Segurança : Cisco Adaptive Security Appliance (ASA) Software

Exemplo encaixado ASA da configuração de gerenciador do evento

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve o gerente encaixado do evento (EEM), que é uma ferramenta de Troubleshooting que seja adicionada na versão 9.2(1) adaptável da ferramenta de segurança (ASA). A funcionalidade é similar ao¿Â EEM baseado½ do Cisco IOSïÂ. É uma maneira eficiente executar os comandos CLI baseados em eventos ASA (Syslog) e salvar a saída. Este capas de documento uma introdução à característica assim como a alguns applet do exemplo EEM.

Contribuído por engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

O uso de EEM exige que o ASA está configurado no único modo do contexto.

Componentes Utilizados

A informação neste documento é baseada na versão ASA 9.2(1) ou em mais atrasado.

Diretrizes e limitações

Esta seção inclui as diretrizes e as limitações para esta característica.

Diretrizes do modo do contexto

EEM é apoiado atualmente somente nos Firewall ASA que são executado no único modo do contexto. Os Firewall configurados no modo de contexto múltiplo não são apoiados atualmente.

Diretrizes do modo de firewall

EEM é apoiado atualmente em modos de firewall distribuídos e transparentes.

Diretrizes adicionais

  • Quando a unidade causar um crash, o estado do ASA é geralmente desconhecido. Alguns comandos não puderam ser seguros de ser executado quando o ASA estiver nesta circunstância.
  • O nome de um applet do gerente do evento não pode conter espaços.
  • Você não pode não alterar o nenhuns evento e de evento do crashinfo parâmetros.
  • O desempenho pôde ser afetado porque os mensagens do syslog são enviados ao EEM a ser processados.
  • A saída do padrão output nenhuns para cada applet do gerente do evento. A fim mudar a saída do padrão, você deve incorporar um valor de saída diferente.
  • Você pôde ter somente uma opção de saída definida para cada applet do gerente do evento.

Configurar

O gerente do evento o comando do applet que cria/edita um applet do gerente do evento, um processo que ligue eventos com as ações e a saída. O <name> é limitado a 32 caráteres e não pode ter espaços. Isto incorpora um submode do applet do gerente do evento.

ASA(config)# [no] event manager applet <name>

Uma descrição pode ser adicionada a um applet. Isto é apenas para fins informativos. O <text > é limitado aos caráteres 256.

ASA(config-applet)# [no] description <text>

Configuração de evento

Os vários eventos puderam ser adicionados a um applet que provocam o applet para invocar as ações que são configuradas nela. São definidos com a palavra-chave do evento. Os eventos múltiplos puderam ser configurados para cada applet.

Eventos de syslog

O primeiro tipo de evento que é apoiado é Syslog. O ASA usa o Syslog ID a fim identificar os Syslog que provocam um applet. Isto é terminado com a palavra-chave identificação, que pôde ser um único Syslog ou uma escala. O opcional ocorre palavra-chave indica o número de vezes que o Syslog deve ocorrer para que o applet esteja invocado (o padrão é 1). A palavra-chave opcional do período indica a quantidade de tempo, nos segundos, em que o evento deve ocorrer. Limita a frequência da invocação do applet no máximo uma vez ao período configurado. Ocorre de 5 com um período de 30, significa que o Syslog deve ocorrer as épocas 5 dentro 30 segundos antes que o evento esteja provocado. Se o Syslog ocorre 11 vezes em 30 segundos, o applet está provocado somente uma vez. Um valor de 0 para o período significa que nenhum período está definido.

Os Syslog múltiplos podem ser configurados, mas as escalas não podem sobrepor.

ASA(config-applet)# [no] event syslog id <nnnnnn>[-<nnnnnn>] [occurs <n>]
[period <seconds>]
ASA(config-applet)# no event syslog id <nnnnnn>[-<nnnnnn>]

Ocorre o <n> do valor tem uma escala permissível de 1 a 4294967295. O <seconds> do valor do período tem uma escala permissível de 0 a 604800. O valor (zero) do A0 significa que nenhum período está configurado.

Exemplo dos eventos de syslog

Neste exemplo, EEM toma a ação quando detecta uma condição do bloco de memória baixa. Se os 1550 blocos disponíveis do byte se tornam esgotados, recolhe a descarga do pool 1550 dos blocos da mostra e salvar ao disco. Faz este, no máximo, uma vez os minutos cada 10.

event manager applet depletedblock
description "Take a snapshot of block output when it is depleted"
event syslog id 321007 period 600
action 1 cli command "show blocks pool 1550 dump"
output file rotate 10

Eventos periódicos

EEM pode igualmente ser configurado para fazer periodicamente uma ação. Quando você configura um evento temporizador-baseado, use a palavra-chave do temporizador na Configuração de Eventos. Há 3 opções baseadas temporizador:

  • absoluto - O primeiro temporizador é um temporizador absoluto que provoque o applet uma vez pelo dia no tempo especificado e o reinicie automaticamente.
    ASA(config-applet)# [no] event timer absolute time <hh:mm:ss>
    ASA(config-applet)# no event timer absolute
  • contagem regressiva - O segundo temporizador é um temporizador da contagem regressiva que provoque o applet uma vez e não reinicia a menos que removido e adicionar novamente.
    ASA(config-applet)# [no] event timer countdown time <seconds>
    ASA(config-applet)# no event timer countdown
  • cão de guarda - O terceiro temporizador é um temporizador de watchdog que provoque o applet uma vez pelo período configurado e o reinicie automaticamente.
    ASA(config-applet)# [no] event timer watchdog time <seconds>
    ASA(config-applet)# no event timer watchdog

Exemplo dos eventos periódicos

Por exemplo, esta configuração de evento sibila 192.168.1.100 cada 1 minuto. Isto poderia ser usado para assegurar-se de que um túnel VPN fosse prosseguido e operacional mesmo durante períodos de tráfego de ociosidade. Usa o temporizador de watchdog para executar cada 60 segundos.

event manager applet period-event
description "Run a command once per minute"
event timer watchdog time 60
action 0 cli command "ping 192.168.1.100"
output none

Este applet grava a informação da atribuição do bloco de memória cada hora e escreve a saída a um grupo de gerencio de arquivos de registro, desde que mantém o valor de um dia dos logs. Usa o temporizador de watchdog para executar cada 1 hora.

event manager applet blockcheck
description "Log block usage"
event timer watchdog time 3600
output rotate 24
action 1 cli command "show blocks old"

Estes applet desabilitam a dada interface (atuação 0/0) entre a meia-noite e os 3 A M. Usa o temporizador absoluto para executar uma vez pelo dia.

event manager applet disableintf
description "Disable the interface at midnight"
event timer absolute time 0:00:00
output none
action 1 cli command "interface GigabitEthernet 0/0"
action 2 cli command "shutdown"
action 3 cli command "write memory"
!
event manager applet enableintf
description "Enable the interface at 3am"
event timer absolute time 3:00:00
output none
action 1 cli command "interface GigabitEthernet 0/0"
action 2 cli command "no shutdown"
action 3 cli command "write memory"

Evento manual

Estes applet EEM puderam igualmente ser invocados manualmente. A fim fazer isto, o applet deve configurar o evento nenhuns. A fim executar manualmente um applet, incorpore o comando da corrida do gerente do evento seguido pelo nome do applet. Se o applet é configurado para qualquer mecanismo do disparador do evento com exceção de “nenhuns”, a tentativa de executá-lo gerencie manualmente um erro. Com o uso de um dos exemplos anteriores, “depletedblock”, você vê:

ASA# event manager run depletedblock
ERROR: Applet not configured with 'event none'

Exemplo manual do evento

Os eventos manuais podem ser usados de forma semelhante a um macro. Por exemplo, um evento manual podia ser usado para executar alguns comandos em ordem. Neste exemplo, salvar a configuração, sibila um host, e cancela todo evita.

event manager applet clean-up
event none
action 0 cli command "write mem"
action 1 cli command "ping 192.168.1.100"
action 2 cli command "clear shun"
output none

Evento do impacto

O evento do crashinfo provoca um applet quando um impacto ocorre no ASA. Apesar do valor do comando da saída, os comandos da ação são dirigidos ao arquivo crashinfo (informaçoes de travamento). A saída é gerada antes que a parcela da tecnologia da mostra do crashinfo esteja gerada.

aviso: Quando o ASA está causando um crash, o estado da caixa é geralmente desconhecido. Alguns comandos CLI não puderam ser seguros de ser executado quando a unidade está nesta circunstância.

ASA(config-applet)# [no] event crashinfo

Configuração da ação

Quando o applet é provocado, as ações no applet estão executadas. Cada ação tem um ordinal que seja usado para especificar a ordem das ações. As ações múltiplas podem ser configuradas pelo applet; mas cada um ordinal pode somente ser usado uma vez. Os comandos são comandos CLI típicos, tais como blocos da mostra. As citações são recomendadas fortemente, mas não exigidas. 

ASA(config-applet)# [no] action <n> cli command "<command>"ASA(config-applet)# no action <n>

O valor do <n> do identificador da ação tem uma escala de 0 a 4294967295. O valor do <command> deve ser citado, se não um erro ocorre se o comando consiste em mais de uma palavra. O comando é executado no modo de configuração como um usuário com nível de privilégio 15 (o mais alto). O comando não pôde aceitar nenhuma entrada; porque a entrada será desabilitada se um comando tem a opção do noconfirm. Isso deve ser usado desde que os comandos não são processados interativamente.

Configuração de saída

A saída das ações pode ser dirigida a um lugar especificado através do comando da saída. Somente um valor de saída pode ser permitido a qualquer altura. O valor padrão output nenhuns. Este valor rejeita toda a saída dos comandos da ação. 

ASA(config-applet)# [no] output none

O comando console da saída envia a saída dos comandos da ação ao console. 

ASA(config-applet)# [no] output console

O comando do arquivo de saída dirige a saída dos comandos da ação aos arquivos. Há quatro opções que podem ser usadas. A opção nova escreve a saída do applet a um arquivo novo para cada invocação. O nome de arquivo tem o formato de eem-<applet>-<timestamp>.log. Onde o <applet> está o nome do applet e do <timestamp> é um timestamp datado no formato do YYYYMMDD-HHMMSS

ASA(config-applet)# [no] output file new

A opção do giro é usada para criar um grupo de arquivos que são similares girado ao log de Linux gerenciem o mecanismo. O formato do nome de arquivo é eem-<applet>-<x>.log. Onde o <applet> está o nome do applet, e o <x> são o número de arquivo. O arquivo o mais novo é indicado pelo número 0 (zero), e o arquivo o mais velho é indicado pelo número o mais alto (<n>-1). Quando um arquivo novo deve ser escrita, o arquivo o mais velho está suprimido e todos os arquivos subsequentes renumbered antes que o 0th arquivo esteja redigido. 

ASA(config-applet)# [no] output file rotate <n>

O <n> do valor do giro tem uma escala de 2 a 100.

A opção do overwrite é usada para escrever sempre o comando da ação output a um arquivo único que seja truncado todas as vezes. 

ASA(config-applet)# [no] output file overwrite <filename>

A opção da adição é usada para escrever sempre o comando da ação output a um arquivo único, mas esse arquivo é adicionado a todas as vezes. 

ASA(config-applet)# [no] output file append <filename>

O argumento do <filename> é (ao ASA) um nome de arquivo local. O comando do overwrite pôde igualmente usar ftp:, tftp: e smb: arquivos visados.

Configuração ASDM

EEM pode igualmente ser configurado de dentro do ASDM. Escolha a configuração > o Gerenciamento de dispositivos > avançou > gerente encaixado do evento. Nesta seção do ASDM, você pode configurar seus applet EEM com os mesmos parâmetros discutidos previamente. Depois que você configura um applet, o clique aplica-se para empurrar a configuração para o ASA.

Verificar

Comandos do modo exec

Use esta seção para confirmar se a sua configuração funciona corretamente.

Todos estes comandos são usados no modo exec.

Este comando mostra a configuração running do sistema do gerente do evento.

ASA# show running-config event manager

Este comando executa um applet do gerente do evento que seja configurado com evento nenhuns. Se você executa um applet que não esteja configurado com evento nenhuns, um erro é relatado. 

ASA# event manager run <applet>

Este comando mostra a informação sobre os applet configurados, que inclui contagens da batida e quando o applet foi invocado por último

ASA# event manager applet period-event, hits 1, last 2014/07/01 10:51:52
last file none
event watchdog 60 secs, left 54 secs, hits 1, last 2014/07/01 10:51:52
action 0 cli command "ping 192.168.1.100", hits 1, last 2014/07/01 10:51:52

O gerente do evento usa os contadores padrão. Devido às limitações dentro do contador CLI da mostra, a palavra-chave do eem é usada para o filtragem de protocolo. 

ASA# show counters protocol eem

A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.

Debug

Incorpore estes comandos a fim debugar o EEM e indicar a saída.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

ASA# [no] debug event manager <n>
ASA# show debug event manager

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração. Se não se opera como esperado, use as etapas da verificação e debug alistadas na seção anterior a fim determinar se um erro ocorreu.



Document ID: 117883