Seguridad : Software Cisco Adaptive Security Appliance (ASA)

Ejemplo de configuración integrado ASA del administrador del evento

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe al administrador del evento integrado (EEM), que es una herramienta de Troubleshooting que fue agregada en la versión 9.2(1) adaptante del dispositivo de seguridad (ASA). Las funciones son similares al¿Â EEM basado½ del Cisco IOSïÂ. Es una forma muy eficaz funcionar con los comandos CLI basados en los eventos ASA (Syslog) y salvar la salida. Este documentos abarca una introducción a la característica así como a algunos applet del ejemplo EEM.

Contribuido por los ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

El uso de EEM requiere que el ASA esté configurado en el solo modo del contexto.

Componentes Utilizados

La información en este documento se basa en la Versión de ASA 9.2(1) o más adelante.

Guías de consulta y limitaciones

Esta sección incluye las guías de consulta y las limitaciones para esta característica.

Guías de consulta del modo del contexto

EEM se soporta actualmente solamente en los Firewall ASA que se ejecutan en el solo modo del contexto. Los Firewall configurados en el modo de contexto múltiple no se soportan actualmente.

Guías de consulta del modo firewall

EEM se soporta actualmente en los modos firewall ruteados y transparentes.

Guías de consulta adicionales

  • Mientras que la unidad causa un crash, el estado del ASA es generalmente desconocido. Algunos comandos no pudieron ser seguros de ejecutarse mientras que el ASA está en esta condición.
  • El nombre de un applet del administrador del evento no puede contener los espacios.
  • Usted no puede modificar el ninguno evento y los parámetros del evento del RMtermcode = 3 nfw.
  • El funcionamiento pudo ser afectado porque los mensajes de Syslog se envían al EEM que se procesarán.
  • La salida predeterminada se hace salir ningunos para cada applet del administrador del evento. Para cambiar la salida predeterminada, usted debe ingresar un diverso valor del resultado.
  • Usted puede ser que tenga solamente una opción de resultado definida para cada applet del administrador del evento.

Configurar

El administrador del evento que el comando del applet crea/que edita un applet del administrador del evento, un proceso que conecte los eventos a las acciones y a la salida. El <name> se limita a 32 caracteres y no puede tener espacios. Esto ingresa un submode del applet del administrador del evento.

ASA(config)# [no] event manager applet <name>

Una descripción se puede agregar a un applet. Esto está sólo con fines informativos. El <text > se limita a los caracteres 256.

ASA(config-applet)# [no] description <text>

Configuración de evento

Los diversos eventos se pudieron agregar a un applet que accionan el applet para invocar las acciones que se configuran en ella. Se definen con la palabra clave del evento. Los eventos múltiples se pudieron configurar para cada applet.

Eventos de syslog

El primer tipo de evento se soporta que es Syslog. El ASA utiliza los ID de syslogs para identificar los Syslog que accionan un applet. Esto se completa con la palabra clave identificación, que pudo ser un solo Syslog o un rango. El opcional ocurre palabra clave indica la cantidad de veces que el Syslog debe ocurrir para que el applet sea invocado (el valor por defecto es 1). La palabra clave opcional del período indica la cantidad de tiempo, en los segundos, en los cuales el evento debe ocurrir. Limita la frecuencia de la llamada del applet a lo más una vez al periodo configurado. Ocurre de 5 con un período de 30, significa que el Syslog debe ocurrir 5 veces dentro 30 segundos antes de que el evento se acciona. Si ocurre el Syslog 11 veces en 30 segundos, el applet se acciona solamente una vez. Un valor de 0 para el período significa que no se define ningún período.

Los Syslog múltiples pueden ser configurados, pero los rangos no pueden solapar.

ASA(config-applet)# [no] event syslog id <nnnnnn>[-<nnnnnn>] [occurs <n>]
[period <seconds>]
ASA(config-applet)# no event syslog id <nnnnnn>[-<nnnnnn>]

Ocurre el <n> del valor tiene un rango permisible de 1 a 4294967295. El <seconds> del valor del período tiene un rango permisible de 0 a 604800. El valor (cero) A0 significa que no se configura ningún período.

Ejemplo de los eventos de syslog

En este ejemplo, EEM toma medidas cuando detecta una condición del bloque de memoria baja. Si los 1550 bloques disponibles del byte se agotan, recolecta el volcado del pool 1550 de los bloques de la demostración y lo guarda al disco. Hace esto, a lo más, una vez cada 10 minutos.

event manager applet depletedblock
description "Take a snapshot of block output when it is depleted"
event syslog id 321007 period 600
action 1 cli command "show blocks pool 1550 dump"
output file rotate 10

Eventos periódicos

EEM se puede también configurar para hacer una acción periódicamente. Cuando usted configura un evento temporizador-basado, utilice la palabra clave del temporizador en la configuración de eventos. Hay 3 opciones basadas temporizador:

  • absoluto - El primer temporizador es un temporizador absoluto que acciona el applet una vez por el día en el tiempo especificado y recomienza automáticamente.
    ASA(config-applet)# [no] event timer absolute time <hh:mm:ss>
    ASA(config-applet)# no event timer absolute
  • cuenta descendiente - El segundo temporizador es un temporizador de la cuenta descendiente que acciona el applet una vez y no recomienza a menos que esté quitado y reagregada.
    ASA(config-applet)# [no] event timer countdown time <seconds>
    ASA(config-applet)# no event timer countdown
  • perro guardián - El tercer temporizador es un temporizador de vigilancia que acciona el applet una vez por el periodo configurado y los reinicios automáticamente.
    ASA(config-applet)# [no] event timer watchdog time <seconds>
    ASA(config-applet)# no event timer watchdog

Ejemplo de los eventos periódicos

Por ejemplo, esta configuración de evento hace ping 192.168.1.100 cada 1 minuto. Esto se podría utilizar para asegurarse que un túnel VPN es continuado y operativo incluso durante los períodos de tráfico inactivo. Utiliza el temporizador de vigilancia para ejecutar cada 60 segundos.

event manager applet period-event
description "Run a command once per minute"
event timer watchdog time 60
action 0 cli command "ping 192.168.1.100"
output none

Este applet registra la información de la asignación del bloque de memoria cada hora y escribe la salida a un conjunto giratorio de los archivos del registro, puesto que guarda el valor de un día de los registros. Utiliza el temporizador de vigilancia para ejecutar cada 1 hora.

event manager applet blockcheck
description "Log block usage"
event timer watchdog time 3600
output rotate 24
action 1 cli command "show blocks old"

Estos applet inhabilitan la interfaz dada (carruaje 0/0) entre la medianoche y 3 mañanas. Utiliza el temporizador absoluto para ejecutar una vez por el día.

event manager applet disableintf
description "Disable the interface at midnight"
event timer absolute time 0:00:00
output none
action 1 cli command "interface GigabitEthernet 0/0"
action 2 cli command "shutdown"
action 3 cli command "write memory"
!
event manager applet enableintf
description "Enable the interface at 3am"
event timer absolute time 3:00:00
output none
action 1 cli command "interface GigabitEthernet 0/0"
action 2 cli command "no shutdown"
action 3 cli command "write memory"

Evento manual

Estos applet EEM se pudieron también invocar manualmente. Para hacer esto, el applet debe configurar el evento ningunos. Para ejecutar un applet manualmente, ingrese el comando del funcionamiento del administrador del evento seguido con el nombre del applet. Si el applet se configura para cualquier mecanismo del activador del evento independientemente de “ningunos”, la tentativa de ejecutarlo genera manualmente un error. Con el uso de uno de los ejemplos anteriores, “depletedblock”, usted ve:

ASA# event manager run depletedblock
ERROR: Applet not configured with 'event none'

Ejemplo manual del evento

Los eventos manuales se pueden utilizar de manera similar a una macro. Por ejemplo, un evento manual se podía utilizar para ejecutar algunos comandos en la orden. En este ejemplo, guarda la configuración, hace ping un host, y borra todo evita.

event manager applet clean-up
event none
action 0 cli command "write mem"
action 1 cli command "ping 192.168.1.100"
action 2 cli command "clear shun"
output none

Evento de la caída

El evento del RMtermcode = 3 nfw acciona un applet cuando una caída ocurre en el ASA. Sin importar el valor del comando de la salida, los comandos de la acción se dirigen al archivo CRASHINFO. Se genera la salida antes de que la porción de la tecnología de la demostración del RMtermcode = 3 nfw se genere.

Advertencia: Cuando el ASA está causando un crash, el estado del cuadro es generalmente desconocido. Algunos comandos CLI no pudieron ser seguros de ejecutarse cuando la unidad está en esta condición.

ASA(config-applet)# [no] event crashinfo

Configuración de la acción

Cuando se acciona el applet, las acciones en el applet se realizan. Cada acción tiene un ordinal que se utilice para especificar la orden de las acciones. Las acciones múltiples se pueden configurar por el applet; pero cada uno ordinal se puede utilizar solamente una vez. Los comandos son comandos CLI típicos, tales como bloques de la demostración. Las citas se recomiendan fuertemente, pero no se requieren. 

ASA(config-applet)# [no] action <n> cli command "<command>"ASA(config-applet)# no action <n>

El valor del <n> del identificador de la acción tiene un rango de 0 a 4294967295. El valor del <command> debe ser citado, si no un error ocurre si el comando consiste en más de una palabra. El comando se ejecuta en el modo de configuración como usuario con el nivel de privilegio 15 (el más alto). El comando no pudo validar ninguna entrada; pues la entrada será inhabilitada si un comando tiene la opción del noconfirm. Eso debe ser utilizada puesto que los comandos no se procesan recíprocamente.

Configuración del resultado

La salida de las acciones se puede dirigir a una ubicación especificada vía el comando de la salida. Solamente un valor del resultado se puede habilitar a cualquier momento. El valor predeterminado se hace salir ningunos. Este valor desecha cualquier salida de los comandos de la acción. 

ASA(config-applet)# [no] output none

El comando console de la salida envía la salida de los comandos de la acción a la consola. 

ASA(config-applet)# [no] output console

El comando del archivo saliente dirige la salida de los comandos de la acción a los archivos. Hay cuatro opciones que pueden ser utilizadas. La nueva opción escribe la salida del applet a un nuevo archivo para cada llamada. El nombre de fichero tiene el formato de eem-<applet>-<timestamp>.log. Donde está el <applet> el nombre del applet y del <timestamp> es un grupo fecha/hora anticuado en el formato del YYYYMMDD-HHMMSS

ASA(config-applet)# [no] output file new

La opción de la rotación se utiliza para crear un conjunto de los archivos que son similares girado al registro de Linux giran el mecanismo. El formato del nombre de fichero es eem-<applet>-<x>.log. Donde está el <applet> el nombre del applet, y el <x> es el número de archivo. El más nuevo archivo es indicado por el número 0 (cero), y el más viejo archivo es indicado por el número más elevado (<n>-1). Cuando un nuevo archivo debe ser escrito, se borra el más viejo archivo y se renumeran todos los archivos subsiguientes antes de que se escriba el 0o archivo. 

ASA(config-applet)# [no] output file rotate <n>

El <n> del valor de la rotación tiene un rango de 2 a 100.

La opción del sobregrabar se utiliza para escribir siempre la salida de comando de la acción a un archivo único que se trunque cada vez. 

ASA(config-applet)# [no] output file overwrite <filename>

La opción del añadir al final del fichero se utiliza para escribir siempre la salida de comando de la acción a un archivo único, pero ese archivo se añade al final del fichero a cada vez. 

ASA(config-applet)# [no] output file append <filename>

El argumento del <filename> es (al ASA) un nombre del archivo local. El comando del sobregrabar pudo también utilizar ftp:, tftp: y smb: archivos apuntados.

Configuración de ASDM

EEM se puede también configurar dentro del ASDM. Elija la configuración > la Administración de dispositivos > avanzó > administrador del evento integrado. En esta sección del ASDM, usted puede configurar sus applet EEM con los mismos parámetros discutidos previamente. Después de que usted configure un applet, el tecleo se aplica para avanzar la configuración al ASA.

Verificación

Comandos del modo EXEC

Use esta sección para confirmar que su configuración funciona correctamente.

Todos estos comandos se utilizan en el modo EXEC.

Este comando muestra la configuración corriente del sistema del administrador del evento.

ASA# show running-config event manager

Este comando ejecuta un applet del administrador del evento que se ha configurado con el evento ningunos. Si usted ejecuta un applet que no se ha configurado con el evento ningunos, un error está señalado. 

ASA# event manager run <applet>

Este comando muestra la información sobre los applet configurados, que incluye las cuentas del golpe y cuando el applet era el más reciente invocado

ASA# event manager applet period-event, hits 1, last 2014/07/01 10:51:52
last file none
event watchdog 60 secs, left 54 secs, hits 1, last 2014/07/01 10:51:52
action 0 cli command "ping 192.168.1.100", hits 1, last 2014/07/01 10:51:52

El administrador del evento utiliza los contadores estándar. Debido a las limitaciones dentro del contador CLI de la demostración, la palabra clave del eem se utiliza para el filtrado de protocolo. 

ASA# show counters protocol eem

La herramienta del Output Interpreter (clientes registrados solamente) apoya los ciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show.

Depurar

Ingrese estos comandos para hacer el debug del EEM y visualizar la salida.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

ASA# [no] debug event manager <n>
ASA# show debug event manager

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración. Si no actúa según lo esperado, utilice los pasos del debugging y verificación enumerados en la sección anterior para determinar si ha ocurrido un error.



Document ID: 117883