Introduction
Ce document décrit ce que signifie « Système de prévention des intrusions (IPS) Security Services Processor (SSP) application reloading IPS » dans les messages syslog Cisco Adaptive Security Appliance (ASA).
Que signifie le message IPS « IPS SSP application reloading IPS » ?
Les messages syslog suivants apparaissent sur l'ASA :
ASA5585-SSP-IPS20 Module in slot 1, application up "IPS", version "7.1(1)E4"
Normal Operation
ASA5585-SSP-IPS20 Module in slot 1, application reloading "IPS", version
"7.1(1)E4" Config Change
L'ASA ne bascule pas et l'IPS n'affiche pas « failed ».
Ces messages sont générés pendant certaines des mises à jour de corrélation globale (GC) qui sont tentées toutes les cinq minutes. Ils sont également générés lors d'une mise à jour de signature IPS et sont connus pour être un comportement attendu.
Une vérification GC a lieu toutes les cinq minutes, mais il se peut que les mises à jour ne soient pas disponibles. Cette vérification GC explique pourquoi le message peut apparaître toutes les heures environ pendant le fonctionnement normal. Lorsqu'une mise à jour GC a lieu ou qu'une mise à jour de signature démarre, le système IPS envoie un message à l'ASA pour indiquer qu'une modification de configuration est en cours.
May 22 2013 03:20:16: %ASA-1-505013: Module ASA-SSM-10 in slot 1 application reloading "IPS" version "7.1(7)E4" Config Change
L'application ne se recharge pas réellement comme le ferait un ASA si la commande reload était exécutée. L'IPS ajuste le moteur d'analyse et informe l'ASA de la modification. Cette opération peut se produire en même temps que le système IPS passe en mode de contournement pendant qu'il traite les mises à jour. Encore une fois, il s'agit d'un fonctionnement normal et il n'y a aucun impact fonctionnel sur les performances IPS ou ASA.
Lorsque l'ASA reçoit ce message, il ne bascule pas immédiatement. Pendant ce temps, l'ASA suivra la configuration fail-close ou fail-open. Si fail-close a été configuré, l'ASA abandonnera tous les paquets envoyés à l'IPS jusqu'à ce que le capteur envoie un message indiquant qu'il est à nouveau prêt pour la surveillance, ou que le délai d'attente soit atteint (à ce moment-là, l'ASA sera marqué comme ayant échoué).
May 22 2013 03:20:16: %ASA-3-420001: IPS card not up and fail-close mode used dropping TCP packet from Outside:213.248.117.16/80 to INSIDE:193.128.137.2/40860
L'ID de bogue Cisco CSCts98806 n'a pas pu résoudre une défaillance possible de la carte/de l'application en raison des causes des messages mentionnés.
L'ID de bogue Cisco CSCub2854 a échoué pour résoudre ou documenter ce problème du côté IPS.
L'ID de bogue Cisco CSCts98836 a échoué pour résoudre le message sur l'ASA.
Les messages d'arrêt du canal de données peuvent s'afficher lors d'un basculement ASA pendant les mises à jour de signature IPS ou GC. Ce bogue ASA résout cette situation :
ID de bogue Cisco CSCuc32250
Informations connexes
Commentaires