IPSにてAnalysisEngineがNotrunning状態になった場合の復旧方法について記述いたします。


以下の方法によりIPSを再起動することで、AnalysisEngineを復旧できます。

・CLI上でresetコマンドを実行する。
・直接CiscoIPSの電源をOFF/ONする。
・CSM上で"Device"> 該当のIPS上で右クリック > "Reboot Device"を選択

・IDM上で"Configuration" > "Sensor Management" > "Reboot Sensor" > "Reboot Sensor"ボタンをクリック

AnalysisEngineのみを再起動する方法はございません。


また、IPSの再起動にService accountを利用する場合がございます。

Service accountについては以下の記事をご参照ください。
・Service accountの作成・確認について
https://supportforums.cisco.com/ja/document/128011


Service accountにて以下のコマンドを入力することにより、IPSを再起動させることが可能です。

<step 1>
下記コマンドを実行し、rootユーザー(管理者権限をもつユーザー)に昇格させる。

$su -

<step 2>
下記のいずれかのコマンドを実行し、再起動する。

1. /etc/init.d/cids reboot
2. /etc/init.d/cids restart


上記のコマンドの違いについて説明いたします。

上記の2つのコマンドについては、実行時に再起動される範囲が異なります。

rebootコマンドを実行した場合:
IPS上でresetコマンドを実行した場合と同様の動作となります。すなわち、システムが一度ダウンし、ROMMONからLinuxイメージの起動、CIDS(IPS)イメージの起動の順に動作し、ログイン画面へと移行します。

restartコマンドを実行した場合:
LinuxはダウンせずCIDS(IPS)イメージの再起動のみが行われます。

したがって、service account(Linux)にSSHログインしている場合において、
rebootの場合:　SSHログインのコネクションが切断される
restartの場合: SSHログインのコネクションは維持される
のような違いがございます。

また、上記の通り、rebootの場合もrestartの場合もCIDS(IPS)イメージの再起動が行われるので、IPSの動作は停止します。そのため、このときcisco account(=CIDS)へのSSHログインができなくなります。すでにSSHログインしている場合においては、コネクションが切断されます。


service accountはログイン時に以下のような警告メッセージが現れるように、TAC側のトラブルシュート用として用意されております。TACからの指示等がない状態で行われた service account上での設定変更等に起因したトラブルにつきましてはサポート外となりますので予めご了承頂きたく存じます。
************************ WARNING ************************
UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED.
This account is intended to be used for support and troubleshooting
purposes only. Unauthorized modifications are not supported and will
require this device to be re-imaged to guarantee proper operation.
*********************************************************