Introduction
Ce document décrit ce que signifie l'application du processeur de Services de sécurité de Système de prévention d'intrusion (IPS) (« SSP) rechargeant l'IPS » dans des messages de Syslog de l'appliance de sécurité adaptable Cisco (ASA).
Queest-ce que le message « application IPS IPS SSP rechargeant l'IPS » signifie ?
Ces messages de Syslog apparaissent sur l'ASA :
ASA5585-SSP-IPS20 Module in slot 1, application up "IPS", version "7.1(1)E4"
Normal Operation
ASA5585-SSP-IPS20 Module in slot 1, application reloading "IPS", version
"7.1(1)E4" Config Change
L'ASA ne fait pas Basculement, et l'IPS n'affiche pas « manqué ».
Ces messages sont générés pendant les certaines des mises à jour globales de corrélation (CHROMATOGRAPHIE GAZEUSE) qui sont tentées toutes les cinq minutes. Ils sont également générés pendant une mise à jour de signature IPS et sont connus pour être un comportement prévu.
Un contrôle de CHROMATOGRAPHIE GAZEUSE se produit toutes les cinq minutes, cependant, les mises à jour ne pourraient pas être disponibles. Ce contrôle de CHROMATOGRAPHIE GAZEUSE est pourquoi le message peut apparaître chaque heure ou ainsi pendant le fonctionnement normal. Quand une mise à jour de CHROMATOGRAPHIE GAZEUSE a lieu réellement ou les débuts d'une mise à jour de signature, l'IPS envoie un message à l'ASA qui indique qu'une modification de configuration est en cours.
May 22 2013 03:20:16: %ASA-1-505013: Module ASA-SSM-10 in slot 1 application reloading "IPS" version "7.1(7)E4" Config Change
L'application ne recharge pas réellement comme une ASA si la commande de recharge était émise. L'IPS ajuste l'engine d'analyse et informe l'ASA de la modification. Cette exécution peut se produire pendant que l'IPS entre dans le mode bypass tandis qu'il traite les mises à jour. De nouveau, c'est fonctionnement normal, et il n'y a aucune incidence fonctionnelle à l'IPS ou aux performances ASA.
Quand l'ASA reçoit ce message elle pas Basculement immédiatement. Pendant ce temps l'ASA suivra l'échec-fin ou la configuration échec-ouverte. Si l'échec-fin était configurée, l'ASA relâchera tous les paquets envoyés à l'IPS jusqu'à ce qu'ou le capteur envoie un message indiquant qu'il est prêt de nouveau pour la surveillance, ou le délai d'attente est atteint (à quel point l'ASA sera marqué en tant que manqué).
May 22 2013 03:20:16: %ASA-3-420001: IPS card not up and fail-close mode used dropping TCP packet from Outside:213.248.117.16/80 to INSIDE:193.128.137.2/40860
L'ID de bogue Cisco CSCts98806 a été classé pour résoudre la panne possible de carte/application due aux causes des messages mentionnés.
L'ID de bogue Cisco CSCub28854 a été classé pour résoudre ou documenter cette question du côté IPS.
L'ID de bogue Cisco CSCts98836 a été classé pour résoudre le message sur l'ASA.
Les messages de voie de transmission de données vers le bas pourraient afficher sur un Basculement ASA pendant les mises à jour de signature IPS ou de CHROMATOGRAPHIE GAZEUSE. Cette bogue ASA adresse cette situation :
ID de bogue Cisco CSCuc32250
Commentaires