購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
11769
閲覧回数
20
いいね!
3
コメント

FXOS: FPR4100/9300 CPUとメモリ使用状況の確認方法 (showコマンドとSNMPポーリング)

Taisuke Nakamura
Cisco Employee
Cisco Employee

‎2017-12-03 05:31 PM ‎2024-02-27 05:17 PM 更新

   

はじめに

本ドキュメントでは、Firepower4100や Firepower9300のシャーシ管理用のスーパーバイザーであるFXOSの、CPUやメモリ使用率の、showコマンドとSNMPポーリングを用いた確認方法を紹介します。 本ドキュメントは、Firepower 4120の バージョン 2.2(2.19)を元に確認、作成しております。

なお、FPR1000/2100シリーズの CPUとメモリ使用状況の確認方法について詳しくは、FXOS: FPR1000/2100シリーズのCPUとメモリ使用状況の確認方法 を参照してください。

  

CPU使用率の確認方法

CLIからの確認

connect fxosから show system resourcesコマンドで確認できます。

FP4K-A# connect fxos
Cisco Firepower Extensible Operating System (FX-OS) Software
 --- snip ---
FP4K-A(fxos)#
FP4K-A(fxos)# show system resources
Load average: 1 minute: 0.44 5 minutes: 0.43 15 minutes: 0.51
Processes : 935 total, 2 running
CPU states : 5.0% user, 0.5% kernel, 94.5% idle          <--- THIS
Memory usage: 8044464K total, 3800844K used, 4243620K free

  

SNMPポーリングによる確認

スーパーバイザーであるFXOSのCPU使用状況は cseSysCPUUtilization(1.3.6.1.4.1.9.9.305.1.1.1)より確認可能です。

cisco@ubuntu:~$ snmpwalk -v2c -c cisco123 1.150.0.59 -On 1.3.6.1.4.1.9.9.305.1.1.1
.1.3.6.1.4.1.9.9.305.1.1.1.0 = Gauge32: 5

 
また、特定間隔(5秒/1分/5分)のCPU使用率の確認は以下OIDを利用可能です。なお、これら情報はshowコマンドでは確認できません。
cpmCPUTotal5secRev (.1.3.6.1.4.1.9.9.109.1.1.1.1.6.1)
cpmCPUTotal1minRev (.1.3.6.1.4.1.9.9.109.1.1.1.1.7.1)
cpmCPUTotal5minRev (.1.3.6.1.4.1.9.9.109.1.1.1.1.8.1)

    

  

メモリ使用状況の確認方法

CLIからの確認

connect fxosから show system resourcesコマンドで、used memoryと free memoryを確認できます。

FP4K-A# connect fxos
Cisco Firepower Extensible Operating System (FX-OS) Software
 --- snip ---
FP4K-A(fxos)#
FP4K-A(fxos)# show system resources
Load average: 1 minute: 0.42 5 minutes: 0.46 15 minutes: 0.46
Processes : 935 total, 1 running
CPU states : 11.2% user, 1.8% kernel, 87.0% idle
Memory usage: 8044464K total, 3800924K used, 4243540K free      <--- THIS

  

SNMPポーリングによる確認

Used memoryは、cpmCPUMemoryUsed(.1.3.6.1.4.1.9.9.109.1.1.1.1.12.1)より確認可能です。

cisco@ubuntu:~$ snmpwalk -v2c -c cisco123 1.150.0.59 -On .1.3.6.1.4.1.9.9.109.1.1.1.1.12.1
.1.3.6.1.4.1.9.9.109.1.1.1.1.12.1 = Gauge32: 3802004

 

Free memoryは、cpmCPUMemoryFree(.1.3.6.1.4.1.9.9.109.1.1.1.1.13.1)より確認可能です。

cisco@ubuntu:~$ snmpwalk -v2c -c cisco123 1.150.0.59 -On .1.3.6.1.4.1.9.9.109.1.1.1.1.13.1
.1.3.6.1.4.1.9.9.109.1.1.1.1.13.1 = Gauge32: 4242712

    

   

よくある質問

FXOSと ASA/FTDは、同じCPU/メモリを利用していますか

いえ、Firepower4100/9300シリーズは、FXOSと ASA/FTDは独立しており、異なるCPU/メモリを利用します。

FXOSはスーパーバイザーボード上で稼働し、専用のCPUとメモリを持ちます。Firepower4100シリーズの場合は CPU 2コアと メモリ 8GBを、Firepower9300シリーズの場合は CPU 4コアと メモリ 16Gを持ち、これらはコマンドやハードウェア管理などに利用されます。

ASAやFTDソフトウェアはセキュリティモジュール上で動作し、ASAやFTDは高度通信処理を行うため、潤沢な専用のCPUやメモリを持ちます。セキュリティモジュール(ASA/FTD)のCPUやメモリのSNMP監視方法について詳しくは、以下ドキュメントを参照してください。 なお、FTD利用時は、FTDのCPUとメモリを正しく監視するには、FMCのHealth Monitor機能の利用が必要です。
[セキュリティモジュールでASA利用時]
https://community.cisco.com/t5/-/-/ta-p/3221930
https://community.cisco.com/t5/-/-/ta-p/3156448

[セキュリティモジュールでFTD利用時]
https://community.cisco.com/t5/-/-/ta-p/3292677

 

 

補足情報

FXOSでのSNMP監視有効化方法 (CLI)

CLIから設定可能です。 詳しくは以下ドキュメントを参照してください。

FXOS - Enabling SNMP and Configuring SNMP Properties
https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos221/cli-guide/b_CLI_ConfigGuide_FXOS_221/platform_settings.html#topic_6C6725BBF4BC4333BA207BE9DB115F53

 
以下は設定例です。

FP4K-A# scope monitoring
FP4K-A /monitoring # enable snmp
FP4K-A /monitoring # set snmp community
Enter a snmp community: <--- 任意コミュニティ名の設定
FP4K-A /monitoring* #
FP4K-A /monitoring* # commit
FP4K-A /monitoring #

   
以下は設定後の確認例です。

FP4K-A /monitoring # show snmp
Name: snmp
 Admin State: Enabled
 Port: 161
 Is Community Set: Yes
 Sys Contact:
 Sys Location:

   
また、SNMP用のIP Access Listが未設定の場合は、以下ドキュメントを参照し、指定IPからのSNMPアクセスを許可してください。

FXOS - Configure the IP Access List
https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos221/cli-guide/b_CLI_ConfigGuide_FXOS_221/security_certifications_compliance.html?bookSearch=true

 

なお、Firepower Chassis Manager(FCM)を利用した日本語WebUIからのSNMP設定は、CSCvg98910の影響により、2017年12月現在できません。

  

  

参考情報

FXOS: FPR2100/4100/9300シリーズ FXOS用のMIBファイルと、SNMP監視・トラップ
https://supportforums.cisco.com/t5/-/-/ta-p/3389878

ファイアウォール トラブルシューティング
https://supportforums.cisco.com/t5/-/-/ta-p/3161736

Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733

Cisco Secure Firewall (FTD) - how to  ※FTD情報 まとめサイト
https://community.cisco.com/t5/-/-/ta-p/5024782

コメント
mayupon0110
Level 1
Level 1
‎2019-12-11 02:30 PM

Taisuke Nakamura さん

こんにちは、いつも素晴らしいコミュニティ記事ありがとうございます。
大変参考にさせて頂いております。

記事内で1つ疑問に思ったことがありますので、もしよろしければ教えて頂けないでしょうか。

こちらの記事に記載がある、FXOS 側の CPU 監視や Memory 監視の OID については
ASA のサポート MIB に含まれている、CISCO-PROCESS-MIB と同一の内容かと思います。

FXOS 側のハード障害検知としての MIB ファイルは、FXOS の download 内に
fxos-mibs-fp9k-fp4k.2.7.1.98.zip のような形で公開されていると思うのですが、
FXOS の状態監視向け (polling) の MIB に何が利用できるかといった情報が、御社のドキュメント内で見当たりませんでした。

FXOS の CPU/Memory/回線帯域の監視等に利用される MIB について
CISCO-PROCESS-MIB や IF-MIB などがある、といった情報はございませんでしょうか。
ASA のように、このような資料があるととてもありがたいのですが...

  ftp://ftp.cisco.com/pub/mibs/supportlists/asa/asa-supportlist.html

Taisuke Nakamura
Cisco Employee
Cisco Employee
‎2019-12-13 01:13 PM

mayuponさん、こんにちは。 こちらこそ、いつもシスココミュニティを活用頂いており有難う御座います!

FXOSの監視に利用できるMIBは以下に一覧がまとまっており、細かな情報を確認できます。
https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/mib/b_FXOS_4100_9300_MIBRef/purpose_of_the_cisco_fxos_mibs.html

なお、CPUやメモリの取得方法は、上記ガイドに記載がないので、当ドキュメントで別途公開させて頂いてます。細かな情報開示は難しいのですが、ご認識のとおり、CISCO-PROCESS-MIB を利用し、FXOS内部のあるコンポーネントから情報を取得してます。

また、弊社方針として、FXOSはできるだけお客様にて触らなくても よくなるように 継続し開発をしてます。その影響で、例えば FPR1000/2100のASA 9.13から、ASA側のみ設定でセットアップ可能なアプライアンスモードもリリースしてます。詳しくは、こちらも確認ください。
https://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/fp2100/firepower-2100-gsg/asa-appliance.html

The Firepower 2100 runs an underlying operating system called the Firepower eXtensible Operating System (FXOS). You can run the Firepower 2100 for ASA in the following modes:
・Appliance mode (the default)?Appliance mode lets you configure all settings in the ASA. Only advanced troubleshooting commands are available from the FXOS CLI.


上記の流れもあり、ご不便をおかけし恐縮ですが、FXOSの公開情報が少ないというのが正直なところです。詳細なハードウェアトラブルシューティングが必要な時に触る必要のあるOS・・、という位置づけの方が、今後は強くなってくるかと思います。

また、FXOSは、ASAやFTDのアプリケーションを動かすための、スーパーバイザーの位置づけで、細かな通信処理や制御はFXOSでは行いません。そのため、FXOSがトラブルにつながることは 正直なところ 稀です。また、アプリケーションの内部処理には関与してないため、詳細な情報をFXOSからとることもできません。

これら特徴があるため、FXOSの細かな状態監視はあまりせず、show faultでの異常監視(※FXOSの障害管理の運用メインとなります)や、必要に応じて FXOSのCPUやメモリの軽微な監視のみにとどめて頂くことをお勧めしてます。ソフトウェア機能の監視は、ASAやFTDアプリケーション側での監視を検討頂ければと思います。ASAやFTDアプリケーションの監視手法は、従来のASA5500-XでASAやFTDを利用時と大きくかわりません (※ハードウェアの問題発生時はshow faultを確認、は除く)。

ご参考になれば幸いです。

mayupon0110
Level 1
Level 1
‎2019-12-17 03:16 PM

Nakamura さん、こんにちは。
ご丁寧な返信ありがとうございます!

FXOS に関わる独自 MIB のサポート状況について公開はあるものの、
御社製品共通で利用できる一部の OID (付随する MIB) まではドキュメントとして
公開していない点、背景含めてよく理解できました。

確かに経験上、FXOS に関してのトラブルについては
スマートライセンス絡みの問題が主であると認識しており、それ以外については
SSD の故障など show fault コマンドで確認可能な内容が殆どかと思います。

※ 性能監視という意味では、仰る通り CPU/メモリ程度で十分かもしれませんね

そういう意味でも、FXOS は最低限の CPU/メモリ状況の性能監視以外は、
show fault コマンド(GUI のアラート)で確認するのが方針として良いと理解できました。

ありがとうございます、大変助かりました!

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents