Sécurité : Logiciel Cisco Adaptive Security Appliance (ASA)

Exemple de configuration du gestionnaire d'événement inclus par ASA

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit le gestionnaire encastré d'événement (EEM), qui est un outil de dépannage qui a été ajouté dans la version 9.2(1) de l'appliance de sécurité adaptable (ASA). La fonctionnalité est semblable au¿Â EEM basé par½ du Cisco IOSïÂ. C'est une manière puissante d'exécuter des commandes CLI basées sur des événements ASA (Syslog) et de sauvegarder la sortie. Ce document couvre une introduction à la caractéristique aussi bien qu'à quelques applet de l'exemple EEM.

Contribué par des ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

L'utilisation d'EEM exige que l'ASA est configurée en mode de contexte unique.

Composants utilisés

Les informations dans ce document sont basées sur la version 9.2(1) ou ultérieures ASA.

Instructions et limites

Cette section inclut les instructions et les limites pour cette caractéristique.

Instructions de mode de contexte

EEM est actuellement seulement pris en charge sur les Pare-feu ASA qui fonctionnent en mode de contexte unique. Des Pare-feu configurés dans le mode de contexte multiple ne sont pas actuellement pris en charge.

Instructions de mode de Pare-feu

EEM est actuellement pris en charge en modes conduits et transparents de Pare-feu.

Instructions supplémentaires

  • Tandis que l'unité tombe en panne, l'état de l'ASA est généralement inconnu. Il ne pourrait pas être sûres s'exécuter quelques commandes tandis que l'ASA est en cette condition.
  • Le nom d'un event manager applet ne peut pas contenir les espaces.
  • Vous ne pouvez pas n'en modifier l'aucun événement et des paramètres d'événement de Crashinfo.
  • La représentation pourrait être affectée parce que des messages de Syslog sont envoyés à l'EEM à traiter.
  • La sortie par défaut est sortie aucun pour chaque event manager applet. Afin de changer la sortie par défaut, vous devez écrire une valeur différente de sortie.
  • Vous pourriez avoir seulement une option de sortie définie pour chaque event manager applet.

Configurez

La commande d'event manager applet crée/édite un event manager applet, un processus qui joint des événements avec les actions et la sortie. Le <name> est limité à 32 caractères et ne peut pas avoir les espaces. Ceci écrit un sous-mode d'event manager applet.

ASA(config)# [no] event manager applet <name>

Une description peut être ajoutée à un applet. Il n'a qu'un but informatif. Le <text > est limité à 256 caractères.

ASA(config-applet)# [no] description <text>

Configuration d'événement

De divers événements pourraient être ajoutés à un applet qui déclenchent l'applet pour appeler les actions qui sont configurées là-dessus. Ils sont définis avec le mot clé d'événement. De plusieurs événements pourraient être configurés pour chaque applet.

Événements de Syslog

Le premier type d'événement qui est pris en charge est Syslog. L'ASA emploie des id de Syslog afin d'identifier les Syslog qui déclenchent un applet. Ceci est terminé par le mot clé d'id, qui pourrait être un Syslog simple ou une plage. Le facultatif se produit mot clé indique le nombre de fois que le Syslog doit se produire pour que l'applet soit appelé (le par défaut est 1). Le mot clé facultatif de période indique la durée, en quelques secondes, lesoù l'événement doit se produire. Il limite la fréquence de l'invocation d'applet à tout au plus une fois que la période configurée. Se produit de 5 avec une période de 30, signifie que le Syslog doit se produire 5 fois à moins de 30 secondes avant que l'événement est déclenché. Si le Syslog se produit 11 fois en 30 secondes, l'applet est seulement déclenché une fois. Une valeur de 0 pour la période signifie qu'aucune période n'est définie.

De plusieurs Syslog peuvent être configurés, mais les plages ne peuvent pas superposer.

ASA(config-applet)# [no] event syslog id <nnnnnn>[-<nnnnnn>] [occurs <n>]
[period <seconds>]
ASA(config-applet)# no event syslog id <nnnnnn>[-<nnnnnn>]

Se produit le <n> de valeur a une plage permise de 1 à 4294967295. Le <seconds> de valeur de période a une plage permise de 0 à 604800. Des 0 valeurs (nulles) signifient qu'aucune période n'est configurée.

Exemple d'événements de Syslog

Dans cet exemple, EEM agit quand il détecte un état de bloc de mémoire basse. Si les 1550 blocs disponibles d'octet deviennent épuisés, il recueille le vidage mémoire du groupe 1550 de blocs d'exposition et l'sauvegarde au disque. Il fait ceci, tout au plus, une fois toutes les 10 minutes.

event manager applet depletedblock
description "Take a snapshot of block output when it is depleted"
event syslog id 321007 period 600
action 1 cli command "show blocks pool 1550 dump"
output file rotate 10

Événements périodiques

EEM peut également être configuré pour faire une action périodiquement. Quand vous configurez un événement basé sur temporisateur, utilisez le mot clé de temporisateur dans la configuration d'événements. Il y a 3 options basées par temporisateur :

  • absolu - Le premier temporisateur est un temporisateur absolu qui déclenche l'applet une fois par jour au temps spécifié et le redémarre automatiquement.
    ASA(config-applet)# [no] event timer absolute time <hh:mm:ss>
    ASA(config-applet)# no event timer absolute
  • compte à rebours chargé - Le deuxième temporisateur est une minuterie qui déclenche l'applet une fois et ne redémarre pas à moins que retiré et re-ajouté.
    ASA(config-applet)# [no] event timer countdown time <seconds>
    ASA(config-applet)# no event timer countdown
  • surveillance - Le troisième temporisateur est un temporisateur de surveillance qui déclenche l'applet une fois par période configurée et le redémarre automatiquement.
    ASA(config-applet)# [no] event timer watchdog time <seconds>
    ASA(config-applet)# no event timer watchdog

Exemple d'événements périodiques

Par exemple, cette configuration d'événement cingle 192.168.1.100 toute les 1 minute. Ceci pourrait être utilisé pour s'assurer qu'un tunnel VPN est continué et opérationnel même pendant des périodes du trafic de veille. Il utilise le temporisateur de surveillance pour exécuter toutes les 60 secondes.

event manager applet period-event
description "Run a command once per minute"
event timer watchdog time 60
action 0 cli command "ping 192.168.1.100"
output none

Cet applet enregistre les informations d'allocation de bloc de mémoire chaque heure et écrit la sortie à un ensemble tournant de fichiers journal, puisqu'il garde la valeur d'un jour des logs. Il utilise le temporisateur de surveillance pour exécuter toute les 1 heure.

event manager applet blockcheck
description "Log block usage"
event timer watchdog time 3600
output rotate 24
action 1 cli command "show blocks old"

Ces applet désactivent l'interface donnée (yole 0/0) entre le minuit et le 3h du matin où il utilise le temporisateur absolu pour exécuter une fois par jour.

event manager applet disableintf
description "Disable the interface at midnight"
event timer absolute time 0:00:00
output none
action 1 cli command "interface GigabitEthernet 0/0"
action 2 cli command "shutdown"
action 3 cli command "write memory"
!
event manager applet enableintf
description "Enable the interface at 3am"
event timer absolute time 3:00:00
output none
action 1 cli command "interface GigabitEthernet 0/0"
action 2 cli command "no shutdown"
action 3 cli command "write memory"

Événement manuel

Ces applet EEM pourraient également être appelés manuellement. Afin de faire ceci, l'applet doit configurer l'event none. Afin d'exécuter un applet manuellement, sélectionnez la commande d'event manager run suivie sous le nom de l'applet. Si l'applet est configuré pour n'importe quel mécanisme de déclencheur d'événement hormis « aucun », la tentative de l'exécuter génère manuellement une erreur. Avec l'utilisation d'un des exemples précédents, « depletedblock », vous voyez :

ASA# event manager run depletedblock
ERROR: Applet not configured with 'event none'

Exemple manuel d'événement

Des événements manuels peuvent être utilisés de la même façon à une macro-instruction. Par exemple, un événement manuel a pu être utilisé pour exécuter quelques commandes dans la commande. Dans cet exemple, il enregistre la configuration, cingle un hôte, et efface tout évite.

event manager applet clean-up
event none
action 0 cli command "write mem"
action 1 cli command "ping 192.168.1.100"
action 2 cli command "clear shun"
output none

Événement de crash

L'événement de crashinfo déclenche un applet quand un crash se produit sur l'ASA. Indépendamment de la valeur de la commande de sortie, les commandes d'action sont dirigées vers le fichier crashinfo. La sortie est générée avant que la partie de tech d'exposition du crashinfo soit générée.

Avertissement : Quand l'ASA tombe en panne, l'état de la case est généralement inconnu. Il ne pourrait pas être sûres s'exécuter quelques commandes CLI quand l'unité est en cette condition.

ASA(config-applet)# [no] event crashinfo

Configuration d'action

Quand l'applet est déclenché, les actions sur l'applet sont exécutées. Chaque action a un nombre ordinal qui est utilisé pour spécifier la commande des actions. De plusieurs actions peuvent être configurées par applet ; mais chacun ordinal peut seulement être utilisé une fois. Les commandes sont des commandes typiques CLI, telles que des blocs d'exposition. Les devis sont fortement recommandés, mais ne sont pas exigés. 

ASA(config-applet)# [no] action <n> cli command "<command>"ASA(config-applet)# no action <n>

La valeur du <n> d'identifiant d'action a une plage de 0 à 4294967295. La valeur du <command> doit être citée, autrement une erreur se produit si la commande se compose de plus d'un mot. La commande est exécutée dans le mode de configuration en tant qu'utilisateur avec le niveau de privilège 15 (le plus élevé). La commande ne pourrait recevoir aucune entrée ; car l'entrée sera désactivée si une commande a l'option de noconfirm. Cela devrait être utilisé puisque les commandes ne sont pas traitées en mode interactif.

Configuration de sortie

La sortie des actions peut être dirigée vers un emplacement spécifié par l'intermédiaire de la commande de sortie. Seulement une valeur sortie peut être activée en même temps. La valeur par défaut est sortie aucun. Cette valeur jette n'importe quelle sortie des commandes d'action. 

ASA(config-applet)# [no] output none

La commande de console de sortie envoie la sortie des commandes d'action à la console. 

ASA(config-applet)# [no] output console

La commande de fichier de sortie dirige la sortie des commandes d'action vers des fichiers. Il y a quatre options qui peuvent être utilisées. La nouvelle option écrit la sortie de l'applet à un nouveau fichier pour chaque invocation. Le nom du fichier a le format d'eem-<applet>-<timestamp>.log. Là où le <applet> est le nom de l'applet et du <timestamp> est un horodateur daté dans le format de YYYYMMDD-hhmmss

ASA(config-applet)# [no] output file new

L'option de rotation est utilisée de créer un ensemble de fichiers qui sont semblables tourné au log de Linux tournent le mécanisme. Le format de nom du fichier est eem-<applet>-<x>.log. Là où le <applet> est le nom de l'applet, et le <x> est le nombre de fichier. Le plus nouveau fichier est indiqué par le numéro 0 (zéro), et le fichier le plus ancien est indiqué par le nombre le plus élevé (<n>-1). Quand un nouveau fichier doit être écrit, le fichier le plus ancien est supprimé et tous les fichiers ultérieurs sont renumérotés avant que le 0th fichier soit écrit. 

ASA(config-applet)# [no] output file rotate <n>

Le <n> de valeur de rotation a une plage de 2 à 100.

L'option d'écraser est utilisée d'écrire toujours la sortie de commande d'action à un fichier unique qui est tronqué chaque fois. 

ASA(config-applet)# [no] output file overwrite <filename>

L'option d'ajouter est utilisée d'écrire toujours la sortie de commande d'action à un fichier unique, mais ce fichier est ajouté à chaque fois. 

ASA(config-applet)# [no] output file append <filename>

L'argument de <filename> est (à l'ASA) un nom du fichier local. La commande d'écraser pourrait également utiliser ftp:, tftp : et smb : fichiers visés.

Configuration ASDM

EEM peut également être configuré de l'ASDM. Choisissez la configuration > la Gestion de périphériques > a avancé > gestionnaire encastré d'événement. Dans cette section d'ASDM, vous pouvez configurer vos applet EEM avec les mêmes paramètres discutés précédemment. Après que vous configuriez un applet, cliquez sur Apply pour pousser la configuration à l'ASA.

Vérifiez

Commandes de mode d'exécution

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

Toutes ces commandes sont utilisées dans le mode d'exécution.

Cette commande montre la configuration en cours du système de gestionnaire d'événement.

ASA# show running-config event manager

Cette commande exécute un event manager applet qui a été configuré avec l'event none. Si vous exécutez un applet qui n'a pas été configuré avec l'event none, une erreur est signalée. 

ASA# event manager run <applet>

Informations de cette commande montre sur les applet configurés, qui incluent des nombres de hits et quand l'applet a été pour la dernière fois appelé

ASA# event manager applet period-event, hits 1, last 2014/07/01 10:51:52
last file none
event watchdog 60 secs, left 54 secs, hits 1, last 2014/07/01 10:51:52
action 0 cli command "ping 192.168.1.100", hits 1, last 2014/07/01 10:51:52

Le gestionnaire d'événement utilise les compteurs standard. En raison des limites dans le show counter CLI, le mot clé d'eem est utilisé pour le filtrage de protocole. 

ASA# show counters protocol eem

L'Output Interpreter Tool (clients enregistrés seulement) prend en charge certaines commandes show. Utilisez l'Output Interpreter Tool afin de visualiser une analyse de sortie de commande show.

Debug

Sélectionnez ces commandes afin de mettre au point l'EEM et afficher la sortie.

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

ASA# [no] debug event manager <n>
ASA# show debug event manager

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration. S'il ne fonctionne pas comme prévu, utilisez l'élimination des imperfections et la vérification fait un pas énuméré dans la section précédente afin de déterminer si une erreur s'est produite.



Document ID: 117883