ASA CX および Cisco Prime Security Manager コマンド リファレ
ンス
シスコシステムズ合同会社
〒107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワー
http://www.cisco.com/jp
お問い合わせ先：シスコ コンタクトセンター
0120-092-255 （フリーコール、携帯・PHS含む）
電話受付時間：平日 10:00～12:00、13:00～17:00
http://www.cisco.com/jp/go/contactcenter/
Text Part Number: OL-26836-02-J
【注意】シスコ製品をご使用になる前に、安全上の注意（ www.cisco.com/jp/go/safety_warning/ ）
をご確認ください。本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきま
しては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更され
ている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容
については米国サイトのドキュメントを参照ください。また、契約等の記述については、弊社販
売パートナー、または、弊社担当者にご確認ください。
このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。 このマニュアルに記載されている表現、情報、および推奨
事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。 このマニュアルに記載されている製品の使用
は、すべてユーザ側の責任になります。
対象製品のソフトウェア ライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。 添付されていない場合には、代理店にご連絡く
ださい。
The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain version
of the UNIX operating system. All rights reserved. Copyright © 1981, Regents of the University of California.
ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。 シスコお
よびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する保証
をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。
いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめとする、
間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一切負わないものと
します。
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: http://
www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership
relationship between Cisco and any other company. (1110R)
このマニュアルで使用している IP アドレスは、実際のアドレスを示すものではありません。 マニュアル内の例、コマンド出力、および図は、説明のみを目的として使
用されています。 説明の中に実際のアドレスが使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2011-2012
Cisco Systems, Inc. All rights reserved.
目次
はじめに vii
対象読者 vii
関連資料 vii
表記法 vii
マニュアルの入手方法およびテクニカル サポート ix
コマンドライン インターフェイス（CLI）の使用方法 1
コマンド コンテキスト モード 1
構文の書式 1
コマンドの入力 2
コマンドのヘルプ 2
a ～ h コマンド 5
clear 6
config advanced 8
config backup 10
config mgmt-interface 12
config ntp 14
config passwd 16
config reset 18
config restore 20
config time 23
config timezone 25
delete 27
exit 29
format 30
help 32
i ～ show ntp コマンド 35
nslookup 36
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
iii
目次
partition 38
ping 41
services 43
setup 45
show autorestart status 51
show diskusage 52
show dns 54
show hostname 56
show hosts 57
show interfaces 59
show netstat 62
show ntp 66
show opdata ～ show raid コマンド 71
show opdata adisessions 72
show opdata arptable 74
show opdata blocks 76
show opdata connections 81
show opdata flowdrop 84
show opdata framedrop 100
show opdata interface 131
show opdata policy 136
show opdata summary 140
show partitions 142
show platform hardware 144
show platform software 146
show raid 148
show route ～ z コマンド 153
show route 154
show services status 156
show tech-support 158
show time 160
show version 162
support diagnostic 164
support fsck 168
support list 170
ASA CX および Cisco Prime Security Manager コマンド リファレンス
iv
OL-26836-02-J
目次
support tail logs 172
support validatedb 174
support view logs 175
system reload 177
system revert 179
system shutdown 181
system upgrade、system install 183
traceroute 186
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
v
目次
ASA CX および Cisco Prime Security Manager コマンド リファレンス
vi
OL-26836-02-J
はじめに
「はじめに」で説明する内容は、次のとおりです。
• 対象読者, vii ページ
• 関連資料, vii ページ
• 表記法, vii ページ
• マニュアルの入手方法およびテクニカル サポート, ix ページ
対象読者
このマニュアルは、セキュリティ インフラストラクチャをインストール、設定、展開、および管
理するネットワーク担当者およびセキュリティ担当者を対象とします。
関連資料
次のマニュアル ロード マップを使用して関連資料を見つけてください。
• Finding ASA CX and Cisco Prime Security Manager Documentation
http://www.cisco.com/en/US/docs/security/asacx/roadmap/asacxprsmroadmap.html
• 『Navigating the Cisco ASA 5500 Series Documentation』
http://www.cisco.com/en/US/docs/security/asa/roadmap/asaroadmap.html
表記法
このマニュアルでは、次の表記法を使用しています。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
vii
はじめに
表記法
表記法
用途
コマンド
[Menu] > [Menu Item]
コマンド、キーワード、フィールド名、およびユーザ入
力テキストは、Bold で示しています。 メニューベース
コマンドの場合は、メニュー項目を [ ] で囲み、コマンド
のフル パスを示しています。
variable
ユーザが値を指定する変数は、Italic 体で示しています。
Italic 体は、マニュアル タイトルと一般的な強調にも使用
されています。
[]
角カッコの中の要素は、省略可能です。
{x | y | z}
必ずいずれか1つを選択しなければならない必須キーワー
ドは、波カッコで囲み、縦棒で区切って示しています。
[x | y | z]
どれか1つを選択できる省略可能なキーワードは、角カッ
コで囲み、縦棒で区切って示しています。
courier フォント
システムが表示するターミナル セッションおよび情報
は、courier フォントで示しています。
<>
パスワードのように出力されない文字は、山カッコで囲
んで示しています。
[]
システム プロンプトに対するデフォルトの応答は、角
カッコで囲んで示しています。
!、#
コードの先頭に感嘆符（!）またはポンド記号（#）があ
る場合には、コメント行であることを示します。
読者への警告の表記法
このマニュアルでは、読者への警告に次の表記法を使用しています。
（注）
「注釈」です。 役立つ情報や、このマニュアル以外の参照資料などを紹介しています。
ヒント
「問題解決に役立つ情報」です。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
viii
OL-26836-02-J
はじめに
マニュアルの入手方法およびテクニカル サポート
注意
「要注意」の意味です。 機器の損傷またはデータ損失を予防するための注意事項が記述され
ています。
ワンポイント アドバイス
時間を節約する方法です。 ここに紹介している方法で作業を行うと、時間を短縮できます。
警告
「警告」の意味です。 人身事故を予防するための注意事項が記述されています。
マニュアルの入手方法およびテクニカル サポート
マニュアルの入手方法、テクニカルサポート、その他の有用な情報について、次の URLで、毎月
更新される『What's New in Cisco Product Documentation』を参照してください。シスコの新規およ
び改訂版の技術マニュアルの一覧も示されています。
http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html
『What's New in Cisco Product Documentation』は RSS フィードとして購読できます。また、リー
ダー アプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定するこ
ともできます。 RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.0 をサポー
トしています。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
ix
はじめに
マニュアルの入手方法およびテクニカル サポート
ASA CX および Cisco Prime Security Manager コマンド リファレンス
x
OL-26836-02-J
コマンドラインインターフェイス（CLI）の
使用方法
次のトピックでは、ASA CX および PRSM のシステムのコマンドライン インターフェイス（CLI）
を使用する方法と、コマンド リファレンスの解釈方法について説明します。 基本的なシステム
設定およびトラブルシューティングに CLI を使用します。
• コマンド コンテキスト モード, 1 ページ
• 構文の書式, 1 ページ
• コマンドの入力, 2 ページ
• コマンドのヘルプ, 2 ページ
コマンド コンテキスト モード
次のコンテキストで CLI コマンドを使用できます。
• ASA CX コンソールまたは SSH セッション。
• PRSM VMware コンソールまたは SSH セッション。
ほとんどの場合、コマンドの動作はこれらの製品で同一です。 違いは、コマンドのリファレンス
セクションに説明されています。
ASA とは異なり、個別のコマンド モードはなく、代わりにシングル モードだけがあります。 す
べてのコマンドは、常に使用可能です。
構文の書式
コマンド構文の説明には、次の表記法を使用しています。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
1
コマンドライン インターフェイス（CLI）の使用方法
コマンドの入力
表記法
説明
command
記載されているとおりに入力するコマンドおよびキーワードは、太字で
示しています。
variable
イタリック体の文字は、ユーザが値を指定する引数です。
[x]
省略可能な要素（キーワードまたは引数）は、角カッコで囲んで示して
います。
[x | y]
いずれか 1 つを選択できる省略可能なキーワードや引数は、角カッコで
囲み、縦棒で区切って示しています。
{x | y}
必ずいずれか 1 つを選択しなければならない必須キーワードや引数は、
波カッコで囲み、縦棒で区切って示しています。
[x {y | z}]
省略可能または必須の要素内に、さらに省略可能または必須の選択肢を
含める場合は、角カッコや波カッコを入れ子にして示しています。 角
カッコ内の波カッコと縦棒は、省略可能な要素内で選択すべき必須の要
素を示しています。
コマンドの入力
コンソール ポートまたは SSH セッションを使用してコンソールにログインすると、デバイスの名
前を示すコマンド プロンプトが表示されます。以下にその例を示します。
hostname>
コマンドを実行するには、プロンプトでコマンドを入力して Enter キーを押します。 次のような
追加機能があります。
• コマンドの短縮：ほとんどのコマンドは、コマンド固有の最少の文字列に短縮できます。た
とえば、システム バージョンを表示する show version の代わりに sho v を入力できます。
• コマンド履歴のスクロール：上下矢印キーを使用すると、すでに入力したコマンドをスク
ロールできます。 履歴でコマンドを再入力、または編集して再入力できます。
• コマンドの完成：部分的な文字列を入力してコマンドまたはキーワードを完成させるには、
Tab キーを押します。 コマンドを完成させるには、部分的な文字列が 1 つのコマンドまたは
キーワードに一致する必要があります。
コマンドのヘルプ
次のコマンドを入力すると、コマンドラインからヘルプ情報を利用できます。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
2
OL-26836-02-J
コマンドライン インターフェイス（CLI）の使用方法
コマンドのヘルプ
• help または ?：すべてのコマンドのリストを表示します。
• help コマンド名：コマンドの構文を表示します。
• コマンド名 ?：コマンドのオプションを表示します （例：show ?）。
• string? ：文字列に一致したコマンドまたはキーワードを表示します （例：n?）。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
3
コマンドライン インターフェイス（CLI）の使用方法
コマンドのヘルプ
ASA CX および Cisco Prime Security Manager コマンド リファレンス
4
OL-26836-02-J
a ～ h コマンド
• clear, 6 ページ
• config advanced, 8 ページ
• config backup, 10 ページ
• config mgmt-interface, 12 ページ
• config ntp, 14 ページ
• config passwd, 16 ページ
• config reset, 18 ページ
• config restore, 20 ページ
• config time, 23 ページ
• config timezone, 25 ページ
• delete, 27 ページ
• exit, 29 ページ
• format, 30 ページ
• help, 32 ページ
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
5
a ～ h コマンド
clear
clear
操作およびデバイスの多様な統計情報をクリアするには、さまざまな clear コマンドを使用しま
す。
clear opdata {interface| connections| framedrop| flowdrop| adisessions}
___________________
構文の説明
opdata
さまざまなタイプのデータ プレーン関連の統計情報をクリアするには、
次のキーワードを使用します。
• interface：各ネットワーク インターフェイス カード（NIC）のカウ
ンタをクリアします。
• connections：各 TCP および UDP 接続の接続情報をクリアします。
• framedrop：ドロップされたパケットに関する統計情報をクリアし
ます。
• flowdrop：ドロップされたトラフィック フロー（接続）に関する
統計情報をクリアします。
• adisessions：ユーザの IP アドレス接続のマッピング（ADI セッショ
ン）ディレクトリをクリアします。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
___________________
コマンド履歴
___________________
例
リリース
変更内容
ASA CX Software 9.0(2)
このコマンドが追加されました。
次の例は、clear opdata adisessions コマンドの出力です。結果は他の clear コマンドと似たものに
なります。
hostname>clear opdata adisessions
Cleared sessions
hostname>
ASA CX および Cisco Prime Security Manager コマンド リファレンス
6
OL-26836-02-J
a ～ h コマンド
clear
___________________
関連コマンド
コマンド
説明
show opdata interface
すべてのデータ プレーン インターフェイスの基本的な統計情報を表示
します。
show opdata
connections
現在の TCP および UDP 接続の詳細を表示します。
show opdata framedrop ドロップされたフレーム（パケット）に関する情報を表示します。
show opdata flowdrop
ドロップされたトラフィック フロー（接続）に関する情報を表示しま
す。
show opdata adisessions すべての ADI セッション情報（ユーザの IP アドレス接続のディレクト
リ）を表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
7
a ～ h コマンド
config advanced
config advanced
変更の必要がない通常の状態で ASA CX オプションを設定するには、config advanced コマンドを
使用します。
config advanced {autorestart {on| off}| inspection {on| off}}
___________________
構文の説明
autorestart on|off
自動再起動をイネーブルまたはディセーブルにします。 自動再起動は
フェールオーバーするシステム プロセスを自動的に再起動します。
inspection on|off
HTTP 検査をイネーブルまたはディセーブルにします。 HTTP 検査は、
アプリケーションのフィルタリングなど、高度なトラフィック処理に必
要です。
___________________
コマンド デフォルト
デフォルトでは、自動再起動と HTTP 検査はイネーブルになっています。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
___________________
使用上のガイドライン 自動再起動がイネーブルの場合、システム プロセスが何らかの理由で失敗すると、デバイスは再
起動を試みます。自動再起動を使用すると、デバイスに復元力を持たせることができます。ただ
し、プロセスが正常に再起動できず、問題を回避するためにリブートが要求されると、デバイス
はプロセスを再起動し続けるエンドレスループに陥る場合があります。デバイスが再起動のルー
プに陥った場合は、自動再起動をディセーブルにし、システムをリブートします。 これで問題が
解決しない場合、Cisco のテクニカル サポートまでお問い合わせください
HTTP 検査は、すべての機能が揃ったトラフィック フィルタリングで必要になります。 検査を
ディセーブルにすると、デバイスは従来のファイアウォールのように動作し、アプリケーション
のフィルタリングなどの検査によって取得される属性をフィルタリングしません。 検査設定を変
更すると、すべてのプロセスが再起動されます。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
8
OL-26836-02-J
a ～ h コマンド
config advanced
___________________
例
次に、自動再起動をオフにする例を示します。
hostname> config advanced autorestart off
hostname>
___________________
関連コマンド
コマンド
説明
show autorestart status 自動再起動の現在のステータスを表示します。
show services status
システム プロセスの現在のステータスを表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
9
a ～ h コマンド
config backup
config backup
設定データベースをバック アップするには、config backup コマンドを使用します。
config backup URL
___________________
構文の説明
URL
バックアップを作成する場所の URL です。 パスを含み、ファイル名を含まな
い次のタイプの URL を使用できます。
• ftp://
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン 設定データベースをバック アップするには、backup コマンドを使用します。 バックアップには、
イベントまたはレポート データは含まれません。 バックアップを復元するには、config restore コ
マンドを使用します。
バックアップをコピーする FTP サーバ上のフォルダの URL を指定します。 FTP サーバが匿名ロ
グインをサポートするものの、匿名ユーザにアップロード権限を与えない場合、適切な権限を持
つユーザ名とパスワード（任意）を ftp://ユーザ名[ :パスワード ]@サーバ名/パスの形式で指定し
ます。
バックアップ ファイルの名前には、各コンポーネントが次の順番で示されます。コンポーネント
は下線で区切られ、最後にファイル拡張子として .pkg がつきます。
• システムのタイプ：prsm または cx
ASA CX および Cisco Prime Security Manager コマンド リファレンス
10
OL-26836-02-J
a ～ h コマンド
config backup
• ホスト名
• ソフトウェア バージョン番号
• バックアップが作成された 24 時間表記の日時（month_day_year_hour_minutes_seconds 形式）
たとえば、prsm_prsm-vm_1.0.0_04_02_2012_16_25_30.pkg は、デフォルトのホスト名を使用して、
ソフトウェア バージョン 1.0.0 で、24 時間表記で 2012 年 4 月 2 日の 16 時 25 分 30 秒に作成した、
PRSM マルチ デバイス モードのバックアップの名前です。
PRSM マルチ デバイス モードでは、VMware を使用して仮想コンピュータのスナップショットを
作成し、データベース バックアップを復元するのではなく、これらのスナップショットを復元す
ることもできます。 様々な潜在的な問題から保護するために、両方の技術を使用できます。
注意
___________________
例
バックアップ中に、パスワードをクリアするかどうか尋ねられます。 バックアップを Cisco
Technical Assistance Center などと共有する場合にのみ、パスワードをクリアしてください。 パ
スワードをクリアしたバックアップを復元した場合、すべてのデバイスを PRSM マルチ デバ
イス モード インベントリから削除してから追加し、パスワードをリセットする必要がありま
す。 すべてのモードで、ローカル ユーザ（admin ユーザ以外）、AD/LDAP ディレクトリ、AD
エージェント、シグニチャ アップデータ HTTP プロキシ ユーザ名のすべてのパスワードを定
義する必要があります。 adminユーザとしてログインできるようになるのは、パスワードをク
リアしたデータベースを復元した後です。
次に、データベースのバックアップを作成する例を示します。バックアップメッセージが、作成
されるバックアップ ファイルの名前を示すことに注意してください。
hostname> config backup ftp://10.69.43.239/backups
Starting the database backup process....
Please note that eventing/reporting data will not be backed up
If you are creating a backup to share with others for system Troubleshooting,
you can clear device passwords to maintain security.
A backup with cleared passwords is not suitable for system recovery.
Do you want to clear the passwords in the backup database(y/n)?[n]:n
Uploading file prsm_prsm-vm_1.0.0_04_02_2012_16_25_30.pkg to
ftp://10.69.43.239/backups
You need to authenticate with the server to upload/download file
Username: ftpusername
Password: (typing not displayed)
Uploading the file to /users/admin/backups on the remote server.
Backup of the database is completed.
hostname>
___________________
関連コマンド
コマンド
説明
config reset
データベースを出荷時デフォルト値にリセットします。
config restore
データベース バックアップを復元します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
11
a ～ h コマンド
config mgmt-interface
config mgmt-interface
管理インターフェイスのロギングを設定するには、config mgmt-interface コマンドを使用します。
config mgmt-interface log-drops [enable| disable]
___________________
構文の説明
log-drops [enable |
disable]
ファイアウォールによって管理インターフェイスでドロップされたパケッ
トのロギングをイネーブルにするか、ディセーブルにするかです。 キー
ワードの enable または disable を指定しない場合、ロギングの現在の状態
が表示され、それを変更するかどうか尋ねられます。
___________________
コマンド デフォルト
デフォルトでは、log-drops はディセーブルです。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(2)
このコマンドが追加されました。
PRSM 9.0(2)
___________________
使用上のガイドライン 管理インターフェイスのドロップされたパケットのロギングをイネーブルまたはディセーブルに
するには、config mgmt-interface コマンドを使用します。 管理アクセスに関する問題をデバッグ
する場合に使用することがあります。
___________________
例
次に、ロギングの現在の状態を変更する例を示します。
hostname> config mgmt-interface log-drops
Logging of dropped packets on management interface is disabled.
Would you like to enable it? (y/n) [Y]: Y
Logging of dropped packets on management interface has been enabled.
hostname>
ASA CX および Cisco Prime Security Manager コマンド リファレンス
12
OL-26836-02-J
a ～ h コマンド
config mgmt-interface
___________________
関連コマンド
コマンド
説明
削除
コア ダンプ、パケット キャプチャ、またはログ ファイルを削除しま
す。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
13
a ～ h コマンド
config ntp
config ntp
システムの Network Time Protocol（NTP）サーバを設定するには、config ntp コマンドを使用しま
す。
config ntp
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン
（注）
システムの設定中に setup コマンドを使用して NTP を設定することもできます。 システム全
体の設定ウィザードを経由せずに NTP の設定を変更するには、config ntp を使用します。 シス
テムの時間帯を設定するには、config timezone コマンドを使用します。
ネットワーク上のデバイス間の時刻同期を確認するには NTP サーバを使用します。 時刻同期は、
システム イベントを評価しやすくしてイベントのタイム スタンプ間の比較を簡単にします。 config
ntp コマンドはホスト名や NTP サーバのアドレスの入力を求めます。優先順位の高いものから順
に、カンマで区切って入力してください。
config ntp コマンドを使用するたびに、サーバの完全なリストを入力する必要があります。サーバ
を単独で追加または削除することはできません。
NTP をディセーブルにするには、config time コマンドを使用してシステム時刻を設定します。NTP
は自動的にディセーブルになります。 config ntp または setup コマンドを使用して、NTP を再度
イネーブルにできます。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
14
OL-26836-02-J
a ～ h コマンド
config ntp
___________________
例
次に、システムの NTP サーバを設定する例を示します。 既存のサーバはカッコ内に表示されま
す。変更を行わない場合は Enter キーを押します。 変更する場合は、優先順位の高いものから順
に NTP サーバの完全なリストを入力します。既存のサーバも必要に応じて再度入力します。
hostname> config ntp
Enter the NTP servers separated by commas [ntp.example.com]:
ntp.example.com, ntp2.example.com
hostname> show ntp
remote
refid
st t when poll reach
delay
offset jitter
==============================================================================
ntp.example.com 10.81.254.131
2 u
15
64
1
58.376 -74.177
0.001
ntp2.example.co .GPS.
1 u
14
64
1
63.335 -79.347
0.001
hostname>
次に、NTP をイネーブルにする例を示します。 この例では、すでに NTP を設定し、システム時
刻を設定することで、ディセーブルにしています。 NTP サーバの元リストが保存されるため、
サーバ名を再入力する必要はありません。
hostname> config ntp
Do you want to enable the NTP service? [N]: y
Enter the NTP servers separated by commas [ntp.example.com, ntp2.example.com]: (press Enter)
ntp.example.com, ntp2.example.com
___________________
関連コマンド
コマンド
説明
config time
現地の日時を設定します。
config timezone
タイム ゾーンを設定します。
show ntp
システムのネットワーク タイム プロトコル（NTP）サーバを表示しま
す。
show time
現在のシステム日付、時刻、および時間帯を表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
15
a ～ h コマンド
config passwd
config passwd
admin ユーザのパスワードを変更するには、config passwd コマンドを使用します。
注意
ASA CX を管理するために、PRSM マルチ デバイス モード を使用している場合は、ASA CX
で管理ユーザのパスワードを変更しないでください。 パスワードを変更すると、PRSM はデバ
イスと通信できなくなります。 PRSM インベントリから親の ASA を削除し、それを追加し直
して新しい管理パスワードで PRSM を更新する必要があります。
config passwd
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
ASA CX では、admin ユーザのデフォルトのパスワードは Admin123 です。
PRSM マルチ デバイス モード では、デフォルトのパスワードはありません。 VM を初めてイン
ストールして起動した時にパスワードを設定するように求められます。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン config passwd コマンドは、admin ユーザのパスワードを変更します。 また Web インターフェイス
を介して admin ユーザのパスワードを変更できます。
適切なパスワードが必要です。 パスワードを要件に一致しないパスワードに変更しようとした
り、同じパスワードを 2 回入力しなかったりすると、再試行を求めるプロンプトが表示されます。
パスワードは 8 文字以上で、1 個以上の大文字（A ～ Z）、小文字（a ～ z）、数字（0 ～ 9）を使
用する必要があります。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
16
OL-26836-02-J
a ～ h コマンド
config passwd
___________________
例
次に、admin ユーザのパスワードを変更する例を示します。 タイプされたパスワードは表示され
ません。
hostname> config passwd
The password must be at least 8 characters long and must contain
at least one uppercase letter (A-Z), at least one lowercase letter
(a-z) and at least one digit (0-9).
Enter password: (type password)
Confirm password: (retype password)
SUCCESS: Password changed for user admin
hostname>
次に、最初の試行でパスワードが要件を満たしていないために失敗した例を示します。
hostname> config passwd
The password must be at least 8 characters long and must contain
at least one uppercase letter (A-Z), at least one lowercase letter
(a-z) and at least one digit (0-9).
Enter password: (type bad password)
Confirm password: (retype bad password)
The password must be at least 8 characters long and must contain
at least one uppercase letter (A-Z), at least one lowercase letter
(a-z) and at least one digit (0-9).
Press any key to try again [Ctrl+C to quit]:
Enter password: (type good password)
Confirm password: (retype good password)
SUCCESS: Password changed for user admin
hostname>
___________________
関連コマンド
関連するコマンドはありません。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
17
a ～ h コマンド
config reset
config reset
注意
データベースを出荷時デフォルト値にリセットすると、Web インターフェイスで定義したすべ
てのポリシーおよびコンフィギュレーション設定と、収集したイベントおよびレポート デー
タが消去されます。 このアクションは取り消せません。 どの設定も維持しない場合にのみ、
この手順に従ってください。 Cisco Prime Security Manager では、この手順を実行する前に、イ
ンベントリからすべてのデバイスを削除することを推奨します。
工場出荷時にシステムをリセットするには、config reset コマンドを使用します。
config reset
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン config reset 目的は、ポリシー データベース、イベント、およびレポート データを消去することで
す。システムに設定されたポリシーまたはネットワークトラフィックから収集されたイベントや
レポートを保存する必要がない場合にのみ使用します。 このアクションは取り消せません。
システムを出荷時の初期状態にリセットしても、CLI を介して行われたデバイス設定はリセット
されません。 たとえば、管理 IP アドレスおよびマスク、ゲートウェイ、DNS 設定、NTP 設定、
時刻設定はリセットされません。 これらの値は保存され、デバイスは引き続きネットワークにア
クセスできます。 これらの設定も変更する場合は、setup コマンドおよび他の config コマンドを
使用します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
18
OL-26836-02-J
a ～ h コマンド
config reset
___________________
例
次に、システムを出荷時の初期状態にリセットする例を示します。 警告は、リセットするシステ
ムによって少し異なります。
hostname> config reset
WARNING: You are about to erase all policy and device configurations.
Before proceeding, remove all devices from the inventory.
Otherwise, you must unmanage each managed ASA CX from its home page.
The database will be reset to factory defaults.
System setup configuration will be preserved.
You cannot undo this action.
Are you sure you want to proceed? [y/n]: y
Stopping services...
Removing settings...
Initializing database...
Generating certificates...
Starting services...
The system has been successfully reset to factory defaults.
hostname>
___________________
関連コマンド
コマンド
説明
system revert
インストール済みパッケージを復元します。
system upgrade
アップグレード パッケージをインストールします。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
19
a ～ h コマンド
config restore
config restore
データベース バックアップを復元または再確立するには、config restore コマンドを使用します。
config restore URL
___________________
構文の説明
URL
復元するデータベース バックアップの zip ファイルの URL です。 パスとファ
イル名を含む次のタイプの URL を使用できます。
• ftp://
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン 設定データベースのバックアップを復元するには、config restore コマンドを使用します。 復元に
は、イベントまたはレポート データは含まれません。 バックアップを作成するには、config backup
コマンドを使用します。
URL にはバックアップ ファイルのファイル名およびフル パスを含めます。 任意でユーザ名とパ
スワードを、ftp://ユーザ名[ :パスワード ]@サーバ名/パス/ファイル名の形式で含めることができ
ます。
通常、データベースのバックアップを復元できるのは、システムで現在稼働しているものと同じ
ソフトウェアのバージョンからバックアップされた場合のみです。 ただし、以前のバックアップ
からのデータベースが新しいソフトウェアのバージョンと互換性がある場合もあります。
PRSM マルチ デバイス モード サーバにバックアップを復元したときに、復元されたデータベース
に定義されている管理対象デバイスのポリシーと設定が、そのデバイスで現在稼働しているポリ
ASA CX および Cisco Prime Security Manager コマンド リファレンス
20
OL-26836-02-J
a ～ h コマンド
config restore
シーおよび設定と異なっていることがあります。 つまり、バックアップが行われた時刻と、現在
の時刻との間で、デバイスに変更が適用された可能性があります。 この場合、バージョン ミス
マッチ アラートが PRSM に表示されます。これは復元された PRSM サーバに最初にログインした
ときに表示されます。 バージョン ミスマッチ アラートが表示されたデバイスごとに、ASA CX の
管理対象モードのホームページにログインして、再同期リンクをクリックすることを推奨します。
現在稼働中の設定を保存する場合は、PRSM インベントリから親の ASA を削除して再検出してく
ださい。
PRSM マルチ デバイス モードでは、VMware を使用して仮想コンピュータのスナップショットを
作成し、データベース バックアップを復元するのではなく、これらのスナップショットを復元す
ることもできます。 様々な潜在的な問題から保護するために、両方の技術を使用できます。
注意
___________________
例
復元するバックアップ ファイルですべてのパスワードがクリアされている場合は、警告が表
示され、続行するかどうか尋ねられます。 すべてのパスワード フィールドを手動で再構築す
る必要があるため、パスワードがクリアされたバックアップの復元は中断する必要がありま
す。 たとえば、すべてのデバイスを PRSM マルチ デバイス モード インベントリから削除して
から追加し、パスワードをリセットする必要があります。 すべてのモードで、ローカル ユー
ザ（admin ユーザ以外）、AD/LDAP ディレクトリ、AD エージェント、シグニチャ アップデー
タ HTTP プロキシ ユーザ名のすべてのパスワードを定義する必要があります。 パスワードが
クリアされたデータベースの回復後は、adminユーザとしてログインする必要があります。 パ
スワードがクリアされたデータベースの回復は、システムを再構築するための他のオプション
がない場合にのみ行います。
次に、データベースのバックアップを復元する例を示します。
hostname> config restore ftp://10.69.43.239/backups/
prsm_prsm-vm_1.0.0_04_02_2012_16_25_30.pkg
Downloading: ftp://10.69.43.239/backups/prsm_prsm-vm_1.0.0_04_02_2012_16_25_30.pkg
You need to authenticate with the server to upload/download file
Username: ftpusername
Password: (typing not displayed)
Starting the database restore process....
Please note that existing eventing and reporting data will not be restored.
NOTE: The restore process removes the present configuration replacing it with
the backed up configuration.
Do you want to proceed with restore?(y/n)?[n]: y
Stopping Cisco Services for restoring Database
The database has been restored to a backup version.
NOTE: Log into PRSM and check the inventory for Version Mismatch alerts.
These alerts indicate that a managed ASA CX is running a different
configuration than the one defined in the PRSM database. You must
correct the mismatch. Either log into each ASA CX home page and
click the resynchronize link to revert to the old configuration, or
remove the device from the inventory and rediscover it to preserve
the current configuration.
Restarting Cisco Services after restoring database
.......................................................
hostname>
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
21
a ～ h コマンド
config restore
___________________
関連コマンド
コマンド
説明
config backup
データベースをバックアップします。
config reset
データベースを出荷時デフォルト値にリセットします。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
22
OL-26836-02-J
a ～ h コマンド
config time
config time
NTP を使用せずに現地の日時を設定するには、config time コマンドを使用します。
config time
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン
（注）
システム時刻の設定でネットワークタイムプロトコル（NTP）を使用しない場合にのみ、config
time コマンドを使用します。 config time コマンドを使用すると、NTP がディセーブルになり、
システムは設定した現地時間の使用を開始します。
config time コマンドでは、MM/DD/YYYY HH:MM[:SS] 形式で日付および時間を指定します。
• MM は 01 ～ 12 の月です。
• DD は日です。
• YYYY は 4 桁の年です。
• HH は 24 時間表記の時刻です。
• MM は分です。
• SS は任意の秒です。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
23
a ～ h コマンド
config time
時間帯を設定するには、config timezone コマンドを使用します。
ヒント
___________________
例
NTP サーバを設定するには、config ntp コマンドを使用します。 NTP を使用すると、ネット
ワーク上のデバイス間の時刻同期を確認できます。
次に、ローカル システムの日時を変更する例を示します。 この例では NTP はアクティブになっ
ていたため、日時の設定によってディセーブルになりました。
hostname> config time
Enter the date and time [01/10/2012 23:51:1]: 01/10/2012 23:53
Tue Jan 10 23:53:00 UTC 2012
23:53:00
NTP service has been disabled.
___________________
関連コマンド
コマンド
説明
config ntp
ネットワーク タイム プロトコル（NTP）サーバを設定して時刻を設定
します。
config timezone
タイム ゾーンを設定します。
show ntp
システムのネットワーク タイム プロトコル（NTP）サーバを表示しま
す。
show time
現在のシステム日付、時刻、および時間帯を表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
24
OL-26836-02-J
a ～ h コマンド
config timezone
config timezone
システムのタイム ゾーンを設定するには、config timezone コマンドを使用します。
config timezone
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの時間帯は UTC です。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン タイム ゾーンを設定する際は、ゾーン内の都市または地域が表示されます。目的のゾーンの都市
または地域の番号を入力してください。 ゾーンの名前が一覧表示される場合もあります。 [角カッ
コ] で表示されている地域は、ゾーンではありません。これを選択すると、その地域内に含まれる
ゾーンが一覧表示されます。 たとえば、[America] を選択すると、北南米の都市や地域が一覧表示
されます。
___________________
例
次に、タイム ゾーンを変更する例を示します。
hostname> config timezone
The current time zone is:
UTC
1. [Africa]
2. [America]
3. [Antarctica]
5. [Asia]
6. [Atlantic]
7. [Australia]
9. [Canada]
10. [Chile]
11. [Etc]
13. [Indian]
14. [Mexico]
15. [Mideast]
17. [US]
18. CET
19. CST6CDT
... (Some zones removed for publishing purposes) ...
4.
8.
12.
16.
20.
[Arctic]
[Brazil]
[Europe]
[Pacific]
Cuba
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
25
a ～ h コマンド
config timezone
Please enter your choice [Enter 'b' to go back]: 17
1. Alaska
5. East-Indiana
9. Michigan
2. Aleutian
6. Eastern
10. Mountain
3. Arizona
7. Hawaii
11. Pacific
4. Central
8. Indiana-Starke
12. Samoa
Please enter your choice [Enter 'b' to go back]: 11
You have chosen the Pacific time zone.
Changing the time zone requires a process manager restart.
Do you want to restart the process manager now? [Y]: Y
The time zone has been changed to:
PDT
Restarting process manager....
hostname>
___________________
関連コマンド
コマンド
説明
config ntp
ネットワーク タイム プロトコル（NTP）サーバを設定して時刻を設定
します。
config time
現地の日時を設定します。
show ntp
システムのネットワーク タイム プロトコル（NTP）サーバを表示しま
す。
show time
現在のシステム日付、時刻、および時間帯を表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
26
OL-26836-02-J
a ～ h コマンド
delete
delete
不要なパケット キャプチャ、コア ダンプまたはログ ファイルを削除するには、delete コマンドを
使用します。
delete
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
ASA CX Software 9.0(2)
ログ ファイルを削除する機能が追加されました。
PRSM 9.0(2)
___________________
使用上のガイドライン 不要になったファイルを削除するには、delete コマンドを使用します。 パケット キャプチャ、コ
ア ダンプとシステム ログを削除できます。 ファイルを削除する前に、support diagnostic コマン
ドを使用して FTP サーバにアップロードできます。
ログ ファイルの削除を選択する場合は、アクティブ ログ ファイルを削除しないようにする必要
があります。 ログファイルのアクティブか非アクティブかの違いは、ファイル名から判断できま
す。 拡張が .log の場合、ファイルはアクティブです。.log .4 のように、最後に数字がつく場合は、
ログはアクティブではありません。 アクティブなログ ファイルを削除する場合は、まず services
stop コマンドを使用してサービスを停止します。ログを削除した後は services start を使用してサー
ビスを再起動します。
コマンド プロンプトに従い、適切なファイルを見つけて削除します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
27
a ～ h コマンド
delete
___________________
例
次に、パケット キャプチャ ファイルを削除する例を示します。 類似した名前の複数のファイル
を選択するには、名前の一部を入力します。一致するファイル名が確認のためにエコー バックさ
れます。 ファイル名は、大文字と小文字が区別されます。たとえば、「allow」は「Allow」に一
致しません。
asacx> delete
===Remove Files===
1. Cores
2. Packet Captures
3. Logs
Please enter your choice ([Ctrl+C] to exit): 2
============================
Directory: /var/local
-----------files-----------2012-03-20 18:37:28 | 524134
2012-03-20 18:52:11 | 1922
| Allow All.pcap
| aspdrop.pcap
Type the partial name of the file to delete ([<] to cancel)
> asp
aspdrop.pcap
Are you sure you want to delete these files? (y/n) [Y]: y
Deleted: /var/local/aspdrop.pcap
Type the partial name of the file to delete ([<] to cancel)
> <
===Remove Files===
1. Cores
2. Packet Captures
Please enter your choice ([Ctrl+C] to exit): (Ctrl+C)
asacx>
___________________
関連コマンド
コマンド
説明
support diagnostic
システム ログ、コア ダンプ、パケット キャプチャの診断ファイルを作
成してアップロードします。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
28
OL-26836-02-J
a ～ h コマンド
exit
exit
コンソール セッションからログ アウトするには、exit コマンドを使用します。
exit
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン exit コマンドは、必ずコンソール セッションからログ アウトします。 終了する設定モードはあり
ません。
___________________
例
次に、コンソール セッションでログ アウトする例を示します。
hostname> exit
Cisco Prime Security Manager 9.0.2
You can access the Web UI from your browser using the following URL(s):
https://10.100.10.10/
http://[2001:DB8::0DB8:800:200C:417A]/
hostname login:
___________________
関連コマンド
関連するコマンドはありません。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
29
a ～ h コマンド
format
format
システムのハード ドライブと埋め込まれた USB（eUSB）フラッシュ ドライブをフォーマットま
たは再フォーマットするには、format コマンドを使用します。
format
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
___________________
使用上のガイドライン デバイスのハード ドライブと eUSB ドライブを再フォーマットするには、format コマンドを使用
します。このプロセスは、完了までに数時間かかる場合があります。 このコマンドは、ブートイ
メージのデバイスでのみ使用できます。
注意
___________________
例
このコマンドは、ドライブからすべてのデータを消去します。取り消すことはできません。
続行するかどうか尋ねられます。
次は format コマンドの出力例です。
hostname>format
WARNING: You are about to erase all policy configurations and data.
You cannot undo this action.
This command will take HOURS to complete.
Are you sure you want to proceed? [y/n]:y
Logical volume "data" successfully removed
Logical volume "var" successfully removed
Logical volume "packages" successfully removed
Logical volume "db" successfully removed
Logical volume "log" successfully removed
Logical volume "local" successfully removed
ASA CX および Cisco Prime Security Manager コマンド リファレンス
30
OL-26836-02-J
a ～ h コマンド
format
Logical volume "diag_cores" successfully removed
0 logical volume(s) in volume group "vg" now active
Volume group "vg" successfully removed
mdadm: stopped /dev/md0
Command (m for help): Partition number (1-4):
Command (m for help): The partition table has been altered!
Calling ioctl() to re-read partition table.
Syncing disks.
Command (m for help): Partition number (1-4):
Command (m for help): The partition table has been altered!
Calling ioctl() to re-read partition table.
Syncing disks.
Command (m for help): Partition number (1-4):
Command (m for help): The partition table has been altered!
Calling ioctl() to re-read partition table.
Syncing disks.
Command (m for help): Selected partition 4
Command (m for help): The partition table has been altered!
Calling ioctl() to re-read partition table.
Syncing disks.
Formatting the hard drives and eUSB
Formatting first hard drive
572326+0 records in
572325+0 records out
600127266816 bytes (600 GB) copied, 4458.26 seconds, 135 MB/s
Formatting second hard drive
572326+0 records in
572325+0 records out
600127266816 bytes (600 GB) copied, 4470.02 seconds, 134 MB/s
Formatting eUSB
7681+0 records in
7680+0 records out
8053063680 bytes (8.1 GB) copied, 309.583 seconds, 26.0 MB/s
Format Successful
___________________
関連コマンド
コマンド
説明
partition
システムのハード ドライブと eUSB フラッシュ ドライブのパーティショ
ンの（再）設定を行います。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
31
a ～ h コマンド
help
help
使用可能なコマンドまたはコマンド構文の詳細の一覧を表示するには、help コマンドを使用しま
す。
{help| ?} [command_name]
___________________
構文の説明
___________________
コマンド デフォルト
command_name
構文のヘルプが必要なコマンドの名前です。
デフォルトの動作や値はありません。
___________________
コマンド モード
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン 次のコマンドを入力すると、コマンドラインからヘルプ情報を利用できます。
• help または ?：すべてのコマンドのリストを表示します。
• help コマンド名：コマンドの構文を表示します。
• コマンド名 ? ：コマンドのオプションを表示します （例：show ?）。
• string? ：文字列に一致したコマンドまたはキーワードを表示します （例：n?）。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
32
OL-26836-02-J
a ～ h コマンド
help
___________________
例
次の例では、使用可能なコマンドのリストを表示する方法を示します。 コマンド構文（または説
明）は右側に表示されます。 config コマンドの構文の説明は、追加オプションが存在することを
示しています。config ? を入力するとそれらを表示できます。 コマンドの一覧は、使用している
システムやソフトウェア リリースによって異なります。
hostname> help
show
config
system
setup
support
delete
ping
nslookup
traceroute
services
exit
help
=>
=>
=>
=>
=>
=>
=>
=>
=>
=>
=>
=>
Display system information. Enter show ? for options
Configure the system. Enter config ? for options
Control system operation
System Setup Wizard
Support information for TAC
Delete files
Ping a host to check reachability
Look up an IP address or host name with the DNS servers
Trace the route to a remote host
Control services on the box
Exit the session
Get help on command syntax
hostname> config ?
ntp
time
timezone
passwd
reset
backup
restore
=>
=>
=>
=>
=>
=>
=>
Configure NTP servers
Configure date and time
Configure time zone
Change the admin user password
Reset the database to factory defaults
Backup of the current DB snapshot is taken
Current DB is replaced by prev snapshot of backed up DB
hostname>
___________________
関連コマンド
関連するコマンドはありません。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
33
a ～ h コマンド
help
ASA CX および Cisco Prime Security Manager コマンド リファレンス
34
OL-26836-02-J
i ～ show ntp コマンド
• nslookup, 36 ページ
• partition, 38 ページ
• ping, 41 ページ
• services, 43 ページ
• setup, 45 ページ
• show autorestart status, 51 ページ
• show diskusage, 52 ページ
• show dns, 54 ページ
• show hostname, 56 ページ
• show hosts, 57 ページ
• show interfaces, 59 ページ
• show netstat, 62 ページ
• show ntp, 66 ページ
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
35
i ～ show ntp コマンド
nslookup
nslookup
ホスト名に関連付けられたアドレスまたはアドレスに関連付けられたホスト名をDNSサーバに照
会するには、nslookup コマンドを使用します。
nslookup {hostname| IP_address}
___________________
構文の説明
hostname
検索するアドレスを持つホストの DNS ホスト名
IP_address
検索するホスト名の IPv4 または IPv6 アドレス
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン nslookup コマンドは、システムに設定された DNS サーバに問い合わせ、ホスト名に関連付けられ
た IP アドレスを検索します。 サーバに複数のアドレスがある場合、すべてが表示されます。 ホ
スト名を決定する IPv4 または IPv6 アドレスを入力して、逆検索を実行することもできます。
nslookup を使用するには、setup コマンド使用して少なくとも 1 台の DNS サーバを設定する必要
があります。 nslookup の出力は、情報を取得するために使用された DNS サーバを示します。
___________________
例
次に、ホスト名に関連付けられたアドレスを表示する検索する方法を示します。 この例では、
DNS サーバには、名前に関連付けられた複数のアドレスがあります。 [Server] および関連付けら
れた [Address] フィールドは、クエリーに応答した DNS サーバを示します。 [Name] および [Address]
フィールドは、検索された名前または IP アドレスと、名前に対して DNS サーバが返したアドレ
ASA CX および Cisco Prime Security Manager コマンド リファレンス
36
OL-26836-02-J
i ～ show ntp コマンド
nslookup
スを示します。 すべてのアドレス ラインは、IPv4 または IPv6 アドレスおよび DNS 名を含みま
す。
hostname> nslookup www.example.com
Server:
10.163.47.11
Address 1: 10.163.47.11 dns.example.com
Name:
Address
Address
Address
Address
Address
Address
___________________
関連コマンド
1:
2:
3:
4:
5:
6:
www.example.com
10.125.73.104 www1.example.com
10.125.73.105 www2.example.com
10.125.73.106 www3.example.com
10.125.73.147 www4.example.com
10.125.73.99 www5.example.com
10.125.73.103 www6.example.com
コマンド
説明
セットアップ
DNS サーバを含む基本的なシステム設定を設定します。
show dns
設定された DNS サーバを表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
37
i ～ show ntp コマンド
partition
partition
システムのハード ドライブと埋め込まれた USB（eUSB）フラッシュ ドライブのパーティション
を（再）設定するには、partition コマンドを使用します。
partition
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは、次のコンテキストでのみ使用できます。
• ASA CX コンソール
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
___________________
使用上のガイドライン partition コマンドは、デバイスのハード ドライブと eUSB ドライブに、システム ファイルの保存
用の新しいパーティション テーブルを作成するために使用します。 このコマンドは、ブートイ
メージのデバイスでのみ使用できます。
注意
___________________
例
このコマンドを使用すると、すべてのポリシー設定とデータが消去されます。取り消すことは
できません。 続行するかどうか尋ねられます。
次は partition コマンドの出力例です。
hostname>partition
WARNING: You are about to erase all policy configurations and data.
You cannot undo this action.
Are you sure you want to proceed? [y/n]:y
Warning: The partition table looks like it was made
for C/H/S=*/39/39 (instead of 1017/124/62).
For this listing I'll assume that geometry.
start: (c,h,s) expected (2,2,17) found (0,49,50)
end: (c,h,s) expected (1023,38,39) found (121,38,39)
Warning: The partition table looks like it was made
ASA CX および Cisco Prime Security Manager コマンド リファレンス
38
OL-26836-02-J
i ～ show ntp コマンド
partition
for C/H/S=*/39/39 (instead of 1017/124/62).
For this listing I'll assume that geometry.
start: (c,h,s) expected (2,2,17) found (0,49,50)
end: (c,h,s) expected (1023,38,39) found (121,38,39)
Logical volume "data" successfully removed
Logical volume "var" successfully removed
Logical volume "packages" successfully removed
Logical volume "db" successfully removed
Logical volume "log" successfully removed
Logical volume "local" successfully removed
Logical volume "diag_cores" successfully removed
0 logical volume(s) in volume group "vg" now active
Volume group "vg" successfully removed
mdadm: stopped /dev/md0
Command (m for help): Partition number (1-4):
Command (m for help): The partition table has been altered!
Calling ioctl() to re-read partition table.
Syncing disks.
Command (m for help): Partition number (1-4):
Command (m for help): The partition table has been altered!
Calling ioctl() to re-read partition table.
Syncing disks.
Command (m for help): Partition number (1-4):
Command (m for help): The partition table has been altered!
Calling ioctl() to re-read partition table.
Syncing disks.
Command (m for help): Selected partition 4
Command (m for help): The partition table has been altered!
Calling ioctl() to re-read partition table.
Syncing disks.
Disk /dev/sdb: 72961 cylinders, 255 heads, 63 sectors/track
Old situation:
Units = sectors of 512 bytes, counting from 0
Device Boot
Start
End
#sectors Id
/dev/sdb1
1 1172118464 1172118464 83
/dev/sdb2
0
0
0
/dev/sdb3
0
0
0
/dev/sdb4
0
0
0
New situation:
Units = sectors of 512 bytes, counting from 0
System
Linux
Empty
Empty
Empty
Device Boot
Start
End
#sectors Id System
/dev/sdb1
1 1172118464 1172118464 83 Linux
/dev/sdb2
0
0
0 Empty
/dev/sdb3
0
0
0 Empty
/dev/sdb4
0
0
0 Empty
Warning: no primary partition is marked bootable (active)
This does not matter for LILO, but the DOS MBR will not boot this disk.
Successfully wrote the new partition table
... (Intervening output removed for publishing purposes) ...
Re-reading the partition table ...
If you created or changed a DOS partition, /dev/foo7, say, then use dd(1)
to zero the first 512 bytes: dd if=/dev/zero of=/dev/foo7 bs=512 count=1
(See fdisk(8).)
mke2fs 1.41.4 (27-Jan-2009)
Filesystem label=
OS type: Linux
Block size=1024 (log=0)
Fragment size=1024 (log=0)
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
39
i ～ show ntp コマンド
partition
107696 inodes, 430524 blocks
21526 blocks (5.00%) reserved for the super user
First data block=1
Maximum filesystem blocks=67633152
53 block groups
8192 blocks per group, 8192 fragments per group
2032 inodes per group
Superblock backups stored on blocks:
8193, 24577, 40961, 57345, 73729, 204801, 221185, 401409
Writing inode tables: done
Creating journal (8192 blocks): done
Writing superblocks and filesystem accounting information: done
This filesystem will be automatically checked every 26 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.
mke2fs 1.41.4 (27-Jan-2009)
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
196608 inodes, 786098 blocks
39304 blocks (5.00%) reserved for the super user
First data block=0
Maximum filesystem blocks=805306368
24 block groups
32768 blocks per group, 32768 fragments per group
8192 inodes per group
Superblock backups stored on blocks:
32768, 98304, 163840, 229376, 294912
... (Intervening output removed for publishing purposes) ...
Writing inode tables: done
Creating journal (32768 blocks): done
Writing superblocks and filesystem accounting information: done
This filesystem will be automatically checked every 34 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.
Persistent partition doesn't have /etc/network/interfaces so copy it over
Persistent partition doesn't have /etc/resolv.conf so copy it over
Persistent partition doesn't have /etc/passwd so copy it over
Persistent partition doesn't have /etc/shadow so copy it over
Persistent partition doesn't have /etc/ssh/ssh_host_rsa_key so copy it over
Persistent partition doesn't have /etc/hostname so copy it over
Persistent partition doesn't have /etc/ntp.conf so copy it over
Persistent partition doesn't have /etc/hosts so copy it over
Persistent partition is there so create symbolic link /etc/network/interfaces
Persistent partition is there so create symbolic link /etc/resolv.conf
Persistent partition is there so create symbolic link /etc/ssh/
Persistent partition is there so create symbolic link /etc/hostname
Persistent partition is there so create symbolic link /etc/ntp.conf
Persistent partition is there so create symbolic link /etc/hosts
Partition Successfully Completed on the Flash
___________________
関連コマンド
コマンド
説明
format
システムのハード ドライブと eUSB フラッシュ ドライブをフォーマッ
ト（または再フォーマット）します。
show partitions
デバイスのドライブの現在のパーティション テーブルを一覧表示しま
す。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
40
OL-26836-02-J
i ～ show ntp コマンド
ping
ping
デバイスまたは管理ステーションからホストへの接続を確認するには、ping コマンドを使用しま
す。
ping {destination_IP| destination_host_name}
___________________
構文の説明
destination_IP
ping するホストの IPv4 または IPv6 アドレス
destination_host_name
ping するホストの DNS ホスト名。 ホスト名を使用するには DNS
サーバを設定する必要があります。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン ping コマンドは、指定されたホストに ICMP エコー要求を送信します。 ノードが途中で ICMP を
ブロックしない限り、デバイスや管理ステーションとホストの間にルートが存在することを示す
応答があります。 ping および traceroute コマンドは、ホストとの接続の問題を解決するために使
用します。
ping コマンドを入力すると、Ctrl+C を押すまで ping が継続されます。 成功した応答があれば表示
されますが、応答に失敗すると何も表示されません。 したがって、使用できないホストに ping を
実行した場合、フィードバックは表示されないため、コマンドが実行できない、またはスタック
しているように見える場合があります。 ただし、Ctrl+C キーを押すと、送信され、失われたパ
ケット数を示す ping の結果の概要を取得できます。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
41
i ～ show ntp コマンド
ping
___________________
例
次に、ping の出力例を示します。 6 パケットの後に、Ctrl+C を押して ping を停止し、ping の結果
の概要を表示しています。 時間はミリ秒（ms）で表示されます。TTLは存続可能時間です。サマ
リーには、ラウンド トリップ応答時間の最小値（min）、平均値（avg）、および最大値（max）
が含まれます。
hostname> ping www.example.com
PING www.example.com (192.0.43.10): 56 data bytes
64 bytes from 192.0.43.10: seq=0 ttl=117 time=7.980 ms
64 bytes from 192.0.43.10: seq=1 ttl=117 time=7.821 ms
64 bytes from 192.0.43.10: seq=2 ttl=117 time=7.892 ms
64 bytes from 192.0.43.10: seq=3 ttl=117 time=8.218 ms
64 bytes from 192.0.43.10: seq=4 ttl=117 time=10.735 ms
64 bytes from 192.0.43.10: seq=5 ttl=117 time=7.689 ms
(press Ctrl+C)
--- www.example.com ping statistics --6 packets transmitted, 6 packets received, 0% packet loss
round-trip min/avg/max = 7.689/8.389/10.735 ms
hostname>
次に、使用できない、または到達不能なホストに ping を実行した場合の ping の出力例を示しま
す。 この出力は、ICMP メッセージがホストへのルート内のどこかでブロックされている場合に
も取得されます。
hostname> ping www.example.com
PING www.example.com (192.0.43.10): 56 data bytes
(press Ctrl+C)
--- www.example.com ping statistics --30 packets transmitted, 0 packets received, 100% packet loss
hostname>
___________________
関連コマンド
コマンド
説明
セットアップ
DNS サーバを含む基本的なシステム設定を設定します。
show dns
設定された DNS サーバを表示します。
traceroute
ホストへのルートをトレースします。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
42
OL-26836-02-J
i ～ show ntp コマンド
services
services
システム プロセスを停止して再開するには、services コマンドを使用します。
services {start| stop}
___________________
構文の説明
start
システム プロセスを開始します。
stop
システム プロセスを停止します。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン services コマンドは主に、トラブルシューティング ツールとして役立ちます。 システムが正常に
動作していないと判断した場合は、プロセスを停止してから再起動できます。 プロセスの停止と
再起動は、システムのリブートよりも素早く行えます。プロセスを再起動しても問題が解決しな
い場合は、リブートが必要なことがあります。
システム プロセスが停止すると、CLI コンソールにはログインできますが、Web インターフェイ
スにはログインできません。
___________________
例
次に、プロセスを停止し、停止していることを確認し、再起動する例を示します。
hostname> services stop
Are you sure you want to stop all services? [N]: y
........................................
hostname> show services status
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
43
i ～ show ntp コマンド
services
Process Manager Not Running
hostname> services start
Process Manager Starting
hostname>
___________________
関連コマンド
コマンド
説明
show services status
すべてのシステム プロセスのステータスを表示します。
system reload
システムをリブートします。
system shutdown
システムをシャットダウンします。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
44
OL-26836-02-J
i ～ show ntp コマンド
setup
setup
システムの基本的な特性を設定するには、setup コマンドを使用します。
setup
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルト値は、プラットフォームによって異なります。
• ASA CX—
• ホスト名：asacx
• IP アドレス、マスク：192.168.8.8/255.255.255.0
• ゲートウェイ：192.168.8.1
• PRSM マルチ デバイス モード—
• ホスト名：prsm vm
• IP アドレス、マスク：192.168.8.10/255.255.255.0
• ゲートウェイ：192.168.8.1
DNS のデフォルト設定はありません。 NTP は、NTP サーバを指定するまでディセーブルになり
ます。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
45
i ～ show ntp コマンド
setup
___________________
使用上のガイドライン setup コマンドは必要な情報の入力を求めるウィザードです。 ウィザードを開始する前に、次の
値に対する正しい入力内容を必ず確定してください。
• システムのホスト名。 ホスト名は 65 文字以内で、文字、数字、ハイフンのみが使用できま
す。 先頭と末尾の文字は英字または数字にする必要があり、ホスト名をすべて数字にするこ
とはできません。
• 管理 IP アドレスに使用するアドレス指定のタイプ。 スタティック IPv4、IPv4 用 DHCP、ス
タティック IPv6、IPv6 ステートレス自動設定のいずれかのアドレス タイプを設定できます。
IPv4 と IPv6 の両方のアドレス指定の設定が可能です。 次の手順を実行します。
• IPv4 スタティック アドレス：IPv4 管理 IP アドレス、サブネット マスク、ゲートウェイ
を指定します。
• DHCP：管理ネットワークで応答する DHCP サーバが必要です。
（注）
DHCP は推奨されません。 DHCP がリースの満了やその他の理由により割り
当てたアドレスを変更した場合、システムは正常に機能しなくなります。 代
わりにスタティック アドレスの使用を推奨します。
• IPv6 スタティック アドレス：IPv6 管理 IP アドレス、プレフィックス長、ゲートウェイ
を指定します。
• IPv6 ステートレス自動設定：IPv6 ステートレス自動設定は、デバイスが存在するリン
クで使用するグローバルな IPv6 プレフィックスのアドバタイズメントなどの、IPv6 サー
ビスを提供するようにルータが設定されている場合に限り、グローバルな IPv6 アドレ
スを生成します。 IPv6 ルーティング サービスがリンクで使用できない場合、リンク
ローカルな IPv6 アドレスのみが取得され、そのデバイスが属すネットワーク リンクの
外部にアクセスできません。
（注）
IPv6 ステートレス自動設定では、ネットワーク プレフィックスおよびデバイ
ス ID に基づいてグローバル アドレスが割り当てられます。 このアドレスが
変化することはほとんどなく、変化するとシステムは正常に機能しなくなり
ます。 代わりにスタティック アドレスの使用を推奨します。
• DHCP を使用しない場合は、プライマリおよび任意でセカンダリの IP アドレス（IPv4 または
IPv6）、DNS サーバ、ローカル ドメイン名。 IPv4 と IPv6 の両方の管理アドレスを設定する
と、このいずれか、または両方の形式で DNS アドレスを入力できます。この設定を行わな
い場合は、管理アドレスの形式に合わせる必要があります。
検索ドメインのカンマ区切りリストを入力することもできます。検索ドメインは、名前から
IP アドレスへの解決の中で、完全修飾ではないホスト名に順番に付加されます。 たとえば、
ASA CX および Cisco Prime Security Manager コマンド リファレンス
46
OL-26836-02-J
i ～ show ntp コマンド
setup
検索ドメイン リストにより、www.example.com などの完全修飾名ではなく、www への ping
が可能になります。
• システム時刻に Network Time Protocol（NTP）を設定するかどうか、および NTP を使用する
場合は NTP サーバの名前または IPv4 アドレス。 すべてのシステムで同じ NTP サーバを使用
することを推奨します。
（注）
システム時刻は、ASA、ASA CX、および PRSM 管理サーバで一貫していることが重要です。
すべてのデバイスで同じタイムゾーンと NTP サーバを使用することが、最適な方法です。 時
刻の不一致が著しい場合、たとえば、インストール プロセスで生成された ASA CX CA 証明書
の開始時刻が PRSM サーバ上の現在の時刻よりも遅い場合などは、PRSM がデバイスをインベ
ントリに追加できないことがあります。 イベントとレポート データでも、スキューが発生す
ることがあります。
ホスト名または管理アドレスを変更する場合は、新しい自己署名証明書が生成されます。 この証
明書は、管理インターフェイスへの HTTPS 接続をイネーブルにするために使用されます。
設定から DNS サーバ、ドメイン名、または検索ドメインを削除するには、setup コマンドを実行
し、プライマリまたはセカンダリDNSサーバ、ドメイン名、または検索ドメインの設定を求めら
れたら N を入力します。 N を入力すると、その項目の既存の設定が消去されます。
（注）
ホスト名を変更した場合は、ログアウトして再びログインするまでプロンプトに新しい名前は
表示されません。
例 1：スタティック IPv4 管理アドレス、IPv6 管理ステートレス自動設定
次に、ウィザードを介してスタティック IPv4 管理アドレスおよび IPv6 ステートレス自動設定を
する一般的なパスを示します。 プロンプトで N の代わりに Y を入力すると、上述のいくつかの追
加設定を実行できます。 太字のテキストは入力する値を示し、これらのサンプル値は実際の値に
置き換えてください。 場合によっては、明確にするため入力する値がデフォルト値と同じになっ
ています。値を何も入力しないで、代わりに Enter を押すだけでもかまいません。
asacx> setup
Welcome to Cisco Prime Security Manager Setup
[hit Ctrl-C to abort]
Default values are inside []
Enter a hostname [asacx]: asa-cx-host
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address assignment on management interface? (y/n) [N]:
N
Enter an IPv4 address [192.168.8.8]: 10.89.31.65
Enter the netmask [255.255.255.0]: 255.255.255.0
Enter the gateway [192.168.8.1]: 10.89.31.1
Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address [ ]: 10.89.47.11
Do you want to configure Secondary DNS Server? (y/n) [N]: N
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
47
i ～ show ntp コマンド
setup
Do you want to configure Local Domain Name? (y/n) [N] Y
Enter the local domain name: example.com
Do you want to configure Search domains? (y/n) [N] Y
Enter the comma separated list for search domains: example.com
Do you want to enable the NTP service?(y/n) [N]: Y
Enter the NTP servers separated by commas: 1.ntp.example.com, 2.ntp.example.com
Please review the final configuration:
Hostname:
asa-cx-host
Management Interface Configuration
IPv4 Configuration:
IP Address:
Netmask:
Gateway:
static
10.89.31.65
255.255.255.0
10.89.31.1
IPv6 Configuration:
Stateless autoconfiguration
DNS Configuration:
Domain:
Search:
example.com
example.com
DNS Server:
10.89.47.11
NTP servers:
1.ntp.example.com
2.ntp.example.com
Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying...
Done.
Generating self-signed certificate, the web server will be restarted after that
...
Done.
Press ENTER to continue...
asacx>
例 2：IPv4 DHCP、IPv6 ステートレス自動設定
次に、IPv4 アドレスおよび IPv6 ステートレス自動設定の取得のために DHCP を使用するようにシ
ステムを設定する例を示します。 コマンド デフォルトを受け入れるには、上記のように、Enter
キーを押します。
prsm-vm>
setup
Welcome to Cisco Prime Security Manager Setup
[hit Ctrl-C to abort]
Default values are inside []
Enter a hostname [prsm-vm]: (press Enter)
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address assignment on management interface?(y/n) [N]:
Y
Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Do you want to enable the NTP service?(y/n) [N]: Y
Enter the NTP servers separated by commas: 1.ntp.example.com, 2.ntp.example.com
Please review the final configuration:
Hostname:
prsm-vm
Management Interface Configuration
IPv4 Configuration:
dhcp
IPv6 Configuration:
Stateless autoconfiguration
NTP servers:
1.ntp.example.com
2.ntp.example.com
ASA CX および Cisco Prime Security Manager コマンド リファレンス
48
OL-26836-02-J
i ～ show ntp コマンド
setup
Apply the changes?(y,n) [Y]: (press Enter)
例 3：スタティック IPv4 および IPv6 管理アドレス
次に、IPv4 と IPv6 両方のスタティック管理アドレスを設定する例を示します。 IPv6 アドレスだ
けを設定する場合は、IPv4 アドレスを設定するかどうかを尋ねられた際に N を入力します。 IPv6
管理アドレス（2001:DB8:0:CD30::1234/64 など）を指定する場合は、プレフィックス長を含める必
要があることに注意してください。 IPv6 ゲートウェイのプレフィックス長を入力しないでくださ
い。
asacx> setup
Welcome to Cisco Prime Security Manager Setup
[hit Ctrl-C to abort]
Default values are inside []
Enter a hostname [asacx]: asa-cx-host
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address assignment on management interface? (y/n) [N]:
N
Enter an IPv4 address [192.168.8.8]: 10.89.31.65
Enter the netmask [255.255.255.0]: 255.255.255.0
Enter the gateway [192.168.8.1]: 10.89.31.1
Do you want to configure static IPv6 address on management interface?(y/n) [N]: Y
Enter an IPv6 address: 2001:DB8:0:CD30::1234/64
Enter the gateway: 2001:DB8:0:CD30::1
Enter the primary DNS server IP address [ ]: 10.89.47.11
Do you want to configure Secondary DNS Server? (y/n) [N]: N
Do you want to configure Local Domain Name? (y/n) [N] Y
Enter the local domain name: example.com
Do you want to configure Search domains? (y/n) [N] Y
Enter the comma separated list for search domains: example.com
Do you want to enable the NTP service?(y/n) [N]: Y
Enter the NTP servers separated by commas: 1.ntp.example.com, 2.ntp.example.com
Please review the final configuration:
Hostname:
asa-cx-host
Management Interface Configuration
IPv4 Configuration:
IP Address:
Netmask:
Gateway:
static
10.89.31.65
255.255.255.0
10.89.31.1
IPv6 Configuration:
IP Address:
Gateway:
static
2001:DB8:0:CD30::1234/64
2001:DB8:0:CD30::1
DNS Configuration:
Domain:
Search:
example.com
example.com
DNS Server:
10.89.47.11
NTP servers:
1.ntp.example.com
2.ntp.example.com
Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying...
Done.
Generating self-signed certificate, the web server will be restarted after that
...
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
49
i ～ show ntp コマンド
setup
Done.
Press ENTER to continue...
asacx>
___________________
関連コマンド
コマンド
説明
config ntp
ネットワーク タイム プロトコル（NTP）サーバを設定して時刻を設定
します。
config time
現地の日時を設定します。
config timezone
タイム ゾーンを設定します。
show dns
設定された DNS サーバを表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
50
OL-26836-02-J
i ～ show ntp コマンド
show autorestart status
show autorestart status
ASA CX で現在の自動再起動の設定を表示するには、show autorestart status コマンドを使用しま
す。
show autorestart status
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
___________________
使用上のガイドライン 自動再起動のオプションの現在のステータスを表示するには、show autorestart status コマンドを
使用します。 これを変更するには、config advanced コマンドを使用します。
___________________
例
次に、自動再起動の現在のステータスを表示する例を示します。
hostname> show autorestart status
autorestart option is currently set to on
hostname>
___________________
関連コマンド
コマンド
説明
config advanced
自動再起動を設定します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
51
i ～ show ntp コマンド
show diskusage
show diskusage
割り当てられて使用されるスペースを含むハード ディスクの使用状況の情報を表示するには、
show diskusage コマンドを使用します。
show diskusage
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン システムによって割り当てられたハード ディスク ドライブとファイル システムの現在のステー
タスを表示できます。 PRSM を設定する場合、ディスク領域を追加または削除するために VMware
の標準の手順を使用します。 ASA CX は自動的にハード ディスク領域を管理します。
各ファイル システムについて、サイズ、使用可能な空き容量および使用率などの情報が表示され
ます。
___________________
例
次に、PRSM のディスク領域の使用状況の情報を表示する例を示します。 /var/data ファイル シス
テムがセカンダリディスクであり、イベント、およびレポートデータを保管するために使用され
ることに注意してください。 仮想マシンにディスクを追加すると、追加スペースはこのファイル
システムに送信されます。
hostname> show diskusage
FILESYSTEM
/
/boot
SIZE
2.9G
290.1M
AVAILABLE
2.2G
261.2M
USE%
21%
5%
ASA CX および Cisco Prime Security Manager コマンド リファレンス
52
OL-26836-02-J
i ～ show ntp コマンド
show diskusage
/var
/var/db
/var/packages
/var/diagnostics
/var/log
/var/local
/var/data
2.0G
3.9G
7.9G
5.9G
3.9G
3.9G
252.0G
1.8G
3.7G
6.5G
5.4G
3.6G
3.7G
237.5G
2%
1%
13%
3%
3%
1%
1%
hostname>
次に、ASA CX のディスクの使用状況を表示する例を示します。
hostname> show diskusage
FILESYSTEM
/
/usr/data/xsa
SIZE
17.7G
5.9G
AVAILABLE
8.2G
5.5G
USE%
51%
2%
No secondary disk(s) found. /var/data uses the primary disk.
hostname>
___________________
関連コマンド
コマンド
説明
show raid
RAID ステータスを表示します。
show services status
システム プロセスの現在のステータスを表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
53
i ～ show ntp コマンド
show dns
show dns
システムに設定されている DNS サーバを表示するには、show dns コマンドを使用します。
show dns
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン DNS サーバを設定するには、setup コマンドを使用します。 show dns コマンドは、設定で定義さ
れているサーバおよび検索ドメインを表示します。
___________________
例
次に、DNS サーバを表示する例を示します。 サーバは優先順位の高いものから表示されます。2
番目のサーバは、1 番目のサーバが使用できない、またはホスト名を解決できない場合胃のみ接
続されます。 検索ドメインのリストは、検索ドメインを設定した場合にのみ表示されます。設定
したドメインは完全修飾名ではないホスト名に追加されます（ping コマンドで入力するホスト名
など）。
hostname> show dns
Local domain:
domain example.com
Search domain:
search example.com
DNS servers:
nameserver 10.163.47.11
ASA CX および Cisco Prime Security Manager コマンド リファレンス
54
OL-26836-02-J
i ～ show ntp コマンド
show dns
nameserver 10.68.226.120
hostname>
___________________
関連コマンド
コマンド
説明
セットアップ
DNS サーバを含む基本的なシステム設定を設定します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
55
i ～ show ntp コマンド
show hostname
show hostname
システムのホスト名を表示するには、show hostname コマンドを使用します。
show hostname
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン システムのホスト名を設定するには、setup コマンドを使用します。 show hostname コマンドは設
定で設定されているホスト名を表示します。 ホスト名は、CLI プロンプトにも表示されることに
注意してください。
___________________
例
次に、ホスト名を表示する例を示します。
hostname> show hostname
hostname
hostname>
___________________
関連コマンド
コマンド
説明
セットアップ
DNS サーバを含む基本的なシステム設定を設定します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
56
OL-26836-02-J
i ～ show ntp コマンド
show hosts
show hosts
システムのホスト テーブルを表示するには、show hosts コマンドを使用します。
show hosts
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン システムのホスト テーブルの内容を表示するには、show hosts コマンドを使用します。 ホスト
テーブルは、DNSルックアップを行う前に、ホスト名のアドレスルックアップを実行するために
使用されます。ホストテーブルを自分で更新することはできませんが、システムはユーザのホス
ト テーブルを作成します。
ホスト テーブルのエントリによってシステムが正しくホスト名をアドレス指定できなくなる場倍
は、Cisco Technical Assistance Center（TAC）までお問い合せください。
___________________
例
次に、ホスト テーブルの例を示します。 3 つのホスト名をアドレスに一致させるループバック IP
アドレス用のエントリが 1 つあります。
hostname> show hosts
127.0.0.1 asacx.example.com asacx localhost
hostname>
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
57
i ～ show ntp コマンド
show hosts
___________________
関連コマンド
コマンド
説明
show hostname
システムのホスト名を表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
58
OL-26836-02-J
i ～ show ntp コマンド
show interfaces
show interfaces
システム インターフェイスの統計情報を表示するには、show interfaces コマンドを使用します。
show interfaces
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン インターフェイスの統計情報は、管理インターフェイスにブラウザ接続できないなどのシステム
の問題を解決するために使用します。システムインターフェイスはシステムへの管理接続の処理
と一般的なシステムの機能に関連します。 対象となるシステム インターフェイスは 2 台ありま
す。
• eth0 は管理インターフェイスです。 このインターフェイスの IP アドレス、ネット マスク、
およびゲートウェイを設定するには、setup コマンドを使用します。
• lo はループバック インターフェイスです。
___________________
例
次に、システムのインターフェイス統計情報を表示する方法を示します。
hostname> show interfaces
eth0
Link encap:Ethernet HWaddr 00:50:56:AA:00:7A
inet addr:10.89.31.65 Bcast:10.89.31.255 Mask:255.255.255.0
inet6 addr: fe80::250:56ff:feaa:7a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:289909 errors:1 dropped:1 overruns:0 frame:0
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
59
i ～ show ntp コマンド
show interfaces
TX packets:127446 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:162846062 (155.3 MiB) TX bytes:47172438 (44.9 MiB)
Interrupt:19 Base address:0x2000
lo
Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.255.255.255
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:3696 errors:0 dropped:0 overruns:0 frame:0
TX packets:3696 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:464398 (453.5 KiB) TX bytes:464398 (453.5 KiB)
hostname>
次の表でフィールドを説明します。
表 1：show interface の表示フィールド
フィールド
説明
Link encap
インターフェイスのタイプ（イーサネット、ローカル ループバックなど）
HWaddr
インターフェイスのハードウェア アドレス（MAC アドレス）（存在する場
合）
inet addr
インターフェイスの IPv4 アドレス
Bcast addr
インターフェイスのブロードキャストアドレス
Mask
サブネット マスク。
inet6 addr
プレフィックス長を含むインターフェイスの IPv6 アドレス
Scope
IPv6 アドレスの範囲：
• Host：このホストに制限されます。
• Link：システムが接続されているネットワーク リンクに制限されるリ
ンクローカル アドレスです。 アドレスは、リンクの外部にルーティン
グされません。
• Site：サイトのネットワークに制限されるサイトローカル アドレスで
す。ボーダールータは、サイト外のアドレスをアドバタイズしません。
• Global：インターネットでルーティング可能なグローバル アドレスで
す。 スタティック IPv6 アドレスはグローバル アドレスです。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
60
OL-26836-02-J
i ～ show ntp コマンド
show interfaces
フィールド
説明
(flags)
インターフェイスの特性を示す大文字の単語です。 次に例を示します。
• UP：インターフェイスは設定によってアクティブになっています。
• BROADCAST：インターフェイスのブロードキャスト アドレスがあり
ます。
• LOOPBACK：インターフェイスはループバック インターフェイスで
す。
• RUNNING：インターフェイスは正常に動作しています。
• MULTICAST：インターフェイスはマルチキャスト パケットを送受信で
きます。
___________________
関連コマンド
MTU
最大伝送単位
Metric
ルートの相対コストを示すルーティング メトリック
RX packets
受信パケットの統計情報（受信エラーなしの回数、エラー パケットの数、ド
ロップの回数、オーバーランが原因で失われた回数など）
TX packets
送信パケットの統計情報（送信エラーなしの回数、エラー パケットの数、ド
ロップの回数、オーバーランが原因で失われた回数、コリジョンの回数、送
信キューの長さなど）
RX bytes、TX
bytes
送受信したバイト数
コマンド
説明
show diskusage
システムに設定されているディスクを示します。
show netstat
ネットワークの統計情報を表示します。
show services status
システム プロセスの現在のステータスを表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
61
i ～ show ntp コマンド
show netstat
show netstat
Cisco Technical Assistance Center（TAC）を利用してシステムの問題を解決する際の支援としてネッ
トワーク統計情報を表示するには、show netstat コマンドを使用します。
show netstat
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン The show netstat コマンドは、Cisco TAC を利用したトラブルシューティングを支援します。 これ
は、通常の動作または最初のトラブルシューティングに使用されるコマンドではありません。
コマンド出力は次の情報を含み、2 つのセクションに分割されます。
表 2：show netstat の表示フィールド
フィールド
説明
Active Internet Connections：ネットワーク接続ソケットのリストです。 テーブルには、次の
フィールドが含まれています。
Proto
接続で使用されるプロトコル（TCP または UDP）。
Recv-Q
ローカル クライアントがまだコピーしていない受信キューのバイト数。
Send-Q
リモート（外部）ホストに承認されていない送信バイト数はキュー。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
62
OL-26836-02-J
i ～ show ntp コマンド
show netstat
フィールド
説明
Local Address
接続のローカル エンドの IP アドレスまたはホスト名とポート番号。
Foreign Address
接続のリモート エンドの IP アドレスまたはホスト名とポート番号。
State
接続の現在の状態：
• ESTABLISHED：ソケットには確立された接続があります。
• SYN_SENT：ソケットは接続を確立しようとしています。
• SYN_RECV：接続要求がネットワークから受信されています。
• FIN_WAIT1：ソケットが終了し、接続がシャットダウンされています。
• FIN_WAIT2：ソケットがリモート エンドからのシャットダウンを待っ
ていますが、接続が終了しています。
• TIME_WAIT：ソケットは終了していますが、ネットワーク上に残った
パケットを処理するために待機しています。
• CLOSED：ソケットが終了しています。
• CLOSE_WAIT：ソケットは終了を待機していますが、リモート エンド
が接続をシャットダウンしています。
• LAST_ACK：ソケットは終了し、リモート エンドは接続をシャットダ
ウンしています。ソケットは確認応答を待機しています。
• CLOSING：ローカルおよびリモートのソケットを終了中ですが、ロー
カル ソケットはまだデータを送信していません。
• UNKNOWN：接続の状態は不明です。
Active UNIX Domain Sockets：UNIX ドメイン ソケットのリスト。 テーブルには、次のフィール
ドが含まれています。
Proto
ソケットによって使用されるプロトコル（通常は unix）。
RefCnt
ソケットを介して接続するプロセスの数。
Flags
関連する唯一のフラグは ACC です。対応するプロセスが接続要求を待機し
ているときに未接続のソケットに表示されます。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
63
i ～ show ntp コマンド
show netstat
フィールド
説明
Type
ソケットのタイプ。
• DGRAM：データグラム（コネクションレス型）ソケット。
• STREAM：ストリーム（接続）ソケット。
• RAW：Raw ソケット。
• RDM：確実に渡されたメッセージ ソケット。
• SEQPACKET：連続するパケットのソケット。
• PACKET：RAW インターフェイス アクセス ソケット。
State
ソケットの状態。
• FREE：ソケットは割り当てられていません。
• LISTENING：ソケットは接続要求をリスニングしています。
• CONNECTING：ソケットは、接続を確立しているところです。
• CONNECTED：ソケットは接続されています。
• DISCONNECTED：ソケットは切断されています。
• (Empty, blank)：ソケットは他のソケットに接続されていません。
___________________
例
I-Node
I ノード。
Path
ソケットに接続されたプロセスのファイル システム パス。
次に、ネットワーク統計情報を表示する例を示します。 出力は簡略化のために編集されていま
す。
hostname> show netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address
Foreign Address
State
tcp
0
0 127.0.0.1:41386
127.0.0.1:4466
ESTABLISHED
tcp
0
0 127.0.0.1:41385
127.0.0.1:4466
ESTABLISHED
tcp
0
0 127.0.0.1:41384
127.0.0.1:4466
ESTABLISHED
tcp
0
0 127.0.0.1:41387
127.0.0.1:4466
ESTABLISHED
tcp
0
0 127.0.0.1:41388
127.0.0.1:4466
ESTABLISHED
tcp
0
0 ::ffff:127.0.0.1%31348416:4466 ::ffff:127.0.0.1:41385 ESTABLISHED
tcp
0
0 ::ffff:127.0.0.1%31348416:4466 ::ffff:127.0.0.1:41388 ESTABLISHED
tcp
0
0 ::ffff:127.0.0.1%31348416:4466 ::ffff:127.0.0.1:41387 ESTABLISHED
tcp
0
0 ::ffff:127.0.0.1%31348416:4466 ::ffff:127.0.0.1:41386 ESTABLISHED
tcp
0
0 ::ffff:127.0.0.1%31348416:4466 ::ffff:127.0.0.1:41384 ESTABLISHED
tcp
0
672 ::ffff:10.89.31.65%31348416:22 ::ffff:10.21.75.232:4149 ESTABLISHED
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags
Type
State
I-Node Path
unix 8
[ ]
DGRAM
14955 /dev/log
unix 2
[ ]
DGRAM
140 @/org/kernel/udev/udevd
ASA CX および Cisco Prime Security Manager コマンド リファレンス
64
OL-26836-02-J
i ～ show ntp コマンド
show netstat
... (Remaining output removed for publishing purposes) ...
hostname>
___________________
関連コマンド
コマンド
説明
show diskusage
システムに設定されているディスクを示します。
show interfaces
システム インターフェイスのステータスを表示します。
show services status
システム プロセスの現在のステータスを表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
65
i ～ show ntp コマンド
show ntp
show ntp
現在設定されているネットワーク タイム プロトコル（NTP）サーバおよびアソシエーションを表
示するには、show ntp コマンドを使用します。
show ntp
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン NTP サーバを設定するには、setup または config ntp コマンドを使用します。 show ntp コマンド
は、設定で定義されたサーバとともに他の NTP サーバへのアソシエーションの情報を表示しま
す。
NTP のテーブルには、次のカラムが表示されます。
• Leading characters in display lines：表示行の先頭には次の文字を 1 つまたは複数設定できま
す。
• *：現在の時刻源です。
• #：ピアは選択されますが、距離は最大値を超えます。
• o：ピアは選択され、パルス/秒（PPS）が使用されます。
• +：ピアは選択され、最終的なセットに格納されます。
• x：ピアは偽のティッカーを持ちます。
• . ：ピアは候補リストの端から選択されます。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
66
OL-26836-02-J
i ～ show ntp コマンド
show ntp
• -：ピアはクラスタのアルゴリズムによって廃棄されます。
• 空白：ピアは廃棄された大きなストラタムです。健全性チェックに失敗しています。
• Remote：設定された NTP サーバのリモート ピアの名前またはアドレス。
• Refid：ピアを同期化するソース（存在する場合）。 有効な値は次のとおりです。
• IP address：：リモート NTP ピアまたはサーバ。
• .LOCL.：使用可能なリモート ピアまたはサーバがない場合に発生する可能性のあるこ
のローカル ホスト。
• .PPS.：標準時からのパルス/秒。
• .IRIG.：射程間計装グループのタイム コード。
• .ACTS.：米国 NIST の標準時の電話モデム。
• .NIST.：米国 NIST の標準時の電話モデム。
• .PTB.：ドイツ PTB の標準時の電話モデム。
• .USNO.：米国 USNO の標準時の電話モデム。
• .CHU.：CHU（HF、オタワ、ON、カナダ）の標準時の無線レシーバ。
• .DCFa.：DCF77（LF、マインフリンゲン、ドイツ）の標準時の無線レシーバ。
• .HBG.：HBG（LF、プランジャン、スイス）の標準時の無線レシーバ。
• .JJY.：JJY（LF、福島、日本）の標準時の無線レシーバ。
• .MSF.：MSF（LF、アンソーン、英国）の標準時の無線レシーバ。
• .TDF.：TDF（MF、アルイ、フランス）の標準時の無線レシーバ。
• .WWV.：WWV（HF、フォート・コリンズ、CO、米国）の標準時の無線レシーバ。
• .WWVB.：WWVB（LF、フォート・コリンズ、CO、米国）の標準時の無線レシーバ。
• .WWVH.：WWVH（HF、カウアイ、HI、米国）の標準時の無線レシーバ。
• .GOES.：米国の静止軌道環境衛星。
• .GPS.：米国の全地球測位システム。
• .GAL.：欧州のガリレオ測位衛星システム
• .ACST.：メニーキャスト サーバ。
• .AUTH.：認証エラー。
• .AUTO. ：オートキー シーケンス エラー。
• .BCST.：ブロードキャスト サーバ。
• .CRYPT.：オートキー プロトコル エラー。
• .DENY.：サーバによって拒否されたアクセス。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
67
i ～ show ntp コマンド
show ntp
• .INIT.：初期化された関連付け。
• .MCST.：マルチキャスト サーバ。
• .RATE.：超過したポーリング レート。
• .TIME.：アソシエーションのタイム アウト。
• .STEP.：ステップ時間の変更（オフセットはパニックしきい値（1000ms）未満かつス
テップしきい値（125ms）を超える）
• ST：ピアのストラタム
• T：ストラタムのタイプ。
• l：ローカル。
• u：ユニキャスト （最も一般的なタイプ）。
• m：マルチキャスト。
• b：ブロードキャスト。
• -：ネットワーク アドレス。
• When：ピアから最後の NTP パケットを受信してからの時間（秒）。
• Poll：ポーリング間隔（秒）。
• Reach：ピアへの到達の成功または失敗。 値 357 は、すべての試行が成功したことを示しま
す。
• Delay：ピアからの応答を受信するラウンド トリップ時間（ミリ秒）。
• Offset：ローカル クロックに対するピア クロックの相対時間（ミリ秒）。
• Jitter：2 個のサンプル間の差（ミリ秒）。
___________________
例
次に、NTP サーバの設定とアソシエーションを表示する例を示します。
hostname> show ntp
remote
refid
st t when poll reach
delay
offset jitter
==============================================================================
+ntp-m.example.c 10.103.34.15
2 u
24
64 377
2.894 -516.74 171.524
*ntp-rt.example. .GPS.
1 u
50
64 377
75.657 -500.58 172.603
hostname>
次は、NTP をイネーブルにしなかった場合の表示内容です。 この例では、現地時間が使用されて
います。
hostname> show ntp
NTP service is disabled
hostname>
ASA CX および Cisco Prime Security Manager コマンド リファレンス
68
OL-26836-02-J
i ～ show ntp コマンド
show ntp
___________________
関連コマンド
コマンド
説明
config ntp
ネットワーク タイム プロトコル（NTP）サーバを設定して時刻を設定
します。
config time
現地の日時を設定します。
config timezone
タイム ゾーンを設定します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
69
i ～ show ntp コマンド
show ntp
ASA CX および Cisco Prime Security Manager コマンド リファレンス
70
OL-26836-02-J
show opdata ～ show raid コマンド
• show opdata adisessions, 72 ページ
• show opdata arptable, 74 ページ
• show opdata blocks, 76 ページ
• show opdata connections, 81 ページ
• show opdata flowdrop, 84 ページ
• show opdata framedrop, 100 ページ
• show opdata interface, 131 ページ
• show opdata policy, 136 ページ
• show opdata summary, 140 ページ
• show partitions, 142 ページ
• show platform hardware, 144 ページ
• show platform software, 146 ページ
• show raid, 148 ページ
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
71
show opdata ～ show raid コマンド
show opdata adisessions
show opdata adisessions
現在の認証ディレクトリ インターフェイス（ADI）セッション情報を表示するには、show opdata
adisessions コマンドを使用します。
show opdata adisessions
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(2)
このコマンドが追加されました。
___________________
使用上のガイドライン show opdata adisessions コマンドは、現在の ADI セッションのディレクトリ（ユーザから IP アド
レスへの接続マッピング）を表示するために使用します。 次の情報が表示されます。
フィールド
説明
total_sessions
ディレクトリの現在のセッションの合計数。
contained_op_data {...}
各セッション エントリは次の情報で構成されます。
• realm：トラフィックを認証するために使用される領域、または認
証サーバ。
• username：このセッションで認証されたユーザの名前。
• ip：このセッションに割り当てられた IP アドレス。
• identity_type：セッションからフローのマッピングのタイプ。
• auth_typ：このセッションの認証のタイプ。
___________________
例
次に show opdata adisessions コマンドの出力例を示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
72
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata adisessions
（注）
ADI セッション ディレクトリは、場所によっては「VDI（仮想ディレクトリ インターフェイ
ス）」セッション ディレクトリと呼ばる場合もあります。略語は同じ意味で使用されます。
hostname>show opdata adisessions
Vdi Session Directory:
============================
total_sessions: 4
contained_op_data {
realm: "my_asacx"
username: "doe, john"
ip: "198.51.100.1"
identity_type: IDENTITY_PASSIVE
auth_type: AUTH_TYPE_NEGOTIATE
}
contained_op_data {
realm: "my_asacx"
username: "administrator"
ip: "192.0.2.5"
identity_type: IDENTITY_PASSIVE
auth_type: AUTH_TYPE_NEGOTIATE
}
contained_op_data {
realm: "my_asacx"
username: "administrator"
ip: "192.0.2.4"
identity_type: IDENTITY_PASSIVE
auth_type: AUTH_TYPE_NEGOTIATE
}
contained_op_data {
realm: "my_asacx"
username: "smith, john"
ip: "198.51.100.2"
identity_type: IDENTITY_PASSIVE
auth_type: AUTH_TYPE_NEGOTIATE
}
hostname>
___________________
関連コマンド
コマンド
説明
clear opdata adisessions すべての ADI セッション情報をクリアします。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
73
show opdata ～ show raid コマンド
show opdata arptable
show opdata arptable
データ プレーンのアドレス解決プロトコル（ARP）テーブルを表示するには、show opdata arptable
コマンドを使用します。
show opdata arptable
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
___________________
使用上のガイドライン デバイスの各コンテキストに割り当てられている各インターフェイスからの各 ARP エントリに対
して次の情報が表示されます。
フィールド
説明
コンテキスト：名前、インターフェイス：名前
entry
___________________
例
各エントリは、リモート ピアの IP アドレス、ステータス、MAC アドレ
ス、およびヒット数（アドレス変換）で構成されます。
次に、データ プレーン ARP テーブルの統計情報を表示する例を示します。 出力は簡略化のため
に編集されています。
hostname>show opdata arptable
Data Plane ARP Table:
=====================
Context: NATIVE, Interface: outside
192.168.1.10
Active
0050.56aa.0022 hits 0
ASA CX および Cisco Prime Security Manager コマンド リファレンス
74
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata arptable
0.0.0.0
192.168.2.1
Active
Active
0050.56aa.0022 hits 0
0050.5600.0203 hits 796
Context: NATIVE, Interface: inside
192.168.1.10
Active
0050.56aa.0022 hits 0
0.0.0.0
Active
0050.56aa.0022 hits 0
192.168.2.2
Active
0050.5600.0202 hits 1202
... (Remaining output removed for publishing purposes) ...
___________________
関連コマンド
関連するコマンドはありません。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
75
show opdata ～ show raid コマンド
show opdata blocks
show opdata blocks
パケット バッファ ブロック情報を表示するには、show opdata blocks コマンドを表示します。
show opdata blocks {free| assigned| free core| assigned core| interface| core}
___________________
構文の説明
core
（オプション）コアごとのブロックの使用状況のデータを表示します。
free
（オプション）使用可能なブロックを表示します。 show opdata blocks
free コマンドには、次のキーワードを付加することができます。
• core：（オプション）コアごとのベースで使用可能なブロックを表
示します。
assigned
（オプション）割り当て済みでアプリケーションによって使用されてい
るブロックを表示します。 show opdata blocks assigned コマンドには、次
のキーワードを付加することができます。
• core：（オプション）コアごとのベースで使用可能なブロックを表
示します。
interface
___________________
コマンド モード
（オプション）インターフェイスごとのブロックの使用状況のデータを
表示します。
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
___________________
使用上のガイドライン さまざまなメモリおよびシステム バッファの使用状況の統計情報を表示するには、show opdata
blocks コマンドを使用します。 この情報は、リークの検出に役立ち、システムが過負荷になって
いるかどうかを確認します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
76
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata blocks
___________________
例
show opdata blocks コマンドは、追加のキーワードなしで使用できます。 次に、出力の例を示し
ます。
hostname>show opdata blocks
Data Plane Blocks Usage Stats:
===========================
SIZE
MAX
LOW
CNT
0
4
80
256
1550
2048
9472
100
100
5400
5100
10100
2100
5000
100
100
5400
5100
10100
2100
5000
100
100
5400
5100
10100
2100
5000
show opdata blocks で表示されるカラムは次のとおりです。
• SIZE：ブロック プールのサイズ（バイト）。 それぞれのサイズは、次のような特定のタイ
プを表します。
◦ 0：重複メッセージ（dupb）ブロックに使用されます。
◦ 4：DNS、ISAKMP、URL フィルタリング、uauth、TFTP、TCP モジュールなどのアプリ
ケーションの既存のブロックを複製します。 また、このサイズのブロックはドライバな
どにパケットを転送するために使用できます。
◦ 80：TCP 代行受信で確認応答パケットを生成するために、およびフェールオーバー hello
メッセージに使用されます
◦ 256：ステートフル フェールオーバー アップデート、syslog メッセージおよびその他の
TCP 機能に使用されます。
これらのブロックは、主にステートフル フェールオーバーのメッセージに使用されま
す。 アクティブなデバイスは、パケットを生成してスタンバイ状態のデバイスに送信
し、変換と接続のテーブルを更新します。 接続が頻繁に作成または切断されるバースト
トラフィックが発生すると、使用可能なブロックの数が 0 まで低下することがありま
す。 この状況は、1 つまたはそれ以上の接続がスタンバイ状態のデバイスに対して更新
されなかったことを示しています。 ステートフル フェールオーバー プロトコルは、不
明な変換または接続を次回に捕捉します。 256 バイト ブロックの CNT カラムが長時間
にわたって 0 またはその付近で停滞している場合は、デバイスの処理している 1 秒あた
りの接続数が非常に多いために、変換テーブルと接続テーブルの同期が取れている状態
をデバイスが維持できない問題が発生します。
デバイスから送信される syslog メッセージも 256 バイト ブロックを使用しますが、256
バイト ブロック プールが枯渇するような量が発行されることは通常ありません。 CNT
カラムの示す 256 バイト ブロックの数が 0 に近い場合は、Debugging（レベル 7）のロ
グを syslog サーバに記録していないことを確認してください。 ロギングは、デバッグ
のために詳細な情報が必要となる場合を除いて、Notification（レベル 5）以下に設定す
ることを推奨します。
◦ 1550：処理用のイーサネット パケットを格納するために使用されます。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
77
show opdata ～ show raid コマンド
show opdata blocks
パケットは、インターフェイスに入ると入力インターフェイス キューに配置され、次に
オペレーティング システムに渡されてブロックに配置されます。 デバイスは、パケッ
トを許可するか拒否するかをセキュリティ ポリシーに基づいて決定し、パケットを発信
インターフェイス上の出力キューに配置します。 デバイスがトラフィックの負荷に対応
できていない場合は、使用可能なブロックの数が 0 付近で停滞します（CNT カラムに示
されます）。 CNT カラムが 0 になると、デバイスはさらにブロックを確保しようとし
ます（最大で 8192 個まで）。 使用できるブロックがない場合、パケットは廃棄されま
す。
◦ 2048：制御の更新に使用される制御フレームまたはガイド付きフレーム。
◦ 9472：
• MAX：指定したバイト ブロックのプールで使用可能なブロックの最大数。 最大ブロック数
は、起動時に割り当てられます。 通常、ブロックの最大数は変化しません。 例外は 256 バ
イト ブロックと 1550 バイト ブロックで、デバイスはこれらのブロックを必要に応じてダイ
ナミックに作成できます（最大で 8192 個）。
• LOW：直近のリブート以降に利用可能な、このサイズのブロックの最小数。 LOW カラムが
0 である場合は、先行のイベントでメモリが消耗したことを示します。
• CNT：特定のサイズのブロック プールで現在使用可能なブロックの数。 CNT カラムが 0 で
ある場合は、メモリが現在いっぱいであることを意味します。
次に show opdata blocks assigned の出力例を示します。
hostname>show opdata blocks assigned
Data Plane Blocks Usage Stats:
===========================
Class 0, size 0
Block
allocd_by
freed_by data size
alloccnt
dup_cnt
oper location
data size
alloccnt
dup_cnt
oper location
data size
alloccnt
dup_cnt
oper location
data size
alloccnt
dup_cnt
oper location
data size
alloccnt
dup_cnt
oper location
data size
alloccnt
dup_cnt
oper location
Found 100 of 100 blocks
Displaying 0 of 100 blocks
Class 1, size 4
Block
allocd_by
freed_by
Found 100 of 100 blocks
Displaying 0 of 100 blocks
Class 2, size 80
Block
allocd_by
freed_by
Found 5400 of 5400 blocks
Displaying 0 of 5400 blocks
Class 3, size 256
Block
allocd_by
freed_by
Found 5100 of 5100 blocks
Displaying 0 of 5100 blocks
Class 4, size 1550
Block
allocd_by
freed_by
Found 10100 of 10100 blocks
Displaying 0 of 10100 blocks
Class 5, size 2048
Block
allocd_by
freed_by
ASA CX および Cisco Prime Security Manager コマンド リファレンス
78
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata blocks
Found 2100 of 2100 blocks
Displaying 0 of 2100 blocks
Class 9, size 9472
Block
allocd_by
freed_by
data size
alloccnt
dup_cnt
oper location
Found 5000 of 5000 blocks
Displaying 0 of 5000 blocks
表 3：show opdata blocks assigned（assigned core、free、free core）の表示カラム
カラム
説明
Block
ブロックのアドレス。
allocd_by
ブロックを最後に使用したアプリケーションのプログラム アドレス（使
用されていない場合は 0）。
freed_by
ブロックを最後に解放したアプリケーションのプログラム アドレス。
data size
ブロック内のアプリケーション バッファまたはパケット データのサイ
ズ
alloccnt
このブロックが作成後に使用された回数。
dup_cnt
このブロックに対する現時点での参照回数（このブロックが使用されて
いる場合）。0 は 1 回の参照、1 は 2 回の参照を意味します。
oper
ブロックに対して最後に実行された動作（alloc、get、put、free）。
location
ブロックを使用しているアプリケーション。または、ブロックを最後に
割り当てたアプリケーションのプログラム アドレス（allocd_by フィー
ルドと同じ）。
次に、show opdata blocks free の出力例を示します。 出力は簡略化のために編集されています。
hostname>show opdata blocks free
Class 5, size 2048
Block
allocd_by
freed_by data size
alloccnt
dup_cnt
oper location
0x7f2db8b81080 (nil) 0x6a75b8
0
0 4294967295 free freelist
0x7f2db8b80340 (nil) 0x6a75b8
0
0 4294967295 free freelist
0x7f2db8b7f600 (nil) 0x6a75b8
0
0 4294967295 free freelist
0x7f2db8b7e8c0 (nil) 0x6a75b8
0
0 4294967295 free freelist
0x7f2db8b7db80 (nil) 0x6a75b8
0
0 4294967295 free freelist
... (Portions of output removed for publishing purposes) ...
0x7f2db8b3ec80 (nil) 0x6a75b8
0
0 4294967295 free freelist
0x7f2db8b3df40 (nil) 0x6a75b8
0
0 4294967295 free freelist
Found 2100 of 2100 blocks
Displaying 82 of 2100 blocks
次に、show opdata blocks interface の出力例を示します。
hostname>show opdata blocks interface
Data Plane Blocks Usage Stats:
===========================
Memory Pool SIZE
LIMIT/MAX
LOW
CNT
GLB:HELD
GLB:TOTAL
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
79
show opdata ～ show raid コマンド
show opdata blocks
DMA
9472
6144
Cache pool statistics:
Queue
LIMIT/MAX
Core 0
1024
Core 1
1024
Core 2
1024
Core 3
1024
Global
1024
___________________
関連コマンド
2200
2200
LOW
0
15
13
1024
0
CNT
15
437
422
0
0
0
0
関連するコマンドはありません。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
80
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata connections
show opdata connections
現在およびピーク時の TCP および UDP の同時接続の数を表示するには、show opdata connections
コマンドを使用します。
show opdata connections
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
___________________
使用上のガイドライン 次の情報がデバイスに対して表示されます。
表 4：show opdata connections の表示フィールド
フィールド
説明
in_use_connections
アクティブな TCP および UDP 接続の数。
most_used_connections
TCP および UDP の同時接続の最大数。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
81
show opdata ～ show raid コマンド
show opdata connections
フィールド
説明
contained_op_data {...}
最近開始された個別接続の詳細。 詳細には、プロトコル、インターフェ
イスとの関係、ポート情報、時刻データおよび転送されるバイトが含ま
れます。
最大 200 の接続の詳細が表示されます。 つまり、デバイスの接続は最
近の約 200 件だけが表示されます。 接続数が 200 未満の場合、すべて
が表示されます。 200 を超える場合、最近の 200 件が「Displayed first
NNN Connections（最近の接続 NNN 件を表示しています）」のメッセー
ジとともに表示されます。
デバイスへの合計接続数を見つけるには、show opdata summary コマン
ドを使用して、固定接続の合計数を一覧表示します。
___________________
例
hostname>show opdata connections
Data Plane Connections:
=======================
in_use_connections: 1724
most_used_connections: 123729
contained_op_data {
protocol: TCP
from_interface: "inside"
from_ip: "192.168.1.173"
from_port: 32183
to_interface: "inside"
to_ip: "192.168.2.7"
to_port: 80
idle_time: 4849
up_time: 5264
idle_timeout: 3660000
bytes_transferred: 3425
}
contained_op_data {
protocol: TCP
from_interface: "inside"
from_ip: "192.168.1.173"
from_port: 32178
to_interface: "inside"
to_ip: "192.168.2.3"
to_port: 80
idle_time: 14238
up_time: 14473
idle_timeout: 3660000
bytes_transferred: 6435
}
... (Remaining output removed for publishing purposes) ...
hostname>
___________________
関連コマンド
コマンド
説明
clear opdata connections 接続の統計情報をクリアします。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
82
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata connections
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
83
show opdata ～ show raid コマンド
show opdata flowdrop
show opdata flowdrop
トラブルシューティングに役立てるためにドロップされたフロー（接続）の情報を表示するには、
show opdata flowdrop コマンドを使用します。
show opdata flowdrop
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
___________________
使用上のガイドライン 次の表に、フロー（接続）がドロップされた原因を説明します。
（注）
この情報はデバッグの目的でのみ使用されます。また、情報の出力は変更される可能性があり
ます。 このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC
にお問い合わせください。
Reason
説明
Tunnel has been torn down (tunnel-torn-down)
IPSec セキュリティ アソシエーションが削除中の確立済みフローに関
連付けられたパケットをアプライアンスが受信すると、このカウンタ
が増分します。
推奨事項：IPSec トンネルが何らかの理由で切断された場合、これは
正常な状態です。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
84
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata flowdrop
Reason
説明
No memory to complete flow (out-of-memory)
アプライアンスがメモリ不足のためにフローを作成できない場合、こ
のカウンタが増分します。
推奨事項：現在の接続をチェックして、アプライアンスが攻撃を受け
ていないことを確認します。 また、設定したタイムアウト値が大きす
ぎるために、アイドル状態のフローがメモリに長時間常駐していない
かどうかも確認します。 空きメモリをチェックし、空きメモリが少な
い場合は、どのプロセスがメモリの大部分を使用しているかを確認し
ます。
Parent flow is closed (parent-closed)
下位フローの親フローが終了すると、下位フローも終了します。 たと
えば、FTP データ制御フロー（親フロー）が終了すると、この理由に
より FTP データ フロー（下位フロー）も終了します。 また、この理
由は、制御アプリケーションによってセカンダリ フロー（pin-hole）
が終了した場合にも該当します。 たとえば、BYE メッセージを受信
すると、SIP インスペクション エンジン（制御アプリケーション）は
対応する SIP RTP フロー（セカンダリ フロー）を終了します。
推奨事項：なし。
Flow closed by inspection (closed-by-inspection)
この理由は、アプリケーション インスペクション中にエラーが検出さ
れたためにフローが終了したことによるものです。 たとえば、H323
メッセージの検査中にエラーが検出された場合、この理由により対応
する H323 フローが終了します。
推奨事項：なし。
Failover primary closed (fo-primary-closed)
スタンバイ装置がアクティブ装置からフロー削除メッセージを受信
し、フローを終了しました。
推奨事項：アプライアンスがステートフル フェールオーバーを実行し
ている場合は、スタンバイ アプライアンス上で切断された接続が複製
されるたびに、このカウンタが増分します。
Flow closed by failover standby (fo-standby)
スタンバイ状態のアプライアンスまたはコンテキストに
through-the-appliance パケットが届くと、フローが作成され、そのパ
ケットはドロップされ、作成されたフローは削除されます。 このカウ
ンタは、この方法でフローが削除される場合に、その都度増分しま
す。
推奨事項：アクティブなアプライアンスまたはコンテキスト上では、
このカウンタが増分することはありません。 ただし、スタンバイ ア
プライアンスまたはコンテキスト上では、増分するのが普通です。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
85
show opdata ～ show raid コマンド
show opdata flowdrop
Reason
説明
Standby flow replication error (fo_rep_err)
スタンバイ装置がフローの複製に失敗しました。
推奨事項：アプライアンスが VPN トラフィックを処理している場合
は、IKE SA 情報よりも先にフローが複製されるため、このカウンタ
はスタンバイ装置上で常に増分しています。 この場合、アクションは
不要です。
ただし、アプライアンスが VPN トラフィックを処理していない場合
は、ソフトウェア障害があります。 スタンバイ装置のデバッグをオン
にしてデバッグ出力を収集し、この問題を Cisco TAC に報告してくだ
さい。
Flow is a loopback (loopback)
この理由は、1）U-turn トラフィックがあり、2）same-security-traffic
permit intra-interface が設定されていない場合にフローが終了したこと
を示します。
推奨事項：インターフェイス上で U-turn トラフィックを許可するに
は、そのインターフェイスを same-security-traffic permit intra-interface
で設定します。
Flow is denied by access rule (acl-drop)
このカウンタは、ドロップ ルールがフローの作成を拒否すると増分し
ます。 ACL がインターフェイスなどに適用されていて、各種機能が
オン/オフになっている場合、これはアプライアンスに電源が投入され
たときに作成されたデフォルトのルールであることもあります。
デフォルトのルールによるドロップとは別に、フローは次の理由で拒
否される場合があります。
• インターフェイスに ACL ルールが設定されている。
• AAA に設定された ACL および AAA ルールがユーザを拒否した。
• 管理専用インターフェイスに through-box トラフィックが到達し
た。
• IPSec がイネーブルになっているインターフェイスに、暗号化さ
れていないトラフィックが到達した。
• ACL の末尾に暗黙の「deny IP any any」ルールがある。
推奨事項：パケット ドロップ（106023、106100、106004）に関連する
syslog をすべて特定します。 フロー ドロップにより、対応するパケッ
トドロップの syslog が発行されます。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
86
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata flowdrop
Reason
説明
Pinhole timeout (pinhole-timeout)
アプライアンスがセカンダリ フローを開始しましたが、タイムアウト
間隔内にこのフローにパケットが渡されなかったためにフローが削除
されたことを報告する場合、このカウンタが増分します。 セカンダリ
フローの例としては、FTP コントロール チャネル上でネゴシエーショ
ンの成功後に作成される FTP データ チャネルがあります。
推奨事項：アクションは不要です。
Host is removed (host-removed)
clear local-host コマンドに応答してフローが削除されました。
推奨事項：なし（これは情報カウンタです）。
Xlate Clear (xlate-removed)
clear xlate または clear local-host コマンドに応じてフローが削除されま
した。
推奨事項：なし（これは情報カウンタです）。
Connection timeout (connection-timeout)
非アクティブ タイムアウトが期限切れになったためにフローが終了す
ると、このカウンタが増分します。
推奨事項：アクションは不要です。
Connection limit exceeded (conn-limit-exceeded)
これは、接続の制限を超えたためにフローが終了したことを示しま
す。
推奨事項：なし。
TCP FINs (tcp-fins)
TCP FIN パケットが受信されたために TCP フローが終了しました。
推奨事項：なし。 このカウンタは、FIN で各 TCP 接続が正常に終了
すると増分します。
SYN Timeout (syn-timeout)
初期タイマーが期限切れになったために TCP フローが終了しました。
推奨事項：接続の確立に時間のかかる有効なセッションの場合は、初
期タイムアウトを増分します。
FIN Timeout (fin-timeout)
この理由は、ハーフクローズ タイマーが時間切れになったために TCP
フローが終了したことによるものです。
推奨事項：TCP フローの終了よりも時間のかかる有効なセッションが
ある場合は、ハーフクローズ タイムアウトを増分します。
TCP Reset-I (reset-in)
この理由は、（セキュリティが低いインターフェイスからセキュリ
ティが同じまたは高いインターフェイスへの）発信フロー上で TCP
リセットを受信して、そのフローが終了したことによるものです。
推奨事項：なし。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
87
show opdata ～ show raid コマンド
show opdata flowdrop
Reason
説明
TCP Reset-O (reset-out)
この理由は、（セキュリティが高いインターフェイスからセキュリ
ティが低いインターフェイスへの）着信フロー上で TCP リセットを
受信して、そのフローが終了したことによるものです。
推奨事項：なし。
TCP Reset-APPLIANCE (reset-appliance)
この理由は、TCP リセットがアプライアンスによって生成されたとき
にフローが終了したことを示します。
推奨事項：なし。
Close recursive flow (recurse)
フローが再帰的に解放されました。 この理由はペア フロー、マルチ
キャスト スレーブ フローおよび syslog フローに該当し、これらの各
下位フロー対して syslog メッセージは発行されません。
推奨事項：アクションは不要です。
TCP intercept, no response from server
(tcp-intecept-no-response)
SYN 再送信は、1 秒に 1 回の割合で 3 回試行した後にタイムアウトに
なります。 サーバが到達不能のため、接続が切断されました。
推奨事項：サーバが ASA から到達可能であるかどうかをチェックし
ます。
TCP intercept unexpected state
(tcp-intercept-unexpected)
TCP 代行受信モジュールの論理エラーです。このようなことは発生し
ないようになっています。
推奨事項：メモリの破損、または TCP 代行受信モジュールの論理エ
ラーを示しています。
TCP bad retransmission (tcpnorm-rexmit-bad)
この理由は、check-retransmission 機能がイネーブルになっている時に、
TCP エンドポイントから元のパケットと異なるデータが再送信されて
TCP フローが終了したことによるものです。
推奨事項：TCP の再送信の際に異なるデータを送信するという方法
で、TCP エンドポイントが攻撃を加えている可能性があります。 パ
ケット キャプチャ機能を使用して、パケットの発信元の詳細を確認し
てください。
TCP unexpected window size variation
(tcpnorm-win-variation)
この理由は、TCP エンドポイントにアドバタイズされたウィンドウ
サイズが、大量のデータを受け取ることもなく激変し、TCP フローが
終了したことによるものです。
推奨事項：この接続を許可するには、tcp-map で window-variation 設定
を使用します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
88
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata flowdrop
Reason
説明
TCP invalid SYN (tcpnorm-invalid-syn)
この理由は、SYN パケットが無効の場合に TCP フローが終了したこ
とによるものです。
推奨事項：無効なチェックサムや無効な TCP ヘッダーなどの様々な
理由で SYN パケットが無効になっている場合があります。 なぜ SYN
パケットが無効になるかを理解するには、パケット キャプチャ機能を
使用してください。 これらの接続を許可する場合は、tcp-map 設定を
使用してチェックをバイパスします。
Multicast interface removed (mcast-intrf-removed) 出力インターフェイスがマルチキャスト エントリから削除された。 または - すべての出力インターフェイスがマルチキャスト エントリか
ら削除された。
推奨事項：アクションは不要です。 - または - このグループに受信者
が存在しないことを確認します。
Multicast entry removed (mcast-entry-removed)
マルチキャスト フローに一致するパケットが着信したが、マルチキャ
スト サービスがイネーブルでなくなっていた、またはマルチキャスト
フローが作成された後で再度イネーブルにされた。 - または - マルチ
キャスト エントリが削除されたために、フローもクリーン アップさ
れますが、パケットはデータ パスに再び挿入されます。
推奨事項：ディセーブルになっているマルチキャストを再びイネーブ
ルにします。 - または - 必要なアクションはありません。
Flow terminated by TCP Intercept
(tcp-intercept-kill)
最初の SYN で SYN のための接続が作成され、TCP 代行受信が SYN
クッキーで応答する場合、または TCP 代行受信がサーバに SYN を送
信する際に、クライアントからの有効な ACK の表示後にサーバが RST
で応答する場合、TCP 代行受信は接続を切断します。
推奨事項：ネイリング規則がある、パケットが VPN トンネル経由で
着信する、またはクライアントに到達するネクスト ホップ ゲートウェ
イ アドレスが解決されない場合を除き、通常 TCP 代行受信では最初
の SYN に対する接続は作成されません。 そのため、これは最初の
SYN に対して接続が作成されたことを示しています。 TCP 代行受信
がサーバから RST を受信すると、そのサーバ上の対応するポートが
閉じる可能性があります。
Audit failure (audit-failure)
関連付けられたアクションとしてリセットした ip audit シグニチャと
一致した後、フローは解放されました。
推奨事項：このシグニチャと一致したときにフローの削除を望まない
場合は、ip audit コマンドからリセット アクションを削除します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
89
show opdata ～ show raid コマンド
show opdata flowdrop
Reason
説明
Flow terminated by IPS (ips-request)
この理由は、IPS モジュールの要求どおりにフローが終了したことに
よるものです。
推奨事項：IPS モジュールの syslog およびアラートを確認します。
IPS fail-close (ips-fail-close)
この理由は、IPS カードがダウンしている状態で、fail-close オプショ
ンが IPS 検査で使用されたためにフローが終了したことによるもので
す。
推奨事項：IPS カードを確認して動作させます
Flow terminated by punt action (reinject-punt)
検査や AAA などの高度なサービスによる処理のためにパケットが例
外パスにパントされるとこのカウンタが増分し、フローで違反を検出
したサービス ルーチンはフローをドロップするように要求します。
このフローはただちにドロップされます。
推奨事項：詳細については、サービス ルーチンによってトリガーされ
た syslog を参照します。 フロー ドロップにより、対応する接続も終
了します。
Flow shunned (shunned)
排除データベース内にあるホストと一致する送信元 IP アドレスを持
つパケットを受信した場合、このカウンタが増分します。 shun コマ
ンドが適用される場合、それぞれの既存のフローが shun コマンドに
一致するたびに増分します。
推奨事項：アクションは不要です。
Host limit exceeded (host-limit)
このカウンタは、ライセンス数がホスト制限を超えた場合に増分しま
す。
NAT failed (nat-failed)
IP を変換する、またはヘッダーを転送するための xlate の作成が失敗
しました。
推奨事項：NAT が必要でない場合は、nat-control をディセーブルにし
ます。 そうでない場合は、static、nat、global のいずれかのコマンド
を使用して、ドロップされたフローに NAT ポリシーを設定します。
ダイナミック NAT では、各 nat コマンドが少なくとも 1 つの global コ
マンドとペアになっていることを確認します。 NAT 規則を確認する
には、show nat および debug pix process を使用します
NAT reverse path failed (nat-rpf-failed)
変換されたホストの実際のアドレスを使用してそのホストに接続しよ
うとしましたが、拒否されました。
推奨事項：NAT を実施しているホストと同じインターフェイス上にな
い場合は、実際のアドレスの代わりにマッピング アドレスを使用して
ホストに接続します。 また、アプリケーションが IP アドレスを埋め
込む場合は、適切な inspect コマンドをイネーブルにします。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
90
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata flowdrop
Reason
説明
IPSec over IPv6 unsupported (no-ipv6-ipsec)
アプライアンスが、IP バージョン 6 のヘッダーでカプセル化された
IPSec ESP パケット、IPSec NAT-T ESP パケット、または IPSec over
UDP ESP パケットを受信した場合、このカウンタが増分します。 ア
プライアンスは現在 IP バージョン 6 でカプセル化された IPSec セッ
ションをサポートしていません。
推奨事項：なし。
Tunnel being brought up or torn down
(tunnel-pending)
アプライアンスがセキュリティ ポリシー データベース（たとえば
crypto map）のエントリに一致するパケットを受信したが、セキュリ
ティ アソシエーションがネゴシエーションの途中でまだ完了していな
い場合、このカウンタが増分します。 また、アプライアンスがセキュ
リティ ポリシー データベースのエントリに一致するパケットを受信
したが、セキュリティ アソシエーションが削除された、または削除中
である場合にも、このカウンタが増分します。 この表示と「Tunnel
has been torn down」表示の違いは、「Tunnel has been torn down」表示
は確立済みのフロー用であるということです。
推奨事項：IPSec トンネルがネゴシエーション中または削除中の場合、
これは正常な状態です。
Need to start IKE negotiation (need-ike)
アプライアンスが、暗号化の必要があるのに IPSec セキュリティ アソ
シエーションを確立していないパケットを受信した場合、このカウン
タが増分します。 通常 LAN-to-LAN IPSec コンフィギュレーションで
は、これは正常な状態です。 これが表示されると、アプライアンスは
宛先ピアとの ISAKMP ネゴシエーションを開始します。
推奨事項：アプライアンス上で IPSec LAN-to-LAN を設定している場
合は、この表示は正常なもので、問題を示すものではありません。 た
だし、このカウンタが急速に増分する場合は、crypto の設定エラーま
たはネットワーク エラーにより、ISAKMP ネゴシエーションが完了で
きないことを示している可能性があります。 宛先ピアと通信可能であ
ることを確認し、show running-config コマンドで crypto 設定を確認し
ます。
VPN handle error (vpn-handle-error)
このカウンタは、VPN 処理がすでに存在するために、アプライアンス
で VPN 処理を作成できない場合に増分します。
推奨事項：このカウンタは、通常の動作が行われる過程で増分してい
く可能性があります。 ただし、カウンタが急速に増分している場合
や、VPN ベースのアプリケーションに著しい不適切動作が見られる場
合は、ソフトウェアの欠陥である可能性があります。 Cisco TAC にお
問い合わせください。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
91
show opdata ～ show raid コマンド
show opdata flowdrop
Reason
説明
VPN handle not found (vpn-handle-not-found)
データグラムが暗号化または復号ルールにヒットし、関連するフロー
に VPN 処理が見つからない場合、このカウンタは増分します。
推奨事項：このカウンタは、通常の動作が行われる過程で増分してい
く可能性があります。 ただし、カウンタが急速に増分している場合
や、VPN ベースのアプリケーションに著しい不適切動作が見られる場
合は、ソフトウェアの欠陥である可能性があります。 Cisco TAC にお
問い合わせください。
Inspection failure (inspect-fail)
アプライアンスが、接続のために NP によって行われるプロトコル検
査をイネーブルにできなかった場合、このカウンタが増分します。 原
因として考えられるのは、メモリ割り当てが失敗したこと、または
ICMP エラー メッセージの場合は、この ICMP エラー メッセージに埋
め込まれているフレームに関連した確立済みの接続をアプライアンス
が検出できなかったことです。
推奨事項：システム メモリの使用状況をチェックします。 ICMP エ
ラー メッセージに関しては、攻撃が原因の場合、ホストに対して ACL
を使用させないようにすることができます。
Failed to allocate inspection (no-inspect)
このカウンタは、接続が確立されたときにセキュリティ アプライアン
スがランタイム検査のデータ構造の割り当てに失敗すると増分しま
す。 接続はドロップされます。
推奨事項：このエラーの条件は、セキュリティ アプライアンスがシス
テム メモリを使い切ると発生します。 show memory コマンドを発行
して、使用可能な空きメモリをチェックします。
Flow reset by IPS (reset-by-ips)
この理由は、IPS モジュールの要求どおりに TCP フローが終了したこ
とによるものです。
推奨事項：IPS モジュールの syslog およびアラートを確認します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
92
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata flowdrop
Reason
説明
Non-tcp/udp flow reclaimed for new request
(flow-reclaimed)
再要求可能なフローが削除されて新しいフローの要求が可能になる
と、このカウンタが増分します。 これは、アプライアンスを通過する
フロー数がソフトウェアの制限で許可された最大数と等しくなり、新
しいフロー要求が受信された場合にのみ発生します。 この状況が発生
すると、再要求可能なフロー数がアプライアンスで許可されている
VPN トンネル数を超えた場合、最も古い再要求可能なフローが削除さ
れ、新しいフローが可能になります。 すべてのフローが再要求可能と
されていますが、（1）TCP、UDP、GRE、およびフェールオーバー
フロー、（2）ICMP フロー（ICMP ステートフル検査がイネーブルの
場合）、（3）アプライアンスへの ESP フローは除きます。
推奨事項：このカウンタが徐々に増分する場合は、アクションは不要
です。 このカウンタが急速に増分する場合は、アプライアンスが攻撃
を受けていて、アプライアンスのフロー再作成と再要求に時間がか
かっていることを示している可能性があります。
non-syn TCP (non_tcp_syn)
この理由は、最初のパケットが SYN パケットではなかったために TCP
フローが終了したことによるものです。
推奨事項：なし。
IPSec spoof packet detected (ipsec-spoof-detect)
このカウンタは、暗号化されているはずが暗号化されていないパケッ
トをアプライアンスが受信すると増分します。 このパケットは、アプ
ライアンスで設定、確立された IPSec 接続の内部ヘッダー セキュリ
ティ ポリシー チェックに一致しましたが、暗号化されずに受信され
ました。 これはセキュリティの問題です。
推奨事項：ネットワーク トラフィックを分析し、スプーフィングされ
た IPSec トラフィックの送信元を特定します。
RM xlate limit reached (rm-xlate-limit)
このカウンタは、あるコンテキストまたはシステムの xlate が最大数
に達し、新しい接続が試行されると増分します。
推奨事項：デバイスの管理者は、show resource usage コマンドおよび
show resource usage system コマンドを使用して、コンテキストやシス
テムのリソース制限値と「Denied」の回数を確認し、必要に応じてリ
ソース制限値を調整できます。
RM host limit reached (rm-host-limit)
このカウンタは、あるコンテキストまたはシステムのホストが最大数
に達し、新しい接続が試行されると増分します。
推奨事項：デバイスの管理者は、show resource usage コマンドおよび
show resource usage system コマンドを使用して、コンテキストやシス
テムのリソース制限値と「Denied」の回数を確認し、必要に応じてリ
ソース制限値を調整できます。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
93
show opdata ～ show raid コマンド
show opdata flowdrop
Reason
説明
RM inspect rate limit reached (rm-inspect-rate-limit) このカウンタは、コンテキストまたはシステムの検査レートが最大数
に達し、新しい接続が試行されると増分します。
推奨事項：デバイスの管理者は、show resource usage コマンドおよび
show resource usage system コマンドを使用して、コンテキストやシス
テムのリソース制限値と「Denied」の回数を確認し、必要に応じてリ
ソース制限値を調整できます。
tcpmod-connect-clash
TCP 接続ソケットは、既存のリッスン接続と衝突します。 これは、
内部システムのエラーです TAC に連絡します。
SVC spoof packet detected (svc-spoof-detect)
このカウンタは、暗号化されているはずが暗号化されていないパケッ
トをセキュリティ アプライアンスが受信すると増分します。 このパ
ケットは、セキュリティ アプライアンスで設定、確立された SVC 接
続の内部ヘッダー セキュリティ ポリシー チェックに一致しましたが、
暗号化されずに受信されました。 これはセキュリティの問題です。
推奨事項：ネットワーク トラフィックを分析し、スプーフィングされ
た SVC トラフィックの送信元を特定します。
Flow terminated by service module
(ssm-app-request)
このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリ
ティ アプライアンスのみです。 カウンタは、SSM で実行するアプリ
ケーションがセキュリティ アプライアンスに接続を終了するよう要求
すると増分します。
推奨事項：SSM によって生成された事故レポートまたはシステム メッ
セージを照会して、詳細情報を取得することができます。 手順につい
ては、SSM に付属のマニュアルを参照してください。
Service module failed (ssm-app-fail)
このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリ
ティ アプライアンスのみです。 このカウンタは、SSM により検査中
の接続が、SSM にエラーが生じたために終了すると増分します。
推奨事項：セキュリティ アプライアンスのコントロール プレーン内
で動作しているカード マネージャ プロセスが、システム メッセージ
と CLI 警告を発行してこのエラーを通知します。 SSM エラーの問題
解決については、SSM に付属のマニュアルを参照してください。 必
要に応じて Cisco Technical Assistance Center（TAC）にお問い合わせく
ださい。
Service module incompetent (ssm-app-incompetent) このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリ
ティ アプライアンスのみです。 SSM による接続の検査が予定されて
いるが、SSM が検査できない場合に増分します。 このカウンタは将
来使用するために予約されます。 現在のリリースでは常に 0 である必
要があります。
推奨事項：なし。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
94
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata flowdrop
Reason
説明
SSL bad record detected (ssl-bad-record-detect)
このカウンタは、リモート ピアから不明の SSL レコード タイプを受
信するたびに増分します。 ピアから受信した不明のレコード タイプ
はすべて重大エラーとして処理され、このエラーが検出された SSL 接
続は終了しなければなりません。
推奨事項：このカウンタが増分するのはどんなときでも正常でありま
せん。 このカウンタが増分する場合、通常、SSL プロトコルの状態が
クライアント ソフトウェアと同期していないこと示します。 この問
題の原因として最も可能性があるのは、クライアント ソフトウェア内
のソフトウェアの欠陥です。 Cisco TAC にそのクライアント ソフト
ウェアまたは Web ブラウザのバージョンについて問い合わせ、この
問題を解決するために SSL データ交換のネットワーク トレースを提
供してください。
SSL handshake failed (ssl-handshake-failed)
このカウンタは、SSL ハンドシェイクの失敗により TCP 接続がドロッ
プすると増分します。
推奨事項：このカウンタは、SSL ハンドシェイクの失敗により TCP 接
続がドロップしたことを示します。 ハンドシェイク障害状況により生
成された syslog 情報に基づいて問題を解決できない場合は、Cisco TAC
に問い合わせる際に、関連する syslog 情報を提供してください。
SSL malloc error (ssl-malloc-error)
このカウンタは、SSL ライブラリ内で malloc のエラーが発生すると増
分します。 これは、SSL がメモリ バッファまたはパケット ブロック
を割り当てることができないメモリ不足状態であることを示します。
推奨事項：セキュリティ アプライアンスのメモリとパケット ブロッ
クの状態を調べ、このメモリ情報を Cisco the TAC に連絡してくださ
い。
CTM crypto request error (ctm-crypto-request-error) このカウンタは、CTM が暗号要求を受け入れない場合に、その都度
増分します。 これは通常、暗号ハードウェア要求のキューがいっぱい
になっていることを示します。
推奨事項：show crypto protocol statistics ssl コマンドを発行し、この情
報を Cisco TAC に提供してください。
SSL record decryption failed
(ssl-record-decrypt-error)
このカウンタは、SSL データを受信中に復号化エラーが発生すると増
分します。 これは通常、ASA またはピアの SSL コードにバグがある
場合、または攻撃者がデータ ストリームを変更している可能があるこ
とを示します。 SSL 接続は終了されます。
推奨事項：ASA に対する SSL データ ストリームを検証します。 攻撃
者がいない場合は、Cisco TAC へ報告すべきソフトウェア エラーがあ
ることを示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
95
show opdata ～ show raid コマンド
show opdata flowdrop
Reason
説明
A new socket connection was not accepted
(np-socket-conn-not-accepted)
このカウンタは、セキュリティ アプライアンスによって新規のソケッ
ト接続が受け入れられない場合に増分します。
推奨事項：このカウンタは、通常の動作が行われる過程で増分してい
く可能性があります。 ただし、カウンタが急速に増分している場合
や、ソケット ベースのアプリケーションに著しい不適切動作が見られ
る場合は、ソフトウェアの欠陥によって発生している可能性がありま
す。 Cisco TAC に連絡して、問題を詳しく調査してください。
NP socket failure (np-socket-failure)
これは、重大なソケット処理エラーに対する一般的なカウンタです。
推奨事項：これは、ソフトウェアのエラーを Cisco TAC に報告する必
要があることを示しています。
NP socket relay failure (np-socket-relay-failure)
これは、ソケット リレーの処理エラーに対する一般的なカウンタで
す。
推奨事項：このカウンタは、通常の動作が行われる過程で増分してい
く可能性があります。 ただし、カウンタが急速に増分している場合
や、ソケット ベースのアプリケーションに著しい不適切動作が見られ
る場合は、ソフトウェアの欠陥によって発生している可能性がありま
す。 Cisco TAC に連絡して、問題を詳しく調査してください。
NP socket data movement failure
(np-socket-data-move-failure)
このカウンタは、ソケット データの移動時にエラーがあると増分しま
す。
推奨事項：これは、ソフトウェアのエラーを Cisco TAC に報告する必
要があることを示しています。
NP socket new connection failure
(np-socket-new-conn-failure)
このカウンタは、ソケットの新規接続が失敗すると増分します。
NP socket transport closed
(np-socket-transport-closed)
このカウンタは、ソケットに関連する転送が異常終了すると増分しま
す。
推奨事項：これは、ソフトウェアのエラーを Cisco TAC に報告する必
要があることを示しています。
推奨事項：このカウンタは、通常の動作が行われる過程で増分してい
く可能性があります。 ただし、カウンタが急速に増分している場合
や、ソケット ベースのアプリケーションに著しい不適切動作が見られ
る場合は、ソフトウェアの欠陥によって発生している可能性がありま
す。 Cisco TAC に連絡して、問題を詳しく調査してください。
NP socket block conversion failure
(np-socket-block-conv-failure)
このカウンタは、ソケット ブロック変換エラーがあると増分します。
推奨事項：これは、ソフトウェアのエラーを Cisco TAC に報告する必
要があることを示しています。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
96
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata flowdrop
Reason
説明
SSL received close alert (ssl-received-close-alert)
このカウンタは、セキュリティ アプライアンスがリモート クライア
ントから終了アラートを受信すると増分します。 これは、クライアン
トが接続をドロップしようとしていることを通知したことを示しま
す。 通常の接続切断プロセスの一部です。
推奨事項：なし。
An SVC socket connection is being disconnected
on the standby unit (svc-failover)
このカウンタは、アクティブ装置がフェールオーバー変遷の一部とし
てスタンバイ状態に移行するときに新規の SVC ソケット接続が切断
されると増分します。
推奨事項：なし。 これは、現在のデバイスがアクティブからスタンバ
イに移行する際の SVC 接続の通常のクリーンアップの一部です。 デ
バイスでの既存の SVC 接続は有効でなるので、削除する必要があり
ます。
Max per-flow children limit exceeded
(children-limit)
1 つの親フローに関連付けられた子フローが、内部の制限である 200
を超えています。
推奨事項：このメッセージは、動作の不正なアプリケーションまたは
ファイアウォールのメモリを消費するアクティブな試みを示します。
set connection per-client-max コマンドを使用して制限を微調整してくだ
さい。 FTP の場合は、さらに inspect ftp の strict オプションをイネー
ブルにします。
packet-tracer traced flow drop (tracer-flow)
このカウンタは、トレースが完了して解放されたフローについて、
packet-tracer により内部的に使用されます。
推奨事項：なし。
looping-address (sp-looping-address)
このカウンタは、フローの送信元アドレスと宛先アドレスが同じであ
る場合に増分します。 アドレスのプライバシーが有効になっている
SIP フローは、同じ送信元および宛先アドレスを持つことが正常であ
るため、除外されます。
推奨事項：このカウンタが増分する条件は 2 つあります。 一つは、ア
プライアンスが送信元アドレスと宛先アドレスが同じであるパケット
を受信することです。 これは、一種の DoS 攻撃を表します。 もう一
つは、アプライアンスの NAT の NAT 設定で送信元アドレスと宛先ア
ドレスが同じであることです。 syslog メッセージ 106017 を検査して、
カウンタの増分の原因である IP アドレスを特定し、その後攻撃パケッ
トのパケット キャプチャをイネーブルにして、追加の分析を実行する
内容を確認する必要があります。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
97
show opdata ～ show raid コマンド
show opdata flowdrop
Reason
説明
No valid adjacency (no-adjacency)
有効な出力隣接情報がない既存のフローのパケットをセキュリティ ア
プライアンスが受信すると、このカウンタが増分します。 これは、ネ
クスト ホップが到達不可能であるか、ルーティング変更がダイナミッ
ク ルーティング環境で実施された場合に発生します。
推奨事項：アクションは不要です。
IPSec VPN inner policy selector mismatch detected このカウンタは、内部の IP ヘッダーでトンネルの設定ポリシーと一
(ipsec-selector-failure)
致しない IPSec パケットを受信したときに増分します。
推奨事項：トンネルの暗号 ACL リストが正しく、許容されるすべて
のパケットがトンネル ID に含まれていることを確認します。 このメッ
セージが繰り返し表示される場合は、ボックスが攻撃されていないこ
とを確認してください。
NP midpath service failure
(np-midpath-service-failure)
これは、重大な midpath サービスのエラーに対する一般的なカウンタ
です。
推奨事項：これは、ソフトウェアのエラーを Cisco TAC に報告する必
要があることを示しています。
SVC replacement connection established
(svc-replacement-conn)
このカウンタは、SVC 接続が新規接続によって置換されるときに増分
します。
推奨事項：なし。 これは、ユーザが ASA への接続を維持するのが困
難であることを示す場合があります。 ユーザは、ホーム ネットワー
クとインターネット接続の品質を評価できます。
NP midpath CP event failure
(np-midpath-cp-event-failure)
これは、CP に送信できなかった重要な midpath イベントに対するカウ
ンタです。
推奨事項：これは、ソフトウェアのエラーを Cisco TAC に報告する必
要があることを示しています。
NP virtual context removed (np-context-removed) フローに関連付ける仮想コンテキストが削除された場合、このカウン
タが増分します。 これは、マルチコア環境で 1 つのコア CPU が仮想
コンテキストを破壊中に、もう 1 つのコア CPU がコンテキストにフ
ローを作成しようとした場合に発生する可能性があります。
推奨事項：アクションは不要です。
Expired VPN context (vpn-context-expired)
このカウンタは、暗号化または復号化を必要とするパケットをセキュ
リティ アプライアンスが受信する場合、または操作を実行するために
必要な ASP VPN が有効でなくなる場合に増分します。
推奨事項：これは、ソフトウェアのエラーを Cisco TAC に報告する必
要があることを示しています。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
98
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata flowdrop
Reason
説明
IPSec locking error (vpn-lock-error)
内部ロック エラーが原因で VPN フローを作成できない場合、このカ
ウンタが増分します。
推奨事項：この状態は、通常の動作時に発生することはなく、アプラ
イアンスにソフトウェアの問題が発生していることを示す場合があり
ます。 このエラーが発生した場合は、Cisco Technical Assistance Center
（TAC）にお問い合せください。
Flow removed from standby unit due to idle timeout フローが動作している場合に固定内部で行われる必要があるアクティ
(fover-idle-timeout)
ブからの定期的な更新を、スタンバイ装置が受信しなくなると、フ
ローはアイドル状態と見なされます。 このカウンタは、これらのフ
ローがスタンバイ装置から削除されると増分します。
推奨事項：これは情報カウンタです。
Flow matched dynamic-filter blacklist
(dynamic-filter)
トラフィックをドロップするように設定された脅威レベルのしきい値
より高い脅威レベルのダイナミック フィルタ ブラック リストまたは
グレイリストのエントリにフローが一致しました。
推奨事項: 感染したホストを追跡するには、内部 IP アドレスを使用し
ます。 感染を削除するに復旧手順を実行します。
___________________
例
次に show opdata flowdrop コマンドの出力例を示します。
hostname>show opdata flowdrop
Data Plane Drop Stats:
======================
___________________
関連コマンド
コマンド
説明
clear opdata flowdrop
ドロップされたフローの記録をクリアします。
show opdata framedrop ドロップされたフレーム（パケット）に関する情報を表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
99
show opdata ～ show raid コマンド
show opdata framedrop
show opdata framedrop
トラブルシューティングに役立てるためにドロップされたフレームの情報を表示するには、show
opdata framedrop コマンドを使用します。
show opdata framedrop
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
___________________
使用上のガイドライン 次の表に、フレーム（パケット）がドロップされた原因を説明します。
（注）
この情報はデバッグの目的でのみ使用されます。また、情報の出力は変更される可能性があり
ます。 このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC
にお問い合わせください。
Reason
説明
Punt rate limit exceeded (punt-rate-limit)
アプライアンスがレイヤ 2 パケットをレート制限されたコントロール ポイン
ト サービス ルーチンに転送しようとしたが、レート制限（毎秒）を超えてい
る場合、このカウンタが増分します。現在、レート制限されているコントロー
ル ポイント サービス ルーチン宛てのレイヤ 2 パケットは、ARP パケットだ
けです。 ARP パケットのレート制限は、インターフェイスあたり毎秒 500 で
す。
推奨事項：ネットワーク トラフィックを分析し、ARP パケットのレート制限
を超えた理由を判断します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
100
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
Punt no memory (punt-no-mem)
パケットをコントロール ポイントにパントするためのデータ構造を作成する
メモリがない場合、このカウンタが増分し、パケットはドロップされます。
推奨事項：この状態が一時的なものであれば、処理は不要です。 メモリ不足
が原因で、この状態が引き続き発生する場合は、システムをアップグレード
する必要があります。
Punt queue limit exceeded
(punt-queue-limit)
パントのキュー制限を超えた（つまり、コントロール ポイントでボトルネッ
クが発生していることを示す）場合、このカウンタが増分し、パケットはド
ロップされます。
推奨事項：処理は不要です。 これは設計上の制限値です。
Flow is being freed (flow-being-freed)
フローが解放され、検査のためにキューに入れられたすべてのパケットがド
ロップされると、このカウンタが増分します。
推奨事項：処理は不要です。
Invalid Encapsulation (invalid-encap)
サポートされていないリンクレベルのプロトコルに属するフレームを受信し
た場合、またはフレームに指定されているレイヤ 3 タイプがサポートされて
いない場合、このカウンタが増分します。 パケットはドロップされます。
推奨事項：直接接続されているホストのリンクレベル プロトコルの設定が正
しいことを確認します。
Invalid IP header (invalid-ip-header)
IP ヘッダーの算出されたチェックサムとヘッダーに記録されているチェック
サムが一致しない IP パケットを受信した場合、このカウンタが増分し、この
パケットはドロップされます。
推奨事項：ケーブル不良または回線上のノイズにより、パケットが破損した
可能性があります。 また、ピアから破損したパケットが送信され、攻撃を受
けている可能性もあります。 パケット キャプチャを使用して、パケットの発
信元の詳細を確認してください。
Unsupported IP version
(unsupported-ip-version)
IP ヘッダーのバージョン フィールド内に、サポートされていないバージョン
を持つ IP パケットを受信した場合（具体的には、パケットがバージョン 4 ま
たはバージョン 6 に属していない場合）、このカウンタが増分します。 パケッ
トはドロップされます。
推奨事項：ネットワークに接続されている他のデバイスが、バージョン 4 ま
たは 6 のみに属する IP パケットを送信するように設定されていることを確認
します。
Invalid IP Length (invalid-ip-length)
IPv4 または IPv6 パケットを受信し、そのパケットの IP ヘッダー内のヘッダー
長フィールドまたは全長フィールドが有効でない、または受信したパケット
長と矛盾する場合、このカウンタが増分します。
推奨事項：なし。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
101
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
Invalid Ethertype (invalid-ethertype)
フラグメンテーション モジュールが、IP バージョン 4 またはバージョン 6 に
属さないフラグメント化されたパケットを受信した場合、または送信しよう
とした場合、このカウンタが増分します。 パケットはドロップされます。
推奨事項：デバイスの MTU とネットワークに接続されている他のデバイスを
確認し、デバイスがなぜそのようなフラグメントを処理しているのかを判断
します。
Invalid TCP Length
(invalid-tcp-hdr-length)
パケット サイズが許可されている最小ヘッダー長よりも小さい TCP パケッ
ト、または受信したパケット長と矛盾する TCP パケットを受信した場合、こ
のカウンタが増分します。
推奨事項：無効なパケットは、攻撃者から送信された偽造パケットの可能性
があります。 トラフィックの送信元を調査します。
Invalid UDP Length (invalid-udp-length)
受信した UDP パケットのサイズが、ヘッダー内のフィールドから計算された
サイズと、ネットワークから受信したときに測定されたサイズで異なる場合、
このカウンタが増分します。
推奨事項：無効なパケットは、攻撃者から送信された偽造パケットの可能性
があります。
No valid adjacency (no-adjacency)
デバイスが隣接情報を取得しようとしましたが、ネクスト ホップの MAC ア
ドレスを取得できなかった場合、このカウンタが増分します。 パケットはド
ロップされます。
推奨事項：このドロップの理由でキャプチャを設定し、指定された宛先アド
レスのホストが、接続されたネットワークに存在すること、またはデバイス
からルーティング可能であることを確認します。
Unexpected packet (unexpected-packet)
このカウンタは、トランスペアレント モードでデバイスが MAC アドレス宛
の非 IP パケットを受信するが、このパケットを処理するための該当するサー
ビスがアプライアンス上にない場合に増分します。
推奨事項：デバイスが攻撃を受けているかどうか確認します。疑わしいパケッ
トがない場合、またはデバイスがトランスペアレント モードでない場合、こ
のカウンタは、ソフトウェア エラーが原因で増分していると考えられます。
カウンタの増分の原因であるトラフィックを把握し、Cisco Technical Assistance
Center（TAC）に連絡してください。
No route to host (no-route)
デバイスがパケットをインターフェイスから送信しようとしましたが、その
ためのルートがルーティング テーブルで見つからなかった場合、このカウン
タが増分します。
推奨事項：宛先アドレスへのルートが存在することを確認してください。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
102
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
Reverse-path verify failed (rpf-violated)
IP-verify がインターフェイス上に設定されていて、受信したパケットの発信
元 IP ルート検索から得られたインターフェイスが、このパケットが受信され
たインターフェイスと異なる場合、このカウンタが増分します。
推奨事項：トラフィックの送信元をトレースし、スプーフィングされたトラ
フィックを送信している原因を特定します。
Flow is denied by configured rule
(acl-drop)
このカウンタは、パケットがドロップ ルールによってドロップされると増分
します。 ACL がインターフェイスなどに適用されていて、各種機能がオン/オ
フになっている場合、これはデバイスに電源が投入されたときに作成された
デフォルトのルールであることもあります。
デフォルトのルールによるドロップとは別に、パケットは次の理由でドロッ
プされる場合があります。
• インターフェイスに ACL ルールが設定されている。
• AAA に設定された ACL および AAA ルールがユーザを拒否した。
• 管理専用インターフェイスに through-box トラフィックが到達した。
• IPSec がイネーブルになっているインターフェイスに、暗号化されていな
いトラフィックが到達した。
推奨事項：ACL ルールの 1 つに一致しているかどうかを確認します。
Flow denied due to resource limitation
(unable-to-create-flow)
このカウンタは、システム リソースが制限されているため、フローの作成が
失敗すると増分し、パケットはドロップされます。 リソースの制限は、次の
とおりです。
• システム メモリが少ない
• パケット ブロック拡張メモリが少ない
• システムの接続制限
最初の 2 つの原因は、「No memory to complete flow」というフローのドロッ
プ理由と同時に発生します。
推奨事項：フリー システムのメモリが少ないかどうかを確認します。 「No
memory to complete flow」というフローのドロップ理由が発生しているかどう
かを確認します。 接続数がシステムの接続制限に達しているかどうかを確認
します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
103
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
Flow hash full (unable-to-add-flow)
テーブルが満杯であるために新しく作成されたフローがフロー ハッシュ テー
ブルに挿入できない場合、このカウンタが増分します。 フローとパケットは
ドロップされます。 （これは、最大接続制限のカウンタではありません）。
推奨事項：このメッセージは、デバイスがリソース不足で、操作が成功しな
かったことを示しています。 接続数が設定されたアイドル タイムアウト値を
超えているかどうかを確認するには、show opdata connections コマンドを使
用します。 超えている場合は、Cisco TAC に連絡してください。
Invalid SPI (np-sp-invalid-spi)
デバイスにアドレス指定される IPsec カプセル化セキュリティ ペイロード
（ESP）パケットを受信し、現在デバイスで認識されていない SPI（セキュリ
ティ パラメータ インデックス）が指定されると、このカウンタが増分しま
す。
推奨事項：無効な SPI が時折表示されます（特にキーの再生成処理中）。 無
効な SPI が何度も表示される場合は、何らかの問題または DoS 攻撃を示して
いる可能性があります。 無効な SPI が頻繁に表示される場合は、ネットワー
ク トラフィックを分析して ESP トラフィックの送信元を特定します。
Unsupported IPv6 header
(unsupport-ipv6-hdr)
サポートされていない IPv6 拡張ヘッダーが付いた IPv6 パケットを受信した場
合、このカウンタが増分し、そのパケットはドロップされます。 サポートさ
れている IPv6 拡張ヘッダーは、TCP、UDP、ICMPv6、ESP、AH、Hop オプ
ション、Destination オプション、および Fragment です。 IPv6 ルーティング拡
張ヘッダーはサポートされていません。また、上記以外の拡張ヘッダーもサ
ポートされていません。 IPv6 ESP ヘッダーと AH ヘッダーは、パケットが
through-the-box の場合にのみサポートされます。 To-the-box の IPv6 ESP パケッ
トと AH パケットはサポートされず、ドロップされます。
推奨事項：このエラーは、ホスト設定の誤りが原因である可能性があります。
このエラーが再発する場合、または何度も発生する場合は、DoS 攻撃など偽
のアクティビティや悪意のあるアクティビティを示している可能性がありま
す。
NAT-T keepalive message (natt-keepalive) このカウンタは、IPSec NAT-T キープアライブ メッセージを受信したときに
増分します。 NAT-T キープアライブ メッセージは、ネットワーク デバイス
で NAT/PAT フロー情報を最新のものにするために IPSec ピアから送信されま
す。
推奨事項：このデバイス上で IPSec NAT-T を設定している場合は、この表示
は正常なもので、問題を示すものではありません。アプライアンス上でNAT-T
を設定していない場合は、ネットワーク トラフィックを分析し、NAT-T トラ
フィックの発信元を特定します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
104
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
First TCP packet not SYN (tcp-not-syn)
代行受信でもなくネイリングもされていない接続の最初のパケットとして、
SYN ではないパケットを受信しました。
推奨事項：通常の状態では、接続がすでに終了しているにもかかわらず、ピ
アが接続が有効であると判断してデータの送信を続けている可能性がありま
す。 ただし、接続が削除された直後でもないのに、このカウンタが急速に増
分する場合は、アプライアンスが攻撃を受けている可能性もあります。
Bad TCP checksum (bad-tcp-cksum)
算出された TCP チェックサムと TCP ヘッダーに記録されているチェックサム
が一致しない TCP パケットを受信した場合、このカウンタが増分し、このパ
ケットはドロップされます。
推奨事項：ケーブル不良または回線上のノイズにより、パケットが破損した
可能性があります。 また、TCP エンドポイントから破損したパケットが送信
され、攻撃を受けている可能性もあります。
Bad TCP flags (bad-tcp-flags)
TCP ヘッダー内の TCP フラグが無効な TCP パケットを受信した場合、このカ
ウンタが増分し、このパケットはドロップされます。 たとえば、SYN フラグ
と FIN TCP フラグがセットされているパケットは、ドロップされます。
推奨事項：ケーブル不良または回線上のノイズにより、パケットが破損した
可能性があります。 また、TCP エンドポイントから破損したパケットが送信
され、攻撃を受けている可能性もあります。
TCP reserved flags set (tcp-reserved-set)
TCP ヘッダー内に設定された予約済みのフラグが付いた TCP パケットを受信
した場合、このカウンタが増分し、このパケットはドロップされます。
推奨事項：ケーブル不良または回線上のノイズにより、パケットが破損した
可能性があります。 また、TCP エンドポイントから破損したパケットが送信
され、攻撃を受けている可能性もあります。
TCP option list invalid (tcp-bad-option-list) 受信した TCP パケットの TCP ヘッダーに非標準の TCP ヘッダー オプション
が付属している場合、このカウンタが増分し、このパケットはドロップされ
ます。
推奨事項：そのような TCP パケットを許可する、または非標準の TCP ヘッ
ダー オプションを消去してこのパケットを許可するには、デバイスの TCP を
再設定します。
TCP data exceeded MSS
(tcp-mss-exceeded)
受信した TCP パケットのデータの長さが、ピア TCP エンドポイントから通知
された MSS よりも大きい場合、このカウンタが増分し、このパケットはド
ロップされます。
推奨事項：そのような TCP パケットを許可するには、デバイスの TCP を再設
定します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
105
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
TCP SYNACK with data (tcp-synack-data) 受信した TCP SYN-ACK パケットにデータがある場合、このカウンタが増分
し、このパケットはドロップされます。
推奨事項：ケーブル不良または回線上のノイズにより、パケットが破損した
可能性があります。 また、TCP エンドポイントから破損したパケットが送信
され、攻撃を受けている可能性もあります。
TCP SYN with data (tcp-syn-data)
受信した TCP SYN パケットにデータがある場合、このカウンタが増分し、こ
のパケットはドロップされます。
推奨事項：そのような TCP パケットを許可するには、デバイスの TCP を再設
定します。
TCP Dual open denied (tcp-dual-open)
TCP SYN パケットを受信し、すでに初期 TCP 接続を開始している場合、この
カウンタが増分し、このパケットはドロップされます。
推奨事項：なし。
TCP data send after FIN (tcp-data-past-fin) FIN を送信済みで接続を終了したエンドポイントから新しい TCP データ パ
ケットを受信した場合、このカウンタが増分し、このパケットはドロップさ
れます。
推奨事項：なし。
TCP failed 3 way handshake
(tcp-3whs-failed)
スリーウェイ ハンドシェイク中に無効な TCP パケットを受信した場合、この
カウンタが増分し、このパケットはドロップされます。
推奨事項：なし。
TCP RST/FIN out of order (tcp-rstfin-ooo) 受信した RST パケットまたは FIN パケットの TCP シーケンス番号が不適切な
場合、このカウンタが増分し、このパケットはドロップされます。
推奨事項：なし。
TCP SEQ in SYN/SYNACK invalid
(tcp-seq-syn-diff)
スリーウェイ ハンドシェイク中に受信した SYN パケットまたは SYN-ACK パ
ケットの TCP シーケンス番号が不適切な場合、このカウンタが増分し、この
パケットはドロップされます。
推奨事項：なし。
TCP ACK in SYNACK invalid
(tcp-ack-syn-diff)
スリーウェイ ハンドシェイク中に受信した SYN-ACK パケットの TCP の確認
応答番号が不適切な場合、このカウンタが増分し、このパケットはドロップ
されます。
推奨事項：なし。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
106
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
TCP SYN on established conn
(tcp-syn-ooo)
確立された TCP 接続で TCP SYN パケットを受信した場合、このカウンタが
増分し、このパケットはドロップされます。
推奨事項：なし。
TCP SYNACK on established conn
(tcp-synack-ooo)
確立された TCP 接続で TCP SYN-ACK パケットを受信した場合、このカウン
タが増分し、このパケットはドロップされます。
推奨事項：なし。
TCP packet SEQ past window
(tcp-synack-ooo)
受信した TCP データ パケットのシーケンス番号が、ピア TCP エンドポイン
トで許可されているウィンドウを超えている場合、このカウンタが増分し、
このパケットはドロップされます。
推奨事項：なし。
TCP invalid ACK (tcp-invalid-ack)
受信した TCP パケットの確認応答番号が、ピア TCP エンドポイントから送信
されたデータよりも大きい場合、このカウンタが増分し、このパケットはド
ロップされます。
推奨事項：なし。
TCP replicated flow pak drop (tcp-fo-drop) このカウンタは、アプライアンスがアクティブ装置となった直後に、確立し
た接続上で、SYN、FIN、または RST などのコントロール フラグを持つ TCP
パケットを受信すると増分し、パケットはドロップされます。
推奨事項：なし。
TCP ACK in 3 way handshake invalid
(tcp-discarded-ooo)
スリーウェイ ハンドシェイク中に受信した TCP ACK パケットのシーケンス
番号が次に予測されるシーケンス番号ではなかった場合、このカウンタが増
分し、このパケットはドロップされます。
推奨事項：なし。
TCP Out-of-Order packet buffer full
(tcp-buffer-full)
接続上で順序が乱れた TCP パケットを受信したが、このパケットを保存する
バッファがない場合、このカウンタが増分し、このパケットはドロップされ
ます。 通常 TCP パケットは、順番に接続上に配置されてアプライアンスに
よって検査されるか、またはパケットがモジュールに送信されて検査されま
す。 デフォルトのキュー サイズがあり、このデフォルトのキュー サイズを超
えるパケットを受信すると、ドロップされます。
推奨事項：キュー制限設定時に、ASA プラットフォームでキュー サイズを増
加できます。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
107
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
TCP global Out-of-Order packet buffer full 接続上で順序が乱れた TCP パケットを受信したが、グローバル バッファがな
(tcp-global-buffer-full)
い場合、このカウンタが増分し、このパケットはドロップされます。 通常
TCP パケットは、順番に接続上に配置されてアプライアンスによって検査さ
れるか、またはパケットがモジュールに送信されて検査されます。
推奨事項：すべてのグローバル バッファがいっぱいである場合、これは一時
的な状態です。このカウンタが継続的に増加する場合、ネットワークを調べ、
同じフロー内でネットワークを介して別のルートを取っているトラフィック
が原因で、順序が乱れた大量のトラフィックが発生していないかどうかを確
認します。
TCP Out-of-Order packet buffer timeout
(tcp-buffer-timeout)
順序が乱れた TCP パケットがキューに入れられ、バッファ内に長時間維持さ
れた場合、このカウンタが増分し、このパケットはドロップされます。 通常
TCP パケットは、順番に接続上に配置されてアプライアンスによって検査さ
れるか、またはパケットがモジュールに送信されて検査されます。 次に予測
される TCP パケットが一定期間内に到着しなければ、キューに入れられた、
順序が乱れたパケットはドロップされます。
推奨事項：次の予測される TCP パケットが到着できない原因は、通常ビジー
状態のネットワークで発生するネットワークの混雑である場合があります。
エンド ホストの TCP 再送信のメカニズムがパケットを再送信し、セッション
は継続されます。
TCP RST/SYN in window
(tcp-rst-syn-in-win)
確立された接続上で受信した TCP SYN パケットまたは TCP RST パケットの
シーケンス番号が、ウィンドウ内にはあるが次に予測されるシーケンス番号
ではなかった場合、このカウンタが増分し、このパケットはドロップされま
す。
推奨事項：なし。
TCP DUP and has been ACKed (tcp-acked) 再送信されたデータ パケットを受信し、このデータがピア TCP エンドポイン
トにより確認応答された場合、このカウンタが増分し、このパケットはドロッ
プされます。
推奨事項：なし。
TCP dup of packet in Out-of-Order queue 再送信されたデータ パケットを受信し、このデータが順序が乱れたパケット
(tcp-dup-in-queue)
のキューにすでに存在する場合、このカウンタが増分し、このパケットはド
ロップされます。
推奨事項：なし。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
108
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
TCP packet failed PAWS test
(tcp-paws-fail)
タイムスタンプ ヘッダー オプションが指定されている TCP パケットが、PAWS
（Protect Against Wrapped Sequences）テストに失敗した場合、このカウンタが
増分し、このパケットはドロップされます。
推奨事項：このような接続の続行を許可するには、TCP オプションを再設定
します。
TCP connection limit reached
(tcp-conn-limit)
この理由は、接続制限値を超えた場合に、TCP 接続の確立中に TCP パケット
がドロップされたことによるものです。
推奨事項：このメッセージ カウンタが急速に増分する場合は、接続が制限に
達しているホストを特定します。 トラフィックが正常な場合、またはホスト
が攻撃を受けている場合は、接続制限値を増分する必要があることもありま
す。
Connection limit reached (conn-limit)
この理由は、接続制限値またはホスト接続制限値を超えたためにパケットが
ドロップされたことによるものです。 このパケットが、接続制限値により
TCP 接続設定フェーズ中にドロップされた TCP パケットの場合は、ドロップ
理由「TCP connection limit reached」も報告されます。
推奨事項：このメッセージ カウンタが急速に増分する場合は、接続が制限に
達しているホストを特定します。 トラフィックが正常な場合、またはホスト
が攻撃を受けている場合は、接続制限値を増分する必要があることもありま
す。
TCP retransmission partial
(tcp_xmit_partial)
check-retransmission 機能がイネーブルになっていて、不完全な TCP 再送信を
受信した場合、このカウンタが増分し、パケットはドロップされます。
推奨事項：なし。
TCP bad retransmission
(tcpnorm-rexmit-bad)
check-retransmission 機能がイネーブルになっていて、元のパケットと異なる
データを持つ TCP 再送信を受信した場合、このカウンタが増分し、パケット
はドロップされます。
推奨事項：なし。
TCP unexpected window size variation
(tcpnorm-win-variation)
TCP エンドポイントにアドバタイズされたウィンドウ サイズが、大量のデー
タを受け取ることもなく激変した場合、このカウンタが増分し、このパケッ
トはドロップされます。
推奨事項：このパケットを許可するには、TCP の window-size 設定を変更しま
す。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
109
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
IPSEC/UDP keepalive message
(ipsecudp-keepalive)
このカウンタは、IPSec over UDP キープアライブ メッセージを受信したとき
に増分します。 IPSec over UDP キープアライブ メッセージは、ネットワーク
デバイスで NAT/PAT フロー情報を最新のものにするために IPSec ピアから送
信されます。 UDP 経由で伝送され UDP ポート 4500 にアドレス指定される、
業界標準の NAT-T キープアライブ メッセージはありません。
推奨事項：IPSec over UDP を設定している場合は、この表示は正常なもので、
問題を示すものではありません。 デバイス上で IPSec over UDP を設定してい
ない場合は、ネットワーク トラフィックを分析し、IPSec over UDP トラフィッ
クの発信元を特定します。
QoS rate exceeded (rate-exceeded)
レート制限（ポリシング）が出力/入力インターフェイスに設定され、出力/入
力トラフィック レートが設定されたバースト レートを超えた場合、このカウ
ンタが増分します。 パケットがドロップされるたび、このカウンタが増分し
ます。
推奨事項：インターフェイスで送受信されるトラフィックのレートが設定さ
れたレートを超えた原因を特定します。 正常な状態の場合もあれば、ウイル
スの感染や攻撃を示している可能性もあります。
Rate-limiter queued packet dropped
(queue-removed)
QoS 設定が変更または削除されると、出力キューで送信の待機をしていたパ
ケットはドロップされ、このカウンタが増分します。
推奨事項：通常の状態では、QoS 設定が変更された場合に発生することがあ
ります。 QoS 設定に変更を行っていないときにこれが発生した場合は、Cisco
Technical Assistance Center（TAC）にお問い合わせください。
Bad crypto return in packet (bad-crypto)
デバイスがパケットの暗号化を試みましたが、暗号化が失敗した場合、この
カウンタが増分します。これは正常な状態ではなく、ソフトウェアまたはハー
ドウェアに問題がある可能性を示しています。
推奨事項：不良暗号の表示を何度も受信する場合は、デバイスの点検が必要
である可能性があります。
IPSec not AH or ESP (bad-ipsec-prot)
AH または ESP プロトコルでない IPSec 接続でパケットを受信した場合、この
カウンタが増分します。 これは正常な状態ではありません。
推奨事項：AH または ESP ではない IPSec 表示が何度も表示される場合は、
ネットワークを分析し、トラフィックの送信元を特定します。
IPSec via IPV6 (ipsec-ipv6)
IPv6 ヘッダーでカプセル化された IPSec ESP パケット、IPSec NAT-T ESP パ
ケット、または IPSec over UDP ESP パケットを受信した場合、このカウンタ
が増分します。 IPv6 でカプセル化された IPSec セッションは現在サポートさ
れていません。
推奨事項：なし。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
110
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
BAD IPSec NATT packet (bad-ipsec-natt) IPSec 接続上で NAT-T とネゴシエートしたパケットを受信したが、パケット
のアドレスが NAT-T UDP の宛先ポートである 4500 になっていない、または
パケットのペイロード長が無効である場合、このカウンタが増分します。
推奨事項：ネットワークを分析し、NAT-T トラフィックの送信元を特定しま
す。
BAD IPSec UDP packet (bad-ipsec-udp)
IPSec over UDP とネゴシエート済みの IPSec 接続上でパケットを受信したが、
このパケットのペイロード長が無効だった場合、このカウンタが増分します。
推奨事項：ネットワークを分析し、IPSec トラフィックの送信元を特定しま
す。
IPSec SA not negotiated yet (ipsec-need-sa) 暗号化の必要があるのに IPSec セキュリティ アソシエーションを確立してい
ないパケットを受信した場合、このカウンタが増分します。 通常 LAN-to-LAN
IPSec コンフィギュレーションでは、これは正常な状態です。 これが表示さ
れると、アプライアンスは宛先ピアとの ISAKMP ネゴシエーションを開始し
ます。
推奨事項：デバイス上で IPSec LAN-to-LAN を設定している場合は、この表示
は正常なもので、問題を示すものではありません。 ただし、このカウンタが
急速に増分する場合は、crypto の設定エラーまたはネットワーク エラーによ
り、ISAKMP ネゴシエーションが完了できないことを示している可能性があ
ります。 宛先ピアと通信可能であることを確認し、crypto 設定を確認します。
CTM returned error (ctm-error)
パケットの暗号化を試みましたが、暗号化が失敗した場合、このカウンタが
増分します。 これは正常な状態ではなく、ソフトウェアまたはハードウェア
に問題がある可能性を示しています。
推奨事項：不良暗号の表示を何度も受信する場合は、デバイスの点検が必要
である可能性があります。
Send to CTM returned error
(send-ctm-error)
このカウンタは使用されていないため、増分することはありません。
IPSec spoof detected (ipsec-spoof)
このカウンタは、暗号化されているはずが暗号化されていないパケットを受
信すると増分します。 このパケットは、設定され確立された IPSec 接続の内
部ヘッダー セキュリティ ポリシー チェックに一致しましたが、暗号化されず
に受信されました。 これはセキュリティの問題です。
推奨事項：なし。
推奨事項：ネットワークを分析し、スプーフィングされた IPSec トラフィッ
クの送信元を特定します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
111
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
IPSec Clear Pkt w/no tunnel
(ipsec-clearpkt-notun)
このカウンタは、確立されたトンネルがない IPSec clear-text パケットを受信
すると増分します。 パケットはドロップされ、トンネルはパケットが再送信
された場合に確立されます。
推奨事項：なし。
IPSec tunnel is down (ipsec-tun-down)
このカウンタは、削除中の IPSec 接続に関連付けられているパケットを受信
した場合に増分します。
推奨事項：IPSec トンネルが何らかの理由で切断された場合、これは正常な状
態です。
Early security checks failed
(security-failed)
このカウンタは次の場合に増分し、パケットはドロップされます。
• マルチキャスト MAC アドレスがマルチキャストの宛先 IP アドレスと一
致しない IPv4 マルチキャスト パケットを受信した場合。
• 小さなオフセットまたは重複したフラグメントを含む IPv6 または IPv4
のティアドロップ フラグメントを受信した場合。
• IP 監査（IPS）のシグニチャと一致する IPv4 パケットを受信した場合。
推奨事項：リモート ピアの管理者に連絡する、またはセキュリティ ポリシー
に従ってこの問題の危険度を高くします。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
112
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
Slowpath security checks failed
(sp-security-failed)
このカウンタは次の場合に増分し、パケットはドロップされます。
1 ルーテッド モードで、次の through-the-box パケットのいずれかを受信した
場合。
• レイヤ 2 ブロードキャスト パケット。
• 宛先 IP アドレス 0.0.0.0 の IPv4 パケット。
• 送信元 IP アドレス 0.0.0.0 の IPv4 パケット。
2 ルーテッド モードまたはトランスペアレント モードで、次のいずれかの
状態の through-the-box IPv4 パケットを受信した場合。
• 送信元 IP アドレスの最初のオクテットがゼロ。
• 送信元 IP アドレスがループバック IP アドレスと等しい。
• 送信元 IP アドレスのネットワーク部分がすべてゼロ。
• 送信元 IP アドレスのネットワーク部分がすべて 1。
• 送信元 IP アドレスのホスト部分がすべてゼロまたはすべて 1。
3 ルーテッドまたはトランスペアレント モードで、送信元 IP アドレスと宛
先 IP アドレスが同じ IPv4 または IPv6 パケットを受信した場合。
推奨事項：1 および 2 については、外部ユーザが保護されているネットワーク
を危険にさらそうとしていないかどうかを確認します。 設定に誤りのあるク
ライアントをチェックします。 3 については、このメッセージ カウンタが急
速に増分する場合は、攻撃が進行中である可能性があります。 これらの原因
を特定するには、パケットの送信元 MAC アドレスを確認します。
IPv6 slowpath security checks failed
(ipv6_sp-security-failed)
このカウンタは次のいずれかの場合に増分し、パケットはドロップされます。
• 送信元アドレスと宛先アドレスが同じである IPv6 through-the-box パケッ
ト。
• パケットのリンク ローカル送信元アドレスまたは宛先アドレスを持つ
IPv6 through-the-box パケット。
• マルチキャストの宛先アドレスを持つ IPv6 through-the-box パケット。
推奨事項：上記のようなパケットは、悪意のあるアクティビティを示してい
るか、IPv6 ホストの設定が誤っている結果である可能性があります。 これら
の原因を特定するには、パケットの送信元 MAC アドレスを確認します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
113
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
IP option drop (invalid-ip-option)
ユニキャスト パケットまたはマルチキャスト パケットに対して IP オプショ
ンを受信するように設定されていないのに、デバイスが受信した場合、この
カウンタが増分します。 パケットはドロップされます。
推奨事項：IP オプションを指定されたパケットがリモート ホストから送信さ
れた理由を特定します。
Invalid LU packet (lu-invalid-pkt)
スタンバイ装置が破損した Logical Update パケットを受信しました。
推奨事項：ケーブル不良、インターフェイス カード、回線上のノイズ、また
はソフトウェアの欠陥により、パケットが破損した可能性があります。 イン
ターフェイスが正しく機能しているように見えても、この問題を Cisco TAC
に報告してください。
Dropped by standby unit (fo-standby)
スタンバイ状態のデバイスに through-the-box パケットが届き、フローが作成
されると、そのパケットはドロップされ、作成されたフローは削除されます。
このカウンタは、この理由でパケットがドロップされる場合に、その都度増
分します。
推奨事項：アクティブなデバイスまたはコンテキスト上では、このカウンタ
が増分することはありません。 ただし、スタンバイ状態のデバイスまたはコ
ンテキスト上では、増分するのが普通です。
Dst MAC L2 Lookup Failed
(dst-l2_lookup-fail)
トランスペアレント モードで、レイヤ 2 宛先 MAC アドレスの検索をアプラ
イアンスが実行して失敗した場合、このカウンタが増分します。 検索が失敗
すると、アプライアンスは宛先 MAC の探索プロセスを開始し、ARP/ICMP
メッセージからリモート ホストの位置を特定しようとします。
推奨事項：アプライアンスがトランスペアレント モードに設定されている場
合、これは正常な状態です。
L2 Src/Dst same LAN port
(l2_same-lan-port)
アプライアンスまたはコンテキストがトランスペアレント モードに設定され
ていて、アプライアンスが宛先インターフェイスと入力インターフェイスの
のレイヤ 2 MAC アドレスが同じであることを検出した場合、このカウンタが
増分します。
推奨事項：アプライアンスまたはコンテキストがトランスペアレント モード
で動作している場合、これは正常な状態です。 アプライアンスが無差別モー
ドで動作しているため、アプライアンスまたはコンテキストはローカル LAN
セグメント上のすべてのパケットを受信します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
114
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
Expired flow (flow-expired)
アプライアンスが新しいパケットまたはキャッシュされたパケットを投入し
ようとしたが、そのパケットがすでに期限切れのフローに属している場合、
このカウンタが増分します。 また、アプライアンスがすでに期限切れの TCP
フロー上で RST を送信しようとした場合、または IDS ブレードからパケット
が返されてもそのフローがすでに期限切れの場合にも増分します。 パケット
はドロップされます。
推奨事項：有効なアプリケーションが優先されている場合、タイムアウトの
延長が必要かどうかを判断します。
ICMP Inspect out of App ID
(inspect-icmp-out-of-app-id)
ICMP インスペクション エンジンが「App ID」データ構造の割り当てに失敗
した場合、このカウンタが増分します。 このデータ構造は、ICMP パケット
のシーケンス番号を保存するのに使用します。
推奨事項：システム メモリの使用状況をチェックします。 通常このイベント
は、システムがメモリ不足になった場合に発生します。
ICMP Inspect seq num not matched
(inspect-icmp-seq-num-not-matched)
ICMP エコー応答メッセージ内のシーケンス番号が、同じ接続上で先にアプラ
イアンスを通過した ICMP エコー メッセージのいずれにも一致しない場合、
このカウンタが増分します。
推奨事項：これが断続的なイベントの場合、アクションは不要です。 原因が
攻撃にある場合、ACL を使用してホストを拒否することができます。
ICMP Error Inspect no existing conn
(inspect-icmp-error-no-existing-conn)
ICMP エラー メッセージに埋め込まれたフレームに関連する確立済みの接続
をアプライアンスが見つけられなかった場合、このカウンタが増分します。
推奨事項：これが断続的なイベントの場合、アクションは不要です。 原因が
攻撃にある場合、ACL を使用してホストを拒否することができます。
ICMP Error Inspect different embedded
ICMP エラー メッセージに埋め込まれたフレームが、ICMP 接続の作成時に識
conn
別された確立済みの接続と一致しない場合、このカウンタが増分します。
(inspect-icmp-error-different-embedded-conn)
推奨事項：これが断続的なイベントの場合、アクションは不要です。 原因が
攻撃にある場合、ACL を使用してホストを拒否することができます。
ICMPv6 Error Inspect invalid packet
(inspect-icmpv6-error-invalid-pak)
アプライアンスが ICMPv6 パケットに埋め込まれた無効なフレームを検出し
た場合、このカウンタが増分します。 このチェックは IPv6 パケットと同じも
のです。 例：不完全な IPv6 ヘッダー、不正な形式の IPv6 Next ヘッダーなど。
推奨事項：アクションは不要です。
ICMPv6 Error Inspect no existing conn
(inspect-icmpv6-error-no-existing-conn)
ICMP v6 エラー メッセージに埋め込まれたフレームに関連する確立済みの接
続をアプライアンスが見つけられなかった場合、このカウンタが増分します。
推奨事項：これが断続的なイベントの場合、アクションは不要です。 原因が
攻撃にある場合、ACL を使用してホストを拒否することができます。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
115
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
DNS Inspect invalid packet
(inspect-dns-invalid-pak)
アプライアンスが無効な DNS パケットを検出した場合、このカウンタが増分
します。 たとえば、DNS パケットに DNS ヘッダーがない場合や、DNS リソー
ス レコード数がヘッダー内のカウンタと一致しない場合などです。
推奨事項：アクションは不要です。
DNS Inspect invalid domain label
(inspect-dns-invalid-domain-label)
無効な DNS ドメイン名またはラベルをアプライアンスが検出した場合、この
カウンタが増分します。 DNS ドメイン名とラベルのチェックは、RFC 1035
ごとに行われます。
推奨事項：アクションは不要です。 ドメイン名、ラベルのチェックが必要で
ない場合は、DNS 検査ポリシーの protocol-enforcement パラメータをディセー
ブルにします。
DNS Inspect packet too long
(inspect-dns-pak-too-long)
DNS メッセージ長が設定されている最大値を超えると、このカウンタが増分
します。
推奨事項：アクションは不要です。 DNS メッセージ長のチェックが必要でな
い場合は、DNS 検査を maximum-length オプションなしでイネーブルにする
か、DNS 検査ポリシーの message-length maximum パラメータをディセーブル
にします。
DNS Inspect out of App ID
(inspect-dns-out-of-app-id)
DNS インスペクション エンジンが、DNS メッセージの ID を保存するための
データ構造の割り当てに失敗した場合、このカウンタが増分します。
推奨事項：システム メモリの使用状況をチェックします。 通常このイベント
は、システムがメモリ不足になった場合に発生します。
DNS Inspect ID not matched
(inspect-dns-id-not-matched)
DNS 応答メッセージの ID が、同じ接続上で先にセキュリティ アプライアン
スを通過した DNS クエリーのいずれにも一致しなかった場合、このカウンタ
が増分します。
推奨事項：これが断続的なイベントの場合、アクションは不要です。 原因が
攻撃にある場合、ACL を使用してホストを拒否することができます。
DNS Guard out of App ID
(dns-guard-out-of-app-id)
DNS Guard 機能が、DNS メッセージの ID を保存するためのデータ構造の割り
当てに失敗した場合、このカウンタが増分します。
推奨事項：システム メモリの使用状況をチェックします。 通常このイベント
は、システムがメモリ不足になった場合に発生します。
DNS Guard ID not matched
(dns-guard-id-not-matched)
DNS 応答メッセージの ID が、同じ接続上で先にセキュリティ アプライアン
スを通過した DNS クエリーのいずれにも一致しなかった場合、このカウンタ
が増分します。
推奨事項：これが断続的なイベントの場合、アクションは不要です。 原因が
攻撃にある場合、ACL を使用してホストを拒否することができます。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
116
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
Invalid RTP Packet length
(inspect-rtp-invalid-length)
このカウンタは、UDP パケット長が RTP ヘッダーのサイズよりも短い場合に
増分します。
推奨事項：アクションは不要です。 必要な場合は、不適切なパケットを送信
している RTP 送信元を特定し、ACL を利用するホストを拒否できます。
Invalid RTP Version field
(inspect-rtp-invalid-version)
このカウンタは、RTP バージョン フィールドが 2 以外のバージョンを含む場
合に増分します。
推奨事項：ネットワーク内の RTP ソースは RFC 1889 に一致しない RTP パケッ
トを送信しているようです。 この原因を特定する必要があります。必要な場
合は ACL を使用するホストを拒否できます。
Invalid RTP Payload type field
(inspect-rtp-invalid-payload-type)
このカウンタは、信号を発信しているチャンネルが RTP セカンダリ接続の自
動メディア タイプについてネゴシエートしているときに、RTP ペイロード タ
イプ フィールドにオーディオ ペイロード タイプが含まれていないと増分しま
す。 カウンタは、ビデオ ペイロード タイプの場合と同じように増分します。
推奨事項：ネットワーク内の RTP ソースはオーディオ RTP セカンダリ接続を
使用してビデオを送信しています（逆の場合も同じ）。 この操作が行われな
いようにする場合は、ACL を使用するホストを拒否できます。
Invalid RTP Synchronization Source field このカウンタは、パケット内の RTP SSRC フィールドが、すべての RTP パ
(inspect-rtp-ssrc-mismatch)
ケット内の RTP ソースからの、検査により確認された SSRC と一致しないと
増分します。
推奨事項：これは、ネットワーク内の RTP ソースがリブートして SSRC を変
更したためか、またはネットワーク上の別のホストがファイアウォール上で
開かれているセカンダリ RTP 接続を使用して RTP パケットを送信しようとし
ているために生じます。 問題があるかどうか確認するために、さらに調べる
必要があります。
RTP Sequence number out of range
(inspect-rtp-sequence-num-outofrange)
このカウンタは、パケット内の RTP シーケンス番号が検査により予想された
範囲内にないと増分します。
推奨事項：RTP ソースからシーケンス番号が順番どおりでない場合、検査に
よって復元され、新しいシーケンス番号からトラッキングが開始されるので、
アクションは必要ありません。
RTP out of sequence packets in probation このカウンタは、RTP ソースを確認中に、順番どおりでないパケットの数が
period
20 を超えると増分します。 検査では、順番どおりのパケットを 5 つ検出する
(inspect-rtp-max-outofseq-paks-probation) と、ソースが確認済みであると判断されます。
推奨事項：RTP ソースを調べて、最初のいくつかのパケットが順番どおりに
着信しない理由を確認し、RTP ソースを訂正します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
117
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
Invalid RTCP Packet length
(inspect-rtcp-invalid-length)
このカウンタは、UDP パケット長が RTCP ヘッダーのサイズよりも短い場合
に増分します。
推奨事項：アクションは不要です。キャプチャを利用すると、不適切なパケッ
トを送信している RTP 送信元を特定できるので、ACL を使用しているホスト
を拒否できます。
Invalid RTCP Version field
(inspect-rtcp-invalid-version)
このカウンタは、RTCP バージョン フィールドが 2 以外のバージョンを含む
場合に増分します。
推奨事項：ネットワーク内の RFC ソースは RFC 1889 に適合する RTCP パケッ
トを送信していないようです。 この原因を特定する必要があります。必要な
場合はアクセス リストを使用するホストを拒否できます。
Invalid RTCP Payload type field
(inspect-rtcp-invalid-payload-type)
このカウンタは、RTCP ペイロード タイプ フィールドに 200 から 204 の値が
含まれていない場合に増分します。
推奨事項：RTP のソースを検証して、RFC 1889 で推奨される範囲外のペイ
ロード タイプが送信された理由を確認する必要があります。
Inspect SRTP Encryption failed
(inspect-srtp-encrypt-failed)
このカウンタは、SRTP 暗号化が失敗すると増分します。
Inspect SRTP Decryption failed
(inspect-srtp-decrypt-failed)
このカウンタは、SRTP 復号化が失敗すると増分します。
推奨事項：リブート後もエラーが続く場合は、TAC に問い合わせて SRTP 暗
号化がハードウェア暗号アクセラレータに失敗する原因を調べます。
推奨事項：リブート後もエラーが続く場合は、TAC に問い合わせて SRTP 復
号化がハードウェア暗号アクセラレータに失敗する原因を調べます。
Inspect SRTP Authentication tag validation このカウンタは、SRTP 認証タグの検証が失敗すると増分します。
failed (inspect-srtp-validate-authtag-failed)
推奨事項：アクションは不要です。 エラーが続く場合は、ファイアウォール
に到達する SRTP パケットが改ざんされています。管理者は原因を特定する
必要があります。
Inspect SRTP Authentication tag
generation failed
(inspect-srtp-generate-authtag-failed)
このカウンタは、SRTP 認証タグの生成が失敗すると増分します。
Inspect SRTP failed to find output flow
(inspect-srtp-no-output-flow)
電話プロキシからのフローを作成できなかった場合、またはフローが切断さ
れた場合、このカウンタが増分します
推奨事項：アクションは不要です。
推奨事項：アクションは不要です。 フローの作成は、メモリ不足が原因で失
敗することがあります。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
118
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
Inspect SRTP setup in CTM failed
(inspect-srtp-setup-srtp-failed)
このカウンタは、CTM の SRTP 設定が失敗すると増分します。
Inspect SRTP failed to find keys for both
parties (inspect-srtp-one-part-no-key)
検査 SRTP がメディア セッションで入力されたキーを検索し、キーのパー
ティーが 1 つしかなかった場合、このカウンタが増分します。
推奨事項：アクションは不要です。 エラーが続く場合は、TAC に問い合わせ
て CTM コールが失敗する原因を調べます。
推奨事項：アクションは不要です。 このカウンタは、コールの開始フェーズ
で増分する場合がありますが、コールの信号交換が完了すると、最終的に両
パーティーそれぞれのキーを認識します。
Inspect SRTP Media session lookup failed このカウンタは、SRTP メディア セッションの検索に失敗すると増分します。
(inspect-srtp-no-media-session)
推奨事項：アクションは不要です。 メディア セッションは、IP アドレスが信
号交換の一部として解析されたときに、検査 SIP または Skinny によって作成
されます。 原因を特定するには、信号メッセージをデバッグします。
Inspect SRTP Remote Phone Proxy IP not このカウンタは、リモート電話のプロキシ IP が入力されない場合に増分しま
populated
す
(inspect-srtp-no-remote-phone-proxy-ip)
推奨事項：アクションは不要です。 リモート電話のプロキシ IP アドレスは、
信号交換から入力されます。 エラーが続く場合は、信号メッセージをデバッ
グし、ASA にすべての信号メッセージが表示されているかどうかを確認しま
す。
Inspect SRTP client port wildcarded in
media session
(inspect-srtp-client-port-not-present)
このカウンタは、クライアント ポートがメディア セッションに入力されてい
ない場合に増分します
IPS Module requested drop (ips-request)
パケットが IPS エンジンのシグニチャと一致すると、このカウンタが増分し、
IPS モジュールの要求に従ってこのパケットはドロップされます
推奨事項：アクションは不要です。 クライアント ポートは、メディア スト
リームがクライアントから入るときに動的に入力されます。 クライアントが
メディア パケットを送信しているかどうかを確認するためにメディア パケッ
トをキャプチャします。
推奨事項：IPS モジュールの syslog およびアラートを確認します。
IPS card is down (ips-fail-close)
IPS カードがダウンしている状態で、IPS 検査で fail-close オプションが使用さ
れた場合、このカウンタが増分します。
推奨事項：IPS カードを確認して動作させます。
IPS config removed for connection
(ips-fail)
特定の接続用の IPS 設定が見つからない場合、このカウンタが増分し、この
パケットはドロップされます。
推奨事項：IPS で設定が変更されていないかどうかを確認します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
119
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
Executing IPS software does not support
IPv6 (ips-no-ipv6)
IPv6 をサポートしていない IPS SSM カードでソフトウェアが実行されている
ために、IPS SSM に向けて送信されるように設定された IPv6 パケットが廃棄
された場合、このカウンタが増分します。
推奨事項：IPS ソフトウェアをバージョン 6.2 以降にアップグレードします。
FP L2 rule drop (l2_acl)
アプライアンスがレイヤ 2 ACL のためにパケットを拒否した場合、このカウ
ンタが増分します。 アプライアンスは、ルーテッド モードではデフォルト
で、1）IPv4 パケット、2）IPv6 パケット、3）ARP パケット、4）
FFFF:FFFF:FFFF の L2 宛先 MAC（ブロードキャスト）、5）
0100:5E00:0000-0100:5EFE:FFFF の宛先 L2 を持つ IPv4 MCAST パケット、6）
3333:0000:0000-3333:FFFF:FFFF の宛先 L2 を持つ IPv6 MCAST のパケットを
許可し、トランスペアレント モードではデフォルトで、ルーテッド モード
ACL を許可して、1）0100:0CCC:CCCD の宛先 L2 を持つ BPDU パケット、2）
0900:0700:0000-0900:07FF:FFFF の宛先 L2 を持つ Appletalk パケットを許可し
ます。ユーザは、Ethertype ACL を設定し、インターフェイスに適用して他の
タイプの L2 トラフィックを許可することもできます。 （注）L2 ACL によっ
て許可されたパケットは、L3 ～ L4 ACL によってドロップされる場合があり
ます。
推奨事項：アプライアンス/コンテキストをトランスペアレント モードで実行
していて、非 IP パケットがアプライアンスによってドロップされる場合、
EtherType ACL を設定し、アクセス グループに ACL を適用できます。 （注）
アプライアンスの ethertype CLI は、プロトコル タイプと L2 宛先以外の MAC
アドレスのみをサポートしています。
Intercept unexpected packet
(intercept-unexpected)
サーバからの SYNACK を待機中にクライアントからデータを受信したか、
TCP 代行受信の特定の状態で処理できないパケット クライアントからデータ
を受信しました。
推奨事項：このドロップが接続の失敗の原因である場合、接続のクライアン
ト側およびサーバ側のスニファ トレースを実行し、この問題を報告してくだ
さい。 ボックスは攻撃を受けている可能性があります。スニファ トレースま
たはキャプチャが原因を特定するのに役立ちます。
FP no mcast entry (no-mcast-entry)
マルチキャスト フローに一致するパケットが着信したが、マルチキャスト
サービスがイネーブルでなくなっていた、またはマルチキャスト フローが作
成された後で再度イネーブルにされた。 - または - パケットが CP にパントさ
れた後にマルチキャスト エントリの変更が検出され、エントリが存在しない
ために NP がパケットを転送できない。
推奨事項：ディセーブルになっているマルチキャストを再びイネーブルにし
ます。 - または - 必要なアクションはありません。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
120
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
FP no mcast output intrf (no-mcast-intrf)
すべての出力インターフェイスがマルチキャスト エントリから削除された。
- または - マルチキャスト パケットを転送できなかった。
推奨事項：このグループに受信者が存在しないことを確認します。 - または このパケットにフローがあることを確認します。
Fragment reassembly failed
(fragment-reassembly-failed)
このカウンタは、アプライアンスが一連の断片化されたパケットを 1 つのパ
ケットに再構成できなかった場合に増分します。 一連のフラグメント パケッ
トはすべてドロップされます。 ほとんどの場合、再構成されたパケットにメ
モリを配分中にエラーが発生したことが原因であると考えられます。
推奨事項：show blocks コマンドを使用して、現在のブロック メモリを監視し
ます。
Virtual firewall classification failed
(ifc-classify)
パケットが共有インターフェイスに到着しましたが、特定のコンテキスト イ
ンターフェイスへの分類が失敗しました。
推奨事項：カスタマイズ可能な MAC アドレスをサポートしないソフトウェア
バージョンについては、global または static コマンドを使用して、各コンテキ
スト インターフェイスに属する IPv4 アドレスを指定します。 カスタマイズ
可能な MAC アドレスをサポートするソフトウェア バージョンについては、
システム コンテキストの mac-address auto をイネーブルにします。 あるいは、
各コンテキスト インターフェイスのサブモードで mac-address を使用し、共有
インターフェイスに存在する各コンテキスト インターフェイスに固有の MAC
アドレスを設定します。
Connection locking failed
(connection-lock)
パケットの処理待ち中に、使用予定であったフローが破壊されました。
Interface is down (interface-down)
このカウンタは、shutdown インターフェイス サブモード コマンドによって
シャットダウンされたインターフェイス上でパケットを受信するたびに増分
します。 入トラフィックでは、セキュリティ コンテキスト分類が行われ、そ
のコンテキストに関連付けられたインターフェイスがシャットダウンしてい
る場合、このパケットはドロップされます。 出トラフィックでは、出トラ
フィックがシャットダウンしている場合、パケットがドロップされます。
推奨事項：メッセージは、アクティブにパケットを処理しているデバイスの
接続を削除するために、ユーザ インターフェイス コマンドから発生する場合
があります。 それ以外の場合は、フロー ドロップ カウンタを調べてくださ
い。 このメッセージは、フローがエラーから強制的にドロップされる場合に
表示されることがあります。
推奨事項：アクションは不要です。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
121
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
Invalid App length (invalid-app-length)
アプライアンスがパケット内にレイヤ 7 ペイロードの無効な長さを検出した
場合、このカウンタが増分します。 現在は、DNS Guard 機能のみによるドロッ
プをカウントします。 例：不完全な DNS ヘッダー。
推奨事項：アクションは不要です。
Loopback buffer full (loopback-buffer-full) アプライアンスのあるコンテキストから別のコンテキストに、共有インター
フェイスを介してパケットが送信されたが、ループバック キューにバッファ
の空き領域がない場合、このカウンタが増分し、このパケットはドロップさ
れます。
推奨事項：システム CPU をチェックして、過負荷になっていないかどうか確
認します。
Non-IP packet received in routed mode
(non-ip-pkt-in-routed-mode)
アプライアンスが受信したパケットが IPv4、IPv6、ARP のいずれでもなく、
アプライアンスまたはコンテキストがルーテッド モードに設定されている場
合、このカウンタが増分します。 通常の動作では、このパケットはデフォル
トの L2 ACL 設定によってドロップされます。
推奨事項：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があ
ることを示しています。
FP host move packet (host-move-pkt)
アプライアンスまたはコンテキストがトランスペアレント モードに設定され
ていて、既知の L2 MAC アドレスの発信元インターフェイスが異なるインター
フェイス上で検出された場合、このカウンタが増分します。
推奨事項：これは、ホストがあるインターフェイス（たとえば LAN セグメン
ト）から別のインターフェイスに移動したことを示しています。 実際にホス
トが移動している場合、トランスペアレント モードではこれは正常な状態で
す。 ただし、ホストがインターフェイス間であちこち移動する場合は、ネッ
トワーク ループが存在している可能性があります。
No management IP address configured for セキュリティ アプライアンスがトランスペアレント モードで IP パケットを
TFW (tfw-no-mgmt-ip-config)
受信したが、管理 IP アドレスが定義されていない場合、このカウンタが増分
します。 パケットはドロップされます。
推奨事項：デバイスに管理 IP アドレスとマスク値を設定します。
Packet shunned (shunned)
排除データベース内にあるホストと一致する送信元 IP アドレスを持つパケッ
トを受信した場合、このカウンタが増分します。
推奨事項：アクションは不要です。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
122
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
RM connection limit reached
(rm-conn-limit)
このカウンタは、コンテキストまたはシステムの最大接続数に達して新しい
接続が試行されると増分します。
推奨事項：デバイスの管理者は、show resource usage コマンドおよび show
resource usage system コマンドを使用して、コンテキストやシステムのリソー
ス制限値と「Denied」の回数を確認し、必要に応じてリソース制限値を調整
できます。
RM connection rate limit reached
(rm-conn-rate-limit)
このカウンタは、コンテキストまたはシステムの最大接続レートに達して新
しい接続が試行されると増分します。
推奨事項：デバイスの管理者は、show resource usage コマンドおよび show
resource usage system コマンドを使用して、コンテキストやシステムのリソー
ス制限値と「Denied」の回数を確認し、必要に応じてリソース制限値を調整
できます。
Dropped pending packets in a closed socket ソケットがユーザまたはソフトウェアにより突然終了すると、そのソケット
(np-socket-closed)
のパイプライン中にある保留中のパケットもドロップします。 このカウンタ
は、パイプライン中にある各ソケットがドロップするたびに増分します。
推奨事項：このカウンタは、一般的に、通常の動作の一部として増分してい
きます。 ただし、カウンタが急速に増分している場合や、ソケット ベースの
アプリケーションに著しい不適切動作が見られる場合は、ソフトウェアの欠
陥によって発生している可能性があります。 Cisco TAC に連絡して、問題を
詳しく調査してください。
Port Forwarding Queue Is Full
(mp-pf-queue-full)
このカウンタは、ポート フォワーディング アプリケーションの内部キューが
いっぱいである際に、別の伝送パケットを受信した場合に増分します。
推奨事項：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があ
ることを示しています。
SVC Module received data while
connection was being deleted
(mp-svc-delete-in-progress)
このカウンタは、セキュリティ アプライアンスが、削除中の SVC 接続に関連
付けられたパケットを受信すると増分します。
SVC Module received badly framed data
(mp-svc-bad-framing)
このカウンタは、セキュリティ アプライアンスが SVC から、またはデコード
できないコントロール ソフトウェアからパケットを受信すると増分します。
推奨事項：SVC トンネルが何らかの理由で切断された場合、これは正常な状
態です。 このエラーが繰り返し何度も発生する場合は、クライアントのネッ
トワーク接続に問題があると考えられます。
推奨事項：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があ
ることを示しています。 SVC またはセキュリティ アプライアンスで、障害が
発生している可能性があります。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
123
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
SVC Module received bad data length
(mp-svc-bad-length)
このカウンタは、セキュリティ アプライアンスが SVC から、または計算され
た指定の長さが一致しないコントロール ソフトウェアからパケットを受信す
ると増分します。
推奨事項：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があ
ることを示しています。 SVC またはセキュリティ アプライアンスで、障害が
発生している可能性があります。
SVC Module received unknown data frame このカウンタは、セキュリティ アプライアンスがデータのタイプが不明な
(mp-svc-unknown-type)
SVC からパケットを受信すると増分します。
推奨事項：クライアントが使用している SVC がセキュリティ アプライアンス
ソフトウェアのバージョンと適合しているかどうかを確認します。
SVC Module received address renew
response data frame
(mp-svc-addr-renew-response)
このカウンタは、セキュリティ アプライアンスが SVC から Address Renew
Response メッセージを受信すると増分します。 SVC はこのメッセージを送信
しません。
推奨事項：これは、SVC ソフトウェアのエラーを Cisco TAC に報告する必要
があることを示しています。
SVC Module does not have enough space このカウンタは、ネットワークにパケットを配置するために、パケット デー
to insert header (mp-svc-no-prepend)
タの前に Mac ヘッダーを付加する十分なスペースがない場合に増分します。
推奨事項：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があ
ることを示しています。
SVC Module does not have a channel for
re-injection (mp-svc-no-channel)
このカウンタは、暗号化データを受信したインターフェイスが、復号化デー
タを注入する際に検出されないと増分します。
推奨事項：インターフェイスが接続中にシャットダウンすると、この現象が
発生します。インターフェイスを再イネーブルにしてチェックしてください。
接続中にシャットダウンしたのでない場合は、ソフトウェアのエラーを Cisco
TAC に報告する必要があることを示しています。
SVC Module does not have a session
(mp-svc-no-session)
このカウンタは、セキュリティ アプライアンスがこのデータを送信しなけれ
ばならない SVC セッションを決定できない場合に増分します。
推奨事項：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があ
ることを示しています。
SVC Module decompression error
(mp-svc-decompres-error)
このカウンタは、セキュリティ アプライアンスが SVC からのデータを圧縮解
除中にエラーを検出すると増分します。
推奨事項：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があ
ることを示しています。 SVC またはセキュリティ アプライアンスで、障害が
発生している可能性があります。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
124
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
SVC Module compression error
(mp-svc-compress-error)
このカウンタは、セキュリティ アプライアンスが、SVC に対してデータを圧
縮中にエラーを検出すると増分します。
推奨事項：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があ
ることを示しています。 SVC またはセキュリティ アプライアンスで、障害が
発生している可能性があります。
SVC Module unable to find L2 data for
frame (mp-svc-no-mac)
このカウンタは、セキュリティ アプライアンスが SVC から受信したデータの
L2 MAC ヘッダーを検出できない場合に増分します。
推奨事項：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があ
ることを示しています。
SVC Module found invalid L2 data in the このカウンタは、セキュリティ アプライアンスが SVC から受信したデータに
frame (mp-svc-invalid-mac)
添付された L2 MAC ヘッダーが無効であると検出した場合に増分します。
推奨事項：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があ
ることを示しています。
SVC Module found invalid L2 data length このカウンタは、セキュリティ アプライアンスが SVC から受信したデータに
in the frame (mp-svc-invalid-mac-len)
添付された L2 MAC 長が無効であると検出した場合に増分します。
推奨事項：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があ
ることを示しています。
SVC Session is in flow control
(mp-svc-flow-control)
このカウンタは、SVCが一時的にこれ以上データを受信できないため、セキュ
リティアプライアンスがデータをドロップする必要がある場合に増分します。
推奨事項：クライアントがこれ以上データを受信できないことを示します。
クライアントは受信するトラフィックの量を減らす必要があります。
SVC Module unable to fragment packet
(mp-svc-no-fragment)
このカウンタは、SVC に送信するパケットのフラグメンテーションが許可さ
れない場合、またはパケットをフラグメンテーションするために十分なデー
タ バッファがない場合に増分します。
推奨事項：SVC の MTU を増やしてフラグメンテーションを削減してくださ
い。 フラグメンテーションを許容しないアプリケーションの使用は避けてく
ださい。 デバイスにかかる負荷を少なくして、使用可能なデータ バッファを
増加させてください。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
125
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
Invalid packet received from SSM card
(ssm-dpp-invalid)
このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリティ アプ
ライアンスのみです。 セキュリティ アプライアンスが内部データ プレーン
インターフェイスから ASA SSM Dataplane Protocol（ASDP）パケットを受信
するが、それを解析する適切なドライバを検出できない場合に増分します。
推奨事項：データ プレーン ドライバは、システムにインストールされた SSM
のタイプに応じて動的に登録されます。 したがって、この現象は、セキュリ
ティ アプライアンスが完全に初期化される前にデータ プレーン パケットが到
着すると発生する可能性があります。 このカウンタ値は通常 0 です。 少々の
ドロップがあっても気にする必要はありません。 ただし、システムが起動し
て稼働中であるときにこのカウンタの値が上昇し続ける場合は、問題がある
ことを示している可能性があります。 これがセキュリティ アプライアンスの
正常な動作に影響を与えると思われる場合は、Cisco Technical Assistance Center
（TAC）に連絡してください。
Invalid ASDP packet received from SSM このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリティ アプ
card (ssm-asdp-invalid)
ライアンスのみです。 セキュリティ アプライアンスが内部データ プレーン
インターフェイスから ASA SSM Dataplane Protocol（ASDP）パケットを受信
したが、このパケットを解析してドライバに問題が生じると増分します。
ASDP は、CSC-SSM と同様に、特定のタイプの SSM と通信するためにセキュ
リティ アプライアンスが使用するプロトコルです。 この現象は、さまざまな
理由により生じます。たとえば、ASDP プロトコルのバージョンがセキュリ
ティ アプライアンスと SSM 間で適合しなかった場合、コントロール プレー
ン内のカード マネージャ プロセスがシステム メッセージと CLI 警告を送信
して、インストールする適切なバージョンのイメージを通知します。ASDP パ
ケットがセキュリティ アプライアンス側ですでに終了している接続に属して
いる場合もあります。セキュリティ アプライアンスがスタンバイ状態に切り
替わっている場合（フェールオーバーがイネーブルになっている場合）には、
これ以降トラフィックを通過させることができません。また、ASDP ヘッダー
とペイロードの解析時に予期しない値があった場合もあります。
推奨事項：カウンタは通常 0 または非常に小さい数値です。 ただし、カウン
タが長期わたって少しずつ増分した場合、特にフェールオーバーがあったと
きや、CLI 経由でセキュリティ アプライアンスの接続を手動で消去したとき
は考慮する必要がありません。 カウントが通常動作時に急激に増分した場合
は、Cisco Technical Assistance Center（TAC）に連絡してください。
Service module requested drop
(ssm-app-request)
このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリティ アプ
ライアンスのみです。 このカウンタは、SSM で実行するアプリケーション
が、セキュリティ アプライアンスがパケットをドロップすることを要求する
と増分します。
推奨事項：詳細については、事故レポート、または SSM により生成されるシ
ステム メッセージを照会することで取得することができます。 手順について
は、SSM に付属のマニュアルを参照してください。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
126
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
Service module is down (ssm-app-fail)
このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリティ アプ
ライアンスのみです。 SSM により検査されるパケットが、SSM が使用不可に
なったためにドロップすると増分します。たとえば、ソフトウェアまたはハー
ドウェアの欠陥、ソフトウェアまたはシグナチャのアップグレード、または
シャットダウンするモジュールなどです。
推奨事項：セキュリティ アプライアンスのコントロール プレーンで実行する
カード マネージャ プロセスは、システム メッセージと CLI 警告を発行して
その障害を通知します。 SSM エラーの問題解決については、SSM に付属のマ
ニュアルを参照してください。 必要に応じて Cisco Technical Assistance Center
（TAC）にお問い合わせください。
No route to host for WCCP returned packet このカウンタは、パケットがキャッシュ エンジンから戻され、セキュリティ
(wccp-return-no-route)
アプライアンスがこのパケットの元のソースのルートを検出できない場合に
増分します。
推奨事項：キャッシュ エンジンから戻されたパケットのソース IP アドレスの
ルートが存在することを確認します。
No route to Cache Engine
(wccp-redirect-no-route)
このカウンタは、セキュリティ アプライアンスがパケットのリダイレクトを
試行し、キャッシュ エンジンへのルートを検出できない場合に増分します。
推奨事項：キャッシュ エンジンへのルートが存在することを確認してくださ
い。
VPN Handle Error (vpn-handle-error)
このカウンタは、VPN 処理がすでに存在するために、アプライアンスで VPN
処理を作成できない場合に増分します。
推奨事項：このカウンタは、通常の動作が行われる過程で増分していく可能
性があります。ただし、カウンタが急速に増分している場合や、VPN ベース
のアプリケーションに著しい不適切動作が見られる場合は、ソフトウェアの
欠陥によって発生している可能性があります。 Cisco TAC に連絡して、問題
を詳しく調査してください。
Telnet not permitted on least secure
interface (telnet-not-permitted)
アプライアンスがそのアプライアンスに対して TELNET セッションを確立し
ようとする TCP SYN パケットを受信する際に、セキュリティ レベルが最も
低いインターフェイスでそのパケットを受信した場合は、このカウンタが増
分し、パケットがドロップされます。
推奨事項：セキュリティ レベルが最も低いインターフェイスを介してアプラ
イアンスへの TELNET セッションを確立するには、まずそのインターフェイ
スへの IPSec トンネルを確立し、そのトンネルを使用して TELNET セッショ
ンを接続してください。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
127
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
Data path channel closed (channel-closed) このチャネルを介してパケットの送出を試行する前にデータ パス チャネルが
閉じると、このカウンタは増分します。
推奨事項：マルチプロセッサ システムで、（たとえば、CLI を使用して）1
つのプロセッサがチャネルを閉じたときに、別のプロセッサがチャネルを介
してパケットを送信しようとした場合、このような状態が発生しても異常で
はありません。
Dispatch decode error
(dispatch-decode-err)
パケット ディスパッチ モジュールがフレームをデコードするときにエラーを
検出すると、このカウンタは増分します。 このエラーの一例として、サポー
トされていないパケット フレームがあります。
推奨事項：キャプチャ ツールを使用してパケット形式を確認してください。
IPSec locking error (ipsec-lock-error)
このカウンタは、IPSec 動作が試行されると増分しますが、内部ロック エラー
によって失敗します。
推奨事項：この状態は、通常の動作時に発生することはなく、アプライアン
スにソフトウェアの問題が発生していることを示す場合があります。 このエ
ラーが発生した場合は、Cisco Technical Assistance Center（TAC）にお問い合
せください。
CP event queue error
(cp-event-queue-error)
キューの長さが超過したために、CP イベント キュー エンキュー試行が失敗
した場合、このカウンタは増加します。 このキューは、追加処理用のコント
ロール ポイントにパケットをパントするためにデータ パスで使用されます。
このような状況が発生する可能性があるのは、マルチプロセッサ環境だけで
す。 パケットをキューに入れようとしたモジュールは、このエラーに応答し
てモジュール独自のパケットに固有のドロップを発行する場合があります。
推奨事項：このエラーにより、パケットが完全に処理されないことが示され
ていても、接続に悪影響が及ばないことがあります。 条件が解消されない、
または接続に悪影響が及ぶ場合は、Cisco Technical Assistance Center（TAC）
に連絡してください。
Host limit exceeded (host-limit)
このカウンタは、ライセンスされたホストが制限を超えた場合に増分します。
推奨事項：なし。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
128
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata framedrop
Reason
説明
CP syslog event queue error
(cp-syslog-event-queue-error)
キューの長さが超過したために、CP syslog イベント キュー エンキュー試行が
失敗した場合、このカウンタは増加します。 UDP サーバ以外のロギング先が
設定されている場合、データ パスはこのキューを使用して、ロギング イベン
トをコントロール ポイントにパントします。 このような状況が発生する可能
性があるのは、マルチプロセッサ環境だけです。
推奨事項：このエラーにより、ロギング イベントが完全に処理されないこと
が示されていても、UDP サーバへのロギングには影響はありません。 このよ
うな状況が解消されない場合は、ロギング レベルを下げる、ロギング先を削
除することを検討する、あるいは Cisco Technical Assistance Center（TAC）に
連絡してください。
Dispatch block unavailable
(dispatch-block-alloc)
インターフェイス ドライバで受信されたパケットを処理するために、アプラ
イアンスがコア ローカル ブロックを割り当てることができなかった場合、こ
のカウンタが増分し、パケットはドロップされます。
推奨事項：このような状態は、後で処理するためにキューに入れられている
パケット、またはブロック リークによって発生する場合があります。 コア
ローカル ブロックが空きリソース再バランス ロジックによって時間通りに補
充されない場合は、コア ローカル ブロックも利用できないことがあります。
show blocks core を使用して、問題を詳しく診断してください。
VPN Handle Mismatch
(vpn-handle-mismatch)
アプライアンスがブロックを転送する必要があり、VPN ハンドルによって参
照されるフローがブロックに関連付けられたフローと異なる場合、このカウ
ンタが増分します。
推奨事項：これは正常な状態ではありません。 詳細な分析のため、show
console-output を実行して出力を CISCO TAC に送信してください。
Async lock queue limit exceeded
(async-lock-queue-limit)
各 async lock 作業キューが 1000 に制限されています。 制限を超える SIP パ
ケットの作業キューへの送信が試行された場合、パケットはドロップされま
す。
推奨事項：SIP トラフィックだけがドロップされる場合があります。 SIP パ
ケットに同じ親ロックがあり、同じ async lock キューにキューイングする場
合、シングル コアだけですべてのメディアを処理するため、ブロックが枯渇
する場合があります。 async lock キューのサイズが制限を超えた場合に、SIP
パケットのキューが試行されると、パケットはドロップされます。
___________________
例
次に、show opdata framedrop コマンドの出力例を示します。
hostname>show opdata framedrop
Data Plane Drop Stats:
======================
Flow is being freed (flow-being-freed)
TCP failed 3 way handshake (tcp-3whs-failed)
413
49364
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
129
show opdata ～ show raid コマンド
show opdata framedrop
TCP RST/FIN out of order (tcp-rstfin-ooo)
Connection limit reached (conn-limit)
Expired flow (flow-expired)
Unable to obtain connection lock (connection-lock)
TCP Proxy no inspection (tcp-proxy-no-inspection)
___________________
関連コマンド
コマンド
597549
3
92133
46
230594
説明
clear opdata framedrop ドロップされたフレームの記録をクリアします。
show opdata flowdrop
ドロップされたフロー（接続）に関する情報を表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
130
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata interface
show opdata interface
すべてのデータ プレーン インターフェイスの基本的な統計情報を表示するには、show opdata
interface コマンドを使用します。
show opdata interface [detail]
___________________
構文の説明
detail
（オプション）ssm-translate インターフェイス固有の詳細な統計情報を表示します。
この詳細情報は、show opdata interface コマンドで表示されるすべての統計情報に、
入力（RX）キューおよび出力（TX）キューの統計情報を加えたものです。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
___________________
使用上のガイドライン 次の情報が、デバイスの各インターフェイスに対して表示されます。 これらはデータプレーン
NIC 統計情報ですが、show interface は、管理インターフェイスおよびカード マネージャ インター
フェイスの情報を表示します。
表 5：show opdata interface および show opdata interface detail の表示フィールド
フィールド
説明
Interface:
タイプ、スロット、および名前 （「GigabitEthernet1 (outside)」など）
NIC カウンタおよび NP カウンタ
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
131
show opdata ～ show raid コマンド
show opdata interface
フィールド
説明
packets input
このインターフェイスで受信したパケットの数。 このラインには次の
ものが含まれます。
• [bytes]：このインターフェイスで受信されたバイト数。
• [no Buffer]：ブロック割り当てからの失敗の数。
Received
受信したブロードキャスト パケットおよびパケットに関する情報。以
下に具体例を示します。
• [broadcasts]：受信したブロードキャストの数。
• [runts]：最小のパケット サイズ（64 バイト）よりも小さいために
廃棄されたパケットの数。 ラントは通常、コリジョンによって発
生します。 不適切な配線や電気干渉によって発生することもあり
ます。
• [giants]：最大パケット サイズを超過したためにドロップされたパ
ケット数 たとえば、1518 バイトよりも大きいイーサネット パケッ
トはジャイアントと見なされます。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
132
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata interface
フィールド
説明
input errors
次に示すタイプを含めた入力エラーの総数。 また、その他の入力関連
のエラーによって入力エラー数が増えたり、一部のデータグラムに複数
のエラーが存在していたりする可能性があります。したがって、この合
計は、これらのタイプにリストされているエラーの数を超えることがあ
ります。
• [CRC]：巡回冗長検査エラーの数。 ステーションがフレームを送信
すると、フレームの末尾に CRC を付加します。 この CRC は、フ
レーム内のデータに基づくアルゴリズムから生成されます。 送信
元と宛先の間でフレームが変更された場合、システムは CRC が一
致しないことを通知します。 CRC の数値が高いことは、通常、コ
リジョンの結果であるか、ステーションが不良データを送信する
ことが原因です。
• [frame]：フレーム エラーの数。 不良フレームには、長さが正しく
ないパケットや、フレーム チェックサムが正しくないパケットが
あります。 このエラーは通常、コリジョンまたはイーサネット デ
バイスの誤動作が原因です。
• [Overruns]：入力レートがデータを処理するデバイスの機能を超え
たために、デバイスが受信データをハードウェア バッファに配信
できなかった回数。
• [ignored]：このフィールドは使用されません。 値は常にゼロにな
ります。
• [abort]：このフィールドは使用されません。 値は常にゼロになり
ます。
pause input/resume input インターフェイスで入力が一時停止した回数と、入力が再起動した回
数。
packets output
このインターフェイスに送信されたパケットの数。 このラインは次の
ものも含みます。
• [bytes]：このインターフェイスに送信されたバイト数。
• [underruns]：デバイスが処理するより早くトランスミッタが実行さ
れた回数。
pause output/resume
output
インターフェイスで出力が一時停止した回数と、出力が再起動した回
数。
output errors
設定されたコリジョンの最大数を超えたため送信されなかったフレーム
の数。 このカウンタは、ネットワーク トラフィックが多い場合にのみ
増加します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
133
show opdata ～ show raid コマンド
show opdata interface
フィールド
説明
collisions
イーサネット コリジョン（単一および複数のコリジョン）が原因で再
送信されたメッセージの数。 これは通常、過渡に延長した LAN で発生
します（イーサネット ケーブルまたはトランシーバ ケーブルが長すぎ
る、ステーション間のリピータが 2 つよりも多い、またはマルチポート
トランシーバのカスケードが多すぎる場合）。 衝突するパケットは一
度だけカウントされます。
interface resets
インターフェイスがリセットされた回数。 インターフェイスで 3 秒間
送信できない場合、デバイスはインターフェイスをリセットして送信を
再開します。 この間隔では、接続状態が維持されます。 インターフェ
イスのリセットは、インターフェイスがループバックまたはシャットダ
ウンする場合も発生します。
late collisions
通常のコリジョン ウィンドウの外側でコリジョンが発生したため、送
信されなかったフレームの数。 レイト コリジョンは、パケットの送信
中に遅れて検出されるコリジョンです。 通常、これらは発生すること
はありません。 2 枚のイーサネット ホストが情報を同時に送信しよう
すると、パケットで早期に衝突して両方ともバック オフするか、2 番目
のホストが 1 番目の送信を認識して待機します。
レイト コリジョンでは、別のデバイスが割り込んでイーサネットでパ
ケットを送信しようとしますが、このデバイスのパケットの送信は一部
のみ完了します。 パケットの最初の部分を保持するバッファを解放す
る可能性があるため、このデバイスはパケットを再送しません。 この
ことは一般的に問題になりません。その理由は、ネットワーキング プ
ロトコルはパケットを再送することでコリジョンを処理する設計になっ
ているためです。 ただし、レイト コリジョンはネットワークに問題が
存在することを示しています。 一般的な問題は、リピータで接続され
た大規模ネットワーク、および仕様の範囲を超えて動作しているイーサ
ネット ネットワークです。
deferred
リンク上のアクティビティが原因で送信前に保留されたフレームの数。
input reset drops
リセットが発生したときに RX リングでドロップしたパケットの数。
output reset drops
リセットが発生したときに TX リングでドロップしたパケットの数。
次の統計情報は、showopdatainterface にキーワードの detail を含めると出力に追加されます。
RX Queue Stats
入力キュー内のパケット数（現行値と最大値）。 次のものも含みます。
• [hardware]：ハードウェア キューのパケット数。
• [software]：ソフトウェア キューのパケット数。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
134
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata interface
フィールド
説明
TX Queue Stats
出力キュー内のパケットの数（現行値と最大値）。 次のものも含みま
す。
• [hardware]：ハードウェア キューのパケット数。
• [software]：ソフトウェア キューのパケット数。
___________________
例
次に show opdata interface detail の出力例を示します。
hostname>show opdata interface detail
Data Plane Interface Stats:
===========================
output: "Interface: GigabitEthernet0 (inside)
===================================
NIC Counters:
283 packets input, 22074 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 pause input, 0 resume input
283 packets output, 22074 bytes, 0 underruns
0 pause output, 0 resume output
0 output errors, 0 collisions, 0 interface rests
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
NP Counters:
19 packets input, 844 bytes, 19 dropped,
0 packets output, 0 bytes
RX Queue Stats:
RX[0]: 283 packets input, 22074 bytes, Blocks free curr/low 1007/915
RX[1]: 0 packets input, 0 bytes, Blocks free curr/low 1007/1007
TX Queue Stats:
RX[0]: 283 packets input, 22074 bytes, Blocks free curr/low 1007/1000
RX[1]: 0 packets input, 0 bytes, Blocks free curr/low 1007/1007
... (Remaining output removed for publishing purposes) ...
___________________
関連コマンド
コマンド
説明
clear opdata interface
データ プレーン インターフェイス統計情報をクリアします。
show interfaces
システムのインターフェイス統計情報を表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
135
show opdata ～ show raid コマンド
show opdata policy
show opdata policy
このデバイスに定義されているポリシー要素のデータ プレーン定義および統計情報を表示するに
は、show opdata policy キーワードコマンドを使用します
show opdata policy {dest| source| table| tags}
___________________
構文の説明
___________________
コマンド モード
dest
（オプション）デバイスのポリシーで定義され
ている宛先 IP アドレスを一覧表示します。
source
（オプション）デバイスのポリシーで定義され
ている送信元 IP アドレスを一覧表示します。
table
（オプション）全体的なポリシー アクセスおよ
び検出情報を一覧表示します。
tags
（オプション）使用可能な内部ポリシー タグ定
義を一覧表示します。
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
___________________
使用上のガイドライン これらのコマンドは、セキュリティタグの定義および検出統計情報などのポリシーデータのデー
タ プレーン レベルのリストを表示します。 この情報は、Cisco TAC を利用したトラブルシュー
ティングで使用されることを想定しています。
___________________
例
ここでは、様々なshow opdata policy キーワードコマンドの出力例を示します。
次は show opdata policy tags の出力例です。
asacx>show opdata policy tags
Data Plane Policy Stats:
========================
ASA CX および Cisco Prime Security Manager コマンド リファレンス
136
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata policy
output: "svc dpv table
Running policy version 1919 with bitmap-size 1026, 253 access rules, 2 authn rules
hits 0, uid 32, protocol 2, protocol_mask 0xff, protocol_subtype 0, protocol_subtype_mask
0 dscp 0, dscp_mask 0
hits 0, uid 33, protocol 6, protocol_mask 0xff, protocol_subtype 0, protocol_subtype_mask
0 dscp 0, dscp_mask 0
dport 7, dport_mask 0xffff
hits 0, uid 35, protocol 17, protocol_mask 0xff, protocol_subtype 0, protocol_subtype_mask
0 dscp 0, dscp_mask 0
dport 7, dport_mask 0xffff
hits 0, uid 36, protocol 6, protocol_mask 0xff, protocol_subtype 0, protocol_subtype_mask
0 dscp 0, dscp_mask 0
dport 9, dport_mask 0xffff
... (Intervening lines removed for publishing purposes) ...
hits 0, uid 383, protocol 6, protocol_mask 0xff, protocol_subtype 0, protocol_subtype_mask
0 dscp 0, dscp_mask 0
dport 1521, dport_mask 0xffff
"
hostname>
次は show opdata policy table の出力例です。
hostname>show opdata policy table
Data Plane Policy Stats:
========================
Policy table
Running policy version 167 with bitmap-size 45, 8 access rules, 0 authn rules
Domain: TAG hits 78175831, uid 44, persisted_policy_id 1302, flags 0x13, decision
NP_DPV_PERMIT resolvable
key vector: Start: 42\n
mask vector: Start: 42\n
Domain: TAG hits 78168139, uid 44, persisted_policy_id 1302, flags 0x13, decision
NP_DPV_PERMIT resolvable
key vector: Start: 43\n
mask vector: Start: 43\n
Domain: TAG hits 78205549, uid 44, persisted_policy_id 1302, flags 0x13, decision
NP_DPV_PERMIT resolvable
key vector: Start: 41\n
mask vector: Start: 41\n
Domain: TAG hits 78168139, uid 44, persisted_policy_id 1302, flags 0x13, decision
NP_DPV_PERMIT resolvable
key vector: Start: 40\n
mask vector: Start: 40\n
... (Intervening lines removed for publishing purposes) ...
Domain: TAG hits 28705931, uid 36, persisted_policy_id 1303, flags 0x3, decision NP_DPV_PERMIT
resolvable
key vector: Start: 33\n
mask vector: Start: 33\n
Domain: ACCESS hits 45102, uid 1, persisted_policy_id 1303, flags 0x15, decision NP_DPV_DENY
key vector: Start: 37 44\n
mask vector: Start: 37 44\n
Domain: ACCESS hits 0, uid 1, persisted_policy_id 1303, flags 0x15, decision NP_DPV_DENY
key vector: Start: 38 44\n
mask vector: Start: 38 44\n
Domain: ACCESS hits 0, uid 2, persisted_policy_id 1301, flags 0x4, decision NP_DPV_DENY
key vector: Start: 36\n
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
137
show opdata ～ show raid コマンド
show opdata policy
mask vector: Start: 36\n
Domain: ACCESS hits 28705931, uid 3, persisted_policy_id 1299, flags 0x5, decision
NP_DPV_PERMIT
key vector: Start: 36\n
mask vector: Start: 36\n
Domain: ACCESS hits 79244183, uid 3, persisted_policy_id 1299, flags 0x5, decision
NP_DPV_PERMIT
key vector: Start: 37\n
mask vector: Start: 37\n
Domain: ACCESS hits 112352, uid 4, persisted_policy_id 1292, flags 0x5, decision NP_DPV_DENY
key vector: Start:\n
mask vector: Start:\n
Domain: ACCESS hits 0, uid 7, persisted_policy_id 0, flags 0x5, decision NP_DPV_PERMIT
key vector: Start:\n
mask vector: Start:\n
... (Remaining lines removed for publishing purposes) ...
hostname>
次は show opdata policy source の出力例です。
hostname>show opdata policy source
Data Plane Policy Stats:
========================
output: "src netobj ipv4 dpv table
Running policy version 1919 with bitmap-size 1026, 253 access rules, 2 authn rules
tmatch_hitcnt 0, objgrp_id 39, v4_ip 192.168.1.250, v4_mask 255.255.255.255,
tmatch_hitcnt 0, objgrp_id 40, v4_ip 192.168.1.254, v4_mask 255.255.255.255,
tmatch_hitcnt 0, objgrp_id 44, v4_ip 192.168.1.148, v4_mask 255.255.255.255,
tmatch_hitcnt 0, objgrp_id 45, v4_ip 192.168.1.149, v4_mask 255.255.255.255,
... (Intervening lines removed for publishing purposes) ...
"
Data Plane Policy Stats:
========================
output: "src netobj ipv6 dpv table
Running policy version 1919 with bitmap-size 1026, 253 access rules, 2 authn rules
"
次は show opdata policy dest の出力例です。
hostname>show opdata policy dest
Data Plane Policy Stats:
========================
output: "dst netobj ipv4 dpv table
Running policy version 1919 with bitmap-size 1026, 253 access rules, 2 authn rules
tmatch_hitcnt 0, objgrp_id 34, v4_ip 98.159.213.230, v4_mask 255.255.255.255,
tmatch_hitcnt 0, objgrp_id 41, v4_ip 254.56.30.26, v4_mask 255.255.255.255,
tmatch_hitcnt 0, objgrp_id 42, v4_ip 116.88.189.169, v4_mask 255.255.255.255,
tmatch_hitcnt 0, objgrp_id 43, v4_ip 2.83.107.64, v4_mask 255.255.255.255,
... (Intervening lines removed for publishing purposes) ...
"
Data Plane Policy Stats:
========================
output: "dst netobj ipv6 dpv table
Running policy version 1919 with bitmap-size 1026, 253 access rules, 2 authn rules
ASA CX および Cisco Prime Security Manager コマンド リファレンス
138
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata policy
"
___________________
関連コマンド
関連するコマンドはありません。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
139
show opdata ～ show raid コマンド
show opdata summary
show opdata summary
データ プレーンからのサマリー情報を表示するには、show opdata summary コマンドを使用しま
す。
show opdata summary
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
___________________
使用上のガイドライン このコマンドは、データ プレーン トラフィックの統計情報の要約を表示するのに使用します。
次の情報が表示されます。
フィールド
説明
active_connections
デバイスへの現在アクティブな TCP および UDP 接続の数。
total_packets_passed
デバイスから渡されたパケットの総数。
acl_deny_packets_dropped アクセスコントロールルールによって拒否されてドロップされたパケッ
トの数。
total_flows_dropped
デバイスにドロップされたフロー（接続）の総数。
total_packets_dropped
何らかの理由でドロップされたパケットの総数。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
140
OL-26836-02-J
show opdata ～ show raid コマンド
show opdata summary
___________________
例
次に、show opdata summary の出力例を示します。
hostname>show opdata summary
Data Plane Summary Data:
========================
active_connections: 89
total_packets_passed: 24063
acl_deny_packets_dropped: 1688
total_flows_dropped: 24
total_packets_dropped: 4571
___________________
関連コマンド
関連するコマンドはありません。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
141
show opdata ～ show raid コマンド
show partitions
show partitions
デバイス パーティション情報のリストを表示するには、show partitions コマンドを使用します。
show partitions
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
___________________
使用上のガイドライン show partitions コマンドは、デバイスのハード ディスクと埋め込まれた USB（eUSB）フラッシュ
ドライブのパーティションテーブルのリストを表示するために使用します。この情報には、ディ
スク形状とシリンダーやブロックのサイズが含まれます。
___________________
例
次に show partitions コマンドの出力例を示します。 特定の値に付けられた + や - は、端数の切り
上げ/切り捨てを示していることに注意してください。実際の値は多少上下します。
asacx>show partitions
Disk /dev/sda: 72961 cylinders, 255 heads, 63 sectors/track
Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0
Device Boot Start
/dev/sda1
0+
/dev/sda2
0
/dev/sda3
0
/dev/sda4
0
End
72960
-
#cyls
#blocks
72961- 586059232
0
0
0
0
0
0
Id
83
0
0
0
System
Linux
Empty
Empty
Empty
Disk /dev/sdb: 72961 cylinders, 255 heads, 63 sectors/track
Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0
Device Boot Start
/dev/sdb1
0+
/dev/sdb2
0
/dev/sdb3
0
End
72960
-
#cyls
#blocks
72961- 586059232
0
0
0
0
Id
83
0
0
System
Linux
Empty
Empty
ASA CX および Cisco Prime Security Manager コマンド リファレンス
142
OL-26836-02-J
show opdata ～ show raid コマンド
show partitions
/dev/sdb4
0
-
0
0
0
Empty
Disk /dev/sdc: 72961 cylinders, 255 heads, 63 sectors/track
Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0
Device Boot Start
/dev/sdc1
0+
/dev/sdc2
0
/dev/sdc3
0
/dev/sdc4
0
End
72960
-
#cyls
#blocks
72961- 586059232
0
0
0
0
0
0
Id
83
0
0
0
System
Linux
Empty
Empty
Empty
Disk /dev/sdd: 72961 cylinders, 255 heads, 63 sectors/track
Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0
Device Boot Start
/dev/sdd1
0+
/dev/sdd2
0
/dev/sdd3
0
/dev/sdd4
0
End
72960
-
#cyls
#blocks
72961- 586059232
0
0
0
0
0
0
Id
83
0
0
0
System
Linux
Empty
Empty
Empty
Disk /dev/sde: 1022 cylinders, 248 heads, 62 sectors/track
Units = cylinders of 7872512 bytes, blocks of 1024 bytes, counting from 0
Device Boot Start
/dev/sde1
*
0+
/dev/sde2
56
/dev/sde3
465
/dev/sde4
874
___________________
関連コマンド
End
55
464
873
1021
#cyls
56409
409
148
#blocks
430527+
3144392
3144392
1137824
Id
83
83
83
83
System
Linux
Linux
Linux
Linux
コマンド
説明
partition
デバイスのハード ドライブと eUSB にシステム ファイル保管用の新し
いパーティションを作成します。既存の情報は上書きされます。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
143
show opdata ～ show raid コマンド
show platform hardware
show platform hardware
トラブルシューティングの際に Cisco TAC に役立つハードウェア固有のプラットフォーム情報を
表示するには、show platform hardware コマンドを使用します。
show platform hardware {scsi| info| dmidecode}
___________________
構文の説明
scsi
ホスト バス アダプタ番号、バスのアドレス、およびターゲット ID を含
む、SCSI 接続デバイスのすべてのホスト情報を表示します
info
マザーボードのシリアル番号、製品 ID およびバージョン番号など、特
定のハードウェアの関連情報を表示します。
dmidecode
システムのデスクトップ管理インターフェイス（DMI）テーブルを表示
します。 この情報は、主にハードウェア コンポーネントの説明から構
成されます （このテーブルは、システム管理 BIOS テーブルまたは
SMBIOS テーブルとも呼ばれます）。
（注）
___________________
コマンド モード
このキーワードは、PRSM コンソールまたは SSH セッション
でのみ使用できます。
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン show platform hardware コマンドは、ハードウェアの問題を Cisco TAC とともに解決する際に役
立つ可能性のある、SCSI デバイスおよびハードウェアコンポーネントの情報にアクセスして表示
するために使用します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
144
OL-26836-02-J
show opdata ～ show raid コマンド
show platform hardware
___________________
関連コマンド
コマンド
説明
show platform software 特定のソフトウェア プラットフォーム情報を表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
145
show opdata ～ show raid コマンド
show platform software
show platform software
トラブルシューティングの際に Cisco TAC に役立つソフトウェア固有のプラットフォーム情報を
表示するには show platform software コマンドを使用します。
show platform software {network options| components| fstab| lv| pv| rpms| swap| utilization [detail]|
grub| iptables}
___________________
構文の説明
network options
IP 転送およびスプーフィング保護がイネーブルになっているかどうかを
含め、現在のネットワークの設定を表示します。
components
デバイスのオペレーティング システムに従って、インストールされてい
るソフトウェア パッケージのリストが表示されます。
fstab
すべての使用可能なディスクおよびパーティションを一覧表示し、ファ
イルシステムのテーブルを表示します。
lv
サイズおよびパスなど、すべてのアクティブな論理ボリュームに関する
情報を表示します。
pv
物理ボリューム情報を表示します。
rpms
RPM パケット マネージャ（RPM）に従って、インストールされている
ソフトウェア パッケージのリストが表示されます。
swap
仮想メモリとスワップ統計情報を表示します。
utilization
プロセッサの使用状況、メモリ使用状況、ほとんどの CPU サイクルを
使用しているプロセスなどの現在のシステム使用状況の情報を表示しま
す。
このコマンドには次のキーワードを付けることもできます。
• detail ：（Optional）（任意）一部のスレッドの詳細を追加して、
システム使用状況の情報を表示します。
___________________
コマンド モード
grub
カーネルのパーティション、パス、ファイル名を含むデ、バイスのGRand
Unified ブートローダ（GRUB）ブートアップの情報を表示します。
iptables
管理インターフェイスまたはポートへのアクセスを制御するシステムに
定義されている IP パケット フィルタ ルール（ファイアウォール ルー
ル）を表示します。
このコマンドは次のコンテキストで使用できます。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
146
OL-26836-02-J
show opdata ～ show raid コマンド
show platform software
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン show platform software コマンドは、ソフトウェアの問題とシステムのボトルネックを Cisco TAC
とともに解決する際に役立つ可能性のある、システム関連情報にアクセスして表示するために使
用します。
___________________
関連コマンド
コマンド
説明
show platform
hardware
ソフトウェア固有のプラットフォーム情報を表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
147
show opdata ～ show raid コマンド
show raid
show raid
現在の状態を含む、接続された RAID アレイのステータス情報をデバイスごとに表示するには、
show raid コマンドを使用します。
（注）
このコマンドは Cisco ASA 5585-X CX Security Services Processor に適用されます。 ASA CX ソ
フトウェア モジュール には適用されません。 ASA CX ソフトウェア モジュール の RAID ス
テータスを表示するには、ASA のコマンドライン インターフェイスから show RAID コマンド
を使用します。
show raid
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
___________________
使用上のガイドライン RAID デバイスはディスク障害の発生時にデータ保護を提供するために複数の実際のブロック デ
バイスから作成された仮想デバイスです。 接続された RAID（独立ディスクの冗長アレイ）でア
クティブな各デバイスの現在のステータスを表示できます。 接続された RAID アレイのものも含
め、ASA CX は自動的にすべてのディスク ドライブを管理することに注意してください。
個々の RAID のコンポーネントでは、表示される情報は基本的に Superblock で、アレイ情報、使
用可能な空き容量および状態を含みます。
___________________
例
show raid コマンドの出力例を示します。 出力は簡略化のために編集されています。
hostname> show raid
ASA CX および Cisco Prime Security Manager コマンド リファレンス
148
OL-26836-02-J
show opdata ～ show raid コマンド
show raid
/dev/md0:
Version
Creation Time
Raid Level
Array Size
Used Dev Size
Raid Devices
Total Devices
Preferred Minor
Persistence
:
:
:
:
:
:
:
:
:
0.90
Tue Nov 15 14:09:24 2011
raid1
3148672 (3.00 GiB 3.22 GB)
3148672 (3.00 GiB 3.22 GB)
2
2
0
Superblock is persistent
Update Time
State
Active Devices
Working Devices
Failed Devices
Spare Devices
:
:
:
:
:
:
Fri Mar 23 13:55:39 2012
clean
2
2
0
0
UUID : 56a43ec8:b06323c5:bfbc7f69:238aba8a
Events : 0.4
Number
Major
Minor
RaidDevice State
0
8
17
0
active sync
1
8
49
1
active sync
/dev/md1:
Version : 0.90
Creation Time : Tue Nov 15 14:09:26 2011
Raid Level : raid1
Array Size : 3148672 (3.00 GiB 3.22 GB)
Used Dev Size : 3148672 (3.00 GiB 3.22 GB)
Raid Devices : 2
Total Devices : 2
Preferred Minor : 1
Persistence : Superblock is persistent
Update Time
State
Active Devices
Working Devices
Failed Devices
Spare Devices
:
:
:
:
:
:
Thu Mar
clean
2
2
0
0
/dev/sdb1
/dev/sdd1
8 13:26:20 2012
UUID : 21ea8606:f982d196:bfbc7f69:238aba8a
Events : 0.8
Number
0
1
Major
8
8
Minor
18
50
RaidDevice State
0
active sync
1
active sync
/dev/sdb2
/dev/sdd2
... (Remaining output removed for publishing purposes) ...
次の表で出力フィールドを説明します。
表 6：show raid の表示フィールド
フィールド
説明
identifier
アレイ コンポーネントの ID（例：/dev/md0）
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
149
show opdata ～ show raid コマンド
show raid
フィールド
説明
Version
Superblock（RAID メタ データ）のフォーマット：
• [0.90]：元のフォーマット。これがデフォルトです。 アレイはそれぞれ 2 テラバイ
トの 28 デバイスに制限されます。
• [1.0、1.1、1.2]：いくつかの制限を持つ新しいフォーマット バージョン。 これらの
1.n バージョンはそれぞれ、デバイスで別のロケーションにある Superblock を保存
します。
Creation Time
このコンポーネントが設定された日時。
Raid Level
このアレイによって使用されるデータ ストレージ方式（RAID 0、RAID 1、RAID 5、
RAID 6、および RAID 10）。 RAID 1 はミラーリング方式です。
Array Size
すべてのコンポーネントのデバイスで使用可能な合計ストレージ（バイト、ギビバイ
ト、ギガバイト）。
Used Dev Size
各デバイスで合計容量に影響するメモリ容量（バイト、ギビバイト、ギガバイト）。
これは最小のデバイスまたはパーティションによって決まります。大きいデバイスには
未使用のスペースがある場合があります。
Raid Devices
スペア、不足、障害が発生したデバイスを含む完全なアレイのメンバ デバイスの合計
数。
Total Devices
使用可能な機能デバイスの数。
Preferred Minor
自動構築されたデバイスの場合、この RAID コンポーネントの優先マイナー番号（特定
のデバイス ID）。 たとえば /dev/md1 では、マイナー番号は 1 です。
Persistence
Superblock がアレイのすべてのコンポーネントのデバイスに特定の位置に書き込まれる
こと持続性 Superblock（アレイが作成されたときのデフォルト）は、Superblock がアレ
イのすべてのコンポーネント デバイスで特定の位置に書き込まれることを意味します。
その後、RAID 設定は関連ディスクから直接読み取ることができます。
Update Time
アレイのステータスが変更された時刻。 ステータス変更には、アクティブ化、障害な
どが含まれます。
State
アレイの現在の状態。状態には次のものがあります。
• [active]：完全に動作可能で、入出力と再同期が進行中である可能性があります。
• [clean]：アクティブです。保留を書き込みません。
• [dirty]：アクティブです。進行を書き込みます。
Active Devices
アレイの現在の機能デバイスの数。予備のデバイスは含まれていません。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
150
OL-26836-02-J
show opdata ～ show raid コマンド
show raid
フィールド
説明
Working Devices
アレイの使用可能な（障害のない）デバイスの総数。つまり、アクティブ デバイスと
予備のデバイス。
Failed Devices
アレイの障害の発生したデバイス。
Spare Devices
現在アレイに割り当てられている予備のデバイスの数。
UUID
アレイの Superblock に保存されている 128 ビットの 16 進数汎用一意識別子（UUID）。
ランダムに生成され、RAID を一意にタグ付けるために使用されます。 すべてのコン
ポーネント デバイスがこの ID を共有します
Events
アレイのイベント カウンタ。Superblock が更新されるたびに増分されます。
component-disk information
Linux は、メジャーおよびマイナーの 2 つの番号で、すべてのブロック デバイスを識別
します。 メジャー番号は通常、デバイス タイプに対応し、マイナー番号は、そのグルー
プ内の特定のデバイスの ID です。 たとえば、「Major 8」は SCSI ディスクを示します。
RAID デバイスの各コンポーネントを次に示します。
___________________
関連コマンド
コマンド
説明
show partitions
デバイス パーティション情報のリストを表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
151
show opdata ～ show raid コマンド
show raid
ASA CX および Cisco Prime Security Manager コマンド リファレンス
152
OL-26836-02-J
show route ～ z コマンド
• show route, 154 ページ
• show services status, 156 ページ
• show tech-support, 158 ページ
• show time, 160 ページ
• show version, 162 ページ
• support diagnostic, 164 ページ
• support fsck, 168 ページ
• support list, 170 ページ
• support tail logs, 172 ページ
• support validatedb, 174 ページ
• support view logs, 175 ページ
• system reload, 177 ページ
• system revert, 179 ページ
• system shutdown, 181 ページ
• system upgrade、system install, 183 ページ
• traceroute, 186 ページ
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
153
show route ～ z コマンド
show route
show route
ゲートウェイ情報などを含むルーティング テーブルを表示するには、show route コマンドを使用
します。
show route
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン show route コマンドはシステム ルーティングのトラブルシューティングに使用します。
___________________
例
次に、ルーティング テーブルを表示する例を示します。
hostname> show route
Kernel IP routing table
Destination
Gateway
10.89.31.0
0.0.0.0
0.0.0.0
10.89.31.1
Genmask
255.255.255.0
0.0.0.0
Flags Metric Ref
U
0
0
UG
0
0
Use Iface
0 eth0
0 eth0
Kernel IPv6 routing table
Destination
Next Hop
::1/128
::
Flags Metric Ref
U
0
38
2001::124/128
::
U
0
0
1 lo
2001::/64
::
U
256
1
0 eth0
fe80::/64
::
U
256
0
0 eth0
ff00::/8
::
U
256
0
0 eth0
Use Iface
3 lo
ASA CX および Cisco Prime Security Manager コマンド リファレンス
154
OL-26836-02-J
show route ～ z コマンド
show route
::/0
hostname>
2001::124
UG
1
0
0 eth0
次の表でフィールドを説明します。
表 7：show route の表示フィールド
フィールド
説明
Destination
宛先ホストまたはネットワーク。
Gateway
宛先ホストまたはネットワークに使用されるゲートウェイ。 アスタリスク
（*）はゲートウェイが使用されないことを示します。
Genmask
このルートのネットワーク マスク。
Flags
フラグは次の文字を含みます。
• U：ルートで使用されるインターフェイスは稼働中です。
• G：ルートは、ゲートウェイを使用します。
• H：1 つのホストだけがこのルートを介してアクセスできます。
• D：ルートは動的に生成されます。
• M：ルートは、ICMP リダイレクト メッセージによって変更されまし
た。
• !：ルートは拒否されたルートです。データグラムはドロップされます。
___________________
関連コマンド
Metric
ルートの相対コスト。
Ref
このルートのリファレンスの数。
Use
ルートが使用された回数。
Iface
ルートで使用するインターフェイス。
コマンド
説明
セットアップ
DNS サーバを含む基本的なシステム設定を設定します。
show interfaces
システム インターフェイスのステータスを表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
155
show route ～ z コマンド
show services status
show services status
システム プロセスの現在のステータスを表示するには、show services status コマンドを使用しま
す。
show services status
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン システムを正しく機能させるには、すべてのプロセスの [Enabled] および [Up] ステータスが [True]
であることが必要です。 これらのいずれかの値が数分間 [False] 状態を維持する場合（プロセスが
自動的に再起動できなかったことを示します）、services stop コマンドを使用してすべてのプロセ
スを停止し、その後 services start コマンドを使用してプロセスを再起動します。 プロセスを再起
動しても問題が解決しない場合、system reload コマンドを使用してシステムをリブートします。
問題が解決されない場合は、Cisco Technical Assistance Center（TAC）にお問い合せください。
ステータス出力もアップ タイムを表示しますが、これらの数字は、100 時間未満の秒に制限され
るため、プロセスを再起動してステータスを確認しない限りは、意味がありません。 PID、また
はプロセス ID 番号は、TAC にのみ関連します。
プロセスのリストは、製品（PRSM または ASA CX）によって異なります。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
156
OL-26836-02-J
show route ～ z コマンド
show services status
___________________
例
次に、ASA CX プロセスのステータスを表示する例を示します。 この出力は、システム プロセス
が正常に機能していることを示します。
hostname> show services status
============================================================
Process
| PID
| Enabled
| Up
| Up Time
============================================================
AD Interface
| 21060 | True
| True | 02:41:37
Message Nameserver| 20816 | True
| True | 02:41:55
HTTP Auth Daemon | 20888 | True
| True | 02:41:54
PDTS
| 20867 | True
| True | 02:41:55
HTTP Inspector
| 20994 | True
| True | 02:41:43
HTTP Server
| 20775 | True
| True | 02:41:55
Data Plane
| 21040 | True
| True | 02:41:40
Management Plane | 20900 | True
| True | 02:41:52
HPM Monitor
| 21065 | True
| True | 02:41:37
Updater
| 20935 | True
| True | 02:41:48
Card Manager
| 21045 | True
| True | 02:41:39
ARP Daemon
| 20883 | True
| True | 02:41:54
Event Server
| 20924 | True
| True | 02:41:48
TLS Proxy
| 21003 | True
| True | 02:41:43
============================================================
hostname>
次に、PRSM プロセスのステータスを表示する例を示します。 この出力は、システム プロセスが
正常に機能していることを示します。
hostname> show services status
============================================================
Process
| PID
| Enabled
| Up
| Up Time
============================================================
HTTP Server
| 6470 | True
| True | 02:39:31
AD Interface
| 6611 | True
| True | 02:39:21
Message Nameserver| 6491 | True
| True | 02:39:31
Management Plane | 6520 | True
| True | 02:39:28
Updater
| 6538 | True
| True | 02:39:24
Event Server
| 6535 | True
| True | 02:39:24
============================================================
hostname>
___________________
関連コマンド
コマンド
説明
show diskusage
システムに設定されているディスクを示します。
show interfaces
システム インターフェイスのステータスを表示します。
show netstat
ネットワークの統計情報を表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
157
show route ～ z コマンド
show tech-support
show tech-support
Cisco Technical Assistance Center（TAC）とともにトラブルシューティングを行う際に使用する情
報を生成するには、show tech-support コマンドを使用します。 コマンドを使用する直前に、問題
の再現を試してください。
show tech-support
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン show tech-support コマンドは、システムの問題のトラブルシューティングする際に、診断情報を
表示します。 表示される情報は、tech_support_report.txt というファイルにも配置されます。
このコマンドは、Web インターフェイスからログをダウンロードするためのリンクをクリックす
ると自動的に実行されます。
___________________
例
次に、TAC 用の診断を表示する例を示します。
hostname> show tech-support
...(Diagnostic output removed for publishing purposes)...
hostname>
ASA CX および Cisco Prime Security Manager コマンド リファレンス
158
OL-26836-02-J
show route ～ z コマンド
show tech-support
___________________
関連コマンド
コマンド
説明
削除
コア ダンプまたはパケット キャプチャを削除します。
support diagnostic
システム ログ、コア ダンプ、パケット キャプチャの診断ファイルを作
成してアップロードします。
support list
システムのファイルを表示します。
support tail logs
ログ ファイルの内容を表示し、ログをオープンにします。
support view logs
ログ ファイルの内容を表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
159
show route ～ z コマンド
show time
show time
システムの現在の日時を表示するには、show time コマンドを使用します。
show time
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン config ntp、config timezone、config time コマンドは、システムの時刻を設定するために使用しま
す。 show time コマンドは、システムの現在の時刻と日付を表示します。
___________________
例
次に、タイム ゾーンを含む、現在の日時を表示する例を示します。
hostname> show time
Wed Aug 10 15:00:01 PDT 2011
hostname>
___________________
関連コマンド
コマンド
説明
config ntp
ネットワーク タイム プロトコル（NTP）サーバを設定して時刻を設定
します。
config time
現地の日時を設定します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
160
OL-26836-02-J
show route ～ z コマンド
show time
コマンド
説明
config timezone
タイム ゾーンを設定します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
161
show route ～ z コマンド
show version
show version
システムのバージョン情報を表示するには、show version コマンドを使用します。
show version
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン show version コマンドは、システムで実行されているソフトウェア バージョンに関する情報を表
示します。 情報は、どの製品を実行しているかを含みます（ASA CX または PRSM）。
___________________
例
次に、ASA CX のシステム バージョンを表示する例を示します。 ホスト名が含まれています。
asacx> show version
Cisco ASA CX Platform
9.0.1 (12)
Cisco Prime Security Manager 9.0.1 (12) for asacx firewall
asacx>
次に、PRSM のシステム バージョンを表示する例を示します。 「Multi Device」は、このプラッ
トフォームが複数のデバイスを管理できることを示します。 ホスト名が含まれています。
prsm-vm> show version
Cisco Prime Security Manager 9.0.1 (12) Multi Device prsm-vm
prsm-vm>
ASA CX および Cisco Prime Security Manager コマンド リファレンス
162
OL-26836-02-J
show route ～ z コマンド
show version
___________________
関連コマンド
コマンド
説明
セットアップ
DNS サーバを含む基本的なシステム設定を設定します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
163
show route ～ z コマンド
support diagnostic
support diagnostic
システム ログ、コア ダンプ、またはパケット キャプチャを含む診断ファイルを作成するには、
support diagnostic コマンドを使用します。 システム ログおよびコア ダンプは、トラブルシュー
ティングの際に Cisco Technical Assistance Center（TAC）が使用します。
support diagnostic
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン support diagnostic コマンドは、指定ファイルが格納された zip ファイルを作成し、FTP サーバに
ファイルをアップロードするために使用します。
このコマンドの主な用途は 2 種類あります。
• トラブルシューティングでは、Cisco Technical Assistance Center（TAC）で使用するシステム
ログおよびコア ダンプを含む診断ファイルを作成します。 デフォルトの診断ファイルを作
成したり、特定のログを選択したりできます。 Cisco Technical Support が指示した場合にかぎ
り、特定のログ ファイルを選択します。 ファイル システムに移動し、ファイルを選択する
には、コマンド プロンプトに従います。
• 分析用に設定したパケット キャプチャをアップロードします。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
164
OL-26836-02-J
show route ～ z コマンド
support diagnostic
ヒント
ファイル名は、大文字と小文字が区別されます。 たとえば、「allow」と入力した場合、
「Allow」というファイル名は一致しません。
zip ファイル名にはファイルを作成した日付と時刻が含まれます。
zip ファイルが送信される、FTP または RFC 2348 準拠の TFTP サーバの URL の入力を求められま
す。サーバで認証が必要な場合は、ユーザ名とパスワードの入力を求められます。システムから
ファイルを取得するには、コマンドの実行中に URL を指定する必要があります。 ファイルが非
常に大きいことがあるため、不適合な TFTP サーバへのアップロードが正しく完了しない場合が
あります。TFTP へのファイル アップロードは一般的に 1 GB に制限されます。FTP は、より大き
なファイルを取得することができます。
このコマンドは、Web インターフェイスからログをダウンロードするためのリンクをクリックす
ると自動的に実行されます。 従って、デフォルトの診断ファイルを必要とし、ブラウザによって
システムにログインできる場合は、このコマンドの代わりにこれらのリンクを使用します。
Download Logs リンクは次の場所にあります。
• ASA CX（シングル デバイス モード）、PRSM：[Administration] > [PRSM Logs] を選択しま
す。
• PRSM マルチ デバイス モードで管理される ASA CX（ASA CX 管理対象モード）：[Device
Configuration] ページを開くには、[Device] > [Devices] を選択してデバイスにマウスを合わせ、
[Device Configuration] をクリックします。
例 1：デフォルトの診断ファイルの作成
次に、デフォルトの診断アーカイブを作成する例を示します。 これは、Web インターフェイスで
Download Logs リンクをクリックすると取得できるアーカイブです。
asacx> support diagnostic
=======Diagnostic=======
1. Create default diagnostic archive
2. Manually create diagnostic archive
Please enter your choice (Ctrl+C to exit): 1
Creating archive.....
Enter upload url (FTP or TFTP) or [Ctrl+C] to exit
Example: ftp://192.168.8.1/uploads
> ftp://10.69.43.239/diagnostics
Uploading file cx_asacx_02_29_2012_09_12_08.zip [size: 490306222]
You need to authenticate with the server to upload/download file
Username: ftpusername
Password: (typing not displayed)
Uploading file cx_asacx_02_29_2012_09_12_08.zip [size: 490306222]
Uploading the file to /diagnostics on the remote server.
....
Successfully Uploaded ftp://10.69.43.239/diagnostics/cx_asacx_02_29_2012_09_12_08.zip
asacx>
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
165
show route ～ z コマンド
support diagnostic
例 2：パケット キャプチャのアップロード
次に、FTP サーバにパケット キャプチャをアップロードする例を示します。 アップロードが完了
すると、delete コマンドを使用してオプションでパケット キャプチャ ファイルを削除できます。
asacx> support diagnostic
=======Diagnostic=======
1. Create default diagnostic archive
2. Manually create diagnostic archive
Please enter your choice (Ctrl+C to exit): 2
=== Manual Diagnostic ===
1. Add files to package
2. View files in package
3. Upload package
Please enter your choice (Ctrl+C to exit): 1
=== Add files to package | Manual Diagnostic ===
1.
2.
3.
4.
5.
6.
b.
Logs
Core dumps
Packet captures
Reporting data
Eventing data
Update data
Back to main menu
Please enter your choice (Ctrl+C to exit): 3
============================
Directory: /var/local | 514 KB
-----------files-----------2012-03-20 18:37:28 | 524134
2012-03-20 18:52:11 | 1922
| Allow All.pcap
| aspdrop.pcap
([b] to go back or [m] for the menu or [s] to select files to add)
Type a sub-dir name to see its contents: s
Type the partial name of the file to add ([*] for all, [<] to cancel)
> allow
No file named 'allow'
Type the partial name of the file to add ([*] for all, [<] to cancel)
> Allow
Allow All.pcap
Are you sure you want to add these files? (y/n) [Y]: y
=== Package Contents ===
[Added] Allow All.pcap
========================
============================
Directory: /var/local
-----------files-----------2012-03-20 18:37:28 | 524134
2012-03-20 18:52:11 | 1922
| Allow All.pcap
| aspdrop.pcap
([b] to go back or [m] for the menu or [s] to select files to add)
Type a sub-dir name to see its contents: m
=== Manual Diagnostic ===
1. Add files to package
2. View files in package
3. Upload package
Please enter your choice (Ctrl+C to exit): 3
ASA CX および Cisco Prime Security Manager コマンド リファレンス
166
OL-26836-02-J
show route ～ z コマンド
support diagnostic
Creating archive
Enter upload url (FTP or TFTP) or [Ctrl+C] to exit
Example: ftp://192.168.8.1/uploads
> ftp://10.69.43.239/diagnostics
Uploading file cx_asacx_03_20_2012_19_12_15.zip [size: 524280]
You need to authenticate with the server to upload/download file
Username: ftpusername
Password: (typing not displayed)
Uploading file cx_asacx_03_20_2012_19_12_15.zip [size: 524280]
Uploading the file to /diagnostics on the remote server.
....
Successfully Uploaded ftp://10.69.43.239/diagnostics/cx_asacx_03_20_2012_19_12_15.zip
asacx>
___________________
関連コマンド
コマンド
説明
削除
コア ダンプまたはパケット キャプチャを削除します。
show tech-support
トラブルシューティングのために診断情報を示します。
support list
システムのファイルを表示します。
support tail logs
ログ ファイルの内容を表示し、ログをオープンにします。
support view logs
ログ ファイルの内容を表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
167
show route ～ z コマンド
support fsck
support fsck
Cisco Technical Assistance Center（TAC）とともにトラブルシューティングを行う際にファイル シ
ステムのステータスを確認するには、support fsck コマンドを使用します。
support fsck
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(2)
このコマンドが追加されました。
PRSM 9.0(2)
___________________
使用上のガイドライン support fsck コマンドの目的は、ファイル システムが破損していないことをトラブルシューティ
ング中に Cisco Technical Assistance Center（TAC）が確認するのを支援することです。
コマンドは確認するファイル システムを選択するように求めます。 ファイル システムをマウン
トする場合は、チェックの前に、サービスを停止する必要があります。チェックが完了すると、
サービスは再開されます。 コマンドを終了し、コマンド プロンプトに戻るには、Ctrl+C キーを押
します。
___________________
例
次に、ASA CX のファイル システム チェックの例を示します。 他のファイルシステムの親である
ファイル システムを選択すると、親ファイル システムと子ファイル システムの両方がチェック
されることに注意してください。これ以外の場合は、選択したファイルシステムだけがチェック
されます。
asacx> support fsck
ASA CX および Cisco Prime Security Manager コマンド リファレンス
168
OL-26836-02-J
show route ～ z コマンド
support fsck
Partitions:
1. / (Inactive Root)
2. /var/config
3. /var/data
4. /var/data/cores
5. /var/data/diagnostics
6. /var/db
7. /var/local
8. /var/packages
Select Partition (1-8) or press Ctrl+C to exit: 3
Stopping services....
Unmounting /var/data/cores
Unmounting /var/data/diagnostics
Unmounting /var/data
Checking filesystem on /var/data
/dev/mapper/vg-data: clean, 52715/33161216 files, 3670777/132644864 blocks
Mounting /var/data
Mounting /var/data/diagnostics
Mounting /var/data/cores
Starting services...
Partitions:
1. / (Inactive Root)
2. /var/config
3. /var/data
4. /var/data/cores
5. /var/data/diagnostics
6. /var/db
7. /var/local
8. /var/packages
Select Partition (1-8) or press Ctrl+C to exit: (Ctrl+C)
asacx>
___________________
関連コマンド
コマンド
説明
show diskusage
システムに設定されているディスクを示します。
show raid
RAID ステータスを表示します。
support validatedb
データベースの参照整合性を確認します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
169
show route ～ z コマンド
support list
support list
Cisco Technical Assistance Center（TAC）とともにトラブルシューティングを行う際にシステム ファ
イルのリストを表示するには、support list コマンドを使用します。
support list
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン support list コマンドの目的は、トラブルシューティング中に Cisco Technical Assistance Center
（TAC）が特定のファイルがシステムに存在することを確認するのを支援することです。 コマン
ドはシステム内を移動してファイルの一覧を表示するように求めます。 ウィザードに移動するに
は、次のコマンドを使用します。
• ディレクトリの内容を表示するには、ディレクトリ名を入力します。
• ディレクトリ構造でレベルを 1 つ上がるには b を入力します。
• コマンドを終了し、コマンド プロンプトに戻るには Ctrl+C キーを押します。
___________________
例
次に、ファイルリストの最初の表示の例を示します。サブディレクトリの名前を入力して先に進
むか、Ctrl+C キーでコマンド プロンプトに戻ります。
asacx> support list
ASA CX および Cisco Prime Security Manager コマンド リファレンス
170
OL-26836-02-J
show route ～ z コマンド
support list
============================
Directory: /
----------sub-dirs---------...(Directory list removed for publishing purposes)...
-----------files-----------...(File list removed for publishing purposes)...
([Ctrl+C] to exit)
Type a sub-dir name to list its contents:
___________________
関連コマンド
コマンド
説明
support diagnostic
システム ログ、コア ダンプ、パケット キャプチャの診断ファイルを作
成してアップロードします。
support tail logs
ログ ファイルの内容を表示し、ログをオープンにします。
support view logs
ログ ファイルの内容を表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
171
show route ～ z コマンド
support tail logs
support tail logs
Cisco Technical Assistance Center（TAC）とともにトラブルシューティングを行う際に、システム
ログを開いて、書かれたメッセージを表示するには、support tail logs コマンドを使用します。
support tail logs
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン support tail logs コマンドは、システム ログを開き、開いた状態を維持して、作成されたメッセー
ジを表示できるようにします。 Cisco Technical Assistance Center（TAC）への問い合わせ時にこの
コマンドを使用すると、出力を解釈して、適切なログを表示できるようになります。
コマンドは、使用可能なすべてのログを表示するメニューを表示します。コマンドプロンプトに
従ってログを選択します。 ログの表示を終了し、コマンド プロンプトに戻るには、Ctrl+C キーを
押します。
___________________
例
ログが長い場合は多くの行が表示されます。Enter キーを押すと 1 行ずつ進み、スペースを押すと
1 ページずつ進みます。 ログの表示を終了した後は、Ctrl+C キーを押すとコマンド プロンプトに
戻ります。 サブ ディレクトリを通過するときにレベルを 1 つ上がるには、b コマンドを使用しま
す。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
172
OL-26836-02-J
show route ～ z コマンド
support tail logs
次に、アップグレードログを表示する方法を示します。最初に数種類のログを含むアップグレー
ド ログ カテゴリを選択することに注意してください。その後、特定のログを選択します。 ログ
の表示を終了した後は、Ctrl+C キーを押すとコマンド プロンプトに戻ります。
asacx> support tail logs
Press Ctrl+C to exit
Log Type
----------------1. [Upgrade logs]
2. System messages logs
3. [Syslogs]
4. [Management plane logs]
5. [Eventing logs]
6. [Web server access logs]
7. Backup/Restore logs
8. [Updater logs]
9. CLI logs
10. [HTTP inspector logs]
11. [Data plane logs]
12. [TLS proxy logs]
13. [Monitord logs]
14. [HTTP authentication logs]
Enter the Log Type (1-14)or press Ctrl+C to exit: 1
Enter 0 to go back to the main menu
[Upgrade logs]
---1. Upgrade Log
---2. Commandd Log
---3. STDOUT Commandd Log
Enter the Sub-log Type (1-3)or press Ctrl+C to exit: 1
...(Log output removed for publishing purposes)...
___________________
関連コマンド
コマンド
説明
削除
コア ダンプまたはパケット キャプチャを削除します。
show tech-support
トラブルシューティングのために診断情報を示します。
support diagnostic
システム ログ、コア ダンプ、パケット キャプチャの診断ファイルを作
成してアップロードします。
support list
システムのファイルを表示します。
support view logs
ログ ファイルの内容を表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
173
show route ～ z コマンド
support validatedb
support validatedb
データベースの参照整合性を確認するには、support validatedb コマンドを使用します。
support validatedb
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン Cisco Technical Assistance Center（TAC）とともにトラブルシューティングを行う場合、データベー
スの参照整合性の確認が求められることがあります。
___________________
例
次の例は、データベースの参照整合性が良好であることを示します。 他の結果が出た場合は、
Cisco Technical Assistance Center（TAC）に連絡してください。
hostname> support validatedb
Starting the referential integrity check on committed objects......
Number of records in committed object's references table: 155
Number of records in committed blob object table: 326
Successfully completed referential integrity on committed records.
Starting the
Total number
Total number
Successfully
___________________
関連コマンド
referential integrity check on user objects...
of records in user reference object table: 0
of records in pending object table: 0
completed referential integrity on user records.
Successfully completed db validation
関連するコマンドはありません。
hostname>
ASA CX および Cisco Prime Security Manager コマンド リファレンス
174
OL-26836-02-J
show route ～ z コマンド
support view logs
support view logs
Cisco Technical Assistance Center（TAC）とともにトラブルシューティングを行う際に、システム
ログの内容を表示するには、support view logs コマンドを使用します。
support view logs
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン support view logs コマンドは、システム ログを開きます。 Cisco Technical Assistance Center（TAC）
への問い合わせ時にこのコマンドを使用すると、出力を解釈して、適切なログを表示できるよう
になります。
コマンドは、ログの種類を表示するメニューを表示します。 ウィザードに移動するには、次のコ
マンドを使用します。
• ログの内容を表示するには、ファイル名を入力します。 完全な名前を入力する必要がありま
す。大文字と小文字は区別されます。 ファイル リストはログのサイズを示します。非常大
きいログを開く前には検討が必要な場合があります。
• 「--More--」が表示されたら Space キーを押してログ エントリの次のページを表示します。
次のログ エントリを表示するには Enter キーを押します。 ログの最後に到達すると、メイン
メニューに移動します。 「--More--」の行は、ログのサイズと表示した量を示します。 ログ
のすべてのページを表示する必要がなく、ログを閉じ、コマンドを終了するには、Ctrl+C
キーを使用します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
175
show route ～ z コマンド
support view logs
• メニューまでの構造のレベルを 1 つ上がるには、b を入力します。
ログを開いたままにして、追加された新しいメッセージを表示する場合は、代わりに support tail
logs コマンドを使用します。
___________________
例
次に、アップグレード ログを表示する方法を示します。
hostname> support view logs
===View Files===
1. Cisco Logs
2. Generic Logs
Please enter your choice ([Ctrl+C] to exit): 1
============================
Directory: /var/log/cisco
-----------files-----------...(Log list pruned for publishing
2012-05-15 21:53:25 | 309205
|
2012-05-15 13:27:30 | 293079
|
2012-05-10 23:43:52 | 0
|
purposes)...
upgrade.log
upgrade_driver.log
view_files.log
Type the name of the file to view ([b] to go back, [Ctrl+C] to exit)
> upgrade.log
...(Log output removed for publishing purposes)...
--More-- (0% of 309205 bytes)
___________________
関連コマンド
コマンド
説明
show tech-support
トラブルシューティングのために診断情報を示します。
support diagnostic
システム ログ、コア ダンプ、パケット キャプチャの診断ファイルを作
成してアップロードします。
support list
システムのファイルを表示します。
support tail logs
ログ ファイルの内容を表示し、ログをオープンにします。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
176
OL-26836-02-J
show route ～ z コマンド
system reload
system reload
システムをリブートするには、system reload コマンドを使用します。
system reload
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン システムが正しく機能せず、プロセスを停止して再起動しても問題が解決されない場合は、シス
テムの再起動を試行します。 コンソールまたは SSH セッションは切断され、リブートが完了した
後で再接続できます。
___________________
例
次に、システムをリブートする例を示します。コンソールに接続されている場合は、ブートメッ
セージが表示され、リブートが完了すると、システムにログインするプロンプトが表示されます。
hostname> system reload
Are you sure you want to reload the system? [N]: y
Broadcast message from root (pts/0) (Mon May 14 23:07:55 2012):
The system is going down for reboot NOW!
hostname>
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
177
show route ～ z コマンド
system reload
___________________
関連コマンド
コマンド
説明
サービス
システムの開始/停止します。
show services status
すべてのシステム プロセスのステータスを表示します。
system shutdown
システムをシャットダウンします。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
178
OL-26836-02-J
show route ～ z コマンド
system revert
system revert
以前にインストールしたソフトウェア パッケージに戻すには、system revert コマンドを使用しま
す。
system revert
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン 新しいパッケージにシステムをアップグレードし、問題が発生した場合、または他の理由で以前
にインストールしたパッケージに戻す必要がある場合は、system revert コマンドを入力してアッ
プグレードを取り消すことができます。 取り消しを実行するには、システムを戻すための以前に
インストールしたパッケージが存在することが必要です。
このコマンドを使用する際は、次の点に注意してください。
• 開始した取り消しプロセスを停止することはできません。
• 前のパッケージに戻ると、アップグレードのインストール後に加えたすべての変更が失われ
ます。
• 以前にインストールしたパッケージにのみ戻すことができます。 system revert コマンドを複
数回使用して、複数のパッケージを遡ることはできません。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
179
show route ～ z コマンド
system revert
___________________
例
次に、以前にインストールしたパッケージに戻す例を示します。
hostname> system revert
Current Version:
Previous Version:
Revert requires reboot:
9.0.3
9.0.2
No
Warning: Revert will restore the backup of system configuration and
policy data taken at the last upgrade. The system setup configuration
will be preserved.
You must revert to or install the same version on all ASA CX managed
by this PRSM server or you will not be able to deploy configurations
to those devices.
Do you want to revert to version 9.0.2 ? [n]: y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in an unusable state.
Revert completed successfully.
Revert requires re-login, press Enter to exit from CLI ...
___________________
関連コマンド
コマンド
説明
config reset
データベースを出荷時デフォルト値にリセットします。
show services status
すべてのシステム プロセスのステータスを表示します。
system reload
システムをリブートします。
system upgrade
アップグレード パッケージをインストールします。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
180
OL-26836-02-J
show route ～ z コマンド
system shutdown
system shutdown
システムを完全にシャットダウンするには、system shutdown コマンドを使用します。
system shutdown
___________________
構文の説明
このコマンドには、引数またはキーワードはありません。
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン system shutdown コマンドは、システムを完全にシャットダウンします。 ASA CX SSP の削除など
のアクションを実行する必要がある場合に使用してください。
重要なシステムの問題を解決する場合は、最初に services stop と services start コマンドを使用し
てプロセスを再起動し、その後 system reload コマンドを使用してシステムをリブートします。
___________________
例
次に、システムをシャットダウンする例を示します。
hostname> system shutdown
Are you sure you want to shut down the system? [N]: y
Broadcast message from root (pts/0) (Mon May 14 23:14:09 2012):
The system is going down for system halt NOW!
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
181
show route ～ z コマンド
system shutdown
___________________
関連コマンド
コマンド
説明
サービス
システムの開始/停止します。
show services status
すべてのシステム プロセスのステータスを表示します。
system reload
システムをリブートします。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
182
OL-26836-02-J
show route ～ z コマンド
system upgrade、system install
system upgrade、system install
システム ソフトウェアをアップグレードするには、system upgrade コマンドを使用します。
（注）
ASA CX Boot Image では、コマンドは system install になりますが、他の場合はコマンドは同じ
です。
system upgrade URL
___________________
構文の説明
URL
アップグレード パッケージの URL。 次の種類の URL を使用できます。
• http://
• https://
• ftp://
___________________
コマンド デフォルト
デフォルトの動作や値はありません。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン system upgrade コマンドを使用する前に、アップグレード パッケージをダウンロードして、シス
テムがそれをダウンロードできるサーバに置いておく必要があります。 サーバは認証を要求する
場合があります。サーバが認証を要求する場合、system upgrade コマンドは入力を求めます。 た
だし、HTTPS を使用すると、サーバ証明書は確認されません。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
183
show route ～ z コマンド
system upgrade、system install
（注）
FTP ダウンロードの場合、システムは、まず ftp://anonymous:[email protected]@サー
バ名/ファイル名の使用を試みます。 サーバがこれを受け付けず、クレデンシャルが必要な場
合は、ユーザ名とパスワードを入力するように求められます。
ダウンロード プロセス中は、インストールを実行する前に有効なパッケージであることを検証す
るため、アップグレード パッケージが最初に確認されます。
PRSM マルチ デバイス モードを使用している場合は、最初に管理されているすべての ASA CX を
アップグレードしてから、次に PRSM サーバをアップグレードする必要があります。 通常は、す
べてのシステムを同じバージョンまたはパッケージ番号にアップグレードする必要があります。
互換性のないバージョンを実行すると、ASA CX の PRSM マルチ デバイス モードでバージョン
ミスマッチ アラートが表示されます。 バージョン ミスマッチが存在する場合、PRSM は管理対象
デバイスに変更を展開することはできません。したがって、すべてのシステムを短いタイムウィ
ンドウでアップグレードすることを計画します。
アップグレードを取り消すには、system revert コマンドを使用して、インストール済みのパッケー
ジに戻ります。
（注）
___________________
例
新しくインストールしたパッケージが正しく機能していないことがアップグレード プロセス
によって示される場合は、システムは自動的にインストール済みパッケージに戻します。
次の例では、upgrades.example.com という Web サーバの prsm-sys-9.0.2.pkg というシステム アップ
グレードが適用されます。 この例では、Web サーバでの認証が要求されません。サーバで認証が
要求される場合は、ユーザ名とパスワードの入力を求めるプロンプトが表示されます。
prsm-vm> system upgrade http://upgrades.example.com/packages/prsm-sys-9.0.2.pkg
Verifying
Downloading
Extracting
Package Detail
Description:
Cisco Prime Security Manager 9.0.2 System Upgrade
Requires reboot:
Yes
NOTE: You must upgrade all ASA CX managed by this PRSM server to same version
or you will not be able to deploy configurations to those devices.
Do you want to continue with upgrade? [n]: y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.
Upgrading
Starting upgrade process ...
Extracting the upgrade image
Updating the system and network configuration
Reboot is required to complete the upgrade. Press Enter to reboot the system.
(press Enter)
Broadcast message from root (pts/0) (Tue May 15 22:50:17 2012):
The system is going down for reboot NOW!
ASA CX および Cisco Prime Security Manager コマンド リファレンス
184
OL-26836-02-J
show route ～ z コマンド
system upgrade、system install
___________________
関連コマンド
コマンド
説明
show services status
すべてのシステム プロセスのステータスを表示します。
system reload
システムをリブートします。
system revert
インストール済みパッケージを復元します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
185
show route ～ z コマンド
traceroute
traceroute
パケットが宛先に到達するまでのルートを特定するには、traceroute コマンドを使用します。
traceroute {destination_IP| destination_host_name} [-m hops]
___________________
構文の説明
destination_IP
ルートをトレースする宛先の IPv4 アドレス。 このコマンドは、IPv6 アド
レスでは使用できません。
destination_host_name ルートをトレースする宛先の DNS ホスト名。 ホスト名を使用するには
DNS サーバを設定する必要があります。
-m hops
トレースするホップの最大数。 主にデバイスの近くの部分的なルートに
ついて懸念があり、トレースを完了するのに必要な時間を制限する場合
は、このパラメータを使用します。
指定できる値の範囲は、1 ～ 255 です。デフォルトは、30 です。
___________________
コマンド デフォルト
トレースは 30 ホップに制限されます。
___________________
コマンド モード
このコマンドは次のコンテキストで使用できます。
• ASA CX のコンソールまたは SSH セッション。
• PRSM のコンソールまたは SSH セッション。
___________________
コマンド履歴
リリース
変更内容
ASA CX Software 9.0(1)
このコマンドが追加されました。
PRSM 9.0(1)
___________________
使用上のガイドライン traceroute コマンドは、ping コマンドにと似ていますが、traceroute は宛先への接続性を単独でテ
ストする代わりに最終的な宛先へのパスに沿った各ノードをテストする点が異なります。
traceroute コマンドは送信した各プローブの結果を示します。 出力の各行は、昇順で存続可能時
間（TTL）値に対応します。 次の表に、出力に表示される可能性のある記号を示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
186
OL-26836-02-J
show route ～ z コマンド
traceroute
ヒント
___________________
例
traceroute が管理上禁止されたノードを検出するか、応答を得られない場合、トレースが完了
するまでに時間がかかる場合があります。 待てない場合は、Ctrl+C キーを押してトレースを
終了します。
出力記号
説明
*
タイムアウトの期間内にプローブへの応答を受信しませんでした。
nn ms
各ノードに送信される各プローブのラウンドトリップ時間（ミリ秒単位）。
各ノードは 3 の値を返す必要があります。 この時間は、デバイスと各ノード
間の遅延を表します。
!N
ICMP ネットワークに到達できません。
!H
ICMP ホストに到達できません。
!P
ICMP プロトコルに到達できません。
!A
ICMP が設定によって禁止されています。
?
ICMP の原因不明のエラーが発生しました。
次に、traceroute の出力例を示します。 最初の行がトレースを要約し、ホスト名（ホスト名を使用
する場合）、IP アドレス、プローブされるホップ（ノード）の最大数、およびプローブで送信さ
れるパケットのサイズを表示することに注意してください。 残りの出力は、トレースされたルー
トの各ノードを表示します。
hostname> traceroute dest.example.com
traceroute to dest.example.com (10.89.255.18), 30 hops max, 46 byte packets
1 hop1.example.com (10.89.31.1) 0.683 ms 0.304 ms 0.330 ms
2 hop2.example.com (10.89.128.65) 1.430 ms 0.922 ms 1.061 ms
3 hop3.example.com (10.89.255.37) 8.123 ms 1.669 ms 1.215 ms
4 dest.example.com (10.89.255.18) 0.538 ms * 0.547 ms
___________________
関連コマンド
コマンド
説明
ping
宛先への接続性を確認します。
セットアップ
DNS サーバを含む基本的なシステム設定を設定します。
show dns
設定された DNS サーバを表示します。
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
187
show route ～ z コマンド
traceroute
ASA CX および Cisco Prime Security Manager コマンド リファレンス
188
OL-26836-02-J
索引
clear コマンド (続き)
opdata (続き)
framedrop 6
インターフェイス 6
接続 6
config mgmt-interface コマンド 12
config advanced コマンド 8
config backup コマンド 10
config ntp コマンド 14
config passwd コマンド 16
config reset コマンド 18
config restore コマンド 20
config timezone コマンド 25
config time コマンド 23
A
admin ユーザ 16
パスワードの変更 16
ASA CX 8, 10, 20, 43, 45, 51, 56, 162, 177, 179, 181, 183
CLI によるアップグレード 183
アップグレードの取り消し 179
基本設定の設定 45
システムのシャットダウン 181
システムのリブート 177
自動再起動の設定 8, 51
データベースのバックアップ 10
データベースの復元 20
バージョンの表示 162
プロセスの開始 43
プロセスの停止 43
ホスト名の表示 56
autorestart 8, 51
ステータスの表示 51
設定 8
D
C
Cisco Technical Assistance Center 27, 158, 164, 168, 170, 172, 174,
delete コマンド 27
DNS サーバ 36, 45, 54
ASA CX の設定の表示 54
ASA CX または PRSM の設定 45
PRSM の設定の表示 54
ホスト名の検索 36
175
TAC の診断情報の表示 158
TAC 用の診断ファイルの作成 164
システム ファイルのリストの表示 170
システム ログの表示 172, 175
データベースの整合性の確認 174
パケット キャプチャ、コア ダンプ、またはログの削
除 27
ファイル システムのステータスの確認 168
clear コマンド 6
opdata 6
adisessions 6
flowdrop 6
E
exit コマンド 29
F
format コマンド 30
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
IN-1
索引
H
help コマンド 32
N
nslookup コマンド 36
NTP サーバ 14, 66
ASA CX の設定 14
ASA CX の設定の表示 66
PRSM での設定 14
PRSM の設定の表示 66
P
partition コマンド 38
ping コマンド 41
PRSM 10, 20, 43, 45, 56, 162, 177, 179, 181, 183
CLI によるアップグレード 183
アップグレードの取り消し 179
基本設定の設定 45
システムのシャットダウン 181
システムのリブート 177
データベースのバックアップ 10
データベースの復元 20
バージョンの表示 162
プロセスの開始 43
プロセスの停止 43
ホスト名の表示 56
R
RAID デバイス 148
ステータスの表示 148
S
services コマンド 43
setup コマンド 45
show interfaces コマンド 59
show autorestart status コマンド 51
show diskusageこまんど 52
show dns コマンド 54
show hostname コマンド 56
show hosts コマンド 57
show netstat コマンド 62
show ntp コマンド 66
show opdata コマンド 72, 74, 76, 81, 84, 100, 131, 136, 140
adisessions 72
arptable 74
assigned 76
assigned core 76
core 76
dest 136
flowdrop 84
framedrop 100
free 76
free core 76
source 136
table 136
tags 136
インターフェイス 76, 131
概要 140
接続 81
ブロック 76
ポリシー 136
show partitions コマンド 142
show platform hardware コマンド 144
show platform software コマンド 146
show raid コマンド 148
show route コマンド 154
show services status コマンド 156
show tech-support コマンド 158
show time コマンド 160
show version コマンド 162
support diagnostic コマンド 164
support fsck コマンド 168
support list コマンド 170
support tail logs コマンド 172
support validatedb コマンド 174
support view logs コマンド 175
system install コマンド 183
system reload コマンド 177
system revert コマンド 179
system shutdown コマンド 181
system upgrade コマンド 183
T
traceroute コマンド 186
ASA CX および Cisco Prime Security Manager コマンド リファレンス
IN-2
OL-26836-02-J
索引
い
て
インターフェイス（システム） 59, 154
表示 59
ルーティング テーブルの表示 154
ディスク 30, 38
format コマンド 30
partition コマンド 38
ディスク（RAID） 148
ステータスの表示 148
ディスク（システム ハード ディスク） 52
使用状況の表示 52
ディスク（システム ハード ドライブ） 168
ステータスのチェック 168
データベース 10, 20
バックアップ 10
復元 20
け
ゲートウェイ（システム） 154
ルーティング テーブルの表示 154
こ
コマンドライン インターフェイス（CLI） 1, 2, 29, 32
構文の書式 1
コマンド コンテキスト モード 1
コマンドの入力 2
終了 29
使用 1
ヘルプの使用方法 2, 32
し
時刻（システム） 14, 23, 25, 66, 160
NTP サーバの設定 14
NTP サーバの表示 66
現在の日付と時刻の設定 23
現在の日付と時刻の表示 160
タイム ゾーンの設定 25
システム時刻 14, 23, 25, 66, 160
NTP サーバの設定 14
NTP サーバの表示 66
現在の日付と時刻の設定 23
現在の日付と時刻の表示 160
タイム ゾーンの設定 25
せ
接続性 41, 186
ping ホスト 41
ルートのトレース 186
と
トラブルシューティング 6, 12, 27, 41, 43, 52, 57, 59, 62, 72, 74, 76,
81, 84, 100, 131, 136, 140, 142, 144, 146, 148, 154, 156, 158, 164,
168, 170, 172, 174, 175, 177, 179, 181, 183, 186
ping ホスト 41
RAID ステータスの表示 148
TAC の診断情報の表示 158
TAC 用の診断ファイルの作成 164
アップグレードの取り消し 179
管理インターフェイスのロギングの設定 12
システム インターフェイスの表示 59
システム動作データのクリア 6
adisessions 6
flowdrop 6
framedrop 6
インターフェイス 6
接続 6
システム動作のデータの表示 72, 74, 76, 81, 84, 100, 131,
136, 140
adi セッション 72
arptable 74
flowdrop 84
framedrop 100
インターフェイス 131
概要 140
接続 81
ブロック 76
ポリシー 136
システムのシャットダウン 181
システムのハード ディスクの使用状況の表示 52
システムのリブート 177
システム ファイルのリストの表示 170
ASA CX および Cisco Prime Security Manager コマンド リファレンス
OL-26836-02-J
IN-3
索引
トラブルシューティング (続き)
システム プロセス ステータスの表示 156
システム ルーティング テーブルの表示 154
システム ログの表示 172, 175
データベースの整合性の確認 174
ネットワーク統計情報の表示 62
パーティション情報の表示 142
パケット キャプチャ、コア ダンプ、またはログの削
除 27
ファイル システムのステータスの確認 168
プラットフォームのソフトウェア情報の表示 146
プラットフォームハードウェアに関する情報の表示 144
プロセスの開始 43, 183
プロセスの停止 43
ホスト テーブルの表示 57
ルートのトレース 186
プロセス（システム） (続き)
停止 43
ネットワーク統計情報の表示 62
ほ
ホスト 36, 41
DNS サーバからのアドレスの検索 36
ping 41
ホスト テーブル、表示 57
ホスト名（システム） 45, 56
設定 45
表示 56
ゆ
ユーザ アカウント 16
パスワードの変更 16
は
バージョン（システム） 162
表示 162
ハード ディスク（システム） 52
使用状況の表示 52
パケット 164
キャプチャのダウンロード 164
パスワード 16
変更 16
ふ
プロセス 8, 51
自動的な再起動 8, 51
プロセス（システム） 43, 62, 156, 177, 181
起動 43
現在のステータスの表示 156
システムのシャットダウン 181
システムのリブート 177
り
リブート、システムの 177
る
ルーティング テーブル（システム） 154
表示 154
ルート 186
トレース 186
ろ
ロギング 12
管理インターフェイスの設定 12
ASA CX および Cisco Prime Security Manager コマンド リファレンス
IN-4
OL-26836-02-J