ヘルス モニタリングについて
Firepower Management Center のヘルス モニタでは、さまざまなヘルス インジケータを追跡して Firepower システムのハードウェアとソフトウェアが正常に動作することを確認します。ヘルス モニタを使用して、Firepower システム展開全体の重要な機能のステータスを確認できます。
ヘルス モニタを使用すれば、正常性ポリシーとも呼ばれるテストのコレクションを作成し、正常性ポリシーを 1 つ以上のアプライアンスに適用できます。ヘルス モジュールとも呼ばれるテストは、指定された基準に照らしてテストするスクリプトです。テストを有効または無効にするか、テスト設定を変更することによって、正常性ポリシーを変更したり、不要になった正常性ポリシーを削除したりできます。アプライアンスをブラックリストに登録することによって、選択したアプライアンスからのメッセージを抑制することもできます。
正常性ポリシー内のテストは設定された時間間隔で自動的に実行されます。すべてのテストを実行することも、オンデマンドで特定のテストを実行することもできます。ヘルス モニタは設定されたテスト条件に基づいてヘルス イベントを収集します。
(注) |
すべてのアプライアンスはハードウェア アラームのヘルス モジュール経由でハードウェアのステータスを自動的に報告します。また、Firepower Management Center はデフォルトの正常性ポリシーで設定されているモジュールを使用して自動的にステータスを報告します。アプライアンス ハートビートなどの一部の正常性モジュールは、Firepower Management Center 上で実行され Firepower Management Center の管理対象デバイスのステータスを報告します。ヘルス モジュールによっては、そのモジュールが設定されている正常性ポリシーをデバイスに適用しない限り管理対象デバイスのステータスを報告しないものもあります。 |
ヘルス モニタを使用してシステム全体、特定のアプライアンス、または特定のドメイン(マルチドメイン展開の場合)に関するヘルス ステータス情報にアクセスできます。[ヘルス モニタ(Health Monitor)] ページの円グラフとステータス テーブルには、Firepower Management Center を含むネットワーク上のすべてのアプライアンスのステータスの視覚的なサマリが示されます。個々のアプライアンスのヘルス モニタを使用すれば、特定のアプライアンスのヘルス詳細にドリルダウンできます。
完全にカスタマイズ可能なイベント ビューを使用すれば、ヘルス モニタによって収集されたヘルス ステータス イベントを迅速かつ容易に分析できます。このイベント ビューでは、イベント データを検索して表示したり、調査中のイベントに関係する他の情報にアクセスしたりできます。たとえば、特定のパーセンテージの CPU 使用率の全記録を表示する場合は、CPU 使用率モジュールを検索して、パーセンテージ値を入力できます。
ヘルス イベントに対応した電子メール、SNMP、または syslog アラートを設定することもできます。ヘルス アラートは、標準アラートとヘルス ステータス レベルを関連付けたものです。たとえば、アプライアンスでハードウェアの過負荷が原因で障害が発生することは絶対ないことを確認する必要がある場合は、電子メール アラートをセットアップできます。その後で、CPU、ディスク、またはメモリの使用率がそのアプライアンスに適用される正常性ポリシーで設定された警告レベルに達するたびにその電子メール アラートをトリガーとして使用するヘルス アラートを作成できます。アラートしきい値を、受け取る反復アラートの数が最小になるように設定できます。
サポートから依頼された場合に、アプライアンスのトラブルシューティング ファイルを作成することもできます。
ヘルス モニタリングは管理活動であるため、管理者ユーザ ロール特権を持っているユーザのみがシステム ヘルス データにアクセスできます。
ヘルス モジュール
ヘルス モジュールまたはヘルス テストは、正常性ポリシーに指定した条件でテストします。
モジュール |
[アプライアンス(Appliances)] |
説明 |
||
---|---|---|---|---|
AMP for Endpoint のステータス |
FMC |
このモジュールは、FMC が初期接続の成功後に AMP クラウドまたは Cisco AMP Private Cloud に接続できない場合、またはプライベート クラウドがパブリック AMP クラウドに接続できない場合にアラートを出します。また、AMP for Endpoints 管理コンソールを使用して AMP クラウド接続の登録が解除された場合にもアラートを出します。 |
||
AMP for Firepower のステータス (ネットワーク向け AMP ステータス) |
FMC |
このモジュールは、以下の場合にアラートを出します。
FMC のインターネット接続が切断された場合、ヘルスアラートの生成に最大 30 分かかることがあります。 |
||
アプライアンス ハートビート |
任意(Any) |
このモジュールは、アプライアンス ハートビートがアプライアンスから届いているかどうかを確認し、アプライアンスのハートビート ステータスに基づいてアラートを出します。 |
||
自動アプリケーション バイパス ステータス |
7000 & 8000 シリーズ |
このモジュールは、アプライアンスがバイパスしきい値で設定された秒数以内に応答しなかったためにバイパスされたかどうかを確認し、バイパスが発生した場合にアラートを出します。 | ||
バックログのステータス |
FMC |
このモジュールは、デバイスから FMC に送信されるのを待機しているイベント データのバックログのサイズが、30 分を超えて増大し続けた場合にアラートを表示します。 バックログを減らすには、帯域幅を評価し、ログに記録するイベント数を減らすことを検討してください。 |
||
クラシック ライセンス モニタ |
FMC |
このモジュールは十分なクラシックライセンスが残っているかどうかを確認します。また、スタック内のデバイスに適合しないライセンス セットが含まれている場合にアラートを出します。モジュールに自動的に設定された警告レベルに基づいてアラートを出します。このモジュールの設定は変更できません。 |
||
CPU 使用率 |
任意(Any) |
このモジュールは、アプライアンス上の CPU が過負荷になっていないことを確認し、CPU 使用率がモジュールに設定されたパーセンテージを超えた場合にアラートを出します。 |
||
カード リセット |
任意(Any) |
このモジュールは、リセット時に、ハードウェア障害原因で再起動されたネットワーク カードをチェックし、アラートを出します。 |
||
クラスタのステータス |
脅威防御 |
このモジュールは、デバイス クラスタのステータスをモニタします。このモジュールは、以下の場合にアラートを出します。
|
||
ディスク ステータス |
任意(Any) |
このモジュールは、ハード ディスクと、アプライアンス上のマルウェア ストレージ パック(設置されている場合)のパフォーマンスを調査します。 このモジュールは、ハードディスクと RAID コントローラ(設置されている場合)で障害が発生する恐れがある場合、または、マルウェアストレージパックではない追加のハードドライブが設置されている場合に、警告(黄色)ヘルスアラートを生成します。また、設置されているマルウェアストレージパックを検出できなかった場合はアラート(赤色)ヘルスアラートを生成します。 |
||
ディスク使用量 |
任意(Any) |
このモジュールは、アプライアンスのハードドライブとマルウェア ストレージ パック上のディスク使用率をモジュールに設定された制限と比較し、その使用率がモジュールに設定されたパーセンテージを超えた時点でアラートを出します。また、モジュールしきい値に基づいて、システムが監視対象のディスク使用カテゴリ内のファイルを過剰に削除する場合、または、これらのカテゴリを除くディスク使用率が過剰なレベルに達した場合にもアラートを出します。 ディスク使用率ヘルス ステータス モジュールは、アプライアンス上の |
||
ホスト制限 |
FMC |
このモジュールは、FMC がモニタできるホスト数が制限に近づいているかどうかを確認し、モジュールに設定された警告レベルに基づいてアラートを出します。詳細については、Firepower システムのホスト制限を参照してください。 |
||
ハードウェア アラーム |
7000 & 8000 シリーズ Threat Defense(物理) |
このモジュールは、物理管理対象デバイス上のハードウェアを交換する必要があるかどうかを確認し、ハードウェア ステータスに基づいてアラートを出します。また、ハードウェア関連デーモンのステータスとハイ アベイラビリティ展開の 7000 および 8000 シリーズ デバイスのステータスについてレポートします。 |
||
HA ステータス |
FMC |
このモジュールは、FMC ハイ アベイラビリティ ステータスについて、モニタし、アラートを出します。FMC のハイ アベイラビリティを確立していない場合、HA ステータスは、「HA でない(Not in HA)」になります。 このモジュールは、ペアリングされているかどうかに関わらず、管理対象デバイスのハイ アベイラビリティ ステータスについてはモニタしたり、アラートを出したりしません。管理対象デバイスの HA ステータスは常に「HA でない(Not in HA)」になります。 の [デバイス管理(Device Management)] ページを使用して、ハイ アベイラビリティ ペアのデバイスをモニタします。 |
||
ヘルス モニタ プロセス |
任意(Any) |
このモジュールは、ヘルス モニタ自体のステータスを監視し、FMC で受信された最後のステータス イベント以降の分数が警告制限または重大制限を超えた場合にアラートを出します。 |
||
ISE 接続ステータスのモニタ |
FMC |
このモジュールは、Cisco Identity Services Engine(ISE)と FMC 間のサーバ接続のステータスをモニタします。ISE は、追加のユーザデータ、デバイスタイプデータ、デバイスロケーションデータを提供します。。 |
||
インライン リンク不一致アラーム |
ASA FirePOWER を除くすべての管理対象デバイス |
このモジュールは、インライン セットに関連付けられたポートを監視し、インライン ペアの 2 つのインターフェイスが別々の速度をネゴシエートした場合にアラートを出します。 |
||
侵入およびファイル イベント レート |
すべての管理対象デバイス |
このモジュールは、1 秒あたりの侵入イベント数をこのモジュールに設定された制限と比較し、制限を超えた場合にアラートを出します。侵入およびファイル イベント レートが 0 の場合は、侵入プロセスがダウンしているか、管理対象デバイスがイベントを送信していない可能性があります。イベントがデバイスから送られているかどうかをチェックするには、 の順に選択します。 一般に、ネットワーク セグメントのイベント レートは平均で 1 秒あたり 20 イベントです。この平均レートのネットワーク セグメントでは、[1 秒あたりのイベント(重大)(Events per second (Critical))] を
両方の制限に設定可能な最大イベント数は 999 であり、重大制限は警告制限より大きくする必要があります。 |
||
インターフェイス ステータス |
任意(Any) |
このモジュールは、デバイスが現在トラフィックを収集しているかどうかを確認して、物理インターフェイスおよび集約インターフェイスのトラフィック ステータスに基づいてアラートを出します。物理インターフェイスの情報には、インターフェイス名、リンク ステート、および帯域幅が含まれます。集約インターフェイスの情報には、インターフェイス名、アクティブ リンクの数、および総集約帯域幅が含まれます。 ASA FirePOWER の場合、DataPlaneInterfacex というラベルの付いたインターフェイス(ここで、x は数値)は、内部インターフェイス(ユーザ定義ではない)で、システム内部のパケット フローに関与します。 |
||
リンク ステート伝達 |
NGIPSv、ASA FirePOWER、Firepower 9300、Firepower 4100 シリーズ、Firepower 2100 シリーズ、Firepower 1000 シリーズ を除き任意 |
このモジュールは、ペア化されたインライン セット内のリンクで障害が発生した時点を特定して、リンク ステート伝達モードをトリガーとして使用します。 リンク ステートがペアに伝達した場合は、そのモジュールのステータス分類が [重大(Critical)] に変更され、状態が次のように表示されます。
ここで、 |
||
ローカル マルウェア分析 |
任意(Any) |
このモジュールは、6.3 よりも前のバージョンを実行中のデバイスがローカル マルウェア分析用に設定され、AMP クラウドからローカル マルウェア分析エンジンの署名の更新をダウンロードできなかった場合、アラートを出します。 6.3 以降のバージョンを実行しているデバイスの場合は、[デバイスの脅威データの更新(Threat Data Updates on Devices)] モジュールを確認します。 |
||
メモリ使用率 |
任意(Any) |
このモジュールは、アプライアンス上のメモリ使用率をモジュールに設定された制限と比較し、使用率がモジュールに設定されたレベルを超えるとアラートを出します。 メモリが 4 GB を超えるアプライアンスの場合、プリセットされたアラートしきい値は、システム問題を引き起こす可能性のあるメモリ空き容量の割合を求める式に基づいています。4 GB 未満のアプライアンスでは、警告しきい値と重大しきい値の時間間隔が非常に狭いため、[Warning
Threshold %] の値を手動で 複雑なアクセス コントロール ポリシーやルールは、重要なリソースを消費し、パフォーマンスに悪影響を与える可能性があります。FirePOWER サービス ソフトウェア を含む一部のよりローエンドの ASA デバイスでは、デバイスのメモリ割り当てが最大限に使用されているため、断続的なメモリ使用率の警告が生成されることがあります。 |
||
プラットフォームの障害 |
Firepower 1000/2100 |
Firepower 2100 および Firepower 1000 デバイスでは、障害は FMC によって管理される変更可能なオブジェクトです。各障害は、Firepower 1000/2100 インスタンスの障害や、発生したしきい値のアラームを表します。障害のライフサイクルの間に、障害の状態または重大度が変化する場合があります。 各障害には、障害の発生時に影響を受けたオブジェクトの動作状態に関する情報が含まれます。障害の状態が移行して解決すると、そのオブジェクトは機能状態に移行します。 詳細については、『Cisco Firepower 1000/2100 FXOS Faults and Error Messages Guide』を参照してください。 |
||
電源モジュール |
物理 FMC 7000 & 8000 シリーズ |
このモジュールは、デバイスの電源が交換が必要かどうかを確認し、電源ステータスに基づいてアラートを出します。
|
||
Process Status |
任意(Any) |
このモジュールは、アプライアンス上のプロセスがプロセス マネージャの外部で停止または終了したかを確認します。 プロセスが故意にプロセス マネージャの外部で停止された場合は、モジュールが再開してプロセスが再起動するまで、モジュール ステータスが Warning に変更され、ヘルス イベント メッセージが停止されたプロセスを示します。プロセスがプロセス マネージャの外部で異常終了またはクラッシュした場合は、モジュールが再開してプロセスが再起動するまで、モジュール ステータスが Critical に変更され、ヘルス イベント メッセージが終了したプロセスを示します。 |
||
検出の再設定 |
すべての管理対象デバイス |
このモジュールは、デバイスの再設定が失敗した場合、アラートを出します。 |
||
RRD サーバ プロセス |
FMC |
このモジュールは、時系列データを格納するラウンド ロビン サーバが正常に機能しているかどうかを確認します。このモジュールは、RRD サーバが前回の更新以降に再起動した場合にアラートを出します。また、RRD サーバの再起動を伴う連続更新回数がモジュール設定で指定された数値に達した場合に [重大(Critical)] または [警告(Warning)] ステータスに遷移します。 |
||
セキュリティ インテリジェンス(Security Intelligence) |
FMC および一部の管理対象デバイス |
このモジュールは、セキュリティ インテリジェンスが使用中で、次の場合にアラートを出します。
|
||
スマート ライセンス モニタ |
FMC |
このモジュールは、以下の場合にアラートを出します。
|
||
デバイスでの脅威データの更新 |
リリース 6.3 以降を実行中の FMC およびデバイス (6.3 よりも前のバージョンを実行中のデバイスの場合、セキュリティ インテリジェンス、URL フィルタリング、およびローカル マルウェア分析ヘルス モジュールに関する次の表を参照してください)。 |
デバイスが脅威の検出に使用する特定のインテリジェンスデータと設定は、FMC 上で 30 分ごとにクラウドから更新されます。 このモジュールは、指定した期間内にデバイスでこの情報が更新されない場合にアラートを生成します。 モニタされる更新には次の点が含まれます。
デフォルトでは、このモジュールは 1 時間後に警告を送信し、24 時間後に重大なアラートを送信します。 FMC またはいずれかのデバイスで障害が発生していることをこのモジュールが示している場合、FMC がデバイスに到達できることを確認します。 URL カテゴリおよびレピュテーション データ タイプの障害が表示される低メモリ デバイスについては、メモリ使用のトラブルシューティング を参照してください。 |
||
時系列データ モニタ |
FMC |
このモジュールは、時系列データ(相関イベント カウントなど)が保存されるディレクトリ内の破損ファイルの存在を追跡して、ファイルが破損としてフラグが付けられ、削除された段階でアラートを出します。 |
||
時刻同期ステータス |
任意(Any) |
このモジュールは、NTP を使用して時刻を取得するデバイス クロックと NTP サーバ上のクロックの同期を追跡して、クロックの差が 10 秒を超えた場合にアラートを出します。 |
||
URL フィルタリング モニタ |
FMCについて 6.3 以降のバージョンを実行しているデバイスの場合は、[デバイスの脅威データの更新(Threat Data Updates on Devices)] モジュールも確認します。 |
このモジュールは、FMC が次のことに失敗した場合にアラートを出します。
これらのアラートの時間しきい値を設定できます。 |
||
ユーザ エージェント ステータス モニタ |
FMC |
このモジュールは、FMC に接続されたユーザ エージェントでハートビートが検出されない場合にアラートを出します。 |
||
VPN ステータス |
FMC |
このモジュールは、Firepower デバイス間の 1 つ以上の VPN トンネルがダウンしているときにアラートを出します。 このモジュールは、以下を追跡します。
|
ヘルス モニタリングの設定
スマート ライセンス |
従来のライセンス |
サポートされるデバイス数 |
サポートされるドメイン数 |
アクセス |
---|---|---|---|---|
いずれか(Any) |
いずれか(Any) |
いずれか(Any) |
いずれか(Any) |
Admin/Maint |
手順
ステップ 1 |
ヘルス モジュールで説明されているように、モニタするヘルス モジュールを決定します。 Firepower システムで使用しているアプライアンスの種類ごとに固有のポリシーをセットアップして、そのアプライアンスに適切なテストだけを有効にすることができます。
|
||
ステップ 2 |
正常性ポリシーの作成で説明されているように、ヘルス ステータスを追跡するアプライアンスごとに正常性ポリシーを適用します。 |
||
ステップ 3 |
(オプション)ヘルス モニタ アラートの作成で説明されているように、ヘルス モニタ アラートを設定します。 ヘルス ステータス レベルが特定のヘルス モジュールの特定の重大度レベルに達した段階でトリガーされる電子メール、Syslog、または SNMP アラートをセットアップできます。 |