CSM でのトラブルシューティングにおいて、問題の解析に必要になるログに Diagnostics がございます。こちらで出力されるログレベルの変更はCSM の Debug Options Page にて行います。Tools -> Security Manager Administration の Debug Options にて各項目のログのレベルを変更できます。 [debug options のイメージ : CSM Configuration Manager] 各項目のそれぞれの内容については...

ASA で failover の設定を行っている場合に、health 状態がよりよい方を Active の Unit とするための判断材料として ASA の Interface の monitoring を行うことが できます。   Primary と Secondary の双方の I/F 間で定期的に hello message のやりとりを行い、 それぞれの Interface の状態が正常であるかどうかの確認を行います。もし hold time の半分の時間、hello message を...

ASA の troubleshooting の有用なツールとして syslog がございます。ASA にて 何らかのトラブル等が発生した場合には、まずは事象発生時間帯の syslog を確認 していただき、原因を特定するのに有用な情報がないかどうか確認していただけ ればと思います。   syslog はメッセージの緊急度に応じて、severity (0 ~ 7) が定義されております。 severity の数字が小さくなるほど、緊急度が高くなります。ASA では logging コマンドを用いて...

packet-tracer コマンドを用いて ASA にて受信したパケットをどのように処理 (ACL/NAT/Routing 等)されるか確認することができ、こちらは ASA のトラブルシューティングにおいて非常に有用なツールです。 ASA にて通過する packet の deny が発生している際に、問題箇所の特定 (どのプロセスが影響しているのか) を簡単に行うことができます。      packet-tracer ではパラメータで指定した IP address や port で形成された仮...

2019/3/6 追記：本ドキュメント記載の write standbyコマンドは、特に商用環境では、何等か理由がある場合を除き、原則利用しないようにしてください。 write standbyコマンドは機器を起動したまま強制的に再同期を促すコマンドとなり、強引な同期処理により、別の同期問題発生か稼働問題発生の原因となります。 同期問題の対応には以下ドキュメントの内容を元に対応をお願いいたします。同期問題発生時の基本となる対応はStandby側の再起動となり安定し復旧を期待できます。ASA: F...