キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
4591
閲覧回数
0
いいね!
10
返信

Cisco WSA trapメッセージの詳細について

りょうまろ
Level 1
Level 1

御覧になっていただきありがとうございます。

 

モデル:S370

上記の機器から未登録のTrapが監視マネージャーに転送されており詳細を確認したいと

考えております。

 

以下のOIDがメッセージに記載がされておりました。

.1.3.6.1.4.1.15497.1.1.2.15

.1.3.6.1.4.1.15497.1.1.2.16

 

末尾15,と16がないOIDについてはあるのを検索して確認をしたのですが。

15,と16があるものについては見つかりませんでした。

 

詳細についてご存じでしたらお知らせいただけますでしょうか。

1 件の受理された解決策

受理された解決策

今回のは "ASYNCOS-MAIL-MIB" で WSA のMIBファイルはこちらからでも得られます。

https://www.cisco.com/c/en/us/support/security/web-security-appliance/tsd-products-support-series-home.html


どのログに情報が載るかは対象のサービスが何かによります。
どのサービスのプロセスの再起動なのかは同じTRAP内で情報が提供されていたかと思います。

ただ経験上こういったプロセス再起動の大抵は内部プロセスのwatchdog機能やOS内部の一時的なエラーによる再起動で、ユーザから参照できるログに出力される情報は余りないかと思います。

なお再起動が通知されていることから直ぐにサービス再開したと思われ、利用時の影響はあまりなかったのではないかと思います。

発生頻度が多く、影響があるようであれば正規のサポートに調査を依頼されるのがよいかと思います。

元の投稿で解決策を見る

10件の返信10

xxxAnzielxxx
Spotlight
Spotlight

お世話になります。

下記URLにありますように、アプライアンス上でMIBファイルをダウンロードしてその中身を見たほうが良いと思います。

私のほうでも探してみましたがどこにも情報が無いので、一般的なメッセージではなく本製品のみに特化したカスタマイズされたメッセージの可能性が高いです。

 

https://www.cisco.com/c/ja_jp/support/docs/security/email-security-appliance/117959-technote-esa-00.html#anc5

 

Cisco Web セキュリティ アプライアンスの [Related Tools] で、関連するすべての AsyncOS MIB ファイルをダウンロードします。

  • WSA 用 AsyncOS SMI MIB(txt)
  • WSA 用 AsyncOS Mail MIB(txt)
  • AsyncOS Web MIB(txt)

xxxAnzielxxxさんありがとうございます。

 

確認してみます。

shimenoy
Spotlight
Spotlight
りょうまろさん、こんにちは :)

恐らく以下かな、と思います。
---
-- This is only meaningful on ESA/MGA appliances.
outstandingDNSRequests OBJECT-TYPE
SYNTAX Gauge32
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"Number of DNS requests that have been sent but for which no
reply has been received."
::= { asyncOSMailObjects 15 }

-- This is only meaningful on ESA/MGA appliances.
pendingDNSRequests OBJECT-TYPE
SYNTAX Gauge32
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"Number of DNS requests waiting to be sent."
::= { asyncOSMailObjects 16 }
---

DNS requests周りのようです。

shimenoy      さんありがとうございます。

 

以前もご迷惑をおかけしましたが・・・。

再度お願いします。

 

意味はなんとかわかりますが・・・。プロキシサーバでDNS要求が多いとかたまってるような場合って

どんな問題になるんでしょうか?

 

あまりironportには詳しくないので、いい加減な回答になってしまいますが予めご了承ください。

それらの値は、
・送信されたがまだ応答が受信されないDNS要求の数
・送信待ちのDNS要求の数

のようなので、この値が大きくなるようであればDNSサーバがボトルネックとなっている可能性が高いかと思います。
また、それに伴って経由するレスポンスが低下するのではないかと・・・。

参考
■IronPort ESA best practice for DNS servers?
https://community.cisco.com/t5/email-security/ironport-esa-best-practice-for-dns-servers/td-p/2590626

■ESA Work Queue Backup Mitigation
https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118265-technote-esa-00.html
> In nearly all environments, the use of the ROOT Domain Name Server (DNS) often results in better DNS lookup performance.

通りすがりの詳しい方が、より良いアドバイスをくれることに期待します (:|

りょうまろ
Level 1
Level 1

皆さまありがとうございます。

詳細はつかめて来たのですが、もう一つ疑問が出てきました。

 

こちらのTrapの転送時間に一致するログをWSAにログインをし確認をしたところ

まったくありませんでした。

 

こちらはデバッグレベルのログなのでしょうか。

 

Yoshinori Kimura
Cisco Employee
Cisco Employee

ご質問のOIDはAsyncOS for WSA で "ASYNCOS-MAIL-MIB::asyncOSMailNotifications"の "failoverUnhealthy(OID末尾15)", " failoverHealthy(OID末尾16)" と定義されているもので、WSAのサービスプロセスの停止(15)、再起動(16)が行われた場合に通知されるものかと思われます。

ちなみにFTPサービスを有効にした際にアクセスできる /configuration ディレクトリにそのAsyncOSに対応したMIBファイルがあります。

私がコメントしていたoutstandingDNSRequestsとpendingDNSRequestsは
.1.3.6.1.4.1.15497.1.1.1.15
.1.3.6.1.4.1.15497.1.1.1.16
で、
.1.3.6.1.4.1.15497.1.1.2.15
.1.3.6.1.4.1.15497.1.1.2.16
とはズレてましたね。大変失礼しました。

Yoshinori Kimura さん

ありがとうございます。

 

サービスですか・・・。

 

まずなのですが、該当時間のログを漁りましたが、一致するものがありませんでした。

どちらからのログだとこれを確認ができますでしょうか。

 

それと/configuration ディレクトリを確認したのですが、既に削除されてしまったようです。

ASYNCOSWEBSECURITYAPPLIANCE-MIB

IRONPORT-SMI

ASYNCOS-MAIL-MIB

のうちのどれかのこと(ASYNCOS-MAIL-MIB?)ではないのでしょうか?

これらはすでに登録済みです。

 

よろしくお願いします。

 

 

今回のは "ASYNCOS-MAIL-MIB" で WSA のMIBファイルはこちらからでも得られます。

https://www.cisco.com/c/en/us/support/security/web-security-appliance/tsd-products-support-series-home.html


どのログに情報が載るかは対象のサービスが何かによります。
どのサービスのプロセスの再起動なのかは同じTRAP内で情報が提供されていたかと思います。

ただ経験上こういったプロセス再起動の大抵は内部プロセスのwatchdog機能やOS内部の一時的なエラーによる再起動で、ユーザから参照できるログに出力される情報は余りないかと思います。

なお再起動が通知されていることから直ぐにサービス再開したと思われ、利用時の影響はあまりなかったのではないかと思います。

発生頻度が多く、影響があるようであれば正規のサポートに調査を依頼されるのがよいかと思います。

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします