×

警告メッセージ

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

障害時の cidDump 取得について

ドキュメント

2013/02/27 - 21:05
2月 27th, 2013
User Badges:
  • Cisco Employee,

運用中の sensor が突然 AnalysisEngine が NotRunning に

なったり、signature update 時に sensor の応答がなくなり

再起動により復旧、という事象がございます。

このような場合、大抵 sensor の sensorApp、もしくは

mainApp が crash していることが多く、crash している場合、

core.txt という file が作成され(show tech 内に含まれて

おります)、crash の調査はこの core.txt を解析することで

調査させて頂いております。

しかしながら、新規不具合の場合等、core.txt の内容だけ

では情報が不足しており、事象発生時の sensor のプロセス

状態等の確認が必要となる場合がございます。


このような場合、sensor の種々プロセス情報やログを網羅している

cidDump という file があり、事象発生時の cidDump の取得を

TAC から依頼させて頂く場合がございますので、以下に

cidDump の取得方法についてご説明させて頂きます。


----------

0. [事前準備] service account を作成して頂く。


service account の作成・確認につきましては以下のドキュメントを

ご確認ください。


service account の作成・確認について

https://supportforums.cisco.com/docs/DOC-30236


----------

1. service account でログイン


IPS4240 login: service

Password:

<snip>

-bash-2.05b$


----------

2. root 権限に移行



-bash-2.05b$ su -

Password:     <<<--- root の password は service account と同じものです

-bash-2.05b#


----------

3. /usr/cids/idsRoot/bin/cidDump の実行



-bash-2.05b# /usr/cids/idsRoot/bin/cidDump

Generating report ....................................................................................................Done


----------

4. /usr/cids/idsRoot/log/ 配下に cidDump.html が作成されます


-bash-2.05b# ls /usr/cids/idsRoot/log/

cidDump.html  main.log


----------

5. (option) gzip コマンドで圧縮する


-bash-2.05b# gzip /usr/cids/idsRoot/log/cidDump.html

-bash-2.05b#

-bash-2.05b# ls /usr/cids/idsRoot/log/

cidDump.html.gz  main.log


----------

6. SCP client を用いて cidDump.html(.gz) file を取得する


----------


こちらの cidDump につきましては show tech 内に含まれておりますので、

もし問題発生時に show tech 出力が取れるような状況でしたら上記の

作業を実施頂く必要はございません。しかしながら、問題発生時に

sensor に cisco account でログインできない等の理由で show tech が

取得できない状況の場合、service account でログインできる場合があり、

その際に上記の作業を実施頂ければと思います。


cidDump につきましては以下の CCO document もございます。


cidDump Script

http://www.cisco.com/en/US/docs/security/ips/7.1/configuration/guide/cli/cli_troubleshooting.html#wp1323947

Loading.

アクション

このドキュメントについて