Alarmes pour Cisco ISA 3000

Vous pouvez configurer le système d’alarme sur un périphérique Cisco ISA 3000 pour qu’il vous avertisse en cas de conditions indésirables.

À propos des alarmes

Vous pouvez configurer l’ISA 3000 pour qu’il émette des alarmes dans diverses conditions. Si les conditions ne correspondent pas aux paramètres configurés, le système déclenche une alarme, qui est signalée par des DEL, des messages du journal système, des déroutements SNMP et par des périphériques externes connectés à l’interface de sortie d’alarme. Par défaut, les alarmes déclenchées n’émettent que des messages syslog.

Vous pouvez configurer le système d’alarme pour surveiller les éléments suivants :

  • Bloc d’alimentation

  • Capteurs de température principal et secondaire.

  • Interfaces d’entrée d’alarme.

L’ISA 3000 est doté de capteurs internes ainsi que de deux interfaces d’entrée d’alarme et d’une interface de sortie d’alarme. Vous pouvez connecter des capteurs externes, comme des capteurs de porte, aux entrées d’alarme. Vous pouvez connecter des périphériques d’alarme externes, comme des avertisseurs sonores ou des voyants, à l’interface de sortie d’alarme.

L’interface de sortie d’alarme est un mécanisme de relais. Selon les conditions d’alarme, le relais est soit activé ou désactivé. Lorsqu'elle est sous tension, tout périphérique connecté à l’interface est activé. Un relais hors tension entraîne l’état inactif de tous les périphériques connectés. Le relais reste activé tant que des alarmes sont déclenchées.

Pour en savoir plus sur la connexion des capteurs externes et du relais d’alarme, consulter le Guide d’installation du matériel du périphérique de sécurité industrielle Cisco ISA 3000.

Interfaces d’entrée d’alarme

Vous pouvez connecter les interfaces d’entrée (ou contacts) d’entrée d’alarme à des capteurs externes, par exemple celui qui détecte si une porte est ouverte.

Chaque interface d’entrée d’alarme a un voyant DEL correspondant. Ces voyants DEL transmettent l’état d’alarme de chaque entrée d’alarme. Vous pouvez configurer le déclencheur et la gravité de chaque entrée d’alarme. En plus du voyant DEL, vous pouvez configurer le contact pour déclencher le relais de sortie (pour activer une alarme externe), pour envoyer des messages syslog et pour envoyer des déroutements SNMP.

Le tableau suivant explique les états des voyants DEL en réponse aux conditions d’alarme pour les entrées d’alarme. Il explique également le comportement du relais de sortie, des messages du journal système et des interruptions SNMP, si vous activez ces réponses pour l’entrée d’alarme.

État de l’alarme

DEL

Relais de sortie

Syslog

Interruptions SNMP

Alarme non configurée

Désactivé

Aucune alarme déclenchée

Vert fixe

Alarme activée

Alarme mineure : rouge fixe

Alarme majeure : rouge clignotant

Relais sous tension

Journal système généré

Déroutement SNMP envoyé.

Fin d’alarme

Vert fixe

Relais désactivé

Journal système généré

Interface de sortie d'alarme

Vous pouvez connecter une alarme externe, comme un avertisseur ou un voyant, à l’interface de sortie d’alarme.

L’interface de sortie d’alarme fonctionne comme un relais et est également dotée d’un voyant DEL correspondant, qui transmet l’état d’alarme d’un capteur externe connecté à l’interface d’entrée et des capteurs internes tels que la double alimentation et les capteurs de température. Vous configurez les alarmes qui doivent activer le relais de sortie, le cas échéant.

Le tableau suivant explique les états des DEL et du relais de sortie en réponse à des conditions d’alarme. Elle explique également le comportement des messages syslog et des alertes SNMP si vous activez ces réponses à l’alarme.

État de l’alarme

DEL

Relais de sortie

Syslog

Interruptions SNMP

Alarme non configurée

Désactivé

Aucune alarme déclenchée

Vert fixe

Alarme activée

Rouge fixe

Relais sous tension

Journal système généré

Déroutement SNMP envoyé.

Fin d’alarme

Vert fixe

Relais désactivé

Journal système généré

Alarmes Syslog

Par défaut, le système envoie des messages syslog lorsqu’une alarme est déclenchée. Vous pouvez désactiver la messagerie syslog si vous ne souhaitez pas recevoir les messages.

Pour que les alarmes du journal système fonctionnent, vous devez également activer la journalisation des dépistages sur Device (Périphérique) > System Settings (Paramètres système) > Logging Settings (Paramètres de journalisation). Par exemple, vous pouvez configurer un serveur syslog, la journalisation de la console ou la journalisation de la mémoire tampon interne.

Sans activation de destination pour la journalisation des dépistages, le système d’alarme n’a nulle part où envoyer les messages du journal système.

Interruptions SNMP

Vous pouvez éventuellement configurer les alarmes pour qu'elles envoient des déroutements SNMP à votre serveur SNMP. Pour que les alarmes des déroutements SNMP fonctionnent, vous devez également configurer les paramètres SNMP.

Utilisez l’API FTD pour configurer SNMP. Cliquez sur le bouton des autres options () et choisissezbouton plus d'options. API Explorer (Explorateur d’interface de protocole d’application). Ensuite, recherchez la ressource SNMP et examinez la documentation du modèle pour obtenir des renseignements sur la configuration de la fonctionnalité. Vous pouvez utiliser les versions SNMP 2c ou 3 ; la version 1 n’est pas prise en charge. Pour des informations complètes sur la configuration de SNMP, consultez le chapitre SNMP du Livre 1 : Guide de configuration de l’interface de ligne de commande pour les opérations générales Cisco ASA pour obtenir la version la plus récente du logiciel ASA. Les guides sont disponibles à l’adresse https://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-installation-and-configuration-guides-list.html.

Valeurs par défaut pour les alarmes

Le tableau suivant précise les valeurs par défaut pour les interfaces d’entrée d’alarme (contacts), l’alimentation redondante et la température.

Alerte

initiales

Gravité

Interruptions SNMP

Relais de sortie

Messages de journalisation du système (syslog)

Contact d’alarme 1

Activé

État fermé

Mineur

Désactivé

Désactivé

Activé

Contact d’alarme 2

Activé

État fermé

Mineur

Désactivé

Désactivé

Activé

Alimentation redondante (si activée)

Activé

Désactivé

Désactivé

Activé

Température

Activé pour l’alarme de température principale (valeurs par défaut de 92 °C et de -40 °C pour les seuils respectivement)

Désactivé pour l’alarme secondaire.

Activé pour l’alarme de température principale

Activé pour l’alarme de température principale

Activé pour l’alarme de température principale

Configurer les alarmes pour l’ISA 3000

Vous utilisez FlexConfig pour configurer les alarmes pour l’ISA 3000. Les rubriques suivantes expliquent comment configurer la politique.

Configurer les contacts d’entrée d’alarme

Si vous connectez les contacts d’entrée d’alarme (interfaces) à des capteurs externes, vous pouvez configurer les contacts pour qu’ils déclenchent des alarmes en fonction de l’entrée du capteur. En fait, les contacts sont activés par défaut pour envoyer des messages syslog si le contact est fermé, c’est-à-dire si le courant électrique cesser de circuler dans le contact. Vous devez configurer le contact uniquement si les valeurs par défaut ne répondent pas à vos besoins.

Les contacts d’alarme sont numérotés 1 et 2, vous devez donc comprendre comment vous avez câblé les broches physiques pour configurer les paramètres corrects. Vous configurez les contacts séparément.

Procédure

Étape 1

Cliquez sur View Configuration (Afficher la configuration) dans Device (Périphérique) > Advanced Configuration (Configuration avancée).

Étape 2

Cliquez sur FlexConfig > FlexConfig Objects (Objets FlexConfig) dans la table des matières de configuration avancée.

Étape 3

Cliquez sur le bouton + pour créer un nouvel objet.

Étape 4

Saisissez un nom pour l’objet. Par exemple, Enable_Alarm_Contact.

Étape 5

Dans l’éditeur Template (Modèle), saisissez les commandes nécessaires pour configurer le contact.

  1. Configurez une description pour le contact d’alarme.

    alarm contact {1 | 2} description string

    Par exemple, pour définir la description du contact 1 comme « porte ouverte », saisissez la commande suivante : 

    
alarm contact 1 description Door Open

  2. Configurez la gravité du contact d’alarme.

    alarm contact {1 | 2 | any} severity {major | minor | none}

    Au lieu de configurer un contact, vous pouvez utiliser any pour modifier la gravité de tous les contacts. La gravité contrôle le comportement du voyant DEL associé au contact.

    • major  : le voyant DEL clignote en rouge.

    • minor : le voyant DEL est rouge en continu. Il s'agit du paramètre par défaut.

    • none : le voyant DEL est éteint.

    Par exemple, pour définir la gravité du contact 1 sur Majeur, utilisez la commande suivante : 

    
alarm contact 1 severity major

  3. Configurez le déclencheur pour le contact d’alarme.

    alarm contact {1 | 2 | any} trigger {open | closed}

    Au lieu de configurer un contact, vous pouvez spécifier any pour modifier le déclencheur pour tous les contacts. Le déclencheur détermine la condition électrique qui déclenche une alerte.

    • open  : condition normale pour que le contact soit fermé, c’est-à-dire que le courant électrique traverse le contact. Une alerte est déclenchée si le contact s’ouvre, c’est-à-dire que le courant électrique cesser de circuler.

    • closed  : condition normale pour que le contact soit ouvert, c’est-à-dire que le courant électrique ne traverse pas le contact. Une alerte est déclenchée si le contact se ferme, c’est-à-dire que le courant électrique commence à traverser le contact. Il s'agit du paramètre par défaut.

    Par exemple, vous connectez un capteur de porte au contact d’entrée d’alarme 1 et son état normal ne signifie aucun courant électrique circulant dans le contact d’alarme (il est ouvert). Si la porte est ouverte, le contact est fermé et le courant électrique traverse le contact d’alarme. Vous régleriez le déclencheur d’alarme sur fermé pour que l’alarme se déclenche lorsque le courant électrique commence à circuler. 

    
alarm contact 1 trigger closed

  4. Configurez les actions à entreprendre lorsque le contact d’alarme est déclenché.

    alarm facility input-alarm {1 | 2} {relay | syslog | notifies}

    Vous pouvez configurer plusieurs actions. Par exemple, vous pouvez configurer le périphérique pour activer l’alarme externe, envoyer des messages syslog et envoyer également des déroutements SNMP.

    • relais : active le relais de sortie d’alarme, qui active l’alarme externe que vous lui avez reliée, comme une sonnerie ou un voyant clignotant. Le voyant DEL de sortie devient également rouge.

    • syslog : envoie un message syslog. Par défaut, cette option est activée.

    • notifie : envoie un déroutement SNMP.

    Par exemple, pour activer toutes les actions pour le contact d’entrée d’alarme 1, utilisez la commande suivante : 

    
alarm facility input-alarm 1 relay 
alarm facility input-alarm 1 syslog
alarm facility input-alarm 1 notifies

Étape 6

Dans l’éditeur Negate Template (Modèle de négation), saisissez les lignes nécessaires pour annuler cette configuration.

Toutes ces commandes prennent la forme no pour les désactiver et revenir aux paramètres par défaut. Par exemple, si votre modèle comprend tous les exemples de commandes présentés dans cette procédure, le modèle d’annulation contiendra les commandes suivantes : 


no alarm contact 1 description Door Open
no alarm contact 1 severity major 
no alarm contact 1 trigger closed 
no alarm facility input-alarm 1 relay 
no alarm facility input-alarm 1 syslog
no alarm facility input-alarm 1 notifies

Étape 7

Cliquez sur OK pour enregistrer l’objet.

Étape 8

Ajoutez l’objet à la politique FlexConfig.

  1. Cliquez sur FlexConfig Policy (Politique FlexConfig) dans la table des matières.

  2. Cliquez sur + dans la liste des groupes.

  3. Sélectionnez l’objet Enable_Alarm_Contact et cliquez sur OK.

    L’aperçu doit être mis à jour avec les commandes du modèle. Vérifiez que vous voyez les commandes attendues.

  4. Cliquez sur Save (enregistrer).

    Vous pouvez maintenant déployer la politique.

Étape 9

Une fois le déploiement terminé, dans la console CLI ou une session SSH, utilisez la commande show running-config et vérifiez que la configuration en cours d’exécution comporte les modifications appropriées. Testez le capteur externe pour vérifier que les alarmes sont déclenchées.

Configurer les alarmes d’alimentation

L’ISA 3000 comporte deux blocs d’alimentation. Par défaut, le système fonctionne en mode d’alimentation unique. Cependant, vous pouvez configurer le système pour qu’il fonctionne en mode double, dans lequel le deuxième bloc d’alimentation fournit automatiquement l’alimentation si le bloc principal tombe en panne. Lorsque vous activez le mode double, l’alarme du bloc d’alimentation est automatiquement activée pour envoyer des alertes du journal système, mais vous pouvez désactiver complètement l’alerte ou activer les déroutements SNMP ou le relais matériel d’alarme.

La procédure suivante explique comment activer le mode double et comment configurer les alarmes du bloc d’alimentation.

Procédure

Étape 1

Cliquez sur View Configuration (Afficher la configuration) dans Device (Périphérique) > Advanced Configuration (Configuration avancée).

Étape 2

Cliquez sur FlexConfig > FlexConfig Objects (Objets FlexConfig) dans la table des matières de configuration avancée.

Étape 3

Cliquez sur le bouton + pour créer un nouvel objet.

Étape 4

Saisissez un nom pour l’objet. Par exemple, Enable_Power_Supply_Alarm.

Étape 5

Dans l’éditeur Template (Modèle), saisissez les commandes nécessaires pour configurer l’alarme du bloc d’alimentation.

  1. Activez le mode d’alimentation double.

    power-supply dual

    Par exemple : 

    
power-supply dual

  2. Configurez les actions à entreprendre lorsque l’alarme d’alimentation est déclenchée.

    alarm facility power-supply rps {relay | syslog | notifies | disable}

    Vous pouvez configurer plusieurs actions. Par exemple, vous pouvez configurer le périphérique pour activer l’alarme externe, envoyer des messages syslog et envoyer également des déroutements SNMP.

    • relais : active le relais de sortie d’alarme, qui active l’alarme externe que vous lui avez reliée, comme une sonnerie ou un voyant clignotant. Le voyant DEL de sortie devient également rouge.

    • syslog : envoie un message syslog. Par défaut, cette option est activée.

    • notifie : envoie un déroutement SNMP.

    • désactiver : pour désactiver l’alarme du bloc d’alimentation. Toutes les autres actions configurées pour l’alarme de bloc d’alimentation ne sont pas opérationnelles.

    Par exemple, pour activer toutes les actions pour l’alarme du bloc d’alimentation, utilisez la commande suivante : 

    
alarm facility power-supply rps relay 
alarm facility power-supply rps syslog
alarm facility power-supply rps notifies

Étape 6

Dans l’éditeur Negate Template (Modèle de négation), saisissez les lignes nécessaires pour annuler cette configuration.

Toutes ces commandes prennent la forme no pour les désactiver et revenir aux paramètres par défaut. Par exemple, si votre modèle comprend tous les exemples de commandes présentés dans cette procédure, le modèle de négation serait le suivant  : 


no power-supply dual
no alarm facility power-supply rps relay 
no alarm facility power-supply rps syslog
no alarm facility power-supply rps notifies

Étape 7

Cliquez sur OK pour enregistrer l'objet.

Étape 8

Ajoutez l'objet à la politique FlexConfig.

  1. Cliquez sur FlexConfig Policy (Politique FlexConfig) dans la table des matières.

  2. Cliquez sur + dans la liste des groupes.

  3. Sélectionnez l’objet Enable_Power_Supply_Alarm et cliquez sur OK.

    L’aperçu doit être mis à jour avec les commandes du modèle. Vérifiez que vous voyez les commandes attendues.

  4. Cliquez sur Save (enregistrer).

    Vous pouvez maintenant déployer la politique.

Étape 9

Une fois le déploiement terminé, dans la console CLI ou une session SSH, utilisez la commande show running-config et vérifiez que la configuration en cours d’exécution comporte les modifications correctes.

Configurer les alarmes de température

Vous pouvez configurer des alarmes en fonction de la température de la carte CPU dans le périphérique.

Vous pouvez définir une plage de températures principale et secondaire. Si la température descend sous le seuil bas ou dépasse le seuil haut, l’alarme est déclenchée.

L’alarme de température principale est activée par défaut pour toutes les actions d’alarme : relais de sortie, syslog et SNMP. Les paramètres par défaut pour la plage de température principale sont de -40 °C à 92 °C.

L’alarme de température secondaire est désactivée par défaut. Vous pouvez définir la température secondaire dans une plage de -35 °C à 85 °C.

Comme la plage de températures secondaire est plus restrictive que la plage principale, si vous définissez la température secondaire, ce paramètre désactive le paramètre principal correspondant, même si vous configurez des valeurs autres que celles par défaut pour le paramètre principal. Vous ne pouvez pas activer deux alarmes de température élevée et deux alarmes de température basse distinctes.

Ainsi, en pratique, vous devez configurer le paramètre principal uniquement ou secondaire uniquement sur élevée ou faible.

Procédure

Étape 1

Cliquez sur View Configuration (Afficher la configuration) dans Device (Périphérique) > Advanced Configuration (Configuration avancée).

Étape 2

Cliquez sur FlexConfig > FlexConfig Objects (Objets FlexConfig) dans la table des matières de configuration avancée.

Étape 3

Cliquez sur le + bouton pour créer un nouvel objet.

Étape 4

Saisissez un nom pour l’objet. Par exemple, Enable_Temperature_Alarm.

Étape 5

Dans le Template editor (Éditeur de modèles), saisissez les commandes nécessaires pour configurer l’alarme de température.

  1. Configurez la plage de températures acceptables.

    alarm facility temperature {primary | secondary} {low | high} temperature

    La température est en degrés centigrades. La plage autorisée pour l’alarme principale est de -40 à 92, qui est également la plage par défaut. La plage autorisée pour l’alarme secondaire est de -35 à 85. La valeur faible doit être inférieure à la valeur élevée.

    Par exemple, pour définir une plage de température plus restrictive de -20 à 80, qui se trouve dans la plage autorisée pour l’alarme secondaire, configurez l’alarme secondaire comme suit : 

    
alarm facility temperature secondary low -20
alarm facility temperature secondary high 80

  2. Configurez les actions à entreprendre lorsque l’alarme de température se déclenche.

    alarm facility temperature {primary | secondary} {relay | syslog | notifies}

    Vous pouvez configurer plusieurs actions. Par exemple, vous pouvez configurer le périphérique pour activer l’alarme externe, envoyer des messages syslog et envoyer également des déroutements SNMP.

    • relais : active le relais de sortie d’alarme, qui active l’alarme externe que vous lui avez reliée, comme une sonnerie ou un voyant clignotant. Le voyant DEL de sortie devient également rouge.

    • syslog : envoie un message syslog.

    • notifie : envoie un déroutement SNMP.

    Par exemple, pour activer toutes les actions pour l'alarme de température secondaire, utilisez la commande suivante : 

    
alarm facility temperature secondary relay 
alarm facility temperature secondary syslog
alarm facility temperature secondary notifies

Étape 6

Dans l’éditeur Negate Template (Modèle d’annulation), saisissez les lignes nécessaires pour annuler cette configuration.

Toutes ces commandes prennent la forme d’une no permettant soit de revenir aux paramètres par défaut (pour l’alarme principale), soit de les désactiver (pour l’alarme secondaire). Par exemple, si votre modèle comprend tous les exemples de commandes présentés dans cette procédure, le modèle d’annulation contiendra les commandes suivantes : 


no alarm facility temperature secondary low -20
no alarm facility temperature secondary high 80 
no alarm facility temperature secondary relay 
no alarm facility temperature secondary syslog
no alarm facility temperature secondary notifies

Étape 7

Cliquez sur OK pour enregistrer l'objet.

Étape 8

Ajoutez l’objet à la politique FlexConfig.

  1. Cliquez sur FlexConfig Policy (Politique FlexConfig) dans la table des matières.

  2. Cliquez sur + dans la liste des groupes.

  3. Sélectionnez l’objet Enable_Temperature_Alarm et cliquez sur OK.

    L’aperçu doit être mis à jour avec les commandes du modèle. Vérifiez que vous voyez les commandes attendues.

  4. Cliquez sur Save (enregistrer).

    Vous pouvez maintenant déployer la politique.

Étape 9

Une fois le déploiement terminé, dans la console d’interface de ligne de commande ou une session SSH, utilisez la commande show running-config et vérifiez que la configuration en cours d’exécution comporte les modifications correctes.

Surveillance des alarmes

Les rubriques suivantes expliquent comment surveiller et gérer les alarmes.

Surveillance de l’état d’alarme

Vous pouvez utiliser les commandes suivantes dans l’interface de ligne de commande pour surveiller les alarmes.

  • show alarm settings

    Affiche la configuration actuelle pour chaque alarme possible.

  • show environment alarm-contact

    Affiche des informations sur l’état physique des contacts d’alarme d’entrée.

  • show facility-alarm relay

    Affiche des renseignements sur les alarmes qui ont déclenché le relais de sortie.

  • show facility-alarm status [info | major | minor]

    Affiche des renseignements sur toutes les alarmes qui ont été déclenchées. Vous pouvez limiter l’affichage en utilisant le filtrage major ou l'état minor . Le mot-clé info produit le même résultat que l’utilisation d'aucun mot-clé.

Surveillance des messages Syslog pour des alarmes

Selon le type d’alarmes que vous configurez, les messages syslog suivants peuvent s’afficher.

Alarmes de bloc d'alimentation double

  • %FTD-1-735005 : Redondance de l’unité d’alimentation OK

  • %FTD-1-735006 : Perte de redondance de l’unité d’alimentation

Alarmes de température

Dans ces alarmes, la température détectée sur le périphérique est remplacée par la température détectée en degrés Celsius .

  • %FTD-6-806001 : L'alarme principale de température de l'unité centrale de traitement est élevée en degrés Celsius

  • %FTD-6-806002 : L'alarme principale de température élevée de l'unité centrale de traitement est supprimée

  • %FTD-6-806003 : L'alarme principale de température de l'unité centrale de traitement est faible en degrés Celsius

  • %FTD-6-806004 : L'alarme principale de température faible de l'unité centrale de traitement est effacée

  • %FTD-6-806005 : L'alarme secondaire de température de l'unité centrale de traitement est élevée en degrés Celsius

  • %FTD-6-806006 : L'alarme secondaire de température élevée de l'unité centrale de traitement est effacée

  • %FTD-6-806007 : L'alarme secondaire de température de l'unité centrale de traitement est faible en degrés Celsius

  • %FTD-6-806008 : L'alarme secondaire de température faible de l'unité centrale de traitement est effacée

Alarmes de contact d’entrée d’alarme

Dans ces alarmes, la description est la description du contact que vous avez configuré.

  • %FTD-6-806009 : alarme activée pour AlARM_IN_1 description_alarme_1

  • %FTD-6-806010 : alarme effacée pour AlARM_IN_1 description_alarme_1

  • %FTD-6-806011 : alarme activée pour AlARM_IN_2 description_alarme_2

  • %FTD-6-806012 : Alarme effacée pour AlARM_IN_2 description_alarme_2

Désactivation de l’alarme externe

Si vous utilisez une alarme externe connectée à la sortie d’alarme et que l’alarme est déclenchée, vous pouvez désactiver cette dernière à partir de l’interface de ligne de commande du périphérique à l’aide de la commande clear facility-alarm output . Cette commande met la broche de sortie hors tension et éteint également le voyant DEL de sortie.