运行状况监控的要求和前提条件
型号支持
任意
支持的域
任意
用户角色
管理员
维护用户
Cisco 安全防火墙管理中心管理指南,7.2
非歧视性语言
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
当地语言翻译版本说明
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
- 已更新:
- 2022年10月20日
Chapter: 运行状况
运行状况
以下主题介绍如何在 Firepower 系统中使用运行状况监控︰
关于运行状况监控
Cisco Secure Firewall Management Center 上的运行状况监控器跟踪各种运行状况指标,以确保系统中的硬件和软件正常工作。您可以使用运行状况监控器检查整个系统部署中关键功能的状态。
您可以配置运行状况模块以发出警报的频率。 Cisco Secure Firewall Management Center 还支持时间序列数据收集。您可以在设备及其运行状况模块上收集时间序列数据的频率。默认情况下,设备监控器会在多个预定义的运行状况监控器控制面板中报告这些指标。收集指标数据以供分析,因此没有与之关联的警报。
可以使用运行状况监控器创建一个测试集合(称为运行状况策略),并将该运行状况策略应用到一个或多个设备上。测试(称为运行状况模块)是用来测试您指定的标准的脚本。您可以通过启用或禁用测试或者通过更改测试设置来修改运行状况策略,可以删除不再需要的运行状况策略。您还可以将来自所选设备的消息加入黑名单,从而排除这些消息。
运行状况策略中的测试以所配置的时间间隔自动运行。您还可以按需运行所有测试或特定测试。运行状况监控器基于配置的测试条件收集运行状况事件。
 注 |
所有设备都通过“硬件警报“运行状况模块自动报告其硬件状态。Cisco Secure Firewall Management Center还使用默认运行状况策略中配置的模块自动报告状态。某些运行状况模块(例如“设备测信号”模块)在 Cisco Secure Firewall Management Center上运行并报告 Cisco Secure Firewall Management Center的受管设备的状态。要使运行状况模块提供受管设备状态,必须将所有运行状况策略部署到设备。 |
可以使用运行状况监控器访问特定设备(在多域部署中,则是特定域)的整个系统的运行状态信息。“运行状况监控器”页面上的六边形图和状态表提供网络上所有设备(包括 Cisco Secure Firewall Management Center)的状态的可视摘要。单个设备运行状况监视器使您可以向下钻取到特定设备的运行状况详细信息。
完全可自定义的事件视图使您可以快速轻松地分析运行状况监控器所收集的运行状况事件。这些事件视图使您可以搜索和查看事件数据,并访问可能与正调查的事件有关的其他信息。例如,如果要查看 CPU 使用率达到特定百分比的所有状况,您可以搜索 CPU 使用率模块并输入百分比值。
您还可以配置响应运行状况事件的邮件、SNMP 或者系统日志警报。运行状况警报是指标准警报和运行状况级别之间的关联。例如,如果要确保设备不会因硬件过载出现故障,您可以设置邮件警报。然后,您可以创建运行状况警报,每当 CPU、磁盘或内存占用率达到您在该设备所应用的运行状况策略中配置的“警告”级别时,就会触发该邮件警报。您可以设置警报阈值,以最小化您收到的重复警报的数量。
注 |
运行状况监控可能需要 5-6 分钟才能生成运行状况警报。 |
如果支持人员要求您为设备生成故障排除文件,您也可以执行此操作。
由于运行状况监控是管理活动,因此只有具有管理员用户角色权限的用户才可以访问系统运行状况数据。
运行状况模块
运行状况模块或运行状况测试会测试您在运行状况策略中指定的条件。
|
模块 |
设备 |
说明 |
||
|---|---|---|---|---|
|
AMP 连接状态 |
威胁防御 |
如果 威胁防御 在初始成功连接后无法连接到 AMP 云或 Cisco AMP 私有云,或者如果私有云无法联系公有 AMP 云,则该模块发出警报。默认情况下已禁用。 |
||
|
面向终端的 AMP 状态 |
管理中心 |
如果 管理中心 在初始成功连接后无法连接到 AMP 云或 Cisco AMP 私有云,或者如果私有云无法联系公有 AMP 云,则该模块发出警报。如果您使用 Cisco Secure EndpointSecure Endpoint 管理控制台撤销注册 AMP 云连接,该模块也发出警报。 |
||
|
面向 Firepower 的 AMP 状态 |
管理中心 |
如果发生以下情况,则该模块发出警报︰
如果 管理中心 丢失与互联网的连接,则系统最多可能需要 30 分钟生成一个运行状况警报。 |
||
|
AMP Threat Grid 连接 |
威胁防御 |
在初始连接成功后,如果 威胁防御 无法连接到 AMP 威胁网格云,则模块警报。 |
||
|
设备心跳 |
管理中心 |
该模块确定设备是否正监听设备心跳并基于设备心跳状态发出警报。 |
||
|
ASP 丢弃 |
威胁防御 |
该模块监控数据平面加速安全路径所放弃的连接。 |
||
|
自动应用旁路 |
威胁防御 |
该模块监控绕过的检测应用 |
||
|
事件积压状态 |
管理中心 |
如果等待从设备传输到 管理中心的事件数据积压已持续增长超过 30 分钟,则该模块警报。 若要减少积压,请评估带宽并考虑减少记录的事件。 |
||
|
CPU 使用率(每个核心) |
管理中心 和 威胁防御 |
该模块检查所有内核的 CPU 使用率是否超载,并在 CPU 使用率超过为该模块配置的百分比时发出警报。警告阈值 % 默认值为 |
||
|
CPU 使用率数据平面 |
威胁防御 |
该模块检查设备上所有数据平面进程的平均 CPU 使用率是否超载,并在 CPU 使用率超过为该模块配置的百分比时发出警报。警告阈值 % 默认值为 |
||
|
Snort 的 CPU 使用情况 |
威胁防御 |
该模块检查设备上所有 Snort 进程的平均 CPU 使用率是否超载,并在 CPU 使用率超过为该模块配置的百分比时发出警报。警告阈值 % 默认值为 |
||
|
系统的 CPU 使用情况 |
威胁防御 |
该模块检查设备上所有系统进程的平均 CPU 使用率是否超载,并在 CPU 使用率超过为该模块配置的百分比时发出警报。警告阈值 % 默认值为 |
||
|
网卡重置 |
传感器 |
该模块检查由于硬件故障而重新启动的网卡,并且在发生重置时发出警报。 |
||
|
机箱环境状态 |
威胁防御 |
此模块监控机箱参数(例如风扇速度和机箱温度),并允许您设置温度的警告阈值和临界阈值。 关键机箱温度(摄氏度) 默认值为 |
||
|
集群/HA 故障转移状态 |
威胁防御 |
该模块监控设备集群的状态。如果发生以下情况,则该模块发出警报︰
|
||
|
数据库大小 |
管理中心 |
此模块检查配置数据库的大小,并在大小超过为该模块配置的值(以千兆字节为单位)时发出警报。 |
||
|
配置资源利用率 |
威胁防御 |
如果已部署的配置的大小使设备面临内存耗尽的风险,此模块会发出警报。 警报会显示您的配置需要多少内存,以及超出可用内存的数量。如果发生此情况,请重新评估您的配置。通常来说,您可以减少访问控制规则或入侵策略的数量或降低其复杂性。 Snort 内存分配
|
||
|
连接统计信息 |
威胁防御 |
此模块监控连接统计信息和 NAT 转换计数。 |
||
|
关键流程统计信息 |
威胁防御 |
该模块监控关键进程的状态、资源消耗和重新启动计数。 |
||
|
已部署配置统计信息 |
威胁防御 |
该模块监控有关已部署配置的统计信息,例如 ACE 数、IPS 规则数。 |
||
|
磁盘状态 |
管理中心 和 威胁防御 |
该模块检测硬盘的性能 和设备上的恶意软件存储包(如果已安装)。 当硬盘和 RAID 控制器(如果安装)存在发生故障的危险时,或者,如果安装的其他安装硬盘驱动器 不是恶意软件包时,该模块生成“警告”(黄色)运行状况警报。当无法检测到已安装恶意软件存储包时,该模块生成“警报”(Warning)(红色)运行状况警报。 |
||
|
磁盘使用情况 |
管理中心 和 威胁防御 |
该模块将设备的硬盘驱动器 和恶意软件存储包 中的磁盘使用率与为该模块配置的限值进行对比,并在使用率超过为模块配置的百分比时发出警报。基于模块阈值,当系统删除过多的监控磁盘使用类别的文件,或者当这些类别以外的磁盘使用率达到过高级别时,该模块也发出警报。有关磁盘使用情况警报故障排除场景的信息,请参阅 磁盘使用率和事件消耗情况运行状况监控警报 。 使用磁盘使用率运行状况模块监控设备上的
|
||
|
事件监控器 |
管理中心 |
该模块监控整体事件传入 管理中心速率。 |
||
|
事件流状态 |
管理中心 |
该模块监控管理使用 管理中心上事件流转换器的第三方客户端应用的连接。 |
||
|
管理中心 访问配置更改 |
管理中心 |
该模块监控使用 配置网络管理-数据-接口 命令直接对 管理中心 设备执行的 FMC 访问配置更改 |
||
|
管理中心 高可用性状态 |
管理中心 |
此模块会对 管理中心的高可用性状态进行监控和发出警报。如果尚未建立 管理中心高可用性,则 HA 状态为未设置高可用性。
|
||
|
威胁防御 HA(裂脑检查) |
威胁防御 |
此模块会对 威胁防御的高可用性状态进行监控和发出警报,并提供拆分情景的运行状况警报。如果尚未建立 威胁防御高可用性,则 HA 状态为未设置高可用性。 |
||
|
文件系统完整性检查 |
管理中心 和 威胁防御 |
如果系统启用了 CC 模式或 UCAPL 模式,或者如果系统运行使用 DEV 密钥签名的映像,则此模块会执行文件系统完整性检查。默认情况下,该模块会被启用。 |
||
|
流分流统计信息 |
威胁防御 |
该模块监控受管设备的硬件流分流统计信息。 |
||
|
硬件告警 |
威胁防御 |
该模块确定物理受管设备上的硬件是否需要更换并基于硬件状态发出警报。该模块还报告与硬件有关的守护程序的状态。 |
||
|
运行状况监视器流程 |
任意 |
该模块监控运行状况监视器本身的状态,并且如果管理中心最后收到运行状况事件后的分钟数超过“警告”或“严重”限值,则发出警报。 |
||
|
运行状况监视器流程 |
任意 |
该模块监控运行状况监视器本身的状态,并且如果管理中心最后收到运行状况事件后的分钟数超过“警告”或“严重”限值,则发出警报。 |
||
|
发现主机限制 |
管理中心 |
此模块确定 管理中心可以监控的主机数量是否即将达到限制,并基于为该模块配置的警告级别发出警报。有关详细信息,请参阅Firepower 系统主机限制。 |
||
|
ISE 连接监控 |
管理中心 |
该模块监控 Cisco 身份服务引擎(ISE)和 管理中心之间的服务器连接状态。ISE 提供其他用户数据、设备类型数据、设备位置数据、SGT(安全组标记)和 SXP(安全交换协议)服务。 |
||
|
内联链路不匹配告警 |
任何受管设备 |
该模块监控与内联集相关的端口,并且如果内联对的两个接口协商不同的速度,则发出警报。 |
||
|
接口状态 |
任意 |
此模块确定设备当前是否收集流量并根据物理接口和汇聚接口的流量状态发出警报。对于物理接口,信息包括接口名称、链路状态和带宽。对汇聚接口,信息包括接口名称、活动链路的数量和总汇聚带宽。 |
||
|
入侵和文件事件率 |
任何受管设备 |
该模块将每秒钟入侵事件的数量与为该模块配置的限值进行对比。如果超过限值,则该模块发出警报。如果入侵和文件事件速率为零,则入侵进程可能已关闭或者受管设备可能没有发送事件。选择,检查是否正从该设备接收事件。 通常,网段的事件速率平均为每秒 20 个事件。对于具有本平均速率的网段,每秒事件(严重)数应设置为
您可以为每种限值设置的最大事件数是 999,“严重”(Critical) 限值必须高于“警告”(Warning) 限值。 |
||
|
许可证监控 |
管理中心 |
该模块监控许可证到期情况。 |
||
|
链路状态传播 |
ISA 3000 |
该模块确定成对的内联集中链路发生故障的时间,并且触发链路状态传播模式。 如果链路状态传播到该对,该模块的状态分类变更为“严重”,并且状态读作: 其中 |
||
|
本地恶意软件分析 |
管理中心 和 威胁防御 |
该模块监控本地恶意软件分析的 ClamAV 更新。 |
||
|
内存使用率 |
任意 |
该模块将设备的内存使用率与为模块配置的限值进行对比,并在使用率超过为该模块配置的级别时发出警报。 对于内存超过 4 GB 的设备而言,基于一个公式来预设警报阈值,该公式计算在可能导致系统问题的可用内存中所占的比例。在内存超过 4 GB 的设备上,因为“警告” 和“严重” 阈值之间的时间间隔可能非常短,所以 Cisco 建议您将 警告阈值 % 值手动设置为 从版本 6.6.0 开始, management center virtual 升级到版本 6.6.0+ 所需的最低 RAM 为 28 GB, management center virtual 部署的建议 RAM 为 32 GB。我们建议您不要降低默认设置:为大多数 management center virtual 实例分配 32 GB RAM,为 management center virtual 300 分配 64 GB(仅限 VMware)。
复杂的访问控制策略和规则可控制重要资源并对性能产生不利影响。 |
||
|
内存使用率数据平面 |
威胁防御 |
此模块检查数据平面进程使用的已分配内存百分比,并在内存使用率超过为该模块配置的百分比时发出警报。警告阈值 % 默认值为 |
||
|
Snort 的内存使用情况 |
威胁防御 |
此模块检查 Snort 进程使用的已分配内存百分比,并在内存使用率超过为该模块配置的百分比时发出警报。警告阈值 % 默认值为 |
||
|
MySQL 统计信息 |
管理中心 |
此模块监控 MySQL 数据库的状态,包括数据库大小、活动连接数和内存使用情况。默认情况下已禁用。 |
||
|
NTP 统计信息 |
威胁防御 |
该模块监控受管设备的 NTP 时钟同步状态。默认情况下已禁用。 |
||
|
Firepower 平台故障 |
威胁防御 |
此模块为 Firepower 1000、2100、3000 系列设备生成平台故障警报,故障是由 管理中心管理的可变对象。每个故障均表示 Firepower 1000、2100、3000 实例中的一个故障或已发出的警报阈值。在一个故障的生命周期中,故障可从一个状态或一种严重性更改为另一个状态或另一种严重性。 每个故障包含有关发生故障时受影响对象的运行状态的信息。如果故障是临时性的并已得到解决,则对象会转换到正常运行状态。 有关详细信息,请参阅 《Cisco Firepower 1000/2100 FXOS 故障和错误消息指南》。 |
||
|
电源 |
物理 管理中心 |
该模块确定设备的电源是否需要更换,并基于电源状态发出警报。 |
||
|
进程状态 |
任意 |
该模块确定设备上的进程是否在进程管理器外部退出或终止。 如果进程在进程管理器外部被故意退出,模块状态变更为“警告”(Warning),并且运行状况事件消息指示哪一个进程被退出,直到该模块再次运行、该进程重新启动为止。如果进程在进程管理器外部异常终止或者崩溃,模块状态变更为“严重”(Critical),并且运行状况事件消息指示被终止的进程,直到该模块再次运行、该进程重新启动为止。 |
||
|
RRD 服务器进程 |
管理中心 |
该模块确定存储时序数据的轮询数据服务器是否正常运行。如果自上次 RRD 服务器更新后其重新启动,则该模块将发出警报;如果在 RRD 服务器重新启动后连续更新的次数达到模块配置中指定的次数,则该模块将输入“严重”或“警告”状态。 |
||
|
RadiusMQ 状态 |
管理中心 |
此模块收集 RabbitMQ 的各种统计信息。 |
||
|
领域 |
任何受管设备 |
允许为领域或用户不匹配设置警告阈值,包括:
|
||
|
Snort 重新配置检测 |
任何受管设备 |
如果设备重新配置失败,则该模块发出警报。 |
||
|
路由统计信息 |
威胁防御 |
该模块监控路由表的当前状态。 |
||
|
SSE 连接状态 |
威胁防御 |
在初始连接成功后,如果 威胁防御 无法连接到 SSE 云,则模块警报。默认情况下已禁用。 |
||
|
安全情报 |
管理中心 |
如果安全情报使用中且 管理中心无法更新源,或者源数据已损坏或不包含可识别的 IP 地址,该模块报警。 另请参阅设备上的威胁数据更新模块。 |
||
|
智能许可证监控 |
管理中心 |
如果发生以下情况,则该模块发出警报︰
|
||
|
Snort 身份内存使用情况 |
威胁防御 |
使您能够在内存使用率超过为模块配置的级别时为 Snort 身份处理和警报设置警告阈值。 临界阈值 % 默认值为 此运行状况模块专门跟踪 Snort 中用于用户身份信息的总空间。它显示当前内存使用情况详细信息,用户到 IP 绑定的总数以及用户组映射详细信息。Snort 在文件中记录这些详细信息。如果内存使用情况文件不可用,则此模块的运行状况警报显示 等待数据。这可能发生在由于新安装或主要更新,从 Snort2 切换到 Snort3 或重新启动或主要策略部署而导致的 Snort 重启期间。根据运行状况监控周期以及当文件可用时,警告会消失,运行状况监控器会显示此模块的详细信息,其状态变为绿色。 |
||
|
Snort 统计信息 |
威胁防御 |
该模块监控事件、流和数据包的 Snort 统计信息。 |
||
|
Snort3 统计信息 |
威胁防御 |
该模块收集和监控 Snort3 统计信息的事件,流和数据包。 |
||
|
智能许可证监控 |
管理中心 |
该模块监控智能许可状态。 |
||
|
Sybase 统计信息 |
管理中心 |
该模块监控上 管理中心Sybase 数据库的状态,包括数据库大小、活动连接数和内存使用情况。 |
||
|
设备中威胁数据更新 |
任意 |
在 管理中心 ,设备用于检测威胁的某些情报数据和配置每 30 分钟会从云进行一次更新。 此模块会提醒您此信息在指定时间段内是否未在设备上更新。 监控的更新包括:
默认情况下,此模块会在 1 小时后发送警告,在 24 小时后发送严重警报。 如果此模块显示 管理中心或任何设备上发生故障,请验证 管理中心是否可以访问这些设备。 |
||
|
时序数据 (RRD) 监视器 |
管理中心 |
该模块跟踪已损坏文件在存储时序数据(例如关联事件计数)的目录中的存在情况,并且在文件标记为已损坏和已移除时发出警报。 |
||
|
时间同步状态 |
管理中心 |
该模块跟踪将 NTP 与 NTP 服务器上的时钟配合使用以获取时间的设备时钟的同步状态,并且在两个时钟的时间差超过十秒钟时发出警报。 |
||
|
URL 过滤监视器 |
管理中心 |
如果 管理中心 未能成功完成以下操作,则此模块会发出警报:
您可以配置这些警报的时间阈值。 另请参阅设备上的威胁数据更新模块。 |
||
|
未解析的组监控 |
管理中心 |
监控策略中使用的未解析组。 |
||
|
VPN 统计信息 |
管理中心 |
此模块监控 Firepower 设备之间的站点到站点和 RA VPN 隧道。 |
||
|
VPN 状态 |
管理中心 |
此模块在 Firepower 设备之间的一个或多个 VPN 隧道关闭时发出警报。 此模块跟踪:
|
||
|
XTLS 计数器 |
威胁防御 |
该模块监控 XTLS/SSL 流、内存和缓存有效性。默认情况下已禁用。 |
)配置运行状况监控
过程
| 步骤 1 |
确定要监控的运行状况模块,如运行状况模块中所述。 您可以为 Firepower 系统中的每种设备设定特定策略、仅为该设备执行适当的测试。
|
||
| 步骤 2 |
将运行状态策略应用到要跟踪运行状态的每台设备,如创建运行状况策略中所述。 |
||
| 步骤 3 |
(可选。)配置运行状况监控器警报,如创建运行状况监控器警报中所述。 您可以设置在运行状况级别达到特定运行状况模块的特定严重性级别时触发的邮件、系统日志或 SNMP 警报。 |
运行状况策略
运行状况策略包含为若干模块配置的运行状况测试标准。您可以控制针对每个设备要运行的运行状况模块,并可配置每个模块运行的测试中所用的具体限值。
当配置运行状况策略时,由您决定是否为该策略启用每个运行状况模块。此外,还可以选择每个已启用模块每次评估进程运行状况时报告的运行状况的控制标准。
您可以创建在系统中每个设备上应用的一个运行状况策略、定制您计划在特定设备上应用的每个运行状况策略,或者使用为您提供的默认运行状况策略。在多域部署中,祖先域中的管理员可以将运行状况策略应用于后代域中的设备,而后代域可以使用这些策略或者将其替换为自定义本地策略。
默认运行状况策略
Cisco Secure Firewall Management Center 设置过程会创建并应用初始运行状况策略,其中大多数(但不是全部)可用的运行状况模块均已启用。系统还会将此初始策略应用于添加到 Cisco Secure Firewall Management Center的设备。
此 初始 运行状况策略基于 默认 运行状况策略,您既不能查看也不能编辑,但可以在创建自定义运行状况策略时进行复制。
升级和默认运行状况策略
升级 FMC 时,任何新的运行状况模块都将添加到所有运行状况策略,包括初始运行状况策略、默认运行状况策略和任何其他自定义运行状况策略。通常,新的运行状况模块以启用状态添加。
注 |
要使新的运行状况模块开始监控和发出警报,请在升级后重新应用运行状况策略。 |
创建运行状况策略
如果要定制用于设备的运行状况策略,您可以创建一个新策略。策略中的设置初始填充您选定为新策略基础的运行状况策略的设置。您可以编辑策略以指定首选项,例如启用或禁用策略中的模块,根据需要更改每个模块的警报条件,并指定运行时间间隔。
在多域部署中,系统会显示在当前域中创建的策略,您可以对其进行编辑。系统还会显示在祖先域中创建的策略,您不可以对其进行编辑。要查看和编辑在较低域中创建的策略,请切换至该域。 祖先域中的管理员可以将运行状况策略应用于后代域中的设备,而后代域可以使用这些策略或者将其替换为自定义本地策略。
过程
| 步骤 1 |
选择系统( |
| 步骤 2 |
点击创建策略。 |
| 步骤 3 |
输入策略的名称。 |
| 步骤 4 |
从 基本策略 下拉列表中选择要用作新策略基础的现有策略。 |
| 步骤 5 |
输入策略的说明。 |
| 步骤 6 |
选择保存。 |
下一步做什么
应用运行状况策略
当您将运行状况策略应用到设备时,您在策略中启用的所有模块的运行状况测试自动监控设备上的进程和硬件的运行状况。然后,运行状况测试继续以您在策略中配置的时间间隔运行,为设备收集运行状况数据并将该数据转发到 Cisco Secure Firewall Management Center。
如果您在运行状况策略中启用一个模块,然后将该策略应用到不需要该运行状况测试的设备,则运行状况监控器报告该运行状况模块的状态为禁用。
如果您将启用所有模块的策略应用到设备中,它从该设备移除所有已应用的运行状况策略,以便不应用任何运行状况策略。
当您将不同的策略应用到已应用策略的设备时,请基于新应用的测试在显示新数据时使用一些延迟。
在多域部署中,系统会显示在当前域中创建的策略,您可以对其进行编辑。系统还会显示在祖先域中创建的策略,您不可以对其进行编辑。要查看和编辑在较低域中创建的策略,请切换至该域。 祖先域中的管理员可以将运行状况策略应用于后代域中的设备,而后代域可以使用这些策略或者将其替换为自定义本地策略。
过程
| 步骤 1 |
选择系统( |
||
| 步骤 2 |
点击要应用的策略旁边的 部署运行策略 ( |
||
| 步骤 3 |
选择要应用运行状况策略的设备。
|
||
| 步骤 4 |
点击应用 (Apply) 以将该策略应用到所选设备上。 |
)下一步做什么
-
或者,监控任务状态;请参阅查看任务消息。
只要成功应用该策略,设备监控即开始。
编辑运行状况策略
在多域部署中,系统会显示在当前域中创建的策略,您可以对其进行编辑。系统还会显示在祖先域中创建的策略,您不可以对其进行编辑。要查看和编辑在较低域中创建的策略,请切换至该域。 祖先域中的管理员可以将运行状况策略应用于后代域中的设备,而后代域可以使用这些策略或者将其替换为自定义本地策略。
过程
| 步骤 1 |
选择系统( |
||
| 步骤 2 |
点击要修改的策略旁边的 编辑( |
||
| 步骤 3 |
要编辑策略名称及其说明,请点击针对策略名称提供的 编辑( |
||
| 步骤 4 |
运行状况模块 选项卡显示所有设备模块及其属性。点击针对模块及其属性提供的切换按钮-打开 (
|
||
| 步骤 5 |
酌情设置 严重 和 警告 阈值比例。 |
||
| 步骤 6 |
在 运行时间间隔 选项卡中,在字段中输入相关值:
|
||
| 步骤 7 |
点击保存。 |
)
)
)下一步做什么
-
如应用运行状况策略中所述,将该运行状况策略应用到每台设备。此选项允许您将应用更改并更新所有受影响策略的策略状态。
删除运行状况策略
您可以删除不再需要的运行状况策略。如果您删除仍然应用于设备的策略,直到您应用不同的策略,该策略设置仍然有效。此外,如果您删除应用到设备的运行状况策略,在您禁用基础的相关警报响应之前,该设备仍在生效的任何运行状况监控警报仍然处于活动状态。
在多域部署中,只能删除在当前域中创建的运行状况策略。
 提示 |
要停止设备的运行状况监控,请创建一个所有模块都禁用的运行状况策略并将其应用到设备。 |
过程
| 步骤 1 |
选择系统( |
| 步骤 2 |
点击要删除的策略旁边的 删除( |
)运行状况监控中的设备排除
在正常的网络维护过程中,您禁用设备或使其暂时不可用。由于此类停运是有意而为,因此您不希望这些设备的运行状态影响 Cisco Secure Firewall Management Center上的摘要运行状态。
您可以使用运行状况监视器排除功能禁用对设备或模块的运行状况监控状态报告。例如,如果您知道一个网段将不可用,因为到该网段上受管设备的连接失效,所以您可以临时禁用对该设备的运行状况监控,以禁止Cisco Secure Firewall Management Center上的运行状况显示警告或严重状态。
当您禁用运行状况监控状态时,仍会生成运行状况事件,但是它们处于禁用状态,不会影响运行状况监视器的运行状况。如果您从排除名单移除设备或模块,排除过程中生成的事件继续显示禁用的状态。
要在设备上临时禁用运行状况事件,请转到排除配置页面并将设备添加至设备排除名单。在设置生效后,系统在计算整体运行状况时,不再考虑列入排除名单的设备。“运行状况监控设备状态摘要”(Health Monitor Appliance Status Summary) 列出处于禁用状态的设备。
您还可以禁用单个运行状况模块。例如,当在 Cisco Secure Firewall Management Center上达到主机限制时,可以将 主机限制状态消息禁用。
请注意,在“运行状况监控”主页面,如果您通过点击该状态行上的箭头来展开以查看具有特定状态的设备列表,就可以区分被排除的设备。
注 |
在 Cisco Secure Firewall Management Center,运行状况监视器排除设置是本地配置设置。因此,如果您将设备排除,接着将其删除,然后使用 Cisco Secure Firewall Management Center重新注册,排除设置保持不变。最近重新注册的设备仍旧被排除。 |
在多域部署中,祖先域中的管理员可以将后代域中的设备或运行状况模块排除。但是,后代域中的管理员可以覆盖祖先配置并清除其域中设备的排除。
从运行状况监控中排除设备
您可以单独或按组、型号或关联运行状况策略将设备排除。
如果需要将单个设备的事件和运行状况设置为禁用,您可以将该设备排除。在排除设置生效后,该设备在“运行状况监控设备模块摘要”中显示为已禁用,并且该设备的运行状况事件的状态为已禁用。
在多域部署中,将祖先域中的设备排除会针对所有后代域将该设备排除。后代域可以覆盖此继承配置并清除排除。您只能在全局级别将 Cisco Secure Firewall Management Center 排除。
过程
| 步骤 1 |
选择系统( |
| 步骤 2 |
点击添加设备。 |
| 步骤 3 |
在 设备排除 对话框中的 可用设备下,点击 添加( |
| 步骤 4 |
点击 排除。所选设备显示在排除项主页中。 |
| 步骤 5 |
要从排除项列表中删除设备,请点击 删除( |
| 步骤 6 |
点击应用。 |
)下一步做什么
排除运行状况策略模块
您可以将设备上的单个运行状况策略模块排除。您可能想要执行此操作以禁止来自模块的事件将设备的状态变更为警告或严重。
排除项设置生效后,设备会显示设备中从运行状况监控中排除的模块数量。
提示 |
确保您跟踪单独排除的模块,以便您可以在需要时重新激活它们。如果您意外地禁用模块,则可能漏掉所需的警告或严重消息。 |
在多域部署中,祖先域中的管理员可以将后代域中的运行状况模块排除。但是,后代域中的管理员可以覆盖此祖先配置,并清除在其域中应用的策略的排除。您只能在全局级别将 Cisco Secure Firewall Management Center 运行状况模块排除。
过程
| 步骤 1 |
选择系统( |
| 步骤 2 |
点击要修改的设备旁边的 编辑( |
| 步骤 3 |
在 排除运行状况 模块对话框中,默认情况下,设备的所有模块都从运行状况监控中排除。某些模块仅适用于特定设备;有关详细信息,请参阅运行状况模块。 |
| 步骤 4 |
要指定设备的排除持续时间,请从 排除周期 下拉列表中选择持续时间。 |
| 步骤 5 |
要选择要从运行状况监控中排除的模块,请点击 启用模块级别排除 链接。 排除运行状况模块 对话框显示设备的所有模块。默认情况下,禁用不适用于关联运行状况策略的模块。要排除模块,请执行以下操作:
|
| 步骤 6 |
如果为排除项配置选择 排除周期 而不是 永久,则可以选择在配置到期时自动将其删除。要启用此设置,请选中 自动删除过期配置 复选框。 |
| 步骤 7 |
点击确定。 |
| 步骤 8 |
在设备排除主页中,点击 应用。 |
)过期的运行状况监控器排除项
当设备或模块的排除期限到期时,您可以选择清除或更新排除项。
过程
| 步骤 1 |
选择系统( 设备上会显示 警告( |
| 步骤 2 |
要更新设备排除项,请点击设备旁边的 编辑( |
| 步骤 3 |
要清除排除设备,请点击设备旁边的 删除( |
| 步骤 4 |
要更新或清除模块排除项,请点击设备旁边的 编辑( |
运行状况监控器警报
您可以设置警报以在运行状况策略中的模块状态变更时,通过邮件、SNMP 或系统日志通知您。您可以将现有警报响应与运行状况事件级别相关联,以在特定级别的运行状况事件发生时触发和发出警报。
例如,如果您担心设备可能用尽硬盘空间,可以在剩余磁盘空间达到警告级别时自动向系统管理员发送一封邮件。如果硬盘驱动器继续加载,您可以在硬盘驱动器达到严重性级别时发送第二封邮件。
在多域部署中,只能查看和修改在当前域中创建的运行状况监控器警报。
运行状况监控器警报信息
运行状况监视器生成的警报包含以下信息:
-
严重程度,指明警报的严重性级别。
-
模块,指定其测试结果触发警报的运行状况模块。
-
说明,包括触发警报的运行状况测试结果。
下表介绍了这些严重级别。
|
严重性 |
说明 |
|---|---|
|
严重 |
运行状况测试结果符合触发“严重”(Critical) 警报状态的标准。 |
|
警告 |
运行状况测试结果符合触发“警告”(Warning) 警报状态的标准。 |
|
正常状态 |
运行状况测试结果符合触发“正常”(Normal) 警报状态的标准。 |
|
错误 |
运行状况测试未运行。 |
|
已恢复 |
运行状况测试结果符合在“严重”(Critical) 或“警告”(Warning) 警报状态之后返回到正常警报状态的条件。 |
创建运行状况监控器警报
您必须是管理员用户才能执行此程序。
当您创建运行状况监控器警报时,您可以在严重性级别、运行状况模块和警报响应之间建立关联。您可以使用现有警报或特别配置新的警报以报告系统运行状况。当选定的模块发生严重性级别时,警报触发。
如果您以复制现有阈值的方式创建或更新阈值,将会收到冲突通知。当存在重复的阈值时,运行状况监控器使用生成最少警报的阈值并忽略其他阈值。该阈值的超时值必须介于 5 和 4,294,967,295 分钟之间。
在多域部署中,只能查看和修改在当前域中创建的运行状况监控器警报。
开始之前
-
配置用于管理 Cisco Secure Firewall Management Center与 SNMP、系统日志或邮件服务器(用于发送运行状况警报)通信的警报响应;请参阅Cisco Secure Firewall Management Center 警报响应。
过程
| 步骤 1 |
选择系统( |
| 步骤 2 |
点击 Add。 |
| 步骤 3 |
在 添加运行状况警报 对话框,在 运行状况警报名称 字段输入运行状况警报的名称。 |
| 步骤 4 |
从 严重性 下拉列表中,选择要用于触发警报的严重性级别。 |
| 步骤 5 |
从 警报 下拉列表中,选择在达到指定的严重性级别时要触发的警报响应。如果尚未 配置警报响应,请点击 警报 以访问 警报 页面并进行设置。 |
| 步骤 6 |
从 运行状况模块 列表中选择要为其应用警报的运行状况策略模块。 |
| 步骤 7 |
或者,在阈值超时 (Threshold Timeout) 字段中,输入在每个阈值期间结束和阈值计数重置之前应经过的分钟数。 即使策略运行时间间隔值小于阈值超时值,给定模块中报告的两个运行状况事件之间的间隔始终较大。例如,如果将阈值超时更改为 8 分钟,并且策略运行时间间隔为 5 分钟,则报告的事件之间的时间间隔为 10 (5 x 2) 分钟。 |
| 步骤 8 |
点击保存 (Save) 保存运行状况警报。 |
编辑运行状况监控器警报
您必须是管理员用户才能执行此程序。
您可以编辑现有运行状况监视器警报以更改与运行状况监控器警报相关的严重性级别、运行状况模块或警报响应。
在多域部署中,只能查看和修改在当前域中创建的运行状况监控器警报。
过程
| 步骤 1 |
选择系统( |
| 步骤 2 |
点击针对您要修改的所需运行状况警报提供的 编辑( |
| 步骤 3 |
在 编辑运行状况警报 对话框中,从 警报 下拉列表中选择所需的警报条目,或点击 警报 链接以配置新的警报条目。 |
| 步骤 4 |
点击保存。 |
删除运行状况监控器警报
在多域部署中,只能查看和修改在当前域中创建的运行状况监控器警报。
过程
| 步骤 1 |
选择系统( |
| 步骤 2 |
点击要删除的运行状况警报旁边的 删除( |
下一步做什么
-
禁用或删除基础警报响应,以确保不会继续发出警报;请参阅Cisco Secure Firewall Management Center 警报响应。
使用运行状况监控器
您必须是管理员、运维或安全分析师用户才能执行此程序。
运行状况监控器为 Cisco Secure Firewall Management Center管理的所有设备以及 Cisco Secure Firewall Management Center提供已编译的运行状况。运行状况监控器由以下部分组成:
-
运行状况摘要页面 - 提供 Cisco Secure Firewall Management Center 和 管理中心 管理的所有设备的运行状况概览视图。设备将单独列出,或根据其地理位置、高可用性或集群状态(如果适用)进行分组。
-
将鼠标悬停在表示设备运行状况的六边形上时,可查看 管理中心 和任何设备的运行状况摘要。
-
设备左侧的点表示其运行状况:
-
绿色 ― 无警报。
-
橙色 — 至少一个运行状况警告。
-
红色 ― 至少一个严重运行状况警报。
-
-
-
监控导航窗格 — 允许您导航设备层次结构。您可以从导航窗格查看各个设备的运行状况监控器。
在多域部署中,祖先域中的运行状况监控器显示所有后代域中的数据。在后代域中,它仅显示当前域中的数据。
过程
| 步骤 1 |
选择系统( |
||
| 步骤 2 |
在 运行状况 登录页面中查看 管理中心 及其受管设备的状态。
|
||
| 步骤 3 |
使用监控导航窗格访问设备特定的运行状况监控器。使用监控导航窗格时:
|
)
)下一步做什么
-
有关由 Cisco Secure Firewall Management Center管理的任何设备的已编译运行状况和指标的信息,请参阅 设备运行状况监控器 。
-
有关 Cisco Secure Firewall Management Center运行状况的信息,请参阅 使用 管理中心 运行状况监控器 。
要随时返回运行状况登录页面,请点击 主页。
使用 管理中心 运行状况监控器
您必须是管理员、运维或安全分析师用户才能执行此程序。
管理中心 监控器提供 Cisco Secure Firewall Management Center的运行状态的详细视图。运行状况监控器由以下部分组成:
-
高可用性(如果已配置)―高可用性 (HA) 面板显示当前 HA 状态,包括主用和备用设备的状态、上次同步时间和整体设备运行状况。
-
事件速率―“事件速率”面板将最大事件速率显示为基准,以及 管理中心接收的整体事件速率。
-
事件容量―“事件容量”面板按事件类别显示当前消耗量,包括事件的保留时间、当前事件容量与最大事件容量,以及容量溢出机制,其中 管理中心在存储的事件超出配置的最大容量时向您发出警报。
-
进程运行状况―“进程运行状况”面板提供关键进程的概览视图,以及一个选项卡,可让您查看所有已处理进程的状态,包括每个进程的 CPU 和内存使用情况。
-
CPU―“CPU” 面板允许您在平均 CPU 使用率(默认)和所有核心的 CPU 使用率之间切换。
-
内存―“内存”面板显示 管理中心上的整体内存使用情况。
-
接口―“接口”面板显示所有接口的平均输入和输出速率。
-
磁盘使用―“磁盘”使用面板显示整个磁盘的使用情况,以及存储 管理中心 数据的关键分区的使用情况。
提示 |
在会话处于不活动状态达到 1 小时(或配置的其他时间间隔)之后,会话通常注销。如果计划长时间被动监控运行状态,请考虑免除某些用户发生会话超时,或者更改系统超时设置。有关详细信息,请参阅 添加内部用户 和 配置会话超时 。 |
过程
| 步骤 1 |
选择系统( |
| 步骤 2 |
使用 监控 导航窗格访问 管理中心 和设备特定的运行状况监控器。
|
| 步骤 3 |
了解 管理中心 控制面板。 管理中心 控制面板包括 管理中心 的 HA 状态摘要视图(如果已配置),以及 管理中心 进程和设备指标(例如 CPU、内存和磁盘使用情况)的概览视图。 |
运行设备的所有模块
您必须是管理员、运维或安全分析师用户才能执行此程序。
在您创建运行状况策略时配置的策略运行时间间隔内,运行状况模块测试自动运行。但是,您也可以按需运行所有运行状况模块测试,以收集该设备的最新运行状况信息。
在多域部署中,可以运行当前域和任何后代域中的设备的运行状况模块测试。
过程
| 步骤 1 |
查看设备的运行状况监控器。 |
||
| 步骤 2 |
点击运行所有模块 (Run All Modules)。状态栏指示测试进程,然后“运行状况监控设备”(Health Monitor Appliance) 页面刷新。
|
运行特定运行状况模块
您必须是管理员、运维或安全分析师用户才能执行此程序。
在您创建运行状况策略时配置的策略运行时间间隔内,运行状况模块测试自动运行。但是,您也可以按需运行一个运行状况模块测试以收集该模块的最新运行状况信息。
在多域部署中,可以运行当前域和任何后代域中的设备的运行状况模块测试。
过程
| 步骤 1 |
查看设备的运行状况监控器。 |
||
| 步骤 2 |
在模块状态摘要 (Module Status Summary) 图形中,点击要查看的运行状况警报状态类别的颜色。 |
||
| 步骤 3 |
在要查看其事件列表的警报的警报详细信息 (Alert Detail) 行,请点击运行 (Run)。 状态栏指示测试进程,然后“运行状况监控设备”(Health Monitor Appliance) 页面刷新。
|
生成运行状况模块警报图形
您必须是管理员、运维或安全分析师用户才能执行此程序。
您可以图表表示特定设备的特定运行状况测试的一段时间内的结果。
过程
| 步骤 1 |
查看设备的运行状况监控器。 |
||
| 步骤 2 |
在“运行状况监控设备”(Health Monitor Appliance) 页面的模块状态摘要 (Module Status Summary) 图形中,点击要查看的运行状况警报状态类别的颜色。 |
||
| 步骤 3 |
在要查看其事件列表的警报的 Alert Detail 行,请点击 Graph。
|
设备运行状况监控器
设备运行状况监控器为 Cisco Secure Firewall Management Center管理的任何设备提供已编译的运行状况。设备运行状况监控器收集 Firepower 设备的运行状况指标,以便预测和响应系统事件。设备运行状况监控器由以下组件组成:
-
系统详细信息 - 显示有关受管设备的信息,包括已安装的 Firepower 版本和其他部署详细信息。
-
故障排除和链接 - 提供常用故障排除主题和程序的便捷链接。
-
运行状况警报 - 运行状况警报监控器提供设备运行状况的概览视图。
-
时间范围 - 用于限制各种设备指标窗口中显示的信息的可调时间窗口。
-
设备指标 - 跨预定义控制面板分类的一系列关键 Firepower 设备运行状况指标,包括:
-
CPU - CPU 利用率,包括按进程和物理核心划分的 CPU 使用情况。
-
内存 - 设备内存使用率,包括数据平面和 Snort 内存使用率。
-
接口 - 接口状态和汇聚流量统计信息。
-
连接 - 连接统计信息(例如大象流、活动连接、峰值连接等)和 NAT 转换计数。
-
Snort - 与 Snort 进程相关的统计信息。
-
磁盘使用率 - 设备磁盘使用率,包括磁盘大小和每个分区的磁盘使用率。
-
关键进程 - 与托管进程相关的统计信息,包括进程重新启动和其他选定的运行状况监控器,例如 CPU 和内存使用率。
-
查看系统详细信息和故障排除
您必须是管理员、运维或安全分析师用户才能执行此程序。
“系统详细信息”部分提供所选设备的常规系统信息。您还可以启动该设备的故障排除任务。
过程
| 步骤 1 |
选择系统( 使用监控导航窗格访问设备特定的运行状况监控器。 |
| 步骤 2 |
在设备列表中,点击 展开( |
| 步骤 3 |
点击设备可查看设备特定的运行状况监控器。 |
| 步骤 4 |
点击 查看系统和故障排除详细信息...的链接 默认情况下,此面板处于折叠状态。点击链接可展开折叠部分,以查看设备的 系统详细信息 和 故障排除和链接 。系统详细信息包括:
|
| 步骤 5 |
有以下故障排除选项可供选择:
|
查看设备运行状况监控器
您必须是管理员、运维或安全分析师用户才能执行此程序。
设备运行状况监控器提供防火墙设备的运行状态的详细视图。设备运行状况监控器会编译设备指标,并在一系列控制面板中提供设备的运行状况和趋势。
过程
| 步骤 1 |
选择系统( 使用监控导航窗格访问设备特定的运行状况监控器。 |
| 步骤 2 |
在设备列表中,点击 展开( |
| 步骤 3 |
在设备名称右侧的页面顶部的警报通知中查看设备的运行状况警报 (Health Alerts)。 将鼠标指针悬停在运行状况警报 (Health Alerts) 上可查看设备的运行状况摘要。弹出窗口显示前五个运行状况警报的截断摘要。点击弹出窗口可打开运行状况警报摘要的详细视图。 |
| 步骤 4 |
您可以从右上角的下拉列表中配置时间范围。您可以更改时间范围以反映短至前一小时(默认),或长至前一年的时间周期信息。从下拉列表中选择自定义 (Custom) 以配置自定义开始和结束日期。 点击刷新图标可将自动刷新设置为 5 分钟或关闭自动刷新。 |
| 步骤 5 |
点击“部署”图标,在趋势图上根据所选时间范围显示部署重叠。 部署图标指示所选时间范围内的部署数量。垂直条带表示部署开始和结束时间。在多个部署的情况下,将显示多个频段/行。点击虚线顶部的图标可查看部署详细信息。 |
| 步骤 6 |
默认情况下,设备监控器会在多个预定义的控制面板中报告这些运行状况和性能。指标控制面板包括:
您可以通过点击标签浏览各种指标控制面板。有关支持的设备指标的全面列表,请参阅 Firepower 设备指标 。 |
| 步骤 7 |
点击设备监控器右上角的加号 (+),通过从可用指标组构建您自己的变量集来创建自定义关联控制面板;请参阅 关联设备指标。 |
关联设备指标
您必须是管理员、运维或安全分析师用户才能执行此程序。
设备运行状况监控器包括一系列用于预测和响应系统事件的关键 Firepower 设备指标。任何 Firepower 设备的运行状况都可以通过这些报告的指标来确定。
默认情况下,设备监控器会在多个预定义的控制面板中报告这些指标。这些控制面板包括:
-
概述 ― 突出显示其他预定义控制面板中的关键指标,包括 CPU、内存、接口、连接统计信息;以及磁盘使用情况和关键进程信息。
-
CPU - CPU 利用率,包括按进程和物理核心划分的 CPU 使用情况。
-
内存 - 设备内存使用率,包括数据平面和 Snort 内存使用率。
-
接口 - 接口状态和汇聚流量统计信息。
-
连接 - 连接统计信息(例如大象流、活动连接、峰值连接等)和 NAT 转换计数。
-
Snort - 与 Snort 进程相关的统计信息。
-
ASP 丢包 - 与加速安全路径 (ASP) 性能和行为相关的统计信息。
您可以添加自定义控制面板来关联相互关联的指标。从预定义的关联组中选择,例如 CPU 和 Snort;或通过从可用指标组构建您自己的变量集来创建自定义关联控制面板。
开始之前
要在运行状况监控控制面板中查看和关联时间序列数据(设备指标),请启用 REST API()。
注 |
关联设备指标仅适用于 威胁防御 6.7 及更高版本。因此,对于 6.7 之前的 威胁防御 版本,即使启用 REST API,运行状况监控控制面板也不会显示这些指标。 |
过程
| 步骤 1 |
选择系统( 使用监控导航窗格访问设备特定的运行状况监控器。 |
| 步骤 2 |
在设备列表中,点击 展开( |
| 步骤 3 |
点击设备监控器右上角的加号 (+) 以添加新的控制面板。 |
| 步骤 4 |
从选择关联组 (Select Correlation Group) 下拉列表中,选择预定义的关联组或创建自定义组。 |
| 步骤 5 |
要从预定义的关联组创建控制面板,请选择该组,然后点击添加 (Add)。
|
| 步骤 6 |
要创建自定义关联控制面板,请执行以下操作:
|
| 步骤 7 |
点击 添加指标 以从另一个组中添加和选择指标。 |
| 步骤 8 |
要删除单个指标,请点击项目右侧的 x 。单击删除图标(垃圾桶)可删除该组。 |
| 步骤 9 |
点击添加 (Add) 以完成工作流程并将控制面板添加到运行状况监控器。 |
| 步骤 10 |
您可以编辑或删除自定义关联控制面板。 |
Firepower 设备指标
以下各节介绍 Firepower 威胁防御设备提供的运行状况指标。
CPU 组指标
运行状况监控器跟踪与 CPU 使用率相关的统计信息,包括按进程和物理核心划分的 CPU 使用情况。
|
指标 |
说明 |
格式 |
|---|---|---|
|
控制平面 |
控制平面过去一分钟的平均 CPU 使用率。 |
% |
|
数据平面 |
数据平面过去一分钟的平均 CPU 使用率。 |
% |
|
Snort |
Snort 进程最近一分钟的平均 CPU 使用率。 |
% |
|
系统 |
最近一分钟系统进程的平均 CPU 使用率。 |
% |
|
物理核心 |
最后一分钟所有核心的平均 CPU 使用率。 |
% |
内存组指标
运行状况监控器跟踪与设备内存使用率相关的统计信息,包括数据平面和 Snort 内存使用情况。
|
指标 |
说明 |
格式 |
|---|---|---|
|
缓冲区缓存 |
缓冲区缓存。 |
bytes |
|
空闲 |
总可用内存。 |
bytes |
|
最大数据平面 |
数据平面使用的最大内存。 |
bytes |
|
最大 Snort |
Snort 进程使用的最大内存。 |
bytes |
|
Snort 最大切换 |
Snort 进程使用的最大交换内存。 |
bytes |
|
剩余内存块 (1550) |
1550 字节块中的可用内存。 |
数字 |
|
剩余内存块 (256) |
256 字节块中的可用内存。 |
数字 |
|
已用系统 |
系统使用的总内存。 |
bytes |
|
总数 |
总可用内存。 |
bytes |
|
总计切换 |
可用于 swap 的总内存。 |
bytes |
|
数据平面 |
数据平面使用的总内存。 |
bytes |
|
数据平面使用百分比 |
数据平面使用内存百分比。 |
% |
|
Snort 使用百分比 |
Snort 进程使用内存百分比。 |
% |
|
用于交换的百分比 |
用于交换的内存百分比。 |
% |
|
系统使用百分比 |
系统使用内存百分比。 |
% |
|
系统和 Swap 使用百分比 |
系统和交换空间组合使用内存百分比。 |
% |
|
Snort |
Snort 进程使用的总内存。 |
bytes |
|
已使用切换 |
用于交换的总内存。 |
bytes |
|
Snort 已使用的切换 |
Snort 进程使用的总交换内存。 |
bytes |
接口组指标
运行状况监控器跟踪与设备接口相关的统计信息,包括接口状态和汇聚流量统计信息。
|
指标 |
说明 |
格式 |
|---|---|---|
|
丢弃数据包 |
丢弃的数据包数。 |
数字 |
|
平均输入数据包大小 |
传入数据包的平均大小。 |
bytes |
|
输入速率 |
总传入字节数。 |
bytes |
|
输入包数 |
总传入数据包数。 |
数字 |
|
平均输出数据包大小 |
传出数据包的平均大小。 |
bytes |
|
输出速率 |
传出总字节数。 |
bytes |
|
输出包数 |
传出数据包总数。 |
数字 |
|
状态 |
接口的状态; 1 表示开启,0 表示关闭。 |
1 或 0 |
连接组指标
健康监控器跟踪与连接和 NAT 转换计数相关的统计。
|
指标 |
说明 |
格式 |
||
|---|---|---|---|---|
|
大象流 |
显示活动大象流数。 大象流是指大到足以影响整体系统性能的连接。默认情况下,大象流是速率大于每 10 秒 1GB 的流。您可以使用 系统支持大象流检测 命令调整字节和时间阈值,以在 威胁防御 CLI 中识别大象流。
|
数字 |
||
|
使用中的连接 |
显示正在使用的连接数。 |
数字 |
||
|
峰值连接 |
显示最大同时连接数。 |
数字 |
||
|
每秒连接总数 |
所有连接类型的每秒连接数。 |
数字 |
||
|
每秒 TCP 连接数 |
TCP 连接类型的每秒连接数。 |
数字 |
||
|
每秒 UDP 连接数 |
UDP 连接类型的每秒连接数。 |
数字 |
||
|
保留已启用的连接 |
在 Snort 进程关闭时保留路由和透明接口上的现有 TCP/UDP 连接。 |
数字 |
||
|
保留的连接 |
当前启用了保留连接的连接。 |
数字 |
||
|
保留启用最多的连接 |
保留的最大连接数。 |
数字 |
||
|
保留的连接峰值 |
保留的最大高峰连接数。 |
数字 |
||
|
NAT 转换 |
显示转换计数。 |
数字 |
||
|
NAT 转换峰值 |
一次显示并发转换的历史最大值。 |
数字 |
Snort 组指标
运行状况监控器跟踪与 Snort 进程相关的统计信息。
|
指标 |
说明 |
格式 |
|---|---|---|
|
阻止的列表流 |
Snort 在策略配置中丢弃的流数。 |
数字 |
|
被阻止的数据包 |
被阻止的数据包的数量。 |
数字 |
|
被拒绝的流 |
被拒绝的流事件的数量。当数据平面决定在将流发送到 Snort 之前丢弃流时,数据平面进程会向 Snort 发送拒绝流事件 |
数字 |
|
流结束 |
当快速路径流结束时,数据平面会向 Snort 发送流结束事件。 |
数字 |
|
快速转发的流 |
由策略快速转发并因此未检查的流的数量。 |
数字 |
|
已丢弃转发自数据平面的帧 |
已丢弃转发自数据平面的帧数。 |
数字 |
|
已丢弃注入数据包 |
Snort 添加到已丢弃的流量流的数据包数。 |
数字 |
|
注入的数据包 |
Snort 创建并添加到流量流的数据包数。例如,如果配置具有重置操作的阻止,Snort 会生成数据包以重置连接。 |
数字 |
|
实例 (Instances) |
Snort 实例数(进程)。 |
数字 |
|
数据包接收队列的利用率百分比 |
数据平面接收队列的队列利用率。 |
% |
|
由于 Snort 繁忙而绕过的数据包 |
当 Snort 太忙而无法处理数据包时,绕过检测的数据包的数量。 |
数字 |
|
由于 Snort 关闭而绕过的数据包 |
Snort 关闭时绕过检测的数据包数量。 |
数字 |
|
由于 RX 队列已满而绕过的数据包 |
由于接收队列已满而绕过的数据包数。 |
数字 |
|
由于 TX 队列已满而绕过的数据包 |
由于传输队列已满而绕过的数据包数。 |
数字 |
|
通过的流 |
从数据平面发送到 Snort 的数据包数。 |
数字 |
|
流开始 |
流开始事件的数量。这些事件有助于 Snort 跟踪连接并报告连接事件。 |
数字 |
ASP 丢弃指标
运行状况监控器跟踪与加速安全路径 (ASP) 丢弃的数据包或连接相关的统计信息。
|
指标 |
说明 |
格式 |
|---|---|---|
|
超出连接限制 |
计算超出连接限制时关闭的流数。 |
数字 |
|
达到连接限制 |
统计在超出连接限制或主机连接限制时被丢弃的数据包数。 |
数字 |
|
L2 规则丢弃 |
统计由于第 2 层 ACL 而被拒绝的数据包的数量。 |
数字 |
|
L2 规则 VXLAN 丢弃 |
统计由于在应用第 2 层 ACL 检查时未能找到 VXLAN out_tag 而被拒绝的数据包数。 |
数字 |
|
NAT 逆向路径失败 |
统计拒绝尝试使用转换后的主机实际地址连接到转换后的主机的次数。 |
数字 |
|
NAT 失败 |
统计尝试创建 xlate 以转换 IP 或传输报头的失败次数。 |
数字 |
|
没有有效的 v4 邻接 |
对安全设备尝试获取邻接关系但无法获取下一跳 (IPv4) 的 MAC 地址时丢弃的数据包的数量进行计数。 |
数字 |
|
没有有效的 v6 邻接 |
对安全设备尝试获取邻接关系但无法获取下一跳 (IPv6) 的 MAC 地址时丢弃的数据包的数量进行计数。 |
数字 |
|
被 Snort 列入阻止列表的数据包;被 Snort 阻止的数据包 |
对 Snort 模块请求的数据包进行计数。 |
数字 |
|
丢帧 - Snort 繁忙;丢帧 - Snort down;丢帧 - Snort 丢弃 |
对由于 Snort 模块繁忙且无法处理帧而丢弃的帧进行计数; Snort 模块已关闭; Snort 模块请求丢弃。 |
数字 |
|
达到调度队列限制 |
计算设备的负载均衡 ASP 调度程序达到其队列限制的次数。当尝试更多数据包时,会发生尾部丢弃,并且此计数器递增。 |
数字 |
|
目标 MAC L2 查找失败 |
计算失败的第 2 层目的 MAC 地址查找的次数。一旦查找失败,设备将开始目标 MAC 发现过程,并尝试通过 ARP 和/或 ICMP 消息查找主机的位置。 |
数字 |
|
检测失败 |
计算设备未能启用网络处理器对连接执行的协议检测的次数。原因可能是内存分配失败,或者对于 ICMP 错误信息,设备无法找到与 ICMP 错误信息中嵌入的帧相关的任何已建立的连接。 |
数字 |
|
NAT 无 PAT 池的 xlate |
统计未找到目标与 PAT 池中的映射地址相匹配的连接的现存 xlate 的次数。 |
数字 |
|
无主机路由 |
计算安全设备尝试从接口发送数据包但未在路由表中找到该接口的路由的次数。 |
数字 |
|
丢包数占排队数据包数的比例 |
计算设备收到已在无序数据包队列中的重新传输的数据包时丢弃的数据包数。 |
数字 |
|
已排队等待检测的数据段数达到上限 |
对于流,排队等待检查器的数据包数量已达到限制,因此会终止该流。 |
数字 |
|
被 Snort 阻止或列入阻止列表 |
统计 Snort 模块所请求的数据包被丢弃的次数。 |
数字 |
|
被 Snort 静默丢弃的数据包 |
统计 Snort 模块请求的数据包被静默丢弃的次数。 |
数字 |
|
未同步的第一个 TCP 数据包 |
统计作为非拦截和非固定连接的首个数据包收到非 SYN 数据包的次数。 |
数字 |
已部署的配置组指标
运行状况监控器跟踪有关已部署配置的统计信息,例如 IPS 规则数和 ACE 数。
|
指标 |
说明 |
格式 |
|---|---|---|
|
ACE 数 |
访问控制条目 (ACE) 数或规则。访问控制列表 (ACL) 由一个或多个 ACE 组成。 |
数字 |
|
规则数 |
入侵策略中的规则数量。 |
数字 |
磁盘组指标
运行状况监控器跟踪与设备磁盘使用情况相关的统计信息,包括每个分区的磁盘大小和磁盘利用率。
|
指标 |
说明 |
格式 |
|---|---|---|
|
总数 |
设备磁盘的总大小。 |
bytes |
|
已使用 |
设备磁盘上使用的总空间。 |
bytes |
|
/ngfw 使用量 (%) |
/ngfw 分区使用的磁盘空间百分比。 |
% |
|
/ngfw/Volume 使用量 (%) |
/ngfw/Volume 分区使用的磁盘空间百分比。 |
% |
|
/dev/cgroups 使用量 (%) |
/dev/cgroups 分区使用的磁盘空间百分比。 |
% |
|
/mnt/disk0 使用量 (%) |
/mnt/disk0 分区使用的磁盘空间百分比。 |
% |
|
/var/volatile 使用量 (%) |
/var/volatile 分区使用的磁盘空间百分比。 |
% |
关键进程组指标
运行状况监控器跟踪与受管进程的进程重启相关的统计信息。此外,对于每个关键进程,运行状况监控器会跟踪 CPU 利用率、内存利用率、正常运行时间和状态。
|
指标 |
说明 |
格式 |
|---|---|---|
|
CPU 利用率 |
控制平面和数据平面组合的平均 CPU 使用率(最后一分钟)。 |
% |
|
重新启动计数 |
控制平面过去一分钟的平均 CPU 使用率。 |
% |
|
状态 |
数据平面过去一分钟的平均 CPU 使用率。 |
% |
|
正常运行时间 |
Snort 进程最近一分钟的平均 CPU 使用率。 |
% |
|
已用内存 |
最近一分钟系统进程的平均 CPU 使用率。 |
% |
运行状况监控器状态类别
可用状态类别按严重性在下表中列出。
|
状态级别 |
状态图标 |
饼形图中的状态颜色 |
说明 |
|---|---|---|---|
|
错误 |
错误( ) |
黑色 |
表示设备中的至少一个运行状况监控模块出现故障,并且自故障发生后未能成功重新运行。请与您的技术支持代表联系以获得对运行状况监控模块的更新。 |
|
严重 |
严重( ) |
红色 |
表示对于设备中的至少一个运行状况模块而言,已超过严重限值,并且该问题尚未解决。 |
|
警告 |
 ) |
黄色 |
表示对于设备中的至少一个运行状况模块而言,已超过警告限值,并且该问题尚未解决。 此状态还表示一种过渡状态,在这种状态下,由于设备配置发生更改,所需数据暂时不可用或无法处理。根据监控周期,此过渡状态会自动更正。 |
|
正常 |
 ) |
绿色 |
表示设备中的所有运行状况模块都在应用于该设备的健康策略中配置的限值内运行。 |
|
已恢复 |
已恢复() |
绿色 |
表示设备中的所有运行状况模块(包括处于“严重”或“警告”状态的模块)都在应用于该设备的运行状况策略中配置的限值内运行。 |
|
禁用 |
已禁用( ) |
蓝色 |
表示设备被禁用或排除,设备没有应用运行状况策略,或者设备当前无法访问。 |
运行状况事件视图
通过“运行状况事件视图”页面,您可以查看由运行状况监控器在 Cisco Secure Firewall Management Center日志运行状况事件中记录的运行状况事件。完全可自定义的事件视图使您可以快速轻松地分析运行状况监控器所收集的运行状况事件。可以搜索事件数据,以便轻松访问可能与正调查的事件有关的其他信息。如果您了解每个运行状况模块测试的条件,就可以更有效地配置运行状况事件的警报。
可以在运行状况事件视图页面执行许多标准事件视图功能。
查看运行状况事件
您必须是管理员、运维或安全分析师用户才能执行此程序。
“运行状况事件表视图”(Table View of Health Events) 页面提供指定设备上所有运行状况事件的列表。
当您在Cisco Secure Firewall Management Center中从 Health Monitor 页面访问运行状况事件时,您可以检索所有受管设备的所有运行状况事件。
在多域部署中,可以查看当前域和任何后代域的数据。不能从更高级别的域或同级域查看数据。
提示 |
您可以为该视图添加书签,使您可以返回到其中包含事件的运行状况事件表的运行状况事件工作流程页面。加入书签的视图检索您当前正查看的时间范围内的事件,但是如果需要,您可以稍后修改时间范围以使用较新的信息更新该表。 |
过程
|
选择系统(
|
按模块和设备查看运行状况事件
过程
| 步骤 1 |
查看设备的运行状况监控器;请参阅查看设备运行状况监控器。 |
| 步骤 2 |
在模块状态摘要 (Module Status Summary) 图形中,点击要查看的事件状态类别的颜色。 警报详细信息列表切换显示内容以显示或隐藏事件。 |
| 步骤 3 |
在要查看其事件列表的警报的 Alert Detail 行,请点击 Events。 系统将显示“运行状况事件”(Health Events) 页面,其中包含以设备名称和指定运行状况警报模块名称为限制的查询的结果。如果未显示事件,您可能需要调整时间范围。 |
| 步骤 4 |
如果要查看指定设备的所有运行状况事件,请展开搜索限制 (Search Constraints),然后点击模块名称 (Module Name) 限制将其删除。 |
查看运行状况事件表
在多域部署中,可以查看当前域和任何后代域的数据。不能从更高级别的域或同级域查看数据。
过程
| 步骤 1 |
选择系统( |
| 步骤 2 |
有以下选项可供选择:
|
运行状况事件表
您在运行状况策略中选择启用的“运行状况监控”模块会运行各种测试,以确定设备运行状况。当运行状况满足您指定的标准时,系统将生成一个运行状况事件。
下表介绍在运行状况事件表中可以查看和搜索的字段。
|
字段 |
说明 |
|---|---|
|
模块名称 |
指定生成要查看的运行状况事件的模块的名称。例如,要查看衡量 CPU 性能的事件,请键入 |
|
测试名称 (仅限搜索) |
生成事件的运行状况模块的名称。 |
|
时间 (仅限搜索) |
运行状况事件的时间戳。 |
|
说明 |
生成事件的运行状况模块的描述。例如,当无法执行进程时生成的运行状况事件被标记为 |
|
值 |
生成事件的运行状况测试所获得的结果值(单位数量)。 例如,如果只要其正在监控的设备使用的 CPU 资源达到 80% 或以上,Cisco Secure Firewall Management Center就会生成运行状况事件,则该值可以是介于 80 到 100 之间的一个数字。 |
|
单位 |
结果的单位描述符。您可以使用星号 (*) 创建通配符搜索。 例如,如果其正在监控的设备使用的 CPU 资源达到 80% 或以上时,Cisco Secure Firewall Management Center会生成运行状况事件,则单位描述符为百分号 (%)。 |
|
状态 |
为设备报告的状态(严重、黄色、绿色或已禁用)。 |
|
域 |
对于受管设备报告的运行状况事件,即报告运行状况事件的设备的域。对于 Cisco Secure Firewall Management Center报告的运行状况事件,即为 |
|
设备 |
报告运行状况事件的设备。 |
运行状况监控历史
|
功能 |
版本 |
详细信息 |
|---|---|---|
| 运行状况监控器 UI 修改 |
7.1 |
以下 UI 页面经过临时改进,以提高数据的可用性和显示效果:
新增/经修改的屏幕: 、 以及 。 |
|
象流检测 |
7.1 |
运行状况警报包含以下增强功能:
思科 Firepower 2100 系列不支持象流检测功能。 |
|
新的运行状况模块 |
7.0.0 |
我们添加了以下运行状况模块:
|
|
运行状况监控增强功能 |
7.0.0 |
运行状况监控器添加了以下增强功能:
|
|
新的运行状况模块 |
6.7.0 |
不再使用 CPU 使用率模块。相反,请参阅以下模块了解 CPU 使用情况:
添加了以下模块以跟踪统计信息:
添加了以下模块以跟踪内存使用情况:
|
|
运行状况监控增强功能 |
6.7.0 |
运行状况监控器添加了以下增强功能:
|
|
功能移动至设备模块上的威胁数据更新 |
6.7.0 |
不再使用本地恶意软件分析模块。有关此信息,请参阅设备上的威胁数据更新。 以前由安全情报模块和 URL 过滤模块提供的一些信息现在由设备上的威胁数据更新模块提供。 |
|
新增运行状况模块:配置内存分配 |
7.0.0 6.6.3 |
版本 6.6.3 改进了设备内存管理,并引入了新的运行状况模块:配置内存分配。 当已部署的配置的大小使设备面临内存耗尽的风险,此模块会发出警报。警报会显示您的配置需要多少内存,以及超出可用内存的数量。如果发生此情况,请重新评估您的配置。通常来说,您可以减少访问控制规则或入侵策略的数量或降低其复杂性。 |
|
URL 过滤监控器改进 |
6.5.0 |
如果 管理中心 无法注册到思科云,URL 过滤监控模块现在会发出警报。 |
|
URL 过滤监控器改进 |
6.4.0 |
您可以配置 URL 过滤监控器警报的时间阈值。 |
|
新增运行状况模块:设备中威胁数据更新 |
6.3.0 |
新增模块设备中威胁数据更新。 如果设备用于检测威胁的某些情报数据和配置未在您指定的时间段内于设备上更新,则此模块会提醒您。 |
反馈