FP-Upgrade - Gerätezustandsüberwachung

Einleitung

In diesem Dokument wird die neue Funktion zur Überwachung der Geräteintegrität beschrieben, die in Version 6.7 und 7.0 hinzugefügt wurde.

Hintergrundinformationen

Das Problem:

Das Systemüberwachungssystem bietet Einblick in die Geräteleistung für reaktives Debuggen und proaktive Aktionen.

Umfassende Transparenz und Analyse wird erzielt durch:

• Trenddiagramme für wichtige Kennzahlen
• Ereignis-Overlay
• Anpassbare Dashboards
• Einheitliche Architektur für die Systemüberwachung - gleiche Daten für alle Manager anzeigen
• Viele neue Kennzahlen und Erweiterbarkeit von Kennzahlen, um viele weitere hinzuzufügen

Neuerungen in Version 7.0

Neuerungen oder Unterschiede gegenüber FP 7.0

• FMC-Dashboard mit HA-Unterstützung
• Mehr als 110 neue Kennzahlen für FTD
• Gesundheitswarnung für FTD Split Brain Szenario
• Benutzerdefiniertes Laufzeitintervall für neuere Integritätsmetriken

Vorteile

• Hilft beim Debuggen von Systemen, indem Daten aus verschiedenen Subsystemen und Ressourcen auf Geräten korreliert werden können
• Transparenz für verschiedene Systemleistungsmetriken
• Kapazitätsplanung

Neu bei 6.7

Neu oder anders als die unmittelbar vorangehende Version (allgemein):

• Neue Benutzeroberfläche für die Überwachung des Gerätestatus auf dem FMC
• FTD Device REST API: Device-Metrik API: Viele neue Metriken hinzugefügt
• FMC-APIs: Neue APIs: Integritätswarnungen, Integritätsmetriken und Bereitstellungsdetails
• Allgemeiner Überblick über den Marktplatz, reale Anwendungen
• Hilft beim Debuggen von Systemen, indem Daten aus verschiedenen Subsystemen und Ressourcen auf Geräten korreliert werden können
• Transparenz
• Kapazitätsplanung

Funktionsüberblick

So funktioniert es

• Überwachung der Geräteintegrität in FP 7.0
• Neues Health Dashboard für FMC mit Trenddiagrammen, Overlays und benutzerdefinierten Dashboards
• Neue FTD-Kennzahlen in FTD-Dashboards verfügbar
• Über 110 Kennzahlen für 12 Kategorien
• FTD-APIs: ermöglicht die Abfrage von Metriken durch externe Einheiten

Unter der Haube

• Erfasst den Zustand eines Geräts mit Telegraf (ein Open-Source-Framework zur Metriksammlung)

Zusätzliche Hinweise

Systemüberwachungsdaten sind verfügbar

• Im FMC Health Dashboard, über das Systemmenü zugänglich (System > Health > Monitor)
• Von der FMC REST API
• Wenn das Gerät von FDM verwaltet wird, über die REST-API des FTD-Geräts

Einige Kennzahlen (FMC und FTD) sind standardmäßig deaktiviert.

• Integritätsmodule in der Integritätsrichtlinie müssen aktiviert und bereitgestellt werden, damit Metriken angezeigt werden.

Implementierung der von den IFTs des RP 6.7 angeforderten Verbesserungen

• Standardmäßig automatisch aktualisieren
• Filter mit benutzerdefiniertem Zeitbereich auf Dashboard
• Auswahl von Schnittstellen anhand des benutzerdefinierten Namens (sowie des physischen Schnittstellennamen) in der Schnittstellenauswahl
• Starten Sie das Geräte-Dashboard über die Startseite des Systemmonitors.

Überwachung des Gerätestatus in FP 6.7

• Neue Benutzeroberfläche auf FMC mit Trend-Diagrammen, Overlays und benutzerdefinierten Dashboards.
• FTD-APIs: Bereitstellung derselben Metriken für Abfragen durch externe Einheiten

Zusammenfassung der Einschränkungen:

• Die Funktion wird auf der FDM-GUI oder CDO nicht unterstützt.
• Die Überwachung von FMC selbst innerhalb der neuen Benutzeroberfläche für die Systemüberwachung wird nicht unterstützt.
• Abfrageintervalle sind nicht konfigurierbar. Sie können keine unterschiedlichen Abfrageintervalle für verschiedene Geräte konfigurieren. Alle werden in einem festen Intervall von einer Minute abgefragt.

Bereitstellungsbeispiele

• Es ist keine spezielle Bereitstellung zum Testen der Funktion erforderlich. Aktualisieren Sie einfach FMC und Gerät auf FP 6.7.
• Die Statusüberwachungsdaten sind im FMC-Statusdashboard verfügbar, auf das Sie über die Systemregisterkarte zugreifen können.

Voraussetzungen und unterstützte Plattformen

Mindestanzahl unterstützter Software- und Hardwareplattformen

Min. unterstützte Manager-Version	Verwaltete Geräte	Min. unterstützte Version des verwalteten Geräts erforderlich	Hinweise
FMC 6.7	FTD 6.7	FXOS 2.9.1 FTD 6.7	Nur auf FTDs unterstützt
REST-API für FTD-Geräte	FTD 6.7	FXOS 2.9.1 FTD 6.7	Nur REST-API für FTD-Geräte (keine FDM- oder CDO-GUIs)

Interoperabilität

Keine spezifischen Anforderungen an die Interoperabilität.

Funktionsdetails 7.0

FMC-Benutzeroberfläche: Standalone und HA-Unterstützung

Navigation zur Seite "Systemüberwachung"

• Standalone-FMC wird als einzelner Knoten angezeigt
• FMC HA als Paar von Knoten dargestellt
• Für jedes FMC wird der Status "Health" angezeigt.

Integritätsstatus

• FMC HA ist in Doppelhexagonal dargestellt.
• Aktive und Standby-Geräte des FMC werden ebenfalls in der Warnmeldungstabelle aufgeführt.

FMC-Dashboard

FMC Health Monitoring Dashboard in 7.0

Zusammenfassende Ansicht von:

• Hohe Verfügbarkeit
• Ereignisrate und -kapazität
• Prozesssicherheit
• CPU
• Arbeitsspeicher
• Schnittstelle
• Festplatte

Dieses Dashboard ist für aktive und Standby-FMCs verfügbar. Benutzer können benutzerdefinierte Dashboards erstellen, um Metriken ihrer Wahl zu überwachen.

FMC-Dashboard: FMC HA-Panel

HA-Panel zeigt

• Aktueller HA-Status
• Aktiv und Standby
• Letzte Synchronisierungszeit
• Geräteintegrität

FMC-Dashboard: Ereignisrate und Kapazität

Ereignisrate

• Maximale Ereignisrate als Grundlinie
• Gesamtereignisrate, die FMC erhält

Event-Kapazität

• Stromverbrauch nach Ereigniskategorien
• Aufbewahrungszeit von Ereignissen
• Aktuell vs. Maximum

Ereigniskapazität

• Kapazitätsüberlaufmarkierung

FMC-Dashboard: Event-Kapazität

Normaler Kapazitätsverbrauchszustand bei Ereignissen

Überlaufszenario, wenn Ereignisse über die konfigurierte maximale Kapazität hinaus gespeichert werden.

• Fettformatierter Text weist auf Überlauf hin
• Ein Warnsymbol zeigt den Kapazitätsüberlauf an.

FMC-Dashboard: FMC-Prozess-Panel

Anzeige "Kritische Prozesse"

• Aktuellen Status verarbeiten
• Anzahl der Prozessneustarts

Das Prozess-Panel zeigt die folgenden Metriken für alle "pmconfig"-Prozesse an:

• Aktueller Status
• CPU-Nutzung
• Arbeitsspeichernutzung

FMC-Dashboard: FMC-CPU

CPU-Anzeige

• Durchschnittliche CPU (Standard)
• Alle Kerne

FMC-Dashboard: Andere Bereiche

Speicherbereich zeigt die gesamte Speichernutzung auf FMC an

Schnittstellenanzeige zeigt die Ein-/Ausgaberate des Durchschnitts aller Schnittstellen an

Das Datenträgerfeld wird angezeigt.

• Gesamte Festplattenkapazität
• Kritische Partitionskapazität, in der FMC-Daten gespeichert werden

Laufzeitintervall

• Das Laufzeitintervall für das alte Integritätsmodul wird in "Legacy-Laufzeitintervall" umbenannt.
• "Run Time Interval" bezieht sich auf die neuen Telegraf-basierten Statusmodule
• Globale Einstellung, wirkt sich auf alle Geräte aus

Verfügbare Kennzahlen

Verfügbare Kennzahlen für benutzerdefinierte Dashboards

• Wenn ein Benutzer ein benutzerdefiniertes Dashboard erstellen möchte, dienen diese Folien als Leitfaden für die verfügbaren Metriken.
• Einige Kennzahlen müssen in der Integritätsrichtlinie aktiviert sein, bevor sie in einem benutzerdefinierten Integritäts-Dashboard verwendet werden können.

FMC-Benutzeroberfläche: FMC Custom Dashboard

Neue FMC Monitoring Metrics-Kategorien in 7.0

• CPU
• Arbeitsspeicher
• Schnittstelle
• Festplatte
• Veranstaltung
• Prozess
• KaninchenMQ
• Sybase
• MySQL

FMC-Benutzeroberfläche: FMC-Kennzahlen

40 Metriken, die über verschiedene Kategorien hinweg hinzugefügt wurden (im benutzerdefinierten Dashboard verfügbar). Um die deaktivierten Metriken zu aktivieren, aktivieren Sie das entsprechende Integritätsmodul in der zugeordneten Integritätsrichtlinie (System > Health > Policy).

Metrik-Gruppenname	Standardmäßig aktiviert	Beschreibung
CPU	Nein	Überwacht FMC-CPU
Arbeitsspeicher	Ja	Überwacht FMC-Speicher
Festplatte	Ja	Überwachung der FMC-Festplattennutzung
Schnittstelle	Ja	Überwacht FMC-Schnittstelle
Prozess	Ja	Überwacht FMC-Prozesse
Veranstaltung	Ja	Überwacht die Ereignisrate
MySQL	Nein	Überwacht MySQL
KaninchenMQ	Nein	Monitore RabbitMQ
Sybase	Nein	Überwacht Sybase

FTD: Kennzahlen aus FP 7.0

Standardmäßig aktiviert: Metriken werden standardmäßig gesammelt. Um die deaktivierten Metriken zu aktivieren, aktivieren Sie das entsprechende Integritätsmodul in der zugeordneten Integritätsrichtlinie (System > Health > Policy).

Metrik-Gruppenname	Standardmäßig aktiviert	Beschreibung	Plattform
Chassis-Status	Ja	Unterschiedliche Chassis-Parameter wie Lüftergeschwindigkeit und Temperatur werden überwacht.	Nur für Plattformen FPR2100 und FPR1000 geeignet
Flow-Offload	Ja	Überwacht Statistiken zum Hardware-Fluss-Offload	Gilt für FPR9300 und FPR4100-Plattformen
ASP-Drops	Ja	Überwachung von Paketverlusten auf der Lina-Seite	Alle
Trefferanzahl	Nein	Überwachung der Trefferanzahl für Zugriffskontrollrichtlinien-Regeln	Alle
AMP Threat Grid-Status	Ja	Überwacht die Verbindung zu AMP ThreatGrid	Alle
AMP-Verbindungsstatus	Nein	Überwachung der AMP-Cloud-Konnektivität über FTD	Alle
Status des SSE-Connectors	Nein	Überwachung der SSE-Cloud-Konnektivität über die FTD	Alle
NTP-Status	Nein	Überwacht NTP-Uhrensynchronisierungsparameter auf die FTD	Alle
VPN-Statistiken	Ja	Überwacht S2S- und RA VPN-Tunnelstatistiken	Alle
Routenstatistik	Ja	Überwachung von Paketverlusten auf der Lina-Seite	Alle
Snort 3 Perf Statistiken	Ja	Überwacht bestimmte Snort3-Leistungsstatistiken (perfstats)	Alle
xTLS-Zähler	Nein	Überwachung von xTLS/SSL-Datenflüssen, Arbeitsspeicher- und Cache-Effektivität	Alle

REST-APIs, Syslog, SNMP

In Version 7.0 wurden keine neuen REST-APIs für FMC- oder FTD-Geräte eingeführt. Die vorhandenen REST-APIs unterstützen neue Metriken, die in Version 7.0 hinzugefügt wurden.

Syslog und SNMP

Syslog

• Keine Änderung im Syslog für die Integritätsüberwachung

SNMP

• Separate TOI für "SNMP Device Health Monitoring"

SAL/CTR/Integration von Drittanbieterprodukten

• Separater TOI für "Azure Application Insights"-Support
• Keine spezifische Änderung zur Unterstützung der Integration von "Health Monitoring" mit SAL/CTR/SecureX
• REST-API kann für Drittanbieterintegration genutzt werden

Software-Technologie

Funktionsdetails 6.7

Neue NGFW-Zustandsüberwachung für FTD-Zustand und -Leistung

Erleichtert Benutzern

• Reaktives Debuggen, wie Ursachenanalyse, das Problem nach dem Auftreten
• Proaktive Maßnahmen wie die Überwachung von Nutzung und Sättigung, um potenzielle Kapazitätsprobleme zu identifizieren und die Benutzer bei Kapazitätserweiterungen oder Umgestaltungen zu unterstützen.

Highlights

• Trenddiagramme: Trenddiagramme erleichtern das Erkennen von Anomalien und das Ermitteln der Ursache von Problemen. Mithilfe visueller Inspektionen können Trends erkannt und Korrelationen zwischen verschiedenen Metriken aufgezeichnet werden, um einen kausalen Zusammenhang zwischen ihnen zu finden.
• Ereignis-Overlays: Ereignis-Overlays zeigen wichtige Informationen an, z. B. die Konfigurationsbereitstellung und SRU-Updates in Trenddiagrammen, die ursächliche Zusammenhänge anzeigen.
• Anpassbare Dashboards: Benutzer können ihre eigenen Dashboards erstellen, um die gewünschten Metriken auf einer Seite zusammenzufassen.
• Einheitliche Architektur für die Integritätsüberwachung: Zentrale Stelle für die Erfassung und den Export von Kennzahlen, unabhängig davon, welcher Manager an den Kennzahlen "interessiert" ist. FTD-APIs und das FMC verwenden Daten vom gleichen Kennzahlensammler.
• Erweiterbarkeit von Metriken: Eines der Ziele der Architektur für die Plattform war es, einfach neue Metriken hinzufügen zu können. Dies wird durch die Verwendung von Open Source-Tools zur Sammlung und Speicherung von Metriken und durch anpassbare Dashboards erreicht.

FMC-GUI

FMC-Benutzeroberfläche: Navigieren zum Integritätsstatus

Klicken Sie auf FMC auf das Symbol System > Health > Monitor, um zur Seite Health Status (Systemstatus) zu gelangen.

FMC-Benutzeroberfläche: Neue Statusseite

Die Seite "Health Status" (Status - Status - Status) soll eine Statusübersicht aller vom FMC verwalteten Geräte anzeigen, einschließlich des Status des FMC.

• Die Geräte werden nach ihrer Gruppe/ha/Cluster gruppiert.
• Ein Punkt links neben dem Gerät zeigt seinen Zustand an.
• Grün - keine Alarme
• Orange - mindestens eine Gesundheitswarnung
• Rot - mindestens ein kritischer Statusalarm
• Die Statuszusammenfassung wird angezeigt, wenn der Mauszeiger auf das Sechseck zeigt, das den Gerätestatus darstellt.
• Grenzwerte für Warnungen und kritische Meldungen können in der Integritätsrichtlinie genauso konfiguriert werden wie vor FP 6.7.

FMC-Benutzeroberfläche: Gerätestatusereignisse

Klicken Sie auf das Gerät im unteren Bereich, um die Systemzustandsereignisse anzuzeigen, die mit den Gerätewarnungen verknüpft sind. Diese werden nach ihrem Systemzustand (Schweregrad) sortiert.

Seite "Systemüberwachung"

FMC-Benutzeroberfläche: FMC-Zustandsüberwachung unverändert

Die FMC-Diagnoseseite ist nach wie vor die Legacy-Seite. Die neue Benutzeroberfläche wird nur für FTD mit 6.7+ unterstützt.

FMC-Benutzeroberfläche: Neu! Geräte-Dashboards

• Klicken Sie im linken Bereich auf den Gerätenamen, um zur Übersichtsseite des Geräts zu gelangen.
• Die Statusübersicht enthält alle wichtigen Trenddiagramme für die Integritätsmetriken.
• Verschiedene Zeitbereiche sind verfügbar (Standard ist die letzte Stunde)
• Automatische Aktualisierung zum erneuten Laden des Diagramms

FMC-Benutzeroberfläche: Overlay der Bereitstellungsdaten

Klicken Sie auf das Bereitstellungssymbol, um Details zum Bereitstellungs-Overlay in dem Diagramm für den ausgewählten Zeitraum anzuzeigen.

• Symbol gibt die Anzahl der Bereitstellungen während des ausgewählten Zeitbereichs an
• Band zeigt den Beginn und das Ende der Bereitstellung an.
• Bei mehreren Bereitstellungen werden mehrere Bänder/Leitungen angezeigt.
• Klicken Sie auf das Symbol oben in der gepunkteten Linie, um die Details anzuzeigen.

FMC-Benutzeroberfläche: Vorgefertigte Dashboards für Geräte

• In der FMC-Benutzeroberfläche sind vordefinierte Status-Dashboards vorhanden.
• Diese vordefinierten Dashboards enthalten zusammengehörige Kennzahlen.
• Das Schnittstellen-Dashboard verfügt über ein Trenddiagramm für alle schnittstellenbezogenen Metriken wie Eingabe-/Ausgabe-Bytes, Pakete und die durchschnittliche Paketgröße für verschiedene Schnittstellen.

FTD Snort Memory - Von wo stammt es?

FMC-Benutzeroberfläche: Erstellung benutzerdefinierter Dashboards möglich

Benutzer können ein eigenes benutzerdefiniertes Dashboard erstellen

• Zusätzlich zu den vordefinierten Dashboards können Benutzer auch benutzerdefinierte Dashboards erstellen.
• Im benutzerdefinierten Dashboard kann eine beliebige Anzahl von Metriken hinzugefügt werden.
• In der Regel wird ein benutzerdefiniertes Dashboard erstellt, wenn Metriken aus verschiedenen Metrikgruppen korreliert werden können, um die Ursache eines Problems zu ermitteln.
• Im Falle einer hohen Lina CPU kann man die eingehende Verbindung pro Sekunde (Connection Per Second, CPS), Schnittstellenstatistiken (und so weiter) sehen, die eine hohe CPU verursachen können.

FMC-Benutzeroberfläche: Erstellen eines benutzerdefinierten Dashboards

Dialogfeld "Metriken korrelieren"

• Wenn ein Benutzer auf "+" klickt, um ein benutzerdefiniertes Dashboard zu erstellen, wird das Fenster "Metriken korrelieren" geöffnet.
• Ein Benutzer kann verschiedene Metriken hinzufügen, die er gemeinsam überwachen möchte.

Erfassen von Daten von (Gerät) - GUI

Daten für einen Zeitraum werden in GUI angezeigt

Wenn der Systemmonitor nicht über Daten für den ausgewählten Zeitraum verfügt, zeigt die GUI im Dashboard-Bereich "No Data Available" (Keine Daten verfügbar) an:

Wenn Daten verfügbar sind, sieht die Grafik wie folgt aus:

Verwenden Sie die Browser-Registerkarten "Konsole" und "Netzwerk".

Browser-Konsolenprotokoll und Netzwerk-Anrufprotokoll

• In diesem Beispiel wird die Chrome-Browser-Entwicklerkonsole angezeigt.
• Im Fehlerfall werden die Ausnahmedetails im Konsolenprotokoll angezeigt.

Beispiel für ein Browser-Konsolenprotokoll

Referenzen

FMC-Integritätsüberwachung - 6.7