ISA 3000에는 분리 후 다른 ISA 3000 디바이스에 삽입할 수 있는 SD 카드가 있습니다. SD 카드에 시스템 백업을 생성하는 경우에는 이 기능을 사용하여 디바이스를 쉽게 교체할 수 있습니다. 문제 있는 디바이스의 SD 카드를 분리하여 새 디바이스에 삽입하기만 하면 됩니다. 그러면 백업을 복원할 수 있게 됩니다.

필요한 백업을 사용할 수 있도록 하려면 SD 카드에 백업을 생성하는 백업 작업을 구성합니다.

새 백업을 생성할 때 백업 파일은 백업 및 복원 페이지에 나열됩니다. 백업 복사본은 무기한 보존되지 않으며, 디바이스의 디스크 공간 사용량이 최대 임계값에 도달하면 새 백업 복사본을 위한 공간 확보를 위해 이전 백업 복사본이 삭제됩니다. 또한 핫픽스 이외의 업그레이드를 설치하면 모든 백업 파일이 삭제됩니다. 따라서 가장 보관 필요성이 높은 특정 백업 복사본을 보관할 수 있도록 백업 파일을 정기적으로 관리해야 합니다.

다음 작업을 수행하여 백업 복사본을 관리할 수 있습니다.

• 보안 스토리지에 파일 다운로드 - 워크스테이션에 백업 파일을 다운로드하려면 해당 파일의 다운로드 아이콘()을 클릭합니다. 그러면 보안 파일 스토리지로 파일을 이동할 수 있습니다.

• 시스템에 백업 파일 업로드 - 디바이스에서 더 이상 사용할 수 없는 백업 복사본을 복원하려면 Upload(업로드) > Browse File(파일 찾아보기)을 클릭하고 워크스테이션에서 해당 복사본을 업로드합니다. 그러면 백업을 복원할 수 있습니다.

  참고	업로드한 파일의 이름은 원본 파일 이름과 일치하도록 바꿀 수 있습니다. 또한, 시스템에 3개가 넘는 백업 복사본이 이미 있으면 업로드한 파일을 위한 공간 확보를 위해 가장 오래된 복사본이 삭제됩니다. 이전 소프트웨어 버전에서 생성한 파일은 업로드할 수 없습니다.

• 백업 복원 - 백업 사본을 복원하려면 해당 파일의 복원 아이콘()을 클릭합니다. 복원 중에는 시스템을 사용할 수 없으며 복원이 완료되면 시스템이 재부팅됩니다. 시스템이 가동 및 실행되고 나면 컨피그레이션을 구축해야 합니다.

• 백업 파일 삭제 - 특정 백업이 더 이상 필요하지 않은 경우, 해당 파일의 삭제 아이콘()을 클릭합니다. 그러면 삭제를 확인하라는 메시지가 나타납니다. 삭제한 백업 파일은 복구할 수 없습니다.

감사 로그는 다음 유형의 이벤트를 포함할 수 있습니다.

Custom Feed Update Event(맞춤형 피드 업데이트 이벤트), Custom Feed Update Failed(맞춤형 피드 업데이트 실패)

이러한 이벤트는 성공적으로 완료되었거나 맞춤형 보안 인텔리전스 피드에 대한 업데이트가 실패했음을 나타냅니다. 세부 정보에는 업데이트를 시작한 사람과 업데이트 중인 피드에 대한 정보가 포함됩니다.

사용자 지정 규칙 파일 가져오기 요약 이벤트

이러한 이벤트는 하나 이상의 맞춤형 침입 규칙이 포함된 파일을 가져왔음을 나타냅니다. 이벤트에는 추가, 업데이트 및 삭제된 규칙 수의 요약과 가져온 규칙에 대한 세부 사항을 보여주는 차이점 보기가 포함됩니다.

Deployment Completed(구축 완료됨), Deployment Failed(구축 실패함): 작업 이름 또는 엔터티 이름

이러한 이벤트는 정상적으로 완료되었거나 실패한 구축 작업을 나타냅니다. 세부사항에는 작업을 시작한 사람과 작업 엔터티에 대한 정보가 포함됩니다. 실패한 작업에는 실패 관련 오류 메시지가 포함됩니다.

세부사항에는 Differences View(차이 보기) 탭도 포함되며, 이 탭에는 작업 시 디바이스에 구축된 변경 사항이 표시됩니다. 여기에는 구축된 엔터티의 모든 엔터티 변경 이벤트가 조합되어 있습니다.

이러한 이벤트를 기준으로 필터링하려는 경우 사전 정의된 Deployment History(구축 기록) 필터만 클릭하면 됩니다. 이러한 이벤트의 이벤트 유형은 Deployment Event(구축 이벤트)입니다. 완료된 이벤트 또는 실패한 이벤트만 기준으로 하여 필터링할 수는 없습니다.

이벤트 이름에는 사용자 정의 작업 이름(구성하는 경우) 또는 "User(사용자 이름) Triggered Deployment(사용자가 트리거한 구축)"가 포함됩니다. 디바이스 설정 마법사를 실행하는 중에 수행되는 "Device Setup Automatic Deployment(디바이스 설정 자동 구축)" 및 "Device Setup Automatic Deployment (Final Step)(디바이스 설정 자동 구축(최종 단계))" 작업도 있습니다.

Entity Created(엔터티 생성됨), Entity Updated(엔터티 업데이트됨), Entity Deleted(엔터티 삭제됨): 엔터티 이름(엔터티 유형)

이러한 이벤트는 식별된 엔터티나 개체가 변경되었음을 나타냅니다. 엔터티 세부사항에는 변경을 수행한 사람과 엔터티 이름, 유형, ID가 포함됩니다. 이러한 항목을 기준으로 엔터티를 필터링할 수 있습니다. 세부사항에는 Differences View(차이 보기) 탭도 포함되며, 이 탭에는 개체에 적용된 변경 사항이 표시됩니다.

HA Action Event(HA 작업 이벤트)

이러한 이벤트는 고가용성 컨피그레이션에 대한 작업(사용자가 시작한 작업 또는 시스템이 시작한 작업)과 관련되어 있습니다. 이벤트 유형은 HA Action Event(HA 작업 이벤트)이지만 이벤트 이름은 다음 중 하나입니다.

• HA Suspended(HA 일시 중단됨) - 시스템에서 HA를 의도적으로 일시 중단했습니다.

• HA Resumed(HA 다시 시작됨) - 시스템에서 HA를 의도적으로 다시 시작했습니다.

• HA Reset(HA 재설정됨) - 시스템에서 HA를 의도적으로 재설정했습니다.

• HA Failover: Unit Switched Modes(HA 페일오버: 유닛 모드 전환됨) - 모드를 의도적으로 전환했거나 상태 메트릭 위반으로 인해 시스템에서 페일오버를 실행하였습니다. 메시지에는 액티브 피어가 스탠바이 피어로 전환되었거나 스탠바이 피어가 액티브 피어로 전환되었음이 표시됩니다.

고가용성 동기화 완료됨

액티브 유닛에서 스탠바이 유닛에 컨피그레이션을 동기화했습니다. 이벤트에는 동기화된 버전과 비교한 이전 버전의 변경 정보가 포함됩니다.

Interface List Scanned(스캔된 인터페이스 목록)

이 이벤트는 인터페이스 인벤토리에서 변경 사항을 스캔했음을 나타냅니다.

Pending Changes Discarded(보류 중인 변경 사항 취소됨)

이 이벤트는 보류 중인 모든 변경 사항을 삭제했음을 나타냅니다. 이 이벤트와 이전 Deployment Completed(구축 완료됨) 이벤트 사이의 Entity Created(엔터티 생성됨), Entity Updated(엔터티 업데이트됨), Entity Deleted(엔터티 삭제됨) 이벤트에 표시된 모든 변경 사항은 제거되며, 영향을 받은 개체의 상태는 마지막으로 구축된 버전으로 되돌아갑니다.

Rules Update Event(규칙 업데이트 이벤트)

Snort 3을 실행할 때 LSPUpdateServer 엔티티의 이 이벤트는 새 침입 규칙 패키지를 다운로드하여 설치할 때 추가, 제거 또는 변경된 침입 규칙에 대한 세부 정보를 표시합니다. 이벤트는 100개 규칙으로 제한되므로, 100개보다 많은 항목이 추가, 제거 또는 변경되면 이벤트에 완전한 정보가 포함되지 않습니다. 이 이벤트는 Snort 2 업데이트에는 표시되지 않습니다.

Task Started(작업 시작됨), Task Completed(작업 완료됨), Task Failed(작업 실패함)

작업 이벤트는 시스템이나 사용자가 시작한 작업의 시작과 종료를 나타냅니다. 이 두 이벤트는 작업 목록에서 단일 작업으로 통합됩니다. 이 작업 목록은 오른쪽 상단 모서리에 있는 Task List(작업 목록) 버튼을 클릭하면 볼 수 있습니다.

작업에는 구축 작업과 수동 또는 예약된 데이터베이스 업데이트와 같은 작업이 포함됩니다. 작업 목록에 있는 모든 항목은 감사 로그의 두 작업 이벤트(작업 시작 표시 및 성공적인 완료 또는 실패)에 부합합니다.

User Logged In(사용자 로그인함), User Logged Out(사용자 로그아웃함): 사용자 이름

이러한 이벤트에는 사용자의 device manager 로그인 및 로그아웃 시간과 소스 IP 주소가 표시됩니다. User Logged Out(사용자 로그아웃함) 이벤트는 활성 로그아웃과 유휴 시간 초과로 인한 자동 로그아웃 모두에 대해 발생합니다.

이러한 이벤트는 디바이스와 연결을 설정하는 RA VPN 사용자와는 관계가 없습니다. 또한 디바이스 CLI 로그인/로그아웃도 포함하지 않습니다.

특정 유형의 메시지만 표시되도록 보기의 범위를 좁히기 위해 감사 로그에 필터를 적용할 수 있습니다. 필터의 각 요소는 정확하고 완전한 일치 항목입니다. 예를 들어 "User = admin"을 사용하는 경우 이름이 admin인 사용자가 시작한 이벤트만 표시됩니다.

다음과 같은 기술을 단독으로 사용하거나 조합하여 필터를 작성할 수 있습니다. 필터 요소를 추가할 때마다 목록은 자동으로 업데이트됩니다.

사전 정의된 필터 클릭

Filter(필터) 필드 아래에는 사전 정의된 필터가 있습니다. 링크만 클릭하면 해당 필터가 로드됩니다. 그러면 필터를 확인하라는 메시지가 표시됩니다. 이미 필터를 적용한 경우에는 추가되지 않고 대체됩니다.

강조 표시된 항목 클릭

필터를 작성하는 가장 쉬운 방법은 로그 테이블의 항목 또는 필터링 기준으로 사용할 값이 포함된 이벤트 세부사항을 클릭하는 것입니다. 항목을 클릭하면 해당 값 및 요소의 조합에 대해 올바르게 작성된 요소로 Filter(필터) 필드가 업데이트됩니다. 그러나 이 기술을 사용하려면 기존 이벤트 목록에 원하는 값이 포함되어 있어야 합니다.

항목에 대해 필터 요소를 추가할 수 있는 경우 해당 항목 위에 마우스를 가져가면 항목에 밑줄이 표시되며 Click to Add to Filter(필터에 추가하려면 클릭) 명령이 나타납니다.

원자성 요소 선택

Filter(필터) 필드를 클릭하고 드롭다운 목록에서 원하는 원자성 요소를 선택한 다음 등호 뒤에 일치 값을 입력하고 Enter 키를 눌러 필터를 작성할 수도 있습니다. 필터링 기준으로 사용할 수 있는 요소가 아래에 나와 있습니다. 모든 요소가 모든 이벤트 유형과 관련되어 있는 것은 아닙니다.

• Event Type(이벤트 유형) - 일반적으로(항상은 아님) 이벤트 이름과 같지만 엔터티 이름이나 사용자 등의 변수 한정자는 없습니다. 구축 이벤트의 경우 이벤트 유형은 Deployment Event(구축 이벤트)입니다. 이벤트 유형에 대한 설명은 감사 이벤트의 내용을 참조하십시오.

• User(사용자) - 이벤트를 시작한 사용자의 이름입니다. 시스템 사용자의 경우 모두 대문자로 표시됩니다(예: SYSTEM).

• Source IP(소스 IP) - 사용자가 이벤트를 시작한 IP 주소입니다. 시스템에서 시작된 이벤트의 소스 IP 주소는 SYSTEM입니다.

• Entity ID(엔터티 ID) - 엔터티나 개체의 UUID로, 8e7021b4-2e1e-11e8-9e5d-0fc002c5f931과 같이 읽을 수 없는 긴 문자열입니다. 일반적으로 이 필터를 사용하려면 이벤트 세부사항에서 엔터티 ID를 클릭하거나 REST API를 사용하여 관련 GET 호출을 하여 필요한 ID를 검색해야 합니다.

• Enntity Name(엔터티 이름) - 엔터티 또는 개체의 이름입니다. 사용자 생성 엔터티의 경우에는 보통 개체에 지정한 이름(예: 네트워크 개체의 경우 InsideNetwork)입니다. 시스템 생성 엔터티나 일부 사용자 정의 엔터티의 경우에는 사전 정의되었으나 이해 가능한 이름입니다. 예를 들어 명시적으로 이름을 지정하지 않은 구축 작업의 경우 "User (admin) Triggered Deployment(사용자(관리자)가 트리거한 구축)"입니다.

• Enntity Type(엔터티 유형) - 엔터티 또는 개체의 종류입니다. 사전 정의되었으나 이해 가능한 이름입니다(예: Network Object(네트워크 개체)). 관련 개체 모델에서 "type(유형)" 값을 확인하여 API Explorer에서 엔터티 유형을 찾을 수 있습니다. API 유형은 일반적으로 모두 소문자이며 공백이 없습니다. 모델에 표시된 것과 똑같이 유형을 입력하는 경우, Enter 키를 누르면 문자열이 더 쉽게 읽을 수 있는 형식으로 변경됩니다. 둘 중 어떤 형식을 입력해도 됩니다. API Explorer를 열려면 More options(추가 옵션) 버튼()을 클릭하고 API Explorer를 선택합니다.

Monitoring(모니터링) > Sessions(세션)를 선택하면 현재 device manager에 로그인되어 있는 사용자 목록을 확인할 수 있습니다. 목록에는 각 사용자가 현재 세션에 로그인되어 있었던 시간이 표시됩니다.

동일한 사용자 이름이 여러 번 표시되는 경우 해당 사용자가 각기 다른 소스 주소에서 세션을 연 것입니다. 사용자 이름과 소스 주소를 기준으로 하여 세션을 개별적으로 추적하며, 각 세션에는 고유한 타임스탬프가 있습니다.

시스템에서는 동시 사용자 세션 5개를 허용합니다. 6번째 사용자가 로그인하면 가장 오래된 현재 세션이 자동으로 로그아웃됩니다. 또한 20분 동안 아무 작업이 없으면 유휴 사용자는 자동으로 로그아웃됩니다.

device manager 사용자가 잘못된 비밀번호를 입력하고 3회 연속하여 로그인 시도에 실패할 경우, 5분 동안 사용자 어카운트가 잠깁니다. 사용자는 다시 로그인을 시도하기 전에 잠시 기다려야 합니다. device manager 사용자 어카운트의 잠금을 해제할 수 있는 방법은 없으며 재시도 횟수 또는 잠금 시간 제한을 조정할 수도 없습니다. SSH 사용자의 경우 이러한 설정을 조정하고 어카운트의 잠금을 해제할 수 있습니다.

필요한 경우 세션의 삭제 아이콘()을 클릭하여 사용자 세션을 종료할 수 있습니다. 세션을 삭제하면 세션에서 로그아웃됩니다. 세션을 종료하는 경우의 잠금 기간은 없으며 사용자는 즉시 다시 로그인할 수 있습니다.

device manager 사용자에 대한 외부 권한 부여를 컨피그레이션하는 경우, 해당 사용자는 고가용성 쌍의 활성 및 대기 유닛에 모두 로그인할 수 있습니다. 그러나 대기 유닛에 처음 로그인하려면 활성 유닛에 로그인하는 것에 비해 몇 가지 추가 단계가 필요합니다.

외부 사용자가 처음으로 활성 유닛에 로그인하면 시스템에서는 사용자 및 사용자의 액세스 권한을 정의하는 개체를 생성합니다. 이때 관리자 또는 읽기-쓰기 사용자는 대기 유닛에 표시할 사용자 개체에 대해 활성 유닛에서 컨피그레이션을 구축해야 합니다.

이러한 구축과 후속 컨피그레이션 동기화가 성공적으로 완료된 후에야 외부 사용자는 대기 유닛에 로그인할 수 있습니다.

관리자 및 읽기-쓰기 사용자는 활성 유닛에 로그인한 후 변경 사항을 구축할 수 있습니다. 그러나 읽기 전용 사용자는 컨피그레이션을 구축할 수 없습니다. 컨피그레이션을 구축하려면 적절한 권한이 있는 사용자에게 요청해야 합니다.

ping은 특정 주소가 활성 상태이고 응답할 수 있는지 확인하는 간단한 명령입니다. 기본 연결이 작동 중인 것입니다. 그러나 디바이스에서 실행 중인 다른 정책 때문에 특정 트래픽 유형이 디바이스를 통과하지 못할 수도 있습니다. ping CLI 콘솔을 열거나 디바이스 CLI에 로그인하면 사용할 수 있습니다.

참고	시스템에는 여러 인터페이스가 있으므로 주소 ping에 사용되는 인터페이스를 제어할 수 있습니다. 중요한 연결을 테스트할 수 있도록 적절한 명령을 사용해야 합니다. 예를 들어 시스템에서는 가상 관리 인터페이스를 통해 Cisco 라이선스 서버에 연결할 수 있어야 하므로, ping system 명령을 사용하여 연결을 테스트해야 합니다. ping 을 사용하는 경우에는 데이터 인터페이스를 통해 특정 주소에 연결할 수 있는지를 테스트하게 되므로 결과가 달라질 수도 있습니다.

일반 ping은 ICMP 패킷을 사용하여 연결을 테스트합니다. 네트워크에서 ICMP를 금지하는 경우에는 TCP ping을 대신 사용할 수 있습니다(데이터 인터페이스 ping에만 해당함).

IP 주소 또는 정규화된 호스트 이름(FQDN)을 ping할 수 있습니다. FQDN에서 ping이 작동하려면 관리 또는 데이터 인터페이스용으로 구성된 DNS 서버가 성공적으로 IP 주소를 반환해야 합니다. 관리 및 데이터 인터페이스에 대해 별도로 DNS 서버를 구성해야 합니다. 특정 인터페이스에 대해 DNS 서버가 구성되지 않은 경우 dig 명령을 사용하여 지정된 FQDN의 IP 주소를 조회합니다.

네트워크 주소 ping에 사용되는 주요 옵션은 다음과 같습니다.

가상 관리 인터페이스를 통해 주소 ping

ping system 명령을 사용하십시오.

ping system 호스트

호스트는 IP 주소일 수도 있고 www.example.com과 같은 FQDN(Fully-Qualified Domain Name)일 수도 있습니다. 데이터 인터페이스를 통해 수행하는 ping과는 달리 시스템 ping에는 기본 횟수가 없습니다. 즉, Ctrl+C를 사용하여 중지할 때까지 ping은 계속 실행됩니다. 예를 들면 다음과 같습니다.

> ping system www.cisco.com
PING origin-www.cisco.COM (72.163.4.161) 56(84) bytes of data.
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=1 ttl=242 time=10.6 ms
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=2 ttl=242 time=8.13 ms
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=3 ttl=242 time=8.51 ms
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=4 ttl=242 time=8.40 ms
^C
--- origin-www.cisco.COM ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3003ms
rtt min/avg/max/mdev = 8.139/8.927/10.650/1.003 ms
>

라우팅 테이블을 사용하여 데이터 인터페이스를 통해 주소 ping

ping 명령을 사용하십시오. 이 경우 인터페이스를 지정하지 않고 시스템이 호스트에 대한 경로를 일반적으로 찾을 수 있는지를 테스트하게 됩니다. 시스템은 보통 이 방법을 통해 트래픽을 라우팅하므로 일반적으로 이 테스트를 수행하면 됩니다.

ping 호스트

예를 들면 다음과 같습니다.

> ping 171.69.38.1
Sending 5, 100-byte ICMP Echos to 171.69.38.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms

참고	시간 제한, 반복 횟수, 패킷 크기 및 전송할 데이터 패턴을 지정할 수 있습니다. 사용 가능한 옵션을 확인하려면 CLI에서 도움말 표시기를 사용합니다.

특정 데이터 인터페이스를 통해 주소 ping

특정 데이터 인터페이스를 통한 연결을 테스트하려는 경우, ping interface if_name 명령을 사용합니다. 이 명령을 사용하여 진단 인터페이스를 지정할 수도 있지만, 가상 관리 인터페이스는 지정할 수 없습니다.

ping interface if_name host

예를 들면 다음과 같습니다.

> ping interface inside 171.69.38.1
Sending 5, 100-byte ICMP Echos to 171.69.38.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms

TCP ping을 사용하여 데이터 인터페이스를 통해 주소 ping

ping tcp 명령을 사용하십시오. TCP ping은 SYN 패킷을 전송하며, 목적지에서 SYN-ACK 패킷을 전송하는 경우 ping에 성공한 것으로 간주합니다.

ping tcp [ interface if_name] host port

호스트 및 TCP 포트를 지정해야 합니다.

원하는 경우 인터페이스(ping을 전송하는 데 사용할 인터페이스가 아닌 ping의 소스 인터페이스)를 지정할 수 있습니다. 이 ping 유형은 항상 라우팅 테이블을 사용합니다.

TCP ping은 SYN 패킷을 전송하며, 목적지에서 SYN-ACK 패킷을 전송하는 경우 ping에 성공한 것으로 간주합니다. 예를 들면 다음과 같습니다.

> ping tcp 10.0.0.1 21
Type escape sequence to abort.
No source specified. Pinging from identity interface.
Sending 5 TCP SYN requests to 10.0.0.1 port 21
from 10.0.0.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

참고	TCP ping의 시간 제한, 반복 횟수 및 소스 주소를 지정할 수도 있습니다. 사용 가능한 옵션을 확인하려면 CLI에서 도움말 표시기를 사용합니다.

어떤 IP 주소에 트래픽을 보내는 데 문제가 있을 경우 호스트까지의 경로를 추적하여 네트워크 경로에 문제가 있는지 확인할 수 있습니다. 경로 추적(traceroute)은 잘못된 포트의 UDP 패킷이나 ICMPv6 에코를 목적지로 전송하는 방식입니다. 이러한 패킷이나 에코를 목적지로 전송하는 과정에서 라우터는 ICMP 시간 초과 메시지로 응답하고 경로 추적에 해당 오류를 보고합니다. 각 노드는 3개의 패킷을 수신하므로 노드당 정보 결과를 가져올 수 있는 3번의 기회가 있습니다. traceroute CLI 콘솔을 열거나 디바이스 CLI에 로그인하면 사용할 수 있습니다.

참고	데이터 인터페이스(traceroute ) 또는 가상 관리 인터페이스(traceroute system )를 통해 경로를 추적할 수 있는 별도의 명령이 있습니다. 경우에 따라 적절한 명령을 사용해야 합니다.

다음 표에는 출력에 표시될 수 있는 패킷별 결과에 대한 설명이 나와 있습니다.

가상 관리 인터페이스를 통해 경로 추적

traceroute system 명령을 사용하십시오.

traceroute system destination

호스트는 IPv4/IPv6 주소일 수도 있고 www.example.com과 같은 FQDN(Fully Qualified Domain Name)일 수도 있습니다. 예를 들면 다음과 같습니다.

> traceroute system www.example.com 
traceroute to www.example.com (172.163.4.161), 30 hops max, 60 byte packets
 1  192.168.0.254 (192.168.0.254)  0.213 ms  0.310 ms  0.328 ms
 2  10.88.127.1 (10.88.127.1)  0.677 ms  0.739 ms  0.899 ms
 3  lab-gw1.example.com (10.89.128.25)  0.638 ms  0.856 ms  0.864 ms
 4  04-bb-gw1.example.com (10.152.240.65)  1.169 ms  1.355 ms  1.409 ms
 5  wan-gw1.example.com (10.152.240.33)  0.712 ms  0.722 ms  0.790 ms
 6  wag-gw1.example.com (10.152.240.73)  13.868 ms  10.760 ms  11.187 ms
 7  rbb-gw2.example.com (172.30.4.85)  7.202 ms  7.301 ms  7.101 ms
 8  rbb-gw1.example.com (172.30.4.77)  8.162 ms  8.225 ms  8.373 ms
 9  sbb-gw1.example.com (172.16.16.210)  7.396 ms  7.548 ms  7.653 ms
10  corp-gw2.example.com (172.16.16.58)  7.413 ms  7.310 ms  7.431 ms
11  dmzbb-gw2.example.com (172.16.0.78)  7.835 ms  7.705 ms  7.702 ms
12  dmzdcc-gw2.example.com (172.16.0.190)  8.126 ms  8.193 ms  11.559 ms
13  dcz05n-gw1.example.com (172.16.2.106)  11.729 ms  11.728 ms  11.939 ms
14  www1.example.com (172.16.4.161)  11.645 ms  7.958 ms  7.936 ms

데이터 인터페이스를 통해 경로 추적

traceroute 명령을 사용하십시오.

traceroute destination

데이터 인터페이스에 대해 DNS 서버를 구성한 경우 호스트는 IPv4/IPv6 주소일 수도 있고 www.example.com과 같은 정규화된 호스트 이름(FQDN)일 수도 있습니다. 특정 인터페이스에 대해 DNS 서버가 구성되지 않은 경우 dig 명령을 사용하여 지정된 FQDN의 IP 주소를 조회합니다. 예를 들면 다음과 같습니다.

> traceroute 209.165.200.225
Tracing the route to 209.165.200.225
 1  10.83.194.1 0 msec 10 msec 0 msec
 2  10.83.193.65 0 msec 0 msec 0 msec
 3  10.88.193.101 0 msec 10 msec 0 msec
 4  10.88.193.97 0 msec 0 msec 10 msec
 5  10.88.239.9 0 msec 10 msec 0 msec
 6  10.88.238.65 10 msec 10 msec 0 msec
 7 172.16.7.221 70 msec 70 msec 80 msec
 8 209.165.200.225 70 msec 70 msec 70 msec

참고	시간 제한, TTL(Time to Live), 노드당 패킷 수 및 경로 추적의 출발지로 사용할 IP 주소나 인터페이스를 지정할 수 있습니다. 사용 가능한 옵션을 확인하려면 CLI에서 도움말 표시기를 사용합니다.

시스템은 시스템이 올바르게 작동하고 이벤트 및 기타 데이터 포인트가 정확하게 처리되도록 정확하고 일관된 시간을 사용합니다. 시스템에서 항상 신뢰할 수 있는 시간 정보를 유지하려면 1개 이상의 NTP(Network Time Protocol) 서버(이상적으로는 3개)를 구성해야 합니다.

디바이스 요약 연결 다이어그램(기본 메뉴에서 Device(디바이스) 클릭)은 NTP 서버에 대한 연결 상태를 보여줍니다. 이 상태가 노란색 또는 주황색인 경우, 구성된 서버에 연결하는 데 문제가 있는 것입니다. 연결 문제가 지속될 경우(일시적인 문제가 아님), 다음을 수행하십시오.

• Device(디바이스) > System Settings(시스템 설정) > NTP에서 3개 이상의 NTP 서버를 구성합니다. 이것은 요건은 아니지만 3개 이상의 NTP 서버가 있는 경우 신뢰성이 매우 향상됩니다.

• Device(디바이스) > System Settings(시스템 설정) > Management Interface(관리 인터페이스)에 정의되어 있는 관리 인터페이스 IP 주소와 NTP 서버 간의 네트워크 경로가 있는지 확인합니다.

  • 관리 인터페이스 게이트웨이가 데이터 인터페이스인 경우, 기본 경로가 적절하지 않으면 Device(디바이스) > Routing(라우팅)에서 NTP 서버에 대한 고정 경로를 구성할 수 있습니다.

  • 명시적 관리 인터페이스 게이트웨이를 설정한 경우, 디바이스 CLI에 로그인하고 ping system 명령을 사용하여 각 NTP 서버에 대한 네트워크 경로가 있는지 테스트합니다.

• 디바이스 CLI에 로그인하고 다음 명령을 사용하여 NTP 서버의 상태를 확인합니다.

  • show ntp — 이 명령은 NTP 서버와 가용성에 대한 기본 정보를 표시합니다. 단, device manager의 연결 상태는 상태를 나타내는 추가 정보를 사용합니다. 따라서 이 명령이 표시하는 항목과 연결 상태 다이어그램이 표시하는 항목 간에 불일치가 있을 수 있습니다. 이 명령은 CLI 콘솔에서도 실행할 수 있습니다.

  • system support ntp - 이 명령에는 show ntp 의 출력과 함께 표준 NTP 명령인 ntpq 의 출력(NTP 프로토콜에 문서화됨)도 포함됩니다. NTP 동기화를 확인해야 하는 경우 이 명령을 사용합니다.

    ‘ntpq -pn 결과’ 섹션을 검색합니다. 예를 들면 다음과 같은 내용이 표시될 수 있습니다.

    
    Results of 'ntpq -pn'
    remote                    : +216.229.0.50
    refid                     : 129.7.1.66
    st                        : 2
    t                         : u
    when                      : 704
    poll                      : 1024
    reach                     : 377
    delay                     : 90.455
    offset                    : 2.954
    jitter                    : 2.473
    
    

    이 예에서 NTP 서버 주소 앞에 있는 +는 잠재적인 후보임을 나타냅니다. 여기에서 별표 *는 현재 시간 소스 피어를 나타냅니다.

    NTPD(NTP 데몬)에서는 각 피어의 8개의 샘플로 구성된 슬라이딩 창을 사용하고 하나의 샘플을 선택하며, 클럭 선택에 따라 올바른 차이머와 잘못된 티커가 결정됩니다. 그런 다음 NTPD에서는 왕복 거리(후보의 오프셋은 왕복 지연의 1/2을 초과하지 않아야 함)를 결정합니다. 연결 지연, 패킷 손실 또는 서버 문제로 인해 하나 또는 모든 후보가 거부되는 경우, 동기화 시 지연이 길어지며 조정에도 매우 긴 시간이 소요됩니다. 클럭 오프셋과 오실레이터 오류는 클럭 규칙 알고리즘으로 해결해야 하며 이 작업에는 몇 시간이 걸릴 수 있습니다.

    참고	refid가 .LOCL인 경우, 이는 피어가 규칙이 없는 로컬 시계임을 나타냅니다. 즉, 시간을 설정하기 위해 로컬 시계만 사용하는 것을 의미합니다. 선택한 피어가 .LOCL인 경우 device manager는 항상 동기화되지 않은 NTP 연결을 노란색으로 표시합니다. 일반적으로, NTP는 더 나은 후보를 사용할 수 있는 경우 .LOCL 후보를 선택하지 않으므로 3개 이상의 서버를 구성해야 합니다.

CPU 및 메모리 사용량에 대한 시스템 레벨 정보를 보려면 Monitoring(모니터링) > System(시스템)을 선택하고 CPU 및 메모리 막대 그래프를 찾습니다. 이 그래프에는 CLI에서 show cpu system 및 show memory system 명령을 사용해 수집한 정보가 표시됩니다.

CLI 콘솔을 열거나 CLI에 로그인하면 이러한 명령의 추가 버전을 사용하여 다른 정보를 확인할 수 있습니다. 일반적으로는 사용량과 관련하여 지속적인 문제가 발생하는 경우나 Cisco TAC(Technical Assistance Center)의 지침이 있는 경우에만 이 정보를 확인하면 됩니다. 자세한 정보는 대부분 복잡하므로 TAC의 해석이 필요합니다.

검사할 수 있는 몇 가지 주요 정보는 다음과 같습니다. 이러한 명령에 대한 자세한 내용은 http://www.cisco.com/c/en/us/td/docs/security/firepower/command_ref/b_Command_Reference_for_Firepower_Threat_Defense.html의 Cisco Firepower Threat Defense 명령 참조에서 확인할 수 있습니다.

• show cpu 데이터 플레인 CPU 사용률을 표시합니다.

• show cpu core 각 CPU 코어의 사용량을 개별적으로 표시합니다.

• show cpu detailed 코어당/전체 데이터 플레인 CPU 사용량을 추가로 표시합니다.

• show memory 데이터 플레인 메모리 사용량을 표시합니다.

참고	위에 나와 있지 않은 일부 키워드의 경우 cpu 또는 memory 명령을 사용하여 프로파일링 또는 기타 기능을 먼저 설정해야 합니다. 이러한 기능은 TAC 지침에 따라 사용하십시오.

시스템은 다양한 작업에 대한 정보를 로깅합니다. system support view-files 명령을 사용하여 시스템 로그를 열 수 있습니다. Cisco TAC(Technical Assistance Center)와 작업할 때 이 명령을 사용하면 TAC에서 출력 해석을 지원할 수 있으며 확인해야 하는 적절한 로그를 선택할 수 있습니다.

이 명령을 실행하면 로그 선택을 위한 메뉴가 표시됩니다. 다음 명령을 사용하여 마법사를 탐색합니다.

• 하위 디렉터리로 변경하려면 디렉터리의 이름을 입력하고 Enter 키를 누릅니다.

• 볼 파일을 선택하려면 프롬프트에서 s 를 입력합니다. 그러면 파일 이름을 입력하라는 메시지가 표시됩니다. 대소문자를 구분하여 전체 이름을 입력해야 합니다. 파일 목록에는 로그의 크기가 표시됩니다. 매우 큰 로그의 경우 열기 전에 크기를 고려해야 합니다.

• --More(자세히)--가 표시될 때 스페이스바를 누르면 다음 로그 항목 페이지가 표시되고 Enter 키를 누르면 다음 로그 항목만 표시됩니다. 로그의 끝에 도달하면 메인 메뉴로 이동됩니다. --More(자세히)-- 줄에는 로그의 크기와 로그를 확인한 빈도가 표시됩니다. 전체 로그 페이지를 확인하지 않으려는 경우 Ctrl+C를 사용하여 로그를 닫고 명령을 종료합니다.

• 메뉴의 구조에서 한 레벨 위로 이동하려면 b 를 입력합니다.

새로 추가되는 메시지를 확인할 수 있도록 로그를 열어 두려면 system support view-files 대신 tail-logs 명령을 사용합니다.

다음 예에서는 시스템 로그인 시도를 추적하는 cisco/audit.log 파일을 확인하는 방법을 보여줍니다. 파일 목록은 맨 위의 디렉터리에서 시작되며, 그 아래에는 현재 디렉터리의 파일 목록이 표시됩니다.

> system support view-files

===View Logs===

============================
Directory: /ngfw/var/log
----------sub-dirs----------
cisco
mojo
removed_packages
setup
connector
sf
scripts
packages
removed_scripts
httpd
-----------files------------
2016-10-14 18:12:04.514783 | 5371       | SMART_STATUS_sda.log
2016-10-14 18:12:04.524783 | 353        | SMART_STATUS_sdb.log
2016-10-11 21:32:23.848733 | 326517     | action_queue.log
2016-10-06 16:00:56.620019 | 1018       | br1.down.log

<list abbreviated>


([b] to go back or [s] to select a file to view, [Ctrl+C] to exit)
Type a sub-dir name to list its contents: cisco

============================
Directory: /ngfw/var/log/cisco
-----------files------------
2017-02-13 22:44:42.394907 | 472        | audit.log
2017-02-13 23:40:30.858198 | 903615     | ev_stats.log.0
2017-02-09 18:14:26.870361 | 0          | ev_stats.log.0.lck
2017-02-13 05:24:00.682601 | 1024338    | ev_stats.log.1
2017-02-12 08:41:00.478103 | 1024338    | ev_stats.log.2
2017-02-11 11:58:00.260805 | 1024218    | ev_stats.log.3
2017-02-09 18:12:13.828607 | 95848      | firstboot.ngfw-onbox.log
2017-02-13 23:40:00.240359 | 6523160    | ngfw-onbox.log

([b] to go back or [s] to select a file to view, [Ctrl+C] to exit)
Type a sub-dir name to list its contents: s

Type the name of the file to view ([b] to go back, [Ctrl+C] to exit)
> audit.log
2017-02-09 18:59:26 - SubSystem:LOGIN, User:admin, IP:10.24.42.205, Message:Login successful, 
2017-02-13 17:59:28 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Login successful, 
2017-02-13 22:44:36 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Login failed, 
2017-02-13 22:44:42 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Login successful, 
2017-02-13 22:44:42 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Unlocked account., 

<remaining log truncated>