Cisco Firepower ユーザーエージェント バージョン 2.5 コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2021年12月2日
章のタイトル: ユーザ エージェントの設定プロセス
- ユーザーエージェントをインストールできない
- Management Center に接続できない
- ユーザ エージェントが応答しない
- ユーザ エージェントが一部のログインを表示しない
- ユーザーエージェントがサイレントに Active Directory に接続できない
- ユーザ エージェントがリアルタイム イベントを処理しない
- ユーザ エージェントにユーザ ログオフ イベントが表示されない
- 同じネットワーク内のユーザ エージェントと TS エージェント
- エラー 1001:サービス AgentService を開始できません
- インストール エラー System.IO.FileNotFoundException
ユーザ エージェントの設定プロセス
バージョン 2.5 のユーザエージェントを使用して最大 5 つの Microsoft Active Directory サーバからユーザログインデータを収集し、Management Center に送信するには、ユーザエージェントをインストールし、各 Management Center および Microsoft Active Directory サーバに接続して、全般的な設定を行う必要があります。詳細については、次の項を参照してください。
ユーザ エージェントのセットアップ
ユーザ エージェントは多段階の設定を行ってセットアップします。
ユーザ エージェントをセットアップするには、次の手順を実行します。
ステップ 1 それぞれの Management Center を、以下を実行するように設定します。
- Active Directory オブジェクトまたはレルムを設定して有効にする。ユーザエージェントに接続するためのバージョン 6.2.3 以降の Management Center の設定を参照してください。
ステップ 2 Active Directory サーバは、Management Center と通信するユーザ エージェントのイベントをログに記録するように構成します。詳細については、Active Directory サーバの設定を参照してください。
ステップ 3 ドメイン上の各コンピュータを、Windows Management Instrumentation(WMI)がドメインのファイアウォールを通過することを許可するように構成します。詳細については、ドメイン コンピュータの設定を参照してください。
ステップ 4 エージェントをインストールするコンピュータに、前提条件となるプログラムをインストールします。Active Directory サーバに対するコンピュータの TCP/IP アクセスをセットアップします。詳細については、ユーザ エージェントのインストールに関するコンピュータの準備を参照してください。
ステップ 5 以前のユーザ エージェント インストールがあれば、必要に応じて構成設定を保持するためにエージェント データベースをバックアップします。詳細については、ユーザ エージェント設定のバックアップを参照してください。
ステップ 6 エージェントが Active Directory サーバに接続するのに必要な権限を設定します。詳細については、以下を参照してください。
ステップ 7 コンピュータにエージェントをインストールします。
- 詳細については、ユーザ エージェントのインストールを参照してください。
- 必要に応じて複数のユーザ エージェントをインストールするには、複数のユーザ エージェントの展開を参照してください。
ステップ 8 1 つ以上の Microsoft Active Directory サーバへの接続を設定します。
ステップ 9 (オプション)エージェントのポーリング間隔と最大ポーリング時間を設定します。詳細については、ユーザ エージェントの Active Directory サーバ接続の設定を参照してください。
ステップ 10 FMC でユーザエージェントのアイデンティティソースを設定する前に、ユーザエージェントのホストを解決するために使用可能な DNS サーバがあることを確認します。
DNS を正しく設定しないと、FMC がそのホスト名を使用してユーザエージェントに接続できなくなります。
ステップ 11 最大で 5 つの Management Center への接続を設定します。詳細については、ユーザ エージェントの Management Center 接続の設定を参照してください。
ステップ 12 (オプション)ログインおよびログオフ データのポーリングから除外するユーザ名と IP アドレスのリストを設定します。詳細については、以下を参照してください。
ステップ 13 (オプション)次のようにエージェント ロギング設定を構成します。詳細については、ユーザ エージェントのロギング設定の構成を参照してください。
ステップ 14 (オプション)エージェント名の設定、サービスの開始と停止、およびサービスの現在のステータスの表示を行います。詳細については、ユーザ エージェントの全般的な設定の構成を参照してください。
ステップ 15 [保存(Save)] をクリックして、ユーザ エージェントの設定を保存します。
Cisco TAC からの指示がないかぎり、エージェント メンテナンスの設定は変更
しないでください。
Management Center 設定
ここでは、Management Center を準備してユーザ エージェントからユーザ データを受け取る方法を説明します。
注 ユーザ エージェントのバージョン 2.4 は、Firepower Management Center バージョン 6.2.3 以降でのみ動作します。ユーザ エージェントと Firepower Management Center のバージョンに問題がある場合は、ユーザ エージェントのトラブルシューティング の説明に従ってバージョン 2.4 のユーザ エージェントをバージョン 2.3 のユーザ エージェントに置き換えることができます。
ユーザエージェントに接続するためのバージョン 6.2.3 以降の Management Center の設定
バージョン 2.5 のユーザエージェントを使用してログインデータをバージョン 6.2.3 以降の Management Center に送信するには、以下のすべてを設定する必要があります。
- 各 Management Center を、サーバへの接続を予定しているエージェントからの接続を許可するように設定します。その接続によって、エージェントは Management Center とのセキュアな接続を確立し、データを送信できるようになります。
この接続の確立に関する詳細については、バージョン 6.x の『 Firepower Management Center Configuration Guide 』の「Configuring a User Agent Connection」を参照してください。
- ユーザアクセス制御を実装するには、組織内の少なくとも 1 つの Microsoft Active Directory サーバと Management Center との間に接続を設定し、有効にしておく必要があります。バージョン 6.x では、これを レルム と呼んでいます。
レルムには、サーバの接続設定と認証フィルタ設定が含まれています。接続のユーザ ダウンロード設定で、アクセス制御ルールで使用可能なユーザとグループを指定します。この設定の詳細については、バージョン 6.x の『 Firepower Management Center Configuration Guide 』の「Creating a Realm」を参照してください。
Active Directory サーバの設定
ここでは、Active Directory のセキュリティ ログが有効になっていることを確認し、Active Directory サーバがログイン データをそれらのログに記録できるようにする方法を説明します。
ロギング用の Active Directory サーバの設定
Active Directory サーバがログイン データをログに記録していることを確認するには、次の手順を実行します。
ステップ 1 Active Directory サーバで、[スタート(Start)] > [すべてのプログラム(All Programs)] > [管理ツール(Administrative Tools)] > [イベント ビューア(Event Viewer)] をクリックします。
ステップ 2 [Windows ログ(Windows Logs)] > [セキュリティ(Security)] をクリックします。
ロギングが有効になっている場合は、セキュリティ ログが表示されます。ロギングが無効になっている場合は、セキュリティ ロギングの有効化について、MSDN の「 How to configure Active Directory and LDS diagnostic event logging 」を参照してください。
ステップ 3 WMI が Active Directory サーバ上のファイアウォールを通過することを許可します。Active Directory サーバが Windows Server 2008 または Windows Server 2012 を実行している場合、詳細については、MSDN の「 Setting up a Remote WMI Connection 」を参照してください。
Windows 2012 Server でログオン/ログオフ イベントの監査を有効にするには、次の手順を実行します。
ステップ 1 [スタート(Start)] > [管理ツール(Administrative Tools)] > [グループポリシー管理(Group Policy Management)] をクリックします。
ステップ 2 ナビゲーション ウィンドウで、[フォレスト: ご使用のホスト名 (Forest:YourForestName)] を展開し、[ドメイン(Domains)] > ご使用のホスト名 > [グループ ポリシー オブジェクト(Group Policy Objects)] を展開します。
ステップ 3 [デフォルトのドメイン ポリシー(Default Domain Policy)] を右クリックし、[編集(Edit)] を選択します。
ステップ 4 [コンピュータの構成(Computer Configuration)] > [ポリシー(Policies)] > [Windows の設定(Windows Settings)] > [セキュリティの設定(Security Settings)] > [監査ポリシーの詳細な構成(Advanced Audit Policy Configuration)] > [監査ポリシー(Audit Policies)] > [ログオン/ログオフ(Logon/Logoff)] を参照します。
ステップ 5 右側のウィンドウで、[監査ログオフ(Audit Logoff)] をダブルクリックします。
ステップ 6 [ログオフプロパティの編集(Edit Logoff Properties)] ダイアログ ボックスで、[次の監査イベントの設定(Configure the following audit events)] および [成功(Success)] をオンにします。
ステップ 8 [監査ログオン(Audit Logon)] に同じタスクを繰り返します。
注 ユーザ エージェントは、Windows セキュリティ ログ イベント 4634 により識別されたログオフ イベントを報告しません。ユーザ エージェントは、ドメイン コンピュータを照会してログオフするために、リモートの Windows Management Instrumentation(WMI)呼び出しを使用します。
アイドル セッション タイムアウトの有効化
ここでは、必要に応じてグループ ポリシーのアイドル セッション タイムアウトを有効にする方法について説明します。これにより、エージェントがホスト上の複数セッションによる余分なログインを検出して報告するのを防ぐことができます。
ターミナル サービス(2008 以前のバージョンの Windows Server)を使用すると、複数のユーザが 1 台のサーバに同時にログインできます。アイドル セッション タイムアウトを有効にすることにより、サーバにログインした複数セッションのインスタンスを減らすことができます。
リモート デスクトップ サービス(Windows Server バージョン 2012 以降)では、リモートでワークステーションにログインできるユーザは一度に 1 人だけです。ただし、ユーザがログアウトせずにリモート デスクトップ セッションを切断すると、そのセッションはアクティブなままになります。ユーザ入力がなくなると、アクティブなセッションは最終的にアイドル状態になります。
あるセッションがアイドル状態のときに別のユーザがリモート デスクトップ サービスを使用してワークステーションにログインすると、2 つのログインが Management Center に報告される可能性があります。アイドル セッション タイムアウトを有効にすると、それらのセッションは定義されたアイドル タイムアウト期間後に終了するため、ホスト上で複数のリモート セッションが実行されなくなります。
Citrix セッションは、リモート デスクトップ サービス セッションと同様に機能します。1 台のコンピュータ上で複数の Citrix ユーザ セッションを同時に実行することができます。アイドル セッション タイムアウトを有効にすると、ホスト上で複数の Citrix セッションが実行されなくなり、余分なログインの報告が減少します。
設定するセッション タイムアウトによっては、1 台のコンピュータに複数のセッションがログインしている状況が生じる可能性があります。
ターミナル サービスのセッション タイムアウトの有効化
このセクションは、2008 までの Windows Server バージョンに適用されます。
ターミナル サービスのセッション タイムアウトを有効にするには、Windows Server 2008 または Windows Server 2012 に対して、アイドル状態のターミナル サービスのセッション タイムアウトと、切断されたターミナル サービスのセッション タイムアウトのグループ ポリシー設定を更新します。これについては Microsoft TechNet の「 Configure Timeout and Reconnection Settings for Terminal Services Sessions 」で説明されています。
グループ ポリシー オブジェクト マネージャのパスは次のとおりです。
アイドル セッションや切断されたセッションが次のログオフ チェックの前にタイムアウトできるように、セッション タイムアウトをユーザ エージェントのログオフ チェックの頻度より短く設定してください。アイドル セッションまたは切断されたセッションのタイムアウトが必須の場合は、ユーザ エージェントのログオフ チェックの頻度をセッション タイムアウトよりも 長く 設定してください。ログオフ チェックの頻度の設定方法の詳細については、ユーザ エージェントの全般的な設定の構成を参照してください。
設定が完了したら、ユーザ エージェント コンピュータの設定に進みます。
リモート デスクトップのセッション タイムアウトの有効化
このセクションは、Windows Server バージョン 2012 以降に適用されます。
リモート デスクトップのセッション タイムアウトを有効にするには、アイドル状態のリモート セッション タイムアウトおよび切断されたセッション タイムアウトのグループ ポリシー設定を更新します。セッション タイムアウトの有効化の詳細については、Microsoft TechNet の「 Session Time Limits 」を参照してください。
アイドル セッションおよび切断されたセッションが次のログオフ チェックの前にタイムアウトできるように、リモート デスクトップのタイムアウトはユーザ エージェントのログオフ チェックの頻度より 短く 設定してください。アイドル セッションまたは切断されたセッションのタイムアウトが必須の場合は、ユーザ エージェントのログオフ チェックの頻度をリモート デスクトップのタイムアウトよりも 長く 設定してください。ログオフ チェックの頻度の設定方法の詳細については、ユーザ エージェントの全般的な設定の構成を参照してください。
グループ ポリシー オブジェクト エディタのパスは次のとおりです。
設定が完了したら、ユーザ エージェント コンピュータの設定に進みます。
Citrix セッション タイムアウトの有効化
Citrix セッション タイムアウトを有効にするには、Citrix 社のマニュアルを参照してください( http://support.citrix.com/)。
ドメイン コンピュータの設定
ユーザ エージェントがログオフ イベントを Management Center に送信できるようにするには、WMI トラフィックがドメインに接続するすべてのコンピュータ上でファイアウォールを通過することを許可する必要があります。
- Windows ファイアウォールを使用して、ドメインの WMI を許可 します。
- グループ ポリシー オブジェクト(GPO)を使用してファイアウォール ポリシーを構成します。これについては、Microsoft TechNet の Windows Firewall with Advanced Security Deployment Guide などの資料で説明されています。
ユーザ エージェント コンピュータの設定
Management Center と Active Directory サーバの準備が整ったら、エージェントをインストールして設定するコンピュータを準備します。
注 ユーザエージェントが Active Directory ドメイン内のすべてのコンピュータのログインとログオフの可視性を提供するには、すべてのドメインコントローラでユーザエージェントを設定する必要があります。たとえば、Active Directory ドメインに 5 つのドメインコントローラがあり、それぞれが異なるホストにインストールされている場合は、ユーザ エージェント ソフトウェアを各ドメインコントローラに 1 つずつ、計 5 回インストールして設定する必要があります。
ユーザ エージェントのインストールに関するコンピュータの準備
コンピュータの設定
ユーザ エージェントのインストールの前提条件
Windows コンピュータは、次の前提条件を満たしている必要があります。
- コンピュータで、Windows Vista、Windows 7、Windows 8、Windows Server 2008、または Windows Server 2012 が実行されていること。セキュリティ上の理由から、ユーザ エージェントは Active Directory サーバ コンピュータ ではなく 、ドメイン コンピュータにインストールすることをお勧めします。
- コンピュータに Microsoft.NET Framework バージョン 4.0 クライアント プロファイルおよび Microsoft SQL Server Compact(SQL CE)バージョン 4.0 がインストールされていること。
– Microsoft.NET Framework バージョン 4.0 クライアント プロファイル再頒布可能パッケージ は、Microsoft のダウンロード サイトから入手できます( dotNetFx40_Client_x86_x64.exe )。
– SQL Server Compact 4 は、Microsoft のダウンロード サイトから入手できます
注.NET Framework がない場合は、エージェント実行可能ファイル(setup.exe)を開始すると、該当ファイルをダウンロードするためのプロンプトが表示されます。詳細については、ユーザ エージェントのインストールを参照してください。
- ユーザ エージェントを実行するユーザを作成します。これについては、ユーザ エージェントのユーザの作成で説明しています。
- コンピュータが、監視対象の Active Directory サーバに TCP/IP でアクセスでき、Active Directory サーバと同じバージョンのインターネット プロトコルを使用していること。エージェントが Active Directory サーバをリアルタイムでモニタリングしている場合は、ログイン データを取得できるように、コンピュータの TCP/IP アクセスを常に有効にしておく必要があります。
注 ユーザ エージェントを Windows Server 2003 またはそれ以前のオペレーティング システムにインストールする場合、ユーザ エージェントは Active Directory コンピュータからのリアルタイム統計を収集できません。
- コンピュータが、データと IPv4 アドレスの報告先となる Management Center に TCP/IP でアクセスできること。
- IPv6 アドレスが設定されたホストからのログオフを検出する場合は IPv6 アドレスがコンピュータに設定されていて、IPv4 アドレスが設定されたホストからのログオフを検出する場合は IPv4 アドレスがコンピュータに設定されていること。
- コンピュータにレガシー エージェントまたはバージョン 2.x エージェントがまだインストールされていないこと。これらのエージェントは自動的にアンインストールされないため、既存のエージェントをアンインストールするには、Windows コントロール パネルの [プログラムの追加と削除(Add/Remove Programs)] を使用します。
ユーザ エージェントの旧バージョンがインストールされている場合は、構成設定を保持するために、データベースをバックアップする必要があります。
ユーザ エージェントのユーザの作成に進みます。
ユーザ エージェントのユーザの作成
必要最小限の権限でユーザ エージェントを実行できるようにするには、ユーザ エージェントのユーザ アカウントを作成する必要があります。
その場合には、ユーザ エージェント設定のバックアップを参照してください。
- Active Directory サーバとは別のコンピュータ上でユーザ エージェントを実行するには、ユーザはドメイン ユーザである必要があります。
- Active Directory サーバ上でユーザ エージェントを実行するには、ユーザはローカル アカウントである必要があります。
ステップ 1 Active Directory サーバに Domain Admins グループのメンバーとしてログインします。
ステップ 2 Active Directory サーバでユーザ エージェントを実行するには、ローカル ユーザ アカウントを作成します(このアカウントは Domain Admins グループに属している必要がありますが、ユーザは管理者グループに属している必要はありません)。
このセクションの残りの手順をスキップして、ユーザ権限の付与に進みます。
ステップ 3 ドメイン ユーザを作成してユーザ エージェントを別のコンピュータで実行できるようにするには、[スタート(Start)] > [Active Directory ユーザとコンピュータ(Active Directory Users and Computers)] をクリックします。
ステップ 4 左側のウィンドウで、ユーザを追加するドメインとフォルダを展開します。
ステップ 6 ポップアップ メニューから、[新規(New)] > [ユーザ(User)] をクリックします。
ステップ 7 画面の指示に従って、ドメイン ユーザを作成し、そのユーザに強力なパスワードを付与します。
セキュリティ上の理由から、必ずこのユーザ アカウントはネットワーク管理者だけが知ることができるようにします。
ユーザ権限の付与
この方法は簡単ですが、安全性が低いためにお勧めしません。ローカル ユーザへの特権の付与を参照してください。
- ドメイン ユーザにユーザ エージェントを実行する最小限の特権を付与する。ドメイン ユーザへの限定的な特権の付与(概要)を参照してください。
ローカル ユーザへの特権の付与
Active Directory サーバでユーザ エージェントを実行するには、Domain Admins グループにユーザを追加する必要があります。ユーザ エージェントをインストールしやすくするために、必要に応じて管理者グループにもユーザを追加できます。
ドメイン ユーザへの限定的な特権の付与(概要)
ここでは、ユーザ エージェントを実行する最小限の特権をドメイン ユーザに付与するために必要な作業の概要を示します。例については、ドメイン ユーザに限定的な特権を付与する(ステップバイステップの例)を参照してください。
ドメイン ユーザに限定的な特権を付与するには、次の手順を実行します。
ステップ 1 Active Directory サーバに Domain Admins グループのメンバーとしてログインします。
ステップ 2 ユーザ エージェント ユーザを次のグループに追加します。
ステップ 3 Windows Management Instrumentation(WMI)コントロール コンソールを使用して、ユーザに Root\CIMV2 ノードに対する次の権限を付与します(これについては Microsoft TechNet で説明されています)。
ステップ 4 ユーザ エージェントが Active Directory サーバのリアルタイム処理を使用できるようにします。
- Windows ファイアウォール ルールに対するグループ ポリシー オブジェクト(GPO)セキュリティ ポリシーを作成して、リモート プロシージャ コール(RPC)エンドポイント マッパー サービスへのインバウンド ネットワーク トラフィックが許可されるようにします(これについては Microsoft TechNet で説明されています)。
- Windows ファイアウォール ルールに対する GPO セキュリティ ポリシーを作成して、ランダム RPC ポート上のインバウンド トラフィックが許可されるようにします(これについては Microsoft TechNet で説明されています)。
リアルタイム処理の詳細については、ユーザ エージェントの Active Directory サーバ接続の設定を参照してください。
ステップ 5 gupdate /force コマンドまたは同等のポリシーを使用して、グループ ポリシー オブジェクト(GPO)を更新します。
ドメイン ユーザに限定的な特権を付与する(ステップバイステップの例)
ユーザへの Windows Management Instrumentation(WMI)権限の付与
ここでは、ドメイン ユーザ WMI 特権を Active Directory サーバ上の Root > CIMV2 ノードに付与して、ユーザがドメイン コンピュータからのログオフを取得できるようにする方法について説明します。
ドメイン ユーザに WMI 権限を付与するには、次の手順に従います。
ステップ 1 Active Directory サーバに Domain Admins グループのメンバーとしてログインします。
ステップ 2 ユーザ エージェント ユーザを次のグループに追加します。
ステップ 3 [開始(Start)] をクリックして、 wmimgmt.msc を入力します。
ステップ 4 [コンソール ルート(Console Root)] > [WMI コントロール(ローカル)(WMI Control (Local))] を右クリックし、[プロパティ(Properties)] をクリックします。
ステップ 5 [WMI コントロール(ローカル)のプロパティ(WMI Control (Local) Properties)] ダイアログボックスで、[セキュリティ(Security)] タブをクリックします。
ステップ 6 [ルート(Root)] > [CIMV2] をクリックします。
ステップ 7 [セキュリティ(Security)] をクリックします。
ステップ 8 [ROOT\CIMV2 のセキュリティ(Security for ROOT\CIMV2)] ダイアログ ボックスで、[追加(Add)] をクリックします。
ステップ 9 [選択するオブジェクト名を入力してください(Enter the object names to select)] フィールドで、 limited.ua と入力して、[名前の確認(Check Names)] をクリックします。
Windows によりユーザ名が検索され、フィールドに表示されます。
ステップ 12 [Root\CIMV2 のセキュリティ(Security for Root\CIMV2)] ダイアログ ボックスで、[OK] をクリックします。
ステップ 13 [WMI コントロール プロパティ(WMI Control Properties)] ダイアログ ボックスで、[OK] をクリックします。
WMI 権限のテスト
ユーザ エージェントに Active Directory サーバに対する WMI 権限を付与したら、その権限を、ユーザ エージェントをインストールするコンピュータからテストする必要があります。
ステップ 1 ユーザ エージェントをインストールするドメインのコンピュータにログインします。
ステップ 2 検索フィールドに wbemtest と入力します。(Windows のバージョンによっては、[スタート(Start)] をまずクリックする必要があります。)
ステップ 3 [Windows Management Instrumentation テスト(Windows Management Instrumentation Tester)] ダイアログ ボックスで、[接続(Connect)] をクリックします。
ステップ 4 [接続(Connect)] ダイアログ ボックスに、次の情報を入力します。
- [名前空間(Namespace)] フィールド:Active Directory サーバの名前とパスを、
\\namespace\root\cimv2の形式で入力します。この例では、\\sesame.example.com\root\cimv2と入力します。 - [資格情報(Credentials)] フィールド:ユーザ名を domain
\username の形式で [ユーザ(User)] フィールドに、およびユーザのパスワードを [パスワード(Password)] フィールドに入力します。この例では、ユーザ名はsesame\limited.uaです。 - 通常、このダイアログ ボックスの他のオプションを変更する必要はありません。
ステップ 5 [接続(Connect)] をクリックします。
接続が成功すると、次のように [Windows Management Instrumentation テスト(Windows Management Instrumentation Tester)] ダイアログ ボックスが表示されます。
- 「
RPC サーバを使用できません(The RPC server is unavailable)」は、名前空間が正しくないかまたは Active Directory サーバがアクセス不能であること(ネットワーク問題、サーバがダウンしているなど)を示しています。 - 「
アクセスは拒否されました(Access is denied)」は、ユーザ名またはパスワードが正しくないことを示しています。
ステップ 6 テストが成功したら、[クエリ(Query)] をクリックします。
ステップ 7 [クエリ(Query)] ダイアログ ボックスに、次のように入力します。
select * from Win32_NTLogEvent where Logfile = 'Security' and (EventCode=672 or EventCode=4768 or EventCode=538 or EventCode=4364 or EventCode=528 or EventCode=4624 or EventCode=4634) and TimeGenerated > "date-code"
日付コードは Microsoft 日時コードで、 YYYYMMDDHHMMSS. fractionalSecond-utc_timezone_offset の形式です。
たとえば、米国中央タイム ゾーン(UTC - 6 時間)において、2017 年 5 月 1 日深夜にクエリを実行するために、次を入力します。
select * from Win32_NTLogEvent where Logfile = 'Security' and (EventCode=672 or EventCode=4768 or EventCode=538 or EventCode=4364 or EventCode=528 or EventCode=4624 or EventCode=4634) and TimeGenerated > " 20170501000000.000000-600 "
ステップ 8 [クエリの種類(Query Type)] リストから、[WQL] をクリックします。
エラー「 無効なクラスです(Invalid class) 」または「 無効なクエリです(Invalid query) 」が表示される場合は、コマンド構文を確認して再試行します。結果が表示されない場合は、日付コードを確認します。
ステップ 10 ログの表示が終了したら、[閉じる(Close)] をクリックします。
ステップ 11 [Windows Management Instrumentation テスト(Windows Management Instrumentation Tester)] ダイアログ ボックスで、[終了(Exit)] をクリックします。
ユーザ エージェントに分散コンポーネント オブジェクト管理(DCOM)へのアクセスを許可する
このセクションでは、DCOM アクセスを許可して、ユーザ エージェントが Active Directory サーバ上のオブジェクトにリモートにアクセスできるようにする方法について説明します。
ユーザに DCOM アクセスを付与するには、次の手順を実行します。
ステップ 1 Active Directory サーバに Domain Admins グループのメンバーとしてログインします。
ステップ 2 [スタート(Start)] > [ファイル名を指定して実行(Run)] をクリックし、 dcomcnfg を入力し、Enter を押します。
ステップ 3 [コンポーネント サービス(Component Services)] ウィンドウで、[コンポーネント サービス(Component Services)] > [コンピュータ(Computers)] をクリックします。
ステップ 4 [マイ コンピュータ(My Computer)] を右クリックし、[プロパティ(Properties)] をクリックします。
ステップ 5 [コンピュータのプロパティ(Computer Properties)] ダイアログ ボックスで、[COM セキュリティ(COM Security)] タブをクリックします。
ステップ 6 [起動とアクティブ化のアクセス許可(Launch and Activation Permissions)] で、[制限の編集(Edit Limits)] をクリックします。
ステップ 7 [起動とアクティブ化のアクセス許可(Launch and Activation Permissions)] ダイアログ ボックスで、[追加(Add)] をクリックします。
ステップ 8 [選択するオブジェクト名を入力してください(Enter the object names to select)] フィールドに、 limited.ua を入力して、[名前の確認(Check Names)] をクリックします。
ステップ 9 名前が一致する場合は、[OK] をクリックします。
ステップ 10 ユーザに リモートからの起動 および リモートからのアクティブ化 権限を付与します。
ステップ 11 [起動とアクティブ化のアクセス許可(Launch and Activation Permissions)] ダイアログ ボックスで、[OK] をクリックします。
ステップ 12 [コンピュータ プロパティ(My Computer Properties)] ダイアログボックスで、[OK] をクリックします。
Active Directory セキュリティ ログへのアクセスを許可するグループ オブジェクト ポリシーを更新するには、次の手順に従います。
ステップ 1 [スタート(Start)] > [すべてのプログラム(All Programs)] > [管理ツール(Administrative Tools)] > [グループ ポリシー管理(Group Policy Management)] を選択します。
ステップ 2 ナビゲーション ウィンドウで、[フォレスト: ご使用のホスト名 (Forest:YourForestName)] を展開し、[ドメイン(Domains)] > ご使用のホスト名 > [グループ ポリシー オブジェクト(Group Policy Objects)] を展開します。
ステップ 3 [デフォルトのドメイン ポリシー(Default Domain Policy)] を右クリックし、[編集(Edit)] を選択します。
ステップ 4 [コンピュータの構成(Computer Configuration)] > [ポリシー(Policies)] > [Windows の設定(Windows Settings)] > [セキュリティの設定(Security Settings)] > [ローカル ポリシー(Local Policies)] > [ユーザ権利の割り当て(User Rights Assignment)] を参照します。
ステップ 5 右側のウィンドウで、[監査とセキュリティ ログの管理(Manage auditing and security log)] をダブルクリックします。
ステップ 6 [これらのポリシーの設定を定義する(Define these policy settings)] をオンにします。
ステップ 7 [ユーザまたはグループを追加(Add User or Group)] をクリックします。
ステップ 8 [ユーザとグループ名(User and group names)] フィールドで、ユーザ エージェントのユーザ名を入力するか、または [参照(Browse)] をクリックしてそれを見つけます。
ステップ 9 [監査とセキュリティ ログの管理(Manage auditing and security log)] プロパティ ダイアログ ボックスで、[OK] をクリックします。
Windows ファイアウォールのグループ ポリシー オブジェクト ルールの作成
このセクションは、ユーザ エージェントが Active Directory サーバのリアルタイム イベント処理を使用するために必要です。リアルタイムのイベント処理の詳細については、ユーザ エージェントの Active Directory サーバ接続の設定を参照してください。
インバウンド リモート プロシージャ コール(RPC)のネットワーク トラフィックを許可するには、グループ ポリシー管理でセキュリティが強化された Windows ファイアウォール ノードを使用して、2 つのファイアウォール ルールを作成します。
- 最初のルールでは、RPC エンドポイント マッパー サービスへの着信トラフィックを許可します。これはクライアントがサービスとの通信に使用する必要がある動的に割り当てられたポート番号で応答します。
- 2 番目のルールでは、動的に割り当てられたポート番号に送信されるネットワーク トラフィックを許可します。
2 つのルールを使用すると、RPC 動的ポート リダイレクトを受信したコンピュータのみを送信元、RPC エンドポイント マッパーによって割り当てられたポート番号のみを送信先としてネットワーク トラフィックが許可され、コンピュータを保護できます。
後述の手順で説明するタスクは、ユーザ エージェントがアクセスする必要のあるすべての Active Directory サーバ上で実行してください。
RPC トラフィックを許可するために GPO ファイアウォール ルールを作成するには、次の手順を実行します。
ステップ 1 まだそうしていない場合は、Active Directory サーバに Domain Admins グループのメンバーとしてログインします。
ステップ 2 [スタート(Start)] > [管理ツール(Administrative Tools)] を選択します。
ステップ 3 [管理ツール(Administrative Tools)] ウィンドウで、[グループ ポリシー管理(Group Policy Management)] をダブルクリックします。
ステップ 4 ナビゲーション ウィンドウで、[フォレスト:ご使用のドメイン名(Forest: YourForestName )] を展開し、[ドメイン(Domains)] > ご使用のドメイン名 > [グループ ポリシー オブジェクト(Group Policy Objects)] を展開し、変更する GPO を右クリックして、[編集(Edit)] をクリックします。
通常は、[既定のドメイン ポリシー(Default Domain Policy)] を編集する必要があります。
ステップ 5 左側のウィンドウで、[コンピュータの構成(Computer Configuration)] > [ポリシー(Policies)] > [Windows の設定(Windows Settings)] > [セキュリティの設定(Security Settings)] > [セキュリティが強化された Windows ファイアウォール(Windows Firewall with Advanced Security)] > [セキュリティが強化された Windows ファイアウォール(Windows Firewall with Advanced Security)] を展開します。
ステップ 6 [受信の規則(Inbound Rules)] を右クリックして、[新しい規則(New Rule)] をクリックします。
ステップ 7 [新規の受信の規則ウイザード(New Inbound Rule Wizard)] ダイアログ ボックスで、[カスタム(Custom)] をクリックし、[次へ(Next)] をクリックします。
ステップ 8 [このプログラム パス(This program path)] をクリックし、 %systemroot%\system32 を入力します。\svchost.exe
ステップ 9 サービスの横で、[カスタマイズ(Customize)] をクリックします。
ステップ 10 [サービス設定のカスタマイズ(Customize Service Settings)] ダイアログ ボックスで、[このサービスに適用する(Apply to this service)] をクリックし、短い名前 RpcSs の [リモート プロシージャ コール(RPC)(Remote Procedure Call(RPC))] を選択し、[OK] をクリックします。
ステップ 11 [次へ(Next)] をクリックします。処理の確認が求められます。
ステップ 12 [プロトコルおよびポート(Protocol and Ports)] ダイアログ ボックスで、[プロトコルの種類(Protocol type)] に [TCP] をクリックします。
ステップ 13 [ローカル ポート(Local port)] で、[RPC エンドポイント マッパー(RPC Endpoint Mapper)] を選択して、[次へ(Next)] をクリックします。
ステップ 14 [スコープ(Scope)] ページの、[このルールはどのリモートIPアドレスに適用されますか(Which remote IP addresses does this rule apply to?)] セクションで、[これらのIPアドレス(These IP addresses)] をし、[追加(Add)] をクリックして、ユーザ エージェント コンピュータの IP アドレスを入力します。
ステップ 16 [アクション(Action)] ページで、[接続を許可する(Allow the connection)] を選択し、[次へ(Next)] をクリックします。
ステップ 17 [プロファイル(Profiles)] ページで、[ドメイン(Domain)] のみをオンにして、[次へ(Next)] をクリックします。
ステップ 18 [名前(Name)] ページで、このルールを識別する名前を入力して、[完了(Finish)] をクリックします。
動的にマップされたポートを許可する GPO ルールを作成するには、次の手順を実行します。
ステップ 1 Windows ファイアウォールのグループ ポリシー オブジェクト ルールの作成の 1 ~ 4 の手順を完了させます。
ステップ 2 [新規の受信の規則ウイザード(New Inbound Rule Wizard)] ダイアログ ボックスで、[カスタム(Custom)] をクリックし、[次へ(Next)] をクリックします。
ステップ 3 [このプログラム パス(This program path)] をクリックし、 %systemroot%\system32 を入力します。\svchost.exe
ステップ 4 サービスの横で、[カスタマイズ(Customize)] をクリックします。
ステップ 5 [サービス設定のカスタマイズ(Customize Service Settings)] ダイアログ ボックスで、[このサービスに適用する(Apply to this service)] をクリックし、短い名前 EventLog の [Windows イベント ログ(Windows Event Log)] を選択し、[OK] をクリックします。
ステップ 6 [次へ(Next)] をクリックします。処理の確認が求められます。
ステップ 7 [プロトコルおよびポート(Protocol and Ports)] ダイアログ ボックスで、[プロトコルの種類(Protocol type)] に [TCP] をクリックします。
ステップ 8 [ローカル ポート(Local port)] で、[RPC 動的ポート(RPC Dynamic Ports)] をクリックして、[次へ(Next)] をクリックします。
ステップ 9 [スコープ(Scope)] ページで、[これらの IP アドレス(These IP addresses)] をクリックし、[追加(Add)] をクリックして、ユーザ エージェント コンピュータの IP アドレスを入力します。
ステップ 11 [アクション(Action)] ページで、[接続を許可する(Allow the connection)] をクリックし、[次へ(Next)] をクリックします。
ステップ 12 [プロファイル(Profiles)] ページで、[ドメイン(Domain)] のみをオンにして、[次へ(Next)] をクリックします。
ステップ 13 [名前(Name)] ページで、このルールを識別する名前を入力して、[完了(Finish)] をクリックします。
ステップ 1 新しい GPO ポリシーを、 gpupdate /force コマンドまたは同等のメソッドを使用して適用します。
GPO ポリシーの適用の詳細については、次の参照資料を参照してください。
注 昇格された権限を使用して、gpupdate /force コマンドを実行する必要があります。Active Directory サーバに管理者としてログインするか、コマンド プロンプトを管理者として実行します(コマンド プロンプトを右クリックして、[管理者として実行(Run as Administrator)] をクリックします)。
ユーザ エージェント設定のバックアップ
ユーザ エージェントの旧バージョンがインストールされている場合は、ユーザ エージェントの新しいバージョンをインストールすると、既存の設定が削除されます。既存の構成設定を保持するには、ユーザ エージェントの新しいバージョンをインストールする前に、データベースをバックアップします。
注 バージョン 2.2 以降のユーザ エージェントがインストールされている場合は、データベースをバックアップする必要はありません。ユーザ エージェントの新しいバージョンをインストールするときに、構成設定が自動的にインポートされます。ユーザ エージェントのインストールに進みます。
ステップ 1 エージェントがインストールされているコンピュータで、[スタート(Start)] > [プログラム(Programs)] > [Cisco] > [Active Directory 用の Cisco FirePOWER ユーザ エージェントの設定(Configure Cisco Firepower User Agent for Active Directory)] をクリックします。
ステップ 2 エージェント サービスを停止するには、停止ボタン(
)をクリックします。
ステップ 3 エージェントがインストールされているコンピュータで CiscoUserAgent.sdf を見つけ、このファイルをローカルでコピーします。
注 2.2 以前のバージョンから更新している場合は、SourcefireUserAgent.sdf を見つけて、コピーします。ファイルのコピーを作成し、名前を CiscoUserAgent.sdf に変更します。
ステップ 4 Cisco ユーザエージェントを、[コントロールパネル(Control Panel)] の [プログラムの追加と削除(Add/Remove Programs)] オプションを使用してアンインストールします。エージェントを削除します。
ステップ 5 ユーザ エージェントの最新バージョンをインストールします。詳細については、ユーザ エージェントのインストールを参照してください。
ステップ 6 エージェントがインストールされているコンピュータで、[スタート(Start)] > [プログラム(Programs)] > [Cisco] > [Active Directory 用の Cisco FirePOWER ユーザ エージェントの設定(Configure Cisco Firepower User Agent for Active Directory)] を選択します。
ステップ 7 エージェント サービスを停止するには、停止ボタン( )をクリックします。
ステップ 8 エージェントの最新バージョンがインストールされているコンピュータで CiscoUserAgent.sdf を見つけます。現在のファイルを、エージェントの旧バージョンから作成したローカル バックアップに置き換えます。
ステップ 9 最新バージョンのエージェントがインストールされているコンピュータで、[スタート(Start)] > [プログラム(Programs)] > [Cisco] > [Active Directory 用の Cisco FirePOWER ユーザ エージェントの設定(Configure Cisco Firepower User Agent for Active Directory)] を選択します。
ユーザ エージェントのインストールに進みます。
ユーザ エージェントのインストール
Active Directory サーバに接続する権限を設定した後、およびアイドル状態のリモート セッションのタイムアウト後に、エージェントをインストールします。
ユーザ エージェントの旧バージョンがインストールされている場合は、構成設定を保持するため、インストールの前にデータベースのバックアップを実行する必要があります。詳細については、
ユーザ エージェント設定のバックアップを参照してください。
デフォルトでは、エージェントは、 ローカル システム アカウントを使用するサービスとして動作します。エージェントが実行されている Windows コンピュータがネットワークに接続されている場合、ユーザがコンピュータにアクティブにログインしていなくても、このサービスはユーザ データのポーリングと送信を続けます。
エージェントごとに、1 つ以上の Active Directory サーバと最大 5 つの Management Center への接続を設定できます。Management Center の接続を追加する前に、必ず Management Center の設定にエージェントを追加してください。詳細については、以下を参照してください。
1 つ以上のユーザ エージェントの展開の詳細については、複数のユーザ エージェントの展開を参照してください。
高可用性構成では、両方の Management Center をエージェントに追加して、プライマリとセカンダリの両方に対するユーザ ログイン データの更新を可能にし、両方のデータが最新になるようにします。
ユーザ エージェントをインストールするには、次の手順を実行します。
ステップ 1 ユーザ エージェントのユーザの作成で作成したユーザとして、ユーザ エージェントをインストールする Windows コンピュータにログインします。
- 旧バージョンのユーザ エージェントをアップグレードする場合は、同じコンピュータにログインします。
- (推奨)Active Directory サーバとは別のコンピュータにユーザ エージェントをインストールするには、そのコンピュータにログインします。
- Active Directory サーバにユーザ エージェントをインストールするには、Domain Admins グループ、および必要であれば管理者グループのメンバーとして、Active Directory サーバにログインします。
ステップ 2 ユーザー エージェント セットアップ ファイル ( Cisco_Firepower_User_Agent_for_Active_Directory_2.5-148.zip )をサポートサイトからダウンロードします。
注 サポート サイトから直接、ユーザ エージェントのセットアップ ファイルを含む圧縮アーカイブをダウンロードします。破損する可能性があるため、ファイルは電子メールでは転送しないでください。
ステップ 3 .zip ファイルを右クリックし、[すべて展開(Extract All)] を選択します。
エージェントをインストールするにはハード ドライブ上に 3 MB の空き領域が必要です。エージェント ローカル データベース用に、ハード ドライブで 4 GB を割り当てることを推奨します。
ステップ 5 ファイルを展開したフォルダで、 setup.exe をダブルクリックします。
注 setup.exe をダブルクリックします(setup.msi ではありません)。setup.msi はユーザ エージェントのインストール前に前提条件ソフトウェアを確認しませんが、それによりエージェントのインストールまたは実行がエラーになる可能性があります。
ヒント 管理者グループのメンバーではないアカウントを使用しており、Windows コンピュータに新しいアプリケーションをインストールする権限を持っていない場合は、インストールを開始するための適切な権限を持っている管理者グループに属するユーザに昇格させる必要があります。エスカレーションオプションにアクセスするには、setup.exe ファイルを右クリックして、[別のユーザとして実行(Run As)] をクリックします。該当するユーザを選択して、そのユーザのパスワードを入力します。
ステップ 6 インストールを続行するにはライセンス契約に同意する必要があります。
ステップ 7 エージェントをインストールする Windows コンピュータ上に Microsoft.NET Framework バージョン 4.0 クライアント プロファイルと SQL Server Compact 4.0 の両方がインストールされていない場合は、該当ファイルをダウンロードするためのプロンプトが表示されます。ファイルをダウンロードしてインストールします。
ステップ 8 ウィザード内のプロンプトに従ってエージェントをインストールします。
コンピュータでユーザ アカウント制御が有効になっている場合、変更を行う許可を求めるすべてのプロンプトに対して [はい(Yes)] と応答する必要があります。
ステップ 9 エージェントの設定を開始するには、ユーザ エージェントの設定を参照してください。
ユーザ エージェントの設定
エージェントをインストールしたら、Active Directory サーバからデータを受信して、その情報を Management Center に報告し、レポートから特定のユーザ名と IP アドレスを除外して、ステータスメッセージをローカルイベントログまたは Windows アプリケーションログに記録するようにエージェントを設定します。
ステップ 1 エージェントがインストールされているコンピュータで、[スタート(Start)] > [プログラム(Programs)] > [Cisco] > [Active Directory 用の Cisco FirePOWER ユーザ エージェントの設定(Configure Cisco Firepower User Agent for Active Directory)] を選択します。
次の表に、エージェントを設定する場合に実行可能な操作とエージェントの設定場所の説明を示します。
|
|
|
|---|---|
[全般(General)] タブをクリックします。詳細については、ユーザ エージェントの全般的な設定の構成を参照してください。 |
|
Active Directory サーバの追加、変更、または削除、Active Directory サーバ データのリアルタイムでの取得の有効化、Active Directory サーバのポーリング間隔と最大ポーリング時間の変更 |
[Active Directory サーバ(Active Directory Servers)] タブをクリックします。詳細については、ユーザ エージェントの Active Directory サーバ接続の設定を参照してください。 |
[Firepower Management Centers] タブをクリックします。詳細については、ユーザ エージェントの Management Center 接続の設定を参照してください。 |
|
[除外ユーザ名(Excluded Usernames)] タブをクリックします。詳細については、ユーザ エージェントの除外ユーザ名設定の構成を参照してください。 |
|
[除外アドレス(Excluded Addresses)] タブをクリックします。詳細については、ユーザ エージェントの除外アドレス設定の構成を参照してください。 |
|
[ログ(Logs)] タブをクリックします。詳細については、ユーザ エージェントのロギング設定の構成を参照してください。 |
|
[ログ(Logs)] タブを選択して、[ログ内のデバッグ メッセージを表示(Show Debug Messages in Log)] を有効にしてから、[メンテナンス(Maintenance)] タブをクリックします。詳細については、ユーザ エージェントのメンテナンス設定の構成を参照してください。 |
|
ユーザ エージェントの Active Directory サーバ接続の設定
ユーザ エージェントから 1 つ以上の Active Directory サーバへの接続を追加し、次を構成できます。
- エージェントがリアルタイムでログインおよびログオフ データを取得するか、または Active Directory サーバのデータを定期的にポーリングするか。
- エージェントがユーザ アクティビティ データをポーリングする頻度、または接続が失われた場合に Active Directory サーバとのリアルタイム接続の確立または再確立を試行する頻度。
- エージェントが Active Directory サーバ自体にログインするために報告する IP アドレス。
- Active Directory サーバとの接続の確立または再確立時にエージェントが取得するログインおよびログオフ データの量。
ユーザ エージェントがリアルタイムでデータを取得するように設定されていて、リアルタイム モニタリングが利用できない場合は、リアルタイム モニタリングが再び利用可能になるまで、エージェントは代わりに Active Directory サーバのデータをポーリングしようとします。
ヒント シスコでは、ユーザ エージェントが大量のユーザ アクティビティを取得する場合に、リアルタイム データ取得の代わりにポーリングを設定することを推奨しています。アクティビティの多い環境では、ポーリング間隔を 1 分に設定し、最大ポーリング時間を 10 分以下に設定してください。
リアルタイム モニタリングを使用するには、Active Directory サーバで Windows Server 2008 以降が実行されている必要があります。
注 ユーザ エージェントを Windows Server 2003 またはそれ以前のオペレーティング システムにインストールする場合、ユーザ エージェントは Active Directory コンピュータからのリアルタイム統計を収集できません。
ユーザ エージェントでは、タブ選択時の Active Directory サーバの最新のポーリング ステータス、エージェントに報告された最後のログイン、およびエージェントが最後に Active Directory サーバをポーリングした時間を確認できます。
エージェントが Active Directory サーバをリアルタイムでポーリングしているかどうか、タブ選択時のリアルタイム データの取得ステータスも確認できます。サーバのステータスの詳細については、次の表を参照してください。
注 各ユーザ エージェントが互いの接続を検出するたびに余分なログインが報告されるため、同じ Active Directory ドメイン コントローラに複数のユーザ エージェントを接続しないでください。複数のユーザ エージェントを接続する場合は、同じ Active Directory サーバをポーリングしているエージェントを実行している他のすべてのホストの IP アドレスとエージェントがログイン時に使用するユーザ名を除外するように、各ユーザ エージェントを設定してください。詳細については、ユーザ エージェントの除外アドレス設定の構成を参照してください。
Active Directory サーバの接続を設定するには、次の手順を実行します。
ステップ 1 必要に応じて、ユーザ エージェントがインストールされているコンピュータにログインします。
ステップ 2 [スタート(Start)] > [(すべての)プログラム((All)Programs)] > [Cisco] > [Cisco Firepower Agent for Active Directory の設定(Configure Cisco Firepower Agent for Active Directory)] をクリックします。
ステップ 3 [Active Directory サーバ(Active Directory Servers)] タブをクリックします。
- サーバへの新しい接続を追加するには、[追加(Add)] をクリックします。
- 既存の接続を変更するには、サーバ名をダブルクリックします。
- 既存の接続を削除するには、サーバ名をクリックして [削除(Remove)] をクリックします。
ステップ 5 [サーバ名/IP アドレス(Server Name/IP Address)] フィールドで、Active Directory サーバまたはドメイン コントローラの完全修飾サーバ名または IP アドレスを入力します。Active Directory サーバへのログインを検出するには、IP アドレスを入力します。
エージェントが Active Directory サーバにインストールされている場合は、エージェントがインストールされているサーバを追加するために、サーバ名として localhost を入力します。必要に応じて、ユーザ名とパスワードを追加できます。これらの情報を省略すると、その Active Directory サーバへ認証を行っているユーザのログオフを検出できません。ユーザ名とパスワードを入力したかどうかに関係なく、サーバをポーリングできます。
注 Active Directory システムに複数のドメインコントローラがある場合は、ユーザエージェントと通信させるドメインコントローラのホスト名または IP アドレスを入力します(Active Directory ドメイン コントローラはそのセキュリティ ログを共有しないので、各コントローラへの個別のユーザ エージェント接続が必要です)。分散システムまたはトラフィックが多いシステムでは、必要に応じて 1 つ以上のユーザ エージェントをインストールできます。これについては、複数のユーザ エージェントの展開で説明しています。
ステップ 6 [許可されたユーザ(Authorized User)] および [パスワード(Password)] フィールドに、Active Directory サーバのユーザ ログインおよびログオフ データをクエリする権限を持つユーザ名とパスワードを入力します。
プロキシを使用して認証するには、完全修飾ユーザ名を入力します。
デフォルトでは、エージェントがインストールされているコンピュータへのログイン時に使用したアカウントのドメインが [ドメイン(Domain)] フィールドに自動的に入力されています。
注 ユーザ パスワードに含まれる文字が 65 文字以上の場合、新しいサーバ接続を設定できません。この機能を使用できるようにするには、パスワードを短くしてください。
ステップ 7 [ドメイン(Domain)] フィールドに、Active Directory ドメインの名前を入力します。
ステップ 8 Active Directory サーバへのログインを検出するには、[ローカル ログイン IP アドレス(Local Login IP Address)] フィールドから IP アドレスを選択します。このフィールドには、[サーバ名/IP アドレス(Server Name/IP Address)] フィールドに指定されたサーバに関連付けられているすべての IP アドレスがエージェントによって自動的に入力されています。
[サーバ名/IP アドレス(Server Name/IP Address)] フィールドが空であるか、または localhost を含んでいる場合は、ローカル ホストに関連付けられているすべての IP アドレスがこのフィールドに入力されています。
ステップ 9 ユーザ エージェントがこの Active Directory サーバからリアルタイムでログイン イベントを取得できるようにするには、[リアルタイム イベントを処理(Process realtime events)] をクリックします。
ステップ 10 [追加(Add)] をクリックして新規サーバを追加するか、または [保存(Save)] をクリックして既存のサーバへの変更を保存します。
このサーバ接続定義が Active Directory サーバのリストに表示されます。複数のサーバ接続が設定されている場合は、[ホスト(Host)]、[最終報告(Last Reported)]、[ポーリング ステータス(Polling Status)]、[最終ポーリング(Last Polled)]、[リアルタイム ステータス(Real Time Status)]、または [リアルタイム(Real Time)] の列ヘッダーをクリックすると、それぞれの列でソートできます。
注 設定時にユーザ エージェントが Active Directory サーバに接続できない場合、そのサーバは追加できません。エージェントがサーバに TCP/IP でアクセスできること、使用したクレデンシャルで接続できること、および Active Directory サーバへの接続を正しく設定していることを確認してください。詳細については、Active Directory サーバの設定を参照してください。
ステップ 11 (オプション)エージェントが Active Directory サーバのユーザ ログイン データを自動的にポーリングする間隔を変更するには、[Active Directory サーバのポーリング間隔(Active Directory Server Polling Interval)] リストから時間を選択します。
設定を保存すると、選択した分数が経過した後で次のポーリングが開始され、その間隔で繰り返されます。ポーリングにかかる時間が選択した間隔よりも長い場合、次のポーリングは前のポーリングが終了した後の次の間隔で開始されます。
Active Directory サーバに対するリアルタイム イベント処理が有効になっていて、ユーザ エージェントとサーバの接続が失われている場合、エージェントは応答を受信してリアルタイム データの取得が可能になるまでポーリングを試行し続けます。接続が確立されると、リアルタイム データの取得が再開されます。
ステップ 12 (オプション)エージェントが Active Directory サーバのユーザ ログイン データをポーリングするための接続を最初に確立(または再確立)するときの最大ポーリング時間を変更するには、[Active Directory サーバの最大ポーリング時間(Active Directory Server Max Poll Length)] リストから時間を選択します。
注 ユーザ エージェントでは、各ポーリングのユーザ アクティビティ データをスキップする設定を保存できません。[Active Directory サーバの最大ポーリング時間(Active Directory Server Max Poll Length)] リストに保存する値を、[Active Directory サーバのポーリング間隔(Active Directory Server Polling Interval)] リストから選択した値より小さくすることはできません。
ステップ 13 設定の変更を保存してエージェントに適用するには、[保存(Save)] をクリックします。
- Management Center の接続を追加または削除するには、[Firepower Management Centers] タブを選択します。詳細については、ユーザ エージェントの Management Center 接続の設定を参照してください。
ユーザ ログインおよびログオフ データを報告するには、エージェントに少なくとも 1 つの Management Center を追加する必要があります。
- エージェントを設定する場合は、表 2-1で説明されているいずれかの操作を実行します。
ユーザ エージェントの Management Center 接続の設定
Active Directory ユーザデータを、ユーザエージェントから最大 5 つの Management Center に送信できます。エージェントでは、タブ選択時の Management Center のステータス(エージェントが最初に起動したときの available 、 unavailable 、または unknown )や、エージェントによって報告された最後のログインを確認することもできます。
接続を追加する前に、必ず Management Center の設定にユーザエージェントを追加してください。詳細については、ユーザエージェントに接続するためのバージョン 6.2.3 以降の Management Center の設定 を参照してください。
高可用性構成では、両方の Management Center をエージェントに追加し、プライマリとセカンダリの両方に対するユーザログインおよびログオフデータの更新を有効にして、両方で最新のデータが保持されるようにします。
Management Center の接続を設定するには、次の手順を実行します。
ステップ 1 必要に応じて、ユーザ エージェントがインストールされているコンピュータにログインします。
ステップ 2 [スタート(Start)] > [(すべての)プログラム((All)Programs)] > [Cisco] > [Cisco Firepower Agent for Active Directory の設定(Configure Cisco Firepower Agent for Active Directory)] をクリックします。
ステップ 3 [Firepower Management Centers] タブをクリックします。
ステップ 4 [サーバ名/IPアドレス(Server Name/IP Address)] フィールドに、追加する Management Center のホスト名または IP アドレスを入力します。
ステップ 5 [パスワード(Password)] フィールドに、ユーザエージェントが Firepower Management Center にログインするために設定したパスワードを入力します。パスワードを設定していない場合は、このフィールドを空白のままにします。パスワードの設定に関する詳細については、『 Firepower Management Center Configuration Guide 』の「Firepower Management Center CLI Reference」の章を参照してください。
ユーザエージェントのパスワードを変更するには、ユーザ エージェント パスワードの変更を参照してください。
Management Center 接続の設定が追加されます。ホスト名または IP アドレスを複数回追加することはできません。ホスト名と IP アドレスの両方を使って Management Center を追加しないでください。Management Center に複数のネットワークアダプタがある場合は、異なる IP アドレスを使用して複数回追加しないでください。
複数の Management Center 接続が設定されている場合は、[ホスト(Host)]、[ステータス(Status)]、または [最終報告(Last Reported)] の列見出しをクリックすると、それぞれの列でソートできます。
注 設定時にユーザエージェントが Management Center に接続できない場合は、その Management Center を追加できません。エージェントが Management Center に TCP/IP でアクセスできることを確認します。
ステップ 7 設定の変更を保存してエージェントに適用するには、[保存(Save)] をクリックします。更新された設定がエージェントに適用されます。
- (オプション)除外ユーザ名リストのユーザ名を追加または削除するには、[除外ユーザ名(Excluded Usernames)] タブを選択します。詳細については、ユーザ エージェントの除外ユーザ名設定の構成を参照してください。
- (オプション)除外 IP アドレス リストの IP アドレスを追加または削除するには、[除外アドレス(Excluded Addresses)] タブを選択します。詳細については、ユーザ エージェントの除外アドレス設定の構成を参照してください。
- (オプション)ログ メッセージを表示したり、ロギングを設定したりするには、[ログ(Logs)] タブを選択します。詳細については、ユーザ エージェントのロギング設定の構成を参照してください。
- (オプション)エージェントの全般的な設定を構成するには、[全般(General)] タブをクリックします。詳細については、ユーザ エージェントの全般的な設定の構成を参照してください。
- エージェントを設定する場合は、表 2-1で説明されているいずれかの操作を実行します。
ユーザ エージェント パスワードの変更
ユーザ エージェント パスワードは、ユーザエージェント 2.5 以降および Firepower Management Center 6.5 以降を使用して変更できます。
デフォルトまたは別のパスワードからユーザ エージェント パスワードを変更した場合は、次の手順を実行する必要があります。
ステップ 1 必要に応じて、ユーザ エージェントがインストールされているコンピュータにログインします。
ステップ 2 [スタート(Start)] > [(すべての)プログラム((All)Programs)] > [Cisco] > [Cisco Firepower Agent for Active Directory の設定(Configure Cisco Firepower Agent for Active Directory)] をクリックします。
ステップ 3 [Firepower Management Centers] タブをクリックします。
ステップ 4 ユーザエージェントから Firepower Management Center を削除します。
ステップ 5 FMC で設定したパスワードを使用して Firepower Management Center を追加します。詳細については、前のセクションを参照してください。
ステップ 6 ユーザ エージェント サービスを再起動します。ユーザ エージェントの全般的な設定の構成を参照してください。
ユーザ エージェントの除外ユーザ名設定の構成
ログインまたはログオフ イベントのポーリング時に除外するユーザ名を最大 500 件定義できます。除外されたユーザ名によるログインまたはログオフ イベントを取得した場合、エージェントはそのイベントを Management Center に報告しません。
ユーザ名を除外する前に報告されたログインおよびログオフ イベントは影響を受けません。除外ユーザ名リストからユーザ名を削除すると、その後のそのユーザ名のログインおよびログオフ イベントは Management Center に報告されます。
あるユーザによるすべてのログインおよびログオフ イベントを、すべてのドメインから除外するか、または特定のドメインから除外するかを選択できます。コンマ区切り値(CSV)ファイルに保存されるユーザ名とドメインのリストをエクスポートおよびインポートすることもできます。Management Center にすでに報告されたユーザを除外した場合、データベースからホストをパージしないかぎり、そのユーザはホストからマッピング解除されないことに注意してください。
たとえば、Active Directory サーバとは別のコンピュータにユーザ エージェントをインストールした場合、このオプションを使用して、ユーザ エージェント ユーザを Management Center にログインしないように除外できます。
ステップ 1 必要に応じて、ユーザ エージェントがインストールされているコンピュータにログインします。
ステップ 2 [スタート(Start)] > [(すべての)プログラム((All)Programs)] > [Cisco] > [Cisco Firepower Agent for Active Directory の設定(Configure Cisco Firepower Agent for Active Directory)] をクリックします。[除外ユーザ名(Excluded Usernames)] タブを選択します。
ステップ 3 入力可能な次の行の [ユーザ名(Username)] 列に除外するユーザ名を入力します。
除外ユーザ名にドル記号文字( $ )や引用符文字( " )を含めることはできません。
ステップ 4 ユーザ名に関連付けられたドメインを [ドメイン(Domain)] 列に入力します。
行ごとに 1 つのドメインのみ定義できます。ドメインを指定しない場合、すべてのドメインのユーザ名が除外されます。
ステップ 5 ユーザ名をさらに追加するには、ステップ 3 および 4 を繰り返します。複数の除外ユーザ名が設定されている場合は、[ユーザ名(Username)] または [ドメイン(Domain)] の列ヘッダーをクリックすると、それぞれの列でソートできます。
複数の行を削除するには、Ctrl キーを押した状態で複数の行をクリックして選択し、それから Delete キーを押します。
ステップ 7 ユーザ名とドメインのリストをコンマ区切り値(CSV)ファイルにエクスポートするには、[リストのエクスポート(Export List)] をクリックします。ファイルの保存先のファイル パスを選択します。
ファイルが保存されます。デフォルトのファイル名は Cisco_user_agent_excluded_users.csv です。
ステップ 8 ユーザ名とドメインのリストをコンマ区切り値(CSV)ファイルからインポートするには、[リストのインポート(Import List)] をクリックします。アップロードするファイルを選択します。
既存のユーザ名がクリアされ、ファイル内のユーザ名がロードされます。重複するユーザ名を含むファイルをアップロードすることはできません。ファイルに構文エラーがある場合、ファイルをアップロードできません。
コンマ区切り値(CSV)ファイル内のエントリは、次の形式になっている必要があります。
ドメインの値はオプションですが、プレースホルダとして引用符が必要です。
ステップ 9 [保存(Save)] をクリックして設定の変更を保存し、エージェントに適用します。
- 除外 IP アドレス リストの IP アドレスを追加または削除するには、[除外アドレス(Excluded Addresses)] タブを選択します。詳細については、ユーザ エージェントの除外アドレス設定の構成を参照してください。
- エージェントを設定する場合は、表 2-1で説明されているいずれかの操作を実行します。
ユーザ エージェントの除外アドレス設定の構成
ログイン イベントのポーリング時に除外する IPv4 および IPv6 アドレスを最大 100 件設定できます。除外された IP アドレスを含むログインまたはログオフイベントを取得した場合、ユーザエージェントはそのイベントを Management Center に報告しません。
IP アドレスを除外する前に報告されたログインおよびログオフ イベントは影響を受けません。除外アドレス リストから IP アドレスを削除すると、その後のそのアドレスのログインおよびログオフ イベントは Management Center に報告されます。
たとえば、Active Directory サーバとは別のコンピュータにユーザ エージェントをインストールした場合、このオプションを使用して、ユーザ エージェント ユーザを Management Center にログインしないように除外できます。
注 同じネットワーク内でユーザ エージェントと TS エージェントの両方を使用する場合は、重大ではないエラーが Firepower Management Center に記録されないようにするために、TS エージェントの IP アドレスを除外する必要があります。TS エージェントとユーザ エージェントの両方が同じユーザのログインを検出すると、重大ではないエラーがログに書き込まれます。
ステップ 1 必要に応じて、ユーザ エージェントがインストールされているコンピュータにログインします。
ステップ 2 [スタート(Start)] > [(すべての)プログラム((All)Programs)] > [Cisco] > [Cisco Firepower Agent for Active Directory の設定(Configure Cisco Firepower Agent for Active Directory)] をクリックします。[除外アドレス(Excluded Addresses)] タブを選択します。
ステップ 3 入力可能な次の行の [アドレス(Address)] 列に、除外する IP アドレスを入力します。IP アドレスをさらに追加するには、この手順を繰り返します。
複数の除外 IP アドレスが設定されている場合は、[アドレス(Address)] の列ヘッダーをクリックすると、それぞれの列でソートできます。
無効な IP アドレスを入力した場合は、行のヘッダーに感嘆符アイコン(
)が表示されます。無効なアドレスを修正しないと、他のアドレスを入力できません。
ステップ 4 IP アドレスを削除するには、行を強調表示して Del キーを押します。
IP アドレスが削除されます。複数の行を削除するには、Ctrl キーを押した状態で複数の行をクリックして選択し、それから Delete キーを押します。
ステップ 5 IP アドレスのリストをコンマ区切り値(CSV)ファイルにエクスポートするには、[リストのエクスポート(Export List)] をクリックします。ファイルの保存先のファイル パスを選択します。
ファイルが保存されます。デフォルトのファイル名は Cisco_user_agent_excluded_addresses.csv です。
ステップ 6 IP アドレスのリストをコンマ区切り値(CSV)ファイルからインポートするには、[リストのインポート(Import List)] をクリックします。アップロードするファイルを選択します。
既存の IP アドレスがクリアされ、ファイル内の IP アドレスがロードされます。重複する IP アドレスを含むファイルをアップロードすることはできません。ファイルに構文エラーがある場合、ファイルをアップロードできません。
ステップ 7 [保存(Save)] をクリックして設定の変更を保存し、エージェントに適用します。
- ログ メッセージを表示したり、ロギングを設定したりするには、[ログ(Logs)] タブを選択します。詳細については、ユーザ エージェントのロギング設定の構成を参照してください。
- エージェントを設定する場合は、表 2-1で説明されているいずれかの操作を実行します。
ユーザ エージェントのロギング設定の構成
[ログ(Logs)] タブには、エージェントによってログに記録されたステータス メッセージが最大 250 件表示されます。エージェントは、次のイベントが発生したときにステータス メッセージをローカル イベント ログに記録します。
- エージェントが Active Directory サーバからのデータのポーリングに成功した。
- エージェントが Active Directory サーバへの接続に失敗した。
- エージェントが Active Directory サーバからのデータ取得に失敗した。
- エージェントが Management Center への接続に成功した。
- エージェントが Management Center への接続に失敗した。
エージェントは、タイムスタンプおよび重大度レベルとともに各ステータス メッセージをログに記録します。次の表に、重大度のレベルを低い方から順に示します。
|
|
|
|
|---|---|---|
エージェントはローカル イベント ログに加えて Windows アプリケーション ログにもステータス メッセージを記録できます。エージェントは、ローカル イベント ログの内容をコンマ区切り値(CSV)ファイルにエクスポートすることもできます。
ステータス メッセージを保存するかどうかや、ステータス メッセージの保存期間を設定したり、すべてのステータス メッセージのイベント ログをクリアしたりできます。また、デバッグ ステータス メッセージの表示や [メンテナンス(Maintenance)] タブへのアクセスなどのメンテナンス オプションも設定できます。
注 デバッグ ステータス メッセージは、7 日間保存された後、イベント ログから削除されます。ステータス メッセージの保存期間を設定したり、イベント ログをクリアしたりしても、デバッグ ステータス メッセージの保存には影響しません。
ユーザ エージェントのロギング設定を構成するには、次の手順を実行します。
ステップ 1 必要に応じて、ユーザ エージェントがインストールされているコンピュータにログインします。
ステップ 2 [スタート(Start)] > [(すべての)プログラム((All)Programs)] > [Cisco] > [Cisco Firepower Agent for Active Directory の設定(Configure Cisco Firepower Agent for Active Directory)] をクリックします。
ステップ 4 Cisco TAC から指示された場合は、イベント ログ内のデバッグ ステータス メッセージを表示するために [ログ内のデバッグ メッセージを表示(Show Debug Messages in Log)] を選択し、[メンテナンス(Maintenance)] タブを有効にしますページ。
注 このオプションは、Cisco TAC から使用を推奨された場合のみ選択してください。
ステップ 5 Windows アプリケーション ログとローカル イベント ログの両方にデバッグ以外のステータス メッセージを記録するには、[Windows アプリケーション ログにメッセージを記録(Log Messages to Windows Application Log)] を選択します。
Windows アプリケーション ログを表示するには、Windows イベント ビューアを開きます。
ステップ 6 ステータス メッセージがローカル イベント ログに保存されてから自動的に削除されるまでの期間を設定するには、[メッセージのキャッシュ サイズ(Message Cache Size)] ドロップダウン リストから期間を選択します。
ローカル イベント ログに記録されたステータス メッセージは、[メッセージのキャッシュ サイズ(Message Cache Size)] ドロップダウン リストで選択された期間だけ保存された後、削除されます。
注 [メッセージのキャッシュ サイズ(Message Cache Size)] の設定は、ローカル イベント ログにのみ影響し、[Windows アプリケーション ログにメッセージを記録(Log Messages to Windows Application Log)] を選択した場合でも Windows アプリケーション ログには影響しません。
ステップ 7 最後の更新後にログに記録された新しいステータス メッセージを表示するには、[更新(Refresh)] をクリックします。
最後の更新後に新しいステータス メッセージがログに記録された場合は、新しいステータス メッセージがあることを示すメッセージが表示されます。更新の結果 250 件を超えるメッセージが表示される場合、最も古いステータス メッセージが [ログ(Logs)] タブ ページから削除されます。250 件を超えるメッセージを表示するには、ログをエクスポートします。詳細については、ステップ 8 を参照してください。
ステップ 8 ローカル イベント ログの内容をコンマ区切り値(CSV)ファイルにエクスポートするには、[ログのエクスポート(Export Logs)] をクリックします。
コンマ区切り値(CSV)ファイルには、すべてのイベント ログ ステータス メッセージとデバッグ メッセージが格納されます。
ステップ 9 ローカル イベント ログからデバッグ以外のすべてのステータス メッセージを削除するには、[イベント ログのクリア(Clear Event Log)] をクリックします。
エージェントがメッセージを削除したことを示すステータス メッセージを除き、ローカル イベントがクリアされます。
ステップ 10 設定の変更を保存してエージェントに適用するには、[保存(Save)] をクリックします。
- エージェントの全般的な設定を構成するには、[全般(General)] タブを選択します。詳細については、ユーザ エージェントの全般的な設定の構成を参照してください。
- エージェントを設定する場合は、表 2-1で説明されているいずれかの操作を実行します。
ユーザ エージェントの全般的な設定の構成
[全般(General)] タブには、ユーザ エージェントの基本設定が含まれています。エージェントがログイン データを報告するときに Management Center に報告されるエージェント名を変更できます。また、エージェント サービスの開始と停止、ログオフ チェックの頻度の変更、および現在のサービス ステータスの表示もできます。
ユーザ エージェントの全般的な設定を構成するには、次の手順を実行します。
ステップ 1 エージェントがインストールされているコンピュータで、[スタート(Start)] > [プログラム(Programs)] > [Cisco] > [Active Directory 用の Cisco FirePOWER ユーザ エージェントの設定(Configure Cisco Firepower User Agent for Active Directory)] を選択します。
ステップ 2 エージェント サービスを開始するには、開始ボタン(
)をクリックします。
ステップ 3 エージェント サービスを停止するには、停止ボタン( )をクリックします。
ステップ 4 (オプション)[エージェント名(Agent Name)] でエージェント名を変更します。デフォルトのエージェント名は Cisco FUAfAD です。文字、数字、下線( _ )、およびハイフン( - )を入力できます。
ステップ 5 (オプション)エージェントがログオフ データを確認する頻度を変更し、[ログアウト確認頻度(Logout Check Frequency)] リストから期間を選択します。ログオフ データのチェックを無効にするには、 0 を選択します。
ステップ 6 (オプション)エージェントのスケジュールの優先度を変更するには、[優先度(Priority)] リストからレベルを選択します。エージェントが大量のユーザアクティビティをモニタして取得し、パフォーマンスに影響を与えている場合のみ、[高(High)] を選択します。
ステップ 7 設定を保存するには、[保存(Save)] をクリックします。
ステップ 8 エージェントを設定する場合は、表 2-1で説明されているいずれかの操作を実行します。
ユーザ エージェントのメンテナンス設定の構成
エージェントは、構成設定に加えて、ユーザと IP アドレスのマッピング情報、ローカル イベント ログ、およびレポート状態情報を SQL CE データベースに保存します。エージェントの [メンテナンス(Maintenance)] タブでは、メンテナンスのためにデータベースの一部をクリアできます。キャッシュされているユーザと IP アドレスのマッピング情報およびローカル イベント ログ情報をクリアできます。レポート状態のキャッシュもクリアできますが、その場合は、設定された Active Directory サーバの手動ポーリングが強制実行されます。
サポートから指示されないかぎり、[メンテナンス(Maintenance)] タブ ページの設定は変更
しないでください。
ユーザ エージェントのメンテナンス設定を構成するには、次の手順を実行します。
ステップ 1 エージェントがインストールされているコンピュータで、[スタート(Start)] > [プログラム(Programs)] > [Cisco] > [Active Directory 用の Cisco FirePOWER ユーザ エージェントの設定(Configure Cisco Firepower User Agent for Active Directory)] を選択します。
ステップ 3 [ログ内のデバッグ メッセージを表示(Show Debug Messages in Log)] をクリックして [メンテナンス(Maintenance)] タブを有効にします。
ステップ 4 [メンテナンス(Maintenance)] タブをクリックします。
ステップ 5 保存されているすべてのユーザと IP アドレスのマッピング データをクリアするには、[ユーザ マッピング データ キャッシュをクリア(Clear user mapping data cache)] をクリックします。
エージェントのローカル データベースから、保存されているすべてのユーザと IP アドレスのマッピング データが削除されます。エージェントのローカル データベースをクリアしても、Management Center のデータベースに保存されているユーザと IP アドレスのマッピング データは影響を受けません。
ステップ 6 保存されているすべてのログイン イベント データをクリアするには、[ログオン イベント ログ キャッシュをクリア(Clear logon event log cache)] をクリックします。
ステップ 7 エージェントが設定済みの Management Center にログインおよびログオフ情報を最後に報告した時間に関するデータをクリアするには、[レポート ステート キャッシュをクリア(Clear reporting state cache)] をクリックします。
エージェントは設定済みの Management Center にログインおよびログオフ情報を最後に報告した時間に関するすべての情報を削除します。次のポーリング間隔の開始時に、エージェントは設定されたすべての Active Directory サーバを手動でポーリングし、[Active Directory サーバの最大ポーリング時間(Active Directory Server Max Poll Length)] フィールドで定義された期間内の情報を取得します。詳細については、ユーザ エージェントの Active Directory サーバ接続の設定を参照してください。
ステップ 8 ログに記録されるデバッグ メッセージの詳細レベルを設定するには、[デバッグログレベル(Debug Log Level)] リストからロギングの詳細レベルを選択します。
ステップ 9 エージェントを設定する場合は、表 2-1で説明されているいずれかの操作を実行します。
ユーザ エージェントのトラブルシューティング
続くいくつかのセクションでは、ユーザ エージェントの使用時に発生する可能性がある問題の解決策について説明します。
- ユーザーエージェントをインストールできない
- Management Center に接続できない
- ユーザ エージェントが応答しない
- ユーザ エージェントが一部のログインを表示しない
- ユーザーエージェントがサイレントに Active Directory に接続できない
- ユーザ エージェントがリアルタイム イベントを処理しない
- ユーザ エージェントにユーザ ログオフ イベントが表示されない
- 同じネットワーク内のユーザ エージェントと TS エージェント
- エラー 1001:サービス AgentService を開始できません
- インストール エラー System.IO.FileNotFoundException
ユーザーエージェントをインストールできない
ユーザーエージェントのインストール時に、Microsoft SQL Server Compact Edition に関連するエラーが表示される場合があります。
SSCERuntime_x64-ENU,exe has changed since it was initially published. Click OK to retry the download, or click Cancel to exit setup
ステップ 1 [キャンセル(Cancel)] をクリックしてセットアップを終了します。
ステップ 2 Microsoft サイトから Microsoft SQL Server Compact Edition 4.0 (SP1 x64 ビット)をダウンロードしてインストールします。
ステップ 3 ユーザ エージェントのインストール の説明に従ってセットアップを再度実行し、 setup.exe ではなく setup.msi を実行します。
Management Center に接続できない
このセクションでは、ユーザ エージェントの Firepower Management Center への接続を妨げる可能性のある次の問題について説明します。
ユーザ エージェントがアイデンティティ ソースではない
ユーザ エージェントの [Firepower Management Centers] タブ ページで、Management Center のステータスが [使用不可(unavailable)] である場合は、Management Center でアイデンティティ ソースとしてユーザ エージェントを追加したことを確認してください。ユーザ エージェント設定の詳細については、 コンフィギュレーション ガイド を参照してください。
バージョン 6.X の Management Center でユーザ エージェント アイデンティティ ソースを確認するには、次の手順を実行します。
ステップ 1 管理者として Management Center にログインします。
ステップ 2 [システム(System)] > [統合(Integration)] をクリックします。
ステップ 3 [アイデンティティの送信元(Identity Sources)] タブをクリックします。
ステップ 4 [ユーザ エージェント(User Agent)] をクリックします。
ステップ 5 ユーザ エージェントが定義されていることを確認し、その IP アドレスを確認します。何らかの変更を行った場合は、[保存(Save)] をクリックします。
ステップ 6 ユーザ エージェントの [Firepower Management Centers] タブ ページで Management Center のステータスを再度確認します。
不正な Windows の暗号
ユーザ エージェントがインストールされている Windows マシンに適切な暗号がインストールされていない場合は、次の現象が発生します。
- ユーザ エージェントは、ユーザ エージェントの [Firepower Management Center]
- Firepower Management Center は、Active Directory ドメイン コントローラからユーザとグループをダウンロードできます。
この状況は比較的まれで、Windows マシンの暗号を制限している場合にのみ適用されます。
ステップ 1 ユーザ エージェント マシンにログインします。
ステップ 2 コマンド プロンプトで、 gpedit.msc と入力し、Enter キーを押します。
ステップ 3 [コンピュータの設定(Computer Configuration)] > [管理用テンプレート(Administrative Templates)] > [ネットワーク(Network)] > [SSL構成設定(SSL Configuration Settings)] の順にクリックします。
ステップ 4 [SSL構成設定(SSL Configuration Settings)] で、[SSL暗号スイートの順位(SSL Cipher Suite Order)] を選択します。
ステップ 5 暗号リストを設定して、次のセクションに示す 1 つ以上の暗号を含めます。
Firepower Management Center でサポートされている暗号
Firepower Management Center は、ユーザ エージェントと接続するために次の暗号をサポートしています。暗号は OpenSSL 形式で示されています。Windows の暗号は通常、RFC 形式で記載されています。暗号名を変換するには、 https://testssl.sh サイトの『 RFC mapping list 』を参照してください。
すべての暗号が安全なわけではないため、どの暗号を選択するかを決定する際には注意してください。安全な暗号の詳細については、Open Web Application Security Project(OWASP)などのリソースを参照してください。たとえば、『
TLS Cipher String Cheat Sheet』などを参照できます。
DNS サーバが使用できない
ホスト名を使用してユーザエージェントのアイデンティティソースを設定した場合は、FMC のホスト名を解決して接続するために使用可能な DNS サーバが存在する必要があります。ホスト名を確認し、FMC でホスト名を解決できるかどうかを確認してから、もう一度やり直してください。
ユーザ エージェントが応答しない
ユーザ エージェントからデータが送られてきていないと思われる場合は、次のいずれかの操作を行うことができます。
- ユーザ エージェントのコンピュータにログインし、そのステータスを確認します。詳細については、ユーザ エージェントの全般的な設定の構成を参照してください。
- Management Center でユーザ エージェントの正常性ポリシーをセットアップして、そのステータスをモニタします。これについては続く手順で説明しています。
ユーザ エージェントの正常性ポリシーにより、Management Center がユーザ エージェントからハートビートを受信しない場合には通知が出されます。詳細については、コンフィギュレーション ガイドを参照してください。
6.X の Management Center でユーザ エージェントの正常性ポリシーを設定するには、次の手順を実行します。
ステップ 1 Management Center に、管理者特権またはメンテナンス ユーザ権限を持つユーザとしてログインします。
ステップ 2 [システム(System)] > [正常性(Health)] > [ポリシー(Policy)] をクリックします。
ステップ 3 [ポリシーの作成(Create Policy)] をクリックします。
ステップ 4 [ポリシーの作成(Create Policy)] タブで、次の情報を入力します。
- [ポリシーのコピー(Copy Policy)] リスト。 デフォルトの正常性ポリシー などの任意のポリシーを選択します。
- [新規ポリシー名(New Policy Name)] フィールド:このポリシーを識別する名前を入力します。
- [新規ポリシーの説明(New Policy Description)] フィールド:オプションのポリシーの説明を入力します。
(編集)をクリックします。ステップ 6 左側の列で、[ユーザ エージェントのステータス モニタ(User Agent Status Monitor)] をクリックします。
ステップ 7 右側の列で、[オン(On)] をクリックします。
ステップ 8 ページの下部で、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
ステップ 9 ポリシー名の横にある 
(適用)をクリックします。
ステップ 10 画面の指示に従って、管理対象デバイスにポリシーを適用します。
ステップ 11 任意の時点でユーザ エージェントをモニタするには、[正常性(Health)] > [モニタ(Monitor)] をクリックするか、または Management Center の 
(モニタ)アイコンに表示されるメッセージを監視します。
ユーザ エージェント ハートビートが管理対象デバイスによって検出されない場合、次のようなメッセージが表示されます。
ユーザ エージェントが一部のログインを表示しない
ユーザ エージェントは、IP アドレスごとにユーザ名を追跡します。同じユーザが同じ IP アドレスに複数回ログインするとしても、そのユーザのユーザ ログイン イベントが Management Center に表示されるのは 1 回のみです。
次のシナリオは、1 ユーザによる複数回のユーザ ログイン イベントを示しています。
patricia.nolan がいずれかの IP アドレスからログアウトしても問題ありません。Management Center は固有の IP アドレスごとに 1 つずつ、少なくとも 2 つのログインイベントを報告します(言い替えると、Management Center は最後のログインを、それが最初のものと同じ IP アドレスからであるため報告しません)。
ユーザーエージェントがサイレントに Active Directory に接続できない
Active Directory サーバーのユーザー名またはパスワードを誤って入力した場合、またはユーザー エージェント ソフトウェアに Active Directory サーバーに対する十分な権限がない場合、接続はサイレントに失敗します。これを確認する唯一の方法は、ユーザーエージェントログを確認することです([ログ(Logs)] タブページ)。
- ユーザーエージェントの権限について: ユーザ権限の付与
- ユーザーエージェントログについて: ユーザ エージェントのロギング設定の構成
ユーザ エージェントがリアルタイム イベントを処理しない
リアルタイム イベントを Active Directory サーバから処理できるようにするために、ユーザ エージェントは、Active Directory サーバへのリモート プロシージャ コール(RPC)アクセスを必要とします。延長期間のリアルタイム処理のステータスが、ユーザ エージェントの [Active Directory サーバ(Active Directory Servers)] タブ ページで unknown または unavailable と表示される場合、ユーザ エージェント ログでエラーを探して、このセクションで説明されている他の提案を試してみてください。
リアルタイム処理の問題をトラブルシューティングするには、次の手順を実行します。
ステップ 1 必要に応じて、ユーザ エージェントがインストールされているコンピュータにログインします。
ステップ 2 [スタート(Start)] > [(すべての)プログラム((All)Programs)] > [Cisco] > [Cisco Firepower Agent for Active Directory の設定(Configure Cisco Firepower Agent for Active Directory)] をクリックします
ステップ 4 [ログ内のデバッグ メッセージを表示(Show debug messages in log)] をオンにします。
ステップ 5 ログ メッセージを確認して、[ログのエクスポート(Export logs)] をクリックし、ログ メッセージをファイルにエクスポートします。
上記のメッセージは、Active Directory サーバのファイアウォールの設定に問題があることを示しています。ユーザ エージェントに分散コンポーネント オブジェクト管理(DCOM)へのアクセスを許可するに記載されている手順を確認して、もう一度やり直してください。
ファイアウォールを問題箇所として分離するには、必要に応じて Active Directory サーバのファイアウォールを数分間無効にして、ユーザ エージェントがリアルタイム イベントを処理できるかどうかを確認してください。
ステップ 7 ユーザ エージェントで Active Directory サーバ構成の削除と再追加を試行してください。
ユーザ エージェントにユーザ ログオフ イベントが表示されない
Management Center でユーザ ログオフ イベントが表示されない場合は、WMI にすべてのドメイン コンピュータ上のファイアウォールの通過を許可していることを確認します。詳細については、ドメイン コンピュータの設定を参照してください。
同じネットワーク内のユーザ エージェントと TS エージェント
ターミナル サービス(TS)エージェントとユーザ エージェントの両方を使用する場合、ユーザ エージェントから TS エージェントの IP アドレスを除外することによって、重大ではないエラーのログを回避できます。TS エージェントとユーザ エージェントの両方によって同じユーザが検出されると、重大ではないエラーがログに書き込まれます。
詳細については、ユーザ エージェントの除外アドレス設定の構成を参照してください。
エラー 1001:サービス AgentService を開始できません
このエラーは、バージョン 2.4 のユーザ エージェントをインストールした後にバージョン 2.3 のユーザ エージェントを使用しようとした場合に表示されます。エラーは、バージョン 2.4 のユーザ エージェント データベースに、バージョン 2.3 のユーザ エージェントからアクセスできないことを意味します。
この問題を解決するには、ユーザ エージェントのトラブルシューティング を参照してください。
インストール エラー System.IO.FileNotFoundException
setup.exe の代わりに setup.msi を使用してユーザ エージェントをインストールすると、すべての依存関係がインストールされるわけではないため、ユーザ エージェントは開始されません。次のいずれかの方法でエラーを確認できます。
- アプリケーションの起動に失敗した場合、エラーメッセージを展開すると、
System.IO.FileNotFoundExceptionが表示されます - Windows イベント ビューアのアプリケーション ログに、ユーザ エージェントに関連するエラーが表示されます
バージョン 2.4 以降のユーザエージェントをバージョン 2.3 に置き換える
問題が発生しユーザ エージェント バージョン 2.4 以降を使用できない場合は、この項で説明する手動交換方法を使用してバージョン 2.3 に戻すことができます。
注 この手順により、ユーザ エージェント設定が削除されます。バージョン 2.3 のユーザ エージェントをインストールした後、ユーザ エージェントを再度設定する必要があります。
バージョン 2.4 をバージョン 2.3 に置き換えるには、次の手順に従います。
ステップ 1 Windows コントロール パネルの [プログラムと機能(Programs and Features)] アプリケーションを使用して、ユーザ エージェントをアンインストールします。
ステップ 3 User Agent バージョン 2.3 ( Cisco_Firepower_User_Agent_for_Active_Directory_2.3-10.zip )をインストールします。
フィードバック