Einführung
In diesem Dokument wird beschrieben, was "Intrusion Prevention System (IPS) Security Services Processor (SSP) Application reloading IPS" in den Syslog-Meldungen der Cisco Adaptive Security Appliance (ASA) bedeutet.
Was bedeutet die IPS-Meldung "IPS SSP-Anwendung neu laden von IPS"?
Diese Syslog-Meldungen werden auf der ASA angezeigt:
ASA5585-SSP-IPS20 Module in slot 1, application up "IPS", version "7.1(1)E4"
Normal Operation
ASA5585-SSP-IPS20 Module in slot 1, application reloading "IPS", version
"7.1(1)E4" Config Change
Die ASA führt kein Failover durch, und das IPS zeigt kein "Fehlgeschlagen" an.
Diese Nachrichten werden während einiger Global Correlation (GC)-Updates generiert, die alle fünf Minuten versucht werden. Sie werden auch während eines IPS-Signatur-Updates generiert und sind als erwartetes Verhalten bekannt.
Eine GC-Prüfung findet alle fünf Minuten statt, Updates sind jedoch möglicherweise nicht verfügbar. Diese GC-Prüfung ist der Grund, warum die Nachricht während des normalen Betriebs jede Stunde erscheinen kann. Wenn ein GC-Update tatsächlich stattfindet oder ein Signatur-Update startet, sendet das IPS eine Meldung an die ASA, die anzeigt, dass eine Konfigurationsänderung durchgeführt wird.
May 22 2013 03:20:16: %ASA-1-505013: Module ASA-SSM-10 in slot 1 application reloading "IPS" version "7.1(7)E4" Config Change
Die Anwendung wird nicht neu geladen, da eine ASA dies tun würde, wenn der Befehl zum erneuten Laden ausgegeben würde. Das IPS passt die Analysis Engine an und benachrichtigt die ASA über die Änderung. Dieser Vorgang kann gleichzeitig erfolgen, wenn das IPS während der Verarbeitung der Updates in den Umgehungsmodus wechselt. Auch dies ist ein normaler Betrieb, und die IPS- oder ASA-Leistung wird nicht beeinträchtigt.
Wenn die ASA diese Nachricht empfängt, erfolgt kein sofortiges Failover. Während dieser Zeit verfolgt die ASA die Konfiguration für Fail-Close oder Fail-Open. Wenn Fail-Close konfiguriert wurde, verwirft die ASA alle an das IPS gesendeten Pakete, bis entweder der Sensor eine Meldung sendet, dass er wieder für die Überwachung bereit ist oder das Timeout erreicht ist (an diesem Punkt wird die ASA als fehlgeschlagen markiert).
May 22 2013 03:20:16: %ASA-3-420001: IPS card not up and fail-close mode used dropping TCP packet from Outside:213.248.117.16/80 to INSIDE:193.128.137.2/40860
Cisco Bug ID CSCts98806 wurde gespeichert, um mögliche Fehler bei der Karte/Anwendung aufgrund der Ursachen der genannten Meldungen zu beheben.
Cisco Bug ID CSCub28854 wurde eingereicht, um dieses Problem auf der IPS-Seite zu beheben oder zu dokumentieren.
Cisco Bug ID CSCts98836 wurde zur Behebung der Meldung auf der ASA abgelegt.
Bei IPS-Signatur- oder GC-Updates werden möglicherweise auf einem ASA-Failover Abwärtsmeldungen für den Datenkanal angezeigt. Dieser ASA-Fehler behebt diese Situation:
Cisco Bug-ID CSCuc32250
Zugehörige Informationen