簡介
本文檔介紹「入侵防禦系統(IPS)安全服務處理器(SSP)應用重新載入IPS」在思科自適應安全裝置(ASA)系統日誌消息中的含義。
IPS消息「IPS SSP應用重新載入IPS」是什麼意思?
以下系統日誌消息出現在ASA上:
ASA5585-SSP-IPS20 Module in slot 1, application up "IPS", version "7.1(1)E4"
Normal Operation
ASA5585-SSP-IPS20 Module in slot 1, application reloading "IPS", version
"7.1(1)E4" Config Change
ASA不進行故障切換,並且IPS不顯示「故障」。
這些消息是在每五分鐘嘗試的某些Global Correlation (GC)更新期間生成的。它們也在IPS簽名更新期間生成,已知為預期行為。
GC檢查每五分鐘進行一次,但是更新可能無法使用。 此GC檢查是消息在正常操作期間每小時出現的原因。當GC更新實際發生或特徵碼更新啟動時,IPS會向ASA傳送一條消息,指示正在進行配置更改。
May 22 2013 03:20:16: %ASA-1-505013: Module ASA-SSM-10 in slot 1 application reloading "IPS" version "7.1(7)E4" Config Change
如果發出reload命令,則應用程式實際上不會像ASA那樣重新載入。IPS會調整Analysis Engine並通知ASA發生更改。當IPS在處理更新時進入旁路模式時,可能會發生此操作。同樣,這是正常操作,對IPS或ASA效能沒有功能影響。
當ASA收到此消息時,它將不會立即進行故障切換。在此期間,ASA將遵循失效關閉或失效開放配置。如果配置了故障關閉,ASA將丟棄所有傳送到IPS的資料包,直到感測器傳送消息告知其已再次準備好進行監控,或者達到超時(此時ASA將標籤為發生故障)。
May 22 2013 03:20:16: %ASA-3-420001: IPS card not up and fail-close mode used dropping TCP packet from Outside:213.248.117.16/80 to INSIDE:193.128.137.2/40860
思科漏洞ID CSCts98806 已存檔以解決可能導致的卡/應用程式故障的原因中提及的消息。
存檔思科漏洞ID CSCub28854,以便從IPS端解決或記錄此問題。
思科漏洞ID CSCts98836被存檔以在ASA上解決該消息。
在IPS簽名或GC更新期間,ASA故障切換可能會顯示資料通道關閉消息。此ASA漏洞可解決以下情況:
思科漏洞ID CSCuc32250
相關資訊
意見