安全 : 思科自适应安全设备 (ASA) 软件

ASA嵌入式活动管理器配置示例

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述嵌入式活动管理器(EEM),是故障排除工具在可适应安全工具(ASA)版本9.2(1)被添加。功能类似于Cisco IOS�基于EEM。它是一个强大的方式运行根据ASA事件的CLI命令(Syslog)和保存输出。本文包括介绍对功能以及一些示例EEM applet。

由思科 TAC 工程师撰稿。

先决条件

要求

使用EEM要求ASA在单个上下文模式配置。

使用的组件

本文档中的信息根据ASA版本9.2(1)或以上。

指南和限制

此部分包括指南和限制此的功能。

上下文模式指南

在单个上下文模式运行的ASA防火墙只当前支持EEM。当前不支持在多个上下文模式配置的防火墙。

防火墙模式指南

路由的和透明防火墙模式当前支持EEM。

另外的指南

  • 当单元失败时, ASA的状态通常未知。当ASA在此情况时,一些命令也许不是安全运行。
  • 活动管理器applet的名称不能包含空间。
  • 您什么都不能修改事件和Crash信息事件参数。
  • 因为系统消息传送对将处理的EEM性能也许受影响。
  • 默认输出为每活动管理器applet输出无。为了更改默认输出,您必须输入不同的输出值。
  • 您只也许有为每活动管理器applet定义的一输出选项。

配置

活动管理器applet命令创建/编辑活动管理器applet,与操作和输出连接事件的进程。<name>对32个字符被限制,并且不能有空间。这输入活动管理器applet从属方式。

ASA(config)# [no] event manager applet <name>

说明可以被添加到applet。此名称仅用于参考目的。<text >对256个字符被限制。

ASA(config-applet)# [no] description <text>

事件配置

触发applet调用操作配置对此的多种事件也许被添加到applet。他们定义与事件关键字。多个事件也许为每applet配置。

系统日志事件

支持的第一种事件类型是Syslog。ASA使用Syslog ID为了识别触发applet的Syslog。这通过id关键字完成,也许是单个Syslog或范围。可选发生关键字指示Syslog必须发生为了能将被调用的applet的次数(默认是1)。可选期限关键字以秒钟指示时间,事件必须发生。它对至多配置的周期一次限制applet调用的频率。发生5与期限30,含义Syslog必须发生5次在之内30秒,在事件被触发前。如果Syslog在30秒发生11次, applet一次只被触发。值为0在期内意味着期限没有定义。

多Syslog可以配置,但是范围不能交迭。

ASA(config-applet)# [no] event syslog id <nnnnnn>[-<nnnnnn>] [occurs <n>]
[period <seconds>]
ASA(config-applet)# no event syslog id <nnnnnn>[-<nnnnnn>]

发生<n>有一个允许的范围1到4294967295。期限值<seconds>有一个允许的范围0到604800。一个0个(零的)值含义期限没有配置。

系统日志事件示例

在本例中,当检测低内存存储区情况时, EEM采取行动。如果联机被变得的1550字节块耗尽,它采集show blocks池1550转储并且保存到磁盘。它执行此,至多,一次每10分钟。

event manager applet depletedblock
description "Take a snapshot of block output when it is depleted"
event syslog id 321007 period 600
action 1 cli command "show blocks pool 1550 dump"
output file rotate 10

定期事件

EEM可能也配置周期地执行操作。当您配置一个基于定时器的事件时,请在事件配置里请使用计时器关键字。有3个计时器基于选项:

  • 绝对-第一个计时器是触发applet一次每天在指定的时间和自动地重新启动的一个绝对计时器。
    ASA(config-applet)# [no] event timer absolute time <hh:mm:ss>
    ASA(config-applet)# no event timer absolute
  • 读秒-第二个计时器是一次触发applet的读秒计时器和不重新启动,除非已经删除和重新加写。
    ASA(config-applet)# [no] event timer countdown time <seconds>
    ASA(config-applet)# no event timer countdown
  • 监视器-第三个计时器是触发applet一次每个配置的周期并且自动地重新启动的监视器计时器
    ASA(config-applet)# [no] event timer watchdog time <seconds>
    ASA(config-applet)# no event timer watchdog

定期事件示例

例如,此事件配置ping 192.168.1.100每1分钟。这能用于保证VPN通道被跟上和可操作即使在期限闲置数据流期间。它使用监视器计时器执行每60秒。

event manager applet period-event
description "Run a command once per minute"
event timer watchdog time 60
action 0 cli command "ping 192.168.1.100"
output none

因为保持一个天的价值日志,此applet记录存储器块分配信息每个小时并且写入输出对转动的套日志文件。它使用监视器计时器执行每1个小时。

event manager applet blockcheck
description "Log block usage"
event timer watchdog time 3600
output rotate 24
action 1 cli command "show blocks old"

这些applet禁用指定接口(Gig 0/0)午夜0点和上午3点之间。它使用绝对计时器一次每天执行。

event manager applet disableintf
description "Disable the interface at midnight"
event timer absolute time 0:00:00
output none
action 1 cli command "interface GigabitEthernet 0/0"
action 2 cli command "shutdown"
action 3 cli command "write memory"
!
event manager applet enableintf
description "Enable the interface at 3am"
event timer absolute time 3:00:00
output none
action 1 cli command "interface GigabitEthernet 0/0"
action 2 cli command "no shutdown"
action 3 cli command "write memory"

手工的事件

这些EEM applet也许手工也被调用。为了执行此, applet必须配置事件无。为了手工运行applet,请输入活动管理器运行命令遵从名叫applet。如果applet为任何事件触发机制配置除‘无外’,尝试运行它手工生成错误。使用使用其中一前面的示例, ‘depletedblock’,您看到:

ASA# event manager run depletedblock
ERROR: Applet not configured with 'event none'

手工的事件示例

手工的事件可以相似地用于宏。例如,一个手工的事件能用于执行一些in命令顺序。在本例中,它保存配置, ping主机,并且清除全部避开。

event manager applet clean-up
event none
action 0 cli command "write mem"
action 1 cli command "ping 192.168.1.100"
action 2 cli command "clear shun"
output none

失败事件

当失败在ASA时,出现Crash信息事件触发applet。不管输出命令的值,操作命令处理到crashinfo文件。在Crash信息的show tech部分生成前,输出生成。

警告:当ASA失败时,方框的状态通常未知。当单元在此情况时,一些CLI命令也许不是安全运行。

ASA(config-applet)# [no] event crashinfo

操作配置

当applet被触发时,在applet的操作进行。每操作有使用指定操作的顺序的一个序数。多样行动可以每applet配置;但是可能一次只使用序数的其中每一。命令是典型的CLI命令,例如show blocks。严格推荐报价单,但是没有要求。 

ASA(config-applet)# [no] action <n> cli command "<command>"ASA(config-applet)# no action <n>

操作标识符<n>的值有范围0到4294967295。必须引述<command>的值,否则错误出现,如果命令包括超过一个词。命令在配置模式被执行作为有权限级别的15 (最高)一个用户。命令也许不接受任何输入;因为输入将禁用,如果命令有noconfirm选项。那,因为命令没有交互式地,处理应该使用。

输出排列

从操作的输出可以处理到一个指定的位置通过输出命令。仅一输出值可以随时启用。输出默认值。此值丢弃从操作命令的所有输出。 

ASA(config-applet)# [no] output none

输出控制台命令发送操作命令的输出到控制台。 

ASA(config-applet)# [no] output console

输出文件命令处理操作命令的输出到文件。有能使用的四个选项。新选项写applet的输出到每调用的一个新的文件。文件名eem-<applet>-<timestamp>.log格式。那里<applet> applet和<timestamp>的名称是在Yyyymmdd HHMMSS格式的一标日期的时间戳。 

ASA(config-applet)# [no] output file new

转动选项用于创建被转动的类似于Linux的日志转动机制的一套文件。文件名格式是eem-<applet>-<x>.log。那里<applet> applet的名称和<x>是文件号。最新的文件是由第0 (零)表示的,并且最旧的文件是由较高的值(<n>-1)表示的。当一个新的文件将写入时,最旧的文件删除,并且所有随后的文件被重数,在0th文件写入前。 

ASA(config-applet)# [no] output file rotate <n>

转动值<n>有范围2到100。

覆盖选项用于总是写操作命令输出到每次被削的单个文件。 

ASA(config-applet)# [no] output file overwrite <filename>

添附选项用于总是写操作命令输出到单个文件,但是该文件被添附对每次。 

ASA(config-applet)# [no] output file append <filename>

<filename>参数是一个本地(对ASA)文件名。覆盖命令也许也使用ftp:tftp :并且smb :目标文件。

ASDM 配置

EEM可能也配置从ASDM的内部。选择Configuration>设备管理>Advanced >嵌入了活动管理器。在ASDM的此部分,您能配置您的与以前讨论的同样参数的EEM applet。在您配置applet后,请单击应用推送配置到ASA。

验证

EXEC模式命令

使用本部分可确认配置能否正常运行。

所有这些命令用于EXEC模式。

此命令显示活动管理器系统的运行的配置。

ASA# show running-config event manager

此命令执行配置与事件无的一活动管理器applet。如果运行未配置与事件无的applet,错误报告。 

ASA# event manager run <applet>

此命令显示关于已配置的applet的信息,包括命中数计数,并且,当最后被调用的applet

ASA# event manager applet period-event, hits 1, last 2014/07/01 10:51:52
last file none
event watchdog 60 secs, left 54 secs, hits 1, last 2014/07/01 10:51:52
action 0 cli command "ping 192.168.1.100", hits 1, last 2014/07/01 10:51:52

活动管理器使用标准的计数器。由于在show counter CLI内的限制, eem关键字使用协议过滤。 

ASA# show counters protocol eem

命令输出解释程序工具仅限注册用户)支持某些 show 命令。请使用Output Interpreter Tool为了查看show命令输出分析。

调试

输入这些命令为了调试EEM和显示输出。

注意:使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

ASA# [no] debug event manager <n>
ASA# show debug event manager

故障排除

目前没有针对此配置的故障排除信息。如果它不运行正如所料,请使用列出的调试和验证步骤在前面部分为了确定错误是否出现。



Document ID: 117883