- 最終編集日: 、編集者:
sisozumi
- 概要
- FMCや Firepowerデバイス監視用のOIDと実行例
- CPU関連のOID例
- メモリ関連のOID例
- スワップ関連のOID例
- CPU使用状況と負荷の確認例
- メモリとスワップの使用状況の確認例
- FTD監視用のOIDと実行例
- CPU関連のOID例
- メモリ関連のOID例
- コネクション(セッション)関連のOID例
- CPU使用状況の確認例
- メモリ使用状況の確認例
- LINA engine監視用のOIDリストやMIBファイル
- FTD全体の状態監視のベストプラクティス
- FXOS監視用のOIDと実行例
- 参考情報
概要
本ドキュメントでは、Firepower SystemのSNMPポーリングを用いた監視に利用できる、主要なOIDについて紹介します。
なお、基本はFirepower Systemの監視は、FMCのHealth Monitor機能を利用してください。Health Monitorは、Firepower Systemの状態監視に最適化されています。 SNMPポーリングを用いた監視は補助的な利用をお勧めします。
本ドキュメントは、FMC 6.1.0.2、Firepower Device 6.0.1.2 (ASA5555 with Firepower), FTD 6.1.0.2(ASA5516-FTD)を用いて確認、作成しております。
FMCや Firepowerデバイス監視用のOIDと実行例
Firepower SystemのベースはLinuxのため、CPUやメモリ使用状況などの標準的な監視は、Linuxの監視で使うOIDを利用できます(※FTDデバイスは除く)。
以下は、FMCや 旧Firepowerデバイス製品のSNMP監視で利用できる、主なOID例です。
CPU関連のOID例
ユーザのCPU時間 (%)
.1.3.6.1.4.1.2021.11.9.0
システムのCPU時間 (%)
.1.3.6.1.4.1.2021.11.10.0
CPUのアイドル時間 (%)
.1.3.6.1.4.1.2021.11.11.0
Load Average (1分)
.1.3.6.1.4.1.2021.10.1.3.1
Load Average (5分)
.1.3.6.1.4.1.2021.10.1.3.2
Load Average (15分)
.1.3.6.1.4.1.2021.10.1.3.3
メモリ関連のOID例
実メモリ容量
.1.3.6.1.4.1.2021.4.5.0
空きメモリ容量
.1.3.6.1.4.1.2021.4.6.0
スワップ関連のOID例
実スワップ容量
.1.3.6.1.4.1.2021.4.3.0
空きスワップ容量
.1.3.6.1.4.1.2021.4.4.0
以下は、SNMPエージェントである実機(FMC)でのTOP実行結果と、SNMPマネージャからのsnmpwalkでの取得結果です。
なお、snmpwalk 実行時は FMC の System 設定において、Access List より 161 番ポートを対象の実行サーバから拒否されないよう設定する必要があります。
CPU使用状況と負荷の確認例
top - 10:47:07 up 4 days, 23:18, 1 user, load average: 0.96, 0.68, 0.63
Tasks: 150 total, 2 running, 148 sleeping, 0 stopped, 0 zombie
Cpu(s): 9.6%us, 1.2%sy, 0.0%ni, 86.0%id, 3.2%wa, 0.0%hi, 0.0%si, 0.0%st
Mem: 8185640k total, 7786916k used, 398724k free, 10308k buffers
Swap: 5652156k total, 68388k used, 5583768k free, 2146576k cached
cisco@ubuntu:~$ snmpwalk -On -v 2c 1.160.0.90 -c cisco .1.3.6.1.4.1.2021.11.9
.1.3.6.1.4.1.2021.11.9.0 = INTEGER: 8
cisco@ubuntu:~$ snmpwalk -On -v 2c 1.160.0.90 -c cisco .1.3.6.1.4.1.2021.11.10
.1.3.6.1.4.1.2021.11.10.0 = INTEGER: 1
cisco@ubuntu:~$ snmpwalk -On -v 2c 1.160.0.90 -c cisco .1.3.6.1.4.1.2021.11.11
.1.3.6.1.4.1.2021.11.11.0 = INTEGER: 85
cisco@ubuntu:~$ snmpwalk -On -v 2c 1.160.0.90 -c cisco .1.3.6.1.4.1.2021.10.1.3
.1.3.6.1.4.1.2021.10.1.3.1 = STRING: "0.75"
.1.3.6.1.4.1.2021.10.1.3.2 = STRING: "0.63"
.1.3.6.1.4.1.2021.10.1.3.3 = STRING: "0.61"
メモリとスワップの使用状況の確認例
top - 10:13:20 up 4 days, 22:44, 1 user, load average: 0.44, 0.61, 0.69
Tasks: 152 total, 2 running, 150 sleeping, 0 stopped, 0 zombie
Cpu(s): 7.8%us, 2.2%sy, 0.0%ni, 87.0%id, 2.4%wa, 0.0%hi, 0.5%si, 0.0%st
Mem: 8185640k total, 7761312k used, 424328k free, 10188k buffers
Swap: 5652156k total, 68392k used, 5583764k free, 2137684k cached
cisco@ubuntu:~$ snmpwalk -On -v 2c 1.160.0.90 -c cisco .1.3.6.1.4.1.2021.4
.1.3.6.1.4.1.2021.4.1.0 = INTEGER: 0
.1.3.6.1.4.1.2021.4.2.0 = STRING: "swap"
.1.3.6.1.4.1.2021.4.3.0 = INTEGER: 5652156 <--- Swap Total
.1.3.6.1.4.1.2021.4.4.0 = INTEGER: 5583760 <--- Swap Free
.1.3.6.1.4.1.2021.4.5.0 = INTEGER: 8185640 <--- Mem Total
.1.3.6.1.4.1.2021.4.6.0 = INTEGER: 423992 <--- Mem Free
上記のメモリ・スワップの確認結果の場合、Mem(RAM)の空きが約0.4G、スワップの空きが約5.5Gだとわかります。
なお、通常 Linuxは その処理効率化のため、空きメモリの余裕分をキャッシュとして活用します。 そのため、MemのFree値が低くても 正常な動作であることが殆どです。 (むしろ、処理効率化のうえで期待された動作です。)
スワップのFreeのある程度の減少も、通常 なんら問題ありません。
しかし、SwapのFreeも大きく枯渇し 0に近付き、かつ回復しない場合は、何らかのメモリ高負荷問題が発生している可能性が考えられます。 この場合、システムの再起動よる暫定復旧などを検討します。
FTD監視用のOIDと実行例
FTDは、ASAと Firepowerソフトウェアが統合された新ソフトウェアであり、システムの制限により、SNMP監視で収集できる情報は、主にL2-L4処理用のエンジンである、LINA(ASA) engineの情報のみの制限があります。 このLINA engineのSNMP監視には、従来のASAソフトウェア監視時とと同じ SNMP OIDを利用できます。 当制限は CSCvd12321にて定義されています。
LINA(ASA) engine監視用の、主なOIDは以下です。
CPU関連のOID例
1分のCPU使用率
.1.3.6.1.4.1.9.9.109.1.1.1.1.7.1
5分のCPU使用率
.1.3.6.1.4.1.9.9.109.1.1.1.1.8.1
メモリ関連のOID例
空きメモリ確認
.1.3.6.1.4.1.9.9.221.1.1.1.1.20.2.1
もしくは
.1.3.6.1.4.1.9.9.221.1.1.1.1.20.1.1
コネクション(セッション)関連のOID例
コネクション数の出力
1.3.6.1.4.1.9.9.147.1.2.2.2.1.5
出力の説明情報(String)の出力
1.3.6.1.4.1.9.9.147.1.2.2.2.1.3
以下は、SNMPエージェントである実機(FTD)でのshowコマンド実行結果と、SNMPマネージャからのsnmpwalkでの取得結果です。
CPU使用状況の確認例
firepower# show cpu
CPU utilization for 5 seconds = 4%; 1 minute: 7%; 5 minutes: 3%
cisco@ubuntu:~$ snmpwalk -On -v 2c 1.100.200.100 -c cisco 1.3.6.1.4.1.9.9.109.1.1.1.1.7.1
.1.3.6.1.4.1.9.9.109.1.1.1.1.7.1 = Gauge32: 7
cisco@ubuntu:~$
cisco@ubuntu:~$ snmpwalk -On -v 2c 1.100.200.100 -c cisco 1.3.6.1.4.1.9.9.109.1.1.1.1.8.1
.1.3.6.1.4.1.9.9.109.1.1.1.1.8.1 = Gauge32: 3
メモリ使用状況の確認例
firepower# show memory
Free memory: 2660961837 bytes (57%)
Used memory: 1975234560 bytes (43%)
------------- ------------------
Total memory: 4636196397 bytes (100%)
cisco@ubuntu:~$ snmpwalk -On -v 2c 1.100.200.100 -c cisco .1.3.6.1.4.1.9.9.221.1.1.1.1.20.2.1
.1.3.6.1.4.1.9.9.221.1.1.1.1.20.2.1 = Counter64: 2660961837 <--- Free memory
LINA engine監視用のOIDリストやMIBファイル
OIDリストとオブジェクト名の確認は、system support diagnostic-cliコマンドで LINA(ASA) engineにログインし、show snmp-server oidlist コマンドを実行することで確認できます。 なお、当コマンドは本来TAC利用用のため、参考レベルで利用ください。
> system support diagnostic-cli
Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower>
firepower> enable
Password:
firepower#
firepower# show snmp-server oidlist
-------------------------------------------------
[0] 1.3.6.1.2.1.1.1. sysDescr
[1] 1.3.6.1.2.1.1.2. sysObjectID
[2] 1.3.6.1.2.1.1.3. sysUpTime
[3] 1.3.6.1.2.1.1.4. sysContact
[4] 1.3.6.1.2.1.1.5. sysName
[5] 1.3.6.1.2.1.1.6. sysLocation
[6] 1.3.6.1.2.1.1.7. sysServices
[7] 1.3.6.1.2.1.1.8. sysORLastChange
[8] 1.3.6.1.2.1.1.9.1.2. sysORID
[9] 1.3.6.1.2.1.1.9.1.3. sysORDescr
[10] 1.3.6.1.2.1.1.9.1.4. sysORUpTime
[11] 1.3.6.1.2.1.2.1. ifNumber
[12] 1.3.6.1.2.1.2.2.1.1. ifIndex
[13] 1.3.6.1.2.1.2.2.1.2. ifDescr
[14] 1.3.6.1.2.1.2.2.1.3. ifType
[15] 1.3.6.1.2.1.2.2.1.4. ifMtu
また、各OIDとオブジェクト名や、関連するMIBファイル情報とダウンロードリンクは、SNMP Object Navigator から検索と確認ができます。
以下画面は、ASA engineの 1分間のCPU使用率を表示するOID(1.3.6.1.4.1.9.9.109.1.1.1.1.7)の検索例と、その検索結果です。
FTD全体の状態監視のベストプラクティス
上述の通り、LINA engineの監視では、FTDの一部情報しか監視することができません。 当制限は CSCvd12321にて定義されています。
FTD全体の状態を監視するには、SNMPポーリングではなく、FMCのHealth Monitorと Health Monitor Alertを利用、もくは併用(※)してください。
FMCのHealth Monitor機能は、Firepower Systemの監視に最適化されています。
以下は実際のHealth Monitorの出力例です。 FTDの細かな情報の確認と、監視ができます。
 |
FTDのCPU負荷の確認方法について詳しくは、以下ドキュメントを参照してください。
FTD: Snort と Linaプロセスの CPU負荷の確認方法
https://community.cisco.com/t5/-/-/ta-p/4399816
Health Monitorを用いたCPUやメモリの監視方法や、OIDやMIB情報について詳しくは、以下ドキュメントを参照してください。
Firepower System: Health Monitor: CPUやメモリの 定常監視方法
https://supportforums.cisco.com/t5/-/-/ta-p/3292677
(※注: FPR2100シリーズの場合、内部に2つのCPU・・Intel X86 processorと NPUを持つため、LINAが利用するNPUの確認には、LINAエンジンのshowコマンドやSNMPポーリング確認の利用の検討が必要です。FPR2100シリーズの搭載CPUとコア数について詳しくは、Hardware Installation Guideを参照ください。FPR2100シリーズで2つのCPUを持つのは、LINAと Snortの分散処理によるパフォーマンス向上のためです。
逆にFPR4100/9300や ASA5500-FTDの場合、CPUを FTDとLinaは共用するため Health Monitorで一元してCPU使用率の監視が可能です。)
FXOS監視用のOIDと実行例
以下ドキュメントを参照してください。
FPR2100/4100/9300シリーズ FXOS用のMIBファイルと、SNMP監視・トラップ
https://community.cisco.com/t5/-/-/ta-p/3389878
参考情報
Firepower System: SNMPエージェントとして動作させる方法
https://supportforums.cisco.com/ja/document/13207246
FTDデバイスの SNMPトラップ 監視方法
https://supportforums.cisco.com/t5/-/-/ta-p/3211356
Firepower System: FTD利用時の設定例 (FMC管理 or FDM管理)
https://community.cisco.com/t5/-/-/ta-p/3953191
Firepower System / Firepower Threat Defense (FTD) トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733
Configure SNMP on Firepower NGFW Appliances
https://www.cisco.com/c/en/us/support/docs/ip/simple-network-management-protocol-snmp/213971-configure-snmp-on-firepower-ngfw-applian.html
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
