sam_alert

説明

SAM v1の場合、このユーティリティは標準入力から受け取った情報に従って、Suspicious Activity Monitoring (SAM) アクションを実行します。

SAM v2の場合、このユーティリティは、Suspicious Activity Monitoring(SAM)アクションをユーザ定義アラートメカニズムで実行します。

重要:

  • このコマンドは、管理サーバ上で実行する必要があります。

  • このコマンドは、エキスパートモードでのみ実行可能です。

  • マルチドメインサーバでは、該当するドメイン管理サーバのコンテキストでこのコマンドを実行する必要があります。

    mdsenv <IP Address or Name of Domain Management Server>

注:

  • VSXゲートウェイとVSXクラスタメンバは、SAM(Suspicious Activity Monitoring)ルールをサポートしませんsk79700を参照してください。

  • 詳細はfw samそしてfw sam_policyコマンドを使用する。

sam_alert [-v] [-o] [-s <SAM Server>] [-t <Time>] [-f <Security Gateway>] [-C] {-n|-i|-I} {-src|-dst|-any|-srv}

SAM v1のパラメータ

パラメータ

説明

-v

"fw sam"コマンドの詳細モードを有効にします。

-o

このツールの入力を標準出力に出力することを指定します(CLI 構文でパイプと一緒に使用するため)。

-s <SAM Server>

連絡するSAMサーバを指定します。デフォルトは "localhost "です。

-t <Time>

アクションを実行する時間(秒)を指定します。デフォルトはforeverです。

-f <Security Gateway>

操作を実行するセキュリティゲートウェイ/クラスタオブジェクトを指定します。

重要 - 対象のセキュリティゲートウェイ/クラスタ オブジェクトを明示的に指定しない場合、このコマンドは管理されているすべてのセキュリティゲートウェイとクラスタに適用されます。

-C

指定された操作を取り消します。

-n

セキュリティゲートウェイ/ClusterXL/セキュリティグループを通過するたびに通知します。

-i

指定された条件に一致する接続を禁止(ドロップまたは拒否)します。

-I

指定された条件に一致する接続を禁止(ドロップまたは拒否)し、指定された条件に一致する既存の接続をすべて閉じます。

-src

接続元アドレスにマッチします。

-dst

接続の宛先アドレスに一致します。

-any

接続元アドレスまたは接続先アドレスのいずれかに一致します。

-srv

特定の送信元、送信先、プロトコル、ポートに一致します。

sam_alert -v2 [-v] [-O] [-S <SAM Server>] [-t <Time>] [-f <Security Gateway>] [-n <Name>] [-c "<Comment">] [-o <Originator>] [-l {r | a}] -a {d | r| n | b | q | i} [-C] {-ip |-eth} {-src|-dst|-any|-srv}

SAM v2のパラメータ

パラメータ

説明

-v2

SAM v2を使用することを指定します。

-v

"fw sam"コマンドの詳細モードを有効にします。

-O

このツールの入力を標準出力に出力することを指定します(CLI 構文でパイプと一緒に使用するため)。

-S <SAM Server>

連絡するSAMサーバを指定します。デフォルトは "localhost "です。

-t <Time>

アクションを実行する時間(秒)を指定します。デフォルトはforeverです。

-f <Security Gateway>

操作を実行するセキュリティゲートウェイ/クラスタオブジェクトを指定します。

重要 - 対象のセキュリティゲートウェイ/クラスタ オブジェクトを明示的に指定しない場合、このコマンドは管理されているすべてのセキュリティゲートウェイとクラスタに適用されます。

-n <Name>

SAMルールの名称を指定します。

デフォルトは空です。

-c "<Comment>"

SAMルールのコメントを指定します。

デフォルトは空です。

テキストは二重引用符または引用符で囲む必要があります。

-o <Originator>

SAMルールの発信元を指定します。

デフォルト値はsam_alertです。

-l {r | a}

指定した条件に一致する接続のログの種類を指定します。

  • r- レギュラー

  • a- アラート

デフォルト値: None

-a {d | r| n | b | q | i}

指定された条件に一致する接続に適用するアクションを指定します。

  • d- ドロップ

  • r- 却下

  • n- 通知

  • b- バイパス

  • q- 検疫

  • i- 検査

-C

条件に一致する既存の接続をすべて閉じることを指定します。

-ip

基準パラメータとしてIPアドレスを使用することを指定します。

-eth

MACアドレスを基準パラメータとして使用することを指定します。

-src

接続元アドレスにマッチします。

-dst

接続の宛先アドレスに一致します。

-any

接続元アドレスまたは接続先アドレスのいずれかに一致します。

-srv

特定の送信元、送信先、プロトコル、ポートに一致します。

sk110873: How to configure Security Gateway to detect and prevent port scanを参照してください。