上で、現行のアクティブな(失敗した/停止している)ハードウェアのアラームを表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
arp-tables
ネットワークに適用できる該当するアドレス解決プロトコル テーブルを表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
audit-log
監査ログが時系列の逆順に表示され、最も新しい監査ログ イベントが最初に示されます。
bypass
シリーズ 3 デバイスでは、使用中のインライン セットが一覧表示され、それらのセットのバイパス モード ステータスが次のいずれかとして表示されます。
-
armed:インターフェイス ペアは、障害が発生した場合にハードウェア バイパスに移行するように設定されているか、configure bypass closeコマンドでフェールクローズへの移行が強制されています。 -
engaged:インターフェイス ペアが、オープンに失敗したか、または、configure bypass openコマンドを使用して強制的にハードウェア バイパスになりました。 -
off:インターフェイス ペアは、フェールクローズに設定されています( Bypass Mode: Non-Bypass )。インターフェイス ペアで障害が発生した場合は、パケットがブロックされます。
clustering
デバイスのクラスタリング設定、ステータス、およびメンバー スタックの情報を表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
config
clustering ha-statistics
クラスタ内のデバイスについて、状態共有統計情報を表示します。
cpu
デバイス上のすべての CPU のプラットフォームに適合する現行の CPU の使用率の統計情報を表示します。管理対象デバイスでは、次の値が表示されます。
0~100 の数値で表される CPU の使用率。0 はロードされていない状態で、100 は完全にロードされたことを表します。
仮想デバイスおよび ASA FirePOWER デバイスについては、次の値が表示されます。
ユーザ レベル(アプリケーション)で実行中に生じた CPU 使用率のパーセンテージ。
高い優先度で実行中に生じた CPU 使用率のパーセンテージ。
システム レベル(カーネル)で実行中に生じた CPU 使用率のパーセンテージ。これには、サービスの割り込みや softirqs で経過する時間は含まれません。softirq(ソフトウェアの割り込み)は、複数の CPU で同時に実行できる最大 32 個の列挙されたソフトウェア割り込みの 1 つです。
システムに未処理のディスク I/O 要求があったときに、CPU がアイドル状態だった時間の割合(パーセンテージ)。
割り込みを行うために CPU が費やした時間の割合(パーセンテージ)。
softirqs を行うために CPU が費やした時間の割合(パーセンテージ)。
ハイパーバイザが別の仮想プロセッサを実行しているときに、仮想 CPU が強制的な待機で費やした時間の割合(パーセンテージ)
仮想プロセッサを実行するために CPU が費やした時間の割合(パーセンテージ)。
CPU がアイドル状態で、システムに未処理のディスク I/O 要求がなかった時間の割合(パーセンテージ)。
ここで procnum は、使用率の情報を表示するプロセッサの数を表します。有効な値は、0 からシステム上のプロセッサ数よりも少ない数です。 procnum が管理対象デバイスで使用されている場合は無視されます。このプラットフォームについては、使用率の情報はすべてのプロセッサについてのみ表示されるためです。
database
processes
slow-query-log
device-settings
現行のデバイスに特有のアプリケーションのバイパス設定に関する情報を表示します。
disk
disk-manager
システムの各部分のディスク使用率の詳細情報を表示します(サイロ、低水位、高水位など)。
dns
現行の DNS サーバのアドレスと検索ドメインを表示します。
expert
fan-status
ハードウェア ファンの現在のステータスを表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
fastpath-rules
現在設定されている fastpath ルールを表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
gui
Web インターフェイスの現在の状態を表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
hostname
デバイスのホスト名およびアプライアンス UUID を表示します。CLI を使用してデバイスのホスト名を編集する場合は、管理する 防御センター に変更が反映されることを確認します。場合によっては、デバイス管理設定を手動で編集する必要があります。詳細については、デバイス管理設定の編集を参照してください。
hosts
ASA FirePOWER モジュールの /etc/hosts ファイルの内容を表示します。
hyperthreading
ハイパースレッディングが有効か無効かを表示します。このコマンドは ASA FirePOWER デバイスでは使用できません。
iab
現在のインテリジェント アプリケーション バイパス(IAB)設定を表示します。このコマンドには、管理対象デバイスでバージョン 5.4.0.10 以降が必要です。Defense Center では、IAB 機能を実装するにはバージョン 5.4.1.9 以降が必要で、IAB イベントを提供するにはバージョン 5.4.1.10 以降が必要です。
inline-sets
すべてのインライン セキュリティ ゾーンと関連するインターフェイスの設定データを表示します。このコマンドは ASA FirePOWER デバイスでは使用できません。
interfaces
パラメータが指定されていない場合は、設定されているすべてのインターフェイスのリストが表示されます。パラメータが指定されている場合は、指定されたインターフェイスの詳細情報が表示されます。
ここで interface は詳細情報を表示する特定のインターフェイスです。
ifconfig
ASA FirePOWER モジュールに対するインターフェイスの設定を表示します。
lcd
LCD のハードウェア ディスプレイが有効か無効かを表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
link-aggregation
show link-aggregation コマンドは、リンク集約グループ(LAG)の設定および統計情報を表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
設定:
LAG ID、インターフェイスの数、コンフィギュレーション モード、ロード バランシング モード、LACP 情報、および物理インターフェイスのタイプなど、設定された各 LAG の設定の詳細を表示します。
統計情報
ステータス、リンク ステートと速度、コンフィギュレーション モード、送受信されたパケットのカウンタ、および送受信されたバイトのカウンタなど、設定された各 LAG の統計情報をインターフェイスごとに表示します。
link-state
デバイスのポートのタイプ、リンク、スピード、速度、デュプレックスの状態およびバイパス モードを表示します。このコマンドは ASA FirePOWER デバイスでは使用できません。
log-ips-connection
記録された侵入イベントに関連付けられている接続イベントのロギングが有効か無効かを表示します。
managers
防御センターの設定および通信のステータスを表示します。登録キーおよび NAT ID は、登録が保留中の場合のみ表示されます。デバイスが高可用性ペアに登録されている場合、管理している両方の 防御センター の情報が表示されます。デバイスが、スタック設定のセカンダリ デバイスとして設定されている場合、管理している両方の 防御センター、およびプライマリ デバイスに関する情報が表示されます。
memory
デバイスの合計メモリ、使用中のメモリ、使用可能なメモリを表示します。
model
mpls-depth
管理インターフェイスに設定されている MPLS レイヤ数を 0~6 で表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
NAT
show nat コマンドは、管理インターフェイスの NAT データと設定情報を表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
active-dynamic
ダイナミック ルールに従って変換されている NAT フローを表示します。これらのエントリは、フローがルールに一致している場合に、ルールがタイムアウトになるまで表示されます。したがって、リストは正確ではないことがあります。タイムアウトはプロトコルに依存します。ICMP は 5 秒、UDP は 120 秒、TCP は 3600 秒、他のすべてのプロトコルは 60 秒です。
show nat active-dynamic
show nat active-dynamic
active-static
スタティック ルールに従って変換されている NAT フローを表示します。これらのエントリは、デバイスにルールが適用されるとすぐに表示されます。リストは、スタティックな NAT ルールに一致しているアクティブな フローを示しているわけではありません。
show nat active-static
show nat active-static
allocators
すべての NAT アロケータの情報、ダイナミック ルールで使用されている変換済みアドレスのプールを表示します。
show nat allocators
show nat allocators
config
管理インターフェイスの現行の NAT ポリシーの設定を表示します。
show nat config
show nat config
dynamic-rules
指定されたアロケータ ID を使用しているダイナミックな NAT ルールを表示します。
show nat dynamic-rules allocator_id
show nat dynamic-rules 9
flows
指定されたアロケータ ID を使用しているルールについてフローの数を表示します。
show nat flows allocator-id
show nat flows 81
static-rules
show nat static-rules
show nat static-rules
netstat
ASA FirePOWER モジュールのアクティブなネットワーク接続を表示します。
network
管理インターフェイスの IPv4 および IPv6 の設定、MAC アドレス、HTTP プロキシ アドレス、ポート、ユーザ名(設定されている場合)を表示します。
network-modules
インストールされているすべてのモジュール、およびモジュールの情報(シリアル番号など)を表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
network-static-routes
インターフェイス、宛先アドレス、ネットワーク マスク、およびゲートウェイ アドレスなど、設定済みのすべてのネットワーク スタティック ルートとその情報が表示されます。
ntp
perfstats
portstats
デバイスにインストールされているすべてのポートのポート統計情報を表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
ここで copper はすべての銅線ポートを表し、fiber はすべてのファイバ ポート、internal はすべての内部ポート、external はすべての外部(銅線およびファイバ)ポート、all はすべてのポート(外部および内部)を表します。
power-supply-status
ハードウェアの電源の現在の状態を表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
process-tree
デバイスで実行中のプロセスについて、タイプごとにツリー形式でソートして表示します。
processes
デバイス上で実行中のプロセスについて、CPU 使用率の降順で表示します。
ここで、メモリ(の降順)でソートする場合は、 sort-flag に -m を指定し、プロセス名ではなくユーザ名でソートする場合は -u を指定します。また、コマンドのフルネームおよびパスを表示する場合は verbose を指定します。 filter パラメータは、コマンドの検索語または結果をフィルタするために使用するユーザ名を指定します。見出し行は表示されたままです。
route
ASA FirePOWER モジュールのルーティング情報を表示します。
routing-table
パラメータが指定されていない場合は、すべての仮想ルータのルーティング情報を表示します。パラメータが指定されている場合は、指定されたルータのルーティング情報、および該当する場合は、指定されたルーティングのプロトコル タイプを表示します。パラメータはすべてオプションです。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
name は、情報を必要とする特定のルータ名です。 ospf 、 rip 、 static は、ルーティング プロトコル タイプを指定します。
serial-number
シャーシのシリアル番号を表示します。このコマンドは仮想デバイスでは使用できません。
ssl-policy-config
現在適用されている SSL ポリシーの設定(ポリシーの説明、デフォルトのロギング設定、有効なすべての SSL ルールとルールの設定など)、信頼できる CA 証明書、および復号化不可能なトラフィックのアクションを表示します。
stacking
管理対象デバイスのスタッキングの設定とポジションを表示します。プライマリとして設定されているデバイスでは、すべてのセカンダリ デバイスのデータも示されます。クラスタ化されたスタックでは、このコマンドにより、スタックがクラスタのメンバーであることも示します。スタッキングを有効または無効にする(大半の場合は無効にする)には、ユーザは Web インターフェイスを使用する必要があります。スタッキングが有効になっていない場合、コマンドは Stacking not currently configured というメッセージを返します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
summary
デバイスに関して最もよく使用される情報(バージョン、タイプ、UUID など)のサマリーを表示します。詳細については、 show コマンド:version、interfaces、device-settings、および access-control-configを参照してください。
time
現在の日付と時刻を、UTC および現行のユーザに設定されているローカル タイム ゾーンで表示します。
traffic-statistics
パラメータが指定されていない場合は、すべてのポートから送信された、および受信したバイトの詳細情報を表示します。ポートが指定されている場合は、指定されたポートの情報のみを表示します。ASA FirePOWER デバイスに対してポートを指定することはできません。システムはデータのプレーン インターフェイスのみを表示します。
port]
user
仮想デバイスに対してのみ適用されます。指定されたユーザに関する設定の詳細情報を表示します。次の値が表示されます。
- Login:ログイン名
- UID:ユーザ ID(数値)
- Auth(
LocalまたはRemote):ユーザがどのように認証されているか - Access(
BasicまたはConfig):ユーザの権限レベル - Enabled(
EnabledまたはDisabled):ユーザがアクティブかどうか - Reset(
YesまたはNo):次のログイン時にユーザがパスワードを変更する必要があるかどうか - Exp(
Neverまたは数値):ユーザのパスワード変更が必要になるまでの日数 - Warn(
N/Aまたは数値):パスワードの有効期限が切れる前に、ユーザがパスワード変更のために与えられる日数 - Str(
YesまたはNo):ユーザのパスワードが強度チェックの基準を満たす必要があるかどうか - Lock(
YesまたはNo):ログインの失敗が多すぎたためユーザのアカウントがロックされているかどうか - Max(
N/Aまたは数値):ユーザのアカウントがロックされる前に失敗するログインの最大回数
ここで username はユーザの名前を表します。複数の username はスペースで区切って指定します。
users
仮想デバイスに対してのみ適用されます。すべてのローカル ユーザの設定の詳細情報を表示します。次の値が表示されます。
- Login:ログイン名
- UID:ユーザ ID(数値)
- Auth(
LocalまたはRemote):ユーザがどのように認証されているか - Access(
BasicまたはConfig):ユーザの権限レベル - Enabled(
EnabledまたはDisabled):ユーザがアクティブかどうか - Reset(
YesまたはNo):次のログイン時にユーザがパスワードを変更する必要があるかどうか - Exp(
Neverまたは数値):ユーザのパスワード変更が必要になるまでの日数 - Warn(
N/Aまたは数値):パスワードの有効期限が切れる前に、ユーザがパスワード変更のために与えられる日数 - Str(
YesまたはNo):ユーザのパスワードが強度チェックの基準を満たす必要があるかどうか - Lock(
YesまたはNo):ログインの失敗が多すぎる場合に、ユーザのアカウントがロックされるかどうか - Max(
N/Aまたは数値):ユーザのアカウントがロックされる前に失敗するログインの最大回数
version
製品のバージョンとビルドを表示します。 detail パラメータが指定されている場合は、追加のコンポーネントのバージョンが表示されます。
virtual-routers
パラメータが指定されていない場合は、現在設定されているすべての仮想ルータのリスト、および DHCP リレー、OSPF、および RIP の情報が表示されます。パラメータが指定されている場合は、指定されたルータに関する情報が、指定されたルート タイプによって制限されて表示されます。パラメータはすべてオプションです。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
ここで dhcprelay 、 ospf 、および rip はルート タイプを表します。 name は、情報を表示する特定のルータの名前を表します。 ospf を指定した場合は、ルート タイプ、および(存在する場合は)ルート名に対して neighbors 、 topology 、または lsadb を指定することができます。
virtual-switches
パラメータが指定されていない場合は、設定されているすべての仮想スイッチのリストが表示されます。パラメータが指定されている場合は、指定されたスイッチに関する情報が表示されます。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
vmware-tools
VMware Tools が、仮想デバイス上で現在有効になっているかどうかを示します。このコマンドは、仮想デバイスでのみ使用できます。
VMware ツールは、仮想マシンのパフォーマンスを向上させるためのユーティリティ スイートです。これらのユーティリティを使用すると、VMware 製品の便利な機能をすべて活用できます。このシステムは、すべての仮想アプライアンスで次のプラグインをサポートします。
VMware ツールおよびサポートされるプラグインの詳細については、VMware の Web サイト( http://www.vmware.com )を参照してください。
VPN
show VPN コマンドは、VPN ステータス、および VPN 接続の設定情報を表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
config
show vpn config
show vpn config
config by virtual router
仮想ルータについて、すべての VPN 接続の設定を表示します。
show vpn config [virtual router]
show vpn config VRouter1
status
show vpn status
show vpn status
status by virtual router
仮想ルータについて、すべての VPN 接続のステータスを表示します。
show vpn status [virtual router]
show vpn status VRouter1
counters
show vpn counters
show vpn counters
counters by virtual router
仮想ルータについて、すべての VPN 接続のカウンタを表示します。
show vpn counters [virtual router]
show vpn counters VRouter1
コンフィギュレーション コマンド
コンフィギュレーション コマンドを使用して、システムを設定および管理することができます。これらのコマンドはシステムの動作に影響を与えます。そのため、Basic レベルの configure password を除いては、Configuration CLI アクセス権限を持つユーザのみがこれらのコマンドを発行できます。
以降の項で、コンフィギュレーション コマンドについて説明します。
- clustering
- bypass
- gui
- iab
- lcd
- log-ips-connections
- manager
- mpls-depth
- network
- password
- stacking disable
- user
- vmware-tools
clustering
デバイス上のクラスタリングに対してバイパスを無効にするか、または設定します。このコマンドは仮想デバイス、ASA FirePOWER デバイス、およびセカンダリ スタック メンバーとして設定されているデバイスでは使用できません。
bypass
シリーズ 3 デバイスでは、インライン ペアがフェールオープン(ハードウェア バイパス)または)フェールクローズ モードに移行されます。このコマンドは、 Bypass Mode インライン設定オプションが Bypass に設定されている場合にのみ使用できます。
このコマンドでインライン セットがフェールオープン モードに移行された管理対象デバイスにアクセス コントロール ポリシーを適用したり、侵入ポリシーを再適用したりすることはできません。
デバイスをリブートすると、インターフェイス ペアがフェールオープン モードから抜けることに注意してください。
ここで、 interface はインライン ペアのいずれかのハードウェア ポートの名前です。
gui
デバイスの Web インターフェイス(システムのメジャーな更新時に表示される、簡潔なアップグレード Web インターフェイスなど)を有効または無効にします。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
iab
インテリジェント アプリケーション バイパス(IAB)を設定します。このコマンドには、管理対象デバイスでバージョン 5.4.0.10 以降が必要です。Defense Center では、IAB 機能を実装するにはバージョン 5.4.1.9 以降が必要で、IAB イベントを提供するにはバージョン 5.4.1.10 以降が必要です。
IAB は、パフォーマンスとフローのしきい値を超過した場合に追加のインスペクションなしでネットワークを通過するトラフィックを信頼します。システムはトラフィックがディープ インスペクションの対象となる前に、アクセス コントロール ルールまたはアクセス コントロール ポリシーのデフォルトのアクションで許可されたトラフィック上で IAB を実行します。テスト モードでは、実際に IAB を実行していた場合にしきい値を超えるかどうかの判断と、超えた場合にどのフローが信頼されていたかの特定を行うことができます。IAB を設定した後で、管理対象デバイスにアクセス コントロール ポリシーを展開する必要があります。
|
|
|
|---|---|
パフォーマンス スキャン間隔を設定し、4 つのインスペクション パフォーマンスしきい値のうち少なくとも 1 つと、4 つのフロー バイパスしきい値のうち 1 つを設定する必要があります。パフォーマンスしきい値を超えると、フローしきい値が調べられ、さらにフローしきい値を超えた場合にはトラフィックが信頼されます。いずれかの種類のしきい値を複数設定した場合は、それぞれの 1 つのみを超過する必要があります。いずれのしきい値も、デフォルトでは無効になっています(0 に設定されています)。
インスペクション パフォーマンスしきい値:侵入インスペクションのパフォーマンスの限界を定めるもので、この限界を超えると、フローしきい値のインスペクションがトリガーされます。IAB では、0 に設定された インスペクション パフォーマンスしきい値は使用しません。
フロー バイパスしきい値:フローの限界を定めるもので、この限界を超えると、IAB は、アクティブ モードではトラフィックを信頼し、テスト モードではトラフィックを許可してさらなるインスペクションの対象にします。IAB では、0 に設定された フロー バイパスしきい値は使用しません。
|
|
|
|
|
|---|---|---|---|
すべてのパラメータを同時に正しい順序で設定します。入力したパラメータの数がパラメータの最大数よりも少ない場合は、次のパラメータを入力するように求められます。
lcd
デバイスの正面の LCD ディスプレイを有効または無効にします。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
log-ips-connections
記録された侵入イベントに関連付けられている接続イベントのロギングを有効または無効にします。
manager
追加
管理元の 防御センター からの接続を承認するようデバイスを設定します。このコマンドは、デバイスがアクティブに管理されていない場合にのみ機能します。
デバイスを 防御センター に登録するには、一意の英数字登録キーが必須です。ほとんどの場合は、登録キーと一緒にホスト名または IP アドレスを指定する必要があります。ただし、デバイスと 防御センター が NAT デバイスによって分けられている場合は、登録キーと一緒に一意の NAT ID を入力し、ホスト名の代わりに DONTRESOLVE を指定します。
configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} regkey [nat_id]
ここで { hostname | IPv4_address | IPv6_address | DONTRESOLVE } は、このデバイスを管理する 防御センター の DNS ホスト名、または IP アドレス(IPv4 または IPv6)を表します。防御センター が直接アドレス指定できない場合は、 DONTRESOLVE を使用します。 DONTRESOLVE を使用する場合は、 nat_id が必要です。 Regkey はデバイスを 防御センター へ登録するのに必要な、英数字の一意の登録キーです。 nat_id は、防御センター とデバイス間の登録プロセス中に使用されるオプションの英数字文字列です。ホスト名が DONTRESOLVE に設定されている場合に必須です。
configure manager add DONTRESOLVE abc123 efg456
削除
防御センター の接続情報をデバイスから削除します。このコマンドは、デバイスがアクティブに管理されていない場合のみ機能します。
configure manager delete
configure manager delete
mpls-depth
管理インターフェイスで MPLS レイヤの数を設定します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
network
dns searchdomains
DNS 検索ドメインの現行のリストを、コマンドで指定されたリストに置き換えます。
searchlist はカンマで区切られたドメインのリストです。
dns servers
DNS サーバの現行のリストを、コマンドで指定されたリストに置き換えます。
dnslist は、カンマで区切られた DNS サーバのリストです。
hostname
http-proxy
シリーズ 3 および仮想デバイスで、HTTP プロキシを設定します。コマンドを発行した後で、CLI はユーザに対して HTTP プロキシのアドレスとポート、プロキシの認証が必要かどうかを尋ねます。認証が必要な場合はプロキシのユーザ名、プロキシのパスワード、およびプロキシのパスワードの確認を入力するよう要求されます。
仮想デバイス上でこのコマンドを使用して、HTTP プロキシ サーバを設定し、仮想デバイスが動的解析のためにファイルを Collective Security Intelligence クラウド へ送信できるようにします。
http-proxy-disable
シリーズ 3 および仮想デバイスで、すべての HTTP プロキシの設定を削除します。
ipv4 delete
デバイスの管理インターフェイスの IPv4 設定を無効にします。
ipv4 dhcp
デバイスの管理インターフェイスの IPv4 設定を DHCP に設定します。管理インターフェイスは DHCP サーバと通信して、設定情報を取得します。
ipv4 manual
デバイスの管理インターフェイスの IPv4 設定を手動で設定します。
ここで ipaddr は IP アドレスで、 netmask はサブネットマスク、 gw はデフォルト ゲートウェイの IPv4 アドレスです。
ipv6 delete
デバイスの管理インターフェイスの IPv6 設定を無効にします。
ipv6 dhcp
デバイスの管理インターフェイスの IPv6 設定を DHCP に設定します。管理インターフェイスは DHCP サーバと通信して、設定情報を取得します。
ipv6 router
デバイスの管理インターフェイスの IPv6 設定をルータに設定します。管理インターフェイスは IPv6 ルータと通信して、設定情報を取得します。
ipv6 manual
デバイスの管理インターフェイスの IPv6 設定を手動で設定します。
]
ここで ip6addr/ip6prefix は IP アドレスと接頭辞の長さで、ip6 gw はデフォルト ゲートウェイの IPv6 アドレスを表します。
management-interface disable
management-interface disable-event-channel
指定した管理インターフェイスを介したイベント伝送を無効にします。
management-interface disable-management-channel
指定した管理インターフェイスを介した管理伝送を無効にします。
management-interface enable
management-interface enable-event-channel
指定した管理インターフェイスを介したイベント伝送を有効にします。
management-interface enable-management-channel
指定した管理インターフェイスを介した管理伝送を有効にします。
management-interface tcpport
management-port
static-routes ipv4 add
指定した管理インターフェイスの IPv4 スタティック ルートを追加します。
interface は管理インターフェイス、 destination は宛先 IP アドレス、 netmask はネットワーク マスク アドレス、 gateway は追加するゲートウェイ アドレスです。
static-routes ipv4 delete
指定した管理インターフェイスの IPv4 スタティック ルートを削除します。
interface は管理インターフェイス、 destination は宛先 IP アドレス、 netmask はネットワーク マスク アドレス、 gateway は削除するゲートウェイ アドレスです。
static-routes ipv6 add
指定した管理インターフェイスの IPv6 スタティック ルートを追加します。
interface は管理インターフェイス、 destination は宛先 IP アドレス、 prefix は IPv6 プレフィックス長、 gateway は追加するゲートウェイ アドレスです。
static-routes ipv6 delete
指定した管理インターフェイスの IPv6 スタティック ルートを削除します。
interface は管理インターフェイス、 destination は宛先 IP アドレス、 prefix は IPv6 プレフィックス長、 gateway は削除するゲートウェイ アドレスです。
password
現行のユーザは、自身のパスワードを変更することができます。コマンドを発行すると、CLI は現在の(古い)パスワードを入力するようユーザに要求し、その後で新しいパスワードを 2 回入力するよう要求します。
stacking disable
管理対象デバイスで、そのデバイスのスタッキング設定をすべて削除します。プライマリとして設定されているデバイスでは、スタックが完全に削除されます。セカンダリとして設定されているデバイスでは、デバイスはスタックから削除されます。このコマンドは、仮想デバイス、または ASA FirePOWER デバイスでは使用できません。また、このコマンドを使用して、クラスタ化されたスタックをクラスタ化解除することはできません。
スタッキング階層の上位アプライアンスとの通信を確立できない場合は、このコマンドを使用します。防御センター を通信で使用できる場合は、代わりに 防御センター Web インターフェイスを使用するよう伝えるメッセージが表示されます。同様に、プライマリ デバイスを使用できる場合に、セカンダリとして設定されているデバイス上で stacking disable を入力すると、プライマリ デバイスからコマンドを入力するよう伝えるメッセージが表示されます。
user
仮想デバイスでのみ使用できます。 configure user コマンドは、デバイスのローカル ユーザ データベースを管理します。
指定したユーザのアクセス レベルを変更します。このコマンドは、指定されたユーザが次にログインするときに有効になります。
configure user access username [basic | config]
configure user access jdoe basic
username は、アクセスを変更するユーザの名前を表します。 basic は basic アクセスを、 config は configuration アクセスを表します。
追加
指定された名前とアクセス レベルで新しいユーザを作成します。このコマンドでは、ユーザのパスワードを入力するよう要求されます。
configure user add username [basic | config]
ここで username は新しいユーザの名前を表します。 basic は basic アクセス、 config は configuration アクセスを表します。
configure user add jdoe basic
aging
configure user aging username max_days warn_days
ここで username はユーザの名前を表します。 max_days はパスワードが有効な最大日数、 warn_days は、有効期限が切れるまでにパスワードを変更するためにユーザが使用できる日数を表します。
configure user aging jdoe 100 3
削除
configure user delete username
configure user delete jdoe
disable
configure user disable username
configure user disable jdoe
enable
configure user enable username
configure user enable jdoe
forcereset
ユーザが次にログインするときに、パスワードの変更を要求します。ユーザがログインしてパスワードを変更すると、強度のチェックが自動的に有効になります。
configure user forcereset username
configure user forcereset jdoe
maxfailedlogins
指定したユーザが、ログインで失敗できる最大回数を設定します。
configure user maxfailedlogins username number
username はユーザの名前、 number は、ログインで失敗できる最大回数を表します。
configure user maxfailedlogins jdoe 3
password
ユーザのパスワードを設定します。このコマンドでは、ユーザのパスワードを入力するよう要求されます。
configure user password username
configure user pasword jdoe
strengthcheck
ユーザのパスワードに対する強度の要件を有効または無効にします。ユーザ パスワードの有効期限が切れた場合、または configure user forcereset コマンドを使用した場合は、ユーザが次にログインしたときにこの要件が自動的に有効になります。
configure user strengthcheck username {enable | disable}
username はユーザの名前を表します。 enable は指定されたユーザのパスワードの要件を設定し、 disable は、指定されたユーザのパスワードの要件を削除します。
configure user strengthcheck jdoe enable
unlock
configure user unlock username
configure user unlock jdoe
vmware-tools
仮想デバイス上で VMware Tools 機能を有効または無効にします。このコマンドは、仮想デバイスでのみ使用できます。
VMware ツールは、仮想マシンのパフォーマンスを向上させるためのユーティリティ スイートです。これらのユーティリティを使用すると、VMware 製品の便利な機能をすべて活用できます。このシステムは、すべての仮想アプライアンスで次のプラグインをサポートします。
VMware ツールおよびサポートされるプラグインの詳細については、VMware の Web サイト( http://www.vmware.com )を参照してください。
system コマンド
system コマンドを使用して、システム全体のファイルおよびアクセス コントロールの設定を管理することができます。Configuration CLI アクセス権を持つユーザのみが、システム モードでコマンドを発行できます。
- access-control
- disable-http-user-cert
- file
- generate-troubleshoot
- ldapsearch
- lockdown-sensor
- nat rollback
- reboot
- restart
- shutdown
access-control
system access-control コマンドは、ユーザがデバイス上でアクセス コントロールの設定を管理できるようにします。
archive
現在適用されているアクセス コントロール ポリシーを、 /var/common にテキスト ファイルとして保存します。
clear-rule-counts
アクセス コントロール ルールのヒット数を 0 にリセットします。
rollback
以前に適用していたアクセス コントロールの設定に、システムを戻します。クラスタ化されたデバイス、およびスタック デバイスではこのコマンドは使用できません。
disable-http-user-cert
システム上に存在するすべての HTTP ユーザ証明書を削除します。
file
system file コマンドを使用すると、ユーザは、デバイス上の common ディレクトリにあるファイルを管理することができます。
copy
FTP を使用して、ログイン ユーザ名を使用しているホスト上のリモート ロケーションへファイルを転送します。ローカル ファイルは common ディレクトリに配置する必要があります。
system file copy hostname username path filenames filenames...
hostname はターゲットのリモート ホストの名前または IP アドレスを表します。 username はリモート ホスト上のユーザの名前、 path はリモート ホスト上の宛先パス、 filenames は転送するローカル ファイルを表します。複数のファイル名はスペースで区切って指定します。
system file copy sfrocks jdoe /pub *
削除
common ディレクトリから、指定したファイルを削除します。
system file delete filenames filenames...
filenames は削除するファイルを指定します。複数のファイル名はスペースで区切って指定します。
system file delete *
list
ファイル名が指定されていない場合は、common ディレクトリ内のすべてのファイルについて変更の時刻、サイズ、およびファイル名が表示されます。ファイル名が指定されている場合は、指定されたファイル名と一致したファイルで、変更の時刻、サイズ、およびファイル名が表示されます。
system file list {filenames filenames...}
filenames は表示するファイルを表します。複数のファイル名はスペースで区切って指定します。
system file list
secure-copy
SCP を使用して、ログイン ユーザ名を使用しているホスト上のリモート ロケーションへファイルを転送します。ローカル ファイルは /var/common ディレクトリに配置する必要があります。
system file secure-copy hostname username path filenames filenames...
hostname はターゲットのリモート ホストの名前または IP アドレスを表します。 username はリモート ホスト上のユーザの名前、 path はリモート ホスト上の宛先パス、 filenames は転送するローカル ファイルを表します。複数のファイル名はスペースで区切って指定します。
system file secure-copy 10.123.31.1 jdoe /tmp *
generate-troubleshoot
シスコが解析に使用するトラブルシューティング データを生成します。
この構文は、どのトラブルシューティング データを表示するかを指定するための、オプションのパラメータのリストを表示します。
ldapsearch
ユーザが、指定された LDAP サーバのクエリを実行できるようにします。すべてのパラメータが必須であることに注意してください。
host は LDAP サーバのドメイン、 port は LDAP サーバのポート、 baseDN は検索する DN(識別名)、 userDN は LDAP ディレクトリへバインドするユーザの DN、 basefilter は検索するレコードを表します。
dc=example,dc=com cn=user1,cn=users,dc=example,dc=com, cn=user2
lockdown-sensor
expert コマンドを削除し、デバイス上の bash シェルへアクセスします。
このコマンドは、サポートからのホットフィックスがない場合は取り消すことはできません。使用には注意が必要です。
nat rollback
以前に適用していた NAT の設定に、システムを戻します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。クラスタ化されたデバイス、およびスタック デバイスではこのコマンドは使用できません。
reboot
restart
shutdown
デバイスをシャット ダウンします。このコマンドは ASA FirePOWER モジュールでは使用できません。
フィードバック