CA Spectrum - 10.3.2 - Japanese - Japan

Network Configuration Manager のポリシー

内容
casp1032jp
内容
2
2
このチャプタでは、Network Configuration Manager のポリシーを作成および設定する方法について説明します。Network Configuration Manager ポリシーではコンフィギュレーションのコンテンツを監視し、デバイス コンテンツが準拠していることを確認します。
: Network Configuration Manager のポリシーを設定する前に、設定をキャプチャしておくことをお勧めします。ネットワークでグローバル同期タスクを設定する場合は、「グローバル同期タスク」を参照してください。
Network Configuration Manager のポリシーについて
Network Configuration Manager
ポリシー
は、デバイス ホスト設定のコンテンツを監視するために使用される条件を定義します。デバイス ホスト設定ファイルがキャプチャされるたびに、ポリシーが確認および比較されます。ポリシーに違反するデバイスではアラームを生成し、修復を受けることができます。
ポリシーを作成し、単一のデバイスおよびグローバル コレクションに適用することができます。グローバル コレクションに適用される場合、ポリシーはデバイス ファミリごとにすべてのグローバル コレクション メンバに強制適用されます。グローバル コレクションのセットアップの詳細については、「Network Configuration Manager」および「グローバル コレクション」を参照してください。
2 つのタイプのポリシー(単一行ポリシーおよび複数行ブロック ポリシー)を作成できます。次のセクションで説明します。
注:
Enterasys/Riverstone SSR デバイスで実行される設定キャプチャでは、ランニング コンフィギュレーションではなくスタートアップ コンフィギュレーションが提供されます。そのため、デバイスが Network Configuration Manager のポリシーに準拠しているかどうかを判断する場合、スタートアップ コンフィギュレーションが使用されます。SSR デバイスが Network Configuration Manager の設定アップロードを処理する方法の詳細については、「Enterasys/Riverstone SSR デバイスによるアップロード タスクへの応答方法の決定」を参照してください。
単一行ポリシー
単一行ポリシーは、現在定義済みのホスト設定とポリシー定義を 1 行ずつ比較します。ホスト設定のデータの各行は、ポリシーに対して分析されます。設定全体にわたる単一のコマンドの存在を確認する場合に、このタイプのポリシーは役立ちます。
すべてのスイッチで http を有効にする必要があるという規制がサイトにあるとします。設定内の以下を使用してスイッチがオンラインになります。
#http configuration
set ip http server disable
set ip http port 80
このデバイスがサイト規制に準拠するには、「set IP HTTP server disable」を「set IP HTTP server enable」にする必要があります。この状況を識別し修正するには、単一行ポリシーを作成して、設定に「set ip HTTP server enable」の行があるかどうかを確認できます。この行が設定にない場合、条件を修復できるようにアラームを生成することを指定できます。アラームからポリシー違反を表示できます。また、修正済みのコンテンツをアップロードするタスクをスケジュールすることによりデバイスを修復するオプションがあります。
複数行ブロック ポリシー
複数行ブロック ポリシーは、現在定義済みのホスト設定とポリシーを 1 ブロックずつ比較します。ポリシーは、ポリシーと現在のホスト設定の間に対応するブロックに一致させようとします。ブロックは開始と終了のタグで指定されます。制限を付けているブロック内のデータのみがポリシーによって分析されます。インターフェース設定などの設定テキストのブロックの設定を監視している場合、このタイプのポリシーが役立ちます。ほとんどのデバイスには複数のインターフェースがあり、個別のインターフェースに使用する一意の設定が同じ設定ファイルに表示されます。
ブロック ポリシーを強制適用する場合、使用可能な 2 つのオプションがあります。設定コンテンツは、ポリシー条件の事前定義済みセットと比較できます。また、設定履歴の前の設定または参照設定と比較できます。
前の設定または参照設定と比較する場合、変更、追加、または削除された行が識別されます。前の設定または参照設定との比較は、ブロックのコンテキストで発生する変更を強調表示するのに役立ちます。指定されたブロックの外部で発生する変更は、マスクされた変更または無関係な変更として示されます。
説明に含まれる「shutdown」という単語によって識別された特定のインターフェースをシャットダウンするとします。以下の方法で複数行ブロック ポリシーを定義することによって、このようなデバイスを識別できます。
  • 指定されたコンテンツとの比較。ポリシー定義として説明に「shutdown」を含まないすべてのインターフェースを検索できます。これにより、ポリシーの違反者として説明に「shutdown」を
    含む
    すべてのインターフェースを強調表示します。
  • 別の設定との比較。キャプチャが発生するごとに新しくキャプチャされた設定を参照設定と比較することによって、コンテンツを監視できます。「shutdown」がインターフェース用の説明に追加される場合、それは参照設定に一致しないため、ポリシーの違反者として強調表示されます。
デバイスが識別された後、シャットダウン コマンドは修正アクションに推奨されたアップロードの一部として、シャットダウン用にマークされたインターフェースに対して容易に発行できます。
この例の実装については、「Network Configuration Manager のポリシー」で詳しく説明します。
ポリシーの作成
ポリシーは、デバイス ホスト設定のコンテンツを監視するために使用する条件を定義します。ポリシーを作成し、単一のデバイスおよびグローバル コレクションに適用することができます。2 つのタイプのポリシー(単一行ポリシーおよび複数行ブロック ポリシー)を作成できます。以下の手順では、Network Configuration Manager ポリシーを作成する方法について説明します。
注:
例は「複数行ブロック ポリシーの例」で提供されています。
以下の手順に従います。
  1. [エクスプローラ]タブで単一のデバイスを選択します。
    デバイス用の情報がコンテンツ画面の[情報]タブに表示されます。
  2. ネットワーク設定ポリシー サブビューを展開します。
    ネットワーク設定ポリシー テーブルが表示されます。
  3. [ポリシーの作成]アイコンを選択します。
    [ポリシー タイプの選択]ダイアログ ボックスが表示されます。
  4. 作成する以下のポリシーのタイプを選択します。
    • 単一行ポリシー。
       一度に設定の単一行のみが比較されるポリシーを作成します。[NCM プロファイルの作成]ダイアログ ボックスが表示されます。
    • 複数行ブロック ポリシー。
       ブロックに制限を付けることによって、ホストの設定が比較されるポリシーを作成します。[NCM ブロック ポリシーの作成]ダイアログ ボックスが表示されます。
  5. [ポリシー ID]セクションで、ポリシーの名前および説明を入力します。
  6. ダイアログ ボックスの[ポリシー条件]セクションで、以下のようにポリシー条件を設定します。
  7. ダイアログ ボックスの[ポリシー アクション]セクションで、以下の手順を実行します。
    1. 以下のようにアラーム条件を入力します。
      • 違反時にデバイスにアラーム
        デバイスがこのポリシーに非準拠である場合、デバイスにアラームを生成するかどうかを示します。これは各非準拠デバイスの単一アラームであり、[アラーム]タブで表示可能です。アラームの重大度(重大、メジャー、マイナー)を選択することもできます。このオプションを使用するには、ポリシーを有効にする必要があります。
      • 違反時にポリシーにアラーム
        少なくとも 1 つのデバイスが非準拠である場合、ポリシーにアラームを生成するかどうかを示します。これは単一ポリシーでの単一アラームであり、[アラーム]タブで表示可能です。アラームの重大度(重大、メジャー、マイナー)を選択することもできます。このオプションを使用するには、ポリシーを有効にする必要があります。
    2. 修正アクションのために推奨されるアップロードを入力します。
    3. [スタートアップへのコミット]オプションを選択し、新しいコンテンツがマージされた後に、ランニング コンフィギュレーション全体をスタートアップ コンフィギュレーションにコピーするかどうかを示します。
  8. [保存]を選択します。
    [NCM ポリシーの保存]または[NCM ブロック ポリシーの保存]ダイアログ ボックスが表示されます。
  9. [続行]を選択します。
    注:
     [終了]を選択するとポリシーは非アクティブ化され、デバイスがこのポリシーに準拠しているかどうかは確認されません。ただし、[エクスプローラ]タブの[ポリシー]から選択することにより、後でポリシーを有効化できます。
    [NCM ポリシーのテスト]または[NCM ブロック ポリシーのテスト]ダイアログ ボックスが表示されます。
    CA Spectrum
     データベース内の 1 つ以上のデバイス用に格納された設定に対して、ポリシーがテストされます。ポリシー結果(必要に応じて修正アクションを含む)は、確認用に表示されます。ポリシーのテスト中は、アラームは生成されません。
  10. デバイスが非準拠の場合
    1. デバイスが非準拠である理由に関する情報を得るために[違反を表示]を選択します。
      [違反を表示]ダイアログ ボックスが表示されます。[違反を表示]ダイアログ ボックスの詳細については、「単一行ポリシー違反」または「複数行ブロック ポリシー違反」を参照してください。
    2. [閉じる]を選択します。
  11. [修復]を選択し、正しいコンテンツをデバイスにアップロードおよびマージしてポリシーに準拠させます。詳細については、「ポリシー テーブルから非準拠デバイスを修復」を参照してください。
    注:
    修正アクションが提供されている場合にのみ修復は有効です。
  12. [ポリシーの有効化]を選択すると、データベース内の設定を確認することにより、および該当する場合は必要に応じてアラームを生成することにより、即座にこのポリシーが適用されます。
    注:
     [ネットワーク設定ポリシー]ダイアログ ボックスからポリシーを有効化(または無効化)することもできます。詳細については、「ポリシー テーブルからポリシーの有効化および無効化」を参照してください。
  13. [終了]を選択します。
ポリシー条件
指定できるポリシー条件のタイプは、単一行ポリシーと複数行ブロック ポリシーで異なります。このセクションでは、定義したポリシーのタイプに従ってポリシー条件を指定する方法について説明します。このセクションには、以下のトピックが含まれます。
単一行ポリシー条件
単一行ポリシーの比較条件を指定するには、以下の手順に従います。
単一行ポリシーの条件を指定する方法
  1. [ポリシー条件]セクションの[NCM ポリシーの作成]ダイアログ ボックスで[追加]を選択し、比較の条件を作成します。
    [ポリシー条件]ダイアログ ボックスが開きます。
  2. [ポリシー条件]ダイアログ ボックス」の説明に従って、ポリシー条件を設定します。
    [ポリシー条件]ダイアログ ボックスが完了した後、新しい比較の条件がテーブルに表示されます。
  3. さらに条件を追加または既存の条件を変更するには、[追加]、[編集]および[削除]ボタンを使用します。
このダイアログ ボックスの残り(ポリシーの保存中を含む)は、「ポリシーの作成」で説明されています。
複数行ブロック ポリシー条件
複数行ブロック ポリシーを定義している場合、条件の 2 つのタイプ(ブロック定義条件および比較条件)を指定する必要があります。ブロック定義条件ではブロックの開始および終了を構成するものを定義します。比較条件は現在のホスト設定に対する比較に使用されるコンテンツを定義します。
このセクションではこの条件を定義する方法について説明し、以下のトピックが含まれます。
ブロックについて
複数行ブロック ポリシーを使用する場合、デバイス用のホスト設定ファイルのブロックを構成するものを確認する必要があります。Cisco IOS - SSH Capable デバイスの以下の例では、以下に似たブロックが各インターフェースに存在しています。このブロックは、「interface
name
」の行およびコメント文字「!」で区切られます。
interface Loopback0
 description "test 123"
 ip address 138.42.96.6 255.255.255.255
 ip pim sparse-dense-mode
 no ip route-cache cef
 no ip route-cache
 ipv6 address 2002:8A2A:5E12:8A2A:6006::1/128
 ipv6 enable
 ipv6 rip IPv6-1 enable
!
ポリシーを定義する場合、この情報が使用されます。ブロック ポリシー用語で、このブロックは以下によって定義されます。
  1. 開始タグ:
     interface
    name
  2. 終了タグ:
     !
ブロックの開始および終了を構成するものを定義するには、テキストまたは正規表現のいずれかを使用できます。開始または終了のタグとして適格であるかを判断する場合、2 つのオプションの違いについて、以下で説明します。
注:
 [開始タグ]および[終了タグ]として定義された値は、ブロックの一部として含まれます。
テキストの使用
テキストを使用する場合、一致するテキストが含まれる行全体がそのフィールドに一致します。たとえば、テキスト タイプの「interface」を開始タグとして使用する場合、「interface」という単語が含まれるすべての行に一致し、ブロック用の開始行として見なされます。
正規表現(Regex)の使用
正規表現を使用する場合、正規表現パターン(および行全体ではない)の完全一致のみがこのフィールドに一致します。たとえば、終了タグとして「interface abc」を指定した場合、「interface abc」までのコンテンツのみが、ブロックの終了として見なされます。代わりに「interface abc.*」を指定した場合(ここでの「.*」は正規表現のワイルドカードのパターンであり、1 列の中でどの文字にも一致します)、「interface abc」に一致する行全体がブロックの終了として見なされます。
複数行ブロック ポリシー条件の指定
以下の手順では、複数行ブロック ポリシーの条件を指定する方法について説明します。
以下の手順に従います。
  1. [ポリシー条件]セクションの[NCM ブロック ポリシーの作成]ダイアログ ボックスで、以下のブロック定義条件を指定します。
    ブロックの開始および終了を構成するものを定義するには、テキストまたは正規表現のいずれかを使用できます。2 つのオプションの違いの追加説明については、「ブロックについて」を参照してください。
    注:
     [開始タグ]および[終了タグ]として定義された値は、ブロックの一部として含まれます。
  2. [比較条件]セクションで、以下のいずれかのオプションを選択します。
    • 指定されたコンテンツと比較
      ポリシーがこのポリシーで指定されたユーザ定義のコンテンツに対して現在のホスト設定を比較することを指定します。詳細については、「指定されたコンテンツと比較」を参照してください。
    • ブロック一致の比較対象
      ポリシーが前の設定または参照設定からのコンテンツと現在のホスト設定を比較することを指定します。詳細については、「ブロック一致の比較対象: 参照設定または前の設定」を参照してください。
このダイアログ ボックスの残り(ポリシーの保存中を含む)は、「ポリシーの作成」で説明されています。
指定されたコンテンツと比較
複数行ブロック ポリシーを定義する場合、現在の設定の各ブロックで確認されるコンテンツを明示的に指定できます。この手順では、複数行ブロック ポリシーでユーザ定義の条件をセットアップする方法について説明します。
ユーザ定義の比較条件をセットアップする方法
  1. [指定されたコンテンツと比較]オプションが選択された[NCM ブロック ポリシーの作成]ダイアログ ボックスで、[順序]を指定します。使用可能なオプションは以下のとおりです。
    • 順序なし
      現在のホスト設定と比較する場合、考慮されない条件の順序を示します。ポリシーの違反はコンテンツのみに基づいて発生します。
    • 順序の保持(追加行を許可)
      指定されたコンテンツがポリシーに準拠するように指定された順序で表示される必要があることを示します。ただし、追加のコンテンツは指定されたコンテンツの間に散在することを許可されます。指定されたコンテンツの一部が設定に存在しない場合、または異なる順序で存在する場合、ポリシー違反が発生します。ポリシーは一致しない行を無視します。
    • 順序の保持(追加行なし)
      ポリシーに準拠するために、指定されたコンテンツは指定された順序で隣り合うように表示される必要があると示します。設定ブロックが指定されたコンテンツと完全に一致しない場合、ポリシー違反が発生します。指定されたコンテンツによって明示的に定義されていないブロック コンテンツの追加行では、ポリシー違反が発生します。
  2. [追加]を選択し、比較の条件を作成します。
    [ポリシー条件]ダイアログ ボックスが表示されます。
  3. [ポリシー条件]ダイアログ ボックス」の説明に従って、ポリシー条件を設定します。
    [ポリシー条件]ダイアログ ボックスを閉じた後、新しい比較の条件がテーブルに表示されます。ホスト設定と比較時に保持される順序を指定している場合、テーブル内の条件の順序が使用されます。
  4. さらに条件を追加または既存の条件を変更するには、[追加]、[編集]および[削除]ボタンを使用します。
ブロック一致の比較対象: 参照設定または前の設定
複数行ブロック ポリシーを定義する場合、ポリシーが現在のホスト設定を以前にキャプチャされた設定または参照設定として保存されたコンテンツと比較することを指定できます。コンテンツはブロックごとに比較されます。この手順では、コンテンツを参照または以前にキャプチャされた設定のいずれかと比較するポリシーをセットアップする方法について説明します。
注:
ポリシーをテストする場合、参照設定または前の設定がデバイス用に存在する必要があります。そうでない場合、テスト不可のポリシー ステータスの結果となります。
参照設定または前の設定とコンテンツを比較する方法
  1. [ブロック一致の比較対象]オプションが選択された[NCM ブロック ポリシーの作成]ダイアログ ボックスで、コンテンツを比較する設定のタイプを指定します。使用可能なオプションは以下のとおりです。
    • 前の設定
      現在のホスト設定が最も新しくキャプチャされた設定とブロックごとに比較されることを示します。
    • 参照設定
      現在のホスト設定が参照として指定された設定とブロックごとに比較されることを示します。参照設定の設定については、「参照設定の指定」を参照してください。
    • 参照設定または前の設定
      現在のホスト設定が保存された設定とブロックごとに比較されることを示します。最初に、ポリシーは参照設定を探します。参照設定が特定のデバイスに設定されていない場合、ブロック コンテンツは以前の既知の設定と比較されます。
    注:
    ポリシーのテスト時に参照設定または前の設定がデバイス用に存在しない場合、テスト不可のポリシー ステータスの結果となります。
  2. (オプション)以下の手順を実行して、ブロック ID を指定します。
    ブロック ID は 2 つの設定間に対応するブロックに一致させるために使用されます。ブロック内から特定のテキストを選択して、ブロック ID として使用できます。たとえば、2 つの設定間で「interface Loopback
    n
    」とラベルの付いたインターフェースを比較するには、ブロック ID として「interface Loopback.*」を特定する必要があります。
    ブロック ID が指定されていない場合、ブロックの最初の行がブロック ID として使用されます。通常、このデフォルトは 2 つの設定間で一致するブロックを識別するのに十分です。
    1. [詳細]を選択します。
      [ブロック ID の指定]ダイアログ ボックスが表示されます。
    2. ブロック ID および値がテキストまたは正規表現のどちらであるかを指定します。
      「interface」で始まる対応する行に一致する正規表現の例を以下に示します。
      (?m)^interface .*
      対応するブロックに一致させるためにインターフェースの名前のみ(行全体ではなく)が使用される場合に、「interface
      name
      」を表す正規表現の例を以下に示します。
      (?m)^interface ([a-z||A-Z||0-9||/]*)
      注:
      正規表現を使用する場合、正規表現をキャプチャするグループはブロック ID を選択するために活用されます。これは高度な正規表現の概念です。正規表現を使用する場合、キャプチャ グループ 1 がブロック ID として使用されます。この例では、グループ 1 は ([a-z||A-Z||0-9||/]*) であり、インターフェースの名前を識別します。
      複数ブロック ポリシーでテキストおよび正規表現を使用する詳細については、「ブロックについて」を参照してください。
    3. [OK]ボタンをクリックします。
      [ブロック ID]ダイアログ ボックスが閉じます。
[ポリシー条件]ダイアログ ボックス
この手順では、[ポリシー条件]ダイアログ ボックスを完了する方法について説明します。これは単一行および複数行ブロック ポリシーの比較条件を定義するために使用されます。ユーザが特定するコンテンツは、デバイスのホスト設定ファイルがキャプチャされるたびに、確認および比較されます。[ポリシー条件]ダイアログ ボックスは、[NCM ポリシーの作成]ダイアログ ボックスから呼び出されます。
[ポリシー条件]ダイアログ ボックスを使用して条件を定義する方法
  1. ポリシーの比較タイプを選択します。利用可能な比較タイプは以下のとおりです。
    • 指定の行を含む
      ホスト設定ファイルに、指定されたすべての行が含まれることを示します。条件を満たす場合、ポリシーに準拠しており、許可されます。
    • 指定の行を含まない
      ホスト設定ファイルに、指定された行が含まれないことを示します。条件を満たす場合、ポリシーに準拠しており、許可されます。
    • Contains
      ホスト設定ファイルに、これらの語句や記号が含まれることを示します。条件を満たす場合、ポリシーに準拠しており、許可されます。
    • 指定の語句を含まない
      ホスト設定ファイルに、これらの語句や記号が含まれないことを示します。条件を満たす場合、ポリシーに準拠しており、許可されます。
    • 指定の正規表現に一致する
      ホスト設定ファイルが、これらの正規表現に一致することを示します。一致する場合、ポリシーに準拠しており、許可されます。
    • 指定の正規表現に一致しない
      ホスト設定ファイルが、これらの正規表現に一致しないことを示します。一致しない場合、ポリシーに準拠しており、許可されます。
  2. 入力するコンテンツの大文字または小文字を無視するかどうかを指定します。
    注:
    正規表現を使用する場合、この設定は使用できません。
  3. [コンテンツ]ボックス内を選択し、コンテンツ(全行、サブ文字列、または正規表現)を入力します。以下はその一例です。
    SPEC--policy_criteria
  4. [OK]ボタンをクリックします。
    [ポリシー条件]ダイアログ ボックスが閉じ、新しい条件がテーブルに表示される[NCM ポリシーの作成]または[NCM ブロック ポリシーの作成]ダイアログ ボックスに戻ります。
修正アクションのために推奨されるアップロード
修正アクションのために推奨されたアップロードのセットアップは、単一行と複数行ブロック ポリシーでわずかに異なります。このセクションでは、定義されたポリシーのタイプに従って、修正アクションを設定する方法について説明します。このセクションには、以下のトピックが含まれます。
単一行ポリシーの修正アクション
単一行ポリシーの修正アクションのために推奨されるアップロードには、デバイスをポリシーに準拠させる、ランニング コンフィギュレーションに一度マージされたコンテンツの指定が含まれます。この手順では、このコンテンツをセットアップする方法について説明します。
単一行ポリシーの修正アクションを入力する方法
  1. [修正アクションのための推奨アップロード]グループの下にある、[編集]を選択します。
    注:
     [開く]を選択してテキスト ファイルからコンテンツをインポートすることもできます。
    [修正アクションの編集]ダイアログ ボックスが表示されます。
  2. 非準拠デバイスを修復する 1 行または複数行を入力します。これはデバイスをこのポリシーに準拠させる、ランニング コンフィギュレーションに一度マージされたコンテンツです。
  3. [OK]ボタンをクリックします。
    [修正アクションの編集]ダイアログ ボックスが閉じ、修正行が表示されます。
複数行ブロック ポリシーの修正アクション
複数行ブロック ポリシーの修正アクションのために推奨されるアップロードには、デバイスをポリシーに準拠させる、ランニング コンフィギュレーションに一度マージされたコンテンツの指定が含まれます。性質によりブロック ポリシーが非準拠データの複数ブロックまたは発生を処理するため、それに応じてこれを処理するために修正アクションをセットアップする必要があります。この手順では、このコンテンツをセットアップする方法について説明します。
複数行ブロック ポリシーの修正アクションを入力する方法
  1. 違反が発生した各ブロックに影響を与える修正アクションを必要とする場合、[各違反ブロックに対して繰り返す]を選択します。チェックを解除した場合、修正アクションは最初に違反しているブロックのみにそのままアップロードされます。
  2. [修正アクションのための推奨アップロード]グループの下にある、[編集]を選択します。
    注:
     [開く]を選択してテキスト ファイルからコンテンツをインポートすることもできます。
    [修正アクションの編集]ダイアログ ボックスが表示されます。
  3. 非準拠デバイスを修復する 1 行または複数行を入力します。これはデバイスをこのポリシーに準拠させる、ランニング コンフィギュレーションに一度マージされたコンテンツです。[抽出されたコンテンツの挿入]ボタンを使用し、修正アクションに <extracted_text> タグを挿入します。ポリシーが実行された場合、これはブロック固有のコンテンツで置換されます。修正アクションの例を以下に示します。
    interface <extracted_text>
description "policy violation detected on <extracted_text> by Spectrum"
!
    重要:
     修復アクションが繰り返される場合は特に、修復テキストは有効かつ完全なデバイス設定ステートメントである必要があります。たとえば、前の例の終了から「!」が省略された場合、修正アクションは正しく実装されない可能性があり、予期しない結果が発生する可能性があります。これはステートメントが正しく終了されないためです。説明は新規行の文字または「!」の文字を含む新しい行で終了する必要があります。
  4. [抽出されたコンテンツの設定]を選択します。
    [抽出されたコンテンツの編集]ダイアログ ボックスが表示されます。
  5. 各ブロックから抽出されるコンテンツを入力し、テキストまたは正規表現(Regex)のいずれかを選択します。
    • テキストの場合、<extracted_text> タグが修正アクションで見つかる任意の場所に、この値が挿入されます。
    • 正規表現の場合、<extracted_text> タグが修正アクションで見つかる任意の場所に、評価された正規表現から返された値が挿入されます。
    「interface
    name
    」を表す正規表現の例を以下に示します。
    (?m)^interface ([a-z||A-Z||0-9||/]*)
    この例を使用して、ポリシーは各ブロックからインターフェースの名前を抽出し、修正アクションに挿入します。
    注:
    複数ブロック ポリシーでのテキストおよび正規表現の使用の詳細については、「複数行ブロック ポリシー」を参照してください。
  6. [OK]ボタンをクリックします。
    [修正アクションの編集]ダイアログ ボックスが閉じ、修正行が表示されます。
違反を表示
デバイスが非準拠である場合、[違反を表示]ダイアログ ボックスには理由に関する情報が提供されます。呼び出されるダイアログ ボックスおよび示される情報は、ポリシー定義に基づいて変わります。このセクションには、以下のトピックが含まれます。
単一行ポリシー違反
すべての単一行ポリシーに対する違反は、[違反を表示]ダイアログ ボックスに表示されます。
以下の例では、デバイスの設定に含まれていないため、ポリシー違反が発生している必要な特定のコマンドが表示されます。
SPEC--view_violation
すべての単一行ポリシーの[違反を表示]ダイアログ ボックスには、以下の情報が含まれます。
  • 設定
    任意の違反が発生した行を強調表示して、その全体でキャプチャされたホスト設定を表示します。
  • 行の合計数
    設定ファイル内の行の合計数を提供します。
  • 違反行
    ポリシーに違反する行の合計数を提供します。
  • 現在の行
    設定ファイル内の現在の場所を提供します。
  • 次へ
    次の違反にすぐに進めます。
  • 前へ
    前の違反に戻れます。
  • 現在のブロックの欠落行:
    total_number_of_lines
    設定ファイルで見つからなかったポリシーで定義された行を表示します。
    注:
    単一行ポリシーの場合、1 つのブロックのみです。
複数行ブロック ポリシー違反
複数行ブロック ポリシーで比較に使用できる 2 つのタイプの条件があります。ユーザ定義の条件および保存された設定からのコンテンツです。そのため、表示される[違反を表示]ダイアログ ボックスは、表示される違反コンテンツによって異なります。
特定のコンテンツと比較した時の違反
ユーザ定義の条件が複数行ブロック ポリシーの比較に使用される場合、違反は[違反ブロックの表示]ダイアログ ボックスに表示されます。
現在のホスト設定がユーザ定義の条件と比較される、複数行ブロック ポリシーの[違反ブロックの表示]ダイアログ ボックスの例を以下に示します。
この例では、各インターフェース設定に「duplex auto」がなく、「no ip route-cache」があることを確認するために、ポリシーをセットアップしています。違反は以下のように特定されます。
SPEC--view violation block contents--SCR
次の例では、以下のコマンドが表示され、また以下の順序で表示される場合に、設定は準拠しているとするようにポリシーはセットアップされています。
ip flow egress
ip flow ingress
コマンドが表示されますが、以下のイメージのとおり正しい順序でないため、現在の設定はこのポリシーに違反します。
SPEC--view voloation block contents 2--SCR
[違反ブロックの表示]ダイアログ ボックスには、違反に応じて以下の情報が含まれる場合があります。
  • 設定
    任意の違反が発生した行を以下のように強調表示して、その全体でキャプチャされたホスト設定を表示します。
    • 赤 --
       これらの行には違反が含まれます。
    ブロックは色によって識別できます。
    • オレンジ --
      これらの行は現在のブロックを構成します。
    • 黄色 --
      これらの行は現在のブロック以外のブロックに含まれています。
  • 違反ブロック合計
    違反を含むブロックの合計数を提供します。
  • 違反行の合計
    ポリシーに違反する行の合計数を提供します。
  • 現ブロック
    設定ファイル内の現在の場所を提供します。区別できるブロックは識別用に番号が付けられています。
  • 前へ
    違反を含む前のブロックに戻ることができます。
  • 次へ
    違反を含む次のブロックにすぐに進むことができます。
  • 現在のブロックの欠落行:
    total_number_of_lines
    設定ファイルで見つからなかったポリシーで定義された行を表示します。
  • 無効な行順序
    設定ファイルの表示順に違反しているコンテンツ条件を表示します。
別の設定と比較した時の違反
保存された設定が複数行ブロック ポリシーの比較に使用される場合、違反は[ポリシー違反の表示]ダイアログ ボックスに表示されます。
現在のホスト設定が参照設定と比較され、行が変更された(そのため、ポリシー違反が発生している)場合、複数行ブロック ポリシーの[ポリシー違反の表示]ダイアログ ボックスの例を以下に示します。
SPEC--view violation block--SCR
現在のホスト設定は左ペインにあり、参照設定は右側に表示されます。2 つの設定の差異は以下のキーに従って強調表示されます。
差異を含むブロックは全体に強調表示され、以下の色で区別できます。
  • 黄色 --
    これらの行は、違反が発生しているブロックを構成します。
  • オレンジ --
    これらの行は、違反が発生しているブロックを構成します。
差異を示す個々の行は、以下のように示します。
  • 緑 -
     追加された行を表します。
  • 赤 -
     削除された行を表します。
  • 青 -
     変更された行を表します。
  • 灰色 -
     異なる行ですが、制限を付けるブロックの外にあります。
[次へ]または[前へ]を選択し、ファイル内の差異間を移動します。
非準拠デバイスの修復
ポリシーのセットアップ時に非準拠デバイスを修復するのに加え、違反が発生した後に、非準拠デバイスの修復を開始することもできます。このセクションには、以下のトピックが含まれます。
ポリシー テーブルからの非準拠デバイス修復
単一のデバイスまたはグローバル コレクションを選択して、ポリシー テーブルからポリシーを確認および修復することができます。たとえば、非準拠デバイスを修復できます。
以下の手順に従います。
  1. [エクスプローラ]タブで、個々のデバイスまたは設定済みポリシーのあるグローバル コレクションを選択します。
  2. コンテンツ画面で[情報]タブを選択します。
    デバイスまたはグローバル コレクションに関する情報が表示されます。
  3. ネットワーク設定ポリシーを展開します。
    ネットワーク設定ポリシー テーブルが表示されます。非準拠デバイスのあるポリシーは、[違反者]列の値がゼロ以外になります。
  4. 非準拠デバイスがあるポリシーを選択し、[修復ダイアログ ボックスを開く]アイコンを選択します。 
    [違反デバイスを修復]ダイアログ ボックスが表示されます。 
  5. [コンテンツ]タブを選択して、修復を実行するためにアップロードするコンテンツを表示します。
  6. [違反を表示]を選択して、各デバイスの違反を表示します。
  7. [修復]を選択します。
    [タスクを作成しています]ステータス ボックスが表示されます。[アップロード タスク結果]ダイアログ ボックスには、操作の結果が表示されます。
注:
 AlarmNotifier を介して Jar 実行可能ファイルを実行することで、上記のプロセスを自動化して最小化できます。実行可能ファイルの取得とファイルの使用手順については、CA Spectrum サポート チームにお問い合わせください。
ポリシー違反アラームからの非準拠デバイスの修復
違反を表示して正しいコンテンツをデバイスにアップロードまたはマージし、[アラーム詳細]タブのポリシーに準拠させることができます。ポリシー違反アラームから直接、非準拠デバイスを修復します。
以下の手順に従います。
  1. [エクスプローラ]タブで、個々のデバイス、設定済みポリシーのあるグローバル コレクション、または(ポリシー ノードから)ポリシーを選択します。
  2. コンテンツ画面の[アラーム]タブで、[アラーム タイトル]列内に「NCM ポリシー違反」と示されているアラームを選択します。
  3. コンポーネント詳細画面の[アラーム詳細]タブで、[違反の詳細を表示]を選択します。
    [違反デバイスを修復]ページが表示されます。
  4. [コンテンツ]を選択して、修復を実行するためにアップロードするコンテンツを表示します。[違反を表示]を選択して、各デバイスの違反を表示します。
    [違反を表示]ページが表示されます。
  5. [修復]を選択します。
    [タスクを作成しています]のステータス ボックスに続いて、[アップロード タスク結果]ページが表示されます。

Content feedback and comments