Безопасность : программное обеспечение для адаптивных устройств обеспечения безопасности Cisco ASA

ASA встроенный пример конфигурации Диспетчера событий

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает встроенного диспетчера событий (EEM), который является средством устранения проблем, которое было добавлено в Версии 9.2 (1) Устройства адаптивной защиты (ASA). Функциональность подобна Cisco, IOS� базировал EEM. Это - действенный способ, чтобы выполнить команды CLI на основе событий ASA (системные журналы) и сохранить выходные данные. Этот документ покрывает введение к функции, а также некоторому примеру апплеты EEM.

Внесенный специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Использование EEM требует, чтобы ASA был настроен в одиночном режиме контекста.

Используемые компоненты

Сведения в этом документе основываются на Версии ASA 9.2 (1) или позже.

Рекомендации и ограничения

Этот раздел включает рекомендации и ограничения для этой функции.

Режим контекста Рекомендации

EEM в настоящее время только поддерживается на межсетевых экранах ASA, которые работают в одиночном режиме контекста. Межсетевые экраны, настроенные в многоконтекстном режиме, в настоящее время не поддерживаются.

Режим межсетевого экрана Рекомендации

EEM в настоящее время поддерживается и в маршрутизировавшем и в режимы прозрачного межсетевого экрана.

Дополнительные Рекомендации

  • В то время как модуль завершается катастрофическим отказом, состояние ASA обычно неизвестно. В то время как ASA находится в этом условии, некоторые команды не могло бы быть безопасно выполнить.
  • Название event manager applet не может содержать пробелы.
  • Вы не можете модифицировать событие None и параметры события Crashinfo (сведения об аварийном отказе).
  • На производительность можно было бы влиять, потому что сообщения системного журнала передаются EEM, который будет обработан.
  • Выходные данные по умолчанию выведены ни один для каждого event manager applet. Для изменения выходных данных по умолчанию необходимо ввести другое выходное значение.
  • У вас мог бы быть только один выходной параметр, определенный для каждого event manager applet.

Настройка

Команда event manager applet, creates/edits event manager applet, процесс, который связывает события с действиями и выходными данными. <Name> ограничен 32 символами и не может иметь пробелов. Это вводит подрежим event manager applet.

ASA(config)# [no] event manager applet <name>

Описание может быть добавлено к апплету. Это для получений информации только. <Текст> ограничен 256 символами.

ASA(config-applet)# [no] description <text>

Конфигурация событий

Различные события могли бы быть добавлены к апплету, которые инициируют апплет для призыва действий, которые настроены на нем. Они определены с ключевым словом события. Несколька событий могли бы быть настроены для каждого апплета.

События системного журнала (syslog)

Первый тип события, который поддерживается, является системным журналом. ASA использует идентификаторы системного журнала для определения системных журналов, которые инициируют апплет. Это завершено через ключевое слово идентификатора, которое могло бы быть одиночным системным журналом или диапазоном. Дополнительное происходит, ключевое слово указывает на число раз, что системный журнал должен произойти для апплета, который будет вызван (по умолчанию равняется 1). Дополнительное ключевое слово периода указывает на период времени в секундах, что событие должно иметь место в. Это ограничивает частоту вызова апплета к самое большее однажды настроенному периоду. Происходить 5 с периодом 30, означает, что системный журнал должен произойти 5 раз в течение 30 секунд, прежде чем будет инициировано событие. Если системный журнал происходит 11 раз за 30 секунд, апплет только инициирован однажды. Значение 0 в течение периода означает, что не определен никакой период.

Множественные системные журналы могут быть настроены, но не могут наложиться диапазоны.

ASA(config-applet)# [no] event syslog id <nnnnnn>[-<nnnnnn>] [occurs <n>]
[period <seconds>]
ASA(config-applet)# no event syslog id <nnnnnn>[-<nnnnnn>]

Происходит, значение <n> имеет допустимый диапазон от 1 до 4294967295. <Seconds> значения периода имеет допустимый диапазон от 0 до 604800. 0 (нулевых) значений означают, что не настроен никакой период.

Пример событий системного журнала (syslog)

В данном примере принимает меры EEM, когда это обнаруживает условие блока нижней области памяти. Если доступные 1550-байтовые блоки становятся истощенными, это собирается, показывают, что блоки объединяют дамп 1550 года, и сохраняет к диску. Это делает это, самое большее, один раз в 10 минут.

event manager applet depletedblock
description "Take a snapshot of block output when it is depleted"
event syslog id 321007 period 600
action 1 cli command "show blocks pool 1550 dump"
output file rotate 10

Периодические события

EEM может также быть настроен для делания действия периодически. При настройке основанного на таймере события используйте ключевое слово таймера в конфигурации событий. Существуют основанные опции 3 таймеров:

  • абсолютный - новичок является абсолютным таймером, который инициирует апплет один раз в день в заданное время и автоматически перезапускает.
    ASA(config-applet)# [no] event timer absolute time <hh:mm:ss>
    ASA(config-applet)# no event timer absolute
  • обратный отсчет - второй таймер является таймером обратного отсчета, который инициирует апплет однажды и не перезапускает, пока не удалено и повторно добавленный.
    ASA(config-applet)# [no] event timer countdown time <seconds>
    ASA(config-applet)# no event timer countdown
  • сторожевой таймер - третий таймер является контрольным таймером, который инициирует апплет один раз в настроенный период и перезапуски автоматически.
    ASA(config-applet)# [no] event timer watchdog time <seconds>
    ASA(config-applet)# no event timer watchdog

Периодический пример событий

Например, эта конфигурация событий пропинговывает 192.168.1.100 каждых 1 минуту. Это могло использоваться, чтобы гарантировать, что VPN-туннель поддержан на высоком уровне и в рабочем состоянии даже в течение периодов пустого трафика. Это использует контрольный таймер для выполнения каждые 60 секунд.

event manager applet period-event
description "Run a command once per minute"
event timer watchdog time 60
action 0 cli command "ping 192.168.1.100"
output none

Этот апплет делает запись информации о выделении блока памяти каждый час и пишет выходные данные во вращающийся набор файлов журнала, так как это поддерживает ценность дня журналов. Это использует контрольный таймер для выполнения каждого 1 часа.

event manager applet blockcheck
description "Log block usage"
event timer watchdog time 3600
output rotate 24
action 1 cli command "show blocks old"

Эти апплеты отключают данный интерфейс (Концерт 0/0) между полуночью и 3:00. Это использует абсолютный таймер для выполнения один раз в день.

event manager applet disableintf
description "Disable the interface at midnight"
event timer absolute time 0:00:00
output none
action 1 cli command "interface GigabitEthernet 0/0"
action 2 cli command "shutdown"
action 3 cli command "write memory"
!
event manager applet enableintf
description "Enable the interface at 3am"
event timer absolute time 3:00:00
output none
action 1 cli command "interface GigabitEthernet 0/0"
action 2 cli command "no shutdown"
action 3 cli command "write memory"

Ручное событие

Эти апплеты EEM могли бы также быть вызваны вручную. Чтобы сделать это, апплет должен настроить event none. Для выполнения апплета вручную, введите команду event manager run, придерживавшуюся названием апплета. Если апплет настроен для какого-либо триггерного механизма события ни кроме 'одного', попытка выполнить его вручную генерирует ошибку. С использованием одного из предыдущих примеров, 'depletedblock', вы видите:

ASA# event manager run depletedblock
ERROR: Applet not configured with 'event none'

Ручной пример события

Ручные события могут использоваться подобной формой к макросу. Например, ручное событие могло использоваться для выполнения нескольких команд в заказе. В данном примере это сохраняет конфигурацию, пропинговывает хост и очищается, все избегает.

event manager applet clean-up
event none
action 0 cli command "write mem"
action 1 cli command "ping 192.168.1.100"
action 2 cli command "clear shun"
output none

Событие катастрофического отказа

Когда катастрофический отказ происходит на ASA, событие crashinfo (сведения об аварийном отказе) инициирует апплет. Независимо от значения выходной команды  команды действия направлены к файлу crashinfo. Выходные данные генерируются, прежде чем техническая часть показа crashinfo (сведения об аварийном отказе) генерируется.

% Warning: Когда ASA завершается катастрофическим отказом, состояние коробки обычно неизвестно. Когда модуль находится в этом условии, некоторые команды CLI не могло бы быть безопасно выполнить.

ASA(config-applet)# [no] event crashinfo

Конфигурация действия

Когда апплет инициирован, действия с апплетом выполнены. Каждое действие имеет ординал, который используется для определения заказа действий. Множественные действия могут быть настроены на апплет; но каждый ординал может только использоваться однажды. Команды являются типичными командами CLI, теми, которые показывают блоки. Кавычки строго рекомендуются, но не требуются. 

ASA(config-applet)# [no] action <n> cli command "<command>"ASA(config-applet)# no action <n>

Значение идентификатора действия <n> имеет диапазон от 0 до 4294967295. Значение <команда> должно быть указано, иначе ошибка происходит, если команда состоит из нескольких слов. Команда выполняется в режиме конфигурации как пользователь с уровнем привилегий 15 (самое высокое). Команда не могла бы принять ввод; если команда будет иметь noconfirm опцию, поскольку ввод будет отключен. Это должно использоваться, так как команды не обработаны в интерактивном режиме.

Выходная конфигурация

Выходные данные от действий могут быть направлены к указанному местоположению через выходную команду. Только одно выходное значение может быть включено в любой момент. Значение по умолчанию выведено ни один. Это значение сбрасывает от любых выходных данных от команд действия. 

ASA(config-applet)# [no] output none

Выходная команда консоли передает выходные данные команд действия к консоли. 

ASA(config-applet)# [no] output console

Команда выходного файла направляет выходные данные команд действия к файлам. Существует четыре опции, которые могут использоваться. Новая опция пишет выходные данные апплета к новому файлу для каждого вызова. Имя файла имеет формат eem-<апплет> - <метка времени> .log. Где <апплет> является названием апплета, и <метка времени> датированная метка времени в формате YYYYMMDD-hhmmss

ASA(config-applet)# [no] output file new

Поворачивать опция используется для создания ряда файлов, которые повернуты подобные журналу Linux, поворачивают механизм. Формат имени файла является eem-<апплет> - <x> .log. Где <апплет> является названием апплета, и <x> номер документа. Новейший файл обозначен номером 0 (нуль), и самый старый файл обозначен самым большим количеством (<n>-1). Когда новый файл должен быть записан, самый старый файл удален, и все последующие файлы перенумерованы, прежде чем 0th файл записан. 

ASA(config-applet)# [no] output file rotate <n>

Поворачивать значение <n> имеет диапазон 2 - 100.

Опция перезаписи используется, чтобы всегда записать выходные данные команды действия в отдельный файл, который является усеченным каждый раз. 

ASA(config-applet)# [no] output file overwrite <filename>

Добавлять опция используется, чтобы всегда записать выходные данные команды действия в отдельный файл, но тот файл добавлен к каждому разу. 

ASA(config-applet)# [no] output file append <filename>

Аргумент <filename> является локальной переменной (к ASA) имя файла. Команда перезаписи могла бы также использовать ftp: tftp: и кто-то: предназначенные файлы.

Настройка посредством ASDM

EEM может также быть настроен из ASDM. Выберите Configuration> Device Management> Advanced> Embedded Event Manager. В этом разделе ASDM можно настроить апплеты EEM с теми же параметрами, обсужденными ранее. После настройки апплета нажмите Apply для продвижения конфигурации к ASA.

Проверка

Команды режима EXEC

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Все эти команды используются в режиме EXEC.

Эта команда показывает рабочую конфигурацию системы Диспетчера событий.

ASA# show running-config event manager

Эта команда выполняет event manager applet, который был настроен с event none. Если вы выполняете апплет, который не был настроен с event none, об ошибке сообщают. 

ASA# event manager run <applet>

Эта команда показывает информацию о настроенных апплетах, которая включает количество соответствия и когда был в последний раз вызван апплет

ASA# event manager applet period-event, hits 1, last 2014/07/01 10:51:52
last file none
event watchdog 60 secs, left 54 secs, hits 1, last 2014/07/01 10:51:52
action 0 cli command "ping 192.168.1.100", hits 1, last 2014/07/01 10:51:52

Диспетчер событий использует стандартные счетчики. Из-за ограничений в CLI счетчика показа, eem ключевое слово используется для фильтрации протоколов. 

ASA# show counters protocol eem

Средство интерпретации выходных данных (только зарегистрированные клиенты) поддерживает некоторые команды show. Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

.debug

Введите эти команды, чтобы отладить EEM и отобразить выходные данные.

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

ASA# [no] debug event manager <n>
ASA# show debug event manager

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем. Если это не работает как ожидалось, используйте шаги отладки и проверки, перечисленные в предыдущем разделе, чтобы определить, произошла ли ошибка.



Document ID: 117883