Inleiding
Dit document beschrijft hoe u de waarschuwing Upload Limit Reach op de e-mail security applicatie (ESA) kunt identificeren en oplossen bij gebruik van Advanced Malware Protection (AMP).
Voorwaarden
Vereisten
Cisco raadt u aan een basiskennis te hebben van deze onderwerpen:
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- ESA met AsyncOS 12.0 of nieuwer
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Wanneer de AMP-functie op de ESA is ingeschakeld, zal deze een of beide van de volgende hoofdfuncties vervullen:
Tijdens File Analysis worden specifieke bijlagen geüpload naar ThreatGrid voor sandboxing en analyse.
De melding "Uploadlimiet bereikt" begrijpen
Berichttracering kan e-mails tonen die niet door AMP zijn gescand omdat ze de uploadlimiet hebben bereikt.
Voorbeeld
02 Dec 2019 14:11:36 (GMT +01:00) Message 12345 is unscannable by Advanced Malware Protection engine. Reason: Upload Limit Reached
In het nieuwe ThreatGrid voorbeeld limieten model, deze limieten zijn het aantal voorbeelden apparaten kan uploaden voor File Analysis per organisatie. Alle geïntegreerde apparaten (WSA, ESA, CES, FMC, enz.) en AMP voor endpoints hebben samen recht op 200 monsters per dag, ongeacht het aantal apparaten.
Opmerking: deze teller wordt niet dagelijks gereset; in plaats daarvan werkt het als een 24-uurs rollover periode.
Voorbeeld
Als ESA1 vandaag om 10:00 uur 80 monsters uploadt, kunnen in een cluster van 4 ESA's met een uploadlimiet van 200 monsters van vandaag om 10:01 uur tot morgen om 10:00 uur, wanneer de eerste 80 slots worden vrijgegeven, nog slechts 120 monsters worden geüpload tussen de 4 ESA's (gedeelde limiet).
Hoe kunt u het aantal monsters controleren dat uw ESA’s in de afgelopen 24 uur hebben geüpload?
ESA: Navigeer naar Monitor > AMP File Analysis report en controleer de sectie Bestanden geüpload voor analyse.
SMA: Navigeer naar E-mail >Rapportage > AMP-bestandsanalyserapport en controleer de geüploade bestanden voor analyse sectie.
Opmerking: Als het AMP File Analysis-rapport geen nauwkeurige gegevens weergeeft, raadpleegt u de sectie Bestandsanalysegegevens in de sectie Cloud are incomplete in de Gebruikershandleiding.
Waarschuwing: raadpleeg Cisco Bug ID CSCvm10813 voor meer informatie.
U kunt ook een grep-opdracht uitvoeren vanuit de CLI om het aantal geüploade bestanden te tellen. Dit moet op elk apparaat gebeuren.
Voorbeeld
grep "Dec 20.*File uploaded for analysis" amp -c
grep "Dec 21.*File uploaded for analysis" amp -c
U kunt reguliere PCRE-expressies gebruiken om de datum en tijd aan te passen.
Hoe kunt u de uploadlimiet verlengen?
Neem binnen Cisco contact op met uw accountmanager of Sales Engineer.
Gerelateerde informatie
Feedback