FAQ

監視ログ分析データが利用できないのはなぜですか?

ログ分析データは、ログが設定されていない場合、またはログ設定が適用されない場合、ダッシュボード、イベントビューア、およびアプリケーションの可視性ページで利用できない場合があります。この問題は、デバイス検出中に必要な証明書が導入されなかったために発生する可能性があります。

ログ設定を検証するには、以下を実行します。

• デバイスILPページを使用して、セキュリティログ設定がデバイスにプッシュされていることを確認します。

• デバイスのセキュリティログを有効にするには、以下を実行します。

  1. デバイスのインベントリ>をクリックします。
  2. セキュリティログを有効にするをクリックして、セキュリティログを有効にするページを開きます。

  3. デバイスインターフェイスを選択し、 OK をクリックして展開ジョブを作成します。

• 以下のコマンドを使用して、Juniper Security Director Cloudでの導入(ca-certificateとdeploy-ca-local-certificateジョブ)のステータスを確認します。

  CA証明書—セキュリティpki ca-certificateを表示

  ローカル証明書—セキュリティpki local-certificateを表示

[セキュリティログを有効にする]ページにすべてのデバイスが表示されないのはなぜですか?

セキュリティログを有効にするページには、Juniper Security Director Cloudによって管理されており、同期中ステータスを持つデバイスのみが表示されます。デフォルトでは、設定されたデバイスのみのフィルタリングされたリストも表示されます。

以下を実行します。

• デバイスのステータスが「同期中」かどうかを確認します。セキュリティログを有効にするページには、同期したデバイスのみが表示されます。
• すべてのデバイスが同期している場合は、デバイスリストがフィルターされているかどうかを確認します。グループ別ドロップダウンリストから すべて を選択すると、デバイスの全リストが表示されます。
• それでも完全なデバイスリストが表示されない場合は、デバイスをJuniper Security Director Cloudで再同期します。

セキュリティ ログを構成した後でもログ分析データが欠落するのはなぜですか?

Juniper Security Director Cloud ロードバランサに到達できない場合、ログ分析データが欠落している可能性があります。

TLSを介したセキュリティログのためにJuniper Security Director Cloudに到達可能であることを確認するには、以下を実行します。

• CLIを使用してデバイスに接続します。
• デバイス上のポート6514がオープンになっているかどうかを確認するには、次のコマンドを使用します。telnet srx.sdcloud.juniperclouds.net 6514

• 次のコマンドを使用して、ポート6514を介したセキュリティセッションデータのフローを確認します。—show security flow session destination-port 6514

  セキュリティセッションにはデータが含まれており、データフローのバイトカウントは、新しいセッションログがTLSを介してJuniper Security Director Cloudに送信されるたびに増加します。

• Secure CRT設定でデバイスに正しいインターフェイスが選択されていることを確認します。
• セキュリティログ、セキュリティPKI、SSLサービスがデバイスから非アクティブ化されていないことを確認します。
• RT_FLOWログを表示するには、ファイアウォールルールでログセッションの開始とセッションの終了が有効になっていることを確認します。

• それでもログ分析データが表示されない場合は、次のコマンドを使用して、デバイスからセキュリティログを再起動しますrestart security-log

Juniper Security Director Cloudはどのくらいのストレージ容量を提供しますか?

Juniper Security Directorクラウドは、ユーザーに以下のストレージスペースを提供します。

• トライアルサブスクリプション—10GBの無料ストレージスペース、最大デバイス数は5台です。
• 有料サブスクリプション—デバイスサブスクリプションの権利に基づいて、各デバイスに10GBの無料ストレージスペース、オプションでは各1TB相当のストレージサブスクリプションを購入できます。例えば、10個のストレージサブスクリプションを購入した場合、10TBのストレージスペースが得られます。

デバイスのシャーシの詳細を確認するにはどうすればよいですか?

シャーシの詳細は、デバイス固有のページに表示されます。

デバイスのシャーシの詳細を表示するには、以下を実行します。

1. デバイス>インベントリをクリックして、デバイスページを開きます。
2. ホスト名列のデバイス名をクリックすると、デバイスの詳細が表示されたデバイス固有のページが開きます。

デバイスの帯域幅速度を確認するにはどうすればよいですか?

帯域幅の速度は、デバイス固有のページに表示されます。

デバイスの帯域幅速度を表示するには、以下を実行します。

1. デバイス>インベントリをクリックして、デバイスページを開きます。
2. ホスト名列のデバイス名をクリックすると、デバイスの詳細が表示されたデバイス固有のページが開きます。
3. インベントリ>インターフェイスタブをクリックすると、速度列に帯域幅の速度が表示されます。

Juniper Security Director Cloudに必要な最小帯域幅はどれくらいですか?

Juniper Security Director Cloudに必要な最小帯域幅はありません。

帯域幅の要件は、実行するタスクや進行中のプロセスによって異なります。例えば、デバイスの同期などのプロセスは、デバイスの設定とsyslogチャネルを介して送信されるセッションログの数によって異なります。ただし、シグネチャバンドルのインストールやイメージ管理などの一部のプロセスでは、最低500Kbpsの帯域幅が必要です。

デバイスの名前に「未構成」と表示されるのはなぜですか?

デバイスのホスト名が設定されていない場合、デバイス名は「未設定」と表示されます。デバイスを導入方法は、デバイスのホスト名を設定するオプションを提供しません。

インベントリ>設定テンプレートのHOSTNAMEテンプレートを使用して、デバイスのホスト名を設定します。

ホスト名を設定し、デバイスを展開した後、デバイス名が正しく表示されます。

デバイスの名前に「srxXXXXXX」と表示されるのはなぜですか?

デバイスのホスト名が設定されていない場合、デバイス名は「srxXXXXXX」と表示されます。デバイスの導入方法にはデバイスのホスト名を設定するオプションがあり、ホスト名なしにはファイアウォールポリシーを導入できません。

以下のいずれかの方法を使用して、ホスト名を設定します。

• インベントリ>設定テンプレートのHOSTNAMEテンプレートを使用して、デバイスのホスト名を設定します。
• CLIを使用して、デバイス上でホスト名を設定します。

ホスト名を設定し、デバイスとファイアウォールポリシーを展開した後、デバイス名が正しく表示されます。

Active Directoryプロファイルを削除してもデバイスの設定が削除されないのはなぜですか?

設定変更がコミットされていない場合、または設定変更がデバイス上で直接変更されている場合、デバイスの設定は削除されない場合があります。

デバイス設定を手動で削除するには、編集モードでCLIを使用してデバイスにログインし、以下の設定をコミットします。

サービスユーザー識別アクティブディレクトリアクセスを削除

デバイスの導入に失敗し、「ステートメントの作成に失敗しました」というメッセージが表示されたのはなぜですか?

デバイスの設定がJuniper Security Director Cloudと同期していないなど、複数の理由によりデバイスの導入に失敗します。

デバイスの導入を成功させるには、以下を実行します。

• デバイス上で設定が直接変更され、Juniper Security Director Cloudと同期していない場合は、デバイスを再同期します。
• デバイスに複数のポリシーに同様のルールが割り当てられている場合は、同じ名前のルールを削除します。

SSHサービスに変更を加えた後、デバイス設定の導入に失敗するのはなぜですか?

設定にSSHサービスの変更が含まれる場合、デバイス展開ジョブが失敗したように見えることがありますが、展開は成功し、更新がコミットされます。

追加したデバイスが検出されないのはなぜですか?

管理インターフェイスがダウンしている場合、Juniper Security Director Cloud FQDNがネットワークで解決できない場合、または必要なポートが閉じている場合など、複数の理由により、手動またはゼロタッチプロビジョニング(ZTP)を通じて追加されたデバイスの検出がトリガーされない場合があります。

デバイスが正常に検出されていることを確認するには、以下を確認します。

• インバンド管理インターフェイスはアップしており、Juniper Security Director Cloud FQDNに到達するルートが設定されています。

• Juniper Security Director Cloudに送信されるデータパケットの送信元IPは正しいです。

• Google DNSまたは独自のDNSがデバイスで設定されており、Juniper Security Director Cloud FQDNを解決し、デバイスからアクセス可能です。

• ファイアウォールフィルターが正しく設定されています。

• 必要なポートがオープンです。詳細については、 前提条件 をご覧ください。

CLIを使用して設定したデバイスが検出されないのはなぜですか?

デバイスを導入メソッドで CLI を使用して設定されたデバイスは、さまざまな理由で検出されない場合があります。

CLIを使用して設定されたデバイスが正常に検出されるようにするには、以下を実行します。

• Juniper Security Director Cloudに送信されるデータパケットの送信元IPが正しいことを確認します。

• ファイアウォールフィルターが正しく設定されていることを確認します。

• ユーザーがパスワードなしでログインできるようにするCLI設定を削除します。例えば、AWSに展開されているvSRXシリーズデバイスでは、以下のCLI設定を削除する必要があります。

  グループaws-defaultシステムサービスssh no-passwordsを設定

• SRXシリーズファイアウォールデバイスにsshレート制限が設定されているかどうかを確認します。既存のレート制限を削除するか、レート制限数を32以上に設定するには、次のコマンドを使用します。

  • システムサービスsshレート制限の削除

  • システムサービスsshレート制限を設定40

• 特定のルーティングインスタンスを介してFQDNに到達可能かどうかを確認します。はいの場合、 set system services outbound-ssh routing-instance <<ROUTING-INSTANCE-NAME>> コマンドを使用してアウトバウンドサービスにルーティングインスタンスを追加し、デバイスに設定をコミットします。

デバイス削除ジョブが失敗するのはなぜですか?

デバイスのステータスが「アップ」または「同期中」である場合にのみ、デバイスページからデバイスを削除できます。

ステータスがダウンまたは同期外のデバイスを削除するには、デバイスのステータスを同じ構成バージョンでアップに変更し、デバイスを削除します。

デバイスのステータスを「アップ」に変更できない場合は、APIを使用してデバイスを削除するためのサポートをJTACに問い合わせてください。Webまたは電話でJTACにサービスリクエストを作成できます。

• https://support.juniper.net/support/requesting-support/ をご覧ください。

• 1-888-314-JTAC(米国、カナダ、メキシコでは無料電話1-888-314-5822)に電話します。

無料電話番号のない国での国際または直通ダイヤル オプションについては、「 https://support.juniper.net/support/requesting-support/」を参照してください。

デバイスの健全性ステータスが不明なのはなぜですか?

デバイスページには、サブスクリプションを持つデバイスのみのヘルスステータスが表示されます。

デバイスページにデバイスの正しい健全性ステータスが表示されるようにするには、デバイスにトライアルまたは有料サブスクリプションを割り当てていることを確認します。サブスクリプションを関連付けて数分後に正しいヘルスステータスが表示されます。

デバイスの健全性ステータスが「利用可能なデータがありません」と表示されるのはなぜですか?

デバイスページには、サブスクリプションを持つデバイスのみのステータスが表示されます。

デバイスページにデバイスの正しい健全性ステータスが表示されるようにするには、デバイスにトライアルまたは有料サブスクリプションを割り当てていることを確認します。サブスクリプションを関連付けて数分後に正しいデバイスステータスが表示されます。

デバイスページのデバイスの健全性ステータスはどのくらいの頻度で更新されますか?

デバイスページのデバイスのヘルスステータスは15分ごとに更新されます。Juniper Security Director Cloudは、組織内のサブスクリプションを持つすべてのデバイスをポーリングし、CPU、メモリ使用量、ストレージ使用量のデータを収集します。

イメージのアップグレードジョブが非常に遅いのはなぜですか?

Juniper Security Director CloudでJunosイメージを使用している場合、アップグレードジョブ用にイメージがデバイスにコピーされるため、イメージのアップグレードジョブが遅くなることがあります。所要時間は、Juniper Security Director Cloudとデバイス間のネットワーク接続の帯域幅容量によって異なります。

Junosイメージの迅速なアップグレードジョブを確実にするために、support.juniper.net からダウンロードJunosイメージURLを作成し、そのURLを使用してイメージをアップグレードします。

イメージ管理ジョブが失敗するのはなぜですか?

Juniper Security Director Cloudへのネットワークダウンロード速度が500Kbpsを下回ると、ステージング、展開、アップグレードなどのイメージ管理ジョブに失敗することがあります。

組織レベルのイメージページを使用して、イメージを追加したり、その他のイメージ管理操作を実行することができます。

IPSポリシールールウィンドウに保存と閉じるボタンが表示されないのはなぜですか?

IPSポリシールールを保存しておらず、ウィンドウから移動するためにいいえを選択した場合、保存(✓)と閉じる(x)ボタンが表示されない場合があります。

保存ボタンと閉じるボタンが常に表示されているようにするには、閉じるボタンをクリックして左側のナビゲーションペインを閉じます。

IPS、コンテンツセキュリティ、SSLプロファイルのデフォルト設定がインポートされないのはなぜですか?

ファイアウォールポリシーのグローバル設定は、組織レベルで適用されます。これらの設定を変更すると、IPS、コンテンツセキュリティ、SSLプロファイルでファイアウォールルールを有効にしているすべてのデバイスポリシーに影響が出るため、デフォルトのコンフリクト解決オプションは、自動インポート操作中に競合を防止するために、既存の状態を維持に設定されています。OCRアクションのデフォルトの「既存の保持」設定が、デバイス設定の自動インポート操作中に、IPS、コンテンツセキュリティ、SSLプロファイルのデフォルト設定がインポートされない場合があります。

自動インポート操作中にIPS、コンテンツセキュリティ、SSLプロファイルのデフォルト設定が正常にインポートされるようにするには、以下のいずれかを実行します。

• グローバル設定を使用して、デフォルトのIPS、コンテンツセキュリティ、SSLプロファイルのOCRアクションをインポートされた値で上書きに変更し、ポリシーを再度展開します。

• デバイス設定を手動でインポートします。手動インポート操作は、コンフリクト解決オプションをトリガーし、OCRアクションをインポートされた値で上書きに変更できます。

デバイスの導入が「一致するメンバーが見つかりません」と表示されて失敗するのはなぜですか。グループは空です。」IPSというメッセージが送信されますか?

動的IPSシグネチャグループが設定された後、使用可能なIPSシグネチャがフィルター基準に一致しない場合、デバイスの導入に失敗します。

デバイスの導入を成功させるには、以下を実行します。

• IPS シグネチャがデバイスにダウンロードされていることを確認します。
• ページ下部にあるフィルター付きシグネチャのプレビューオプションを使用して、動的IPSシグネチャグループのフィルターを確認し、フィルター基準が使用可能なIPSシグネチャと一致していることを確認します。

IPS、コンテンツセキュリティ、アプリケーションシグネチャバンドルのインストールに失敗するのはなぜですか?

Juniper Security Directorクラウドへのネットワークダウンロード速度が500Kbpsを下回ると、デバイスへのIPS、コンテンツセキュリティ、アプリケーションシグネチャバンドルのインストールに失敗することがあります。

• しばらくしてから、IPS、コンテンツセキュリティ、アプリケーションシグネチャバンドルのインストールを再度試します。

• それでもシグネチャのインストールが失敗する場合は、CLIを使用してデバイスに接続し、次のコマンドを使用してシグネチャを手動でインストールします。セキュリティutm web-filteringカテゴリdownload-install

デバイスへのコンテンツセキュリティプロファイルの導入に失敗するのはなぜですか?

コンテンツセキュリティライセンスがインストールされていないなどセキュリティ、コンテンツプロファイルの導入に失敗する理由は複数あります。

コンテンツセキュリティプロファイルの導入を成功させるには、以下を実行します。

1. CLIを使用してデバイスに接続します。

2. 次のコマンドを使用して、コンテンツセキュリティライセンスがデバイスにインストールされているかどうかを確認します。システムライセンスの詳細

3. 次のコマンドを使用して、コンテンツセキュリティプロファイルで設定されたポリシーを介してトラフィックが処理されているかどうかを確認します。セキュリティポリシーのヒットカウントの方法

4. 次のコマンドを使用して、Webフィルタリング、アンチウィルス、アンチスパム、コンテンツフィルタリングなどのコンテンツセキュリティオブジェクトが、許可リスト、ブロックリスト、カスタムカテゴリ、ウイルス、スパムメールのヒットを判断するのに役立つヒットかどうかを確認しますshow security <utm-objects> statistics

デバイスへのSSLプロキシプロファイルの導入に失敗するのはなぜですか?

SSLプロキシプロファイルの導入に失敗する理由は複数あります。

SSLプロキシプロファイルの導入を成功させるため、プロファイルを展開する前に以下を実行して、Juniper Security Director Cloudで選択したルート証明書と信頼できるCA証明書がデバイスにインポートされているかどうかを確認します。

• Juniper Security Director Cloudで証明書を表示します。

  1. デバイスのインベントリ>をクリックします。
  2. デバイスをクリックして、デバイスページを開きます。
  3. インベントリ>証明書をクリックします。

• デバイス上の証明書を表示します。

  1. CLIを使用してデバイスに接続します。
  2. デバイス上のルートを表示するには、次のCLIコマンドを使用します。show security local-certificate

  3. デバイス上の信頼できるCA証明書を表示するには、次のCLIコマンドを使用します。show security pki ca-certificate

IPsec VPN監視ページにダウンしているトンネルが表示されないのはなぜですか?

IPsec VPN監視ページの「不安定なトンネルトップ」セクションには、選択した時間に基づいてダウンしているトンネルのフィルターリストが表示されます。トンネルがリストに含まれていない場合、選択した時間よりも長くトンネルがダウンしている可能性があります。

ダウンしているトンネルの全リストを表示するには、トップ不安定なトンネルセクションでより長い時間を選択します。

IPsec VPNのインポート中に一部のデバイスがエクストラネットデバイスとしてインポートされるのはなぜですか?

インポートされたIPsec VPNと一緒にエクストラネットデバイスとしてインポートされる理由は複数あります。

インポートされたIPsec VPNですべてのデバイスが正しくインポートされていることを確認するには、以下を確認します。

• IPsec VPNのインポート中に関連するすべてのデバイスが選択されました。
• Juniper Security Director Cloudとデバイス上のデバイスプロファイルの設定に不一致はありません。
• Juniper Security Directorクラウドはデバイストポロジーをサポートします。

IPsec VPNのインポート中にVPNのインポートページにデバイスが表示されないのはなぜですか?

VPNのインポートページには、ステータスが「アップおよび同期中」のデバイスのみが表示されます。

VPNのインポートページにすべてのデバイスが表示されるようにするには、デバイスが「アップおよび同期中」ステータスになっていることを確認します。

IPsec VPN監視ページにVPNが表示されないのはなぜですか?

IPsec VPN監視ページは、以下のVPNをサポートしていません。

• ハブアンドスポーク自動検出VPN
• リモートアクセスVPN—Juniper Secure Connect
• 自動VPN

IPsec VPN監視ページにVPNが表示されない理由を確認するには、そのVPNタイプが監視でサポートされているかどうかを確認します。

IPsec VPN監視ページに一部のVPNのステータスが表示されないのはなぜですか?

IPsec VPN監視ページのトンネルステータスセクションに一部のVPNのステータスが表示されない理由はいくつかあります。

トンネルステータスセクションにすべてのVPNのステータスが表示されていることを確認するには、以下を確認します。

• サブスクリプションはすべてのデバイスに関連付けられています
• VPNはすべてのデバイスに導入されています。
• すべてのデバイスのステータスは「アップおよび同期中」です。

IPsec VPN監視ページに、ダウンしているVPNの稼働ステータスが表示されるのはなぜですか?

IPsec VPN監視ページのトンネルステータスセクションには、定期的に実施されるステータスポーリングに基づいてVPNトンネルのステータスが表示されます。VPNトンネルのステータスが正しくない場合、ポーリングの実行後にトンネルが失敗した可能性があります。

すべてのVPNトンネルの正しいステータスが表示されていることを確認するには、ポーリングが実行されるのを待ちます。ステータスポーリングは、デフォルトで10分ごとに実行されます。

インポートしたローカル証明書がすぐに表示されないのはなぜですか?

インストールされた証明書は、デバイスを再同期した後にのみ表示されます。

インポートされたローカル証明書をすぐに表示できるように、デバイスを Juniper Security Director Cloud で再同期します。

デバイス検出操作中にCA証明書がインポートされないのはなぜですか?

デバイス検出操作中にCA証明書のインポートは、複数の理由で失敗する可能性があります。

CA証明書が正常にインポートされていることを確認するには、以下を実行します。

• 元のデバイス設定が変更されていないことを確認します。
• デバイスに競合するCAプロファイルや、「sd_クラウド_ca」証明書名を持つ既存の証明書がないことを確認します。
• CLIモード変更をコミットしている間、またはインターフェイスにイーサネットスイッチを割り当てている間、デバイス上のCLI設定にコミット警告が表示されていないことを確認します。
• デバイスがJuniper Security Director Cloudの別の組織に設定されていないことを確認します。
• デバイス上のデジタル証明書用に以下のセキュリティPKI設定を削除します。

  • セキュリティPKI ca-profile sd_クラウド_ca ca-identity sd_クラウド_caを設定

  • セキュリティpki ca-profile sd_クラウド_ca ca-identity sd_クラウド_localを設定

PKI証明書の破損後に、Juniper Security DirectorクラウドおよびATPクラウドとのSRX1600ファイアウォールの接続をジュニパー戻すにはどうすればよいですか?

SRX1600ファイアウォール上のPKI証明書の破損は、通常の操作中またはRMAプロセス中に発生する可能性があります。PKIが無効または非同期になると、ファイアウォールはJuniper Security Directorクラウドまたはジュニパー ATPクラウドサービスで認証できなくなります。これにより、次のような症状が発生します。

• Security Director CloudまたはATP Cloudのヘルスステータスには、切断または劣化と表示されます。

• クラウドプラットフォームまたはサービスへのログ転送に失敗する。

• セキュリティインテリジェンスフィードは更新されません。

• クラウド管理コンソールに古いデータまたは誤ったデータが表示されます。

接続を復元するには、ファイアウォールを再登録してPKI証明書を更新します。

1. ATP Cloudポータルからファイアウォールの登録を解除します。 https://www.juniper.net/documentation/us/en/software/atp-cloud/atp-cloud-user-guide/topics/task/atp-cloud-device-removing.html を参照してください。
2. Juniper Security Director Cloudポータルからファイアウォールの登録を解除します。 https://www.juniper.net/documentation/us/en/software/sd-cloud/sd-cloud-user-guide/user-guide/topics/task/disenroll-device-from-atp.html を参照してください。
3. ATP Cloudポータルにファイアウォールを再登録します。 https://www.juniper.net/documentation/us/en/software/atp-cloud/atp-cloud-user-guide/topics/task/atp-cloud-device-enrolling.html を参照してください。
4. Juniper Security Director Cloudポータルにファイアウォールを再登録します。https://www.juniper.net/documentation/us/en/software/sd-cloud/sd-cloud-user-guide/user-guide/topics/task/enroll-device-to-atp.html を見る

インストールしたライセンスがすぐに表示されないのはなぜですか?

インストールされたライセンスは、デバイスを再同期した後にのみ表示されます。

インストールされたライセンスをすぐに表示できるように、デバイスをJuniper Security Director Cloudで再同期します。

アプリケーションがアプリケーションページに表示されないのはなぜですか?

アプリケーションはJuniper Security Directorクラウドにダウンロードする必要があります。SRE管理者は、新しいアプリケーションバージョンが利用可能になり次第、アプリケーションをダウンロードします。

URLカテゴリのインストールに失敗し、「カテゴリファイルが見つかりません」というメッセージが表示されるのはなぜですか?

デバイスへのURLカテゴリのインストールは、DNS解決に問題があるために失敗する可能性があります。

URLカテゴリのインストールを正常に完了させるには、以下の定義済みパスまたはデフォルトパスをインストールに使用します。 http://update.juniper-updates.net/EWF/

アカウントアクティベーションリンクをクリックすると、無効なリクエストメッセージが生成されるのはなぜですか?

アクティベーションリンクが24時間後に期限切れになるため、無効なリクエストメッセージが表示されます。

24時間以内にJuniper Security Director Cloudアカウントをアクティブ化しない場合、Juniper Security Direct Cloudはアカウントをアクティブ化しないユーザーをパージします。

ユーザーアクティビティログはどこで確認できますか?

ユーザーアクティビティログは、管理ログ>監査ログから入手できます。

新規ユーザーにアクティベーションメールが届かないのはなぜですか?

新しいユーザーは、Juniper Security Director Cloudからの電子メールが組織のネットワークによってブロックされている場合、アクティベーション電子メールを受信できない可能性があります。

アクティベーション用メールを組織内のユーザーに確実に受信するために、Juniper Security Director Cloudのメールが組織のネットワークによってブロックされていないことを確認してください。

組織の複数のユーザーを作成するにはどうすればよいですか?

管理者>ユーザーで、組織管理者として組織に対して異なるロールを持つ複数のユーザーを作成できます。