mcafee network security platform 9 mgmtport speed and duplex .....79 set mnsconfig .....80 set...

CLI ガイド改訂 A

McAfee Network Security Platform 9.1

著作権Copyright © 2017 McAfee LLC

商標帰属McAfee および McAfee ロゴ、McAfee Active Protection、ePolicy Orchestrator、McAfee ePO、Foundstone、McAfee LiveSafe、McAfee QuickClean、McAfee SECURE、SecureOS、McAfee Shredder、SiteAdvisor、McAfee Stinger、TrustedSource、VirusScan は、McAfee LLC または米国およびその他各国の支社の商標です。その他の商標

およびブランドはその他に属する所有権として申し立てることができます。

使用許諾に関する情報

使用許諾契約全ユーザーへの注意事項：購入された使用許諾に対応する適切な法的取り決めを熟読してください。これには使用許諾を受けたソフトウェアの使用に関する一般取引条件が

明記されています。獲得した使用許諾の種類が不明な場合は、セールスおよびその他関連するライセンス許諾に問い合わせるか、ソフトウェアに付属の発注書、または購入

時に別途受領した文書（パンフレット、製品 CD ファイル、ソフトウェアパッケージをダウンロードしたウェブサイトから入手可能なファイル）を参照してください。取り

決めに明記された条件に同意できない場合は、ソフトウェアをインストールしないでください。該当する場合、MCAFEE または購入店に製品を返却し、全額返金を請求でき

ます。

2 McAfee Network Security Platform 9.1 CLI ガイド

目次

まえがき 13このガイドについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13表記法則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

製品マニュアルの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

1 はじめに 15McAfee® Network Security Sensor について . . . . . . . . . . . . . . . . . . . . . . . . . 15CLI コマンドの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

コンソールからのコマンドの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . 15factorydefaults . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16ssh 経由でのコマンドの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . 17ssh クライアント経由の Sensor へのログオン . . . . . . . . . . . . . . . . . . . . . 18オートコンプリート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

CLI 構文 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18コマンドシーケンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18必須コマンド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

CLI コマンドに対するアクセス制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19adduser WORD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20deleteuser WORD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20deleteallusers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21lockuser WORD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21passwd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21userpasswd WORD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22userlist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22userrole WORD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22unlockuser WORD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22whoami . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23役割と CLI コマンドの対応 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

CLI へのログオン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28「?」の意味 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

2 IPS CLI コマンド - 通常モード 31accelerate-ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35accelerate-ftp status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35appidlog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36appidlog status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36arp delete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36arp dump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37arp flush . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37arp spoof . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38atdcache autopurge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38atdcache autopurge status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

McAfee Network Security Platform 9.1 CLI ガイド 3

auditlogupload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39checkmanagerconnectivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39clear gti server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40clearmalwarecache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40clrstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41clear tcp-proxy statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41clrtsstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41console eventlog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42debug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42deinstall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42deletemgrsecintf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43deletesignatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43disconnectalertandpktlogchannels . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44dnsprotect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44downloadstatus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45dumpappidlog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46exit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47exportsensorcerts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47factorydefaults . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47failovermode forward-peer-stp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49fwdump acl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50guest-portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50help . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50importsensorcerts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51increasemgmtprocessing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52ipreassembly timeout forward . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52latency-monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53latency-monitor enable action . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53latency-monitor restore-inline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54latency-monitor sensitivity-level . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55layer2 mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55loadconfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56loadimage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56loadsavedimage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57logstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57ntbastat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58quit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59raidrepair . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60reboot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60reconnectalertandpktlogchannels . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61rescuedisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62resetconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62resolve gti server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63secureerase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63sensor perf-debug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63sensor perf-debug off . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64sensor perf-debug status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64sensor-datapath-stat-analysis log . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64sensor-datapath-stat-analysis show . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65sensordroppktevent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66set atdcachepurge interval hours . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66set autorecovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67set auxport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

目次


set console timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67set debugmode passwd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

set dospreventionseverity . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68set dnsprotect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69set dospreventionseverity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69set dpimonitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70set dpimonitor-action . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70set flowvolumelimit enable <threshold> . . . . . . . . . . . . . . . . . . . . . . . . . . 71set flowvolumelimit disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71set gigfailopen disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71set gigfailopendelay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72set gti server ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72set inactiveuserslock . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72set intfport id flowcontrol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73set l2f-unknown-udp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73show l7ddosstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73set manager alertport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74set manager alertport_RSA-2048-bit . . . . . . . . . . . . . . . . . . . . . . . . . . . 75set manager installsensorport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75set manager installsensorport_RSA-2048-bit . . . . . . . . . . . . . . . . . . . . . . . . 76set manager ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76set manager logport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77set manager logport_RSA-2048-bit . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77set manager secondary ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78set ma wakeup port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78set mgmtport auto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78set mgmtport mtu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79set mgmtport speed and duplex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79set mnsconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80set mnsconfig radiusLB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80set nmsuserwriteaccess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81set outofcontext acllookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81set portsettletime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81set scpserver ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82set sensor gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82set sensor gateway-ipv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83set sensor ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83set sensor ipv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84set sensor name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84set sensor sharedsecretkey . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85set sessionlimit timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86set sshinactivetimeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86set syncookietcpreset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87set tacacsauthorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87set tcpudpchecksumerror drop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88set tcpudpchecksumerror forward . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88set tftpserver ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89set threshold-udp-dos-forward-action . . . . . . . . . . . . . . . . . . . . . . . . . . 89set userconfigvolumedosthreshold . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90set vlanbasedrecon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90setfailopencfg restore-inline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

パスワードの変更方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Sensor 名の設定方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Sensor のセットアップの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Sensor のサブネットマスクの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 95

目次


Manager の IP アドレスの設定方法 . . . . . . . . . . . . . . . . . . . . . . . . . 95Sensor のデフォルトゲートウェイの設定方法 . . . . . . . . . . . . . . . . . . . . . 95マネジメントポートの設定方法 . . . . . . . . . . . . . . . . . . . . . . . . . . 95Sensor での共有秘密鍵の設定方法 . . . . . . . . . . . . . . . . . . . . . . . . . 95

show . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96show acl stats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99show arp spoof status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99show auditlog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100show auditlogtomgr status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101show auditlog status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101show autorecovery status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101show auxport status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102show botnet-alertstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102show console timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103show coppersfpserialnumbers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103show dnsprotect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104show dnsprotectstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104show dospreventionprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105show dospreventionseverity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106show dpimonitor status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106show dpimonitor-action status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107show dxl status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107show eventlog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108showfailopencfg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108show failover-status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109show flows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109show flowvolumelimit config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110show gam engine stats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110show gigfailopendelay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111show gti config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112show gti stats ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112show inactiveuserslock status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112show inlinepktdropstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113show ingress-egress stat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115show intfport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116show l2f-unknown-udp status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118show l7ae status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118show l7ddosstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118show layer2 forward . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119show layer2 forward intfport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120show layer2 mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120show malwareenginestats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121show malwarefilestats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124show mem-usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126show mgmtport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128show mnsconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130show netstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130show nmsuserwriteaccess status . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132show outofcontext acllookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132show parsetunneledtraffic status . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132show pktcapture status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133show pluggable‑module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133show portsettletime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134show powersupply . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134show previous256byteslogging status . . . . . . . . . . . . . . . . . . . . . . . . . . 134show raid status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

目次


show rescueimages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135show respport r1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136show savedalertinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137show savedimages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137show sensordroppktevent status . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138show sensor-load . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139show sessionlimit timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139show sshaccesscontrol status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140show sshinactivetimeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140show sshlog status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140show ssl stats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140show ssl config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141show syncookietcpreset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142show syslog statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142show tacacs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143show tcpipstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143show tcpudpchecksumerror . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144show threshold-udp-dos-forward-action status . . . . . . . . . . . . . . . . . . . . . . . 144show tiestats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145show userconfigvolumedosthreshold . . . . . . . . . . . . . . . . . . . . . . . . . . 145show userInfo stats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146show vlanbasedrecon status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146shutdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148snmpv2support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148sshd disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148sshd enable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149sshlogupload WORD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149tpustat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151traceupload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153vlanbridgestp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154watchdog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154

3 IPS CLI コマンド - デバッグモード 15540to10conversion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158aclstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158allow intfport id connector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159arp static . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159cadsChnstate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160clearactiveflows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160clrconnlimithost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160datapathstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160datapathstat intfport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164dossampling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164dossampling status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164downloadgamupdate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165dumpdebuglog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165dumpDevProfTableEntry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165dumpDevProfTableToLog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165dumpdgastats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166flashcheck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166getauthstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166getccstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167getcestats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171getmdrinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172

目次


getplstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173getsastats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174getscstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175ipfragstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176ipreassembly timeout millisecond . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177layer2 mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178layer2 mode deassert-all . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178l7dpstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179l7show . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179loadbalance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180logShowCfg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180maidstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181matdChnstate WORD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183nsmChanState WORD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183ntbaChnstate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183pptsetprioritytrafficratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184reset debugmode passwd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184resetalertstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184reset ratelimitstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185rspstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185sensor perf-debug show . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186sensor perf-debug upload-protoStats . . . . . . . . . . . . . . . . . . . . . . . . . . 186sensor-scan-during-update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187set aidlog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187set amchannelencryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187set console mux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188set http-rsp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188set inline drop packet log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188set inline traffic prioritization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189set intfport id . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189set ipfrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190set ipsforunknownudp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190set l3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190set l7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190set l7ddosresponse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191set loglevel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191set loglevel dos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191set loglevel dp WORD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191set loglevel mgmnt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192set malware split session parsing . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192set malwareEngine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192set mgmtprocessrestart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193set ms-office . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194set nianticrecovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194show nianticrecovery status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195set recon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195show 40to10conversion status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195show aidlog status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195show all datapath error-counters . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196show amchannelencryption status . . . . . . . . . . . . . . . . . . . . . . . . . . . 202show attack count . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202show botnet-usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203show cads channel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204show connlimithost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204show connlimitstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205show datapath processunits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

目次


show doscfg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206show fe stat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206show feature status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207show feswitch port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208show gam scan stats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208show gmac . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209show http-ms decode stats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210show inline traffic prioritization status . . . . . . . . . . . . . . . . . . . . . . . . . . 210show ipsforunknownudp status . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210show ipfrag status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211show l3 status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211show l7 status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211show l7dcap-usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211show l7ddosresponse status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212show layer2 portlevel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213show layer2 reason . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213show malwareEngine status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213show malwareclientstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214show malwareserverstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221show matd channel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228show max cseg list count . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229show mgmtcfg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229show mem-usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235show mgmtnetstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236show mgmtprocessrestart status . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241show pktcapture status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242show prioritytraffic ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242show ratelimit drops . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242show ratelimit markstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243show recon status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244show saved alerts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244show saved packets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244show sbcfg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245show sensor health . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249show startup stats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250show static-arp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251show statistics alerts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251show statistics icmp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251show statistics ipfrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252show statistics l4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253show statistics tcp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255show statistics udp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255show tempcounterstatus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256show wb stats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257show xff-usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257switch cads channel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258switch matd channel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258tustat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258unknownapktocloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259

4 NTBA CLI コマンド 261clear antimalware cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263deinstall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263deletemgrsecintf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264deletesignatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265

目次


download antimalware updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265downloadgamupdate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266exit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266factorydefaults . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266flowforward collector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268help . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268host-vlan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269installdb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269installntba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271loadimage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272nslookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274passwd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275quit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276reboot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277resetconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277resetpasswd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280service list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281service restart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282service start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282service status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283service stop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283set antimalware cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284set antimalware encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284set console timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284set dbdisksize . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285set flow-fw . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285set endpointintelligence demo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286set endpointintelligence alertinterval . . . . . . . . . . . . . . . . . . . . . . . . . . 288set htf delta-period . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289set htf max-deltas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290set manager alertport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290set manager installsensorport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290set manager ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291set manager secondary ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291set mgmtport auto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292set mgmtport speed and duplex . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292set sensor gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293set sensor ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294set sensor name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294set sensor sharedsecretkey . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295set store-url-type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296set tftpserver ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297show . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299show aggstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302show anomaly . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303show antimalware scandetails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304show antimalware encryption status . . . . . . . . . . . . . . . . . . . . . . . . . . . 305show antimalware status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305show cachestats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308show dbstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311show disk-usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311show endpointintelligence details . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312show endpointintelligence summary . . . . . . . . . . . . . . . . . . . . . . . . . . . 314

目次


show exporters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315show fingerprinting stats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316show forensic-db details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317show flowforwardinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318show host-vlan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318show htf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319show intfport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319show gam engine stats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321show gam scan stats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322show l7dcapstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322show mem-usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323show mgmtport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325show netstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327show nfcstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328show pktrecvstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330show route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331show store-url-type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331show tsstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332shutdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333tcpdump sec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335traceupload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335unknown-interfaces-flows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336watchdog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337

索引 339

目次


まえがき

このガイドでは、マカフィー製品の設定、使用、保守に必要な情報を提供します。

目次

このガイドについて

製品マニュアルの検索

このガイドについてここでは、このガイドの対象読者、表記規則とアイコン、構成について説明します。

対象読者McAfee では、対象読者を限定してマニュアルを作成しています。

このガイドの情報は、主に以下の読者を対象としています。

• 管理者－企業のセキュリティプログラムを実装し、施行する担当者。

• ユーザー－このソフトウェアが実行されているコンピューターを使用し、ソフトウェアの一部またはすべての機

能にアクセスできるユーザー。

表記法則このガイドでは、以下の表記規則とアイコンを使用しています。

イタリックマニュアル、章またはトピックのタイトル、新しい用語、語句の強調を表します。

太字特に強調するテキストを表します。

モノスペースコマンド、ユーザーが入力するテキスト、コードのサンプル、画面に表示されるメッセージを表します。

[やや狭い太字] オプション、メニュー、ボタン、ダイアログボックスなど、製品インターフェースのテキストを表します。

青色のハイパーテキスト

トピックまたは外部サイトへのリンクを表します。

注: 読み手に注意を促す場合や、別の操作手順を提示する場合に使用します。

ヒント: ベストプラクティスの情報を表します。

重要/注意: コンピューターシステム、ソフトウェア、ネットワーク、ビジネス、データの保護に役立つ情報を表します。

警告: ハードウェア製品を使用する場合に、身体的危害を回避するための重要な注意事項を表します。


製品マニュアルの検索[ServicePortal] では、リリースされた製品の情報 (製品マニュアル、技術情報など) を入手できます。

タスク

1 [ServicePortal] (https://support.mcafee.com) に移動して、[Knowledge Center] タブをクリックします。

2 [Knowledge Base] ペインの [コンテンツのソース] で [製品マニュアル] をクリックします。

3 製品とバージョンを選択して [検索] をクリックします。マニュアルの一覧が表示されます。

まえがき製品マニュアルの検索


https://support.mcafee.com

1 はじめに

このセクションでは、McAfee® Network Security Sensor と McAfee® Network Threat Behavior Analysis Applianceの概要について説明します。

目次

McAfee® Network Security Sensor について

CLI コマンドの実行

CLI 構文

CLI コマンドに対するアクセス制御

CLI へのログオン

「?」の意味

McAfee® Network Security Sensor について

McAfee® Network Security Sensor (Sensor) は、サービス拒否 (DDoS) 攻撃の正確な検出、不法侵入、悪用、分散の

防止のために構築されたコンテンツ処理アプライアンスです。McAfee® Network Security Sensor (Sensor)は、ワイ

ヤレベルの速度でトラフィックを処理し、非常に高い精度で侵入を検知します。また、企業環境のセキュリティ要件

に合わせて柔軟に対応できるように設計されています。

Sensor を重要なアクセスポイントに配備することにより、リアルタイムにトラフィックを監視し、管理者の設定に

従って不正な活動を検知し、対応することが可能です。

Sensor は、McAfee® Network Security Manager (Manager) で設定し、管理します。Sensor の設定方法および

Manager との接続方法については、このガイドの後半部分で説明します。

CLI コマンドの実行

CLI コマンドは、Sensor のコンソールからローカルで実行するか、ssh 経由でリモートから実行できます。

コンソールからのコマンドの実行

本書に「Sensor で」操作を実行するように記載されている場合は、Sensor に接続されているコンソールホストのコマ

ンドラインから操作を実行してください。たとえば、Sensor を初めて設定する場合は、Sensor に接続されているコン

ソールから設定を行う必要があります。

コンソールのセットアップ方法については、該当する Sensor のガイドを参照してください。

Sensor に正常に接続すると、ログインプロンプトが表示されます。

1


factorydefaultsすべての設定、証明書、シグネチャを Sensor から削除し、空の設定にクリアします。このコマンドは、? または

commands を入力しても、表示されません。また、オートコンプリート機能はこのコマンドには適用されません。こ

のコマンドを実行する場合は、完全な形式を入力する必要があります。

このコマンドにパラメータはありません。

Sensor のクリアが警告されます。確認して実行してください。Sensor は設定前の状態に戻り、現在の設定はすべて破

棄されます。

構文:

factorydefaults

このコマンドを実行すると、NTBA Appliance に対して次のメッセージが表示されます。

Are you sure you want to reset NTBA to factory defaults?

WARNING:All existing configuration and data will be lost.

Please enter Y to confirm: y

Step 1 of 3:Removing trust with Network Security Manager

Network Security Manager trust is removed.

Step 2 of 3:Resetting the NTBA database to factory defaults.This will take fewminutes.

Stopping all services.

Formatting NTBA database partitions.This will take several minutes depending on thedisk size.

Creating fresh databases.

Resetting NTBA configurations.

The NTBA configuration and signature files are reset to default.

Step 3 of 3:Rebooting the NTBA appliance.After the reboot, log in to complete the NTBAsetup.

Broadcast message from root (Thu Feb 27 11:57:26 2014):

The system is going down for reboot NOW!

適用可能:

M シリーズ、NS シリーズ、NTBA Appliance。

factorydefaults 実行中のエラー

このコマンドの実行中に、次のエラーが発生する可能性があります。

• An error occurred while stopping the database events.Restart the appliance or VMand rerun factorydefaults.

• An error occurred while trying to disable database events.Restart the appliance orVM and rerun factorydefaults.

1 はじめにCLI コマンドの実行


• An error occurred while stopping the database processes.Restart the appliance or VMand rerun factorydefaults.

• An error occurred while disabling the database processes.Restart the appliance orVM and rerun factorydefaults.

• The NTBA database service is still up.Sending a termination signal.

• The NTBA database service is still up.Sending a kill signal.

• The NTBA database service can't be stopped.Restart the appliance or VM and rerunfactorydefaults.

• Formatting the NTBA database partitions.This will take several minutes depending onthe disk size.

• Dropping NTBA databases failed.Restart the appliance or VM and rerunfactorydefaults.

• Formatting NTBA database partitions failed.Restart the appliance or VM and rerunfactorydefaults.

• Creating fresh databases

• Mounting NTBA database partitions failed.Restart the appliance or VM and rerunfactorydefaults.

• Installing the NTBA database engine failed.Restart the appliance or VM and rerunfactorydefaults.

• Installing the NTBA databases failed.Restart the appliance or VM and rerunfactorydefaults.

• Resetting NTBA configurations

• Verifying software image on the appliance or VM failed.Load the correct NTBAsoftware image and rerun factorydefaults.

• Extracting the tar file failed.Load the correct NTBA software image and rerunfactorydefaults.

• Checking consistency of software image on the appliance or VM failed.Load thecorrect NTBA software image and rerun factorydefaults.

• Retrieving package from the software image failed.Load the correct NTBA softwareimage and rerun factorydefaults.

• NTBA configuration and signature files are reset to default.

ssh 経由でのコマンドの実行

ssh を介してコマンドプロンプトから Sensor をリモート管理できます。リモート管理を行うには、Sensor の [sshデーモン] が開始していることを確認してください (デフォルト)。停止している場合は、CLI コマンドの sshdenable で開始します。

同時に実行できる sshd セッションは 5 つまでです。

はじめにCLI コマンドの実行 1


ssh クライアント経由の Sensor へのログオン

タスク

1 ssh クライアントを開いて Sensor にログオンします。

2 ログインプロンプトで、デフォルトのユーザ名 (admin) とパスワード (admin123) を入力します。クライアント

から Sensor へシングル接続でのログインの回数は、切断後 3 回に設定されます。

Sensor へのログインの回数は、使用している ssh クライアントによって異なります。特定のクライアントに 3 回ログインでき (Putty リリース 0.54、Putty リリース 0.56 など)、その他のクライアントには 4 回ログインできます

(Putty リリース 0.58、Linux ssh クライアントなど)。

オートコンプリート

CLI にはオートコンプリート機能が装備されています。コマンドのオートコンプリートを実行するには、有効なコマ

ンドを途中まで入力して TAB キーを押し、次に ENTER を押します。たとえば、expo と入力して TAB キーを押す

と、CLI のオートコンプリート機能により exportsensorcerts が候補として表示されます。

部分的に入力したテキストが複数のオプションに一致する場合は、一致したすべてのコマンドが表示されます。

CLI 構文

コマンドは、以下の形式でコマンドプロンプトに入力します。

<command> <value>

• 必須の入力値は不等号括弧 (< >) で囲んであります。

• オプションのキーワードまたは値は角括弧 ([ ]) で囲んであります。

• オプションは縦棒 (|) で区切っています。

• 変数はイタリック体で表しています。

<、[、] などの記号は入力しないでください。

コマンドシーケンス

一部の操作では、コマンドを発行する前にネットワークの値を指定する必要があります。たとえば、loadimage コマンドを実行する前に TFTP サーバの IP アドレスを指定します。正しい順番で操作を実行するには、各手順を参照し

てください。

必須コマンド

Sensor を正常に機能させるには、特定のコマンドを実行する必要があります。その他のコマンドは任意であり、特定

のパラメータ値で実行しない限りデフォルトの値が使用されます。

以下のコマンドは必ず実行する必要があります。

• set sensor name

• set sensor ip/ipv6

• set manager ip

1 はじめにCLI 構文


• set sensor sharedsecretkey

• Manager とは異なるネットワーク上に Sensor が存在する場合は、set sensor gateway (または set sensorgateway-ipv6 ) コマンドを使用する必要があります。

CLI コマンドに対するアクセス制御 McAfee Network Security Platform では、Sensor に複数のユーザアカウントを作成できます。ユーザアカウントは

様々な目的で作成されます。ユーザアカウントごとに割り当てられる役割が異なります。ユーザの役割により、実行

可能な CLI コマンドが決まります。

Sensor では、以下のユーザ役割がサポートされています。

• Admin (管理者) – すべてのコマンドにアクセスできます。

• Read and Write (読み取りと書き込み) – 管理者専用のコマンドを除き、すべてのコマンドにアクセスできます。

• Read Only (読み取り専用) – すべての show コマンドにアクセスできます。

• Updater (更新者) – Sensor のイメージとシグネチャファイルを更新できます。

• Maintainer (維持者) – Sensor イメージやシグネチャファイルを更新し、特定の Manager に Sensor を追加で

きます。

管理者または読み取り/書き込み権限のあるユーザーは、デバッグ用のコマンドにアクセスできます。

ユーザーの認証は TACACS+ または RADIUS サーバーを使用して行うことができます。 TACACS+ ユーザーがアクセ

スを詳細に制御できるようにするには、TACACS+ の認証を Sensor で有効にする必要があります。有効にしない場

合、ユーザーには Admin (管理者) 権限が付与されます。役割は TACACS+ サーバー設定で割り当てる必要がありま

す。 TACACS+ サーバーで役割が設定されなかった場合、Admin (管理者) 権限が付与されます。許可された役割以外

の役割が割り当てられた場合、Read-Only (読み取り専用) 権限が割り当てられます。 RADIUS サーバーによって認

証されたユーザーには、デフォルトで Admin (管理者) の役割が割り当てられます。 RADIUS サーバーを使用して、役

割ベースのユーザーログインを作成することはできません。

次に、TACACS+ サーバーの設定ファイルの例を示します。

user=user1 {

................

................

service = intrushell {

role= “RO-Access”

}

}

RADIUS 設定では、デフォルトで Admin (管理者) の役割が割り当てられます。

はじめにCLI コマンドに対するアクセス制御 1


TACACS+ 設定ファイルに使用できる文字列は次のとおりです。

• “Updater” • “RW-Access”

• “Maintainer” • “Admin-Access”

• “RO-Access”

McAfee では、TACACS+/RADIUS ユーザーまたは Sensor のローカルユーザーのいずれかを設定するようお勧めしま

す。両方のユーザーを設定する必要がある場合は、同じ名前のユーザーが Sensor と TACACS+/RADIUS サーバー上に

存在しないようにしてください。

adduser WORDデフォルトの役割 (読み取り専用) に新しいユーザを追加します。管理者は、このユーザの役割を userrole コマンド

で変更できます。

追加できるユーザ数は大 100 までです。

構文:

adduser WORD

WORD はユーザ名です。ユーザ名を指定する場合には、次の点に注意してください。

• ユーザ名の長さは 1 文字から 25 文字までです。

• ユーザ名に使用できる文字は英字、数字、一部の特殊文字です。

• 使用できる特殊文字はドット (.)、ハイフン (-)、アンダースコア (_) です。

• ユーザ名の先頭は英字にする必要があります。名前は大文字と小文字が区別されます。

• ユーザは、管理者が割り当てたパスワードを使用してログオンできます。管理者は、制限なくパスワードを割り

当てることができます。

適用先:

M シリーズおよび NS シリーズ Sensor。

commands現在のユーザの役割で使用可能なすべての CLI コマンドを表示します。


構文:

commands

適用先:

M シリーズ、NS シリーズ、および NTBA Appliance。

deleteuser WORD既存のユーザを削除します。

ユーザが現在ログインしている場合、ユーザがログオフするまでアカウントを削除できません。

構文:

1 はじめにCLI コマンドに対するアクセス制御


deleteuser WORD

WORD は、削除するユーザ名です。

適用先:


deleteallusers既存のすべてのユーザを削除します。

ユーザが現在ログインしている場合、ユーザがログオフするまでアカウントを削除できません。

構文:

deleteallusers

適用先:


lockuser WORD管理者が作成したユーザをロックします。

構文:

lockuser WORD

WORD はユーザ名です。

次の点に注意してください。

• admin は、このコマンドでロックできません。

• このコマンドでロックされたユーザは、unlockuser でロックが解除されるまでログオンすることはできません。

適用先:


passwd現在ログインしているユーザのパスワードを変更します。パスワードには 8 文字以上の文字列を使用します。任意

の英数字と記号を使用できます。このコマンドでは、管理者以外のユーザだけでなく、管理者のパスワードも変更で

きます。

新しいパスワードに変更する前に、現在のパスワードを入力する必要があります。

構文:

passwd

適用先:




userpasswd WORD既存のユーザにパスワードを割り当てたり、パスワードのリセットを行います。

構文:

userpasswd WORD

WORD は、パスワードを割り当てるユーザ名またはパスワードをリセットするユーザ名です。

パスワードをリセットすると、管理者はユーザに新しいパスワードを通知する必要があります。

管理者が提供したパスワードの強度と小長は検証されていません。

適用先:


userlist管理者が作成した既存のユーザとユーザの役割の一覧を表示します。現在ロックされているユーザも表示されます。

ロックされているユーザにはアスタリスク (*) が付いています。

構文:

userlist

ログオンに失敗してユーザーアカウントがロックされた場合、次のログオン試行の後でロックステータスが表示され

ます。

適用先:


userrole WORD既存のユーザの役割を変更します。

構文:

userrole WORD <admin|readwrite|readonly|updater|maintainer>

WORD は、役割を変更するユーザ名です。

適用先:


unlockuser WORD複数回認証に失敗したためにロックされたユーザアカウントのロックを解除します。

構文:

unlockuser WORD

WORD は、ロックを解除するユーザ名です。



3 回連続でログオンに失敗すると、ユーザアカウントがロックされます。管理者は、このコマンドを使用してユーザ

アカウントのロックを解除できます。ロックが解除されると、ユーザは引き続き同じパスワードを使用できます。

userpasswd コマンドでもユーザーアカウントのロックを解除できます。ただし、userpasswd の場合、ユーザーに新

しいパスワードが通知されます。

適用先:


whoami現在ログインしているユーザの名前を表示します。

構文:

whoami

適用先:


役割と CLI コマンドの対応以下の表では、各役割で使用できる CLI コマンドについて説明します。

表 1-1 役割と CLI コマンドの対応

コマンド名更新プログラム

維持者読み取り専用

読み取り/書き込み

管理者

adduser N N N N Y

accelerate-ftp N N N N Y

accelerate-ftp status N N N N Y

arp delete N N N Y Y

arp dump N N Y Y Y

arp flush N N N Y Y

arp spoof N N N Y Y

auditlogupload N N Y Y Y

checkmanagerconnectivity N N N N Y

clrstat N N N Y Y

clrtsstats N N N N Y

commands Y Y Y Y Y

console eventlog (on|off|status) N N N N Y

debug N N N Y Y

deinstall N Y N Y Y

deleteallusers N N N N Y

deletemgrsecintf N Y N Y Y

deletesignatures N N N Y Y

deleteuser N N N N Y

disconnectalertandpktlogchannels N Y N Y Y



表 1-1 役割と CLI コマンドの対応 (続き)




管理者

dnsprotect N N N Y Y

dnsprotect (add|delete) N N N Y Y

dnsprotect resetlist N N N Y Y

downloadstatus Y Y Y Y Y

exit Y Y Y Y Y

exportsensorcerts N N Y Y Y

factorydefaults N N N Y Y

failovermode forward-peer-stp (enable|disable)

N N N Y Y

fwdump acl N N N N Y

guest-portal N N N Y Y

help Y Y Y Y Y

host-vlan N N Y Y Y

Importsensorcerts N N N Y Y

increasemgmtprocessing N N N Y Y

ipreassembly timeout forward N N N Y Y

latency-monitor N N N Y Y

layer2 mode N N N Y Y

loadconfiguration N Y N Y Y

loadimage Y Y N Y Y

loadsavedimage N N N Y Y

lockuser N N N N Y

logmacstat N N Y Y Y

lognpumacstat N N N Y Y

logstat N N Y Y Y

macstat N N Y Y Y

npumacstat N N Y Y Y

ntbastat N N N N Y

passwd Y Y Y Y Y

ping Y Y Y Y Y

quit Y Y Y Y Y

raidrepair N N Y Y Y

reboot Y Y N Y Y

reconnectalertandpktlogchannels N Y N Y Y

rescuedisk N N N Y Y

resetconfig N N N Y Y

secureerase N N N Y Y

sensor-datapath-stat-analysis log N N N N Y







管理者

sensor-datapath-stat-analysis show N N N N Y

sensordroppktevent N N N Y Y

set auditlog N N N Y Y

set autorecovery N N N Y Y

set auxport (enable|disable) N N N Y Y

set console timeout N N N Y Y

set debugmode passwd N N N N Y

set dnsprotect N N N Y Y

set flowvolumelimit disable N N N Y Y

set flowvolumelimit enable <threshold> N N N Y Y

set gigfailopen disable N N N Y Y

set gigfailopendelay N N N Y Y

set intfport id disable-auto N N N Y Y

set intfport id enable-auto-duplex N N N Y Y

set intfport id flowcontrol N N N Y Y

set intfport id speed duplex N N N Y Y

set ipssimulation (enable|disable) N N N Y Y

set l2f-unknown-udp N N N N Y

set manager alertport N N N Y Y

set manager alertport_RSA-2048-bit N N N Y Y

set manager installsensorport N N N Y Y

set manager installsensorport_RSA-2048-bit N N N Y Y

set manager ip N Y N Y Y

set manager logport N N N Y Y

set manager logport_RSA-2048-bit N N N Y Y

set manager secondary ip N Y N Y Y

set mgmtport auto N N N Y Y

set mgmtport mtu N N N Y Y

set mgmtport speed N N N Y Y

set mnsconfig radiusLB N N N N Y

set nmsuserwriteaccess N N N Y Y

set parsetunneledtraffc N N N Y Y

set previous256byteslogging (enable |disable)

N N N Y Y

set scpserver ip Y Y N Y Y

set sensor gateway N Y N Y Y

set sensor gateway-ipv6 N Y N Y Y

set sensor ip/ipv6 N Y N Y Y







管理者

set sensor name N N N Y Y

set sensor sharedsecretkey N Y N Y Y

set sensor-load N N N Y Y

set sessionlimit timeout N N N N Y

set sshinactivetimeout N N N Y Y

set ssshaccesscontrol N N N Y Y

set sshlog N N N N Y

set syncookietcpreset (on|off) N N N Y Y

set tacacsauthorization N N N Y Y

set tcpudpchecksumerror drop N N N Y Y

set tcpudpchecksumerror forward N N N Y Y

set tftpserver ip Y Y N Y Y

set threshold-udp-dos-forward-action N N N N Y

set unknownprotoscandepth disable N N N Y Y

set unknownprotoscandepth enable <num> N N N Y Y

set unknownprotoscandepth enableentire-flow

N N N Y Y

set userconfigvolumdosthreshold N N N Y Y

set vlanbasedrecon N N N N Y

setfailopencfg restore-inline N N N N Y

setup N N N Y Y

show Y Y Y Y Y

show acl stats N N Y Y Y

show arp spoof status N N Y Y Y

show auditlog N N Y Y Y

show auditlog status N N Y Y Y

show autorecovery status N N Y Y Y

show auxport status N N Y Y Y

show console timeout N N Y Y Y

show coppersfpserialnumbers N N Y Y Y

show dnsprotect N N Y Y Y

show dnsprotectstat N N Y Y Y

show dospreventionprofile N N Y Y Y

show dospreventionseverity N N Y Y Y

show dxl status N N N N Y

show eventlog N N Y Y Y

show failover-status N N Y Y Y

show flows N N Y Y Y







管理者

show flowvolumelimit config N N Y Y Y

show gam engine stats N N N N Y

show gigfailopendelay N N Y Y Y

show gti config N N Y Y Y

show gti stats ip N N N N Y

show inactiveuserslock status N N N N Y

show host-vlan N N Y Y Y

show inlinepktdropstat N N Y Y Y

show intfport N N Y Y Y

show ipssimulation status N N Y Y Y

show l2f-unknown-udp status N N N N Y

show l7ae status N N N N Y

show layer2 N N Y Y Y

show layer2 mode N N Y Y Y

show malwarefilestats N N N N Y

show mgmtport N N Y Y Y

show mnsconfig N N N N Y

show netstat N N Y Y Y

show nmsuserwriteaccess status N N N N Y

show parsetunneledtraffic status N N Y Y Y

show pluggable– module N N Y Y Y

show portsettletime N N Y Y Y

show powersupply N N Y Y Y

show previous256byteslogging status N N Y Y Y

show raid status N N N Y Y

show rescueimages N N Y Y Y

show savedalertinfo N N Y Y Y

show savedimages N N N Y Y

show sensordroppktevent status N N Y Y Y

show sensor-load N N Y Y Y

show sessionlimit timeout N N N N Y

show sshaccesscontrol status N N Y Y Y

show sshinactivetimeout N N Y Y Y

show sshlog status N N N N Y

show ssl config N N Y Y Y

show ssl stats N N Y Y Y

show syncookietcpreset N N Y Y Y

show syslog statistics N N Y Y Y







管理者

show tacacs N N Y Y Y

show tcpipstats N N Y Y Y

show tcpudpchecksumerror N N Y Y Y

show threshold-udp-dos-forward-actionstatus

N N N N Y

show userconfigvolumedosthreshold N N Y Y Y

show userInfo stats Y Y Y Y Y

show vlanbasedrecon status N N N N Y

showfailopencfg N N N N Y

shutdown N N N Y Y

snmpv2support N N N N Y

sshaccesscontrol N N N Y Y

sshaccesscontrol resetlist N N N Y Y

sshd disable N N N Y Y

sshd enable N N N Y Y

sshlogupload WORD N N N N Y

status Y Y Y Y Y

traceupload N N Y Y Y

unlockuser N N N N Y

userlist N N N N Y

userpasswd N N N N Y

userrole N N N N Y

vlanbridestp N N N Y Y

watchdog N N N Y Y

whoami Y Y Y Y Y

CLI へのログオン

CLI コマンドを入力するには、有効なユーザ名 (ユーザ名は admin) とパスワード (デフォルトは admin123) でSensor にログオンする必要があります。

初に Sensor にログオンしたときに、passwd コマンドを使用してこのパスワードを変更してください。

ログオフするには、exit と入力します。

デバッグモード

有効なユーザ名 (ユーザ名は admin) とパスワード (デフォルトは admin123) で Sensor にログオンします。デバッ

グモードでログオンするには、コマンドプロンプトで、debug と入力します。これで、デバッグモードコマンドを

実行できるようになります。

1 はじめにCLI へのログオン


ログオフするには、exit と入力します。

「?」の意味

? は、次に入力可能なコマンド文字列を表示します。

構文

?

? は、次に入力可能な文字列を表示します。たとえば、set コマンドと一緒に?コマンドを実行すると、McAfee® NetworkSecurity Platform に set コマンドで使用できるすべてのオプションが表示されます。

はじめに「?」の意味 1


1 はじめに「?」の意味


2 IPS CLI コマンド - 通常モード

このセクションでは、通常モードで実行できるコマンドについて説明します。このモードでは、デバッグモードコマンドを実行できません。

目次

accelerate-ftp accelerate-ftp status appidlog appidlog status arp delete arp dump arp flush arp spoof atdcache autopurge atdcache autopurge status auditlogupload checkmanagerconnectivity clear gti server clearmalwarecache clrstat clear tcp-proxy statistics clrtsstats commands console eventlog debug deinstall deletemgrsecintf deletesignatures disconnectalertandpktlogchannels dnsprotect downloadstatus dumpappidlog exit exportsensorcerts factorydefaults failovermode forward-peer-stp fwdump acl guest-portal help importsensorcerts increasemgmtprocessing ipreassembly timeout forward latency-monitor

2


latency-monitor enable action latency-monitor restore-inline latency-monitor sensitivity-level layer2 mode loadconfiguration loadimage loadsavedimage logstat ntbastat ping quit raidrepair reboot reconnectalertandpktlogchannels rescuedisk resetconfig resolve gti server secureerase sensor perf-debug sensor perf-debug off sensor perf-debug status sensor-datapath-stat-analysis log sensor-datapath-stat-analysis show sensordroppktevent set set atdcachepurge interval hours set autorecovery set auxport set console timeout set debugmode passwd set dnsprotect set dospreventionseverity set dpimonitor set dpimonitor-action set flowvolumelimit enable <threshold> set flowvolumelimit disable set gigfailopen disable set gigfailopendelay set gti server ip set inactiveuserslock set intfport id flowcontrol set l2f-unknown-udp show l7ddosstat set manager alertport set manager alertport_RSA-2048-bit set manager installsensorport set manager installsensorport_RSA-2048-bit set manager ip set manager logport set manager logport_RSA-2048-bit set manager secondary ip set ma wakeup port



set mgmtport auto set mgmtport mtu set mgmtport speed and duplex set mnsconfig set mnsconfig radiusLB set nmsuserwriteaccess set outofcontext acllookup set portsettletime set scpserver ip set sensor gateway set sensor gateway-ipv6 set sensor ip set sensor ipv6 set sensor name set sensor sharedsecretkey set sessionlimit timeout set sshinactivetimeout set syncookietcpreset set tacacsauthorization set tcpudpchecksumerror drop set tcpudpchecksumerror forward set tftpserver ip set threshold-udp-dos-forward-action set userconfigvolumedosthreshold set vlanbasedrecon setfailopencfg restore-inline setup show show acl stats show arp spoof status show auditlog show auditlogtomgr status show auditlog status show autorecovery status show auxport status show botnet-alertstats show console timeout show coppersfpserialnumbers show dnsprotect show dnsprotectstat show dospreventionprofile show dospreventionseverity show dpimonitor status show dpimonitor-action status show dxl status show eventlog showfailopencfg show failover-status show flows show flowvolumelimit config show gam engine stats show gigfailopendelay

IPS CLI コマンド - 通常モード 2


show gti config show gti stats ip show inactiveuserslock status show inlinepktdropstat show ingress-egress stat show intfport show l2f-unknown-udp status show l7ae status show l7ddosstat show layer2 forward show layer2 forward intfport show layer2 mode show malwareenginestats show malwarefilestats show mem-usage show mgmtport show mnsconfig show netstat show nmsuserwriteaccess status show outofcontext acllookup show parsetunneledtraffic status show pktcapture status show pluggable‑module show portsettletime show powersupply show previous256byteslogging status show raid status show rescueimages show respport r1 show savedalertinfo show savedimages show sensordroppktevent status show sensor-load show sessionlimit timeout show sshaccesscontrol status show sshinactivetimeout show sshlog status show ssl stats show ssl config show syncookietcpreset show syslog statistics show tacacs show tcpipstats show tcpudpchecksumerror show threshold-udp-dos-forward-action status show tiestats show userconfigvolumedosthreshold show userInfo stats show vlanbasedrecon status shutdown snmpv2support sshd disable



sshd enable sshlogupload WORD tpustat status traceupload vlanbridgestp watchdog

accelerate-ftpFast Forward FTP データフロー機能を構成します。

構文:

accelerate-ftp (inbound | outbound) (enable | disable)

デフォルト値:

デフォルトでは無効になっています。

例:

intruShell@john-3050> accelerate-ftp inbound enable

intruShell@john-3050> accelerate-ftp outbound enable

intruShell@john-3050> accelerate-ftp inbound disable

intruShell@john-3050> accelerate-ftp outbound disable

適用先:


accelerate-ftp statusFast Forward FTP のデータフロー機能のステータスを表示します。

構文:

accelerate-ftp status

出力例:

intruShell@john> accelerate-ftp status

FTP acceleration inbound :ENABLED

FTP acceleration outbound :DISABLED

適用先:


IPS CLI コマンド - 通常モードaccelerate-ftp 2


appidlogSensor で検出されたアプリケーションを sensor.dbg にダンプします。デフォルトでは、このコマンドは無効になっ

ています。

構文:

appidlog <enable | disable>

適用先:

NS シリーズ Sensor

関連トピック: 36 ページの「appidlog status」

46 ページの「dumpappidlog」

appidlog statusappidlog 機能が有効かどうかを表示します。このコマンドにパラメータはありません。

構文:

appidlog status

出力例:

intruShell@chand-9100-2> appidlog status

intruShell@chand-9100-2> appidlog status

appidlog = Disabled

適用先:


arp deleteARP テーブルから単一の MAC または IP アドレスの関連付けを削除します。Network Security Platform ARP スプー

フィング検知機能と一緒に使用します。このコマンドは、ネットワーク上のコンピュータが新しいハードウェアで置

き換えられる場合にも使用できます。

構文:

arp delete <IP address>

パラメータ説明

IP address ピリオドで区切った 4 つの数字 (X.X.X.X) で表す 32 ビットの IP アドレスです。X は 0 から 255 までの数字です。

例:

以下の例では、IP アドレス 209.165.202.255 を ARP テーブルから削除します。

2 IPS CLI コマンド - 通常モードappidlog


arp delete 209.165.202.255

適用先: M シリーズ、NS シリーズ、および仮想 IPS Sensor。仮想セキュリティシステムインスタンスの場合、この

コマンドはデバッグモードで使用できます。

関連トピック: 37 ページの「arp dump」37 ページの「arp flush」38 ページの「arp spoof」

arp dumpデータベース内の現在の MAC/IP アドレス対応テーブルの内容をデバッグファイルに出力します。このコマンドに

よりデバッグを実行することができます。テクニカルサポートに診断追跡結果を提出する場合に、logstat コマン

ド (56 ページ) と一緒に使用します。Network Security Platform ARP スプーフィング検知機能と一緒に使用します。


構文:

arp dump



関連トピック: 57 ページの「logstat」36 ページの「arp delete」37 ページの「arp flush」38 ページの「arp spoof」

arp flushMAC/IP アドレスのマッピングテーブルの内容を削除します。Network Security Platform ARP スプーフィング検知

機能と一緒に使用します。


構文:

arp flush



関連トピック: 36 ページの「arp delete」37 ページの「arp dump」38 ページの「arp spoof」

IPS CLI コマンド - 通常モードarp dump 2


arp spoofARP スプーフィング検知を有効または無効にします。Network Security Platform ARP スプーフィング検知機能と一

緒に使用します。

構文:

arp spoof <enable><disable>


enable ARP スプーフィング検知を有効にします。

disable ARP スプーフィング検知を無効にします。

デフォルト値:

デフォルトでは無効になっています。



関連トピック: 36 ページの「arp delete」37 ページの「arp dump」37 ページの「arp flush」

atdcache autopurgeこのコマンドを有効にすると、解析用に ATD に送信されたファイルに関する Sensor 内のキャッシュエントリが完全

に削除されます。デフォルトでは、このコマンドは有効になっています。

構文:

atdcache autopurge <enable|disable>

適用先:

M シリーズおよび NS シリーズ Sensor

関連トピック: 38 ページの「atdcache autopurge status」66 ページの「set atdcachepurge interval hours」

atdcache autopurge statusatdcache autopurge 機能が有効かどうかを表示します。デフォルトでは、このコマンドは有効になっています。

構文:

atdcache autopurge status

出力例:

intruShell@chand-9100-2> atdcache autopurge status

2 IPS CLI コマンド - 通常モードarp spoof


Atd Cache Auto Purge On

Cache Purge Interval 150

適用先:


auditlogupload設定済みの TFTP/SCP サーバに監査ログファイルをアップロードします。このファイルには、近発生した監査イベ

ントが大 5000 件まで記録されます。

構文:

auditupload WORD

auditlogupload tftp WORD

auditlogupload scp WORD

WORD は、アップロードする監査ログファイルの名前です。


• SCP サーバに監査ログファイルをアップロードする場合、SCP サーバの認証情報 (ユーザ名とパスワード) が要求

されます。正しい SCP サーバ認証情報を入力しないと、コマンドが実行されません。

• SCP サーバに監査ログファイルをアップロードする場合、ファイルのパス名は絶対パスにしてください。TFTP サーバから読み込む場合には、ファイルのパス名は /tftpboot からの相対パスにする必要があります。

• ファイル名を指定しないと、SCP サーバ上の指定されたパスにデフォルトの名前でファイルが作成されます。監

査ログファイルのデフォルトのファイル名は audit_<sensor_timestamp>_<sensor_name>.log です。

• このコマンド (TFTP サーバへのアップロード) を実行する前に、everyone の書き込み権限で TFTP サーバにファイ

ルを作成する必要があります。

• auditlogupload tftp WORD の機能は auditupload WORD と同じです。

適用先:


checkmanagerconnectivityこのコマンドは、Sensor と Manager 間の接続を検証し、次のステータス情報を表示します。

• アラートチャネル

• パケットログチャネル

• 認証チャネル

上記のいずれかで、ステータスがダウンと表示されている場合、接続のトラブルシューティングのステップを表示し

ます。

構文:

IPS CLI コマンド - 通常モードauditlogupload 2


checkmanagerconnectivity

出力例:

intruShell@john> checkmanagerconnectivity

[Manager Trust]

Trust Established :Yes

[Manager Communications]

IP Connection :Pass

Alert Channel : down

Log Channel : up

Authentication Channel : up

適用先:


トラブルシューティングのヒント:

• コマンドラインインターフェースで disconnectalertandpktlogchannels とreconnectalertandpktlogchannels を実行し、アラートとログの両方のチャネルを再度初期化します。

• 問題が継続する場合は、Sensor の管理ポートと、Manager のパケットをキャプチャして、さらに詳しく解析して

ください。

clear gti serverset gtiserver ip を使用して設定した GTI サーバーの IP アドレスセットをクリアします。このコマンドは、GTIサーバーの IP アドレスをプライマリネームサーバー IP にリセットします。プライマリネームサーバー IP が Nullである場合、GTI サーバー IP も Null に設定されます。


構文:

clear gti server

適用先:

M シリーズ、NS シリーズ、および仮想 IPS Sensor。

clearmalwarecacheユーザー入力に基づいて、すべてまたは特定のマルウェア対策エンジンに関する Sensor 内のキャッシュエントリを

削除します。

構文:

clearmalwarecache <pdf | flash | mapk | gam | office | atd | all>

2 IPS CLI コマンド - 通常モードclear gti server


例:

intruShell@chand-9100-2> clearmalwarecache pdf

Sent Cache delete request

適用先:


clrstatSensor のすべての統計カウンタをクリアします。

構文:

clrstat

適用先:


clear tcp-proxy statisticsこのコマンドは、プロキシ接続のデータパスの統計をクリアします。

構文:

clear tcp-proxy statistics

適用先:

NS シリーズ (NS9x00、NS7x00、NS5x00) Sensor のみ。

clrtsstatsこのコマンドは Sensor のすべての統計カウンタをクリアします。

構文:

clrtsstats

適用先:




構文:

IPS CLI コマンド - 通常モードclrstat 2


commands

適用先:


console eventlogコンソールイベントのロギングを有効または無効にします。ロギングがオンまたはオフの場合、ステータスオプシ

ョンが表示されます。

構文:

console eventlog on

console eventlog off

console eventlog status

出力例:

intruShell@john-3050> console eventlog status

console logging = off

適用先:


debugデバッグモードでログオンできるようになります。

構文:

debug

適用先:


deinstallManager と Sensor の信用データ (証明書と共有鍵の値) をクリアします。 Manager から Sensor を削除する場合

は、Sensor の再設定を行う前に Sensor でこのコマンドを実行し、確立されている信頼関係をクリアしてください。


構文:

deinstall

このコマンドを実行すると、次のメッセージが表示されます。

deinstall the sensor and remove the trust with the manager ?

2 IPS CLI コマンド - 通常モードconsole eventlog


Please enter Y to confirm: Y

[Y] と入力すると、Manager と Sensor の信頼関係が削除されます。 [N] を押すと、Manager と Sensor の信頼関係は

維持され、削除プロンプトが消えます。

[Y] を押すと、次のメッセージが表示されます。

deinstall in progress ...

this will take a couple of seconds, please check status on CLI

適用先:


deletemgrsecintfManager のセカンダリ NIC の IP アドレスをクリアします。


構文:

deletemgrsecintf



Managers secondary intf IPaddr doesn't exist.

Deleting managers secondary interface had some Warnings/Errors.

適用先:


関連トピック: 76 ページの「set manager ip」

78 ページの「set manager secondary ip」

deletesignaturesSensor のシグネチャを削除して、Sensor を再起動します。このコマンドを実行すると、シグネチャが削除され、次

に Sensor が自動的に再起動されます。コマンドを実行する前に、上記の両方のタスクを実行するかどうか確認され

ます。


構文:

deletesignatures


Delete the signatures and reboot the sensor ?

IPS CLI コマンド - 通常モードdeletemgrsecintf 2



deleting the signatures and rebooting the sensor

signatures deleted

Broadcast message from root (Fri Mar 28 05:15:54 2014):


適用先:


disconnectalertandpktlogchannels信頼鍵を削除せずに、Sensor と Manager の間のアラートとログチャネルを削除します。このコマンドは、設定され

た信頼情報には影響を与えずに Manager との通信を遮断します。


構文:

disconnectalertandpktlogchannels


this will take a couple of seconds , please check status on CLI

適用先:


関連トピック: 61 ページの「reconnectalertandpktlogchannels」

dnsprotectこのコマンドは、新しい DNS スプーフィング防御 IP アドレスの追加、保護サーバリスト (PSL) からの既存の DNSスプーフィング防御 IP アドレス (IPv4、IPv6 またはその両方) の削除、DNS スプーフィング防御 IP アドレスリスト

の更新を実行します。

• 新しい DNS スプーフィング防御 IP アドレスを追加すると、保護サーバリスト (PSL) から既存の DNS スプーフィ

ング防御 IP アドレス (IPv4、IPv6 またはその両方) が削除され、DNS スプーフィング防御 IP アドレスのリストが

更新されます。IPv6 パケットにルーティングヘッダがある場合には、この操作は実行されません。

• 既存の DNS スプーフィング防御 IP アドレス (IPv4、IPv6 またはその両方) を保護サーバリスト (PSL) から削除し

ます。

• DNS スプーフィング防御 IP アドレスのリストを更新します。

IPv6 パケットにルーティングヘッダがある場合には、このコマンドは実行されません。

構文:

DNS スプーフィング防御 IP アドレスの追加または削除を実行する場合には、以下の構文を使用します。

2 IPS CLI コマンド - 通常モードdisconnectalertandpktlogchannels


dnsprotect <add/delete/> <ipv4/ipv6> <IP address>

<resetlist> パラメータを使用する場合には、以下の構文を使用します。

dnsprotect <resetlist> <ipv4/ipv6/all>


add 新しい DNS スプーフィング防御 IP アドレスを追加します。

delete 既存の DNS スプーフィング防御 IP アドレスを削除します。

resetlist DNS スプーフィング防御 IP アドレスのリストをリセットします。

ipv4 ipv4 パケット用の IP アドレスであることを指定します。

ipv6 ipv6 パケット用の IP アドレスであることを指定します。

all 既存の DNS スプーフィング防御 IP アドレスリストのリセット対象が ipv4 と ipv6 の両方であることを指定します。

IP address ピリオドで区切った 4 つの数字 (X.X.X.X) で表す 32 ビットの IP アドレスです。X は 0 から 255 までの数字です。

例:

以下の例では、dnsprotect コマンドを使用して、ipv4 用に DNS スプーフィング防御 IP アドレスを追加しています。

dnsprotect add ipv4 157.125.202.255

以下の例では、dnsprotect コマンドを使用して、すべての IP アドレス (ipv4 と ipv6) を対象に DNS スプーフィング

防御 IP アドレスのリストをリセットしています。

dnsprotect resetlist all

適用先:


downloadstatusダウンロードとアップロードの状態を表示します。シグネチャ、ソフトウェアイメージ、証明書、DoS プロファイル

のダウンロード (Manager から Sensor へ)、DoS プロファイルおよびデバッグトレースのアップロード (Sensor から

Manager へ) の状態が表示されます。

操作の実行回数、前回の実行時の状況 (失敗した場合は原因も表示)、このコマンドが実行された時間が表示されます。


構文:

downloadstatus

出力例:

intruShell@ns7100-171-139> downloadstatus

--------------------

Signatures Downloaded : 0

Certificates Downloaded : 1

IPS CLI コマンド - 通常モードdownloadstatus 2


Last Certificates Download Status : good

Last Certificate Download Time (UTC) : 9:27:13, 11/30/2016

DAT Files Downloaded : 2

Last DAT File Download Status : good

Last DAT File Download Time (UTC) : 9:56:2, 11/30/2016

CRLSET Files Downloaded : 1

Last CRLSET File Download Status : good

Last Downloaded CRLSET File Sequence No : 3276

Last CRLSET File Download Time (UTC) : 9:56:5, 11/30/2016

Software Upgrades : 0

DoS Profile Downloads from Manager : 0

DoS Profile Uploads to Manager : 0

Diagnostic Trace Requests : 0

Guest Portal SSL Cert Downloads from Manager : 0

Guest Portal SSL CSR Uploads to Manager : 0

IBAC AD file Downloads from Manager : 0

IBAC AD file Uploads to Manager : 0

Offline downloads to sensor : 0

Device Profile update count : 0

User Id Acl Bulk File download count : 0

適用先:


dumpappidlogこのコマンドは、要求元のアプリケーションに関する以下の情報を CLI に出力します。アプリケーション名、ソース

IP、宛先 IP、ソースポート、宛先ポート、タイムスタンプ。デフォルトでは、無効に設定されています。

構文:

dumpappidlog <1-100>|running

出力例:

intruShell@chand-9100-2> dumpappidlog running

DATE AND TIME APPNAME SRCIP DESTIP SRCPORT DESTPORT

適用先:

2 IPS CLI コマンド - 通常モードdumpappidlog



exitCLI を終了します。


構文:

exit

適用先:


exportsensorcerts外部フラッシュに Sensor 証明書を書き込みます。このコマンドは、Sensor と Manager 間の信頼関係を確立する証

明書をエクスポートします。これらの証明書には、Manager の公開鍵、Sensor の秘密鍵、Sensor の公開鍵が含まれ

ます。

このコマンドを実行する前に、Sensor と Manager 間の信頼関係が確立されていることを確認してください。

このコマンドは、I-1200 および I-1400 Sensor では使用できません。このコマンドにパラメータはありません。

構文:

exportsensorcerts


This will delete all the data from Flash and reformat.Proceed?.

Please enter Y to confirm:

適用先:


関連トピック: 51 ページの「importsensorcerts」141 ページの「show ssl config」140 ページの「show ssl stats」




IPS CLI コマンド - 通常モードexit 2




棄されます。

構文:

factorydefaults
















適用可能:









2 IPS CLI コマンド - 通常モードfactorydefaults

















failovermode forward-peer-stpSensor のフェールオーバー時のリモートスタンバイ Sensor に対する STP パケットの転送を設定します。アクティ

ブな Sensor で障害が発生するか、一時的にシャットダウンすると、STP パケットがフェールオーバーリンクを経由

してスタンバイ Sensor 二転送されます。

構文:

failovermode forward-peer-stp<enable|disable>


enable リモートスタンバイ Sensor への STP パケットの転送を有効にします。

disable リモートスタンバイ Sensor への STP パケットの転送を無効にします。

適用先:


IPS CLI コマンド - 通常モードfailovermode forward-peer-stp 2


fwdump acl設定済みのファイアウォールルールを表示します。

構文:

fwdump acl (0 | 1) (fileName | NULL)

例:

intruShell@john-3050> fwdump acl 0 NULL

Dumping FW Table @ Index 0 into (null)

intruShell@john-3050> fwdump acl 1 NULL

Dumping FW Table @ Index 1 into (null)

intruShell@john-3050> fwdump acl 1 test

Dumping FW Table @ Index 1 into test

適用先:


guest-portalこのコマンドは、Sensor へのゲストポータルのインストール、削除、開始、停止、ポータルの状態の表示を行いま

す。

構文:guest-portal <install ><de-install><start><stop><status>


install Sensor にゲストポータル Web サーバをインストールします。

de-install Sensor からゲストポータル Web サーバを削除します。

start Sensor のゲストポータル Web サーバを開始します。

stop Sensor のゲストポータル Web サーバを停止します。

status Sensor のゲストポータル Web サーバの状態を表示します。

例:以下の例では、guest-portal コマンドで Sensor の Web サーバを停止しています。

guest-portal stop

適用先:M シリーズ Sensor のみ。

help対話式のヘルプの説明を提供します。


2 IPS CLI コマンド - 通常モードfwdump acl


構文:

help

出力例:

intruShell@john> help or ntbaSensor@vNTBA> help

If nothing matches, the help list will be empty and you must backup until entering a'?' shows the available options.

Two styles of help are provided:

1. Full help is available when you are ready to enter a command argument (e.g.'set ?') and describes each possible argument.

2. Partial help is provided when an abbreviated argument is entered and you want toknow what arguments match the input (e.g. 'set em?'.)

適用先:


importsensorcerts外部フラッシュから Sensor 証明書をインポートします。このコマンドは、Sensor と Manager 間の信頼関係を確立

する証明書をインポートします。これらの証明書には、Manager の公開鍵、Sensor の秘密鍵、Sensor の公開鍵が含

まれます。

このコマンドを実行する前に、Sensor と Manager 間に信頼関係が確立されていないことを確認してください。

このコマンドを実行した後、Sensor を再起動して、Sensor と Manager 間の信頼関係が確立されていることを確認し

てください。

このコマンドは、I-1200 および I-1400 Sensor では使用できません。このコマンドにパラメータはありません。

構文:

importsensorcerts


Imported certificates from flash, please reboot the sensor.

適用先:


関連トピック: 47 ページの「exportsensorcerts」141 ページの「show ssl config」140 ページの「show ssl stats」

IPS CLI コマンド - 通常モードimportsensorcerts 2


increasemgmtprocessingこのコマンドは、Sensor 管理パスの処理能力を向上し、高度なマルウェア対策にも使用できます。

構文:

increasemgmtprocessing <enable|disable|status>

出力例:

intruShell@jake> increasemgmtprocessing enable

Configuration data updated successfully, please reboot the sensor

intruShell@jake> increasemgmtprocessing status

現在の increasemgmtprocessing のステータス:無効

更新された increasemgmtprocessing のステータス:無効

適用先:

M シリーズ Sensor のみ。

ipreassembly timeout forwardSensor が分割パケットを受信すると、残りのすべての分割パケットを受信するか、フラグメントタイマーが期限切

れになるまで、分割パケットを保持します。フラグメントタイマーが期限切れになると (デフォルトは 2 分)、分割パ

ケットはドロップされます。

このコマンドを使用することで、Sensor がこのようなフラグメントをドロップする代わりに転送するよう設定できる

ようになります。

構文

ipreassembly timeout forward <enable|disable>

この設定は、Sensor の再起動後も維持されます。


enable 分割パケットの転送を有効にします。

disable 分割パケットの転送を無効にします。

ipreassembly timeout forward status

ipreassembly timeout forward のステータス (有効または無効) を表示します。

出力例:intruShell@john> ipreassembly timeout forward enable

IP Reassembly timeout forward : ENABLED

IPv4 Reassembly timeout frag forward count : 0

IPv6 Reassembly timeout frag forward count : 0

適用先:

2 IPS CLI コマンド - 通常モードincreasemgmtprocessing



latency-monitor待機時間監視機能を無効にするか、待機時間監視機能の状態を表示します。

構文:

latency-monitor <disable | status>

デフォルト値:

デフォルトでは、待機時間監視機能は無効になっています。無効にした場合、長い待機時間を検出しても、待機時間

監視機能はアラートを生成しません。また、レイヤ 2 にトラフィックを転送しません。

latency-monitor status

待機時間監視機能が有効な場合、次の情報が表示されます。

• 待機時間監視機能の状態 (有効または無効)

• 設定されたアクション (アラートのみ、レイヤ 2 への転送)

出力例:

intruShell@john> latency-monitor status

latency monitor : Enable

action : alert

restore inline from layer2 : disable

sensitivity Level : low

Unknown-protocol Packets Forwarded Percentage : 0.000000

Unknown-protocol Packets Forwarded Count : 0

Percentage of Packets Forwarded under Latency : 0.000000

適用先:


latency-monitor enable actionSensor で待機時間監視機能を有効にします。Sensor で長時間の待機を検出した場合に実行するアクションも指定し

ます。

このコマンドに指定できるアクションは次のとおりです。

• alert-only (Sensor で長時間の待機が検出された場合にアラートを生成します)

• put-in-layer2 (アラートを生成し、トラフィックをレイヤ 2 に転送します)。

生成されたアラートは、Manager の [Status] (ステータス) タブで確認できます。

IPS CLI コマンド - 通常モードlatency-monitor 2


構文:

latency-monitor enable action <alert-only | put-in-layer2>

このコマンドにはパラメータ値を指定する必要があります。指定せずに実行すると、無効とみなされます。

layer2-forward が有効になっている場合、layer2 mode を on に設定する必要があります。この設定を行わない

と、layer2-forward アクションは実行されません。

例:

latency-monitor enable action alert-only

適用先:


関連トピック: 53 ページの「latency-monitor」55 ページの「layer2 mode」

latency-monitor restore-inlineSensor で長い待機時間が観測され、待機時間モニターが設定されている場合は、レイヤー 2 のアサート停止が呼び

出されるか、Sensor が再起動するまで Sensor はレイヤー 2 に留まります。このコマンドによって、Sensor はレイ

ヤー 2 のアサート停止なしでレイヤー 2 モードを終了できます。以下の条件を満たしたら、Sensor はレイヤー 2 からインラインに復元します。

• 待機時間モニターが Sensor をレイヤー 2 モードにした。

• Sensor の状態が良好である。Sensor が問題のある状態の場合、アサート停止は実行できずに Sensor が再起動し

ます。

• 相当量の時間が経過し、このコマンドを使用して設定したように、Sensor が待機時間のためにレイヤー 2 に移行

したとき。自動的にレイヤー 2 のアサート停止を引き起こすデフォルトの時間は 10 分です。

Sensor がインラインモードに復元した後も待機時間が続く場合は、Sensor は待機時間モニターの現在の設定により

動作します。

構文

latency-monitor restore-inline enable <10-60>

latency-monitor restore-inline disable

パラメーター説明

<10-60> レイヤー 2 からインラインへの復元を引き起こす時間です。Sensor が待機時間のためにレイヤー 2の状態に移行してから計算されます。

latency-monitor status コマンドは、待機時間モニターの現在の状態に加え、待機時間モニターのリストアイン

ライン機能の現在の状態も表示します。

適用先:


2 IPS CLI コマンド - 通常モードlatency-monitor restore-inline


latency-monitor sensitivity-level待機時間管理に対する重大度レベルを設定します。

構文:

latency-monitor sensitivity-level high

latency-monitor sensitivity-level medium

latency-monitor sensitivity-level low

適用先:


layer2 modeレイヤ 2 モードを設定します。

構文:

layer2 mode <assert><deassert><off><on>

パラメータ

説明

assert Sensor をレイヤ 2 パススルーモード (L2 モード) にします。これはネットワークの問題のトラブルシューティングに役立ちます。このコマンドを使用すると、イベントが発生するまで Sensor は L2 モードを維持します。Sensor が再起動するか、layer2 mode deassert コマンドが実行されます。

deassert Sensor のレイヤ 2 パススルーモードを解除します。このコマンドは、layer2 mode assert コマンドの実行後に IPS プロセスを再確立する場合に使用します。 Sensor ソフトウェアの障害で L2 モードが開始された場合には、このコマンドで Sensor の L2 モードを解除しないでください。このような場合にこのコマンドを使用すると、Sensor が再起動します。

off レイヤ 2 モードの設定をリセットします。収集サブシステムの上位レイヤの処理でエラーが発生すると、Sensor はレイヤ 2 モードに入らず、すぐに再起動します。このコマンドは、Sensor がすでにレイヤ 2 モードでトラフィックを転送している場合に使用します。Sensor はすぐに再起動し、完全な検出機能の回復を試みます。

on レイヤ 2 モードの機能を有効にします。収集サブシステムの上位レイヤの処理で障害が発生すると、すべてのトラフィックをレイヤ 2 モードで転送するように Sensor が設定されます。このコマンドは、直ちに Sensor でトラフィックをレイヤ 2 モードで転送するように強制することはありません。

デフォルト値:

オン

例:

IntruDbg#> layer2 mode off

適用先:


IPS CLI コマンド - 通常モードlatency-monitor sensitivity-level 2


loadconfiguration設定した TFTP/SCP サーバから Sensor の設定ファイルをロードします。Sensor に TFTP/SCP サーバの IP が指定さ

れています。Sensor を ISM に追加する場合、設定タイプをオフラインにする必要があります。

構文:

loadconfiguration WORD

loadconfiguration tftp WORD

loadconfiguration scp WORD

WORD は、TFTP/SCP サーバ上の設定ファイル名です。


• SCP サーバから Sensor の設定ファイルをロードする場合、SCP サーバの認証情報 (ユーザ名とパスワード) が要

求されます。正しい SCP サーバ認証情報を入力しないと、コマンドが実行されません。

• SCP サーバから Sensor の設定ファイルをロードする場合、ファイルのパス名は絶対パスにしてください。設定済

みの TFTP サーバから読み込む場合には、ファイルのパス名は /tftpboot からの相対パスにする必要があります。

• loadconfiguration tftp WORD の機能は loadconfiguration WORD と同じです。

適用先:


loadimage設定した TFTP/SCP サーバの /tftpboot ディレクトリから Sensor のイメージファイルをロードします。

構文:

loadimage WORD

loadimage tftp WORD

loadimage scp WORD

WORD は、TFTP/SCP サーバ上のイメージファイル名です。


• SCP サーバから Sensor のイメージファイルをロードする場合、SCP サーバの認証情報 (ユーザ名とパスワード)が要求されます。正しい SCP サーバ認証情報を入力しないと、コマンドが実行されません。

• SCP サーバから Sensor のイメージファイルをロードする場合、ファイルのパス名は絶対パスにしてください。

TFTP サーバから読み込む場合には、ファイルのパス名は /tftpboot からの相対パスにする必要があります。

• loadimage tftp WORD の機能は loadimage WORD と同じです。

適用先:


関連トピック: 89 ページの「set tftpserver ip」

2 IPS CLI コマンド - 通常モードloadconfiguration


loadsavedimage次のブータブルイメージにするために、SSD のアーカイブからこの (WORD) バージョンの Sensor イメージをロード

します。これがイメージのダウングレードである場合は、resetconfig コマンドを発行する必要があります。

構文:

loadsavedimage WORD

適用先:

NS シリーズ Sensor のみ。

logstatSensor の特定の内部統計を記録します。Manager の[診断トレース]機能を使用して、これらの統計をテクニカルサポートに送信できます。このコマンドは、テクニカルサポートでトラブルシューティングを行う場合のみ使用しま

す。

構文:

logstat <all><datapath><mgmt><dos>


all すべてのデバッグ統計を表示します

datapath データパスのデバッグ統計を表示します

mgmt 管理プロセッサのデバッグ統計を表示します

dos DOS のデバッグ統計を表示します

出力例:

intruShell@john> logstat all

Logstat run:0

Mgmt debug statistics logged

適用先:


関連トピック: 153 ページの「traceupload」

ntbastatNTBA に関連する Sensor のデータパス統計を表示します。

構文:set ntbastat [<0-128>] [<0-128>]

出力例:intruShell@john> ntbastat 15 15

IPS CLI コマンド - 通常モードloadsavedimage 2


Total netflows created :0

Templates created :0

TCP netflows created :0

UDP netflows created :0

ICMP netflows created :0

Total netflows sent :0

Templates sent :0

Netflows sent via ring buffer :0

Total active netflows :0

Total free netflow buffers :1000

Multiple netflows count :0

Total Dcap L7 fields counts :0

netflow エラーが発生した場合は、以下の詳細が表示されます。

Total netflows not sent : 0

Erroneous netflows deleted and not sent : 0

Netflows deleted due to other errors and not sent : 0

適用先:


pingネットワークホストに ping を実行します。ここでは、IPv4 または IPv6 アドレスのいずれかを指定できます。この

コマンドは Sensor に ping を実行して、次の応答を返します。

値説明

icmp_seq Sensor に ping を実行した回数

ttl ソースと宛先間のホップ数

time taken Sensor が ping に応答するまでの平均時間

packets transmitted ping の実行中に送信されたパケット数

packets received ping の実行中に受信されたパケット数

packet loss コマンドの実行中に失われたパケット数

rtt min/avg/max ping サイクルにおいて往復にかかる短時間、平均時間、長時間

構文:

ping <A.B.C.D><A:B:C:D:E:F:G:H> -c <1-100>

2 IPS CLI コマンド - 通常モードping



<A.B.C.D> 32 ビットの IP アドレスを表します。ピリオドで区切られた 4 つの 8 ビット数から構成します。各値 (A、B、C、D) には、0 から 255 までの 8 ビット数が入ります。

<A:B:C:D:F:G:H> 128 ビットのアドレスを表します。コロンで区切られた 4 つの 16 進数のオクテット表記 (8 つのグループ) で構成します。各グループ (A、B、C、D など) には 0000 から FFFF までの 16 進数が入ります。

-c <1-100> Sensor に ping を実行する回数を表します。これはオプションです。Sensor に ping を複数回実行する必要がある場合に使用できます。

出力例:• Sensor の出力例を以下に示します。

intruShell@NSP4050> ping 172.16.100.100

PING 172.16.100.100 with 32[60] bytes of data

40 bytes from host 172.16.100.100: icmp_seq=1 ttl=64 time taken 0.30 msec

--- 172.16.100.100 ping statistics --- 1 packets transmitted, 1 received, 0% packetloss, time 0.30ms

rtt min/avg/max = 0.30/0.30/0.30 msec

• NTBA Appliance の出力例を以下に示します。

ntbaSensor@vNTBA> ping 172.16.100.100

host 172.16.100.100 is alive

• ping を複数回実行した場合の Sensor の出力例を以下に示します。

intruShell@NSP4050> ping 172.16.100.100 -c 3







例:

以下のコマンドでは、4 つの 16 進数をオクテットとする 128 ビットアドレスに ping を実行しています。

ping 2001:0db8:8a2e:0000:0000:0000:0000:0111

適用先:


quitコマンドラインインターフェースを終了します。


IPS CLI コマンド - 通常モードquit 2


構文:

quit

適用先:


raidrepair障害を示す RAID1 コンポーネントの SSD を修復します。

Sensor 内の障害のある SSD を修復するには、current を選択します。修復できない場合は、障害のある SSD を交

換します。交換した SSD を正常な SSD と同期することによって RAID1 を復元するには、new を指定します。

SSD0/SSD1 は、修復される現在の障害のある SSD、または新しく交換される障害のある SSD を特定します。

SSD0 はシャーシの上部、SSD1 はシャーシの下部にあります。

RAID は NS7x00、NS5x00、NS3x00 Sensor ではサポートされません。

構文:

raidrepair <new|current> <ssd0|ssd1>

適用先:

NS シリーズ (NS9300、NS9200、NS9100) Sensor のみ

rebootデバイスを再起動します。デバイスを再起動するかどうかを確認してください。デバイスでヒットレス再起動が可能

な場合には、プロンプトが表示されます。ヒットレス再起動を行う場合には h を、完全な再起動を行う場合には y を入力します。デバイスでヒットレス再起動が可能かどうか確認するには、status コマンドを使用します。

完全再起動の場合、デバイスのすべてのプロセスが再起動されます。この場合、再起動が完了するまで、デバイスの

機能が一時的に使用できなくなります。ヒットレス再起動の場合、必要なプロセスだけが再起動されます。ヒットレ

ス再起動の詳細については、『McAfee Network Security Platform IPS Administration Guide』 (McAfee NetworkSecurity Platform IPS 管理ガイド) を参照してください。

構文:

reboot

2 IPS CLI コマンド - 通常モードraidrepair



• Sensor の出力例を以下に示します。

intruShell@john> reboot


rebooting the Sensor...




ntbaSensor@vNTBA> reboot


rebooting the NTBA Appliance ...



適用先:


reconnectalertandpktlogchannelsSensor と Manager 間で、アラートとパケットログチャネルの接続 (disconnectalertandpktlogchannels を発行することで破損した) を再構築します。この接続は、Sensor と Manager 間の信頼関係が解除されていない場合

にのみ再確立できます。たとえば、deinstall でアラートとパケットログチャネル間の信頼関係が解除され、接続が

切断された場合、Sensor と Manager の信頼関係を確立する証明書が消去されると、

reconnectalertandpktlogchannels コマンドを実行しても接続は再確立されません。


構文:

reconnectalertandpktlogchannels


this will take a couple of seconds , please check status on CLI

適用先:


関連トピック: 44 ページの「disconnectalertandpktlogchannels」263 ページの「deinstall」

IPS CLI コマンド - 通常モードreconnectalertandpktlogchannels 2


rescuediskrescuedisk コマンドは、Sensor を実際に修復するときのみ実行する必要があります。このコマンドは SSD を再フォ

ーマットし、内部フラッシュデバイスから SSD にこの (WORD) バージョンの Sensor イメージをロードします。これは次のブータブルイメージになります。

Sensor が正常な状態にあるときは、このコマンドを実行しないでください。

構文:

rescuedisk <rescue image>

修復イメージは show rescueimages コマンドを使用して見つけることができます。

出力例:

WARNING ... THIS COMMAND WILL REFORMAT YOUR SSD ..?


適用先:


M シリーズ Sensor の場合、このコマンドを実行できるのは、Sensor の起動時に Sensor に外部フラッシュドライブ

を挿入した後になります。通常モードでこのコマンドを実行すると、『There is no matched command』 (一致するコ

マンドがありません) というエラーが表示されます。

resetconfigすべての設定値をデフォルトにリセットします。以下の表のように値を削除またはリセットします。このコマンドを

実行すると Sensor が自動的に再起動されます。Sensor を再起動しても良い状態であるかを確認してください。

削除される値デフォルトに戻る値

• Manager のアドレス (設定している場合はセカンダリインターフェースの IPアドレスも含む)。IPv4 または IPv6 アドレスになります。

• Sensor と Manager 間に信頼関係を確立する証明書 (共有鍵の値など)

• シグネチャ

• TFTP サーバの IP アドレス (IPv4 または IPv6 アドレス)

• SCP サーバの IP アドレス (IPv4 または IPv6 アドレス)

• DoS プロファイルファイル (学習した DoS の動作)

• SSL 鍵

• 例外オブジェクト

• ACL

• 詳細設定

• モニタリ

ングポートとレ

スポンス

ポートの

設定

• Manager のアラ

ートポートの値

• マネジメ

ントポートの設

定

• Manager のログ

ポートの

値

• Manager のイン

ストール

ポートの

値


2 IPS CLI コマンド - 通常モードrescuedisk


構文:

resetconfig

適用先:


resolve gti server設定した GTI サーバーの IP にパケットを送信することにより、接続を解決します。


構文:

resolve gti server

適用先:


secureerasesecureerase コマンドは、内部フラッシュに格納された全データが消去され、内部フラッシュをフォーマットし、

ランダムデータで上書きして、アクセスできなくします。


構文:

secureerase

削除を確認する以下のプロンプトが表示されます。

WARNING: This command will erase all content and make the sensor inaccessible.

You must install a new image(via netboot or external rescueflash) to

reuse this sensor again.

Do you really want to proceed? Enter 'y' to proceed or 'n' to stop:

[Y] と入力すると、データの削除を続行します。

適用先:


sensor perf-debug指定した時間、Sensor でパフォーマンスデバッグをアクティブにします。

構文:

IPS CLI コマンド - 通常モードresolve gti server 2


sensor perf-debug<time in minutes>


time in minutes Sensor でパフォーマンスデバッグをアクティブにする分数を指定します。

適用先:


sensor perf-debug off指定した時間、Sensor でパフォーマンスデバッグを無効にします。このコマンドを実行しても、パフォーマンスデバッグの一時的な統計情報は消去されません。デバッグを無効にするだけです。Sensor は通常の処理モードに切り

替わります。


構文:

sensor perf-debug off

適用先:


sensor perf-debug statusパフォーマンスデバッグのステータスを表示します。


構文:

sensor perf-debug status出力例:

intruShell@john> sensor perf-debug status

perf-debug status : on

適用先:


sensor-datapath-stat-analysis logSensor のログファイルにさまざまな Sensor データパス統計の分析を記録します。

構文:

sensor-datapath-stat-analysis log

適用先:


2 IPS CLI コマンド - 通常モードsensor perf-debug off


sensor-datapath-stat-analysis showさまざまな Sensor のデータパス統計の分析を表示します。

構文:

sensor-datapath-stat-analysis show

出力例:

intruShell@john> sensor-datapath-stat-analysis show

Total pkts received :32130

Total TCP pkts :29682

Total UDP pkts :2430

Total non TCP/UDP pkts :18

Total fragments :0

Total duplicate fragments :0

Total attack detected :7

Total alert generated :8

Total alerts dropped without response :0

Total alerts dropped because of filter setting :0

Total logs sent :9

Total pkts matching L3/L4 UDS :0

Policy Ruleset on Sensor :Default Inline IPS

**Analysis of the statistics**

Attack dropped without response action :0.0000%

Attack dropped because of filter setting :0.0000%

Traffic detected with attack :0.0218%

Fragmented traffic :0.0000%

TCP Traffic :92.3810%

UDP Traffic :7.5630%

Non TCP/UDP Traffic :0.0560%

Traffic matching L3/L4 UDS :0.0000%

Count of fragments is ZERO

Percentage of logs to alerts sent :112.5000%

Snort signature support enabled

適用先:


IPS CLI コマンド - 通常モードsensor-datapath-stat-analysis show 2


sensordroppkteventSensor の負荷監視を有効または無効にします。Sensor が過負荷状態になり、大量のパケットをドロップすると、

Manager にシステム障害を通知します。

構文:

sensordroppktevent <disable><enable>


<disable> Sensor の負荷監視を無効にします。

<enable> Sensor の負荷監視を有効にします。Sensor の負荷監視を有効にした場合、Sensor が連続して 9 秒以上パケットをドロップすると、Manager の [System Health] (システム状態) ページに重大な障害として「Sensor Dropping Packets Internally」が表示されます。パケットのドロップが持続する場合、1 分おきにシステム障害が表示されます。Network Security Platform は、パケット損失率が 1 分間継続した場合にのみ、後続の障害を報告します。

デフォルト値：

Disabled

適用先:

M シリーズ、NS シリーズ、および仮想 IPS Sensor。仮想セキュリティシステムインスタンスの場合、このコマン

ドはデバッグモードで使用できます。

関連トピック: 138 ページの「show sensordroppktevent status」

setsetコマンドは Sensor 名とネットワーク情報の設定に使用します。

構文:

set <command> <value>

各 set コマンドと値は別々に説明します。

set atdcachepurge interval hoursこのコマンドは atdcachepurge 機能を実行する間隔を設定する際に使用します。デフォルトでは 24 時間の間隔で

ATD キャッシュエントリを完全に削除します。ただし、以下のコマンドを使用すると、1 ～ 192 時間の範囲で間隔

を設定できます。

構文:

set atdcachepurge interval hours <1-192>

適用先:


2 IPS CLI コマンド - 通常モードsensordroppktevent


set autorecovery自動復元機能を無効にします。Sensor のレイヤ 2 モードが有効な場合でも無効にします。このコマンドは、レイヤ

ー 2 モードが [On] の場合にのみ実行できます。レイヤ 2 モードが [Off] の場合、自動復元は常時無効になります。

デバッグを行う場合にも、自動復元機能を無効にできます。自動復元機能を無効にすると、Sensor は自動復元を実行

せず、レイヤ 2 モードを維持します。

自動復元が有効な場合、SSL 復号化は使用されません。

構文:

set autorecovery <enable|disable>

自動復元を無効にすると、レイヤ 2 モードが無効になって再度有効になった後でも自動復元は無効のままになります。

自動復元のステータスを確認するには、show auto recovery status コマンドを実行します。

デフォルト値:

enable

適用先:


自動復元がサポートされているのは、M-3050、M-4050、M-6050、M-8000 Sensor だけです。 Sensor モデルの

M-1250、M-1450、M-2850、M-2950 では、自動復元は一部のモジュールでのみサポートされています。自動復元は

仮想 IPS Sensor に使用できません。

関連トピック: 101 ページの「show autorecovery status」

55 ページの「layer2 mode」

set auxport補助ポートのステータスを設定します。

構文:

set auxport enable

set auxport disable

適用先:


set console timeoutコンソール接続がタイムアウトするまでの非アクティブな時間を分数を設定します。

構文:

set console timeout <0 - 1440>

IPS CLI コマンド - 通常モードset autorecovery 2



<0-1440> 0 (なし) から 1440 (24 時間) までの整数

<0 - 1440> は 0 (なし) から 1440 (24 時間) までの整数です。

例:

set console timeout 60

デフォルト値:

15 (15 分)

適用先:


set debugmode passwdCLI DEBUG モードのパスワードを設定します。

構文:

set debugmode passwd


Please enter new password:

Please Re-enter new password:

Password successfully changed

例:

intruShell@john> set debugmode passwd




適用先:


set dospreventionseverity指定した DoS プロファイルの重大度を設定します。DoS 防止の重大度を上げると、ドロップする DoS パケットの数

が増えます。

構文:

set dospreventionseverity <dos-measure-name> <inbound | outbound> <0-200>

2 IPS CLI コマンド - 通常モードset debugmode passwd



<dos-measure-name> DoS 攻撃の方法を設定します。tcp-syn、tcp-syn-ack、tcp-fin、tcp-rst、udp、icmp-echo、icmp-echo-reply、icmp-non-echo-reply、ip-fragment、non-tcp-udp-icmp のいずれかです。

<inbound> 方向をインバウンドに設定します。

<outbound> 方向をアウトバウンドに設定します。

<0-200> DoS 防止の重大度を設定します。

例:

set dospreventionseverity tcp-syn-ack outbound 100


30

適用先:


関連トピック: 106 ページの「show dospreventionseverity」

105 ページの「show dospreventionprofile」

set dnsprotectDNS 保護モードを設定します。

構文

set dnsprotect <inbound><inbound-outbound><ip-based><off><outbound>


<inbound> DNS 保護モードを inbound に設定します。

<inbound-outbound> DNS 保護モードを inbound-outbound に設定します。

<ip-based> DNS 保護モードを ip-based に設定します。

<off> DNS 保護モードを無効にします。

<outbound> DNS 保護モードを outbound に設定します。

適用先:


set dospreventionseverity指定した DoS プロファイルの重大度を設定します。DoS 防止の重大度を上げると、ドロップする DoS パケットの数

が増えます。

構文:

IPS CLI コマンド - 通常モードset dnsprotect 2


set dospreventionseverity <dos-measure-name> <inbound | outbound> <0-200>


<dos-measure-name> DoS 攻撃の方法を設定します。tcp-syn、tcp-syn-ack、tcp-fin、tcp-rst、udp、icmp-echo、icmp-echo-reply、icmp-non-echo-reply、ip-fragment、non-tcp-udp-icmp のいずれかです。

<inbound> 方向をインバウンドに設定します。

<outbound> 方向をアウトバウンドに設定します。

<0-200> DoS 防止の重大度を設定します。

例:

set dospreventionseverity tcp-syn-ack outbound 100


30

適用先:


関連トピック: 106 ページの「show dospreventionseverity」

105 ページの「show dospreventionprofile」

set dpimonitorこのコマンドを有効にすると、データパス攻撃検出のモニタリングが設定されます。

構文:

set dpimonitor <enable | disable>

デフォルト値:

無効

適用先:


関連トピック: 106 ページの「show dpimonitor status」

set dpimonitor-actionデータパス攻撃検出が停止したことを Sensor が検出した場合に実行するアクションを設定します。有効にすると、

設定したデフォルトのモニタリングアクションが実行されます。無効にすると、攻撃検出が停止した後にアラート

が発生し、追加のアクションは実行されません。デフォルトのモニタリングアクションの設定は無視されます。

構文:

2 IPS CLI コマンド - 通常モードset dpimonitor


set dpimonitor-action <enable|disable>

適用先:


関連トピック: 107 ページの「show dpimonitor-action status」

set flowvolumelimit enable <threshold>このコマンドは、受信および送信接続においてデータ転送量が多い接続を報告します。フロー量のしきい値を設定す

ると、接続のデータ転送量がしきい値を超えている場合、「Flow with high volume has been detected」(容量の大き

いフローが検出されました) というアラートによって報告されます。受信および送信のフロー量の制限を有効にする

には、このコマンドを使用します。

構文:

set flowvolumelimit enable <threshold>

パラメータ:


threshold フロー量の制限に有効な値の範囲は 1 ～ 8192 MB です。

適用先:


set flowvolumelimit disableこのコマンドは、受信と送信のフロー量の制限を無効にします。

構文:

set flowvolumelimit disable

適用先:


set gigfailopen disableこのコマンドを実行すると、リンクが停止するため、外部のフェールオープンキットはバイパスモードに切り替わ

りません。Sensor が再起動しても処理を続行します。set gigfailopendelay <0> と入力すると、バイパスモー

ドを再度有効にすることができます。

構文:set gigfailopen disable

適用先:

IPS CLI コマンド - 通常モードset flowvolumelimit enable <threshold> 2



set gigfailopendelayGigabit チャネルが切断された場合にフェールオープンに切り替わる前の遅延時間を秒数で設定します。set 値を表

示するには、show gigfailopendelay コマンドを使用します。

構文:

set gigfailopendelay <0-60>


<0-60> 遅延時間を秒数で設定します。0 (遅延なし) から 60(60 秒) までの整数を指定します。


0 (0 秒)

例:

set gigfailopendelay 10

適用先:


set gti server ipGTI サーバーの IPv4 アドレスを設定します。

構文:

set gtiserver ip <A.B.C.D>

例:

set gtiserver ip 192.168.1.1

適用先:


set inactiveuserslockこのコマンドを有効にすると、非アクティブユーザーをロックアウトします。 35 日間ログインしていないユーザー

は、非アクティブと見なされます。

デフォルトでは、このコマンドは無効になっています。

構文:

set inactiveuserslock <enable | disable>

適用先:

2 IPS CLI コマンド - 通常モードset gigfailopendelay



set intfport id flowcontrol特定の Gigabit Ethernet モニタリングポートでのフロー制御を手動で有効または無効にします。

構文:set intfport id <port> flowcontrol <on | off>

パラメータ

説明

<port> 有効な Gigabit Ethernet モニタリングポート。 Sensor のモニタリングポート

• M シリーズの有効なポート番号は次のとおりです。1A | 1B | 2A | 2B | 3A | 3B| 4A | 4B | 5A | 5B| 6A | 6B | 7A | 7B | 8A | 8B | all

• NS シリーズの有効なポート番号は次のとおりです。G0/1 | G0/2 | G1/1 | G1/2 | G1/3 | G1/4 |G1/5 | G1/6 | G1/7 | G1/8 | G1/9 | G1/10 | G1/11 | G1/12 | G2/1 | G2/2 | G2/3 | G2/4 | G2/5 |G2/6 | G2/7 | G2/8 | G2/9 | G2/10 | G2/11 | G2/12 | G3/1 | G3/2 | G3/3 | G3/4 | G3/5 | G3/6 |G3/7 | G3/8

<on> Gigabit Ethernet モニタリングポートでのフロー制御を有効にします。

<off> Gigabit Ethernet モニタリングポートでのフロー制御を無効にします。

例:set intfport id 1A flowcontrol on

適用先:M シリーズおよび NS シリーズ Sensor。

関連トピック: 116 ページの「show intfport」

set l2f-unknown-udpこのコマンドを有効にすると、1024 より大きいソースおよび宛先のポート番号を処理せずにトラフィックを転送し

ます。未知の UDP トラフィックが転送されるため、待機時間とネットワークの混雑が軽減されます。デフォルトで

は、このコマンドは無効になっています。

構文:

set l2f-unknown-udp <enable|disable>

適用先:

M シリーズ Sensor

show l7ddosstatさまざまなレイヤー 7 の DDOS 関連統計を表示します。

構文

IPS CLI コマンド - 通常モードset intfport id flowcontrol 2


show l7ddosstat

出力例

IntruDbg#> show l7ddosstat

[L7 DDOS Stats]

L7ddos active http connections :10000

L7ddos Drop Count :1426

L7ddos Slow Connections closed :0

L7ddos Challenge Sent Count :2

L7ddos Challenge Valid Count :1

L7ddos Challenge Failed Count :0

適用先:


set manager alertportManager が Sensor のアラートを待機するポートを指定します。この通信には任意の未割り当てのポートを割り当

てることができます。

Sensor と Manager の間にファイアウォールが存在する場合は、ファイアウォール上で特定のポートを開いてくださ

い。 Sensor がすでにインストールされている場合は、このパラメータを変更する前に Sensor をアンインストールし

てください。

構文:

set manager alertport <0 - 10000>


<0-10000> ポート番号。0 から 10,000 までの整数値を指定します。


• Sensor がインストールされている場合:

sensor is already installed, please do a deinstall before changing this parameter

• Sensor がアンインストールされている場合:

Missing manager alert port, default 8502 used


デフォルトのポート番号は 8502 です。

適用先:


2 IPS CLI コマンド - 通常モードset manager alertport


set manager alertport_RSA-2048-bitManager と Sensor が 2048 ビット暗号化を使用しているときに、Manager が Sensor のアラートを待機するポート

を指定します。この通信には任意の未割り当てのポートを割り当てることができます。



てください。

構文:

set manager alertport_RSA-2048-bit <0 - 10000>



デフォルト値:


適用先:


set manager installsensorport2048 ビット暗号化を使用しているときに、Manager が Sensor と設定情報を交換するポートを指定します。この通

信には任意の未割り当てのポートを割り当てることができます。

構文:

set manager installsensorport <0 - 10000>







Missing manager Install Sensor Port, default 8501 used



適用先:


IPS CLI コマンド - 通常モードset manager alertport_RSA-2048-bit 2


set manager installsensorport_RSA-2048-bit2048 ビット暗号化を使用しているときに、Manager が Sensor と設定情報を交換するポートを指定します。この通



い。また、Sensor がすでにインストールされている場合は、このパラメータを変更する前に Sensor をアンインスト

ールしてください。

構文:

set manager installsensorport_RSA-2048-bit <0 - 10000>



デフォルト値:


適用先:


set manager ipManager サーバのプライマリインターフェースの IPv4 または IPv6 アドレスを指定します。

構文:

set manager ip <A.B.C.D |A:B:C:D:E:F:G:H>


<A.B.C.D> 32 ビットのアドレスを指定します。ピリオドで区切られた 4 つの 8 ビットの数字から構成します。A、B、C または D には、0 から 255 までの 8 ビット数が入ります。

<A:B:C:D:E:F:G:H> 128 ビットのアドレスを指定します。コロンで区切られた 4 つの 16 進数のオクテット表記 (8つのグループ) で構成します。各グループ (A、B、C、D など) には 0000 から FFFF までの 16 進数が入ります。

例:

set manager ip 192.34.2.8

または

set manager ip 2001:0db8:8a2e:0000:0000:0000:0000:0111

0000 の場合は、省略したり、コロン 2 つ (::) に置き換えることも可能です

適用先:


関連トピック: 78 ページの「set manager secondary ip」

2 IPS CLI コマンド - 通常モードset manager installsensorport_RSA-2048-bit


set manager logportManager と Sensor が 2048 ビット暗号化を使用しているときに、Manager が Sensor のアラートを待機するポート




てください。

構文:

set manager logport <0 - 10000>







Missing manager log port, default 8503 used



適用先:


set manager logport_RSA-2048-bitManager と Sensor が 2048 ビット暗号化を使用しているときに、Manager が Sensor のアラートを待機するポート




てください。

構文:

set manager logport_RSA-2048-bit <0 - 10000>



デフォルト値:


適用先:


IPS CLI コマンド - 通常モードset manager logport 2


set manager secondary ipManager サーバのセカンダリインターフェースの IPv4 または IPv6 アドレスを指定します。

構文:

set manager secondary ip <A.B.C.D | A:B:C:D:E:F:G:H>




例:

set manager secondary ip 192.34.2.8

または

set manager secondary ip 2001:0db8:8a2e:0000:0000:0000:0000:0111


適用先:


関連トピック: 43 ページの「deletemgrsecintf」76 ページの「set manager ip」

set ma wakeup portMcAfee Agent にウェイクアップポートを設定できるようにします。

構文

set ma wakeup port [<1-65536>]

適用先:


set mgmtport autoSensor とネットワークデバイス間の接続のオートネゴシエーションをマネジメントポートに設定します。


構文:

set mgmtport auto

2 IPS CLI コマンド - 通常モードset manager secondary ip


デフォルト値:

デフォルトでは、マネジメントポートは [auto] (オートネゴシエーション) に設定されています。

適用先:


関連トピック: 79 ページの「set mgmtport speed and duplex」

set mgmtport mtu管理ポートインターフェースの大転送単位 (MTU) を構成します。

構文:set mgmtport mtu <1000-1500>

出力例:intruShell@john> set mgmtport mtu 1250

MTU set to 1250 for mgmt port

例:

intruShell@john> set mgmtport mtu 1000

適用先:

M シリーズ Sensor。

set mgmtport speed and duplexマネジメントポートの速度を Sensor に接続しているネットワークデバイスの速度と一致させ、全二重または半二重

で実行するように設定します。

構文:

set mgmtport <speed <10 | 100> duplex <full | half>>


<10|100> Ethernet マネジメントポートの速度を設定します。速度は、10、100 Mbps のいずれかになります。1000 Mbps に設定するには、set mgmtport auto コマンドを使用します。

<half|full> Ethernet マネジメントポートで二重の設定を行います。半二重の場合には half を、全二重の場合に

は full を設定します。



適用先:


関連トピック: 78 ページの「set mgmtport auto」

IPS CLI コマンド - 通常モードset mgmtport mtu 2


set mnsconfigSensor はモバイルネットワークモニター加入者のトラフィックと GGSN から Internet ゲートウェイと RADIUS サーバーへの RADIUS アカウンティングトラフィックで展開します。ネットワークの各モバイルデバイスは IP アドレ

スを持っています。Sensor は GGSN と RADIUS サーバー間で交換された RADIUS アカウンティングを解析し、IP アドレスと電話番号、IMSI 番号、APN などの加入者のモバイル ID の詳細を関連付けます。Sensor はインターネット

トラフィックで検出された攻撃とモバイル加入者 ID も関連付け、これらを Manager に送信されるアラートに含めま

す。モバイルネットワークの RADIUS アカウンティングトラフィックのモニターを有効にするために使用されるコ

マンドは、以下の通りです。

• デフォルトでは、無効に設定されています。

• モバイルエントリは Sensor を再起動しても有効です。

構文:

set mnsconfig on

Manager に送信されたアラートのモバイル加入者データの収集およびタグ付けを有効にします。

set mnsconfig off

Manager に送信されたアラートのモバイル加入者データの収集およびタグ付けを無効にします。

詳細については、『McAfee Network Security Platform IPS Administration Guide』 (IPS 管理ガイド) を参照してくだ

さい。

適用先:


set mnsconfig radiusLBこのコマンドは Sensor の RADIUS トラフィック負荷分散を有効および無効にします。

GGSN/RADIUS サーバーによって UDP を使用して交換されたすべての RADIUS パケットの固定ソースポートおよび

宛先ポートを使用しているため、Sensor は高いデータレートのでの RADIUS アカウンティングトラフィックの解析

に失敗する可能性があります。このコマンドを有効にすると、このようなシナリオを防ぎます。

構文

set mnsconfig radiusLB on

RADIUS トラフィック負荷分散を有効にします。

set mnsconfig radiusLB off

RADIUS トラフィック負荷分散を無効にします。

適用先:


2 IPS CLI コマンド - 通常モードset mnsconfig


set nmsuserwriteaccessサードパーティ NMS ユーザに読み取り/書き込みアクセスを設定します。

構文

set nmsuserwriteaccess <enable|disable>


enable サードパーティ NMS ユーザに読み取り/書き込みアクセスを許可します。

disable サードパーティ NMS ユーザに読み取り/書き込みアクセスを許可しません。

有効にすると、MIB ツリーのホスト隔離グループに対して制限付きの読み取り/書き込みアクセスが有効になります。

この制限付きの読み取り/書き込みアクセスは、設定済みのすべてのサードパーティ NMS ユーザに適用されます。

詳細については、『 McAfee Network Security Platform 』『 IPS Administration Guide』 (IPS 管理ガイド) を参照して

ください。

適用先:


set outofcontext acllookupこのコマンドは、順序の正しくないパケットで ACL 参照を有効/無効にします。

構文:

set outofcontext acllookup <enable|disable>

適用先:


set portsettletimeSensor では、インラインのポートペアを実際の 1 つの「ワイヤ」として機能させることができます。つまり、ペア

の一方のポートが DOWN である場合はもう一方も DOWN となり、一方が UP である場合はもう一方も UP になりま

す (接続しているデバイスの状態によって異なります)。これは、ポートの「セトリングタイム」を指定する setportsettletime コマンドによって実行されます。ポートが有効になっており、ポートのセトリングタイムと同等

の期間にわたって UP ではない場合、ポートは DOWN であるとみなされます。

スイッチによってネゴシエーションにかかる時間が異なるため、ネットワークに適した値を設定する必要があります。

この値は、Sensor のすべてのポートに適用されます。ワイヤモード機能は、ポートのセトリングタイムの間は施行

されません。

構文:

set portsettletime <seconds>


<seconds> 0 から 300 までの秒数を指定します。

IPS CLI コマンド - 通常モードset nmsuserwriteaccess 2


デフォルト値:

デフォルト値は 30 で、30 秒を意味します。

適用先:


関連トピック: 134 ページの「show portsettletime」

set scpserver ipSCP サーバの IPv4 または IPv6 アドレスを指定します。

構文:

set scpserver ip <A.B.C.D | A:B:C:D:E:F:G:H>




適用先:


set sensor gatewayManager サーバのゲートウェイの IPv4 アドレスを指定します。

構文:set sensor gateway <A.B.C.D>



出力例:


intruShell@john> set sensor gateway 10.213.174.201

sensor gateway = 10.213.174.201


ntbaSensor@vNTBA> set sensor gateway 192.34.2.8


例:

2 IPS CLI コマンド - 通常モードset scpserver ip


set sensor gateway 192.34.2.8

適用先:


set sensor gateway-ipv6Manager サーバのゲートウェイの IPv6 アドレスを指定します。

構文:

set sensor gateway-ipv6 <A:B:C:D:E:F:G:H>



例:

set sensor gateway-ipv6 2001:0db8:8a2e:0000:0000:0000:0000:0111

0000 の場合は、省略したり、コロン 2 つ (::) に置き換えることも可能です。

例: set sensor gateway-ipv6 2001:0db8:8a2e::0111

適用先:


set sensor ipSensor の IPv4 アドレスとサブネットマスクを指定します。Sensor の IP アドレスを変更した場合は、変更を適用す

るために Sensor を再起動する必要があります。Sensor を再起動する方法は、reboot コマンドの説明を参照してく

ださい。

構文:set sensor ip <A.B.C.D E.F.G.H>


<A.B.C.DE.F.G.H>

IPv4 アドレスとネットマスクを示します。ネットマスクは IP アドレスからホスト ID を除いたネットワーク ID の部分です。それぞれのネットマスクは、2 進数の 1 (10 進数の 255) でネットワークID を表し、2 進数の 0 (10 進数の 0) で IP アドレスのホスト ID を表します。たとえば、クラス C のデフォルトのネットマスクは 255.255.255.0 です。

出力例:

IPS CLI コマンド - 通常モードset sensor gateway-ipv6 2



intruShell@john> set sensor ip 10.213.168.169 255.255.255.0

Sensor IP is already set, new IP will take effect after a reboot

sensor ipv4 = 10.213.168.169, sensor subnet mask = 255.255.255.0


ntbaSensor@NTBA_210> set sensor ip 10.213.171.210 255.255.255.0



例:

set sensor ip 192.34.2.8 255.255.0.0

適用先:


set sensor ipv6Sensor の IPv6 アドレスとサブネットマスクを設定します。

構文:

set sensor ipv6 <A:B:C:D:E:F:G:H/I>


<A:B:C:DE:F:G/H>

64 ビットのアドレスを指定します。コロンで区切られた 4 つの 16 進数のオクテット表記 (8 つのグループ) で構成します。各グループ (A、B、C、D など) には 0000 から FFFF までの 16 進数が入ります。末尾に 0 から 128 までの値で接頭辞の長さ I を指定します。

例:

set sensor ipv6 2001:0db8:8a2e:0000:0000:0000:0000:0111/64


例: set sensor ipv6 2001:0db8:8a2e::0111/64

適用先:


set sensor nameSensor の名前を設定します。この名前は Manager が Sensor を識別する際に使用されます。また、Manager イン

ターフェースの管理者が Sensor を識別する際にも使用されます。ここで入力した Sensor の識別用の名前は、

Manager インターフェースで使用する名前と一致していなければなりません。一致していないと Manager とSensor 間で通信を行うことはできません。

構文:

2 IPS CLI コマンド - 通常モードset sensor ipv6


set sensor name <WORD>


<WORD> WORD は、大文字小文字の区別のある 25 文字以内の文字列です。文字列にはハイフン、アンダースコア、ピリオドが使用できますが、先頭は文字にしてください。

出力例:





• intruShell@john> set sensor name adminsensor name = admin

• ntbaSensor@NTBA_210>set sensor name vNTBAsensor name = vNTBA

例:set sensor name SanJose_Sensor1

適用先:


set sensor sharedsecretkeyManager と Sensor の信頼関係を確立するために使用する共有秘密鍵の値を指定します。

以下の「構文」のようにコマンドを入力します。Sensor から秘密鍵の値の入力を求められます。入力した値は表示さ

れません。入力は 2 回プロンプトされ、2 つの値が一致するかどうかが確認されます。

ここで設定した [sharedsecretkey] の値は、Manager インターフェースで使用される値と一致していなければなりませ

ん。一致していないと Manager と Sensor 間で通信を行うことはできません。値を変更する場合は、CLI と Managerインターフェースの両方で変更する必要があります。

構文:

set sensor sharedsecretkey

秘密鍵の値のプロンプトでは、大文字小文字の区別のある 8 から 25 文字の文字列を ASCII テキストで入力します。

出力例:

IPS CLI コマンド - 通常モードset sensor sharedsecretkey 2






• intruShell@john> set sensor shared secretkeyPlease enter shared secret key:

Please Re-enter shared secret key:

This will take a couple of seconds, please check status on CLI

• ntbaSensor@vNTBA> set sensor sharedsecretkeyPlease enter shared secret key:



適用先:


set sessionlimit timeoutユーザセッションの時間制限を設定します。

構文:

set sessionlimit timeout <0-24>

セッションに有効な値の範囲は 0 から 24 時間です。

セッションの時間制限を 9 時間に設定した場合、ユーザが 9 時間セッションを使用すると、セッションが自動的に終

了します。

このパラメータを 0 に設定した場合、ユーザがセッションを終了しない限り、セッションタイムアウトは発生しませ

ん。

セッションタイムアウトの設定は保存され、Sensor の次の起動時に同じ値が使用されます。

タイムアウト値はすべてのユーザーに適用されます。

適用先:


set sshinactivetimeoutCLI SSH セッションの非アクティブのタイムアウトを秒単位で設定します。

構文:

set sshinactivetimeout <30-300>

2 IPS CLI コマンド - 通常モードset sessionlimit timeout


タイムアウトに有効な値の範囲は 30 から 300 秒です。

たとえば、非アクティブ時間の制限を 35 秒に設定した場合、ユーザが 35 秒間セッションで非アクティブの状態にな

ると、セッションが自動的に終了します。

非アクティブのタイムアウトの設定は保存され、Sensor の次の起動時に同じ値が使用されます。タイムアウト値はす

べてのユーザーに適用されます。

適用先:


set syncookietcpresetTCP のリセット設定を有効化または無効化します。

構文:set syncookietcpreset <on | off >

出力例:• intruShell@john> set syncookietcpreset on

value on

• intruShell@john> set syncookietcpreset offvalue off


set tacacsauthorizationTACACS+ 認証機能は、TACACS サーバのサービス名と Sensor のサービス名を比較し、Sensor CLI に対するアクセス

認証を行います。サービス名が一致した場合にのみ、Sensor CLI へのアクセスが許可されます。

TACACS+ ユーザは、自分の認証情報で Sensor CLI にログインできます。認証が有効か無効かにかかわらず、セッシ

ョンは Sensor 生成の固有の UID で作成されます。Sensor では TACACS+ ユーザのローカルデータベースファイル

作成されません。再起動後、TACACS+ ユーザのログイン時にデータベースにエントリが作成されます。

監査ログには、ユーザ名に対応する TACACS+ ユーザが実行した操作として記録されます。

詳細については、『McAfee Network Security Platform IPS Administration Guide』 (IPS 管理ガイド) を参照してくだ

さい。また、KB の記事 KB58269 と KB58299 も参照してください。

set tacacsauthorization コマンドは、TACACS+ 認証機能の設定に使用します。

構文:

set tacacsauthorization <enable|disable>


<enable> TACACS+ 認証機能を有効にします。

<disable> TACACS+ 認証機能を無効にします。

デフォルト値:

IPS CLI コマンド - 通常モードset syncookietcpreset 2


https://kc.mcafee.com/corporate/index?page=content&id=KB58269

https://kc.mcafee.com/corporate/index?page=content&id=KB58299

Disable

適用先:


関連トピック: 143 ページの「show tacacs」

set tcpudpchecksumerror dropSensor は TCP ヘッダと UDP ヘッダのチェックサムを再計算し、パケットの破損を確認します。チェックサムが失敗

すると、パケットはドロップされます。これは、Sensor の標準の動作です。


構文:

set tcpudpchecksumerror drop

適用先:


関連トピック: 88 ページの「set tcpudpchecksumerror forward」144 ページの「show tcpudpchecksumerror」

set tcpudpchecksumerror forwardTCP/UDP/ICMP チェックサムエラーパケットのドロップを無効にします。Sensor は TCP、UDP、ICMP ヘッダのチ

ェックサムを再計算し、パケットの破損を確認します。チェックサムが失敗すると、パケットはドロップされます。

これは、Sensor の標準の動作です。

set tcpudpchecksumerror forward コマンドは、このチェックより前に実行されます。IP オプションの [LooseSource Record Routing (LSRR)] または [Strict Source Routing ] (ストリクトソースルーティング) が有効になってい

るセグメント (無効なチェックサムを含む有効なトラフィックが生成されるため、Sensor でトラフィックがドロップ

される) などに Sensor が設置されている場合に有効です。


構文:

set tcpudpchecksumerror forward

デフォルト値:

この機能は、デフォルトでは無効になっています。Sensor は、無効なヘッダを含むパケットをドロップするように設

定されていますつまり、デフォルト値は set tcpudpchecksumerror drop に設定されています。

適用先:


2 IPS CLI コマンド - 通常モードset tcpudpchecksumerror drop


関連トピック: 88 ページの「set tcpudpchecksumerror drop」144 ページの「show tcpudpchecksumerror」

set tftpserver ipTFTP サーバの IPv4 または IPv6 アドレスを指定します。

構文:set tftpserver ip <A.B.C.D | A:B:C:D:E:F:G:H>





intruShell@john> set tftpserver ip 192.34.5.12

TFTP Server IP = 192.34.5.12


ntbaSensor@vNTBA> set tftpserver ip 192.34.2.54


例:set tftpserver ip 192.34.2.54

または

set tftpserver ip 2001:0db8:8a2e:0000:0000:0000:0000:0111


適用先:


set threshold-udp-dos-forward-action特定の DoS 攻撃がしきい値を超えると、その UDP トラフィックは処理されずに転送されます。しきい値範囲内の

UDP トラフィックは処理されます。デフォルトでは、このコマンドは無効になっています。

DoS 攻撃のしきい値を設定するには、Manager で [Policy (ポリシー)] 、 [Intrusion Prevention (侵入防止)] 、[Advanced (拡張型)] 、 [Master Attack Repository (マスター攻撃リポジトリ)] の順に選択します。詳細については、

『McAfee Network Security Platform IPS Administration Guide』 (McAfee Network Security Platform IPS 管理ガイ

ド) の『Denial-of-Service attacks』 (サービス拒否攻撃) の章の『DoS attack detection mechanism』 (DoS 攻撃検

出方法) のセクションを参照してください。

IPS CLI コマンド - 通常モードset tftpserver ip 2


構文:

set threshold-udp-dos-forward-action <enable|disable>

適用先:


set userconfigvolumedosthreshold特定の種類のパケット量に対する DoS しきい値を設定します。

構文:

set userconfigvolumedosthreshold <dos-measure-name> <direction>


<dos-measure-name> DoS 攻撃の方法を指定します。tcp-syn、tcp-syn-ack、tcp-fin、tcp-rst、udp、icmp-echo、icmp-echo-reply、icmp-non-echo-reply、ip-fragment、non-tcp-udp-icmp のいずれかです。

<direction> 方向を指定します。inbound または outbound のいずれかになります。

例:

set userconfigvolumedosthreshold tcp-syn outbound

適用先:


関連トピック: 145 ページの「show userconfigvolumedosthreshold」

set vlanbasedreconNetwork Security Platform では、VLAN ベースの偵察攻撃を検出できます。デフォルトでは、このオプションは無効

です。このオプションを有効にすると、偵察攻撃の検知は VLAN と VIDS の両方で行われます。

VLAN ベースで偵察攻撃の検出を行う場合にのみ、この機能を Sensor CLI で有効にすることをお勧めします。

McAfee

構文:

set vlanbasedrecon <enable/disasble>


enable VLAN 偵察を有効にします。

disable VLAN 偵察を無効にします。

適用先:

M シリーズおよび NS9x00 Sensor

2 IPS CLI コマンド - 通常モードset userconfigvolumedosthreshold


setfailopencfg restore-inline外部ネットワークとのリンクが切断してバイパスモードに切り替わると、インラインフェールオープンモードで配

備されている Sensor ポートペア (外部のパッシブフェールオープンキットに接続) と組み込みのフェールオープン

サポートがあるポートペアは無効になります。setfailopencfg restore-inline コマンドを使用し、そうした

ポートペアをすべて定期的にインラインモードに復元できます。

この機能は、アクティブなフェールオープンキットに対応していません。

有効にすると、Sensor は設定された間隔で定期的にバイパスモードのポートペアをインラインモードに復元しよう

とします。この復元操作は、Sensor の状態が正常な場合のみ有効にすることができます。

setfailopencfg restore-inline

Sensor は、バイパスモードのポートペアを定期的にインラインモードに復元します。

構文:setfailopencfg restore-inline <enable|disable>

デフォルト値:

無効

適用先:


setfailopencfg restore-inline-interval

バイパスモードのポートをインラインモードに復元する間隔を設定します。

構文:setfailopencfg restore-inline-interval < 5-60 minutes >


5 ～ 60 分 Sensor がバイパスモードのポートペアをインラインモードに復元する間隔 (分単位)。デフォルトは5 分です。

適用先:


setfailopencfg internal/external-failopen bypass/inline

Sensor の再起動後のポートペアの動作を設定します。

setfailopencfg internal/external-failopen bypass/inline


inline Sensor がリンクを切断し、再起動した場合 (setfailopencfg restore-inline が disabled/enabled で、再起動時に実行されなかった場合)、ポートペアはインライン状態に戻ります (インラインモードを有効にして開始)。

bypass ポートペアの状態はバイパスモードのままです (無効のまま開始しません)。


IPS CLI コマンド - 通常モードsetfailopencfg restore-inline 2


ポートペアをバイパスモードからインラインモードに復元するには、次の条件を満たす必要があります。

• 動作モードがインラインフェールオープンになっている (フェールオープンサポートが組み込まれているか、パ

ッシブフェールオープンキットに接続している)。

• パッシブフェールオープンキットを使用している場合には、キットが Sensor に接続している。

• モニタリングポートのリンクが切断されたか、配線されていないために、ポートペアがバイパスモードになって

いる。

この機能を有効にするか、間隔を変更すると、Sensor は状態をすぐに確認し、ポートペアをインラインモードに復

元します。たとえば、次のような場合について考えてみましょう。

シナリオ 1: 間隔の変更

この機能を 11.00 に有効にし、デフォルトの間隔を 5 分に設定します。その後、11.03 にポートリンクが数ミリ秒間

停止し、再開しました。11.04 に間隔を 10 分に変更します。Sensor は 11.14 にポートペアの状態を確認し、インラ

インモードに復元します。これ以降、間隔を再度変更しない限り、Sensor は 10 分間隔でポートペアの状態を確認

します。バイパスモードからインラインモードへの次の切り替えは 11.24 に実行されます。

シナリオ 2: 機能の有効/無効

この機能を 11.00 に有効にし、デフォルトの間隔を 5 分に設定します。その後、11.03 にポートリンクが数ミリ秒間

停止し、再開しました。11.04 に機能を無効にします。11.05 にポートペアが管理作業で停止します。11:07 に機能

が有効になります。Sensor はポートペアの状態を確認しますが、ポートペアへの復元を実行するのは 11:12 です。

ポートの管理ステータスを手動で無効にした場合、この機能が有効化されても、ポートはバイパスモードのままにな

ります。

Sensor は、ピアデバイスとのリンクネゴシエーションエラーなどでバイパスモードからインラインモードへの復

元に失敗するたびに、タイムスタンプ付きの通知を Manager に送信します。バイパスモードからインラインモード

への復元に成功すると、Manager はこのポートペアの前の通知をクリアします。

setupこのコマンドは Sensor のパラメータ設定に使用されます。このコマンドは、新しい Sensor を設定するか、

factorydefaults コマンドを使用して Sensor を再設定してから実行する必要があります。


構文:

setup

このコマンドを入力すると、以下の項目を入力するよう要求されます。

• 現在のパスワード • Manager のプライマリ IP (IPv4、IPv6 または両

方)

• 新しいパスワード • Manager のセカンダリ IP (IPv4、IPv6 または両

方)

• Sensor 名 • Sensor のデフォルトゲートウェイ (IPv4、IPv6 または両方)

• IP の種類 (IPV4=1、IPV6=2 または BOTH=3) • マネジメントポートの構成の選択 (a/m)

2 IPS CLI コマンド - 通常モードsetup


• Sensor の IP (IPv4、IPv6 または両方) • 共有秘密鍵

Enter ボタンを押すと、現在の設定がデフ

ォルトになります。

• Sensor のサブネットマスク (IP アドレス)

適用先:


パスワードの変更方法初のログイン時に setup コマンドを入力すると、パスワードを入力するよう要求されます。

1 コマンドプロンプトで setup と入力します。

2 [現在のパスワード]を入力します。

3 [新しいパスワード]を入力します。

Enter キーを押すと現在のパスワードが保持されます。新しいパスワードを入力すると、パスワードを再入力する

よう要求されます。

入力した 2 つのパスワードが一致しない場合またはパスワードが小値の 8 文字より短い場合、再度プロンプトが

表示されます。

Sensor 名の設定方法パスワードを入力すると、Sensor 名を入力するよう要求されます。[ ] 内にデフォルトの Sensor 名が表示されます。

[Please enter the Sensor name [Sensor_name]]:

Sensor のセットアップの設定IP アドレスのタイプに応じて Sensor のセットアップを設定できます。

• IPv4

• IPv6

• IPv4 と IPv6 の両方

IPv4 アドレス用に Sensor のセットアップを設定する:

IP タイプに 1 を入力するように指示されます。Sensor のデフォルトの IPv4 アドレスが括弧付き ("[" と "]") で表示

されます。以下のプロンプトが表示されます。

[Please enter the Sensor IP ( A.B.C.D ) [ Sensor_IPv4address ]:]

[Please enter the Sensor subnet mask ( A.B.C.D ) [Sensor_subnet_mask_IPaddress]:]

[Please enter the Manager primary IPv4 address ( A.B.C.D ) [ Manager_IPaddress ]:]

[**You can set the Manager secondary IP in case the Manager has two interfaces**]

[Press Y to configure Manager secondary IP address [ N ]:]

[Y] と入力すると、次のプロンプトが表示されます。

[Please enter the Manager secondary IPv4 ( A.B.C.D ) [ Manager_IPaddress ]:]

IPS CLI コマンド - 通常モードsetup 2


[Please enter the Sensor default gateway ( A.B.C.D ) [ Sensor_gateway_IPv4 address ]:]

[Please enter management port configuration choice(a/m) [port_configuration_selected]:]

• [a]: 自動構成を指定します。

• [m]: 手動構成を指定します。

[Press Y to set shared secret key now or N to exit [Y]:]

[Please enter shared secret key:]

[IPv6 アドレス用に Sensor のセットアップを設定する:]

IP タイプに 2 を入力するように指示されます。Sensor のデフォルトの IPv6 アドレスが括弧付き ("[" と "]")で表示さ

れます。以下のプロンプトが表示されます。

[Please enter the Sensor IPV6 address/ subnet prefix length mask ( A:B:.C:D:E:F:G:H/I ) [IPV6 address/subnet]:]

[Please enter the Manager primary IPV6 address ( A:B:C:D:E:F:G:H ) [ Manager_IPaddress ]:]


[Please enter the Manager secondary IPv6 address ( A:B:C:D:E:F:G:H ) [ Manager_IPaddress ]:]

[Please enter the Sensor default IPv6 gateway ( A:B:C:D:E:F:G:H ) [ Sensor_gateway_IPv6 address ]:]






[IPv4 と IPv6 の両方のアドレス用に Sensor のセットアップを設定する:]

IP タイプに 3 を入力するように指示されます。Sensor のデフォルトの IPv4 アドレスが括弧付き ("[" と "]") で表示

されます。以下のプロンプトが表示されます。

[Please enter the Sensor IP ( A.B.C.D ) [ Sensor_IPv4address ]:]


[Please enter the Sensor IPV6 address/ subnet prefix length mask ( A:B:.C:D:E:F:G:H/I ) [IPV6 address/subnet]:]

[Please enter the Manager primary IPv4 address or IPV6 address ( A.B.C.D or A:B:C:D:E:F:G:H )[ Manager_IPaddress ]:]


[Please enter the Manager secondary IPv4 or IPv6 address ( A.B.C.D or A:B:C:D:E:F:G:H ) [ Manager_IPaddress ]:]






2 IPS CLI コマンド - 通常モードsetup




Sensor のサブネットマスクの設定

Sensor のサブネットマスクを入力するよう要求されます[ ] 内にデフォルトの Sensor のサブネットマスクと IP アドレスが表示されます。


Manager の IP アドレスの設定方法

Manager の IP アドレスを入力するよう要求されます。Manager に 2 つの NIC カードがある場合、2 番目の NIC カードの IP アドレスが必要になります。[ ] 内にデフォルトの Manager の IP アドレスが表示されます。プライマリお

よびセカンダリ Manager に対して IPv4 と IPv6 の両方を設定できます。

[Please enter the Manager primary IPv4 address ( A.B.C.D or A:B:C:D:E:F:G:H ) [ Manager_IPaddress ]:]

[Please enter the Manager primary IPv6 address ( A.B.C.D or A:B:C:D:E:F:G:H ) [ Manager_IPaddress ]:]


[Press Y to configure Manager secondary IP address [ N ]:]

[Please enter the Manager secondary IPv4 or IPv6 address ( A.B.C.D or A:B:C:D:E:F:G:H ) [ Manager_IPaddress ]:]

Sensor のデフォルトゲートウェイの設定方法

Sensor のデフォルトのゲートウェイ IP アドレスを入力するよう要求されます。[ ] 内にデフォルトの Sensor のゲー

トウェイ IP アドレスが表示されます。Sensor のデフォルトゲートウェイに対して IPv4 と IPv6 の両方を設定でき

ます。



マネジメントポートの設定方法

マネジメントポートのステータスを設定するよう要求されます。

• [a]: 自動構成

• [m]: 手動構成


Sensor での共有秘密鍵の設定方法

Sensor の共有秘密鍵の設定は setup コマンドでの後の手順です。

共有秘密鍵を入力して、コマンドプロンプトで再確認してください。



IPS CLI コマンド - 通常モードsetup 2


showSensor の現在の設定 (モデル、インストール済みソフトウェアのバージョン、IP アドレス、Manager の詳細など) を表示します。


構文:

show

show コマンドでは以下の情報が表示されます。

[Sensor Info]

• Date

• System Uptime

• System Type

• Software Version

• MGMT Ethernet Port

• システムシリアル番号 (NS9300 の場合はプライマリ、セカンダリ、マスター/システムシリアル番号が個別に表

示されます)

[Sensor Network Config]

• IP Address

• Netmask

• Default Gateway

• Default TFTP server

[Manager Config]

• Manager IP addr

• Install TCP Port

• Alert TCP Port

[Peer Manager Config]

• Manager IP addr


• Alert TCP Port

2 IPS CLI コマンド - 通常モードshow


出力例:


intruShell@john> show

[Sensor Info]

System Name : M6050

Date : 2/6/2015 - 9:23:18 UTC

System Uptime : 6 days 23 hrs 10 min 13 secs

System Type : M-6050

Serial Number : J021834009

Software Version : 8.2.2.98

Hardware Version : 1.30

MGMT Ethernet port : auto negotiated

MGMT port Link Status : link up


IP Address : 10.213.174.202

Netmask : 255.255.255.0

Default Gateway : 10.213.174.201

SSH Remote Logins : enabled

[Manager Config]

Manager IP addr : 10.213.169.178 (primary intf)

Install TCP Port : 8506

Alert TCP Port : 8507

Logging TCP Port : 8508


ntbaSensor@vNTBA> show

[Sensor Info]

System Name : vNTBA

Date : Fri Mar 28 08:55:26 2014

System Uptime : 02 hrs 24 min 54 secs

System Type : T-200VM

Serial Number : T0020140324185515


MGMT Ethernet port : speed = 10 mbps, full duplex, link up

IPS CLI コマンド - 通常モードshow 2



IP Address : 1.1.1.1

Netmask : 255.255.255.0


Default TFTP server : 1.2.3.4

[Manager Config]




• NS9300 Sensor の出力例を以下に示します。

intruShell@KAM9300> show

[Sensor Info]

System Name : KAM9300

Date : 1/28/2015 - 8:34:53 UTC


System Type : IPS-NS9300

System Serial Number : J073350027

NS9300 P Serial Number : J071328008

NS9300 S Serial Number : J064227B70







Netmask : 255.255.255.0


Default SCPserver : 1.2.3.4


[Manager Config]




2 IPS CLI コマンド - 通常モードshow



適用先:


show acl statsSensor で設定されている ACL ログに関する統計を表示します。


構文:

show acl stats

show acl stats コマンドでは以下の情報が表示されます。

• 受信した ACL ログエントリの数

• 抑制された ACL ログエントリの数

• サーバに送信された ACL ログエントリの数

• Manager 経由で送信されたファイアウォール ACL ログの数

• (M シリーズ Sensor のみ) Sensor が直接送信したファイアウォール ACL ログの数

出力例:

intruShell@john> show acl stats

[Acl Alerts]

Received : 164

Suppressed : 0

Sent : 164

Sent Direct : 0

Stateless ACL Fwd count : 20

適用先:


show arp spoof statusARP スプーフィング機能が現在有効かどうかを表示します。ARP スプーフィング検知機能と共に使用します。


構文:

show arp spoof status

出力例:

IPS CLI コマンド - 通常モードshow acl stats 2


intruShell@Sensor-6050> show arp spoof status

ArpSpoofDetection :Enabled



関連トピック: 36 ページの「arp delete」37 ページの「arp dump」37 ページの「arp flush」38 ページの「arp spoof」

show auditlogユーザ入力に従って監査ログのシステムイベントを表示します。次の情報が表示されます。

• システムイベントの日付と時刻。

• ユーザーログインの詳細 (ログインの成功と失敗、ユーザー名、ホスト IP とポート番号)。

• 実行された CLI コマンドの名前と使用されたパラメータ。

構文:

show auditlog <[2-50] | all>

注:

[2-50] は、近の監査ログイベントの数を表します。このコマンドにはパラメータ値を指定する必要があります。指

定せずに実行すると、無効とみなされます。

出力例:

intruShell@john> show auditlog all

Jan 28 09:51:49 2014:EXEC CMD : disable user - admin

Jan 28 09:52:22 2014:EXEC CMD : show auditlog all user - admin

Jan 28 09:52:35 2014:EXEC CMD : show auditlog 3 user - admin

例:

近発生した 20 件のイベントを表示する場合:show auditlog 20

すべてのイベントを表示する場合:show auditlog all

適用先:


関連トピック: 39 ページの「auditlogupload」101 ページの「show auditlog status」

2 IPS CLI コマンド - 通常モードshow auditlog


show auditlogtomgr statusManager の Sensor で使用可能な監査ログ機能の現在の設定ステータスを表示します。デフォルトでは、このコマン

ドは無効になっています。

構文:

show auditlogtomgr status

出力例:

intruShell@chand-9100-2> show auditlogtomgr status

Audit Logging to Manager : Disabled

適用先:


show auditlog status監査ログ機能が有効かどうかを表示します。

構文:

show auditlog status

出力例:

intruShell@john> show auditlog status

Audit Logging : Enabled

デフォルト値:

enabled

適用先:


関連トピック: 100 ページの「show auditlog」

show autorecovery statusデータパスエラーが発生すると、Sensor はレイヤ 2 モードに入り、自動復元を試行します。データパスエラー時

に、自動復元機能はデータパススレッドを再起動します。トラフィックの中断は発生しません。

自動復元を実行するには、Sensor が正常な状態でレイヤ 2 モードで稼働している必要があります。

復元が成功すると、Sensor はレイヤ 2 モードを終了します。復元に失敗した場合、Sensor はレイヤ 2 モードを継続

します。

構文:

IPS CLI コマンド - 通常モードshow auditlogtomgr status 2


show autorecovery status


autorecovery status コマンドを実行すると、次の情報が表示されます。

状態説明

自動復元有効自動復元のステータス (On または Off)。レイヤ 2 が有効になっていると、このステータスは On になります。

自動復元の試行前回の再起動以降に試行された自動復元の回数

前回の自動復元のステータス

• [Not applicable] - 自動復元は試行されていません。

• [Success] - 自動復元に成功しています。

• [Failure] - 自動復元に失敗しています。

• [In Progress] - 自動復元の実行中です。

前回の自動復元時間自動復元が成功し、Sensor がレイヤ 2 を終了した時間。

適用先:


注意:

• 自動復元がサポートされているのは、M-3050、M-4050、M-6050、M-8000 Sensor だけです。 Sensor モデルの

M-1250、M-1450、M-2850、M-2950 では、自動復元は一部のモジュールでのみサポートされています。

• 仮想 IPS Sensor では自動復元がサポートされます。ただし、仮想 IPS Sensor は復元中、レイヤ 2 に移動できま

せん。このため、すべてのアプリケーションが再起動されて Sensor が正常な状態に戻るまで、トラフィックは

中断されます。

関連トピック: 55 ページの「layer2 mode」

show auxport status補助ポートの設定ステータスを表示します。

構文:show auxport status

出力例:intruShell@john> show auxport status

Aux Port :Enabled


show botnet-alertstatsSensor による高度なボットネット検出に関する統計を表示します。


2 IPS CLI コマンド - 通常モードshow auxport status


構文:

show botnet-alertstats

show botnet-alertstats コマンドでは次の情報が表示されます。

• コールバック検出機能に基づいて検出されたドメイン、IP アドレス、URL の数。

• 検出された DGA ボット数。

• 検出された不審な DGA コマンド & コントロールサーバー数。

• ネットワークから DGA コマンド & コントロールサーバーへの通信数。

• FFSN 検出のためにモニタリングしたアクティビティ数。

• ネットワークから FFSN の flux エージェントへの通信数。

• プロトコルの異常、DNS 応答の失敗など、ヒューリスティックに基づいて検出されたコマンド & コントロールドメイン数。

出力例:

Callback detector matches : 306

DGA Zombie detected : 5

DGA CnC Server Suspects detected : 25

DGA Zombie to CnC Server callbacks detected : 50

Ip Flux botnet activity detected : 30

IP Flux agent callback detected : 60

Other Zero day botnets detected : 25

適用先:


show console timeoutSSH CLI コンソールタイムアウトを分単位で表示します。

構文:show console timeout

出力例:intruShell@john> show console timeout

Console timeout :15 mins


show coppersfpserialnumbers銅線 SFP のあるすべての銅線ポートのシリアル番号を表示します。

IPS CLI コマンド - 通常モードshow console timeout 2



構文:

show coppersfpserialnumbers

適用先:


show dnsprotect保護サーバリスト (PSL) から追加された DNS スプーフィング防御 IP アドレス (IPv4、IPv6 または両方) と DNS 保護

ステータスを表示します。

構文:show dnsprotect <ipv4/ipv6/all>


<ipv4> IPv4 の DNS スプーフィング防御 IP アドレスのリストを指定します。

<ipv6> IPv6 の DNS スプーフィング防御 IP アドレスのリストを指定します。

<all> IPv4 と IPv6 両方の DNS スプーフィング防御 IP アドレスのリストを指定します。

出力例:intruShell@john> show dnsprotect all

[DNS Protection is enabled for inbound connections]

No IPv4 addresses are configured for DNS Protection.

No IPv6 addresses are configured for DNS Protection.

適用先:


show dnsprotectstatDNS 保護統計を表示します。


構文:

show dnsprotectstat

適用先:


2 IPS CLI コマンド - 通常モードshow dnsprotect


show dospreventionprofileSensor の特定のサービス拒否プロファイルの情報を表示します。2 つの引数 (DoS 攻撃の方法、トラフィックの方向)で定義します。このコマンドは、さまざまな基準の DOS 拒否プロファイルも表示します。

構文:

show dospreventionprofile <dos-measure-name> <inbound | outbound>

show dospreventionprofile intfport (1A|1B|2A|2B|3A|3B|4A|4B|5A|5B|6A|6B|7A|7B|8A|8B|9A|9B|10A|10B|11A|11B|12A|12B|13A|13B|14A|14B) (tcp-syn|tcp-syn-ack|tcp-fin|tcp-rst|udp|icmp-echo|icmp-echo-reply|icmp-non-echo-echoreply|ip-fragment|non-tcp-udp-icmp)(inbound|outbound)

M シリーズ Sensor の場合、[]show dospreventionprofile[] コマンドは XC クラスタの Sensor でのみサポートさ

れます。


<intfport> indicates the interface port



例:

show dospreventionprofile tcp-syn inbound

show dospreventionprofile コマンドでは以下の情報が表示されます。

• Sensor の DoS プロファイル

• プロファイルにより保護されたトラフィックの方向

例:

intruShell> show dosPreventionProfile tcp-syn inbound

注:

• パケットの種類: TCP-SYN IN (0)、プロファイルステージ: 学習中 (0)

• long-term average rate=0.000(pkts/s)、last_rate=0.000(pkts/s) 進行中の攻撃はなし

• 各行: bin_index、IP_prefix/prefix_len、AS、LT、ST、ltR(ate)、stR(ate)

• AS(%) -- この bin が使用する IP アドレス空間の比率

• LT(%) -- この bin に該当する長期間トラフィックの比率

• ST(%) -- この bin に該当する短期間トラフィックの比率

• ltRate -- この bin の長期間トラフィックの平均レート (pkts/s)

• stRate -- この bin の短期間トラフィックの平均レート (pkts/s)

• 0: 0.0.0.0/2 AS=25.000% LT=25.000% ST=25.00% ltR=0.000 stR=0.000

IPS CLI コマンド - 通常モードshow dospreventionprofile 2


• 1: 128.0.0.0/2 AS=25.000% LT=25.000% ST=25.00% ltR=0.000 stR=0.000

• 2: 64.0.0.0/2 AS=25.000% LT=25.000% ST=25.00% ltR=0.000 stR=0.000

例:

show dospreventionprofile intfport 1A tcp-syn inbound

適用先:

M シリーズ Sensor。

関連トピック: 68 ページの「set dospreventionseverity」106 ページの「show dospreventionseverity」

show dospreventionseverity指定した DoS プロファイルの重大度を表示します。このコマンドは、さまざまな基準の DOS 拒否重大度情報も表示

します。

構文:show dosPreventionseverity<dos-measure-name><inbound | outbound>




show dospreventionseverity intfport (1A|1B|2A|2B|3A|3B|4A|4B|5A|5B|6A|6B|7A|7B|8A|8B|9A|9B|10A|10B|11A|11B|12A|12B|13A|13B|14A|14B) (tcp-syn|tcp-syn-ack|tcp-fin|tcp-rst|udp|icmp-echo|icmp-echo-reply|icmp-non-echo-echoreply|ip-fragment|non-tcp-udp-icmp)(inbound|outbound)

出力例:intruShell@Sensor-6050> show dospreventionseverity tcp-syn-ack outbound

DOS Prevention Severity for tcp-syn-ack outbound is 30

例:show dospreventionSeverity tcp-syn-ack outbound

適用先:M-3050、M-4050、M-6050、M-8000、M-4030、M-6030、M-8030、および NS シリーズ Sensor。

関連トピック: 68 ページの「set dospreventionseverity」105 ページの「show dospreventionprofile」

show dpimonitor statusデバイスのデータパス攻撃検出のモニタリングステータスを表示します。

2 IPS CLI コマンド - 通常モードshow dospreventionseverity


構文:

show dpimonitor status

出力例:

intruShell@chand-9100-2> show dpimonitor status

Datapath attack detection monitoring disabled

適用先:


関連トピック: 70 ページの「set dpimonitor」

show dpimonitor-action statusデータパス攻撃検出のモニタリングアクションが適用されているかどうかを表示します。

構文:

show dpimonitor-action status

出力例:

intruShell@chand-9100-2> show dpimonitor-action status

Monitor action ignored for dpi attack detection

適用先:


関連トピック: 70 ページの「set dpimonitor-action」

show dxl statusデバイスの Data Exchange Layer のステータスを表示します。

出力例

Configuration Status : Enabled

Status : Running

Version : 1.0.0.1070

Connection Status : Connected

Certificate Status : Present

McAfee Agent

Mode : Managed

IPS CLI コマンド - 通常モードshow dpimonitor-action status 2


Status : Running

Version : 5.0.0.2710

Wakeup Port : 0

McAfee ePO

IP|Name : 10.213.169.206 | Business Unit-EPO

McAfee ePO activity time : 2014-11-13 09:39:10

適用先:

NS シリーズおよび仮想 IPS Sensor。

show eventlogログに記録された Sensor イベントを表示します。

構文:

show eventlog <2-50 | all>

出力例:intruShell@john> show eventlog 2

Sep 27 10:16:05 2013: %LINK-STATUS:Interface port 5A changed state to DOWN

Sep 27 10:16:05 2013: %LINK-STATUS:Interface port 5B changed state to DOWN

適用先:


showfailopencfg現在のフェールオープン設定を表示します。

構文:showfailopencfg

出力例:intruShell@john> showfailopencfg

External Passive Failopen Configuration : INLINE

Periodically Restore Inline-Failopen : DISABLED

Restore Inline-Failopen interval : 5 minutes

適用先:


2 IPS CLI コマンド - 通常モードshow eventlog


show failover-statusSensor でフェールオーバーが有効かどうか、ピア Sensor のステータス、ピア STP の転送、Sensor のフェールオー

プンアクションを表示します。

構文:

show failover-status

show failover-status コマンドでは次の情報が表示されます。

• Failover Enabled: 次の結果を戻します。

• YES: フェールオーバーが有効な場合

• NO: フェールオーバーが無効な場合

• UNKNOWN: 明示的に設定されていない場合

• Peer Status: フェールオーバーが有効かどうか、ピア Sensor が起動しているかどうかを表示します。

• Forward Peer STP: フェールオーバーモードの forward-peer-stp が有効に設定されているかどうかを表示しま

す。

Forward STP は、Sensor が M-3050、M-4050、M-6050、M-8000 の場合にのみ有効にできます。

• Fail-open Action: フェールオープンのモニタリングポートが有効かどうかを表示します。

フェールオーバーペアでフェールオープンを有効にすると、プライマリ Sensor とセカンダリ Sensor の両方で同

じモニタリングポートのフェールオープンが有効になります。

適用先:


show flows現在のトラフィックに存在するフローの数を表示します。


構文:

show flows

show flows コマンドでは次の情報が表示されます。

• TCB の総数 • 作成された TCP フローの合計

• 空き TCB の合計 • 中止された TCP ハンドシェイクの合計

• アクティブ TCP フローの合計 • syn cookie のインバウンドステータス

• 待機中の TCP フローの合計 • syn cookie のアウトバウンドステータス

• アクティブ UDP フローの合計 • syn cookie のプロキシ接続の合計

• SYN 状態のフローの総数 • dequote フロー数の合計

出力例:

IPS CLI コマンド - 通常モードshow failover-status 2


intruShell@john> show flows

Total TCBs = 88612

Total free TCBs = 88609

Total active TCP flows = 3

Total TCP flows in timewait = 0

Total active UDP flows = 20

Total flows in SYN state = 1

Total TCP flows created = 15944

Total abandoned TCP handshakes = 302

syncookie inbound status = Inactive

syncookie outbound status = Inactive

Total syn cookie proxy connections = 0

Total dequote flows count = 20

適用先:


show flowvolumelimit configこのコマンドは、フロー量の制限の設定を表示します。

構文:

show flowvolumelimit config

出力例:

intruShell@john> show flowvolumelimit config

flow volume threshold is 40MB.

適用先:


show gam engine stats

構文


出力例

Local GAM Engine Statistics:

2 IPS CLI コマンド - 通常モードshow flowvolumelimit config


----------------------------

Engine Status: Initialized

Gateway Anti-Malware Engine Version: 7001.1403.1968

Gateway Anti-Malware DAT Version: 3186

Anti-Malware Engine Version: 5600

Anti-virus DAT Version: 7612

Last Update time: 11/5/2014 - 8:16:49 UTC

Last Successful Update time: 11/5/2014 - 8:16:49 UTC

Total number of Scan Threads: 5

Total Full update success count: 0

Total Full update failure count: 0

Total Incr update success count: 0

Total Incr update failure count: 0

Total NSM Full update success count: 0

Total NSM Full update failure count: 0

Total config issue update failure count: 0

(config issue - Trust/DNS/Proxy config issues)

適用先:


show gigfailopendelayGigabit Fail-Open Kit がインストールされた Sensor でフェールオープン動作が有効になるまでの現在の遅延が表示

されます。


構文:

show gigfailopendelay

出力例:

intruShell@john> show gigfailopendelay

Failopen delay : 600 seconds

適用先:


関連トピック: 72 ページの「set gigfailopendelay」

IPS CLI コマンド - 通常モードshow gigfailopendelay 2


show gti configGTI サーバー設定情報を表示します。


構文:

show gti config

出力例:

Primary Nameserver IP : 10.1.1.1

Secondary Nameserver IP :

Timeout : 6 secs

[File reputation configuration]

GTI server IP : 10.1.1.1

[IP reputation configuration]

GTI proxy is disabled

適用先:


show gti stats ipGTI サーバーに送信された IP の統計情報を表示します。


構文:

show gti stats ip

出力例:

GTI server connection status is ok

[GTI Query Statistics]

Query sent count :0

Query received count :0

適用先:

M シリーズ、NS シリーズ、および VM IPS Sensor。

show inactiveuserslock status管理ユーザ以外の非アクティブな CLI ユーザをロックする設定ステータスを表示します。

構文:

2 IPS CLI コマンド - 通常モードshow gti config


show inactiveuserslock status

出力例:

intruShell@john> show inactiveuserslock status

Inactive Users Locking :Disabled

適用先:


show inlinepktdropstatインラインモードでドロップされたパケットの総数が表示されます。

構文:show inlinepktdropstat <port>

パラメータ

説明

<port> 統計を表示するポートを設定します。


• NS シリーズの有効なポート番号は次のとおりです。G0/1 | G0/2 | G1/1 | G1/2 | G1/3 | G1/4 |G1/5 | G1/6 | G1/7 | G1/8 | G1/9 | G1/10 | G1/11 | G1/12 | G2/1 | G2/2 | G2/3 | G2/4 | G2/5 |G2/6 | G2/7 | G2/8 | G2/9 | G2/10 | G2/11 | G2/12 | G3/1 | G3/2 | G3/3 | G3/4 | G3/5 | G3/6 |G3/7 | G3/8 | all

統計を表示するポートを表す単一の引数を使用します。

show inlinepktdropstat コマンドで表示される情報には、次の各カテゴリの数が含まれます。

• IP チェックサムエラー

• TCP チェックサムエラー

• UDP チェックサムエラー

• ICMP チェックサムエラー

• ACL 関連のドロップされたパケット

• 文脈がない、または不正なためドロップされたパケット

• Sensor のコールドスタートに関連するドロップされたパケット

• Off/HdrLen エラーでドロップされたパケット

• ドロップされた攻撃パケット (ブロックされたパケットなど)

• 再アセンブルでタイムアウトしたためドロップされた IP パケット

• 順序が正しくないためタイムアウトしてドロップされた TCP パケット

• TCP プロトコルエラーでドロップされたパケット

• UDP プロトコルエラーでドロップされたパケット

IPS CLI コマンド - 通常モードshow inlinepktdropstat 2


• ICMP プロトコルエラーでドロップされたパケット

• IP プロトコルエラーでドロップされたパケット

• Sensor のリソース不足でドロップされたパケット

• CRC エラーでドロップされたパケット

• IP スプーフィングでドロップされたパケット

• ICMPv6 チェックサムエラードロップカウント

• IPv6 再アセンブルのタイムアウトドロップカウント

• ICMPv6 プロトコルエラードロップカウント

• IPv6 プロトコルエラードロップカウント

• ホスト隔離 IPv4 パケットドロップカウント

• ホスト隔離 IPv6 パケットドロップカウント

• その他のレイヤ 2 エラーでドロップされたパケット

• IP 健全性チェックでドロップされたパケット

• IPv6 健全性チェックでドロップされたパケット

• 合計 IP 番号クレジットパケットがドロップされました

• 合計インライン転送がドロップされました (該当するポートがすべて選択されている場合にのみ利用可能、次のコ

マンドが実行されます: show inlinepktdropstat all )

出力例:intruShell@john> show inlinepktdropstat 5B

IP Checksum Error Drop Count : 0

TCP Checksum Error Drop Count : 0

UDP Checksum Error Drop Count : 0

ICMP Checksum Error Drop Count : 0

ICMPv6 Checksum Error Drop Count : 0

ACL Drop Count : 0

Out-Of-Context/Bad Packet Drop Count : 0

Cold Start Drop Count : 0

Off/HdrLen Error Drop Count : 0

Attack Packet Drop Count : 0

IP Reassembly Timeout Drop Count : 0

IPv6 Reassembly Timeout Drop Count : 0

TCP Out-Of-Order Timeout Drop Count : 0

TCP Protocol Error Drop Count : 0

2 IPS CLI コマンド - 通常モードshow inlinepktdropstat


UDP Protocol Error Drop Count : 0

ICMP Protocol Error Drop Count : 0

ICMPv6 Protocol Error Drop Count : 0

IP Protocol Error Drop Count : 0

IPv6 Protocol Error Drop Count : 0

System Out-of-Resource Drop Count : 0

Host Quarantine IPv4 Packet Drop Count : 0

Host Quarantine IPv6 Packet Drop Count : 0

Conn Limiting Packet Drop Count : 0

DoS Attack Packets Dropped : 0

Stateless ACL Drop Count : 0

Total CRC Error Packets Dropped : 0

Total Other Layer-2 Error Packets Dropped : 0

Total IP Spoofed Packets dropped : 0

Total IP No Credit Packets dropped : 0

例:show inlinepktdropstat 2A


show ingress-egress statこのコマンドは、仮想セキュリティシステムインスタンスにのみ適用されます。つまり、Intel® Security Controllerとの統合により、ハイパーバイザーにインストールされたセキュリティアプライアンスにのみ適用されます。

仮想セキュリティシステムインスタンスでは、show intfport コマンドを使用できません。代わりに、showingress-egress stat を使用して、仮想セキュリティシステムインスタンスが受信、転送、ドロップしたパケッ

トの数を確認します。

構文: show ingress-egress stat


出力例:

Total Packets Received

Total Packets Sent

Total Packets Dropped

適用先:

仮想セキュリティシステムインスタンス。

IPS CLI コマンド - 通常モードshow ingress-egress stat 2


show intfport指定した Sensor のポートのステータスを表示します。存在しないポートを指定するとエラーが発生します。コマ

ンドを入力する場合には、先頭の文字は大文字にしてください。たとえば、1a は無効なコマンドになります。

構文:

show intfport <port>

パラメータ

説明

<port> ステータスを表示するポートを設定します。

• M シリーズの有効なポート番号は次のとおりです。1A | 1B | 2A | 2B | 3A | 3B| 4A | 4B | 5A | 5B| 6A | 6B | 7A | 7B | 8A | 8B | WORD | all

• NS シリーズの有効なポート番号は次のとおりです。G0/1 | G0/2 | G1/1 | G1/2 | G1/3 | G1/4 |G1/5 | G1/6 | G1/7 | G1/8 | G1/9 | G1/10 | G1/11 | G1/12 | G2/1 | G2/2 | G2/3 | G2/4 | G2/5 |G2/6 | G2/7 | G2/8 | G2/9 | G2/10 | G2/11 | G2/12 | G3/1 | G3/2 | G3/3 | G3/4 | G3/5 | G3/6 |G3/7 | G3/8 | WORD | all

show intfport コマンドでは以下の情報が表示されます。

• ポートの管理ステータス (有効または無効) • ピアポートがネゴシエートする二重モードと速

度

• Sensor の動作ステータス • オートネゴシエーションの設定

• Sensor の動作モード • 受信したパケットの総数

• 全二重モードの有効/無効 • 送信したパケットの総数

• ポートのトラフィックの方向 (内部または外部) • 受信した CRC エラーの総数

• 10/100 ポートの速度 (設定されている場合) • 送信した CRC エラーの総数

• Gigabit ポートの速度 (設定されている場合) • フロー制御のオン/オフ (Sensor Gigabit ポートの

場合のみ)

• ピアポートのサポートリンクモード

2 IPS CLI コマンド - 通常モードshow intfport


出力例:


intruShell@john> show intfport 2A

Displaying port 2A

Administrative Status :ENABLED

Operational Status :UP

Operating Mode :INLINE_FAIL_CLOSED

Duplex :FULL

Port Connected to :OUTSIDE

Port Speed :1 GBPS-AUTONEG

Peer port

supported link modes :

10baseT/Half 10baseT/Full



Actual negotiated Duplex:FULL

Actual negotiated Speed :1 GBPS

Additional Porttype Info:

Total Packets Received :403

Total Packets Sent :24130

Total CRC Errors Rcvd :0

Total Other Errors Rcvd :0

Total CRC Errors Sent :0

Total Other Errors Sent :0

Flow Control Status :OFF

• NTBA の出力例を以下に示します。

ntbaSensor@NTBA_210> show intfport 1

Administrative status :Enabled

Link status :Up

Port speed :Auto, 1000 Mbps

Duplex :Auto, Full

Total packets received :27416335

Total packets sent :291

IPS CLI コマンド - 通常モードshow intfport 2


Total CRC errors received :0

Total other errors received :0

Total CRC errors sent :0

Total other errors sent :0

IP Address :17.68.26.27

MAC Address :00:1B:21:44:77:48

Mapped to ethernet port : eth2

適用先: M シリーズ、NS シリーズ、仮想 IPS Sensor、および NTBA Appliance。このコマンドは、仮想セキュリティ

システムインスタンスには適用されません。代わりに、show ingress-egress stat コマンドを使用します。

show l2f-unknown-udp status未知の UDP トラフィック転送のステータスが表示されます。

構文:show l2f-unknown-udp status

出力例:intruShell@john> show l2f-unknown-udp status

Layer 2 forward unknown UDP : enabled

適用先:


show l7ae statusレイヤ 7 アプリケーション分析設定を表示します。

構文:show l7ae status

出力例:intruShell@john> show l7ae status

IS Attack Detection status:Good


show l7ddosstatさまざまなレイヤー 7 の DDOS 関連統計を表示します。

構文

show l7ddosstat

2 IPS CLI コマンド - 通常モードshow l2f-unknown-udp status


出力例

IntruDbg#> show l7ddosstat

[L7 DDOS Stats]

L7ddos active http connections :10000

L7ddos Drop Count :1426

L7ddos Slow Connections closed :0

L7ddos Challenge Sent Count :2

L7ddos Challenge Valid Count :1

L7ddos Challenge Failed Count :0

適用先:


show layer2 forwardレイヤ 2 転送が有効になっている TCP ポート、UDP ポート VLAN ID を表示します。

構文:show layer2 forward <all|tcp|udp|vlan>


<all> レイヤ 2 転送が有効になっているすべてのポート番号 (TCP、UDP) と VLAN ID を表示します。

<tcp> レイヤ 2 転送が有効になっているすべての TCP ポート番号を表示します。

<udp> レイヤ 2 転送が有効になっているすべての UDP ポート番号を表示します。

<vlan> レイヤ 2 転送が有効になっているすべての VLAN ID ポート番号を表示します。

出力例:intruShell@john> show layer2 forward all

TCP ports: 50

UDP ports:

VLAN Ids:

All :

1A-1B :

2A-2B :

3A-3B :

4A-4B :

5A-5B :

6A-6B :

IPS CLI コマンド - 通常モードshow layer2 forward 2


7A-7B :

8A-8B :

9A-9B :

10A-10B :

例:以下の例では、show layer2 forward コマンドで、レイヤ 2 転送が有効になっているすべてのポート番号 (TCP、UDP) と VLAN ID を表示しています。


このコマンドは、M-1250/M-1450 Sensor に使用できません。

show layer2 forward intfport設定済みのスキャン例外ルールのレイヤ 2 転送統計を表示します。

構文:show layer2 forward intfport <port>

パラメータ

説明



• NS シリーズの有効なポート番号は次のとおりです。G0/1 | G0/2 | G1/1 | G1/2 | G1/3 | G1/4 |G1/5 | G1/6 | G1/7 | G1/8 | G1/9 | G1/10 | G1/11 | G1/12 | G2/1 | G2/2 | G2/3 | G2/4 | G2/5 |G2/6 | G2/7 | G2/8 | G2/9 | G2/10 | G2/11 | G2/12 | G3/1 | G3/2 | G3/3 | G3/4 | G3/5 | G3/6 |G3/7 | G3/8 | all

出力例:intruShell@john> show layer2 forward intfport 2A

Layer2 forward packets :0


show layer2 modeレイヤ 2 パススルー機能の設定をすべて表示します。これらの設定は、Manager のユーザインターフェースで設定

されますが、いくつかの設定は CLI から設定されます。レイヤ 2 パススルーは Manager ユーザインターフェース内

で設定されます。


構文:

show layer2 mode

2 IPS CLI コマンド - 通常モードshow layer2 forward intfport


show layer2 モードコマンドでは以下の情報が表示されます。

• レイヤ 2 パススルー機能のステータス (オンまたはオフ)

• 設定されている期間

• 設定されているしきい値

• 以前の期間に発生した回数

出力例:

intruShell@john> show layer2 mode

Mode : on

Duration : 10 minutes

Threshold : 1

Occurrences : 0

適用先:


関連トピック: 55 ページの「layer2 mode」

show malwareenginestatsマルウェアエンジンの統計を表示します。

このコマンドにパラメーターはありません。

構文:show malwareenginestats

出力例:intruShell@ns9100doc> show malwareenginestats

MALWARE STATISTICS FOR PDF_JS EMULATOR ENGINE:

--------------------------------------------------

Number of files sent: 3

Number of response received: 1

Number of files ignored: 0

Number of files with malware score Clean: 2

Number of alerts with malware score Very Low: 0

Number of alerts with malware score Low: 0

Number of alerts with malware score Medium: 0

Number of alerts with malware score High: 1

IPS CLI コマンド - 通常モードshow malwareenginestats 2


Number of alerts with malware score Very High: 0

Total number of alerts sent: 0

Total number of attacks blocked: 1

Total number of TCP resets sent: 1

MALWARE STATISTICS FOR FLASH ENGINE:

--------------------------------------------------













MALWARE STATISTICS FOR Mobile Cloud ENGINE:

--------------------------------------------------













MALWARE STATISTICS FOR Gateway Anti-Malware ENGINE:

2 IPS CLI コマンド - 通常モードshow malwareenginestats


--------------------------------------------------













MALWARE STATISTICS FOR GTI FILE Reputation ENGINE:

--------------------------------------------------










Number of alerts with malware score Unknown: 0




MALWARE STATISTICS FOR FILE SAVE ENGINE:

--------------------------------------------------




IPS CLI コマンド - 通常モードshow malwareenginestats 2


MALWARE STATISTICS FOR BLACKLIST ENGINE:

--------------------------------------------------







Total number of TCP resets: 0

MALWARE STATISTICS FOR MCAFEE CLOUD ENGINE:

--------------------------------------------------

Files Submitted: 2

Number of files submitted successfully to NSM: 1

MALWARE STATISTICS FOR Advanced Threat Detection ENGINE:

--------------------------------------------------












適用先:

M シリーズおよび NS シリーズ Sensor。 MALWARE STATISTICS FOR MCAFEE CLOUD ENGINE セクションは、

8.2.5 以降のバージョンを実行している NS シリーズ Sensor にのみ適用されます。

show malwarefilestatsマルウェアファイルの統計を表示します。

このコマンドにパラメーターはありません。

2 IPS CLI コマンド - 通常モードshow malwarefilestats


構文:show malwarefilestats

出力例:intruShell@john> show malwarefilestats

MALWARE STATISTICS FOR PE (EXE,DLL,SYS,COM,etc.) Files:


Number of response Received: 2


MALWARE STATISTICS FOR MS Office Files:

------------------------------------------------------------




MALWARE STATISTICS FOR PDF Files:

------------------------------------------------------------




MALWARE STATISTICS FOR Compressed (Zip,RAR) Files:

------------------------------------------------------------




MALWARE STATISTICS FOR APK Files:

------------------------------------------------------------




MALWARE STATISTICS FOR JAR Files:

------------------------------------------------------------




MALWARE STATISTICS FOR Flash Files:

IPS CLI コマンド - 通常モードshow malwarefilestats 2


------------------------------------------------------------




適用先:


show mem-usageこのコマンドはデバイスのシステムメモリの使用量の詳細を表示します。


構文:

show mem-usage

また、show mem-usage コマンドにより、すべての処理要素上にあるこれらのエンティティの平均使用率 (Avg.) と大使用率 (Max.) を取得できます。

L7Dcap カウンターの説明は次のとおりです。

• Avg. Used L7 Dcap Alert Buffers across all PEs - Sensor のすべての処理エンジンのバッファ総数

のうち L7Dcap バッファの使用が占める平均割合

• Max. Used L7 Dcap Alert Buffers on a single PE - 単一の処理エンジンが管理する大バッファ数

のうち L7Dcap バッファの使用が占める割合

• Avg. Used L7 Dcap flows across all PEs - Sensor のすべての処理エンジンに対して Manager で設定

されている値のうち L7Dcap フローの使用が占める平均割合

• Max. Used L7 Dcap flows on a single PE - 単一の処理エンジンが管理する大値のうち L7Dcap フロ

ーの使用が占める割合

2 IPS CLI コマンド - 通常モードshow mem-usage


出力例:


Avg. Used TCP and UDP Flows across all PEs : 0%

Max. Used TCP and UDP Flows on a single PE : 0%

Avg. Used Fragmented IP Flows across all PEs : 0%

Max. Used Fragmented IP Flows on a single PE : 0%

Avg. Used ICMP Flows across all PEs : 0%

Max. Used ICMP Flows on a single PE : 0%

Avg. Used SSL Flows across all PEs : 0%

Max. Used SSL Flows on a single PE : 0%

Avg. Used Fragment Reassembly Buffers across all PEs : 0%

Max. Used Fragment Reassembly Buffers on a single PE : 0%

Avg. Used Packet Buffers across all PEs : 0%

Max. Used Packet Buffers on a single PE : 0%

Avg. Used Attack Marker Nodes across all PEs : 0%

Max. Used Attack Marker Nodes on a single PE : 0%

Avg. Used Shell Marker Nodes across all PEs : 0%

Max. Used Shell Marker Nodes on a single PE : 0%

Avg. Used L7 Dcap Alert Buffers across all PEs : 0%

Max. Used L7 Dcap Alert Buffers on a single PE : 0%

Avg. Used L7 Dcap flows across all PEs : 0%

Max. Used L7 Dcap flows on a single PE : 0%

Avg Attacks received across all PEs : 0%


ntbaSensor@vNTBA> show mem-usage

total used free shared buffers cached

Mem: 12046 727 11319 0 18 476

Swap: 11727 0 11727

Total: 23774 727 23047

適用先:


IPS CLI コマンド - 通常モードshow mem-usage 2


show mgmtportSensor のマネジメントポートの現在の設定をすべて表示します。


構文:

show mgmtport

show mgmtport コマンドでは以下の情報が表示されます。

• Sensor のマネジメントポートの値 (1000Mbps、100Mbps、10Mbps またはオートネゴシエーション)

• Sensor のマネジメントポートリンクのステータス (2 つのデバイスに決められた速度。通常、も高速な設定に

します)

• 決められたモード

• リンクのステータス

• マネジメントポートの機能 (1000baseTx-FD、100baseTx-FD、100baseTx-HD、10base-T-FD、10base-T-HD のいずれか)

• マネジメントポートがアドバタイズする機能 (1000baseTx-FD、100baseTx-FD、100baseTx-HD、10base-T-FD、

10base-T-HD のいずれか)

• リンク先の特性 (1000baseTx-FD、100baseTx-FD、100baseTx-HD、10base-T-FD、10base-T-HD のいずれか)

2 IPS CLI コマンド - 通常モードshow mgmtport


出力例:


intruShell@john> show mgmtport


Settings for MGMT port :

Supported link modes:10baseT/Half 10baseT/Full



Advertised link modes:10baseT/Half 10baseT/Full



Advertised auto-negotiation:Yes

Speed:100Mb/s

Duplex:Full

Auto-negotiation: on

Wake-on: d

Link detected: yes

eth0 Link encap:Ethernet HWaddr 00:06:92:2B:69:40

inet addr:10.213.174.202 Bcast:10.213.174.255 Mask:255.255.255.0

inet6 addr: fe80::206:92ff:fe2b:6940/64 Scope:Link

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:3072499 errors:0 dropped:0 overruns:0 frame:0

TX packets:333882 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:255473849 (243.6 Mb) TX bytes:38758684 (36.9 Mb)

Interrupt:24


ntbaSensor@NTBA_210> show mgmtport

Link status :Up


Duplex :Auto, Full



IPS CLI コマンド - 通常モードshow mgmtport 2






IP Address :10.213.171.210

MAC Address :00:24:E8:46:46:D6


適用可能:


関連トピック: 78 ページの「set mgmtport auto」79 ページの「set mgmtport speed and duplex」

show mnsconfigモバイルネットワークセキュリティ（有効または無効）が表示されます。

構文

show mnsconfig

出力例

intruShell@Sensor-6050> show mnsconfig

Mobile network security status :Disabled

Radius Load balancing config :Disabled

適用先:


show netstatマネジメントポートの netstat 出力を表示します。


構文:

show netstat

2 IPS CLI コマンド - 通常モードshow mnsconfig


出力例:


図 2-1 Sensor の show netstat コマンド出力


図 2-2 NTBA の show netstat コマンド出力

IPS CLI コマンド - 通常モードshow netstat 2


適用先:


show nmsuserwriteaccess statusSNMP 制限付き読み取り/書き込みアクセスの現在のステータス (有効または無効) を表示します。

構文:show nmsuserwriteaccess status

出力例:intruShell@john> show nmsuserwriteaccess status

NMS User Write Access Status : Enabled

適用先:


show outofcontext acllookupこのコマンドは、順序の正しくないパケットに対する ACL 参照が有効になっているかどうかを表示します。

構文:

show outofcontext acllookup

出力例:

intruDB > show outofcontext acllookup

OOC Acl Lookup Status : Disabled

適用先:


show parsetunneledtraffic statusデフォルトでは、I シリーズの Sensor によるトンネルトラフィックの解析が有効になっています。ただし、Sensorソフトウェアを 5.1.5.x にアップグレードすると、トンネリングが無効になります。Sensor のトンネル構成の現在の

ステータスを確認するには、show parsetunneledtraffic status CLI コマンドを使用します。


Sensor のトンネル構成を有効または無効にするには、set parsetunneledtraffic コマンドを使用します。詳細

については、『McAfee Network Security Platform IPS Administration Guide』 (IPS 管理ガイド) を参照してくださ

い。

構文:

show parsetunneledtraffic status

2 IPS CLI コマンド - 通常モードshow nmsuserwriteaccess status


出力例:

intruShell@john> show parsetunneledtraffic status

Tunneling Status : Enabled

適用先:

M シリーズ、NS シリーズ、および仮想 IPS Sensor。仮想セキュリティシステムインスタンスの場合、このコマン

ドはデバッグモードで使用できます。

show pktcapture statusパケット収集ステータスと設定を表示します。

構文:show pktcapture status

出力例:IntruDbg#> show pktcapture status

Packet Capture Status :Not Running

Packet Capture Mode :PORT

Packet Capture Port Number :Not Configured

Packet Capture Rule Set File Status :Not Present

Total Packet Capture Count :0

Packet Capture Duration remaining :0 Sec


show pluggable‑moduleシャーシフロントパネル内の特定のスロットに挿入されたプラグ脱着可能なモジュールのステータスを表示しま

す。

構文:

show pluggable-module (g1|g2|g5|g6|all)

出力例:

intruShell@NS9300-Bohol2> show pluggable-module g2

[Port Module G2 ]

Module System Type :8-port SFP+

Supported Speeds :10Gbps/1Gbps

Module Status :Active

Total Ports :8

IPS CLI コマンド - 通常モードshow pktcapture status 2


Applicable to:

NS-series Sensors only.

show portsettletimeportsettletime の設定を表示します。


構文:

show portsettletime

出力例:

intruShell@john> show portsettletime

Port settle delay : 30 seconds

適用先:


関連トピック: 81 ページの「set portsettletime」

show powersupplySensor の電源情報を表示します。

構文:show powersupply

出力例:intruShell@john> show powersupply

Power Supply (A) :Present

Power Supply (B) :Absent


show previous256byteslogging status攻撃前の 256 バイトのロギングの状態 (有効または無効) を表示します。

構文

show previous256byteslogging status

出力例

intruShell@Sensor-6050> show previous256byteslogging status

2 IPS CLI コマンド - 通常モードshow portsettletime


Logging of previous 256bytes is disabled.

適用先:


show raid statusRAID1 モードで動作している McAfee Network Security Platform の両方の SSD の動作ステータスを表示します。

RAID は NS7x00、NS5x00、NS3x00 Sensor ではサポートされません。

構文:

show raid status

出力例:

intruShell@NS9300-Bohol2> show raid status

SSD 0 STATUS : good

SSD 1 STATUS : good

NS9300 Secondary SSD 0 STATUS : good

NS9300 Secondary SSD 1 STATUS : good

適用先:

NS シリーズ (NS9300、NS9200、NS9100) Sensor のみ

show rescueimages現在内部フラッシュデバイスにアーカイブされている大 5 つの Sensor イメージのリストのバージョン番号を表

示します。

構文:

show rescueimages

出力例:

intruShell@NS9300-Bohol2> show rescueimages

NS9300P

NS9300S

適用先:


IPS CLI コマンド - 通常モードshow raid status 2


show respport r1Sensor のレスポンスポートの現在の設定をすべて表示します。


構文:

show respport r1

次の情報が表示されます。

• Sensor のレスポンスポートの値 (1000Mbps、100Mbps、10Mbps またはオートネゴシエーション)

• Sensor のレスポンスポートリンクのステータス (2 つのデバイスに決められた速度。通常、共通の速度のうち

も高速な設定にします)



• レスポンスポートの統計

出力例:

intruShell@john> show respport r1

Response Ethernet port : auto negotiated


Supported link modes: 100baseT/Full

1000baseT/Full

10000baseT/Full

Advertised link modes: 100baseT/Full

1000baseT/Full

10000baseT/Full

Advertised pause frame use: No

Advertised auto-negotiation: Yes

Speed: Unknown!

Duplex: Unknown! (255)


Link detected: no

eth1 Link encap:Ethernet HWaddr 00:1E:67:58:9E:3F

UP BROADCAST MULTICAST MTU:1500 Metric:1




2 IPS CLI コマンド - 通常モードshow respport r1


RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

Response Port Statistics

Total Packets Sent : 0

適用先:


show savedalertinfoManager と Sensor 間の接続が中断された場合、Sensor はアラートデータを内部に保存します。このデータは、接

続が再確立されると Manager に送信され、内部の情報は削除されます。このコマンドにより、Sensor 内に保存され

たアラートとパケットログの数が表示されます。

show savedalertinfo コマンドでは以下の情報が表示されます。

• 保存されたアラートのファイルの有無 (Sensor と Manager 間の接続が確立されている場合、ファイルは存在しま

せん)

• 保存されたアラートの数とサイズ

• 保存されたパケットログのファイルの有無

• 保存されたパケットログの数とサイズ


構文:

show savedalertinfo

出力例:

intruShell@john> show savedalertinfo

Saved Alert Status : Alerts = 456, Size = 81168

Saved Packet Status : No Saved File

適用先:


show savedimages現在 SSD にアーカイブされている大 10 の Sensor イメージのリストのバージョン番号を表示します。

構文:

show savedimages

適用先:


IPS CLI コマンド - 通常モードshow savedalertinfo 2


出力例:

intruShell@NS9300-Bohol2> show savedimages

NS9300P

7.1.44.227

7.1.44.231

7.1.44.232

7.1.44.234

7.1.5.30

7.1.5.32

7.1.5.33

7.1.5.38

7.1.5.39

7.1.5.40

NS9300S

7.1.44.190

7.1.44.227

7.1.44.231

7.1.44.232

7.1.44.234

7.1.5.32

7.1.5.33

7.1.5.38

7.1.5.39

7.1.5.40

show sensordroppktevent statusSensor が過負荷状態になり、大量のパケットをドロップしたときに Manager がシステム障害を生成するかどうかを

表示します。


構文:

show sensordroppktevent status

適用先:


2 IPS CLI コマンド - 通常モードshow sensordroppktevent status


仮想セキュリティシステムインスタンスの場合、このコマンドはデバッグモードで使用できます。

関連トピック: 66 ページの「sensordroppktevent」

show sensor-loadshow sensor-load コマンドは次の情報を表示します。

• すべての処理要素上に表示される負荷 (トラフィック) の平均値

• すべての処理要素上に表示される負荷 (トラフィック) の大値

構文:

show sensor-load

出力例:


• Sensor-load が有効になっている場合

intruShell@john> show sensor-load

Average load across all PEs : 0% (approx.)

Maximum load on a single PE : 0% (approx.)

• Sensor-load が無効になっている場合

CPU usage tracking is currently disabled. It can be enabled on the Advanced DeviceSettings page of the Manager GUI.

適用先:


show sessionlimit timeoutこのコマンドは、set sessionlimit timeout コマンドを使用して以前設定されたセッション制限タイムアウト

を表示するために使用されます。

構文:show sessionlimit timeout

出力例:intruShell@john> show sessionlimit timeout

sessionlimit timeout : 2hours

適用先:


IPS CLI コマンド - 通常モードshow sensor-load 2


show sshaccesscontrol statusSSH アクセスコントロール設定ステータスと設定を表示します。

構文:show sshaccesscontrol status

出力例:intruShell@john> show sshaccesscontrol status

[SSH AccessControl is Disabled]

[SSH Accesscontrol Network list]

Network : any/any

適用先:


show sshinactivetimeoutCLI SSH セッションの非アクティブのタイムアウトを表示します。

構文:show sshinactivetimeout

出力例:intruShell@john> show sshinactivetimeout

SSH inactive timeout :300 sec

適用先:


show sshlog status現在の SSH ロギングのステータスを表示します。

構文:show sshlog status

出力例:intruShell@john> show sshlog status

SSH Logging : Enabled

適用先:


show ssl statsSensor の SSL 復号化の統計を表示します。このコマンドにパラメータはありません。

2 IPS CLI コマンド - 通常モードshow sshaccesscontrol status


show ssl stats コマンドでは次の情報が表示されます。

• Manager で読み込まれた証明書の名前、Sensor が後に再起動してからこれらの証明書がセッションで使用され

た回数

• Sensor に一致する証明書がないが通過した証明書の数


構文:

show ssl stats

適用先:


このコマンドは、M-1250 および M-1450 Sensor には適用されません。

関連トピック: 51 ページの「importsensorcerts」47 ページの「exportsensorcerts」141 ページの「show ssl config」

show ssl configSensor の SSL の設定に関する詳細を表示します。


show ssl config コマンドでは次の情報が表示されます。

• 次回 Sensor が再起動したときに SSL が有効かどうか、およびサポートされる SSL フローの数

• SSL 復号化が現在アクティブかどうか、およびサポートされる SSL フローの数

• 関連付けられた接続が終了した後にセッションを保持する期間 (デフォルトは 5 分)

• SSL トンネルで検出された攻撃のパケットログが有効かどうか

• Sensor 上の SSL 復号キーの有無

• 存在する SSL 復号キーの数

このコマンドは、M-1250 および M-1450 Sensor には適用されません。

構文:

show ssl config

出力例:

intruShell@john> show ssl config

[SSL Decryption Support]

Requested : yes (25000 flows)

Supported : yes (25000 flows)

IPS CLI コマンド - 通常モードshow ssl config 2


SSL Session Lifetime : 5 min

SSL Pkt Logging : disabled

[SSL Decryption Keys]

Present : no

適用先:


関連トピック: 51 ページの「importsensorcerts」47 ページの「exportsensorcerts」140 ページの「show ssl stats」

show syncookietcpresetsyncookie がアクティブなとき、タイムアウトした TCP 3WH に TCP Reset を送信するための設定を表示します。

構文:show syncookietcpreset

出力例:intruShell@john> show syncookietcpreset

SynCookie TCP RESET setting :Enabled

適用先:


show syslog statisticsSensor が検出したアラート数、または Sensor 解析から受信したアラート数、Sensor が Syslog サーバーに送信した

アラート数、Sensor が Syslog サーバーに送信しなかった (つまり抑制された) アラート数を表示します。

構文:show syslog statistics

出力例:intruShell@john> show syslog statistics

[syslog Alert]

Received :34062

Sent :15451

Suppressed :18611

適用可能:


2 IPS CLI コマンド - 通常モードshow syncookietcpreset


show tacacsSensor の現在の TACACS+ 設定を表示します。

show tacacs コマンドでは以下の情報が表示されます。

• Sensor の CLI ユーザの TACACS+ リモート認証が有効 (オン) かどうか

• TACACS+ トラフィックの暗号化が有効かどうか

• TACACS+ 認証機能が有効かどうか

• 設定されている TACACS+ サーバの IP アドレス (該当する場合)


構文:

show tacacs

出力例:

intruShell@john> show tacacs

[TACACS+ Config]

Authentication : Enable

Traffic Encryption : Enable

Authorization : Enabled

Server 1 IP : 10.213.172.87

適用先:


関連トピック: 87 ページの「set tacacsauthorization」

show tcpipstatsshow tcpipstats コマンドは、Sensor 全体を通過中のトラフィックについて TCP/IP 統計をレポートします。

show tcpipstats コマンドは、以下の各カテゴリについてカウントを表示します。

• TCP パケット • TCP リセット

• UDP パケット • 受信済みの ICMP パケット

• IP フラグメント

到達しなかった送信 ICMP


構文:

show tcpipstats

IPS CLI コマンド - 通常モードshow tacacs 2


出力例:

intruShell@john> show tcpipstats

TCP Packets : 4202310216

UDP Packets : 163289410

IP Fragments : 163554316

TCP Resets : 0

ICMP Packets Received : 78340266

ICMP Unreachables Sent : 0

適用先:


show tcpudpchecksumerrorSensor は TCP、UDP、ICMP ヘッダのチェックサムを再計算し、パケットの破損を確認します。


構文:

show tcpudpchecksumerror

出力例:

intruShell@john> show tcpudpchecksumerror

tcpudpicmpchecksumerror : Forward

適用先:


関連トピック: 88 ページの「set tcpudpchecksumerror forward」88 ページの「set tcpudpchecksumerror drop」

show threshold-udp-dos-forward-action statusUDP トラフィックを解析せずに転送するオプション (DoS しきい値を超過した場合) が有効かどうかを表示します。

構文:show threshold-udp-dos-forward-action status

出力例:intruShell@john> show threshold-udp-dos-forward-action status

Threshold UDP DoS forward action : enabled

適用先:

2 IPS CLI コマンド - 通常モードshow tcpudpchecksumerror



show tiestatsリクエストの合計、ファイルレピュテーションリクエストへの応答の合計、ソースあたりのファイルレピュテーシ

ョン応答の数を表示します (ソースはエンタープライズ、Advanced Threat Defense、Global Threat Intelligence)。

出力例

[TIE Statistics]

***Total file reputation requests and responses***

Total file reputation requests : 0

Successful file reputation requests : 0

McAfee File Reputation handled requests : 0

Total file reputation responses : 0

Successful file reputation responses : 0

***Number of file reputation responses per source***

Total responses from GTI : 0

Total responses from Enterprise : 0

Total responses from ATD : 0

適用先:


show userconfigvolumedosthreshold特定の種類のパケット量に対するユーザ定義の DoS しきい値を表示します。

構文:show userconfigvolumedosthreshold <dos-measure-name> <direction>




出力例:intruShell@Sensor-6050> show userconfigvolumedosthreshold icmp-echo-reply inbound

User did not configure threshold for icmp-echo-reply inbound

例:

IPS CLI コマンド - 通常モードshow tiestats 2


show userconfigvolumedosthreshold icmp-echo-reply inbound returns one of the followingresponses:

• set userconfigvolumedosthreshold icmp-echo-reply inbound で設定したしきい値

• または、しきい値を設定していない場合には、「User did not configure threshold for icmp-echo-replyinbound」というメッセージ。

適用先:


show userInfo statsユーザ、グループ、MLC 関連統計を表示します。

構文:show userInfo stats

出力例:intruShell@john> show userInfo stats

[User Info Stats]

Bulk File download count :2

Incr File download count :0

User Info count :1

Group Info count :0

IP Info count :0

適用先:


show vlanbasedrecon statusVLAN ベースの偵察のステータスを表示します。

2 IPS CLI コマンド - 通常モードshow userInfo stats


Manager の [Attack Log] (攻撃ログ) の [Attack Details] (攻撃の詳細) パネルは、偵察アラートメッセージの VLAN IDを表示します。

図 2-3 Attack Details (攻撃の詳細) パネル - Attack Log (攻撃ログ)

障害通知とレポートに VLAN ID が表示されます。

フェールオーバーペアの場合、この機能を両方の Sensor で有効にする必要があります。

詳細については、、『McAfee Network Security Platform Manager Administration Guide』 (Manager 管理ガイド)と、

『McAfee Network Security Platform IPS Administration Guide』 (IPS 管理ガイド) を参照してください。

構文:show vlanbasedrecon status

出力例:intruShell@john> show vlanbasedrecon status

Vlan Based Reconnaissance attack detection disabled

適用先:


IPS CLI コマンド - 通常モードshow vlanbasedrecon status 2


shutdownSensor の電源をオフにできるように Sensor を停止します。 1 分後に Sensor の電源を手動でオフにできます。

Sensor の電源は、自動ではオフになりません。 Sensor をシャットダウンしても良いか確認してください。


構文:

shutdown

適用先:


関連トピック: 60 ページの「reboot」

snmpv2supportSNMP v2 を使用した Network Security Platform MIB の読み取り専用コンポーネントにアクセスできます。

Manager で NMS IP アドレスを設定します。『『McAfee Network Security Platform IPS Administration Guide』 (IPS管理ガイド) 』を参照してください。

構文:

snmpv2support enable <CommunityString>

このコマンドは SNMP v2 サポートを有効にします。


CommunityString SNMP コミュニティストリングは、MIB オブジェクトと機能に対する認証アクセスです。

snmpv2support disable

このコマンドは SNMP v2 サポートを無効にします。

snmpv2support status

このコマンドは、SNMP v2 サポートのダウンロードとアップロードの状態（有効または無効）を表示します。

適用先:


sshd disableSSH デーモン (sshd) を停止し、Sensor のリモート管理を無効にします。sshd を停止すると、Sensor にはコンソー

ルからのみアクセス可能になります。


構文:

sshd disable

2 IPS CLI コマンド - 通常モードshutdown


デフォルト値:

デフォルトでは、SSH デーモンは有効です。

適用先:


関連トピック: 149 ページの「sshd enable」

sshd enableSSH デーモン (sshd) を開始します。これにより、任意のコマンドラインから Sensor をリモート管理できます。


構文:

sshd enable

デフォルト値:

SSH デーモンを開始すると、以下の構文を使用して Sensor にリモートからログオンできます。

ssh admin<Sensor IP address>

または

ssh -l admin <Sensor IP address>

admin パスワードのプロンプトが表示されます。正常にログインすると、コンソールから使用する場合と同様に CLIを使用できます。

• Sensor の初の設定にはリモート管理を使用できません。初の設定 (Sensor の IP アドレス設定を含む) はコ

ンソールから行ってください。

• 同時に実行可能な SSH セッションの大数は 5 セッションです。

適用先:


関連トピック: 148 ページの「sshd disable」

sshlogupload WORDSSH ログファイルを TFTP サーバにアップロードします。

このコマンドを使用する際は次の点に注意してください。

• TFTP サーバの IP アドレスが set tftpserver ip <server_ip> コマンドで設定されている。

• ファイル名に対応するファイルが TFTP サーバに存在し、すべてのユーザに書き込みが許可されている。

IPS CLI コマンド - 通常モードsshd enable 2


TFTP サーバには、1 つ以上の ZIP ファイルを含む TAR ファイルがアップロードされます。

• tar –xvf <filename> コマンドでファイルを解凍し、個々の ZIP ファイルを取得します。

• ファイルを表示するには、各ファイルを gunzip <zipped_file> コマンドで解凍する必要があります。

構文:

sshlogupload <filename>

以下の SSH ログメッセージが表示されます。

Sep 16 09:09:52 localhost kernel: SSHD_DROP:IN=eth0 OUT= MAC=00:06:92:25:9d:80:00:0b:bf:a1:b7:fc:08:00 SRC=172.16.232.47 DST=172.16.199.89 LEN=48 TOS=0x00PREC=0x00 TTL=127 ID=4286 DF PROTO=TCP SPT=2821 DPT=22 WINDOW=65535 RES=0x00 SYNURGP=0

ログメッセージのフィールド

説明

SSHD_DROP Sensor でパフォーマンスデバッグをアクティブにする分数を指定します。

IN=etho パケットを送信したインターフェース。ローカルで生成したパケットの場合、値は空になります。

OUT= パケットを受信したインターフェース。ローカルで受信したパケットの場合、値は空になります。

MAC=00:06:92:25:9d:80:00:0b:bf:a1:b7:fc:08:00

MAC フィールドは、14 個の要素から構成されます。各要素はコロンで区切られています。例:

Dest MAC= 00:06:92:25:9d:80 - 宛先の MAC アドレス

Src MAC=00:0b:bf:a1:b7:fc - 送信元の MAC アドレス

Type=08:00- IPv4 データグラムを含む Ethernet フレーム

SRC=172.16.232.47 送信元の IP アドレス

DST=172.16.199.89 宛先の IP アドレス

LEN=48 IP パケット全体の長さ (バイト単位)

TOS=0x00 サービスの種類。Type フィールド。

PREC=0x00 サービスの種類。Precedence フィールド。

TTL=127 残りの TTL は 127 ホップです。

ID=4286 この IP データグラムの固有の ID。分割されている場合には、すべてのフラグメントで共有されます。

DF 非分割フラグ

PROTO=TCP プロトコル名

SPT=2821 送信元ポート

DPT=22 宛先ポート

WINDOW=65535 "Window Scale" TCP オプションで指定したビット数

RES=0x00 受信ビット数

SYN 同期フラグ。TCP 接続確立時にのみ交換します。

URGP=0 緊急フラグ

適用先:

2 IPS CLI コマンド - 通常モードsshlogupload WORD



tpustatこのコマンドは、ユーザー入力に基づいて、すべての SSL カウンターまたは特定のカウンターをクリアします。

構文:

tpustat

適用先:


statusSensor のシステムステータスを表示します。システムの正常性、Manager の通信、シグネチャセットの詳細、検出

されたアラートの総数、Manager に送信されたアラートの総数などが表示されます。


構文:

status

出力例:

Sensor の出力例を以下に示します。

intruShell@john> status

[Sensor]

System Initialized : yes

System Health Status : good

Layer 2 Status : normal (IDS/IPS)

Installation Status : complete

IPv6 Status :Parse and Detect Attacks

Reboot Status :Not Required

Guest Portal Status : up

Hitless Reboot :Not-Available

Last Reboot reason : reboot issued from CLI

[Signature Status]

Present : yes

Version :8.6.0.6

Power up signature : good

IPS CLI コマンド - 通常モードtpustat 2


Geo Location database :Present

DAT file :Present

Version :318.0


Trust Established : yes (RSA 1024-bit or 2048-bit)

Alert Channel : up

Log Channel : up


Last Error :None

Alerts Sent :961

Logs Sent :974

[Alerts Detected]

Signature :4246 Alerts Suppressed :3483

Scan :0 Denial of Service :2

Malware :0

[McAfee NTBA Communication]

Status : up

IP : 10.213.174.132

Port :8505

[McAfee MATD Communication]

Status : up

IP : 10.213.174.134

Port : 8506

NTBA Appliance にも同じステータスメッセージが表示されます。

NS-9300 Sensor では、ソフトウェアバージョンの不一致により Sensor が再起動した場合、status コマンドを使用

すると、Last Reboot reason には recovered from sw version mismatch という理由が表示されます。

Sensor と Manager 間の信頼関係の確立に、共有秘密鍵の不一致が原因で問題があった場合、Last Error には

Alert Channel - Install Keys Mismatch というメッセージが表示されます。そうした状況下では、Managerの共有秘密鍵を確認し、set sensor sharedsecretkey コマンドを使用して、Sensor に設定します。

適用先:


2 IPS CLI コマンド - 通常モードstatus


traceuploadエンコードされた診断追跡ファイルを設定済みの TFTP サーバにアップロードします。Sensor の診断で使用する追

跡ファイルは、このサーバから McAfee テクニカルサポートに送信できます。また、Manager インターフェースの

追跡アップロード機能も使用できます。

構文:

traceupload WORD

WORD は、追跡情報を記録するファイルの名前です。


• このコマンドを実行する前に set tftpserver ip コマンドを実行して NTBA アプライアンスで TFTP サーバ

を設定してください。

• 設定済みの TFTP サーバから追跡ファイルを読み込む場合には、ファイルのパス名は /tftpboot からの相対パスに

する必要があります。



traceupload の一部として、logstat を使用して追加情報が収集されます。このため、Sensor からログを収集するのに

追加の時間がかかります。Sensor モデルによっては、10 ～ 30 分かかる場合があります。



Uploading trace file to TFTP server

Trace file uploaded successfully to TFTP server.

出力例:

NTBA Appliance の出力例を以下に示します。

ntbaSensor@vNTBA> traceupload ntbaTraceFile

Make sure the file ntbaTraceFile exists on the server with 'WRITE' permission foreveryone. If it doesn't exist, then create an empty ntbaTraceFile file with 'WORLDWRITE' permissions.




適用先:


関連トピック: 57 ページの「logstat」

IPS CLI コマンド - 通常モードtraceupload 2


vlanbridgestpSTP パケットの VLAN ブリッジを設定します。

構文:

vlanbridgestp<enable|disable|drop>


enable STP パケットの VLAN ブリッジを有効にします。

disable STP パケットの VLAN ブリッジを無効にします。

drop STP パケットの VLAN ブリッジをドロップします。

適用先:


watchdogウォッチドッグプロセスは、デバイスで回復不能な障害が検出されると、デバイスを再起動します。

構文:watchdog <on | off | status>


<on> Watchog を有効にします。

<off> ウォッチドッグを無効にします。システム障害が繰り返し発生し、Sensor が頻繁に再起動する場合に使用します。

<status> Watchdog プロセスのステータス (on または off) を表示します。


intruShell@john> watchdog status

watchdog = off


ntbaSensor@vNTBA> watchdog status

watchdog = on

適用先:


2 IPS CLI コマンド - 通常モードvlanbridgestp


3 IPS CLI コマンド - デバッグモード

このセクションでは、デバッグモードで実行できるコマンドについて説明します。

有効なユーザ名 (ユーザ名は admin) とパスワード (デフォルトは admin123) で Sensor にログオンします。デバッ

グモードでログオンするには、コマンドプロンプトで、debug と入力します。

デバッグモードを終了するには、コマンドプロンプトで、disable と入力します。ログオフするには、exit と入

力します。

これで、通常モードとデバッグモードの両方のコマンドを実行できます。

目次

40to10conversion aclstat allow intfport id connector arp static cadsChnstate clearactiveflows clrconnlimithost datapathstat datapathstat intfport disable dossampling dossampling status downloadgamupdate dumpdebuglog dumpDevProfTableEntry dumpDevProfTableToLog dumpdgastats flashcheck getauthstats getccstats getcestats getmdrinfo getplstats getsastats getscstats ipfragstats ipreassembly timeout millisecond layer2 mode layer2 mode deassert-all l7dpstat l7show loadbalance

3


logShowCfg maidstat matdChnstate WORD nsmChanState WORD ntbaChnstate pptsetprioritytrafficratio reset debugmode passwd resetalertstats reset ratelimitstats rspstat sensor perf-debug show sensor perf-debug upload-protoStats sensor-scan-during-update set aidlog set amchannelencryption set console mux set http-rsp set inline drop packet log set inline traffic prioritization set intfport id set ipfrag set ipsforunknownudp set l3 set l7 set l7ddosresponse set loglevel set loglevel dos set loglevel dp WORD set loglevel mgmnt set malware split session parsing set malwareEngine set mgmtprocessrestart set ms-office set nianticrecovery show nianticrecovery status set recon show 40to10conversion status show aidlog status show all datapath error-counters show amchannelencryption status show attack count show botnet-usage show cads channel show connlimithost show connlimitstat show datapath processunits show doscfg show fe stat show feature status show feswitch port show gam scan stats show gmac

3 IPS CLI コマンド - デバッグモード


show http-ms decode stats show inline traffic prioritization status show ipsforunknownudp status show ipfrag status show l3 status show l7 status show l7dcap-usage show l7ddosresponse status show layer2 portlevel show layer2 reason show malwareEngine status show malwareclientstats show malwareserverstats show matd channel show max cseg list count show mgmtcfg show mem-usage show mgmtnetstats show mgmtprocessrestart status show pktcapture status show prioritytraffic ratio show ratelimit drops show ratelimit markstats show recon status show saved alerts show saved packets show sbcfg show sensor health show startup stats show static-arp show statistics alerts show statistics icmp show statistics ipfrag show statistics l4 show statistics tcp show statistics udp show tempcounterstatus show wb stats show xff-usage switch cads channel switch matd channel tustat unknownapktocloud

IPS CLI コマンド - デバッグモード 3


40to10conversionこのコマンドは、NS9x00 Sensor の G0 ポート (G0/1 および G0/2) を変換し、40 Gigabit Ethernet モードではなく

10 Gigabit Ethernet モードで実行します。


QSFP インターフェースを SFP+ インターフェースに変換するには、個別のアダプタが必要です。詳細については、サ

ポートに連絡してください。

構文:

40to10conversion<enable|disable>

適用先:

NS9100 および NS9200 Sensor。

aclstatこのコマンドはデータパスごとの ACL 統計を表示します。

構文:

aclstat

出力例:

IntruDbg#> aclstat

datapath 19 :

Total number of packets:0

TCP ACL Drop count:0

TCP ACL Deny count:0

TCP ACL Ignore count:0

IPRF ACL Deny count:0

IPRF ACL Reject count:0

IPRF ACL Ignore count:0

UDP ACL Deny count:0

UDP ACL Ignore count:0

ICMP Deny count:0

ICMP Ignore count:0

Other IP Deny count:0

Other IP Ignore count:0

適用先:

3 IPS CLI コマンド - デバッグモード40to10conversion



allow intfport id connectorモニタリングポート用にサポートされた SFP ベンダーを設定します。

構文:

allow intfport id <port> connector (all-vendors|mcafee-only)


<port> • M シリーズの有効なポート番号は次のとおりです。1A | 1B | 2A | 2B | 3A | 3B| 4A | 4B | 5A |5B | 6A | 6B | 7A | 7B | 8A | 8B

• NS シリーズの有効なポート番号は次のとおりです。G0/1 | G0/2 | G1/1 | G1/2 | G1/3 | G1/4 |G1/5 | G1/6 | G1/7 | G1/8 | G1/9 | G1/10 | G1/11 | G1/12 | G2/1 | G2/2 | G2/3 | G2/4 | G2/5 |G2/6 | G2/7 | G2/8 | G2/9 | G2/10 | G2/11 | G2/12

例:

allow intfport id 2B connector mcafee-only

allow intfport id 7B connector all-vendors

適用先:


arp static静的 ARP エントリを設定します。

構文:

arp static-add A.B.C.D A:B:C:D:E:F <port>

arp static-delete A.B.C.D <port>


<port> • M シリーズの有効なポート番号は次のとおりです。1A | 1B | 2A | 2B | 3A | 3B| 4A | 4B | 5A |5B | 6A | 6B | 7A | 7B | 8A | 8B

• NS シリーズの有効なポート番号は次のとおりです。G0/1 | G0/2 | G1/1 | G1/2 | G1/3 | G1/4 |G1/5 | G1/6 | G1/7 | G1/8 | G1/9 | G1/10 | G1/11 | G1/12 | G2/1 | G2/2 | G2/3 | G2/4 | G2/5 |G2/6 | G2/7 | G2/8 | G2/9 | G2/10 | G2/11 | G2/12

例:

arp static-add 1.1.1.9 00:0C:29:A0:C6:5F 1A

arp static-delete 209.165.202.255

適用先:

M シリーズ、NS シリーズ、仮想 IPS Sensor、および仮想セキュリティシステムインスタンス。

IPS CLI コマンド - デバッグモードallow intfport id connector 3


cadsChnstateSensor と CADS 間のチャネルを設定します。

構文:

cadsChnstate <on> <off>


<on> Sensor と CADS 間のチャネルを確立します

<off> Sensor と CADS 間のチャネルを停止します

例:

cadsChnstate on適用先: M シリーズおよび NS シリーズ Sensor。

clearactiveflows以下のアクションを実行して、既存のアクティブ TCP フローと UDP フローをクリアします。

1 Sensor をレイヤ 2 モードに設定します。

2 既存の TCP フローと UDP フローをクリアします。

Sensor を通常モードに戻します。

構文:clearactiveflows

適用先:M シリーズおよび NS シリーズ Sensor

clrconnlimithost接続制限ホストテーブルをクリアします。

構文:clrconnlimithost

適用先:


datapathstatこのコマンドは、データパスの統計と全パラメータの詳細を表示します。詳細を取得するには、1 つのパラメータを

入力できます。

構文:

datapath core <core_number|all> parameter <param|all>

3 IPS CLI コマンド - デバッグモードcadsChnstate



core_number 0 ～ 31 の値を入力できます

param: 使用できる値

(パラメータオプション用) は次のとおりです。

datapath-cache-errors datapath cache errors

dp-rx-fcs-error-cnt dp recv fcs error count

dp-tx-fcs-error-cnt dp sent fcs error count

fifo-dumm fifo dumm

fifo-inuse-or-double-rx-free-errors fifo in use or double recd free errors

fifo-inuse-or-double-tx-free-errors fifo in use or double sent free errors

free-fifo free fifo

free-tx-buf free sent buffer

get-rx-buf-failed get recd buffer failed

get-tx-buf get sent buffer

get-tx-buf-failed get sent buffer failed

ip-checksum-err-pkt-count ip checksum err pkt count

rx-bad bad recd

rx-buf-added recd buffer added

rx-bytes bytes recd

rx-cnt recd count

rx-descriptors-avail recd descriptors avail

rx-empty empty recd

rx-frames frames recd

rx-high-watermark-cnt recd high watermark count

rx-low-watermark-cnt recd low watermark count

rx-retry retry recd

rx-too-big too big recd

sensor-load Sensor の負荷を表示します

tcp-checksum-err-pkt-count tcp checksum err pkt count

tx-bytes bytes sent

tx-cnt sent count

tx-done sent done

tx-frames frames sent

tx-full-cnt sent full count

tx-pending-cnt sent pending count

udp-checksum-err-pkt-count udp checksum err pkt count

出力例:

IntruDbg#> datapath core all parameter all

core 1

IPS CLI コマンド - デバッグモードdatapathstat 3


Tx frames:0

Tx bytes:0

Rx frames:0

Rx bytes:0

Rx bad:0

Rx empty:0

Rx retry:0

Rx too big:0

free fifo:0

IP checksum err pkt count:0

TCP checksum err pkt count:0

UDP checksum err pkt count:0

rx descriptors avail:0

rx low watermark cnt:0

rx high watermark cnt:0

free tx buf:0

tx done:0

get tx buf:0

get tx buf failed:0

get rx buf failed:0

tx dcnt:0

rx dcnt:0

rx buf added:0

datapath cache errors:0

fifo dumm:0

Tx full cnt:0

Tx pending cnt:0

Fifo inuse/double Tx free errors:0

Fifo inuse/double Rx free errors:0

dp-rx-fcs-error-cnt:0

dp-tx-fcs-error-cnt:0

sensor-load:0

適用先:

3 IPS CLI コマンド - デバッグモードdatapathstat



datapathstat intfportこのコマンドはデータパスの統計と、インターフェースポートのすべてのパラメータの詳細を表示します。 1 つのパ

ラメータを入力し、詳細を取得することもできます。

構文:

datapath intfport <id> <core_number|all> parameter <param|all>


id 有効なインターフェースポート ID

core_number Sensor モデル固有の有効なコア番号

param: 使用できる値 (パラメータオプション用) は次のとおりです。

• tx-frames 送信済みフレーム数

• tx-bytes 送信済みバイト数

• rx-frames 受信済みフレーム数

• rx-bytes 受信済みバイト数

• ip-checksum-err-pkt-count IP トラフィックのチェックサムエラーパケットの合計数

• tcp-checksum-err-pkt-count TCP トラフィックのチェックサムエラーパケットの合計数

• udp-checksum-err-pkt-count UDP トラフィックのチェックサムエラーパケットの合計数

• rx-count 受信済みデータパスパケット数

出力例:

IntruDbg#> datapath intfport g3/1 core 1 parameter all

Datapath: DP 0 DP 1 DP 2 DP 3 DP 4 DP 5core 1 Tx frames: 0 0 0 0 0 0

Tx bytes 0 0 0 0 0 0Rx frames: 0 0 0 0 0 0Rx bytes: 0 0 0 0 0 0IP checksum err pkt count: 0 0 0 0 0 0TCP checksum err pkt count: 0 0 0 0 0 0UDP checksum err pkt count: 0 0 0 0 0 0rx count: 0 0 0 0 0 0

適用先:

M シリーズおよび仮想 IPS Sensor。

IPS CLI コマンド - デバッグモードdatapathstat intfport 3


disableデバッグモードを無効にし、通常の CLI モードへ切り替えます。

構文:

disable

適用先:


dossamplingUDP トラフィックでは、DoS アラートのパケット数が実際の攻撃のパケット数より少なく表示されるため、サブサン

プリングがデフォルトで有効です。このコマンドを使用してサブサンプリングを無効または有効にすることができま

す。

構文:dossampling <enable|disable> <inbound|outbound>

例:

dossampling enable inbound

dossampling enable outbound

dossampling disable inbound

dossampling disable outbound

適用先:


dossampling statusdossampling (有効または無効) のステータスが表示されます。

構文:dossampling status

出力例:IntruDbg#> dossampling status

sub-sampling enabled in inbound direction

sub-sampling enabled in outbound direction

適用先:


3 IPS CLI コマンド - デバッグモードdisable


downloadgamupdate

構文

downloadgamupdate

出力例

Full Gam Update Request sent

適用先:


dumpdebuglogdumpdebuglog コマンドは、特定の指定モジュールから来るログメッセージについて sensor.log をフィルターしま

す。行数、または全ログをベースにログを表示します。

構文:

dumpdebuglog <SupportedModuleName> <(1-1000)lines(s)(Or)running >

ここでは

<SupportedModuleName> は cli、controlChannel、correlationEng、intfw、logging、logNode、packetLog、snmpAgent、systemCtrl、ivSensor、monitor、ssl、sig、authgw、sgap、sm、tsproc、nacfo、nacpolicy、deviceProfile、sofa、qvm、rad、artemis を設定できます。

<(1-1000)lines(s)(Or)running > は指定モジュールから来る新ログの行数を指定します。running の場

合、指定モジュールから来る全ログを印刷します。

適用先:


dumpDevProfTableEntry特定のデバイスプロファイルテーブルエントリを表示します。

構文:

dumpDevProfTableEntry (ip | mac ) WORD

dumpDevProfTableToLogSensor のログファイルにデバイスプロファイルテーブルデータを記録します。

構文:

dumpDevProfTableToLog (ip| mac | all | stats)

IPS CLI コマンド - デバッグモードdownloadgamupdate 3


dumpdgastatsDGA の疑いのあるボットおよび C&C サーバーに関連するデータをデバッグファイルにダンプします。このコマン

ドによりデバッグを実行することができます。このコマンドは、McAfee テクニカルサポートに診断データを提出す

る際にご利用ください。


構文:

dumpdgastats

適用先:


flashcheckフラッシュの一貫性チェックを実行します。

構文:flashcheck


Checking Flash may take more than 15 minutes and Sensor will go into Layer2 duringcommand execution.

Please enter Y to confirm:Y

Checking Flash....

Flash check successful.No errors in Flash

適用先:


getauthstats記録されたユーザの状態や Web サーバのステータスなど、認証の詳細を表示します。このコマンドにパラメータは

ありません。

構文:

getauthstats

出力例:

IntruDbg#> getauthstats

sgap Status = up.

Web Server Status = up.

Web Server Certificate Status = default

auth channel = up

3 IPS CLI コマンド - デバッグモードdumpdgastats


peer auth channel = down

rxUnknownMsgTypeCount = 0.

rxUnknownISMMsgTypeCount = 0.

rxUnknownPeerMsgTypeCount = 0.

policyGetCount = 0.

policyUpdateCount = 0.

usrAuthCount = 0.

usrAuthSuccessCount = 0.

usrAuthFailCount = 0.

usrSelfRegCount = 0.

usrSelfRegSuccessCount = 0.

usrSelfRegFailCount = 0.

usrDisableCount = 0.

hostHealthCount = 0.

peerUsrDisableCount = 0.

reqISMPendingCount = 0.

reqISMTimeoutCount = 0.

reqPeerPendingCount = 0.

reqPeerTimeoutCount = 0.

authReqPendingCount = 0.

適用先:


getccstatsgetccstats コマンドは、Sensor コントロールのチャネルモジュール統計を表示します。

構文:getccstats

出力例:IntruDbg#> getccstats

sigfile tables = accessible.

manager-sensor trust = established.

sensor installation = complete

alert channel = up

IPS CLI コマンド - デバッグモードgetccstats 3


peer alert channel = down

throttleThreshold = 1.

throttleInterval = 0.

throttleAction = 1.

failoverAction = 2.

failoverStatus = 3.

peerStatus = 5.

fail-open Action = 2.

rxSysEvCount = 14.

putSysEvUnCount = 0.

rxSysEvDecodeUnCount = 8.

txSysEvCount = 14.

rxSigAlertCount = 0.

rxScanAlertCount = 0.

rxDosAlertCount = 0.

rxTSMaliciousAlertCount = 0.

txAlertCount-Primary = 0.

txAlertCount-Secondary = 0.

txPerfAlertCount-Primary = 13.

txPerfAlertCount-Secondary = 0.

txAppIdStatsAlertCount-Primary = 0.

txAppIdStatsAlertCount-Secondary = 0.

throttleCount = 0.

copyPortDropCount = 0.

unknownPortInStandbyDropCount = 0.

rxAlertDecodeUnCount = 0.

rxCorrFlagReAlertCountt = 0.

rxScanFilterReAlertCount = 0.

rxShellCodeAlertCount = 0.

sslConflictAlertCount = 0.

sslConflictTimeCount = 0.

rxAlertFromCECount = 0.

txAlertToCECount = 0.

3 IPS CLI コマンド - デバッグモードgetccstats


AlertsInRngBufPriCount = 0.

AlertsInRngBufSecCount = 0.

PutAlertInRngBufUnCount = 0.

ScanCorrAlertLogSubNodeThrottleOnCount = 0.

ScanCorrAlertLogNodeFlowOffCount = 0.

ScanCorrAlertLogSubNodeAddCount = 0.

ScanCorrAlertLogSubNodeAddFailedCount = 0.

ScanCorrAlertLogNodeAddCount = 0.

ScanCorrAlertLogNodeAddFailedCount = 0.

ScanCorrLogIdZeroCount = 0.

ScanCorrLogIdNonZeroCount = 0.

DummyAddLogNodeAddCount = 0.

DummyAddAlertLogNodeAddFailedCount = 0.

DummyAddLogSubNodeAddCount = 0.

DummyAddAlertLogSubNodeAddFailedCount = 0.

DummyAddLogSubNodeThrottleOnCount = 0.

DummyAddLogSubNodeThrottleOffCount = 0.

DummyAddLogNodeFlowOffCount = 0.

DummyFoundLogSubNodeThrottleOnCount = 0.

DummyFoundLogSubNodeThrottleOffCount = 0.

DummyFoundLogNodeFlowOffCount = 0.

DummyFoundLogNodeAlreadyThrottledCount = 0.

DummyFoundLogNodeCopyPortOffCount = 0.

AddLogNodeAddCount = 0.

AddLogNodeAddFailedCount = 0.

AddLogSubNodeAddCount = 0.

AddLogSubNodeAddFailedCount = 0.

AddLogSubNodeThrottleOnCount = 0.

AddLogSubNodeThrottleOffCount = 0.

AddLogNodeFlowOffCount = 0.

FoundLogSubNodeThrottleOnCount = 0.

FoundLogSubNodeThrottleOffCount = 0.

FoundLogNodeAlreadyThrottledCount = 0.

IPS CLI コマンド - デバッグモードgetccstats 3


FoundLogNodeFlowOffCount = 0.

FoundLogNodeWasOrigDummyNodeCount = 0.

FoundLogSubNodeWasOrigDummyNodeCountNowThrottled = 0.

FoundLogSubNodeWasOrigDummyNodeCountNowNotThrottled = 0.

aclAlertThrottleMaxIpPair = 10.

aclAlertThrottleInterval = 120.

aclAlertThrottleAction = 1.

aclAlertThrottleThreshold = 5.

aclAlertDirectToSyslog = 2.

rxAclAlertCount = 0.

aclThrottleCount = 0.

txAclAlertCount = 0.

ezAlertThrottleMaxIpPair = 10.

ezAlertThrottleInterval = 120.

ezAlertThrottleAction = 1.

ezAlertThrottleThreshold = 5.

ezAlertDirectToSyslog = 0.

rxEzAlertCount = 0.

ezThrottleCount = 0.

txEzAlertCount = 0.

LogIdNodeListCount = 0.

GrpIdNodeListCount = 0.

LogIdListPtr = 0.

LogIdBlockPtr = 0.

LogIdSubListPtr = 0.

LogIdSubBlockPtr = 0.

LogIdHTPtr = 0.

GrpIdListPtr = 0.

GrpIdBlockPtr = 0.

GrpIdHTPtr = 0.

RxCorrSigAlertFromCECount = 0.

DatapathAlertSBFloodOnCount = 0.

RxSigAlertWithPLCount = 0.

3 IPS CLI コマンド - デバッグモードgetccstats


RxPSAlertWithPLCount = 0.

RxHSAlertWithPLCount = 0.

TxPLlistDropMsgCount = 0.

TxPLlistSendMsgCount = 0.

fwdChangePLModeReqCount = 0.

fwdDelPLMsgCount = 0.

RxUnknown MsgId Count = 0.

Reboot/Wrap Count = 2015.

PL Reboot/Wrap Count = 2015.

purgeCnt0 = 0.

purgeCnt1 = 0.

AlertsInRngBufPriCount = 0.

AlertsInRngBufSecCount = 0.

PutAlertInRngBufUnCount = 0.

osfpUpdateMsgRxCnt = 0.

osfpInactivateMsgRxCnt = 0.

osfpMacOnlyDelMsgRxCnt = 0.

osfpUpdateMsgTxCnt = 0.

osfpInactivateMsgTxCnt = 0.

osfpMacOnlyDelMsgTxCnt = 0.

osfpBulkUpdateMsgRxCnt = 0.

osfpBulkInactivateMsgRxCnt = 0.

osfpBulkUpdateMsgTxCnt[EMS_PRIMARY] = 0.

osfpBulkUpdateMsgTxCnt[EMS_SECONDARY] = 0.

osfpBulkInactivateMsgTxCnt[EMS_PRIMARY] = 0.

osfpBulkInactivateMsgTxCnt[EMS_SECONDARY] = 0

適用先:


getcestatsgetcestats コマンドは、Sensor の関連エンジンモジュールの統計を表示します。

構文:

getcestats

IPS CLI コマンド - デバッグモードgetcestats 3


出力例:

IntruDbg#> getcestats

rxCount = 1, txCount = 0, unCount = 0,

reCount = 0.

sigAlertRxCount = 0, sigAlertTxCount = 0.

sigAlertReCount = 0, sigAlertPlMarkDelCount = 0.


RxPLModeChangeReqCount:0, rstCorrPktLogging Flag = 0.

packetLogSentCCCount = 0,

packetLogDropPLMsgCount = 0.

corrSigAlertTxCount = 0.

scanAlertTxCount = 0.

sweepAlertTxCount = 0.

scanRxCount = 0, scanAlertCount = 0.

sweepRxCount = 0, sweepAlertCount = 0.

osfpRxCount = 0, osfpAlertCount = 0.

bfRxCount = 0, bfAlertCount = 0.

svcRxCount = 0, svcAlertCount = 0.

genCorrRxCount = 0, genCorrAlertCount = 0.

適用先:


getmdrinfoこのコマンドは、マネージャーの番号や IP アドレスの詳細など、Manager Disaster Recovery (MDR) 情報を表示しま

す。このコマンドにパラメータはありません。

構文:

getmdrinfo

出力例:

IntruDbg#> getmdrinfo

No Of Managers = 1.

Active Ems Ip Address = 172.16.229.189.

Ems Priority = standalone

Ems HA Status = active

3 IPS CLI コマンド - デバッグモードgetmdrinfo


Ems HA Mode = standalone

適用先:


getplstatsgetplstats コマンドは、センサーパケットのチャネルモジュール統計を表示します。

構文:

getplstats

出力例:

IntruDbg#> getplstats

sigfile tables : accessible.

log channel = up

peer log channel = down

rxLogCount = 0.

txLogCount-Primary = 0.

txLogCount-Secondary = 0.

rxLogDecodeUnCount = 0.

rxZeroLenLogCount = 0.

sslConflictLogCount = 0.

sslConflictTimeCount = 0.

DeleteLogIdMsgCount = 0.

ToBeDeletedLogIdNodeCount = 0.

LogNodeDeletedCount = 0.

DeleteGrpIdMsgCount = 0.

ToBeDeletedGrpIdNodeCount = 0.

LogNodeThrottleOnCount = 0.

LogNodeNotFlowCount = 0.

PktReCount = 0.

CopyPortNodeCount = 0.

DecodeSubLogMissed = 0.

DecodeLogMissed = 0.

DeleteLogMissed = 0.

IPS CLI コマンド - デバッグモードgetplstats 3


DecAlreadyDelLogIdNodeCount = 0.

DecAlreadyExpLogIdNodeCount = 0.

DecScanCorrLogIdNodeCount = 0.

DecodeGrpMissed = 0.

DeleteGrpMissed = 0.

DecAlreadyDelGrpIdNodeCount = 0.

DecAlreadyExpGrpIdNodeCount = 0.

NumSavePacketLogs = 0.

NumSavePacketLogsSent = 0.

NumSavePacketLogsReCount = 0.

NumSavePacketLogsRlCount = 0.

RxDelPLMsgCount = 0.

RxSendPLMsgCount = 0.

ModeChangeReqSentCount = 0.

Current Mode = 0.


numXLLogCreateCount = 0.

numXLLogDeleteCount = 0.

purgeCnt0 = 0.

purgeCnt1 = 0.

LogsInRngBufPriCount = 0.

LogsInRngBufSecCount = 0.

PutLogInRgBufUnCount = 0.

適用先:


getsastatsgetsastats コマンドは、SNMP サブエージェントの統計を表示します。

構文:

getsastats

出力例:

IntruDbg#> getsastats

3 IPS CLI コマンド - デバッグモードgetsastats


swImageVersion = 8.0.3.1.

hwVersion = 1.10.

serial number = S025250127.

signature set version = 8.6.0.6.

system type = M-1450.

Recvd datapaths and dos Init Done message from system controller.

Sent SNMP ready message to control channel.

Sigfile flag = 0

Number of datapaths = 8.

Connection to datapath 0 is ok.








DOS connection status is ok.

IPv6 Status DISABLED

GTI Proxy Host 0.0.0.0

GTI Proxy Port 0

GTI Proxy Username ""

UsrIdAclfileDwnldCnt = 0

UsrIdAclIncrUpdtCnt = 0

osfpPersistMsgTxCount = 108

適用先:


getscstatsgetscstats コマンドは Sensor システムコントローラーの統計を表示します。

構文:

getscstats

IPS CLI コマンド - デバッグモードgetscstats 3


出力例:

IntruDbg#> getscstats

sysctrl ready to send INIT_ACKs to datapaths and dos

Acld Sigfile flag reset.

initial sigfile applied msg : received from datapaths and dos.

dos has sent INIT_DONE.

datapath 0 has sent INIT_DONE.








dos has sent READY.

datapath 0 has sent READY.








Prefix 8.0.4E22.0.0

適用先:


ipfragstatsIP フラグメントの統計と受信した IP フラグメントやドロップされた IP フラグメントなど、IP フラグメントの詳細を

表示します。このコマンドにパラメータはありません。

構文:ipfragstats

出力例:IntruDbg#> ipfragstats

3 IPS CLI コマンド - デバッグモードipfragstats


datapath 56 :

Total number of IP Fragments received: 4172481

Total number of IP Flows: 3606080

Number of Duplicate fragments: 564254

Fwd Overlap old data packets: 5358

Number of Fragments dropped:0

Fragments dropped for invalid options:0

Number of Flows TimedOut: 3605366

Backward Overlap old data packets:0

Fwd Overlap new data packets:0

Backward Overlap new data packets:0

Num Flows dropped for invalid checksum:0

Error getting fifo buffers:0

Number of Invalid Fragments:0

Error getting Reassembled lists:0

Number of fragments recvd after timeOut:0

Number of jumbo frags forwaded:0

Number of jumbo frags constructed:0

Fragment requests submitted to DM: 3608227

Fragment DM operations completed: 3608227

Last fragment requests submitted to DM:0

Last fragment DM operations completed:0

DM invoked fragCB with NULL args:0

DM invoked lastFragCB with NULL args:0

Num fragment flows force freed:0

適用先:


ipreassembly timeout millisecondIP フラグメントの再構築タイムアウト期間をミリ秒で表示します。

構文:

ipreassembly timeout millisecond (0 | <250-30000>)

例:

IPS CLI コマンド - デバッグモードipreassembly timeout millisecond 3


ipreassembly timeout millisecond 0

ipreassembly timeout millisecond 300

適用先:


layer2 modeレイヤ 2 モードを設定します。

構文:

layer2 mode <assert | deassert><port>


assert Sensor ポートをレイヤ 2 パススルーモード (L2 モード) にします。これはネットワークの問題のトラブルシューティングに役立ちます。このコマンドを使用すると、次のどちらかのイベントが発生するまで Sensor は L2 モードを維持します。 Sensor が再起動する、または layer2 mode deassert コマンドが実行される。

deassert Sensor ポートのレイヤ 2 パススルーモードを解除します。このコマンドは、layer2 mode assert コマンドの実行後に IPS プロセスを再確立する場合に使用します。 Sensor ソフトウェアの障害で L2 モードが開始された場合には、このコマンドで Sensor の L2 モードを解除しないでください。このような場合にこのコマンドを使用すると、Sensor が再起動します。

port assert または deassert アクションを実行する必要のあるポートを設定します。

• 有効なポート番号は次のとおりです。G0/1 | G0/2 | G1/1 | G1/2 | G1/3 | G1/4 | G1/5 | G1/6 |G1/7 | G1/8 | G1/9 | G1/10 | G1/11 | G1/12 | G2/1 | G2/2 | G2/3 | G2/4 | G2/5 | G2/6 | G2/7 |G2/8 | G2/9 | G2/10 | G2/11 | G2/12 | G3/1 | G3/2 | G3/3 | G3/4 | G3/5 | G3/6 | G3/7 | G3/8

デフォルト値:

オン

例:

IntruDbg#> layer2 mode assert g0/1-g0/2

適用先:

NS シリーズ Sensor。

layer2 mode deassert-all以前に assert に設定されていたすべての Sensor ポートのレイヤ 2 パススルーモードを解除します。


構文:

layer2 mode deassert-all例:

以下のコマンドでは、レイヤ 2 モードの設定をリセットしています。

3 IPS CLI コマンド - デバッグモードlayer2 mode


IntruDbg#> layer2 mode deassert-all

Currently no port pair have layer2 config enabled

適用先:


l7dpstatl7loadskipstat コマンドは、負荷が原因でスキャンがスキップされたパケットの統計を表示します。

構文:

l7dpstat

出力例:

IntruDbg#> l7dpstat

datapath 0:

l7DatapathInstCnt:7173

l7PriDatapathInstCnt:0

l7DatapathPktCnt:2115

l7PriDatapathPktCnt:0

l3LoopCnt:76426667

datapath 1:

l7DatapathInstCnt: 143

l7PriDatapathInstCnt:0

l7DatapathPktCnt: 9

l7PriDatapathPktCnt:0

l3LoopCnt: 2248470949

適用先:


l7showこのコマンドは全データパスのレイヤ 7 の処理の統計を表示します。

構文:

l7show

出力例:

IntruDbg#> l7show

IPS CLI コマンド - デバッグモードl7dpstat 3


datapath 37 :

Total packets received: 37501712

pkt total:0

Byte total:0

Max extra binary scan pkts per monitored pkt:0

Protocol for max extra binary scan pkts count:0

datapath 38 :

Total packets received: 26998825

pkt total:0

Byte total:0

Max extra binary scan pkts per monitored pkt:0

Protocol for max extra binary scan pkts count:0

適用先:


loadbalanceこのコマンドはパケットの転送に関連します。

構文:

loadbalance < pre-fe| post-fe| normal>


pre-fe フロントエンド処理前にすべてのパケットを転送します

post-fe すべてのパケットはフロントエンド処理の対象となりますが、バックエンド処理前に転送されます

normal すべてのパケットは転送される前にフロントエンド処理とバックエンド処理の対象となります

適用先:


logShowCfg管理モジュールメッセージのログレベルを表示します。

構文:

logShowCfg

出力例:

IntruDbg#> logShowCfg

3 IPS CLI コマンド - デバッグモードloadbalance


Logging is ON, mode: send to syslog

controlChannel (id = 0) : level = 0 (emergency)

correlationEng (id = 1) : level = 0 (emergency)

packetLog (id = 2) : level = 0 (emergency)

snmpAgent (id = 3) : level = 0 (emergency)

systemCtrl (id = 4) : level = 0 (emergency)

ivSensor (id = 5) : level = 0 (emergency)

cli (id = 6) : level = 0 (emergency)

monitor (id = 7) : level = 0 (emergency)

ssl (id = 8) : level = 0 (emergency)

sig (id = 9) : level = 0 (emergency)

logging (id = 10) : level = 0 (emergency)

logNode (id = 11) : level = 0 (emergency)

authgw (id = 13) : level = 0 (emergency)

sgap (id = 14) : level = 0 (emergency)

radm (id = 15) : level = 0 (emergency)

qvm (id = 16) : level = 0 (emergency)

radi (id = 17) : level = 0 (emergency)

artemis (id = 18) : level = 0 (emergency)

intfw (id = 19) : level = 0 (emergency)

tsproc (id = 20) : level = 0 (emergency)

rm (id = 22) : level = 0 (emergency)

deviceProfile (id = 24) : level = 0 (emergency)

sofa (id = 25) : level = 0 (emergency)

適用先:


maidstatこのコマンドは、マルチ攻撃 ID (ボットネット) の統計を表示します。

構文:

maidstat

出力例:

IPS CLI コマンド - デバッグモードmaidstat 3


IntruDbg#> maidstat

Core id range is not selected, Displaying ALL Regular MAID Component Attack IDsProcessed = 0

Known Bot Component Attack IDs Processed = 0

Zero Day Component Attack IDs Processed = 0

Nested Component Attack IDs Processed = 0

Nested Alert Processed= 0

Regular MAID Alerts Raised = 0

Known Bot Alerts Raised = 0

Zero Day Alerts Raised = 0

Regular MAID Alerts Not Sent = 0

Known Bot Alerts Not Sent = 0

Zero Day Alerts Not Sent = 0

Number of Component Attack IDs Over Threshold Met = 0

Number of Component Attack IDs Over Threshold Not Met = 0

Regular MAID Correlation Un-Success = 0

Known Bot Correlation Un-Success = 0

Zero Day Correlation Un-Success = 0

Zero Day TS Bad Reputation Heuristic = 0

Zero Day TS Good Reputation Ignored = 0

MAID Component Alert sent = 0

Next AND Stage Transition = 0

Out Of Order AND Stage = 0

MAID Correlation Tracked For Destination = 0

Hosts State Info Free Buffers = 2000 (2000)

Correlation AID State Free Buffers = 10000 (10000)

Component AID State Free Buffers = 50000 (50000)

Peer Hosts Info Free Buffers = 80000 (80000)

Zero Day AID State Free Buffers = 6000 (6000)

Zero Day Component AID State Free Buffers = 30000 (30000)

Hosts State Info Buffer Allocation Failed = 0

Correlation AID State Buffer Allocation Failed = 0

Component AID State Buffer Allocation Failed = 0

3 IPS CLI コマンド - デバッグモードmaidstat


Peer Hosts Info Buffer Allocation Failed = 0

Zero Day AID State Buffer Allocation Failed = 0

Zero Day Component AID State Buffer Allocation Failed = 0

MAID Table Lookup Failed = 0

MAID Total Memory Used = 8980000

適用先:


matdChnstate WORDSensor-ATD サーバのチャネルステータスを構成します。

構文:

matdChnstate WORD

適用先:


nsmChanState WORDこのコマンドは、Sensor と Manager 間の SSL チャネルを表示、有効、無効にします。このコマンドはプライマリ

およびセカンダリ Manager の SSL チャネルに適用できます。

構文:

nsmChanState <on|off|status>

例:

IntruDbg#> nsmChanState status

nsmChan is On

適用先:


ntbaChnstateSensor と NTBA 間のチャネルを設定します。

構文:

ntbaChnstate <on> <off>

IPS CLI コマンド - デバッグモードmatdChnstate WORD 3



<on> Sensor と NTBA 間のチャネルを確立します

<off> Sensor と NTBA 間のチャネルを停止します

例:

ntbaChnstate on適用先: M シリーズおよび仮想 IPS Sensor。

pptsetprioritytrafficratioパケット処理中に通常の優先度のトラフィックと比べて、トラフィックに高優先度を与える率を設定します。

構文

pptsetprioritytrafficratio

デフォルト値は 3 です。この場合、高優先度パケットキューから 3 パケットが処理されるごとに、通常の優先度パケ

ットキューから 1 パケットのみが処理されます。

1 ～ 5 の値で率を設定できます。優先度がも低いものには 1 を、も高いものには 5 を設定します。

適用先:


reset debugmode passwdデバッグモードへの切り替え時に入力するパスワードをリセットします。

このコマンドは、デバッグモードでのみ実行できます。

構文:reset debugmode passwd

適用先:


resetalertstatsアラートチャネルの統計をリセットします。

構文:resetalertstats

出力例:

IntruDbg#> resetalertstats

Alert and Log statistics reset to zero

3 IPS CLI コマンド - デバッグモードpptsetprioritytrafficratio


適用先:


reset ratelimitstats帯域制限の統計をリセットします。

構文:

reset ratelimitstats (1A|1B|2A|2B|3A|3B|4A|4B|5A|5B|6A|6B|7A|7B|8A|8B|9A|9B|10A|10B|11A|11B|12A|12B|13A|13B|14A|14B|all)

適用先:


rspstatデータパス応答関連の統計を表示します。このコマンドにパラメータはありません。

構文:

rspstat

出力例:

IntruDbg#> rspstat

datapath 19 :

Number of TCP RST's sent:0

Number of ICMP Msg's sent:0

Number of VIDS's :0

Number of Common AttackIds:912865040

Number of Attacks dropped:0

Number of packets received with Invalid VIDS Id:0

Number of packets received with Invalid AttackId:0

Count of out of list errors:0

Number of Failover Packets freed:0

Number of Attack Packets freed:0

Number of Attacks received:0

Number of packets received from PRPT:0

Packets freed due to 'block' policy:0

Number of packets forwarded inline:0

Number of alerts with NO_RESP action:0

IPS CLI コマンド - デバッグモードreset ratelimitstats 3


Number of System events received:0

Number of alerts suppressed by filters:0

Number of attacks throttled:0

Number of ARP packets received:0

Number of 'dropAlerts Only' throttled:0

TCP attacks dropped due to blocking:0

UDP attacks dropped due to blocking:0

ARP attacks dropped due to blocking:0

IP attacks dropped due to blocking:0

適用先:


sensor perf-debug showSensor で観察されている上位 5 件のプロトコル統計を表示します。 Sensor のトラフィック詳細は、sensorperf-debug の時間設定を基にしています。

構文:

sensor perf-debug show

出力例:

IntruDbg#> sensor perf-debug show

No traffic detected on sensor

適用先:


sensor perf-debug upload-protoStats管理モジュールにデータパスのプロトコル統計をアップロードします。

構文:

show perf-debug upload-protoStats

適用先:


3 IPS CLI コマンド - デバッグモードsensor perf-debug show


sensor-scan-during-updateシグネチャファイルの更新中にハイパースキャンを有効/無効にするか、ハイパースキャンのステータスを表示しま

す。

構文:

sensor-scan-during-update-<enable>|<disable>|<show>


<enable> シグネチャファイルの更新中にハイパースキャンを有効にします。

<disable> シグネチャファイルの更新中にハイパースキャンを無効にします。

<show> シグネチャファイルの更新中にハイパースキャンのステータスを表示します。

出力例:

IntruDbg#> sensor-scan-during-update-showHyper scan status is ENABLED

例:

sensor-scan-during-update-show適用先: M シリーズおよび NS シリーズ Sensor。

set aidlog特定の攻撃 ID の詳細を記録します。攻撃 ID あたり大 3 つのログが追加されます。これらのログは /tftpboot/aidlog/ に生成されます。

構文:set aidlog <off> <enable <WORD> | disable <WORD>>

<WORD> は攻撃 ID です。


<off> すべての有効な攻撃の記録がオフになりますが、既存のログは保持されます。

<enable> 攻撃 ID のログをオンにします

<disable> 攻撃 ID のログをオフにします

aidlog は 1 回あたり 4 つの攻撃に対して有効にできます。

適用先:


set amchannelencryptionマルウェア対策のチャネル暗号化状態を設定します。

構文:

set amchannelencryption <on | off>

IPS CLI コマンド - デバッグモードsensor-scan-during-update 3


適用先:


set console muxこれはデバッグオプションです。フロントエンドおよびバックエンドプロセッサのコンソールオプションを有効ま

たは無効にします。

構文:

set console mux <on|off>

適用先:


set http-rspHTTP 応答スキャンを有効または無効にします。

構文:

set http-rsp <enable>|<disable>


<enable> HTTP 応答スキャンを有効にします

<disable> HTTP 応答スキャンを無効にします

例:

set http-rsp enable適用先: NS シリーズ Sensor。

set inline drop packet logSensor のログファイルに記録されるドロップされたパケットの大数を設定します。

構文:

set inline drop packet log <0-255>

出力例:

IntruDbg#> set inline drop packet log 200

set inline drop packet log 200

適用先:


3 IPS CLI コマンド - デバッグモードset console mux


set inline traffic prioritizationネットワークの負荷が高い場合、SPAN トラフィックよりもインライントラフィックが優先されます。デフォルトで

有効になっていますが、CLI で設定できます。このコマンドを使用して、ステータスを確認できます。

構文

set inline traffic prioritization <enable | disable>

適用先:


set intfport id特定のギガビットイーサネットモニタリングポートに、adminstatus、operatingmode、 flowcontrol、speed、duplex などを設定します。

このコマンドのすべてのパラメータを使用する必要はありません。

構文:set intfport id <port> <mediatype copper | optical> <adminstatus up | down> <duplexfull|half> <flowcontrol gig | auto> <operating mode ifo | ifc | tap| span> <speed100MBPS|10GBPS|10MBPS|1GBPS|1GBPS-auto>


<port> Sensor で有効な Ethernet モニタリングポート

• M シリーズの有効なポート番号は次のとおりです。1A | 1B | 2A | 2B | 3A | 3B| 4A | 4B |5A | 5B | 6A | 6B | 7A | 7B | 8A | 8B

• NS シリーズの有効なポート番号は次のとおりです。G0/1 | G0/2 | G1/1 | G1/2 | G1/3 |G1/4 | G1/5 | G1/6 | G1/7 | G1/8 | G1/9 | G1/10 | G1/11 | G1/12 | G2/1 | G2/2 | G2/3| G2/4 | G2/5 | G2/6 | G2/7 | G2/8 | G2/9 | G2/10 | G2/11 | G2/12 | G3/1 | G3/2 |G3/3 | G3/4 | G3/5 | G3/6 | G3/7 | G3/8

<mediatype> インターフェースのメディアタイプを銅線または光ファイバーに設定します

<adminstatus> インターフェースポートを有効または無効にします

<duplex> インターフェースポートを全二重または半二重に設定します

<operating mode> 操作モードをインラインフェールオープン、インラインフェールクローズ、tap、または spanに変更します

<speed> インターフェースポートの速度を 100MBPS、10GBPS、10MBPS、1GBPS、または 1GBPS オートネゴシエーションに設定します

例:set intfport id 4B speed 1GBPS-auto

適用先:


IPS CLI コマンド - デバッグモードset inline traffic prioritization 3


set ipfragデータパスで IP フラグメントの再構築処理を有効または無効にします。

構文:set ipfrag <on | off>

適用先:


set ipsforunknownudp不明な UDP パケットの IPS 処理のステータスを設定します。

構文:

set ipsforunknownudp <enable | disable>

適用先:


set l3データパスでレイヤ 3 パケット処理を有効または無効にします。

Sensor を再起動した場合、この設定を再構成する必要があります。

構文:set l3 <on | off>

適用先:


set l7データパスでレイヤ 7 パケット処理と攻撃検知を有効または無効にします。


構文:set l7 <on | off>

適用先:


3 IPS CLI コマンド - デバッグモードset ipfrag


set l7ddosresponseレイヤ 7 の DDoS 応答ステータスを設定します。

構文:

set l7ddosresponse <enable | disable>

適用先:


set loglevel各 Sensor 処理単位でモジュールにログレベルを割り当てます。

構文:set loglevel <all | dos | dp | mgmt>

適用先:


set loglevel dosDoS モジュールメッセージのログレベルを設定します。

構文:show loglevel dos (all | <0-21>) <0-16>


IntruDbg#> set loglevel dos all 1

WARNING!!!:Changing the log level can adversely affect sensor performance.This shouldbe used selectively under guidance from Support or Development.

Excessive logging can result in sensor reboot.

Please enter Y to set loglevel now:Y


set loglevel dp WORDsibyte モジュールメッセージのログレベルを設定します。

構文:

set loglevel dp WORD (all | <0-67>) <0-16>


IntruDbg#> set loglevel dp WORD all 10

IPS CLI コマンド - デバッグモードset l7ddosresponse 3





適用先:


set loglevel mgmnt管理モジュールメッセージのログレベルを設定します。

構文:set loglevel mgmt (all | <0-12>) <0-15>


IntruDbg#> set loglevel mgmt 5 15




適用先:


set malware split session parsingこのコマンドは、複数のセグメントとしてダウンロードされたファイルのマルウェア検査を有効または無効にします。

構文:

set malware split session parsing <on/off>

適用先:


set malwareEngineこのコマンドは、次のマルウェアエンジンを有効/無効にして、高度なマルウェア検査を実行します。

構文:

set malwareEngine <pdf|flash|gti|gam|atd|mapk > <enable|disable>

パラメータ:

3 IPS CLI コマンド - デバッグモードset loglevel mgmnt



pdf|flash|gti|gam|atd|mapk

有効にするマルウェアを入力します。

• NSP 解析 • Advanced Threat Defense

• GTI ファイルレピュテーション • McAfee クラウド

• Gateway Anti-Malware (GAM)

enable マルウェアエンジンを有効にします

disable マルウェアエンジンを無効にします

出力例:

IntruDBg#> set malwareEngine pdf enable

Successfully set pdf engine state to enable

適用先:


set mgmtprocessrestartセンサーは管理モジュールプロセスのクラッシュが原因でしばしば再起動し、その結果ダウンタイムが生じします。

このコマンドを使用することで、再起動サイクルをすべて実行しなくても、センサーが通常の機能を回復する管理モ

ジュールプロセスの再開できます。

次の 4 つのプロセスのうちいずれかがクラッシュ、または停止した場合、システムはこれらを自動的にすべて再始動

しようとします。

• Zebra (個別プロセス - 約 3～5 秒必要)

• プロセスグループ:プロセスのいずれか (コントロールチャネル/相関エンジン/pktlog ) がダウンすると、3 つすべ

てが停止し、次のシーケンスで開始します。

• 相関エンジン (プロセスグループ - 約 15～20 秒必要)

• パケットログチャネル (プロセスグループ)

• コントロールチャネル (プロセスグループ)

構文:

set mgmtprocessrestart enable

このコマンドは管理モジュールプロセスの再起動を有効にするために使用します。

set mgmtprocessrestart disable

このコマンドは管理モジュールプロセスの再起動を無効にするために使用します。

IPS CLI コマンド - デバッグモードset mgmtprocessrestart 3


コントロールチャネルグループが再起動する場合は、Manager でアラートと PktLog のチャネルフラップが生じま

す。このフラップの理由は Manager 側では不明で、Manager への通信手段を維持するプロセス (アラートチャネル)が再起動されるために生じるものです。 events.log ファイルのセンサーではログに記録されません。

• プロセスの再起動は、センサーの既定のログでのみ参照可能で、CLI では参照できません。

• プロセスが 1 時間以内に 3 回以上クラッシュ/停止すると、設定に応じて、センサーは自動復元またはウォーム再

起動を行います。

• この機能は、デフォルトで有効になっています。

• デバッグ管理問題のため、ウォッチドッグをオフにしたままにすることが可能です。センサーは問題のある状態

のままになり、復元を行ないません。

適用先:


set ms-officeMS Office の応答デコードを設定します。

構文:

set ms-office <enable|disable|max|pktCnt>


enable MS Office の応答デコードを有効にします

disable MS Office の応答デコードを無効にします

max フローごとにデコードする際の MS Office の大ビン

pktCnt MS Office の応答パケット数

例:

set ms-office enable適用先: NS シリーズ Sensor。

set nianticrecoveryこのコマンドは、Niantic の送信が停止した場合に自動復元を有効または無効にします。


構文:

set nianticrecovery

適用先:

NS-9x00 シリーズ Sensor

関連トピック: 195 ページの「show nianticrecovery status」

3 IPS CLI コマンド - デバッグモードset ms-office


show nianticrecovery statusこのコマンドは、Niantic の送信の中止が検出された場合に自動復元が有効になっているかどうかを表示します。

構文:

show nianticrecovery status

適用先:

NS-9x00 シリーズ Sensor

関連トピック: 194 ページの「set nianticrecovery」

set recon偵察攻撃検出を有効または無効にします。


構文:set recon <on | off>

適用先:


show 40to10conversion statusこの CLI コマンドは、NS9x00 Sensor の G0 ポート (G0/1 および G0/2) のステータスを表示します。

構文:

show 40to10conversion status

出力例:

IntruDbg#> show 40to10conversion status

40to10 conversion is DISABLED ret(0)

適用先:

NS9100 および NS9200 Sensor。

show aidlog status攻撃 ID のロギング状態を表示します。

構文:show aidlog status

IPS CLI コマンド - デバッグモードshow nianticrecovery status 3


出力例:IntruDbg#> show aidlog status

Attack id log : On

適用先:


show all datapath error-countersデータパスパケット処理で様々なエラーと国が表示されます。

構文:

show all datapath error-counters

出力例:

IntruDbg#> show all datapath error-counters

Error Counter From Datapath id: 0

========================================================

Error Counter of L3 Task

========================================================

l3CheckAndTriggerPktDelayCnt :0

ipOffsetLenIndxErrCnt :0

udpOffsetLenIndxErrCnt :0

icmpCksumErrCnt :0

tcpOffsetLenIndxErrCnt :0

tcpRstErrCount :0

tcpIllegalPktErrCount :0

tcpInvalidStateErrCount :0

tcpWindowErrCount :0

tcpNoFlowErrCount :0

l7PsErrCount :0

numFOPktsSentError :0

numErrSendingPktToPME :0

l3FFPipeAddErrors :0

sslErrorDecRxPkt :0

binDectErrorDecRxPkt :0

ipOffsetLenIndxErrMMCnt :0

3 IPS CLI コマンド - デバッグモードshow all datapath error-counters


ipv6OffsetLenIndxErrCnt :0

ipv6OffsetLenIndxErrMMCnt :0

iprfErrCount :0

iprfOffsetLenIndxErrCnt :0

tcpErrCount :0

tcpPawsErrCount :0

tcpNoFlowErrFFMatchedFlag :0

udpErrCount :0

udpNoFlowErrCount :0

udpProbeErrCnt :0

tcpSensorDestinedErrCnt :0

tcpIprfSensorDestinedErrCnt :0

fbdToFpgaErrorCount :0

icmpErrCount :0

otherIPErrCount :0

otherIPv6ErrCount :0

cSegDataLenErrCnt :0

icmpv6CksumErrCnt :0

icmpv6ErrCount :0

arpErrPktCount :0

fbdSendErrors :0

fbdPktInitErrorCount :0

icmpNoFlowErrCount :0

icmpv6NoFlowErrCount :0

vlanBrConfigErrorCount :0

vlanBrMappingErrorCount :0

========================================================

Error Counter of Response Task

=========================================================

numStatSendError :0

acrbCorrelateErrorCnt :0

numStatLogIdError :0

numStatLogFlowIdError :0

IPS CLI コマンド - デバッグモードshow all datapath error-counters 3


numStatLogSendError :0

numErrCreateLogId :0

numStatErrorDeleteLogId :0

alert_buf_alloc_err :0

alert_buf_getSemErr :0

alert_buf_retSemErr :0

alert_msgSemErr :0

l7Dcap_buf_alloc_error :0

numStatRngBufFull :0

l7_dcap_rngBuf_errors :0

cb_inactive_errors :0

numStatListsError :0

numErrSetTcpTask :0

========================================================

Error Counter of SSLtask

=========================================================

sslPktNoContextErrors :0

ssl_decrypt_v2MasterErrs :0

ssl_decrypt_v3PreMasterErrs :0

dssl_cryptoErr :0

dssl_otherErrs :0

ssl_error :0

pkbufSaeCrtError :0

pkbufSaeDestErrors :0

pkbufSaeFragErrors :0

pkbufSendCryptErrors :0

pkbufSendRsaErrors :0

sessionFreeErr :0

ssl_type_error :0

========================================================

Error Counter of Scan Task

=========================================================

ScanGetFifoErrors :0



========================================================

Error Counter of L7 Task

=========================================================

l7UnhandledErrorCount :0

eofPktErr :0

l7CntrHardwarePMEPacketErrorCt :0

l7CntrBScanErrors :0

l7CntrPMEDequoteErrorCt :0

l7RcvRbInPipeErrors :0

AtdtCntrResponseModuleErrorsOnAttackRaise:0

ddAllocErr :0

dequoteErrNoFree :0

========================================================

Error Counter of TcpUdpTask

=========================================================

tu4NacDirectIndexErrorCount :0

hqCtrlPktErrorCount :0

AclClientConnectionErr :0

AclClientMsgErrCount :0

nacHttpRedirectErrorCount :0

tcpConnAckPAWSErrCounter :0

tcpConnAckWinErrCounter :0

tcpConnAckWin0ErrCounter :0

tcpCBArrayIdxErr :0

tuErrorSendEOFCount :0

tuErrorSendEOFSemCount :0

tuEofFlowBufFlowIdErrCnt :0

========================================================

Error Counter of TlvTask

=========================================================

BadEccErrort :0

CorEccErrort :0

xff_buf_alloc_err :0



ipChkSumErrorDropCount :0

tcpChkSumErrorDropCount :0

udpChkSumErrorDropCount :0

icmpChkSumErrorDropCount :0

icmpv6ChkSumErrorDropCount :0

offHdrLenErrorDropCount :0

tcpProtocolErrorCount :0

udpProtocolErrorCount :0

icmpProtocolErrorCount :0

icmpv6ProtocolErrorCount :0

ipProtocolErrorCount :0

ipv6ProtocolErrorCount :0

L3L4ErrorDropCount :0

========================================================

Error Counter of hscan

=========================================================

ivHsConsumeTokenErrors :0

ivHsMakeStatePoolErrors :0

ivHsNonStreamNoDbErrors :0

resFromMgmtHashErr :0

resFromMgmtTimerErr :0

resFromMgmtErrorMgmt :0

resFromMgmtErrorArtemis :0

rstErr :0

TkdtCntrHwarePMResultErrors :0

========================================================

Error Counter of sw-pm

=========================================================

g_numErrsSendingPktsToMSPM :0

g_numErrsSendingPktsToPCRE :0

g_pendingAllocErrs :0

g_ErrorExtPendingList1 :0






========================================================

Error Counter of IvCrpto

=========================================================

ivCrypto_rsaCommandErrs :0

ivCrypto_rsaPkcsErrs :0

ivCrypto_desLengthErrs :0

ivCrypto_desCommandErrs :0

ivCrypto_arc4CommandErrs :0

ivCrypto_aesLengthErrs :0

ivCrypto_aesCommandErrs :0

ivRemoteCryptoBadContextErrors :0

ivRemoteCryptoCtxInitFailedErrors :0

ivRemoteCryptoErrorsWhileCreating :0

ivRemoteCryptoErrorsWhileSending :0

ivRemoteCryptoCertMatchErrors :0

ivRemoteCryptoOpenCallCntWrapErrors :0

========================================================

Error Counter of IPFragTask

=========================================================

ip6CopyErrCount :0

ip6defragErrCount :0

dmIP6FragCallbackError :0

dmIP6LastFragCallbackError :0

ipCopyErrCount :0

ipdefragErrCount :0

numStatFifoError :0

numStatFragBuffersError :0

dmFragCallbackError :0

dmLastFragCallbackError :0

icmpFragErrCnt :0

sgapRspPktErrCnt :0



sgapReqPktErrCnt :0

sgapRSTPktErrCnt :0

========================================================

Error Counter of BDecode

=========================================================

smbGenericErrorMultipleHdrs :0

========================================================

Error Counter of IFSF

=========================================================

IFSFErr :0

========================================================

Error Counter of connLimiting

=========================================================

connRspRstErrCnt :0

connRspHostQErrCnt :0

putConnRefErrCnt[0] :0

putConnRefErrCnt[1] :0

適用先:


show amchannelencryption statusマルウェア対策のチャネル暗号化状態を表示します。

構文:

show amchannelencryption status

出力例:IntruDbg#> show amchannelencryption status

AntiMalware Channel Encryption status disabled

適用先:


show attack countデータパスで検出された攻撃の合計数を表示します。

構文:

3 IPS CLI コマンド - デバッグモードshow amchannelencryption status


show attack count

出力例:IntruDbg#> show attack count

Datapath 0 :

Total attacks detected = 6963

Datapath 1 :

Total attacks detected = 1674303

適用先:


show botnet-usageボットネットの使用および統計を表示します。

構文:show botnet-usage

出力例:

IntruDbg#> show botnet-usage

DAT File Status :Present

DAT File version : 778.0

Total IPv4 URL Entries :0

Total IPv4 URL Entries Successful LookUps :0

Total IPv6 URL Entries :0

Total IPv6 URL Entries Successful LookUps :0

Total URL Entries :1414

Total URL Entries Successful LookUps :0

Total Domain Entries :1783

Total Domain Entries Successful LookUps :0

Total Failed LookUps(False+/-) :0

Total Bot IPv4 Seen :0

Total Bot IPv6 Seen :0

Total Entries Allocated :720000

Total Entries Used :115092

Total Entries Skipped(Same Domain Multiple URI) :221

Total Entries Upgraded(Whole Domain Upgraded) :0

IPS CLI コマンド - デバッグモードshow botnet-usage 3


Total DNS Domain Black Entries Successful Lookups : 5

Total DNS Failed Lookups : 3

Total DNS Resp Parse Succ : 0

Total DNS Resp Parse Failure : 0

Total DNS Resp Domains extracted successfully : 0

Total DNS Resp parsing forced complete : 0

Total DNS Resp A records extracted successfully : 0

Total DNS Resp AAAA records extracted successfully : 0

Total DNS Resp A records extraction failures : 0

Total DNS Resp AAAA records extraction failures : 0

Total exception matches found : 5

Total DAT black domain entries : 1316

DNS Sinkhole IP : 0x7f000001

DNS Sinkhole TTL (min) : 1

適用先:


show cads channelSensor と CADS 間のチャネルタイプを表示します。

構文:

show cads channel出力例:

IntruDbg#> show cads channel

CADS NSP channel type:TCP

例:

show cads channel適用先: M シリーズおよび NS シリーズ Sensor。

show connlimithost接続制限ホストテーブルの統計を表示します。

構文:show connlimithost

出力例:

3 IPS CLI コマンド - デバッグモードshow cads channel


IntruDbg#> show connlimithost

[connLimiting HostTbl Stats]

Max Host Cnt : 131072

Current Host Cnt : 0

適用先:


show connlimitstat接続制限統計を表示します。

構文:show connlimitstat

出力例:IntruDbg#> show connlimitstat

[connLimiting Stats]

Blocked Connection Cnt : 0

TCP RST Connection Cnt : 0

Quarantine Cnt : 0

Alert Cnt : 0

適用先:


show datapath processunitsデータパスで検出された処理単位数を表示します。

構文:show datapath processunits

出力例:

IntruDbg#> show datapath processunits

Datapath 0:

Process unit count 1

Process priority unit count 0

Datapath 1:

Process unit count 0

Process priority unit count 0

IPS CLI コマンド - デバッグモードshow connlimitstat 3


適用先:


show doscfgこのコマンドを実行すると、フロントエンドの設定が表示されます。

構文:

show doscfg

出力例:

IntruDbg#> show doscfg

Layer2 assert

INTF PORT 0

AdminStatus UP

OperatingMode INLINE_FAIL_CLOSED

Duplex :FULL

InOutType INSIDE

Mdix setting :DISABLED

10/100 Port Speed :NOT APPLICABLE

GigSpeedConfig AUTONEG

適用先:


show fe statshow fe stat コマンドは、フロントエンドプロセッサの統計情報を表示します。

構文:

show fe stat

出力例:

IntruDbg#> show fe stat

No credit to forward a packet inline, Packets dropped count:0

No credit to forward a packet to datapath, Packets dropped count:0

Total IPV6 Packets count:0

Total MPLS Packets count:0

Total Double VLAN Packets count:0

3 IPS CLI コマンド - デバッグモードshow doscfg


Total No feSwitch Tag Packets count:0

The packet CRC error, Packets dropped count:0

The packet Tx Abort error count:0

The packet Tx Underrun error count:0

RGmac Free Credit counter is 128

RGmac Tx0 Bucket is 32

RGmac Free In Descriptors is 9999 (10000)

RGmac Tx Descriptors is 0

RGmac Rx Pkt Counter is 42

RGmac Rx FCS Error Counter is 0

RGmac Rx Len Error Counter is 0

RGmac Tx Pkt Counter is 42

RGmac Tx FCS Error Counter is 0

適用先:


show feature statusこの CLI コマンドは、次の機能のステータスが有効/無効になっているかを表示します。

• HTTP 応答スキャン • Web サーバー保護

• NTBA • マルウェア検出

• ヒューリスティック Web アプリケーション • IP レピュテーション

• L7 データ収集 • デバイスプロファイリング

• X-Forwarded-For • IPS シミュレーション

• 高度なボットネット検出 • SSL 復号

• 高度なトラフィック検出 • GTI サーバー

構文:

show feature status

出力例:

IntruDbg#> show feature status

HTTP Response Scanning : Disabled

NTBA : Disabled

Heuristic Web Application : Disabled

IPS CLI コマンド - デバッグモードshow feature status 3


L7 Data Collection : Disabled

X-Forwarded-For : Disabled

Advanced Botnet Detection : Disabled

Advanced Traffic Detection : Disabled

Web Server Protection : Disabled

IP Reputation : Disabled

Device Profiling : Disabled

IPS Simulation : Disabled

Malware Detection : Disabled

SSL Decryption : Disabled

GTI Server : Enabled

適用先:


show feswitch portこのコマンドは、さまざまなネットワークプロセッサのフロントエンドのスイッチ統計を表示します。

構文:

show feswitch port <a1 | a2 | b1 | c1>

出力例:

IntruDbg#> show feswitch port a1



Total CRC Errors Received :0

Total CRC Errros Sent :0

Total Other Errors Received :0


適用先:


show gam scan stats

構文

show gam scan stats

3 IPS CLI コマンド - デバッグモードshow feswitch port


出力例

Local GAM Scan Statistics:

--------------------------

Total scan requested: 2

Total scan submitted to GAM: 2

Total Successful Scans: 2

Total Scan Failures: 0

Total scan misc error count: 0

Total scan req skipped due to filesize mismatch: 0

Total scan req skipped due to timeout in Queue : 0

適用先:


show gmacこのコマンドは、gmac 統計を表示します。

構文:show gmac

出力例:

IntruDbg#> show gmac

RGmac Free Credit counter is 128

RGmac Tx0 Bucket is 32

RGmac Free In Descriptors is 9999 (10000)

RGmac Tx Descriptors is 0

RGmac Rx Pkt Counter is 42

RGmac Rx FCS Error Counter is 0

RGmac Rx Len Error Counter is 0

RGmac Tx Pkt Counter is 42

RGmac Tx FCS Error Counter is 0

適用先:


IPS CLI コマンド - デバッグモードshow gmac 3


show http-ms decode statsMS Office マルウェアエンジンのデコード関連の設定を表示します。

構文:

show http-ms decode stats出力例:

IntruDbg#> show http-ms decode statsHTTP response decoding status : DISABLED(For all physical interfaces)

MS-Office response decoding status : DISABLED(For all physical interface)

Maximum size of decode content per flow : 52428800

Ms-Office supported max bin no. : 25

Ms-Office Max Pkt per stream : 5

例:

show http-ms decode stats適用先: NS シリーズ Sensor。

show inline traffic prioritization statusネットワークの負荷が高い場合、SPAN トラフィックよりもインライントラフィックが優先されます。デフォルトで

有効になっていますが、CLI で設定できます。このコマンドを使用して、ステータスを確認できます。

show inline traffic prioritization status

出力例

Inline Traffic Prioritization Status enabled

適用先:M シリーズ、NS シリーズ、および仮想 IPS Sensor。

show ipsforunknownudp status不明な UDP パケットの IPS 処理の設定ステータスを表示します。

構文:

show ipsforunknownudp status

出力例:

IntruDbg#> show ipsforunknownudp status

IPS for Unknown UDP is enabled

適用先:


3 IPS CLI コマンド - デバッグモードshow http-ms decode stats


show ipfrag statusIP フラグメント再構築処理のステータスを表示します。

構文:show ipfrag status

出力例:IntruDbg#> show ipfrag status

IP Fragment processing enabled

適用先:


show l3 statusデータパスでのレイヤ 3 パケット処理の状態を表示します。

構文:show l3 status

出力例:IntruDbg#> show l3 status

Layer3 processing enabled

適用先:


show l7 statusデータパスでのレイヤ 7 プロトコル解析と攻撃検出ステータスを表示します。

構文:show l7 status

出力例:IntruDbg#> show l7 status

Layer7 processing enabled

適用先:


show l7dcap-usage構文:show l7dcap-usage

IPS CLI コマンド - デバッグモードshow ipfrag status 3


show l7dcap-usage コマンドでは以下の情報が表示されます。

• 初期化時に割り当てられたレイヤ 7 Dcap バッフ

ァ

• レイヤ 7 Dcap アラートバッファ割り当てエラー

• 現在使用可能なレイヤ 7 Dcap バッファ • 送信済みのレイヤ 7 Dcap Regular アラート

• レイヤ 7 Dcap バッファの割り当てエラー • 送信済みのレイヤ 7 Dcap Special アラート

• 割り当てられたレイヤ 7 Dcap アラートバッファ • 送信済みのレイヤ 7 Dcap Context End アラート

• 使用可能なレイヤ 7 Dcap アラートバッファ • DCAP 呼び出し時にアクティブでないレイヤ 7Dcap CB

出力例:IntruDbg#> show l7dcap-usage

Layer-7 Dcap Buffers Allocated at Init 5600

Layer-7 Dcap Buffers Available now 5565

Layer-7 Dcap Buffers Alloc Errors 0

Layer-7 Dcap Alert Buffers Allocated 16384

Layer-7 Dcap Alert Buffers Available 16384

Layer-7 Dcap Alert Buffers Allocate Error 0

Layer-7 Dcap Regular Alert's Sent 0

Layer-7 Dcap Special Alert's sent 0

Layer-7 Dcap Context End Alert's Sent 0

Layer-7 Dcap CB InActive when DCAP Called 0

Layer-7 Dcap Ring Buffer Errors 0

Alert Ring Buffer Full Cnt 0

Num Alerts Dropped at Sensors 0

Layer-7 Dcap Fifo Check Seen 0


show l7ddosresponse statusこのコマンドは、レイヤ 7 の DDoS 応答が有効かどうかを表示します。レイヤ 7 の DDoS 応答は、デフォルトで有

効になっています。有効になっている場合、Sensor はサーバーベースの DDoS 機能 (これにより、Web サーバーへ

の大同時接続数がしきい値を超えます) を持つパケットをドロップします。クライアントベースの DDoS 機能 (これにより、大 URL リクエスト速度がしきい値を超えます) を隔離します。

構文:

show l7ddosresponse status

出力例:

3 IPS CLI コマンド - デバッグモードshow l7ddosresponse status


IntruDbg#> show l7ddosresponse status

L7ddos Response Status enabled

適用先:


show layer2 portlevelSensor ポートペアの layer2 設定の構成を表示します。

構文:

show layer2 portlevel

出力例:

IntruDbg#> show layer2 portlevel

Currently no port pair have layer2 config enabled

適用先:


show layer2 reasonこのコマンドは Sensor がレイヤ 2 モードに移動された理由を表示します。

構文:

show layer2 reason

出力例:

IntruDbg#> show layer 2 reason

Layer2 reason: assert

Sensor はアクティブフローのクリア中、レイヤ 2 に移行します。

適用先:


show malwareEngine status次のマルウェアエンジンのステータスを表示します。

• GTI ファイルレピュテーション • Advanced Threat Defense

• NSP 解析 • McAfee クラウド

• Gateway Anti-Malware (GAM)

IPS CLI コマンド - デバッグモードshow layer2 portlevel 3


構文:

show malwareEngine status

出力例:

IntruDBg#> show malwareEngine status

NSP Analysis(pdf) : Enable

GTI Engine : Enable

GAM Engine : Enable

ATD Engine : Enable

NSP Analysis(flash) : Enable

Mobile APK Engine : Enable

NSP Analysis(office) : Enable

適用先:


show malwareclientstatsサポートされているすべてのファイルタイプのすべてのスキャンエンジンにマルウェアクライアントの統計を表示

します。

構文:show malwareclientstats

出力例

IntruDbg#> show malwareclientstats

Core id range is not selected, Displaying ALL

-----------------------------------

SOFA CLIENT FILE-ENGINE STATISTICS:

-----------------------------------

SOFA CLIENT FILE TYPE PDF Files (3) STATISTICS:

-----------------------------------

Dcap Start Cnt:1

Dcap End Cnt: 2

Dcap End-At-Offset Cnt:0

New-File-Dwnld Pkt Cnt:1

File-Data Pkt Cnt: 457

Scan-Req Pkt Cnt:1

3 IPS CLI コマンド - デバッグモードshow malwareclientstats


Error-Out Pkt Cnt:1

New-File-Dwnld-Rsp Pkt Cnt:0

Scan-Rsp Pkt Cnt:1

Error-In Pkt Cnt:0

Session Timer Allocated: 1

Session Timer Freed:1

Session Timer Triggered:0

Scan Timer Allocated: 0

Scan Timer Freed:0

Scan Timer Triggered:0

Pkt-Hold Timer Allocated: 1

Pkt-Hold Timer Freed:1

Pkt-Hold Timer Triggered: 1

SOFA CLIENT STATISTICS PDF_JS EMULATOR ENGINE FOR FILE TYPE PDF Files (3):

Scan Req Cnt: 1

Scan Rsp Cnt: 1

Scan Rsp Rcvd Within Pkt-Hold Tmr:0

Scan Rsp Rcvd Within Scan Tmr:0

Scan Rsp Rcvd Within Sess Tmr : 1

Scan Rsp Discarded:0

Error Result Cnt :0

L7-DCAP Copy Cnt:0

L7-DCAP Copy Error Cnt:0

Resp-Action Block: 4

Resp-Action No-Block:0

Resp-Action Alert: 4

Resp-Action No-Alert:0

Resp-Action TCP-Reset: 4

Resp-Action No-TCP-Reset :0

Clean Files:0

Malware Score Very-Low:0

Malware Score Low:0

Malware Score Medium: 2

IPS CLI コマンド - デバッグモードshow malwareclientstats 3


Malware Score High:0

Malware Score Very-High: 2

Malware Score Unknown: 0

SOFA CLIENT STATISTICS FLASH ENGINE FOR FILE TYPE PDF Files (3):

Scan Req Cnt:0

Scan Rsp Cnt:0



Scan Rsp Rcvd Within Sess Tmr :0


Error Result Cnt :0

L7-DCAP Copy Cnt:0


Resp-Action Block:0


Resp-Action Alert:0


Resp-Action TCP-Reset:0


Clean Files:0


Malware Score Low:0

Malware Score Medium:0


Malware Score Very-High:0


SOFA CLIENT STATISTICS Mobile Cloud ENGINE FOR FILE TYPE PDF Files (3):

Scan Req Cnt:0

Scan Rsp Cnt:0







Error Result Cnt :0

L7-DCAP Copy Cnt:0


Resp-Action Block:0


Resp-Action Alert:0




Clean Files:0


Malware Score Low:0





SOFA CLIENT STATISTICS Gateway Anti-Malware ENGINE AND FILE TYPE PDF Files (3):

Scan Req Cnt:0

Scan Rsp Cnt:0





Error Result Cnt :0

L7-DCAP Copy Cnt:0


Resp-Action Block:0


Resp-Action Alert:0




Clean Files:0




Malware Score Low:0





SOFA CLIENT STATISTICS GTI File Reputation ENGINE AND FILE TYPE PDF Files (3):

Scan Req Cnt:0

Scan Rsp Cnt:0



Scan Rsp Rcvd Within Sess Tmr: 0


Error Result Cnt: 0

L7-DCAP Copy Cnt:0


Resp-Action Block:0


Resp-Action Alert:0



Resp-Action No-TCP-Reset: 0

Clean Files:0


Malware Score Low:0





SOFA CLIENT STATISTICS FILE SAVE ENGINE AND FILE TYPE PDF Files (3):

Scan Req Cnt: 1

Scan Rsp Cnt: 1







Error Result Cnt: 0

L7-DCAP Copy Cnt:0


Resp-Action Block:0


Resp-Action Alert:0




Clean Files:0


Malware Score Low:0





SOFA CLIENT STATISTICS BLACKLIST ENGINE AND FILE TYPE PDF Files (3):

Scan Req Cnt:0

Scan Rsp Cnt:0





Error Result Cnt: 0

L7-DCAP Copy Cnt:0


Resp-Action Block:0


Resp-Action Alert:0






Clean Files:0


Malware Score Low:0





SOFA CLIENT STATISTICS Advanced Threat Detection ENGINE AND FILE TYPE PDF Files (3):

Scan Req Cnt:0

Scan Rsp Cnt:0





Error Result Cnt: 0

L7-DCAP Copy Cnt:0


Resp-Action Block:0


Resp-Action Alert:0




Clean Files:0


Malware Score Low:0







SOFA CLIENT STATISTICS Anti-Malware Engine (on Advanced Threat Defense ENGINE) ANDFILE TYPE PDF Files (3):

Scan Req Cnt:0

Scan Rsp Cnt:0





Error Result Cnt: 0

L7-DCAP Copy Cnt:0


Resp-Action Block:0


Resp-Action Alert:0




Clean Files:0


Malware Score Low:0





適用先:


show malwareserverstatsサポートされるすべてのファイルタイプのすべてのスキャンエンジンのマルウェアサーバーの統計を表示します。

構文:show malwareserverstats

出力例:

IntruDbg#> show malwareserverstats

IPS CLI コマンド - デバッグモードshow malwareserverstats 3


Packet Holder Statistics:

-------------------------

Pkt Hldr Alloc Cnt: 3502.

Pkt Hldr Free Cnt: 3499.

Pkt Hldr Alloc Error Cnt:0.

Packet Holder Error Statistics:

-------------------------------

Pkt hlder buf in Use and allocated again:0.

Pkt hlder buf double frees:0.

Write Holder Statistics:

------------------------

Write Hldr Alloc Cnt: 5.

Write Hldr Free Cnt: 5.

Write Hldr Alloc Error Cnt:0.

Session Node Statistics:

------------------------

Session Node Alloc Cnt: 1.

Session Node Free Cnt: 1.

Session Close Cnt: 1.

Session Node Alloc Error Cnt:0.

FileManager Node Statistics:

----------------------------

FM Node Alloc Cnt: 1.

FM Node Free Cnt: 1.

FM Alloc Err Cnt: 0.

FM Free Error Cnt:0.

Session Timer Statistics:

-------------------------

Session Timer Add Cnt: 1.

Session Timer Delete Cnt: 1.

Session Timer Trigger Cnt: 0.

Session Timer Reupdate Trigger Cnt:0.

Ctrl Msg Session Timer Cnt: 0.

3 IPS CLI コマンド - デバッグモードshow malwareserverstats


Session Timer Add Error Cnt: 0.

Scan Timer Statistics:

-----------------------

Scan Timer Add Cnt: 1.

Scan Timer Delete Cnt: 1.

Scan Timer Trigger Cnt:0.

Ctrl Msg Scan Timer Cnt:0.

Scan Timer Add Error Cnt:0.

SOFA Thread Load Statistics:

-----------------------------

Server Thread Load:0.

External Write Load:0.

Internal Write Load:0.

PDF-JS Scan Load:0.

NSM Write Load:0.

File Upload to NSM Load:0.

Flash Scan Thread Load: 0.

SOFA Control Message Statistics:

--------------------------------

Ctrl Msg via Socket Pkt Cnt: 435.

Ctrl Msg Pkt Processed by SOFA-Server: 437.

Ctrl Msg Read Error Cnt:0.

Ctrl Msg Sigfile Parse Msg Cnt:1.

SOFA Protocol Statistics:

-------------------------

Sibyte to SBC Pkt Read Cnt: 461.

Sibyte to SBC Pkt Processed by SOFA-Server: 461.

Sibyte to SBC Pkt Read Discard Cnt:0.

Sofa-Protocol New File Dwnld Req Pkt Cnt: 1.

Sofa-Protocol File Data Pkt Cnt: 457.

Sofa-Protocol Scan Req Pkt Cnt: 2.

Sofa-Protocol Error Msg In Pkt Cnt: 1.

Sofa-Protocol Pkt seq num mismatch cnt: 0.



Sofa-Protocol New File Dwnld Rsp Pkt Cnt:0.

Sofa-Protocol Error Msg Out Pkt Cnt: 0.

Sofa-Protocol Scan Rsp Pkt Cnt: 3.

Scan Rsp File Info Pkt Cnt: 1.

Multi-Flow New File Dwnld Req Pkt Cnt: 0.

Multi-Flow File Data Pkt Cnt: 0.

Multi-Flow Scan Req Pkt Cnt: 0.

Multi-Flow Error Msg In Pkt Cnt: 0.

Multi-Flow Md5 Calculated cnt: 0.

Multi-Flow Error Msg Out Pkt Cnt: 0.

Multi-Flow Scan Rsp Pkt Cnt: 0.

Multi-Flow Scan Rsp File Info Pkt Cnt: 0.

UDF Statistics:

---------------

UDF Scan-Q Add Cnt: 0.

Scan Rsp UDF Pkt Cnt: 0.

GTI File Reputation Statistics:

-------------------

File Reputation Scan-Q Add Cnt: 0.

Ctrl Msg Artemis Rslt Cnt: 0.

Scan Rsp Artemis Pkt Cnt: 0.

Artemis Request/Response Statistics:

-------------------

Total No. Sofa Artemis request received: 10.

Total No. Artemis request sent out: 10.

Total No. Artemis successful response: 8.

Nameserver connectivity errors: 1.

GTI nameserver malformed replies: 1.

Files unknown to GTI: 0.

GTI no data: 0.

Queries dropped due to configuration/memory: 0.

GTI bad queries: 0.

Unknown errors: 0.



NSP Analysis(pdf) Engine Statistics:

---------------------------

NSP Analysis(pdf) Scan-Q Add Cnt: 20.

NSP Analysis(pdf) Scan-DQ Cnt: 15.

NSP Analysis(pdf) Scan Discard Cnt: 2.

NSP Analysis(pdf) Scan Skip Cnt: 3.

NSP Analysis(pdf) Cache hit Cnt: 0.

NSP Analysis(pdf) Scan Skip Cnt: 0.

Ctrl Msg NSP Analysis(pdf) Rslt Cnt: 0.

Scan Rsp NSP Analysis(pdf) Pkt Cnt: 0.

NSP Analysis(flash) Engine Statistics:

---------------------------

NSP Analysis(flash) Scan-Q Add Cnt: 10.

NSP Analysis(flash) Scan-Q Skip Cnt(due to heavy load): 7.

NSP Analysis(flash) Scan Discard Cnt: 1.

NSP Analysis(flash) Cache hit Cnt: 1.

Ctrl Msg NSP Analysis(flash) Rslt Cnt: 0.

Scan Rsp NSP Analysis(flash) Pkt Cnt: 0.

Err Rsp NSP Analysis(flash) Pkt Cnt: 0.

NSP Analysis(office) Engine Statistics:

---------------------------

NSP Analysis(office) Scan-Q Add Cnt: 18.

NSP Analysis(office) Scan-Q Skip Cnt(due to heavy load): 2.

NSP Analysis(office) Scan Discard Cnt: 1.

NSP Analysis(office) Cache hit Cnt: 0.

Ctrl Msg NSP Analysis(office) Rslt Cnt: 0.

Scan Rsp NSP Analysis(office) Pkt Cnt: 0.

Err Rsp NSP Analysis(office) Pkt Cnt: 0.

Mobile Cloud Engine Statistics:

---------------------------

Mcafee Cloud Scan-Q Add Cnt: 0.

Mcafee Cloud Scan Discard Cnt: 0.

Mcafee Cloud Cache hit Cnt: 0.



Mcafee Cloud Ctrl Msg Rslt Cnt: 0.

Mcafee Cloud Scan Rsp Pkt Cnt: 0.

File Save Statistics:

---------------------

File Save Q Add Cnt: 1.

File Save DQ Cnt: 1.

File Save Discard Cnt:0.

Ctrl Msg File Save Rslt Cnt: 1.

Scan Rsp File Save Pkt Cnt: 1.

Gateway Anti Malware Statistics:

--------------------------------

Scan-Q Add Cnt:0.

Scan Rsp Pkt Cnt:0.

Advanced Threat Defense Dynamic Analysis Statistics:

---------------------------------

Scan-Q Add Cnt:0.

Scan Rsp Pkt Cnt:0.

NTBA and Advanced Threat Defense Protocol Statistics:

---------------------------------

Status Query Pkt Cnt:0 0

New Dwnld Req Pkt Cnt:0 0

File Data Pkt Cnt:0 0

Scan Req Pkt Cnt:0 0

Error Msg Out Pkt Cnt:0 0

Error Msg Out Pkt Err Cnt:0 0

New Dwnld Rsp Pkt Cnt:0 0

Scan Rsp Pkt Cnt:0 0

Error Msg In Pkt Cnt:0 0

Status Query Pkt Error Cnt:0 0

New Dwnld Req Pkt Error Cnt: 0 0

File Data Pkt Error Cnt:0 0

Scan Req Pkt Error Cnt: 0 0

NTBA and Advanced Threat Defense Channel Statistics:



----------------------------------

Callback Pkt Cnt:0.

Ctrl Msg NTBA/Advanced Threat Defense Pkt Cnt: 0.

Pkt Buf Alloc Cnt: 2604.

Pkt Buf Free Cnt: 2601.

Pkt Buf Alloc Fail Cnt:0.

Pkt Buf Free Fail Cnt:0.

Pkt Buf Malloc Cnt due to Large Pkt :0.

Pkt Null Exception:0.

Rcv Buf Null Cnt:0.

Wrong Channel Cfg:0.

SSL Pkt Rcv Err:0 0

Keep Alive Send Err Cnt:0 0

Keep Alive Miss Cnt:0 0

Keep Alive Sent Cnt:0 0

Keep Alive Response Cnt:0 0

Channel Initialization Attempt Cnt:0 0

NSM Protocol Statistics:

----------------------------------

MD5 Hash Query Pkt Cnt: 1

MD5 Hash Query Error Pkt Cnt:0

New Dwnld Req Pkt Cnt: 1

New Dwnld Req Error Pkt Cnt:0

File Data Pkt Cnt: 473

File Data Error Pkt Cnt:0

End of File Pkt Cnt: 1

End of File Error Pkt Cnt:0

New Dwnld Response Pkt Cnt: 1

New Dwnld Error Response Pkt Cnt:0

MD5 Hash Query Response Pkt Cnt: 1

Malware Cache Statistics:

----------------------------------

Cache Utilization %: 0.00 %



Cache Nodes utilized: 0

Cache Nodes Total available: 50000

# of times cache purged: 0

MD5 of last file extracted: 5d2d58437f1cde7e3823f0fb8d1f33


Status: down

Down Reason: By Configuration

[McAfee Advanced Threat Defense Communication]

Status: down

Down Reason: By Configuration

[McAfee SOFA Primary NSM Communication]

Status: Up

[McAfee SOFA MDR NSM Communication]

Status: Down

Down Reason: Error obtaining channel status

適用可能:


show matd channelAdvanced Threat Defense との通信のために Sensor が使用するチャネルを表示します。

デフォルトでは SSL チャネルが使用されます。 TCP チャネルと SSL チャネルを切り替えて、スキャン対象のファイ

ルを送信できます。

TCP チャネルを使用する場合は、Advanced Threat Defense でリスニングポート 8506 を設定します。 ATD アプライ

アンスから set nsp-tcp-channel CLI コマンドを実行して、TCP チャネルを有効または無効にしてください。

構文:show matd channel

出力例:

IntruDbg#> show matd channel

MATD NSP channel type:SSL

IntruDbg#> show matd channel

MATD NSP channel type:TCP

適用先:


3 IPS CLI コマンド - デバッグモードshow matd channel


show max cseg list count各 CPU の CSEG の大リスト数を表示します。

構文:

show max cseg list count出力例:

IntruDbg#> show max cseg list countCPU(1) Max Cseg List count: 1025

CPU(2) Max Cseg List count: 1026










例:

show max cseg list count適用先: NS シリーズ Sensor。

show mgmtcfgこのコマンドは、さまざまな管理 (コントロールパス) の設定を表示します。詳細には、ポート、パケットのログ記

録、アラートスロットル、レイヤの設定、TACAS、ACL、NTP、レーテンシーモニター、GTI プロキシなどの情報が

含まれます。このコマンドにパラメータはありません。

構文:

show mgmtcfg

出力例:

IntruDbg#> show mgmtcfg

FAILOVERGRP CFG

FailoverAction DISABLED

PeerIPaddr 0

HeartbeatTime 5

HeartbeatRetryCnt 3

IPS CLI コマンド - デバッグモードshow max cseg list count 3


FailoverMode STANDALONE

FailopenAction DISABLED

INTF PORT 0

EnableInternalTap TRUE

INTF PORT 1


INTF PORT 2


INTF PORT 3


INTF PORT 4


INTF PORT 5


INTF PORT 6


INTF PORT 7


INTF PORT 8


INTF PORT 9


INTF PORT 10


INTF PORT 11


INTF PORT 12


INTF PORT 13


INTF PORT 14


INTF PORT 15

3 IPS CLI コマンド - デバッグモードshow mgmtcfg



Packet Logging CFG

ServerIP 10.213.169.178

ServerPort 8503

Encryption ENABLED

ServerV6IP

Alert Throttle CFG

Threshold 1

Interval 120

Action ENABLED

Global Threshold 10

LAYER2 CFG

Mode ENABLED

Duration 10

Threshold 1

OccurrenceCnt 0

FirstTimeIdx 0

LastTimeIdx 0

OccurrenceTime[0] 0

OccurrenceTime[1] 0

OccurrenceTime[2] 0

OccurrenceTime[3] 0

OccurrenceTime[4] 0

OccurrenceTime[5] 0

OccurrenceTime[6] 0

OccurrenceTime[7] 0

OccurrenceTime[8] 0

OccurrenceTime[9] 0

RebootCount 0

TACACS CFG

Authentication Disabled

Traffic Encryption Enabled

Authorization Disabled

IPS CLI コマンド - デバッグモードshow mgmtcfg 3


ACL CFG

Alert Throttle MaxIp Pair 10

Alert Throttle Interval 120

Alert Throttle Action Enabled

Alert Throttle Threshold 5

Alert Direct to Syslog 1

NMS CFG

NMS User Write Access Status : Disabled

No NMS IPv4 Addresses are configured.

No NMS IPv6 Addresses are configured.

No NMS User's are configured.

MPE CFG

[Configured MPE details]

MPE Server IP address = 0.0.0.0

MPE Anonymous Port = 8443

MPE Listen Port = 8445

MPE Trusted Port = 8444

MPE Anonymous URI = /nac/certrequest

MPE Trusted URI = /nac/engine

MPE Connection Failure Timeout = 32

MNAC Agent GUID Port = 8444

MNAC OS Capability = 0

MNAC TTL Config = 131074

EZ-LOG-ALERT-THROTTLE CFG

Max IP Pair 10

Throttle Interval 120

Throttle Action Enabled

Throttle Threshold 5

Alert Direct to Syslog 1

SGAP CFG

Auth channel timeout 50

PERFPRMANCE ALERT CFG

Perf Alert Status 1



Perf Alert Parameters 60000000

Perf Alert Duration 3

THRESHOLD BASED ALARM CFG

Alarm Status 1

Alarm Duration 1

Number of Alarm Entries 1

Alarm Index : 3

Alarm Sample Type : 2

Alarm Raising Threshold : 90

Alarm Falling Threshold : 70

Alarm Startup Type : 1

Alarm Description : High Utilization

Alarm Sample Type Index : 0 0 0 0 0 0 0 0

MISCELLANEOUS CFG

Console Timeout = 15

SSH Inactive Timeout = 300

Management Intf MTU = 1500

Aux Port Status = Enabled

Auditlog Status = Disabled

Auditlogtomgr Status = Disabled

Mgmt Autorecovery Status = Enabled

Host Persistence Config 1

Artemis Threshold Config 1

Pdf Cache = Enabled

Flash Cache = Enabled

Msas Cache = Enabled

Miscellaneous Flags 2

SCP CFG

SCP IPv4 = 10.213.173.1

NTP CFG

NTP Server1 IPv4 0.0.0.0

NTP Server1 IPv6 = ::

POLL 6

IPS CLI コマンド - デバッグモードshow mgmtcfg 3


AUTH DISABLE

NTP Server2 IPv4 0.0.0.0

NTP Server2 IPv6 = ::

POLL 6

AUTH DISABLE

LATENCY MONITOR CFG

Latency monitor restore inline from layer2 : Disabled

GTI Proxy CFG

GTI Proxy Host = 0.0.0.0

GTI Proxy Port = 0

GTI Proxy Username = ""

GTI Proxy Host Type = 1

NTBA CFG

IP Address type = 4

Server IPv4 = 0.0.0.0

Server Port = 8505

Connection config = 2

Channel Encryption = 0

MATD CFG

IP Address type = 4

Server IPv4 = 0.0.0.0

Server Port = 8505

Connection config = 2

Channel Encryption = 0

MATD Profile/User Name = nsp

MATD Profile/User Id = 2

RADIUS CFG

Authentication Disabled

Primary RADIUS Server IPv4 Address: 0.0.0.0

Primary RADIUS Server Authentication Port: 1812

Primary RADIUS Server Accounting Port: 1813

Primary RADIUS Server Connection Timeout: 6

Backup RADIUS Server IPv4 Address: 0.0.0.0



Backup RADIUS Server Authentication Port: 1812

Backup RADIUS Server Accounting Port: 1813

Backup RADIUS Server Connection Timeout: 6

適用先:




構文:

show mem-usage


出力例:

IntruDbg#> show mem-usage

Avg.Used TCP and UDP Flows across all PEs :98%

Max.Used TCP and UDP Flows on a single PE :100%

Avg.Used Fragmented IP Flows across all PEs :3%

Max.Used Fragmented IP Flows on a single PE :3%

Avg.Used ICMP Flows across all PEs :0%

Max.Used ICMP Flows on a single PE :0%

Avg.Used SSL Flows across all PEs :0%

Max.Used SSL Flows on a single PE :0%

Avg.Used Fragment Reassembly Buffers across all PEs :3%

Max.Used Fragment Reassembly Buffers on a single PE :3%

Avg.Used Packet Buffers across all PEs :0%

Max.Used Packet Buffers on a single PE :1%

Avg.Used Attack Marker Nodes across all PEs :13%

Max.Used Attack Marker Nodes on a single PE :14%

Avg.Used Shell Marker Nodes across all PEs :34%

Max.Used Shell Marker Nodes on a single PE :38%

Avg.Used L7 Dcap Alert Buffers across all PEs :0%

Max.Used L7 Dcap Alert Buffers on a single PE :0%

IPS CLI コマンド - デバッグモードshow mem-usage 3


Avg.Used L7 Dcap flows across all PEs :0%

Max.Used L7 Dcap flows on a single PE :0%

適用可能:


show mgmtnetstatsこのコマンドは IP、ICMP、TCP、UDP、 IPV6、および SNMP のネットワーク統計を表示します。

構文:

show mgmtnetstats

出力例:

IntruDbg#> show mgmtnetstats

IP:

398030 total packets received

8246 with invalid addresses

0 forwarded

0 incoming packets discarded

353329 incoming packets delivered

376126 requests sent out

ICMP:

5230 ICMP messages received

0 input ICMP message failed.

ICMP 入力ヒストグラム:

destination unreachable:5228

echo requests:2

5232 ICMP messages sent

0 ICMP messages failed

ICMP 出力ヒストグラム:

destination unreachable:5230

echo replies:2

TCP:

1442 active connections openings

953 passive connection openings

3 IPS CLI コマンド - デバッグモードshow mgmtnetstats


0 failed connection attempts

21 connection resets received

110 connections established

103212 segments received

108050 segments send out

63 segments retransmited

0 bad segments received.

52 resets sent

UDP:

239034 packets received

5230 packets to unknown port received.

622 packet receive errors

262844 packets sent

TcpExt:

2 packets pruned from receive queue because of socket buffer overrun

ArpFilter:0

941 TCP sockets finished time wait in fast timer

3470 delayed acks sent

Quick ack mode was activated 41 times

10 times the listen queue of a socket overflowed

10 SYNs to LISTEN sockets ignored

125 packets directly queued to recvmsg prequeue.

911341 packets directly received from backlog

63345 packets directly received from prequeue

29939 packets header predicted

719 packets header predicted and directly queued to user

TCPPureAcks:3686

TCPHPAcks:37362

TCPRenoRecovery:0

TCPSackRecovery:0

TCPSACKReneging:0

TCPFACKReorder:0

TCPSACKReorder:0

IPS CLI コマンド - デバッグモードshow mgmtnetstats 3


TCPRenoReorder:0

TCPTSReorder:0

TCPFullUndo:0

TCPPartialUndo:0

TCPDSACKUndo:0

TCPLossUndo:1

TCPLoss:0

TCPLostRetransmit:0

TCPRenoFailures:0

TCPSackFailures:0

TCPLossFailures:0

TCPFastRetrans:0

TCPForwardRetrans:0

TCPSlowStartRetrans:0

TCPTimeouts:32

TCPRenoRecoveryFail:0

TCPSackRecoveryFail:0

TCPSchedulerFailed:0

TCPRcvCollapsed:129

TCPDSACKOldSent:0

TCPDSACKOfoSent:0

TCPDSACKRecv:0

TCPDSACKOfoRecv:0

TCPAbortOnSyn:0

TCPAbortOnData:0

TCPAbortOnClose:9

TCPAbortOnMemory:0

TCPAbortOnTimeout:5

TCPAbortOnLinger:0

TCPAbortFailed:0

TCPMemoryPressures:0

IPv6:

Ip6InReceives:0



Ip6InHdrErrors:0

Ip6InTooBigErrors:0

Ip6InNoRoutes:0

Ip6InAddrErrors:0

Ip6InUnknownProtos:0

Ip6InTruncatedPkts:0

Ip6InDiscards:0

Ip6InDelivers:0

Ip6OutForwDatagrams:0

Ip6OutRequests:24

Ip6OutDiscards:0

Ip6OutNoRoutes:0

Ip6ReasmTimeout:0

Ip6ReasmReqds:0

Ip6ReasmOKs:0

Ip6ReasmFails:0

Ip6FragOKs:0

Ip6FragFails:0

Ip6FragCreates:0

Ip6InMcastPkts:0

Ip6OutMcastPkts:24

Icmp6InMsgs:0

Icmp6InErrors:0

Icmp6InDestUnreachs:0

Icmp6InPktTooBigs:0

Icmp6InTimeExcds:0

Icmp6InParmProblems:0

Icmp6InEchos:0

Icmp6InEchoReplies:0

Icmp6InGroupMembQueries:0

Icmp6InGroupMembResponses:0

Icmp6InGroupMembReductions:0

Icmp6InRouterSolicits:0

IPS CLI コマンド - デバッグモードshow mgmtnetstats 3


Icmp6InRouterAdvertisements:0

Icmp6InNeighborSolicits:0

Icmp6InNeighborAdvertisements:0

Icmp6InRedirects:0

Icmp6OutMsgs:24

Icmp6OutDestUnreachs:0

Icmp6OutPktTooBigs:0

Icmp6OutTimeExcds:0

Icmp6OutParmProblems:0

Icmp6OutEchoReplies:0

Icmp6OutRouterSolicits:9

Icmp6OutNeighborSolicits:9

Icmp6OutNeighborAdvertisements:0

Icmp6OutRedirects:0

Icmp6OutGroupMembResponses:0

Icmp6OutGroupMembReductions:0

Udp6InDatagrams:0

Udp6NoPorts:0

Udp6InErrors:0

Udp6OutDatagrams:0

SNMP:

snmpInPkts:3753

snmpOutPkts:1854

snmpInBadVersions:0

snmpInBadCommunityNames:0

snmpInBadCommunityUses:0

snmpInASNParseErrs:0

snmpInTooBigs:0

snmpInNoSuchNames:0

snmpInBadValues:0

snmpInReadOnlys:0

snmpInGenErrs:0

snmpInTotalReqVars:7109



snmpInTotalSetVars:336

snmpInGetRequests:1195

snmpInGetNexts:65

snmpInSetRequests:62

snmpInGetResponses:0

snmpInTraps:0

snmpOutTooBigs:0

snmpOutNoSuchNames:5

snmpOutBadValues:0

snmpOutGenErrs:0

snmpOutGetRequests:0

snmpOutGetNexts:0

snmpOutSetRequests:0

snmpOutGetResponses:1854

snmpOutTraps:0

snmpEnableAuthenTraps:2

snmpSilentDrops:0

snmpProxyDrops:0

適用先:


show mgmtprocessrestart statusset mgmtprocessrestart のステータス (有効または無効) を表示します。

構文:show mgmtprocessrestart status

出力例:IntruDbg#> show mgmtprocessrestart status

[Management Process-Restart settings]

Mgmt Process-restart configuration : Enabled

適用先:


IPS CLI コマンド - デバッグモードshow mgmtprocessrestart status 3


show pktcapture statusパケット収集ステータスと設定を表示します。

構文:show pktcapture status

出力例:IntruDbg#> show pktcapture status

Packet Capture Status :Not Running

Packet Capture Mode :PORT

Packet Capture Port Number :Not Configured

Packet Capture Rule Set File Status :Not Present

Total Packet Capture Count :0

Packet Capture Duration remaining :0 Sec

適用先:


show prioritytraffic ratioパケットの処理中に通常の優先順位のトラフィックに比べて、優先順位の高いパフォーマンスが指定された率を表示

します。

構文:

show prioritytraffic ratio

出力例:

IntruDbg#> show prioritytraffic ratio

Priority Traffic Ratio:3

上記のサンプルは、高優先度パケットキューから 3 パケットが処理されるごとに、通常の優先度パケットキューか

ら 1 パケットのみが処理されます。優先順位トラフィック率を設定している間、デフォルトの値は 3 です。

適用先:


show ratelimit dropsドロップされたパケット数とバイト数を表示します。このコマンドにパラメータはありません。

このコマンドで表示される数値は、Sensor のソフトウェアによって算出された概算に過ぎず、正確な数値ではありま

せん。実際のパケットのドロップは、Sensor のハードウェアによって実行されます。

I-1200 および I-1400 Sensor では、レート制限はソフトウェアで実行されます。したがって、これらのモデルのパケ

ットドロップ数は正確です。

3 IPS CLI コマンド - デバッグモードshow pktcapture status


構文:

show ratelimit drops <port_num | all>

出力例:

IntruDbg#> show ratelimit drops all

Queue Number Total Dropped Packets Dropped Packet Bytes Count

000000000001 00000000000000003200 0000000000000000000000000

000000000002 00000000000004000000 0000000000000000000000000

000000000003 00000000000000009000 0000000000000000000000000

000000000004 00000000000000000000 0000000000000000000000000

000000000005 00000000000000006890 0000000000000000000000000

000000000006 00000000000000004330 0000000000000000000000000

000000000007 00000000000000000709 0000000000000000000000000

000000000008 00000000000000005600 0000000000000000000000000

適用先:


show ratelimit markstatsQOS のキューに入ったパケット数とバイト数を表示します。このコマンドにパラメータはありません。

このコマンドのまとめとして表示されたキューの数は、QoS プロファイルのキューです。マークの付いたパケット統

計は、QoS キーに入れられたパケット数とバイト数を示します。これはキューに入ったパケット数とバイト数のみ

で、ドロップの数ではありません。ドロップ数は、キュー制限が設定値を超えたら、Sensor によって算出されます。

構文:

show ratelimit markstats <port_num | all>

出力例:

IntruDbg#> show ratelimit markstats all

Queue Number Total Marked Packets Marked Packet Bytes Count

000000000001 00000000000000000000 0000000000000000000000000

000000000002 00000000000000000000 0000000000000000000000000

000000000003 00000000000000000000 0000000000000000000000000

000000000004 00000000000000000000 0000000000000000000000000

000000000005 00000000000000000000 0000000000000000000000000

000000000006 00000000000000000000 0000000000000000000000000

000000000007 00000000000000000000 0000000000000000000000000

IPS CLI コマンド - デバッグモードshow ratelimit markstats 3


000000000008 00000000000000000000 0000000000000000000000000

適用先:


show recon status偵察攻撃検出のステータスを表示します。


構文:show recon status

出力例:IntruDbg#> show recon status

Reconnaissance attack detection enabled

適用先:


show saved alerts保存されているアラートの合計数とサイズを表示します。

構文:show saved alerts

出力例:IntruDbg#> show saved alerts

Saved Alert Status :Alerts = 455, Size = 80990

適用先:


show saved packets保存されているパケットの合計数を表示します。

構文:show saved packets

出力例:IntruDbg#> show saved packets

Saved Packet Status : No Saved File

適用先:

3 IPS CLI コマンド - デバッグモードshow recon status



show sbcfgさまざまなデータパスの設定を表示します。このコマンドにパラメータはありません。

構文:

show sbcfg

出力例:

IntruDbg#> show sbcfg

IP CFG

IPFragmentTimer 30

OverlapOption OLD_DATA

TTLConfigMode NO_TTL_CHECKING

TTLThreshold 32

TTLResetValue 32

SmallestFragmentSize 256

SmallestFragmentThreshold 10000

IP Fragment Reassembly ENABLE

IPV6OverlapOption OLD_DATA

IPV6SmallestFragmentSize 48

IPV6SmallestFragmentThreshold 10000

TCP CFG

SupportedUDPFlows 800000

TCBInactivityTimer 10

TCPSegmentTimer 60

TCP2MSLTimer 10

InactiveFlowRstEnabled 2

DropReTxTCPEnabled 2

ColdStartTime 60

ColdStartDropAction FORWARD_FLOWS

NormalizationOnOffOption OFF

TcpOverlapOption NEW_DATA

SynAckPermittedOption 1

IPS CLI コマンド - デバッグモードshow sbcfg 3


TCPOptionThreshold 100

DropOnPAWSFail ENABLE

TimeStampEchoMatchFail ENABLE

DropMD5Option ENABLE

UnsolicitedUDPPktsTimeout 60

SynProxyEnable DISABLE

AckScanDiscardTime 15

HalfOpenConnResetEnable RST_3WH_DISABLE

OutOfContextTcpPktEnable PERMIT_OUT_OF_ORDER

synCookieConfig Inbound-DISABLE Outbound-DISABLE

synCookieInboundThreshold 102400

synCookieOutboundThreshold 102400

synCookieMss 536

Tcpudpicmpchecksumerror Drop

flow volume threshold is 0MB.

DNSRedirectConfig disabled

Syn Cookie TCP Reset Send Enable status : Enabled (1)

DNS sinkhole TTL 720

DNS sinkhole IP 127.0.0.1

Oversubscription value: 0

BackendLimit Value: 0x1c2002d

INTF PORT 67

OperatingMode INLINE_FAIL_OPEN

FullDuplex ENABLED

InOutType OUTSIDE

Monitoring Port IP - 0.0.0.0

Monitoring Port Netmask - 0.0.0.0

Monitoring Port Gateway - 0.0.0.0

Monitoring Port Vlan ID - 0

Monitoring Port NBAD Config Status - 0

Monitoring Port AppId Stats Alert Config Status - 0

ALERT THROTTLE CFG

CorrelationTime 5

3 IPS CLI コマンド - デバッグモードshow sbcfg


PKTLOG CFG

MaxPktsPerFlow 1000

DOS CFG

DosPktLogging DISABLED

FAILOVER CFG

FailoverAction DISABLED

FailoverMode FAILOVER_MODE_STANDALONE

SSL CFG

SessionCacheLifetime 5

SupportAction 0

PktLogging DISABLED

ResponseProcEnable DISABLED

ACL Log Alert CFG

Alert Logging Disabled

DNSPROTECTION IPV4 CFG

No IPv4 DNS Protection IP's are configured

DNSPROTECTION IPV6 CFG

No IPv6 DNS Protection IP's are configured

SENSOR LOAD CFG

Sensor Load Computation is set to off

TUNNELING CFG

Tunneling is disabled

OVERSUBSCRIPTION CFG

Oversubscription level 0

IPS SIMULATION CFG

Ips Simulation is disabled

PKTDROP SYSEVENT CFG

PktDrop sysevent is disabled

IP REASSEMBLY TIMEOUT FORWARD CFG

IP Reassembly timeout forward is disabled

IP Reassembly timeout in milli second is 0

BDD threshold value : 20

BDD threshold value : 20

IPS CLI コマンド - デバッグモードshow sbcfg 3


LDPENDING CFG

LDPENDING CFG is set to actual-load

Miscellaneous CFG

Misc Flags 256

Mon Port Ping Status : Disabled

IBAC Host Auth Status : Enabled

Sibyte Smpt Load Balancing Status : Disabled

IPS for Unknown UDP is enabled

EZ-LOG-ALERT CFG

EzAlertLogging 5

NBAD CFG

NBAD Sensor IP Address 12.1.1.11

NBAD Sensor Port 9996

NBAD IPS Primary Mon Port Id 34

NBAD IPS Secondary Mon Port Id 2

NBAD OS Finger Printing Status 0

NBAD App Finger Printing Status 0

NBAD SSL Flow Data Capture Status 0

NBAD TCP Capture Config : Enabled

NBAD UDP Capture Config : Enabled

NBAD ICMP Capture Config : Enabled

Miscellaneous CFG

TAPA Protocol Config : 0

Latency Monitor Status : 0

Artemis Detection Mode : 1

Malware UD Detection Mode : 1

GTIfilelookup timeout : 6

Overwrite GZIP : 0

Unknown Proto Scan Depth : 256

NAC DHCP Pxe Config : 39321602

L7 DCap Percent Flows : Configured-5, Used-20

L7 DCap Buffer Size : 1500

Misc Flags 256

3 IPS CLI コマンド - デバッグモードshow sbcfg


Mon Port Ping Status : Disabled

IBAC Host Auth Status : Enabled

Unknown Proto Scandepth Status : Enabled

Sibyte Smpt Load Balancing Status : Disabled

AppId Stats Alert Status : Enabled

MPE Additional CFG

Number of Additional MPE IP Addresses 0

NAC host tracking configuration

NAC host tracking disabled

Dxl Config

EPO IP4 0.0.0.0

EPO IP6 ::

EPO IP TYPE 4

EPO PORT 8443

EPO Action 2

DXL Enable/Disable 2

MATD CFG

IP Address type = 4

Server IPv4 = 10.213.17x.xxx

MATD Profile/User Name = nsp

MATD Profile/User Id = 2

適用先:


show sensor healthSensor のシステム状態を表示します。

構文:show sensor health

出力例:IntruDbg#> show sensor health

bootflag = off

sensor health = good

health of control channel = good

IPS CLI コマンド - デバッグモードshow sensor health 3


health of correlation engine = good

health of snmp master agent = good

health of snmp sub agent = good

health of packet log = good

health of system controller = good

health of CLI = good

health of Log Main = good

health of Log Task = good

health of SGAP = good

health of AuthGw = good

health of ACLDaemon = good

health of TrustedSource = good

health of BCM = good

適用先:


show startup stats起動時の初期化情報を表示します。

構文:show startup stats

出力例:IntruDbg#> show startup stats

Controller ready to send INIT_ACKs to datapaths and dos.

initial READY msg : received from datapaths and dos.

dos has sent INIT_DONE.

datapath0 has sent INIT_DONE.

datapath1 has sent INIT_DONE.

dos has sent READY.

datapath0 has sent READY.

datapath1 has sent READY.

適用先:


3 IPS CLI コマンド - デバッグモードshow startup stats


show static-arp静的 ARP エントリを表示します。

構文:

show static-arp

出力例:

IntruDbg#> show static-arp

No of Arp Entry in The Cache is:0

Dump of ARP Cache Entries completed!

適用先:


show statistics alertsManager に送信されたアラート統計 (シグネチャアラート、偵察アラート、ACL ログ) を表示します。

構文:show statistics alerts

出力例:IntruDbg#> show statistics alerts

Datapath 12 :

Signature alerts sent to mgmt = 249895

Reconnaissance alerts sent to mgmt = 5456257

ACL Logs sent to mgmt = 0

Datapath 13 :

Signature alerts sent to mgmt = 252880

Reconnaissance alerts sent to mgmt = 5660890

ACL Logs sent to mgmt = 0

適用先:


show statistics icmpICMP 統計を表示します。次の情報が表示されます。

• ICMP Echo 要求パケット • ICMP 合計パケット

• ICMP Echo 応答パケット • 制限以下でドロップされた ICMP

IPS CLI コマンド - デバッグモードshow static-arp 3


• ICMP unsol(icited) 応答パケット • ドロップされた ICMP のチェックサムエラー

• その他の ICMP パケット

構文:show statistics icmp

出力例:IntruDbg#> show statistics icmp

Datapath36

ICMP Echo Request packets: 154207

ICMP Echo Reply packets: 0

ICMP Unsol. Reply packets: 0

ICMP Other packets: 536697

ICMP Total Packets processed: 690904, 0

ICMP Dropped under load: 0

ICMP Dropped w/cksum error: 59053

Datapath37

ICMP Echo Request packets: 391658

ICMP Echo Reply packets: 98

ICMP Unsol. Reply packets: 0

ICMP Other packets: 1186879

ICMP Total Packets processed: 1578635, 0

ICMP Dropped under load: 0

ICMP Dropped w/cksum error: 50956


show statistics ipfragデータパスの IP フラグメント統計を表示します。次の情報が表示されます。

• IP の合計数 • フロータイムアウトの数

• 受信したフラグメント • 無効なチェックサムでドロップされたフロー数

• IP フローの合計数 • 無効なフラグメントの数

• 重複フラグメントの数 • 再構築リストの取得エラー

• ドロップされたフラグメントの数 • タイムアウト後に受信したフラグメント数

• 無効なオプションでドロップされたフラグメント

構文:

3 IPS CLI コマンド - デバッグモードshow statistics ipfrag


show statistics ipfrag

出力例:IntruDbg#> show statistics ipfrag

datapath 44 :




Number of Fragments dropped: 0

Fragments dropped for invalid options: 0


Num Flows dropped for invalid checksum: 0

Error getting data buffers: 0

Number of Invalid Fragments: 0

Error getting Reassembled lists: 0

Number of fragments recvd after timeOut: 0

datapath 45 :




Number of Fragments dropped: 0

Fragments dropped for invalid options: 0


Num Flows dropped for invalid checksum: 0

Error getting data buffers: 0

Number of Invalid Fragments: 0

Error getting Reassembled lists: 0

Number of fragments recvd after timeOut: 0

適用先:


show statistics l4レイヤ 4 統計を表示します。次の情報が表示されます。

IPS CLI コマンド - デバッグモードshow statistics l4 3


• レイヤ 4 フローブロックの合計 • アクティブ UDP フローの合計

• SYN フローブロックの合計 • SYN 状態のフローの総数

• アクティブ TCP フローの合計 • 空き TCB の合計

• 非アクティブ TCP フローの合計 • 作成されたフローの合計

• 待機中の TCP の合計 • タイムアウトフローの合計

構文:show statistics l4

出力例:IntruDbg#> show statistics l4

Datapath 46 :

Total Layer4 flow blocks: = 24097

Total SYN flow blocks: = 11670

Total active TCP flows: = 22515

Total inactive TCP flows: = 0

Total TCP in timewait: = 143

Total active udp flows: = 1434

Total flows in SYN state: = 687

Total free TCBs: = 0

Total created flows: = 5798921

Total timedout flows: = 2460478

Datapath 47 :

Total Layer4 flow blocks: = 24097

Total SYN flow blocks: = 11670

Total active TCP flows: = 22539

Total inactive TCP flows: = 0

Total TCP in timewait: = 121

Total active udp flows: = 1437

Total flows in SYN state: = 666

Total free TCBs: = 0

Total created flows: = 5824819

Total timedout flows: = 2430180

適用先:


3 IPS CLI コマンド - デバッグモードshow statistics l4


show statistics tcpID 範囲のデータパスの TCP 統計を表示します。TCP 合計パケットの以下の情報が表示されます。

• TCP 合計パケット

• TCP ドロップ回数

• TCP エラー回数

構文:show statistics tcp

出力例:IntruDbg#> show statistics tcp

Id range is not selected, Displaying ALL

Datapath 12 :

TCP total packets = 5103671, 57258772

TCP drop count = 32494

TCP error count = 0

Datapath 13 :

TCP total packets = 6370552, 52346671

TCP drop count = 50846

TCP error count = 0


show statistics udpUDP 統計を表示します。次の情報が表示されます。

• UDP パケットの合計

• ドロップされた UDP パケットの合計

• UDP TimedOut UDP Resp(onse) パケット

• UDP ACL Deny カウント

構文:show statistics udp

出力例:IntruDbg#> show statistics udp

Id range is not selected, Displaying ALL

Datapath21

UDP Total packets: 10341384, 99820895

IPS CLI コマンド - デバッグモードshow statistics tcp 3


UDP Dropped packets: 0

UDP TimedOut UDP Resp. packets: 0

UDP ACL Deny count: 0

Datapath22

UDP Total packets: 11333650, 126239382

UDP Dropped packets: 0

UDP TimedOut UDP Resp. packets: 0

UDP ACL Deny count: 0

適用先:


show tempcounterstatusshow tempcounterstatus コマンドは、温度計の状態を表示します。

構文:

show tempcounterstatus

出力例:

IntruDbg#> show tempcounterstatus

INLET temperature counters

inlet exceeded alert:0

inlet dropped below alert:0

inlet exceeded critical:0

inlet dropped below critical:0

P1 temperature counters

P1 exceeded warning:0

P1 dropped below warning:0

P1 exceeded alert:0

P1 dropped below alert:0

P1 exceeded critical:0

P1 dropped below critical:0

適用先:


3 IPS CLI コマンド - デバッグモードshow tempcounterstatus


show wb statsカスタムフィンガープリントを使用して、ホワイトリストとブラックリストの更新済みエントリと合計エントリのス

テータスを表示します。

構文:

show wb stats

出力例:

IntruDbg#> show wb stats

[WB Info Stats]

--------------------

WB bulk file download count :2

WB bulk download success count :2

WB bulk download failure count :0

WB incr file download count :7

WB incr download success count :7

WB incr download failure count :0

Total Manager WB hash count :17

Total Manager white hash count :0

Total Manager black hash count :17

Total cache WB hash count :0

show xff-usageXFF 使用状況の詳細を表示します。

構文:show xff-usage

出力例:IntruDbg#> show xff-usage

XFF Buffers Allocated at Init 379264

XFF Buffers Available Now 379264

XFF Buffers Alloc Error 0

XFF Header Seen 0

XFF BAD IP's Received 0

XFF BAD IPv4 Received 0

XFF BAD IPv6 Received 0

IPS CLI コマンド - デバッグモードshow wb stats 3


XFF Good IPv4 Received 0

XFF Good IPv6 Received 0

XFF IPv4 Seen in Attack Packets 0

XFF IPv6 Seen in Attack Packets 0

適用先:


switch cads channelSensor と CADS 間のチャネルタイプを SSL または TCP に切り替えます。

構文:

switch cads channel <tcp|ssl>例:

switch cads channel tcp適用先: NS シリーズ Sensor。

switch matd channelSSL または TCP チャネルを使用して、スキャン対象のファイルを Advanced Threat Defense に送信します。 Sensorはデフォルトで Advanced Threat Defense との通信に SSL チャネルを使用します。

TCP チャネル通信を使用する場合は、Advanced Threat Defense でリスニングポート 8506 を設定します。 ATD から

set nsp-tcp-channel CLI コマンドを実行して、TCP チャネルを有効または無効にしてください。

構文:switch matd channel <tcp | ssl>

出力例:

IntruDbg#> switch matd channel tcp

IntruDbg#> switch matd channel ssl

適用先:


tustatこのコマンドは全データパスの TCP と UDP の統計を表示します。

構文:

tustat

出力例:

3 IPS CLI コマンド - デバッグモードswitch cads channel


IntruDbg#> tustat

total TCBs: = 0

total SYN TCBS: = 0

total active TCP flows: = 0

total inactive TCP flows: = 0

total tcp in timewait: = 0

total active udp flows: = 0

total flows in SYN state: = 0

total free TCBs: = ‑1

total created flows: = 0

total timedout flows: = 0

適用先:


unknownapktocloudこのコマンドは、不明なモバイル .apk ファイルの Manager へのアップロードを表示、有効、無効にします。無効に

した場合、Sensor は不明なモバイル .apk に対してアラートを生成しません。

構文:

unknownapktocloud <on|off|status>

出力例:

intruDBg#> unknownapktocloud status

unknownapktocloud = on

適用先:


IPS CLI コマンド - デバッグモードunknownapktocloud 3


3 IPS CLI コマンド - デバッグモードunknownapktocloud


4 NTBA CLI コマンド

NTBA コマンドラインインターフェースのコマンドを使用すると、NTBA アプライアンスを構成できます。コマンド

の一部は、NTBA アプライアンスと Sensor で共通のコマンドです。

目次

clear antimalware cache commands deinstall deletemgrsecintf deletesignatures download antimalware updates downloadgamupdate exit factorydefaults flowforward collector help host-vlan installdb installntba loadimage nslookup passwd ping quit reboot resetconfig resetpasswd scan service list service restart service start service status service stop set antimalware cache set antimalware encryption set console timeout set dbdisksize set flow-fw set endpointintelligence demo set endpointintelligence alertinterval set htf delta-period set htf max-deltas

4


set manager alertport set manager installsensorport set manager ip set manager secondary ip set mgmtport auto set mgmtport speed and duplex set sensor gateway set sensor ip set sensor name set sensor sharedsecretkey set store-url-type set tftpserver ip setup show show aggstats show anomaly show antimalware scandetails show antimalware encryption status show antimalware status show cachestats show dbstats show disk-usage show endpointintelligence details show endpointintelligence summary show exporters show fingerprinting stats show forensic-db details show flowforwardinfo show host-vlan show htf show intfport show gam engine stats show gam scan stats show l7dcapstats show mem-usage show mgmtport show netstat show nfcstats show pktrecvstats show route show store-url-type show tsstats shutdown status tcpdump sec traceupload unknown-interfaces-flows watchdog

4 NTBA CLI コマンド


clear antimalware cacheマルウェア対策のキャッシュをクリアします。

構文:

clear antimalware cache

出力例:

ntbaSensor@vNTBA> clear antimalware cache

It will take 5 to 10 seconds to clear the cache



構文:

commands

適用先:


deinstallManager と Sensor の信用データ (証明書と共有鍵の値) をクリアします。Manager から Sensor を削除する場合は、

再設定を行う前に Sensor でこのコマンドを実行して、確立されている信頼関係をクリアしてください。


構文:

deinstall


Initiating to deinstall and will remove trust with the configured Manager.

Closed communication channels with Network Security Manager.


Removing anomaly profiles.

Resetting the Endpoint Intelligence Agent related configurations.

Executable classifications are removed.

Endpoint Intelligence Agent certificate files are removed.

Whitelist and blacklist sync information is reset to default.

ePolicy Orchestrator credentials are removed.

NTBA CLI コマンドclear antimalware cache 4


The Service manager is informed to load the configurations.

Restarting services.This will take few minutes.

The Manager trust is removed.Wait for the services to start.After the services are up,establish trust with the Manager.

適用可能:


deinstall 実行中のエラー


• Error:Database migration is in progress.You can run deinstall only after migration.

• Error:The system can't verify if the IPS Sensor is installed.Restart the applianceor VM and rerun resetconfig.

• NTBA is deinstalled and so you can establish trust with the Manager.

• Error:例外が発生しました。Restart the appliance or VM and rerun resetconfig.

• Error:The system can't communicate with the Service manager to loadconfigurations.Restart the appliance or VM and rerun resetconfig.

• Error:The system can't communicate with the Service manager to restart services.Runservice restart all.

• Error:An exception occurred while restarting the services.Run service restart all.

deletemgrsecintfManager のセカンダリ NIC の IP アドレスをクリアします。


構文:

deletemgrsecintf



Managers secondary intf IPaddr doesn't exist.

Deleting managers secondary interface had some Warnings/Errors.

適用先:


関連トピック: 76 ページの「set manager ip」78 ページの「set manager secondary ip」

4 NTBA CLI コマンドdeletemgrsecintf


deletesignaturesSensor のシグネチャを削除して、Sensor を再起動します。このコマンドを実行すると、シグネチャが削除され、次

に Sensor が自動的に再起動されます。コマンドを実行する前に、上記の両方のタスクを実行するかどうか確認され

ます。


構文:

deletesignatures


Delete the signatures and reboot the sensor ?


deleting the signatures and rebooting the sensor

signatures deleted



適用先:


download antimalware updatesこのコマンドはマルウェア対策のアップデートのダウンロードに使用されます。マルチウェア対策ソフトウェアお

よびアップデートをダウンロードして更新する際は、インターネットに接続していることを確認してください。

構文:

download antimalware updates

出力例:


• すでに実行中の場合:ntbaSensor@vNTBA> download antimalware updates

Downloading the antimalware updates.

Antimalware update is in progress.

• 未実行の場合:ntbaSensor@vNTBA> download antimalware updates

Downloading the antimalware updates.

Initiated to download the antimalware update download.Run show antimalware statusto see the results.

マルウェア対策のアップデートをダウンロード中のエラー


NTBA CLI コマンドdeletesignatures 4


Error:Detached from shared memory

Error:An exception occurred while downloading the antimalware updates.In the Manager,check the system events for root cause.

downloadgamupdate

構文

downloadgamupdate

出力例

Full Gam Update Request sent

適用先:


exitCLI を終了します。


構文:

exit

適用先:







棄されます。

構文:

factorydefaults




4 NTBA CLI コマンドdownloadgamupdate














適用可能:















NTBA CLI コマンドfactorydefaults 4











flowforward collector特定の IP アドレスとポートに、フロー転送先エントリを追加または削除します。

構文:

flowforward collector <add | delete> <ip> <A.B.C.D port> <1-665535>

変更が反映されたことを確認するには、show flowforwardinfo コマンドを実行します。

出力例:

ntbaSensor@vNTBA> flowforward collector add ip 1.1.1.8 port 2565

[flow forward Info]

Flow forward IP :1.1.1.8

Flow forward Port :2565

Flow forwarding mode :BLIND

5 つまでのフロー転送コレクタを追加できます。

help対話式のヘルプの説明を提供します。


構文:

help

4 NTBA CLI コマンドflowforward collector


出力例:

intruShell@john> help or ntbaSensor@vNTBA> help

If nothing matches, the help list will be empty and you must backup until entering a'?' shows the available options.

Two styles of help are provided:

1. Full help is available when you are ready to enter a command argument (e.g.'set ?') and describes each possible argument.

2. Partial help is provided when an abbreviated argument is entered and you want toknow what arguments match the input (e.g. 'set em?'.)

適用先:


host-vlanhost-vlan を有効化または無効化します。

構文:

host-vlan <enable | disable>


enable ホスト VLAN を有効にします。

disable ホスト VLAN を無効にする

適用先:


関連トピック: 318 ページの「show host-vlan」

installdbこのコマンドは、NTBA NetFlow データベースと設定データベースを再インストールするために使用します。このコ

マンドは、現在のデータベース構成をバックアップし、データベースが再作成されると、これを復元します。

• このコマンドの実行中にデータベースが稼働している場合は、Manager と NTBA 間の信頼された接続が維持され

ます。

• このコマンドの実行中にデータベースが停止している場合は、信頼された接続が削除されるため、Manager とNTBA 間の信頼関係を再度確立する必要があります。

構文:

installdb


シナリオ 1:データベースが稼働している

NTBA CLI コマンドhost-vlan 4


Are you sure you want to reinstall the NTBA database ?

WARNING:All existing data will be lost.


Starting installdb...

Step 1/7:Stopping all services

Step 2/7:Stopping all database processes

Step 3/7:Backing up configurations

Step 4/7:Formatting NTBA database partition.This will take several minutes dependingon the disk size.

Step 5/7:Creating fresh databases

Step 6/7:Restoring configurations

Step 7/7:Starting services.This will take few minutes.

NTBA database reinstallation successfully completed.

シナリオ 2:データベースが停止している

Are you sure you want to reinstall the NTBA Database ?

WARNING:All existing data will be lost.


Starting installdb...

Step 1/7:Stopping all services

Step 2/7:Stopping all database processes

Step 3/7:Backing up configurations

Database is down.Configuration was not backed up.


Step 4/7:Formatting NTBA database partition.This will take several minutes dependingon the disk size.

Step 5/7:Creating fresh databases

Step 6/7:Restoring configurations

Step 7/7:Starting services.This will take few minutes.

IMPORTANT:Re-establish trust with Network Security Manager after the services areup.Go to the Manager console and update configuration for the NTBA appliance so thatthe system can function.

NTBA database reinstallation successfully completed.

ntbaSensor@NTBA_VM>

プロンプトで、set sensor sharedsecretkey を実行して Manager と NTBA 間の信頼関係を確立し、Managerから新の構成を受信します。

4 NTBA CLI コマンドinstalldb


installdb が正常に実行されたら、Manager からシステムの再起動と構成プッシュを行う必要はありません。構成

をデフォルトにリセットする場合は、resetconfig コマンドを実行します。

installntbaNTBA Appliance をインストールします。このコマンドを実行するには、CD、DVD、または USB ドライブを挿入す

る必要があります。

構文:

installntba


Initiating to format system hard disk and install NTBA!

WARNING:This will delete all existing data.


Y を入力すると、以下のように表示されます。

Creating Linux disk partitions for installation . . .

Formatting Linux disk partitions . . .

Installing boot loader...

Loading the NTBA image . . .

Creating NTBA database disk partitions . . .

Creating labels . . .

Formatting NTBA database disk partitions . . .

NTBA is successfully installed.

Remove the CD or USB key and reboot the system.

installntba 実行中のエラー


Installation failed:Hard disk for database is not found.Add a hard disk and reruninstallntba.

Installation failed:Hard disk for NTBA is not found.Add a hard disk and reruninstallntba.

Installation failed:An error occurred while creating Linux disk partitions forNTBA.Check /temp/install_errors.log and rerun installntba.

Installation failed:An error occurred while formatting Linux disk partitions forNTBA.Check /temp/install_errors.log and rerun installntba.

Installation failed:An error occurred while installing the boot loader.Check /temp/install_errors.log and rerun installntba.

NTBA CLI コマンドinstallntba 4


Installation failed:An error occurred while loading the NTBA installationimage.Check /temp/install_errors.log and rerun installntba.

Installation failed:An error occurred while creating disk partitions and labels forthe NTBA database.Check /temp/install_errors.log and rerun installntba.

Installation failed:An error occurred while formatting the disk partitions for theNTBA database.Check /temp/install_errors.log and rerun installntba.

インストール中に、エラーが発生してインストールに失敗した場合は、install_errors.log ファイルを確認し、

エラーを修正することができます。次に、installntba を再実行して NTBA をインストールします。

loadimageこのコマンドは、物理または仮想 NTBA Appliance で NTBA ソフトウェアをインストールまたはアップグレードする

ために使用されます。

構文:

loadimage <image path>

出力例:

ntbaSensor@vNTBA> loadimage NTBA/8.0.5.9/ntbasensorImage.T-200VM.opt.unsigned

Downloading NTBA/8.0.5.9/ntbasensorImage.T-200VM.opt.unsigned from TFTP Server

Image NTBA/8.0.5.9/ntbasensorImage.T-200VM.opt.unsigned downloaded successfully

Verifying the NTBA software image:

NTBA configuration is backed up.

NTBA configuration policy is not found.So NTBA configuration can't be backed up.

NTBA software image is found.

Verifying the NTBA software image security:

NTBA software image security check passed

NTBA software package check passed

Database will be upgraded from 8.0 to 8.1.

Loading NTBA software image

The NTBA software image is loaded.Reboot the NTBA appliance.

loadimage 実行中のエラー


Before loading the image, set the TFTP server IP address.Execute set tftpserver ip.

An error occurred while downloading NTBA/8.0.5.9/ntbasensorImage.T-200VM.opt.unsignedfrom 10.213.173.1

An error occurred while downloading NTBA/8.0.5.9/ntbasensorImage.T-200VM.opt.unsignedfrom 10.213.173.1.Check the connectivity.

4 NTBA CLI コマンドloadimage


Verifying NTBA software image:

Error:Unzipping the NTBA combined image [image + signature file] failed.

Load the correct NTBA software image and retry loading the image.

Error:NTBA combined image [image + signature file] missing files.

Load the correct NTBA software image and rerun loadimage.

Verifying NTBA software image security:

Error:NTBA software image security check failed.


Error:Make sure to load signed image as NTBA accepts only signed image.

Error:NTBA software package security check failed.

Load the correct NTBA software image and rerun factorydefault.

Error:The NTBA software image loaded is not compatible.

Physical appliance image must be loaded into physical appliance and VM image must beloaded into virtual NTBA.

Error:Downgrading virtual machine software is not permitted.

Load supported VM software image.

Error:Trying to load and found incompatible appliance software image.

Load compatible appliance software image.

Verify the appliance model and the loaded NTBA software image.

Error:Virtual machine is configured with $totalMem GB, which is lesser than therequired minimum memory of $minMem GB.

The configured number of ethernet ports is $totalNetworkPorts, which is not as per thesupported configuration of $numPort.

Error:Configured hard disk size for NTBA database is $totalDbDiskSizeInGB GB, which islesser than the required minimum database disk space of $dbDiskSizeInGB GB.

Error:Configured hard disk size for NBA disk is $totalNtbaDiskSizeInGB GB , which islesser than the required minimum disk space of $ntbaDiskSizeInGB GB.

Warning: Attempting to downgrade the NTBA appliance database version from $cur_ver to$db_schema.This requires reinstalling the NTBA database.

Error:Current NTBA version not supported for migration.Consider upgrade to supportedversion $min_ver.Attempting database migration $cur_ver to $db_schema.

Loading NTBA software image:

Error:An exception occurred while extracting the NTBA software image.Load the correctNTBA software image and rerun loadimage.

Error:An exception occurred while extracting the boot package.Load the correct NTBAsoftware image and rerun loadimage.

NTBA CLI コマンドloadimage 4


Error:The system can't find the NTBA software image.


nslookup指定されたホスト名の nslookup クエリ結果を表示します。

構文:

nslookup WORD

ここで、WORD は、nslookup のクエリ結果で表示されるホストの名前です。

出力例:

ntbaSensor@vNTBA> nslookup google.com

Server:10.213.154.101

Address 1:10.213.154.101

Name: google.com

Address 1: 74.125.227.166 dfw06s32-in-f6.1e100.net











Address 12: 2607:f8b0:4000:804::1003 dfw06s32-in-x03.1e100.net

passwdSensor のログオンパスワードを変更します。今までのパスワードを入力するプロンプトが表示され、次に新しいパ

スワードを入力するプロンプトが表示されます。パスワードには 8 文字以上の文字列を使用します。任意の英数字

と記号を使用できます。


構文:

passwd

4 NTBA CLI コマンドnslookup


出力例:

ntbaSensor@vNTBA> passwd

Please enter old password:xxxxxxxx




適用先:


pingネットワークホストに ping を実行します。ここでは、IPv4 または IPv6 アドレスのいずれかを指定できます。この

コマンドは Sensor に ping を実行して、次の応答を返します。

値説明

icmp_seq Sensor に ping を実行した回数

ttl ソースと宛先間のホップ数

time taken Sensor が ping に応答するまでの平均時間

packets transmitted ping の実行中に送信されたパケット数

packets received ping の実行中に受信されたパケット数

packet loss コマンドの実行中に失われたパケット数

rtt min/avg/max ping サイクルにおいて往復にかかる短時間、平均時間、長時間

構文:

ping <A.B.C.D><A:B:C:D:E:F:G:H> -c <1-100>


<A.B.C.D> 32 ビットの IP アドレスを表します。ピリオドで区切られた 4 つの 8 ビット数から構成します。各値 (A、B、C、D) には、0 から 255 までの 8 ビット数が入ります。

<A:B:C:D:F:G:H> 128 ビットのアドレスを表します。コロンで区切られた 4 つの 16 進数のオクテット表記 (8 つのグループ) で構成します。各グループ (A、B、C、D など) には 0000 から FFFF までの 16 進数が入ります。

-c <1-100> Sensor に ping を実行する回数を表します。これはオプションです。Sensor に ping を複数回実行する必要がある場合に使用できます。

出力例:

NTBA CLI コマンドping 4



intruShell@NSP4050> ping 172.16.100.100






ntbaSensor@vNTBA> ping 172.16.100.100

host 172.16.100.100 is alive

• ping を複数回実行した場合の Sensor の出力例を以下に示します。

intruShell@NSP4050> ping 172.16.100.100 -c 3







例:

以下のコマンドでは、4 つの 16 進数をオクテットとする 128 ビットアドレスに ping を実行しています。

ping 2001:0db8:8a2e:0000:0000:0000:0000:0111

適用先:


quitコマンドラインインターフェースを終了します。


構文:

quit

適用先:


4 NTBA CLI コマンドquit


rebootデバイスを再起動します。デバイスを再起動するかどうかを確認してください。デバイスでヒットレス再起動が可能

な場合には、プロンプトが表示されます。ヒットレス再起動を行う場合には h を、完全な再起動を行う場合には y を入力します。デバイスでヒットレス再起動が可能かどうか確認するには、status コマンドを使用します。

完全再起動の場合、デバイスのすべてのプロセスが再起動されます。この場合、再起動が完了するまで、デバイスの

機能が一時的に使用できなくなります。ヒットレス再起動の場合、必要なプロセスだけが再起動されます。ヒットレ

ス再起動の詳細については、『McAfee Network Security Platform IPS Administration Guide』 (McAfee NetworkSecurity Platform IPS 管理ガイド) を参照してください。

構文:

reboot



intruShell@john> reboot


rebooting the Sensor...




ntbaSensor@vNTBA> reboot


rebooting the NTBA Appliance ...



適用先:


resetconfigこのコマンドは NTBA の設定を工場出荷値にリセットするために使用されます。このコマンドは、ユーザの定義した

すべての設定をクリアし、デフォルト値にリセットするために使用できます。

構文:

resetconfig

このコマンドはホストフィンガープリント、データベースプルーニング、マルウェア対策設定、プロキシ設定、重

複解除などに関連する設定をリセットします。また、このコマンドはアノマリプロファイルやシグネチャファイル

の設定を削除します。 Manager との信頼関係を破棄し、信頼関係が正常に破棄された後、ユーザーに Manager との

信頼関係を再確立するよう求めます。このコマンドが、設定からエクスポータやインターフェースの詳細を削除する

ことはありません。


NTBA CLI コマンドreboot 4


Are you sure you want to reset the NTBA appliance configuration?

WARNING:All existing configuration will be lost and reset to defaults.



Step 1 of 4:Checking if database migration is in progress

Database migration is not in progress.Continue with resetconfig.


Step 3 of 4:Resetting NTBA configurations

Stopping all services

The configuration for the NTBA database is reset to default.

The configuration for NTBA services is reset to default.

Anomaly profile data is removed.

Signature files are removed.

Anti-Malware cache and DAT files are removed.

Miscellaneous configuration files are removed.





Step 4 of 4:Restarting all services

Configuration for NTBA appliance is reset to defaults.

IMPORTANT:Re-establish trust with Network Security Manager after the services areup.Go to the Manager console and update configuration for the NTBA appliance so thatthe system can function.

resetconfig 実行中のエラー

NTBA 構成のリセット中に、次のエラーが発生する可能性があります。

Step 1 of 4:Checking if database migration is in progress

Database migration is not in progress.Continue with resetconfig.


Network Security Manager trust is not removed.After resetconfig, run deinstall andre-establish the trust.

Step 3 of 4:Resetting NTBA configurations

Stopping all services

4 NTBA CLI コマンドresetconfig


An error occurred while stopping the database events.Restart the appliance or VM andrerun resetconfig.

An error occurred while disabling database events.Restart the appliance or VM andrerun resetconfig.

An error occurred while generating disable-database processes script.Restart theappliance or VM and rerun resetconfig.

An error occurred while disabling database processes.Restart the appliance or VM andrerun resetconfig.

The NTBA database is down and so configuration can't be reset to default.Restart allservices and once they are up, run resetconfig.

An error occurred while accessing the configuration database.Restart the appliance orVM and rerun resetconfig.

An error occurred while backing up the current configuration.Restart the appliance orVM and rerun resetconfig.

An error occurred while restoring internal configuration.Run deinstall andre-establish trust with Network Security Manager.

An error occurred while removing the configuration backup.This error can be ignored.Soresetconfig will continue.

The configuration for the NTBA database is reset to default.

Verifying the software image failed on the appliance or VM.Load the correct NTBAsoftware image and rerun resetconfig.

Extracting from a tar file failed.Load the correct NTBA software image and rerunresetconfig.

Checking consistency of software image failed on the appliance or VM.Load the correctNTBA software image and rerun resetconfig.

Retrieving the package from the software image failed.Load the correct NTBA softwareimage and rerun resetconfig.

The configuration for NTBA services is reset to default.

Anomaly profile data is removed.

Signature files are removed.

Anti-Malware cache and DAT files are removed.

Miscellaneous configuration files are removed.

An error occurred while clearing the classification for executables.





Step 4 of 4:Restarting all services

NTBA CLI コマンドresetconfig 4


An error occurred while sending a signal to the Service manager to use the latestconfiguration.Run service restart all.

An error occurred while sending a signal to the Service manager to restartservices.Run service restart all.

An error occurred while restarting services.Run service restart all.

Configuration for the NTBA appliance is reset to default.

resetpasswdNTBA アプライアンスのログインパスワードを変更します。このコマンドを実行するには、CD を挿入する必要があ

ります。

構文:

resetpasswd


Are you sure you want to reset admin password to default?

Please enter Y to confirm.


Resetting admin password to default . . .

Reset admin password to default completed,

please reboot the NTBA Appliance and remove the NTBA CD.

scanIP アドレスをスキャンし、ホスト名、オペレーティングシステム、実行中のサービス、デバイスタイプ、MAC アド

レスに関する情報を提供します。

構文:

scan ip <ip_address>

出力例:

ntbaSensor@vNTBA> scan ip 10.213.171.222

Starting Nmap 6.25 ( http://nmap.org ) at 2014-03-28 06:57 UTC

Nmap scan report for 10.213.171.222

Host is up (0.000025s latency).

Not shown: 995 closed ports

PORT STATE SERVICE VERSION

22/tcp open ssh OpenSSH 5.0 (protocol 2.0)

111/tcp open rpcbind 2-4 (RPC #100000)

4 NTBA CLI コマンドresetpasswd


443/tcp open ssl/https?

3306/tcp open mysql MySQL (unauthorized)

9876/tcp open sd?

1 service unrecognized despite returning data. If you know the service/version, pleasesubmit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :

SF-Port443-TCP:V=6.25%T=SSL%I=7%D=3/28%Time=53351D6F%P=x86_64-unknown-linu

SF:x-gnu%r(GetRequest,6F,"HTTP/1\.0\x20501\x20Not\x20Implemented\r\nConten

SF:t-Length:\x2033\r\nContent-Type:\x20text/plain\r\n\r\nDownload\x20hook\

SF:x20is\x20not\x20implemented\.")%r(FourOhFourRequest,6F,"HTTP/1\.0\x2050

SF:1\x20Not\x20Implemented\r\nContent-Length:\x2033\r\nContent-Type:\x20te

SF:xt/plain\r\n\r\nDownload\x20hook\x20is\x20not\x20implemented\.");

No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).

TCP/IP fingerprint:

OS:SCAN(V=6.25%E=4%D=3/28%OT=22%CT=1%CU=35842%PV=Y%DS=0%DC=L%G=Y%TM=53351DF

OS:7%P=x86_64-unknown-linux-gnu)SEQ(SP=CF%GCD=1%ISR=D0%TI=Z%CI=Z%II=I%TS=A)

OS:OPS(O1=M400CST11NWA%O2=M400CST11NWA%O3=M400CNNT11NWA%O4=M400CST11NWA%O5=

OS:M400CST11NWA%O6=M400CST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000%W6

OS:=8000)ECN(R=Y%DF=Y%T=40%W=8018%O=M400CNNSNWA%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=

OS:O%A=S+%F=AS%RD=0%Q=)T2(R=N)T3(R=Y%DF=Y%T=40%W=8000%S=O%A=S+%F=AS%O=M400C

OS:ST11NWA%RD=0%Q=)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%

OS:T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD

OS:=0%Q=)T7(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%IPL

OS:=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=N%T=40%CD=S)

Network Distance: 0 hops

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 149.18 seconds

service list利用できるすべてのサービスを一覧表示します。

構文:

service list

NTBA CLI コマンドservice list 4


出力例:

ntbaSensor@vNTBA> service list

[Services List]

NetflowProcessor

AntiMalwareService

DeviceProfiler

EpIntelligenceServer

service restartすべてのサービスまたは指定されたサービスを再開します。すべてのサービスのリストを取得するには、servicelist コマンドを実行します。

このコマンドには、パラメーターとして all と <service_name> があります。

構文:

service restart all

service restart <service_name>

出力例:

ntbaSensor@vNTBA> service restart all

Service command execution in progress. Please check status using "service status<service-name>" or status command after some time.

service startすべてのサービスまたは指定されたサービスを開始します。すべてのサービスのリストを取得するには、servicelist コマンドを実行します。


構文:

service start all

service start <service_name>

たとえば、サービスユーザー表示名が NetflowProcessor の場合、コマンドは service startNetflowProcessor です。

出力例:

ntbaSensor@NTBA_210> service start NetflowProcessor


4 NTBA CLI コマンドservice restart


service statusすべてのサービスまたは特定のサービスのステータスを表示します。すべてのサービスのリストを取得するには、

service list コマンドを実行します。


構文:

すべてのサービスのステータスを取得するには、次のコマンドを実行します。

service status

service status all

特定のサービスのステータスを取得するには、次のコマンドを実行します。

service status <service_name>

たとえば、サービスユーザー表示名が NetflowProcessor の場合、コマンドは service statusNetflowProcessor です。

出力例:

• 特定のサービスの場合:ntbaSensor@vNTBA> service status NetflowProcessor

[Services Status]

NetflowProcessor : Running

• すべてのサービスの場合:ntbaSensor@vNTBA> service status all

[Services Status]

NetflowProcessor : Running

AntiMalwareService : Running

DeviceProfiler : Disabled

EpIntelligenceServer : Running

サービスのステータスは、次のように表示されます。

• [Running] (実行) - サービスが適切に実行されています。

• [Not Running] (未実行) - サービスがクラッシュなどの問題のため実行されていません。

• [Stopped] (停止) - ユーザーが service stop コマンドを実行すると、このステータスが対応するサービスに表

示されます。

• [Disabled] (無効) - 管理者が設定した Manager の設定に応じて、このステータスが表示されます。 Manager の設

定に基づき、DeviceProfiler サービスのみのステータスが表示されます。

service stopすべてのサービスまたは指定されたサービスを停止します。すべてのサービスのリストを取得するには、servicelist コマンドを実行します。

NTBA CLI コマンドservice status 4



構文:

service stop all

service stop <service_name>

たとえば、サービスユーザー表示名が NetflowProcessor の場合、コマンドは service stop NetflowProcessorです。

出力例:

ntbaSensor@NTBA_210> service stop NetflowProcessor


set antimalware cacheマルウェア対策のキャッシュを有効または無効にできます。

構文:

set antimalware cache <enable/disable>

set antimalware encryptionマルウェア対策チャネルの暗号化を有効または無効にします。

構文:set antimalware encryption <on|off>

出力例:ntbaSensor@vNTBA> set antimalware encryption on

Strong encryption on the antimalware channel. Restart the antimalware service forchanges to take effect.

ntbaSensor@vNTBA> set antimalware encryption off

Weak encryption on the antimalware channel. Restart the antimalware service forchanges to take effect.

適用先:NTBA Appliances

set console timeoutコンソール接続がタイムアウトするまでの非アクティブな時間を分数を設定します。

構文:

set console timeout <0 - 1440>

4 NTBA CLI コマンドset antimalware cache



<0-1440> 0 (なし) から 1440 (24 時間) までの整数

<0 - 1440> は 0 (なし) から 1440 (24 時間) までの整数です。

例:

set console timeout 60

デフォルト値:

15 (15 分)

適用先:


set dbdisksizeNetFlow データベースと Forensic データベースに割り当てるディスク容量の割合を指定します。割合の範囲は 20～ 80% です。

構文:

set dbdisksize netflow <20 |80>

set dbdisksize forensic <20 |80>

出力例:

ntbaSensor@vNTBA> set dbdisksize netflow 60

Setting database disk size...

Database disk size is set. Restarting netflow service...

ntbaSensor@vNTBA> set dbdisksize forensic 40

Setting database disk size...

Database disk size is set. Restarting forensic service...

set flow-fwNetFlow 情報のコピーを NTBA アプライアンスから他社製のデバイスに転送します。

構文:

set flow-fw <ip> <A.B.C.D port> <1-65535>

NTBA CLI コマンドset dbdisksize 4




<1-65535> ポート番号の範囲

このコマンドは、NTBA アプライアンスでのみ使用できます。このコマンドを実行すると、NTBA アプライアンスで受

信した NetFlow 情報が CISCO ルータなどの他社製のデバイスに転送されます。NTBA アプライアンスが NetworkSecurity Sensor から受信した NetFlow 情報は専用の情報です。このコマンドを実行しても転送されません。

set endpointintelligence demoこのコマンドは、デモモードのエンドポイントインテリジェンスを有効または無効にします。

構文:

set endpointintelligence demo <enable/disable>

4 NTBA CLI コマンドset endpointintelligence demo


出力例:

• エンドポイントインテリジェンスのデモモードを有効にする

ntbaSensor@vNTBA> set endpointintelligence demo enable

Setting endpoint intelligence in demo mode.

Demo handler is created.

Configuration file for certificates is created.

NTBA private key is created and copied.

Endpoint key is created and self signed.

ePolicy Orchestrator certificate is copied.

Endpoint certificate files are created.

Uploading endpoint certificates to tftp server 10.213.173.1 ...

Uploading eiahostcert.p12 ...

Transfer Successful

Uploading CA certificates to tftp server 10.213.173.1 ...

Uploading ntbacacert.pem ...

Transfer Successful

Endpoint intelligence is set in demo mode.

• Disable endpoint intelligence demo mode:

ntbaSensor@vNTBA> set endpointintelligence demo disable

Setting endpoint intelligence in demo mode.

Demo file is removed.

ePolicy Orchestrator demo certificates are removed.

Demo certificates are removed.

Private key is removed.

Endpoint certificate is removed.

Demo mode is disabled for endpoint intelligence.

set endpointintelligence demo を実行中のエラー


Error:The system failed to remove the demo handler.

Error:The system failed to clean up the ePolicy Orchestrator demo certificates.

Error:The system failed to clean up the endpoint intelligence demo certificates.

Error:The system failed to clean up the private key.

Error:The system failed to clean up the endpoint certificate.

NTBA CLI コマンドset endpointintelligence demo 4


Error:The TFTP server IP address is not set.Run set tftp server ip to set the IPaddress.

Error:The system failed to create the demo handler.

Error:The system failed to create the configuration file required to create thecertificates.

Error:The system failed to create the NTBA private key.

Error:The system failed to copy the NTBA private key.

Error:The system failed to create the endpoint key.

Error:The system failed to self sign the endpoint private key.

Error:The system failed to copy the ePolicy Orchestrator certificate.

Error:The system failed to create the endpoint certificate files.

The certificate files upload process failed or timed out.

Make sure that you have a file $SRCFILENAME with correct permissions.

If the full path name doesn't work, try path name relative to /tftpboot.

Timeouts may occur when the network is congested.

Error:The system failed to upload the endpoint certificate file.

The certificate files upload process failed or timed out.

Make sure that you have a file $SRCFILENAME with correct permissions.

If the full path name doesn't work, try path name relative to /tftpboot.

Timeouts may occur when the network is congested.

Error:The system failed to upload the endpoint certificate file.

Error:The system failed to upload the CA certificate file.

set endpointintelligence alertintervalアラートを再度実行するまでの間隔を設定します。デフォルトでは、7 日間に設定されています。

構文:

set endpointintelligence alertinterval <0-30>

アラートを実行しないようにするには、ゼロに設定します。

出力例:

Setting the endpoint intelligence alert interval

Alert throttle interval is set to 1.

4 NTBA CLI コマンドset endpointintelligence alertinterval


アラートのスロットルを無効にするには、間隔をゼロに設定します。

• EIS が有効な場合、アラートのスロットルを無効にするには:

ntbaSensor@vNTBA> set endpointintelligence alertinterval 0

Alert throttle interval was set to 0.Continue with the cleanup.

Stopping endpoint intelligence services

Resetting the alert throttle for all executables

Removing alert throttling files

Restarting endpoint intelligence services.This will take few minutes.

• EIS が無効な場合に、アラートのスロットルを無効にするには以下のようにしてください。

ntbaSensor@vNTBA> set endpointintelligence alertinterval 0

Setting endpoint intelligence alert interval.

Alert throttle interval set to 0.

set endpointintelligence alertinterval を実行中のエラー


Error:The system can't find the NTBA software image.From the Manager console, go toSetup | Enable Integration, enable EIA integration and configure the settings.

Error:An exception occurred while resetting the alert throttle for executables.Try toset the alert interval.

Error:The system can't communicate with the Service manager.Restart the endpointintelligence services.

Error:An exception occurred while restarting endpoint intelligence services.Run theendpoint intelligence services.

Error:An exception occurred while setting the alert throttle interval.Set the alertthrottle interval again.

set htf delta-periodhtf デルタ期間を (分数) で指定します。

構文:

set htf delta-period WORD


WORD は 0 から 1440 までの数を意味します。

例:

set htf delta-period 180

変更が反映されたことを確認するには、show htf CLI コマンドを実行します。

NTBA CLI コマンドset htf delta-period 4


set htf max-deltashtf デルタ機関の大カウントを指定します。

構文:

set htf max-deltas <1-100>


<1-100> 1～100 までの整数

例:

set htf max-deltas 100

set manager alertportManager が Sensor のアラートを待機するポートを指定します。この通信には任意の未割り当てのポートを割り当

てることができます。



てください。

構文:

set manager alertport <0 - 10000>パラメータ説明



• Sensor がインストールされている場合:sensor is already installed, please do a deinstall before changing this parameter

• Sensor がアンインストールされている場合:Missing manager alert port, default 8502 used



適用先:


set manager installsensorport2048 ビット暗号化を使用しているときに、Manager が Sensor と設定情報を交換するポートを指定します。この通


構文:

set manager installsensorport <0 - 10000>

4 NTBA CLI コマンドset htf max-deltas





• Sensor がインストールされている場合:sensor is already installed, please do a deinstall before changing this parameter

• Sensor がアンインストールされている場合:Missing manager Install Sensor Port, default 8501 used



適用先:


set manager ipManager サーバのプライマリインターフェースの IPv4 または IPv6 アドレスを指定します。

構文:

set manager ip <A.B.C.D |A:B:C:D:E:F:G:H>




例:

set manager ip 192.34.2.8

または

set manager ip 2001:0db8:8a2e:0000:0000:0000:0000:0111


適用先:


関連トピック: 78 ページの「set manager secondary ip」

set manager secondary ipManager サーバのセカンダリインターフェースの IPv4 または IPv6 アドレスを指定します。

NTBA CLI コマンドset manager ip 4


構文:

set manager secondary ip <A.B.C.D | A:B:C:D:E:F:G:H>




例:

set manager secondary ip 192.34.2.8

または

set manager secondary ip 2001:0db8:8a2e:0000:0000:0000:0000:0111


適用先:


関連トピック: 43 ページの「deletemgrsecintf」76 ページの「set manager ip」

set mgmtport autoSensor とネットワークデバイス間の接続のオートネゴシエーションをマネジメントポートに設定します。


構文:

set mgmtport auto

デフォルト値:


適用先:


関連トピック: 79 ページの「set mgmtport speed and duplex」

set mgmtport speed and duplexマネジメントポートの速度を Sensor に接続しているネットワークデバイスの速度と一致させ、全二重または半二重

で実行するように設定します。

4 NTBA CLI コマンドset mgmtport auto


構文:

set mgmtport <speed <10 | 100> duplex <full | half>>


<10|100> Ethernet マネジメントポートの速度を設定します。速度は、10、100 Mbps のいずれかになります。1000 Mbps に設定するには、set mgmtport auto コマンドを使用します。

<half|full> Ethernet マネジメントポートで二重の設定を行います。半二重の場合には half を、全二重の場合に

は full を設定します。



適用先:


関連トピック: 78 ページの「set mgmtport auto」

set sensor gatewayManager サーバのゲートウェイの IPv4 アドレスを指定します。

構文:set sensor gateway <A.B.C.D>




intruShell@john> set sensor gateway 10.213.174.201



ntbaSensor@vNTBA> set sensor gateway 192.34.2.8


例:set sensor gateway 192.34.2.8

適用先:


NTBA CLI コマンドset sensor gateway 4


set sensor ipSensor の IPv4 アドレスとサブネットマスクを指定します。Sensor の IP アドレスを変更した場合は、変更を適用す

るために Sensor を再起動する必要があります。Sensor を再起動する方法は、reboot コマンドの説明を参照してく

ださい。

構文:set sensor ip <A.B.C.D E.F.G.H>


<A.B.C.DE.F.G.H>

IPv4 アドレスとネットマスクを示します。ネットマスクは IP アドレスからホスト ID を除いたネットワーク ID の部分です。それぞれのネットマスクは、2 進数の 1 (10 進数の 255) でネットワークID を表し、2 進数の 0 (10 進数の 0) で IP アドレスのホスト ID を表します。たとえば、クラス C のデフォルトのネットマスクは 255.255.255.0 です。


intruShell@john> set sensor ip 10.213.168.169 255.255.255.0




ntbaSensor@NTBA_210> set sensor ip 10.213.171.210 255.255.255.0



例:

set sensor ip 192.34.2.8 255.255.0.0

適用先:


set sensor nameSensor の名前を設定します。この名前は Manager が Sensor を識別する際に使用されます。また、Manager イン

ターフェースの管理者が Sensor を識別する際にも使用されます。ここで入力した Sensor の識別用の名前は、

Manager インターフェースで使用する名前と一致していなければなりません。一致していないと Manager とSensor 間で通信を行うことはできません。

構文:

set sensor name <WORD>


<WORD> WORD は、大文字小文字の区別のある 25 文字以内の文字列です。文字列にはハイフン、アンダースコア、ピリオドが使用できますが、先頭は文字にしてください。

出力例:

4 NTBA CLI コマンドset sensor ip






• intruShell@john> set sensor name adminsensor name = admin

• ntbaSensor@NTBA_210>set sensor name vNTBAsensor name = vNTBA

例:set sensor name SanJose_Sensor1

適用先:


set sensor sharedsecretkeyManager と Sensor の信頼関係を確立するために使用する共有秘密鍵の値を指定します。

以下の「構文」のようにコマンドを入力します。Sensor から秘密鍵の値の入力を求められます。入力した値は表示さ

れません。入力は 2 回プロンプトされ、2 つの値が一致するかどうかが確認されます。

ここで設定した [sharedsecretkey] の値は、Manager インターフェースで使用される値と一致していなければなりませ

ん。一致していないと Manager と Sensor 間で通信を行うことはできません。値を変更する場合は、CLI と Managerインターフェースの両方で変更する必要があります。

構文:

set sensor sharedsecretkey

秘密鍵の値のプロンプトでは、大文字小文字の区別のある 8 から 25 文字の文字列を ASCII テキストで入力します。

出力例:

NTBA CLI コマンドset sensor sharedsecretkey 4






• intruShell@john> set sensor shared secretkeyPlease enter shared secret key:



• ntbaSensor@vNTBA> set sensor sharedsecretkeyPlease enter shared secret key:



適用先:


set store-url-typeこのコマンドを使用すると、完全な URL 情報を収集するように設定することができます。

例: ドメイン: http://abc.com、完全な URL: http://abc.com/image.html

構文:

set store-url-type <domain-name | full-url>


domain-name URL のドメイン名情報のみを収集します。

full-url URL のフルパス情報を収集します。

NTBA Appliance が完全な URL を格納するように設定されている場合 (set store-url-type full-url)、パフォーマンスが

25 ～ 30 %低下する可能性があります。

set tftpserver ipTFTP サーバの IPv4 または IPv6 アドレスを指定します。

構文:set tftpserver ip <A.B.C.D | A:B:C:D:E:F:G:H>

4 NTBA CLI コマンドset store-url-type





出力例:


intruShell@john> set tftpserver ip 192.34.5.12



ntbaSensor@vNTBA> set tftpserver ip 192.34.2.54


例:set tftpserver ip 192.34.2.54

または

set tftpserver ip 2001:0db8:8a2e:0000:0000:0000:0000:0111


適用先:


setupこのコマンドは Sensor のパラメータ設定に使用されます。このコマンドは、新しい Sensor を設定するか、factorydefaults コマンドを使用して Sensor を再設定してから実行する必要があります。


構文:

setup

このコマンドを入力すると、以下の項目を入力するよう要求されます。

• 現在のパスワード

• 新しいパスワード

• Sensor 名

• IP の種類 (IPV4=1、IPV6=2 または BOTH=3)

IP Type のコマンドは IPS でのみ使用できます。NTBA で使用できません。

• Sensor の IP (IPv4、IPv6 または両方)

• Sensor のサブネットマスク (IP アドレス)

NTBA CLI コマンドsetup 4


• Manager のプライマリ IP (IPv4、IPv6 または両方)

• Manager のセカンダリ IP (IPv4、IPv6 または両方)

• Sensor のデフォルトゲートウェイ (IPv4、IPv6 または両方)

• マネジメントポートの構成の選択 (a/m)

• 共有秘密鍵

Enter を押すと、現在の設定がデフォルトになります。

出力例:

ntbaSensor@NTBA_210> setup

**Press ESC key or CTRL-C at any prompt to abort the setup**

Please enter the current password before starting setup:

Please enter the new password [current password]:

Please confirm the new password:


Please enter the sensor name [NTBA_210]:

Please enter the sensor IP(A.B.C.D) [10.213.171.210]:

Please enter the sensor subnet mask(A.B.C.D) [255.255.255.0]:

Please enter the manager primary IPv4 address(A.B.C.D) [10.213.171.215]:

**You can set the Manager secondary IP in case the manager has two interfaces**

Press Y to configure manager secondary IP address [N]: n

Please enter the sensor default gateway(A.B.C.D) [10.213.171.252]:

Please enter management port configuration choice(a/m) [Auto]: a

Sensor configuration is almost complete. The final step is to establish a securemanagement channel (trust) between the sensor and its Manager.

This is accomplished by a secret key that is shared by the Manager and this sensor.

Please ensure that a shared secret key has already been defined on the Manager forthis sensor...

Press Y to set shared secret key now or N to exit [Y]: y

Please enter shared secret key:

Please re-enter the shared secret key:


4 NTBA CLI コマンドsetup


showSensor の現在の設定 (モデル、インストール済みソフトウェアのバージョン、IP アドレス、Manager の詳細など) を表示します。


構文:

show

show コマンドでは以下の情報が表示されます。

[Sensor Info]

• Date

• System Uptime

• System Type

• Software Version

• MGMT Ethernet Port

• システムシリアル番号 (NS9300 の場合はプライマリ、セカンダリ、マスター/システムシリアル番号が個別に表

示されます)


• IP Address

• Netmask

• Default Gateway

• Default TFTP server

[Manager Config]

• Manager IP addr


• Alert TCP Port

[Peer Manager Config]

• Manager IP addr


• Alert TCP Port

NTBA CLI コマンドshow 4


出力例:


intruShell@john> show

[Sensor Info]

System Name : M6050

Date : 2/6/2015 - 9:23:18 UTC


System Type : M-6050

Serial Number : J021834009






IP Address : 10.213.174.202

Netmask : 255.255.255.0



[Manager Config]






ntbaSensor@vNTBA> show

[Sensor Info]

System Name : vNTBA

Date : Fri Mar 28 08:55:26 2014

System Uptime : 02 hrs 24 min 54 secs

System Type : T-200VM

Serial Number : T0020140324185515


MGMT Ethernet port : speed = 10 mbps, full duplex, link up

4 NTBA CLI コマンドshow




Netmask : 255.255.255.0


Default TFTP server : 1.2.3.4

[Manager Config]




• NS9300 Sensor の出力例を以下に示します。

intruShell@KAM9300> show

[Sensor Info]

System Name : KAM9300

Date : 1/28/2015 - 8:34:53 UTC


System Type : IPS-NS9300

System Serial Number : J073350027

NS9300 P Serial Number : J071328008

NS9300 S Serial Number : J064227B70







Netmask : 255.255.255.0


Default SCPserver : 1.2.3.4


[Manager Config]




NTBA CLI コマンドshow 4



適用先:


show aggstatsアグリゲータ統計を表示します。

構文:

show aggstats

出力例:

ntbaSensor@vNTBA> show aggstats

[Aggregation module stats]

aggregator - mode : 1

aggregator - running flag : 1

aggregator - stop flag : 0

aggregator - thread stage : 11

aggregator - number of peers : 2

aggregator - peer component nodes :

1.0.0.0

10.213.173.174

aggregator - thread start timestamp : Mon Sep 30 14:54:58 2013

aggregator - latest packet processing timestamp : Tue Oct 1 10:27:32 2013

aggregation self - running flag : 1

aggregation self - stop flag : 0

aggregation self - thread stage : 15

aggregation self - thread start timestamp : Mon Sep 30 14:54:58 2013

aggregation self - latest run timestamp : Tue Oct 1 10:27:19 2013

aggregation committer - running flag : 1

aggregation committer - stop flag : 0

aggregation committer - thread stage : 2

aggregation committer - thread start timestamp : Mon Sep 30 14:54:58 2013

aggregation committer - latest run timestamp : Tue Oct 1 10:27:34 2013

component - mode : 0

4 NTBA CLI コマンドshow aggstats


component - running flag : 0

component - stop flag : 0

component - thread stage : 51

component - aggregator ip : 0.0.0.0

component - thread start timestamp : Not applicable

component - latest packet processing timestamp : Not applicable

Num of Sensor_Traffic monitor data processed : 2786

Num of Top_HTF monitor data processed : 3245

Num of Top_Src_Host monitor data processed : 3246

Num of Top_Dst_Host monitor data processed : 0

Num of Top_Hosts monitor data processed : 0

Num of Top_Ext_Hosts monitor data processed : 3246

Num of Zones monitor data processed : 3246

Num of Top_Services monitor data processed : 3246

Num of Top_Applications monitor data processed : 3173

Num of New_Hosts monitor data processed : 3251

Num of New_Services monitor data processed : 3251

Num of New_Apps monitor data processed : 3251

Num of Top_Files monitor data processed : 0

Num of Top_URLs monitor data processed : 2093

Num of Interface_Summary monitor data processed : 3251

show anomalyホストレベルとゾーンレベルの変則的に作成されたプロファイルの統計を表示します。

構文:

show anomaly

出力例:

ntbaSensor@vNTBA> show anomaly

[anomaly info]

[zone anomaly status:]

[0] Zone id: 112, mode: DETECTION


NTBA CLI コマンドshow anomaly 4



[Host anomaly status:]

Number of Host Profiles maintained: 869

Number of hosts in DETECTION mode: 486

show antimalware scandetailsIPS Sensor に対するマルウェア対策スキャンの詳細を表示します。

構文:

show antimalware scandetails

出力例:

ntbaSensor@vNTBA> show antimalware scandetails

[IPS Sensors の Antimalware Scanning の詳細]

--------- IPS Sensor [1] ------------------------------ ---------------

IPS Sensor IP :172.16.230.36

TotalPktsReceived :652

TotalPktsSent :652

LastPktRecvdTime :Thu Sep 12 13:22:52 2013

LastPktSentTime :Thu Sep 12 13:22:52 2013

Successful scan counts :0

Session Handle Null counts :0

Internal Error Counts :0

Unknown command received from IPS :0

File String NULL :0

File Data NULL :0

Unknown File :0

Out of Order Packets :0

Scan Failed :0

Md5 Mismatch :0

Max Load on Workers :0

Memory allocation Failure :0

File Transfer Timeout :0

New File Count :0

4 NTBA CLI コマンドshow antimalware scandetails


Shared Memory Allocation Failed Count :0

Scan Response Sent :0

Scan Request Received :0

Scan Requests Timedout :0

LastKeepAliveRecvdTime :Thu Sep 12 13:22:52 2013

LastKeepAliveSentTime :Thu Sep 12 13:22:52 2013

KeepAliveReceivedCount :651

KeepAliveSentCount :651

Md5 of Last File Downloaded From IPS :86aa4dd53cfeefb17a722485b98b20af

show antimalware encryption statusマルウェア対策チャネルの暗号化ステータスを表示します。

構文:show antimalware encryption status

出力例:ntbaSensor@vNTBA> show antimalware encryption status

Strong encryption on the antimalware channel.

ntbaSensor@vNTBA> show antimalware encryption status

Weak encryption on the antimalware channel.

適用先:

NTBA Appliances

show antimalware statusマルウェア対策エンジンのステータス (初期化済または未初期化)、マルウェア対策エンジンの DAT バージョン、マル

ウェア対策の DAT バージョン、マルウェア対策の終更新時間、マルウェア対策の終更新ステータス、マルウェア

対策の終更新ステータスの詳細、受信したスキャンリクエスト数の合計、成功したスキャン数、失敗したスキャン

数を表示します。同一ファイルが NTBA Appliance に送信された回数 (ヒットカウント)、終アクセス時間、終更

新時間など、キャッシュ内のスキャンされたファイルのエントリ数も表示します。

構文:

show antimalware status

出力例:

ntbaSensor@vNTBA> show antimalware status

[AntiMalware Engine Status]

Current Engine Status :Anti-Malware Engine Initialized

NTBA CLI コマンドshow antimalware encryption status 4


Gateway Antimalware Engine Version : 7001.1403.1968

Gateway Antimalware Dat Version : 3185

Antivirus Dat Version :7195

Antivirus Engine Version :5600

[AntiMalware Update Status]

Last Update Time : Thu Sep 12 12:11:49 2014

Last Update Status : Download Updates Success

Last Update Status Details :Success

[AntiMalware Scan Summary]

Total Scan Requests : 10

Total Successful scans : 9

Total Scan Failures : 1

[AntiMalware Cache Stats]

Number of Entries in Cache :0

Hit Count :0

Last Access Time :

Last Update Time :

Cache Look up :Enabled

Current Engine Status (現在のエンジンのステータス) には実行されたアクションに応じて、次のステータスのいずれ

かが表示されます。

アクションステータスの説明

IPS サービスが始動した時点でエンジンが開始されます。

マルウェア対策エンジンの開始

エンジンの開始に失敗した場合マルウェア対策エンジンのシグネチャが利用できないため、NTBA はマルウェア対策エンジンを開始できません。「download antimalwareupdates (マルウェア対策のアップデートのダウンロード)」コマンドを試してください。

正常に開始された場合マルウェア対策エンジンが始動します

ダウンロードしたマルウェア対策シグネチャで NTBA が開始されなかった

ダウンロードしたマルウェア対策シグネチャで NTBA が開始されなかった

次の表は、Last Update Status ( 終アップデートステータス) に表示される可能性のあるさまざまなステータスと、

それぞれのアクションに対応する Last Update Status Details ( 終アップデートステータスの詳細) を示していま

す。

4 NTBA CLI コマンドshow antimalware status


Last Update Status ( 終アップデートステータス)

Last Update Status Details ( 終更新ステータスの詳細)

Download Updates Failed (ダウンロードのアップデート失敗)

• Update Request Not Valid (アップデートリクエスト無効)

• Protocol Version Not Supported (サポートされていないプロトコ

ルバージョン)

• No Node Groups Found (ノードグループが見つかりません)

• Request Blocked by Export Compliance (エクスポートコンプラ

イアンスによってリクエストがブロックされました)

• Internal Server Error (内部サーバエラー)

Download Updates In Progress (アップデートのダウンロード進行中)

• Sending Update Request (アップデートリクエスト送信中)

• Parsing Response (応答の解析中)

• Downloading Dat and Engine Files (ダットとエンジンファイル

のダウンロード中)

• Validating Downloaded Engine (ダウンロードされたエンジンの

評価中)

Download Updates Failed (ダウンロードのアップデート失敗)

• Sending Update Request Failed (アップデートリクエストの送信

失敗)

• Get Url List Failed (URL リストの取得失敗)

• Failed to Download Dat and engine Files (ダットとエンジンファ

イルのダウンロード失敗)

• Could not get Version (バージョンを取得できませんでした)

• Internal Error (内部エラー)

• Validating Downloaded Engine Failed (ダウンロード済みエンジ

ンの評価失敗)

Download Updates Success (アップデートのダウンロード成功)

Nothing To Update (アップデート対象なし)

Download Updates Completed (アップデートのダウンロード完了)

Success (成功)

Update Dats In Progress (ダットのアップデート進行中)

Applying Dats and Engine (ダットとエンジンの適用中)

Update Dats Completed (ダットのアップデート完了)

Success (成功)

Update Dats Failed (ダットのアップデート失敗)

Internal Error (内部エラー)

Failed to set Configuration Variables (設定変数の指定失敗)

Failed to set Dat/Engine Version (ダット/エンジンバージョンの設定失敗)

Setting Configuration Variables (設定変数の指定中)

Setting Dat/Engine Version (ダット/エンジンバージョンの設定中)

Copying Downloaded Files to Slot (ダウンロードしたファイルをスロットにコピー中)

Copying Downloaded Files to Slot (ダウンロードしたファイルをスロットにコピー中)

NTBA CLI コマンドshow antimalware status 4


Last Update Status ( 終アップデートステータス)

Last Update Status Details ( 終更新ステータスの詳細)

Copying Downloaded Files to Slot Failed (ダウンロードしたファイルのスロットへのコピー失敗)

Copying Downloaded Files to Slot Failed (ダウンロードしたファイルのスロットへのコピー失敗)

Removing Old Dats from the slot (スロットから古いダットを削除中)

Removing Old Dats the slot (スロットから古いダットを削除中)

Removing Old Dats from the slot Failed (スロットからの古いダットの削除失敗)

Removing Old Dats from the slot Failed (スロットからの古いダットの削除失敗)

Getting current slot (現在のスロットの取得中)

Getting current slot (現在のスロットの取得中)

Getting current slot Failed (現在のスロットの取得失敗)

Getting current slot Failed (現在のスロットの取得失敗)

Setting Last Update Time ( 終更新時間の設定中)

Setting Last Update Time ( 終更新時間の設定中)

Setting Update Version (更新バージョンの設定中)

Setting Update Version (更新バージョンの設定中)

Setting Update Version Failed (更新バージョンの設定失敗)

Setting Update Version Failed (更新バージョンの設定失敗)

show cachestatsNetFlow プロセッサのキャッシュ統計情報を表示します。

構文:

show cachestats

出力例:

ntbaSensor@vNTBA> show cachestats

[Cache Stats Info for NetflowProcessor]

Cache Name : nf_conversation_cache

Node Size : 920

Max Nodes : 2000000

Current Allocs : 2074

Total Allocs : 403094

Total Frees : 401020

Failed Allocs : 0

Max Allocs : 2854

Cache Name : netflow_data_cache

Node Size : 1856

Max Nodes : 600000

4 NTBA CLI コマンドshow cachestats





Failed Allocs : 0

Max Allocs : 17303

Cache Name : netflow_src_cache

Node Size : 80

Max Nodes : 5000000




Failed Allocs : 0

Max Allocs : 3901

Cache Name : netflow_pkt_cache

Node Size : 1552

Max Nodes : 524288

Current Allocs : 0



Failed Allocs : 0

Max Allocs : 240

Cache Name : db_update_cache

Node Size : 8884936

Max Nodes : 65

Current Allocs : 1


Total Frees : 14134

Failed Allocs : 0

Max Allocs : 6

Cache Name : traffic_summary_cache

Node Size : 160

Max Nodes : 1700000


NTBA CLI コマンドshow cachestats 4




Failed Allocs : 0

Max Allocs : 16415

[Cache Stats Info for EIS]

Cache Name : nia_sock_cache

Node Size : 112

Max Nodes : 50000

Current Allocs : 31


Total Frees : 10541

Failed Allocs : 0

Max Allocs : 35

Cache Name : nia_pkt_cache

Node Size : 3016

Max Nodes : 500000




Failed Allocs : 0

Max Allocs : 30835

Cache Name : nia_metadata_cache

Node Size : 5720

Max Nodes : 500000




Failed Allocs : 0

Max Allocs : 3263

Cache Name : wb_entry

Node Size : 20

Max Nodes : 100000

Current Allocs : 0

4 NTBA CLI コマンドshow cachestats


Total Allocs : 0

Total Frees : 0

Failed Allocs : 0

Max Allocs : 0

show dbstatsステータス、ディスクサイズ、合計レコード数など、データベースの統計情報を表示します。

構文:

show dbstats

出力例:

ntbaSensor@vNTBA> show dbstats

[Database information]

Database status : Up

Database uptime : 7 days 19 hrs 37 min 25 secs

Total records inserted into database : 0

Average records per second : 0

Average data log files per second : 0

Database growth rate: 2%

Netflow database disk ratio: 30%

Forensic database disk ratio: 70%

Netflow database disk size : 75594.02M

Forensic database disk size : 176386.05M

Netflow database size: 147.3G

Forensic database size: 6.9M

show disk-usage全ディスクドライブのパーティションごとのディスク使用率を表示します。これは Linux の df-h コマンドに相当し

ます。

構文:

show disk-usage

NTBA CLI コマンドshow dbstats 4


出力例:

show endpointintelligence details再起動のあと、ネットワーク接続サマリー、ブラックリストとホワイトリストのアップデート詳細、EIA アラートの

詳細、パケット処理統計など実行された処理の数を表示します。

構文:

show endpointintelligence details

出力例:

ntbaSensor@vNTBA> show endpointintelligence details

[Endpoint Intelligence demo]

Endpoint Intelligence demo mode : Disabled

[Endpoint executables since reboot]

Total executables :52

4 NTBA CLI コマンドshow endpointintelligence details


Total high and very high malware confidence executables : Programs: 0

Total medium malware confidence executables : Programs: 0

Total auto-classified white executables :40

Total auto-classified black executables :0

Total unclassified executables :15

[Network connections summary]

Total connections by all endpoints :16201

Total connections by blacklisted executables : 17

Total connections by unclassified executables : 127

Total connections by whitelisted executables :14751

Total connections by high & very high malware confidence executables: 10

Total connections by medium malware confidence executables :0

Total connections by low & very low malware confidence executables :15166

Total connections by unknown malware confidence executables : 135

Total connections by cert whitelisted executables : 16

Total connections by GTI whitelisted executables :3319

Total connections by GTI blacklisted executables :0

Total connections by Raptor blacklisted executables : 5

[Whitelist and Blacklist]

Last Whitelist and Blacklist update time :

Total user blacklisted executables : 10

Total user whitelisted executables : 0

GTI whitelisted executable events to NSM : 0

GTI blacklisted executable events to NSM : 0

Cert whitelisted executable events to NSM : 0

[Endpoint Intelligence alerts]

Alert throttling interval (in days) : 0

Total alerts : 33

Very High confidence malicious data file alerts : 0

Very High confidence malware alerts : 16

High confidence malware alerts :0

Medium confidence malware alerts :0

Blacklisted executable alerts : 17

NTBA CLI コマンドshow endpointintelligence details 4


Unclassified executable alerts :0

Whitelisted executable alerts :0

Throttled Alerts :0

Alerts dropped due to high-load :0

[Packet processing stats]

Total packets received : 178

Total packets sent : 2

Total metadata flows : 177

Total Sysinfo packets received : 1

Total keepalives received : 2

Total keepalives sent : 2

Total malformed packets :0

Total unsupported packets :0

Total packet send failures due to session not available :0

Total connections : 1

Total active connections : 1

Total connection timeouts : 0

Total sessions : 1

Total session failures :0

Total session failures due to timeouts :0

show endpointintelligence summaryアクティブなエンドポイント接続、ePO の接続ステータス、証明書のステータスなどをまとめたデータを表示しま

す。

構文:

show endpointintelligence summary

出力例:

ntbaSensor@vNTBA> show endpointintelligence summary

[Endpoint Configuration and Status]

Endpoint Intelligence Service :Running

ePO Server IP :172.16.233.6

Last ePO connection attempt :2013-09-24 14:17:59

Last ePO connection status :Success

4 NTBA CLI コマンドshow endpointintelligence summary


ePO certificate :Downloaded at 2013-09-24 14:17:59

Alert throttling :Enabled

GTI file reputation server :Not reachable

[Endpoint connections]

Total active endpoint connections :22


フィールド値

エンドポイントインテリジェンスサービス

• 実行中

• 未実行

• 停止

• 無効

終 ePO 接続ステータス成功または失敗

アラートスロットル有効または無効

GTI ファイルレピュテーションサーバ

到達可能または到達不能

ePO 証明書 • ePO 証明書が利用できる場合、ダウンロード時刻とともに、ダウンロー

ド済みと表示されます

• ePO 証明書が利用できない場合は、括弧に記載された失敗した理由とと

もに、失敗と表示されます

show exportersこのコマンドは、IP アドレス、種類、インターフェース数など、エクスポータの詳細を表示します。

構文:

show exporters

出力例:

ntbaSensor@NTBA_210> show exporters

[Exporter details]

-------------------

Exporter name : M-2750-254

Exporter type : IPS sensor

Exporter IP : 10.1.1.10

Packets received : 210706

Last packet received time: 2014-11-04 12:48:41

Flow data records : 421412

Template records : 4458

NTBA CLI コマンドshow exporters 4


Interface count : 2

show fingerprinting statsアクティブデバイスプロファイリングに関連する統計を表示します。デバイスプロファイラサービスが開始また

は停止されると、統計が収集またはリセットされます。

構文:

show fingerprinting stats

フィンガープリント統計には、次の項目があります。

• Fingerprinting Service Enabled (有効なフィンガープリントサービス): ユーザーがサービスを有効にしているか

または無効にしているかを表示します。値は「Yes (はい)」または「No (いいえ)」で表されます。

• Service Start Time (サービス開始時間): サービスを開始する時間を示します。

• Schedule Type (スケジュールの種類): ユーザーが設定したスケジュールか、または NTBA が設定したスケジュー

ルかを示します。

• Next Scan Schedule (次のスキャンスケジュール): 次に利用できるスキャンのスケジュール時間を表示します。

• Total Results Sent to Manager (Manager に送信された結果の合計): このカウンターは、アラートチャネルを通じ

て Manager に送信されたデバイスプロファイルの結果数を表します。

• Total Current Running Scan Count (現在実行中のスキャン数の合計): このカウンターは、現在進行中のスキャン

の数を表します。

• Total number of Hosts Scanned (スキャンされたホスト数の合計): このカウンターは、スキャンされたホスト数

およびデータベースに保存された結果数を表します。

• Total Scan Failures (失敗したスキャンの合計): このカウンターは、失敗したスキャンの数を表します。

• Total Passive Info Host Count Received From Manager (Manager から受信したパッシブ情報ホスト数の合計):このカウンターは、Manager が、スキャンされる IP アドレスの優先リストとして送信したホスト数を表します。

• Total Number of Hosts Excluded From Scan (スキャンから除外されたホスト数の合計): このカウンターは、スキ

ャンから除外されたホスト数の合計を表します。

• Total Internal Host (内部ホストの合計): このカウンターは、スキャンが予定されているホスト数の合計を表しま

す。

• Total Active FP Host (アクティブな FP ホストの合計): このカウンターは、データベースでアクティブなスキャン

の結果が利用できるホスト数の合計を表します。

• Total Host with no FP (FP がないホストの合計): このカウンターは、データベースでアクティブなスキャンの結果

が利用できないホスト数の合計を表します。

[Last Scan Run Details] ( 後に実行したスキャンの詳細)

• Last Scan Time ( 終スキャン時間): 終スキャン時間を示します。

• Total Number of Hosts Scanned (スキャンされたホスト数の合計): このカウンターは、スキャンされたホスト数

の合計を表します。

• Total Number of Hosts UP (アップ状態のホスト数の合計): このカウンターは、アップ状態のホスト数の合計を表

します。

4 NTBA CLI コマンドshow fingerprinting stats


• Total Number of Hosts DOWN (ダウン状態のホスト数の合計): このカウンターは、ダウン状態のホスト数の合計

を表します。

• Total Results sent to Manager (Manager に送信された結果の合計): このカウンターは、Manager に送信された

結果の合計数を表します。

出力例:

ntbaSensor@vNTBA> show fingerprinting stats

[Host FingerPrinting Stats]

[ Note: All Stats Will be Reset Once Host FingerPrinting Service Restarts ]

FingerPrinting Service Enabled : NO

Service Start Time : 2014-03-28 06:57 UTC

Schedule Type : 0

Next Scan Schedule : 0

Total Alerts Sent to NSM : 20

Total Current Running Scan Count : 3000

Total Number of Hosts Scanned : 400000

Total Scan Failures : 10

Total Passive Info Host Count Received From NSM : 0

[ Last Scan Run Details ]

Last Scan Time : 2014-03-28 10:57 UTC

Total Number of Hosts Scanned : 2000

Total Number of Hosts UP : 164

Total Number of Hosts DOWN : 20

Total Results Sent to NSM : 140

show forensic-db detailsデータやプロファイルの収集時間、コンテキストの詳細など、基本的なフォレンジックデータの収集情報を表示しま

す。

構文:

show forensic-db details

出力例:

[Forensic database details]

Forensic status : Enabled

Context data collection interval : Before attack: 20 mins | After attack: 20 mins

Alert source : Network Security Sensor & NTBA

NTBA CLI コマンドshow forensic-db details 4


Last context data collection time : 2014-07-31 03:41:00

Last service profile collection time : 2014-07-31 04:01:00

Last executable profile collection time : 2014-07-31 04:01:00

IPS alert rate per second : 0 for the last 10 minutes

NTBA alert rate per second : 0 for the last 10 minutes

Average context records per alert : 9.00 for the last 10 minutes

Attack context stored in database for : Last 2 days

show flowforwardinfoフローの転送設定を表示します。

[構文: ]

show flowforwardinfo

[出力例: ]

ntbaSensor@vNTBA> show flowforwardinfo

[flow forward Info]

Flow forward IP :1.1.1.8

Flow forward Port :2565

Flow forwarding mode :BLIND

show host-vlanホスト VLAN のステータス (有効または無効) を表示します。


構文:

show host-vlan

出力例:

ntbaSensor@vNTBA> show host_vlan

[HOST VLAN settings]

HOST VLAN : enabled

適用先:


関連トピック: 269 ページの「host-vlan」289 ページの「set htf delta-period」

4 NTBA CLI コマンドshow flowforwardinfo


show htfデルタ期間、学習期間、大デルタ、htf フィルタの設定を表示します。

構文:show htf

出力例:ntbaSensor@vNTBA> show htf

[HTF settings]

HTF delta period :180 minutes

HTF Filter IP List :

show intfport指定した Sensor のポートのステータスを表示します。存在しないポートを指定するとエラーが発生します。コマ

ンドを入力する場合には、先頭の文字は大文字にしてください。たとえば、1a は無効なコマンドになります。

構文:

show intfport <port>

パラメータ

説明


• M シリーズの有効なポート番号は次のとおりです。1A | 1B | 2A | 2B | 3A | 3B| 4A | 4B | 5A | 5B| 6A | 6B | 7A | 7B | 8A | 8B | WORD | all

• NS シリーズの有効なポート番号は次のとおりです。G0/1 | G0/2 | G1/1 | G1/2 | G1/3 | G1/4 |G1/5 | G1/6 | G1/7 | G1/8 | G1/9 | G1/10 | G1/11 | G1/12 | G2/1 | G2/2 | G2/3 | G2/4 | G2/5 |G2/6 | G2/7 | G2/8 | G2/9 | G2/10 | G2/11 | G2/12 | G3/1 | G3/2 | G3/3 | G3/4 | G3/5 | G3/6 |G3/7 | G3/8 | WORD | all

show intfport コマンドでは以下の情報が表示されます。

• ポートの管理ステータス (有効または無効) • ピアポートがネゴシエートする二重モードと速

度

• Sensor の動作ステータス • オートネゴシエーションの設定

• Sensor の動作モード • 受信したパケットの総数

• 全二重モードの有効/無効 • 送信したパケットの総数

• ポートのトラフィックの方向 (内部または外部) • 受信した CRC エラーの総数

• 10/100 ポートの速度 (設定されている場合) • 送信した CRC エラーの総数

• Gigabit ポートの速度 (設定されている場合) • フロー制御のオン/オフ (Sensor Gigabit ポートの

場合のみ)

• ピアポートのサポートリンクモード

NTBA CLI コマンドshow htf 4


出力例:


intruShell@john> show intfport 2A

Displaying port 2A

Administrative Status :ENABLED

Operational Status :UP

Operating Mode :INLINE_FAIL_CLOSED

Duplex :FULL

Port Connected to :OUTSIDE

Port Speed :1 GBPS-AUTONEG

Peer port

supported link modes :




Actual negotiated Duplex:FULL

Actual negotiated Speed :1 GBPS

Additional Porttype Info:



Total CRC Errors Rcvd :0

Total Other Errors Rcvd :0

Total CRC Errors Sent :0


Flow Control Status :OFF


ntbaSensor@NTBA_210> show intfport 1

Administrative status :Enabled

Link status :Up


Duplex :Auto, Full



4 NTBA CLI コマンドshow intfport






IP Address :17.68.26.27

MAC Address :00:1B:21:44:77:48


適用先: M シリーズ、NS シリーズ、仮想 IPS Sensor、および NTBA Appliance。このコマンドは、仮想セキュリティ

システムインスタンスには適用されません。代わりに、show ingress-egress stat コマンドを使用します。


構文


出力例

Local GAM Engine Statistics:

----------------------------

Engine Status: Initialized

Gateway Anti-Malware Engine Version: 7001.1403.1968

Gateway Anti-Malware DAT Version: 3186

Anti-Malware Engine Version: 5600

Anti-virus DAT Version: 7612

Last Update time: 11/5/2014 - 8:16:49 UTC

Last Successful Update time: 11/5/2014 - 8:16:49 UTC

Total number of Scan Threads: 5

Total Full update success count: 0

Total Full update failure count: 0

Total Incr update success count: 0

Total Incr update failure count: 0

Total NSM Full update success count: 0

Total NSM Full update failure count: 0

Total config issue update failure count: 0

(config issue - Trust/DNS/Proxy config issues)

NTBA CLI コマンドshow gam engine stats 4


適用先:


show gam scan stats

構文

show gam scan stats

出力例

Local GAM Scan Statistics:

--------------------------

Total scan requested: 2

Total scan submitted to GAM: 2

Total Successful Scans: 2

Total Scan Failures: 0

Total scan misc error count: 0

Total scan req skipped due to filesize mismatch: 0

Total scan req skipped due to timeout in Queue : 0

適用先:


show l7dcapstatsレイヤ 7 でキャプチャされたデータの統計を表示します。

構文:

show l7dcapstats

出力例:

ntbaSensor@Demo-NTBA> show l7dcapstats

[Layer7 Data Capture Statistics]

-------------------------------

Total Dcap HTTP URI Count : 66709

Total Dcap HTTP Domain Name Count : 65588

Total Dcap AttackId Count : 19

Total Dcap AppId Count : 158018

4 NTBA CLI コマンドshow gam scan stats


Total Forensics Attack Id Count : 7113

Total Forensics Victim Direction Count : 7113

Total File Type : 31416

Total File Hash : 31416



構文:

show mem-usage


L7Dcap カウンターの説明は次のとおりです。

• Avg. Used L7 Dcap Alert Buffers across all PEs - Sensor のすべての処理エンジンのバッファ総数

のうち L7Dcap バッファの使用が占める平均割合

• Max. Used L7 Dcap Alert Buffers on a single PE - 単一の処理エンジンが管理する大バッファ数

のうち L7Dcap バッファの使用が占める割合

• Avg. Used L7 Dcap flows across all PEs - Sensor のすべての処理エンジンに対して Manager で設定

されている値のうち L7Dcap フローの使用が占める平均割合

• Max. Used L7 Dcap flows on a single PE - 単一の処理エンジンが管理する大値のうち L7Dcap フロ

ーの使用が占める割合

NTBA CLI コマンドshow mem-usage 4


出力例:


Avg. Used TCP and UDP Flows across all PEs : 0%

Max. Used TCP and UDP Flows on a single PE : 0%

Avg. Used Fragmented IP Flows across all PEs : 0%

Max. Used Fragmented IP Flows on a single PE : 0%

Avg. Used ICMP Flows across all PEs : 0%

Max. Used ICMP Flows on a single PE : 0%

Avg. Used SSL Flows across all PEs : 0%

Max. Used SSL Flows on a single PE : 0%

Avg. Used Fragment Reassembly Buffers across all PEs : 0%

Max. Used Fragment Reassembly Buffers on a single PE : 0%

Avg. Used Packet Buffers across all PEs : 0%

Max. Used Packet Buffers on a single PE : 0%

Avg. Used Attack Marker Nodes across all PEs : 0%

Max. Used Attack Marker Nodes on a single PE : 0%

Avg. Used Shell Marker Nodes across all PEs : 0%

Max. Used Shell Marker Nodes on a single PE : 0%

Avg. Used L7 Dcap Alert Buffers across all PEs : 0%

Max. Used L7 Dcap Alert Buffers on a single PE : 0%

Avg. Used L7 Dcap flows across all PEs : 0%

Max. Used L7 Dcap flows on a single PE : 0%

Avg Attacks received across all PEs : 0%


ntbaSensor@vNTBA> show mem-usage

total used free shared buffers cached

Mem: 12046 727 11319 0 18 476

Swap: 11727 0 11727

Total: 23774 727 23047

適用先:


4 NTBA CLI コマンドshow mem-usage


show mgmtportSensor のマネジメントポートの現在の設定をすべて表示します。


構文:

show mgmtport

show mgmtport コマンドでは以下の情報が表示されます。

• Sensor のマネジメントポートの値 (1000Mbps、100Mbps、10Mbps またはオートネゴシエーション)

• Sensor のマネジメントポートリンクのステータス (2 つのデバイスに決められた速度。通常、も高速な設定に

します)



• マネジメントポートの機能 (1000baseTx-FD、100baseTx-FD、100baseTx-HD、10base-T-FD、10base-T-HD のいずれか)

• マネジメントポートがアドバタイズする機能 (1000baseTx-FD、100baseTx-FD、100baseTx-HD、10base-T-FD、

10base-T-HD のいずれか)

• リンク先の特性 (1000baseTx-FD、100baseTx-FD、100baseTx-HD、10base-T-FD、10base-T-HD のいずれか)

NTBA CLI コマンドshow mgmtport 4


出力例:


intruShell@john> show mgmtport



Supported link modes:10baseT/Half 10baseT/Full



Advertised link modes:10baseT/Half 10baseT/Full



Advertised auto-negotiation:Yes

Speed:100Mb/s

Duplex:Full


Wake-on: d

Link detected: yes

eth0 Link encap:Ethernet HWaddr 00:06:92:2B:69:40

inet addr:10.213.174.202 Bcast:10.213.174.255 Mask:255.255.255.0

inet6 addr: fe80::206:92ff:fe2b:6940/64 Scope:Link

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1




RX bytes:255473849 (243.6 Mb) TX bytes:38758684 (36.9 Mb)

Interrupt:24


ntbaSensor@NTBA_210> show mgmtport

Link status :Up


Duplex :Auto, Full



4 NTBA CLI コマンドshow mgmtport






IP Address :10.213.171.210

MAC Address :00:24:E8:46:46:D6


適用可能:


関連トピック: 78 ページの「set mgmtport auto」79 ページの「set mgmtport speed and duplex」

show netstatマネジメントポートの netstat 出力を表示します。


構文:

show netstat

出力例:


図 4-1 Sensor の show netstat コマンド出力

NTBA CLI コマンドshow netstat 4



図 4-2 NTBA の show netstat コマンド出力

適用先:


show nfcstatsフローコレクタの統計を表示します。 NTBA でパケットが正しく処理されているかどうかを出力を確認して検証し

ます。

構文:

show nfcstats

出力例:

ntbaSensor@vNTBA> show nfcstats

[Netflow-Collector Statistics]

-------------------------------

4 NTBA CLI コマンドshow nfcstats


Total packets received : 1047496

Total flow data records received : 2291170

Total v10 flow data records : 20000



IPS flow data records : 2091170

Total Templates : 2467

V10 Templates : 2000

IPS templates : 467

Total TCP conversations : 240259

Total UDP conversations : 86656

Total ICMP conversations : 74702

Total L7 URL count : 20842

Total L7 FILE count : 12

Internal Hosts : 823

[Netflow Processing Stats]

Duplicate flow data records : 0

Flows excluded by User Config : 0

L7 data excluded by User Config : 0

Flows getting processed : 2824

Flows processed in last minute : 3107

Coalesced Conversations count : 318593

Template Cache : 1

Throttled flow data records : 0

Write index : 0

Remove index : 0

Nba read index : 0

Recon read index : 0

Htf read index : 0

Anomaly read index : 0

[Packet Parsing and Preprocessing Errors]

Erroneous flow data records : 0

Pkts from unconfigured exporter : 0

NTBA CLI コマンドshow nfcstats 4


Pkts with invalid netflow version : 0

Pkts with IP version other than 4 : 0

Unidirectional flow in ips pkt : 760371

Needs dedup count : 0

Update nxthop failed : 0

Functional buf insert failed : 0

Invalid L7 data length : 0

Invalid templates : 0

Flows ignored after max host limit : 0

Flows ignored for not-enough memory : 0

Flows ignored for external traffic : 187

Flows ignored for non-match template: 1444

Misc preprocessing error : 0

[Netflow-Collector Incoming Load Stats]

Last netflow seen time : Mon Sep 30 04:41:42 2013

Incoming flows per sec for last 10 minutes : 7

Incoming flows for last 10 minutes :

Flows for last 0 - 1 minute : 4432









Flows for last 9 -10 minute : 0

show pktrecvstatsNTBA で受信したパケットの統計を表示します。

構文:

show pktrecvstats

4 NTBA CLI コマンドshow pktrecvstats


出力例:

ntbaSensor@vNTBA> show pktrecvstats

[Pktrecv Info]

Start Time :Sat Sep 21 14:25:43 2013

Last Packet Recv Time :Never

Packets observed :0

Packets Read :0

Pktrecv socket mode :0

Number of Restarts :0

Netflow Listen Port :9996

Thread status :PROCESSING_PKT

show routeこのコマンドは、Manager インターフェースを使用して、NTBA Appliance で設定されるルートを表示するために使

用されます。

構文:

show route

出力例:

ntbaSensor@vNTBA> show route

network 10.10.210.0 netmask 255.255.255.0 gateway 192.168.0.251 port 1

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

10.213.173.0 0.0.0.0 255.255.255.0 U 0 0 0 mgmt

10.10.210.0 0.0.0.0 255.255.255.0 U 0 0 0 4

169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 mgmt

22.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 2

0.0.0.0 10.213.173.252 0.0.0.0 UG 0 0 0 mgmt

show store-url-typeこのコマンドは、URL の現在の設定を表示します。ONLY-DOMAIN または FULL-URL のいずれかに設定できます。

構文:

show store-url-type

NTBA CLI コマンドshow route 4


出力例:

ntbaSensor@vNTBA> show store-url-type

[store url type]

Url Store Type : ONLY-DOMAIN

show tsstatsGTI 関連検索の統計を表示します。

構文:

show tsstats

出力例:

ntbaSensor@vNTBA> show tsstats

[Trusted-Source Stats]

Trusted Source Activate Failed : 0

Trusted Source NetConfigInternal Failed : 0

Trusted Source NetConfigSetting Failed : 0

Trusted Source NetLookup Failed : 0

Trusted Source DB Download Failed : 0

Trusted Source DB Load Failed : 0

Trusted Source Create Attribute Failed count : 0

Trusted Source Create Url Failed count : 0

Trusted Source Ip Cache Insert Failed count : 2559

Trusted Source Parse Url Failed count : 0

Trusted Source Create Category Failed count : 0

Trusted Source Remove Category Failed count : 0

Trusted Source Category to Array Failed count : 0

Trusted Source Category to String Failed count : 0

Trusted Source Rate Ip Failed count : 23046

Trusted Source Rate Url Failed count : 6

Trusted Source NTBA DB Ip Updates Failed count : 0

Trusted Source NTBA DB Url Failed count : 2939

Trusted Source Conversation Drop count : 5188

Trusted Source Urls Drop count : 12157

4 NTBA CLI コマンドshow tsstats


Trusted Source Conversation Send Drop count : 0

Trusted Source Urls Send Drop count : 0

Trusted Source Number of Ip's Updated : 56848

Trusted Source Number of Ips Loaded from File : 0

Trusted Source Number of Entries in Cache : 2025

Trusted Source Lookup drops due to configuration : 732359

Trusted Source Total Conv Request Count : 30894

Trusted Source Successful Connection Lookup count : 0

Trusted Source Total Url Request Count : 19313

Trusted Source Successful Url Lookup count : 7144

Trusted Source Conversation Cachehit Count : 121992

Trusted Source Conversation Cache Busy Count : 28

Trusted Source Rate cache Lookup Time : 0

Time Of Day In Seconds : 1380516471

shutdownSensor の電源をオフにできるように Sensor を停止します。 1 分後に Sensor の電源を手動でオフにできます。

Sensor の電源は、自動ではオフになりません。 Sensor をシャットダウンしても良いか確認してください。


構文:

shutdown

適用先:


関連トピック: 60 ページの「reboot」

statusSensor のシステムステータスを表示します。システムの正常性、Manager の通信、シグネチャセットの詳細、検出

されたアラートの総数、Manager に送信されたアラートの総数などが表示されます。


構文:

status

出力例:

NTBA CLI コマンドshutdown 4


Sensor の出力例を以下に示します。

intruShell@john> status

[Sensor]

System Initialized : yes

System Health Status : good

Layer 2 Status : normal (IDS/IPS)

Installation Status : complete

IPv6 Status :Parse and Detect Attacks

Reboot Status :Not Required

Guest Portal Status : up

Hitless Reboot :Not-Available

Last Reboot reason : reboot issued from CLI

[Signature Status]

Present : yes

Version :8.6.0.6

Power up signature : good

Geo Location database :Present

DAT file :Present

Version :318.0


Trust Established : yes (RSA 1024-bit or 2048-bit)

Alert Channel : up

Log Channel : up


Last Error :None

Alerts Sent :961

Logs Sent :974

[Alerts Detected]

Signature :4246 Alerts Suppressed :3483

Scan :0 Denial of Service :2

Malware :0


Status : up

4 NTBA CLI コマンドstatus


IP : 10.213.174.132

Port :8505

[McAfee MATD Communication]

Status : up

IP : 10.213.174.134

Port : 8506

NTBA Appliance にも同じステータスメッセージが表示されます。

NS-9300 Sensor では、ソフトウェアバージョンの不一致により Sensor が再起動した場合、status コマンドを使用

すると、Last Reboot reason には recovered from sw version mismatch という理由が表示されます。

Sensor と Manager 間の信頼関係の確立に、共有秘密鍵の不一致が原因で問題があった場合、Last Error には

Alert Channel - Install Keys Mismatch というメッセージが表示されます。そうした状況下では、Managerの共有秘密鍵を確認し、set sensor sharedsecretkey コマンドを使用して、Sensor に設定します。

適用先:


tcpdump sec指定された期間、tcpdump キャプチャを秒単位で表示します。tcpdump 引数は指定の秒数の後に指定できます。

構文:

tcpdump sec <1-30> WORD WORD …

出力例:

ntbaSensor@vNTBA> tcpdump sec 5

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

Examples:

tcpdump sec 5

tcpdump sec 5 -i eth4 dst host A.B.C.D

適用先:

NTBA Appliance のみ。

traceuploadエンコードされた診断追跡ファイルを設定済みの TFTP サーバにアップロードします。Sensor の診断で使用する追

跡ファイルは、このサーバから McAfee テクニカルサポートに送信できます。また、Manager インターフェースの

追跡アップロード機能も使用できます。

NTBA CLI コマンドtcpdump sec 4


構文:

traceupload WORD

WORD は、追跡情報を記録するファイルの名前です。


• このコマンドを実行する前に set tftpserver ip コマンドを実行して NTBA アプライアンスで TFTP サーバ

を設定してください。

• 設定済みの TFTP サーバから追跡ファイルを読み込む場合には、ファイルのパス名は /tftpboot からの相対パスに

する必要があります。



traceupload の一部として、logstat を使用して追加情報が収集されます。このため、Sensor からログを収集するのに

追加の時間がかかります。Sensor モデルによっては、10 ～ 30 分かかる場合があります。





出力例:

NTBA Appliance の出力例を以下に示します。

ntbaSensor@vNTBA> traceupload ntbaTraceFile

Make sure the file ntbaTraceFile exists on the server with 'WRITE' permission foreveryone. If it doesn't exist, then create an empty ntbaTraceFile file with 'WORLDWRITE' permissions.




適用先:


関連トピック: 57 ページの「logstat」

unknown-interfaces-flows不明なインターフェースから NTBA Appliance へのフロー。不明なインターフェースは既知のエクスポータのイン

ターフェースに限られます。

構文:unknown-interfaces-flows <accept> | <reject> | <status>

4 NTBA CLI コマンドunknown-interfaces-flows



<accept> NTBA は不明なインターフェースからのフローを許可します

<reject> NTBA は不明なインターフェースからのフローを拒否します

<status> 不明なインターフェースのフローのステータスを表示します (許可または拒否)

SNMP が設定されていない場合、NTBA はインターフェースを検出できず、このコマンドが accept (許可) に設定され

るまで、ルーターからのフローを許可しません。また、内部ゾーンと外部ゾーンの CIDR 範囲を適切に設定する必要が

あります。設定しない場合、すべてのエンドポイントは NTBA によって内部ゾーンにあると見なされます。

出力例:


intruShell@john> unknown-interfaces-flows accept

Accepted


ntbaSensor@vNTBA> unknown-interfaces-flows accept

ntbaSensor@vNTBA> unknown-interfaces-flows status

interface status: Reject

適用先:

NTBA Appliance のみ

watchdogウォッチドッグプロセスは、デバイスで回復不能な障害が検出されると、デバイスを再起動します。

構文:watchdog <on | off | status>


<on> Watchog を有効にします。

<off> ウォッチドッグを無効にします。システム障害が繰り返し発生し、Sensor が頻繁に再起動する場合に使用します。

<status> Watchdog プロセスのステータス (on または off) を表示します。

出力例:


intruShell@john> watchdog status

watchdog = off


ntbaSensor@vNTBA> watchdog status

watchdog = on

適用先:


NTBA CLI コマンドwatchdog 4


4 NTBA CLI コマンドwatchdog


索引

CCLI logon 28

CLI コマンドマトリックス 23

CLI コマンドの問題 15

console 15

ssh 17

オートコンプリート 18

必須のコマンド 18

CLI 構文 18

コマンドシーケンス 18

Ffactorydefaults 68, 69

IIP アドレス; Manager 95

MMcAfee ServicePortal、アクセス 14

Ppassword; Sensor 93

SSensor

説明 15

Sensor ログオン; ssh 18

Sensor 名 93

Sensor; NTBA 15

ServicePortal、製品マニュアルの検索 14

setup コマンド 92

こ

このガイドで使用している表記規則とアイコン 13

このガイドについて 13

さ

サブネットマスク; Sensor 95

せ

セットアップ; Sensor 93

て

テクニカルサポート、製品情報の検索 14

デフォルトゲートウェイ; Sensor 95

と

ドキュメント

このガイドの対象読者 13

表記規則とアイコン 13

ま

マニュアル

製品固有、検索 14

マネジメントポートの設定; Sensor 95


mcafee network security platform 9 mgmtport speed and duplex .....79 set mnsconfig .....80 set...

Documents