Cisco Security Appliance システム ログ メッセージ Version 7.0
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月12日
章のタイトル: システム ログ メッセージ
- メッセージ 101001 ~ 199009
- 101001
- 101002
- 101003, 101004
- 101005
- 102001
- 103001
- 103002
- 103003
- 103004
- 103005
- 104001, 104002
- 104003
- 104004
- 105001
- 105002
- 105003
- 105004
- 105005
- 105006, 105007
- 105008
- 105009
- 105010
- 105011
- 105020
- 105021
- 105031
- 105032
- 105034
- 105035
- 105036
- 105037
- 105038
- 105039
- 105040
- 105042
- 105043
- 105044
- 105045
- 105046
- 105047
- 106001
- 106002
- 106006
- 106007
- 106010
- 106011
- 106012
- 106013
- 106014
- 106015
- 106016
- 106017
- 106018
- 106020
- 106021
- 106022
- 106023
- 106024
- 106025, 106026
- 106027
- 106100
- 106101
- 107001
- 107002
- 108002
- 108003
- 109001
- 109002
- 109003
- 109005
- 109006
- 109007
- 109008
- 109010
- 109011
- 109012
- 109013
- 109014
- 109016
- 109017
- 109018
- 109019
- 109020
- 109021
- 109022
- 109023
- 109024
- 109025
- 109026
- 109027
- 109028
- 109029
- 109030
- 109031
- 109032
- 110001
- 111001
- 111002
- 111003
- 111004
- 111005
- 111007
- 111008
- 111009
- 111111
- 112001
- 113001
- 113003
- 113004
- 113005
- 113006
- 113007
- 113008
- 113009
- 113010
- 113011
- 113012
- 113013
- 113014
- 113015
- 113016
- 113017
- 113018
- 113019
- 113020
- 114001
- 114002
- 114003
- 114004
- 114005
- 114006
- 114007
- 114008
- 114009
- 114010
- 114011
- 114012
- 114013
- 114014
- 114015
- 114016
- 114017
- 114018
- 114019
- 114020
- 199001
- 199002
- 199003
- 199005
- 199006
- 199907
- 199908
- 199909
- メッセージ 201002 ~ 217001
- 201002
- 201003
- 201004
- 201005
- 201006
- 201008
- 201009
- 201010
- 202001
- 202005
- 202011
- 208005
- 209003
- 209004
- 209005
- 210001
- 210002
- 210003
- 210005
- 210006
- 210007
- 210008
- 210010
- 210020
- 210021
- 210022
- 211001
- 211003
- 212001
- 212002
- 212003
- 212004
- 212005
- 212006
- 213001
- 213002
- 213003
- 213004
- 214001
- 215001
- 217001
- 216002
- 216003
- メッセージ 302003 ~ 326028
- 302003
- 302004
- 302009
- 302010
- 302012
- 302013
- 302014
- 302015
- 302016
- 302017
- 302018
- 302019
- 302020
- 302021
- 302302
- 303002
- 303003
- 303004
- 304001
- 304002
- 304003
- 304004
- 304005
- 304006
- 304007
- 304008
- 304009
- 305005
- 305006
- 305007
- 305008
- 305009
- 305010
- 305011
- 305012
- 308001
- 308002
- 311001
- 311002
- 311003
- 311004
- 312001
- 313001
- 313003
- 313004
- 314001
- 315004
- 315011
- 316001
- 317001
- 317002
- 317003
- 317004
- 317005
- 318001
- 318002
- 318003
- 318004
- 318005
- 318006
- 318007
- 318008
- 318009
- 319001
- 319002
- 319003
- 319004
- 320001
- 321001
- 321002
- 321003
- 321004
- 322001
- 322002
- 322003
- 322004
- 323004
- 323005
- 324000
- 324001
- 324002
- 324003
- 324004
- 324005
- 324006
- 324007
- 325001
- 325002
- 326001
- 326002
- 326004
- 326005
- 326006
- 326007
- 326008
- 326009
- 326010
- 326011
- 326012
- 326013
- 326014
- 326015
- 326016
- 326017
- 326019
- 326020
- 326021
- 326022
- 326023
- 326024
- 326025
- 326026
- 326027
- 326028
- メッセージ 400000 ~ 418001
- 4000nn
- 401001
- 401002
- 401003
- 401004
- 401005
- 402101
- 402102
- 402103
- 402106
- 402114
- 402115
- 402116
- 402117
- 402118
- 402119
- 402120
- 402121
- 402122
- 402123
- 403101
- 403102
- 403103
- 403104
- 403106
- 403107
- 403108
- 403109
- 403110
- 403500
- 403501
- 403502
- 403503
- 403504
- 403505
- 403506
- 404101
- 404102
- 405001
- 405101
- 405002
- 405101
- 405102
- 405103
- 405104
- 405105
- 405201
- 406001
- 406002
- 407001
- 407002
- 407003
- 408001
- 408002
- 409001
- 409002
- 409003
- 409004
- 409005
- 409006
- 409007
- 409008
- 409009
- 409010
- 409011
- 409012
- 409013
- 409023
- 410001
- 411001
- 411002
- 411003
- 411004
- 412001
- 412002
- 413001
- 413002
- 413003
- 413004
- 414001
- 414002
- 415001
- 415002
- 415003
- 415004
- 415005
- 415006
- 415007
- 415008
- 415009
- 415010
- 415011
- 415012
- 415013
- 415014
- 416001
- 417001
- 417004
- 417006
- 418001
- 419001
- 420001
- 420002
- 420003
- メッセージ 500001 ~ 507001
- メッセージ 602101 ~ 609002
- 602101
- 602103
- 602104
- 602201
- 602202
- 602203
- 602303
- 602304
- 603101
- 603102
- 603103
- 603104
- 603105
- 603106
- 603107
- 603108
- 603109
- 604101
- 604102
- 604103
- 604104
- 605004
- 605005
- 606001
- 606002
- 606003
- 606004
- 607001
- 608001
- 609001
- 609002
- 610001
- 610002
- 610101
- 611101
- 611102
- 611103
- 611104
- 611301
- 611302
- 611303
- 611304
- 611305
- 611306
- 611307
- 611308
- 611309
- 611310
- 611311
- 611312
- 611313
- 611314
- 611315
- 611316
- 611317
- 611318
- 611319
- 611320
- 611321
- 611322
- 611323
- 612001
- 612002
- 612003
- 613001
- 613002
- 613003
- 614001
- 614002
- 615001
- 615002
- 616001
- 617001
- 617002
- 617003
- 617004
- 620001
- 620002
- 621001
- 621002
- 621003
- 621006
- 621007
- メッセージ 701001 ~ 720073
- 701001
- 701002
- 702201
- 702202
- 702203
- 702204
- 702205
- 702206
- 702207
- 702208
- 702209
- 702210
- 702211
- 702212
- 702305
- 702307
- 703001
- 703002
- 709001, 709002
- 709003
- 709004
- 709005
- 709006
- 709007
- 710001
- 710002
- 710003
- 710004
- 710005
- 710006
- 711001
- 711002
- 713004
- 713006
- 713008
- 713009
- 713010
- 713012
- 713014
- 713016
- 713017
- 713018
- 713020
- 713022
- 713024
- 713025
- 713026
- 713027
- 713028
- 713029
- 713030
- 713031
- 713032
- 713033
- 713034
- 713035
- 713036
- 713037
- 713039
- 713040
- 713041
- 713042
- 713043
- 713047
- 713048
- 713049
- 713050
- 713051
- 713052
- 713056
- 713059
- 713060
- 713061
- 713062
- 713063
- 713065
- 713066
- 713068
- 713072
- 713073
- 713074
- 713075
- 713076
- 713078
- 713081
- 713082
- 713083
- 713084
- 713085
- 713086
- 713088
- 713092
- 713094
- 713098
- 713099
- 713102
- 713103
- 713104
- 713105
- 713107
- 713109
- 713112
- 713113
- 713114
- 713115
- 713116
- 713117
- 713118
- 713119
- 713120
- 713121
- 713122
- 713123
- 713124
- 713127
- 713128
- 713129
- 713130
- 713131
- 713132
- 713133
- 713134
- 713135
- 713136
- 713137
- 713138
- 713139
- 713140
- 713141
- 713142
- 713143
- 713144
- 713145
- 713146
- 713147
- 713148
- 713149
- 713152
- 713154
- 713155
- 713156
- 713157
- 713158
- 713159
- 713160
- 713161
- 713162
- 713163
- 713164
- 713165
- 713166
- 713167
- 713168
- 713169
- 713170
- 713171
- 713172
- 713174
- 713176
- 713177
- 713178
- 713179
- 713182
- 713184
- 713185
- 713186
- 713187
- 713189
- 713190
- 713193
- 713194
- 713195
- 713196
- 713197
- 713198
- 713199
- 713203
- 713204
- 713205
- 713206
- 713208
- 713209
- 713210
- 713211
- 713212
- 713213
- 713214
- 713215
- 713216
- 713217
- 713218
- 713219
- 713220
- 713221
- 713222
- 713223
- 713224
- 713225
- 713226
- 713228
- 713229
- 713230
- 713231
- 713232
- 713233
- 713234
- 713235
- 713236
- 713237
- 713238
- 713900
- 713901
- 713902
- 713903
- 713904
- 713905
- 713906
- 714001
- 714002
- 714003
- 714004
- 714005
- 714006
- 714007
- 714011
- 715001
- 715004
- 715005
- 715006
- 715007
- 715008
- 715009
- 715013
- 715019
- 715020
- 715021
- 715022
- 715027
- 715028
- 715033
- 715034
- 715035
- 715036
- 715037
- 715038
- 715039
- 715040
- 715041
- 715042
- 715044
- 715045
- 715046
- 715047
- 715048
- 715049
- 715050
- 715051
- 715052
- 715053
- 715054
- 715055
- 715056
- 715057
- 715058
- 715059
- 715060
- 715061
- 715062
- 715063
- 715064
- 715065
- 715066
- 715067
- 715068
- 715069
- 715070
- 715071
- 715072
- 715074
- 715075
- 715076
- 715077
- 716001
- 716002
- 716003
- 716004
- 716005
- 716006
- 716007
- 716008
- 716009
- 716010
- 716011
- 716012
- 716013
- 716014
- 716015
- 716016
- 716017
- 716018
- 716019
- 716020
- 716021
- 716022
- 716023
- 716024
- 716025
- 716026
- 716027
- 716028
- 716029
- 716030
- 716031
- 716032
- 716033
- 716034
- 716035
- 716036
- 716037
- 716038
- 716039
- 716040
- 716041
- 716042
- 717001
- 717002
- 717003
- 717004
- 717005
- 717006
- 717007
- 717008
- 717009
- 717010
- 717011
- 717012
- 717013
- 717014
- 717015
- 717016
- 717017
- 717018
- 717019
- 717021
- 717022
- 717023
- 717024
- 717025
- 717026
- 717027
- 717028
- 717029
- 717030
- 717031
- 718001
- 718002
- 718003
- 718004
- 718005
- 718006
- 718007
- 718008
- 718009
- 718010
- 718011
- 718012
- 718013
- 718014
- 718015
- 718016
- 718017
- 718018
- 718019
- 718020
- 718021
- 718022
- 718023
- 718024
- 718025
- 718026
- 718027
- 718028
- 718029
- 718030
- 718031
- 718032
- 718033
- 718034
- 718035
- 718036
- 718037
- 718038
- 718039
- 718040
- 718041
- 718042
- 718043
- 718044
- 718045
- 718046
- 718047
- 718048
- 718049
- 718050
- 718051
- 718052
- 718053
- 718054
- 718055
- 718056
- 718057
- 718058
- 718059
- 718060
- 718061
- 718062
- 718063
- 718064
- 718065
- 718066
- 718067
- 718068
- 718069
- 718070
- 718071
- 718072
- 718073
- 718074
- 718075
- 718076
- 718077
- 718078
- 718079
- 718080
- 718081
- 718084
- 718085
- 718086
- 718087
- 718088
- 719001
- 719002
- 719003
- 719004
- 719005
- 719006
- 719007
- 719008
- 719009
- 719010
- 719011
- 719012
- 719013
- 719014
- 719015
- 719016
- 719017
- 719018
- 719019
- 719020
- 719021
- 719022
- 719023
- 719024
- 719025
- 719026
- 720001
- 720002
- 720003
- 720004
- 720005
- 720006
- 720007
- 720008
- 720009
- 720010
- 720011
- 720012
- 720013
- 720014
- 720015
- 720016
- 720017
- 720018
- 720019
- 720020
- 720021
- 720022
- 720023
- 720024
- 720025
- 720026
- 720027
- 720028
- 720029
- 720030
- 720031
- 720032
- 720033
- 720034
- 720035
- 720036
- 720037
- 720038
- 720039
- 720040
- 720041
- 720042
- 720043
- 720044
- 720045
- 720046
- 720047
- 720048
- 720049
- 720050
- 720051
- 720052
- 720053
- 720054
- 720055
- 720056
- 720057
- 720058
- 720059
- 720060
- 720061
- 720062
- 720063
- 720064
- 720065
- 720066
- 720067
- 720068
- 720069
- 720070
- 720071
- 720072
- 720073
システム ログ メッセージ
この章では、Cisco ASA システム ログ メッセージについて説明します。メッセージは、メッセージ コードの番号順に記載されています。
(注) このマニュアルに示されているメッセージは、ソフトウェア Version 7.0 以降に適用されます。番号が連番から抜けている場合、そのメッセージはセキュリティ アプライアンス コードにはありません。
•
メッセージ 101001 ~ 199009(P.2-2)
• メッセージ 201002 ~ 217001(P.2-48)
• メッセージ 302003 ~ 326028(P.2-60)
• メッセージ 400000 ~ 418001(P.2-91)
• メッセージ 500001 ~ 507001(P.2-124)
メッセージ 101001 ~ 199009
この項では、101001 から 199009 までのメッセージについて説明します。
101001
エラー メッセージ %PIX|ASA-1-101001: (Primary) Failover cable OK.説明 これはフェールオーバー メッセージです。このメッセージは、フェールオーバー ケーブルが接続され、正常に機能していることを報告します。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
101002
エラー メッセージ %PIX|ASA-1-101002: (Primary) Bad failover cable.説明 これはフェールオーバー メッセージです。このメッセージは、フェールオーバー ケーブルが接続されているが、正常には機能していないことを報告します。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
101003, 101004
エラー メッセージ %PIX|ASA-1-101003: (Primary) Failover cable not connected (this unit). エラー メッセージ %PIX|ASA-1-101004: (Primary) Failover cable not connected (other unit).説明 この例は、両方ともフェールオーバー メッセージです。これらのメッセージは、フェールオーバー モードがイネーブルになっているが、フェールオーバー ケーブルがフェールオーバー ペアの一方の装置に接続されていない場合に記録されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
101005
エラー メッセージ %PIX|ASA-1-101005: (Primary) Error reading failover cable status.説明 これはフェールオーバー メッセージです。このメッセージは、フェールオーバー ケーブルが接続されているが、プライマリ装置が自分のステータスを判断できない場合に表示されます。
102001
エラー メッセージ %PIX|ASA-1-102001: (Primary) Power failure/System reload other side.説明 これはフェールオーバー メッセージです。このメッセージは、プライマリ装置が相手装置にシステム リロードまたは電源障害を検出すると記録されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
推奨処置 リロードが発生した装置で show crashinfo コマンドを発行して、リロードに関連するトレースバックがあるかどうかを判別します。さらに、装置の電源が投入され、ケーブルが正しく接続されていることを確認します。
103001
エラー メッセージ %PIX|ASA-1-103001: (Primary) No response from other firewall (reason code = code).説明 これはフェールオーバー メッセージです。このメッセージは、プライマリ装置がフェールオーバー ケーブル経由でセカンダリ装置と通信できない場合に表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。 表2-1 に、フェールオーバーが発生した原因を判断するための原因コードおよび説明を示します。
推奨処置 フェールオーバー ケーブルが正しく接続され、両方の装置が同じハードウェア、ソフトウェア、およびコンフィギュレーションになっていることを確認します。同じでない場合は、Cisco TAC にお問い合せください。
103002
エラー メッセージ %PIX|ASA-1-103002: (Primary) Other firewall network interface interface_number OK. 説明 これはフェールオーバー メッセージです。このメッセージは、セカンダリ装置のネットワーク インターフェイスが正常であることをプライマリ装置が検出すると表示されます。
(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。interface_number 変数に指定できる値については、 第 1 章「セキュリティ アプライアンスのロギングの設定」 の 表1-7 を参照してください。
103003
エラー メッセージ %PIX|ASA-1-103003: (Primary) Other firewall network interface interface_number failed.説明 これはフェールオーバー メッセージです。このメッセージは、プライマリ装置がセカンダリ装置に不良ネットワーク インターフェイスを検出すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
推奨処置 セカンダリ装置のネットワーク接続をチェックして、ネットワーク ハブ接続を確認します。必要に応じて、障害の発生したネットワーク インターフェイスを交換します。
103004
エラー メッセージ %PIX|ASA-1-103004: (Primary) Other firewall reports this firewall failed.説明 これはフェールオーバー メッセージです。このメッセージは、プライマリ装置に障害が発生していることを示すメッセージをプライマリ装置がセカンダリ装置から受信すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
103005
エラー メッセージ %PIX|ASA-1-103005: (Primary) Other firewall reporting failure.説明 これはフェールオーバー メッセージです。 このメッセージは、セカンダリ装置がプライマリ装置に障害を報告すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
104001, 104002
エラー メッセージ %PIX|ASA-1-104001: (Primary) Switching to ACTIVE (cause: string ). エラー メッセージ %PIX|ASA-1-104002: (Primary) Switching to STNDBY (cause: string ).説明 この例は、両方ともフェールオーバー メッセージです。これらのメッセージは通常、スタンバイ装置で failover active コマンドを入力するか、またはアクティブ装置で no failover active コマンドを入力することによって強制的にペアの役割を切り替えると記録されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。string 変数の値は次のとおりです。
• ifc [interface] check, mate is healthier
• the other side wants me to standby
• in failed state, cannot be active
推奨処置 手作業による介入が原因でメッセージが表示される場合は、処置は不要です。それ以外の場合は、セカンダリ装置から報告された原因を使用して、ペアの装置両方のステータスを確認します。
104003
エラー メッセージ %PIX|ASA-1-104003: (Primary) Switching to FAILED.説明 これはフェールオーバー メッセージです。このメッセージは、プライマリ装置に障害が発生すると表示されます。
推奨処置 プライマリ装置のシステム ログ メッセージを確認して、問題の性質を示す表示がないか調べます(メッセージ 104001 を参照)。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
104004
エラー メッセージ %PIX|ASA-1-104004: (Primary) Switching to OK.説明 これはフェールオーバー メッセージです。このメッセージは、前に障害になった装置が現在は再び動作していると報告すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
105001
エラー メッセージ %PIX|ASA-1-105001: (Primary) Disabling failover.説明 これはフェールオーバー メッセージです。このメッセージは、コンソールで no failover コマンドを入力すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
105002
エラー メッセージ %PIX|ASA-1-105002: (Primary) Enabling failover.説明 これはフェールオーバー メッセージです。このメッセージは、これまでフェールオーバーをディセーブルにしていたコンソールで引数をとらずに failover コマンドを入力すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
105003
エラー メッセージ %PIX|ASA-1-105003: (Primary) Monitoring on interface interface_name waiting説明 これはフェールオーバー メッセージです。Cisco ASA が指摘されたネットワーク インターフェイス(フェールオーバー ペアの相手装置とのインターフェイス)をテストしています。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
105004
エラー メッセージ %PIX|ASA-1-105004: (Primary) Monitoring on interface interface_name normal説明 これはフェールオーバー メッセージです。指摘されたネットワーク インターフェイスのテストが成功しました。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
105005
エラー メッセージ %PIX|ASA-1-105005: (Primary) Lost Failover communications with mate on interface interface_name.説明 これはフェールオーバー メッセージです。このメッセージは、フェールオーバー ペアのこの装置がペアの相手装置と通信できなくなると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
105006, 105007
エラー メッセージ %PIX|ASA-1-105006: (Primary) Link status ‘Up' on interface interface_name. エラー メッセージ %PIX|ASA-1-105007: (Primary) Link status ‘Down' on interface interface_name.説明 この例は、両方ともフェールオーバー メッセージです。これらのメッセージは、指摘されたインターフェイスのリンク ステータスの監視結果を報告します。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
推奨処置 リンク ステータスがダウンである場合は、指摘されたインターフェイスに接続されているネットワークが正しく動作していることを確認します。
105008
エラー メッセージ %PIX|ASA-1-105008: (Primary) Testing interface interface_name.説明 これはフェールオーバー メッセージです。このメッセージは、指摘されたネットワーク インターフェイスをテストすると表示されます。このテストは、想定された間隔後に Cisco ASA がそのインターフェイス上でスタンバイ装置からメッセージを受け取ることができなかった場合に限って実行されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
105009
エラー メッセージ %PIX|ASA-1-105009: (Primary) Testing on interface interface_name {Passed|Failed}.説明 これはフェールオーバー メッセージです。このメッセージは、前のインターフェイス テストの結果(Passed または Failed)を報告します。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
推奨処置 結果が Passed であれば不要です。結果が Failed の場合は、両方のフェールオーバー装置へのネットワーク ケーブル接続、およびネットワーク自体が正しく機能していることをチェックするとともに、スタンバイ装置のステータスを確認します。
105010
エラー メッセージ %PIX|ASA-3-105010: (Primary) Failover message block alloc failed説明 ブロック メモリが枯渇しています。これは一時メッセージで、Cisco ASA は回復する必要があります。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
105011
エラー メッセージ %PIX|ASA-1-105011: (Primary) Failover cable communication failure説明 フェールオーバー ケーブルがプライマリ装置とセカンダリ装置間の通信を許可していません。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
105020
エラー メッセージ %PIX|ASA-1-105020: (Primary) Incomplete/slow config replication説明 フェールオーバーが発生すると、アクティブな Cisco ASA はメモリ内の不完全なコンフィギュレーションを検出します。通常、これは複製サービスの中断が原因となっています。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
推奨処置 Cisco ASA によってフェールオーバーが検出されると、Cisco ASA は自分自身を自動的にリロードして、フラッシュ メモリからコンフィギュレーションを自動的にリロードするか、または別の Cisco ASA と再同期化します(両方行うこともあります)。フェールオーバーが引き続き発生する場合は、フェールオーバー コンフィギュレーションを調べて、両方の Cisco ASA 装置が互いに通信できることを確認します。
105021
エラー メッセージ %PIX|ASA-1-105021: ( failover_unit ) Standby unit failed to sync due to a locked context_name config. Lock held by lock_owner_name説明 コンフィギュレーションの同期化中に、他のプロセスが 5 分以上コンフィギュレーションをロックして、フェールオーバー プロセスが新しいコンフィギュレーションを適用するのを妨げている場合、スタンバイ装置は自分自身をリロードします。これは、コンフィギュレーション同期化の進行中に、管理者がスタンバイ装置で実行コンフィギュレーションに目を通している場合に発生することがあります。 show running-config EXEC コマンドおよび pager lines num CONFIG コマンドも参照してください。
推奨処置 コンフィギュレーションが最初に起動し、アクティブ装置とのフェールオーバー接続を確立している間は、スタンバイ装置でコンフィギュレーションを表示または修正しないでください。
105031
エラー メッセージ %PIX|ASA-1-105031: Failover LAN interface is up105032
エラー メッセージ %PIX|ASA-1-105032: LAN Failover interface is down105034
エラー メッセージ %PIX|ASA-1-105034: Receive a LAN_FAILOVER_UP message from peer.105035
エラー メッセージ %PIX|ASA-1-105035: Receive a LAN failover interface down msg from peer.説明 ピア LAN フェールオーバー インターフェイス リンクがダウンしています。装置がスタンバイ モードになっている場合、アクティブ モードに切り替わります。
105036
エラー メッセージ %PIX|ASA-1-105036: dropped a LAN Failover command message.説明 Cisco ASA は無応答の LAN フェールオーバー コマンド メッセージを廃棄しました。これは LAN フェールオーバー インターフェイスの接続障害を示します。
105037
エラー メッセージ %PIX|ASA-1-105037: The primary and standby units are switching back and forth as the active unit.説明 プライマリ装置およびスタンバイ装置がアクティブ装置として交互に切り替わっています。これは、LAN フェールオーバー接続障害またはソフトウェアのバグを示します。
105038
エラー メッセージ %PIX|ASA-1-105038: (Primary) Interface count mismatch説明 フェールオーバーが発生すると、アクティブな Cisco ASA はメモリ内の不完全なコンフィギュレーションを検出します。通常、これは複製サービスの中断が原因となっています。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
推奨処置 Cisco ASA によってフェールオーバーが検出されると、Cisco ASA は自分自身を自動的にリロードして、フラッシュ メモリからコンフィギュレーションを自動的にリロードするか、または別の Cisco ASA と再同期化します(両方行うこともあります)。フェールオーバーが引き続き発生する場合は、フェールオーバー コンフィギュレーションを調べて、両方の Cisco ASA 装置が互いに通信できることを確認します。
105039
エラー メッセージ %PIX|ASA-1-105039: (Primary) Unable to verify the Interface count with mate. Failover may be disabled in mate.説明 フェールオーバーは最初にプライマリおよびセカンダリの Cisco ASA で設定されているインターフェイスの数が同じであることを確認します。このメッセージは、セカンダリ Cisco ASA で設定されているインターフェイスの数をプライマリ Cisco ASA が確認できないことを示します。このメッセージは、プライマリ Cisco ASA がフェールオーバー インターフェイス経由でセカンダリ Cisco ASA と通信できないことを示します。(Primary) は、セカンダリ Cisco ASA の場合は (Secondary) と示されることもあります。
推奨処置 プライマリおよびセカンダリの Cisco ASA でフェールオーバー LAN、インターフェイス コンフィギュレーション、およびステータスを確認します。セカンダリ Cisco ASA が Cisco ASA アプリケーションを実行しており、フェールオーバーがイネーブルになっていることを確認します。
105040
エラー メッセージ %PIX|ASA-1-105040: (Primary) Mate failover version is not compatible.説明 プライマリおよびセカンダリの Cisco ASA は、フェールオーバー ペアとして動作するために同じフェールオーバー ソフトウェアのバージョンを実行する必要があります。このメッセージは、セカンダリ Cisco ASA フェールオーバー ソフトウェアのバージョンがプライマリ Cisco ASA と互換性がないことを示します。フェールオーバーがプライマリ Cisco ASA でディセーブルになっています。(Primary) は、セカンダリ Cisco ASA の場合は (Secondary) と示されることもあります。
推奨処置 フェールオーバーをイネーブルにするために、プライマリおよびセカンダリの Cisco ASA 間で一致したソフトウェア バージョンを使用します。
105042
エラー メッセージ %PIX|ASA-1-105042: (Primary) Failover interface OK説明 LAN フェールオーバー インターフェイス リンクがアップしています。
説明 セカンダリ Cisco ASA にフェールオーバー メッセージを送信するために使用されるインターフェイスが機能しています。(Primary) は、セカンダリ Cisco ASA の場合は (Secondary) と示されることもあります。
105043
エラー メッセージ %PIX|ASA-1-105043: (Primary) Failover interface failed105044
エラー メッセージ %PIX|ASA-1-105044: (Primary) Mate operational mode mode is not compatible with my mode mode.説明 動作モード(シングルまたはマルチ)がフェールオーバー ピア間で一致しない場合、フェールオーバーはディセーブルになります。
105045
エラー メッセージ %PIX|ASA-1-105045: (Primary) Mate license (number contexts) is not compatible with my license (number contexts).説明 フィーチャ ライセンスがフェールオーバー ピア間で一致しない場合、フェールオーバーはディセーブルになります。
推奨処置 同じフィーチャ ライセンスを持つようにフェールオーバー ピアを設定してから、フェールオーバーを再度イネーブルにします。
105046
エラー メッセージ %PIX|ASA-1-105046 (Primary|Secondary) Mate has a different chassis説明 このメッセージは、2 つのフェールオーバー装置が異なるタイプのシャーシを持つ場合に発行されます。たとえば、一方が PIX で、もう一方が ASA-5520 の場合、あるいは一方が 3 スロットのシャーシを持ち、もう一方が 6 スロットのシャーシを持つ場合です。
105047
エラー メッセージ %PIX|ASA-1-105047: Mate has a io_card_name1 card in slot slot_number which is different from my io_card_name2106001
エラー メッセージ %PIX|ASA-2-106001: Inbound TCP connection denied from IP_address /port to IP_address /port flags tcp_flags on interface interface_name説明 これは接続関連のメッセージです。このメッセージは、内部アドレスに接続しようとしたが、セキュリティ ポリシーによって拒否された場合に表示されます。表示される tcp_flags 値は、接続が拒否されたときに存在していた TCP ヘッダーのフラグに対応します。たとえば、Cisco ASA に接続状態が存在しない TCP パケットが到着し、それが廃棄された場合です。このパケットの tcp_flags は FIN および ACK です。
106002
エラー メッセージ %PIX|ASA-2-106002: protocol Connection denied by outbound list acl_ID src inside_address dest outside_address説明 これは接続関連のメッセージです。このメッセージは、 outbound deny コマンドが原因で、指摘された接続が失敗した場合に表示されます。 protocol 変数は ICMP、TCP、または UDP になります。
106006
エラー メッセージ %PIX|ASA-2-106006: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port on interface interface_name.説明 これは接続関連のメッセージです。このメッセージは、着信 UDP パケットがセキュリティ ポリシーによって拒否された場合に表示されます。
106007
エラー メッセージ %PIX|ASA-2-106007: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port due to DNS {Response|Query}.説明 これは接続関連のメッセージです。このメッセージは、DNS クエリーまたは応答を含んでいる UDP パケットが拒否された場合に表示されます。
推奨処置 内部ポート番号が 53 の場合、内部ホストはキャッシング ネーム サーバとして設定されていると考えられます。 access-list コマンド文を追加して UDP ポート 53 のトラフィックを許可します。外部ポート番号が 53 の場合、DNS サーバの応答が遅かったため、クエリーには別のサーバが応答したと考えられます。
106010
エラー メッセージ %PIX|ASA-3-106010: Deny inbound protocol src interface_name : dest_address / dest_port dst interface_name : source_address / source_port説明 これは接続関連のメッセージです。このメッセージは、着信接続がセキュリティ ポリシーによって拒否された場合に表示されます。
推奨処置 トラフィックを許可する必要がある場合は、セキュリティ ポリシーを修正します。このメッセージが繰り返し表示される場合は、リモート ピアの管理者にお問い合せください。
106011
エラー メッセージ %PIX|ASA-3-106011: Deny inbound (No xlate) string説明 このメッセージは、Web ブラウザ経由でインターネットにアクセスしている内部ユーザがいる場合、通常のトラフィック条件で表示されます。接続がリセットされた場合は常に、Cisco ASA がリセットを受信した後に、その接続の端にあるホストがパケットを送信すると、このメッセージが表示されます。これは通常、無視してかまいません。
推奨処置 no logging message 106011 コマンドを入力して、このシステム ログ メッセージが syslog& サーバに記録されないようにします。
106012
エラー メッセージ %PIX|ASA-6-106012: Deny IP from IP_address to IP_address , IP options hex.説明 これはパケット整合性チェック メッセージです。 IP パケットが IP オプションと共に表示されました。IP オプションはセキュリティ リスクとみなされるので、パケットは廃棄されました。
推奨処置 リモート ホスト システムの管理者に問い合せて、問題を判別します。 ローカル サイトを確認して、あいまいなソース ルーティングや厳密なソース ルーティングがないかどうか調べます。
106013
エラー メッセージ %PIX|ASA-2-106013: Dropping echo request from IP_address to PAT address IP_address説明 Cisco ASA は、PAT グローバル アドレスに対応する宛先アドレスを持つ着信 ICMP エコー要求パケットを廃棄しました。着信パケットは、そのパケットを受信するべき PAT ホストを指定できないので廃棄されます。
106014
エラー メッセージ %PIX|ASA-3-106014: Deny inbound icmp src interface_name: IP_address dst interface_name: IP_address (type dec, code dec)説明 Cisco ASA は、すべての着信 ICMP パケット アクセスを拒否しました。デフォルトで、ICMP パケットはすべて、特に許可されている場合を除き、拒否されます。
106015
エラー メッセージ %PIX|ASA-6-106015: Deny TCP (no connection) from IP_address /port to IP_address /port flags tcp_flags on interface interface_name.説明 Cisco ASA は、関連付けられている接続が Cisco ASA 接続テーブルにない TCP パケットを廃棄しました。 Cisco ASA は、新しい接続の確立要求を示す SYN フラグをパケットで探します。その SYN フラグが設定されておらず、既存の接続もない場合、 Cisco ASA はそのパケットを廃棄します。
推奨処置 Cisco ASA がこれらの無効な TCP パケットを大量に受信する場合を除き、不要です。大量に受信する場合は、パケットを送信元までトレースして、これらのパケットが送信された原因を判別します。
106016
エラー メッセージ %PIX|ASA-2-106016: Deny IP spoof from ( IP_address ) to IP_address on interface interface_name.説明 Cisco ASA は、無効な送信元アドレス(たとえば、次に示すアドレスなどの無効アドレス)を持つパケットを廃棄しました。
• ブロードキャスト(limited、net-directed、subnet-directed、および all-subnets-directed)
スプーフィング パケット検出をさらに強化するために、conduit コマンドを使用して、内部ネットワークに属する送信元アドレスを持つパケットを廃棄するように Cisco ASA を設定します。 現在は icmp コマンドが実装されるようになったので、 conduit コマンドは推奨しません。このコマンドが正しく動作することは保証されていません。
推奨処置 外部ユーザが保護されているネットワークを危険にさらそうとしていないかどうか判別します。誤って設定したクライアントがないかどうか確認します。
106017
エラー メッセージ %PIX|ASA-2-106017: Deny IP due to Land Attack from IP_address to IP_address説明 Cisco ASA が IP 宛先と同一の IP 送信元アドレスを持ち、送信元ポートと同一の宛先ポートを持つパケットを受信しました。このメッセージは、システムの攻撃を目的としてスプーフィングされたパケットを示します。この攻撃は、Land 攻撃と呼ばれます。
推奨処置 このメッセージが引き続き表示される場合は、攻撃が進行中である可能性があります。パケットは、攻撃の起点を決定するのに十分な情報を提供しません。
106018
エラー メッセージ %PIX|ASA-2-106018: ICMP packet type ICMP_type denied by outbound list acl_ID src inside_address dest outside_address説明 ローカル ホスト(inside_address)から外部ホスト(outside_address)への発信 ICMP パケット(指摘された ICMP のパケット)が発信 ACL リストによって拒否されました。
106020
エラー メッセージ %PIX|ASA-2-106020: Deny IP teardrop fragment (size = number, offset = number) from IP_address to IP_address説明 Cisco ASA が小さなオフセットまたはフラグメントの重複を含む teardrop シグニチャを持つ IP パケットを廃棄しました。これは、Cisco ASA または侵入検知システム(IDS)を欺く敵対イベントです。
106021
エラー メッセージ %PIX|ASA-1-106021: Deny protocol reverse path check from source_address to dest_address on interface interface_name説明 攻撃が進行中です。着信接続で IP アドレスをスプーフィングしようとする試みが行われています。逆ルート ルックアップとも呼ばれる Unicast RPF は、ルートによって表される送信元アドレスを持たないパケットを検出し、そのパケットを Cisco ASA への攻撃の一部であると想定します。
このメッセージは、ip verify reverse-path コマンドで Unicast RPF をイネーブルにしている場合に表示されます。この機能は、インターフェイスに入力されるパケットについて動作します。外側で設定されている場合 Cisco ASA は、外部から到達するパケットを確認します。
Cisco ASA は、source_address に基づいてルートを検索します。エントリが検出されず、ルートが定義されない場合は、システム ログ メッセージが表示され、接続は廃棄されます。
ルートがある場合、Cisco ASA は対応するインターフェイスを確認します。パケットが別のインターフェイスに到着した場合、これはスプーフィングであるか、または宛先まで複数のパスがある非対象なルーティング環境です。Cisco ASA は、非対称ルーティングはサポートしていません。
Cisco ASA が内部インターフェイスで設定されている場合は静的 route コマンド文または RIP をチェックし、source_address が見つからない場合は、内部ユーザがアドレスをスプーフィングしています。
推奨処置 攻撃が進行中であっても、この機能がイネーブルになっていれば、ユーザによる処置は不要です。Cisco ASA は攻撃を撃退します。
106022
エラー メッセージ %PIX|ASA-1-106022: Deny protocol connection spoof from source_address to dest_address on interface interface_name説明 接続と一致するパケットが、その接続をそこで開始したインターフェイスとは異なるインターフェイスに到着します。
たとえば、ユーザが内部インターフェイスで接続を開始したが、Cisco ASA が境界インターフェイスに到着する同じ接続を検出する場合、Cisco ASA は宛先へのパスを複数持っていることになります。これは非対称ルーティングと呼ばれ、Cisco ASA ではサポートされていません。
攻撃者は、Cisco ASA に侵入する方法として、1 つの接続から別の接続にパケットを付加しようと試みることもあります。どちらの場合も、Cisco ASA はこのメッセージを表示して、接続を廃棄します。
推奨処置 このメッセージは、ip verify reverse-path コマンドが設定されていない場合に表示されます。ルーティングが非対称でないことを確認します。
106023
エラー メッセージ %PIX|ASA-4-106023: Deny protocol src [ interface_name : source_address/source_port ] dst interface_name : dest_address/dest_port [type { string }, code { code }] by access_group acl_ID説明 IP パケットが ACL によって拒否されました。このメッセージは、たとえ ACL に対して log オプションがイネーブルになっていない場合でも表示されます。
推奨処置 同じ送信元アドレスからのメッセージが引き続き表示される場合は、フットプリンティングまたはポート スキャンが行われようとしていることをメッセージが示している可能性もあります。ホストの管理者にお問い合せください。
106024
エラー メッセージ %PIX|ASA-2-106024: Access rules memory exhausted説明 アクセス リストのコンパイル プロセスで、メモリが不足しています。最後の正常なアクセス リスト以降に追加されたコンフィギュレーション情報はすべて、システムから削除されました。最新のコンパイル済みアクセス リストのセットが引き続き使用されます。
推奨処置 Access Lists、AAA、ICMP、SSH、Telnet、および他の規則タイプは、アクセス リストの規則タイプとして格納され、コンパイルされます。これらの規則タイプの一部を削除して、他の規則タイプを追加できるようにします。
106025, 106026
エラー メッセージ %PIX|ASA-6-106025: Failed to determine the security context for the packet:sourceVlan:source_address dest_address source_port dest_port protocol エラー メッセージ %PIX|ASA-6-106026: Failed to determine the security context for the packet:sourceVlan:source_address dest_address source_port dest_port protocol説明 マルチコンテキスト モードのパケットのセキュリティ コンテキストを判定できません。どちらのメッセージも、ルータまたは透過モードで廃棄される IP パケットに対して生成されることがあります。
106027
エラー メッセージ %PIX|ASA-4-106027:Failed to determine the security context for the packet:vlansource Vlan#:ethertype src sourceMAC dst destMAC説明 マルチコンテキスト モードのパケットのセキュリティ コンテキストを判定できません。このメッセージは、透過モードで廃棄される非 IP パケットに対してのみ生成されます。
106100
エラー メッセージ %PIX|ASA-4-106100: access-list acl_ID {permitted | denied | est-allowed} protocol interface_name / source_address ( source_port ) -> interface_name / dest_address ( dest_port ) hit-cnt number ({first hit | number -second interval})説明 access-list コマンドに log オプションを設定した場合、パケットが ACL 文と一致しました。メッセージ レベルは、 access-list コマンドに設定されているレベルによって決まります(デフォルトでは、レベルは 6 です)。このメッセージは、最初の出現か、またはある期間の合計出現数を示します。このメッセージは、拒否されたパケットのみを記録して、ヒット数も設定可能なレベルも含まないメッセージ 106023 よりも多くの情報を提供します。メッセージの値は次のとおりです。
• permitted | denied | est-allowed:これらの値は、パケットが ACL によって許可されたか拒否されたかを指摘します。値が est-allowed の場合、パケットは ACL によって拒否されましたが、すでに確立されているセッションで許可されました(たとえば、内部ユーザがインターネットへのアクセスを許可され、通常は ACL によって拒否される応答パケットが許可されます)。
• protocol : TCP 、 UDP 、 ICMP 、または IP プロトコル番号。
• interface_name :ログ フローの送信元または宛先のインターフェイス名。VLAN インターフェイスがサポートされています。
• source_address :ログ フローの送信元 IP アドレス。
• dest_address :ログ フローの宛先 IP アドレス。
• source_port :ログ フローの送信元ポート(TCP または UDP)。ICMP の場合、このフィールドは 0 です。
• dest_port :ログ フローの宛先ポート(TCP または UDP)。ICMP の場合、このフィールドは icmp-type です。
• hit-cnt number :設定した期間に、このフローが ACL エントリによって許可または拒否された回数。Cisco ASA が最初のシステム ログ メッセージをこのフローに対して生成するときの値は 1 です。
• first hit:このフローに対して生成された最初のメッセージ。
• number -second interval:ヒット数を累算する対象期間。この期間は、 access-list コマンドで interval オプションを使用して設定します。
106101
エラー メッセージ %PIX|ASA-1-106101 The number of ACL log deny-flows has reached limit ( number ).説明 ACL deny 文( access-list id deny コマンド)に log オプションを設定してあり、トラフィック フローが ACL 文と一致する場合、Cisco ASA はフロー情報をキャッシュします。このメッセージは、Cisco ASA でキャッシュされる一致フローの数がユーザが設定した制限( access-list deny-flow-max コマンドを使用)を超えたことを示します。
107001
エラー メッセージ %PIX|ASA-1-107001: RIP auth failed from IP_address : version=number, type=string, mode=string, sequence=number on interface interface_name説明 これはアラート ログ メッセージです。Cisco ASA は不正な認証を持つ RIP 応答メッセージを受信しました。このメッセージは、ルータまたは セキュリティ アプライアンス の設定の誤り、または失敗した Cisco ASA のルーティング テーブルへの攻撃の失敗が原因となることもあります。
推奨処置 このメッセージは攻撃の可能性を示しているため、監視する必要があります。このメッセージに示されている送信元 IP アドレスを熟知していない場合は、信頼できるエンティティ間で RIP 認証キーを交換します。攻撃者が既存のキーを判別しようと試みている可能性もあります。
107002
エラー メッセージ %PIX|ASA-1-107002: RIP pkt failed from IP_address : version=number on interface interface_name説明 これはアラート ログ メッセージです。このメッセージは、ルータのバグ、非 RFC 値を内部に持つパケット、または形式が誤っているエントリが原因で表示される可能性があります。これは発生してはならないもので、Cisco ASA のルーティング テーブルを利用しようとする試みの可能性もあります。
推奨処置 このメッセージは攻撃の可能性を示しているため、監視する必要があります。パケットは認証を渡しましたが(イネーブルの場合)、不良データがパケット内にあります。パケットの発信者について疑わしい点があれば、状況を監視してキーを変更します。
108002
エラー メッセージ %PIX|ASA-2-108002: SMTP replaced string: out source_address in inside_address data: string説明 これは、fixup protocol smtp コマンドによって生成された Mail Guard (SMTP)メッセージです。このメッセージは、Cisco ASA が電子メール アドレスの無効な文字をスペースで置き換えた場合に表示されます。
108003
エラー メッセージ %PIX|ASA-2-108003: Terminating ESMTP/SMTP connection; malicious pattern detected in the mail address from source_interface:source_address/source_port to dest_interface:dest_address/dset_port . Data: string説明 このメッセージは、Mail Guard (SMTP)によって生成されます。このメッセージは、Cisco ASA が電子メール アドレスに悪意あるパターンを検出して、接続を廃棄する場合に表示されます。これは、攻撃が進行中であることを示します。
109001
エラー メッセージ %PIX|ASA-6-109001: Auth start for user user from inside_address/ inside_port to outside_address/ outside_port説明 これは、認証、認可、アカウンティング(AAA)メッセージです。このメッセージは、Cisco ASA が AAA に設定されており、指摘されたユーザによる認証要求を検出した場合に表示されます。
109002
エラー メッセージ %PIX|ASA-6-109002: Auth from inside_address/inside_port to outside_address/outside_port failed (server IP_address failed) on interface interface_name.説明 これは AAA メッセージです。このメッセージは、指摘された認証サーバにモジュールがアクセスできないために認証要求が失敗した場合に表示されます。
109003
エラー メッセージ %PIX|ASA-6-109003: Auth from inside_address to outside_address/outside_port failed (all servers failed) on interface interface_name.109005
エラー メッセージ %PIX|ASA-6-109005: Authentication succeeded for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.109006
エラー メッセージ %PIX|ASA-6-109006: Authentication failed for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.説明 これは AAA メッセージです。このメッセージは、おそらくパスワードが誤っているために、指摘された認証要求が失敗した場合に表示されます。
109007
エラー メッセージ %PIX|ASA-6-109007: Authorization permitted for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.109008
エラー メッセージ %PIX|ASA-6-109008: Authorization denied for user user from outside_address/outside_port to inside_address/ inside_port on interface interface_name.説明 これは AAA メッセージです。このメッセージは、おそらくパスワードが誤っているために、指摘されたアドレスへのアクセスをユーザが許可されなかった場合に表示されます。
109010
エラー メッセージ %PIX|ASA-3-109010: Auth from inside_address/inside_port to outside_address/outside_port failed (too many pending auths) on interface interface_name.説明 これは AAA メッセージです。このメッセージは、サーバで多くの要求が保留中であるために、認証要求が処理できなかった場合に表示されます。
推奨処置 認証サーバが遅すぎるために認証要求に応答できないのかどうか確認します。Flood Defender 機能を floodguard enable コマンドでイネーブルにします。
109011
エラー メッセージ %PIX|ASA-2-109011: Authen Session Start: user ' user ', sid number109012
エラー メッセージ %PIX|ASA-5-109012: Authen Session End: user 'user', sid number, elapsed number seconds説明 認証キャッシュがタイムアウトになっています。ユーザは、次の接続で再認証が必要になります。timeout uauth コマンドを使用して、このタイマーのタイムアウト時間を変更できます。
109013
エラー メッセージ %PIX|ASA-3-109013: User must authenticate before using this service109014
エラー メッセージ %PIX|ASA-7-109014: uauth_lookup_net fail for uauth_in()推奨処置 aaa authentication および aaa authorization コマンド文がコンフィギュレーションに含まれていることを確認します。
109016
エラー メッセージ %PIX|ASA-3-109016: Can't find authorization ACL acl_ID for user ' user '説明 このユーザの AAA サーバで指定されているアクセス コントロール リストが、Cisco ASA に存在しません。このエラーは、Cisco ASA を設定する前に AAA サーバを設定した場合に発生することがあります。AAA サーバでベンダー固有のアトリビュート(VSA)が次の値のいずれかになっている可能性があります。
109017
エラー メッセージ %PIX|ASA-4-109017: User at IP_address exceeded auth proxy connection limit (max)説明 ユーザが、ユーザ認証のプロキシ制限を超えて、プロキシに多くの接続を開きました。
推奨処置 proxy-limit proxy_limit コマンドを入力してプロキシ制限を増やすか、または未使用の接続を閉じるようユーザに要求します。引き続きエラーが表示される場合は、DoS 攻撃の可能性を示していることもあります。
109018
エラー メッセージ %PIX|ASA-3-109018: Downloaded ACL acl_ID is empty説明 ダウンロードされた認可アクセス コントロール リストに ACE がありません。この状況は、アトリビュート文字列「ip:inacl#」のつづりの誤り、または access-list コマンドの省略が原因となっている可能性があります。
109019
エラー メッセージ %PIX|ASA-3-109019: Downloaded ACL acl_ID has parsing error; ACE string説明 ダウンロードした認可アクセス コントロール リストのアトリビュート文字列 ip:inacl#NNN= のシーケンス番号 NNN を解析中にエラーが発生しました。原因には次のものがあります。= の欠落、数字以外の文字やスペース以外の文字が「#」と「=」の間にある、および NNN が 999999999 より大きい。
109020
エラー メッセージ %PIX|ASA-3-109020: Downloaded ACL has config error; ACE説明 ダウンロードされた認可アクセス コントロール リストのコンポーネントの 1 つにコンフィギュレーション エラーがあります。この要素のテキスト全体は、システム ログ メッセージに含まれています。このメッセージは通常、無効な access-list コマンド文が原因となっています。
109021
エラー メッセージ %PIX|ASA-7-109021: Uauth null proxy error109022
エラー メッセージ %PIX|ASA-4-109022: exceeded HTTPS proxy process limit説明 各 HTTPS 認証に対して、Cisco ASA は、1 つのプロセスを認証要求に専用で応じるようにします。同時に動作しているプロセスの数がシステムによって課せられた制限を超えると、Cisco ASA は認証を実行せず、このメッセージが表示されます。
109023
エラー メッセージ %PIX|ASA-3-109023: User from source_address / source_port to dest_address / dest_port on interface outside_interface must authenticate before using this service.説明 これは AAA メッセージです。このサービス ポートは、設定されたポリシーに基づいて認証を受けてから、使用する必要があります。
推奨処置 上記のサービス ポートを使用しようとするときは、事前に Telnet、FTP、または HTTP を使用して認証します。
109024
エラー メッセージ %PIX|ASA-6-109024: Authorization denied from source_address / source_port to dest_address / dest_port (not authenticated) on interface interface_name using protocol説明 これは AAA メッセージです。このメッセージは、Cisco ASA が AAA 用に設定され、ユーザが事前の認証なしに Cisco ASA を通して TCP 接続を行おうとした場合に表示されます。
109025
エラー メッセージ %PIX|ASA-6-109025: Authorization denied (acl= acl_ID ) for user ' user ' from source_address / source_port to dest_address / dest_port on interface interface_name using protocol説明 アクセス コントロール リストのチェックが失敗しました。チェックは、拒否と一致したか、または暗黙的な拒否のように、何とも一致しませんでした。接続は、Cisco Secure Access Control Server (ACS)の AAA 認可ポリシーを通して定義されたユーザ アクセス コントロール リスト acl_ID によって拒否されました。
109026
エラー メッセージ %PIX|ASA-3-109026: [ aaa protocol ] Invalid reply digest received; shared server key may be mismatched.説明 AAA サーバからの応答が検証できませんでした。設定されたサーバ キーが誤っていることが考えられます。このイベントは、RADIUS サーバまたは TACACS+ サーバとのトランザクション中に生成されることがあります。
109027
エラー メッセージ %PIX|ASA-4-109027: [aaa protocol] Unable to decipher response message Server = server_ IP_address , User = user説明 AAA サーバからの応答が検証できませんでした。設定されたサーバ キーが誤っている可能性があります。このメッセージは、RADIUS サーバまたは TACACS+ サーバとのトランザクション中に表示されることがあります。 server_IP_address は、関連する AAA サーバの IP アドレスです。 user は、接続に関連付けられているユーザ名です。
109028
エラー メッセージ %PIX|ASA-4-109028: aaa bypassed for same-security traffic from ingress_ interface:source_address/source_port toegress_interface:dest_address/dest_port
説明 AAA が設定された AAA 規則と一致する同じセキュリティ トラフィックに対してバイパスされています。これが発生する可能性があるのは、同じ設定済みセキュリティ レベルを持つ 2 つのインターフェイス間をトラフィックが通過する場合、同じセキュリティ トラフィックが許可される場合、および AAA コンフィギュレーションが include 構文または exclude 構文を使用する場合だけです。
109029
エラー メッセージ %PIX|ASA-5-109029: Parsing downloaded ACL: string説明 ユーザ認証中に RADIUS サーバからダウンロードされたアクセス リストを解析している間に構文エラーが発生しました。
string :アクセス リストの正しい解析を妨げた構文エラーを詳述するエラー メッセージ。
推奨処置 このメッセージに提示されている情報を使用して、RADIUS サーバ コンフィギュレーション内のアクセス リスト定義にある構文エラーを特定し、訂正します。
109030
エラー メッセージ %PIX|ASA-4-109030: Autodetect ACL convert wildcard did not convert ACL access_list source | dest netmask netmask .説明 このメッセージは、RADIUS サーバで設定されたダイナミック ACL が、ワイルドカード ネットマスクを自動的に検出するメカニズムによって変換されなかった場合に表示されます。問題は、ネットマスクがワイルドカードであるか、通常のネットマスクであるかをこのメカニズムが判別できないために発生します。
access_list: 変換できなかったアクセス リスト。
netmask: 宛先アドレスまたは送信元アドレスに対する 10 進数表記のサブネット マスク。
推奨処置 RADIUS サーバのアクセス リスト ネットマスクを確認して、ワイルドカード コンフィギュレーションがないかどうか調べます。これがワイルドカードを意味する場合、およびそのサーバのアクセス リスト ネットマスクすべてがワイルドカードである場合、AAA サーバの acl-netmask-convert に wildcard 設定を使用します。それ以外の場合は、ネットマスクを通常のネットマスクまたはホールを含まないワイルドカード ネットマスクに変更します。つまり、ネットマスクは連続する 2 進数の 1 を提示します。たとえば、
00000000.00000000.00011111.11111111 または 16 進数 0.0.31.255 のようになります。マスクが通常を意味する場合、およびそのサーバのすべてのアクセス リスト ネットマスクが通常である場合、AAA サーバの acl-netmask-convert に normal 設定を使用します。
109031
エラー メッセージ %PIX|ASA-4-109031: NT Domain Authentication Failed: rejecting guest login for username .説明 このメッセージは、ユーザがゲスト アカウントのアクセス用に設定された NT Auth ドメインに認証を試みたとき、username が NT サーバで有効なユーザ名でない場合に表示されます。接続は拒否されます。
推奨処置 ユーザが有効なユーザの場合は、アカウントを NT サーバに追加します。ユーザがアクセスを許可されていない場合は、処置は不要です。
109032
エラー メッセージ %PIX|ASA-3-109032: Unable to install ACL access_list , downloaded for user username ; Error in ACE: ace .説明 このメッセージは、ネットワーク ユーザの認証中に RADIUS サーバからアクセス コントロール リストが受信されると表示されます。このログ イベントは、アクセス リストの要素の 1 つに構文エラーがあることを示します。このエラーが発生する場合、要素は廃棄されますが、アクセス リストの残りの部分は引き続き適用されます。形式が誤っている要素のテキスト全体は、メッセージに含まれています。この状態は認証の失敗をもたらすものではないことに注意してください。
access_list : show access-list コマンドの出力に表示されるダイナミック アクセス リストに割り当てられている名前。
username :その接続がこのアクセス リストの制御を受けるユーザの名前。
110001
エラー メッセージ %PIX|ASA-6-110001: No route to dest_address from source_address説明 このメッセージは、ルート ルックアップの失敗を示します。パケットは、ルーティング テーブルにない宛先 IP アドレスを探しています。
111001
エラー メッセージ %PIX|ASA-5-111002: Begin configuration: IP_address writing to device説明 このメッセージは、 write コマンドを入力してコンフィギュレーションを device (フロッピーディスク、フラッシュ メモリ、TFTP、フェールオーバー スタンバイ装置、またはコンソール端末のいずれか) に格納する場合に表示されます。 IP_address は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。
111002
エラー メッセージ %PIX|ASA-5-111002: Begin configuration: IP_address reading from device説明 このメッセージは、 <> コマンドを入力してコンフィギュレーションを device (フロッピーディスク、フラッシュ メモリ、TFTP、フェールオーバー スタンバイ装置、またはコンソール端末のいずれか) から読み取る場合に表示されます。 IP_address は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。
111003
エラー メッセージ %PIX|ASA-5-111003: IP_address Erase configuration説明 これは管理メッセージです。このメッセージは、コンソールで write erase コマンドを入力してフラッシュ メモリの内容を消去する場合に表示されます。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。
推奨処置 コンフィギュレーションを消去した後、Cisco ASA を再設定して新しいコンフィギュレーションを保存します。または、フロッピーディスクまたはネットワークの他の場所にある TFTP サーバに以前保存してあるコンフィギュレーションから情報を復元できます。
111004
エラー メッセージ %PIX|ASA-5-111004: IP_address end configuration: {FAILED|OK} 説明 このメッセージは、 config floppy/memory/ network コマンドまたは
write floppy/memory/network/standby コマンドを入力すると表示されます。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。
推奨処置 メッセージが OK で終われば不要です。このメッセージでエラーが表示された場合は、問題を解決します。たとえば、フロッピーディスクに書き込む場合は、フロッピーディスクが書き込み禁止になっていないことを確認します。TFTP サーバに書き込む場合は、サーバが動作していることを確認します。
111005
エラー メッセージ %PIX|ASA-5-111005: IP_address end configuration: OK説明 このメッセージは、コンフィギュレーション モードを終了すると表示されます。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。
111007
エラー メッセージ %PIX|ASA-5-111007: Begin configuration: IP_address reading from device.説明 このメッセージは、 reload コマンドまたは configure コマンドを入力してコンフィギュレーションを読み込む場合に表示されます。device テキストは、フロッピーディスク、メモリ、ネット、スタンバイ、または端末になります。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。
111008
エラー メッセージ %PIX|ASA-5-111008: User user executed the command string111009
エラー メッセージ %PIX|ASA-7-111009:User user executed cmd: string111111
エラー メッセージ %PIX|ASA-1-111111 error_message説明 システム エラーまたはインフラストラクチャ エラーが発生しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に TAC に送付してください。
112001
エラー メッセージ %PIX|ASA-2-112001: ( string : dec ) Clear complete.説明 このメッセージは、モジュール コンフィギュレーションを消去する要求が完了したことを示します。ソース ファイルおよび行番号が特定されます。
113001
エラー メッセージ %PIX|ASA-3-113001: Unable to open AAA session. Session limit [ limit ] reached.説明 システム リソースが使用できないために、IPSec トンネルまたは WebVPN 接続で AAA 動作を実行できませんでした。 limit 値は、同時 AAA トランザクションの最大数を示します。
113003
エラー メッセージ %PIX|ASA-6-113003: AAA group policy for user user is being set to policy_name .説明 トンネル グループに関連付けられているグループ ポリシーは、ユーザ固有のポリシー policy_name で上書きされています。 policy_name は、LOCAL 認証の設定時に username コマンドを使用して指定されており、RADIUS 認証の設定時に RADIUS CLASS アトリビュートで返されます。
113004
エラー メッセージ %PIX|ASA-6-113004: AAA user aaa_type Successful: server = server_IP_address , User = user説明 このメッセージは、IPSec 接続または WebVPN 接続で AAA 動作が正常に完了したことを示します。AAA タイプは「認証」、「認可」、または「アカウンティング」です。 server_IP_address は、関連する AAA サーバの IP アドレスです。 user は、接続に関連付けられているユーザ名です。
113005
エラー メッセージ %PIX|ASA-6-113005: AAA user authentication Rejected: reason = string : server = server_IP_address , User = user説明 このメッセージは、IPSec 接続または WebVPN 接続に関連付けられているユーザの認証要求または認可要求が拒否されたことを示します。要求が拒否された理由の詳細は、 reason フィールドに示されています。 server_IP_address は、関連する AAA サーバの IP アドレスです。 user は、接続に関連付けられているユーザ名です。 aaa_operation は、認証または認可のどちらかです。
113006
エラー メッセージ %PIX|ASA-6-113006: User user locked out on exceeding number successive failed authentication attempts説明 ローカルに設定されているユーザがロックアウトされています。このメッセージは、このユーザについて認証失敗が連続して設定回数だけ発生したときに現れ、今後このユーザが認証を受けようとしても、管理者が clear aaa local user lockout コマンドを使用してユーザをアンロックするまでは、すべて拒否されることを示します。 user は現在ロックされているユーザであり、 number は aaa local authentication attempts max-fail コマンドで設定されている連続失敗しきい値です。
推奨処置 clear_aaa_local_user_lockout コマンドを使用してユーザをアンロックするか、許容される連続認証失敗の最大数を調整します。
113007
エラー メッセージ %PIX|ASA-6-113007: User user unlocked by administrator説明 ローカルに設定されたユーザが、 aaa local authentication attempts max-fail コマンドによって設定された連続認証失敗の最大数を超えたためロックアウトされた後、表示されている管理者によってアンロックされました。
113008
エラー メッセージ %PIX|ASA-6-113008: AAA transaction status ACCEPT: user = user説明 IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが正常に完了しました。 user は、接続に関連付けられているユーザ名です。
113009
エラー メッセージ %PIX|ASA-6-113009: AAA retrieved default group policy policy for user user説明 このメッセージは、IPSec 接続または WebVPN 接続の認証中または認可中に生成される可能性があります。 tunnel-group コマンドまたは webvpn コマンドで指定されたグループ ポリシーのアトリビュートが取得されました。
113010
エラー メッセージ %PIX|ASA-6-113010: AAA challenge received for user user from server server_ IP_address説明 このメッセージは、認証が SecurID サーバで行われる場合 IPSec 接続の認証中に生成される可能性があります。ユーザは、認証に先立って詳細情報を入力するよう求められます。 server _IP_address は関連 AAA サーバの IP アドレスです。 user は接続に関連付けられているユーザ名です。
113011
エラー メッセージ %PIX|ASA-6-113011: AAA retrieved user specific group policy policy for user user説明 このイベントは、IPSec 接続または WebVPN 接続の認証中または認可中に生成される可能性があります。 tunnel-group コマンドまたは webvpn コマンドで指定されたグループ ポリシーのアトリビュートが取得されました。
113012
エラー メッセージ %PIX|ASA-6-113012: AAA user authentication Successful: local database : user = user説明 IPSec 接続または WebVPN 接続に関連付けられているユーザが、ローカル ユーザ データベースに正常に認証されました。 user は接続に関連付けられているユーザ名です。
113013
エラー メッセージ %PIX|ASA-6-113013: AAA unable to complete the request Error: reason = reason : user = user説明 IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが、エラーにより失敗したか、またはポリシー違反により拒否されました。詳細は reason フィールドに示されています。 user は、接続に関連付けられているユーザ名です。
113014
エラー メッセージ %PIX|ASA-6-113014: AAA authentication server not accessible: server = server_ IP_address : user = user説明 デバイスが、IPSec 接続または WebVPN 接続に関連付けられている AAA トランザクション中に設定済み AAA サーバと通信できませんでした。このため、ユーザが接続しようとしたとき、 aaa-server グループに設定されているバックアップ サーバおよびそのサーバのアベイラビリティ次第で、接続に失敗する場合も、失敗しない場合もあります。
113015
エラー メッセージ %PIX|ASA-6-113015: AAA user authentication Rejected: reason = reason : local database: user = user説明 IPSec 接続または WebVPN 接続に関連付けられているユーザのローカル ユーザ データベースへの認証要求が拒否されました。要求が拒否された理由の詳細は reason フィールドに示されています。 user は、接続に関連付けられているユーザ名です。
113016
エラー メッセージ %PIX|ASA-6-113016: AAA credentials rejected: reason = reason : server = server_ IP_address : user = user説明 IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが、エラーにより失敗したか、またはポリシー違反により拒否されました。詳細は reason フィールドに示されています。 server_IP_address は、関連する AAA サーバの IP アドレスです。 user は、接続に関連付けられているユーザ名です。
113017
エラー メッセージ %PIX|ASA-6-113017: AAA credentials rejected: reason = reason : local database: user = user\説明 このメッセージは、IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが、エラーにより失敗したか、またはポリシー違反により拒否さたことを示します。詳細は reason フィールドに示されています。このイベントが表示されるのは、AAA トランザクションが外部 AAA サーバではなくローカル ユーザ データベースと行われる場合だけです。 user は接続に関連付けられているユーザ名です。
113018
エラー メッセージ %PIX|ASA-3-113018: User: user , Unsupported downloaded ACL Entry: ACL_entry , Action: action説明 サポートされていないフォーマットの ACL エントリが認証サーバからダウンロードされました。メッセージの値は次のとおりです。
• ACL_entry :認証サーバからダウンロードされたサポートされていない ACL エントリ。
• action :サポートされていない ACL エントリに対して実行するアクション。
推奨処置 認証サーバの ACL エントリは、サポートされている ACL エントリ フォーマットに適合するように管理者が適切に変更する必要があります。
113019
エラー メッセージ %PIX|ASA-4-113019: Group = group , Username = user , IP = peer_address , Session disconnected. Session Type: type , Duration: duration , Bytes xmt: count , Bytes rcv: count , Reason: reason113020
エラー メッセージ %PIX|ASA-3-113020: Kerberos error : Clock skew with server ip_address greater than 300 seconds説明 このメッセージは、Kerberos サーバ経由の IPSec または WebVPN のユーザの認証が、セキュリティ アプライアンス のクロックとそのサーバのクロックが 5 分(300 秒)以上ずれているために失敗した場合に表示されます。この失敗が起こったときは、接続しようとしても拒否されます。
114001
エラー メッセージ %ASA-1-114001: Failed to initialize 4GE SSM I/O card (error error_string ).説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードを初期化できなかった場合に表示されます。
error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラーのいずれかを示します。これは 10 進数のエラー コードです。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114002
エラー メッセージ %ASA-1-114002: Failed to initialize SFP in 4GE SSM I/O card (error error_string ).このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードの SFP コネクタを初期化できなかった場合に表示されます。
error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラーのいずれかを示します。これは 10 進数のエラー コードです。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114003
エラー メッセージ %ASA-1-114003: Failed to run cached commands in 4GE SSM I/O card (error error_string ).説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードにキャッシュされたコマンドを実行できなかった場合に表示されます。
error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラーのいずれかを示します。これは 10 進数のエラー コードです。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114004
エラー メッセージ %ASA-6-114004: 4GE SSM I/O Initialization start.114005
エラー メッセージ %ASA-6-114005: 4GE SSM I/O Initialization end.114006
エラー メッセージ %ASA-3-114006: Failed to get port statistics in 4GE SSM I/O card (error error_string ).説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのポート統計情報を取得できなかった場合に表示されます。
error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラーのいずれかを示します。これは 10 進数のエラー コードです。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114007
エラー メッセージ %ASA-3-114007: Failed to get current msr in 4GE SSM I/O card (error error_string ).説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードの現在のモジュール ステータス レジスタ情報を取得できなかった場合に表示されます。
error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラーのいずれかを示します。これは 10 進数のエラー コードです。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114008
エラー メッセージ %ASA-3-114008: Failed to enable port after link is up in 4GE SSM I/O card due to either I2C serial bus access error or switch access error.説明 このメッセージは、I2C シリアル バス アクセス エラーまたはスイッチ アクセス エラーのために、Up 状態へのリンク移行が 4GE SSM I/O カードで検出された後にシステムがポートをイネーブルにできなかった場合に表示されます。
error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラーのいずれかを示します。これは 10 進数のエラー コードです。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114009
エラー メッセージ %ASA-3-114009: Failed to set multicast address in 4GE SSM I/O card (error error_string ).説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのマルチキャスト アドレスを設定できなかった場合に表示されます。
error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラーのいずれかを示します。これは 10 進数のエラー コードです。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114010
エラー メッセージ %ASA-3-114010: Failed to set multicast hardware address in 4GE SSM I/O card (error error_string ).説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのマルチキャスト ハードウェア アドレスを設定できなかった場合に表示されます。
error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラーのいずれかを示します。これは 10 進数のエラー コードです。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114011
エラー メッセージ %ASA-3-114011: Failed to delete multicast address in 4GE SSM I/O card (error error_string ).error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラーのいずれかを示します。これは 10 進数のエラー コードです。I2C シリアル バス エラーは次のとおりです。
説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのマルチキャスト アドレスを削除できなかった場合に表示されます。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114012
エラー メッセージ %ASA-3-114012: Failed to delete multicast hardware address in 4GE SSM I/O card (error error_string ).error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラーのいずれかを示します。これは 10 進数のエラー コードです。I2C シリアル バス エラーは次のとおりです。
説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのマルチキャスト ハードウェア アドレスを削除できなかった場合に表示されます。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114013
エラー メッセージ %ASA-3-114013: Failed to set mac address table in 4GE SSM I/O card (error error_string ).説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードの MAC アドレス テーブルを設定できなかった場合に表示されます。
error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラーのいずれかを示します。これは 10 進数のエラー コードです。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114014
エラー メッセージ %ASA-3-114014: Failed to set mac address in 4GE SSM I/O card (error error_string ).error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラーのいずれかを示します。これは 10 進数のエラー コードです。I2C シリアル バス エラーは次のとおりです。
説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードの MAC アドレスを設定できなかった場合に表示されます。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114015
エラー メッセージ %ASA-3-114015: Failed to set mode in 4GE SSM I/O card (error error_string ).error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラーのいずれかを示します。これは 10 進数のエラー コードです。I2C シリアル バス エラーは次のとおりです。
説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードの個別モードまたは混在モードを設定できなかった場合に表示されます。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114016
エラー メッセージ %ASA-3-114016: Failed to set multicast mode in 4GE SSM I/O card (error error_string ).error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラーのいずれかを示します。これは 10 進数のエラー コードです。I2C シリアル バス エラーは次のとおりです。
説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのマルチキャスト モードを設定できなかった場合に表示されます。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114017
エラー メッセージ %ASA-3-114017: Failed to get link status in 4GE SSM I/O card (error error_string ).説明 このメッセージは、I2C シリアル バス アクセス エラーまたはスイッチ アクセス エラーのためにシステムが 4GE SSM I/O カードのリンク ステータスを取得できなかった場合に表示されます。
error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラーのいずれかを示します。これは 10 進数のエラー コードです。I2C シリアル バス エラーは次のとおりです。
2. イベントに関連付けられているメッセージとエラーを記録して確認します。
114018
エラー メッセージ %ASA-3-114018: Failed to set port speed in 4GE SSM I/O card (error error_string ).説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのポート速度を設定できなかった場合に表示されます。
error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラーのいずれかを示します。これは 10 進数のエラー コードです。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114019
エラー メッセージ %ASA-3-114019: Failed to set media type in 4GE SSM I/O card (error error_string ).説明 このメッセージは、I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードのメディア タイプを設定できなかった場合に表示されます。
error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラーのいずれかを示します。これは 10 進数のエラー コードです。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114020
エラー メッセージ %ASA-3-114020: Port link speed is unknown in 4GE SSM I/O card.説明 このメッセージは、システムが 4GE SSM I/O カードのポート リンク速度を検出できなかった場合に表示されます。
1. イベントに関連付けられているメッセージを記録して確認します。
2. 4GE SSM I/O カードをリセットし、ソフトウェアがイベントから自動的に回復するかどうか観察します。
3. ソフトウェアが自動的に回復しない場合は、電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。
199001
エラー メッセージ %PIX|ASA-5-199001: Reload command executed from telnet (remote IP_address ).説明 このメッセージは、 reload コマンドで Cisco ASA リブートを開始したホストのアドレスを記録します。
199002
エラー メッセージ %PIX|ASA-6-199002: startup completed. Beginning operation.説明 Cisco ASA が、その初期ブートおよびフラッシュ メモリ読み取りシーケンスを完了し、正常動作を開始する準備が整いました。
(注) このメッセージは、no logging message コマンドを使用してもブロックすることはできません。
199003
エラー メッセージ %PIX|ASA-6-199003: Reducing link MTU dec .説明 Cisco ASA が内部ネットワークよりも大きい MTU を使用している外部ネットワークからパケットを受信しました。その後 Cisco ASA は、適切な MTU をネゴシエートするため、ICMP メッセージをその外部ホストに送信しました。ログ メッセージには、ICMP メッセージのシーケンス番号が含まれています。
199005
エラー メッセージ %PIX|ASA-6-199005: Startup begin199006
エラー メッセージ %PIX|ASA-5-199006: Orderly reload started at when by whom . Reload reason: reason説明 このメッセージは、リロード動作が開始されたときに生成されます。
• when :正常ロード動作が開始された時刻。時刻は、hh:mm:ss 時間帯 曜日 月 日 年という形式で表示されます。たとえば「13:23:45 UTC Sun Dec 28 2003」のようになります。
• whom :リロード スケジュールを設定したユーザまたはシステム。
199907
エラー メッセージ %PIX|ASA-5-1999007:IP detected an attached application using port port while removing context説明 インターフェイスまたはコンテキストが削除された場合、すべてのアプリケーションはコンテキストまたはインターフェイス用のチャネルをすべてクローズする必要があります。このメッセージは、削除されたインターフェイスまたはアプリケーション用のすべてのチャネルをアプリケーションがクローズしていないか、またはクローズ中であることを示します。
199908
エラー メッセージ %PIX|ASA-5-1999008: Protocol detected an attached application using local port local_port and destination port dest_port説明 インターフェイスまたはコンテキストが削除された場合、すべてのアプリケーションはコンテキストまたはインターフェイス用のチャネルをすべてクローズする必要があります。このメッセージは、削除されたインターフェイスまたはアプリケーション用のすべてのチャネルをアプリケーションがクローズしていないか、またはクローズ中であることを示します。
199909
エラー メッセージ %PIX|ASA-7-199009: ICMP detected an attached application while removing a context説明 インターフェイスまたはコンテキストが削除された場合、すべてのアプリケーションはコンテキストまたはインターフェイス用のチャネルをすべてクローズする必要があります。このメッセージは、削除されたインターフェイスまたはアプリケーション用のすべてのチャネルをアプリケーションがクローズしていないか、またはクローズ中であることを示します。
メッセージ 201002 ~ 217001
この項では、201002 から 217001 までのメッセージについて説明します。
201002
エラー メッセージ %PIX|ASA-3-201002: Too many TCP connections on {static|xlate} global_address ! econns nconns説明 これは接続関連のメッセージです。このメッセージは、指摘されたグローバル アドレスへの TCP 接続が最大数を超えた場合に表示されます。econns 変数は最大初期接続数であり、nconns 変数はスタティックまたは xlate に許可される最大接続数です。
推奨処置 show static コマンドまたは show nat コマンドを使用して、スタティック アドレスへの接続に課されている制限を確認します。制限は設定可能です。
201003
エラー メッセージ %PIX|ASA-2-201003: Embryonic limit exceeded nconns / elimit for outside_address / outside_port ( global_address ) inside_address / inside_port on interface interface_name説明 これは、Cisco ASA へのトラフィックに関する接続関連のメッセージです。このメッセージは、指摘されたスタティック グローバル アドレスを持つ、指摘された外部アドレスから指摘されたローカル アドレスへの初期接続の数が初期接続の制限を超えた場合に表示されます。Cisco ASA への初期接続の制限に達すると、Cisco ASA は何としても受け入れようと試みますが、その接続に時間制限を課します。この状況により、たとえ Cisco ASA がビジー状態であっても、一部の接続が成功することがあります。nconns 変数は受信した初期接続の数を示し、 elimit 変数は static コマンドまたは nat コマンドに指定されている最大初期接続数を示します。
推奨処置 このメッセージは、メッセージ 201002 よりもさらに深刻なオーバーロードを示します。このオーバーロードは、SYN 攻撃、または正規のトラフィックの非常に重い負荷が原因となっている可能性があります。show static コマンドを使用して、スタティック アドレスへの初期接続に課されている制限を確認します。
201004
エラー メッセージ %PIX|ASA-3-201004: Too many UDP connections on {static|xlate} global_address ! udp connections limit説明 これは接続関連のメッセージです。このメッセージは、指摘されたグローバル アドレスへの UDP 接続が最大数を超えた場合に表示されます。udp conn limit 変数は、スタティックまたは変換に許可される UDP 接続の最大数です。
推奨処置 show static コマンドまたは show nat コマンドを使用して、スタティック アドレスへの接続に課されている制限を確認します。制限は設定可能です。
201005
エラー メッセージ %PIX|ASA-3-201005: FTP data connection failed for IP_address IP_address説明 Cisco ASA が、メモリ不足のため FTP のデータ接続を追跡するための構造を割り当てることができませんでした。
201006
エラー メッセージ %PIX|ASA-3-201006: RCMD backconnection failed for IP_address / port説明 これは接続関連のメッセージです。このメッセージは、メモリ不足のため Cisco ASA が rsh コマンドに対する着信標準出力のための接続を事前割当できなかった場合に表示されます。
推奨処置 rsh クライアント バージョンを確認します。Cisco ASA がサポートしているのは Berkeley rsh だけです。メモリ使用量を減らすか、または増設メモリを購入することもできます。
201008
エラー メッセージ %PIX|ASA-3-201008: The Cisco ASA is disallowing new connections.説明 このメッセージは、TCP システム ログ メッセージングをイネーブルにしても syslog& サーバに到達できない場合、または Cisco ASA Syslog Server (PFSS)を使用しており、Windows NT システムのディスクが満杯になっている場合に表示されます。
推奨処置 TCP システム ログ メッセージングをディセーブルにします。PFSS を使用している場合は、PFSS のある Windows NT システム上のスペースを解放します。さらに、syslog サーバが動作しており、Cisco ASA コンソールからそのホストに ping できることを確認します。次に、TCP システム メッセージ ロギングを再開してトラフィックを許可します。
201009
エラー メッセージ %PIX|ASA-3-201009: TCP connection limit of number for host IP_address on interface_name exceeded説明 これは接続関連のメッセージです。このメッセージは、指摘されたスタティック アドレスへの接続が最大数を超えた場合に表示されます。number 変数は、 IP_address 変数で指摘されたホストに許可されている接続の最大数です。
推奨処置 show static コマンドおよび show nat コマンドを使用して、アドレスへの接続に課されている制限を確認します。制限は設定可能です。
201010
エラー メッセージ %PIX|ASA-3-201010: Embryonic connection limit exceeded econns / limit for dir packet from source_address / source_port to dest_address / dest_port on interface interface_name 説明 TCP 接続を確立しようとしたが、トラフィック クラスに対して
set connection embryonic-conn-max MPC コマンドで設定されている初期接続の制限を超えたために失敗しました。
• econns :設定したトラフィック クラスに関連付けられている初期接続の現在の数。
• limit :設定した初期接続のトラフィック クラスの制限
• dir :
input:接続を開始した最初のパケットはインターフェイス interface_name 上の入力パケットです。
output:接続を開始した最初のパケットはインターフェイス interface_name 上の出力パケットです。
• source_address / source_port :接続を開始したパケットの送信元 IP アドレスおよび送信元ポート。
• dest_address / dest_port :接続を開始したパケットの宛先 IP アドレスおよび宛先ポート。
202001
エラー メッセージ %PIX|ASA-3-202001: Out of address translation slots!説明 これは接続関連のメッセージです。このメッセージは、Cisco ASA に使用可能なアドレス変換スロットがなくなった場合に表示されます。
推奨処置 グローバル プールのサイズを確認し、内部のネットワーク クライアント数と比較します。PAT アドレスが必要になる可能性もあります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。メモリ使用量を減らすか、または可能であれば増設メモリを購入します。
202005
エラー メッセージ %PIX|ASA-3-202005: Non-embryonic in embryonic list outside_address/outside_port inside_address/inside_port説明 これは接続関連のメッセージです。このメッセージは、接続オブジェクト(xlate)が誤ったリストに入っている場合に表示されます。
202011
エラー メッセージ %PIX|ASA-3-202011: Connection limit exceeded econns / limit for dir packet from source_address / source_port to dest_address / dest_port on interface interface_name説明 このメッセージは、TCP 接続または UDP 接続を作成しようとしたが、トラフィック クラスに対して set connection conn-max MPC コマンドで設定されている接続の制限を超えたために失敗した場合に表示されます。
• econns :設定したトラフィック クラスに関連付けられている初期接続の現在の数。
• limit :設定した初期接続のトラフィック クラスの制限
• dir :
input:接続を開始した最初のパケットはインターフェイス interface_name 上の入力パケットです。
output:接続を開始した最初のパケットはインターフェイス interface_name 上の出力パケットです。
• source_address / source_port :接続を開始したパケットの送信元 IP アドレスおよび送信元ポート。
• dest_address / dest_port :接続を開始したパケットの宛先 IP アドレスおよび宛先ポート。
208005
エラー メッセージ %PIX|ASA-3-208005: (function:line_num) clear command return code説明 Cisco ASA が、フラッシュ メモリ内のコンフィギュレーションを消去しようとしたときに非ゼロ値(内部エラー)を受信しました。このメッセージには、報告サブルーチンのファイル名および行番号が含まれています。
推奨処置 パフォーマンス上の理由から、エンド ホストは IP フラグメントを投入しないように設定する必要があります。このコンフィギュレーションの変更は、NFS が原因と考えられます。読み取りサイズおよび書き込みサイズを NFS のインターフェイス MTU と等しく設定します。
209003
エラー メッセージ %PIX|ASA-4-209003: Fragment database limit of number exceeded: src = source_address , dest = dest_address , proto = protocol , id = number説明 現在再組み立てを待っている IP フラグメントが多過ぎます。デフォルトでは、フラグメントの最大数は 200 です(最大値を大きくするには、『 Cisco Security Appliance Command Reference 』の fragment size コマンドを参照してください)。Cisco ASA は、同時に再組み立てできる IP フラグメントの数を制限します。この制約により、異常なネットワーク条件下で Cisco ASA のメモリが枯渇するのが防止されます。一般に、フラグメント化されたトラフィックは、混合トラフィック全体のわずかな割合に抑える必要があります。例外は、ほとんどがフラグメント化されたトラフィックである NFS over UDP のネットワーク環境の場合です。このタイプのトラフィックが Cisco ASA 経由で中継される場合、その代わりに NFS over TCP の使用を検討します。フラグメント化を防ぐには、『 Cisco Security Appliance Command Reference 』の sysopt connection tcpmss bytes コマンドを参照してください。
推奨処置 このメッセージが引き続き表示される場合は、DoS 攻撃(サービス拒絶攻撃)が進行している可能性があります。リモート ピアの管理者またはアップストリームのプロバイダーにお問い合せください。
209004
エラー メッセージ %PIX|ASA-4-209004: Invalid IP fragment, size = bytes exceeds maximum size = bytes : src = source_address , dest = dest_address , proto = protocol , id = number説明 IP フラグメントの形式が誤っています。再組み立て済み IP パケットの合計サイズが、最大可能サイズの 65,535 バイトを超えています。
推奨処置 侵入イベントが進行している可能性があります。このメッセージが引き続き表示される場合は、リモート ピアの管理者またはアップストリームのプロバイダーにお問い合せください。
209005
エラー メッセージ %PIX|ASA-4-209005: Discard IP fragment set with more than number elements: src = Too many elements are in a fragment set.説明 Cisco ASA は、24 よりも多くのフラグメントにフラグメント化されている IP パケットを拒否します。詳細については、『 Cisco Security Appliance Command Reference 』の fragment コマンドを参照してください。
推奨処置 侵入イベントが進行している可能性があります。このメッセージが引き続き表示される場合は、リモート ピアの管理者またはアップストリームのプロバイダーにお問い合せください。 fragment chain xxx interface_name コマンドを使用して、パケットあたりのフラグメントの数を変更できます。
210001
エラー メッセージ %PIX|ASA-3-210001: LU sw_module_name error = number説明 ステートフル フェールオーバー エラーが発生しました。
推奨処置 Cisco ASA 経由のトラフィックが減少した後もこのエラーが引き続き表示される場合は、Cisco TAC にこのエラーを報告してください。
210002
エラー メッセージ %PIX|ASA-3-210002: LU allocate block ( bytes ) failed.説明 ステートフル フェールオーバーが、ステートフル情報をスタンバイ Cisco ASA に送信するためのメモリのブロックを割り当てることができませんでした。
推奨処置 show interface コマンドを使用してフェールオーバー インターフェイスを調べて、その送信が正常であることを確認します。さらに、 show block コマンドを使用して、現在のブロック メモリを調べます。現在使用可能なカウントが 0 になっているメモリのブロックがあれば、Cisco ASA ソフトウェアをリロードして失われたメモリのブロックを回復します。
210003
エラー メッセージ %PIX|ASA-3-210003: Unknown LU Object number説明 ステートフル フェールオーバーが、サポートされていない Logical Update オブジェクトを受信したため、そのオブジェクトを処理できませんでした。これは、破損したメモリ、LAN 伝送、または他のイベントが原因となっている可能性があります。
推奨処置 このエラーがまれにしか表示されない場合は、処置は不要です。このエラーが頻繁に発生する場合は、ステートフル フェールオーバー リンク LAN 接続を確認します。エラーが不適切なフェールオーバー リンク LAN 接続のためでない場合は、外部ユーザが保護されているネットワークを危険にさらそうとしていないかどうか判別します。誤って設定したクライアントがないかどうか確認します。
210005
エラー メッセージ %PIX|ASA-3-210005: LU allocate connection failed説明 ステートフル フェールオーバーが、スタンバイ装置に新しい接続を割り当てられません。これは、Cisco ASA 内の使用可能な RAM メモリがほとんどないか、またはまったくないことが原因となっている可能性があります。
推奨処置 show memory コマンドを使用して Cisco ASA システムの空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリを Cisco ASA に追加します。
210006
エラー メッセージ %PIX|ASA-3-210006: LU look NAT for IP_address failed説明 ステートフル フェールオーバーが、スタンバイ装置上で IP アドレス用の NAT グループを検出できませんでした。アクティブおよびスタンバイの Cisco ASA 装置が同期していない可能性があります。
推奨処置 アクティブ装置で write standby コマンドを使用して、システム メモリをスタンバイ装置に同期させます。
210007
エラー メッセージ %PIX|ASA-3-210007: LU allocate xlate failed説明 ステートフル フェールオーバーが、変換(xlate)スロット レコードを割り当てることができませんでした。
推奨処置 show memory コマンドを使用して Cisco ASA システムの空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリを追加します。
210008
エラー メッセージ %PIX|ASA-3-210008: LU no xlate for inside_address / inside_port outside_address / outside_port説明 ステートフル フェールオーバー接続の変換スロット(xlate)レコードが検出できませんでした。接続情報が処理できません。
推奨処置 アクティブ装置で write standby コマンドを入力して、システム メモリをアクティブ装置とスタンバイ装置との間で同期させます。
210010
エラー メッセージ %PIX|ASA-3-210010: LU make UDP connection for outside_address : outside_port inside_address : inside_port failed説明 ステートフル フェールオーバーが、UDP 接続に新しいレコードを割り当てることができませんでした。
推奨処置 show memory コマンドを使用して Cisco ASA システムの空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリを追加します。
210020
エラー メッセージ %PIX|ASA-3-210020: LU PAT port port reserve failed説明 ステートフル フェールオーバーが、使用中の特定の PAT アドレスを割り当てることができません。
推奨処置 アクティブ装置で write standby コマンドを入力して、システム メモリをアクティブ装置とスタンバイ装置との間で同期させます。
210021
エラー メッセージ %PIX|ASA-3-210021: LU create static xlate global_address ifc interface_name failed説明 ステートフル フェールオーバーが変換スロット(xlate)を作成できません。
推奨処置 アクティブ装置で write standby コマンドを入力して、システム メモリをアクティブ装置とスタンバイ装置との間で同期させます。
210022
エラー メッセージ %PIX|ASA-6-210022: LU missed number updates説明 ステートフル フェールオーバーが、スタンバイ装置に送信された各レコードにシーケンス番号を割り当てます。受信したレコードのシーケンス番号が最後にアップデートされたレコードと順序が狂っている場合、その間の情報が失われたものとみなされ、このエラー メッセージが送信されます。
推奨処置 LAN の中断がない場合は、両方の Cisco ASA 装置の利用可能なメモリをチェックして、ステートフル情報を処理するのに十分なメモリがあることを確認します。 show failover コマンドを使用して、ステートフル情報のアップデートの品質を監視します。
211001
エラー メッセージ %PIX|ASA-3-211001: Memory allocation Error推奨処置 このメッセージが一定期間ごとに発生する場合は、無視してかまいません。頻繁に繰り返される場合は、Cisco TAC にお問い合せください。
211003
エラー メッセージ %PIX|ASA-3-211003: CPU utilization for number seconds = percent説明 このメッセージは、CPU 使用率が数秒間 100 パーセントを超えた場合に表示されます。
推奨処置 このメッセージが一定期間ごとに発生する場合は、無視してかまいません。頻繁に繰り返される場合は、Cisco TAC にお問い合せください。
212001
エラー メッセージ %PIX|ASA-3-212001: Unable to open SNMP channel (UDP port port ) on interface interface_number , error code = code 説明 これは SNMP メッセージです。このメッセージは、Cisco ASA がこのインターフェイス上にある SNMP 管理ステーションから Cisco ASA 向けの SNMP 要求を受信できないことを報告します。これは、Cisco ASA を介してインターフェイスを通過する SNMP トラフィックに影響しません。
エラー コード -1 は、Cisco ASA がそのインターフェイスに対して SNMP トランスポートを開けなかったことを示します。このエラーは、SNMP がクエリーを受け入れるポートを別の機能ですでに使われているポートに変更しようとユーザがした場合に発生する可能性があります。この場合、SNMP が使用するポートは、着信 SNMP クエリー用のデフォルト ポート(UDP/161)にリセットされます。
エラー コード -2 は、Cisco ASA がそのインターフェイスに対して SNMP トランスポートをバインドできなかったことを示します。
推奨処置 トラフィック量が少ないときに、Cisco ASA がリソースの一部を再要求してから、対象となるインターフェイスに対して snmp-server host コマンドを再入力します。
212002
エラー メッセージ %PIX|ASA-3-212002: Unable to open SNMP trap channel (UDP port port ) on interface interface_number , error code = code 説明 これは SNMP メッセージです。このメッセージは、Cisco ASA が Cisco ASA からこのインターフェイス上にある SNMP 管理ステーションに自分の SNMP トラップを送信できないことを報告します。これは、Cisco ASA を介してインターフェイスを通過する SNMP トラフィックに影響しません。
エラー コード -1 は、Cisco ASA がそのインターフェイスに対して SNMP トランスポートを開けなかったことを示します。
エラー コード -2 は、Cisco ASA がそのインターフェイスに対して SNMP トランスポートをバインドできなかったことを示します。
推奨処置 トラフィック量が少ないときに、Cisco ASA がリソースの一部を再要求してから、対象となるインターフェイスに対して snmp-server host コマンドを再入力します。
212003
エラー メッセージ %PIX|ASA-3-212003: Unable to receive an SNMP request on interface interface_number , error code = code , will try again.説明 これは SNMP メッセージです。このメッセージは、指摘されたインターフェイス上の Cisco ASA 向けの SNMP 要求を受信する際の内部エラーが原因で表示されます。
212004
エラー メッセージ %PIX|ASA-3-212004: Unable to send an SNMP response to IP Address IP_address Port port interface interface_number , error code = code説明 これは SNMP メッセージです。このメッセージは、指摘されたインターフェイス上の指摘されたホストに Cisco ASA から SNMP 応答を送信する際の内部エラーが原因で表示されます。
212005
エラー メッセージ %PIX|ASA-3-212005: incoming SNMP request ( number bytes) on interface interface_name exceeds data buffer size, discarding this SNMP request.説明 これは SNMP メッセージです。このメッセージは、着信 SNMP メッセージ、つまり Cisco ASA に向けられた要求の長さが、内部処理中に要求を格納するために使用される内部データ バッファのサイズ(512 バイト)を超えていることを報告します。Cisco ASA はこの要求を処理できません。この状況は、インターフェイスを使用して Cisco ASA を通過する SNMP トラフィックに影響しません。
推奨処置 SNMP 管理ステーションに長さの短い要求を再送信させます。たとえば、1 つの要求で複数の MIB 変数にクエリーを実行するのではなく、1 つの要求で 1 つの MIB 変数のみにクエリーを実行するようにします。SNMP マネージャ ソフトウェアのコンフィギュレーションの修正が必要になる可能性もあります。
212006
エラー メッセージ %PIX|ASA-3-212006: Dropping SNMP request from source_address / source_port to interface_name : dest_address / dest_port because: reason .説明 これは SNMP メッセージです。このメッセージは、デバイスが次の理由からそのデバイスへの SNMP 要求を処理できない場合に表示されます。
推奨処置 snmp-server enable コマンドを発行して、SNMP デーモンが組み込まれることを確認します。デバイスが処理するのは、SNMPv1 パケットおよび SNMPv2c パケットだけです。
213001
エラー メッセージ %PIX|ASA-3-213001: PPTP control daemon socket io string , errno = number .213002
エラー メッセージ %PIX|ASA-3-213002: PPTP tunnel hashtable insert failed, peer = IP_address .213003
エラー メッセージ %PIX|ASA-3-213003: PPP virtual interface interface_number isn't opened.213004
エラー メッセージ %PIX|ASA-3-213004: PPP virtual interface interface_number client ip allocation failed.説明 IP アドレスを PPTP クライアントに割り当てている間に内部ソフトウェア エラーが発生しました。
推奨処置 このエラーは、IP ローカル アドレス プールが枯渇した場合に発生します。 ip local pool コマンドを使用して、さらに大きいプールを割り当てることを検討します。
214001
エラー メッセージ %PIX|ASA-2-214001: Terminating manager session from IP_address on interface interface_name . Reason: incoming encrypted data ( number bytes) longer than number bytes説明 Cisco ASA 管理ポート向けの着信暗号化データ パケットは、パケット長が指摘された上限を超えていることを示します。これは敵対イベントの場合があります。Cisco ASA は、ただちにこの管理接続を終了します。
215001
エラー メッセージ %PIX|ASA-2-215001:Bad route_compress() call, sdb= number217001
エラー メッセージ %PIX|ASA-2-217001: No memory for string in string推奨処置 十分なメモリが存在する場合は、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
216002
エラー メッセージ PIX|ASA-3-216002: Unexpected event (major: major_id , minor: minor_id ) received by task_string in function at line: line_num説明 このメッセージは、タスクがイベント通知に登録したが、そのタスクが特定のイベントを処理できない場合に表示されます。監視できるイベントには、キュー、ブーリアン、タイマー サービスなどに関連付けられているイベントが含まれます。登録されているイベントのいずれかが発生した場合、スケジューラはタスクを再起動してイベントを処理します。このメッセージは、予期しないイベントがタスクを再起動したので、タスクがそのイベントの処理方法を認識していない場合に生成されます。
イベントが未処理のままになっている場合、そのイベントが頻繁にタスクを再起動して処理されていることを確認しますが、これは正常状態では発生してはならないことです。このメッセージが表示された場合、必ずしもボックスが使用できないという意味ではなく、問題が発生し、調査する必要があることを意味しています。
task_string :タスクが自分自身を認識するために通過させたカスタム ストリング
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
216003
エラー メッセージ %PIX|ASA-3-216003: Unrecognized timer timer_ptr , timer_id received by task_string in function at line: line_num説明 このメッセージは、予期しないタイマー イベントがタスクを再起動し、タスクがそのイベントの処理方法を認識していない場合に表示されます。タスクは、一連のタイマー サービスをスケジューラに登録できます。タイマーのいずれかが期限満了になった場合、スケジューラはタスクを再起動してアクションを実行します。このメッセージは、認識できないタイマー イベントによってタスクが再起動された場合に生成されます。
期限満了になったタイマーは、タスクが未処理のままになっている場合、途切れることなくタスクを再起動して処理されていることを確認しますが、これは望ましいことではありません。これは正常状態では発生してはならないことです。このメッセージが表示された場合、必ずしもボックスが使用できないという意味ではなく、問題が発生し、調査する必要があることを意味しています。
task_string :タスクが自分自身を認識するために通過させたカスタム ストリング
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
メッセージ 302003 ~ 326028
この項では、 302003 から 326028 までのメッセージについて説明します。
302003
エラー メッセージ %PIX|ASA-6-302003: Built H245 connection for foreign_address outside_address / outside_port local_address inside_address / inside_port説明 これは接続関連のメッセージです。このメッセージは、H.245 接続が outside_address から inside_address に向けて開始されている場合に表示されます。このメッセージが発生するのは、Cisco ASA が Intel インターネット電話の使用を検出した場合だけです。外部ポートは、Cisco ASA 外部からの接続にしか表示されません。ローカル ポート値(内部ポート)は、内部インターフェイスで開始された接続にしか表示されません。
302004
エラー メッセージ %PIX|ASA-6-302004: Pre-allocate H323 UDP backconnection for foreign_address outside_address / outside_port to local_address inside_address /inside_port説明 これは接続関連のメッセージです。このメッセージは、H.323 UDP バック接続がローカル アドレス( inside_address )から外部アドレス( outside_address )に事前割り当てされている場合に表示されます。このメッセージが発生するのは、Cisco ASA が Intel インターネット電話の使用を検出した場合だけです。外部ポート( outside_port )は、Cisco ASA 外部からの接続にしか表示されません。ローカル ポート値(inside_port)は、内部インターフェイスで開始された接続にしか表示されません。
302009
エラー メッセージ %PIX|ASA-6-302009: Rebuilt TCP connection number for foreign_address outside_address / outside_port global_address global_address / global_port local_address inside_address / inside_port説明 これは接続関連のメッセージです。このメッセージは、フェールオーバー後に TCP 接続が再確立された後に表示されます。同期パケットは相手側 Cisco ASA に送信されません。 outside_address IP アドレスは外部ホストであり、 global_address IP アドレスは低セキュリティ レベルのインターフェイス上のグローバル アドレスであり、 inside_address IP アドレスは高セキュリティ レベルのインターフェイス上の Cisco ASA の「背後にある」ローカル IP アドレスです。
302010
エラー メッセージ %PIX|ASA-6-302010: connections in use, connections most used説明 これは接続関連のメッセージです。このメッセージは、TCP 接続が再開された後に表示されます。 connections は接続の数です。
302012
エラー メッセージ %PIX|ASA-6-302012: Pre-allocate H225 Call Signalling Connection for faddr IP_address / port to laddr IP_address302013
エラー メッセージ %PIX|ASA-6-302013: Built {inbound|outbound} TCP connection _ id for interface:real-address/real-port ( mapped-address/mapped-port ) to interface:real-address / real-port ( mapped-address/mapped-port ) [( user )]説明 2 つのホスト間の TCP 接続スロットが作成されました。
• interface 、 real-address 、 real-port は、実際のソケットを特定します。
• mapped-address、mapped-port は、マッピングされたソケットを特定します。
inbound が表示されている場合、元の制御接続は外部から開始されています。たとえば、FTP の場合、元の制御チャネルが着信であれば、すべてのデータ転送チャネルは着信です。outbound が表示されている場合、元の制御接続は内部から開始されています。
302014
エラー メッセージ %PIX|ASA-6-302014: Teardown TCP connection id for interface:real-address/real-port to interface:real-address/real-port duration hh:mm:ss bytes bytes [ reason ] [( user )]説明 2 つのホスト間の TCP 接続が削除されました。メッセージの値は次のとおりです。
• interface、real-address、real-port は、実際のソケットを特定します。
reason 変数は、接続を終了させるアクションを示します。 reason 変数は、 表2-2 に示されている TCP 終了の原因の 1 つが設定されています。
|
|
|
|---|---|
302015
エラー メッセージ %PIX|ASA-6-302015: Built {inbound|outbound} UDP connection number for interface_name:real_address/real_port ( mapped_address/mapped_port ) to interface_name:real_address / real_port ( mapped_address/mapped_port ) [( user )]説明 2 つのホスト間の UDP 接続スロットが作成されました。メッセージの値は次のとおりです。
• interface、real_address、real_port :実際のソケット。
• mapped_address/mapped_port :マッピングされているソケット。
inbound が表示されている場合、元の制御接続は外部から開始されています。たとえば、UDP の場合、元の制御チャネルが着信であれば、すべてのデータ転送チャネルは着信です。outbound が表示されている場合、元の制御接続は内部から開始されています。
302016
エラー メッセージ %PIX|ASA-6-302016: Teardown UDP connection number for interface:real-address/real-port to interface:real-address/real-port duration hh:mm:ss bytes bytes [( user )]説明 2 つのホスト間の UDP 接続スロットが削除されました。メッセージの値は次のとおりです。
• connection number は、一意の識別子です。
• interface、real_address、real_port は、実際のソケットです。
302017
エラー メッセージ %PIX|ASA-6-302017: Built { inbound | outbound }GRE connection id from
interface:real_address ( translated_address ) to
interface:real_address/real_cid
( translated_address/translated_cid )[( user )
説明 2 つのホスト間の GRE 接続スロットが作成されました。 id は、固有の識別子です。 interface、real_address、real_cid タプルは、2 つのシンプレックス PPTP GRE ストリームのうちの 1 つを特定します。括弧付きの translated_address 、 translated_cid タプルは、NAT で変換された値を特定します。
inbound が表示されている場合、接続は着信だけに使用できます。 outbound が表示されている場合、接続は発信だけに使用できます。メッセージの値は次のとおりです。
• inbound :制御接続は着信 PPTP GRE フロー用です。
• outbound :制御接続は発信 PPTP GRE フロー用です。
• real_address :実際のホストの IP アドレス。
• real_cid :変換されてない接続の call-ID。
302018
エラー メッセージ %PIX|ASA-6-302018: Teardown GRE connection id frominterface:real_address ( translated_address ) to
interface:real_address/real_cid
( translated_address/translated_cid )
duration hh:mm:ss bytes bytes [( user )]
説明 2 つのホスト間の GRE 接続スロットが削除されました。 interface、real_address、real_port タプルは、実際のソケットを特定します。 Duration は、接続のライフタイムとみなされます。メッセージの値は次のとおりです。
• real_address :実際のホストの IP アドレス。
302019
エラー メッセージ %PIX|ASA-3-302019: H.323 library_name ASN Library failed to initialize, error code number説明 Cisco ASA が H.323 メッセージのデコードに使用する指摘された ASN ライブラリの初期化に失敗しました。Cisco ASA は到着する H.323 パケットをデコードも検査もできません。Cisco ASA は、何も修正を加えずに H.323 パケットが通過できるようにします。次の H.323 メッセージが到着すると、Cisco ASA はライブラリを再度初期化しようとします。
推奨処置 このメッセージが特定のライブラリに対して始終生成される場合は、Cisco TAC にお問い合せのうえ、すべてのログ メッセージ(タイムスタンプ付きが望ましい)を送付してください。
302020
エラー メッセージ %PIX|ASA-6-302020: Built {in | out}bound ICMP connection for faddr { faddr | icmp_seq_num} gaddr { gaddr | cmp_type } laddr laddr説明 fixup protocol icmp コマンドを使用してステートフル ICMP をイネーブルにしたときに、ICMP セッションがファースト パスで確立されました。
302021
エラー メッセージ %PIX|ASA-6-302021: Teardown ICMP connection for faddr { faddr | icmp_seq_num } gaddr { gaddr | cmp_type } laddr laddr説明 fixup protocol icmp コマンドを使用してステートフル ICMP をイネーブルにしたときに、ICMP セッションがファースト パスで削除されました。
302302
エラー メッセージ %PIX|ASA-3-302302: ACL = deny; no sa created説明 IPSec プロキシがミスマッチです。ネゴシエートした SA のプロキシ ホストは、deny access-list コマンド ポリシーに対応します。
303002
エラー メッセージ %PIX|ASA-6-303002: source_address {Stored|Retrieved} dest_address : mapped_address説明 これは FTP/URL メッセージです。このメッセージは、指摘されたホストが指摘された FTP サイトからデータを格納または取得しようとした場合に表示されます。
303003
エラー メッセージ %PIX|ASA-6-303003: FTP cmd_name command denied - failed strict inspection, terminating connection from source_interface : source_address / source_port to dest_interface : dest_address / dest_port説明 このメッセージは、FTP トラフィックに厳密な検査を使用している場合に生成されます。これは、FTP 要求コマンドが ftp-map コマンドからの厳密な FTP 検査ポリシーによって拒否された場合に表示されます。
303004
エラー メッセージ %PIX|ASA-5-303004: FTP cmd_string command unsupported - failed strict inspection, terminating connection from source_interface : source_address / source_port to dest_interface : dest_address / dest_interface説明 このメッセージは、FTP トラフィックに厳密な FTP 検査を使用している場合に表示されます。これは、FTP 要求メッセージが装置に認識されないコマンドを含んでいる場合に表示されます。
304001
エラー メッセージ %PIX|ASA-5-304001: user source_address Accessed {JAVA URL|URL} dest_address : url .説明 これは FTP/URL メッセージです。このメッセージは、指摘されたホストが指摘された URL にアクセスしようとした場合に表示されます。
304002
エラー メッセージ %PIX|ASA-5-304002: Access denied URL chars SRC IP_address DEST IP_address : chars説明 これは FTP/URL メッセージです。このメッセージは、送信元アドレスから指摘された URL または FTP サイトへのアクセスが拒否された場合に表示されます。
304003
エラー メッセージ %PIX|ASA-3-304003: URL Server IP_address timed out URL url304004
エラー メッセージ %PIX|ASA-6-304004: URL Server IP_address request failed URL url説明 これは FTP/URL メッセージです。このメッセージは、Websense サーバ要求が失敗した場合に表示されます。
304005
エラー メッセージ %PIX|ASA-7-304005: URL Server IP_address request pending URL url説明 これは FTP/URL メッセージです。このメッセージは、Websense サーバ要求が保留中の場合に表示されます。
304006
エラー メッセージ %PIX|ASA-3-304006: URL Server IP_address not responding説明 これは FTP/URL メッセージです。Websense サーバはアクセスに使用できません。Cisco ASA は、Websense サーバがインストールされている唯一のサーバである場合は同サーバに、または複数のサーバがある場合は別のサーバに、アクセスしようとします。
304007
エラー メッセージ %PIX|ASA-2-304007: URL Server IP_address not responding, ENTERING ALLOW mode.説明 これは FTP/URL メッセージです。このメッセージは、filter コマンドの allow オプションを使用し、Websense サーバが応答しなかった場合に表示されます。Cisco ASA は、サーバが使用できない間すべての Web 要求がフィルタリングせずに継続できるようにします。
304008
エラー メッセージ %PIX|ASA-2-304008: LEAVING ALLOW mode, URL Server is up.説明 これは FTP/URL メッセージです。このメッセージは、filter コマンドの allow オプションを使用し、Cisco ASA が、以前は応答しなかった Websense サーバから応答メッセージを受け取った場合に表示されます。この応答メッセージにより Cisco ASA は exits the allow モードを終了します。これで URL フィルタリング機能が再びイネーブルになります。
304009
エラー メッセージ %PIX|ASA-7-304009: Ran out of buffer blocks specified by url-block command説明 URL 保留バッファ ブロックが領域を使い切りました。
推奨処置 url-block block block_size コマンドを入力して、バッファ ブロック サイズを変更します。
305005
エラー メッセージ %PIX|ASA-3-305005: No translation group found for protocol src interface_name:dest_address / dest_port dst interface_name : source_address/source_port説明 パケットがどの発信 nat コマンド規則とも一致しません。
推奨処置 このメッセージはコンフィギュレーション エラーを示します。送信元ホストにダイナミック NAT が望ましい場合は、 nat コマンドが送信元 IP アドレスと一致することを確認します。送信元ホストにスタティック NAT が望ましい場合は、 static コマンドのローカル IP アドレスが一致することを確認します。送信元ホストに NAT が望ましくない場合は、NAT 0 ACL にバインドされている ACL を確認します。
305006
エラー メッセージ %PIX|ASA-3-305006: {outbound static|identity|portmap|regular) translation creation failed for protocol src interface_name:source_address/source_port dst interface_name:dest_address/dest_port説明 プロトコル(UDP、TCP、または ICMP)が Cisco ASA 経由で変換を作成できませんでした。このメッセージは、ネットワーク アドレスまたはブロードキャスト アドレスに向けたパケットを Cisco ASA が許可しないよう要求した警告 CSCdr0063 に対する解決策と考えられます。Cisco ASA は、static コマンド文で明示的に識別されるアドレスに対してこのチェックを行います。変更により、着信トラフィックに対して Cisco ASA は、ネットワーク アドレスまたはブロードキャスト アドレスと特定された宛先 IP アドレスの変換を拒否します。
Cisco ASA は、すべての ICMP メッセージ タイプに PAT を適用するのではなく、ICMP エコーとエコー応答パケット(タイプ 8 と 0)に限り PAT を適用します。特に、ICMP エコーまたはエコー応答だけが、PAT xlate を作成します。したがって、他の ICMP メッセージ タイプが廃棄されるとき、システム ログ メッセージ 305006 が生成されます(Cisco ASA 上で)。
Cisco ASA は、設定済み static コマンド文のグローバル IP とマスクを利用して、標準 IP アドレスを、ネットワーク IP アドレスまたはブロードキャスト IP アドレスと区別します。グローバル IP アドレスが、一致するネットワーク マスクを持つ有効なネットワーク アドレスである場合、Cisco ASA は着信パケットのネットワーク IP アドレスまたはブロードキャスト IP アドレスに対して変換を作成しません。
static (inside,outside) 10.2.2.128 10.1.1.128 netmask 255.255.255.128
グローバル アドレス 10.2.2.128 はネットワーク アドレスとして応答され、10.2.2.255 はブロードキャスト アドレスとして応答されます。既存の変換がない場合 Cisco ASA は、10.2.2.128 または 10.2.2.255 向けの着信パケットを拒否して、これをシステム ログ メッセージに記録します。
疑わしい IP がホスト IP である場合、サブネット スタティックの直前にホスト マスクをもつ別の static コマンド文を設定します(static コマンド文に対する最初の一致規則)。次のスタティックでは、Cisco ASA がホスト アドレスとして 10.2.2.128 に応答します。
static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.255
static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.128
変換は、疑わしい IP アドレスを持つ内部ホストで開始されるトラフィックによって作成される可能性があります。Cisco ASA はネットワーク IP アドレスまたはブロードキャスト IP アドレスを重複したサブネット スタティック コンフィギュレーションを持つホスト IP とみなすので、両方の static コマンド文のネットワーク アドレス変換は同じである必要があります。
305007
エラー メッセージ %PIX|ASA-6-305007: addrpool_free(): Orphan IP IP_address on interface interface_number説明 Cisco ASA が、自分のグローバル プールで見つけられないアドレスを変換しようとしました。Cisco ASA は、アドレスが削除されているとして、要求を廃棄します。
305008
エラー メッセージ %PIX|ASA-3-305008: Free unallocated global IP address.説明 Cisco ASA カーネルは、割り当てられていないグローバル IP アドレスを解放してアドレス プールに戻そうとしたときに、不整合状態を検出しました。この異常状態は、Cisco ASA がステートフル フェールオーバー セットアップを実行中で、一部の内部状態がアクティブ装置とスタンバイ装置との間で瞬間的に同期していない場合に発生する可能性があります。この状態は破局的なものではなく、同期は自動的に回復します。
305009
エラー メッセージ %PIX|ASA-6-305009: Built {dynamic|static} translation from interface_name [( acl-name )]: real_address to interface_name:mapped_address説明 アドレス変換スロットが作成されました。スロットは、ローカル側からグローバル側に送信元アドレスを変換します。逆に、スロットは、グローバル側からローカル側に宛先アドレスを変換します。
305010
エラー メッセージ %PIX|ASA-6-305010: Teardown {dynamic|static} translation from interface_name:real_address to interface_name:mapped_address duration time305011
エラー メッセージ %PIX|ASA-6-305011: Built {dynamic|static} {TCP|UDP|ICMP} translation from interface_name:real_address/real_port to interface_name:mapped_address/mapped_port説明 TCP、UDP、または ICMP アドレス変換スロットが作成されました。スロットは、ローカル側からグローバル側に送信元ソケットを変換します。逆に、スロットは、グローバル側からローカル側に宛先ソケットを変換します。
305012
エラー メッセージ %PIX|ASA-6-305012: Teardown {dynamic|static} {TCP|UDP|ICMP} translation from interface_name [( acl-name )]: real_address /{ real_port | real_ICMP_ID }to interface_name:mapped_address /{ mapped_port | mapped_ICMP_ID } duration time308001
エラー メッセージ %PIX|ASA-6-308001: console enable password incorrect for number tries (from IP_address )説明 これはCisco ASA管理メッセージです。このメッセージは、特権モードに入るためにユーザがパスワードを指摘された回数だけ誤って入力した後に表示されます。最大試行回数は 3 回です。
308002
エラー メッセージ %PIX|ASA-4-308002: static global_address inside_address netmask netmask overlapped with global_address inside_address説明 1 つまたは複数の static コマンド文の IP アドレスが重複しています。 global_address は低セキュリティ レベルのインターフェイス上のアドレスであるグローバル アドレスであり、 inside_address は高セキュリティ レベルのインターフェイス上のアドレスであるローカル アドレスです。
推奨処置 show static コマンドを使用してコンフィギュレーションの static コマンド文を表示し、重複しているコマンドを修正します。最も一般的な重複は、10.1.1.0 などのネットワーク アドレスを指定して、別の static コマンドで 10.1.1.5 などその範囲内にあるホストを指定する場合に発生します。
311001
エラー メッセージ %PIX|ASA-6-311001: LU loading standby start説明 スタンバイ Cisco ASA が最初にオンラインになるときに、ステートフル フェールオーバー アップデート情報がスタンバイ Cisco ASA に送信されました。
311002
エラー メッセージ %PIX|ASA-6-311002: LU loading standby end311003
エラー メッセージ %PIX|ASA-6-311003: LU recv thread up311004
エラー メッセージ %PIX|ASA-6-311004: LU xmit thread up説明 このメッセージは、ステートフル フェールオーバー アップデートがスタンバイ Cisco ASA に送信される場合に表示されます。
312001
エラー メッセージ %PIX|ASA-6-312001: RIP hdr failed from IP_address : cmd= string , version= number domain= string on interface interface_name説明 Cisco ASA が応答以外のオペレーション コードを持つ RIP メッセージを受信し、メッセージはこのインターフェイスで予想されるバージョン番号とは異なる番号を持ち、ルーティング ドメインのエントリは非ゼロでした。
推奨処置 これは情報メッセージですが、別の RIP 装置が Cisco ASA と通信するように正しく設定されていないことを示す可能性もあります。
313001
エラー メッセージ %PIX|ASA-3-313001: Denied ICMP type= number , code= code from IP_address on interface interface_name説明 icmp コマンドをアクセス リストと共に使用する場合、最初に一致したエントリが許可エントリであれば、その ICMP パケットは処理が続けられます。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しなかった場合は、Cisco ASA がその ICMP パケットを廃棄し、このシステム ログ メッセージを生成します。 icmp コマンドは、インターフェイスへの ping をイネーブルまたはディセーブルにします。ping をディセーブルにすると、Cisco ASA がネットワーク上で検出できなくなります。この機能は、設定可能なプロキシ ping とも呼ばれます。
313003
エラー メッセージ %PIX|ASA-4-313003: Invalid destination for ICMP error説明 ICMP エラー メッセージの宛先が、ICMP エラー メッセージを生じさせた IP パケットの送信元とは異なります。
推奨処置 このメッセージが頻繁に表示される場合は、アクティブなネットワーク プローブ、カバート チャネルとして ICMP エラー メッセージを使用しようとする試行、または IP ホストの誤動作の可能性があります。ICMP エラー メッセージを送信したホストの管理者にお問い合せください。
313004
エラー メッセージ %PIX|ASA-4-313004:Denied ICMP type= icmp_type , from source_address oninterface interface_name to dest_address :no matching session説明 ICMP パケットが、ステートフル ICMP 機能によって追加された次のセキュリティ チェックが原因で Cisco ASA によって廃棄されました。通常は、すでに Cisco ASA を通過した有効なエコー要求を持たない ICMP エコー応答、またはすでに Cisco ASA で確立されている TCP、UDP、または ICMP セッションに関連しない ICMP エラー メッセージであるセキュリティ チェックです。
314001
エラー メッセージ %PIX|ASA-6-314001: Pre-allocate RTSP UDP backconnection for foreign_address outside_address / outside_port to local_address inside_address / inside_port315004
エラー メッセージ %PIX|ASA-3-315004: Fail to establish SSH session because RSA host key retrieval failed.説明 Cisco ASA が、SSH セッションの確立に必要な Cisco ASA RSA ホスト キーを見つけられませんでした。ホスト キーが生成されていなかったため、またはこの Cisco ASA のライセンスが DES または 3DES を許可しないために、Cisco ASA ホスト キーがない可能性があります。
推奨処置 コンソールから show ca mypubkey rsa コマンドを入力して、Cisco ASA RSA ホスト キーがあることを確認します。ホスト キーがない場合は、show version コマンドも入力して、Cisco ASA ライセンスが DES または 3DES を許可するかどうか調べます。
315011
エラー メッセージ %PIX|ASA-6-315011: SSH session from IP_address on interface interface_name for user user disconnected by SSH server, reason: reason説明 このメッセージは、SSH セッションが完了した後に表示されます。ユーザが quit または exit を入力すると、 terminated normally メッセージが表示されます。別の原因でセッションが切断された場合は、テキストで原因が説明されます。 表2-3 に、考えられるセッション切断の原因を示します。
316001
エラー メッセージ %PIX|ASA-3-316001: Denied new tunnel to IP_address . VPN peer limit ( platform_vpn_peer_limit ) exceeded説明 プラットフォーム VPN ピアの上限でサポートされているよりも多くの VPN トンネル(ISAKMP/IPSec)を同時に確立しようとした場合、過剰なトンネルは打ち切られます。
317001
エラー メッセージ %PIX|ASA-3-317001: No memory available for limit_slow推奨処置 他のシステム アクティビティを減らして、メモリ要求を緩和します。条件によって保証される場合は、さらにメモリ容量の大きな構成にアップグレードします。
317002
エラー メッセージ %PIX|ASA-3-317002: Bad path index of number for IP_address , number max317003
エラー メッセージ %PIX|ASA-3-317003: IP routing table creation failure - reason317004
エラー メッセージ %PIX|ASA-3-317004: IP routing table limit warning317005
エラー メッセージ %PIX|ASA-3-317005: IP routing table limit exceeded - reason , IP_address netmask318001
エラー メッセージ %PIX|ASA-3-318001: Internal error: reason318002
エラー メッセージ %PIX|ASA-3-318002: Flagged as being an ABR without a backbone area説明 ルータには、ルータで設定されたバックボーン エリアのないエリア境界ルータ(ABR)としてフラグが付いています。このメッセージは 5 秒ごとに表示されます。
318003
エラー メッセージ %PIX|ASA-3-318003: Reached unknown state in neighbor state machine318004
エラー メッセージ %PIX|ASA-3-318004: area string lsid IP_address mask netmask adv IP_address type number説明 OSPF でリンクステート アドバタイズメント(LSA)の検出に問題が生じました。これはメモリ リークにつながる可能性があります。
318005
エラー メッセージ %PIX|ASA-3-318005: lsid ip_address adv IP_address type number gateway gateway_address metric number network IP_address mask netmask protocol hex attr hex net-metric number318006
エラー メッセージ %PIX|ASA-3-318006: if interface_name if_state number318007
エラー メッセージ %PIX|ASA-3-318007: OSPF is enabled on interface_name during idb initialization318008
エラー メッセージ %PIX|ASA-3-318008: OSPF process number is changing router-id. Reconfigure virtual link neighbors with our new router-id説明 OSPF プロセスがリセット中で、新しいルータ ID を選択しようとしています。このアクションによってすべての仮想リンクが停止させられます。
推奨処置 すべての近隣仮想リンクの仮想リンク コンフィギュレーションを、新しいルータ ID を反映するように変更します。
318009
エラー メッセージ %PIX|ASA-3-318009: OSPF: Attempted reference of stale data encountered in function , line: line_num説明 このメッセージは、OSPF が動作中で、他の場所で削除された一部の関連データ構造を参照しようとする場合に表示されます。インターフェイスおよびルータのコンフィギュレーションを消去すると、問題が解決する可能性があります。しかし、このメッセージが表示される場合は、シーケンスの一部のステップによってデータ構造の早期削除が生じているので、調査する必要があります。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
319001
エラー メッセージ %PIX|ASA-3-319001: Acknowledge for arp update for IP address dest_address not received ( number ).説明 Cisco ASA 内の ARP プロセスが、システムのオーバーロードが原因で内部同期外れになっています。
推奨処置 ただちに対応する必要はありません。一時的なエラーです。システムの平均負荷をチェックし、許容量を超えて使用されていないことを確認します。
319002
エラー メッセージ %PIX|ASA-3-319002: Acknowledge for route update for IP address dest_address not received ( number ).説明 Cisco ASA 内のルーティング モジュールが、システムのオーバーロードが原因で内部同期外れになっています。
推奨処置 ただちに対応する必要はありません。一時的なエラーです。システムの平均負荷をチェックし、許容量を超えて使用されていないことを確認します。
319003
エラー メッセージ %PIX|ASA-3-319003: Arp update for IP address address to NPn failed.説明 ARP エントリをアップデートする必要がある場合、内部 ARP テーブルをアップデートするためにネットワーク プロセッサ(NP)にメッセージが送信されます。モジュールでメモリ使用率が高くなっている場合、または内部テーブルが満杯になっている場合は、NP へのメッセージが拒否されて、このメッセージが生成される可能性があります。
推奨処置 ARP テーブルが満杯であるかどうか確認します。満杯ではない場合、CPU 使用率および秒あたりの接続数に関してモジュールの負荷を調べます。CPU 使用率が高いか、秒あたりの接続数が多い場合、負荷が正常に戻ると正常動作が再開されます。
319004
エラー メッセージ %PIX|ASA-3-319004: Route update for IP address dest_address failed ( number ).説明 FWSM 内のルーティング モジュールが、システムのオーバーロードが原因で内部同期外れになっています。
推奨処置 ただちに対応する必要はありません。一時的なエラーです。システムの平均負荷をチェックし、許容量を超えて使用されていないことを確認します。
320001
エラー メッセージ %PIX|ASA-3-320001: The subject name of the peer cert is not allowed for connection説明 Cisco ASA が簡単な VPN リモート装置またはサーバである場合、ピア証明書には ca verifycertdn コマンドと一致しないサブジェクト名が含まれています。
推奨処置 このメッセージは、「中間者攻撃」を示す可能性もあります。これは、デバイスがピア IP アドレスをスプーフィングし、Cisco ASA から VPN 接続を代行受信しようとするものです。
321001
エラー メッセージ %PIX|ASA-5-321001: Resource var1 limit of var2 reached.321002
エラー メッセージ %PIX|ASA-5-321002: Resource var1 rate limit of var2 reached.321003
エラー メッセージ %PIX|ASA-6-321003: Resource var1 log level of var2 reached.321004
エラー メッセージ %PIX|ASA-6-321004: Resource var1 rate log level of var2 reached322001
エラー メッセージ %PIX|ASA-3-322001: Deny MAC address MAC_address, possible spoof attempt on interface interface説明 Cisco ASA が、指摘されたインターフェイス上の攻撃 MAC アドレスからパケットを受信しましたが、パケットの送信元 MAC アドレスはコンフィギュレーション内の別のインターフェイスに静的にバインドされています。これは、MAC スプーフィング攻撃または設定の誤りのいずれかが原因となっている可能性があります。
推奨処置 コンフィギュレーションを調べ、攻撃ホストを突き止めるか、またはコンフィギュレーションを訂正して適切な処置を行います。
322002
エラー メッセージ %PIX|ASA-3-322002: ARP inspection check failed for arp {request|response} received from host MAC_address on interface interface . This host is advertising MAC Address MAC_address_1 for IP Address IP_address , which is {statically|dynamically} bound to MAC Address MAC_address_2 .説明 ARP 検査モジュールは、イネーブルになっている場合、パケット内でアドバタイズされる新しい ARP エントリが、静的に設定された IP-MAC アドレスまたは動的に取得された IP-MAC アドレスのバインディングに従っているかどうかチェックしてから、Cisco ASA を介して ARP パケットを転送します。このチェックが失敗した場合、ARP 検査モジュールは ARP パケットを廃棄し、このメッセージを生成します。この状況は、ネットワーク内の ARP スプーフィング攻撃または無効なコンフィギュレーション(IP-MAC バインディング)が原因となっている可能性があります。
推奨処置 原因が攻撃にある場合、ACL を使用してホストを拒否することができます。原因が無効なコンフィギュレーションにある場合、バインディングを修正します。
322003
エラー メッセージ %PIX|ASA-3-322003:ARP inspection check failed for arp {request|response} received from host MAC_address on interface interface . This host is advertising MAC Address MAC_address_1 for IP Address IP_address , which is not bound to any MAC Address.説明 ARP 検査モジュールは、イネーブルになっている場合、パケット内でアドバタイズされる新しい ARP エントリが、静的に設定された IP-MAC アドレスのバインディングに従っているかどうかチェックしてから、Cisco ASA を介して ARP パケットを転送します。このチェックが失敗した場合、ARP 検査モジュールは ARP パケットを廃棄し、このメッセージを生成します。この状況は、ネットワーク内の ARP スプーフィング攻撃または無効なコンフィギュレーション(IP-MAC バインディング)が原因となっている可能性があります。
推奨処置 原因が攻撃にある場合、ACL を使用してホストを拒否することができます。原因が無効なコンフィギュレーションにある場合、バインディングを修正します。
322004
エラー メッセージ %PIX|ASA-6-322004: No management IP address configured for transparent firewall. Dropping protocol protocol packet from interface_in : source_address / source_port to interface_out : dest_address / dest_port説明 管理 IP アドレスが透過モードで設定されていないため、Cisco ASA がパケットを廃棄しました。
323004
エラー メッセージ %ASA-3-323004: Module in slot slotnum failed to write software v newver (currently v ver ), reason . Hw-module reset is required before further use.説明 指摘されたスロット番号のモジュールがソフトウェア バージョンに対応できませんでした。UNRESPONSIVE 状態に移行します。モジュールは、ソフトウェアがアップデートされるまで使用できません。
newver :モジュールへの書き込みが正常に終了しなかったソフトウェアの新しいバージョン番号(1.0(1)0 など)。
ver :モジュール上のソフトウェアの現在のバージョン番号(1.0(1)0 など)。
reason :新しいバージョンがモジュールに書き込みできなかった理由。 reason に考えられる値は、次のとおりです。
• failed to create a thread to write the image
推奨処置 モジュールは、 hw-module module slotnum reset を使用してリセットしてから、さらにアップグレードの試行を行う必要があります。モジュール ソフトウェアは、アップデートできない場合、使用できなくなります。モジュールがシャーシにしっかりと取り付けられていることを確認します。それでもモジュール ソフトウェアをアップデートする試行が成功しない場合は、Cisco TAC にお問い合せください。
323005
エラー メッセージ %ASA-3-323005: Module in slot slotnum can not be powered on completely説明 このメッセージは、モジュールが完全には電源投入できないことを示します。モジュールは、この状態が修正されるまで、UNRESPONSIVE 状態のままになります。この原因は、モジュールがスロットに正しく取り付けられていないためだと考えられます。
推奨処置 モジュールがスロットに正しく取り付けられていることを確認し、モジュールのステータス LED が点灯しているかどうかチェックします。モジュールを正しく取り付け直した後、モジュールが電源投入されたことをシステムが認識するまで数分かかることがあります。モジュールが取り付けられていることを確認し、 hw-module module slotnum reset コマンドを使用してモジュールをリセットした後もこのメッセージが表示される場合は、Cisco TAC にお問い合せください。
324000
エラー メッセージ %PIX|ASA-3-324000: Drop GTPv version message msg_type from source_interface : source_address / source_port to dest_interface : dest_address / dest_port Reason: reason324001
エラー メッセージ %PIX|ASA-3-324001: GTPv0 packet parsing error from source_interface : source_address / source_port to dest_interface : dest_address / dest_port , TID: tid_value , Reason: reason説明 パケットの処理にエラーがありました。考えられる原因は次のとおりです。
推奨処置 このメッセージが一定期間ごとに表示される場合は、無視してかまいません。このメッセージが頻繁に表示される場合は、エンドポイントが攻撃の一部として不良パケットを送信している可能性があります。
324002
エラー メッセージ %PIX|ASA-3-324002: No PDP[MCB] exists to process GTPv0 msg_type from source_interface : source_address / source_port to dest_interface : dest_address / dest_port , TID: tid_value説明 このメッセージが 321100: Memory allocation Error (メモリ割り当てのエラー)の後に表示される場合、メッセージは PDP コンテキストを作成するのに十分なリソースがなかったことを示します。メッセージ 321100 の後に表示されなかった場合、バージョン 0 では対応する PDP コンテキストが見つからなかったことを示します。バージョン 1 では、メッセージ 324001 の後にこのメッセージが表示された場合、パケット処理エラーが発生して動作が停止ました。
推奨処置 メモリ割り当てのエラーが原因でこのメッセージが頻繁に繰り返される場合、Cisco TAC にお問い合せください。
324003
エラー メッセージ %PIX|ASA-3-324003: No matching request to process GTPv version msg_type from source_interface:source_address/source_port to source_interface:dest_address/dest_port説明 受信した応答は、要求キューと一致する要求が含まれていないため、それ以上処理されません。
推奨処置 このメッセージが一定期間ごとに表示される場合は、無視してかまいません。しかし、このメッセージが頻繁に表示される場合は、エンドポイントが攻撃の一部として不良パケットを送信している可能性があります。
324004
エラー メッセージ %PIX|ASA-3-324004: GTP packet with version%d from source_interface : source_address / source_port to dest_interface : dest_address / dest_port is not supported説明 処理中のパケットが、現在サポートされているバージョン 0 またはバージョン 1 以外のバージョンになっています。プリント アウトされているバージョン番号が誤った番号であり、頻繁に表示される場合は、エンドポイントが攻撃の一部として不良パケットを送信している可能性があります。
324005
エラー メッセージ %PIX|ASA-3-324005: Unable to create tunnel from source_interface : source_address / source_port to dest_interface : dest_address / dest_port説明 TPDU のトンネルを作成する試行中にエラーが発生しました。
推奨処置 このメッセージが一定期間ごとに発生する場合は、無視してかまいません。頻繁に繰り返される場合は、必要なデバッグを収集して Cisco TAC にお問い合せください。
324006
エラー メッセージ %PIX|ASA-3-324006:GSN IP_address tunnel limit tunnel_limit exceeded, PDP Context TID tid failed324007
エラー メッセージ %PIX|ASA-3-324007: Unable to create GTP connection for response from source_interface:source_address/0 to dest_interface:dest_address/dest_port説明 異なる SGSN または GGSN に対して TPDU のトンネルを作成する試行中にエラーが発生しました。
推奨処置 デバッグおよびメッセージを調べて、接続が適切に作成されなかった理由を確認します。問題をデバッグできない場合は、必要なデバッグを収集して Cisco TAC にお問い合せください。
325001
エラー メッセージ %PIX|ASA-3-325001: Router ipv6_address on interface has conflicting ND (Neighbor Discovery) settings説明 リンク上の別のルータが、矛盾するパラメータを持つルータ アドバタイズメントを送信しました。 ipv6_address は相手側ルータの IPv6 アドレスです。 interface は相手側ルータとのリンクのインターフェイス名です。
推奨処置 リンク上の IPv6 ルータがすべて、 hop_limit , managed_config_flag 、 other_config_flag 、 reachable_time および ns_interval についてルータ アドバタイズメントに同じパラメータを持つことを確認し、複数のルータによってアドバタイズされる、同じプレフィクスの優先される有効なライフタイムが同じであることを確認します。インターフェイスごとにパラメータを示すには、コマンド show ipv6 interface を入力します。
325002
エラー メッセージ %PIX|ASA-4-325002: Duplicate address ipv6_address / MAC_address on interface説明 別のシステムが IPv6 アドレスを使用しています。 ipv6_address は相手側ルータの IPv6 アドレスです。 MAC_address は、分かっている場合は相手側システムの MAC アドレス、それ以外の場合は「unknown」です。 interface は、相手側システムとのリンクのインターフェイス名です。
326001
エラー メッセージ %PIX|ASA-3-326001: Unexpected error in the timer library: error_message説明 管理対象タイマー イベントが、コンテキストも適切なタイプもなしで受信されたか、あるいはハンドラがありません。このメッセージは、キューに入るイベントの数がシステム制限を超えたため、後で処理が試行される場合にも表示されます。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326002
エラー メッセージ %PIX|ASA-3-326002: Error in error_message : error_message説明 IGMP プロセスが要求に応じてシャットダウンできませんでした。このシャットダウンに備えて実行されるイベントが同期していない可能性があります。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326004
エラー メッセージ %PIX|ASA-3-326004: An internal error occurred while processing a packet queue説明 IGMP パケット キューがパケットを持たない信号を受信しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326005
エラー メッセージ %PIX|ASA-3-326005: Mrib notification failed for ( IP_address, IP_address )説明 データ駆動型イベントをトリガーするパケットが受信され、MRIB を通知する試行が失敗しました。
推奨処置 システムが動作した後にこのメッセージが引き続き表示される場合は、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326006
エラー メッセージ %PIX|ASA-3-326006: Entry-creation failed for ( IP_address, IP_address )説明 MFIB は MRIB からエントリのアップデートを受信しましたが、表示されるアドレスに関連するエントリを作成できませんでした。このためメモリ不足が生じる可能性があります。
推奨処置 十分なメモリがある場合は、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326007
エラー メッセージ %PIX|ASA-3-326007: Entry-update failed for ( IP_address, IP_address )説明 MFIB が MRIB からインターフェイスのアップデートを受信しましたが、表示されるアドレスに関連するインターフェイスを作成できませんでした。その結果メモリ不足が生じる可能性があります。
推奨処置 十分なメモリがある場合は、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326008
エラー メッセージ %PIX|ASA-3-326008: MRIB registration failed推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326009
エラー メッセージ %PIX|ASA-3-326009: MRIB connection-open failed推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326010
エラー メッセージ %PIX|ASA-3-326010: MRIB unbind failed説明 MFIB が MRIB からアンバインドできませんでした。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326011
エラー メッセージ %PIX|ASA-3-326011: MRIB table deletion failed説明 MFIB が削除されるはずだったテーブルを取得できませんでした。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326012
エラー メッセージ %PIX|ASA-3-326012: Initialization of string functionality failed説明 機能の初期化が失敗しました。このコンポーネントは引き続き、機能なしでも動作する可能性があります。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326013
エラー メッセージ %PIX|ASA-3-326013: Internal error: string in string line %d (%s)推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326014
エラー メッセージ %PIX|ASA-3-326014: Initialization failed: error_message error_message推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326015
エラー メッセージ %PIX|ASA-3-326015: Communication error: error_message error_message説明 MRIB が形式が誤っているアップデートを受信しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326016
エラー メッセージ %PIX|ASA-3-326016: Failed to set un-numbered interface for interface_name ( string )説明 PIM トンネルが送信元アドレスがないため使用できませんでした。この状況は、番号付きインターフェイスが見つからなかったため、または何らかの内部エラーが原因で発生します。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326017
エラー メッセージ %PIX|ASA-3-326017: Interface Manager error - string in string : string説明 PIM トンネル インターフェイスを作成中に、エラーが発生しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326019
エラー メッセージ %PIX|ASA-3-326019: string in string : string説明 PIM RP トンネル インターフェイスを作成中に、エラーが発生しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326020
エラー メッセージ %PIX|ASA-3-326020: List error in string : string説明 PIM インターフェイス リストを処理中に、エラーが発生しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326021
エラー メッセージ %PIX|ASA-3-326021: Error in string : string説明 PIM トンネル インターフェイスの SRC を設定中に、エラーが発生しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326022
エラー メッセージ %PIX|ASA-3-326022: Error in string : string説明 PIM プロセスが要求に応じてシャットダウンできませんでした。このシャットダウンに備えて実行されるイベントが同期していない可能性があります。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326023
エラー メッセージ %PIX|ASA-3-326023: string - IP_address : string説明 PIM グループ範囲を処理中に、エラーが発生しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326024
エラー メッセージ %PIX|ASA-3-326024: An internal error occurred while processing a packet queue.説明 PIM パケット キューがパケットを持たない信号を受信しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326025
エラー メッセージ %PIX|ASA-3-326025: string説明 メッセージ送信の試行中に、内部エラーが発生しました。PIM トンネル IDB の削除など、メッセージの受信時に発生するようスケジュールされたイベントが行われない可能性があります。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326026
エラー メッセージ %PIX|ASA-3-326026: Server unexpected error: error_messsage推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326027
エラー メッセージ %PIX|ASA-3-326027: Corrupted update: error_messsage推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
326028
エラー メッセージ %PIX|ASA-3-326028: Asynchronous error: error_messsage説明 MRIB API で未処理の非同期エラーが発生しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
メッセージ 400000 ~ 418001
この項では、400000 から 420003 までのメッセージについて説明します。
4000nn
エラー メッセージ %PIX|ASA-4-4000nn: IPS: number string from IP_address to IP_address on interface interface_name説明 メッセージ 400000 ~ 400051 は、Cisco Intrusion Detection System のシグニチャ メッセージです。
推奨処置 次の Web サイトにある『Cisco Intrusion Detection System User Guide』を参照してください。
http://www.cishttp://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/
今回のリリースのセキュリティ アプライアンスでは、このメッセージがすべてサポートされているわけではありません。IPS システム ログ メッセージは、すべて 4-4000nn で始まり、次の形式になります。
シグニチャ番号。次の Web サイトにある『Cisco Intrusion Detection System User Guide』を参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids1/csidsug/sigs.htm
シグニチャ メッセージ(NetRanger シグニチャ メッセージとほぼ同じです)。
表2-4 に、サポートさていれるシグニチャ メッセージをリストで示しています。
|
番号 |
|
|
タイプ |
|---|---|---|---|
401001
エラー メッセージ %PIX|ASA-4-401001: Shuns cleared401002
エラー メッセージ %PIX|ASA-4-401002: Shun added: IP_address IP_address port port説明 shun コマンドが入力されました。このコマンドの最初の IP アドレスは排除されたホストです。その他のアドレスとポートはオプションであり、有効な場合は接続を終了するのに使用されます。
401003
エラー メッセージ %PIX|ASA-4-401003: Shun deleted: IP_address401004
エラー メッセージ %PIX|ASA-4-401004: Shunned packet: IP_address ==> IP_address on interface interface_name説明 IP SRC によって定義されたホストは排除データベースのホストであるために、パケットが廃棄されました。排除されたホストは、そこで排除されたインターフェイスにトラフィックを渡すことはできません。たとえば、インターネット上の外部ホストは外部インターフェイス上で排除されます。
推奨処置 不要です。このメッセージには、排除されたホストのアクティビティの記録を提供します。このメッセージと %PIX|ASA-4-401005 を使用すると、このホストに関するリスク評価を詳しく見積もることができます。
401005
エラー メッセージ %PIX|ASA-4-401005: Shun add failed: unable to allocate resources for IP_address IP_address port port説明 セキュリティ アプライアンスのメモリが不足しています。排除が適用できません。
推奨処置 Cisco Intrusion Detection System は、引き続き、この規則を適用しようとします。メモリを再利用して排除を手動で再適用するか、または Cisco Intrusion Detection System によって排除が適用されるのを待機します。
402101
エラー メッセージ %PIX|ASA-4-402101: decaps: rec'd IPSEC packet has invalid spi for destaddr= dest_address , prot= protocol , spi= number説明 受信 IPSec パケットは、セキュリティ アソシエーション データベース(SADB)に存在しないセキュリティ パラメータ インデックス(SPI)を指定しています。これは、IPSec ピア間の SA のエージングのわずかな相違による一時的な状態か、またはローカル SA の消去が原因です。この状態は、IPSec ピアから不正なパケットが送信された場合にも発生することがあります。攻撃の場合もあります。
推奨処置 ローカル SA がクリアされたことを、ピアは認識していないことがあります。新しい接続がローカル ルータから確立された場合、2 つのピアが正常に再度確立されることがあります。問題の発生が短期間にとどまらない場合は、接続を新規に確立してみるか、またはピアの管理者に問い合せます。
402102
エラー メッセージ %PIX|ASA-4-402102: decapsulate: packet missing {AH|ESP}, destadr= dest_address , actual prot= protocol説明 受信 IPSec パケットに、期待された AH または ESP ヘッダーがありません。ピアは、ネゴシエートされたセキュリティ ポリシーと一致しないパケットを送信中です。これは攻撃の場合があります。
402103
エラー メッセージ %PIX|ASA-4-402103: identity doesn't match negotiated identity (ip) dest_address= dest_address , src_addr= source_address , prot= protocol , (ident) local= inside_address , remote= remote_address , local_proxy= IP_address / IP_address / port / port , remote_proxy= IP_address / IP_address / port / port説明 カプセル化されていない IPSec パケットが、ネゴシエートされた ID と一致しません。ピアは、セキュリティ アソシエーション選択エラーのために、このセキュリティ アソシエーションを使用して他のトラフィックを送信中です。これは敵対イベントの場合があります。
402106
エラー メッセージ %PIX|ASA-4-402106: Rec'd packet not an IPSEC packet (ip) dest_address= dest_address , src_addr= source_address , prot= protocol説明 受信パケットは暗号マップ ACL と一致しますが、IPSec でカプセル化されていません。IPSec ピアはカプセル化されていないパケットを送信中です。このエラーは、ピアのポリシー セットアップ エラーが原因で発生することがあります。たとえば、Cisco ASA は、外部インターフェイス ポート 23 への暗号化 Telnet トラフィックのみを受信します。IPSec 暗号化を行わないで、ポート 23 上の外部インターフェイスに Telnet で送信しようとすると、このメッセージが表示されます。このエラーは、敵対イベントを示すこともあります。このシステム ログ メッセージは、引用した条件以外では生成されません(たとえば、Cisco ASA インターフェイス自体へのトラフィックの場合は生成されません)。TCP および UDP 要求を追跡するメッセージについては、メッセージ 710001、710002、および 710003 を参照してください。
402114
エラー メッセージ %PIX|ASA-4-402114: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num ) from remote_IP to local_IP with an invalid SPI.spi :IPSec のセキュリティ パラメータ インデックス
remote_IP : トンネルのリモート エンドポイントの IP アドレス
username :IPSec トンネルに関連付けられているユーザ名
local_IP : トンネルのローカル エンドポイントの IP アドレス
説明 このメッセージは、SA データベースに存在しない SPI を指定している IPSec パケットを受信した場合に表示されます。これは、IPSec ピア間の SA のエージングのわずかな相違による一時的な状態か、またはローカル SA の消去が原因です。また、IPSec ピアによって不正なパケットが送信されたことを示すこともあります。これも攻撃の一部の場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
推奨処置 ローカル SA がクリアされたことを、ピアは認識していないことがあります。新しい接続がローカル ルータから確立された場合、2 つのピアが正常に再度確立されることがあります。あるいは、問題の発生が短期間にとどまらない場合は、接続を新規に確立してみるか、またはピアの管理者に問い合せます。
402115
エラー メッセージ %PIX|ASA-4-402115: IPSEC: Received a packet from remote_IP to local_IP containing act_prot data instead of exp_prot data.説明 このメッセージは、期待された ESP ヘッダーのない IPSec パケットを受信した場合に表示されます。ピアは、ネゴシエートされたセキュリティ ポリシーと一致しないパケットを送信中です。これは攻撃を示す場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
remote_IP : トンネルのリモート エンドポイントの IP アドレス
402116
エラー メッセージ %PIX|ASA-4-402116: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num) from remote_IP ( username ) to local_IP . The decapsulated inner packet doesn't match the negotiated policy in the SA. The packet specifies its destination as pkt_daddr , its source as pkt_saddr , and its protocol as pkt_prot . The SA specifies its local proxy as id_daddr /id_dmask /id_dprot /id_dport and its remote proxy as id_saddr /id_smask /id_sprot /id_sport .説明 このメッセージは、カプセル化解除された IPSec パケットがネゴシエートされた ID と一致しない場合に表示されます。ピアは、このセキュリティ アソシエーションを使用して他のトラフィックを送信中です。ピアによるセキュリティ アソシエーション選択エラーが原因の場合もあれば、攻撃の一部の場合もあります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
spi :IPSec のセキュリティ パラメータ インデックス
remote_IP : トンネルのリモート エンドポイントの IP アドレス
username :IPSec トンネルに関連付けられているユーザ名
local_IP : トンネルのローカル エンドポイントの IP アドレス
pkt_daddr : カプセル化解除されたパケットからの宛先アドレス
pkt_saddr : カプセル化解除されたパケットからの送信元アドレス
pkt_prot : カプセル化解除されたパケットからのトランスポート プロトコル
id_dmask : ローカル プロキシ IP サブネット マスク
id_dprot : ローカル プロキシ トランスポート プロトコル
id_smask : リモート プロキシ IP サブネット マスク
402117
エラー メッセージ %PIX|ASA-4-402117: IPSEC: Received a non-IPSec ( protocol ) packet from remote_IP to local_IP.説明 このメッセージは、受信パケットは暗号マップ ACL と一致したが、IPSec でカプセル化されていなかった場合に表示されます。IPSec ピアはカプセル化されていないパケットを送信中です。このエラーは、ピアのポリシー セットアップ エラーが原因で発生することがあります。たとえば、外部インターフェイス ポート 23 への暗号化 Telnet トラフィックのみを受信するようにファイアウォールを設定できます。IPSec 暗号化を行わないで、ポート 23 上の外部インターフェイスに対して Telnet で送信しようとすると、このメッセージが表示されますが、ポート 23 以外の外部インターフェイスに対する Telnet またはトラフィックの場合は表示されません。このエラーは、攻撃を示すこともあります。このシステム ログ メッセージは、これらの条件以外では生成されません(たとえば、ファイアウォール インターフェイス自体へのトラフィックの場合は生成されません)。TCP および UDP 要求を追跡するメッセージについては、メッセージ 710001、710002、および 710003 を参照してください。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
remote_IP : トンネルのリモート エンドポイントの IP アドレス
402118
エラー メッセージ %PIX|ASA-4-402118: IPSEC: Received an protocol packet (SPI= spi , sequence number seq_num) from remote_IP ( username ) to local_IP containing an illegal IP fragment of length frag_len with offset frag_offset.説明 このメッセージは、カプセル化解除された IPSec パケットに、128 バイト以下のオフセットの IP フラグメントが含まれている場合に発生します。最新バージョンの Security Architecture for IP RFC では、再アセンブリ攻撃を防止するために最小 IP フラグメント オフセットを 128 バイトにすることを推奨しています。これは攻撃の一部の場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
spi :IPSec のセキュリティ パラメータ インデックス
remote_IP : トンネルのリモート エンドポイントの IP アドレス
username: IPSec トンネルに関連付けられているユーザ名
local_IP : トンネルのローカル エンドポイントの IP アドレス
402119
エラー メッセージ %PIX|ASA-4-402119: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num) from remote_IP ( username ) to local_IP that failed anti-replay checking.説明 このメッセージは、シーケンス番号が無効な IPSec パケットを受信したときに表示されます。ピアは、以前に使用された可能性のあるシーケンス番号が含まれたパケットを送信中です。このシステム ログ メッセージは、受け入れ許容範囲外のシーケンス番号の IPSec パケットを受信したことを示します。このパケットは、可能性ある攻撃の一部として IPSec により廃棄されます。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
spi :IPSec のセキュリティ パラメータ インデックス
remote_IP : トンネルのリモート エンドポイントの IP アドレス
username :IPSec トンネルに関連付けられているユーザ名
402120
エラー メッセージ %PIX|ASA-4-402120: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num) from remote_IP ( username ) to local_IP that failed authentication.説明 このメッセージは、IPSec パケットを受信したが認証に失敗したときに表示されます。パケットは廃棄されます。パケットが中継中に破損した場合、またはピアが無効な IPSec パケットを送信中の場合があります。これらのパケットの多くを同じピアから受信しているときは、攻撃を示す場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
spi :IPSec のセキュリティ パラメータ インデックス
remote_IP : トンネルのリモート エンドポイントの IP アドレス
username :IPSec トンネルに関連付けられているユーザ名
402121
エラー メッセージ %PIX|ASA-4-402121: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num) from remote_IP ( username ) to local_IP that was dropped by IPSec (drop_reason).説明 このメッセージは、カプセル化解除する IPSec パケットを受信したが、そのパケットが IPSec サブシステムによって後で廃棄された場合に表示されます。これは、デバイス設定またはデバイスそのものに問題が存在する可能性があることを示しています。パケットは、さまざまな理由で廃棄されます。このメッセージは、原因の判定に役立つように IPSec カウンタを補足します。
spi :IPSec のセキュリティ パラメータ インデックス
remote_IP : トンネルのリモート エンドポイントの IP アドレス
username :IPSec トンネルに関連付けられているユーザ名
402122
エラー メッセージ %PIX|ASA-4-402122: IPSEC: Received a cleartext packet from src_addr to dest_addr that was to be encapsulated in IPSec that was dropped by IPSec (drop_reason).説明 このメッセージは、IPSec でカプセル化するパケットを受信したが、そのパケットが IPSec サブシステムによって後で廃棄された場合に表示されます。これは、デバイス設定またはデバイスそのものに問題が存在する可能性があることを示しています。パケットは、さまざまな理由で廃棄されます。このメッセージは、原因の判定に役立つように IPSec カウンタを補足します。
402123
エラー メッセージ %PIX|ASA-4-402123: CRYPTO: The accel_type hardware accelerator encountered an error (code= error_string ) while executing crypto command command .説明 このメッセージは、ハードウェア アクセラレータで暗号コマンドを実行中に、エラーが検出された場合に表示されます。これは、アクセラレータの問題を示すことがあります。このタイプのエラーは、さまざまな理由で発生します。このメッセージは、原因の判定に役立つように暗号アクセラレータ カウンタを補足します。
403101
エラー メッセージ %PIX|ASA-4-403101: PPTP session state not established, but received an XGRE packet, tunnel_id= number , session_id= number403102
エラー メッセージ %PIXPIX|ASA-4-403102: PPP virtual interface interface_name rcvd pkt with invalid protocol: protocol , reason: reason .403103
エラー メッセージ %PIXPIX|ASA-4-403103: PPP virtual interface max connections reached.403104
エラー メッセージ %PIXPIX|ASA-4-403104: PPP virtual interface interface_name requires mschap for MPPE.説明 Microsoft Point-to-Point Encryption (MPPE)は設定されていますが、MS-CHAP 認証が設定されていません。
推奨処置 vpdn group group_name ppp authentication コマンドで、MS-CHAP 認証を追加します。
403106
エラー メッセージ %PIXPIX|ASA-4-403106: PPP virtual interface interface_name requires RADIUS for MPPE.説明 MPPE は設定されていますが、RADIUS 認証が設定されていません。
推奨処置 vpdn group group_name ppp authentication コマンドで、RADIUS 認証を追加します。
403107
エラー メッセージ %PIXPIX|ASA-4-403107: PPP virtual interface interface_name missing aaa server group info推奨処置 vpdn group group_name client authentication aaa aaa_server_group コマンドで、AAA サーバ情報を追加します。
403108
エラー メッセージ %PIXPIX|ASA-4-403108: PPP virtual interface interface_name missing client ip address option説明 クライアント IP アドレス プール情報が不足しています。
推奨処置 vpdn group group_name client configuration address local address_pool_name コマンドで、IP アドレス プール情報を追加します。
403109
エラー メッセージ %PIXPIX|ASA-4-403109: Rec'd packet not an PPTP packet. (ip) dest_address = dest_address, src_addr = source_address, data : string .403110
エラー メッセージ %PIXPIX|ASA-4-403110: PPP virtual interface interface_name , user: user missing MPPE key from aaa server.説明 AAA サーバは、MPPE 暗号化ポリシーのセットアップに必要な MPPE キー アトリビュートを返しません。
推奨処置 AAA サーバ コンフィギュレーションを確認して、AAA サーバが MPPE キー アトリビュートを返せない場合は、代わりに vpdn group group_name client authentication local コマンドでローカル認証を使用します。
403500
エラー メッセージ %PIXPIX|ASA-6-403500: PPPoE - Service name 'any' not received in PADO. Intf: interface_name AC: ac_name .説明 セキュリティ アプライアンスが、インターネット サービス プロバイダーのアクセス コントローラからの PPPoE サービス「any」を要求しました。サービス プロバイダーからの応答には他のサービスが含まれていますが、サービス「any」は含まれていません。これは、プロトコルの実装の不一致です。PADO パケットは正常に処理されて、接続ネゴシエーションが続行されます。
403501
エラー メッセージ %PIXPIX|ASA-3-403501: PPPoE - Bad host-unique in PADO - packet dropped. Intf: interface_name AC: ac_name説明 セキュリティ アプライアンスは、ホスト固有値と呼ばれる ID をアクセス コントローラに送信しました。アクセス コントローラは、異なるホスト固有値で応答しました。セキュリティ アプライアンスはこの応答に対応する接続要求を識別できません。パケットは廃棄され、接続ネゴシエーションは切断されます。
推奨処置 インターネット サービス プロバイダーにお問い合せください。サービス プロバイダーのアクセス コントローラがホスト固有値の処理を誤っているか、または PADO パケットが不正です。
403502
エラー メッセージ %PIXPIX|ASA-3-403502: PPPoE - Bad host-unique in PADS - dropping packet. Intf: interface_name AC: ac_name説明 セキュリティ アプライアンスは、ホスト固有値と呼ばれる ID をアクセス コントローラに送信しました。アクセス コントローラは、異なるホスト固有値で応答しました。セキュリティ アプライアンスはこの応答に対応する接続要求を識別できません。パケットは廃棄され、接続ネゴシエーションは切断されました。
推奨処置 インターネット サービス プロバイダーにお問い合せください。サービス プロバイダーのアクセス コントローラがホスト固有値の処理を誤っているか、または PADO パケットが不正です。
403503
エラー メッセージ %PIXPIX|ASA-3-403503: PPPoE:PPP link down: reason説明 PPP リンクがダウンしました。これが発生する原因は数多くあります。最初の形式に表示される理由は、PPP からの理由の場合です。
推奨処置 ネットワーク リンクを調べて、リンクが接続されていることを確認します。アクセス コンセントレータがダウンしていることがあります。認証プロトコルがアクセス コンセントレータと一致することを確認します。名前とパスワードが正しいことを確認します。ISP またはネットワーク サポート担当者にご確認ください。
403504
エラー メッセージ %PIXPIX|ASA-3-403504: PPPoE:No 'vpdn group' for PPPoE is created 説明 PPPoE では、PPPoE セッションを開始する前に、ダイヤルアウト コンフィギュレーションが必要です。一般的にコンフィギュレーションでは、ダイヤル ポリシー、PPP 認証、ユーザ名、およびパスワードを指定する必要があります。次の例では、セキュリティ アプライアンスを PPPoE ダイヤルアウト用に設定します。my-username コマンドおよび my-password コマンドは、必要であれば PAP を使用して、アクセス コンセントレータの認証に使用されます。
次に例を示します。
403505
エラー メッセージ %PIXPIX|ASA-4-403505: PPPoE:PPP - Unable to set default route to IP_address at interface_name 説明 通常、このメッセージには「 - default route already exists 」というメッセージが続きます。
推奨処置 現行のデフォルト ルートを削除するか、または「setroute」パラメータを削除して、PPPoE と手動で設定したルートが競合しないようにします。
403506
エラー メッセージ %PIXPIX|ASA-4-403506: PPPoE:failed to assign PPP IP_address netmask netmask at interface_name説明 このメッセージには、「 - subnet is the same as interface 」または「 on failover channel 」が続きます。
推奨処置 最初の場合は、競合の原因となったアドレスを変更します。2 番目の場合は、フェールオーバー インターフェイス以外のインターフェイスに PPPoE を設定します。
404101
エラー メッセージ %PIX|ASA-4-404101: ISAKMP: Failed to allocate address for client from pool string説明 ISAKMP は、ip local pool コマンドで指定されたプールから VPN クライアント用の IP アドレスを割り当てるのに失敗しました。
404102
エラー メッセージ %PIX|ASA-3-404102: ISAKMP: Exceeded embryonic limit説明 500 を超える初期セキュリティ アソシエーション(SA)が存在します。これは DoS 攻撃を意味する場合があります。
推奨処置 show crypto isakmp ca コマンドを入力して、攻撃元を判別します。攻撃元を特定した後、攻撃 IP アドレスまたはネットワークへのアクセスを拒否します。
405001
エラー メッセージ %PIX|ASA-4-405001: Received ARP {request | response} collision from IP_address / MAC_address on interface interface_name説明 Cisco ASA は ARP パケットを受信しましたが、パケット内の MAC アドレスが ARP キャッシュ エントリと異なります。
推奨処置 このトラフィックは、正当である場合もあれば、ARP ポイズニング攻撃が進行中であることを示す場合もあります。送信元 MAC アドレスを確認してパケットの送信元を判別し、そのパケットが有効なホストに属しているかどうかを調べます。
405101
エラー メッセージ %PIX|ASA-4-405101: Unable to Pre-allocate H225 Call Signalling Connection for foreign_address outside_address [/ outside_port ] to local_address inside_address [/ inside_port ]説明 モジュールが、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。
推奨処置 このメッセージが一定期間ごとに発生する場合は、無視してかまいません。頻繁に繰り返される場合は、Cisco TAC にお問い合せください。グローバル プールのサイズを確認して、内部のネットワーク クライアント数と比較できます。PAT アドレスが必要な場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足によって発生することもあります。使用メモリ量を削減してみるか、または追加メモリを購入します。
405002
エラー メッセージ %PIX|ASA-4-405002: Received mac mismatch collision from IP_address / MAC_address for authenticated host説明 このパケットは、次のどちらかの条件の場合に表示されます。
• Cisco ASA は IP アドレスが同じだが、MAC アドレスがその uauth エントリの 1 つとは異なるパケットを受信しました。
• Cisco ASA に vpnclient mac-exempt コマンドを設定し、除外 MAC アドレスを持つが、対応する uauth エントリとは異なる IP アドレスを持つパケットが Cisco ASA によって受信されます。
推奨処置 このトラフィックは、正当である場合もあれば、ARP スプーフィング攻撃が進行中であることを示す場合もあります。送信元 MAC アドレスと IP アドレスを確認してパケットの送信元を判別し、そのパケットが有効なホストに属しているかどうかを調べます。
405101
エラー メッセージ %PIX|ASA-4-405101: Unable to Pre-allocate H225 Call Signalling Connection for foreign_address outside_address [/ outside_port ] to local_address inside_address[/inside_port ]説明 Cisco ASA が、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。
推奨処置 グローバル プールのサイズを確認し、内部のネットワーク クライアント数と比較します。PAT アドレスが必要な場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足によって発生することもあります。使用メモリ量を削減するか、または追加メモリを購入します。このメッセージが一定期間ごとに発生する場合は、無視してかまいません。頻繁に繰り返される場合は、Cisco TAC にお問い合せください。
405102
エラー メッセージ %PIX|ASA-4-405102: Unable to Pre-allocate H245 Connection for foreign_address outside_address [/ outside_port ] to local_address inside_address [/ inside_port ]説明 Cisco ASA が、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットが利用できません。
推奨処置 グローバル プールのサイズを確認し、内部のネットワーク クライアント数と比較します。PAT アドレスが必要な場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足によって発生することもあります。使用メモリ量を削減するか、または追加メモリを購入します。このメッセージが一定期間ごとに発生する場合は、無視してかまいません。頻繁に繰り返される場合は、Cisco TAC にお問い合せください。
405103
エラー メッセージ %PIX|ASA-4-405103: H225 message from source_address / source_port to dest_address / dest_port contains bad protocol discriminator hex説明 PIX はプロトコル識別子 0x08 を予測していますが、0x08 以外の識別子を受信しました。このエラー メッセージは、エンドポイントから不良パケットが送信されている場合、または最初のセグメント以外のメッセージ セグメントを受信した場合に発生することがあります。
405104
エラー メッセージ %PIX|ASA-4-405104: H225 message received from outside_address / outside_port to inside_address / inside_port before SETUP説明 このメッセージは、H.225 メッセージを間違った順番で受信すると表示されます。初期 SETUP メッセージの前に H.225 メッセージを受信しました。これは許可されません。Cisco ASA は、その H.225 コール シグナリング チャネルに関する初期 SETUP メッセージを受信してから、他のすべての H.225 メッセージを受信する必要があります。
405105
エラー メッセージ %PIX|ASA-4-405105: H323 RAS message AdmissionConfirm received from source_address / source_port to dest_address/dest_port without an AdmissionRequest説明 ゲートキーパーから admission confirm(ACF; 許可確認)が送信されましたが、Cisco ASA はゲートキーパーに admission request(ARQ; 許可要求)を送信していません。
推奨処置 指摘された source_address のゲートキーパーを確認して、Cisco ASA から ARQ を受信していないのに ACF が送信された理由を判定します。
405201
エラー メッセージ %PIX|ASA-4-405201: ILS ILS_message_type from inside_interface:source_IP_address to outside_interface:/destination_IP_address has wrong embedded address embedded_IP_address説明 ILS パケット ペイロードに埋め込まれたアドレスが、IP パケット ヘッダーのソース IP アドレスと異なります。
推奨処置 指摘された source_IP_address のホストを確認して、誤った埋め込み IP アドレスで ILS パケットが送信された理由を判定します。
406001
エラー メッセージ %PIX|ASA-4-406001: FTP port command low port: IP_address/port to IP_address on interface interface_name説明 クライアントが FTP ポート コマンドを入力して、1024 (通常はサーバ ポート専用の周知のポート範囲にある)より小さなポート番号を指定しました。これは、サイト セキュリティ ポリシーを回避しようとしていることを示します。Cisco ASA は、パケットの廃棄、接続の終了、およびイベントの記録を行います。
406002
エラー メッセージ %PIX|ASA-4-406002: FTP port command different address: IP_address( IP_address ) to IP_address on interface interface_name説明 クライアントが FTP ポート コマンドを発行して、接続に使用されているアドレス以外のアドレスを指定しました。このエラー メッセージは、サイトのセキュリティ ポリシーを回避しようとしていること示します。たとえば、攻撃者が途中でパケットを変更し、正しいソース情報の代わりに別のソース情報を設定して FTP セッションをハイジャックしようとしている場合があります。セキュリティ アプライアンスは、パケットの廃棄、接続の終了、およびイベントの記録を行います。カッコ内のアドレスは、ポート コマンドからのアドレスです。
407001
エラー メッセージ %PIX|ASA-4-407001: Deny traffic for local-host interface_name:inside_address , license limit of number exceeded説明 ホスト制限を超えました。次のどちらかの条件に当てはまる場合、内部ホストは制限にカウントされます。
• 内部ホストは、この 5 分以内に、Cisco ASA 経由でトラフィックを転送しました。
• 内部ホストは現在、Cisco ASA で、xlate 接続またはユーザ認証を予約しています。
推奨処置 ホスト制限はローエンド プラットフォームに適用されます。ホスト制限を表示するには、 show version コマンドを使用します。Cisco ASA でのセッションを持つ現在のアクティブ ホストと内部ユーザを表示するには、 show local-host コマンドを使用します。1 つまたは複数のユーザを強制的に切断するには、 clear local-host コマンドを使用します。内部ユーザを制限になる前に期限切れにするには、xlate、接続、および uauth タイムアウトを推奨値以下に設定します( 表2-5 を参照)。
|
|
|
|---|---|
407002
エラー メッセージ %PIX|ASA-3-407002: Embryonic limit nconns/elimit for through connections exceeded. outside_address / outside_port to global_address ( inside_address )/ inside_port on interface interface_name説明 これは Cisco ASA 経由の接続に関するメッセージです。このメッセージは、指摘されたグローバル アドレスを経由して、指摘された外部アドレスから指摘されたローカル アドレスに接続された数が、そのスタティックの最大初期制限を超えた場合に表示されます。Cisco ASA は、接続にメモリが割り当て可能な場合は、その接続を受け入れようとします。ローカル ホストに代わってプロキシ ホストとなり、SYN_ACK パケットを外部ホストに送信します。Cisco ASA は、該当するステート情報を保持し、パケットを廃棄し、クライアントの ACK を待ちます。
推奨処置 このメッセージは、正当なトラフィックを示す場合もあれば、DoS 攻撃が進行中であることを示す場合もあります。送信元アドレスを調べてパケットの送信元を判別し、それが有効なホストであるかどうかを確認します。
407003
エラー メッセージ %PIX|ASA-4-407003: Established limit for RPC services exceeded number説明 Cisco ASA は、最大ホール数に達した後、すでに設定されている RPC サーバ ペアまたは RPC サービス ペアに対して、新規のホールをオープンしようとします。
推奨処置 他のホールがクローズされるのを待機するか(関連タイムアウト有効期限を使用)、またはサーバまたはサービスのアクティブ ペア数を制限します。
408001
エラー メッセージ %PIX|ASA-4-408001: IP route counter negative - reason , IP_address Attempt: number説明 IP ルート カウンタを負の値に減少しようとしましたが失敗しました。
推奨処置 clear ip route * コマンドを入力して、ルート カウンタをリセットします。メッセージが継続して定常的に表示される場合は、表示されるメッセージを正確にコピーして、Cisco TAC に報告してください。
408002
エラー メッセージ %PIX|ASA-4-408002: ospf process id route type update address1 netmask1 [ distance1/metric1 ] via source IP:interface1 address2 netmask2 [ distance2/metric2 ] interface2説明 既存のルートよりも適切なメトリックを持つ同じ距離の別のインターフェイスからネットワーク アップデートを受信しました。新規のルートによって、別のインターフェイスを使用してインストールされた既存のルートが上書きされます。新規のルートは冗長目的に限り使用され、ネットワーク内でパスが移動されたことを意味します。この変更は、トポロジと再配布を使用して制御する必要があります。この変更の影響を受ける既存の接続は、ディセーブルにされる可能性があり、タイムアウトになります。このパスの移動は、パス冗長をサポートするようにネットワーク トポロジが特に設計されている場合(このケースが予測されます)に限り発生します。
409001
エラー メッセージ %PIX|ASA-4-409001: Database scanner: external LSA IP_address netmask is lost, reinstalls409002
エラー メッセージ %PIX|ASA-4-409002: db_free: external LSA IP_address netmask409003
エラー メッセージ %PIX|ASA-4-409003: Received invalid packet: reason from IP_address , interface_name説明 無効な OSPF パケットを受信しました。詳細は、エラー メッセージに記載されています。原因は、送信側の誤った OSPF コンフィギュレーションか内部エラーの可能性があります。
409004
エラー メッセージ %PIX|ASA-4-409004: Received reason from unknown neighbor IP_address説明 OSPF hello、データベース記述、またはデータベース要求パケットを受信しましたが、ルータは送信側を識別できませんでした。
409005
エラー メッセージ %PIX|ASA-4-409005: Invalid length number in OSPF packet from IP_address (ID IP_address ), interface_name説明 正常なヘッダー サイズよりも短いフィールド長の OSPF パケット、または到着した IP パケットのサイズと一致しない OSPF パケットを受信しました。これは、パケットの送信側のコンフィギュレーション エラーを示しています。
409006
エラー メッセージ %PIX|ASA-4-409006: Invalid lsa: reason Type number , LSID IP_address from IP_address , IP_address , interface_name説明 LSA タイプが無効の LSA をルータが受信しました。原因は、ルータ上のメモリの破損または予想外の動作のどちらかです。
推奨処置 近接アドレスから、問題のルータを特定しリブートします。この問題の原因を判定するには、Cisco TAC に問い合せてサポートを受けてください。
409007
エラー メッセージ %PIX|ASA-4-409007: Found LSA with the same host bit set but using different mask LSA ID IP_address netmask New: Destination IP_address netmask409008
エラー メッセージ %PIX|ASA-4-409008: Found generating default LSA with non-zero mask LSA type : number Mask: netmask metric : number area : string説明 ルータが誤ったマスクでデフォルト LSA を生成しようとしました。内部ソフトウェア エラーのためにメトリックが間違っている可能性があります。
409009
エラー メッセージ %PIX|ASA-4-409009: OSPF process number cannot start. There must be at least one up IP interface, for OSPF to use as router ID説明 OSPF は、自分の 1 つのインターフェイスの IP アドレスからルータ ID を割り当てようとして、失敗しました。
推奨処置 IP アドレスが有効な動作中のインターフェイスが少なくとも 1 つあることを確認します。ルータで複数の OSPF プロセスが動作している場合、それぞれに固有のルータ ID が必要です。十分な数のインターフェイスを動作させて、それぞれがルータ ID を取得できるようにする必要があります。
409010
エラー メッセージ %PIX|ASA-4-409010: Virtual link information found in non-backbone area: string409011
エラー メッセージ %PIX|ASA-4-409011: OSPF detected duplicate router-id IP_address from IP_address on interface interface_name説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。
409012
エラー メッセージ %PIX|ASA-4-409012: Detected router with duplicate router ID IP_address in area string説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。
409013
エラー メッセージ %PIX|ASA-4-409013: Detected router with duplicate router ID IP_address in Type-4 LSA advertised by IP_address説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。
409023
エラー メッセージ %PIX|ASA-4-409023: Attempting AAA Fallback method method_name for request_type request for user user :Auth-server group server_tag unreachable説明 外部サーバに対する認証または認可の試行が失敗し、ローカル ユーザ データベースを使用して実行されるようになります。 aaa_operation は「authentication」か「authorization」のどちらかです。 username は接続に関連付けられたユーザです。 server_group はサーバが到達不能であった AAA サーバの名前です。
推奨処置 最初の方法で設定された AAA サーバの接続性の問題を調査します。Cisco ASA から認証サーバに対して ping を実行します。AAA サーバでデーモンが動作中であることを確認します。
410001
エラー メッセージ %PIX|ASA-4-410001: UDP DNS request from source_interface:source_address / source_port to dest_interface:dest_address/dest_port ; (label length | domain-name length) 52 bytes exceeds remaining packet length of 44 bytes.説明 このメッセージは、UDP DNS パケット内でドメイン名の長さが 255 バイトを超えた場合に表示されます(RFC 1035 section 3.1 を参照)。
411001
エラー メッセージ %PIX|ASA-4-411001:Line protocol on interface interface_name changed state to up説明 回線プロトコルのステータスが、 down から up に変化しました。 interface_name が論理インターフェイス名(「inside」および「outside」など)の場合、このメッセージは、論理インターフェイス回線プロトコルが down から up に変化したことを示します。 interface_name が物理インターフェイス名(「Ethernet0」および「GigabitEthernet0/1」など)の場合、このメッセージは、物理インターフェイス回線プロトコルが down から up に変化したことを示します。
411002
エラー メッセージ %PIX|ASA-4-411002:Line protocol on interface interface_name changed state to down説明 回線プロトコルのステータスが up から down に変化しました。 interface_name が論理インターフェイス名(「inside」および「outside」など)の場合、このメッセージは、論理インターフェイス回線プロトコルが up から down に変化したことを示します。この場合、物理インターフェイス回線プロトコルのステータスは影響を受けません。 interface_name が物理インターフェイス名(「Ethernet0」および「GigabitEthernet0/1」など)の場合、このメッセージは、物理インターフェイス回線プロトコルが up から down に変化したことを示します。
411003
エラー メッセージ %PIX|ASA-4-411003: Configuration status on interface interface_name changed state to downup411004
エラー メッセージ %PIX|ASA-4-411004: Configuration status on interface interface_name changed state to up412001
エラー メッセージ %PIX|ASA-4-412001:MAC MAC_address moved from interface_1 to interface_2説明 このメッセージは、モジュール インターフェイス間でのホストの移動が検出された場合に生成されます。透過 Cisco ASA では、ホスト(MAC)と Cisco ASA ポートの間のマッピングはレイヤ 2 転送テーブルに保持されています。このテーブルでは、パケット送信元 MAC アドレスが Cisco ASA ポートにダイナミックにバインドされます。このプロセスでは、インターフェイス間でのホストの移動が検出されると常に、このメッセージが生成されます。
推奨処置 ホストの移動が有効である場合もあれば、ホストの移動が、他のインターフェイス上のホスト MAC をスプーフィングしようとしている場合もあります。MAC スプーフィングの場合は、ネットワーク上の脆弱なホストを特定して削除するか、またはスタティック MAC エントリ(MAC アドレスおよびポート バインディングは変更できない)を設定します。実際にホスト移動が行われた場合、処置は不要です。
412002
エラー メッセージ %PIX|ASA-4-412002:Detected bridge table full while inserting MAC MAC_address on interface interface . Number of entries = num説明 このメッセージは、ブリッジ テーブルがいっぱいの場合に、さらに 1 つエントリを追加しようとしたときに生成されます。Cisco ASA は、コンテキストごとに別個のレイヤ 2 転送テーブルを保持しており、コンテキストがサイズ制限を超えると常にこのメッセージが生成されます。MAC アドレスは追加されますが、テーブル内の最も古い既存のダイナミック エントリ(有効な場合)が置換されます。
推奨処置 これは攻撃が行われようとした可能性があります。新規ブリッジ テーブル エントリが有効であることを確認します。攻撃の場合には、EtherType ACLs を使用して脆弱なホストへのアクセスを制御します。
413001
エラー メッセージ %ASA-4-413001: Module in slot slotnum is not able to shut down. Module Error: errnum message説明 slotnum 内のモジュールは、ASA システム モジュールからのシャットダウンの要求に応じることができませんでした。ソフトウェア アップグレードのような中断できないタスクを実行していることがあります。 errnum および message テキストに、モジュールをシャットダウンできなかった理由と、推奨アクションが記載されています。
推奨処置 モジュール上のタスクが完了するのを待ってからモジュールをシャットダウンするか、またはセッション コマンドを使用してモジュールの CLI にアクセスし、モジュールのシャットダウンを妨げているタスクを停止します。
413002
エラー メッセージ %ASA-4-413002: Module in slot slotnum is not able to reload. Module Error: errnum message説明 slotnum 内のモジュールは、ASA システム モジュールからのリロードの要求に応じることができませんでした。ソフトウェア アップグレードのような中断できないタスクを実行していることがあります。 errnum および message テキストに、モジュールをリロードできなかった理由と、推奨アクションが記載されています。
推奨処置 モジュールのタスクが完了するのを待ってからモジュールをリロードするか、またはセッション コマンドを使用してモジュールの CLI にアクセスし、モジュールのリロードを妨げているタスクを停止します。
413003
エラー メッセージ %ASA-4-413003: Module in slot slotnum is not a recognized type説明 有効なカード タイプとして認識されないカードを検出するたびに生成されます。
推奨処置 インストールされているモジュール タイプをサポートする ASA システム ソフトウェアのバージョンにアップグレードします。
413004
エラー メッセージ %ASA-4-413004: Module in slot slotnum failed to write software v newver (currently v ver ), reason . Trying again.説明 指摘されたスロット番号のモジュールがソフトウェア バージョンに対応できませんでした。UNRESPONSIVE 状態に移行します。モジュール ソフトウェアのアップデートがさらに試行されます。
newver :モジュールへの書き込みが正常に終了しなかったソフトウェアの新しいバージョン番号(1.0(1)0 など)。
ver :モジュール上のソフトウェアの現在のバージョン番号(1.0(1)0 など)。
reason :新しいバージョンがモジュールに書き込みできなかった理由。 reason に考えられる値は、次のとおりです。
• failed to create a thread to write the image
推奨処置 不要です。その後の試行で、アップデートの成功または失敗を示すメッセージが生成されます。その後のアップデート試行後の UP へのモジュール遷移を確認するには、 show module slotnum コマンドを使用します。
414001
エラー メッセージ %PIX|ASA-3-414001: Failed to save logging buffer using file name filename to FTP server ftp_server_address on interface interface_name : [ fail_reason ]説明 このシステム ログ メッセージは、ロギング モジュールによる外部 FTP サーバへのロギング バッファの保存が失敗した場合に生成されます。
–プロトコル エラー:FTP サーバと Cisco ASA との間の接続に問題がなく、FTP サーバが FTP PORT コマンドを受信して要求を出すことができることを確認します。
414002
エラー メッセージ %PIX|ASA-3-414002: Failed to save logging buffer to flash:/syslog directory using file name: filename : [ fail_reason ]説明 このシステム ログ メッセージは、ロギング モジュールによるシステム フラッシュへのロギング バッファの保存が失敗した場合に生成されます。
推奨処置 失敗した理由が十分な領域がないためである場合は、システム フラッシュの空き領域をチェックして、ロギング フラッシュ サイズ コマンドの設定制限が正しく設定されていることを確認します。エラーが、フラッシュ ファイル システムの入出力エラーの場合は、Cisco TAC に問い合せてサポートを受けてください。
415001
エラー メッセージ %PIX|ASA-5-415001: internal_sig_id HTTP Tunnel detected - action tunnel_type from source_address to dest_address説明 このメッセージは、 http-map port-misuse コマンドが設定されていて、トンネリング プロトコルが検出された場合に発行されます。
internal_sig_id :これは、alert をトリガーした特定のポリシーを識別するのに、開発者が使用できる内部の「ポリシー番号」です。
action :これは、ユーザが設定したアクションに従って、「Reset -」または「Drop -」を含む可能性があります。アクションが「ログ」の場合、ヌル文字列 "" が渡されます。
dest_address :トンネリングが検出されたパケットの宛先アドレス。
source_address :トンネリングが検出されたパケットの送信元アドレス。
tunnel_type :検出されたトンネリング プロトコルのタイプを示します。
推奨処置 このメッセージは、ユーザが HTTP でトンネリング プロトコルを実行していたことを示します。これはポリシーに違反することがあります。
415002
エラー メッセージ %PIX|ASA-5-415002: internal_sig_id HTTP Instant Messenger detected - action instant_messenger_type from source_address to dest_address説明 このメッセージは、 http-map port-misuse コマンドが設定されていて、インスタント メッセンジャ プロトコルが検出された場合に発行されます。
action :これは、ユーザが設定したアクションに従って、「Reset -」または「Drop -」を含む可能性があります。アクションが「ログ」の場合、ヌル文字列 "" が渡されます。
dest_address :インスタント メッセンジャ プロトコルが検出されたパケットの宛先アドレス。
instant_messenger_type :検出されたインスタント メッセンジャ プロトコルのタイプを示します。
internal_sig_id :これは、alert をトリガーした特定のポリシーを識別するのに、開発者が使用できる内部の「ポリシー番号」です。
source-address :インスタント メッセンジャ プロトコルが検出されたパケットの送信元アドレス。
推奨処置 このメッセージは、ユーザが HTTP でインスタント メッセンジャ プロトコルを実行していたことを示します。これはポリシーに違反することがあります。
415003
エラー メッセージ %PIX|ASA-5-415003: internal_sig_id HTTP Peer-to-Peer detected - action peer_to_peer_type from source_address to dest_address説明 このメッセージは、 http-map port-misuse コマンドが設定されていて、ピアツーピア プロトコルが検出された場合に発行されます。
internal_sig_id :これは、alert をトリガーした特定のポリシーを識別するのに、開発者が使用できる内部の「ポリシー番号」です。
action :これは、ユーザが設定したアクションに従って、「Reset」または「Drop」を含む可能性があります。アクションが log の場合、ヌル文字列 "" が渡されます。
peer_to_peer_type :検出されたピアツーピア プロトコルのタイプを示します。
source-address :ピアツーピア プロトコルが検出されたパケットの送信元アドレス。
dest-address :ピアツーピア プロトコルが検出されたパケットの宛先アドレス。
推奨処置 このメッセージは、ユーザが HTTP でピアツーピア プロトコルを実行していたことを示します。これはポリシーに違反することがあります。
415004
エラー メッセージ %PIX|ASA-1-415004: internal_sig_id Content type not found - action mime_type from source_address to dest_address説明 このシステム ログ メッセージは、 http-map content-type-verification コマンドが設定されていて、Content-Type HTTP Header フィールド内の MIME タイプが許容ポリシー タイプのリストに見つからなかった場合に発行されます。
internal_sig_id :これは、alert をトリガーした特定のポリシーを識別するのに、開発者が使用できる内部の「ポリシー番号」です。
action :これは、ユーザが設定したアクションに従って、「Reset -」または「Drop -」を含む可能性があります。アクションが「ログ」の場合、ヌル文字列 "" が渡されます。
mime_typ e:Content-Type HTTP Header フィールドに表示されたコンテンツ タイプ。
source-address :認識されない MIME タイプが検出されたパケットの送信元アドレス。
dest-address :認識されない MIME タイプが検出されたパケットの宛先アドレス。
推奨処置 このシステム ログ メッセージは、メッセージの内容が、許容されるコンテンツ タイプのポリシー リストに見つからなかったことを示しています。これはポリシーに違反することがあります。
415005
エラー メッセージ %PIX|ASA-5-415005: Internal_Sig_Id Content type does not match specified type - Action Content Verification Failed from source_address to Dst_IP_Address説明 このメッセージは、 http-map content-type-verification コマンドが設定されていて、Content-Type HTTP Header フィールド内の MIME タイプが許容ポリシー タイプのリストに見つかったが、メッセージ本体の「マジック番号」がそのタイプのファイルを識別する正しいマジック番号ではない場合に発行されます。
このメッセージは表示が制限されており、その後の違反は記録されません。
Internal_Sig_Id :これは、alert をトリガーした特定のポリシーを識別するのに、開発者が使用できる内部の「ポリシー番号」です。
Action :これは、ユーザが設定したアクションに従って、「Reset -」または「Drop -」を含む可能性があります。アクションが「ログ」の場合、ヌル文字列 "" が渡されます。
source-address :コンテンツ タイプの検証の失敗が検出されたパケットの送信元アドレス。
Dst_IP_Address :コンテンツ タイプの検証の失敗が検出されたパケットの宛先アドレス。
推奨処置 メッセージ本体のメッセージの内容が、メッセージのヘッダー内のコンテンツ タイプと一致しませんでした。これは異常なことであり、接続を利用して禁止されたデータを密かに入出力しようとしていることを示す場合があります。
415006
エラー メッセージ %PIX|ASA-6-415006: internal_sig_id Content size size out of range - action content-length from source_address to dest_address説明 このメッセージは、 http-map content-length コマンドが設定されていて、コンテンツ長がユーザ設定の長さを超えている場合に発行されます。
internal_sig_id :これは、alert をトリガーした特定のポリシーを識別するのに、開発者が使用できる内部の「ポリシー番号」です。
action :これは、ユーザが設定したアクションに従って、「Reset -」または「Drop -」を含む可能性があります。アクションが「ログ」の場合、ヌル文字列 "" が渡されます。
size :ユーザ設定の最大長を超えていたメッセージの長さ。
content-length :Content-Length HTTP Header フィールドに表示されていたコンテンツの長さ。
source-address :コンテンツ サイズ違反が検出されたパケットの送信元アドレス。
415007
エラー メッセージ %PIX|ASA-5-415007: internal_sig_id HTTP Extension method illegal - action ' method_name ' from source_address to dest_address説明 このメッセージは、指摘された拡張メソッドをフィルタリングするために http-map request-method ext コマンドが設定されている場合に発行されます。
internal_sig_id :これは、alert をトリガーした特定のポリシーを識別するのに、開発者が使用できる内部の「ポリシー番号」です。
action :これは、ユーザが設定したアクションに従って、「Reset -」または「Drop -」を含む可能性があります。アクションが「ログ」の場合、ヌル文字列 "" が渡されます。
method_name :alert を発生させた拡張メソッドの名前。
source_address :拡張メソッドが検出されたパケットの送信元アドレス。
dest_address :拡張メソッドが検出されたパケットの宛先アドレス。
推奨処置 このメッセージは、禁止されている拡張メソッドを使用しようとしたことを示します。これは、ユーザが設定したポリシーに違反します。
415008
エラー メッセージ %PIX|ASA-5-415008: internal_sig_id HTTP RFC method illegal - action ' method_name ' from source_address to dest_address説明 このメッセージは、指摘された RFC メソッドをフィルタリングするために http-map request-method rfc コマンドが設定されている場合に発行されます。
internal_sig_id :これは、alert をトリガーした特定のポリシーを識別するのに、開発者が使用できる内部の「ポリシー番号」です。
action :これは、ユーザが設定したアクションに従って、「Reset -」または「Drop -」を含む可能性があります。アクションが「ログ」の場合、ヌル文字列 "" が渡されます。
method_name :alert を発生させた RFC メソッドの名前。
source_address :RFC メソッドが検出されたパケットの送信元アドレス。
dest_address :RFC メソッドが検出されたパケットの宛先アドレス。
推奨処置 このメッセージは、禁止されている RFC メソッドを使用しようとしたことを示します。これは、ユーザが設定したポリシーに違反します。
415009
エラー メッセージ %PIX|ASA-6-415009: internal_sig_id HTTP Header length exceeded. Received length byte Header - action header length exceeded from source_address to dest_address説明 このメッセージは、 http-map max-header-length コマンドが設定されていて、ユーザ指定のヘッダー長よりも長い HTTP ヘッダーが検出された場合に発行されます。
internal_sig_id :これは、alert をトリガーした特定のポリシーを識別するのに、開発者が使用できる内部の「ポリシー番号」です。
action :これは、ユーザが設定したアクションに従って、「Reset -」または「Drop -」を含む可能性があります。アクションが「ログ」の場合、ヌル文字列 "" が渡されます。
source_address :限度を超えた長さのヘッダー長が検出されたパケットの送信元アドレス。
dest-address :限度を超えた長さのヘッダー長が検出されたパケットの宛先アドレス。
推奨処置 このメッセージは、ユーザ指定の最大長よりも長いヘッダーが送信されたことを示します。これは、ユーザが設定したポリシーに違反します。
415010
エラー メッセージ %PIX|ASA-5-415010: internal_sig_id HTTP protocol violation detected - action HTTP Protocol not detected from source_address to dest_address説明 このメッセージは、 http-map strict-http コマンドが設定されていて、ストリームが RFC 準拠の実装チェックに違反している場合に発行されます。
internal_sig_id :これは、alert をトリガーした特定のポリシーを識別するのに、開発者が使用できる内部の「ポリシー番号」です。
action :これは、ユーザが設定したアクションに従って、 Reset または Drop を含む可能性があります。アクションが log の場合、ヌル文字列 "" が渡されます。
source_address :非 HTTP プロトコルが検出されたパケットの送信元アドレス。
dest_address :非 HTTP プロトコルが検出されたパケットの宛先アドレス。
推奨処置 HTTP トランザクション用のポートを通してプロトコルが実行されている場合があります。これは、ユーザが設定したポリシーに違反します。
415011
エラー メッセージ %PIX|ASA-6-415011: internal_sig_id HTTP URL Length exceeded. Received size byte URL - action URI length exceeded from source_address to dest_address説明 このメッセージは、 http-map max-url-length コマンドが設定されていて、ユーザ指定の最大 URL 長よりも長い URL が検出された場合に発行されます。
internal_sig_id :これは、alert をトリガーした特定のポリシーを識別するのに、開発者が使用できる内部の「ポリシー番号」です。
action :これは、ユーザが設定したアクションに従って、「Reset -」または「Drop -」を含む可能性があります。アクションが「ログ」の場合、ヌル文字列 "" が渡されます。
source_address :限度を超えた長さの URL が検出されたパケットの送信元アドレス。
415012
エラー メッセージ %PIX|ASA-4-415012: internal_sig_id HTTP Deobfuscation signature detected - action HTTP deobfuscation detected IPS evasion technique from source_address to source_address説明 このメッセージは、 http-map strict-http コマンドが設定されていて、HTTP 回避手法が検出された場合に発行されます。
internal_sig_id :これは、alert をトリガーした特定のポリシーを識別するのに、開発者が使用できる内部の「ポリシー番号」です。
action :これは、ユーザが設定したアクションに従って、「Reset -」または「Drop -」を含む可能性があります。アクションが「ログ」の場合、ヌル文字列 "" が渡されます。
source_address :意図的な混乱が検出されたパケットの送信元アドレス。
dest_address :意図的な混乱が検出されたパケットの宛先アドレス。
推奨処置 ハッカーが、セキュリティ チェックをバイパスしようとして URL を意図的に混乱させています。このメッセージは攻撃を示します。
415013
エラー メッセージ %PIX|ASA-5-415013: internal_sig_id HTTP Transfer encoding violation detected - action Xfer_encode Transfer encoding not allowed from source_address to dest_address説明 このメッセージは、 http-map transfer-encoding コマンドが設定されていて、禁止されている転送符号化が検出された場合に発行されます。
internal_sig_id :これは、alert をトリガーした特定のポリシーを識別するのに、開発者が使用できる内部の「ポリシー番号」です。
action :これは、ユーザが設定したアクションに従って、「Reset」または「Drop」を含む可能性があります。アクションが log の場合、ヌル文字列 "" が渡されます。
Xfer_encode :認識されているが禁止されている転送符号化の場合、これには実際の転送符号化文字列が含まれています。文字列が認識されない転送符号化の場合は、「Transfer encoding not allowed」が表示されます。
source_address :攻撃転送符号化が検出されたパケットの送信元アドレス。
415014
エラー メッセージ %PIX|ASA-4-415014: internal_sig_id Maximum of 10 unanswered HTTP requests exceeded from source_address to dest_address説明 このメッセージは、 http-map strict-http コマンドが設定されていて、1 つの接続に 10 個を超える応答のない HTTP 要求が見つかった場合に発行されます。
internal_sig_id :これは、alert をトリガーした特定のポリシーを識別するのに、開発者が使用できる内部の「ポリシー番号」です。
action :これは、ユーザが設定したアクションに従って、「Reset -」または「Drop -」を含む可能性があります。アクションが「ログ」の場合、ヌル文字列 "" が渡されます。
source_address :応答のない最後の要求が検出されたパケットの送信元アドレス。
dest_address :応答のない最後の要求が検出されたパケットの宛先アドレス。
推奨処置 応答されていない複数の HTTP 要求が送信されました。これは、接続のサーバ側に HTTP サーバが存在しないという攻撃を示すことがあります。
416001
エラー メッセージ %PIX|ASA-4-416001: Dropped UDP SNMP packet from source_interface : source_IP / source_port to dest_interface : dest_address/dest_port ; version ( prot_version ) is not allowed through the firewall説明 SNMP パケットが、不良パケット フォーマットのため、または prot_version は Cisco ASA を通過することを許可されていないために、Cisco ASA を通過することを拒否されました。 prot_version フィールドの値は、1、2、2c、または 3 のうちのいずれかです。
推奨処置 snmp-map コマンドを使用して、SNMP 検査の設定を変更します。このコマンドを使用すると、ユーザが特定のプロトコル バージョンを許可または拒否できます。
417001
エラー メッセージ %PIX|ASA-4-417001: Unexpected event received: number説明 プロセスで信号を受信しましたが、イベントのハンドラが見つかりませんでした。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
417004
エラー メッセージ %PIX|ASA-4-417004: Filter violation error: conn number ( string : string ) in string説明 クライアントが、自分が所有していないルート アトリビュートを修正しようとしました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
417006
エラー メッセージ %PIX|ASA-4-417006: No memory for string ) in string . Handling: string説明 メモリ不足のために動作が失敗しましたが、別のメカニズムで処理されます。
説明 十分なメモリが存在する場合は、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
418001
エラー メッセージ %PIX|ASA-4-418001: Through-the-device packet to/from management-only network is denied: protocol_string from interface_name IP_address ( port ) to interface_name IP_address ( port )説明 指摘された送信元から宛先へのパケットが、Cisco ASA と管理専用ネットワークとの間を経由しているために、廃棄されます。
419001
エラー メッセージ %PIX|ASA-4-419001: Dropping TCP packet from src_ifc : src_IP / src_port to dest_ifc : dest_IP / dest_port , reason: MSS exceeded, MSS size , data size説明 このメッセージは、TCP パケットの長さが 3 ウェイ ハンドシェイクでアドバタイズされた MSS を超えている場合に生成されます。
推奨処置 MSS を超えるパケットを許可する必要がある場合は、 exceed-mss コマンドを使用して TCP マップを作成します。次に例を示します。
420001
エラー メッセージ %ASA-3-420001 : IPS card not up and fail-close mode used, dropping ICMP packet ifc_in : SIP to ifc_out : DIP (type ICMP_TYPE , code ICMP_CODE )"説明 このメッセージは、IPS フェールクローズ モードが使用されており、IPS カードが動作していない場合にパケットが廃棄されると、表示されます。このメッセージは表示が制限されています。
420002
エラー メッセージ %ASA-4-420002 : IPS requested to drop ICMP packets ifc_in : SIP to ifc_out : DIP (type ICMP_TYPE , code ICMP_CODE )"420003
エラー メッセージ %ASA-4-420003 : IPS requested to reset TCP connection from ifc_in : SIP / SPORT to ifc_out : DIP / DPORT "メッセージ 500001 ~ 507001
この項では、500001 から 507001 までのメッセージについて説明します。
500001
エラー メッセージ %PIX|ASA-5-500001: ActiveX content modified src IP_address dest IP_address on interface interface_name .説明 このメッセージは、filter コマンドを使用して activex オプションをオンにし、Cisco ASA が ActiveX オブジェクトを検出すると表示されます。activex オプションを使用すると、Cisco ASA では、ActiveX オブジェクトを修正し、ActiveX コンテンツをフィルタリングして除外します。これによって、ActiveX オブジェクトは HTML オブジェクトとしてタグ付けされなくなります。
500002
エラー メッセージ %PIX|ASA-5-500002: Java content modified src IP_address dest IP_address on interface interface_name .説明 このメッセージは、filter コマンドを使用して java オプションをオンにし、Cisco ASA が Java アプレットを検出すると表示されます。java オプションを使用すると、Cisco ASA では、Java アプレットを修正し、Java コンテンツをフィルタリングして除外します。これによって、Java アプレットは HTML オブジェクトとしてタグ付けされなくなります。
500003
エラー メッセージ %PIX|ASA-5-500003: Bad TCP hdr length (hdrlen= bytes , pktlen= bytes ) from source_address / source_port to dest_address / dest_port , flags: tcp_flags , on interface interface_name説明 このメッセージは、TCP 内のヘッダー長が誤りであることを示します。一部のオペレーティング システムは、ディセーブル状態のソケットへの接続要求に応答するときに、TCP リセット(RST)を正しく処理しません。クライアントが Cisco ASA の外側にある FTP サーバに接続しようとしたときに、FTP がリスニングしていない場合、サーバは RST を送信します。一部のオペレーティング システムは誤った TCP ヘッダー長を送信します。このために、問題が発生します。UDP は、ICMP ポート到達不能メッセージを使用します。
TCP ヘッダー長は、パケット長よりも長いことを示す場合があります。このために、負のバイト数が転送されます。負の数値は、システム ログ メッセージでは符号なし数値として表示されます。このために、正常の場合よりも非常に大きな値が表示されます。たとえば、1 秒に 4 GB 転送されたことを示す場合があります。
500004
エラー メッセージ %PIX|ASA-4-500004: Invalid transport field for protocol= protocol , from source_address / source_port to dest_address / dest_port説明 このメッセージは、無効なトランスポート番号がある場合に表示されます。この場合、プロトコルの送信元または宛先のポート番号はゼロです。 protocol 値は、TCP の場合は 6、UDP の場合は 17 です。
501101
エラー メッセージ %PIX|ASA-5-501101: User transitioning priv level502101
エラー メッセージ %PIX|ASA-5-502101: New user added to local dbase: Uname: user Priv: privilege_level Encpass: string502102
エラー メッセージ %PIX|ASA-5-502102: User deleted from local dbase: Uname: user Priv: privilege_level Encpass: string502103
エラー メッセージ %PIXPIX|ASA-5-502103: User priv level changed: Uname: user From: privilege_level To: privilege_level502111
エラー メッセージ %PIXPIX|ASA-5-502111: New group policy added: name: policy_name Type: policy_type説明 これは、 group-policy CLI コマンドを使用してグループ ポリシーが設定されたことを示します。 policy_name はグループ ポリシーの名前です。 policy_type は、「internal」または「external」です。
502112
エラー メッセージ %PIXPIX|ASA-5-502112: Group policy deleted: name: policy_name Type: policy_type説明 group-policy CLI コマンドを使用してグループ ポリシーが削除されました。 policy_name はグループ ポリシーの名前です。 policy_type は、「internal」または「external」です。
503001
エラー メッセージ %PIXPIX|ASA-5-503001: Process number, Nbr IP_address on interface_name from string to string , reason説明 OSPF 近接の状態が変更されました。このメッセージには、変更およびその理由が記述されています。このメッセージは、OSPF プロセスに対して log-adjacency-changes コマンドが設定されている場合にのみ表示されます。
504001
エラー メッセージ %PIXPIX|ASA-5-504001: Security context context_name was added to the system504002
エラー メッセージ %PIXPIX|ASA-5-504002: Security context context_name was removed from the system505001
エラー メッセージ %ASA-5-505001: Module in slot slotnum is shutting down. Please wait...505002
エラー メッセージ %ASA-5-505002: Module in slot slotnum is reloading. Please wait...505003
エラー メッセージ %ASA-5-505003: Module in slot slotnum is resetting. Please wait...505004
エラー メッセージ %ASA-5-505004: Module in slot slotnum shutdown is complete.505005
エラー メッセージ %ASA-5-505005: Module in slot slotnum is initializing control communication. Please wait...説明 モジュールが検出され、そのモジュールとの制御チャネル通信を ASA システム モジュールが初期化しているときに生成されます。
505006
エラー メッセージ %ASA-5-505006: Module in slot slotnum is Up.505007
エラー メッセージ %ASA-5-505007: Module in slot slotnum is recovering. Please wait...説明 hw-module module slotnum recover boot コマンドによるモジュールの回復中に生成されます。
505008
エラー メッセージ %ASA-5-505008: Module in slot slotnum software is being updated to v newver (currently v ver )説明 このメッセージは、システム モジュールによる 4GE SSM モジュール ソフトウェアのアップグレード中に表示されます。
newver :モジュールへの書き込みが正常に終了しなかったソフトウェアの新しいバージョン番号(1.0(1)0 など)。
505009
エラー メッセージ %ASA-5-505009: Module in slot slotnum software was updated to v newver (previously v ver )説明 このメッセージは、4GE SSM モジュール ソフトウェアがシステム モジュールによって正常にアップグレードされた場合に表示されます。
newver :モジュールへの書き込みが正常に終了しなかったソフトウェアの新しいバージョン番号(1.0(1)0 など)。
506001
エラー メッセージ %ASA-5-506001: event_source_string event_string説明 ファイル システムのステータスが変更されました。このメッセージには、ファイル システムを利用可能または利用不可にしたイベントおよびイベントのソースが記述されています。ファイル システムのステータスを変更させるソースおよびイベントの例には、次のものがあります。
507001
エラー メッセージ %PIXPIX|ASA-5-507001: Terminating TCP-Proxy connection from interface_inside : source_address / source_port to interface_outside : dest_address / dest_port - reassembly limit of limit bytes exceeded説明 このメッセージは、TCP セグメントのアセンブリ中に、再構成バッファ制限を超えた場合に表示されます。
– source_address/source_port :接続を開始しているパケットの送信元 IP アドレスと送信元ポート。
– dest_address/dest_port :接続を開始しているパケットの宛先 IP アドレスと宛先ポート。
– interface_inside :接続を開始したパケットが到着するインターフェイスの名前。
– interface_outside :接続を開始したパケットを外部に送信するインターフェイスの名前。
メッセージ 602101 ~ 609002
この項では、602101 から 609002 までのメッセージについて説明します。
602101
エラー メッセージ %PIXPIX|ASA-6-602101: PMTU-D packet number bytes greater than effective mtu number dest_addr= dest_address , src_addr= source_address , prot= protocol説明 このメッセージは、Cisco ASA が ICMP 宛先到達不能メッセージを送信する場合、および、フラグメント化が必要であるが、「フラグメント化なし」ビットが設定されている場合に表示されます。
602103
エラー メッセージ %PIX|ASA-6-602103: IPSEC: Received an ICMP Destination Unreachable from src_addr with suggested PMTU of rcvd_mtu; PMTU updated for SA with peer peer_addr, SPI spi, tunnel name username, old PMTU old_mtu, new PMTU new_mtu.説明 このメッセージは、SA の MTU が変更されたときに表示されます。IPSec トンネル用のパケットを受信すると、対応する SA が特定され、ICMP パケットで推奨されている MTU に基づいて MTU がアップデートされます。推奨された MTU が 0 より大きく 256 未満の場合、新規 MTU は 256 に設定されます。推奨された MTU が 0 の場合、前の MTU は 256 を引いた値または 256 のどちらか大きい値に設定されます。推奨された MTU が 256 より大きい場合、新規 MTU は推奨された値に設定されます。
rcvd_mtu:PMTU メッセージで受信した推奨 MTU
spi:IPSec のセキュリティ パラメータ インデックス
username:IPSec トンネルに関連付けられているユーザ名
old_mtu:IPSec トンネルに関連付けられている前の MTU
602104
エラー メッセージ %PIX|ASA-6-602104: IPSEC: Received an ICMP Destination Unreachable from src_addr , PMTU is unchanged because suggested PMTU of rcvd_mtu is equal to or greater than the current PMTU of curr_mtu , for SA with peer peer_addr , SPI spi , tunnel name username .rcvd_mtu :PMTU メッセージで受信した推奨 MTU
curr_mtu :IPSec トンネルに関連付けられている現行 MTU
spi :IPSec のセキュリティ パラメータ インデックス
username :IPSec トンネルに関連付けられているユーザ名
説明 このメッセージは、IPSec トンネル経由で送信されたパケットがパス MTU を超えたことを示す ICMP メッセージを受信し、推奨 MTU が現行 MTU 以上であるた場合に表示されます。MTU 値はすでに訂正されているので、MTU の調整は行われません。これは、現在の PMTU メッセージが処理される前に、さまざまな中間ステーションから複数の PMTU メッセージが受信され、MTU が調整された場合に発生します。
602201
エラー メッセージ %PIX|ASA-6-602201: ISAKMP Phase 1 SA created (local IP_address / port (initiator|responder), remote IP_address / port , authentication= auth_type , encryption= encr_alg , hash= hash_alg , group= DH_grp , lifetime= seconds )602202
エラー メッセージ %PIX|ASA-6-602202: ISAKMP session connected (local IP_address (initiator|responder), remote IP_address )602203
エラー メッセージ %PIXPIX|ASA-6-602203: ISAKMP session disconnected (local IP_address (initiator|responder), remote IP_address )602303
エラー メッセージ %PIX|ASA-6-602303: IPSEC: An direction tunnel_type SA (SPI= spi ) between local_IP and remote_IP ( username ) has been created.tunnel_type:SA のタイプ(リモート アクセスまたは L2L)
spi:IPSec のセキュリティ パラメータ インデックス
local_IP:トンネルのローカル エンドポイントの IP アドレス
remote_IP:トンネルのリモート エンドポイントの IP アドレス
username :IPSec トンネルに関連付けられているユーザ名
602304
エラー メッセージ %PIX|ASA-6-602304: IPSEC: An direction tunnel_type SA (SPI= spi ) between local_IP and remote_IP ( username ) has been deleted.説明 このメッセージは、SA が削除された場合に表示されます。
tunnel_type:SA のタイプ(リモート アクセスまたは L2L)
spi:IPSec のセキュリティ パラメータ インデックス
local_IP:トンネルのローカル エンドポイントの IP アドレス
remote_IP:トンネルのリモート エンドポイントの IP アドレス
603101
エラー メッセージ %PIX|ASA-6-603101: PPTP received out of seq or duplicate pkt, tnl_id= number , sess_id= number , seq= number .説明 セキュリティ アプライアンスが、間違った順番の PPTP パケットまたは重複した PPTP パケットを受信しました。
推奨処置 このようなパケットが数多く発生する場合は、ピアの管理者に問い合せて、クライアントの PPTP コンフィギュレーションを確認します。
603102
エラー メッセージ %PIX|ASA-6-603102: PPP virtual interface interface_name - user: user aaa authentication started.603103
エラー メッセージ %PIX|ASA-6-603103: PPP virtual interface interface_name - user: user aaa authentication status603104
エラー メッセージ %PIX|ASA-6-603104: PPTP Tunnel created, tunnel_id is number , remote_peer_ip is remote_address , ppp_virtual_interface_id is number , client_dynamic_ip is IP_address , username is user , MPPE_key_strength is string603105
エラー メッセージ %PIX|ASA-6-603105: PPTP Tunnel deleted, tunnel_id = number , remote_peer_ip= remote_address603106
エラー メッセージ %PIX|ASA-6-603106: L2TP Tunnel created, tunnel_id is number , remote_peer_ip is remote_address , ppp_virtual_interface_id is number , client_dynamic_ip is IP_address , username is user603107
エラー メッセージ %PIX|ASA-6-603107: L2TP Tunnel deleted, tunnel_id = number , remote_peer_ip = remote_address603108
エラー メッセージ %PIX|ASA-6-603108: Built PPTP Tunnel at interface_name , tunnel-id = number , remote-peer = IP_address , virtual-interface = number , client-dynamic-ip = IP_address , username = user , MPPE-key-strength = number603109
エラー メッセージ %PIX|ASA-6-603109: Teardown PPPOE Tunnel at interface_name , tunnel-id = number , remote-peer = IP_address604101
エラー メッセージ %PIX|ASA-6-604101: DHCP client interface interface_name : Allocated ip = IP_address , mask = netmask , gw = gateway_address説明 Cisco ASA DHCP クライアントが DHCP サーバから IP アドレスを正常に取得しました。dhcpc コマンド ステートメントによって、Cisco ASA は、ネットワーク インターフェイスの IP アドレスおよびネットワーク マスクを DHCP サーバから取得でき、またデフォルト ルートを取得できます。デフォルト ルート ステートメントでは、ゲートウェイ アドレスがデフォルト ルータのアドレスとして使用されます。
604102
エラー メッセージ %PIX|ASA-6-604102: DHCP client interface interface_name : address released説明 Cisco ASA DHCP クライアントが、割り当てられた IP アドレスを解放して DHCP サーバに戻しました。
604103
エラー メッセージ %PIX|ASA-6-604103: DHCP daemon interface interface_name : address granted MAC_address ( IP_address )604104
エラー メッセージ %PIX|ASA-6-604104: DHCP daemon interface interface_name : address released605004
エラー メッセージ %PIX|ASA-6-605004: Login denied from source-address / source-port to interface : destination / service for user " username "ユーザがコンソールにログインしようとすると、次の形式のメッセージが表示されます。
説明 このメッセージは、セキュリティ アプライアンスへの誤ったログインの試行、またはログインの失敗の場合に表示されます。すべてのログインに対して、セッションあたり 3 回の試行が許容され、不正な試行が 3 回行われると、そのセッションは終了します。SSH ログインおよび TELNET ログインの場合、このメッセージは、3 回目の試行の失敗後、または 1 回または 2 回の試行の失敗後に TCP セッションが終了したときに、生成されます。他のタイプの管理セッションの場合、このメッセージは試行に失敗するたびに生成されます。
source-address :ログイン試行の送信元アドレス
推奨処置 このメッセージの表示頻度が少ない場合、処置は不要です。このメッセージが頻繁に表示される場合は、攻撃を示すことがあります。ユーザと通信して、ユーザ名とパスワードを確認します。
605005
エラー メッセージ %PIX|ASA-6-605005: Login permitted from source-address / source-port to interface : destination / service for user " username "ユーザがコンソールにログインすると、次の形式のメッセージが表示されます。
説明 このメッセージは、ユーザが正常に認証されて、管理セッションが開始されると表示されます。
606001
エラー メッセージ %PIX|ASA-6-606001: ASDM session number number from IP_address started606002
エラー メッセージ %PIX|ASA-6-606002: ASDM session number number from IP_address ended606003
エラー メッセージ %PIX|ASA-6-606003: ASDM logging session number id from IP_address started id session ID assigned説明 ASDM ロギング接続が、リモート管理クライアントによって開始されました。
606004
エラー メッセージ %PIX|ASA-6-606004: ASDM logging session number id from IP_address ended607001
エラー メッセージ %PIX|ASA-6-607001: Pre-allocate SIP connection_type secondary channel for interface_name : IP_address / port to interface_name:IP_address from string message説明 このメッセージは、SIP メッセージを検査後、 fixup sip コマンドによって SIP 接続が割り当て済みであったことを示します 。 connection_type は、次の文字列のいずれかです。
608001
エラー メッセージ %PIX|ASA-6-608001: Pre-allocate Skinny connection_type secondary channel for interface_name : IP_address to interface_name : IP_address/port from string message説明 このメッセージは、Skinny メッセージを検査後、 fixup skinny コマンドによって Skinny 接続が割り当て済みであったことを示します 。 connection_type は、次の文字列のいずれかです。
609001
エラー メッセージ %PIX|ASA-6-609001: Built local-host interface_name:IP_address説明 ネットワーク ステート コンテナは、インターフェイス interface_name に接続されたホスト IP_address 用に予約されています。これは情報メッセージです。
609002
エラー メッセージ %PIX|ASA-6-609002: Teardown local-host interface_name:IP_address duration time説明 インターフェイス interface_name に接続されているホスト IP_address 用のネットワーク ステート コンテナが削除されました。これは情報メッセージです。
610001
エラー メッセージ %PIX|ASA-3-610001: NTP daemon interface interface_name : Packet denied from IP_address説明 設定された NTP サーバのいずれとも一致しないホストから NTP パケットを受信しました。Cisco ASA は NTP クライアントにすぎません。タイム サーバではないので、NTP 要求には応答しません。
610002
エラー メッセージ %PIX|ASA-3-610002: NTP daemon interface interface_name : Authentication failed for packet from IP_address説明 受信した NTP パケットの認証チェックが失敗しました。
推奨処置 Cisco ASA と NTP サーバの両方が、認証を使用するように設定されており、キー番号とキー値が同じであることを確認します。
610101
エラー メッセージ %PIX|ASA-6-610101: Authorization failed: Cmd: command Cmdtype: command_modifier説明 指摘されたコマンドのコマンド認可が失敗しました。 command_modifier は、次の文字列のいずれかです。
– cmd (この文字列は、コマンドに修飾子がないことを意味します)。
説明 Cisco ASA がリストされた 4 コマンド タイプ以外の値を検出すると、メッセージ「 unknown command type 」が表示されます。
611101
エラー メッセージ %PIX|ASA-6-611101: User authentication succeeded: Uname: user611102
エラー メッセージ %PIX|ASA-6-611102: User authentication failed: Uname: user611103
エラー メッセージ %PIX|ASA-5-611103: User logged out: Uname: user611104
エラー メッセージ %PIX|ASA-5-611104: Serial console idle timeout exceeded説明 ユーザ アクティビティがなかったために、セキュリティ アプライアンスのシリアル コンソールに設定されたアイドル タイムアウトを超えました。
611301
エラー メッセージ %PIX|ASA-6-611301: VPNClient: NAT configured for Client Mode with no split tunneling: NAT address: mapped_address611302
エラー メッセージ %PIX|ASA-6-611302: VPNClient: NAT exemption configured for Network Extension Mode with no split tunneling説明 スプリット トンネリングなしでネットワーク拡張モード用の VPN クライアント ポリシーがインストールされました。
611303
エラー メッセージ %PIX|ASA-6-611303: VPNClient: NAT configured for Client Mode with split tunneling: NAT address: mapped_address Split Tunnel Networks: IP_address/netmask IP_address/netmask ...611304
エラー メッセージ %PIX|ASA-6-611304: VPNClient: NAT exemption configured for Network Extension Mode with split tunneling: Split Tunnel Networks: IP_address/netmask IP_address/netmask ...説明 スプリット トンネリング付きでネットワーク拡張モード用の VPN クライアント ポリシーがインストールされました。
611305
エラー メッセージ %PIX|ASA-6-611305: VPNClient: DHCP Policy installed: Primary DNS: IP_address Secondary DNS: IP_address Primary WINS: IP_address Secondary WINS: IP_address611306
エラー メッセージ %PIX|ASA-6-611306: VPNClient: Perfect Forward Secrecy Policy installed説明 VPN クライアント ダウンロード ポリシーの一部として、Perfect Forward Secrecy(PFS; 完全転送秘密)が設定されました。
611307
エラー メッセージ %PIX|ASA-6-611307: VPNClient: Head end : IP_address611308
エラー メッセージ %PIX|ASA-6-611308: VPNClient: Split DNS Policy installed: List of domains: string string ...611309
エラー メッセージ %PIX|ASA-6-611309: VPNClient: Disconnecting from head end and uninstalling previously downloaded policy: Head End: IP_address611310
エラー メッセージ %PIX|ASA-6-611310: VNPClient: XAUTH Succeeded: Peer: IP_address611311
エラー メッセージ %PIX|ASA-6-611311: VNPClient: XAUTH Failed: Peer: IP_address611312
エラー メッセージ %PIX|ASA-6-611312: VPNClient: Backup Server List: reason説明 セキュリティ アプライアンスが Easy VPN リモート デバイスの場合、このメッセージは、Easy VPN サーバがバックアップ サーバのリストをセキュリティ アプライアンスにダウンロードしたことを示します。このリストによって、ローカルで設定されたバックアップ サーバはすべて上書きされます。ダウンロードされたリストが空の場合、セキュリティ アプライアンスはバックアップ サーバを使用しません。 reason は、次のメッセージのどちらかです。
611313
エラー メッセージ %PIX|ASA-3-611313: VPNClient: Backup Server List Error: reason説明 セキュリティ アプライアンスが Easy VPN リモート デバイスであり、Easy VPN サーバがバックアップ サーバのリストをセキュリティ アプライアンスにダウンロードする場合、このメッセージは、リストに無効な IP アドレスまたはホスト名が含まれていることを示します。セキュリティ アプライアンスは、DNS はサポートしません。したがって、 name コマンドを使用して名前を IP アドレスに手動でマッピングしないかぎり、サーバのホスト名はサポートされません。
推奨処置 Easy VPN サーバ上で、サーバの IP アドレスが正しいことを確認して、ホスト名ではなく IP アドレスでサーバを設定します。サーバでホスト名を使用する必要がある場合は、Easy VPN リモート デバイスで name コマンドを使用して IP アドレスを名前にマッピングします。
611314
エラー メッセージ %PIX|ASA-6-611314: VPNClient: Load Balancing Cluster with Virtual IP: IP_address has redirected the to server IP_address説明 セキュリティ アプライアンスが Easy VPN リモート デバイスの場合、ロード バランシング クラスタのマスタ サーバによって、セキュリティ アプライアンスが特定のサーバに接続するようにリダイレクトされます。
611315
エラー メッセージ %PIX|ASA-6-611315: VPNClient: Disconnecting from Load Balancing Cluster member IP_address説明 セキュリティ アプライアンスが Easy VPN リモート デバイスの場合、このメッセージは、セキュリティ アプライアンスがロード バランシング クラスタ サーバから切断されていることを示します。
611316
エラー メッセージ %PIX|ASA-6-611316: VPNClient: Secure Unit Authentication Enabled説明 セキュリティ アプライアンスが Easy VPN リモート デバイスの場合、ダウンロードされた VPN ポリシーによって Secure Unit Authentication(SUA; セキュア ユニット認証)がイネーブルにされます。
611317
エラー メッセージ %PIX|ASA-6-611317: VPNClient: Secure Unit Authentication Disabled説明 セキュリティ アプライアンスが Easy VPN リモート デバイスの場合、ダウンロードされた VPN ポリシーによってセキュア ユニット認証(SUA)がディセーブルにされます。
611318
エラー メッセージ %PIX|ASA-6-611318: VPNClient: User Authentication Enabled: Auth Server IP: IP_address Auth Server Port: port Idle Timeout: time説明 セキュリティ アプライアンスが Easy VPN リモート デバイスの場合、ダウンロードされた VPN ポリシーによって、ネットワーク内側のセキュリティ アプライアンス上のユーザに対して Individual User Authentication(IUA; 個別ユーザ認証)がイネーブルにされます。
– IP_address :セキュリティ アプライアンスから認証要求が送信されるサーバの IP アドレス。
– port :セキュリティ アプライアンスから認証要求が送信されるサーバのポート。
611319
エラー メッセージ %PIX|ASA-6-611319: VPNClient: User Authentication Disabled説明 セキュリティ アプライアンスが Easy VPN リモート デバイスの場合、ダウンロードされた VPN ポリシーによって、ネットワーク内のセキュリティ アプライアンス上のユーザに対して個別ユーザ認証(IUA)がディセーブルにされます。
611320
エラー メッセージ %PIX|ASA-6-611320: VPNClient: Device Pass Thru Enabled説明 セキュリティ アプライアンスが Easy VPN リモート デバイスの場合、ダウンロードされた VPN ポリシーによってデバイス パススルーがイネーブルにされます。デバイス パススルー機能によって、認証を実行できないデバイス(IP 電話など)は、個別ユーザ認証(IUA)がイネーブルの場合、認証が免除されます。
推奨処置 不要です。Easy VPN サーバによってこの機能がイネーブルにされている場合、セキュリティ アプライアンスで vpnclient mac-exempt コマンドを使用して、認証(IUA)を免除するデバイスが指定できます。
611321
エラー メッセージ %PIX|ASA-6-611321: VPNClient: Device Pass Thru Disabled説明 セキュリティ アプライアンスが Easy VPN リモート デバイスの場合、ダウンロードされた VPN ポリシーによってデバイス パススルーがディセーブルにされます。
611322
エラー メッセージ %PIX|ASA-6-611322: VPNClient: Extended XAUTH conversation initiated when SUA disabled説明 セキュリティ アプライアンスが Easy VPN リモート デバイスで、ダウンロードされた VPN ポリシーによってセキュア ユニット認証(SUA)がディセーブルにされている場合、Easy VPN サーバは 2 要素/SecurID/cryptocard ベースの認証メカニズムで、XAUTH を使用しているセキュリティ アプライアンスを認証します。
推奨処置 2 要素/SecurID/cryptocard ベースの認証メカニズムを使用して Easy VPN リモート デバイスを認証する場合は、サーバ上の SUA をイネーブルにします。
611323
エラー メッセージ %PIX|ASA-6-611323: VPNClient: Duplicate split nw entry説明 セキュリティ アプライアンスが Easy VPN リモート デバイスの場合、このメッセージは、ダウンロードされた VPN ポリシーに重複したスプリット ネットワーク エントリが含まれていることを示します。エントリは、ネットワーク アドレスとネットワーク マスクの両方に一致する場合、重複と見なされます。
612001
エラー メッセージ %PIX|ASA-5-612001: Auto Update succeeded: filename , version: number説明 Auto Update Server からのアップデートが成功しました。 filename 変数は、image、ASDM file、または configuration です。 version number 変数は、アップデートのバージョン番号です。
612002
エラー メッセージ %PIX|ASA-4-612002: Auto Update failed: filename , version: number , reason: reason説明 このメッセージは、Auto Update Server からのアップデートが失敗したことを示します。 filename 変数は、image、ASDM file、または configuration です。 version number 変数は、アップデートのバージョン番号です。 reason 変数には、アップデートが失敗した理由が記述されています。考えられる失敗の理由しては、無効なイメージ ファイル、サーバへの接続が失われたこと、コンフィギュレーション エラーなどがあります。
612003
エラー メッセージ %PIX|ASA-4-612003:Auto Update failed to contact: url , reason: reason説明 Auto Update デーモンが指摘された URL url にアクセスできないことを示します。これは、Auto Update Server の URL、または Auto Update Server から返されたファイル サーバ URL の 1 つである場合があります。 reason フィールドには、接続が失敗した理由が記述されています。考えられる失敗の理由としては、サーバからの応答がない、認証の失敗、ファイルが見つからないなどがあります。
613001
エラー メッセージ %PIX|ASA-6-613001: Checksum Failure in database in area string Link State Id IP_address Old Checksum number New Checksum number613002
エラー メッセージ %PIX|ASA-6-613002: interface interface_name has zero bandwidth613003
エラー メッセージ %PIX|ASA-6-613003: IP_address netmask changed from area string to area string614001
エラー メッセージ %PIX|ASA-6-614001: Split DNS: request patched from server: IP_address to server: IP_address説明 スプリット DNS によって、DNS クエリーが元の宛先サーバから企業のプライマリ DNS サーバにリダイレクトされています。
614002
エラー メッセージ %PIX|ASA-6-614002: Split DNS: reply from server: IP_address reverse patched back to original server: IP_address説明 スプリット DNS によって、DNS クエリーが企業の DNS サーバから元の宛先サーバにリダイレクトされています。
615001
エラー メッセージ %PIX|ASA-6-615001: vlan number not available for firewall interface615002
エラー メッセージ %PIX|ASA-6-615002: vlan number available for firewall interface616001
エラー メッセージ %PIX|ASA-6-616001:Pre-allocate MGCP data_channel connection for inside_interface : inside_address to outside_interface : outside_address / port from message_type message説明 MGCP データ チャネル接続(RTP または RTCP)は割り当て済みです。このメッセージ テキストには、接続の事前割り当てを起動したメッセージも特定されています。
617001
エラー メッセージ %PIX|ASA-6-617001: GTPv version msg_type from source_interface:source_address/source_port not accepted by source_interface:dest_address/dest_port説明 このメッセージは、ピアが要求を受け入れなかった場合に表示されます。これは通常、Create PDP Context 要求で表示されます。
617002
エラー メッセージ %PIX|ASA-6-617002: Removing v1 PDP Context with TID tid from GGSN IP_address and SGSN IP_address , Reason: reason or Removing v1 primary | secondary PDP Context with TID tid from GGSN IP_address and SGSN IP_address , Reason: reason説明 このメッセージは、PDP コンテキストが有効期限切れになったため、Delete PDP Context Request/Response が交換されたため、またはユーザが CLI を使用して PDP コンテキストを削除したために、PDP コンテキストがデータベースから削除された場合に表示されます。
617003
エラー メッセージ %PIX|ASA-6-617003: GTP Tunnel created from source_interface:source_address/source_port to source_interface:dest_address/dest_port説明 このメッセージは、要求を受け入れた Create PDP Context Response を受信した後に、GTP トンネルが作成された場合に表示されます。
617004
エラー メッセージ %PIX|ASA-6-617004: GTP connection created for response from source_interface:source_address/0 to source_interface:dest_address/dest_port説明 このメッセージは、Create PDP Context Request 内の SGSN シグナリング アドレスまたは Create PDP Context Response 内の GGSN シグナリング アドレスが、この要求また応答を送信している SGSN または GGSN と異なる場合に表示されます。
620001
エラー メッセージ %PIX|ASA-6-620001: Pre-allocate CTIQBE {RTP | RTCP} secondary channel for interface_name:outside_address[/outside_port] to interface_name:inside_address[/inside_port] from CTIQBE_message_name message説明 Cisco ASA では、指摘された CTIQBE メディア トラフィックに接続オブジェクトが割り当て済みです。このメッセージは、10 秒に 1 回しか表示されないように制限されています。
620002
エラー メッセージ %PIX|ASA-4-620002: Unsupported CTIQBE version: hex : from interface_name:IP_address/port to interface_name:IP_address/port説明 Cisco ASA が、サポートしていないバージョン番号の CTIQBE メッセージを受信しました。Cisco ASA によって、パケットは廃棄されます。このメッセージは、10 秒に 1 回しか表示されないように制限されています。
推奨処置 ログ メッセージに取り込まれているバージョン番号が不適当に大きい場合(10 より大きい場合)、パケットの形式が誤っている、CTIQBE 以外のパケットである、または Cisco ASA に到着する前に破壊されている可能性があります。パケットの送信元を判別することを推奨します。バージョン番号が合理的な小さな数値(10 以下)の場合は、Cisco TAC に問い合せて、この CTIQBE バージョンをサポートする新規の Cisco ASA イメージが入手可能かどうかを調べます。
621001
エラー メッセージ %PIX|ASA-6-621001: Interface interface_name does not support multicast, not enabled説明 このメッセージは、マルチキャストをサポートしていないインターフェイス上の PIM をイネーブルにしようとした場合に表示されます。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
621002
エラー メッセージ %PIX|ASA-6-621002: Interface interface_name does not support multicast, not enabled説明 このメッセージは、マルチキャストをサポートしていないインターフェイス上の igmp をイネーブルにしようとした場合に表示されます。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
621003
エラー メッセージ %PIX|ASA-6-621003: The event queue size has exceeded number説明 このメッセージは、作成されたイベント マネージャ数が想定された数を超えた場合に表示されます。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
621006
エラー メッセージ %PIX|ASA-6-621006: Mrib disconnected, ( IP_address , IP_address ) event cancelled説明 このメッセージは、データ駆動イベントを起動するパケットを受信したが、MRIB への接続がダウンしている場合に表示されます。通知はキャンセルされました。
推奨処置 システムが動作した後もこのメッセージが表示される場合は、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーの発端になったイベントの詳細と一緒に Cisco TAC に送付してください。
621007
エラー メッセージ %PIX|ASA-6-621007: Bad register from interface_name : IP_address to IP_address for ( IP_address , IP_address )説明 このメッセージは、PIM ルータが、ランデブー ポイントとして設定されている場合、またはネットワーク アドレス変換(NAT)で別の PIM ルータから PIM レジスタ パケットを受信した場合に表示されます。このパケット内のカプセル化されたデータは無効です。
推奨処置 送信ルータが誤って RFC 以外のレジスタを送信している可能性があります。送信側のルータをアップグレードします。
メッセージ 701001 ~ 720073
この項では、701001 から 720073 までのメッセージについて説明します。
ほとんどの ISAKMP syslog には、トンネルの識別に役立つ追加オブジェクトの共通セットがあります。これらのオブジェクトには、使用可能な場合、システム ログ メッセージの記述テキストに先行します。システム ログ メッセージが生成される時点でオブジェクトが不明の場合、固有の「 heading = value 」という組み合せは表示されません。
"Group = groupname , Username = user , IP = IP_address , ..."
ここで、Group はトンネル グループを特定し、username はローカル データベースまたは AAA サーバのユーザ名、IP アドレスはリモート アクセス クライアントまたは L2L ピアのパブリック IP アドレスです。
701001
エラー メッセージ %PIX|ASA-7-701001: alloc_user() out of Tcp_user objects説明 これは AAA メッセージです。モジュールが新しい AAA 要求を処理するのにユーザ認証のレートが高すぎる場合、このメッセージが表示されます。
701002
エラー メッセージ %PIX|ASA-7-701002: alloc_user() out of Tcp_proxy objects説明 これは AAA メッセージです。モジュールが新しい AAA 要求を処理するのにユーザ認証のレートが高すぎる場合、このメッセージが表示されます。
エラー メッセージ Enable Flood Defender with the floodguard enable command.702201
エラー メッセージ %PIX|ASA-7-702201: ISAKMP Phase 1 delete received (local IP_address (initiator|responder), remote IP_address )702202
エラー メッセージ %PIX|ASA-7-702202: ISAKMP Phase 1 delete sent (local IP_address (initiator|responder), remote IP_address )702203
エラー メッセージ %PIX|ASA-7-702203: ISAKMP DPD timed out (local IP_address (initiator|responder), remote IP_address )702204
エラー メッセージ %PIX|ASA-7-702204: ISAKMP Phase 1 retransmission (local IP_address (initiator|responder), remote IP_address )説明 リモート ピアは応答していません。ISAKMP は前のパケットを再転送しています。
推奨処置 リモート ホストへのネットワーク接続をチェックし、ローカル デバイスおよびリモート デバイスの VPN コンフィギュレーションを確認します。
702205
エラー メッセージ %PIX|ASA-7-702205: ISAKMP Phase 2 retransmission (local IP_address (initiator|responder), remote IP_address )説明 リモート ピアは応答していません。ISAKMP は前のパケットを再転送しています。
推奨処置 リモート ホストへのネットワーク接続をチェックし、ローカル デバイスおよびリモート デバイスの VPN コンフィギュレーションを確認します。
702206
エラー メッセージ %PIX|ASA-7-702206: ISAKMP malformed payload received (local IP_address (initiator|responder), remote IP_address )説明 ISAKMP が、不正または形式が誤ったメッセージを受信しました。リモート ピアと同期していないという問題、メッセージの解読の問題、または間違った順番でのメッセージ受信を示す場合があります。
推奨処置 事前共有キーを使用している場合は、事前共有キーがローカルおよびリモートのデバイスで正しく設定されていることを確認します。ローカルおよびリモートのコンフィギュレーションをチェックします。SA を起動できない場合は、それ以外のトラブルシューティングが必要になることがあります。
702207
エラー メッセージ %PIX|ASA-7-702207: ISAKMP duplicate packet detected (local IP_address (initiator|responder), remote IP_address )説明 前に受信したパケットと重複したパケットを ISAKMP が受信しました。正常動作中に発生することも、ISAKMP 交換で以前のエラーの副作用として発生することもあります。
702208
エラー メッセージ %PIX|ASA-7-702208: ISAKMP Phase 1 exchange started (local IP_address (initiator|responder), remote IP_address )702209
エラー メッセージ %PIX|ASA-7-702209: ISAKMP Phase 2 exchange started (local IP_address (initiator|responder), remote IP_address )702210
エラー メッセージ %PIX|ASA-7-702210: ISAKMP Phase 1 exchange completed(local IP_address (initiator|responder), remote IP_address )702211
エラー メッセージ %PIX|ASA-7-702211: ISAKMP Phase 2 exchange completed(local IP_address (initiator|responder), remote IP_address )702212
エラー メッセージ %PIX|ASA-7-702212: ISAKMP Phase 1 initiating rekey (local IP_address (initiator|responder), remote IP_address )702305
エラー メッセージ %PIX|ASA-3-702305: IPSEC: An direction tunnel_type SA (SPI= spi ) between local_IP and remote_IP ( username ) is rekeying due to sequence number rollover.説明 このメッセージは、新規のトンネルのネゴシエーション中に 40 億を超えるパケットを IPSec トンネルで受信した場合に表示されます。
tunnel_type:SA のタイプ(リモート アクセスまたは L2L)
spi:IPSec のセキュリティ パラメータ インデックス
local_IP:トンネルのローカル エンドポイントの IP アドレス
remote_IP:トンネルのリモート エンドポイントの IP アドレス
702307
エラー メッセージ %PIX|ASA-3-702307: IPSEC: An direction tunnel_type SA (SPI= spi ) between local_IP and remote_IP ( username ) is rekeying due to data rollover.tunnel_type:SA のタイプ(リモート アクセスまたは L2L)
spi:IPSec のセキュリティ パラメータ インデックス
local_IP:トンネルのローカル エンドポイントの IP アドレス
remote_IP:トンネルのリモート エンドポイントの IP アドレス
username: IPSec トンネルに関連付けられているユーザ名
説明 このメッセージは、SA データ ライフスパンが期限切れになるときに表示されます。このメッセージは、IPSec SA が、転送したデータ量の結果、キーを再生成していることを示します。この情報は、キー再生成の問題をデバッグする場合に役立ちます。
703001
エラー メッセージ %PIX|ASA-7-703001: H.225 message received from interface_name:IP_address/port to interface_name:IP_address/port is using an unsupported version number説明 Cisco ASA は、サポートされていないバージョン番号の H.323 パケットを受信しました。Cisco ASA が、パケットのプロトコル フィールドをサポートされている最新バージョンに再コード化する場合があります。
推奨処置 Cisco ASA が VoIP ネットワークにおいてサポートしている H.323 のバージョンを使用します。
703002
エラー メッセージ %PIX|ASA-7-703002: Received H.225 Release Complete with newConnectionNeeded for interface_name : IP_address to interface_name:IP_address/port説明 これはデバッグ メッセージで、指摘された H.225 メッセージを Cisco ASA が受信したこと、および指摘された 2 つの H.323 エンドポイントに対して新規シグナリング接続オブジェクトを Cisco ASA がオープンしたことを示します。
709001, 709002
エラー メッセージ %PIX|ASA-7-709001: FO replication failed: cmd= command returned= code エラー メッセージ %PIX|ASA-7-709002: FO unreplicable: cmd= command709003
エラー メッセージ %PIX|ASA-1-709003: (Primary) Beginning configuration replication: Sending to mate.説明 これはフェールオーバー メッセージです。このメッセージは、アクティブ装置が自分のコンフィギュレーションのスタンバイ装置への複製を開始すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
709004
エラー メッセージ %PIX|ASA-1-709004: (Primary) End Configuration Replication (ACT)説明 これはフェールオーバー メッセージです。このメッセージは、アクティブ装置が自分のコンフィギュレーションのスタンバイ装置上への複製を完了すると表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
709005
エラー メッセージ %PIX|ASA-1-709005: (Primary) Beginning configuration replication: Receiving from mate.説明 このメッセージは、スタンバイ Cisco ASA がアクティブ Cisco ASA からコンフィギュレーション複製の最初の部分を受け取ったことを示します。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
709006
エラー メッセージ %PIX|ASA-1-709006: (Primary) End Configuration Replication (STB)説明 これはフェールオーバー メッセージです。このメッセージは、スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製を完了したときに表示されます。(Primary) は、セカンダリ装置の場合は (Secondary) と示されることもあります。
709007
エラー メッセージ %PIX|ASA-2-709007: Configuration replication failed for command command説明 これはフェールオーバー メッセージです。このメッセージは、スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製を完了できない場合に表示されます。障害を発生させたコマンドが、メッセージの末尾に表示されます。
710001
エラー メッセージ %PIX|ASA-7-710001: TCP access requested from source_address/source_port to interface_name:dest_address/service説明 このメッセージは、Cisco ASA 宛ての最初の TCP パケットで TCP セッションの確立を要求する場合に表示されます。このパケットは、3 ウェイ ハンドシェイクの最初の SYN パケットです。このメッセージは、対応するアクセス コントロール リスト(telnet、http、または ssh)でパケットが許可されている場合に表示されます。しかし、SYN クッキー検証はまだ完了しておらず、状態は予約されていません。
710002
エラー メッセージ %PIX|ASA-7-710002: {TCP|UDP} access permitted from source_address/source_port to interface_name:dest_address/service説明 TCP 接続の場合、このメッセージは、Cisco ASA 宛ての 2 番目の TCP パケットで TCP セッションの確立を要求する場合に表示されます。このパケットは、3 ウェイ ハンドシェイクの最終 ACK です。このメッセージは、対応するアクセス コントロール リスト(Telnet、HTTP、または SSH)でパケットが許可されている場合に表示されます。また、SYN クッキー検証が成功し、状態が TCP セッション用に予約されます。
UDP 接続の場合、接続は許可されています。たとえば、このメッセージは、認可された SNMP 管理ステーションからの SNMP 要求をモジュールが受信し、その要求が処理されたときに表示されます(サービス snmp で)。このメッセージは、10 秒に 1 回しか表示されないように制限されています。
710003
エラー メッセージ %PIX-3-710003: {TCP|UDP} access denied by ACL from source_IP/source_port to interface_name:dest_IP/service説明 このメッセージは、セキュリティ アプライアンスがインターフェイス サービスへの接続試行を拒否した場合に表示されます。たとえば、このメッセージは、認可されていない SNMP 管理ステーションからの SNMP 要求をファイアウォールが受信した場合に表示されることがあります。
推奨処置 show run http コマンド、 show run ssh コマンド、または show run telnet コマンドを使用して、ホストまたはネットワークからのサービス アクセスを許可するようにセキュリティ アプライアンスが設定されていることを確認します。このメッセージが頻繁に表示される場合は、攻撃を示すことがあります。
710004
エラー メッセージ %PIX|ASA-7-710004: TCP connection limit exceeded from source_address/source_port to interface_name:dest_address/service説明 サービス用の最大 Cisco ASA 管理接続数を超えました。Cisco ASA は、管理サービスあたり最大 5 つの同時管理接続を許可します。
710005
エラー メッセージ %PIX|ASA-7-710005: {TCP|UDP} request discarded from source_address/source_port to interface_name:dest_address/service説明 このメッセージは、Cisco ASA に UDP 要求を処理する UDP サーバがない場合に表示されます。このメッセージは、Cisco ASA 上のどのセッションにも属していない TCP パケットを示すこともあります。さらにこのメッセージは、認可されたホストからの場合でも、ペイロードが空の SNMP 要求を Cisco ASA が受信した場合に表示されます(サービス snmp で)。サービスが snmp の場合、このメッセージは最大でも 10 秒ごとに 1 回の発生として、ログ受信プログラムが過負荷にならないようにします。
推奨処置 DHCP、RIP または NetBios などのブロードキャスト サービスの利用が多いネットワークでは、このメッセージの頻度が高くなることがあります。このメッセージが頻繁に表示される場合は、攻撃を示すことがあります。
710006
エラー メッセージ %PIX|ASA-7-710006: protocol request discarded from source_address to interface_name:dest_address説明 このメッセージは、Cisco ASA に IP プロトコル要求を処理する IP サーバがない場合に表示されます。たとえば、Cisco ASA が TCP または UDP でない IP パケットを受信し、Cisco ASA が要求を処理できない場合です。
推奨処置 DHCP、RIP または NetBios などのブロードキャスト サービスの利用が多いネットワークでは、このメッセージの頻度が高くなることがあります。このメッセージが頻繁に表示される場合は、攻撃を示すことがあります。
711001
エラー メッセージ %PIX|ASA-7-711001: debug_trace_msg説明 このシステム ログ メッセージは、ロギング機能に対してロギング デバッグ トレース コマンドを入力すると表示されます。ロギング デバッグ トレースがイネーブルの場合、すべてのデバッグ メッセージはシステム ログ メッセージにリダイレクトされて処理されます。セキュリティ上の理由から、システム ログ メッセージ出力は暗号化するか、またはセキュア アウトオブバンド ネットワークで送信する必要があります。
711002
エラー メッセージ %PIX|ASA-7-711002: Task ran for elapsed_time msecs, process = process_name説明 このメッセージは、プロセスの CPU 使用が 100 ミリ秒を超えた場合に表示されます。このメッセージはデバッグ用に使用され、CPU 使用プロセスにフラグを付けます。
713004
エラー メッセージ %PIX|ASA-3-713004: device scheduled for reboot or shutdown, IKE key acquire message on interface interface num , for Peer IP_address ignored説明 このメッセージは、Cisco ASA が、トンネルを開始しようとしているリモート エンティティから IKE パケットを受信した場合に表示されます。Cisco ASA はリブートまたはシャットダウンがスケジュールされているので、これ以上トンネルを確立できません。この IKE パケットは無視されて、廃棄されます。
713006
エラー メッセージ %PIX|ASA-5-713006: Failed to obtain state for message Id message_number , Peer Address: IP_address説明 このメッセージは、Cisco ASA が受信したメッセージ ID が未知の ID であることを示します。メッセージ ID は、特定の IKE フェーズ 2 ネゴシエーションの識別に使用されます。これは多くの場合 Cisco ASA でのエラー状態を表していますが、2 つの IKE ピアの同期がとれていないことを示す場合があります。
713008
エラー メッセージ %PIX|ASA-3-713008: Key ID in ID payload too big for pre-shared IKE tunnel説明 このメッセージは、ID ペイロードでキー ID 値を受信したが、その値が事前共有キー認証を使用する IKE セッションのグループ名の最大許容サイズよりも長かったことを示します。これは無効な値で、セッションは拒否されます。指摘されたキー ID は、そのサイズのグループ名を Cisco ASA で作成できないので、機能することはありません。クライアント上の誤ったグループ名を変更するようにユーザに通知します。
推奨処置 クライアント ピア(おそらくは Altiga RA Client)が有効なグループ名を指定していることを確認します。グループ名の現在の最大長は 32 です。
713009
エラー メッセージ %PIX|ASA-3-713009: OU in DN in ID payload too big for Certs IKE tunnel説明 このメッセージは、ID ペイロードで DN の OU 値を受信したが、その値が証明書認証を使用する IKE セッションのグループ名の最大許容サイズよりも長かったことを示します。この OU はスキップされますが、別の OU または他の基準を使用して一致するグループを検出できます。
推奨処置 クライアントが OU を使用して Cisco ASA からグループを検出するには、グループ名が有効な長さでなければなりません。グループ名の現在の最大長は 32 です。
713010
エラー メッセージ %PIX|ASA-5-713010: IKE area: failed to find centry for message Id message_number説明 このメッセージは、固有のメッセージ ID で conn_entry (IPSec SA に対応する IKE フェーズ 2 構造)を特定しようとして失敗した場合に表示されます。内部構造が見つかりませんでした。これは、非標準的な方法でセッションが終了した場合に発生することがありますが、多くの場合内部エラーを示します。
713012
エラー メッセージ %PIX|ASA-3-713012: Unknown protocol ( protocol ). Not adding SA w/spi=SPI value713014
エラー メッセージ %PIX|ASA-3-713014: Unknown Domain of Interpretation (DOI): DOI value説明 このメッセージは、ピアから受信した ISAKMP Domain of Interpretation がサポートされていない場合に表示されます。
713016
エラー メッセージ %PIX|ASA-3-713016: Unknown identification type, Phase 1 or 2, Type ID_Type説明 このメッセージは、ピアから受信した ID が未知であることを示します。ID が、よく知られていない有効な ID である場合、または無効または破損した ID である場合があります。
713017
エラー メッセージ %PIX|ASA-3-713017: Identification type not supported, Phase 1 or 2, Type ID_Type説明 このメッセージは、ピアから受信したフェーズ 1 またはフェーズ 2 の ID が正当であるが、サポートされていないことを示します。
713018
エラー メッセージ %PIX|ASA-3-713018: Unknown ID type during find of group name for certs, Type ID_Type説明 このメッセージは、内部ソフトウェア エラーが発生したことを示します。
推奨処置 コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼て収集した情報をご提供ください。
713020
エラー メッセージ %PIX|ASA-3-713020: No Group found by matching OU(s) from ID payload: OU_value説明 このメッセージは、内部ソフトウェア エラーが発生したことを示します。
推奨処置 コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼て収集した情報をご提供ください。
713022
エラー メッセージ %PIX|ASA-3-713022: No Group found matching peer_ID or IP_address for Pre-shared key peer IP_address説明 このメッセージは、グループ データベースにはピアで指摘された値(キー ID または IP アドレス)と同じ名前のグループがなかったことを示します。
713024
エラー メッセージ %PIX|ASA-7-713024: Received local Proxy Host data in ID Payload: Address IP_address , Protocol protocol , Port port説明 このメッセージは、Cisco ASA がリモート ピアのフェーズ 2 のローカル プロキシ ID ペイロードを受信したことを示します。
713025
エラー メッセージ %PIX|ASA-7-713025: Received remote Proxy Host data in ID Payload: Address IP_address , Protocol protocol , Port port説明 このメッセージは、Cisco ASA がリモート ピアのフェーズ 2 のリモート プロキシ ID ペイロードを受信したことを示します。
713026
エラー メッセージ %PIX|ASA-7-713026: Transmitted local Proxy Host data in ID Payload: Address IP_address , Protocol protocol , Port port説明 このメッセージは、Cisco ASA がフェーズ 2 のローカル プロキシ ID ペイロードを転送したことを示します。
713027
エラー メッセージ %PIX|ASA-7-713027: Transmitted remote Proxy Host data in ID Payload: Address IP_address , Protocol protocol , Port port説明 このメッセージは、Cisco ASA がフェーズ 2 のリモート プロキシ ID ペイロードを転送したことを示します。
713028
エラー メッセージ %PIX|ASA-7-713028: Received local Proxy Range data in ID Payload: Addresses IP_address - IP_address , Protocol protocol , Port port説明 このメッセージは、Cisco ASA がリモート ピアのフェーズ 2 のローカル プロキシ ID ペイロードを受信して、その中に IP アドレス範囲が含まれていることを示します。
713029
エラー メッセージ %PIX|ASA-7-713029: Received remote Proxy Range data in ID Payload: Addresses IP_address - IP_address , Protocol protocol , Port port説明 このメッセージは、Cisco ASA がリモート ピアのフェーズ 2 のリモート プロキシ ID ペイロードを受信して、その中に IP アドレス範囲が含まれていることを示します。
713030
エラー メッセージ %PIX|ASA-7-713030: Transmitted local Proxy Range data in ID Payload: Addresses IP_address - IP_address , Protocol protocol , Port port説明 このメッセージは、Cisco ASA がフェーズ 2 のローカル プロキシ ID ペイロードを転送したことを示します。
713031
エラー メッセージ %PIX|ASA-7-713031: Transmitted remote Proxy Range data in ID Payload: Addresses IP_address - IP_address , Protocol protocol , Port port説明 このメッセージは、Cisco ASA がフェーズ 2 のリモート プロキシ ID ペイロードを転送したことを示します。
713032
エラー メッセージ %PIX|ASA-3-713032: Received invalid local Proxy Range IP_address - IP_address説明 このメッセージは、ローカル ID ペイロードに範囲 ID タイプが含まれ、指摘された低アドレスが高アドレス以上であった場合に表示されます。これはコンフィギュレーションの問題を示している可能性があります。
713033
エラー メッセージ %PIX|ASA-3-713033: Received invalid remote Proxy Range IP_address - IP_address説明 このメッセージは、リモート ID ペイロードに範囲 ID タイプが含まれ、指摘された低アドレスが高アドレス以上であった場合に表示されます。これはコンフィギュレーションの問題を示している可能性があります。
713034
エラー メッセージ %PIX|ASA-7-713034: Received local IP Proxy Subnet data in ID Payload: Address IP_address , Mask netmask , Protocol protocol , Port port説明 このメッセージは、ローカル IP プロキシ サブネット データがフェーズ 2 の ID ペイロードで受信された場合に表示されます。
713035
エラー メッセージ %PIX|ASA-7-713035: Received remote IP Proxy Subnet data in ID Payload: Address IP_address , Mask netmask , Protocol protocol , Port port説明 このメッセージは、リモート IP プロキシ サブネット データがフェーズ 2 の ID ペイロードで受信された場合に表示されます。
713036
エラー メッセージ %PIX|ASA-7-713036: Transmitted local IP Proxy Subnet data in ID Payload: Address IP_address , Mask netmask , Protocol protocol , Port port説明 このメッセージは、ローカル IP プロキシ サブネット データがフェーズ 2 の ID ペイロードで転送された場合に表示されます。
713037
エラー メッセージ %PIX|ASA-7-713037: Transmitted remote IP Proxy Subnet data in ID Payload: Address IP_address , Mask netmask , Protocol protocol , Port port説明 このメッセージは、リモート IP プロキシ サブネット データがフェーズ 2 の ID ペイロードで転送された場合に表示されます。
713039
エラー メッセージ %PIX|ASA-7-713039: Send failure: Bytes ( number ), Peer: IP_address説明 このメッセージは、内部ソフトウェア エラーが発生し、ISAKMP パケットを転送できなかった場合に表示されます。
推奨処置 コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713040
エラー メッセージ %PIX|ASA-7-713040: Could not find connection entry and can not encrypt: msgid message_number説明 このメッセージは、内部ソフトウェア エラーが発生し、フェーズ 2 データ構造を検出できなかったことを示します。
推奨処置 コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713041
エラー メッセージ %PIX|ASA-5-713041: IKE Initiator: new or rekey Phase 1 or 2, Intf interface_number , IKE Peer IP_address local Proxy Address IP_address , remote Proxy Address IP_address , Crypto map ( crypto map tag )713042
エラー メッセージ %PIX|ASA-3-713042: IKE Initiator unable to find policy: Intf interface_number , Src: source_address , Dst: dest_address説明 このメッセージは、IPSec ファースト パスで、IKE を起動したパケットを処理したが、IKE のポリシー ルックアップが失敗したことを示します。このエラーは、タイミングに関連している場合があります。IKE が開始要求を処理する前に、IKE を起動した ACL が削除されていた可能性があります。この問題は、多くの場合自分自身で訂正されます。
推奨処置 同じ状態が続く場合、暗号マップに関連付けられている ACL に特に注意しながら、L2L コンフィギュレーションを確認します。
713043
エラー メッセージ %PIX|ASA-3-713043: Cookie/peer address IP_address session already in progress713047
エラー メッセージ %PIX|ASA-3-713047: Unsupported Oakley group: Group Diffie-Hellman group説明 このメッセージは、Cisco ASA が、リモート ピアから提示された Diffie-Hellman グループをサポートしていないことを示します。Diffie-Hellman グループは、フェーズ 1 中に使用されると Diffie-hellman キーを生成し、フェーズ 2 中では完全転送秘密(PFS)用の Diffie-Hellman キーを生成します。
説明 ピアの Diffie-Hellman キーのコンフィギュレーションを確認します。また、Cisco ASA に正しいプロポーザルがあるかどうかも確認します。
713048
エラー メッセージ %PIX|ASA-3-713048: Error processing payload: Payload ID: id713049
エラー メッセージ %PIX|ASA-5-713049: Security negotiation complete for tunnel_type type ( group_name ) Initiator/Responder , Inbound SPI = SPI , Outbound SPI = SPI713050
エラー メッセージ %PIX|ASA-5-713050: Connection terminated for peer IP_address . Reason: termination reason Remote Proxy IP_address , Local Proxy IP_address713051
エラー メッセージ %PIX|ASA-3-713051: Terminating connection attempt: IPSEC not permitted for group ( group_name )説明 このメッセージは、ユーザ、グループ、またはインターフェイス ポリシーが IPSec トンネルを拒否していることを示します。
713052
エラー メッセージ %PIX|ASA-7-713052: User ( user ) authenticated.713056
エラー メッセージ %PIX|ASA-3-713056: Tunnel rejected: SA ( SA_name ) not found for group ( group_name )!説明 このメッセージは、IPSec SA が見つからなかったことを示します。
推奨処置 これがリモート アクセス トンネルの場合、グループとユーザ コンフィギュレーションをチェックして、ユーザのグループに対してトンネル グループとグループ ポリシーが設定されていることを確認します。外部で認証されたユーザおよびグループの場合は、返された認証アトリビュートを確認します。
713059
エラー メッセージ %PIX|ASA-3-713059: Tunnel Rejected: User ( user ) matched with group name, group-lock check failed.説明 このメッセージは、トンネル グループおよびユーザ名の両方に同じ文字列を使用して、ユーザが認証を実行しようとしたことを示します。
713060
エラー メッセージ %PIX|ASA-3-713060: Tunnel Rejected: User ( user ) not member of group ( group_name ), group-lock check failed.説明 このメッセージは、ユーザが、IPSec ネゴシエーションで送信されたグループとは別のグループに設定されていることを示します。
推奨処置 Cisco VPN クライアントと事前共有キーを使用している場合、クライアントに設定されているグループが、Cisco ASA 上のユーザに関連付けられているグループと同じであることを確認します。デジタル証明書を使用している場合、グループは、証明書の OU フィールドで指定されているか、またはユーザはリモート アクセスのデフォルト グループにデフォルトで設定されています。
713061
エラー メッセージ %PIX|ASA-3-713061: Tunnel rejected: Crypto Map Policy not found for Src: source_address , Dst: dest_address !説明 このメッセージは、Cisco ASA が、メッセージに示されているプライベート ネットワークまたはホストのセキュリティ ポリシー情報を検出できなかったことを示します。これらのネットワークまたはホストは、イニシエータによって送信され、Cisco ASA のどの暗号 ACL とも一致しません。これは多くの場合、コンフィギュレーションの誤りです。
推奨処置 両側の暗号 ACL 内の保護されたネットワーク コンフィギュレーションをチェックして、イニシエータのローカル ネットが応答側のリモート ネットであること(およびその逆)を確認します。ワイルドカード マスク、ホスト アドレス対ネットワーク アドレスなどに特に注意します。シスコ以外の実装では、プライベート アドレスがプロキシ アドレスまたは赤い色のネットワークとしてラベル付けされている場合があります。
713062
エラー メッセージ %PIX|ASA-3-713062: IKE Peer address same as our interface address IP_address説明 IKE ピアとして設定する IP アドレスは、Cisco ASAIP インターフェイスのいずれかで設定する IP アドレスと同じである必要があります。
713063
エラー メッセージ %PIX|ASA-3-713063: IKE Peer address not configured for destination IP_address713065
エラー メッセージ %PIX|ASA-3-713065: IKE Remote Peer did not negotiate the following: proposal attribute説明 このメッセージは、内部ソフトウェア エラーが発生したことを示します。
推奨処置 コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713066
エラー メッセージ %PIX|ASA-7-713066: IKE Remote Peer configured for SA: SA_name713068
エラー メッセージ %PIX|ASA-5-713068: Received non-routine Notify message: notify_type (notify_value)説明 このメッセージは、このイベントが通知処理コードで明示的に処理されない原因となる通知メッセージを示します。
推奨処置 実行するアクションを判別するには、特定の理由情報を調べます。通知メッセージの多くは、IKE ピア間のコンフィギュレーションの不一致を示します。
713072
エラー メッセージ %PIX|ASA-3-713072: Password for user ( user ) too long, truncating to number characters713073
エラー メッセージ %PIX|ASA-5-713073: Responder forcing change of P hase 1/Phase 2 rekeying duration from larger_value to smaller_value seconds説明 キー再生成の時間は、IKE ピアが指定する値よりも低い値に設定されます。このメッセージは、発信者の値のほうが低いことを示します。
713074
エラー メッセージ %PIX|ASA-5-713074: Responder forcing change of IPSec rekeying duration from larger_value to smaller_value Kbs説明 キー再生成の時間は、IKE ピアが指定する値よりも低い値に設定されます。このメッセージは、発信者の値のほうが低いことを示します。
713075
エラー メッセージ %PIX|ASA-5-713075: Overriding Initiator's IPSec rekeying duration from larger_value to smaller_value seconds説明 キー再生成の時間は、IKE ピアが指定する値よりも低い値に設定されます。このメッセージは、応答者の値のほうが低いことを示します。
713076
エラー メッセージ %PIX|ASA-5-713076: Overriding Initiator's IPSec rekeying duration from larger_value to smaller_value Kbs説明 キー再生成の時間は、IKE ピアが指定する値よりも低い値に設定されます。このメッセージは、応答者の値のほうが低いことを示します。
713078
エラー メッセージ %PIX|ASA-2-713078: Temp buffer for building mode config attributes exceeded: bufsize available_size , used value説明 このメッセージは、modecfg アトリビュートの処理中に内部ソフトウェア エラーが発生したことを示します。
推奨処置 不必要なトンネル グループ アトリビュートをディセーブルにするか、長すぎるテキスト メッセージを短くします。問題が解決しない場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713081
エラー メッセージ %PIX|ASA-3-713081: Unsupported certificate encoding type encoding_type説明 このメッセージは、ロードされた証明書のいずれかが読み取り不可であることと、サポートされない符号化スキームである可能性を示しています。
713082
エラー メッセージ %PIX|ASA-3-713082: Failed to retrieve identity certificate713083
エラー メッセージ %PIX|ASA-3-713083: Invalid certificate handle713084
エラー メッセージ %PIX|ASA-3-713084: Received invalid phase 1 port value ( port ) in ID payload説明 このメッセージは、IKE フェーズ 1 ID ペイロードで受信されたポート値が正しくなかったことを示しています。 受け入れ可能な値は 0 または 500(ISAKMP aka IKE)です。
推奨処置 これは、ピアが IKE 規格に従っていないか、またはネットワークの問題によってパケットが破損したことを示している可能性があります。
713085
エラー メッセージ %PIX|ASA-3-713085: Received invalid phase 1 protocol ( protocol ) in ID payload説明 このメッセージは、IKE フェーズ 1 ID ペイロードで受信されたプロトコル値が正しくなかったことを示しています。受け入れ可能な値は 0 または 17(UDP)です。
推奨処置 これは、ピアが IKE 規格に従っていないか、またはネットワークの問題によってパケットが破損したことを示している可能性があります。
713086
エラー メッセージ %PIX|ASA-3-713086: Received unexpected Certificate payload Possible invalid Auth Method (Auth method (auth numerical value))説明 このメッセージは、証明書ペイロードが受信されたが、ID 証明書がないことが内部証明書ハンドルによって示されている場合に表示されます。これは、場合によっては、証明書ハンドルが通常の登録方法で獲得されなかったことを意味します。これが発生する理由として考えられるのは、認証方式が RSA または DSS シグニチャではないことです。ただし、それぞれの側の設定が誤っていると、IKE SA ネゴシエーションは失敗します。
713088
エラー メッセージ %PIX|ASA-3-713088: Set Cert filehandle failure: no IPSec SA in group group_name713092
エラー メッセージ %PIX|ASA-5-713092: Failure during phase 1 rekeying attempt due to collision説明 このメッセージは、内部ソフトウェア エラーが発生したことを示します。
推奨処置 多くの場合、これは問題のないイベントですが、深刻な影響がある場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713094
エラー メッセージ %PIX|ASA-7-713094: Cert validation failure: handle invalid for Main/Aggressive Mode Initiator/Responder !説明 このメッセージは、内部ソフトウェア エラーが発生したことを示します。
推奨処置 場合によっては、トラストポイントを再登録する必要があります。問題が解決しない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713098
エラー メッセージ %PIX|ASA-3-713098: Aborting: No identity cert specified in IPSec SA ( SA_name )!説明 このメッセージは、証明書ベースの IKE セッションを確立しようとしたときに、暗号ポリシーで ID 証明書が指定されていない場合に表示されます。
713099
エラー メッセージ %PIX|ASA-7-713099: Tunnel Rejected: Received NONCE length number is out of range!説明 このメッセージは、内部ソフトウェア エラーが発生したことを示します。
推奨処置 コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713102
エラー メッセージ %PIX|ASA-3-713102: Phase 1 ID Data length number too long - reject tunnel!説明 このメッセージは、サイズが 2K 以上の Identification Data フィールドを含む ID ペイロードを IKE が受信したことを示しています。
713103
エラー メッセージ %PIX|ASA-7-713103: Invalid (NULL) secret key detected while computing hash説明 このメッセージは、内部ソフトウェア エラーが発生したことを示します。
推奨処置 コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713104
エラー メッセージ %PIX|ASA-7-713104: Attempt to get Phase 1 ID data failed while hash computation説明 このメッセージは、内部ソフトウェア エラーが発生したことを示します。
推奨処置 コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713105
エラー メッセージ %PIX|ASA-3-713105: Zero length data in ID payload received during phase 1 or 2 processing713107
エラー メッセージ %PIX|ASA-3-713107: IP_Address request attempt failed!説明 このメッセージは、内部ソフトウェア エラーが発生したことを示します。
推奨処置 コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713109
エラー メッセージ %PIX|ASA-3-713109: Unable to process the received peer certificate説明 このメッセージは、リモート ピアから受信した証明書を Cisco ASA が処理できなかったことを示しています。これは、証明書データの形式が誤っている場合や、証明書内のデータをアプライアンスで保存できない場合に発生します。たとえば、公開キーのサイズが 4096 ビットより大きい場合などです。
713112
エラー メッセージ %PIX|ASA-3-713112: Failed to process CONNECTED notify (SPI SPI_value )!説明 このメッセージは、Cisco ASA が、通知タイプ CONNECTED を含む通知ペイロードを正常に処理できなかったことを示しています。これは、IKE フェーズ 2 構造が、それを見つけるための SPI を使用して検出できなかった場合、または受信した ISAKMP ヘッダーでコミット ビットが設定されていなかった場合に発生します。後者の事例では、IKE ピアが規格に従っていない可能性があることを示しています。
713113
エラー メッセージ %PIX|ASA-7-713113: Deleting IKE SA with associated IPSec connection entries. IKE peer: IP_address , SA address: internal_SA_address , tunnel count: count説明 このメッセージは、IKE SA が0 以外のトンネル カウントで削除されていることを示しています。これは、IKE SA トンネル カウントで関連する接続エントリとの同期が失われたか、あるいは関連する接続エントリのクッキー フィールドで接続エントリが指す IKE SA のクッキー フィールドとの同期が失われたことを意味します。これが発生する場合、IKE SA およびそれに関連するデータ構造体は解放されないので、それを指すエントリは古いポインタを持つことがありません。
713114
エラー メッセージ %PIX|ASA-7-713114: Connection entry (conn entry internal address) points to IKE SA ( SA_internal_address ) for peer IP_address , but cookies don't match説明 このメッセージは、内部ソフトウェア エラーが発生したことを示します。
推奨処置 コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713115
エラー メッセージ %PIX|ASA-5-713115: Client rejected NAT enabled IPSec request, falling back to standard IPSec説明 このメッセージは、Cisco ASA が IPSec over UDP を使おうとする試みがクライアントによって拒否されたことを示しています。IPSec over UDP を使用すると、NAT デバイスを介して複数のクライアントが Cisco ASA への同時トンネルを確立できます。クライアントが、この機能をサポートしていないか、またはこの機能を使用するよう設定されていないため、要求を拒否した可能性があります。
713116
エラー メッセージ %PIX|ASA-3-713116: Terminating connection attempt: L2TP-over-IPSEC attempted by group (group_name) but L2TP disabled説明 このメッセージは、ユーザまたはグループ エントリが L2TP-over-IPSec 接続を試みたが、この Cisco ASA に対して L2TP プロトコルがイネーブルになっていないことを示しています。
713117
エラー メッセージ %PIX|ASA-7-713117: Received Invalid SPI notify (SPI SPI_Value )!説明 このメッセージは、SPI 値によって識別された IPSec SA が、リモート ピアでアクティブではなくなったことを示しています。リモート ピアがリブートされたか、リセットされた可能性があります。
推奨処置 この問題は、ピアによって適切な SA が確立されていないことをDPD が認識すると、訂正されます。DPD がイネーブルになっていない場合は、影響を受けるトンネルを手動で再確立しなければならないことがあります。
713118
エラー メッセージ %PIX|ASA-3-713118: Detected invalid Diffie-Helmann group_descriptor group_number , in IKE area説明 このメッセージは、 group_descriptor フィールドにサポートされない値が含まれていることを示しています。現在サポートされているのは、グループ 1、2、5、および 7 だけです。centry の場合は、 group_descriptor フィールドが、完全転送秘密(PFS)がディセーブルになっていることを示すため 0 に設定されていることもあります。
713119
エラー メッセージ %PIX|ASA-3-713119: PHASE 1 COMPLETED713120
エラー メッセージ %PIX|ASA-5-713120: PHASE 2 COMPLETED (msgid=msg_id)713121
エラー メッセージ %PIX|ASA-7-713121: Keep-alive type for this connection: keepalive_type713122
エラー メッセージ %PIX|ASA-3-713122: Keep-alives configured keepalive_type but peer IP_address support keep-alives (type = keepalive_type )説明 このメッセージは、キープアライブがこのデバイスに対してオンまたはオフに設定されているが、IKE ピアがキープアライブをサポートしている、またはしていないことを示します。
推奨処置 これが意図的である場合、処置は不要です。意図的でない場合は、両方のデバイスでキープアライブ コンフィギュレーションを変更します。
713123
エラー メッセージ %PIX|ASA-3-713123: IKE lost contact with remote peer, deleting connection (keepalive type: keepalive_type )説明 このメッセージは、リモート IKE ピアが予期された時間ウィンドウ内でキープアライブに応答しなかったため、IKE ピアへの接続が修了したことを示しています。このメッセージには、使用されるキープアライブ メカニズムが含まれています。
713124
エラー メッセージ %PIX|ASA-3-713124: Received DPD sequence number rcv_sequence_# in DPD Action, description expected seq #説明 このメッセージは、リモート IKE ピアが、予期されたシーケンス番号と異なるシーケンス番号とともに DPD を送信したことを示しています。パケットは廃棄されます。
713127
エラー メッセージ %PIX|ASA-3-713127: Xauth required but selected Proposal does not support xauth, Check priorities of ike xauth proposals in ike proposal list説明 このメッセージは、ピアが XAUTH を実行しようとしているが、Cisco ASA が XAUTH IKE プロポーザルを選択しなかった場合に表示されます。
713128
エラー メッセージ %PIX|ASA-3-713128: Connection attempt to VCPIP redirected to VCA peer IP_address via load balancing説明 このメッセージは、VCPIP に接続しようとして、ロードバランシングでロードのより少ないピアにリダイレクトされたときに表示されます。
713129
エラー メッセージ %PIX|ASA-3-713129: Received unexpected Transaction Exchange payload type: payload_id説明 このメッセージは、XAUTH または Mode-cfg 中に予期しないペイロードが受信されたことを示しています。これは、2 つのピアが同期していないこと、XAUTH または Mode-cfg のバージョンが一致しないこと、リモート ピアが適切な RFC に準拠していないことを示している場合があります。
713130
エラー メッセージ %PIX|ASA-5-713130: Received unsupported transaction mode attribute: attribute id説明 このメッセージは、現在サポートされていない有効なトランザクション モード アトリビュート(XAUTH または Mode Cfg)に対する要求をデバイスが受信したことを示しています。通常、これは問題のない状態です。
713131
エラー メッセージ %PIX|ASA-5-713131: Received unknown transaction mode attribute: attribute_id説明 このメッセージは、既知のアトリビュートの範囲外であるトランザクション モード アトリビュート(XAUTH または Mode Cfg)に対する要求を Cisco ASA が受信したことを示しています。アトリビュートは有効でも新しいバージョンのコンフィギュレーション モードでのみサポートされているか、ピアが不正な値または独占権のある値を送信している可能性があります。これは、接続の問題にはなりませんが、ピアの機能に影響する場合があります。
713132
エラー メッセージ %PIX|ASA-3-713132: Cannot obtain an IP_address for remote peer説明 このメッセージは、これらのアドレスを提供する内部ユーティリティからのリモート アクセス クライアントの IP アドレスに対する要求が満たされなかったことを示しています。
713133
エラー メッセージ %PIX|ASA-3-713133: Mismatch: Overriding phase 2 DH Group(DH group DH group_id ) with phase 1 group(DH group DH group_number説明 設定されたフェーズ 2 PFS グループが、フェーズ 1 に対してネゴシエートされた DH グループと異なります。
713134
エラー メッセージ %PIX|ASA-3-713134: Mismatch: P1 Authentication algorithm in the crypto map entry different from negotiated algorithm for the L2L connection説明 このメッセージは、設定された LAN-to-LAN プロポーザルが、LAN-to-LAN 接続に対して受け入れられたプロポーザルと異なる場合に表示されます。どちらの側が発信者かに応じて、異なるプロポーザルが使用されます。
713135
エラー メッセージ %PIX|ASA-5-713135: message received, redirecting tunnel to IP_address .説明 このメッセージは、リモート Cisco ASA でのロードバランシングのためにトンネルがリダイレクトされていることを示しています。このメッセージは、REDIRECT_CONNECTION 通知パケットが受信された場合に表示されます。
713136
エラー メッセージ %PIX|ASA-5-713136: IKE session establishment timed out [ IKE_state_name ], aborting!説明 これは、リーパーによって SA スタックが非アクティブな状態で検出された場合に発生します。リーパーは、ハングした SA を除去しようとします。
713137
エラー メッセージ %PIX|ASA-5-713137: Reaper overriding refCnt [ref_count] and tunnelCnt [tunnel_count] -- deleting SA!説明 このメッセージは、内部ソフトウェア エラーが発生したことを示します。
推奨処置 コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713138
エラー メッセージ %PIX|ASA-3-713138: Group group_name not found and BASE GROUP default preshared key not configured説明 このメッセージは、グループ データベース内にピアの IP アドレスと同じ名前を持つグループがない場合に表示されます。Main モードで、Cisco ASA がフォールバックし、デフォルト グループのいずれかで設定されたデフォルトの事前共有キーの使用を試みます。デフォルトの事前共有キーは設定されていません。
713139
エラー メッセージ %PIX|ASA-5-713139: group_name not found, using BASE GROUP default preshared key説明 グループ データベース内にピアの IP アドレスと同じ名前を持つトンネル グループがありませんでした。Main モードで、Cisco ASA がフォールバックし、デフォルト グループで設定されたデフォルトの事前共有キーを使用します。
713140
エラー メッセージ %PIX|ASA-3-713140: Split Tunneling Policy requires network list but none configured説明 このメッセージは、スプリット トンネリング ポリシーがトンネルのスプリットまたはローカル LAN アクセスの許可に設定されている場合に表示されます。VPN クライアントが要求する情報を表すには、スプリット トンネリング ACL が定義されている必要があります。
713141
エラー メッセージ %PIX|ASA-3-713141: Client-reported firewall does not match configured firewall: action tunnel. Received -- Vendor: vendor(id) , Product product(id) , Caps: capability_value . Expected -- Vendor: vendor(id) , Product: product(id) , Caps: capability_value説明 このメッセージは、クライアントにインストールされた Cisco ASA が設定された必須の Cisco ASA と一致しないことを示しています。このメッセージは、実際の値と予期された値をリストし、トンネルが終了したか、または許可されたかを示します。
推奨処置 クライアントに別の個人用の Cisco ASA をインストールするか、または Cisco ASA にコンフィギュレーションの変更を行わなければならないことがあります。
713142
エラー メッセージ %PIX|ASA-3-713142: Client did not report firewall in use, but there is a configured firewall: action tunnel. Expected -- Vendor: vendor(id) , Product product(id) , Caps: capability_value説明 このメッセージは、クライアントがModeCfg を使用して使用中の Cisco ASA を報告しなかったが、それが必要である場合に表示されます。このイベントは、予期された値をリストし、トンネルが終了したか、または許可されたかを示します。製品ストリングの後の数値は、許可されたすべての製品のビットマスクです。
推奨処置 クライアントに別の個人用の Cisco ASA をインストールするか、または Cisco ASA にコンフィギュレーションの変更を行わなければならないことがあります。
713143
エラー メッセージ %PIX|ASA-7-713143: Processing firewall record. Vendor: vendor(id) , Product: product(id) , Caps: capability_value , Version Number: version_number , Version String: version_text713144
エラー メッセージ %PIX|ASA-5-713144: Ignoring received malformed firewall record; reason - error_reason TLV type attribute_value correction713145
エラー メッセージ %PIX|ASA-6-713145: Detected Hardware Client in network extension mode, adding static route for address: IP_address , mask: netmask説明 このメッセージは、ネットワーク拡張モードのハードウェア クライアントを持つトンネルがネゴシエートされ、ハードウェア クライアントの背後にあるプライベート ネットワーク用にスタティック ルートが追加されていることを示しています。これによって、Cisco ASA は、ヘッドエンドのプライベート側にあるすべてのルータにリモート ネットワークを知らせることができます。
713146
エラー メッセージ %PIX|ASA-3-713146: Could not add route for Hardware Client in network extension mode, address: IP_address , mask: netmask説明 このメッセージは、内部ソフトウェア エラーが発生したことを示します。ネットワーク拡張モードのハードウェア クライアントを持つトンネルがネゴシエートされ、ハードウェア クライアントの背後にあるプライベート ネットワーク用にスタティック ルートを追加する試みが失敗しました。これは、ルーティング テーブルがいっぱいになっているか、アドレッシング エラーが発生した可能性を示します。
推奨処置 コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713147
エラー メッセージ %PIX|ASA-6-713147: Terminating tunnel to Hardware Client in network extension mode, deleting static route for address: IP_address , mask: netmask説明 このメッセージは、ネットワーク拡張モードのハードウェア クライアントへのトンネルが除去され、ハードウェア クライアントの背後でプライベート ネットワーク用のスタティック ルートが削除されていることを示しています。
713148
エラー メッセージ %PIX|ASA-5-713148: Terminating tunnel to Hardware Client in network extension mode, unable to delete static route for address: IP_address , mask: netmask説明 このメッセージは、ネットワーク拡張モードのハードウェア クライアントへのトンネルを除去しているときに、ハードウェア クライアントの背後にあるプライベート ネットワークへのルートを削除できなかったことを示しています。
推奨処置 これは、アドレッシングまたはソフトウェアの問題を意味する場合があります。ルーティング テーブルを調べて、ルートがそこにないことを確認します。ルートがある場合は、手動で削除する必要がありますが、ハードウェア クライアントへのトンネルが完全に削除された場合に限り行います。
713149
エラー メッセージ %PIX|ASA-3-713149: Hardware client security attribute attribute_name was enabled but not requested.説明 このメッセージは、ヘッドエンド Cisco ASA で指摘されたハードウェア クライアント セキュリティ アトリビュートがイネーブルになっているが、VPN3002 ハードウェア クライアントによってアトリビュートが要求されなかったことを示しています。
713152
エラー メッセージ %PIX|ASA-3-713152: Unable to obtain any rules from filter ACL_tag to send to client for CPP, terminating connection.説明 このメッセージは、クライアントで CPP を使用してその Cisco ASA をプロビジョニングする必要があるが、ヘッドエンド デバイスがクライアントへ送信する ACL を取得できなかったことを示しています。原因として、設定の誤りが考えられます。
713154
エラー メッセージ %PIX|ASA-4-713154: DNS lookup for peer_description Server [ server_name ] failed!説明 このメッセージは、指摘されたサーバに対する DNS ルックアップが解決されなかった場合に表示されます。
推奨処置 Cisco ASA 上の DNS サーバ コンフィギュレーションを確認します。また、DNS サーバがオプションになっていることと、IP アドレス マッピングへのホスト名を持っていることを確認します。
713155
エラー メッセージ %PIX|ASA-5-713155: DNS lookup for Primary VPN Server [ server_name ] successfully resolved after a previous failure. Resetting any Backup Server init.説明 プライマリ サーバに対する以前の DNS ルックアップの失敗によって、システムがバックアップ ピアを初期化した可能性があります。このメッセージは、プライマリ サーバでの後の DNS ルックアップが最終的に成功し、バックアップ サーバの初期化をリセットしていることを示しています。このポイントより後に初期化されたトンネルは、プライマリ サーバに向けられます。
713156
エラー メッセージ %PIX|ASA-5-713156: Initializing Backup Server [ server_name or IP_address ]説明 このメッセージは、クライアントがバックアップ サーバにフェールオーバーしているか、プライマリ サーバに対する DNS ルックアップが失敗したことによりシステムがバックアップ サーバを初期化したことを示しています。このポイントより後に初期化されたトンネルは、指摘されたバックアップ サーバに向けられます。
713157
エラー メッセージ %PIX|ASA-4-713157: Timed out on initial contact to server [ server_name or IP_address ] Tunnel could not be established.説明 このメッセージは、クライアントが IKE MSG1 を送信してトンネルを初期化しようとしたが、相手側の Cisco ASA から応答を受信しなかったことを示しています。バックアップ サーバを使用できる場合、クライアントはそれらのいずれかに接続しようとします。
713158
エラー メッセージ %PIX|ASA-5-713158: Client rejected NAT enabled IPSec Over UDP request, falling back to IPSec Over TCP説明 このメッセージは、クライアントが IPSec over TCP を使用するよう設定されていることを示しています。Cisco ASA が IPSec over UDP を使おうとする試みがクライアントによって拒否されました。
713159
エラー メッセージ %PIX|ASA-3-713159: TCP Connection to Firewall Server has been lost, restricted tunnels are now allowed full network access説明 このメッセージは、Cisco ASA サーバへの TCP 接続が何らかの理由で失われたことを示しています。理由としては、サーバのリブート、ネットワークの問題、SSL の不一致などが考えられます。
推奨処置 初期接続が確立された後にサーバの接続が失われた場合は、サーバとネットワークの接続を確認する必要があります。初期接続がすぐに失われた場合、これは SSL 認証の問題を意味する場合が在ります。
713160
エラー メッセージ %PIX|ASA-7-713160: Remote user (session Id - id ) has been granted access by the Firewall Server713161
エラー メッセージ %PIX|ASA-3-713161: Remote user (session Id - id ) network access has been restricted by the Firewall Server説明 Cisco ASA サーバは、ユーザを制限する必要があることを示すメッセージを Cisco ASA に送信しました。これには、Cisco ASA ソフトウェアのアップグレードや許可の変更など、いくつかの理由があります。Cisco ASA サーバは、処理が完了するとすぐに、ユーザを完全アクセス モードに移行します。
推奨処置 ユーザが完全アクセス モードに移行されない限り、処置は不要です。これが実行されない場合、実行中の処理の詳細およびリモート マシンで実行中の Cisco ASA ソフトウェアの状態については、Cisco ASA サーバを参照します。
713162
エラー メッセージ %PIX|ASA-3-713162: Remote user (session Id - id ) has been rejected by the Firewall Server713163
エラー メッセージ %PIX|ASA-3-713163: Remote user (session Id - id ) has been terminated by the Firewall Server説明 このメッセージは、Cisco ASA サーバがこのユーザ セッションを終了したことを示しています。これは、整合性エージェントがクライアント マシンで動作を停止した場合や、セキュリティ ポリシーがリモート ユーザによって何らかの方法で変更された場合に発生します。
推奨処置 Cisco ASA ソフトウェアがクライアント マシンで動作を続けていることと、ポリシーが正しいことを確認します。
713164
エラー メッセージ %PIX|ASA-7-713164: The Firewall Server has requested a list of active user sessions説明 このメッセージは、Cisco ASA サーバが、古いデータがあることを検出した場合やセッション データを失った場合(リブート時のように)に、セッション情報を要求することを示しています。
713165
エラー メッセージ %PIX|ASA-3-713165: Client IKE Auth mode differs from the group's configured Auth mode説明 このメッセージは、デジタル証明書を使うよう設定されているポリシーをトンネル グループが指しているときに、クライアントが事前共有キーとネゴシエートしたことを示しています。
713166
エラー メッセージ %PIX|ASA-3-713166: Headend security gateway has failed our user authentication attempt - check configured username and password説明 このメッセージは、ハードウェア クライアントが拡張認証に失敗したことを示しています。これはおそらく、ユーザ名とパスワードの問題または認証サーバの問題です。
推奨処置 設定したユーザ名とパスワードの値が各側で一致することを確認します。また、ヘッドエンドの認証サーバが動作していることを確認します。
713167
エラー メッセージ %PIX|ASA-3-713167: Remote peer has failed user authentication - check configured username and password説明 このメッセージは、リモート ユーザが認証の拡張に失敗したことを示しています。これはおそらく、ユーザ名とパスワードの問題または認証サーバの問題です。
推奨処置 設定したユーザ名とパスワードの値が各側で一致することを確認します。また、リモートの認証に使用している認証サーバが動作していることも確認します。
713168
エラー メッセージ %PIX|ASA-3-713168: Re-auth enabled, but tunnel must be authenticated interactively!説明 このメッセージは、キー再生成の再認証がイネーブルになっているが、トンネル認証で手動による介入が必要であることを示しています。
推奨処置 手動による介入を希望する場合、処置は不要です。それ以外の場合は、対話型の認証コンフィギュレーションを確認します。
713169
エラー メッセージ %PIX|ASA-7-713169: IKE Received delete for rekeyed SA IKE peer: IP_address , SA address: internal_SA_address , tunnelCnt: tunnel_count説明 このメッセージは、キー再生成が完了した後に古い IKE SA を削除するために、IKE がリモート ピアから削除メッセージを受信したことを示しています。
713170
エラー メッセージ %PIX|ASA- 7-713170: IKE Received delete for rekeyed centry IKE peer: IP_address , centry address: internal_address , msgid: id説明 IKE は、フェーズ 2 キー再生成が完了した後に古い centry を削除するために、リモート ピアから削除メッセージを受信します。
713171
エラー メッセージ %PIX|ASA- 7-713171: NAT-Traversal sending NAT-Original-Address payload説明 UDP-Encapsulated-Transport が、フェーズ 2 中に提案または選択されました。この場合、NAT-Traversal 用にこのペイロードを送信する必要があります。
713172
エラー メッセージ %PIX|ASA- 6-713172: Automatic NAT Detection Status: Remote end is|is not behind a NAT device This end is|is_not behind a NAT device713174
エラー メッセージ %PIX|ASA- 3-713174: Hardware Client connection rejected! Network Extension Mode is not allowed for this group!説明 ハードウェア クライアントがネットワーク拡張モードを使用してトンネルを試行しましたが、ネットワーク拡張モードは許可されていません。
713176
エラー メッセージ %PIX|ASA- 2-713176: Device_type memory resources are critical, IKE key acquire message on interface interface_number , for Peer IP_address ignored説明 このイベントは、アプライアンスが、示されたピアへの IPSec トンネルをトリガーするためのデータを処理していることを示しています。メモリ リソースは重大な状態なので、トンネルをそれ以上開始していません。データ パケットは無視され、廃棄されました。
推奨処置 条件が解決しない場合は、アプライアンスが効率的に設定されていることを確認します。このイベントは、メモリを増やしたアプライアンスがこのアプリケーションに必要であることを示している場合があります。
713177
エラー メッセージ %PIX|ASA- 6-713177: Received remote Proxy Host FQDN in ID Payload: Host Name: host_name Address IP_address , Protocol protocol , Port port713178
エラー メッセージ %PIX|ASA- 5-713178: IKE Initiator received a packet from its peer without a Responder cookie推奨処置 コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713179
エラー メッセージ %PIX|ASA- 5-713179: IKE AM Initiator received a packet from its peer without a payload_type payload推奨処置 コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713182
エラー メッセージ %PIX|ASA- 3-713182: IKE could not recognize the version of the client! IPSec Fragmentation Policy will be ignored for this connection!推奨処置 コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713184
エラー メッセージ %PIX|ASA- 6-713184: Client Type: Client_type Client Application Version: Application_version_string説明 このイベントは、クライアントのオペレーティング システムとアプリケーションのバージョンを示します。情報を入手できない場合は、N/A が示されます。
713185
エラー メッセージ %PIX|ASA- 3-713185: Error: Username too long - connection aborted713186
エラー メッセージ %PIX|ASA- 3-713186: Invalid secondary domain name list received from the authentication server. List Received: list_text Character index ( value ) is illegal説明 無効なセカンダリ ドメイン名リストが外部 RADIUS 認証サーバから受信されました。スプリット トンネルが使用されている場合、このリストは、クライアントがトンネルで解決すべきドメインを示します。
推奨処置 RADIUS サーバで Secondary-Domain-Name-List アトリビュート(ベンダー固有のアトリビュート 29)の指定を訂正します。リストは、コンマ区切りのドメイン名のリストとして指定する必要があります。ドメイン名に、英数字、ハイフン、下線、ピリオド以外の文字を組み込むことはできません。
713187
エラー メッセージ %PIX|ASA- 7-713187: Tunnel Rejected: IKE peer does not match remote peer as defined in L2L policy IKE peer address: IP_address , Remote peer address: IP_address説明 このトンネルを開始しようとしている IKE ピアは、受信されたリモート サブネットにバインドされた ISAKMP コンフィギュレーション内で設定された IKE ピアではありません。
713189
エラー メッセージ %PIX|ASA- 3-713189: Attempted to assign network or broadcast IP_address , removing ( IP_address ) from pool.説明 プールからの IP アドレスは、このサブネットのネットワークまたはブロードキャスト アドレスです。このアドレスには、使用不可のマークが付けられます。
713190
エラー メッセージ %PIX|ASA- 7-713190: Got bad refCnt ( ref_count_value ) assigning IP_address ( IP_address )713193
エラー メッセージ %PIX|ASA- 3-713193: Received packet with missing payload, Expected payload: payload_id説明 アプライアンスが、1 つまたは複数の欠落しているペイロードを持つ特定の交換タイプの暗号化/暗号解除されたパケットを受信しました。通常、これはピアに問題があることを意味します。
713194
エラー メッセージ %PIX|ASA- 3-713194: IKE|IPSec Delete With Reason message: termination_reason713195
エラー メッセージ %PIX|ASA- 3-713195: Tunnel rejected: Originate-Only: Cannot accept incoming tunnel yet!説明 Originate Only ピアが着信接続を受け入れることができるのは、最初の P2 トンネルを作成した後だけです。その時点で、どの方向からでもデータは追加のフェーズ 2 トンネルを開始できます。
713196
エラー メッセージ %PIX|ASA- 5-713196: Remote L2L Peer IP_address initiated a tunnel with same outer and inner addresses.Peer could be Originate Only - Possible misconfiguration!説明 リモート L2L ピアが Public-Public トンネルを開始しました。これは、別の終端の answer only ピアを期待しますが、本製品はこれには当たりません。設定が誤っている可能性があります。
713197
エラー メッセージ %PIX|ASA- 5-713197: The configured Confidence Interval of number seconds is invalid for this tunnel_type connection. Enforcing the second default.713198
エラー メッセージ %PIX|ASA- 3-713198: User Authorization failed: user User authorization failed.713199
エラー メッセージ %PIX|ASA- 5-713199: Reaper corrected an SA that has not decremented the concurrent IKE negotiations counter ( counter_value )!説明 リーパーによって内部ソフトウェア エラーが訂正されました。
推奨処置 問題が解決しない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713203
エラー メッセージ %PIX|ASA-3-713203: IKE Receiver: Error reading from socket.説明 このメッセージは、受信した IKE パケットの読み取り中にエラーが発生したことを示しています。通常、これは内部エラーであり、ソフトウェアの問題を示している可能性があります。
推奨処置 通常、これは問題のない状態であり、システムによって自動的に訂正されます。問題が解決しない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713204
エラー メッセージ %PIX|ASA-7-713204: Adding static route for client address: IP_address説明 このメッセージは、ピアが割り当てたアドレスへのルートまたはハードウェア クライアントによって保護されたネットワークへのルートがルーティング テーブルに追加されたことを示しています。
713205
エラー メッセージ %PIX|ASA-3-713205: Could not add static route for client address: IP_address説明 このメッセージは、クライアントが割り当てたアドレスへのルートまたはハードウェア クライアントによって保護されたネットワークへのルートを追加する試みが失敗したことを示しています。これは、ルーティング テーブルまたは破損したネットワーク アドレスでのルートの重複を意味している場合もあります。ルートの重複は、ルートが適切にクリーンアップされていないか、複数のクライアントがネットワークまたはアドレスを共有していることによって発生します。
推奨処置 IP ローカル プール コンフィギュレーション、およびその他の使用中の IP アドレス割り当てメカニズム(DHCP や RADIUS など)をチェックします。ルーティング テーブルからルートがクリアされていることを確認します。また、ピア システムにおけるネットワークやアドレスのコンフィギュレーションも確認します。
713206
エラー メッセージ %PIX|ASA-3-713206: Tunnel Rejected: Conflicting protocols specified by tunnel-group and group-policy説明 このメッセージは、グループ ポリシーで指定された許可済みのトンネルが、tunnel-group コンフィギュレーション内の許可済みのトンネルと異なっているために、トンネルが切断されたときに表示されます。
713208
エラー メッセージ %PIX|ASA-3-713208: Cannot create dynamic rule for Backup L2L entry rule rule_id説明 このメッセージは、IKE をトリガーして IPSec データを適切に処理する ACL の作成時に障害が発生したことを示しています。この障害はバックアップ L2L コンフィギュレーションに固有です。これは、コンフィギュレーション エラー、キャパシティ エラーまたは内部ソフトウェア エラーを示していることがあります。
推奨処置 デバイスが最大の Cisco ASA コンフィギュレーションおよび最多の VPN トンネルで実行中の場合、メモリの問題の可能性があります。それ以外の場合、バックアップ L2L および暗号マップ コンフィギュレーション(特に暗号マップと関連付けられているACL)を確認します。
713209
エラー メッセージ %PIX|ASA-3-713209: Cannot delete dynamic rule for Backup L2L entry rule id説明 このメッセージは、IKE をトリガーして IPSec データを適切に処理する ACL の削除時に障害が発生したことを示しています。この障害はバックアップ L2L コンフィギュレーションに固有です。これは、内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713210
エラー メッセージ %PIX|ASA-3-713210: Cannot create dynamic map for Backup L2L entry rule_id説明 このメッセージは、バックアップ L2L コンフィギュレーションに関連する動的暗号マップの実行時インストールの作成時に障害が発生したことを示しています。これは、コンフィギュレーション エラー、キャパシティ エラーまたは内部ソフトウェア エラーを示していることがあります。
推奨処置 デバイスが最大の Cisco ASA コンフィギュレーションおよび最多の VPN トンネルで実行中の場合、メモリの問題の可能性があります。それ以外の場合、バックアップ L2L および暗号マップ コンフィギュレーション(特に暗号マップと関連付けられているACL)を確認します。
713211
エラー メッセージ %PIX|ASA-6-713211: Adding static route for L2L peer coming in on a dynamic map. address: IP_address , mask: netmask説明 このメッセージは、Cisco ASA がピアのプライベート アドレスまたはネットワーク用のルートを追加していることを示しています。この場合、ピアはアドレスが不明なクライアントまたは L2L ピアのいずれかです。これらの場合ではいずれも、トンネルを通過するのにダイナミック暗号マップを使用します。
713212
エラー メッセージ %PIX|ASA-3-713212: Could not add route for L2L peer coming in on a dynamic map. address: IP_address , mask: netmask説明 このメッセージは、Cisco ASA がピアのプライベート アドレスまたはネットワーク用のルートを追加しようとして失敗したときに表示されます。この場合、ピアはアドレスが不明なクライアントまたは L2L ピアのいずれかです。これらの場合ではいずれも、トンネルを通過するのにダイナミック暗号マップを使用します。これは、重複するルートを示している場合があります。ルーティング テーブルがいっぱいになっているか、前に使用したルートを Cisco ASA が削除していません。
推奨処置 ルーティング テーブルに追加ルートのためのスペースがあることと、古いルートが存在しないことを確認します。テーブルがいっぱいになっている場合や古いルートが含まれている場合は、ルートを削除して再試行します。問題が解決しない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713213
エラー メッセージ %PIX|ASA-6-713213: Deleting static route for L2L peer that came in on a dynamic map. address: IP_address , mask: netmask説明 このメッセージは、Cisco ASA がピアのプライベート アドレスまたはネットワーク用のルートを削除していることを示しています。この場合、ピアはアドレスが不明なクライアントまたは L2L ピアのいずれかです。これらの場合ではいずれも、トンネルを通過するのにダイナミック暗号マップを使用します。
713214
エラー メッセージ %PIX|ASA-3-713214: Could not delete route for L2L peer that came in on a dynamic map. address: IP_address , mask: netmask説明 このメッセージは、Cisco ASA がピアのプライベート アドレスまたはネットワーク用のルートを削除しようとしたときに障害が発生したことを示しています。この場合、ピアはアドレスが不明なクライアントまたは L2L ピアのいずれかです。これらの場合ではいずれも、トンネルを通過するのにダイナミック暗号マップを使用します。このイベントは、ルートがすでに削除されているか、内部ソフトウェア エラーが発生したことを示している場合があります。
推奨処置 ルートがすでに削除されている場合は、問題のない状態であり、デバイスは正常に機能します。問題が解決しない場合、または VPN トンネルでルーティングの問題にリンクできる場合は、VPN L2L コンフィギュレーションのルーティング部分とアドレッシング部分を確認します。逆ルートの注入と、適切な暗号マップに関連する ACL を確認します。問題が解決しない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713215
エラー メッセージ %PIX|ASA-6-713215: No match against Client Type and Version rules. Client: type version is/is not allowed by default説明 このメッセージは、クライアントのタイプとクライアントのバージョンが Cisco ASA で設定されたルールと一致しなかったことを示しています。デフォルトのアクションが表示されます。
713216
エラー メッセージ %PIX|ASA-5-713216: Rule: action Client type : version Client: type version is/is not allowed説明 このメッセージは、クライアントのタイプとクライアントのバージョンがルールの 1 つと一致したことを示しています。一致の結果とルールが表示されます。
713217
エラー メッセージ %PIX|ASA-3-713217: Skipping unrecognized rule: action: action client type: client_type client version: client_version説明 このメッセージは、形式が誤っているクライアント タイプとバージョン ルールがあることを示しています。必要な形式は、action client type | client version action です。client type と client version の「許可」または「拒否」が、Session Management の下に表示されます。サポートされるワイルドカード(*)はパラメータごとに 1 つだけです。
713218
エラー メッセージ %PIX|ASA-3-713218: Tunnel Rejected: Client Type or Version not allowed.713219
エラー メッセージ %PIX|ASA-6-713219: Queueing KEY-ACQUIRE messages to be processed when P1 SA is complete.713220
エラー メッセージ %PIX|ASA-6-713220: De-queueing KEY-ACQUIRE messages that were left pending.713221
エラー メッセージ %PIX|ASA-7-713221: Static Crypto Map check, checking map = crypto_map_tag , seq = seq_number ...説明 このメッセージは、Cisco ASA が暗号マップで繰り返しコンフィギュレーション情報を探していることを示しています。
713222
エラー メッセージ %PIX|ASA-7-713222: Static Crypto Map check, map = crypto_map_tag , seq = seq_number , ACL does not match proxy IDs src: source_address dst: dest_address説明 このメッセージは、設定された暗号マップで反復しているときに、Cisco ASA が関連する ACL と一致できなかったことを示しています。通常、これは ACL の設定が誤っていることを意味します。
推奨処置 このトンネル ピアに関連する ACL を調べ、VPN トンネルの両端から適切なプライベート ネットワークが指定されていることを確認します。
713223
エラー メッセージ %PIX|ASA-7-713223: Static Crypto Map check, map = crypto_map_tag , seq = seq_number , no ACL configured説明 このメッセージは、このピアに関連する暗号マップが ACL にリンクされていないことを示しています。
推奨処置 この暗号マップに関連する ACL があることと、ACL に VPN トンネルの両側からの適切なプライベート アドレスまたはネットワークが含まれていることを確認します。
713224
エラー メッセージ %PIX|ASA-7-713224: Static Crypto Map Check by-passed: Crypto map entry incomplete!説明 このメッセージは、この VPN トンネルに関連する暗号マップで重要な情報が欠落していることを示しています。
推奨処置 VPN ピア、トランスフォーム セット、関連する ACL すべてで暗号マップが正しく設定されていることを確認します。
713225
エラー メッセージ %PIX|ASA-7-713225: [IKEv1], Static Crypto Map check, map map_name , seq = sequence_number is a successful match説明 このメッセージは、Cisco ASA がこの VPN トンネルに対して一致する有効な暗号マップを検出したことを示しています。
713226
エラー メッセージ %PIX|ASA-3-713226: Connection failed with peer IP_address , no trust-point defined in tunnel-group tunnel_group説明 デバイスがデジタル証明書を使用するように設定されている場合は、コンフィギュレーションでトラストポイントを指定する必要があります。トラストポイントが config から欠落している場合は、このメッセージが生成され、エラーのフラグが立てられます。
713228
エラー メッセージ %PIX|ASA-6-713228: Assigned private IP address assigned_private_IPassigned_private_IP :DHCP によって、またはローカル アドレス プールから割り当てられる クライアント IP。
説明 このメッセージは、IKE が DHCP またはアドレス プールからクライアントのプライベート IP アドレス用のアドレスを取得したときに生成されます。このメッセージは、クライアントに割り当てる IP アドレスを指定します。
713229
エラー メッセージ %PIX|ASA5-713229: Auto Update - Notification to client client_ip of update string: message_string .説明 このメッセージは、更新されたソフトウェアをダウンロードできることが VPN リモート アクセス クライアントに通知されたときに表示されます。リモート クライアントユーザには、クライアント アクセス ソフトウェアの更新を選択する責任があります。
client_ip :リモート クライアントの IP アドレス。
713230
エラー メッセージ %PIX|ASA-3-713230 Internal Error, ike_lock trying to lock bit that is already locked for type typetype :ロックの問題を持つセマフォのタイプを説明するストリング。
説明 このメッセージは、IKE サブシステムがすでにロックされているメモリをロックしようとしていることを報告する内部エラーが原因で表示されます。これは、IKE SA のメモリ違反を保護するために使用するセマフォにエラーがあることを示します。このメッセージは、重大な誤りがないことを示しています。ただし、予期しないイベントが発生し、自動的に回復されました。
713231
エラー メッセージ %PIX|ASA-3-713231 Internal Error, ike_lock trying to unlock bit that is not locked for type type説明 このメッセージは、IKE サブシステムが現在ロックされていないメモリをロック解除しようとしていることを報告する内部エラーが原因で表示されます。これは、IKE SA のメモリ違反を保護するために使用するセマフォにエラーがあることを示します。このメッセージは、重大な誤りがないことを示しています。ただし、予期しないイベントが発生し、自動的に回復されました。
713232
エラー メッセージ %PIX|ASA-3-713232 SA lock refCnt = value , bitmask = hexvalue , p1_decrypt_cb = value , qm_decrypt_cb = value , qm_hash_cb = value , qm_spi_ok_cb = value , qm_dh_cb = value , qm_secret_key_cb = value , qm_encrypt_cb = value説明 このメッセージは、すべての IKE SA ロックを表示します。これは、発生する可能性のあるエラーが検出されたときに表示されます。このメッセージは、IKE SA のメモリ違反を保護するために使用するセマフォにエラーがあることを報告します。
713233
エラー メッセージ %PIX|ASA-7-713233: (VPN- unit ) Remote network ( remote network ) validated for network extension mode.説明 このメッセージは、フェーズ 2 ネゴシエーション中に受信されたリモート ネットワークが検証されたときに表示されます。このメッセージは、ネットワーク拡張モード クライアントのフェーズ 2 ネゴシエーションでリモート ネットワーク チェックの結果を示します。これは、ユーザが HW クライアント ネットワークの設定を誤らないようにするための既存の機能の一部です(複数のクライアントでの重複するネットワークや同じネットワークの設定など)。
713234
エラー メッセージ %PIX|ASA-7-713234: (VPN- unit) Remote network ( remote network ) from network extension mode client mismatches AAA configuration ( aaa network ).説明 このメッセージは、フェーズ 2 ネゴシエーション中に受信されたリモート ネットワークが、このセッションの AAA サーバから戻された framed-ip-address および framed-subnet-mask と一致しない場合に表示されます。
remote network :フェーズ 2 のプロキシのサブネット アドレスおよびサブネットマスク
aaa network :AAA で設定されたサブネット アドレスとサブネット マスク。
• このユーザとグループのアドレス割り当てをチェックし、HW クライアントのネットワーク コンフィギュレーションを確認して、不整合をすべて修正します。
713235
エラー メッセージ %PIX|ASA-7-713235: Attempt to send an IKE packet from standby unit. Dropping the packet!説明 通常、IKE パケットをスタンバイ装置からリモート ピアへ送信することはありません。このメッセージは、そのような試みがされた場合に、内部ロジックエラーによって表示されます。保護コードのため、パケットはスタンバイ装置から離れません。このメッセージは、主にデバッグを促進します。
推奨処置 ユーザによる処置は不要です。開発者は、 IKE パケットがスタンバイ装置から送信される原因になった条件を調べる必要があります。
713236
エラー メッセージ %PIX|ASA-7-713236: IKE_DECODE tx/rx Message (msgid=msgid) with payloads :payload1 (payload1_len) + payload2 (payload2_len)...total length : tlen説明 このメッセージは、IKE がさまざまなメッセージを送信または受信したときに表示されます。
次の例に、IKE が 8 バイトのハッシュ ペイロード、11 バイトの通知ペイロード、および 2 つの 13 バイトのベンダー固有ペイロードでメッセージを受信した場合の出力を示します。
713237
エラー メッセージ %PIX|ASA-5-713237: ACL update ( access_list ) received during re-key re-authentication will not be applied to the tunnel.access_list : show access-list コマンドの出力に表示される、静的または動的 access-list に関連付けられた名前。
説明 このメッセージは、次の条件で、リモート アクセス IPSec トンネルのフェーズ 1 のキー再生成中に表示されます。
• トンネルは、トンネルのキー再生成時にユーザを再認証するよう設定されています。
• RADIUS サーバは、アクセス リストまたはリファレンスを、ローカルで設定されたアクセス リストに戻します。これは、トンネルが最初に確立されたときに戻されたアクセス リストとは異なります。
713238
エラー メッセージ %PIX|ASA-3-713238: Invalid source proxy address: 0.0.0.0! Check private address on remote client説明 ネットワーク拡張モード クライアントのプライベート側のアドレスが 0.0.0.0 です。通常、これは、ハードウェア クライアントのプライベート インターフェイスで IP アドレスが設定されていなかったことを示します。
713900
エラー メッセージ %PIX|ASA-7-713900: Descriptive_event_string .説明 重大なイベントまたは障害を示すいくつかの使用可能なテキスト ストリングを持つメッセージ。
推奨処置 問題が解決しない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
713901
エラー メッセージ %PIX|ASA-7-713901: Descriptive_event_string .説明 発生したエラーを示すいくつかの使用可能なテキスト ストリングを持つメッセージ。これは、ヘッドエンドまたはリモート アクセス クライアントにおけるコンフィギュレーション エラーの結果である可能性があります。イベント ストリングは、発生したエラーの詳細を提供します。
推奨処置 場合によっては、エラーの原因を判別するためコンフィギュレーションをトラブルシューティングする必要があります。両方のピアで isakmp および 暗号マップ コンフィギュレーションを確認します。
713902
エラー メッセージ %PIX|ASA-3-713902 Descriptive_event_string説明 このシステム ログ メッセージには、エラーについて説明するいくつかの使用可能なテキスト ストリングがあります。これは、ヘッドエンドまたはリモート アクセス クライアントにおけるコンフィギュレーション エラーの結果である可能性があります。
推奨処置 場合によっては、エラーの原因を判別するためコンフィギュレーションをトラブルシューティングする必要があります。両方のピアで、ISAKMP および暗号マップ コンフィギュレーションを確認します。
713903
エラー メッセージ %PIX|ASA-4-713903: Descriptive_event_string .説明 警告を示すいくつかの使用可能なテキスト ストリングを持つ syslog。これは、ピアの予期しない動作の結果である可能性があります(たとえば、接続の切断)。
713904
エラー メッセージ %PIX|ASA-5-713904: Descriptive_event_string .説明 何種類かのテキスト文字列が考えられる syslog。一般的なステータス情報を示します。これらのメッセージは、発生したイベントを追跡するために使用されます。
713905
エラー メッセージ %PIX|ASA-7-713905: Descriptive_event_string .説明 何種類かのテキスト文字列が考えられる syslog。一般的なステータス情報を示します。これらのメッセージは、発生したイベントを追跡するために使用されます。
713906
エラー メッセージ %PIX|ASA-7-713906: debug_message714001
エラー メッセージ %PIX|ASA-7-714001: Description of event or packet714002
エラー メッセージ %PIX|ASA-7-714002: IKE Initiator starting QM: msg id = message_number714003
エラー メッセージ %PIX|ASA-7-714003: IKE Responder starting QM: msg id = message_number714004
エラー メッセージ %PIX|ASA-7-714004: IKE Initiator sending 1st QM pkt: msg id = message_number714005
エラー メッセージ %PIX|ASA-7-714005: IKE Responder sending 2nd QM pkt: msg id = message_number714006
エラー メッセージ %PIX|ASA-7-714006: IKE Initiator sending 3rd QM pkt: msg id = message_number714007
エラー メッセージ %PIX|ASA-7-714007: IKE Initiator sending Initial Contact714011
エラー メッセージ %PIX|ASA-7-714011: Description of received ID values715001
エラー メッセージ %PIX|ASA-7-715001: Descriptive statement715004
エラー メッセージ %PIX|ASA-7-715004: subroutine name () Q Send failure: RetCode ( return_code )説明 このメッセージは、キュー内にメッセージを置こうとしたときに内部エラーが発生したことを示しています。
推奨処置 多くの場合、これは問題のない状態ですが、問題が解決しない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
715005
エラー メッセージ %PIX|ASA-7-715005: subroutine name () Bad message code: Code ( message_code )説明 このメッセージは、内部サブルーチンが不良なメッセージ コードを受信したことを示しています。
推奨処置 多くの場合、これは問題のない状態ですが、問題が解決しない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
715006
エラー メッセージ %PIX|ASA-7-715006: IKE got SPI from key engine: SPI = SPI_value715007
エラー メッセージ %PIX|ASA-7-715007: IKE got a KEY_ADD msg for SA: SPI = SPI_value説明 このメッセージは、IKE がトンネル ネゴシエーションを完了し、IPSec が使用する適切な暗号化キーとハッシュ キーを正常にロードしたことを示しています。
715008
エラー メッセージ %PIX|ASA-7-715008: Could not delete SA SA_address, refCnt = number , caller = calling_subroutine_address説明 このメッセージは、呼び出し側のサブルーチンが IPSec SA を削除できなかったことを示しています。これは、リファレンス カウントの問題の可能性があることを示しています。
推奨処置 このイベントの結果として古い SA の数が増加した場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
715009
エラー メッセージ %PIX|ASA-7-715009: IKE Deleting SA: Remote Proxy IP_address , Local Proxy IP_address715013
エラー メッセージ %PIX|ASA-7-715013: Tunnel negotiation in progress for destination IP_address , discarding data説明 このメッセージは、このデータ用のトンネルの確立中であることを示しています。トンネルが完全に確立されるまで、このトンネルによって保護されるすべてのパケットが廃棄されます。
715019
エラー メッセージ %PIX|ASA-7-715019: IKEGetUserAttributes: Attribute name = name説明 このメッセージは、Cisco ASA によって処理されている modecfg アトリビュートの名前と値のペアを表示されます。
715020
エラー メッセージ %PIX|ASA-7-715020: construct_cfg_set: Attribute name = name説明 このメッセージは、Cisco ASA によって送信されている modecfg アトリビュートの名前と値のペアを表示されます。
715021
エラー メッセージ %PIX|ASA-7-715021: Delay Quick Mode processing, Cert/Trans Exch/RM DSID in progress説明 このメッセージは、フェーズ 1 処理がすべて完了するまで(トランザクション モードなど)、クイック モードの処理が遅延することを示しています。
715022
エラー メッセージ %PIX|ASA-7-715022: Resume Quick Mode processing, Cert/Trans Exch/RM DSID completed715027
エラー メッセージ %PIX|ASA-7-715027: IPSec SA Proposal # chosen_proposal , Transform # chosen_transform acceptable Matches global IPSec SA entry # crypto_map_index説明 このメッセージは、示された IPSec SA プロポーザルおよびトランスフォームが応答者が受信したペイロードから選択された場合に表示されます。このデータは、IKE ネゴシエーションの問題のデバッグを試みる際に役立ちます。
715028
エラー メッセージ %PIX|ASA-7-715028: IKE SA Proposal # 1, Transform # chosen_transform acceptable Matches global IKE entry # crypto_map_index説明 このメッセージは、示された IKE SA トランスフォームが応答者が受信したペイロードから選択された場合に表示されます。このデータは、IKE ネゴシエーションの問題のデバッグを試みる際に役立ちます。
715033
エラー メッセージ %PIX|ASA-7-715033: Processing CONNECTED notify (MsgId message_number )説明 このメッセージは、Cisco ASA が通知タイプ CONNECTED(16384)で通知ペイロードを含むメッセージを処理していることを示しています。CONNECTED 通知は、コミット ビット処理を完了するために使用されます。これは、応答者から発信者へ送信される 4 番目のクイック モード パケット全体に組み込む必要があります。
715034
エラー メッセージ %PIX|ASA-7-715034: action IOS keep alive payload: proposal= time 1/time 2 sec.715035
エラー メッセージ %PIX|ASA-7-715035: Starting IOS keepalive monitor: seconds sec.715036
エラー メッセージ %PIX|ASA-7-715036: Sending keep-alive of type notify_type (seq number number )715037
エラー メッセージ %PIX|ASA-7-715037: Unknown IOS Vendor ID version: major.minor.variance説明 このメッセージは、このバージョンの IOS の機能が未知であることを示しています。
推奨処置 IKE キープアライブなどの機能との相互運用の問題がある可能性があります。このタイプの相互運用の問題が発生した場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して、収集した情報をIOS と Cisco ASA の両方のソフトウェア バージョン情報とともに、ご提供ください。
715038
エラー メッセージ %PIX|ASA-7-715038: action Spoofing_information Vendor ID payload (version: major.minor.variance , capabilities: value )説明 このメッセージは、 IOS ベンダー ID ペイロードの処理が実行されたことを示しています。処理されているメッセージが Altiga スプーフィング IOS である可能性があります。
715039
エラー メッセージ %PIX|ASA-7-715039: Unexpected cleanup of tunnel table entry during SA delete.説明 このメッセージは、SA が解放されたときに削除されなかった IKE トンネル テーブル内のエントリがあることを示しています。これは、ステート マシン内のバグを示しています。
推奨処置 問題が解決しない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
715040
エラー メッセージ %PIX|ASA-7-715040: Deleting active auth handle during SA deletion: handle = internal_authentication_handle説明 このメッセージは、SA 削除中に auth ハンドルがまだアクティブであることを示しています。これは、エラー状態中のクリーンアップ リカバリの一部です。
715041
エラー メッセージ %PIX|ASA-7-715041: Received keep-alive of type keepalive_type , not the negotiated type715042
エラー メッセージ %PIX|ASA-7-715042: IKE received response of type failure_type to a request from the IP_address utility説明 これは、これらのアドレスを提供する内部ユーティリティからのリモート アクセス クライアントの IP アドレスに対する要求が満たされなかったことを示しています。メッセージ ストリング内の変数テキストによって、問題点がより具体的に示されます。
715044
エラー メッセージ %PIX|ASA-7-715044: Ignoring Keepalive payload from vendor not support KeepAlive capability説明 KA 機能を設定せずにベンダーから IOS キープアライブ ペイロードを受信しました。ペイロードが無視されています。
715045
エラー メッセージ %PIX|ASA-7-715045: ERROR: malformed Keepalive payload715046
エラー メッセージ %PIX|ASA-7-715046: constructing payload_description payload715047
エラー メッセージ %PIX|ASA-7-715047: processing payload_description payload715048
エラー メッセージ %PIX|ASA-7-715048: Send VID_type VID715049
エラー メッセージ %PIX|ASA-7-715049: Received VID_type VID715050
エラー メッセージ %PIX|ASA-7-715050: Claims to be IOS but failed authentication説明 IOS VID と似ていますが、 hmac_sha と一致しません。
推奨処置 両方のピアでベンダー ID コンフィギュレーションを確認します。問題が相互運用に影響する場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
715051
エラー メッセージ %PIX|ASA-7-715051: Received unexpected TLV type TLV_type while processing FWTYPE ModeCfg Reply説明 FWTYPE ModeCfg Reply の処理中に、Cisco ASA レコードで未知の TLV が受信されました。これは廃棄されます。パケットが破損しているため、または接続しているクライアントが後のバージョンの Cisco ASA プロトコルをサポートしているために発生する可能性があります。
推奨処置 Cisco VPN クライアントにインストールされている個人用 FW および Cisco ASA 上の個人用 FW コンフィギュレーションを確認します。これは、VPN クライアントと Cisco ASA の間のバージョンの不一致を示している可能性もあります。
715052
エラー メッセージ %PIX|ASA-7-715052: Old P1 SA is being deleted but new SA is DEAD, cannot transition centries説明 古い P1 SA が削除されていますが、新しい SA にも削除のマークが付けられているため、移行先となる新しい SA がありません。通常、これは、2 IKE ピアが同期外で、異なるキー再生成時間を使用している可能性があることを示しています。問題は自動的に訂正されますが、新しい P1 SA が再確立されるまで、少量のデータ損失が発生する可能性があります。
715053
エラー メッセージ %PIX|ASA-7-715053: MODE_CFG: Received request for attribute_info !715054
エラー メッセージ %PIX|ASA-7-715054: MODE_CFG: Received attribute_name reply: value715055
エラー メッセージ %PIX|ASA-7-715055: Send attribute_name715056
エラー メッセージ %PIX|ASA-7-715056: Client is configured for TCP_transparency説明 IPSec Over TCP に対してリモート エンド(クライアント)が設定されているので、ヘッドエンド Cisco ASA がクライアントと IPSec Over UDP または IPSec over NAT-T をネゴシエートすることはできません。
推奨処置 トンネルが開始しない場合は、ピアのいずれかの NAT 透過 コンフィギュレーションに対する調整が必要な場合があります。それ以外の場合、これは情報メッセージです。
715057
エラー メッセージ %PIX|ASA-7-715057: Auto-detected a NAT device with NAT-Traversal. Ignoring IPSec-over-UDP configuration.説明 NAT-Traversal が検出されたため、IPSec-over-UDP Mode Config info は交換されません。
715058
エラー メッセージ %PIX|ASA-7-715058: NAT-Discovery payloads missing. Aborting NAT-Traversal.説明 NAT-Traversal VID の交換後、リモート エンドが NAT-Traversal に必要な NAT-D ペイロードを提供しませんでした。少なくとも 2 つの NAT-D ペイロードを受信する必要があります。
推奨処置 NAT-T 実装が規格に従っていないことを示している可能性があります。攻撃ピアがシスコ製品である場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して、収集した情報を製品番号およびソフトウェア バージョンとともにご提供ください。攻撃ピアがシスコ製品ではない場合は、製造元サポート チームにお問い合せください。
715059
エラー メッセージ %PIX|ASA-7-715059: Proposing/Selecting only UDP-Encapsulated-Tunnel and UDP-Encapsulated-Transport modes defined by NAT-Traversal説明 NAT-Traversalを正常にネゴシエートするため SA で定義された通常の Transport モードおよび Tunnel モードの代わりにこれらのモードを使用する必要があります。
715060
エラー メッセージ %PIX|ASA-7-715060: Dropped received IKE fragment. Reason: reason推奨処置 廃棄の理由にもよりますが、これは、NAT 装置が干渉している問題やピアが規格に従っていない問題を示している可能性があります。
715061
エラー メッセージ %PIX|ASA-7-715061: Rcv'd fragment from a new fragmentation set. Deleting any old fragments.説明 これは、同じパケットを再送したが別の MTU にフラグメント化されたか、あるいはまったく別のパケットである可能性があります。
715062
エラー メッセージ %PIX|ASA-7-715062: Error assembling fragments! Fragment numbers are non-continuous.推奨処置 これはネットワークの問題を示している可能性があります。この条件によってトンネルが廃棄されるか、特定のピアが Cisco ASA とネゴシエートできない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して、収集した情報を製品番号およびソフトウェア バージョンとともにご提供ください。
715063
エラー メッセージ %PIX|ASA-7-715063: Successfully assembled an encrypted pkt from rcv'd fragments!715064
エラー メッセージ %PIX|ASA-7-715064 -- IKE Peer included IKE fragmentation capability flags: Main Mode: true/false Aggressive Mode: true/false715065
エラー メッセージ %PIX|ASA-7-715065: IKE state_machine subtype FSM error history (struct data_structure_address ) state , event : state/event pairs説明 フェーズ 1 エラーが発生し、状態、イベント履歴ペアが新しい順に表示されます。
推奨処置 これらのエラーのほとんどは、問題ありません。これらのメッセージが望ましくない動作と関連している場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
715066
エラー メッセージ %PIX|ASA-7-715066: Can't load an IPSec SA! The corresponding IKE SA contains an invalid logical ID.説明 IKE SA 内の論理 ID は NULL です。フェーズ II ネゴシエーションは切断されます。
推奨処置 内部エラーが発生しました。装置が回復せず正常に動作しない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
715067
エラー メッセージ %PIX|ASA-7-715067: QM IsRekeyed: existing sa from different peer, rejecting new sa説明 確立中の LAN-TO-LAN SA はすでに存在します。つまり、同じリモート ネットワークを持ち、別のピアをソースとする SA があります。これは正当なコンフィギュレーションではないので、新規 SA は削除されます。
推奨処置 関連するすべてのピアで LAN-TO-LAN コンフィギュレーションを確認します。特に、複数のピアがプライベート ネットワークを共有することはできません。
715068
エラー メッセージ %PIX|ASA-7-715068: QM IsRekeyed: duplicate sa found by address , deleting old sa説明 確立中のリモート アクセス SA はすでに存在します。つまり、同じリモート ネットワークを持ち、別のピアをソースとする SA があります。ピアが IP アドレスを変更した可能性があるため、古い SA は削除されます。
推奨処置 特にクライアント トンネルが異常終了した場合、これは問題のない状態である可能性があります。これらのメッセージが望ましくない動作と関連している場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
715069
エラー メッセージ %PIX|ASA-7-715069: Invalid ESP SPI size of SPI_size説明 無効な ESP SPI サイズの IPSec SA プロポーザルを受信しました。このプロポーザルはスキップされます。
推奨処置 通常、これは問題のない状態ですが、ピアが規格に従っていないことを示している可能性があります。問題が解決しない場合、およびピアがトンネルを正常にネゴシエートできない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
715070
エラー メッセージ %PIX|ASA-7-715070: Invalid IPComp SPI size of SPI_size説明 無効な IPComp SPI サイズの IPSec SA プロポーザルを受信しました。このプロポーザルはスキップされます。
推奨処置 通常、これは問題のない状態ですが、ピアが規格に従っていないことを示している可能性があります。問題が解決しない場合、およびピアがトンネルを正常にネゴシエートできない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
715071
エラー メッセージ %PIX|ASA-7-715071: AH proposal not supported715072
エラー メッセージ %PIX|ASA-7-715072: Received proposal with unknown protocol ID protocol_ID説明 未知のプロトコル ID を持つIPSec SA プロポーザルを受信しました。このプロポーザルはスキップされます。
推奨処置 通常、これは問題のない状態ですが、ピアが規格に従っていないことを示している可能性があります。問題が解決しない場合、およびピアがトンネルを正常にネゴシエートできない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
715074
エラー メッセージ %PIX|ASA-7-715074: Could not retrieve authentication attributes for peer IP_address推奨処置 すべての認証および認可コンフィギュレーションが正しく設定されていることを確認します。問題が解決しない場合、およびピアがトンネルを正常にネゴシエートできない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
715075
エラー メッセージ %PIX|ASA-7-715075: Group = group_name , Username = client , IP = IP_address Received keep-alive of type message_type (seq number number )説明 この新規メッセージは、 DPD 送信メッセージをログに記録する 715036「DPD R-U-THERE」メッセージとペアです。
1) ピア送信「DPD R-U-THERE」メッセージを受信した。
2) ピア応答「DPD R-U-THERE-ACK」メッセージを受信した。
事例 1:「DPD R-U-THERE」が受信され、そのシーケンス番号が発信 DPD 応答メッセージと一致する。
f1 がピアから「DPD R-U-THERE」を受信する前に「DPD R-U-THERE-ACK」を送信すると、セキュリティ違反が発生する可能性があります。
事例 2:受信した「DPD R-U-THERE-ACK」メッセージのシーケンス番号が前の送信 DPD メッセージのシーケンス番号と一致する。
f1 が「DPD R-U-THERE」をピアへ送信した後、適当な期間「DPD R-U-THERE-ACK」を受信しなかった場合、トンネルはダウンする可能性があります。
message_type :メッセージ タイプ(「DPD R-U-THERE」または「DPD R-U-THERE-ACK」)。
715076
エラー メッセージ %PIX|ASA-7-715076: Computing hash for ISAKMP説明 このメッセージは、IKE がさまざまなハッシュ値を計算したときに表示されます。
Group = groupname , Username = username , IP = ip_address , ...
715077
エラー メッセージ %PIX|ASA-7-715077: Pitcher: msg string , spi spi説明 このメッセージは、さまざまなメッセージが IKE に送信されたときに表示されます。
• received a key acquire message
• received SPI for non-existent SA
• could not find IKE SA to activate IPSEC (OB)
• could not find IKE SA to rekey IPSEC (OB)
• KEY_SA_ACTIVE no centry found
Group = groupname , Username = username , IP = ip_address , ...
716001
エラー メッセージ %ASA-6-716001: Group group User user WebVPN session started.説明 この group の user に対して WebVPN セッションが開始されました。ユーザが WebVPN ログイン ページ を介してログインすると、WebVPN セッションが開始されます。
716002
エラー メッセージ %ASA-6-716002: Group group User user WebVPN session terminated: reason .716003
エラー メッセージ %ASA-6-716003: Group group User user WebVPN access GRANTED:: url説明 この group 内の WebVPN user は、この url へのアクセス権を与えられています。さまざまな場所へのユーザのアクセスは、WebVPN 固有のアクセス コントロール リストを使用して制御できます。
716004
エラー メッセージ %ASA-6-716004: Group group User user WebVPN access DENIED to specified location: url説明 この group 内の WebVPN user は、この url へのアクセス権を拒否されています。さまざまな場所への WebVPN ユーザのアクセスは、WebVPN 固有のアクセス コントロール リストを使用して制御できます。この場合は、特定のアクセス コントロール リスト エントリがこの url へのアクセスを拒否しています。
716005
エラー メッセージ %ASA-6-716005: Group group User user WebVPN ACL Parse Error: reason説明 指摘されたグループ内の WebVPN ユーザの ACL が正しく解析できませんでした。エラーの原因が報告されます。
この group 内の user 用の WebVPN アクセス コントロール リストが正しく解析できませんでした。エラーの原因が報告されます。
716006
エラー メッセージ %ASA-6-716006: Group name User user WebVPN session terminated. Idle timeout.説明 VPN トンネル プロトコルが WebVPN に設定されていないため、指摘されたグループ内でこのユーザに対して WebVPN セッションが作成されませんでした。
716007
エラー メッセージ %ASA-4-716007: Group group User user WebVPN Unable to create session.説明 リソースの問題のため、指摘されたグループ内でユーザに対して WebVPN セッションが作成されませんでした。たとえば、ユーザが最大ログイン制限に達した可能性があります。
716008
エラー メッセージ %ASA-7-716008: WebVPN ACL: action説明 WebVPN ACL が action の実行を開始しました。たとえば、 action が「begin parsing」である可能性があります。これは、デバッグ レベル メッセージです。
716009
エラー メッセージ %ASA-6-716009: Group group User user WebVPN session not allowed. WebVPN ACL parse error.説明 関連するアクセス コントロール リストが解析していないため、このグループ内の指摘されたユーザの WebVPN セッションが許可されません。このエラーが訂正されるまで、ユーザが WebVPN を介してログインすることは許可されません。
716010
エラー メッセージ %ASA-7-716010: Group group User user Browse network.716011
エラー メッセージ %ASA-7-716011: Group group User user Browse domain domain .716012
エラー メッセージ %ASA-7-716012: Group group User user Browse directory directory .716013
エラー メッセージ %ASA-7-716013: Group group User user Close file filename .716014
エラー メッセージ %ASA-7-716014: Group group User user View file filename .716015
エラー メッセージ %ASA-7-716015: Group group User user Remove file filename .716016
エラー メッセージ %ASA-7-716016: Group group User user Rename file old_filename to new_filename .716017
エラー メッセージ %ASA-7-716017: Group group User user Modify file filename .716018
エラー メッセージ %ASA-7-716018: Group group User user Create file filename .716019
エラー メッセージ %ASA-7-716019: Group group User user Create directory directory .716020
エラー メッセージ %ASA-7-716020: Group group User user Remove directory directory .716021
エラー メッセージ %ASA-7-716021: File access DENIED, filename .716022
エラー メッセージ %ASA-4-716022: Unable to connect to proxy server reason .716023
エラー メッセージ %ASA-4-716023: Group name User user Session could not be established: session limit of maximum_sessions reached.716024
エラー メッセージ %ASA-7-716024: Group name User user Unable to browse the network.Error: description説明 ユーザが説明に従い CIFS プロトコルを介して Windows ネットワークをブラウズすることができません。たとえば、「Unable to contact necessary server」は、リモート サーバが使用不可または到達不能であることを示しています。これは、一時的な状態である場合もありますし、さらにトラブルシューティングが必要な場合もあります。
推奨処置 WebVPN デバイスと、CIFS がアクセスするサーバとの間の接続を確認します。デバイスで NetBIOS ネーム サーバ(NBNS)コンフィギュレーションを確認します。
716025
エラー メッセージ %ASA-7-716025: Group name User user Unable to browse domain domain . Error: description説明 ユーザが CIFS プロトコルを介してリモート ドメインをブラウズできません。
推奨処置 WebVPN デバイスと、CIFS がアクセスするサーバとの間の接続を確認します。デバイスで NetBIOS ネーム サーバ(NBNS)コンフィギュレーションを確認します。
716026
エラー メッセージ %ASA-7-716026: Group name User user Unable to browse directory directory . Error: description説明 ユーザが CIFS プロトコルを介してリモート ディレクトリをブラウズできません。
推奨処置 WebVPN デバイスと、CIFS がアクセスするサーバとの間の接続を確認します。デバイスで NetBIOS ネーム サーバ(NBNS)コンフィギュレーションを確認します。
716027
エラー メッセージ %ASA-7-716027: Group name User user Unable to view file filename . Error: description説明 ユーザが CIFS プロトコルを介してリモート ファイルを表示できません。
推奨処置 WebVPN デバイスと、CIFS がアクセスするサーバとの間の接続を確認します。デバイスで NetBIOS ネーム サーバ(NBNS)コンフィギュレーションを確認します。
716028
エラー メッセージ %ASA-7-716028: Group name User user Unable to remove file filename . Error: description説明 ユーザが CIFS プロトコルを介してリモート ファイルを削除できません。このエラーは、許可がないために発生した可能性があります。
推奨処置 WebVPN デバイスと、CIFS がアクセスするサーバとの間の接続を確認します。デバイスで NetBIOS ネーム サーバ(NBNS)コンフィギュレーションを確認します。ファイルのアクセス権を確認します。
716029
エラー メッセージ %ASA-7-716029: Group name User user Unable to rename file filename . Error: description説明 ユーザが CIFS プロトコルを介してリモート ファイルの名前を変更できません。このエラーは、アクセス権の問題が原因と考えられます。
推奨処置 WebVPN デバイスと、CIFS がアクセスするサーバとの間の接続を確認します。デバイスで NetBIOS ネーム サーバ(NBNS)コンフィギュレーションを確認します。ファイルのアクセス権を確認します。
716030
エラー メッセージ %ASA-7-716030: Group name User user Unable to modify file filename . Error: description説明 ユーザが CIFS プロトコルを介して既存のファイルを変更しようとしたときに、問題が発生しました。このエラーは、アクセス権の問題が原因と考えられます。
推奨処置 WebVPN デバイスと、CIFS がアクセスするサーバとの間の接続を確認します。デバイスで NetBIOS ネーム サーバ(NBNS)コンフィギュレーションを確認します。ファイルのアクセス権を確認します。
716031
エラー メッセージ %ASA-7-716031: Group name User user Unable to create file filename . Error: description説明 ユーザが CIFS プロトコルを介してファイルを作成しようとしたときに、問題が発生しました。このエラーは、アクセス権の問題が原因と考えられます。
推奨処置 WebVPN デバイスと、CIFS がアクセスするサーバとの間の接続を確認します。デバイスで NetBIOS ネーム サーバ(NBNS)コンフィギュレーションを確認します。ファイルのアクセス権を確認します。
716032
エラー メッセージ %ASA-7-716032: Group name User user Unable to create folder folder . Error: description説明 ユーザが CIFS プロトコルを介してフォルダを作成しようとしたときに、問題が発生しました。このエラーは、アクセス権の問題が原因と考えられます。
推奨処置 WebVPN デバイスと、CIFS がアクセスするサーバとの間の接続を確認します。デバイスで NetBIOS ネーム サーバ(NBNS)コンフィギュレーションを確認します。ファイルのアクセス権を確認します。
716033
エラー メッセージ %ASA-7-716033: Group name User user Unable to remove folder folder . Error: description説明 CIFS プロトコルのユーザがフォルダを削除しようとしたときに、問題が発生しました。このエラーは、許可の問題またはファイルが常駐するサーバとの通信の問題が原因で発生した可能性があります。
推奨処置 WebVPN デバイスと、CIFS がアクセスするサーバとの間の接続を確認します。デバイスで NetBIOS ネーム サーバ(NBNS)コンフィギュレーションを確認します。
716034
エラー メッセージ %ASA-7-716034: Group name User user Unable to write to file filename .説明 ユーザが CIFS プロトコルを介してファイルに書き込もうとしたときに、問題が発生しました。このエラーは、許可の問題またはファイルが常駐するサーバとの通信の問題が原因で発生した可能性があります。
716035
エラー メッセージ %ASA-7-716035: Group name User user Unable to read file filename .説明 CIFS プロトコルのユーザがファイルを読み取ろうとしたときに、問題が発生しました。このエラーは、アクセス権の問題が原因と考えられます。
716036
エラー メッセージ %ASA-7-716036: Group name User user File Access: User user logged into the server server.716037
エラー メッセージ %ASA-7-716037: Group name User user File Access: User user failed to login into the server server.716038
エラー メッセージ %ASA-6-716038: Authentication: successful, group = name user = user , Session Type: WebVPN説明 WebVPN セッションを開始するには、まずユーザがローカル サーバまたはリモート サーバによって正常に認証される必要があります(たとえば、RADIUS または TACACS+)。
716039
エラー メッセージ %ASA-6-716039: Authentication: rejected, group = name user = user , Session Type: WebVPN説明 WebVPN セッションを開始するには、まずユーザがローカル サーバまたはリモート サーバによって正常に認証される必要があります(たとえば、RADIUS または TACACS+)。この場合、ユーザ クレデンシャル(ユーザ名とパスワード)が一致しないか、ユーザに WebVPN セッションを開始する許可がありません。
推奨処置 ローカル サーバまたはリモート サーバでユーザ クレデンシャルを確認します。ユーザに対して WebVPN が設定されていることを確認します。
716040
エラー メッセージ %ASA-6-716040: Reboot pending, new sessions disabled. Denied user login.716041
エラー メッセージ %ASA-6-716041: access-list acl_ID action url url hit_cnt count説明 acl_ID の WebVPN URL アクセス コントロール リストで、位置 url に対して count 回のヒットがありました。 action は「permitted」または「denied」です。
716042
エラー メッセージ %ASA-6-716042: access-list acl_ID action tcp source_interface / source_address ( source_port ) -> dest_interface / dest_address ( dest_port ) hit-cnt count説明 acl_ID の WebVPN TCP アクセス コントロール リストで、 dest_interface / dest_address の宛先 dest_port に転送されたソース インターフェイス source_interface / source_address のポート source_port で受信されたパケットに対して count 回のヒットがありました。 action は「permitted」または「denied」です。
717001
エラー メッセージ %PIX|ASA-3-717001: Querying keypair failed.717002
エラー メッセージ %PIX|ASA-3-717002: Certificate enrollment failed for trustpoint trustpoint_name. Reason: reason_string .説明 この trustpoint_name トラストポイントの登録要求が失敗しました。
717003
エラー メッセージ %PIX|ASA-6-717003: Certificate received from Certificate Authority for trustpoint trustpoint_name .717004
エラー メッセージ %PIX|ASA-6-717004: PKCS #12 export failed for trustpoint trustpoint_name .説明 トラストポイント trustpoint_name をエクスポートできませんでした。トラストポイントについて CA 証明書だけが存在し、ID 証明書が存在していないか、または必要なキーペアが欠落している可能性があります。
717005
エラー メッセージ %PIX|ASA-6-717005: PKCS #12 export succeeded for trustpoint trustpoint_name .717006
エラー メッセージ %PIX|ASA-6-717006: PKCS #12 import failed for trustpoint trustpoint_name .説明 要求されたトラストポイント trustpoint_name を処理できませんでした。
推奨処置 インポートしたデータの整合性を確認し、 pkcs12 レコード全体が正しく貼り付けられていることを確認し、インポートの試行を再送信します。
717007
エラー メッセージ %PIX|ASA-6-717007: PKCS #12 import succeeded for trustpoint trustpoint_name .717008
エラー メッセージ %PIX|ASA-2-717008: Insufficient memory to process_requiring_memory .説明 process_requiring_memory のメモリ割り当てを試行中に内部エラーが発生しました。メモリの割り当て中にその他のプロセスで問題が発生し、以降の処理が妨げられる可能性があります。
717009
エラー メッセージ %PIX|ASA-3-717009: Certificate validation failed. Reason: reason_string .説明 reason_string のため、証明書の検証が失敗しました。 reason_string は、失敗の原因を示します。これは、無効になった証明書の検証試行、無効な証明書アトリビュート、またはコンフィギュレーションの問題が原因である可能性があります。
推奨処置 適切なトラストポイントが見つからないことが reason_string で示されている場合は、コンフィギュレーションで検証のため有効なトラストポイントが設定されていることを確認します。システムの時刻が認証局の時刻に対して正確であることを確認します。 reason_string をチェックし、示された問題を訂正します。
717010
エラー メッセージ %PIX|ASA-3-717010: CRL polling failed for trustpoint trustpoint_name .説明 CRL ポーリングが失敗しました。CRL チェックが必要な場合は、これによって接続が拒否される可能性があります。
717011
エラー メッセージ %PIX|ASA-2-717011: Unexpected event event event_ID717012
エラー メッセージ %PIX|ASA-3-717012: Failed to refresh CRL cache entry from the server for trustpoint trustpoint_name at time_of_failure説明 このログ メッセージは、指摘されたトラストポイント trustpoint_name に対するキャッシュされた CRL エントリのリフレッシュが、示された time_of_failure で、失敗したことを示しています。これによって、システム上の古い CRL が生じ、有効な CRL を必要とする接続が拒否される可能性があります。
推奨処置 ネットワークのダウンやサーバのダウンなど、サーバへの接続性の問題を確認します。 crypto ca crl retrieve コマンドを使用して、CRL を手動で取得します。
717013
エラー メッセージ %PIX|ASA-5-717013: Removing a cached CRL to accommodate an incoming CRL. Issuer: issuer説明 デジタル証明書を使用して IPSec トンネルを認証するように装置が設定されている場合は、接続のたびに CRL をダウンロードせずに済むように、Certificate Revocation List(CRL; 証明書失効リスト)がメモリにキャッシュされる可能性があります。キャッシュがいっぱいになって着信 CRL を受け入れられなくなった場合は、必要なスペースが使用可能になるまで古い CRL が削除されていきます。このログ イベントは、パージされる各 CRL に対して生成されます。
717014
エラー メッセージ %PIX|ASA-5-717014: Unable to cache a CRL received from CDP due to size limitations (CRL size = size , available cache space = space )説明 デジタル証明書を使用して IPSec トンネルを認証するように装置が設定されている場合は、接続のたびに CRL をダウンロードせずに済むように、証明書失効リスト(CRL)がメモリにキャッシュされる可能性があります。このログ イベントは、受信した CRL が長すぎてキャッシュに収まらない場合に生成されます。
推奨処置 処置は不要です。大きい CRL はキャッシュされませんが、引き続きサポートされます。これは、各 IPSec 接続でCRL がダウンロードされることを意味します。IPSec 接続のバースト時にパフォーマンスに影響する可能性があります。
717015
エラー メッセージ %PIX|ASA-3-717015: CRL received from issuer is too large to process (CRL size = crl_size , maximum CRL size = max_crl_size )説明 このログ イベントは、IPSec 接続によって、許可された最大 CRL サイズ max_crl_size よりも大きい CRL がダウンロードされた場合に生成されます。これは、接続の失敗を引き起こすエラー状態です。このメッセージは、10 秒に 1 回しか表示されないように制限されています。
推奨処置 CRL 方式の失効チェックでは、スケーラビリティが最も重大な欠点となる可能性があります。この問題を解決する方法には、認証局のソリューションを調査して CRL のサイズを小さくすること、または CRL 検証を必要としないデバイスを設定することがあります。
717016
エラー メッセージ %PIX|ASA-6-717016: Removing expired CRL from the CRL cache. Issuer: issuer説明 デジタル証明書を使用して IPSec トンネルを認証するように装置が設定されている場合は、接続のたびに CRL をダウンロードせずに済むように、証明書失効リスト(CRL)がメモリにキャッシュされる可能性があります。このログ イベントは、CA が指定した有効期限または設定されたキャッシュ時間が経過し、CRL がキャッシュから削除された場合に生成されます。
717017
エラー メッセージ %PIX|ASA-3-717017: Failed to query CA certificate for trustpoint trustpoint_name from enrollment_url説明 これは、認証局からの CA 証明書を要求することによってトラストポイントを認証しようとしたときに発生するエラーをログに記録します。
推奨処置 このトラストポイントで登録 URL が設定されていることを確認し、認証局サーバとの接続を確認して、要求を再試行します。
717018
エラー メッセージ %PIX|ASA-3-717018: CRL received from issuer has too many entries to process (number of entries = number_of_entries , maximum number allowed = max_allowed )説明 このログ イベントは、IPSec 接続によって、サポートできるよりも多くの失効エントリを含む CRL がダウンロードされた場合に生成されます。これは、接続の失敗を引き起こすエラー状態です。このメッセージは、10 秒に 1 回しか表示されないように制限されています。
number_of_entries :受信した CRL 内の失効エントリの数。
max_allowed :装置がサポートする CRL エントリの最大数。
推奨処置 CRL 方式の失効チェックでは、スケーラビリティが最も重大な欠点となる可能性があります。この問題を解決する方法には、認証局のソリューションを調査して CRL のサイズを小さくすること、または CRL 検証を必要としないデバイスを設定することがあります。
717019
エラー メッセージ %PIX|ASA-3-717019: Failed to insert CRL for trustpoint trustpoint_name . Reason: failure_reason .説明 このログ イベントは、CRL が取得されたが、無効であり、 failure_reason のためキャッシュに挿入できないときに生成されます。
trustpoint_name :CRL を要求したトラストポイントの名前。
failure_reason :CRL をキャッシュに挿入できなかった理由。
推奨処置 現在のシステム時刻が認証局の時刻に対して正確であることを確認します。NextUpdate フィールドがない場合は、NextUpdate フィールドを無視するようにトラストポイントを設定します。
717021
エラー メッセージ %PIX|ASA-3-717021 Certificate data could not be verified. Locate Reason: reason_string serial number: serial number , subject name: subject name , key length key length bits.説明 このメッセージは、シリアル番号で示された証明書を検証しようとして、指摘された理由によってサブジェクト名を検証できない場合に表示されます。シグニチャを使用して証明書データを検証すると、ログに記録されるいくつかのエラーが発生する可能性があります。これには、特定の無効なキー タイプやサポートされないキー サイズが含まれます。
reason_string :証明書を検証できなかった理由。
serial number :検証中の証明書のシリアル番号。
subject name :検証中の証明書に含まれるサブジェクト名。
key length :この証明書に署名するために使用されるキー内のビット数。
推奨処置 指摘された証明書を調べて、有効であること、有効なキー タイプが含まれていること、サポートされる最大キー サイズを超過していないことを確認します。
717022
エラー メッセージ %PIX|ASA-6-717022 Certificate was successfully validated. certificate identifiers説明 このメッセージは、示された証明書が正常に検証された場合に表示されます。
certificate identifiers :正常に検証された証明書を識別する情報。これには、理由、シリアル番号、サブジェクト名などが含まれます。
717023
エラー メッセージ %PIX|ASA-3-717023 SSL failed to set device certificate for trustpoint trustpoint name . Reason: reason_string .説明 このメッセージは、SSL 接続の認証のため所定のトラストポイントでデバイス証明書を設定しようとして失敗した場合に表示されます。SSL 接続を確立する際、使用するデバイス証明書を設定しようとします。このプロセス中に発生した障害はログに記録されます。メッセージには、デバイス証明書のロードに使用すべき設定済みのトラストポイントと失敗の理由が含まれます。
trustpoint name :SSL がデバイス証明書を設定できなかったトラストポイントの名前。
reason_string :デバイス証明書を設定できなかった理由。
推奨処置 失敗について報告された理由で示された問題を解決します。
717024
エラー メッセージ %PIX|ASA-7-717024 Checking CRL from trustpoint: trustpoint name for purpose説明 このログ メッセージは、CRL が取得されていることを示しています。
717025
エラー メッセージ %PIX|ASA-7-717025 Validating certificate chain containing number of certs certificate(s).717026
エラー メッセージ %PIX|ASA-4-717026 Name lookup failed for hostname hostname during PKI operation.説明 このメッセージは、PKI オペレーションの試行中に所定のホスト名を解決できないときに表示されます。
推奨処置 所定のホスト名のコンフィギュレーションおよび DNS サーバ エントリを調べて、解決できることを確認します。それから、オペレーションを再試行します。
717027
エラー メッセージ %PIX|ASA-3-717027 Certificate chain failed validation. reason_string .説明 このメッセージは、証明書のチェーンを検証できなかった場合に表示されます。失敗の原因を正確に示すため理由が表示されます。
reason_string :証明書チェーンを検証できなかった理由。
推奨処置 理由に示された問題を解決し、次の処置のいずれかを実行して検証を再試行します。
• CRL チェックが必要な場合は CA への接続を確認します。
• トラストポイントが認証されており、検証に使用できることを確認します。
717028
エラー メッセージ %PIX|ASA-6-717028 Certificate chain was successfully validated additional info .説明 このメッセージは、証明書のチェーンが正常に検証された場合に表示されます。
additional info :CRL チェックが実行されなかったことを示す「with warning」など、証明書チェーンがどのように検証されたかを示す追加情報が表示されます。
717029
エラー メッセージ %PIX|ASA-7-717029 Identified client certificate within certificate chain. serial number: serial_number , subject name: subject_name .説明 このメッセージは、証明書がクライアント証明書であることを示しています。
serial_number :クライアント証明書として識別される証明書のシリアル番号。
717030
エラー メッセージ %PIX|ASA-7-717030 Found a suitable trustpoint trustpoint name to validate certificate.説明 このメッセージは、証明書の検証に使用できる適切または使用可能なトラストポイントが見つかったときに表示されます。
717031
エラー メッセージ %PIX|ASA-4-717031 Failed to find a suitable trustpoint for the issuer: issuer Reason: reason_string説明 このメッセージは、使用可能なトラストポイントが見つからなかったときに表示されます。このメッセージは、適切なトラストポイントが見つからなかった証明書の発行者を示し、失敗の理由を示します。証明書の検証中は、証明書を検証するために適切なトラストポイントが使用可能になっている必要があります。
reason_string :適切なトラストポイントが見つからなかった理由。
推奨処置 コンフィギュレーションを調べてトラストポイントが設定、認証、および登録されていることを確認し、理由に示された問題を解決します。また、コンフィギュレーションが、発行された ID 証明書など、特定のタイプの証明書を許可していることを確認します。
718001
エラー メッセージ %PIX|ASA-7-718001: Internal interprocess communication queue send failure: code error_code説明 VPNLB キューでメッセージをキューに入れようとしたときに、内部ソフトウェア エラーが発生しました。
推奨処置 通常、これは問題のない状態です。しかし、問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718002
エラー メッセージ %PIX|ASA-5-718002: Create peer IP_address failure, already at maximum of number_of_peers説明 ロードバランシング ピアの最大数を超過しました。新規ピアは無視されます。
推奨処置 ロードバランシングとネットワーク コンフィギュレーションを調べて、LB ピアの数が、許可された最大値を超過していないことを確認します。
718003
エラー メッセージ %PIX|ASA-6-718003: Got unknown peer message message_number from IP_address , local version version_number , remote version version_number説明 LB ピアのいずれかから、認識されないロードバランシング メッセージが受信されました。これは、ピア間のバージョンの不一致を示している可能性がありますが、内部ソフトウェア エラーが原因となっていると思われます。
推奨処置 すべての LB ピアに互換性があることを確認します。互換性があるがこの状態が続く場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718004
エラー メッセージ %PIX|ASA-6-718004: Got unknown internal message message_number説明 未知の内部メッセージを受信しました。通常、これは、内部ソフトウェア エラーがあることを示しています。
推奨処置 通常、これは問題のない状態です。しかし、問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718005
エラー メッセージ %PIX|ASA-5-718005: Fail to send to IP_address , port port説明 ロードバランシング ソケットでパケットを送信しようとしたときに、内部ソフトウェア エラーが発生しました。これは、ネットワークの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 セキュリティ アプライアンスでネットワークのコンフィギュレーションをチェックし、インターフェイスがアクティブでプロトコル データがデバイスを通過していることを確認します。問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718006
エラー メッセージ %PIX|ASA-5-718006: Invalid load balancing state transition [cur= state_number ][event= event_number ]説明 ステート マシンエラーが発生しました。これは、内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 通常、これは問題のない状態です。しかし、問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718007
エラー メッセージ %PIX|ASA-5-718007: Socket open failure failure_code説明 ロードバランシング ソケットを開こうとしているときに、エラーが発生しました。これは、ネットワークの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 セキュリティ アプライアンスでネットワークのコンフィギュレーションをチェックし、インターフェイスがアクティブでプロトコル データがデバイスを通過していることを確認します。問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718008
エラー メッセージ %PIX|ASA-5-718008: Socket bind failure failure_code説明 ロードバランシング ソケットにバインドしようとしているときに、エラーが発生しました。これは、ネットワークの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 セキュリティ アプライアンスでネットワークのコンフィギュレーションをチェックし、インターフェイスがアクティブでプロトコル データがデバイスを通過していることを確認します。問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718009
エラー メッセージ %PIX|ASA-5-718009: Send HELLO response failure to IP_address説明 Hello Response メッセージを LB ピアの 1 つに送信しようとしているときに、エラーが発生しました。これは、ネットワークの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 セキュリティ アプライアンスでネットワークのコンフィギュレーションをチェックし、インターフェイスがアクティブでプロトコル データがデバイスを通過していることを確認します。問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718010
エラー メッセージ %PIX|ASA-5-718010: Sent HELLO response to IP_address718011
エラー メッセージ %PIX|ASA-5-718011: Send HELLO request failure to IP_address説明 Hello Request メッセージを LB ピアの 1 つに送信しようとしているときに、エラーが発生しました。これは、ネットワークの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 セキュリティ アプライアンスでネットワークのコンフィギュレーションをチェックし、インターフェイスがアクティブでプロトコル データがデバイスを通過していることを確認します。問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718012
エラー メッセージ %PIX|ASA-5-718012: Sent HELLO request to IP_address718013
エラー メッセージ %PIX|ASA-6-718013: Peer IP_address is not answering HELLO718014
エラー メッセージ %PIX|ASA-5-718014: Master peer IP_address is not answering HELLO718015
エラー メッセージ %PIX|ASA-5-718015: Received HELLO request from IP_address718016
エラー メッセージ %PIX|ASA-5-718016: Received HELLO response from IP_address718017
エラー メッセージ %PIX|ASA-7-718017: Got timeout for unknown peer IP_address msg type message_type説明 セキュリティ アプライアンスが未知のピアのタイムアウトを処理しました。ピアはすでにアクティブ リストから削除されている可能性があるので、メッセージは無視されました。
推奨処置 メッセージが解決しない場合、または望ましくない動作が引き起こされる場合は、LB ピアを調べて、設定がすべて正しいことを確認します。
718018
エラー メッセージ %PIX|ASA-7-718018: Send KEEPALIVE request failure to IP_address説明 Keepalive Request メッセージを LB ピアの 1 つに送信しようとしているときに、エラーが発生しました。これは、ネットワークの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 セキュリティ アプライアンスでネットワークのコンフィギュレーションをチェックし、インターフェイスがアクティブでプロトコル データがデバイスを通過していることを確認します。問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718019
エラー メッセージ %PIX|ASA-7-718019: Sent KEEPALIVE request to IP_address718020
エラー メッセージ %PIX|ASA-7-718020: Send KEEPALIVE response failure to IP_address説明 Keepalive Response メッセージを LB ピアの 1 つに送信しようとしているときに、エラーが発生しました。これは、ネットワークの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 セキュリティ アプライアンスでネットワークのコンフィギュレーションをチェックし、インターフェイスがアクティブでプロトコル データがデバイスを通過していることを確認します。問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718021
エラー メッセージ %PIX|ASA-7-718021: Sent KEEPALIVE response to IP_address説明 セキュリティ アプライアンスによって、Keepalive Response メッセージが LB ピアに送信されました。
718022
エラー メッセージ %PIX|ASA-7-718022: Received KEEPALIVE request from IP_address718023
エラー メッセージ %PIX|ASA-7-718023: Received KEEPALIVE response from IP_address718024
エラー メッセージ %PIX|ASA-5-718024: Send CFG UPDATE failure to IP_address説明 Configuration Update メッセージを LB ピアの 1 つに送信しようとしているときに、エラーが発生しました。これは、ネットワークの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 セキュリティ アプライアンスでネットワークのコンフィギュレーションをチェックし、インターフェイスがアクティブでプロトコル データがデバイスを通過していることを確認します。問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718025
エラー メッセージ %PIX|ASA-7-718025: Sent CFG UPDATE to IP_address説明 セキュリティ アプライアンスが、Configuration Update メッセージを LB ピアへ送信しました。
718026
エラー メッセージ %PIX|ASA-7-718026: Received CFG UPDATE from IP_address説明 セキュリティ アプライアンスが、Configuration Update メッセージを LB ピアから受信しました。
718027
エラー メッセージ %PIX|ASA-6-718027: Received unexpected KEEPALIVE request from IP_address推奨処置 問題が解決しない場合、または望ましくない動作が引き起こされる場合は、すべての LB ピアが正しく設定され、検出されていることを確認します。
718028
エラー メッセージ %PIX|ASA-5-718028: Send OOS indicator failure to IP_address説明 OOS Indicator メッセージを LB ピアの 1 つに送信しようとしているときに、エラーが発生しました。これは、ネットワークの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 セキュリティ アプライアンスでネットワークのコンフィギュレーションをチェックし、インターフェイスがアクティブでプロトコル データがデバイスを通過していることを確認します。問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718029
エラー メッセージ %PIX|ASA-7-718029: Sent OOS indicator to IP_address718030
エラー メッセージ %PIX|ASA-6-718030: Received planned OOS from IP_address718031
エラー メッセージ %PIX|ASA-5-718031: Received OOS obituary for IP_address718032
エラー メッセージ %PIX|ASA-5-718032: Received OOS indicator from IP_address718033
エラー メッセージ %PIX|ASA-5-718033: Send TOPOLOGY indicator failure to IP_address説明 Topology Indicator メッセージを LB ピアの 1 つに送信しようとしているときに、エラーが発生しました。これは、ネットワークの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 セキュリティ アプライアンスでネットワークのコンフィギュレーションをチェックし、インターフェイスがアクティブでプロトコル データがデバイスを通過していることを確認します。問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718034
エラー メッセージ %PIX|ASA-7-718034: Sent TOPOLOGY indicator to IP_address718035
エラー メッセージ %PIX|ASA-7-718035: Received TOPOLOGY indicator from IP_address718036
エラー メッセージ %PIX|ASA-7-718036: Process timeout for req-type type_value , exid exchange_ID , peer IP_address説明 セキュリティ アプライアンスがピアのタイムアウトを処理しました。
推奨処置 ピアがタイムアウトされたことを確認します。タイムアウトされていない場合は、ピア LB コンフィギュレーションをチェックし、ピアとセキュリティ アプライアンスとの間のネットワーク接続を確認します。
718037
エラー メッセージ %PIX|ASA-6-718037: Master processed number_of_timeouts timeouts説明 マスター役割のセキュリティ アプライアンスが、指摘された数のピア タイムアウトを処理しました。
推奨処置 タイムアウトが正しいことを確認します。正しくない場合は、ピア LB コンフィギュレーションをチェックし、ピアとセキュリティ アプライアンスとの間のネットワーク接続を確認します。
718038
エラー メッセージ %PIX|ASA-6-718038: Slave processed number_of_timeouts timeouts説明 スレーブ役割のセキュリティ アプライアンスが、指摘された数のピア タイムアウトを処理しました。
推奨処置 タイムアウトが正しいことを確認します。正しくない場合は、ピア LB コンフィギュレーションをチェックし、ピアとセキュリティ アプライアンスとの間のネットワーク接続を確認します。
718039
エラー メッセージ %PIX|ASA-6-718039: Process dead peer IP_address説明 セキュリティ アプライアンスがデッド ピアを検出しました。
推奨処置 デッド ピアの検出が正当であることを確認します。正当でない場合は、ピア LB コンフィギュレーションをチェックし、ピアとセキュリティ アプライアンスとの間のネットワーク接続を確認します。
718040
エラー メッセージ %PIX|ASA-6-718040: Timed-out exchange ID exchange_ID not found718041
エラー メッセージ %PIX|ASA-7-718041: Timeout [msgType= type ] processed with no callback718042
エラー メッセージ %PIX|ASA-5-718042: Unable to ARP for IP_address718043
エラー メッセージ %PIX|ASA-5-718043: Updating/removing duplicate peer entry IP_address718044
エラー メッセージ %PIX|ASA-5-718044: Deleted peer IP_address718045
エラー メッセージ %PIX|ASA-5-718045: Created peer IP_address718046
エラー メッセージ %PIX|ASA-7-718046: Create group policy policy_name718047
エラー メッセージ %PIX|ASA-7-718047: Fail to create group policy policy_name説明 LB ピア間の通信をセキュリティで保護するためにグループ ポリシーを作成しようとしたときに、セキュリティ アプライアンスで障害が発生しました。
718048
エラー メッセージ %PIX|ASA-5-718048: Create of secure tunnel failure for peer IP_address718049
エラー メッセージ %PIX|ASA-7-718049: Created secure tunnel to peer IP_address718050
エラー メッセージ %PIX|ASA-5-718050: Delete of secure tunnel failure for peer IP_address718051
エラー メッセージ %PIX|ASA-6-718051: Deleted secure tunnel to peer IP_address718052
エラー メッセージ %PIX|ASA-5-718052: Received GRAT-ARP from duplicate master MAC_address718053
エラー メッセージ %PIX|ASA-5-718053: Detected duplicate master, mastership stolen MAC_address718054
エラー メッセージ %PIX|ASA-5-718054: Detected duplicate master MAC_address and going to SLAVE718055
エラー メッセージ %PIX|ASA-5-718055: Detected duplicate master MAC_address and staying MASTER718056
エラー メッセージ %PIX|ASA-7-718056: Deleted Master peer, IP IP_address718057
エラー メッセージ %PIX|ASA-5-718057: Queue send failure from ISR, msg type failure_code説明 VPNLB キューで Interrupt Service Routing からメッセージをキューに入れているときに、内部ソフトウェア エラーが発生しました。
推奨処置 通常、これは問題のない状態です。しかし、問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718058
エラー メッセージ %PIX|ASA-7-718058: State machine return code: action_routine , return_code718059
エラー メッセージ %PIX|ASA-7-718059: State machine function trace: state= state_name , event= event_name , func= action_routine718060
エラー メッセージ %PIX|ASA-5-718060: Inbound socket select fail: context= context_ID .説明 ソケット選択コールがエラーを戻し、ソケットを読み取ることができませんでした。これは、内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718061
エラー メッセージ %PIX|ASA-5-718061: Inbound socket read fail: context= context_ID .説明 選択コールでデータが検出された後、ソケット読み取りが失敗しました。これは、内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718062
エラー メッセージ %PIX|ASA-5-718062: Inbound thread is awake (context= context_ID ).718063
エラー メッセージ %PIX|ASA-5-718063: Interface interface_name is down.718064
エラー メッセージ %PIX|ASA-5-718064: Admin. interface interface_name is down.718065
エラー メッセージ %PIX|ASA-5-718065: Cannot continue to run (public= up/down , private= up/down , enable= LB_state , master= IP_address , session= Enable/Disable ).説明 これは、すべての前提条件が満たされていないため、LB プロセスを実行できないことを示しています。前提条件は、2 つのアクティブなインターフェイスと LB がイネーブルになっていることです。
推奨処置 インターフェイス コンフィギュレーションを調べて、少なくとも 2 つのインターフェイスが動作していることを確認します。また、LB コンフィギュレーションも確認します。
718066
エラー メッセージ %PIX|ASA-5-718066: Cannot add secondary address to interface interface_name , ip IP_address .説明 LB には、外部インターフェイスに追加するセカンダリ アドレスが必要です。このイベントは、セカンダリ アドレスを追加する際に障害が発生したことを示しています。
推奨処置 セカンダリ アドレスとして使用されているアドレスを調べ、それが有効で固有であることを確認します。外部インターフェイスのコンフィギュレーションを確認します。
718067
エラー メッセージ %PIX|ASA-5-718067: Cannot delete secondary address to interface interface_name , ip IP_address .説明 セカンダリ アドレスの削除が失敗しました。これは、アドレッシングの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 外部インターフェイスのアドレッシング情報を調べて、セカンダリ アドレスが有効で固有であることを確認します。問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718068
エラー メッセージ %PIX|ASA-5-718068: Start VPN Load Balancing in context context_ID .718069
エラー メッセージ %PIX|ASA-5-718069: Stop VPN Load Balancing in context context_ID .718070
エラー メッセージ %PIX|ASA-5-718070: Reset VPN Load Balancing in context context_ID .718071
エラー メッセージ %PIX|ASA-5-718071: Terminate VPN Load Balancing in context context_ID .718072
エラー メッセージ %PIX|ASA-5-718072: Becoming master of Load Balancing in context context_ID .718073
エラー メッセージ %PIX|ASA-5-718073: Becoming slave of Load Balancing in context context_ID .718074
エラー メッセージ %PIX|ASA-5-718074: Fail to create access list for peer context_ID .説明 ACL は、LB ピアが通信できるセキュア トンネルを作成するために使用されます。これらの ACL のいずれかを作成するためにセキュリティ アプライアンスを使用できませんでした。これは、アドレッシングの問題または内部ソフトウェアの問題が存在する可能性があることを示しています。
推奨処置 すべてのピアで内部インターフェイスのアドレッシング情報を調べ、すべてのピアが正しく検出されていることを確認します。問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718075
エラー メッセージ %PIX|ASA-5-718075: Peer IP_address access list not set.説明 セキュア トンネルを削除する際、セキュリティ アプライアンスが、関連する ACL を持たないピア エントリを検出しました。
718076
エラー メッセージ %PIX|ASA-5-718076: Fail to create tunnel group for peer IP_address .説明 LB ピア間の通信をセキュリティで保護するためにトンネル グループを作成しようとしたときに、セキュリティ アプライアンスで障害が発生しました。
718077
エラー メッセージ %PIX|ASA-5-718077: Fail to delete tunnel group for peer IP_address .説明 LB ピア間の通信をセキュリティで保護するためにトンネル グループを削除しようとしたときに、セキュリティ アプライアンスで障害が発生しました。
718078
エラー メッセージ %PIX|ASA-5-718078: Fail to create crypto map for peer IP_address .説明 LB ピア間の通信をセキュリティで保護するために暗号マップを作成しようとしたときに、セキュリティ アプライアンスで障害が発生しました。
718079
エラー メッセージ %PIX|ASA-5-718079: Fail to delete crypto map for peer IP_address .説明 LB ピア間の通信をセキュリティで保護するために暗号マップを削除しようとしたときに、セキュリティ アプライアンスで障害が発生しました。
718080
エラー メッセージ %PIX|ASA-5-718080: Fail to create crypto policy for peer IP_address .説明 LB ピア間の通信をセキュリティで保護するために使用するトランスフォーム セットを作成しようとしたときに、セキュリティ アプライアンスで障害が発生しました。これは、内部ソフトウェアの問題が存在する可能性があることを示しています。
推奨処置 問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718081
エラー メッセージ %PIX|ASA-5-718081: Fail to delete crypto policy for peer IP_address .説明 LB ピア間の通信をセキュリティで保護するために使用するトランスフォーム セットを削除しようとしたときに、セキュリティ アプライアンスで障害が発生しました。
718084
エラー メッセージ %PIX|ASA-5-718084: Public/cluster IP not on the same subnet: public IP_address , mask netmask , cluster IP_address説明 クラスタ IP アドレスは、セキュリティ アプライアンスの外部インターフェイスと同じサブネット上にある必要があります。これは、同じネットワーク上にないことも示しています。
推奨処置 クラスタ(または仮想)IP アドレスと外部インターフェイス アドレスの両方が同じネットワーク上にあることを確認します。
718085
エラー メッセージ %PIX|ASA-5-718085: Interface interface_name has no IP address defined.718086
エラー メッセージ %PIX|ASA-5-718086: Fail to install LB NP rules: type rule_type , dst interface_name , port port .説明 LB ピア間の通信をセキュリティで保護するために使用する SoftNP ACL ルールを作成しようとしたときに、セキュリティ アプライアンスで障害が発生しました。これは、内部ソフトウェアの問題が存在する可能性があることを示しています。
推奨処置 問題が解決しない場合、または望ましくない動作が引き起こされる場合は、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco Technical Assistance Center(TAC)にサポートを依頼して収集した情報をご提供ください。
718087
エラー メッセージ %PIX|ASA-5-718087: Fail to delete LB NP rules: type rule_type , rule rule_ID .説明 LB ピア間の通信をセキュリティで保護するために使用する SoftNP ACL ルールを削除しようとしたときに、セキュリティ アプライアンスで障害が発生しました。
718088
エラー メッセージ %PIX|ASA-7-718088: Possible VPN LB misconfiguration. Offending device MAC MAC_address .719001
エラー メッセージ %ASA-6-719001: Email Proxy session could not be established: session limit of maximum_sessions has been reached.説明 このメッセージは、最大セッション制限に達したため着信電子メール プロキシ セッションを確立できなかったときに表示されます。 maximum_sessions は、最大セッション数です。
719002
エラー メッセージ %ASA-3-719002: Email Proxy session pointer from source_address has been terminated due to reason error.説明 このメッセージは、エラーのためセッションが終了したときに表示されます。考えられるエラーは、セッション データベースへのセッションの追加の失敗、メモリ割り当ての失敗、チャネルへのデータ書き込みの失敗などです。 pointer はセッション構造のポインタ、 source_address は電子メール プロキシ クライアントの IP アドレス、 reason はエラー タイプです。
719003
エラー メッセージ %ASA-6-719003: Email Proxy session pointer resources have been freed for source_address .説明 このメッセージは、動的に割り当てられたセッション構造が解放され、セッションの修了後に NULL に設定された場合に表示されます。 pointer はセッション構造のポインタ、 source_address は電子メール プロキシ クライアントの IP アドレスです。
719004
エラー メッセージ %ASA-6-719004: Email Proxy session pointer has been successfully established for source_address .719005
エラー メッセージ %ASA-7-719005: FSM NAME has been created using protocol for session pointer from source_address .説明 このメッセージは、新規着信セッションに対して FSM が作成されたときに表示されます。NAME はセッションの FSM インスタンス名、 protocol は電子メール プロトコル タイプ(たとえば、POP3、IMAP、SMTP)、 pointer はセッション構造のポインタ、 source_address は電子メール プロキシ クライアントの IP アドレスです。
719006
エラー メッセージ %ASA-7-719006: Email Proxy session pointer has timed out for source_address because of network congestion.説明 このメッセージは、ネットワークの輻輳が発生し、データを電子メール クライアントまたは電子メール サーバに送信できないときに表示されます。これによって、ブロック タイマーが開始されます。ブロック タイマーがタイムアウトになると、セッションの有効期限が切れます。 pointer はセッション構造のポインタで、 source_address は電子メール プロキシ クライアントの IP アドレスです。
719007
エラー メッセージ %ASA-7-719007: Email Proxy session pointer cannot be found for source_address .説明 このメッセージは、セッション データベース内で一致するセッションが見つからないときに表示されます。セッション ポインタが不良です。 pointer はセッション構造のポインタで、 source_address は電子メール プロキシ クライアントの IP アドレスです。
719008
エラー メッセージ %ASA-3-719008: Email Proxy service is shutting down.説明 このメッセージは、電子メール プロキシがディセーブルの場合に表示されます。すべてのリソースがクリーンアップされ、すべてのスレッドが終了されます。
719009
エラー メッセージ %ASA-7-719009: Email Proxy service is starting.719010
エラー メッセージ %ASA-6-719010: protocol Email Proxy feature is disabled on interface interface_name .説明 このメッセージは、電子メール プロキシ機能が CLI から呼び出され、特定のエントリ ポイントでディセーブルになったときに表示されます。これは、ユーザのメイン「オフ」スイッチです。すべてのインターフェイスですべてのプロトコルがオフになると、メインのシャットダウン ルーチンが呼び出され、グローバル リソースやスレッドなどがクリーンアップされます。 protocol は電子メール プロトコル タイプ(たとえば、POP3、IMAP、SMTP)で、 interface_name はセキュリティ アプライアンス インターフェイス名です。
719011
エラー メッセージ %ASA-6-719011: Protocol Email Proxy feature is enabled on interface interface_name .説明 このメッセージは、電子メール プロキシ機能が CLI から呼び出され、特定のエントリ ポイントでイネーブルになったときに表示されます。これは、ユーザのメイン「オン」スイッチです。初めて使用される場合は、グローバル リソースやスレッドを割り当てるため、メインの起動ルーチンが呼び出されます。後続のコールでは、特定のプロトコル用のリスン スレッドだけが起動されます。 protocol は電子メール プロキシ プロトコル タイプ(たとえば、POP3、IMAP、SMTP)で、 interface_name はセキュリティ アプライアンス インターフェイス名です。
719012
エラー メッセージ %ASA-6-719012: Email Proxy server listening on port port for mail protocol protocol .説明 このメッセージは、設定されたポート上の特定のプロトコルに対してリスン チャネルが開かれ、それが TCP 選択グループに追加されたときに表示されます。 port は設定されたポート番号で、 protocol は電子メール プロキシのプロトコル タイプ(たとえば、POP3、IMAP、SMTP)です。
719013
エラー メッセージ %ASA-6-719013: Email Proxy server closing port port for mail protocol protocol .説明 このメッセージは、設定されたポート上の特定のプロトコルに対してリスン チャネルが閉じられ、それが TCP 選択グループから削除されたときに表示されます。 port は設定されたポート番号で、 protocol は電子メール プロキシのプロトコル タイプ(たとえば、POP3、IMAP、SMTP)です。
719014
エラー メッセージ %ASA-5-719014: Email Proxy is changing listen port from old_port to new_port for mail protocol protocol .説明 このメッセージは、指摘されたプロトコルのリスン ポートで変更がシグナリングされたときに表示されます。そのポートに対してイネーブルなすべてのインターフェイスでリスン チャネルが閉じられ、新規ポートでリスンが再開されます。これは、CLI から呼び出されます。 old_port は設定された古いポート番号で、 new_port は新しく設定されたポート番号です。 protocol は電子メール プロトコル タイプ(たとえば、POP3、IMAP、SMTP)です。
719015
エラー メッセージ %ASA-7-719015: Parsed emailproxy session pointer from source_address username: mailuser = mail_user , vpnuser = VPN_user , mailserver = server説明 このメッセージは、ユーザ名ストリングが vpnuser(名前デリミタ)mailuser(サーバデリミタ)mailserver の形式でクライアントから受信されたときに表示されます(たとえば、xxx:yyy@cisco.com)。名前デリミタはオプションです。デリミタがない場合は、VPN ユーザ名とメール ユーザ名が同じです。サーバ デリミタはオプションです。存在しない場合、これはデフォルト設定のメール サーバが使用されることを意味します。 pointer はセッション構造のポインタで、 source_address は電子メール プロキシ クライアントの IP アドレスです。mail_user は電子メール アカウント ユーザ名で、 VPN_user は WebVPN ユーザ名です。 server は電子メール サーバです。
719016
エラー メッセージ %ASA-7-719016: Parsed emailproxy session pointer from source_address password: mailpass = ******, vpnpass= ******説明 このメッセージは、パスワード ストリングが vpnpass(名前デリミタ)mailpassr の形式でクライアントから受信されたときに表示されます(たとえば、xxx:yyy)。名前デリミタはオプションです。デリミタがない場合は、VPN パスワードとメール パスワードが同じです。 pointer はセッション構造のポインタで、 source_address は電子メール プロキシ クライアントの IP アドレスです。
719017
エラー メッセージ %ASA-6-719017: WebVPN user: vpnuser invalid dynamic ACL.説明 このメッセージは、アクセス コントロール リストがこのユーザを解析できなかったため、WebVPN セッションが中断されたときに表示されます。ACL は、どのようなユーザ制限が電子メール アカウントのアクセスにかけられているのかを判別します。ACL は AAA サーバからダウンロードされます。このエラーのため、ログインの続行は安全ではありません。 vpnuser は WebVPN ユーザ名です。
719018
エラー メッセージ %ASA-6-719018: WebVPN user: vpnuser ACL ID acl_ID not found説明 このメッセージは、ローカルで保持されている ACL リストでアクセス コントロール リストが見つからなかったときに表示されます。ACL は、どのようなユーザ制限が電子メール アカウントのアクセスにかけられているのかを判別します。ACL はローカルで設定されます。このエラーのため、続行は認可されません。 vpnuser は WebVPN ユーザ名で、 acl_ID はローカルで設定された ACL 識別ストリングです。
719019
エラー メッセージ %ASA-6-719019: WebVPN user: vpnuser authorization failed.説明 このメッセージは、ACL によって、電子メール アカウントのアクセスにどのようなユーザ制限があるかが判定された場合に表示されます。認可チェックの失敗のため、ユーザが電子メール アカウントにアクセスできません。 vpnuser は WebVPN ユーザ名です。
719020
エラー メッセージ %ASA-6-719020: WebVPN user vpnuser authorization completed successfully.説明 このメッセージは、ACL によって、電子メール アカウントのアクセスにどのようなユーザ制限があるかが判定された場合に表示されます。ユーザは、電子メール アカウントへのアクセスを認可されます。 vpnuser は WebVPN ユーザ名です。
719021
エラー メッセージ %ASA-6-719021: WebVPN user: vpnuser is not checked against ACL.説明 このメッセージは、ACL によって、電子メール アカウントのアクセスにどのようなユーザ制限があるかが判定された場合に表示されます。ACL を使用した認可チェックがイネーブルになっていません。 vpnuser は WebVPN ユーザ名です。
719022
エラー メッセージ %ASA-6-719022: WebVPN user vpnuser has been authenticated.説明 このメッセージは、ユーザ名が AAA サーバによって認証されたときに表示されます。 vpnuser は WebVPN ユーザ名です。
719023
エラー メッセージ %ASA-6-719023: WebVPN user vpnuser has not been successfully authenticated. Access denied.説明 このメッセージは、ユーザ名が AAA サーバによって拒否されたときに表示されます。セッションは中断されます。ユーザは、電子メール アカウントへのアクセスを許可されません。 vpnuser は WebVPN ユーザ名です。
719024
エラー メッセージ %ASA-6-719024: Email Proxy piggyback auth fail: session = pointer user= vpnuser addr= source_address説明 このメッセージは、Piggyback 認証が、確立された WebVPN セッションを使用して WebVPN セッション データベースでユーザ名と IP アドレスの一致を検証しているときに表示されます。これは、WebVPN セッションと電子メール プロキシ セッションが同じユーザによって開始され、WebVPN セッションがすでに確立されているという想定に基づいています。認証が失敗したため、セッションは中断されます。ユーザは、電子メール アカウントへのアクセスを許可されません。 pointer はセッション構造のポインタで、 vpnuser は WebVPN ユーザ名で、 source_address はクライアントの IP アドレスです。
719025
エラー メッセージ %ASA-6-719025: Email Proxy DNS name resolution failed for hostname .説明 このメッセージは、IP アドレスが有効でないか、使用可能な DNS サーバがないため、IP アドレスでホスト名を解決できないときに表示されます。 hostname は、解決する必要のあるホスト名です。
719026
エラー メッセージ %ASA-6-719026: Email Proxy DNS name hostname resolved to IP_address .説明 このメッセージは、IP アドレスでホスト名が正常に解決されたときに表示されます。 hostname は解決する必要のあるホスト名で、 IP_address は設定したメール サーバ名から解決された IP アドレスです。
720001
エラー メッセージ %ASA-4-720001: (VPN- unit ) Failed to initialize with Chunk Manager.説明 このメッセージは、VPN フェールオーバー サブシステムがメモリ バッファ管理サブシステムで初期化できなかったときに表示されます。 unit は「Primary」または「Secondary」です。
推奨処置 このメッセージは、システム全体の問題と、VPN フェールオーバー サブシステムを開始できないことを示しています。システム ログ メッセージを検索し、システム レベルで初期化の問題の兆候がないか調べます。
720002
エラー メッセージ %ASA-6-720002: (VPN- unit ) Starting VPN Stateful Failover Subsystem...説明 このメッセージは、VPN フェールオーバー サブシステムが開始していて、システムが起動するときに表示されます。 unit は「Primary」または「Secondary」です。
720003
エラー メッセージ %ASA-6-720003: (VPN- unit ) Initialization of VPN Stateful Failover Component completed successfully説明 このメッセージは、ブート時に VPN フェールオーバー サブシステムの初期化が完了したときに表示されます。 unit は「Primary」または「Secondary」です。
720004
エラー メッセージ %ASA-6-720004: (VPN- unit ) VPN failover main thread started.説明 このメッセージは、ブート時に VPN フェールオーバーのメイン処理スレッドが開始されたときに表示されます。 unit は「Primary」または「Secondary」です。
720005
エラー メッセージ %ASA-6-720005: (VPN- unit ) VPN failover timer thread started.説明 このメッセージは、ブート時に VPN フェールオーバーのタイマー処理スレッドが開始されたときに表示されます。 unit は「Primary」または「Secondary」です。
720006
エラー メッセージ %ASA-6-720006: (VPN- unit ) VPN failover sync thread started.説明 このメッセージは、ブート時にシステムのバルク同期化処理スレッドが開始されたときに表示されます。 unit は「Primary」または「Secondary」です。
720007
エラー メッセージ %ASA-4-720007: (VPN- unit ) Failed to allocate chunk from Chunk Manager.説明 このメッセージは、事前に割り当てられたメモリ バッファのセットがなくなりつつあるときに表示されます。 unit は「Primary」または「Secondary」です。
推奨処置 このメッセージは、リソースの問題を示しています。処理されているメッセージの数が多すぎる場合は、システムに重い負荷がかかっている可能性があります。この状態は、後で VPN フェールオーバー サブシステムが顕著なメッセージを処理し、前に割り当てられたメモリを解放したときに改善される可能性があります。
720008
エラー メッセージ %ASA-4-720008: (VPN- unit ) Failed to register to High Availability Framework.説明 このメッセージは、VPN フェールオーバー サブシステムがコア フェールオーバー サブシステムに登録できなかったときに表示されます。 unit は「Primary」または「Secondary」です。
推奨処置 VPN フェールオーバー サブシステムを起動できません。他のサブシステムの初期化の問題が原因となっている可能性があります。システム ログ メッセージを検索し、システム全体で初期化の問題の兆候がないか調べます。
720009
エラー メッセージ %ASA-4-720009: (VPN-unit) Failed to create version control block.説明 このメッセージは、VPN フェールオーバー サブシステムがバージョン コントロール ブロックを作成できなかった場合に表示されます。このステップは、VPN フェールオーバー サブシステムが、現在のリリースの下位互換性ファームウェア バージョンを検出するために必要です。 unit は「Primary」または「Secondary」です。
推奨処置 VPN フェールオーバー サブシステムを起動できません。他のサブシステムの初期化の問題が原因となっている可能性があります。システム ログ メッセージを検索し、システム全体で初期化の問題の兆候がないか調べます。
720010
エラー メッセージ %ASA-6-720010: (VPN- unit ) VPN failover client is being disabled説明 このメッセージは、フェールオーバー キーを定義しないでフェールオーバーをイネーブルにすると表示されます。VPN フェールオーバーを使用するには、フェールオーバー キーを定義する必要があります。 unit は「Primary」または「Secondary」です。
720011
エラー メッセージ %ASA-4-720011: (VPN- unit ) Failed to allocate memory説明 このメッセージは、VPN フェールオーバー サブシステムがメモリ バッファを割り当てられないときに表示されます。これは、システム全体のリソースの問題を示しています。 unit は「Primary」または「Secondary」です。
推奨処置 システムには重い負荷がかかっています。この状態は、着信トラフィックを削減することによってシステムの負荷を減らすと改善される可能性があります。着信トラフィックを削減することによって、既存の作業負荷を処理するために割り当てられたメモリが使用可能になり、システムが通常のオペレーションに戻る可能性があります。
720012
エラー メッセージ %ASA-6-720012: (VPN- unit ) Failed to update IPSec failover runtime data on the standby unit.説明 このメッセージは、対応する IPSec トンネルがスタンバイ装置で削除されているため、VPN フェールオーバー サブシステムが IPSec 関連のランタイム データを更新できないときに表示されます。 unit は「Primary」または「Secondary」です。
720013
エラー メッセージ %ASA-4-720013: (VPN-unit) Failed to insert certificate in trust point trustpoint_name説明 このメッセージは、VPN フェールオーバー サブシステムがトラストポイントに証明書を挿入しようとしたときに表示されます。 unit は「Primary」または「Secondary」で、 trustpoint_name はトラストポイントの名前です。
720014
エラー メッセージ %ASA-6-720014: (VPN- unit ) Phase 2 connection entry (msg_id= message_number , my cookie= mine , his cookie= his ) contains no SA list.説明 このメッセージは、フェーズ 2 接続エントリにリンクされたセキュリティ アソシエーションがないときに表示されます。 unit は「Primary」または「Secondary」です。 message_number はフェーズ 2 接続エントリのメッセージ ID で、 mine は自分のフェーズ 1 クッキーで、 his はピアのフェーズ 1 クッキーです。
720015
エラー メッセージ %ASA-6-720015: (VPN- unit ) Cannot found Phase 1 SA for Phase 2 connection entry (msg_id= message_number ,my cookie= mine , his cookie= his ).説明 このメッセージは、所定のフェーズ 2 接続エントリに対して対応するフェーズ 1 セキュリティ アソシエーションが見つからないときに表示されます。 unit は「Primary」または「Secondary」です。 message_number はフェーズ 2 接続エントリのメッセージ ID で、 mine は自分のフェーズ 1 クッキーで、 his はピアのフェーズ 1 クッキーです。
720016
エラー メッセージ %ASA-5-720016: (VPN-unit) Failed to initialize default timer # index .説明 このメッセージは、VPN フェールオーバー サブシステムが所定のタイマー イベントを初期化できなかったときに表示されます。 unit は「Primary」または「Secondary」、 index はタイマー イベントの内部インデックスです。
推奨処置 ブート時に VPN フェールオーバー サブシステムを起動できません。システム ログ メッセージを検索し、システム全体で初期化の問題の兆候がないか調べます。
720017
エラー メッセージ %ASA-5-720017: (VPN- unit ) Failed to update LB runtime data説明 このメッセージは、VPN フェールオーバー サブシステムが VPN ロードバランシング ランタイム データを更新できないときに表示されます。 unit は「Primary」または「Secondary」です。
720018
エラー メッセージ %ASA-5-720018: (VPN- unit ) Failed to get a buffer from the underlying core high availability subsystem. Error code code.説明 このメッセージは、システムに重い負荷がかかっている可能性があるときに表示されます。VPN フェールオーバー サブシステムがフェールオーバー バッファを取得できませんでした。 unit は「Primary」または「Secondary」で、 code は高可用性のサブシステムによって戻されるエラー コードです。
推奨処置 着信トラフィックの量を減らし、現在の負荷状態を改善します。着信トラフィックが減ると、システムは着信の負荷を処理するために割り当てられたメモリを解放します。
720019
エラー メッセージ %ASA-5-720019: (VPN- unit ) Failed to update cTCP statistics.説明 このメッセージは、VPN フェールオーバー サブシステムが IPSec/cTCP 関連の統計を更新できないときに表示されます。 unit は「Primary」または「Secondary」です。
推奨処置 不要です。更新は定期的に送信されるので、スタンバイ装置の IPSec/cTCP 統計は次の更新メッセージで更新されます。
720020
エラー メッセージ %ASA-5-720020: (VPN- unit ) Failed to send type timer message.説明 このメッセージは、VPN フェールオーバー サブシステムが定期的なタイマー メッセージをスタンバイ装置に送信しなかった場合に表示されます。 unit は「Primary」または「Secondary」で、 type はタイマー メッセージのタイプです。
720021
エラー メッセージ %ASA-5-720021: (VPN- unit ) HA non-block send failed for peer msg message_number . HA error code .説明 VPN フェールオーバー サブシステムが非ブロック メッセージを送信できません。
unit :「Primary」または「Secondary」。
message_number :ピア メッセージの ID 番号。
推奨処置 これは、負荷のかかったシステムまたはシステム外のリソースによって引き起こされる一時的な状態です。より多くのシステム リソースが解放されるにつれ、システムの状態は改善されます。
720022
エラー メッセージ %ASA-4-720022: (VPN- unit ) Cannot find trust point trustpoint説明 VPN フェールオーバー サブシステムがトラストポイントを名前で検索しようとすると、エラーが発生します。
720023
エラー メッセージ %ASA-6-720023: (VPN- unit ) HA status callback: Peer is not present.説明 これは情報メッセージです。ピアが使用可能または使用不可になったことをローカル装置が検出すると、VPN フェールオーバー サブシステムがコア フェールオーバー サブシステムから通知を受けます。
720024
エラー メッセージ %ASA-6-720024: (VPN- unit ) HA status callback: Control channel is status .説明 これは、フェールオーバーコントロール チャネルが「up」か「down」かを示す情報メッセージです。フェールオーバーコントロール チャネルは、フェールオーバー リンク チャネルが「up」か「down」かを示す failover link コマンドと show failover コマンドによって定義されます。
720025
エラー メッセージ %ASA-6-720025: (VPN- unit ) HA status callback: Data channel is status .説明 これは、フェールオーバー データ チャネルがアップかダウンかを示す情報メッセージです。
720026
エラー メッセージ %ASA-6-720026: (VPN- unit ) HA status callback: Current progression is being aborted.説明 このメッセージが生成されるのは、オペレータまたはその他の外部条件が適用され、フェールオーバー ピアが役割(アクティブまたはスタンバイ)に合意する前に現在のフェールオーバーの進行が中断された場合だけです。たとえば、ネゴシエーション中にスタンバイ装置で failover active コマンドが入力された場合などです。あるいは、アクティブ装置がリブートされている場合もそうです。
720027
エラー メッセージ %ASA-6-720027: (VPN- unit ) HA status callback: My state state .説明 この情報メッセージは、ローカル フェールオーバー装置の状態が変わるたびに生成されます。
720028
エラー メッセージ %ASA-6-720028: (VPN- unit ) HA status callback: Peer state state .unit :「Primary」または「Secondary」。
720029
エラー メッセージ %ASA-6-720029: (VPN- unit ) HA status callback: Start VPN bulk sync state.unit :「Primary」または「Secondary」。
説明 これは、アクティブ装置がすべての状態情報をスタンバイ装置へ送信する準備ができたときに生成される情報メッセージです。
720030
エラー メッセージ %ASA-6-720030: (VPN- unit ) HA status callback: Stop bulk sync state.unit :「Primary」または「Secondary」。
720031
エラー メッセージ %ASA-7-720031: (VPN- unit ) HA status callback: Invalid event received. event= event_ID .説明 このメッセージは、VPN フェールオーバー サブシステムが、基礎となるフェールオーバー サブシステムから無効なコールバック イベントを受信した場合に生成されます。
unit :「Primary」または「Secondary」。
720032
エラー メッセージ %ASA-6-720032: (VPN- unit ) HA status callback: id= ID , seq= sequence_# , grp= group , event= event , op= operand , my= my_state , peer= peer_state .説明 これは、基礎となるフェールオーバー サブシステムが状態の更新を通知したときに VPN フェールオーバー サブシステムによって生成される情報メッセージです。
720033
エラー メッセージ %ASA-4-720033: (VPN- unit ) Failed to queue add to message queue.説明 このメッセージは、システム リソースが低下している可能性があることを示しています。VPN フェールオーバー サブシステムが内部メッセージをキューに入れようとすると、エラーが発生します。
unit :「Primary」または「Secondary」。
推奨処置 これは、システムに重い負荷がかかっており、VPN フェールオーバー サブシステムが着信トラフィックを処理するためのリソースを割り当てられないことを示す一時的な状態である可能性があります。このエラーは、システムの現在の負荷が減り、新規メッセージを再び処理するために追加のシステム リソースを使用できるようになると、解決する可能性があります。
720034
エラー メッセージ %ASA-7-720034: (VPN- unit ) Invalid type ( type ) for message handler.説明 VPN フェールオーバー サブシステムが無効なメッセージ タイプを処理しようとすると、エラーが発生します。
720035
エラー メッセージ %ASA-5-720035: (VPN- unit ) Fail to look up CTCP flow handle説明 VPN フェールオーバー サブシステムが検索を実行する前に、スタンバイ装置で cTCP フローが削除される可能性があります。
unit :「Primary」または「Secondary」。
推奨処置 cTCP フローが削除される兆候をシステム ログ メッセージで検索して、フローが削除された理由(たとえば、アイドル タイムアウト)を判別します。
720036
エラー メッセージ %ASA-5-720036: (VPN- unit ) Failed to process state update message from the active peer.説明 スタンバイ装置によって受信された状態更新メッセージを VPN フェールオーバー サブシステムが処理しようとすると、エラーが発生します。
720037
エラー メッセージ %ASA-6-720037: (VPN- unit ) HA progression callback: id= id ,seq= sequence_number ,grp= group ,event= event ,op= operand , my= my_state ,peer= peer_state .unit :「Primary」または「Secondary」。
720038
エラー メッセージ %ASA-4-720038: (VPN- unit ) Corrupted message from active unit.説明 スタンバイ装置が、アクティブ装置から破損したメッセージを受信します。アクティブ装置からのメッセージが破損しています。これは、アクティブ装置とスタンバイ装置の間で互換性のないファームウェアを実行していることによって引き起こされる可能性があります。
720039
エラー メッセージ %ASA-6-720039: (VPN- unit ) VPN failover client is transitioning to active state説明 これは、ローカル装置がフェールオーバー ペアのアクティブ装置になったことを示す情報メッセージです。
720040
エラー メッセージ %ASA-6-720040: (VPN- unit ) VPN failover client is transitioning to standby state.説明 これは、ローカル装置がフェールオーバー ペアのスタンバイ装置になったことを示す情報メッセージです。
720041
エラー メッセージ %ASA-7-720041: (VPN- unit ) Sending type message id to standby unit説明 これは、アクティブ装置からスタンバイ装置へメッセージが送信されたことを示すデバッグ メッセージです。
720042
エラー メッセージ %ASA-7-720042: (VPN- unit ) Receiving type message id from active unit説明 これは、スタンバイ装置によってメッセージが受信されたことを示すデバッグ メッセージです。
720043
エラー メッセージ %ASA-4-720043: (VPN- unit ) Failed to send type message id to standby unit説明 VPN フェールオーバー サブシステムがアクティブ装置からスタンバイ装置へメッセージを送信しようとしたときに、エラーが発生しました。コア フェールオーバー サブシステムでフェールオーバー バッファが不足するか、フェールオーバー LAN リンクがダウンする 720018 によって引き起こされる可能性があります。
unit :「Primary」または「Secondary」。
推奨処置 show failover コマンドを使用して、フェールオーバー ペアが良好な状態で動作していることと、フェールオーバー LAN リンクが「up」であることを確認します。
720044
エラー メッセージ %ASA-4-720044: (VPN- unit ) Failed to receive message from active unit説明 VPN フェールオーバー サブシステムがスタンバイ装置でメッセージを受信しようとすると、エラーが発生します。これは、破損したメッセージや着信メッセージの保存に割り当てるメモリの不足によって引き起こされる可能性があります。
unit :「Primary」または「Secondary」。
推奨処置 show failover コマンドを使用して、受信エラーを検索し、これが VPN フェールオーバー特有の問題か一般的なフェールオーバーの問題かを判別します。破損したメッセージは、アクティブ装置とスタンバイ装置で互換性のないファームウェア バージョンを実行していることによって生じる可能性があります。 show memory コマンドを使用して、メモリ低下状態があるかどうかを判別します。
720045
エラー メッセージ %ASA-6-720045: (VPN- unit ) Start bulk syncing of state information on standby unit.説明 これは、アクティブ装置からバルク同期化情報を受信し始めたことをスタンバイ装置に通知したことを示す情報メッセージです。
720046
エラー メッセージ %ASA-6-720046: (VPN- unit ) End bulk syncing of state information on standby unit説明 これは、アクティブ装置からのバルク同期化が完了したことをスタンバイ装置に通知したことを示す情報メッセージです。
720047
エラー メッセージ %ASA-4-720047: (VPN- unit ) Failed to sync SDI node secret file for server IP_address on the standby unit.説明 VPN フェールオーバー サブシステムがスタンバイ装置で SDI サーバ用のノード シークレット ファイルを同期しようとしたときに、エラーが発生しました。SDI ノード シークレット ファイルは、フラッシュに格納されています。このエラーは、フラッシュ ファイル システムがいっぱいか、破損していることを示している可能性があります。
unit :「Primary」または「Secondary」。
推奨処置 dir コマンドを使用して、フラッシュの内容を表示します。ノード シークレット ファイルの名前は「 ip .sdi」です。
720048
エラー メッセージ %ASA-7-720048: (VPN- unit ) FSM action trace begin: state=state, last event= event , func= function .unit :「Primary」または「Secondary」。
説明 これは、VPN フェールオーバー サブシステムの有限状態マシン機能が開始されたことを示すデバッグ メッセージです。
720049
エラー メッセージ %ASA-7-720049: (VPN- unit ) FSM action trace end: state=state, last event= event , return= return , func= function .説明 これは、VPN フェールオーバー サブシステムの有限状態マシン機能が完了したことを示すデバッグ メッセージです。
720050
エラー メッセージ %ASA-7-720050: (VPN- unit ) Failed to remove timer. ID = id .説明 これは、タイマー処理スレッドからタイマーを削除できないことを示すデバッグ メッセージです。
720051
エラー メッセージ %ASA-4-720051: (VPN- unit ) Failed to add new SDI node secret file for server id on the standby unit.説明 VPN フェールオーバー サブシステムがスタンバイ装置で SDI サーバ用のノード シークレット ファイルを追加しようとしたときに、エラーが発生しました。SDI ノード シークレット ファイルは、フラッシュに格納されています。このエラーは、フラッシュ ファイル システムがいっぱいか、破損していることを示している可能性があります。
unit :「Primary」または「Secondary」。
推奨処置 dir コマンドを入力して、フラッシュの内容を表示します。ノード シークレット ファイルの名前は「 ip .sdi」です。
720052
エラー メッセージ %ASA-4-720052: (VPN- unit ) Failed to delete SDI node secret file for server id on the standby unit.説明 VPN フェールオーバー サブシステムがアクティブ装置でノード シークレット ファイルを削除しようとしたときに、エラーが発生しました。削除しようとしているノード シークレット ファイルがフラッシュ ファイル システム内に存在しないか、フラッシュ ファイル システムの読み取りに問題がある可能性があります。
unit :「Primary」または「Secondary」。
推奨処置 dir コマンドを使用して、フラッシュの内容を表示します。ノード シークレット ファイルの名前は「 ip .sdi」です。
720053
エラー メッセージ %ASA-4-720053: (VPN- unit ) Failed to add cTCP IKE rule during bulk sync, peer= IP_address , port= port説明 VPN フェールオーバー サブシステムがバルク同期化中にスタンバイ装置で cTCP IKE ルールをロードしようとすると、エラーが発生します。
720054
エラー メッセージ %ASA-4-720054: (VPN- unit ) Failed to add new cTCP record, peer= IP_address , port= port .説明 cTCP レコードがスタンバイに複製され、更新できません。対応する IPSec over cTCP トンネルがフェールオーバー後に機能していない可能性があります。
unit :「Primary」または「Secondary」。
推奨処置 cTCP データベースがいっぱいになっているか、同じピア IP アドレスとポート番号を持つレコードがすでに存在している可能性があります。これは、一時的な状態であり、改善される可能性があります。
720055
エラー メッセージ %ASA-4-720055: (VPN- unit ) VPN Stateful failover can only be run in single/non-transparent mode.説明 シングル(非透過)モードで動作していない場合は、このメッセージが表示され、VPN サブシステムは開始されません。
720056
エラー メッセージ %ASA-6-720056: (VPN- unit ) VPN Stateful failover Message Thread is being disabled.説明 これは、ユーザがフェールオーバーをイネーブルにしようとしたがフェールオーバー キーが定義されていない場合、VPN フェールオーバー サブシステムのメイン メッセージ処理スレッドがディセーブルになることを示す情報メッセージです。フェールオーバー キーは VPN フェールオーバーに必要です。
720057
エラー メッセージ %ASA-6-720057: (VPN- unit ) VPN Stateful failover Message Thread is enabled.説明 これは、フェールオーバーがイネーブルでフェールオーバー キーが定義されている場合、VPN フェールオーバー サブシステムのメイン メッセージ処理スレッドがイネーブルになることを示す情報メッセージです。
720058
エラー メッセージ %ASA-6-720058: (VPN- unit ) VPN Stateful failover Timer Thread is disabled.説明 これは、フェールオーバー キーが未定義でフェールオーバーがイネーブルである場合、VPN フェールオーバー サブシステムのメイン タイマー処理スレッドがディセーブルになることを示す情報メッセージです。
720059
エラー メッセージ %ASA-6-720059: (VPN- unit ) VPN Stateful failover Timer Thread is enabled.説明 これは、フェールオーバー キーが定義されていてフェールオーバーがイネーブルである場合、VPN フェールオーバー サブシステムのメイン タイマー処理スレッドがイネーブルになることを示す情報メッセージです。
720060
エラー メッセージ %ASA-6-720060: (VPN- unit ) VPN Stateful failover Sync Thread is disabled.説明 これは、フェールオーバーがイネーブルでフェールオーバー キーが定義されていない場合、VPN フェールオーバー サブシステムのメイン バルク同期化処理スレッドがディセーブルになることを示す情報メッセージです。
720061
エラー メッセージ %ASA-6-720061: (VPN- unit ) VPN Stateful failover Sync Thread is enabled.説明 これは、フェールオーバーがイネーブルでフェールオーバー キーが定義されている場合、VPN フェールオーバー サブシステムのメイン バルク同期化処理スレッドがイネーブルになることを示す情報メッセージです。
720062
エラー メッセージ %ASA-6-720062: (VPN- unit ) Active unit started bulk sync of state information to standby unit.説明 これは、VPN フェールオーバー サブシステムのアクティブ装置がスタンバイ装置への状態情報のバルク同期化を開始したことを示す情報メッセージです。
720063
エラー メッセージ %ASA-6-720063: (VPN- unit ) Active unit completed bulk sync of state information to standby.説明 これは、VPN フェールオーバー サブシステムのアクティブ装置がスタンバイ装置への状態情報のバルク同期化を完了したことを示す情報メッセージです。
720064
エラー メッセージ %ASA-4-720064: (VPN- unit ) Failed to update cTCP database record for peer= IP_address , port= port during bulk sync.説明 VPN フェールオーバー サブシステムがバルク同期化中に既存の cTCP レコードを更新しようとしたときに、エラーが発生しました。cTCP レコードが見つかりません。スタンバイ装置で cTCP データベースから削除された可能性があります。
720065
エラー メッセージ %ASA-4-720065: (VPN- unit ) Failed to add new cTCP IKE rule, peer= peer , port= port .説明 VPN フェールオーバー サブシステムがスタンバイ装置で cTCP データベース エントリ用の新規 IKE ルールを追加しようとすると、エラーが発生します。
unit :「Primary」または「Secondary」。
推奨処置 システムに重い負荷がかかっていて、cTCP IKE ルールの追加要求がタイムアウトになり、完了しない可能性があります。これは一時的な状態である可能性があります。
720066
エラー メッセージ %ASA-4-720066: (VPN- unit ) Failed to activate IKE database.説明 スタンバイ装置がアクティブな状態に移行しているときにVPN フェールオーバー サブシステムが IKE セキュリティ アソシエーション データベースをアクティブにしようとして、エラーが発生しました。スタンバイ装置に、IKE セキュリティ アソシエーション データベースがアクティブになることを妨げるリソース関連の問題がある可能性があります。
unit :「Primary」または「Secondary」。
推奨処置 show failover コマンドを使用してフェールオーバー ペアが良好な状態にあるかどうかを確認し、syslog でその他の IKE 関連エラーを検索します。
720067
エラー メッセージ %ASA-4-720067: (VPN- unit ) Failed to deactivate IKE database.説明 アクティブ装置がスタンバイ状態に移行しているときにVPN フェールオーバー サブシステムが IKE セキュリティ アソシエーション データベースを非アクティブにしようとして、エラーが発生しました。アクティブ装置に、IKE セキュリティ アソシエーション データベースが非アクティブになることを妨げるリソース関連の問題がある可能性があります。
unit :「Primary」または「Secondary」。
推奨処置 show failover コマンドを入力してフェールオーバー ペアが良好な状態にあるかどうかを確認し、syslog で IKE 関連エラーを検索します。
720068
エラー メッセージ %ASA-4-720068: (VPN- unit ) Failed to parse peer message.説明 VPN フェールオーバー サブシステムがスタンバイ装置でピア メッセージを解析しようとすると、エラーが発生します。
unit :「Primary」または「Secondary」。
推奨処置 スタンバイ装置で受信されたピア メッセージを解析できません。アクティブ装置とスタンバイ装置の両方で同じバージョンのファームウェアが実行されていることを確認します。また、 show failover コマンドを使用して、フェールオーバー ペアが良好な状態にあることも確認します。
720069
エラー メッセージ %ASA-4-720069: (VPN- unit ) Failed to activate cTCP database.説明 スタンバイ装置がアクティブな状態に移行しているときにVPN フェールオーバー サブシステムが cTCP データベースをアクティブにしようとして、エラーが発生しました。スタンバイ装置に、cTCP データベースがアクティブになることを妨げるリソース関連の問題がある可能性があります。
unit :「Primary」または「Secondary」。
推奨処置 show failover コマンドを入力してフェールオーバー ペアが良好な状態にあるかどうかを確認し、syslog でその他の cTCP 関連エラーを検索します。
720070
エラー メッセージ %ASA-4-720070: (VPN- unit ) Failed to deactivate cTCP database.説明 アクティブ装置がスタンバイ状態に移行しているときにVPN フェールオーバー サブシステムが cTCP データベースを非アクティブにしようとして、エラーが発生しました。アクティブ装置に、cTCP データベースが非アクティブになることを妨げるリソース関連の問題がある可能性があります。
unit :「Primary」または「Secondary」。
推奨処置 show failover コマンドを使用してフェールオーバー ペアが良好な状態にあるかどうかを確認し、syslog で cTCP 関連エラーを検索します。
720071
エラー メッセージ %ASA-5-720071: (VPN- unit ) Failed to update cTCP dynamic data.説明 VPN フェールオーバー サブシステムが cTCP 動的データを更新しようとしたときに、エラーが発生しました。
unit :「Primary」または「Secondary」。
説明 これは一時的な状態である可能性があります。これは定期的な更新なので、同じエラーが発生するかどうか注意します。また、syslog でその他のフェールオーバー関連メッセージを検索します。
720072
エラー メッセージ %ASA-4-720072: (VPN- unit ) Cannot find trust point tp説明 VPN フェールオーバー サブシステムがトラストポイントを名前で検索しようとすると、エラーが発生します。
unit :「Primary」または「Secondary」。
推奨処置 トラストポイントはオペレータによって削除された可能性があります。 show crypto ca trustpoint CLI を使用して、トラストポイントがコンフィギュレーション内に存在するかどうかを確認します。
720073
エラー メッセージ %ASA4-720073: (VPN- unit ) Fail to insert certificate in trust point trustpoint on the standby unit.説明 VPN フェールオーバー サブシステムがトラストポイントに証明書を挿入しようとすると、エラーが発生します。このエラーは、証明書の無効な内容によって生じた可能性があります。
unit :「Primary」または「Secondary」。
推奨処置 アクティブ装置で「write standby」を実行し、証明書を手動でスタンバイ装置に複製します。システム ログ メッセージを検索して、フェールオーバー/PKI 関連のエラーがあるかどうかを確認します。
フィードバック