セキュリティ : Cisco Firepower Management Center

接続イベントは FireSIGHT Management Center から消えるようです

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

システムが数日間稼動した後接続イベントが FireSIGHT Management Center から消えるときこの資料に根本的な原因を判別し問題を解決する方法を記述されています。 それは管理センターのコンフィギュレーションの設定が原因で起こるかもしれません。

著者:Cisco TAC エンジニア、ナズムル・ラジブ。

前提条件

要件

Cisco は FireSIGHT Management Center のナレッジがあることを推奨します。

使用するコンポーネント

このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づくものです。

  • FireSIGHT 管理センター
  • ソフトウェア バージョン 5.2 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

トラブルシューティング

ステップ 1: 保存されたイベントの数を判別して下さい

FireSIGHT Management Center で保存される接続イベントの数を判別するため、

  1. 分析 > 接続 > 接続イベントのテーブル ビューを選択して下さい。
  2. すべての発生したイベントを取囲む広範囲に時間 の ウィンドウを、たとえば 12 か月拡張して下さい。
  3. ページの一番下に行の総数に注意して下さい。 最後のページをクリックし、最後の利用可能 な 接続イベントのタイムスタンプに注意して下さい。

この情報は現在のコンフィギュレーションを用いる接続イベントを保てるどの位のか何、そしてか概念を提供します。

ステップ 2: ロギング オプションを判別して下さい

接続は記録 されることどの接続が記録 されて いる、そしてところでフローかで検討して下さい。 組織のセキュリティおよび準拠性必要に従って接続を記録 する必要があります。 目標が生成するイベントの数を制限することなら、分析に重要なルールのために記録 する イネーブル。 ただし、ネットワークトラフィックの広い見解がほしいと思えば、追加アクセスコントロール ルールまたはデフォルト アクションのためのロギングを有効に することができます。 より長いある一定の時間のための接続イベントを保つのを助けるために非本質的なトラフィックのための接続ロギングをディセーブルにすることができます。

ヒント: パフォーマンスを最適化するために、Cisco は接続の始まりか端を記録 する、両方ことを推奨しません。

: 単一の接続に関しては、終りの接続イベントはセッションの期間にわたって収集された始まりの接続イベントで情報が、また情報すべてが含まれています。 信頼および割り当てルールに関しては、終りの接続が使用されることが推奨されます。

この図は各ルール処理のために利用可能 な異なるロギング オプションを説明します:

 ルール処理かロギング オプション 始まりのログ 端にログ

 信頼

 デフォルト アクション: 信頼

 X X

 プライベート ネットワーク間で

 デフォルト アクション: 不正侵入

 デフォルト アクション: ディスカバリ

 X X
 モニタ  X (必要とされる)

 ブロック

 リセットのブロック

 Defaut 処理: ブロック

 X 

 対話型ブロック

 リセットの対話型ブロック

 X (バイパスされた場合) X
 安全保障局 X 

ステップ 3: 接続データベースのサイズを調整して下さい

接続イベントはシステム ポリシーで設定 する 最大接続 イベントにプルーニングされた依存です。 設定を変更するため:

  1. システム > ローカル > システム ポリシーを選択して下さい。
  2. 現在適用されたポリシーを編集するために鉛筆アイコンをクリックして下さい。
  3. > 接続データベース > 最大接続 イベント 『Database』 を選択 して下さい。
  4. 最大接続 イベントの値を変更して下さい。
  5. ポリシーおよび終了を『SAVE』 をクリック し、次にアプライアンスにポリシーを適用して下さい

保存することができる接続イベントの最大量は管理センター モデルによって決まります:

: 最大イベント制限は接続イベントと安全保障局イベントの間で共有されます; 2 つのイベントのための設定最大値の合計は最大イベント制限を超過できません。

管理センター モデルイベントの最大数
FS750、DC75050,000,000
FS1500、DC1500100,000,000
FS2000300,000,000
FS3500、DC3500500,000,000
FS400010億
仮想アプライアンス10,000,000

注意: データベース制限の増加はデバイスの不利なパフォーマンス影響がある場合があります。 パフォーマンスを改善するために、規則的にとはたらかせるイベントの数へのイベント制限を合わせる必要があります。

時間 範囲上のイベント カウントを表示するウィジェットに関しては、イベントの総数は詳細なデータがイベント ビューアで利用できるイベントの数を反映しないかもしれません。 これはディスク領域の使用率を管理するためにシステムが時々より古いイベント詳細をプルーニングするので発生します。 プルーニングするイベント詳細の発生回数を最小限に抑えるために配備にとって最も重要なそれらのイベントだけ記録 するためにイベント ロギングを最適化できます。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118012