- FireSIGHT System ユーザ ガイド
- Contents
- Cisco FireSIGHT システムの概要
- FireSIGHT システム へのログイン
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスの設定
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- 集約インターフェイスのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- ユーザに基づくトラフィックの制御
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- ネットワーク資産に応じた侵入防御の調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの理解と作成
- マルウェアと禁止されたファイルのブロッ キング
- ネットワーク トラフィックの接続のロギ ング
- 接続およびセキュリティ インテリジェンス のデータの使用
- マルウェアとファイル アクティビティの 分析
- 侵入イベントの操作
- インシデント対応
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ネットワーク検出の概要
- ネットワーク検出の拡張
- アクティブ スキャンの設定
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- FireSIGHT システムのコンプライアンス ツー ルとしての使用
- トラフィック プロファイルの作成
- 修復の設定
- ダッシュボードの使用
- Context Explorer の使用
- レポートの操作
- ワークフローの概要と使用
- カスタム テーブルの使用
- イベントの検索
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システム のライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ設定の指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、お よび通信ポート
- サードパーティ製品
- Glossary
FireSIGHT System バージョン 5.4.1 ユーザ ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2018年8月6日
章のタイトル: ヘルス モニタリングの使用
- ヘルス モニタリングについて
- 正常性ポリシーの設定
- デフォルト正常性ポリシーについて
- 正常性ポリシーの作成
- ポリシー実行時間間隔の設定
- 高度なマルウェア防御モニタリングの設定
- アプライアンス ハートビート モニタリングの設定
- 自動アプリケーション バイパス モニタリングの設定
- CPU 使用率モニタリングの設定
- カード リセット モニタリングの設定
- ディスク ステータス モニタリングの設定
- ディスク使用率モニタリングの設定
- ステータス モニタリングFireAMPの設定
- FireSIGHT ホスト使用量モニタリングの設定
- ハードウェア アラーム モニタリングの設定
- ヘルス ステータス モニタリングの設定
- インライン リンク不一致アラーム モニタリングの設定
- インターフェイス ステータス モニタリングの設定
- 侵入イベント レート モニタリングの設定
- ライセンス モニタリングについて
- リンク ステート伝達モニタリングの設定
- メモリ使用率モニタリングの設定
- 電源モニタリングの設定
- プロセス ステータス モニタリングの設定
- 検出のモニタリングの再設定の構成
- RRD サーバ プロセス モニタリングの設定
- セキュリティ インテリジェンス モニタリングの設定
- 時系列データ モニタリングの設定
- 時刻同期モニタリングの設定
- URL フィルタリング モニタリングの設定
- ユーザ エージェント ステータス モニタリングの設定
- VPN ステータス モニタリングの設定
- 正常性ポリシーの適用
- 正常性ポリシーの編集
- 正常性ポリシーの比較
- 正常性ポリシーの削除
- ヘルス モニタ ブラックリストの使用
- ヘルス モニタ アラートの設定
- ヘルス モニタの使用
- アプライアンス ヘルス モニタの使用
ヘルス モニタリングの使用
ヘルス モニタは、Defense Center からアプライアンスの正常性を確認するためのさまざまなテストを提供します。ヘルス モニタを使用すれば、 正常性ポリシー とも呼ばれるテストのコレクションを作成し、正常性ポリシーを 1 つ以上のアプライアンスに適用できます。システム内のすべてのアプライアンスに共通の正常性ポリシーを作成することも、適用を予定している特定のアプライアンス用に正常性ポリシーをカスタマイズすることも、デフォルトの正常性ポリシーを使用することもできます。別の Defense Center からエクスポートした正常性ポリシーをインポートすることもできます。
ヘルス モジュール とも呼ばれるテストは、指定された基準に照らしてテストするスクリプトです。テストを有効または無効にするか、テスト設定を変更することによって、正常性ポリシーを変更したり、不要になった正常性ポリシーを削除したりできます。アプライアンスをブラックリストに登録することによって、選択したアプライアンスからのメッセージを抑制することもできます。
正常性ポリシー内のテストは設定された時間間隔で自動的に実行されます。すべてのテストを実行することも、オンデマンドで特定のテストを実行することもできます。ヘルス モニタは設定されたテスト条件に基づいてヘルス イベントを収集します。オプションで、ヘルス イベントに対応して警告する電子メール、SNMP、または syslog を設定することもできます。
Defense Center では、システム全体または特定のアプライアンスに関するヘルス ステータス情報を表示できます。完全にカスタマイズ可能なイベント ビューを使用すれば、ヘルス モニタによって収集されたヘルス ステータス イベントを迅速かつ容易に分析できます。このイベント ビューでは、イベント データを検索して表示したり、調査中のイベントに関係する他の情報にアクセスしたりできます。
ヘルス モニタリングについて
ヘルス モニタを使用して、FireSIGHT システム展開全体の重要な機能のステータスを確認できます。Defense Center を通して管理対象デバイスのそれぞれに正常性ポリシーを適用し、Defense Center で結果のヘルス データを収集することによって、FireSIGHT システム全体の正常性を監視します。[ヘルス モニタ(Health Monitor)] ページ上の円グラフとステータス テーブルは、モニタ対象のアプライアンスのヘルス ステータスを視覚的に表しているため、一目でステータスをチェックでき、必要に応じてステータス詳細にドリルダウンできます。
ヘルス モニタを使用して、システム全体または特定のアプライアンスのヘルス ステータス情報にアクセスできます。[ヘルス モニタ(Health Monitor)] ページには、システム上のすべてのアプライアンスのステータスの概要が表示されます。個々のアプライアンスのヘルス モニタを使用すれば、特定のアプライアンスのヘルス詳細にドリルダウンできます。
標準の FireSIGHT システム テーブル ビューでヘルス イベントを表示することもできます。個々のアプライアンスのヘルス モニタから、特定のイベント発生のテーブル ビューを開いたり、そのアプライアンスのすべてのステータス イベントを取得したりできます。特定のヘルス イベントを検索することもできます。たとえば、特定のパーセンテージの CPU 使用率の全記録を表示する場合は、CPU 使用率モジュールを検索して、パーセンテージ値を入力できます。
ヘルス イベントに対応した電子メール、SNMP、または syslog アラートを設定することもできます。 ヘルス アラート は、標準アラートとヘルス ステータス レベルを関連付けたものです。たとえば、アプライアンスでハードウェアの過負荷が原因で障害が発生することは絶対ないことを確認する必要がある場合は、電子メール アラートをセットアップできます。その後で、CPU、ディスク、またはメモリの使用率がそのアプライアンスに適用される正常性ポリシーで設定された警告レベルに達するたびにその電子メール アラートをトリガーするヘルス アラートを作成できます。アラートしきい値を、受け取る反復アラートの数が最小になるように設定できます。
ヘルス モニタリングは管理活動であるため、管理者ユーザ ロール特権を持っているユーザのみがシステム ヘルス データにアクセスできます。ユーザ特権の割り当て方法については、ユーザ特権とオプションの変更を参照してください。
(注
) Defense Center を除いて、FireSIGHT システム デバイスにはデフォルトでヘルス モニタリング ポリシーが適用されません。管理対象デバイスはハードウェア アラーム ヘルス モジュール経由で自動的にハードウェア ステータスを報告します。他のモジュールを使用して管理対象デバイスをモニタする場合は、正常性ポリシーをそのデバイスに適用する必要があります。Cisco が提供するアプライアンス用のデフォルト正常性ポリシーの詳細については、デフォルト正常性ポリシーについてを参照してください。カスタマイズした正常性ポリシーの作成方法については、正常性ポリシーの作成を参照してください。ポリシーの適用について詳しくは、正常性ポリシーの適用を参照してください。
正常性ポリシーと、システム ヘルスをテストするために実行可能なヘルス モジュールの詳細については、次のトピックを参照してください。
正常性ポリシーについて
正常性ポリシー は、Defense Center がアプライアンスの正常性をチェックするときに使用する基準を定義するためにアプライアンスに適用するヘルス モジュール設定のコレクションです。ヘルス モニタは、FireSIGHT システムのハードウェアとソフトウェアが正しく機能していることを確認するためのさまざまなヘルス インジケータを追跡します。
正常性ポリシーを作成するときに、アプライアンスの正常性を確認するために実行するテストを選択します。また、デフォルト正常性ポリシーをアプライアンスに適用することもできます。
ヘルス モジュールについて
ヘルス テスト とも呼ばれる ヘルス モジュール は、正常性ポリシー内で指定された基準に照らしてテストするスクリプトです。使用可能なヘルス モジュールの説明を次の表に示します。
|
|
|
|---|---|
このモジュールは、ファイル ポリシー設定に基づいて、ネットワーク トラフィックで検出されたファイルに関するファイル性質情報を取得するため、または動的分析用にファイルを送信するために Defense Center が Collective Security Intelligence クラウド に接続できなかった場合、または、ネットワーク トラフィックで過剰なファイル数が検出された場合に警告します。FireAMP プライベート クラウド経由の接続でも、プライベート クラウドが Cisco のパブリック クラウドに接続できなかった場合にアラートが生成されます。 このモジュールは、高度なマルウェア防御をサポートしていない DC500 を除くすべての Defense Center 上で動作します。 |
|
このモジュールは、アプライアンス ハートビートがアプライアンスから届いているかどうかを確認し、アプライアンスのハートビート ステータスに基づいてアラートを出します。 |
|
このモジュールは、アプライアンスがバイパスしきい値で設定された秒数以内に応答しなかったためにバイパスされたかどうかを確認し、バイパスが発生した場合にアラートを出します。 |
|
このモジュールは、アプライアンス上の CPU が過負荷になっていないことを確認し、CPU 使用率がモジュールに設定されたパーセンテージを超えた場合にアラートを出します。 |
|
このモジュールは、リセット時に、ハードウェア障害原因で再起動されたネットワーク カードをチェックし、アラートを出します。 |
|
このモジュールは、ハード ディスクと、アプライアンス上のマルウェア ストレージ パック(設置されている場合)のパフォーマンスを調査します。また、ハード ディスクと RAID コントローラ(設置されている場合)に障害が発生する恐れがある場合、あるいは、マルウェア ストレージ パックが設置後に検出されないまたは正規品でない場合にアラートを出します。 |
|
このモジュールは、アプライアンスのハード ドライブとマルウェア ストレージ パック上のディスク使用率をモジュールに設定された制限と比較し、その使用率がモジュールに設定されたパーセンテージを超えた時点でアラートを出します。また、モジュールしきい値に基づいて、システムがモニタ対象のディスク使用カテゴリ内のファイルを過剰に削除する場合、または、これらのカテゴリを除くディスク使用率が過剰なレベルに達した場合にもアラートを出します。 |
|
このモジュールは、Defense Center が初期接続の成功後に Cisco クラウドに接続できない場合、または FireAMP ポータルを使用してクラウド接続を登録解除した場合、またはプライベート クラウドがシスコのパブリック クラウドと通信できない場合にアラートを出します。 |
|
このモジュールは、十分な FireSIGHT ホスト ライセンスが残っているかどうかを確認し、モジュールに設定された警告レベルに基づいてアラートを出します。 |
|
このモジュールは、シリーズ 3 または 3D9900 デバイス上のハードウェアを交換する必要があるかどうかを確認し、ハードウェア ステータスに基づいてアラートを出します。また、ハードウェア関連デーモンのステータスとクラスタ化されたアプライアンスのステータスについて報告します。 これらのデバイスについて報告される詳細については、3D9900 デバイスのハードウェア アラート詳細の解釈とシリーズ 3 デバイスのハードウェア アラート詳細の解釈を参照してください。 |
|
このモジュールは、ヘルス モニタ自体のステータスをモニタし、Defense Center で受信された最後のステータス イベント以降の分数が警告制限または重大制限を超えた場合にアラートを出します。 |
|
このモジュールは、インライン セットに関連付けられたポートを監視し、インライン ペアの 2 つのインターフェイスが別々の速度をネゴシエートした場合にアラートを出します。 |
|
このモジュールは、1 秒あたりの侵入イベント数をこのモジュールに設定された制限と比較し、制限を超えた場合にアラートを出します。侵入イベント レートが 0 の場合は、侵入プロセスがダウンしているか、管理対象デバイスがイベントを送信していない可能性があります。イベントがデバイスから送られているかどうかをチェックするには、[分析(Analysis)] > [侵入(Intrusions)] > [イベント(Events)] の順に選択します。 |
|
このモジュールは、デバイスが現在トラフィックを収集しているかどうかを確認して、物理インターフェイスおよび集約インターフェイスのトラフィック ステータスに基づいてアラートを出します。物理インターフェイスの情報には、インターフェイス名、リンク ステート、および帯域幅が含まれます。集約インターフェイスの情報には、インターフェイス名、アクティブ リンクの数、および総集約帯域幅が含まれます。 |
|
このモジュールは、Control、Protection、URL Filtering、Malware、および VPN 用の十分なライセンスが残っているかどうかを確認します。また、スタック内のデバイスに適合しないライセンス セットが含まれている場合にアラートを出します。モジュールに自動的に設定された警告レベルに基づいてアラートを出します。このモジュールの設定は変更できません。 |
|
このモジュールは、ペア化されたインライン セット内のリンクで障害が発生した時点を特定して、リンク ステート伝達モードをトリガーします。 |
|
このモジュールは、アプライアンス上のメモリ使用率をモジュールに設定された制限と比較し、使用率がモジュールに設定されたレベルを超えるとアラートを出します。 |
|
このモジュールは、デバイスの電源が交換が必要かどうかを確認し、電源ステータスに基づいてアラートを出します。 このモジュールは、Defense Center DC1500、DC2000、DC3500、DC4000 上で動作します。 このモジュールは、デバイス 3D3500、3D4500、3D6500、3D9900、および シリーズ 3 上で動作します。 |
|
このモジュールは、アプライアンス上のプロセスがプロセス マネージャの外部で停止または終了したかを確認します。プロセスが故意にプロセス マネージャの外部で停止された場合は、モジュールが再開してプロセスが再起動するまで、モジュール ステータスが Warning に変更され、ヘルス イベント メッセージが停止されたプロセスを示します。プロセスがプロセス マネージャの外部で異常終了またはクラッシュした場合は、モジュールが再開してプロセスが再起動するまで、モジュール ステータスが Critical に変更され、ヘルス イベント メッセージが終了したプロセスを示します。 |
|
このモジュールは、登録された管理対象デバイスでポリシーの適用に失敗した後も検出機能が保持されるかどうかを確認します。ポリシーの適用に失敗して検出機能が動作不能になった場合、モジュールは検出機能が再確立されるまでヘルス アラートを生成します。 |
|
このモジュールは、時系列データを保存するラウンド ロビン データ サーバが正常に動作しているかどうかを確認し、最近の RRD サーバの再起動回数に基づいてアラートを出します。 |
|
このモジュールは、フィード更新、フィード破損、メモリ問題などのセキュリティ インテリジェンス フィルタリングに関するさまざまな状況でアラートを出します。 このモジュールは、セキュリティ インテリジェンス フィルタリングをサポートしていない DC500 以外のすべての Defense Center 上で動作します。 |
|
このモジュールは、時系列データ(コンプライアンス イベント カウントなど)が保存されるディレクトリ内の破損ファイルの存在を追跡して、ファイルが破損としてフラグが付けられ、削除された段階でアラートを出します。 |
|
このモジュールは、NTP を使用して時刻を取得するデバイス クロックと NTP サーバ上のクロックの同期を追跡して、クロックの差が 10 秒を超えた場合にアラートを出します。 |
|
このモジュールは、通常訪問される URL に関する URL フィルタリング(カテゴリとレピュテーション)データをシステムが取得する Defense Center と Cisco クラウド間の通信を追跡します。Defense Center がクラウドとの通信またはクラウドからの更新の取得に失敗した場合にアラートを出します。 このモジュールは、Defense Center と、URL フィルタリングが有効になっている管理対象デバイス間の通信も追跡します。Defense Center が URL フィルタリング データをそのようなデバイスにプッシュできない場合にアラートを出します。 このモジュールは、URL フィルタリングをサポートしていない DC500 以外のすべての Defense Center 上でのみ動作します。 |
|
このモジュールは、Defense Center に接続されたユーザ エージェントでハートビートが検出されない場合にアラートを出します。 |
|
ヘルス モニタリング設定について
次の手順に示すように、FireSIGHT システム上でヘルス モニタリングをセットアップするためのいくつかのステップがあります。
FireSIGHT システムで使用しているアプライアンスの種類ごとに固有のポリシーをセットアップして、そのアプライアンスに適切なテストだけを有効にすることができます。
ヒント モニタリング動作をカスタマイズすることなくすぐにヘルス モニタリングを有効にするには、そのために用意されたデフォルト ポリシーを適用できます。
正常性ポリシーのセットアップについては、正常性ポリシーの設定を参照してください。
手順 2 ヘルス ステータスを追跡するアプライアンスごとに正常性ポリシーを適用します。すぐに適用できるデフォルト正常性ポリシーについては、デフォルト正常性ポリシーについてを参照してください。
手順 3 オプションで、ヘルス モニタ アラートを設定します。
ヘルス ステータス レベルが特定のヘルス モジュールの特定の重大度レベルに達した段階でトリガーされる電子メール、Syslog、または SNMP アラートをセットアップできます。
ヘルス モニタ アラートのセットアップについては、ヘルス モニタ アラートの設定を参照してください。
システム上でヘルス モニタリングをセットアップしたら、[ヘルス モニタ(Health Monitor)] ページまたは [ヘルス イベント(Health Events)] テーブル ビューでいつでもヘルス ステータスを確認できます。システム ヘルス データの表示方法については、次のトピックを参照してください。
正常性ポリシーの設定
正常性ポリシーには、複数のモジュールに対して設定されたヘルス テスト基準が含まれます。アプライアンスごとにどのヘルス モジュールを実行するかを制御したり、モジュールごとに実行するテストで使用される特定の制限を設定したりできます。正常性ポリシーで設定可能なヘルス モジュールの詳細については、ヘルス モニタリングについてを参照してください。
システム内のすべてのアプライアンスに適用可能な 1 つの正常性ポリシーを作成することも、適用を計画している特定のアプライアンス用に正常性ポリシーをカスタマイズすることも、付属のデフォルト正常性ポリシーを使用することもできます。別の Defense Center からエクスポートした正常性ポリシーをインポートすることもできます。
正常性ポリシーを設定するときに、そのポリシーに対して各ヘルス モジュールを有効にするかどうかを決定します。また、有効にした各モジュールが、プロセスの正常性を評価するたびに報告するヘルス ステータスを制御するための基準を選択することもできます。
Defense Center と に自動的に適用されるデフォルト正常性ポリシーの詳細については、デフォルト正常性ポリシーについてを参照してください。
デフォルト正常性ポリシーについて
Defense Center ヘルス モニタには、アプライアンスのヘルス モニタリングの迅速な実装を容易にするデフォルト正常性ポリシーがあります。デフォルト正常性ポリシーは、自動的に Defense Center に適用されます。デフォルト正常性ポリシーを編集することはできませんが、コピーしてその設定に基づくカスタム ポリシーを作成することができます。詳細については、正常性ポリシーの作成を参照してください。
また、デバイスの正常性を監視するために、正常性ポリシーを管理対象デバイスにプッシュすることもできます。
(注) 正常性ポリシーを Blue Coat X-Series 向け Cisco NGIPS に適用することはできません。
デフォルト正常性ポリシーでは、実行中のプラットフォーム上で使用可能なヘルス モジュールのほとんどが自動的に有効になります。次の表に、Defense Center と管理対象デバイスのデフォルト ポリシーでアクティブにされているモジュールの詳細を示します。
|
|
|
|
|---|---|---|
正常性ポリシーの作成
アプライアンスで使用する正常性ポリシーをカスタマイズすることによって、新しいポリシーを作成できます。ポリシー内の設定は、最初に、新しいポリシーの基準として選択した正常性ポリシー内の設定を使用して生成されます。必要に応じて、ポリシー内のモジュールを有効または無効にし、各モジュールのアラート基準を変更できます。
ヒント 新しいポリシーを作成する代わりに、別の Defense Center から正常性ポリシーをエクスポートして、それを対象の Defense Center にインポートできます。ニーズに合わせて、インポートされたポリシーを編集してから適用することができます。詳細については、設定のインポートおよびエクスポートを参照してください。
手順 1 [ヘルス(Health)] > [正常性ポリシー(Health Policy)] の順に選択します。
[正常性ポリシー(Health Policy)] ページが表示されます。
手順 2 [ポリシーの作成(Create Policy)] をクリックします。
[正常性ポリシーの作成(Create Health Policy)] ページが表示されます。
手順 3 [ポリシーのコピー(Copy Policy)] ドロップダウン リストから、新しいポリシーの基準として使用する既存のポリシーを選択します 。
手順 6 [保存(Save)] を選択して、ポリシー情報を保存します。
[正常性ポリシーの設定(Health Policy Configuration)] ページが開いて、モジュールのリストが表示されます。
手順 7 次の項の説明に従って、アプライアンスのヘルス ステータスをテストするために使用する各モジュールの設定を構成します。
- ポリシー実行時間間隔の設定
- 高度なマルウェア防御モニタリングの設定
- アプライアンス ハートビート モニタリングの設定
- 自動アプリケーション バイパス モニタリングの設定
- CPU 使用率モニタリングの設定
- カード リセット モニタリングの設定
- ディスク ステータス モニタリングの設定
- ディスク使用率モニタリングの設定
- ステータス モニタリングFireAMPの設定
- FireSIGHT ホスト使用量モニタリングの設定
- ハードウェア アラーム モニタリングの設定
- ヘルス ステータス モニタリングの設定
- インライン リンク不一致アラーム モニタリングの設定
- インターフェイス ステータス モニタリングの設定
- 侵入イベント レート モニタリングの設定
- ライセンス モニタリングについて
- リンク ステート伝達モニタリングの設定
- メモリ使用率モニタリングの設定
- 電源モニタリングの設定
- プロセス ステータス モニタリングの設定
- 検出のモニタリングの再設定の構成
- RRD サーバ プロセス モニタリングの設定
- セキュリティ インテリジェンス モニタリングの設定
- 時系列データ モニタリングの設定
- 時刻同期モニタリングの設定
- URL フィルタリング モニタリングの設定
- ユーザ エージェント ステータス モニタリングの設定
- VPN ステータス モニタリングの設定
(注) 設定を構成するときに、それぞれの [正常性ポリシーの設定(Health Policy Configuration)] ページでヘルス ステータスをテストするために実行するモジュールが有効になっていることを確認します。無効になっているモジュールは、そのモジュールを含むポリシーがアプライアンスに適用されていても、ヘルス ステータス フィードバックを生成しません。
手順 8 [ポリシーを保存して終了(Save Policy and Exit)] をクリックしてポリシーを保存します。
有効にするには、それぞれのアプライアンスにポリシーを適用する必要があります。正常性ポリシーの適用方法については、正常性ポリシーの適用を参照してください。
ポリシー実行時間間隔の設定
正常性ポリシーのポリシー実行時間間隔を変更することによって、ヘルス テストの実行頻度を制御できます。設定可能な最大実行時間間隔は 99999 分です。
5 分未満の実行時間間隔を設定しないでください。
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[ポリシー実行時間間隔(Policy Run Time Interval)] を選択します。
[正常性ポリシーの設定 — ポリシー実行時間間隔(Health Policy Configuration — Policy Run Time Interval)] ページが表示されます。
手順 2 [実行間隔(分)(Run Interval (mins))] フィールドに、テストの自動反復の時間間隔を分単位で入力します。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するアプライアンスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
高度なマルウェア防御モニタリングの設定
このモジュールは、Cisco クラウドに問い合わせてネットワーク トラフィックでファイルを検出する Defense Center の機能の状態と安定性を追跡します。システムで、クラウドとの接続が中断された、接続に使用されている暗号キーが無効である、または一定のタイム フレームで検出されたファイル数が多すぎることが検出された場合は、このモジュールのステータス分類が Warning に変更され、モジュールが正常性アラートを生成します。使用している FireAMP プライベート クラウドがシスコのパブリック クラウドと通信できない場合は、プライベート クラウド自体でアラートが生成されます。詳細については、『 FireAMP Private Cloud Administration Portal User Guide 』を参照してください。
(注) Defense Center のインターネット接続が切断された場合、高度なマルウェア防御ヘルス アラートの生成に最大 30 分かかることがあります。
高度なマルウェア防御ヘルス モジュールの設定を構成する方法:
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[高度なマルウェア防御(Advanced Malware Protection)] を選択します。
[正常性ポリシーの設定 — 高度なマルウェア防御(Health Policy Configuration — Advanced Malware Protection)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するアプライアンスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
アプライアンス ハートビート モニタリングの設定
Defense Center は、デバイスが実行しており、Defense Center と正常に通信していることを示すものとして、その管理対象デバイスから、2 分ごとと 200 イベントごとのどちらか早い方でハートビートを受け取ります。アプライアンス ハートビート ヘルス ステータス モジュールは、Defense Center が管理対象アプライアンスからハートビートを受信しているかどうかを追跡するために使用します。Defense Center がデバイスからのハートビートを検出しない場合、このモジュールのステータス分類が Critical に変わります。このステータス データがヘルス モニタに反映されます。
アプライアンス ハートビート ヘルス モジュールの設定を構成する方法:
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[アプライアンス ハートビート(Appliance Heartbeat)] を選択します。
[正常性ポリシーの設定 — アプライアンス ハートビート(Health Policy Configuration — Appliance Heartbeat)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するアプライアンスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
自動アプリケーション バイパス モニタリングの設定
このモジュールは、管理対象デバイスがバイパスしきい値として設定された秒数以内に応答しなかったためにバイパスされた時点を検出するために使用します。バイパスが発生すると、このモジュールがアラートを生成します。このステータス データがヘルス モニタに反映されます。
自動アプリケーション バイパスの詳細については、自動アプリケーション バイパスを参照してください。
自動アプリケーション バイパス モニタリング ステータスを設定する方法:
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[自動アプリケーション バイパス ステータス(Automatic Application Bypass Status)] を選択します。
[正常性ポリシーの設定 — 自動アプリケーション バイパス ステータス(Health Policy Configuration — Automatic Application Bypass Status)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当する管理対象デバイスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
CPU 使用率モニタリングの設定
CPU 使用率が高すぎる場合、ハードウェアをアップグレードする必要がある、または、正しく機能していないプロセスが存在することを示している可能性があります。CPU 使用率ヘルス ステータス モジュールは、CPU 使用率の制限を設定するために使用します。
モニタ対象アプライアンスの CPU 使用率が警告制限を超えた場合、そのモジュールのステータス分類が Warning に変更されます。モニタ対象アプライアンスの CPU 使用率が重大制限を超えた場合、そのモジュールのステータス分類が Critical に変更されます。このステータス データがヘルス モニタに反映されます。
両方の制限に設定可能な最大パーセンテージは 100 % であり、重大制限は警告制限より高くする必要があります。
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[CPU 使用率(CPU Usage)] を選択します。
[正常性ポリシーの設定 — CPU 使用率(Health Policy Configuration — CPU Usage)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
手順 3 [重大しきい値 %(Critical Threshold %)] フィールドに、重大ヘルス ステータスをトリガーする CPU 使用率のパーセンテージを入力します。
手順 4 [警告しきい値 %(Warning Threshold %)] フィールドに、警告ヘルス ステータスをトリガーする CPU 使用率のパーセンテージを入力します。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するアプライアンスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
カード リセット モニタリングの設定
カード リセット モニタリング ヘルス ステータス モジュールは、ハードウェア障害が原因でネットワーク カードが再起動された時点を追跡するために使用します。リセットが発生すると、このモジュールがアラートを生成します。このステータス データがヘルス モニタに反映されます。
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[カード リセット(Card Reset)] を選択します。
[正常性ポリシーの設定 — カード リセット(Health Policy Configuration — Card Reset Monitoring)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、該当するDefense Centerに正常性ポリシーを適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
ディスク ステータス モニタリングの設定
ディスク ステータス ヘルス モジュールは、アプライアンスのハード ディスクとマルウェア ストレージ パック(設置されている場合)の現在のステータスをモニタするために使用します。このモジュールは、ハード ディスクと RAID コントローラ(設置されている場合)で障害が発生する恐れがある場合、または、マルウェア ストレージ パックではない追加のハード ドライブが設置されている場合に、警告(黄色)ヘルス アラートを生成します。また、設置されているマルウェア ストレージ パックを検出できなかった場合はアラート(赤色)ヘルス アラートを生成します。
ディスク ステータス ヘルス モジュールの設定を構成する方法:
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[ディスク ステータス(Disk Status)] をクリックします。
[正常性ポリシーの設定 — ディスク ステータス(Health Policy Configuration — Disk Status)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するデバイスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
ディスク使用率モニタリングの設定
十分なディスク スペースがないと、アプライアンスは動作できません。ヘルス モニタは、スペースが使い果たされる前に、アプライアンスのハード ドライブとマルウェア ストレージ パック上のディスク スペースが少ない状態を特定できます。また、ヘルス モニタは、ハード ドライブのファイル ドレインが頻繁に発生する場合にアラートを出せます。ディスク使用率ヘルス ステータス モジュールは、アプライアンス上の / パーティションと /volume パーティションのディスク使用率を監視して、ドレイン頻度を追跡するために使用します。
(注) ディスク使用率モジュールは /boot パーティションを監視対象パーティションとして列挙しますが、そのパーティションのサイズが固定のため、このモジュールはブート パーティションに基づいてアラートを出すことはしません。
モニタ対象アプライアンスのディスク使用率が警告制限を超えた場合、そのモジュールのステータス分類が Warning に変更されます。モニタ対象アプライアンスのディスク使用率が重大制限を超えた場合、そのモジュールのステータス分類が Critical に変更されます。両方の制限に設定可能な最大パーセンテージは 100 % であり、重大制限は警告制限より高くする必要があります。
システムが未処理のイベントを削除すると、そのモジュールのステータス分類が Warning に変更されます。システムがモジュールしきい値に基づいて、頻繁に、ディスク使用率カテゴリ内のファイルをドレインしている場合、または、モニタ対象ディスク使用率カテゴリに含まれないファイルのディスク使用率がモジュールしきい値に基づいて大きくなる場合、そのモジュールのステータス分類が Critical に変更されます。ディスク使用率カテゴリの詳細については、Disk Usage ウィジェットについてを参照してください。
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[ディスク使用率(Disk Usage)] を選択します。
[正常性ポリシーの設定 — ディスク使用率(Health Policy Configuration — Disk Usage)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
手順 3 [重大しきい値 %(Critical Threshold %)] フィールドに、重大ヘルス ステータスをトリガーするディスク使用率のパーセンテージを入力します。
手順 4 [警告しきい値 %(Warning Threshold %)] フィールドに、警告ヘルス ステータスをトリガーするディスク使用率のパーセンテージを入力します。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するアプライアンスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
ステータス モニタリングFireAMPの設定
FireAMP ステータス モニタ モジュールは、次の状況でアラートを出すために使用します。
- Defense Center が Cisco クラウドに最初は正しく接続できたのに、その後接続できない。
- FireAMP ポータルを使用してクラウド接続を登録解除した
- FireAMP プライベート クラウドがシスコのパブリック クラウドと通信できない。
このようなケースでは、モジュール ステータスが Critical に変更され、失敗した接続に関連付けられたクラウド名が表示されます。クラウド接続の設定方法については、FireAMP 用のクラウド接続の操作を参照してください。
FireAMP ステータス モニタ モジュールの設定を構成する方法:
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[FireAMP ステータス モニタ(FireAMP Status Monitor)] を選択します。
[Health Policy Configuration — FireAMP Status Monitor] ページが表示されます。
手順 2 [Enabled] オプションに対して [On] を選択して、FireAMP ステータス モニタリングに対するモジュールの使用を有効にします。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを Defense Center に適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
FireSIGHT ホスト使用量モニタリングの設定
FireSIGHT ホスト ライセンス制限ヘルス ステータス モジュールは、FireSIGHT ホスト使用量警告制限を設定するために使用します。モニタ対象デバイス上の残りの FireSIGHT ホスト数が警告ホスト数制限を下回った場合は、そのモジュールのステータス分類が Warning に変更されます。モニタ対象デバイス上の残りの FireSIGHT ホスト数が重大ホスト数制限を下回った場合は、そのモジュールのステータス分類が Critical に変更されます。このステータス データがヘルス モニタに反映されます。
両方の制限に設定可能な最大ホスト数は 1000 で、重大ホスト制限数は警告制限より小さくする必要があります。
FireSIGHT ホスト ライセンス制限ヘルス モジュールの設定を構成する方法:
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[FireSIGHT ホスト ライセンス制限(FireSIGHT Host License Limit)] を選択します。
[正常性ポリシーの設定 — FireSIGHT ホスト ライセンス制限(Health Policy Configuration — FireSIGHT Host License Limit)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
手順 3 [重大ステータスのホスト数(Critical number Hosts)] フィールドに、重大ヘルス ステータスをトリガーする使用可能なホストの残数を入力します。
手順 4 [警告ステータスのホスト数(Warning number Hosts)] フィールドに、警告ヘルス ステータスをトリガーする使用可能なホストの残数を入力します。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するデバイスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
ハードウェア アラーム モニタリングの設定
ハードウェア アラーム ヘルス ステータス モジュールは、シリーズ 3 または 3D9900 デバイス上でハードウェア障害を検出するために使用します。ハードウェア アラーム モジュールが、障害が発生したハードウェア コンポーネントまたは相互に通信していないクラスタ化されたデバイスを検出すると、そのモジュールのステータス分類が Critical に変更されます。このステータス データがヘルス モニタに反映されます。
3D9900 デバイス上のハードウェア アラートの原因となるハードウェア ステータス状態の詳細については、3D9900 デバイスのハードウェア アラート詳細の解釈を参照してください。
ハードウェア アラーム ヘルス モジュールの設定を構成する方法:
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[ハードウェア アラーム(Hardware Alarms)] を選択します。
[正常性ポリシーの設定 — ハードウェア アラーム モニタ(Health Policy Configuration — Hardware Alarm Monitor)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するデバイスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
ヘルス ステータス モニタリングの設定
ヘルス モニタ プロセス モジュールは、monita 対象アプライアンスから受け取るヘルス イベントの時間間隔が長すぎる場合にアラートを生成することによって、Defense Center 上でのヘルス モニタの正常性をモニタするために使用します。
たとえば、Defense Center( myrtle.example.com )がデバイス( dogwood.example.com )をモニタする場合は、ヘルス モニタ プロセス モジュールが有効になっている正常性ポリシーを myrtle.example.com に適用します。その後、ヘルス モニタ プロセス モジュールが、 dogwood.example.com から最後のイベントが受信されてから経過した分数を示すイベントを報告します。
アラートの生成を引き起こすイベントの時間間隔を分単位で設定できます。最後のイベント制限以降の待ち時間が [警告の分数(Warning Minutes)] に設定された分数を超えると、そのモジュールのステータス分類が Warning に変更されます。最後のイベント制限以降の待ち時間が [重大の分数(Critical Minutes)] を超えると、そのモジュールのステータス分類が Critical に変更されます。このステータス データがヘルス モニタに反映されます。
両方の制限に設定可能な最大分数は 144 であり、重大制限は警告制限より高くする必要があります。最小分数は 5 です。
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[ヘルス モニタ プロセス(Health Monitor Process)] を選択します。
[正常性ポリシーの設定 — ヘルス モニタ プロセス(Health Policy Configuration — Health Monitor Process)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
手順 3 [重大:最終イベント以降の分数(Critical Minutes since last event)] に、重大ヘルス ステータスをトリガーする前にイベント間で待機する最大分数を入力します。
手順 4 [警告:最終イベント以降の分数(Warning Minutes since last event)] に、警告ヘルス ステータスをトリガーする前にイベント間で待機する最大分数を入力します。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするためには、正常性ポリシーをDefense Centerに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
インライン リンク不一致アラーム モニタリングの設定
インライン リンク不一致アラーム ヘルス ステータス モジュールは、インライン セットの両側のインターフェイスが別々の接続速度をネゴシエートした時点を追跡するために使用します。別々にネゴシエートされた速度が検出された場合は、このモジュールがアラートを生成します。
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[インライン リンク不一致アラーム(Inline Link Mismatch Alarms)] を選択します。
[正常性ポリシーの設定 — インライン リンク不一致アラーム(Health Policy Configuration — Inline Link Mismatch Alarms)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、該当するDefense Centerに正常性ポリシーを適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
インターフェイス ステータス モニタリングの設定
インターフェイス ステータス ヘルス ステータス モジュールは、デバイスがトラフィックを受信しているかどうかを検出するために使用します。インターフェイス ステータス モジュールで、デバイスがトラフィックを受信していないことが確認されると、そのモジュールのステータス分類が Critical に変わります。このステータス データがヘルス モニタに反映されます。
(注) DataPlaneInterfacex というラベルの付いたインターフェイス(ここで、x は数値)は、内部 ASA インターフェイス(ユーザ定義ではない)で、システム内部のパケット フローに関与します。
インターフェイス ステータス ヘルス モジュールの設定を構成する方法:
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[インターフェイス ステータス(Interface Status)] を選択します。
[正常性ポリシーの設定 — インターフェイス ステータス(Health Policy Configuration — Interface Status)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するデバイスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
侵入イベント レート モニタリングの設定
侵入イベント レート ヘルス ステータス モジュールは、ヘルス ステータスの変化をトリガーする 1 秒あたりのパケット数の制限を設定するために使用します。モニタ対象デバイス上のイベント レートが [イベント数/秒(警告)(Events per second (Warning))] 制限で設定された 1 秒あたりのイベント数を超えると、そのモジュールのステータス分類が Warning に変更されます。モニタ対象デバイス上のイベント レートが [イベント数/秒(重大)(Events per second (Critical))] 制限で設定された 1 秒あたりのイベント数を超えると、そのモジュールのステータス分類が Critical に変更されます。このステータス データがヘルス モニタに反映されます。
一般に、ネットワーク セグメントのイベント レートは平均で 1 秒あたり 20 イベントです。この平均レートのネットワーク セグメントでは、[イベント数/秒(重大)(Events per second (Critical))] を 50 に設定し、[イベント数/秒(警告)(Events per second (Warning))] を 30 に設定する必要があります。システムの制限を決定するには、デバイスの [統計(Statistics)] ページ( [システム(System)] > [モニタ(Monitoring)] > [統計(Statistics)])で [イベント数/秒(Events/Sec)] 値を探してから、次の式を使用して制限を計算します。
- イベント数/秒(重大)(Events per second (Critical))= イベント数/秒(Events/Sec)* 2.5
- イベント数/秒(警告)(Events per second (Warning))= イベント数/秒(Events/Sec)* 1.5
両方の制限に設定可能な最大イベント数は 999 であり、重大制限は警告制限より大きくする必要があります。
侵入イベント レート モニタ ヘルス モジュールの設定を構成する方法:
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[侵入イベント レート(Intrusion Event Rate)] を選択します。
[正常性ポリシーの設定 — 侵入イベント レート(Health Policy Configuration — Intrusion Event Rate)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
手順 3 [イベント数/秒(重大)(Events per second (Critical))] フィールドに、重大ヘルス ステータスをトリガーする 1 秒あたりのイベント数を入力します。
手順 4 [イベント数/秒(警告)(Events per second (Warning))] フィールドに、警告ヘルス ステータスをトリガーする 1 秒あたりのイベント数を入力します。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するデバイスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
ライセンス モニタリングについて
ライセンス モニタリング ヘルス ステータス モジュールは、Control、Protection、URL Filtering、Malware、および VPN の十分なライセンスが残っているかどうかを確認するために使用します。このモジュールは、残りのライセンスの数が少ないまたは不十分な場合にアラートを出します。
また、スタック設定内のデバイスのライセンス セットが一致しないことをシステムが検出した場合にもアラートを出します(スタックされたデバイスのライセンス セットは同じでなければなりません)。
ライセンス モニタリング モジュールは自動的に設定されます。このモジュールは変更または無効にすることができないため、[正常性ポリシーの設定(Health Policy Configuration)] ページに表示されません。
リンク ステート伝達モニタリングの設定
リンク ステート伝達ヘルス ステータス モジュールは、インライン ペア上のリンク ステートの伝達を検出するために使用します。リンク ステートがペアに伝達した場合は、そのモジュールのステータス分類が Critical に変更され、状態が次のように表示されます。
ここで、 x と y はペア化されたインターフェイス番号です。
リンク ステート伝達ヘルス モジュールの設定を構成する方法:
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[リンク ステート伝達(Link State Propagation)] を選択します。
[正常性ポリシーの設定 — リンク ステート伝達(Health Policy Configuration — Link State Propagation)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するデバイスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
メモリ使用率モニタリングの設定
メモリ使用率ヘルス ステータス モジュールは、メモリ使用率の制限を設定するために使用します。このモジュールは、空きメモリ、キャッシュされたメモリ、およびスワップ メモリを考慮して空きメモリを計算します。モニタ対象アプライアンスのメモリ使用率が警告制限を超えた場合は、そのモジュールのステータス分類が Warning に変更されます。モニタ対象アプライアンスのメモリ使用率が重大制限を超えた場合は、そのモジュールのステータス分類が Critical に変更されます。このステータス データがヘルス モニタに反映されます。
メモリが 4 GB を超えるアプライアンスの場合、プリセットされたアラートしきい値は、システム問題を引き起こす可能性のあるメモリ空き容量の割合を求める式に基づいています。
(注) 4 GB 未満のアプライアンスでは、警告しきい値と重大しきい値の時間間隔が非常に狭いため、Cisco は、[警告しきい値 %(Warning Threshold %)] の値を手動で 50 に設定することを推奨します。これにより、時間内にアプライアンスのメモリ アラートを受け取って問題を解決できる可能性がさらに高まります。
両方の制限に設定可能な最大パーセンテージは 100 % であり、重大制限は警告制限より高くする必要があります。
(注) 多数の FireSIGHT 機能(セキュリティ インテリジェンス、ファイル キャプチャ、複数のルールを使用した侵入ポリシー、URL フィルタリングなど)を有効にして、アクセス コントロール ポリシーを適用した場合、よりローエンドの ASA FirePOWER デバイスによっては、メモリ割り当てを最大限拡張して使用するために、断続的なメモリ使用率警告が生成される可能性があります。
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[メモリ使用率(Memory Usage)] を選択します。
[正常性ポリシーの設定 — メモリ使用率(Health Policy Configuration — Memory Usage)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
手順 3 [重大しきい値 %(Critical Threshold %)] フィールドに、重大ヘルス ステータスをトリガーするメモリ使用率のパーセンテージを入力します。
手順 4 [警告しきい値 %(Warning Threshold %)] フィールドに、警告ヘルス ステータスをトリガーするメモリ使用率のパーセンテージを入力します。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するアプライアンスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
電源モニタリングの設定
サポートされるデバイス: 3D3500、3D4500、3D6500、3D9900、シリーズ 3
サポートされる防御センター: DC1500、DCDC2000、DC3500、DC4000
電源ヘルス ステータス モジュールは、サポートされているプラットフォームのいずれかで電源障害を検出するために使用します。モジュールが電力を消失した電源を検出すると、そのモジュールのステータス分類は No Power に変わります。モジュールが電源の存在を検出できない場合、ステータスは Critical Error に変わります。このステータス データがヘルス モニタに反映されます。ヘルス モニタの [アラートの詳細(Alert Detail)] リストで [電源(Power Supply)] 項目を展開して、電源ごとの特定のステータス項目を表示できます。
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[電源(Power Supply)] を選択します。
[正常性ポリシーの設定 — 電源(Health Policy Configuration — Power Supply)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するデバイスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
プロセス ステータス モニタリングの設定
プロセス ステータス ヘルス モジュールは、プロセス マネージャの外部で停止または終了したアプライアンス上で実行中のプロセスをモニタするために使用します。プロセス ステータス モジュールのプロセス終了に対する応答はプロセスの終了方法によって異なります。
- プロセスがマネージャ プロセスの内部で終了した場合、モジュールはヘルス イベントを報告しません。
- プロセスが故意にプロセス マネージャの外部で停止された場合は、モジュールが再開してプロセスが再起動するまで、モジュール ステータスが Warning に変更され、ヘルス イベント メッセージが停止されたプロセスを示します。
- プロセスがプロセス マネージャの外部で異常終了またはクラッシュした場合は、モジュールが再開してプロセスが再起動するまで、モジュール ステータスが Critical に変更され、ヘルス イベント メッセージが終了したプロセスを示します。
プロセス ステータス ヘルス モジュールの設定を構成する方法:
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[プロセス ステータス(Process Status)] を選択します。
[正常性ポリシーの設定 — プロセス ステータス(Health Policy Configuration — Process Status)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するアプライアンスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
検出のモニタリングの再設定の構成
検出モニタの再設定モジュールは、管理対象デバイスへのポリシー適用後に検出機能のステータスを確認するために使用します。ポリシーの適用に失敗して検出の機能が停止すると、モジュールはヘルス イベントでアラートを生成します。
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[検出の再設定(Reconfiguring Detection)] を選択します。
[正常性ポリシーの設定 — 検出の再設定(Health Policy Configuration — Reconfiguring Detection)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス アラートに対するモジュールの使用を有効にします。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するデバイスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
RRD サーバ プロセス モニタリングの設定
RRD サーバ プロセス モジュールは、時系列データを保存する RRD サーバが正常に動作しているかどうかを確認するために使用します。このモジュールは、RRD サーバが前回の更新以降に再起動した場合にアラートを出します。また、RRD サーバの再起動を伴う連続更新回数がモジュール設定で指定された数値に達した場合に Critical または Warning ステータスに遷移します。
RRD サーバ プロセス モニタリングの設定を構成する方法:
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[RRD サーバ プロセス(RRD Server Process)] を選択します。
[正常性ポリシーの設定 — RRD サーバ プロセス(Health Policy Configuration — RRD Server Process)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
手順 3 [重大:再始動回数(Critical Number of restarts)] フィールドに、重大ヘルス ステータスをトリガーする、RRD サーバ リセットの連続検出回数を入力します。
手順 4 [警告:再始動回数(Warning Number of restart)s] フィールドに、警告ヘルス ステータスをトリガーする、RRD サーバ リセットの連続検出回数を入力します。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するデバイスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
セキュリティ インテリジェンス モニタリングの設定
セキュリティ インテリジェンス モジュールは、セキュリティ インテリジェンス フィルタリングを伴うさまざまな状況で警告するために使用します。このモジュールは、セキュリティ インテリジェンスが使用中で次の場合にアラートを出します。
- Defense Center がフィードを更新できないか、フィード データが破損している、または認識可能な IP アドレスが含まれていない
- 管理対象デバイスが Defense Center から更新されたセキュリティ インテリジェンス データを受信できない
- 管理対象デバイスが、メモリ問題のために、Defense Center から提供されたすべてのセキュリティ インテリジェンス データをロードできない
ヒント セキュリティ インテリジェンス メモリ警告がヘルス モニタに表示された場合は、影響を受けるデバイスのアクセス コントロール ポリシーを再適用して、セキュリティ インテリジェンスに割り当てるメモリを増やすことができます。アクセス コントロール ポリシーの適用を参照してください。
セキュリティ インテリジェンス フィルタリングの詳細については、セキュリティ インテリジェンスの IP アドレス レピュテーションを使用したブラックリスト登録とセキュリティ インテリジェンス リストとフィードの操作を参照してください。
セキュリティ インテリジェンス モジュールの設定を構成する方法:
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[セキュリティ インテリジェンス(Security Intelligence)] を選択します。
[正常性ポリシーの設定 — セキュリティ インテリジェンス(Health Policy Configuration — Security Intelligence)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、セキュリティ インテリジェンス モニタリングに対するモジュールの使用を有効にします。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するデバイスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
時系列データ モニタリングの設定
時系列データ モニタ モジュールは、システムが保存した時系列データ(コンプライアンス イベントのリストなど)のステータスを監視するために使用します。このモジュールは、時系列データ ストレージ ディレクトリで破損ファイルをスキャンします。モジュールが破損したデータを検出すると、Warning ステータスに遷移し、影響を受けるすべてのファイルの名前を報告します。
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[時系列データ モニタ(Time Series Data Monitor)] を選択します。
[正常性ポリシーの設定 — 時系列データ モニタ(Health Policy Configuration — Time Series Data Monitor)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するデバイスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
時刻同期モニタリングの設定
時刻同期ステータス モジュールは、NTP を使用して NTP サーバから時刻を取得する管理対象デバイス上の時刻がサーバ上の時刻と 10 秒以上異なる時点を検出するために使用します。
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[時刻同期ステータス(Time Synchronization Status)] を選択します。
[正常性ポリシーの設定 — 時刻同期ステータス(Health Policy Configuration — Time Synchronization Status)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するデバイスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
URL フィルタリング モニタリングの設定
URL フィルタリング モニタ モジュールは、Defense Center と Cisco クラウド間の通信を追跡するために使用します。システムは、頻繁に訪問される URL に関する URL フィルタリング(カテゴリとレピュテーション)データを取得します。Defense Center がクラウドと正常に通信できない、または、クラウドから更新を取得できない場合、そのモジュールのステータス分類は Critical に変わります。
ハイ アベイラビリティ設定では、プライマリ Defense Center だけが URL フィルタリング クラウドと通信します。このモジュールからのすべてのデータはそのプライマリ アプライアンスのみを参照します。
URL フィルタリング モニタ モジュールは、Defense Center と URL フィルタリングが有効になっている管理対象デバイス間の通信も追跡します。Defense Center がクラウドと正常に通信している状態で、Defense Center が新しい URL フィルタリング データをその管理対象デバイスにプッシュできない場合、モジュール ステータスは Warning に変わります。
URL フィルタリング モニタ ヘルス モジュールの設定を構成する方法:
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[URL フィルタリング モニタ(URL Filtering Monitor)] を選択します。
[正常性ポリシーの設定 — URL フィルタリング モニタ(Health Policy Configuration — URL Filtering Monitor)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを Defense Center に適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
ユーザ エージェント ステータス モニタリングの設定
ユーザ エージェント ステータス モニタ ヘルス モジュールは、Defense Center に接続されているエージェントのハートビートをモニタするために使用できます。適用した正常性ポリシー内のモジュールを有効にすると、Defense Center が Defense Center 上で設定されているエージェントのハートビートを検出しない場合に、モジュールはヘルス アラートを生成します。
ユーザ エージェント ステータス モニタ ヘルス モジュールの設定を構成する方法:
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[ユーザ エージェント ステータス モニタ(User Agent Status Monitor)] を選択します。
[正常性ポリシーの設定 — ユーザ エージェント ステータス モニタ(Health Policy Configuration — User Agent Status Monitor)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーをDefense Centerに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
VPN ステータス モニタリングの設定
サポートされる防御センター: すべて(シリーズ 2 を除く)
VPN ステータス ヘルス モジュールは、設定したゲートウェイ VPN トンネルの現在のステータスをモニタするために使用します。個別のトンネルに関する情報が表示されます。このモジュールは、VPN トンネルのいずれかが動作していないときに、重大(赤色)ヘルス アラートを生成します。
VPN ステータス ヘルス モジュールの設定を構成する方法:
手順 1 [正常性ポリシーの設定(Health Policy Configuration)] ページで、[VPN ステータス(VPN Status)] をクリックします。
[正常性ポリシーの設定 — VPN ステータス(Health Policy Configuration — VPN Status)] ページが表示されます。
手順 2 [有効(Enabled)] オプションに対して [オン(On)] を選択して、ヘルス ステータス テストに対するモジュールの使用を有効にします。
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
設定を有効にするには、正常性ポリシーを該当するデバイスに適用する必要があります。詳細については、正常性ポリシーの適用を参照してください。
正常性ポリシーの適用
正常性ポリシーをアプライアンスに適用すると、ポリシー内で有効にしたすべてのモジュールのヘルス テストが、アプライアンス上のプロセスとハードウェアの正常性を自動的にモニタします。その後、ヘルス テストは、ポリシー内で設定された時間間隔で実行を続け、アプライアンスのヘルス データを収集し、そのデータを Defense Center に転送します。
正常性ポリシーでモジュールを有効にしてから、ヘルス テストが必要ないアプライアンスにポリシーを適用した場合、ヘルス モニタはそのヘルス モジュールのステータスを無効として報告します。
すべてのモジュールが無効になっているポリシーをアプライアンスに適用すると、適用されたすべての正常性ポリシーがアプライアンスから削除されるため、どの正常性ポリシーも適用されません。
すでにポリシーが適用されているアプライアンスに別のポリシーを適用した場合は、新しく適用されたテストに基づく新しいデータの表示が少し遅れる可能性があります。
(注) ハイ アベイラビリティ ペア内の Defense Center 上で作成されたカスタム正常性ポリシーは両方のアプライアンス間で複製されます。ただし、デフォルト正常性ポリシーに対する変更は複製されません。各アプライアンスは、それ用に設定されたローカルのデフォルト正常性ポリシーを使用します。
手順 1 [ヘルス(Health)] > [正常性ポリシー(Health Policy)] の順に選択します。
[正常性ポリシー(Health Policy)] ページが表示されます。
手順 2 適用するポリシーの横にある適用アイコン(
)をクリックします。
[正常性ポリシーの適用(Health Policy Apply)] ページが表示されます。
ヒント [正常性ポリシー(Health Policy)] 列の横にあるステータス アイコン(
)は、アプライアンスの現在のヘルス ステータスを示します。
手順 3 正常性ポリシーを適用するアプライアンスを選択します。
手順 4 [適用(Apply)] をクリックして、選択したアプライアンスにポリシーを適用します。
[正常性ポリシー(Health Policy)] ページが開いて、ポリシーの適用が成功したかどうかを示すメッセージが表示されます。アプライアンスのモニタリングは、ポリシーが正常に適用された直後に開始されます。
正常性ポリシーの編集
モジュールを有効または無効にするか、モジュール設定を変更することによって、正常性ポリシーを変更できます。すでにアプライアンスに適用されているポリシーを変更すると、その変更はポリシーを再適用するまで有効になりません。
さまざまなアプライアンスに適用可能なヘルス モデルを次の表に列挙します。
|
|
|
|---|---|
手順 1 [ヘルス(Health)] > [正常性ポリシー(Health Policy)] の順に選択します。
[正常性ポリシー(Health Policy)] ページが表示されます。
手順 2 変更するポリシーの横にある編集アイコン(
)をクリックします。
[ポリシー実行時間間隔(Policy Run Time Interval)] 設定が選択された状態で [正常性ポリシーの設定(Health Policy Configuration)] ページが表示されます。
手順 3 必要に応じて、次の項の説明に従って、設定を変更します。
- ポリシー実行時間間隔の設定
- 高度なマルウェア防御モニタリングの設定
- アプライアンス ハートビート モニタリングの設定
- 自動アプリケーション バイパス モニタリングの設定
- CPU 使用率モニタリングの設定
- カード リセット モニタリングの設定
- ディスク ステータス モニタリングの設定
- ディスク使用率モニタリングの設定
- ステータス モニタリングFireAMPの設定
- FireSIGHT ホスト使用量モニタリングの設定
- ハードウェア アラーム モニタリングの設定
- ヘルス ステータス モニタリングの設定
- インライン リンク不一致アラーム モニタリングの設定
- インターフェイス ステータス モニタリングの設定
- 侵入イベント レート モニタリングの設定
- ライセンス モニタリングについて
- リンク ステート伝達モニタリングの設定
- メモリ使用率モニタリングの設定
- 電源モニタリングの設定
- プロセス ステータス モニタリングの設定
- 検出のモニタリングの再設定の構成
- RRD サーバ プロセス モニタリングの設定
- セキュリティ インテリジェンス モニタリングの設定
- 時系列データ モニタリングの設定
- 時刻同期モニタリングの設定
- URL フィルタリング モニタリングの設定
- ユーザ エージェント ステータス モニタリングの設定
- VPN ステータス モニタリングの設定
- このモジュールに対する変更を保存して、[正常性ポリシー(Health Policy)] ページに戻るには、[ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
- このモジュールの設定を保存せずに、[正常性ポリシー(Health Policy)] ページに戻るには、[キャンセル(Cancel)] をクリックします。
- このモジュールに対する変更を一時的に保存して、変更する他のモジュールの設定に切り替えるには、ページの左側にあるリストから他のモジュールを選択します。設定が終わって [ポリシーを保存して終了(Save Policy and Exit)] をクリックすると、加えたすべての変更が保存されます。[キャンセル(Cancel)] をクリックすると、すべての変更が破棄されます。
手順 5 正常性ポリシーの適用の説明に従って、該当するアプライアンスにポリシーを再適用します。
正常性ポリシーの比較
ポリシーの変更が組織の標準に準拠していることを確認する、または、ヘルス モニタリングのパフォーマンスを最適化するため、2 つの正常性ポリシー間の違いを調査することができます。アクセス可能な正常性ポリシーの場合、2 つの正常性ポリシーまたは同じ正常性ポリシーの 2 つのリビジョンを比較できます。アクティブな正常性ポリシーを他の正常性ポリシーとすばやく比較するには、[実行設定(Running Configuration)] オプションを選択できます。比較した後に、必要に応じて、2 つのポリシーまたはポリシー リビジョン間の違いを記録した PDF レポートを生成できます。
正常性ポリシーまたは正常性ポリシー リビジョンを比較するための 2 つのツールが用意されています。
これを使用して、Web インターフェイスで相違点を強調表示したまま、両方のポリシーのリビジョンを表示し移動することができます。
正常性ポリシー比較ビューの使用
比較ビューは、両方の正常性ポリシーまたはポリシー リビジョンを横並び形式で表示します。各ポリシーまたはポリシー リビジョンは、比較ビューの左右のタイトル バーに表示される名前で見分けます。最終変更時刻と最終変更ユーザがポリシー名の右側に表示されます。[正常性ポリシー(Health Policy)] ページにはポリシーが最後に変更された時刻が現地時間で表示されますが、正常性ポリシー レポートでは変更時刻が UTC で表示されることに注意してください。
2 つの正常性ポリシーまたはポリシー リビジョン間の違いが強調表示されます。
- 青色は強調表示された設定が 2 つのポリシーまたはポリシー リビジョンで違うことを意味します。違いは赤色のテキストで表示されます。
- 緑色は強調表示された設定が一方のポリシーまたはポリシー リビジョンだけにあるが、他方にないことを意味します。
|
|
|
|---|---|
タイトル バーの上にある [前へ(Previous)] または [次へ(Next)] をクリックします。 左側と右側の間にある二重矢印アイコン( |
|
[新しい比較(New Comparison)] をクリックします。 [比較の選択(Select Comparison)] ウィンドウが表示されます。詳細については、正常性ポリシー比較レポートの使用を参照してください。 |
|
)が移動し、表示している違いを示す [差異(Difference)] 番号が変わります。正常性ポリシー比較レポートの使用
正常性ポリシー比較レポートは、正常性ポリシー比較ビューで特定された 2 つ正常性ポリシー間または同じ正常性ポリシーの 2 つのリビジョン間のすべての違いの記録を、PDF として提供するものです。このレポートは、2 つの正常性ポリシー設定間の違いをさらに調査し、その結果を保存して共有するために使用できます。
正常性ポリシー比較レポートは、アクセス可能な任意の正常性ポリシーの比較ビューから生成できます。正常性ポリシー レポートを生成する前に、未確定の変更をコミットするのを忘れないでください。コミットされた変更だけがレポートに表示されます。
設定に応じて、正常性ポリシー比較レポートに 1 つ以上のセクションを含めることができます。それぞれのセクションで、同じ形式が使用され、同じレベルの詳細が提供されます。[値 A(Value A)] 列と [値 B(Value B)] 列は、比較ビューで設定したポリシーまたはポリシーのリビジョンであることに注意してください。
ヒント 同様の手順を使用して、SSL ポリシー、ネットワーク分析ポリシー、侵入ポリシー、ファイル ポリシー、システム ポリシー、またはアクセス コントロール ポリシーを比較できます。
2 つの正常性ポリシーまたは同じポリシーの 2 つのリビジョンを比較する方法:
手順 1 [ヘルス(Health)] > [正常性ポリシー(Health Policy)] の順に選択します。
[正常性ポリシー(Health Policy)] ページが表示されます。
手順 2 [ポリシーの比較(Compare Policies)] をクリックします。
[比較の選択(Select Comparison)] ウィンドウが表示されます。
手順 3 [比較対象(Compare Against)] ドロップダウン リストから、比較するタイプを次のように選択します。
正常性ポリシー レポートを生成する前に、変更をコミットするのを忘れないでください。コミットされた変更だけがレポートに表示されます。
手順 4 選択した比較タイプに応じて、次のような選択肢があります。
- 2 つの異なるポリシーを比較する場合は、[ポリシー A(Policy A)] と [ポリシー B(Policy B)] ドロップダウンリストから比較するポリシーを選択します。
- 同じポリシーの 2 つのリビジョンを比較する場合は、[ポリシー(Policy)] ドロップダウンリストからポリシーを選択してから、[リビジョン A(Revision A)] と [リビジョン B(Revision B)] ドロップダウンリストから比較するリビジョンを選択します。
- 現在実行されている設定を別のポリシーと比較する場合は、[ポリシー B(Policy B)] ドロップダウンリストから 2 つ目のポリシーを選択します。
手順 5 正常性ポリシー比較ビューを表示するには、[OK] をクリックします。
手順 6 正常性ポリシー比較レポートを生成するには、[比較レポート(Comparison Report)] をクリックします。
正常性ポリシー レポートが表示されます。ブラウザの設定によっては、レポートがポップアップ ウィンドウで表示されるか、コンピュータにレポートを保存するようにプロンプトが出されることがあります。
正常性ポリシーの削除
不要になった正常性ポリシーを削除できます。アプライアンスに適用されているポリシーを削除した場合は、別のポリシーを適用するまでそのポリシー設定が有効のままになります。加えて、デバイスに適用されている正常性ポリシーを削除した場合、元となる関連アラート応答を無効にするまでは、そのデバイスに対して有効になっているヘルス モニタリング アラートがアクティブなままになります。アラート応答の有効化と無効化を参照してください。
ヒント アプライアンスのヘルス モニタリングを停止するには、すべてのモジュールが無効になっている正常性ポリシーを作成し、それをアプライアンスに適用します。正常性ポリシーの作成方法については、正常性ポリシーの作成を参照してください。正常性ポリシーの適用方法については、正常性ポリシーの適用を参照してください。
手順 1 [ヘルス(Health)] > [正常性ポリシー(Health Policy)] の順に選択します。
[正常性ポリシー(Health Policy)] ページが表示されます。
手順 2 削除するポリシーの横にある削除アイコン(
)をクリックします。
ヘルス モニタ ブラックリストの使用
通常のネットワーク メンテナンスの一環として、アプライアンスを無効にしたり、一時的に使用不能にしたりすることがあります。このような機能停止は意図したものであり、アプライアンスからのヘルス ステータスに Defense Center または 上のサマリ ヘルス ステータスを反映させる必要がありません。
ヘルス モニタ ブラックリスト機能を使用して、アプライアンスまたはモジュールに関するヘルス モニタリング ステータス レポートを無効にすることができます。たとえば、ネットワークのあるセグメントが使用できなくなることがわかっている場合は、そのセグメント上の管理対象デバイスのヘルス モニタリングを一時的に無効にして、Defense Center 上のヘルス ステータスにデバイスへの接続がダウンしたことによる警告状態または重大状態が表示されないようにできます。
ヘルス モニタリング ステータスを無効にしても、ヘルス イベントは生成されますが、そのステータスが無効になっているため、ヘルス モニタのヘルス ステータスには影響しません。ブラックリストからアプライアンスまたはモジュールを削除しても、ブラックリストに登録中に生成されたイベントのステータスは Disabled のままです。
アプライアンスからのヘルス イベントを一時的に無効にするには、ブラックリスト設定ページに移動して、アプライアンスをブラックリストに追加します。設定が有効になると、システムは全体のヘルス ステータスを計算するときにブラックリストに登録されているアプライアンスを含めません。[ヘルス モニタ アプライアンス ステータスのサマリ(Health Monitor Appliance Status Summary)] にはこのアプライアンスが Disabled としてリストされます。
アプライアンス上の個別のヘルス モニタリング モジュールをブラックリストに登録する方が実用的な場合があります。たとえば、アプライアンス上の FireSIGHT ホスト ライセンスを使い果たした場合は、FireSIGHT ホスト ライセンス制限ステータス メッセージをブラックリストに登録できます。
メインの [ヘルス モニタ(Health Monitor)] ページで、ステータス行内の矢印をクリックして特定のステータスを持つアプライアンスのリストを展開表示すれば、ブラックリストに登録されたアプライアンスを区別できることに注意してください。このビューの展開方法については、ヘルス モニタの使用を参照してください。
ブラックリストに登録されたアプライアンスまたは部分的にブラックリストに登録されたアプライアンスのビューを展開すると、ブラックリスト アイコン(
)と注記が表示されます。
(注) Defense Center では、ヘルス モニタのブラックリスト設定はローカル コンフィギュレーション設定です。そのため、Defense Center 上でデバイスをブラックリストに登録してから削除しても、後で再登録すれば、ブラックリスト設定は元どおりになります。新たに再登録したデバイスはブラックリストに登録されたままです。
正常性ポリシーまたはアプライアンスのブラックリストへの登録
特定の正常性ポリシーが適用されたすべてのアプライアンスに対するヘルス イベントを無効に設定する場合、そのポリシーをブラックリストに登録できます。アプライアンス グループのヘルス モニタリングの結果を無効にする必要がある場合、そのアプライアンス グループをブラックリストに登録できます。ブラックリスト設定が有効になると、[ヘルス モニタ アプライアンス モジュールのサマリ(Health Monitor Appliance Module Summary)] と [デバイス管理(Device Management)] ページでアプライアンスが Disabled として表示されます。アプライアンスのヘルス イベントのステータスは Disabled です。
Defense Center がハイ アベイラビリティ設定の場合は、一方のハイ アベイラビリティ ピア上の管理対象デバイスだけをブラックリストに登録できることに注意してください。ハイ アベイラビリティ ピアをブラックリストに登録することによって、それが生成したイベントとそれがヘルス イベントを受け取ったデバイスを Disabled としてマークすることもできます。ハイ アベイラビリティ ペア内の Defense Center には、ピアを完全にまたは部分的にブラックリストに登録するためのオプションがあります。
正常性ポリシー全体またはアプライアンスのグループをブラックリストに登録する方法:
手順 1 [ヘルス(Health)] > [ブラックリスト(Blacklist)] の順に選択します。
[ブラックリスト(Blacklist)] ページが表示されます。
手順 2 右側にあるドロップダウン リストを使用して、リストをグループ、ポリシー、またはモデルでソートします。(Defense Center 上のグループは管理対象デバイスです。)
全部ではなく一部のヘルス モジュールがブラックリストに登録されたアプライアンスは [(部分的にブラックリストに登録)((Partially Blacklisted))] として表示されることに注意してください。メインのブラックリスト ページでブラックリスト ステータスを編集する場合、アプライアンス上のすべてのモジュールをブラックリストに登録するか、すべてのブラックリスト登録を削除するかのいずれかを行えます。アプライアンス上の個別のヘルス モジュールをブラックリストに登録する方法については、個別の正常性ポリシー モジュールのブラックリストへの登録を参照してください。
ヒント [正常性ポリシー(Health Policy)] 列の横にあるステータス アイコン()は、アプライアンスの現在のヘルス ステータスを示します。[システム ポリシー(System Policy)] 列の横にあるステータス アイコン()は、Defense Center とデバイス間の通信ステータスを示します。
ページが更新して、アプライアンスの新しいブラックリスト登録状態が表示されます。
個別のアプライアンスのブラックリストへの登録
個別のアプライアンスのイベントとヘルス ステータスを Disabled に設定する必要がある場合、アプライアンスをブラックリストに登録できます。ブラックリスト設定が有効になると、アプライアンスが [ヘルス モニタ アプライアンス モジュールのサマリ(Health Monitor Appliance Module Summary)] に Disabled として表示され、アプライアンスのヘルス イベントのステータスが Disabled になります。
手順 1 [ヘルス(Health)] > [ブラックリスト(Blacklist)] の順に選択します。
[ブラックリスト(Blacklist)] ページが表示されます。
手順 2 アプライアンス グループ、モデル、またはポリシーでリストをソートするには、右側にあるドロップダウン リストを使用します。
ページが更新されて、アプライアンスの新しいブラックリスト登録状態が表示されます。個別の正常性ポリシー モジュールをブラックリストに登録するには、[編集(Edit)] をクリックして、個別の正常性ポリシー モジュールのブラックリストへの登録を参照してください。
個別の正常性ポリシー モジュールのブラックリストへの登録
アプライアンス上の個別の正常性ポリシー モジュールをブラックリストに登録できます。この操作により、モジュールからのイベントによってアプライアンスのステータスが Warning または Critical に変更されないようにすることができます。
モジュールの一部がブラックリストに登録されている場合、そのモジュールの行は Defense Center Web インターフェイスにボールド体で表示されます。
ヒント ブラックリスト設定が有効になると、アプライアンスが [ブラックリスト(Blacklist)] ページと [ヘルス モニタ アプライアンス モジュールのサマリ(Health Monitor Appliance Module Summary)] で [部分的にブラックリストに登録(Partially Blacklisted)] または [すべてのモジュールがブラックリストに登録(All Modules Blacklisted)] として表示されますが、メインの [アプライアンス ステータス サマリ(Appliance Status Summary)] ページでは展開されたビューにだけ表示されます。個別にブラックリストに登録したモジュールを追跡して、必要に応じてそれらを再アクティブ化できるようにしてください。誤ってモジュールを無効にすると、必要な警告または重大メッセージを見逃す可能性があります。
個別の正常性ポリシー モジュールをブラックリストに登録する方法:
手順 1 [ヘルス(Health)] > [ブラックリスト(Blacklist)] の順に選択します。
[ブラックリスト(Blacklist)] ページが表示されます。
手順 2 グループ、ポリシー、またはモデルでソートしてから、[編集(Edit)] をクリックして、アプライアンスの正常性ポリシー モジュールのリストを表示します。
ヘルス モニタ アラートの設定
正常性ポリシー内のモジュールのステータスが変更された場合に電子メール、SNMP、またはシステム ログ経由で通知するアラートをセットアップできます。特定のレベルのヘルス イベントが発生したときにトリガーされ警告されるヘルス イベント レベルと、既存のアラート応答を関連付けることができます。
たとえば、アプライアンスがハード ディスク スペースを使い果たす可能性を懸念している場合は、残りのディスク スペースが警告レベルに達したときに自動的に電子メールをシステム管理者に送信できます。ハード ドライブがさらにいっぱいになる場合、ハード ドライブが重大レベルに達したときに 2 つ目の電子メールを送信できます。
ヘルス モニタ アラートの作成
ヘルス モニタ アラートを作成するときに、重大度レベル、ヘルス モジュール、およびアラート応答の関連付けを作成します。既存のアラートを使用することも、新しいアラートをシステム ヘルスの報告専用に設定することもできます。選択したモジュールが重大度レベルに達すると、アラートがトリガーされます。
既存のしきい値と重複するようにしきい値を作成または更新すると、競合が通知されることに注意してください。重複したしきい値が存在する場合、ヘルス モニタは最も少ないアラートを生成するしきい値を使用し、その他のしきい値を無視します。しきい値のタイムアウト値は、5 ~ 4,294,967,295 分の間にする必要があります。
手順 1 [ヘルス(Health)] > [ヘルス モニタ アラート(Health Monitor Alerts)] の順に選択します。
[ヘルス モニタ アラート(Health Monitor Alerts)] ページが表示されます。
手順 2 [ヘルス アラート名(Health Alert Name)] フィールドに、ヘルス アラートの名前を入力します。
手順 3 [重大度(Severity)] リストから、アラートをトリガーする重大度レベルを選択します。
手順 4 [モジュール(Module)] リストから、アラートを適用するモジュールを選択します。
ヒント 複数のモジュールを選択するには、Ctrl + Shift キーを押しながら、モジュール名をクリックします。
手順 5 [アラート(Alert)] リストから、選択した重大度レベルに達したときにトリガーするアラート応答を選択します。
ヒント [アラート(Alerts)] をクリックして、[アラート(Alerts)] ページを開きます。アラートの作成方法については、アラート応答の使用を参照してください。
手順 6 オプションで、[しきい値タイムアウト(Threshold Timeout)] フィールドに、それぞれのしきい値期間が終了してしきい値がリセットされるまでの分数を入力します。デフォルト値は 5 分です。
ポリシー実行時間間隔の値がしきい値タイムアウトの値より小さい場合でも、特定のモジュールから報告される 2 つのヘルス イベントの時間間隔の方が常に大きくなります。したがって、しきい値タイムアウトが 8 分で、ポリシー実行時間間隔が 5 分の場合、報告されるイベントの時間間隔は 10 分(5 X 2)です。
手順 7 [保存(Save)] をクリックして、ヘルス アラートを保存します。
アラート設定が正常に保存されたかどうかを示すメッセージが表示されます。これで、作成したアラートが [アクティブなヘルス アラート(Active Health Alerts)] リストに表示されます。
ヘルス モニタ アラートの解釈
ヘルス モニタによって生成されるアラートには次の情報が含まれます。
- アラートの重大度レベルを示す [重大度(Severity)]。
- そのテスト結果によってアラートがトリガーされたヘルス モジュールを示す [モジュール(Module)]。
- アラートをトリガーしたヘルス テスト結果を含む [説明(Description)]。
ヘルス アラートの重大度レベルの詳細については、次の表を参照してください。
|
|
|
|---|---|
ヘルス テスト結果が Critical または Warning アラート ステータスから Normal アラート ステータスに戻るための基準を満たしました。 |
ヘルス モジュールの詳細については、ヘルス モジュールについてを参照してください。
ヘルス モニタ アラートの編集
既存のヘルス モニタ アラートを編集して、ヘルス モニタ アラートに関連付けられた重大度レベル、ヘルス モジュール、またはアラート応答を変更できます。
手順 1 [ヘルス(Health)] > [ヘルス モニタ アラート(Health Monitor Alerts)] の順に選択します。
[ヘルス モニタ アラート(Health Monitor Alerts)] ページが表示されます。
手順 2 [アクティブなヘルス アラート(Active Health Alerts)] リストで、変更するアラートを選択します。
手順 3 [ロード(Load)] をクリックして、選択したアラートの構成済みの設定をロードします。
手順 4 必要に応じて設定を変更します。詳細については、ヘルス モニタ アラートの作成を参照してください。
手順 5 [保存(Save)] をクリックして、変更したヘルス アラートを保存します。
アラート設定が正常に保存されたかどうかを示すメッセージが表示されます。
ヘルス モニタ アラートの削除
(注) ヘルス モニタ アラートを削除しても、関連するアラート応答は削除されません。アラートが継続しないようにするには、元になるアラート応答を無効にするか削除する必要があります。詳細については、アラート応答の有効化と無効化およびアラート応答の削除を参照してください。
手順 1 [ヘルス(Health)] > [ヘルス モニタ アラート(Health Monitor Alerts)] の順に選択します。
[ヘルス モニタ アラート(Health Monitor Alerts)] ページが表示されます。
手順 2 [アクティブなヘルス アラート(Active Health Alerts)] リストで、削除するアラートを選択します。
アラート設定が正常に削除されたかどうかを示すメッセージが表示されます。
ヘルス モニタの使用
[ヘルス モニタ(Health Monitor)] ページには、Defense Center によって管理されているすべてのデバイスに加えて、Defense Center に関して収集されたヘルス ステータスが表示されます。[ステータス(Status)] テーブルには、この Defense Center の管理対象アプライアンスの台数が全体のヘルス ステータス別に表示されます。円グラフは、各ヘルス ステータス カテゴリに含まれているアプライアンスのパーセンテージを示すヘルス ステータス内訳の別のビューを提供します。
アクセス: Admin/Maint/Any Security Analyst
手順 1 [ヘルス(Health)] > [ヘルス モニタ(Health Monitor)] の順にクリックします。
[ヘルス モニタ(Health Monitor)] ページが表示されます。
手順 2 テーブルの [ステータス(Status)] 列内の該当するステータスまたは円グラフの該当する部分を選択して、そのステータスを持つアプライアンスをリストします。
ヒント ステータス レベルに関する行内の矢印が下向きの場合は、そのステータスのアプライアンス リストが下側のテーブルに表示されます。矢印が右向きの場合、アプライアンス リストは非表示です。
以降のトピックで、[ヘルス モニタ(Health Monitor)] ページから実行可能な作業について詳しく説明します。
ヘルス モニタ ステータスの解釈
次の表に示すように、重大度別に使用可能なステータス カテゴリには、Error、Critical、Warning、Normal、Recovered、および Disabled が含まれます。
アプライアンス ヘルス モニタの使用
アプライアンス ヘルス モニタは、アプライアンスのヘルス ステータスの詳細ビューを提供します。
(注) 通常は、非活動状態が 1 時間(または設定された他の時間間隔)続くと、ユーザはセッションからログアウトされます。ヘルス モニタを長期間受動的にモニタする予定の場合は、一部のユーザのセッション タイムアウトの免除、またはシステム タイムアウト設定の変更を検討してください。詳細については、ユーザ ログイン設定の管理およびユーザ インターフェイスの設定を参照してください。
アクセス: Admin/Maint/Any Security Analyst
手順 1 [ヘルス(Health)] > [ヘルス モニタ(Health Monitor)] の順に選択します。
[ヘルス モニタ(Health Monitor)] ページが表示されます。
手順 2 特定のステータスを持つアプライアンスのリストを表示するには、そのステータス行内の矢印をクリックします。
ヒント ステータス レベルに関する行内の矢印が下向きの場合は、そのステータスのアプライアンス リストが下側のテーブルに表示されます。矢印が右向きの場合、アプライアンス リストは非表示です。
手順 3 アプライアンス リストの [アプライアンス(Appliance)] 列で、ヘルス モニタ ツールバーで詳細を表示するアプライアンスの名前をクリックします。
[ヘルス モニタ アプライアンス(Health Monitor Appliance)] ページが表示されます。
手順 4 オプションで、[モジュール ステータス サマリ(Module Status Summary)] グラフで、表示するイベント ステータス カテゴリの色をクリックします。[アラートの詳細(Alert Detail)] リストは表示を切り替えてイベントを表示または非表示にします。
ステータス別のアラートの表示
ステータス別にアラートのカテゴリを表示または非表示にできます。
アクセス: Admin/Maint/Any Security Analyst
手順 1 表示するアラートのヘルス ステータスに対応するステータス アイコンまたは円グラフの色セグメントをクリックします。そのカテゴリのアラートが [アラートの詳細(Alert Detail)] リストに表示されます。
アクセス: Admin/Maint/Any Security Analyst
手順 1 表示するアラートのヘルス ステータスに対応するステータス アイコンまたは円グラフの色セグメントをクリックします。そのカテゴリの [アラートの詳細(Alert Detail)] リスト内のアラートが非表示になります。
アプライアンスのすべてのモジュールの実行
ヘルス モジュール テストは、正常性ポリシー作成時に設定されたポリシー実行時間間隔で自動的に実行されます。ただし、アプライアンスの最新のヘルス情報を収集するためにすべてのヘルス モジュール テストをオンデマンドで実行することもできます。
アクセス: Admin/Maint/Any Security Analyst
手順 1 [ヘルス(Health)] > [ヘルス モニタ(Health Monitor)] の順に選択します。
[ヘルス モニタ(Health Monitor)] ページが表示されます。
手順 2 アプライアンス リストを展開して特定のステータスのアプライアンスを表示するには、そのステータス行内の矢印をクリックします。
ヒント ステータス レベルに関する行内の矢印が下向きの場合は、そのステータスのアプライアンス リストが下側のテーブルに表示されます。矢印が右向きの場合、アプライアンス リストは非表示です。
手順 3 アプライアンス リストの [アプライアンス(Appliance)] 列で、詳細を表示するアプライアンスの名前をクリックします。
[ヘルス モニタ アプライアンス(Health Monitor Appliance)] ページが表示されます。
手順 4 [すべてのモジュールを実行(Run All Modules)] をクリックします。
ステータス バーにテストの進捗状況が表示されてから、[ヘルス モニタ アプライアンス(Health Monitor Appliance)] ページが更新されます。
(注) ヘルス モジュールを手動で実行した場合は、自動的に発生する最初の更新に、手動で実行されたテストの結果が反映されない可能性があります。手動で実行したばかりのモジュールの値が変更されていない場合は、数秒待ってから、デバイス名をクリックしてページを更新します。ページが再び自動的に更新するのを待つこともできます。
特定のヘルス モジュールの実行
ヘルス モジュール テストは、正常性ポリシー作成時に設定されたポリシー実行時間間隔で自動的に実行されます。ただし、そのモジュールの最新のヘルス情報を収集するためにヘルス モジュール テストをオンデマンドで実行することもできます。
アクセス: Admin/Maint/Any Security Analyst
手順 1 [ヘルス(Health)] > [ヘルス モニタ(Health Monitor)] の順に選択します。
[ヘルス モニタ(Health Monitor)] ページが表示されます。
手順 2 アプライアンス リストを展開して特定のステータスのアプライアンスを表示するには、そのステータス行内の矢印をクリックします。
ヒント ステータス レベルに関する行内の矢印が下向きの場合は、そのステータスのアプライアンス リストが下側のテーブルに表示されます。矢印が右向きの場合、アプライアンス リストは非表示です。
手順 3 アプライアンス リストの [アプライアンス(Appliance)] 列で、詳細を表示するアプライアンスの名前をクリックします。
[ヘルス モニタ アプライアンス(Health Monitor Appliance)] ページが表示されます。
手順 4 [ヘルス モニタ アプライアンス(Health Monitor Appliance)] ページの [モジュール ステータス サマリ(Module Status Summary)] グラフで、表示するヘルス アラート ステータス カテゴリの色をクリックします。
[アラートの詳細(Alert Detail)] リストが展開して、そのステータス カテゴリの選択されたアプライアンスのヘルス アラートがリストされます。
手順 5 イベントのリストを表示するアラートの [アラートの詳細(Alert Detail)] 行で、[実行(Run)] をクリックします。
ステータス バーにテストの進捗状況が表示されてから、[ヘルス モニタ アプライアンス(Health Monitor Appliance)] ページが更新されます。
(注) ヘルス モジュールを手動で実行した場合は、自動的に発生する最初の更新に、手動で実行されたテストの結果が反映されない可能性があります。手動で実行したばかりのモジュールの値が変更されていない場合は、数秒待ってから、デバイス名をクリックしてページを更新します。ページが再び自動的に更新するのを待つこともできます。
ヘルス モジュール アラート グラフの生成
特定のアプライアンスの特定のヘルス テストの一定期間に及ぶ結果をグラフ化できます。
アクセス: Admin/Maint/Any Security Analyst
手順 1 [ヘルス(Health)] > [ヘルス モニタ(Health Monitor)] の順に選択します。
[ヘルス モニタ(Health Monitor)] ページが表示されます。
手順 2 アプライアンス リストを展開して特定のステータスのアプライアンスを表示するには、そのステータス行内の矢印をクリックします。
ヒント ステータス レベルに関する行内の矢印が下向きの場合は、そのステータスのアプライアンス リストが下側のテーブルに表示されます。矢印が右向きの場合、アプライアンス リストは非表示です。
手順 3 アプライアンス リストの [アプライアンス(Appliance)] 列で、詳細を表示するアプライアンスの名前をクリックします。
[ヘルス モニタ アプライアンス(Health Monitor Appliance)] ページが表示されます。
手順 4 [ヘルス モニタ アプライアンス(Health Monitor Appliance)] ページの [モジュール ステータス サマリ(Module Status Summary)] グラフで、表示するヘルス アラート ステータス カテゴリの色をクリックします。
[アラートの詳細(Alert Detail)] リストが展開して、そのステータス カテゴリの選択されたアプライアンスのヘルス アラートがリストされます。
手順 5 イベントのリストを表示するアラートの [アラートの詳細(Alert Detail)] 行で、[グラフ(Graph)] をクリックします。
一定期間のイベントのステータスを示すグラフが表示されます。グラフの下の [アラートの詳細(Alert Detail)] セクションに、選択したアプライアンスのすべてのヘルス アラートがリストされます。
ヒント イベントが 1 つも表示されない場合は、時間範囲を調整することを考慮してください。詳細については、イベント時間の制約の設定を参照してください。
ヘルス モニタを使用したトラブルシューティング
アプライアンスで問題が発生したときに、問題の診断に役立つように、サポートからトラブルシューティング ファイルを生成するように依頼されることがあります。次の表に示すオプションのいずれかを選択して、ヘルス モニタから報告されるトラブルシューティング データをカスタマイズすることができます。
|
|
|
|---|---|
検知、認識、VDB データ、およびログ(Discovery, Awareness, VDB Data, and Logs) |
|
一部のオプションは報告対象のデータの点で重複していますが、トラブルシューティング ファイルには、オプションの選択に関係なく冗長コピーは含まれません。
アプライアンス トラブルシューティング ファイルの生成
次の手順を使用して、サポートに送信できる、カスタマイズされたトラブルシューティング ファイルを生成できます。
(注) ハイ アベイラビリティ設定では、セカンダリ Defense Center のトラブルシューティング ファイルを生成するためにプライマリ Defense Center を使用することはできず、その逆も同様です。独自の Web インターフェイスから Defense Center のトラブルシューティング ファイルを生成する必要があります。
トラブルシューティング ファイルを生成するには、次の手順を実行します。
アクセス: Admin/Maint/Any Security Analyst
手順 1 [ヘルス(Health)] > [ヘルス モニタ(Health Monitor)] の順に選択します。
[ヘルス モニタ(Health Monitor)] ページが表示されます。
手順 2 アプライアンス リストを展開して特定のステータスのアプライアンスを表示するには、そのステータス行内の矢印をクリックします。
ヒント ステータス レベルに関する行内の矢印が下向きの場合は、そのステータスのアプライアンス リストが下側のテーブルに表示されます。矢印が右向きの場合、アプライアンス リストは非表示です。
手順 3 アプライアンス リストの [アプライアンス(Appliance)] 列で、詳細を表示するアプライアンスの名前をクリックします。
[ヘルス モニタ アプライアンス(Health Monitor Appliance)] ページが表示されます。
手順 4 [トラブルシューティング ファイルの生成(Generate Troubleshooting Files)] をクリックします。
[トラブルシューティング オプション(Troubleshooting Options)] ポップアップ ウィンドウが表示されます。
手順 5 [全データ(All Data)] を選択して入手可能なすべてのトラブルシューティング データを生成することも、個別のチェック ボックスをオンにしてレポートをカスタマイズすることもできます。詳細については、 選択可能なトラブルシュート オプション の表を参照してください。
Defense Center がトラブルシューティング ファイルを生成します。タスク キュー([システム(System)] > [モニタ(Monitoring)] > [タスク ステータス(Task Status)])でファイル生成プロセスをモニタできます。
手順 7 次の項(トラブルシューティング ファイルのダウンロード)の手順に進みます。
トラブルシューティング ファイルのダウンロード
次の手順を使用して、生成されたトラブルシューティング ファイルのコピーをダウンロードします。
トラブルシューティング ファイルをダウンロードする方法には、次の手順を実行します。
アクセス: Admin/Maint/Any Security Analyst
手順 1 [システム(System)] > [モニタ(Monitoring)] > [タスク ステータス(Task Status)] の順にクリックします。
[タスク ステータス(Task Status)] ページが表示されます。
手順 2 生成されたトラブルシューティング ファイルに対応するタスクを探します。
手順 3 アプライアンスがトラブルシューティング ファイルを生成し、タスク ステータスが [完了(Completed)] に変ったら、[クリックして生成されたファイルを取得(Click to retrieve generated files)] をクリックします。
手順 4 ブラウザのプロンプトに従ってファイルをダウンロードします。
ファイルは単一の .tar.gz ファイルとしてダウンロードされます。
手順 5 サポートの指示に従って、トラブルシューティング ファイルをCiscoに送信してください。
ヘルス イベントの操作
Defense Center には、ヘルス モニタによって収集されたヘルス ステータス イベントを迅速かつ容易に分析するための完全にカスタマイズ可能なイベント ビューがあります。このイベント ビューでは、イベント データを検索して表示したり、調査中のイベントに関係する他の情報に簡単にアクセスしたりできます。
ヘルス イベント ビュー ページで実行可能なさまざまな機能がすべてのイベント ビュー ページで一貫しています。これらの一般的な手順の詳細については、ヘルス イベント ビューについてを参照してください。
[ヘルス(Health)] > [ヘルス イベント(Health Events)] メニュー オプションで、ヘルス イベントを表示したり、特定のイベントを検索したりできます。
- ヘルス イベント ビューについてでは、FireSIGHT が生成するイベントの種類について説明します。
- ヘルス イベントの表示では、[イベント ビュー(Event View)] ページへのアクセス方法と使用方法について説明します。
- ヘルス イベントの検索では、[イベント検索(Event Search)] ページを使用して特定のイベントを検索する方法について説明します。
ヘルス イベント ビューについて
Defense Center ヘルス モニタはヘルス イベントを記録し、記録されたヘルス イベントは [ヘルス イベント ビュー(Health Event View)] ページで表示できます。ヘルス モジュールごとにテストされる条件を理解していれば、ヘルス イベントに対するアラートをより効率的に設定できます。ヘルス イベントを生成するヘルス モジュールのタイプの詳細については、ヘルス モジュールについてを参照してください。
ヘルス イベントの表示
すべてのステータス イベントの表示
[ヘルス イベントのテーブル ビュー(Table View of Health Events)] ページには、選択したアプライアンス上のすべてのヘルス イベントのリストが表示されます。このページに表示されるイベントを生成したヘルス モジュールについては、ヘルス モジュールについてを参照してください。
Defense Center 上の [ヘルス モニタ(Health Monitor)] ページからヘルス イベントにアクセスした場合は、すべての管理対象アプライアンスのすべてのヘルス イベントが表示されます。
すべての管理対象アプライアンス上のすべてのステータス イベントを表示する方法:
アクセス: Admin/Maint/Any Security Analyst
手順 1 [ヘルス(Health)] > [ヘルス イベント(Health Events)] の順に選択します。
[イベント(Events)] ページが開いて、すべてのヘルス イベントが表示されます。
(注) イベントが 1 つも表示されない場合は、時間範囲を調整することを考慮してください。詳細については、イベント時間の制約の設定を参照してください。
ヒント このビューをブックマークすれば、イベントの [ヘルス イベント(Health Events)] テーブルを含むヘルス イベント ワークフロー内のページに戻ることができます。ブックマークしたビューには、現在見ている時間範囲内のイベントが表示されますが、必要に応じて時間範囲を変更してテーブルを最新情報で更新することができます。詳細については、イベント時間の制約の設定を参照してください。
モジュールとアプライアンス別のヘルス イベントの表示
特定のアプライアンス上の特定のヘルス モジュールによって生成されたイベントを問い合わせることができます。
アクセス: Admin/Maint/Any Security Analyst
手順 1 [ヘルス(Health)] > [ヘルス モニタ(Health Monitor)] の順に選択します。
[ヘルス モニタ(Health Monitor)] ページが表示されます。
手順 2 アプライアンス リストを展開して特定のステータスのアプライアンスを表示するには、そのステータス行内の矢印をクリックします。
ヒント ステータス レベルに関する行内の矢印が下向きの場合は、そのステータスのアプライアンス リストが下側のテーブルに表示されます。矢印が右向きの場合、アプライアンス リストは非表示です。
手順 3 アプライアンス リストの [アプライアンス(Appliance)] 列で、詳細を表示するアプライアンスの名前をクリックします。
[ヘルス モニタ アプライアンス(Health Monitor Appliance)] ページが表示されます。
手順 4 [ヘルス モニタ アプライアンス(Health Monitor Appliance)] ページの [モジュール ステータス サマリ(Module Status Summary)] グラフで、表示するヘルス アラート ステータス カテゴリの色をクリックします。
[アラートの詳細(Alert Detail)] リストが展開して、そのステータス カテゴリの選択されたアプライアンスのヘルス アラートがリストされます。
手順 5 イベントのリストを表示するアラートの [アラートの詳細(Alert Detail)] 行で、[イベント(Events)] をクリックします。
[ヘルス イベント(Health Events)] ページが開いて、制限としてアプライアンスの名前と選択したヘルス アラート モジュールの名前を含むクエリのクエリ結果が表示されます。
イベントが 1 つも表示されない場合は、時間範囲を調整することを考慮してください。詳細については、イベント時間の制約の設定を参照してください。
手順 6 選択したアプライアンスのすべてのステータス イベントを表示する場合は、[検索制約(Search Constraints)] を展開し、[モジュール名(Module Name)] 制限をクリックして削除します。
ヘルス イベント テーブル ビューの操作
次の表に、[イベント ビュー(Event View)] ページから実行可能な各操作の説明を示します。
|
|
|
|---|---|
ヘルス イベント テーブルについてで詳細を参照してください。 |
|
イベント時間の制約の設定で詳細を参照してください。 イベント ビューを時間によって制約している場合は、(グローバルかイベントに特有かに関係なく)アプライアンスに設定されている時間枠の範囲外に生成されたイベントがイベント ビューに表示されることがあることに注意してください。アプライアンスに対してスライドする時間枠を設定した場合でも、この状況が発生することがあります。 |
|
ドリルダウン ワークフロー ページのソートで詳細を参照してください。 |
|
削除するイベントの横にあるチェックボックスをオンにして、[削除(Delete)] をクリックします。現在制限されているビューですべてのイベントを削除するには、[すべて削除(Delete All)] をクリックしてから、すべてのイベントを削除することを確認します。 |
|
ワークフロー内の他のページへのナビゲートで詳細を参照してください。 |
|
ワークフロー間のナビゲートで詳細を参照してください。 |
|
[このページをブックマーク(Bookmark This Page)] をクリックして、ブックマークの名前を指定し、[保存(Save)] をクリックします。詳細については、ブックマークの使用を参照してください。 |
|
イベント ビューで [ブックマークの表示(View Bookmarks)] をクリックします。詳細については、ブックマークの使用を参照してください。 |
|
[レポート デザイナ(Report Designer)] をクリックします。詳細については、イベント ビューからのレポート テンプレートの作成を参照してください。 |
|
[(ワークフローの切り替え)((switch workflow))] をクリックします。詳細については、ワークフローの選択を参照してください。 |
|
3D9900 デバイスのハードウェア アラート詳細の解釈
3D9900 デバイス モデルでは、次の表に示すイベントに応答してハードウェア アラームが生成されます。トリガー条件はアラートのメッセージ詳細で見つけることができます。
シリーズ 3 デバイスのハードウェア アラート詳細の解釈
シリーズ 3 デバイスでは、次の表に示すイベントに応答してハードウェア アラームが生成されます。トリガー条件がアラートのメッセージ詳細に表示されます。
ヘルス イベント テーブルについて
Defense Center のヘルス モニタを使用して、FireSIGHT システム内の重要な機能のステータスを確認できます。ハードウェア ステータスやソフトウェア ステータスなどのさまざまな側面を監視するため正常性ポリシーを作成してアプライアンスに適用します。正常性ポリシー内で有効にされたヘルス モニタ モジュールが、さまざまなテストを実行してアプライアンスのヘルス ステータスを特定します。ヘルス ステータスが指定された基準を満たしている場合は、ヘルス イベントが生成されます。ヘルス モニタリングの詳細については、システムのモニタリングを参照してください。
ヘルス イベント テーブル内のフィールドについて、次の表で説明します。
|
|
|
|---|---|
イベントを生成したヘルス モジュールの名前。ヘルス モジュールのリストについては、 ヘルス モジュール を参照してください。 |
|
イベントを生成したヘルス モジュールの説明。たとえば、プロセスが実行できない場合に生成されるヘルス イベントには [実行不可(Unable to Execute)] |
|
イベントが生成されたヘルス テストから得られた結果の値(単位数)。 たとえば、モニタ対象デバイスが 80 % 以上の CPU リソースを使用しているときに生成されるヘルス イベントを Defense Center が生成した場合の値は 80 ~ 100 です。 |
|
結果の単位記述子。アスタリスク(*)を使用してワイルドカード検索を作成できます。 たとえば、モニタ対象デバイスが 80 % 以上の CPU リソースを使用しているときに生成されるヘルス イベントを Defense Center が生成した場合の単位記述子はパーセント記号(%)です。 |
|
アクセス: Admin/Maint/Any Security Analyst
手順 1 [ヘルス(Health)] > [ヘルス イベント(Health Events)] の順に選択します。
テーブル ビューが表示されます。ヘルス イベントの操作方法については、ヘルス イベントの操作を参照してください。
ヒント ヘルス イベントのテーブル ビューが含まれていないカスタム ワークフローを使用している場合は、[(ワークフローの切り替え)((switch workflow))] をクリックします。[ワークフローの選択(Select Workflow)] ページで、[ヘルス イベント(Health Events)] をクリックします。
ヘルス イベントの検索
特定のヘルス イベントを検索できます。実際のネットワーク環境に合わせてカスタマイズされた検索を作成して保存すると、あとで再利用できます。次の表に、使用可能な検索基準の説明を示します。
|
|
|
|---|---|
表示するヘルス イベントを生成したモジュールの名前を指定します。たとえば、CPU パフォーマンスを測定するイベントを表示するには、「 |
|
表示するイベントのヘルス テストから得られた結果の値(単位数)を指定します。 たとえば、値として 15 を指定し、[単位(Units)] フィールドに「 |
|
表示するイベントの説明を指定します。たとえば、プロセスが実行できなかったヘルス イベントを表示するには、「 |
|
表示するイベントのヘルス テストから得られた結果の単位記述子を指定します。このフィールドでアスタリスク(*)を使用してワイルドカード検索を作成できます。 たとえば、[単位(Units)] フィールドに「 |
|
表示するヘルス イベントのステータスを指定します。有効なステータス レベルは、Critical、Warning、Normal、Error、および Disabled です。 たとえば、Critical ステータスを示すすべてのヘルス イベントを取得するには、「 |
|
検索を 1 つ以上の特定のデバイスによって生成されたヘルス イベントに制限するには、デバイス名か IP アドレス、またはデバイス グループ名、スタック名、またはクラスタ名を入力します。検索での FireSIGHT システムによるデバイス フィールドの処理方法については、検索でのデバイスの指定を参照してください。 |
特殊な検索構文や検索の保存とロードに関する情報を含む検索の詳細については、検索設定の実行と保存を参照してください。
アクセス: Admin/Maint/Any Security Analyst
手順 1 [分析(Analysis)] > [検索(Search)] を選択します。
手順 2 テーブルのドロップダウン リストから [ヘルス イベント(Health Events)] を選択します。
手順 3 表 ヘルス イベントの検索基準 に記載されているように、該当するフィールドに検索基準を入力します。
複数の基準を入力した場合は、すべての基準を満たすレコードだけが検索で返されます。
手順 4 必要に応じて検索を保存する場合は、[プライベート(Private)] チェックボックスをオンにしてプライベートとして検索を保存すると、本人だけがアクセスできるようになります。本人のみではなくすべてのユーザを対象にする場合は、このチェックボックスをオフのままにして検索を保存します。
ヒント カスタム ユーザ ロールのデータの制限として検索を使用する場合は、必ずプライベート検索として保存する必要があります。
手順 5 必要に応じて、後で再度使用する検索を保存できます。次の選択肢があります。
新しい検索の場合、ダイアログボックスに検索の名前を要求するプロンプトが表示されます。一意の検索名を入力して [保存(Save)] をクリックします。保存済みの既存の検索で新しい条件を保存する場合、プロンプトは表示されません。検索が保存され([プライベート(Private)] を選択した場合は本人のアカウントでのみ閲覧可能)、後で実行できます。
ダイアログボックスに検索の名前を要求するプロンプトが表示されます。一意の検索名を入力して [保存(Save)] をクリックします。検索が保存され([プライベート(Private)] を選択した場合は本人のアカウントでのみ閲覧可能)、後で実行できます。
手順 6 検索を開始するには、[検索(Search)] ボタンをクリックします。
現在の時刻範囲に制限された検索結果がデフォルト ヘルス イベント ワークフローに表示されます。カスタム ワークフローを含む別のワークフローを使用するには、[ワークフロー切り替え(switch workflow)] をクリックします。別のデフォルト ワークフローの指定方法については、イベント ビュー設定の設定を参照してください。
フィードバック