購入する または契約更新する
購入する または契約更新する
New! Cisco Secure Access の最新情報をチェック:ソフトウェアリリースノートとアナウンスメントはこちら
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
2412
閲覧回数
2
いいね!
2
返信

ASAの監視について

解決策を見る
りょうまろ
Level 1
Level 1

‎2018-11-12 11:13 AM

御覧になっていただきありがとうございます。

 

表題の件で教えてください。

 

監視マネージャのソフト名はOpMnagerで監視を行っております。

 

複数台のASA(5500シリーズです。若干末尾が違ってるものもありますが)

 

現在CPU使用率と、Total Active sessionのパフォーマンス監視をしております。

(OpMnagerのデフォルト設定です。)

 

先日、お客様からもう少しちゃんと監視をしたいという話をいただいたきまして確認をしているところです。

 

MIBを確認したところ、通常のサーバ監視であるようなメモリ関連のMIBが存在が無いようでした。

 

なのでそれ以外ということになるかと思いますが、

 

普通FWを監視する場合はどのようなことを着目して監視を行うのでしょうか。

 

項目をお知らせいただけますと助かります。

 

ラベル:
1 件の受理された解決策

受理された解決策

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2018-11-12 09:58 PM ‎2018-11-12 11:23 PM 更新

りょうまろさん、こんばんは。

 

ASAは CPU処理ベースの通信機器なので、通信処理量が多いとCPU負荷が上がりますし、何らかの原因で処理量が膨大な時や メモリリークの不具合など発生時はフリーメモリが枯渇します。 CPUが90-100%くらいになると 通信が落ちだし、メモリが100%近くになると 不安定化や機器の再起動(クラッシュ)の原因になります。

 

ので、まずはベーシックな監視としては、CPUとメモリの監視が一般的かと思います。(導入も簡単ですし。)

 

あとは、追加でもっとやりたい、という場合は、ASA本体や各インターフェイスの死活監視(※大事なインターフェイスが落ちてないかCheck)や トラフィック量の監視(※異常なトラフィックが無いかCheck)、SNMPトラップによるトラブル発生有無の監視(インターフェイスダウン/アップや再起動有無のトラップを受信可能にし、受信時は管理者に自動メール通知、など)。

 

あと、SNMPはどちらかというと簡易的な監視なので、SNMPでは拾いきれないデータや 確認できないトラブルも少なくないです。ASA-1-xxxやASA-2-xxxxのAlertやCriticalレベルのシスログ監視と、特にASA-1-xxxのAlertレベルのログはシステムに悪影響を与えるログが多いので発生時は確認、のフローがより望ましいかもです。SNMPとSyslogは併用がお勧めですが、SyslogをSNMP Managerに送付する設定もASAは可能です。

 

ASAのメモリの監視方法は以下のURLを参照できます。

https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-8-4%E4%BB%A5%E9%99%8D-snmp-%E3%83%9D%E3%83%BC%E3%83%AA%E3%83%B3%E3%82%B0%E3%82%92%E7%94%A8%E3%81%84%E3%81...

 

トラフィック監視やその他MIB情報などは以下ドキュメントを参考にできるかと思います。

https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa98/configuration/general/asa-98-general-config/asa-98-general-config_chapter_0101001.html

 

 

アラートレベルのシスログ一覧はこちら。

https://www.cisco.com/c/ja_jp/td/docs/sec/firewall/asa5500-xnext-generationf/smg/001/log/logsevp.html#40350

 

アラートレベルなど特定レベルのシスログを SNMP Managerに送付も可能です。 設定方法は以下ドキュメントが参考になります。

https://www.cisco.com/c/ja_jp/support/docs/security/pix-500-series-security-appliances/63884-config-asa-00.html#anc11

元の投稿で解決策を見る

2件の返信2

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2018-11-12 09:58 PM ‎2018-11-12 11:23 PM 更新

りょうまろさん、こんばんは。

 

ASAは CPU処理ベースの通信機器なので、通信処理量が多いとCPU負荷が上がりますし、何らかの原因で処理量が膨大な時や メモリリークの不具合など発生時はフリーメモリが枯渇します。 CPUが90-100%くらいになると 通信が落ちだし、メモリが100%近くになると 不安定化や機器の再起動(クラッシュ)の原因になります。

 

ので、まずはベーシックな監視としては、CPUとメモリの監視が一般的かと思います。(導入も簡単ですし。)

 

あとは、追加でもっとやりたい、という場合は、ASA本体や各インターフェイスの死活監視(※大事なインターフェイスが落ちてないかCheck)や トラフィック量の監視(※異常なトラフィックが無いかCheck)、SNMPトラップによるトラブル発生有無の監視(インターフェイスダウン/アップや再起動有無のトラップを受信可能にし、受信時は管理者に自動メール通知、など)。

 

あと、SNMPはどちらかというと簡易的な監視なので、SNMPでは拾いきれないデータや 確認できないトラブルも少なくないです。ASA-1-xxxやASA-2-xxxxのAlertやCriticalレベルのシスログ監視と、特にASA-1-xxxのAlertレベルのログはシステムに悪影響を与えるログが多いので発生時は確認、のフローがより望ましいかもです。SNMPとSyslogは併用がお勧めですが、SyslogをSNMP Managerに送付する設定もASAは可能です。

 

ASAのメモリの監視方法は以下のURLを参照できます。

https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-8-4%E4%BB%A5%E9%99%8D-snmp-%E3%83%9D%E3%83%BC%E3%83%AA%E3%83%B3%E3%82%B0%E3%82%92%E7%94%A8%E3%81%84%E3%81...

 

トラフィック監視やその他MIB情報などは以下ドキュメントを参考にできるかと思います。

https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa98/configuration/general/asa-98-general-config/asa-98-general-config_chapter_0101001.html

 

 

アラートレベルのシスログ一覧はこちら。

https://www.cisco.com/c/ja_jp/td/docs/sec/firewall/asa5500-xnext-generationf/smg/001/log/logsevp.html#40350

 

アラートレベルなど特定レベルのシスログを SNMP Managerに送付も可能です。 設定方法は以下ドキュメントが参考になります。

https://www.cisco.com/c/ja_jp/support/docs/security/pix-500-series-security-appliances/63884-config-asa-00.html#anc11

解決策を見る
りょうまろ
Level 1
Level 1
Akira Muranakaに対する応答

‎2018-11-16 10:13 AM

ありがとうございました。

 

アドレス記載いただきましたサイトを参考にして解決しました。

0 いいね!
Customers Also Viewed These Support Documents