Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.2.3 用)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.2.3 用)

Chapter Title

システム管理

検索結果

Updated:
2020年1月5日

章のタイトル: システム管理

システム管理

ここでは、システム データベースの更新やシステムのバックアップおよび復元などの、システム管理タスクの実行方法について説明します。

ソフトウェア アップデートのインストール

システム データベースとシステム ソフトウェアの更新プログラムをインストールできます。ここでは、これらの更新プログラムのインストール方法について説明します。

システム データベースおよびフィードの更新

システムは、複数のデータベースおよびセキュリティ インテリジェンス フィードを使用して高度なサービスを提供します。シスコでは、セキュリティ ポリシーで最新の情報が使用されるよう、これらのデータベースおよびフィードに対する更新を提供しています。

システム データベースおよびフィードの更新の概要

Firepower Threat Defense は次のデータベースおよびフィードを使用して高度なサービスを提供します。

侵入ルール

新たな脆弱性が発見されると、Cisco Talos Intelligence Group(Talos) から侵入ルールのアップデートがリリースされ、インポートできます。それらの更新は、侵入ルール、プリプロセッサ ルール、およびルールを使用するポリシーに影響を及ぼします。

侵入ルールの更新には、新規および更新された侵入ルールとプリプロセッサ ルール、既存のルールの変更されたステータス、変更されたデフォルト侵入ポリシーの設定が含まれています。ルールの更新では、ルールが削除されたり、新しいルール カテゴリとデフォルトの変数が提供されたり、デフォルトの変数値が変更されたりすることもあります。

侵入ルールの更新によって行われた変更を有効にするには、設定を再展開する必要があります。

侵入ルールの更新は量が多くなることがあるため、ルールのインポートはネットワークの使用量が少ないときに実行してください。低速ネットワークでは更新試行が失敗する可能性があり、再試行する必要があります。

位置情報データベース(GeoDB)

シスコの地理位置情報データベース(GeoDB)は、ルート可能な IP アドレスに関連する位置情報データ(国、都市、緯度と経度の座標など)、および接続関係のデータ(インターネット サービス プロバイダー、ドメイン名、接続タイプなど)のデータベースです。

GeoDB の更新には、物理的な場所や接続タイプなど、検出されたルート可能な IP アドレスにシステムが関連付けることができるものに関する更新情報が含まれています。位置情報データは、アクセス コントロール ルールとして使用できます。

GeoDB の更新にかかる時間はアプライアンスによって異なります。インストールには通常、30 ~ 40 分かかります。GeoDB の更新は他のシステムの機能(実行中の地理情報の収集など)を中断することはありませんが、更新が完了するまでシステムのリソースを消費します。更新を計画する場合には、この点について考慮してください。

脆弱性データベース(VDB)

シスコの脆弱性データベース(VDB)は、オペレーティング システム、クライアント、およびアプリケーションのフィンガープリントだけでなく、ホストが影響を受ける可能性がある既知の脆弱性のデータベースです。Firepower システムはフィンガープリントと脆弱性を関連付けて、特定のホストがネットワークの侵害のリスクを増大させているかどうかを判断するのをサポートします。Cisco Talos Intelligence Group(Talos) では、VDB の定期的な更新を配布しています。

脆弱性のマッピングを更新するのにかかる時間は、ネットワーク マップ内のホストの数によって異なります。システムのダウンタイムの影響を最小にするために、システムの使用率が低い時間帯に更新をスケジュールすることをお勧めします。一般的に、更新の実行にかかるおおよその時間(分)を判断するには、ネットワーク上のホストの数を 1000 で割ります。

VDB を更新した後、更新されたアプリケーション ディテクタとオペレーティング システム フィンガープリントを有効にするために、設定を再展開する必要があります。

Cisco Talos Intelligence Group(Talos) セキュリティ インテリジェンスのフィード

Talos は、セキュリティ インテリジェンス ポリシーで使用するため定期的に更新されるインテリジェンス フィードへのアクセスを提供します。マルウェア、スパム、ボットネット、フィッシングなど、セキュリティに対する脅威を表すサイトは目まぐるしく現れては消えるため、カスタム設定を更新して導入するのでは最新の状況に追いつきません。これらのフィードには、既知の脅威のアドレスや URL が含まれています。システムによってフィードが更新される場合、再展開する必要はありません。後続の接続の評価には新しい一覧が使用されます。

URL カテゴリ/レピュテーション データベース

システムは、Cisco Collective Security Intelligence(CSI)から URL カテゴリとレピュテーション データベースを取得します。カテゴリとレピュテーションに関してフィルタリングする URL フィルタリング アクセス制御ルールを設定すると、要求された URL がデータベースと照合されます。[システム設定(System Settings)] > [URLフィルタリングの設定(URL Filtering Preferences)] でデータベースの更新といくつかのその他の URL フィルタリング設定を設定できます。URL カテゴリ/レピュテーション データベースの更新は、他のシステム データベースの更新を管理する方法では管理できません。

システム データベースの更新

必要に応じて、手動でシステム データベースの更新を取得して適用できます。更新はシスコサポート サイトから取得されます。したがって、システムの管理アドレスからインターネットへのパスが存在する必要があります。

またデータベースの更新を取得して適用するよう、定期的なスケジュールを設定することもできます。これらの更新はサイズが大きい場合があるため、ネットワーク アクティビティが少ない時間帯にスケジュールしてください。


(注)  

データベース更新が進行中の場合、ユーザ インターフェイスのアクションへの応答が遅くなる場合があります。

始める前に

保留中の変更に対して潜在的な影響を与えることを避けるため、これらのデータベースを手動で更新する前に、デバイスに設定を展開します。

VDB と URL カテゴリの更新によって、アプリケーションまたはカテゴリが削除される可能性があることに注意してください。変更を展開する前に、これらの廃止された項目を使用しているアクセス制御ルールまたは SSL 復号ルールを更新する必要があります。

手順
ステップ 1

[デバイス(Device)] をクリックしてから、[更新(Updates)] のサマリーで [設定の表示(View Configuration)] をクリックします。

これによって、[更新(Updates)] ページが開きます。このページの情報には、各データベースの現在のバージョン、および各データベースの最終更新日時が表示されます。

ステップ 2

手動でデータベースを更新するには、そのデータベースのセクションで [今すぐ更新(Update Now)] をクリックします。

ルールおよび VDB の更新では、アクティブにするための設定の展開が必要です。今すぐ展開するかどうかを尋ねられます。[はい(Yes)] をクリックします。[いいえ(No)] をクリックする場合は、都合の良いときにできるだけ早く展開ジョブを開始してください。

ステップ 3

(オプション)定期的なデータベース更新スケジュールを設定するには、次の手順に従います。

  1. 目的のデータベースのセクションで [設定(Configure)] リンクをクリックします。すでにスケジュールが設定されている場合、[編集(Edit)] をクリックします。

    データベースの更新スケジュールは独立しています。スケジュールは別途定義する必要があります。

  2. 更新開始時刻を設定します。

    • 更新の頻度(日次、週次、または月次)。

    • 週次または月次の場合、更新が必要な曜日または日付。

    • 更新を開始する時刻。 指定された時刻はサマータイムのため調整され、当該地域で時刻が調整されるたびに 1 時間、前または後に移動します。年間を通して正確な時刻を保持するには、時刻の変更の際にスケジュールを編集する必要があります。

  3. ルールまたは VDB の更新では、データベースが更新されるたびにシステムが設定を展開するようにする場合は、[更新の自動展開(Automatically Deploy the Update)] チェックボックスをオンにします。

    更新は、展開されるまでは有効になりません。自動展開では、まだ展開されていないその他の設定変更も展開されます。

  4. [保存(Save)] をクリックします。

(注)   

定期的なスケジュールを削除する場合、[編集(Edit)] リンクをクリックしてスケジューリング ダイアログボックスを開き、[削除(Remove)] ボタンをクリックします。

Cisco Security Intelligence フィードの更新

Cisco Talos Intelligence Group(Talos) は、定期的に更新されるセキュリティ インテリジェンス フィードへのアクセスを提供します。マルウェア、スパム、ボットネット、フィッシングなど、セキュリティに対する脅威を表すサイトは目まぐるしく現れては消えるため、カスタム設定を更新して導入するのでは最新の状況に追いつきません。システムによってフィードが更新される場合、再展開する必要はありません。後続の接続の評価には新しい一覧が使用されます。

システムがフィードをインターネットから更新するタイミングを厳密に制御したい場合は、そのフィードの自動更新を無効にできます。ただし、自動更新を行えば、最新の関連するデータであることが確実になります。

手順
ステップ 1

[デバイス(Device)] をクリックしてから、[更新(Updates)] のサマリーで [設定の表示(View Configuration)] をクリックします。

これによって、[更新(Updates)] ページが開きます。ページには、[セキュリティインテリジェンスフィード(Security Intelligence Feeds)] の現在のバージョン、およびフィードの最終更新日時が表示されます。

ステップ 2

フィードを手動で更新するには、[セキュリティインテリジェンスフィード(Security Intelligence Feeds)] グループで [今すぐ更新(Update Now)] をクリックします。

ステップ 3

(オプション)定期的な更新の頻度を設定するには:

  1. [シスコのフィード(Cisco Feeds)] セクションにある [設定(Configure)] リンクをクリックします。すでにスケジュールが設定されている場合、[編集(Edit)] をクリックします。

  2. 希望する頻度を選択します。

    デフォルトは [毎時(Hourly)] です。[毎日(Daily)] 更新(時刻を指定)または [毎週(Weekly)] 更新(曜日と時刻を指定)を設定することもできます。 指定された時刻はサマータイムのため調整され、当該地域で時刻が調整されるたびに 1 時間、前または後に移動します。年間を通して正確な時刻を保持するには、時刻の変更の際にスケジュールを編集する必要があります。

    [削除(Delete)] をクリックして、自動更新されないようにします。

  3. [OK] をクリックします。

Firepower Threat Defenseソフトウェアのアップグレード

Firepower Threat Defense ソフトウェア アップグレードが使用可能になると、インストールできます。次の手順は、システム上ですでに Firepower Threat Defense バージョン 6.2.0 以降が稼働していて、正常に動作していることを前提としています。

アップグレードには、ホット フィックス、マイナー アップグレード、メジャー アップグレードの 3 種類があります。ホット フィックス アップグレードは再起動を必要としない場合がありますが、マイナー バージョンおよびメジャー バージョンのアップグレードには再起動が必要です。再起動が必要な場合、インストール後に自動的に再起動します。更新のインストールによりトラフィックが中断される可能性があるため、インストールは時間外に行ってください。

この手順では、デバイスのイメージ再作成も、ASA ソフトウェアから Firepower Threat Defense ソフトウェアへの移行もできません。


(注)  

更新をインストールする前に、保留中の変更がすべて展開されていることを確認します。またバックアップを実行し、バックアップ コピーをダウンロードする必要があります。

始める前に

タスクリストを確認し、実行中のタスクがないことを確認します。アップグレードをインストールする前に、データベースの更新など、すべてのタスクが完了するまで待機してください。また、スケジュール設定したタスクがないか確認してください。アップグレードタスクとスケジュールタスクが重複しないようにしてください。

更新を実行する前に、廃止されたアプリケーションがアプリケーションフィルタ、アクセスルール、または SSL 復号ルールに存在しないことを確認してください。これらのアプリケーションには、アプリケーション名の後に「(廃止)(Deprecated)」が付加されています。これらのオブジェクトに廃止されたアプリケーションを追加することはできませんが、後続の VDB 更新により、以前は有効だったアプリケーションが廃止される場合があります。廃止されると、アップグレードは失敗し、デバイスは使用不能状態になります。

Cisco.com にログインし、アップグレード イメージをダウンロードします。

  • 適切なアップグレード ファイル(ファイル タイプが REL.tar)を入手していることを確認します。システム ソフトウェア パッケージまたはブート イメージをダウンロードしないでください。

  • アップグレード ファイルの名前を変更しないでください。名前が変更されたファイルは無効だと見なされます。

  • パッチをダウングレードまたはアンインストールすることはできません。

  • アップグレードに必要なベースライン イメージを実行していることを確認します。互換性の情報については、『 Cisco Firepower 互換性ガイド』、http://www.cisco.com/c/en/us/td/docs/security/firepower/compatibility/firepower-compatibility.html を参照してください。

  • 新しいバージョンの場合は、リリース ノートをお読みください。リリース ノートは http://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-release-notes-list.html をご覧ください。

手順

ステップ 1

[デバイス(Device)] をクリックし、[更新サマリー(Updates summary)] の [設定の表示(View Configuration)] をクリックします。

[システムアップグレード(System Upgrade)] セクションには、現在実行中のソフトウェア バージョン、およびすでにアップロードされた更新が表示されます。

ステップ 2

アップグレード ファイルをアップロードします。

  • アップグレード ファイルをまだアップロードしていない場合、[検索(Browse)] をクリックしてファイルを選択します。

  • すでにアップロードされたファイルがあるか、別のファイルをアップロードする場合、[別のファイルをアップロード(Upload Another File)] をクリックします。1 つのファイルのみアップロードできます。新規ファイルをアップロードすると、古いファイルが置き換えられます。

  • ファイルを削除するには、[削除(Delete)] アイコン(delete icon)をクリックします。

ステップ 3

[インストール(Install)] をクリックして、インストール プロセスを開始します。

アイコンの隣の情報は、インストール中にデバイスが再起動するかどうかを示します。システムから自動的にログアウトされます。インストールには 30 分以上かかることがあります。

待機してからシステムに再度ログインしてください。[デバイスサマリー(Device Summary)] または [システム監視ダッシュボード(System monitoring dashboard)] には、新しいバージョンが表示されます。

(注)   

単にブラウザ ウィンドウを更新するだけではありません。代わりに、URL からパスを削除してホーム ページに再接続します。これにより、最新のコードではキャッシュされている情報が更新されます。
ステップ 4

(オプション)システム データベースを更新します。

地理位置情報、ルール、脆弱性(VDB)データベースに設定された自動更新ジョブがない場合、この機会に更新してください。

デバイスの再イメージ化

デバイスを再イメージ化すると、デバイス設定が消去され、新しいソフトウェア イメージがインストールされます。再イメージ化の目的は、工場出荷時のデフォルト設定でクリーン インストールすることです。

次の場合に、デバイスを再イメージ化します。

  • ASA ソフトウェアから Firepower Threat Defense ソフトウェアにシステムを変換する場合。ASA イメージを実行しているデバイスを Firepower Threat Defense イメージを実行しているデバイスにアップグレードすることはできません。

  • デバイスが 6.1.0 以前のイメージを実行していて、6.1 以降のイメージにアップグレードし、Firepower Device Manager を使用してデバイスを設定したい場合。Firepower Management Center を使用して、6.1 以前のデバイスをアップグレードしてからローカル管理を切り替えることはできません。

  • デバイスが正しく機能せず、設定の修正ですべての試行が失敗した場合。

デバイスの再イメージ化の詳細については、ご使用のデバイス モデルの『Reimage the Cisco ASA or Firepower Threat Defense Device』または Firepower Threat Defense のクイック スタート ガイドを参照してください。これらのガイドは、http://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-installation-guides-list.html で入手できます。

システムのバックアップと復元

後の設定ミスまたは物理的な事故が原因で設定が損なわれた場合にデバイスを復元できるように、システム設定をバックアップできます。

代替のデバイスにバックアップを復元できるのは、どちらのデバイスも同じモデルで、(同時リリースだけでなく、ビルド番号を含む)同じバージョンのソフトウェアを実行している場合のみです。アプライアンス間で設定をコピーするためにバックアップおよび復元プロセスを使用しないでください。バックアップ ファイルには、この方法で共有することができないようにアプライアンスを一意に特定する情報が含まれます。


(注)  

バックアップには管理 IP アドレス設定は含まれません。したがって、バックアップ ファイルを復元しても、管理アドレスがバックアップ コピーにより置き換えられることはありません。これにより、アドレスに行ったいかなる変更も保持され、別のネットワーク セグメント上のさまざまなデバイスの設定を復元することも可能になります。

バックアップには設定だけが含まれ、システム ソフトウェアは含まれません。デバイスを完全に再イメージ化する必要がある場合、ソフトウェアを再インストールしてからバックアップをアップロードして、設定を回復する必要があります。

バックアップ中は設定データベースがロックされます。バックアップの間はポリシー、ダッシュボードなどを表示できますが、設定を変更することはできません。復元を行っている間、システムは完全に使用できません。

「バックアップと復元」ページの表は、バックアップのファイル名、作成日時、ファイル サイズを含む、システムで使用できる既存のすべてのバックアップ コピーを示します。バックアップのタイプ(手動、スケジュール、繰り返し)は、システムに指示したバックアップ コピーの作成方法に基づいています。


ヒント

バックアップ コピーはシステム自体に作成されます。ディザスタ リカバリのために必要なバックアップ コピーを確保するため、バックアップ コピーは手動でダウンロードし、安全なサーバに保存する必要があります。

次に、バックアップの管理と復元操作について説明します。

システムの即時バックアップ

希望する場合はいつでもバックアップを開始できます。

手順

ステップ 1

[デバイス(Device)] をクリックしてから、[バックアップと復元(Backup and Restore)] のサマリーで [設定の表示(View Configuration)] をクリックします。

これにより、[バックアップおよび復元(Backup and Restore)] ページが開きます。使用可能なすべての既存のバックアップ コピーが表にリストされています。

ステップ 2

[手動バックアップ(Manual Backup)] > [今すぐバックアップ(Back Up Now)] をクリックします。

ステップ 3

バックアップの名前を入力し、任意で説明を入力します。

今すぐではなく、将来のある時刻にバックアップする場合は、代わりに [スケジュール(Schedule)] をクリックできます。

ステップ 4

[今すぐバックアップ(Back Up Now)] をクリックします。

システムがバックアップ プロセスを開始します。バックアップが完了すると、バックアップ ファイルが表に表示されます。必要に応じて、バックアップ コピーをシステムにダウンロードして、他の場所に保存できます。

バックアップが開始されたら、[バックアップと復元(Backup and Restore)] ページを閉じてもかまいません。ただし、システムの動作が遅くなる可能性があるため、バックアップが完了するまで作業を一時停止することを検討する必要があります。

また、一部または全部のバックアップ中に、システムによってコンフィギュレーション データベースのロックが取得され、それが原因でバックアップ プロセス中に変更を加えることができなくなる場合があります。

スケジュールされた時間でのシステムのバックアップ

システムを将来の特定の日時にバックアップするために、スケジュール バックアップを設定できます。スケジュール バックアップは、1 回だけ実行されます。定期的にバックアップを作成するようにバックアップ スケジュールを作成するには、スケジュール バックアップではなく、繰り返しバックアップを設定します。


(注)  

将来のバックアップのスケジュールを削除するには、スケジュールを編集して、[削除(Remove)] をクリックします。

手順

ステップ 1

[デバイス(Device)] をクリックしてから、[バックアップと復元(Backup and Restore)] のサマリーで [設定の表示(View Configuration)] をクリックします。

ステップ 2

[スケジュールバックアップ(Scheduled Backup)] > [バックアップをスケジュール(Schedule a Backup)] をクリックします。

すでにスケジュール バックアップがある場合は、[スケジュールバックアップ(Scheduled Backup)] > [編集(Edit)] をクリックします。

ステップ 3

バックアップの名前を入力し、任意で説明を入力します。

ステップ 4

バックアップの日時を入力します。

ステップ 5

[スケジュール(Schedule)] をクリックします。

選択した日時に達すると、システムがバックアップされます。完了すると、バックアップ コピーがバックアップの表に一覧されます。

定期的なバックアップ スケジュールの設定

定期的なバックアップを設定し、システムを定期的にバックアップできます。たとえば、毎週金曜日の真夜中にバックアップをとることもできます。定期的なバックアップ スケジュールにより、常に最新のバックアップ セットを保持できます。


(注)  

定期的なスケジュールを削除する場合、スケジュールを編集し、[削除(Delete)] をクリックします。

手順

ステップ 1

[デバイス(Device)] をクリックしてから、[バックアップと復元(Backup and Restore)] のサマリーで [設定の表示(View Configuration)] をクリックします。

ステップ 2

[定期バックアップ(Recurring Backup)] > [設定(Configure)] をクリックします。

すでに定期バックアップを設定している場合は、[定期バックアップ(Recurring Backup)] > [編集(Edit)] をクリックします。

ステップ 3

バックアップの名前を入力し、任意で説明を入力します。

ステップ 4

[頻度(Frequency)] と関連スケジュールを選択します。

  • [日次(Daily)]:時刻を選択します。バックアップは毎日、スケジュールされた時刻に取得されます。
  • [週次(Weekly)]:曜日と時刻を選択します。バックアップは選択した日付のスケジュールされた時刻に取得されます。たとえば、毎週月曜日、水曜日、金曜日の 23 時(午後 11 時)にバックアップをスケジュールすることもできます。
  • [月次(Monthly)]:日付と時刻を選択します。バックアップは選択した日付のスケジュールされた時刻に取得されます。たとえば、1 日、15 日、28 日の 23 時(午後 11 時)にバックアップをスケジュールすることもできます。

指定された時刻はサマータイムのため調整され、当該地域で時刻が調整されるたびに 1 時間、前または後に移動します。年間を通して正確な時刻を保持するには、時刻の変更の際にスケジュールを編集する必要があります。
ステップ 5

[保存(Save)] をクリックします。

選択した日付と時刻になると、バックアップが取得されます。完了すると、バックアップ コピーがバックアップ テーブルにリストされます。

定期的なスケジュールを変更または削除するまで、バックアップを取得し続けます。

バックアップの復元

デバイスでバックアップを取得したときに実行されていたものと同じソフトウェア バージョン(ビルド番号を含む)が実行されている限り、バックアップを復元できます。代替のデバイスにバックアップを復元できるのは、どちらのデバイスも同じモデルで、同じバージョンのソフトウェア(ビルド番号を含む)を実行している場合のみです。

復元するバックアップ コピーがまだデバイスに存在しない場合、復元する前にまずバックアップをアップロードする必要があります。

復元している間、システムはまったく使用できません。


(注)  

バックアップには管理 IP アドレスの設定は含まれません。したがって、バックアップ ファイルを復元しても、管理アドレスがバックアップ コピーにより置き換えられることはありません。これにより、アドレスに対する変更はすべて保持され、また異なるネットワーク セグメント上の別のデバイスに設定を復元することもできます。

手順

ステップ 1

[デバイス(Device)] をクリックしてから、[バックアップと復元(Backup and Restore)] のサマリーで [設定の表示(View Configuration)] をクリックします。

これにより、[バックアップおよび復元(Backup and Restore)] ページが開きます。使用可能なすべての既存のバックアップ コピーが表にリストされています。

ステップ 2

復元しようとするバックアップ コピーが、使用可能なバックアップのリストにない場合、[アップロード(Upload)] > [検索(Browse)] をクリックし、バックアップ コピーをアップロードします。

ステップ 3

ファイルの [復元(restore)] アイコン(Restore backup button.)をクリックします。

復元するかどうかの確認が求められます。デフォルトでは、復元後にバックアップ コピーは削除されますが、これを保持するには、復元を続行する前に、[復元後にバックアップを削除しない(Do not remove the backup after restoring)] を選択します。

復元が完了すると、システムは再起動します。

(注)   

システムが再起動後、脆弱性データベース(VDB)、地理位置情報、およびルール データベースの更新が自動的にチェックされ、必要に応じてダウンロードされます。これらの更新は大規模な場合があるため、初回の試行が失敗する可能性があります。タスクリストを確認し、ダウンロードが失敗した場合はシステム データベースの更新の説明に従って手動で更新をダウンロードしてください。またポリシーも再展開されます。更新が成功しないと、それ以降の展開はすべて失敗します。

バックアップ ファイルの管理

新しいバックアップを作成すると、バックアップ ファイルがバックアップと復元ページに表示されます。バックアップ コピーは無期限に保たれません。デバイスのディスク領域の利用量が最大しきい値に達すると、新しいバックアップ コピー用の場所を空けるために、古いバックアップ コピーが削除されます。したがって、定期的にバックアップ ファイルを管理し、最も保持したい特定のバックアップ コピーが削除されていないことを確認してください。

バックアップ コピーを管理するには、次の操作を行うことができます。

  • ファイルを安全なストレージにダウンロード:バックアップ ファイルをワークステーションにダウンロードするには、ファイルの [ダウンロード(download)] アイコン(Download file button.)をクリックします。その後、安全なファイル ストレージにファイルを移動できます。

  • システムにバックアップ ファイルをアップロードする:デバイスで使用できなくなったバックアップ コピーを復元する場合は、[アップロード(Upload)] > [ファイルの参照(Browse File)] をクリックして、バックアップ コピーをワークステーションからアップロードします。その後、復元できます。


    (注)  

    アップロードされたファイルは、元のファイル名と一致するように名前が変更される場合があります。また、システムに 10 以上のバックアップ コピーがすでに存在する場合、アップロードされたファイル用の場所を空けるために最も古いものは削除されます。古いソフトウェア バージョンによって作成されたファイルをアップロードすることはできません。

  • バックアップを復元する:バックアップ コピーを復元するには、ファイルの [復元(restore)] アイコン(Restore backup button.)をクリックします。復元の間システムは使用できなくなり、復元が完了するとリブートします。システムが稼働していて、動作中になってから設定を展開してください。

  • バックアップ ファイルを削除する:特定のバックアップが必要でなくなったら、ファイルの削除アイコン(delete icon)をクリックします。削除の確認が求められます。削除すると、バックアップ ファイルを回復することはできません。

システムの再起動

システムが正常に動作していないときに、他の問題解決手段では解決しない場合は、デバイスを再起動できます。デバイスは CLI から再起動する必要があります。Firepower Device Manager からは再起動できません。

手順

ステップ 1

SSH クライアントを使用して管理 IP アドレスへの接続を開き、Configuration CLI 権限があるユーザ名でデバイスの CLI にログインします。たとえば、[管理者(admin)] ユーザ名を使用します。

ステップ 2

reboot コマンドを入力します。

例:


> reboot

システムのトラブルシューティング

ここでは、いくつかのシステムレベルのトラブルシューティングのタスクおよび機能について説明します。特定の機能(アクセス コントロールなど)のトラブルシューティングの詳細については、その機能に関する章を参照してください。

接続をテストするための ping アドレス

ping は、特定のアドレスが使用可能で、応答するかどうかを確認するための単純なコマンドです。これは基本接続が機能していることを意味します。ただし、デバイスで実行されている他のポリシーにより、特定のタイプのトラフィックは正常にデバイスを通過できないことがあります。ping CLI コンソールを開く、またはデバイス CLI へのログインによって、使用することができます。


(注)  

システムには複数のインターフェイスがあるため、アドレスの ping に使用されるインターフェイスを制御できます。接続をテストすることが重要であるため、確実に正しいコマンドを使用する必要があります。たとえば、システムは仮想管理インターフェイスを介してシスコ ライセンスサーバに到達できる必要があるため、ping system コマンドを使用して接続をテストする必要があります。ping を使用すると、複数のデータ インターフェイスを通じて到達できるかをテストするため、同じ結果が得られない可能性があります。

通常の ping は、ICMP パケットを使用して接続をテストします。ネットワークで ICMP が禁止されている場合は、代わりに TCP ping を使用できます(データ インターフェイスの ping のみ)。

次に、ネットワーク アドレスを ping するための主なオプションを示します。

仮想管理インターフェイスを介したアドレスの ping

ping system コマンドを使用します。

ping system host

ホストは IP アドレスまたは完全修飾ドメイン名(FQDN)(www.example.com など)にできます。データ インターフェイスを介した ping とは違い、システム ping のデフォルト数はありません。ping は Ctrl+c を使用して停止するまで続けられます。次に例を示します。 


> ping system www.cisco.com
PING origin-www.cisco.COM (72.163.4.161) 56(84) bytes of data.
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=1 ttl=242 time=10.6 ms
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=2 ttl=242 time=8.13 ms
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=3 ttl=242 time=8.51 ms
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=4 ttl=242 time=8.40 ms
^C
--- origin-www.cisco.COM ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3003ms
rtt min/avg/max/mdev = 8.139/8.927/10.650/1.003 ms
>
ルーティング テーブルを使用するデータ インターフェイスを介したアドレスの ping

ping コマンドを使用します。インターフェイスを指定せずに、システムが一般的にホストへのルートを検索できるかどうかをテストします。システムは通常このようにしてトラフィックをルーティングするため、一般的に実行する必要があるのはこのテストです。

ping host

ホストの IP アドレスを指定します。FQDN のみ判明している場合は、nslookup fqdn-name コマンドを使用して、IP アドレスを判別します。次に例を示します。 


> ping 171.69.38.1
Sending 5, 100-byte ICMP Echos to 171.69.38.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms

(注)  

タイムアウト、繰り返し回数、パケット サイズ、さらには送信するデータ パターンを指定できます。使用可能なオプションを表示するには、CLI でヘルプ インジケータの「?」を使用します。

特定のデータ インターフェイスを介したアドレスの ping

特定のデータインターフェイスを経由した接続をテストする場合、ping interface if_name コマンドを使用します。このコマンドを使用して診断インターフェイスを指定することもできますが、仮想管理インターフェイスは指定できません。

ping interface if_name host

ホストの IP アドレスを指定します。FQDN のみ判明している場合は、nslookup fqdn-name コマンドを使用して、IP アドレスを判別します。次に例を示します。 


> ping interface inside 171.69.38.1
Sending 5, 100-byte ICMP Echos to 171.69.38.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
TCP ping を使用するデータ インターフェイスを介したアドレスの ping

ping tcp コマンドを使用します。TCP ping では、SYN パケットを送信し、宛先から SYN-ACK パケットが返されると成功と見なします。

ping tcp [ interface if_name] host port

ホストと TCP ポートを指定する必要があります。FQDN のみ判明している場合は、nslookup fqdn-name コマンドを使用して、IP アドレスを判別します。

オプションで、ping を送信するインターフェイスではなく、ping の送信元インターフェイスであるインターフェイスを指定できます。このタイプの ping では、必ずルーティング テーブルを使用します。

TCP ping では、SYN パケットを送信し、宛先から SYN-ACK パケットが返されると成功と見なします。次に例を示します。 


> ping tcp 10.0.0.1 21
Type escape sequence to abort.
No source specified. Pinging from identity interface.
Sending 5 TCP SYN requests to 10.0.0.1 port 21
from 10.0.0.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

(注)  

タイムアウト、繰り返し回数、および TCP ping の送信元アドレスも指定できます。使用可能なオプションを表示するには、CLI でヘルプ インジケータの「?」を使用します。

ホストまでのルートの追跡

IP アドレスへのトラフィックの送信で問題が発生している場合は、ホストまでのルートを追跡することによってネットワーク パスに問題がないかどうかを確認できます。トレースルートでは、宛先に対して、無効なポートで UDP パケットを送信したり、ICMPv6 エコーを送信したりします。宛先までの途中にあるルータから ICMP Time Exceeded メッセージが返され、トレースルートにそのエラーが報告されます。各ノードは 3 つのパケットを受信するため、有益な結果を得る機会が 1 台のノードにつき 3 回あります。traceroute CLI コンソールを開く、またはデバイス CLI へのログインによって、使用することができます。


(注)  

データインターフェイス(traceroute )または仮想管理インターフェイス(traceroute system )を経由するルートをトレースするための個別のコマンドがあります。適切なコマンドを使用するようにしてください。

次の表に、パケットによって出力に表示される可能性のある結果を示します。

出力記号

説明

*

タイムアウトの期間内にプローブへの応答を受信しませんでした。

nn msec

各ノードに対する、指定した数のプローブのラウンドトリップ時間(ミリ秒)。

!N.

ICMP ネットワークに到達できません。

!H

ICMP ホストに到達できません。

!P

ICMP プロトコルに到達できません。

!A

ICMP が管理者によって禁止されています。

?

原因不明の ICMP エラーが発生しました。

仮想管理インターフェイスを介したルートの追跡

traceroute system コマンドを使用します。

traceroute system 接続先(Destination)

ホストには、IPv4/IPv6 アドレスまたは完全修飾ドメイン名(FQDN)(www.example.com など)を使用できます。次に例を示します。 


> traceroute system www.example.com 
traceroute to www.example.com (172.163.4.161), 30 hops max, 60 byte packets
 1  192.168.0.254 (192.168.0.254)  0.213 ms  0.310 ms  0.328 ms
 2  10.88.127.1 (10.88.127.1)  0.677 ms  0.739 ms  0.899 ms
 3  lab-gw1.example.com (10.89.128.25)  0.638 ms  0.856 ms  0.864 ms
 4  04-bb-gw1.example.com (10.152.240.65)  1.169 ms  1.355 ms  1.409 ms
 5  wan-gw1.example.com (10.152.240.33)  0.712 ms  0.722 ms  0.790 ms
 6  wag-gw1.example.com (10.152.240.73)  13.868 ms  10.760 ms  11.187 ms
 7  rbb-gw2.example.com (172.30.4.85)  7.202 ms  7.301 ms  7.101 ms
 8  rbb-gw1.example.com (172.30.4.77)  8.162 ms  8.225 ms  8.373 ms
 9  sbb-gw1.example.com (172.16.16.210)  7.396 ms  7.548 ms  7.653 ms
10  corp-gw2.example.com (172.16.16.58)  7.413 ms  7.310 ms  7.431 ms
11  dmzbb-gw2.example.com (172.16.0.78)  7.835 ms  7.705 ms  7.702 ms
12  dmzdcc-gw2.example.com (172.16.0.190)  8.126 ms  8.193 ms  11.559 ms
13  dcz05n-gw1.example.com (172.16.2.106)  11.729 ms  11.728 ms  11.939 ms
14  www1.example.com (172.16.4.161)  11.645 ms  7.958 ms  7.936 ms
データ インターフェイスを介したルートの追跡

traceroute コマンドを使用します。

traceroute 接続先(Destination)

ホストの IP アドレスを指定します。FQDN のみ判明している場合は、nslookup fqdn-name コマンドを使用して、IP アドレスを判別します。次に例を示します。 


> traceroute 209.165.200.225
Tracing the route to 209.165.200.225
 1  10.83.194.1 0 msec 10 msec 0 msec
 2  10.83.193.65 0 msec 0 msec 0 msec
 3  10.88.193.101 0 msec 10 msec 0 msec
 4  10.88.193.97 0 msec 0 msec 10 msec
 5  10.88.239.9 0 msec 10 msec 0 msec
 6  10.88.238.65 10 msec 10 msec 0 msec
 7 172.16.7.221 70 msec 70 msec 80 msec
 8 209.165.200.225 70 msec 70 msec 70 msec

(注)  

タイムアウト、パケット存続時間、1 ノードあたりのパケット数、およびトレースルートの送信元として使用する IP アドレスまたはインターフェイスを指定できます。使用可能なオプションを表示するには、CLI でヘルプ インジケータの「?」を使用します。

Firepower Threat Defense デバイスのトレースルートへの表示

デフォルトでは、Firepower Threat Defense デバイスは、トレースルートにホップとして表示されません。表示されるようにするには、デバイスを通過するパケットの存続可能時間を減らし、ICMP 到達不能メッセージのレート制限を増やす必要があります。そのためには、必要なサービス ポリシー ルールとその他のオプションを設定する FlexConfig オブジェクトを作成する必要があります。

サービス ポリシーとトラフィック クラスの詳細については、https://www.cisco.com/c/en/us/support/security/asa-firepower-services/products-installation-and-configuration-guides-list.html で入手可能な『Cisco ASA Series Firewall Configuration Guide』を参照してください。


(注)  

パケット存続時間(TTL)をデクリメントすると、TTL が 1 のパケットはドロップされますが、接続に TTL がより大きいパケットを含むと想定されるセッションでは、接続が開かれます。OSPF hello パケットなどの一部のパケットは TTL = 1 で送信されるため、パケット存続時間(TTL)をデクリメントすると、予期しない結果が発生する可能性があります。トラフィック クラスを定義する際には、これらの考慮事項に注意してください。

手順

ステップ 1

[デバイス(Device)] > [詳細設定(Advanced Configuration)] で [設定の表示(View Configuration)] をクリックします。

ステップ 2

詳細設定の目次で [FlexConfig] > [FlexConfigオブジェクト(FlexConfig Objects)] をクリックします。

ステップ 3

TTL を減らすためのオブジェクトを作成します。

  1. 新しいオブジェクトを作成するには、[+] ボタンをクリックします。

  2. オブジェクトの名前を入力します。例、Decrement_TTL

  3. [テンプレート(Template)] エディタで、インデントを含む次の行を入力します。 

    
icmp unreachable rate-limit 50 burst-size 1
policy-map global_policy
 class class-default
  set connection decrement-ttl

  4. [ネゲートテンプレート(Negate Template)] エディタで、この設定を元に戻すために必要な行を入力します。

    適切なサブモードでコマンドを有効にするために、ネゲート テンプレートに、親コマンドと同様にこれらのコマンドも含める必要があります。

    FlexConfig ポリシーからこのオブジェクトを削除した場合(正常に導入された後)、および導入が失敗した場合でも(設定を前の状態にリセットするため)、ネゲート テンプレートが適用されます。

    したがって、この例では、ネゲート テンプレートは次のようになります。 

    
no icmp unreachable rate-limit 50 burst-size 1
policy-map global_policy
 class class-default
  no set connection decrement-ttl

  5. [OK] をクリックしてオブジェクトを保存します。

ステップ 4

オブジェクトを FlexConfig ポリシーに追加します。

FlexConfig ポリシー内の選択したオブジェクトのみ展開されます。

  1. 目次で [FlexConfigポリシー(FlexConfig Policy)] をクリックします。

  2. [グループリスト(Group List)] で [+] をクリックします。

  3. Decrement_TTL オブジェクトを選択し、[OK] をクリックします。

    プレビューはテンプレートのコマンドで更新されます。予想されるコマンドが表示されているか確認します。

  4. [保存(Save)] をクリックします。

    これでポリシーを展開できます。

NTP のトラブルシューティング

システムは、正確で一貫性のある時間に基づいて正しく動作し、イベントやその他のデータ ポイントを正確に処理します。少なくとも 1 つ、理想的には 3 つの Network Time Protocol(NTP)サーバで、システムが常に信頼できる時間情報を取得できるようにする必要があります。

デバイスの接続概要図(メイン メニューで [デバイス(Device)] をクリック)に、NTP サーバへの接続ステータスが示されます。ステータスが黄色またはオレンジ色の場合、設定したサーバへの接続に問題があります。接続の問題が解消されない(一時的な問題ではない)場合は、次の操作を試します。

  • まず、[デバイス(Device)] > [システム設定(System Settings)] > [NTP(NTP)] で 3 つ以上の NTP サーバが設定されていることを確認します。これは要件になっていませんが、NTP サーバが 3 つ以上あると信頼性が大幅に向上します。

  • 管理インターフェイス IP アドレス([デバイス(Device)] > [システム設定(System Settings)] > [管理インターフェイス(Management Interface)] で定義される)と NTP サーバの間にネットワーク パスがあることを確認します。

    • 管理インターフェイス ゲートウェイがデータ インターフェイスであり、デフォルト ルートが不適切な場合、[デバイス(Device)] > [ルーティング(Routing)] で NTP サーバに対するスタティック ルートを設定できます。

    • 明示的な管理インターフェイス ゲートウェイを設定する場合は、デバイス CLI にログインし、ping system コマンドを使用して各 NTP サーバへのネットワーク パスがあるかどうかテストします。

  • デバイス CLI にログインし、次のコマンドを使用して NTP サーバのステータスを確認します。

    • show ntp :このコマンドは、NTP サーバとその可用性に関する基本的な情報を示します。ただし、Firepower Device Manager の接続ステータスではその他の情報を使用してステータスを示すため、このコマンドが示す内容や接続ステータス図が示す内容と一致しないことがあります。このコマンドは CLI コンソールから発行することもできます。

    • system support ntp :このコマンドには、show ntp の出力と、NTP プロトコルで記載される標準 NTP コマンド ntpq の出力が含まれています。NTP 同期を確認する必要がある場合は、このコマンドを使用します。

      「Results of ‘ntpq -pn」の部分を探します。たとえば、次のように表示されます。 

      
Results of 'ntpq -pn'
remote                    : +216.229.0.50
refid                     : 129.7.1.66
st                        : 2
t                         : u
when                      : 704
poll                      : 1024
reach                     : 377
delay                     : 90.455
offset                    : 2.954
jitter                    : 2.473

      この例では、NTP サーバのアドレスの前の「+」は、潜在的な候補であることを示します。アスタリスク * は、現在の時刻源のピアを示します。

      NTP デーモン(NTPD)は、各ピアの 8 つのスライディング ウィンドウ サンプルを使用して 1 つのサンプルを選択します。その後、クロックの選択によって正しいチャイマーと不正なチッカーが特定されます。次に、NTPD がラウンドトリップ距離を特定します(候補のオフセットをラウンドトリップ遅延の半分以上にすることはできません)。接続の遅延、パケットの損失、またはサーバの問題が発生して 1 つまたはすべての候補が拒否されると、同期中に長い遅延が生じます。また、調整にも非常に長い時間がかかります。クロック規律アルゴリズムによって、クロック オフセットおよびオシレータ エラーを解決する必要がありますが、これには数時間かかる可能性があります。


      (注)  

      refid が .LOCL. の場合は、ピアが無規律のローカル クロックであることを示します。つまり、時間設定にそのローカル クロックのみを使用します。選択したピアが .LOCL. の場合、Firepower Device Manager は NTP 接続を常に黄色(非同期)にマークします。通常 NTP は、より適切な候補を利用できる場合、.LOCL. 候補を選択しません。そのため、サーバを 3 つ以上設定する必要があります。

管理インターフェイスの DNS のトラブルシューティング

管理インターフェイスで使用する少なくとも 1 つの DNS サーバを設定する必要があります。DNS サーバは、スマート ライセンス、データベースの更新(GeoDB、ルール、VDB など)、およびドメイン名を解決する必要があるその他すべてのアクティビティなどのサービスへのクラウド接続のために必要です。

DNS サーバの設定は簡単な作業です。デバイスの初回設定時に、使用する DNS サーバの IP アドレスを入力するだけです。この設定は、[デバイス(Device)] > [システム設定(System Settings)] > [DNSサーバ(DNS Server)] ページで後で変更できます。

ただし、ネットワークの接続性の問題や DNS サーバ自体の問題のために、システムが完全修飾ドメイン名(FQDN)を解決できないことがあります。システムが DNS サーバを使用できない場合は、問題を特定して解決するために、以下の操作を検討してください。

手順

ステップ 1

問題の有無を確認します。

  1. SSH を使用してデバイスの CLI にログインします。

  2. ping system www.cisco.com を入力します。次のような「unknown host」メッセージが表示される場合、システムはドメイン名を解決できていません。ping が成功する場合は、これで終了です。DNS は機能しています(ping を停止するには、Ctrl+C キーを押します)。 

    
> ping system www.cisco.com
ping: unknown host www.cisco.com
    (注)   

    system キーワードを ping コマンドに含めることが極めて重要です。system キーワードを指定すると、管理 IP アドレスから ping が送信されます。このインターフェイスは、管理 DNS サーバを使用する唯一のインターフェイスです。スマート ライセンスや更新のためにサーバへのルートが必要なため、www.cisco.com の ping 実行も適切なオプションです。

ステップ 2

管理インターフェイスの設定を確認します。

  1. [デバイス(Device)] > [システム設定(System Settings)] > [管理インターフェイス(Management Interface)] をクリックして、次の点を確認します。変更を加える場合、それらの変更は [保存(Save)] をクリックするとすぐに適用されます。管理アドレスを変更する場合は、再度接続してログインし直す必要があります。

    • 管理ネットワークのゲートウェイ IP アドレスが正しいこと。データ インターフェイスをゲートウェイとして使用している場合は、後続の手順でその設定を確認します。

    • データ インターフェイスをゲートウェイとして使用していない場合は、管理 IP アドレスとサブネットマスク、およびゲートウェイ IP アドレスが同じサブネット上にあることを確認します。

  2. [デバイス(Device)] > [システム設定(System Settings)] > [DNSサーバ(DNS Server)] をクリックして、正しい DNS サーバが設定されていることを確認します。

    ネットワーク エッジにデバイスを展開している場合は、使用できる DNS サーバに関するサービス プロバイダー固有の要件が存在する場合があります。

  3. データ インターフェイスをゲートウェイとして使用している場合は、必要なルートがあることを確認します。

    0.0.0.0 のデフォルト ルートが必要です。デフォルト ルートのゲートウェイを介して DNS サーバを使用できない場合は、追加のルートが必要になります。次に、2 つの基本的な状況を示します。

    • 外部インターフェイスのアドレスを取得するために DHCP を使用していて、[DHCPを使用してデフォルトルートを取得(Obtain Default Route using DHCP)] オプションを選択した場合、デフォルト ルートは Firepower Device Manager には表示されません。SSH から show route を入力して、0.0.0.0 のルートがあることを確認します。これは外部インターフェイスのデフォルト設定であるため、発生する可能性が高い状況です。([デバイス(Device)] > [インターフェイス(Interfaces)] に移動して、外部インターフェイスの設定を確認します)。

    • 外部インターフェイスで静的 IP アドレスを使用している場合、または DHCP からデフォルト ルートを取得していない場合は、[デバイス(Device)] > [ルーティング(Routing)] を開きます。デフォルト ルートに正しいゲートウェイが使用されていることを確認します。

    デフォルト ルートから DNS サーバに到達できない場合は、[ルーティング(Routing)] ページで DNS サーバへのスタティック ルートを定義する必要があります。直接接続ネットワーク(つまり、システムのいずれかのデータ インターフェイスに直接接続されているネットワーク)のルートは追加しないでください。システムは、それらのネットワークに自動的にルーティングできるためです。

    また、誤ったインターフェイスからサーバにトラフィックをミス誘導するスタティック ルートが存在しないことを確認します。

  4. 展開ボタンに未展開の変更の存在が示されている場合は、ここで展開して、展開が完了するまで待ちます。

    Deploy changes button, highlighted when there are changes to deploy.

  5. ping system www.cisco.com を再テストします。問題が解消しない場合は、次の手順に進みます。

ステップ 3

SSH セッションで nslookup www.cisco.com と入力します。

  • nslookup に、DNS サーバから応答を得たことが示されているのに、サーバが名前を検出できない場合、DNS は正しく設定されているものの、使用している DNS サーバに FQDN のアドレスが設定されていないことを意味しています。応答は次のようになります。 

    
> nslookup www.cisco.com 
Server:         10.163.47.11
Address:        10.163.47.11#53

** server can't find www.cisco.com: NXDOMAIN

    解決策:この場合、別の DNS サーバを設定するか、更新した DNS サーバを使用して、解決する必要がある FQDN を解決できるようにします。ネットワーク管理者や ISP と協力して、ネットワークで動作する DNS サーバの IP アドレスを取得します。

  • 「connection timed out」メッセージが表示される場合、システムが DNS サーバに到達できないか、または現在すべての DNS サーバがダウンしていて応答していません(この可能性は低いです)。次の手順に進みます。 

    
> nslookup www.cisco.com 
; ; connection timed out; no servers could be reached
ステップ 4

traceroute system DNS_server_ip_address コマンドを使用して、DNS サーバへのルートをトレースします。

たとえば、DNS サーバが 10.100.10.1 の場合は、次のように入力します。 


> traceroute system 10.100.10.1

可能性がある結果を以下に示します。

  • トレースルートが完了し、DNS サーバに到達している。この場合、DNS サーバへのルートが実際にあり、システムが到達できます。したがって、ルーティングの問題はありません。ただし、何らかの理由でこのサーバに対する DNS 要求の応答を得られていません。

    解決策:パス沿いのルータやファイアウォールで、DNS に使用されるポートである UDP/53 のトラフィックがドロップされている可能性があります。異なるネットワーク パスに沿って DNS サーバへのアクセスを試すことができます。これは解決が難しい問題です。トラフィックをブロックしているノードを確認し、システム管理者と協力してアクセス ルールを変更する必要があります。

  • トレースルートから 1 つのノードにさえ到達できない。これは、次のように表示されます。 

    
> traceroute system 10.100.10.1 
traceroute to 10.100.10.1 (10.100.10.1), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
(and so forth)

    解決策:この場合、システム内にルーティングの問題があります。ゲートウェイ IP アドレスに対して ping system を試行してください。前述の手順に従い、管理インターフェイスの設定を再度確認し、必要なゲートウェイとルートを設定していることを確認します。

  • トレースルートは、ルートを解決できなくなる前にいくつかのノードを通過します。これは、次のように表示されます。 

    
> traceroute system 10.100.10.1 
traceroute to 10.100.10.1 (10.100.10.1), 30 hops max, 60 byte packets
 1  192.168.0.254 (192.168.0.254)  0.475 ms  0.532 ms  0.542 ms
 2  10.88.127.1 (10.88.127.1)  0.803 ms  1.434 ms  1.443 ms
 3  site04-lab-gw1.example.com (10.89.128.25)  1.390 ms  1.399 ms  1.435 ms
 4  * * * 
 5  * * * 
 6  * * *

    解決策:この場合、最後のノードでルーティングが中断されています。システム管理者と協力して、そのノードに設定されているルートを修正する必要があります。ただし、意図的にそのノードから DNS サーバへのルートを設定していない場合は、ゲートウェイを変更するか、または独自のスタティック ルートを作成して、トラフィックを DNS サーバにルーティングできるルータを指すようにする必要があります。

CPU およびメモリ使用率の分析

CPU とメモリ使用率についてのシステムレベルの情報を表示するには、[モニタリング(Monitoring)] > [システム(System)] を選択して、CPU およびメモリ使用率を表す棒グラフを確認します。これらのグラフは show cpu system および show memory system コマンドを使用して CLI で収集した情報を表示します。

CLI コンソールを開くか CLI にログインして、これらのコマンドの別バージョンを使用すると、他の情報を表示できます。通常、この情報を確認するのは使用状況に関する永続的な問題がある場合や、Cisco Technical Assistance Center(TAC)の指示があった場合に限られます。詳細情報の多くは複雑で、TAC の解釈が必要です。

以下に、調べることができるいくつかのポイントを示します。これらのコマンドの詳細については、『Cisco Firepower Threat Defense コマンドリファレンス』(http://www.cisco.com/c/en/us/td/docs/security/firepower/command_ref/b_Command_Reference_for_Firepower_Threat_Defense.html)を参照してください。

  • show cpu はデータ プレーンの CPU 使用率を表示します。

  • show cpu core は、各 CPU コアの使用率を別々に表示します。

  • show cpu detailed は、追加のコアごと、およびデータ プレーン全体の CPU の使用率を表示します。

  • show memory はデータ プレーンのメモリ使用量を表示します。


(注)  

一部のキーワード(上記に説明されていない)は、最初に cpu または memory コマンドを使用して、プロファイリングまたは他の機能を設定する必要があります。これらの機能は、TAC の指示があった場合のみ使用します。

ログの表示

システムはさまざまなアクションに関する情報をログに記録します。システムログを開くには system support view-files コマンドを使用します。Cisco Technical Assistance Center(TAC)への問い合わせ時にこのコマンドを使用すると、出力を解釈して、適切なログを表示できるようになります。

コマンドは、ログを選択するためのメニューを表示します。ウィザードに移動するには、次のコマンドを使用します。

  • サブディレクトリに変更するには、ディレクトリの名前を入力して、Enter を押します。

  • 表示するファイルを選択するには、プロンプトで s と入力します。その後、ファイル名の入力が求められます。完全な名前を入力する必要があります。大文字と小文字は区別されます。ファイル リストにはログのサイズが示されます。非常に大きいログを開く前には検討が必要な場合があります。

  • 「--More--」が表示されたら Space キーを押してログ エントリの次のページを表示します。次のログ エントリのみを表示するには Enter を押します。ログの最後に到達すると、メイン メニューに戻ります。「--More--」の行には、ログのサイズと表示した量が示されます。ログのすべてのページを表示する必要がなく、ログを閉じて、コマンドを終了するには、Ctrl+C を使用します。

  • メニュー構造のレベルを 1 つ上がるには、b を入力します。

ログを開いたままにして、新しいメッセージが追加されたときにそのメッセージを確認できるようにするには、system support view-files コマンドの代わりに tail-logs コマンドを使用します。

次の例は、システムへのログイン試行を追跡する cisco/audit.log ファイルがどのように表示されるかを示しています。ファイル リストは、最上位のディレクトリで始まり、その後、現在のディレクトリ内のファイル リストが続きます。 


> system support view-files

===View Logs===

============================
Directory: /ngfw/var/log
----------sub-dirs----------
cisco
mojo
removed_packages
setup
connector
sf
scripts
packages
removed_scripts
httpd
-----------files------------
2016-10-14 18:12:04.514783 | 5371       | SMART_STATUS_sda.log
2016-10-14 18:12:04.524783 | 353        | SMART_STATUS_sdb.log
2016-10-11 21:32:23.848733 | 326517     | action_queue.log
2016-10-06 16:00:56.620019 | 1018       | br1.down.log

<list abbreviated>


([b] to go back or [s] to select a file to view, [Ctrl+C] to exit)
Type a sub-dir name to list its contents: cisco

============================
Directory: /ngfw/var/log/cisco
-----------files------------
2017-02-13 22:44:42.394907 | 472        | audit.log
2017-02-13 23:40:30.858198 | 903615     | ev_stats.log.0
2017-02-09 18:14:26.870361 | 0          | ev_stats.log.0.lck
2017-02-13 05:24:00.682601 | 1024338    | ev_stats.log.1
2017-02-12 08:41:00.478103 | 1024338    | ev_stats.log.2
2017-02-11 11:58:00.260805 | 1024218    | ev_stats.log.3
2017-02-09 18:12:13.828607 | 95848      | firstboot.ngfw-onbox.log
2017-02-13 23:40:00.240359 | 6523160    | ngfw-onbox.log

([b] to go back or [s] to select a file to view, [Ctrl+C] to exit)
Type a sub-dir name to list its contents: s

Type the name of the file to view ([b] to go back, [Ctrl+C] to exit)
> audit.log
2017-02-09 18:59:26 - SubSystem:LOGIN, User:admin, IP:10.24.42.205, Message:Login successful, 
2017-02-13 17:59:28 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Login successful, 
2017-02-13 22:44:36 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Login failed, 
2017-02-13 22:44:42 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Login successful, 
2017-02-13 22:44:42 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Unlocked account., 

<remaining log truncated>

トラブルシューティング ファイルの作成

問題レポートを提出した際に、Cisco Technical Assistance Center(TAC)の担当者により、システム ログ情報の提出を求められることがあります。この情報は、問題の診断に役立ちます。診断ファイルの提出は、求められた場合だけでかまいません。

次の手順では、ログ レベルを設定して診断ファイルを作成する方法について説明します。

手順

ステップ 1

[the name of the device in the menu] をクリックします。[デバイス(Device)]

ステップ 2

[トラブルシューティング(Troubleshooting)] の下で、[ファイルの作成を要求(Request File to be Created)] または [ファイルの作成を再要求(Re-Request File to be Created)](事前に作成していた場合)をクリックします。

システムが診断ファイルの生成を開始します。他のページに移動して、後で戻ってきてステータスを確認できます。ファイルの準備が整うと、ファイル作成日時が [ダウンロード(Download)] ボタンとともに表示されます。

ステップ 3

ファイルの準備が整ったら、[ダウンロード(Download)] ボタンをクリックします。

ファイルは、ブラウザの標準のダウンロード方式を使用してワークステーションにダウンロードされます。

一般的でない管理タスク

次に、ごくまれにしか行われないアクションについて説明します。これらすべてのアクションは、デバイス設定の消去を引き起こします。これらの変更を加える前に、デバイスが現在、実稼働ネットワークに対して重要なサービスを提供していないことを確認します。

ローカル管理とリモート管理の切り替え

デバイスに直接ホストされているローカルの Firepower Device Manager を使用し、またはリモートで Firepower Management Center の複数のデバイス マネージャを使用して、デバイスを設定および管理できます。Firepower Device Manager でサポートされていない機能を設定する場合、または Firepower Management Center で使用可能な電力と分析機能が必要な場合、リモート マネージャを使用できます。

トランスペアレント ファイアウォール モードでデバイスを実行する場合、Firepower Management Center も使用する必要があります。

ソフトウェアを再インストールすることなく、ローカル管理とリモートの管理を切り替えることができます。リモート管理からローカル管理に切り替える前に、Firepower Device Manager がすべての設定要件を満たしていることを確認します。


注意    

マネージャを切り替えると、デバイス設定は削除され、デフォルト設定に戻ります。ただし、管理 IP アドレスとホスト名は保持されます。

始める前に

デバイスを登録した場合、特に機能ライセンスを有効にした場合、リモート管理に切り替える前に、Firepower Device Manager を介してデバイスを登録解除する必要があります。デバイスを登録解除すると、基本ライセンスとすべての機能ライセンスが解放されます。デバイスを登録解除しない場合、これらのライセンスは Cisco Smart Software Manager のデバイスに割り当てられたままになります。「デバイスの登録解除」を参照してください。

手順

ステップ 1

SSH クライアントを使用して [管理IPアドレス(management IP address)] への接続を開き、設定 CLI アクセスを持つユーザ名でデバイス CLI にログインします。たとえば、[管理者(admin)] ユーザ名など。

管理 IP アドレスに接続している間は、この手順に従うことが重要です。Firepower Device Manager を使用する場合、データインターフェイスの IP アドレスを介してデバイスを管理することもできます。ただしデバイスをリモートで管理するには、管理物理ポートと管理 IP アドレスを使用する必要があります。

管理 IP アドレスに接続できない場合、次のように対処します。

  • 管理物理ポートが、機能しているネットワークに接続されていることを確認します。

  • 管理ネットワークに管理 IP アドレスとゲートウェイが設定されていることを確認します。FirePOWER Device Manager から、[デバイス(Device)] > [システム設定(System Settings)] > [管理インターフェイス(Management Interface)] を選択して、アドレスおよびゲートウェイを設定します(CLI では、configure network ipv4/ipv6 manual コマンドを使用します)。

    (注)   

    管理 IP アドレスに外部ゲートウェイを使用していることを確認します。リモート マネージャを使用する場合、データ インターフェイスをゲートウェイとして使用することはできません。

ステップ 2

ローカル管理からリモート管理へ切り替えるには、次の手順に従います。

  1. 現在ローカル管理モードになっていることを確認します。 

    
> show managers 
Managed locally.

  2. リモート マネージャを設定します。

    configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} regkey [nat_id]

    ここで、

    • {hostname | IPv4_address | IPv6_address | DONTRESOLVE} で、このデバイスを管理する Firepower Management Center の DNS ホスト名または IP アドレス(IPv4 あるいは IPv6)を指定します。Firepower Management Center が直接アドレス指定できない場合は、DONTRESOLVE を使用します。DONTRESOLVE を使用する場合は、nat_id が必要です。

    • Regkey はデバイスを Firepower Management Center へ登録するのに必要な、英数字の一意の登録キーです。

    • nat_id は、Firepower Management Center とデバイス間の登録プロセス中に使用されるオプションの英数字文字列です。hostname が DONTRESOLVE に設定されている場合に必要です。

    たとえば、登録キー secret で 192.168.0.123 のマネージャを使用するには、以下のコマンドを入力します。 

    
> configure manager add 192.168.0.123 secret
If you enabled any feature licenses, you must disable them in 
Firepower Device Manager before switching to remote management.
Otherwise, those licenses remain assigned to the device in Cisco 
Smart Software Manager.
Do you want to continue  [yes/no] yes
Manager successfully configured.
Please make note of reg_key as this will be required while adding 
Device in FMC.

> show managers 
Host                      : 192.168.0.123
Registration Key          : ****
Registration              : pending
RPC Status                :
    (注)   

    登録が保留中の場合は、configure manager delete を使用して登録を取り消してから、configure manager local を使用してローカル管理に戻ることができます。

  3. Firepower Management Center にログインし、デバイスを追加します。

    詳細については、Firepower Management Center オンライン ヘルプを参照してください。

ステップ 3

リモート管理からローカル管理へ切り替えるには、次の手順に従います。

  1. 現在リモート管理モードになっていることを確認します。 

    
> show managers 
Host                      : 192.168.0.123
Registration Key          : ****
Registration              : pending
RPC Status                :

  2. リモート マネージャを削除すると、マネージャなしのモードになります。

    リモート管理からローカル管理に直接移行することはできません。マネージャを削除するには、configure manager delete コマンドを使用します。 

    
> configure manager delete 
Deleting task list
Manager successfully deleted.

> 
> show managers 
No managers configured.

  3. ローカル マネージャを設定します。

    configure manager local

    次に例を示します。 

    
> configure manager local 
Deleting task list

> show managers 
Managed locally.

    これで、Web ブラウザで https://management-IP-address にアクセスしてローカル マネージャを開くことができるようになりました。

ファイアウォール モードの変更

Firepower Threat Defense ファイアウォールは、ルーテッド モードまたはトランスペアレント モードで実行できます。ルーテッド モードのファイアウォールはルーテッド ホップであり、スクリーン サブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。一方、トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」のように機能するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとしては認識されません。

ローカルの Firepower Device Manager はルーテッド モードのみをサポートします。ただし、デバイスをトランスペアレント モードで実行する必要がある場合は、ファイアウォール モードを変更して、Firepower Management Center でデバイスの管理を始めることができます。逆に、トランスペアレント モードのデバイスをルーテッド モードに変換すると、ローカル マネージャでそのデバイスを設定することができ、Firepower Management Center を使用してルーテッド モードのデバイスを管理することもできます。

ローカル管理であるか、リモート管理であるかに関係なく、モードを変更するためにはデバイスの CLI を使用する必要があります。

次の手順では、ローカル マネージャを使用している場合、またはローカル マネージャを使用予定の場合のモードの変更方法について説明します。


注意    

ファイアウォール モードを変更すると、デバイス設定は削除され、システムはデフォルト設定に戻ります。ただし、管理 IP アドレスとホスト名は保持されます。

始める前に

トランスペアレント モードに変換する場合は、ファイアウォール モードを変更する前に Firepower Management Center をインストールします。

いずれかの機能ライセンスを有効にしている場合、ローカル マネージャを削除してリモート管理に切り替える前に、Firepower Device Manager でそれらのライセンスを無効にする必要があります。無効にしないと、それらのライセンスは Cisco Smart Software Manager でデバイスに割り当てられたままになります。「オプション ライセンスの有効化と無効化」を参照してください。

手順

ステップ 1

SSH クライアントを使用して [管理IPアドレス(management IP address)] への接続を開き、設定 CLI アクセスを持つユーザ名でデバイス CLI にログインします。たとえば、[管理者(admin)] ユーザ名など。

管理 IP アドレスに接続している間は、この手順に従うことが重要です。Firepower Device Manager を使用する場合、データインターフェイスの IP アドレスを介してデバイスを管理することもできます。ただしデバイスをリモートで管理するには、管理物理ポートと管理 IP アドレスを使用する必要があります。

管理 IP アドレスに接続できない場合、次のように対処します。

  • 管理物理ポートが、機能しているネットワークに接続されていることを確認します。

  • 管理ネットワークに管理 IP アドレスとゲートウェイが設定されていることを確認します。FirePOWER Device Manager から、[デバイス(Device)] > [システム設定(System Settings)] > [管理インターフェイス(Management Interface)] を選択して、アドレスおよびゲートウェイを設定します(CLI では、configure network ipv4/ipv6 manual コマンドを使用します)。

    (注)   

    管理 IP アドレスに外部ゲートウェイを使用していることを確認します。リモート マネージャを使用している場合、データ インターフェイスをゲートウェイとして使用することはできません。

ステップ 2

モードをルーテッドからトランスペアレントに変更して、リモート管理を使用するには、次の手順を実行します。

  1. ローカル管理を無効にし、ノー マネージャ モードを開始します。

    アクティブなマネージャが存在する間は、ファイアウォール モードを変更できません。マネージャを削除するには、configure manager delete コマンドを使用します。 

    
> configure manager delete 
If you enabled any feature licenses, you must disable them in 
Firepower Device Manager before deleting the local manager.
Otherwise, those licenses remain assigned to the device in 
Cisco Smart Software Manager.
Do you want to continue[yes/no] yes
Deleting task list
Manager successfully deleted.

> 
> show managers 
No managers configured.

  2. ファイアウォール モードをトランスペアレントに変更します。

    configure firewall transparent

    例:

    
> configure firewall transparent 
This will destroy the current interface configurations, 
are you sure that you want to proceed? [y/N] y
The firewall mode was changed successfully.

  3. リモート マネージャを設定します。

    configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} regkey [nat_id]

    ここで、

    • {hostname | IPv4_address | IPv6_address | DONTRESOLVE} で、このデバイスを管理する Firepower Management Center の DNS ホスト名または IP アドレス(IPv4 あるいは IPv6)を指定します。Firepower Management Center が直接アドレス指定できない場合は、DONTRESOLVE を使用します。DONTRESOLVE を使用する場合は、nat_id が必要です。

    • Regkey はデバイスを Firepower Management Center へ登録するのに必要な、英数字の一意の登録キーです。

    • nat_id は、Firepower Management Center とデバイス間の登録プロセス中に使用されるオプションの英数字文字列です。hostname が DONTRESOLVE に設定されている場合に必要です。

    たとえば、登録キー secret で 192.168.0.123 のマネージャを使用するには、以下のコマンドを入力します。 

    
> configure manager add 192.168.0.123 secret
Manager successfully configured.
Please make note of reg_key as this will be required while adding 
Device in FMC.

> show managers 
Host                      : 192.168.0.123
Registration Key          : ****
Registration              : pending
RPC Status                :

  4. Firepower Management Center にログインし、デバイスを追加します。

    詳細については、Firepower Management Center のオンライン ヘルプを参照してください。

ステップ 3

モードをトランスペアレントからルーテッドに変更して、ローカル管理に変換するには、次の手順を実行します。

  1. FMC からデバイスを登録解除します。

  2. FTD デバイスの CLI にアクセスします。可能ならばコンソール ポートからアクセスします。

    これは、モードを変更すると設定が削除され、管理 IP アドレスはデフォルトに戻ってしまうため、モード変更後に管理 IP アドレスへの SSH 接続が失われることがあるためです。

  3. ファイアウォール モードをルーテッドに変更します。

    configure firewall routed

    例:

    
> configure firewall routed
This will destroy the current interface configurations, 
are you sure that you want to proceed? [y/N] y
The firewall mode was changed successfully.

  4. ローカル マネージャを有効にします。

    configure manager local

    次に例を示します。 

    
> configure manager local 
Deleting task list

> show managers 
Managed locally.

    これで、Web ブラウザで https://management-IP-address にアクセスしてローカル マネージャを開くことができるようになりました。

設定のリセット

最初からやり直す場合は、システム設定を工場出荷時のデフォルトにリセットできます。設定を直接リセットすることはできませんが、マネージャを削除して追加すると設定がクリアされます。

設定を消去してバックアップを復元する場合は、復元するバックアップ コピーを既にダウンロードしていることを確認してください。システムを復元するには、システムのリセット後にバックアップ コピーをアップロードする必要があります。

始める前に

いずれかの機能ライセンスを有効にした場合は、ローカル マネージャを削除する前に Firepower Device Manager でそれらを無効にする必要があります。無効にしないと、それらのライセンスが Cisco Smart Software Manager のデバイスに割り当てられたままになります。「オプション ライセンスの有効化と無効化」を参照してください。

手順

ステップ 1

SSH クライアントを使用して、管理 IP アドレスへの接続を開き、設定 CLI アクセス権を持つユーザ名でデバイスの CLI にログインします。たとえば、[管理者(admin)] ユーザ名を使用します。

ステップ 2

マネージャを削除するには、configure manager delete コマンドを使用します。 


> configure manager delete 
If you enabled any feature licenses, you must disable them in 
Firepower Device Manager before deleting the local manager.
Otherwise, those licenses remain assigned to the device in Cisco 
Smart Software Manager.
Do you want to continue[yes/no] yes
Deleting task list
Manager successfully deleted.

> 
> show managers 
No managers configured.
ステップ 3

ローカル マネージャを設定します。

configure manager local

次に例を示します。 


> configure manager local 
Deleting task list

> show managers 
Managed locally.

これで、Web ブラウザで https://management-IP-address にアクセスしてローカル マネージャを開くことができるようになりました。設定をクリアすると、デバイス セットアップ ウィザードの完了を求めるメッセージが表示されます。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ