Le module d’intégrité de l’utilisation du disque compare l’utilisation du disque sur le disque dur d’un périphérique géré
et l’ensemble de stockage de logiciel malveillant aux limites configurées pour le module et alerte lorsque l’utilisation dépasse
les pourcentages configurés pour le module. Ce module alerte également lorsque le système supprime un nombre excessif de fichiers
dans les catégories d’utilisation du disque surveillées ou lorsque l’utilisation du disque à l’exclusion de ces catégories
atteint des niveaux excessifs, en fonction des seuils du module.
Cette rubrique décrit les symptômes et les directives de dépannage pour deux alertes d’intégrité générées par le module d’intégrité
de l’utilisation du disque :
Le processus de gestionnaire de disques gère l’utilisation du disque d’un périphérique. Chaque type de fichier surveillé par
le gestionnaire de disques est doté d’un silo. En fonction de la quantité d’espace disque disponible sur le système, le gestionnaire
de disques calcule un seuil élevé (HWM) et un seuil inférieur (LWM) pour chaque silo.
Pour afficher des informations détaillées sur l’utilisation du disque pour chaque partie du système, y compris les silos,
les LWM et les HWM, utilisez la commande show disk-manager .
Exemples
Voici un exemple des informations du gestionnaire de disques :
> show disk-manager
Silo Used Minimum Maximum
Temporary Files 0 KB 499.197 MB 1.950 GB
Action Queue Results 0 KB 499.197 MB 1.950 GB
User Identity Events 0 KB 499.197 MB 1.950 GB
UI Caches 4 KB 1.462 GB 2.925 GB
Backups 0 KB 3.900 GB 9.750 GB
Updates 0 KB 5.850 GB 14.625 GB
Other Detection Engine 0 KB 2.925 GB 5.850 GB
Performance Statistics 33 KB 998.395 MB 11.700 GB
Other Events 0 KB 1.950 GB 3.900 GB
IP Reputation & URL Filtering 0 KB 2.437 GB 4.875 GB
Archives & Cores & File Logs 0 KB 3.900 GB 19.500 GB
Unified Low Priority Events 1.329 MB 4.875 GB 24.375 GB
RNA Events 0 KB 3.900 GB 15.600 GB
File Capture 0 KB 9.750 GB 19.500 GB
Unified High Priority Events 0 KB 14.625 GB 34.125 GB
IPS Events 0 KB 11.700 GB 29.250 GB
Format de l’alerte d’intégrité
Lorsque le processus de surveillance de l’intégrité de centre de gestion s’exécute (une fois toutes les 5 minutes ou lorsqu’une exécution manuelle est déclenchée), le module d’utilisation du disque
examine le fichier diskmanager.log et, si les conditions appropriées sont réunies, une alerte d’intégrité est déclenchée.
Les structures de ces alertes d’intégrité sont les suivantes :
Par exemple :
Il est possible pour n’importe quel silo de générer une alerte d'intégrité déversement fréquent de <NOM DU SILO>.. Cependant, les plus fréquentes sont les alertes liées aux événements. Parmi les silos d’événements, les événements de priorité faible sont souvent observés, car le périphérique génère fréquemment ce type d’événements.
Un déversement fréquent d'événement de <NOM DU SILO> possède un niveau de gravité Avertissement en rapport avec un silo lié aux événements, car les événements seront mis en file d’attente pour être envoyés à centre de gestion. Pour un silo non lié à un événement, tel que le silo des sauvegardes, l’alerte a un niveau de gravité Critique, car cette information est perdue.
Important
|
Seuls les silos d’événements génèrent un déversement des événements d'alerte d'intégrité non traités à partir de <NOM DU SILO>. Cette alerte a toujours un niveau de gravité Critique.
|
Outre les alertes, d'autres symptômes peuvent apparaître :
Scénarios de dépannage courants
L'événement Déversement fréquent du <NOM DU SILO> est dû à une trop grande quantité d'entrées dans le silo par rapport à sa taille. Dans ce cas, le gestionnaire de disques
vide ( purge) ce fichier au moins deux fois au cours des 5 dernières minutes. Dans un silo de type événement, cela est généralement
causé par une journalisation excessive de ce type d’événement.
Une alerte d'intégrité Déversement des événements non traités de <NOM DU SILO> est due à un goulot d'étranglement dans le circuit de traitement des événements.
Il existe trois goulots d’étranglement potentiels en ce qui concerne ces alertes d’utilisation du disque :
-
Journalisation excessive : le processus de gestionnaire d’événements sur défense contre les menaces est sursouscrit (il lit plus lentement que ce que Snort écrit).
-
Goulot d’étranglement Sftunnel : l’interface Eventing est instable ou sursouscrite.
-
Goulot d'étranglement SFDataCorrelator : le canal de transmission de données entre le centre de gestion et le périphérique géré est sursouscrit.
Journalisation excessive
L’une des causes les plus courantes des alertes d’intégrité de ce type est une entrée excessive. La différence entre la borne
inférieure (LWM) et la borne supérieure (HWM) obtenue à partir de la commande show disk-manager montre l'espace disponible dans ce silo pour passer de LWM (fraîchement vidé) à la valeur HWM. Si le déversement d’événements est fréquent (avec ou sans événements non traités), passez en revue la configuration de la
journalisation.
-
Vérifier la double journalisation : les scénarios de double journalisation peuvent être identifiés si vous examinez les perfstats du corrélateur sur centre de gestion :
admin@FMC:~$ sudo perfstats -Cq < /var/sf/rna/correlator-stats/now
-
Vérification des paramètres de journalisation de la politique de contrôle d’accès : passez en revue les paramètres de journalisation
de la politique de contrôle d’accès (Access Control Policy ou Access Control Policy). Si le paramètre de journalisation comprend
à la fois le « début » et la « fin » de la connexion, modifiez le paramètre pour journaliser uniquement la fin afin de réduire
le nombre d’événements.
Goulot d’étranglement des communications : Sftunnel
Sftunnel est responsable des communications chiffrées entre le centre de gestion et le périphérique géré. Les événements sont envoyés par le tunnel vers centre de gestion. Les problèmes de connectivité ou l’instabilité du canal de communication (sftunnel) entre le périphérique géré et le centre de gestion peuvent être dus aux éléments suivants :
-
Sftunnel est en panne ou instable (clapets).
Vérifiez que centre de gestion et le périphérique géré sont accessibles entre leurs interfaces de gestion sur le port TCP 8305.
Le processus sftunnel doit être stable et ne doit pas redémarrer de manière inattendue. Vérifiez-le en consultant le fichier
/var/log/message et recherchez les messages qui contiennent la chaîne sftunneld.
-
Sftunnel est sursouscrit.
Examinez les données de tendances du moniteur d'intégrité et recherchez des signes de surabonnement de l’interface de gestion
de centre de gestion. Il peut s’agir d’un pic du trafic de gestion ou d’un surabonnement constant.
Utiliser comme interface de gestion secondaire pour la création d'événements. Pour utiliser cette interface, vous devez configurer
son adresse IP et d'autres paramètres de l'interface de ligne de commande défense contre les menaces à l'aide de la commandeconfigure network management-interface .
Goulot d’étranglement des communications : SFDataCorrelator
Le SFDataCorrelator gère la transmission de données entre le centre de gestion et le périphérique géré; sur centre de gestion, il analyse les fichiers binaires créés par le système pour générer des événements, des données de connexion et des cartographies
du réseau. La première étape consiste à consulter le fichier diskmanager.log pour recueillir des informations importantes, telles que :
-
La fréquence du déversement.
-
Le nombre de fichiers avec des événements non traités vidés.
-
L’occurrence du déversement avec des événements non traités.
Chaque fois que le processus du gestionnaire de disque s’exécute, il génère une entrée pour chacun des différents silos de
son propre fichier journal, qui se trouve sous [/ngfw]/var/log/diskmanager.log. Les renseignements recueillis dans le fichier diskmanager.log (en format CSV) peuvent être utilisés pour aider à affiner
la recherche d’une cause.
Étapes de dépannage supplémentaires :
-
La commande stats_unified.pl peut vous aider à déterminer si le périphérique géré contient des données qui doivent être envoyées à centre de gestion. Cette situation peut se produire lorsque le périphérique géré et centre de gestion rencontrent un problème de connectivité. Le périphérique géré stocke les données du journal sur un disque dur.
admin@FMC:~$ sudo stats_unified.pl
-
La commande manage_proc.pl peut reconfigurer le corrélateur sur le côté centre de gestion.
root@FMC:~# manage_procs.pl
Avant de communiquer avec le centre d'assistance technique de Cisco (TAC)
Il est fortement recommandé de récupérer ces éléments avant de communiquer avec Cisco TAC :
-
Captures d’écran de l’alerte d’intégrité consultées.
-
Fichier de dépannage généré par le centre de gestion.
-
Fichier de dépannage généré à partir du périphérique géré concerné.
Date et heure auxquelles le problème a été observé pour la première fois.
-
Des renseignements sur toutes les modifications récentes apportées aux politiques (le cas échéant).
La sortie de la commande stats_unified.pl décrite dans Goulot d’étranglement des communications : SFDataCorrelator.
: Indique qu’une ou plusieurs erreurs et un certain nombre d’avertissements sont présents sur le système.
: indique un ou plusieurs avertissements et qu’aucune erreur n’est présente sur le système.
: Indique qu’aucun avertissement ou erreur n’est présent sur le système.
)
)
)
)
)
)
)
)
)
)
)
) les résultats de la trace dans le presse-papier.
) les résultats affichés.
) l’écran de résultats du traçage.
.
Commentaires