- はじめに
- FireSIGHT システムへのログイン
- ダッシュボードの使用
- Context Explorer の使用法
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスのセットアップ
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの使用
- アクセス コントロール ルールの概要と作成
- 外部アラートの設定
- 接続およびセキュリティ インテリジェンス のデータの使用
- 侵入防御の概要
- 侵入イベントの操作
- インシデント対応
- 侵入ポリシーの設定
- 侵入ポリシー内のルールの管理
- 侵入ポリシーの詳細設定の使用
- 侵入ポリシーでのレイヤの使用
- 侵入ポリシーでのパフォーマンス設定の使用
- アプリケーション層プリプロセッサの使用
- トランスポート層およびネットワーク層プリプロセッサの使用
- FireSIGHT システムのコンプライアンス ツールとしての使用
- 特定の脅威の検出
- 適応型プロファイルの使用
- グローバル ルールしきい値の使用
- 侵入ルールの外部アラートの設定
- 侵入ルールの概要と作成
- マルウェアと禁止されたファイルのブロッキング
- マルウェアとファイル アクティビティの分析
- ネットワーク検出の概要
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- トラフィック プロファイルの作成
- 修復の設定
- ネットワーク ディスカバリの強化
- アクティブ スキャンの設定
- レポートの操作
- イベントの検索
- カスタム テーブルの使用
- ワークフローの概要と使用
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システムのライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ プリファレンスの指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、および通信ポート
- サードパーティ製品
- エンド ユーザ ライセンス契約書
- Glossary
- Index
FireSIGHT システム ユーザ ガイド バージョン 5.3.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: コマンドライン リファレンス
- 基本的な CLI コマンド
- show コマンド
- access-control-config
- alarms
- arp-tables
- audit-log
- bypass
- clustering
- cpu
- database
- device-settings
- disk
- disk-manager
- dns
- expert
- fan-status
- fastpath-rules
- GUI
- hostname
- hosts
- hyperthreading
- inline-sets
- interfaces
- ifconfig
- lcd
- link-state
- log-ips-connection
- managers
- memory
- model
- mpls-depth
- NAT
- netstat
- network
- network-modules
- ntp
- perfstats
- portstats
- power-supply-status
- process-tree
- processes
- route
- routing-table
- serial-number
- stacking
- summary
- time
- traffic-statistics
- user
- users
- version
- virtual-routers
- virtual-switches
- VPN
コマンドライン リファレンス
このリファレンスでは、FirePOWER アプライアンス、仮想デバイス、および ASA FirePOWER デバイスの ASA FirePOWER モジュール のコマンドライン インターフェイス(CLI)について説明します。CLI を使用して、FireSIGHT システムを表示、設定、およびトラブルシューティングすることができます。
(注) コマンドライン インターフェイスは、防御センター、シリーズ 2 アプライアンス、Sourcefire Software for X-Series、または ASA FirePOWER デバイスの ASA モジュールではサポートされていません。
CLI モードには show や configure など多数あり、これらのモードにはモード名で始まる一連のコマンドが含まれています。モードを開始して、そのモードで有効なコマンドを入力することも、任意のモードからフル コマンドを入力することもできます。たとえば、Analyst1 というユーザ アカウントの情報を表示するには、CLI プロンプトで次のように入力します。
すでに show モードを開始している場合は、CLI プロンプトで次のように入力します。
各モードで、ユーザが使用できるコマンドは、ユーザの CLI アクセスによって異なります。ユーザ アカウントを作成する場合は、手動で次のいずれかの CLI アクセス レベル に割り当てることができます。
ユーザは読み取り専用のアクセス権を持ち、システムのパフォーマンスに影響を与えるコマンドを実行することはできません。
ユーザは、読み取り/書き込みアクセス権があり、システムのパフォーマンスに影響を与えるコマンドを実行することができます。
シリーズ 3 デバイスでは、Web インターフェイスの [User Management] ページでコマンドラインの権限を割り当てることができます。詳細については、「ユーザの管理」を参照してください。仮想デバイスと ASA FirePOWER デバイスでは、CLI 自身を通じてコマンドラインの権限を割り当てます。
(注) シリーズ 3 デバイスをリブートし、できるだけ早く CLI にログインしても、Web インターフェイスが使用できるようになるまで、実行するすべてのコマンドは監査ログに記録されません。
CLI コマンドでは大文字と小文字が区別されません。ただし、ユーザ名や検索フィルタなど、テキストが CLI フレームワークの一部ではないパラメータでは区別されることに注意してください。
コマンドラインへのログインの詳細については、「アプライアンスへのログイン」を参照してください。
基本的な CLI コマンド
基本的な CLI コマンドを使用して、CLI とやりとりすることができます。これらのコマンドはデバイスの処理に影響しません。基本的なコマンドは、すべての CLI ユーザが使用できます。
•
「end」
• 「exit」
• 「help」
• 「logout」
• 「?(疑問符)」
configure password
現行のユーザは、自身のパスワードを変更することができます。コマンドを発行すると、CLI は現在の(古い)パスワードを入力するようユーザに要求し、その後で新しいパスワードを 2 回入力するよう要求します。
end
ユーザをデフォルトのモードに戻します (ユーザは、いずれかの下位レベルの CLI コンテキストから上位のデフォルト モードへ移動します)。
exit
CLI コンテキストを、次に高い CLI コンテキスト レベルへ移動します。デフォルト モードからこのコマンドを発行すると、ユーザは現行の CLI セッションからログアウトします。これは、CLI コマンドの logout を発行するのと同じです。
help
history
ここで limit は履歴リストのサイズを設定します。サイズを無制限に設定するには、0 を入力します。
logout
現行の CLI コンソール セッションから現行のユーザをログアウトします。
?(疑問符)
CLI コマンドおよびパラメータの状況依存ヘルプを表示します。次のように、疑問符( ? )のコマンドを使用します。
• 現在の CLI コンテキスト内で使用できるコマンドのヘルプを表示するには、コマンド プロンプトで疑問符( ? )を入力します。
• 特定文字セットから始まる使用可能なコマンドのリストを表示するには、疑問符( ? )に続けて短縮されたコマンドを入力します。
• コマンドの正式な引数のヘルプを表示するには、コマンド プロンプトの引数の代わりに疑問符( ? )を入力します。
疑問符( ? )は、コンソールにエコーバックされないことに注意してください。
??(二重の疑問符)
CLI コマンドおよびパラメータの詳細な状況依存ヘルプを表示します。
show コマンド
Show コマンドは、デバイスの状態に関する情報を提供します。これらのコマンドはデバイスの動作モードを変更しません。また、これらのコマンドを実行しても、システムの動作に対する影響は最小限になります。ほとんどの show コマンドはすべての CLI ユーザが利用できますが、 show user コマンドを発行できるのは、configuration CLI アクセス権限を持つユーザのみです。
• 「alarms」
• 「bypass」
• 「cpu」
• 「disk」
• 「dns」
• 「expert」
• 「GUI」
• 「hosts」
• 「lcd」
• 「memory」
• 「model」
• 「NAT」
• 「ntp」
• 「route」
• 「time」
• 「user」
• 「users」
access-control-config
現在適用されているアクセス コントロールの設定を表示します。これには、ロギング設定、Security Intelligence の設定、ファイルおよびマルウェアの(ファイル サイズによる)検出制限、高度な設定、[HTTP Response] ページのコンテンツ、使用できるすべてのアクセス コントロール ルール、アクセス コントロール ルールのソース ポート、変数セット データ、宛先ポート データ(ICMP エントリのタイプとコードなど)、および各アクセス コントロール ルールに一致した接続数(ヒット数)などがあります。
alarms
デバイス上で、現行のアクティブな(失敗した/停止している)ハードウェアのアラームを表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
arp-tables
ネットワークに適用できる該当するアドレス解決プロトコル テーブルを表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
audit-log
監査ログが時系列の逆順に表示され、最も新しい監査ログ イベントが最初に示されます。
bypass
使用中のインライン セットを表示し、それらのセットのバイパス モードの状態(標準またはバイパス)を示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
clustering
デバイスのクラスタリング設定、ステータス、およびメンバ スタックの情報を表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
config
clustering ha-statistics
クラスタ内のデバイスについて、状態共有統計情報を表示します。
cpu
デバイス上のすべての CPU のプラットフォームに適合する現行の CPU の使用率の統計情報を表示します。管理対象デバイスでは、次の値が表示されます。
0~100 の数値で表される CPU の使用率。0 はロードされていない状態で、100 は完全にロードされたことを表します。
仮想デバイスおよび ASA FirePOWER デバイスについては、次の値が表示されます。
ユーザ レベル(アプリケーション)で実行中に生じた CPU 使用率のパーセンテージ。
高い優先度で実行中に生じた CPU 使用率のパーセンテージ。
システム レベル(カーネル)で実行中に生じた CPU 使用率のパーセンテージ。これには、サービスの割り込みや softirqs で経過する時間は含まれません。softirq(ソフトウェアの割り込み)は、複数の CPU で同時に実行できる最大 32 個の列挙されたソフトウェア割り込みの 1 つです。
システムに未処理のディスク I/O 要求があったときに、CPU がアイドル状態だった時間の割合(パーセンテージ)。
割り込みを行うために CPU が費やした時間の割合(パーセンテージ)。
softirqs を行うために CPU が費やした時間の割合(パーセンテージ)。
ハイパーバイザが別の仮想プロセッサを実行しているときに、仮想 CPU が強制的な待機で費やした時間の割合(パーセンテージ)
仮想プロセッサを実行するために CPU が費やした時間の割合(パーセンテージ)。
CPU がアイドル状態で、システムに未処理のディスク I/O 要求がなかった時間の割合(パーセンテージ)。
ここで procnum は、使用率の情報を表示するプロセッサの数を表します。有効な値は、0からシステム上のプロセッサ数よりも少ない数です。 procnum が管理対象デバイスで使用されている場合は無視されます。このプラットフォームについては、使用率の情報はすべてのプロセッサについてのみ表示されるためです。
database
processes
slow-query-log
device-settings
現行のデバイスに特有のアプリケーションのバイパス設定に関する情報を表示します。
disk
disk-manager
システムの各パート(サイロ、低水位、高水位など)のディスク使用率の詳細情報を表示します。
dns
現行の DNS サーバのアドレスと検索ドメインを表示します。
expert
fan-status
ハードウェア ファンの現在のステータスを表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
fastpath-rules
現在設定されている fastpath ルールを表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
GUI
Web インターフェイスの現在の状態を表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
hostname
デバイスのホスト名およびアプライアンス UUID を表示します。
hosts
ASA FirePOWER モジュールの /etc/hosts ファイルの内容を表示します。
hyperthreading
ハイパースレッディングが有効か無効かを表示します。このコマンドは ASA FirePOWER デバイスでは使用できません。
inline-sets
すべてのインライン セキュリティ ゾーンと関連するインターフェイスの設定データを表示します。このコマンドは ASA FirePOWER デバイスでは使用できません。
interfaces
パラメータが指定されていない場合は、設定されているすべてのインターフェイスのリストが表示されます。パラメータが指定されている場合は、指定されたインターフェイスの詳細情報が表示されます。
ここで interface は詳細情報を表示する特定のインターフェイスです。
ifconfig
ASA FirePOWER モジュールに対するインターフェイスの設定を表示します。
lcd
LCD のハードウェア ディスプレイが有効か無効かを表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
link-state
デバイスのポートのタイプ、リンク、スピード、速度、デュプレックスの状態およびバイパス モードを表示します。このコマンドは ASA FirePOWER デバイスでは使用できません。
log-ips-connection
記録された侵入イベントに関連付けられている接続イベントのロギングが有効か無効かを表示します。
managers
防御センターの設定および通信のステータスを表示します。登録キーおよび NAT ID は、登録が保留中の場合のみ表示されます。デバイスが高可用性ペアに登録されている場合、管理している両方の防御センターの情報が表示されます。デバイスが、スタック設定のセカンダリ デバイスとして設定されている場合、管理している両方の 防御センター、およびプライマリ デバイスに関する情報が表示されます。
memory
デバイスの合計メモリ、使用中のメモリ、使用可能なメモリを表示します。
model
mpls-depth
管理インターフェイスに設定されている MPLS レイヤ数を 0~6 で表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
NAT
show nat コマンドは、管理インターフェイスの NAT データと設定情報を表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
active-dynamic
ダイナミック ルールに従って変換されている NAT フローを表示します。これらのエントリは、フローがルールに一致している場合に、ルールがタイムアウトになるまで表示されます。したがって、リストは正確ではないことがあります。
show nat active-dynamic
show nat active-dynamic
active-static
スタティック ルールに従って変換されている NAT フローを表示します。これらのエントリは、デバイスにルールが適用されるとすぐに表示されます。リストは、スタティックな NAT ルールに一致しているアクティブな フローを示しているわけではありません。
show nat active-static
show nat active-static
allocators
すべての NAT アロケータの情報、ダイナミック ルールで使用されている変換済みアドレスのプールを表示します。
show nat allocators
show nat allocators
config
管理インターフェイスの現行の NAT ポリシーの設定を表示します。
show nat config
show nat config
dynamic-rules
指定されたアロケータ ID を使用しているダイナミックな NAT ルールを表示します。
show nat dynamic-rules allocator_id
show nat dynamic-rules 9
flows
指定されたアロケータ ID を使用しているルールについてフローの数を表示します。
show nat flows allocator-id
show nat flows 81
static-rules
show nat static-rules
show nat static-rules
netstat
ASA FirePOWER モジュールのアクティブなネットワーク接続を表示します。
network
管理インターフェイスの IPv4 および IPv6 の設定、MAC アドレス、HTTP プロキシ アドレス、ポート、ユーザ名(設定されている場合)を表示します。
network-modules
インストールされているすべてのモジュール、およびモジュールの情報(シリアル番号など)を表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
ntp
perfstats
portstats
デバイスにインストールされているすべてのポートのポート統計情報を表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
ここで copper はすべての銅線ポートを表し、fiber はすべてのファイバ ポート、internal はすべての内部ポート、external はすべての外部(銅線およびファイバ)ポート、all はすべてのポート(外部および内部)を表します。
power-supply-status
ハードウェアの電源の現在の状態を表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
process-tree
デバイスで実行中のプロセスについて、タイプごとにツリー形式でソートして表示します。
processes
デバイス上で実行中のプロセスについて、CPU 使用率の降順で表示します。
ここで、メモリ(の降順)でソートする場合は、 sort-flag に -m を指定し、プロセス名ではなくユーザ名でソートする場合は -u を指定します。また、コマンドのフルネームおよびパスを表示する場合は verbose を指定します。 filter パラメータは、コマンドの検索語または結果をフィルタするために使用するユーザ名を指定します。見出し行は表示されたままです。
route
ASA FirePOWER モジュールのルーティング情報を表示します。
routing-table
パラメータが指定されていない場合は、すべての仮想ルータのルーティング情報を表示します。パラメータが指定されている場合は、指定されたルータのルーティング情報、および該当する場合は、指定されたルーティングのプロトコル タイプを表示します。パラメータはすべてオプションです。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
ここで name は、情報を表示する特定のルータの名前で、 ospf 、 rip 、および static はルーティング プロトコルのタイプを表します。
serial-number
シャーシのシリアル番号を表示します。このコマンドは仮想デバイスでは使用できません。
stacking
管理対象デバイスのスタッキングの設定とポジションを表示します。プライマリとして設定されているデバイスでは、すべてのセカンダリ デバイスのデータも示されます。クラスタ化されたスタックでは、このコマンドにより、スタックがクラスタのメンバであることも示します。スタッキングを有効または無効にする(大半の場合は無効にする)には、ユーザは Web インターフェイスを使用する必要があります。スタッキングが有効になっていない場合、コマンドは Stacking not currently configured というメッセージを返します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
summary
デバイスに関して最もよく使用される情報(バージョン、タイプ、UUID など)のサマリーを表示します。詳細については、 show コマンド:「version」、「interfaces」、「device-settings」、および「access-control-config」を参照してください。
time
現在の日付と時刻を、UTC および現行のユーザに設定されているローカル タイム ゾーンで表示します。
traffic-statistics
パラメータが指定されていない場合は、すべてのポートから送信された、および受信したバイトの詳細情報を表示します。ポートが指定されている場合は、指定されたポートの情報のみを表示します。ASA FirePOWER デバイスに対してポートを指定することはできません。システムはデータのプレーン インターフェイスのみを表示します。
port]
user
仮想デバイスに対してのみ適用されます。指定されたユーザに関する設定の詳細情報を表示します。次の値が表示されます。
• Auth( Local または Remote ):ユーザがどのように認証されているか
• Access( Basic または Config ):ユーザの権限レベル
• Enabled( Enabled または Disabled ):ユーザがアクティブかどうか
• Reset( Yes または No ):次のログイン時にユーザがパスワードを変更する必要があるかどうか
• Exp( Never または数値):ユーザのパスワード変更が必要になるまでの日数
• Warn( N/A または数値):パスワードの有効期限が切れる前に、ユーザがパスワード変更のために与えられる日数
• Str( Yes または No ):ユーザのパスワードが強度チェックの基準を満たす必要があるかどうか
• Lock( Yes または No ):ログインの失敗が多すぎる場合に、ユーザのアカウントがロックされるかどうか
• Max( N/A または数値):ユーザのアカウントがロックされる前に失敗するログインの最大回数
ここで username はユーザの名前を表します。複数の username はスペースで区切って指定します。
users
仮想デバイスに対してのみ適用されます。すべてのローカル ユーザの設定の詳細情報を表示します。次の値が表示されます。
• Auth( Local または Remote ):ユーザがどのように認証されているか
• Access( Basic または Config ):ユーザの権限レベル
• Enabled( Enabled または Disabled ):ユーザがアクティブかどうか
• Reset( Yes または No ):次のログイン時にユーザがパスワードを変更する必要があるかどうか
• Exp( Never または数値):ユーザのパスワード変更が必要になるまでの日数
• Warn( N/A または数値):パスワードの有効期限が切れる前に、ユーザがパスワード変更のために与えられる日数
• Str( Yes または No ):ユーザのパスワードが強度チェックの基準を満たす必要があるかどうか
• Lock( Yes または No ):ログインの失敗が多すぎる場合に、ユーザのアカウントがロックされるかどうか
• Max( N/A または数値):ユーザのアカウントがロックされる前に失敗するログインの最大回数
version
製品のバージョンとビルドを表示します。 detail パラメータが指定されている場合は、追加のコンポーネントのバージョンが表示されます。
virtual-routers
パラメータが指定されていない場合は、現在設定されているすべての仮想ルータのリスト、および DHCP リレー、OSPF、および RIP の情報が表示されます。パラメータが指定されている場合は、指定されたルータに関する情報が、指定されたルート タイプによって制限されて表示されます。パラメータはすべてオプションです。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
ここで dhcprelay 、 ospf 、および rip はルート タイプを表します。 name は、情報を表示する特定のルータの名前を表します。 ospf を指定した場合は、ルート タイプ、および(存在する場合は)ルート名に対して neighbors 、 topology 、または lsadb を指定することができます。
virtual-switches
パラメータが指定されていない場合は、設定されているすべての仮想スイッチのリストが表示されます。パラメータが指定されている場合は、指定されたスイッチに関する情報が表示されます。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
VPN
show VPN コマンドは、VPN ステータス、および VPN 接続の設定情報を表示します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
config
show vpn config
show vpn config
config by virtual router
仮想ルータについて、すべての VPN 接続の設定を表示します。
show vpn config [virtual router]
show vpn config VRouter1
status
show vpn status
show vpn status
status by virtual router
仮想ルータについて、すべての VPN 接続のステータスを表示します。
show vpn status [virtual router]
show vpn status VRouter1
counters
show vpn counters
show vpn counters
counters by virtual router
仮想ルータについて、すべての VPN 接続のカウンタを表示します。
show vpn counters [virtual router]
show vpn counters VRouter1
コンフィギュレーション コマンド
コンフィギュレーション コマンドを使用して、システムを設定および管理することができます。これらのコマンドはシステムの動作に影響を与えます。そのため、Basic レベルの configure password を除いては、Configuration CLI アクセス権限を持つユーザのみがこれらのコマンドを発行できます。
以降の項で、コンフィギュレーション コマンドについて説明します。
• 「bypass」
• 「GUI」
• 「lcd」
• 「user」
clustering
デバイス上のクラスタリングに対してバイパスを無効にするか、または設定します。このコマンドは仮想デバイス、ASA FirePOWER デバイス、またはセカンダリ スタック メンバとして設定されているデバイスでは使用できません。
bypass
インライン ペアのバイパス モードを開いたり閉じたりします。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
ここで、 interface はインライン ペアのいずれかのハードウェア ポートの名前です。
GUI
デバイスの Web インターフェイス(システムのメジャーな更新時に表示される、簡潔なアップグレード Web インターフェイスなど)を有効または無効にします。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
lcd
デバイスの正面の LCD ディスプレイを有効または無効にします。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
log-ips-connections
記録された侵入イベントに関連付けられている接続イベントのロギングを有効または無効にします。
manager
add
管理元の防御センターからの接続を承認するようデバイスを設定します。このコマンドは、デバイスがアクティブに管理されていない場合のみ機能します。
デバイスを防御センターに登録するには、一意の英数字による登録キーが必要です。ほとんどの場合は、登録キーと一緒にホスト名または IP アドレスを指定する必要があります。ただし、デバイスと防御センターが NAT デバイスによって分けられている場合は、登録キーと一緒に一意の NAT ID を入力し、ホスト名の代わりに DONTRESOLVE を指定します。
configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} regkey [nat_id]
ここで { hostname | IPv4_address | IPv6_address | DONTRESOLVE } は、このデバイスを管理する 防御センター の DNS ホスト名、または IP アドレス(IPv4 または IPv6)を表します。防御センターが直接アドレス指定できない場合は、 DONTRESOLVE を使用してください。 DONTRESOLVE を使用する場合は、 nat_id が必要です。 regkey はデバイスを防御センターへ登録するのに必要な、英数字の一意の登録キーです。 nat_id はオプションの英数字の文字列で、防御センターとデバイス間の登録プロセスで使用されます。hostname が DONTRESOLVE に設定されている場合に必要です。
configure manager add DONTRESOLVE abc123 efg456
delete
防御センターの接続情報をデバイスから削除します。このコマンドは、デバイスがアクティブに管理されていない場合のみ機能します。
configure manager delete
configure manager delete
mpls-depth
管理インターフェイスで MPLS レイヤの数を設定します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。
network
dns searchdomains
DNS 検索ドメインの現行のリストを、コマンドで指定されたリストに置き換えます。
searchlist はカンマで区切られたドメインのリストです。
dns servers
DNS サーバの現行のリストを、コマンドで指定されたリストに置き換えます。
dnslist は、カンマで区切られた DNS サーバのリストです。
hostname
http-proxy
シリーズ 3 および仮想デバイスで、HTTP プロキシを設定します。コマンドを発行した後で、CLI はユーザに対して HTTP プロキシのアドレスとポート、プロキシの認証が必要かどうかを尋ねます。認証が必要な場合はプロキシのユーザ名、プロキシのパスワード、およびプロキシのパスワードの確認を入力するよう要求されます。
仮想デバイス上でこのコマンドを使用して、HTTP プロキシ サーバを設定し、仮想デバイスが動的解析のためにファイルを Collective Security Intelligence クラウド へ送信できるようにします。
http-proxy-disable
シリーズ 3 および仮想デバイスで、すべての HTTP プロキシの設定を削除します。
ipv4 delete
デバイスの管理インターフェイスの IPv4 設定を無効にします。
ipv4 dhcp
デバイスの管理インターフェイスの IPv4 設定を DHCP に設定します。管理インターフェイスは DHCP サーバと通信して、設定情報を取得します。
ipv4 manual
デバイスの管理インターフェイスの IPv4 設定を手動で設定します。
ここで ipaddr は IP アドレスで、 netmask はサブネットマスク、 gw はデフォルト ゲートウェイの IPv4 アドレスです。
ipv6 delete
デバイスの管理インターフェイスの IPv6 設定を無効にします。
ipv6 dhcp
デバイスの管理インターフェイスの IPv6 設定を DHCP に設定します。管理インターフェイスは DHCP サーバと通信して、設定情報を取得します。
ipv6 router
デバイスの管理インターフェイスの IPv6 設定をルータに設定します。管理インターフェイスは IPv6 ルータと通信して、設定情報を取得します。
ipv6 manual
デバイスの管理インターフェイスの IPv6 設定を手動で設定します。
]
ここで ip6addr/ip6prefix は IP アドレスと接頭辞の長さで、ip6 gw はデフォルト ゲートウェイの IPv6 アドレスを表します。
management-port
password
現行のユーザは、自身のパスワードを変更することができます。コマンドを発行すると、CLI は現在の(古い)パスワードを入力するようユーザに要求し、その後で新しいパスワードを 2 回入力するよう要求します。
stacking disable
管理対象デバイスで、そのデバイスのスタッキング設定をすべて削除します。プライマリとして設定されているデバイスでは、スタックが完全に削除されます。セカンダリとして設定されているデバイスでは、デバイスはスタックから削除されます。このコマンドは、仮想デバイス、または ASA FirePOWER デバイスでは使用できません。また、このコマンドを使用して、クラスタ化されたスタックをクラスタ化解除することはできません。
スタッキング階層の上位アプライアンスとの通信を確立できない場合は、このコマンドを使用します。防御センターを通信で使用できる場合は、代わりに防御センターWeb インターフェイスを使用するよう伝えるメッセージが表示されます。同様に、プライマリ デバイスを使用できる場合に、セカンダリとして設定されているデバイス上で stacking disable を入力すると、プライマリ デバイスからコマンドを入力するよう伝えるメッセージが表示されます。
user
仮想デバイスでのみ使用できます。 configure user コマンドは、デバイスのローカル ユーザ データベースを管理します。
指定したユーザのアクセス レベルを変更します。このコマンドは、指定されたユーザが次にログインするときに有効になります。
configure user access username [basic | config]
configure user access jdoe basic
username は、アクセスを変更するユーザの名前を表します。 basic は basic アクセスを、 config は configuration アクセスを表します。
add
指定された名前とアクセス レベルで新しいユーザを作成します。このコマンドでは、ユーザのパスワードを入力するよう要求されます。
configure user add username [basic | config]
ここで username は新しいユーザの名前を表します。 basic は basic アクセス、 config は configuration アクセスを表します。
configure user add jdoe basic
aging
configure user aging username max_days warn_days
ここで username はユーザの名前を表します。 max_days はパスワードが有効な最大日数、 warn_days は、有効期限が切れるまでにパスワードを変更するためにユーザが使用できる日数を表します。
configure user aging jdoe 100 3
delete
configure user delete username
configure user delete jdoe
disable
configure user disable username
configure user disable jdoe
enable
configure user enable username
configure user enable jdoe
forcereset
ユーザが次にログインするときに、パスワードの変更を要求します。ユーザがログインしてパスワードを変更すると、強度のチェックが自動的に有効になります。
configure user forcereset username
configure user forcereset jdoe
maxfailedlogins
指定したユーザが、ログインで失敗できる最大回数を設定します。
configure user maxfailedlogins username number
username はユーザの名前、 number は、ログインで失敗できる最大回数を表します。
configure user maxfailedlogins jdoe 3
password
ユーザのパスワードを設定します。このコマンドでは、ユーザのパスワードを入力するよう要求されます。
configure user password username
configure user pasword jdoe
strengthcheck
ユーザのパスワードに対する強度の要件を有効または無効にします。ユーザ パスワードの有効期限が切れた場合、または configure user forcereset コマンドを使用している場合は、ユーザが次にログインしたときにこの要件が自動的に有効になります。
configure user strengthcheck username {enable | disable}
username はユーザの名前を表します。 enable は指定されたユーザのパスワードの要件を設定し、 disable は、指定されたユーザのパスワードの要件を削除します。
configure user strengthcheck jdoe enable
unlock
configure user unlock username
configure user unlock jdoe
system コマンド
system コマンドを使用して、システム全体のファイルおよびアクセス コントロールの設定を管理することができます。Configuration CLI アクセス権を持つユーザのみが、システム モードでコマンドを発行できます。
• 「file」
• 「reboot」
access-control
system access-control コマンドは、ユーザがデバイス上でアクセス コントロールの設定を管理できるようにします。
archive
現在適用されているアクセス コントロール ポリシーを、 /var/common にテキスト ファイルとして保存します。
clear-rule-counts
アクセス コントロール ルールのヒット数を 0 にリセットします。
rollback
以前に適用していたアクセス コントロールの設定に、システムを戻します。クラスタ化されたデバイス、またはスタック デバイスではこのコマンドは使用できません。
disable-http-user-cert
システム上に存在するすべての HTTP ユーザ証明書を削除します。
file
system file コマンドを使用すると、ユーザは、デバイス上の common ディレクトリにあるファイルを管理することができます。
copy
FTP を使用して、ログイン ユーザ名を使用しているホスト上のリモート ロケーションへファイルを転送します。ローカル ファイルは common ディレクトリに配置する必要があります。
system file copy hostname username path filenames filenames ...
hostname はターゲットのリモート ホストの名前または IP アドレスを表します。 username はリモート ホスト上のユーザの名前、 path はリモート ホスト上の宛先パス、 filenames は転送するローカル ファイルを表します。複数のファイル名はスペースで区切って指定します。
system file copy sfrocks jdoe /pub *
delete
common ディレクトリから、指定したファイルを削除します。
system file delete filenames filenames ...
filenames は削除するファイルを指定します。複数のファイル名はスペースで区切って指定します。
system file delete *
list
ファイル名が指定されていない場合は、common ディレクトリ内のすべてのファイルについて変更の時刻、サイズ、およびファイル名が表示されます。ファイル名が指定されている場合は、指定されたファイル名と一致したファイルで、変更の時刻、サイズ、およびファイル名が表示されます。
system file list {filenames filenames ...}
filenames は表示するファイルを表します。複数のファイル名はスペースで区切って指定します。
system file list
secure-copy
SCP を使用して、ログイン ユーザ名を使用しているホスト上のリモート ロケーションへファイルを転送します。ローカル ファイルは /var/common ディレクトリに配置する必要があります。
system file secure-copy hostname username path filenames filenames ...
hostname はターゲットのリモート ホストの名前または IP アドレスを表します。 username はリモート ホスト上のユーザの名前、 path はリモート ホスト上の宛先パス、 filenames は転送するローカル ファイルを表します。複数のファイル名はスペースで区切って指定します。
system file secure-copy 10.123.31.1 jdoe /tmp *
generate-troubleshoot
シスコが解析に使用するトラブルシューティング データを生成します。
この構文は、どのトラブルシューティング データを表示するかを指定するための、オプションのパラメータのリストを表示します。
ldapsearch
ユーザが、指定された LDAP サーバのクエリを実行できるようにします。すべてのパラメータが必須であることに注意してください。
host は LDAP サーバのドメイン、 port は LDAP サーバのポート、 baseDN は検索する DN(識別名)、 userDN は LDAP ディレクトリへバンドするユーザの DN、 basefilter は検索するレコードを表します。
dc=example,dc=com cn=user1,cn=users,dc=example,dc=com, cn=user2
lockdown-sensor
expert コマンドを削除し、デバイス上の bash シェルへアクセスします。
nat rollback
以前に適用していた NAT の設定に、システムを戻します。このコマンドは、仮想デバイスと ASA FirePOWER デバイスでは使用できません。クラスタ化されたデバイス、またはスタック デバイスではこのコマンドは使用できません。
reboot
restart
shutdown
デバイスをシャット ダウンします。このコマンドは ASA FirePOWER モジュールでは使用できません。
フィードバック