L’ISA 3000 dispose d’une carte SD que vous pouvez retirer et insérer dans un autre périphérique ISA 3000. Si vous créez des sauvegardes de système sur la carte SD, vous pouvez utiliser cette fonction pour remplacer facilement un périphérique. Il suffit de retirer la carte SD du périphérique défaillant et de l’insérer dans le nouveau périphérique. Les sauvegardes sont alors disponibles pour restauration.

Pour vous assurer d’avoir les sauvegardes nécessaires, configurez la tâche de sauvegarde pour créer la sauvegarde sur la carte SD.

Lorsque vous créez de nouvelles sauvegardes, les fichiers de sauvegarde sont répertoriés sur la page Backup and Restore (Sauvegarde et restauration). Les copies de sauvegarde ne sont pas conservées indéfiniment : lorsque l’utilisation de l’espace disque sur le périphérique atteint le seuil maximal, les anciennes copies de sauvegarde sont supprimées pour faire place aux plus récentes. En outre, lorsque vous installez une mise à niveau autre qu’un correctif rapide, tous les fichiers de sauvegarde sont supprimés. Ainsi, vous devez gérer régulièrement les fichiers de sauvegarde pour vous assurer d’avoir les copies de sauvegarde spécifiques que vous souhaitez conserver.

Vous pouvez effectuer les opérations suivantes pour gérer vos copies de sauvegarde :

• Télécharger des fichiers vers un stockage sécurisé : pour télécharger un fichier de sauvegarde sur votre poste de travail, cliquez sur l’icône de téléchargement () en regard du fichier. Vous pouvez ensuite déplacer le fichier vers votre stockage sécurisé.

• Charger un fichier de sauvegarde dans le système : si vous souhaitez restaurer une copie de sauvegarde qui n’est plus disponible sur le périphérique, cliquez sur Upload (Charger) > Browse File (Parcourir le fichier), puis chargez-le depuis votre poste de travail. Vous pouvez ensuite le restaurer.

  Remarque

  Les fichiers chargés peuvent être renommés pour correspondre au nom de fichier d’origine. De plus, s’il y a déjà plus de  3 copies de sauvegarde sur le système, la plus ancienne sera supprimée pour faire de l’espace pour le fichier téléchargé. Vous ne pouvez pas téléverser de fichiers qui ont été créés par une ancienne version de logiciel.

• Restaurer une sauvegarde : pour restaurer une copie de sauvegarde, cliquez sur l’icône de restauration () pour le fichier. Le système n’est pas disponible pendant la restauration et redémarrera une fois la restauration terminée. Vous devez déployer la configuration une fois que le système est opérationnel.

• Supprimer un fichier de sauvegarde : si vous ne souhaitez plus effectuer de sauvegarde en particulier, cliquez sur l’icône de suppression () pour le fichier. Vous êtes invité à confirmer la suppression. Une fois supprimé, vous ne pouvez pas récupérer le fichier de sauvegarde.

Le journal d’audit peut inclure les types d’événements suivants :

Événement de mise à jour du flux personnalisé, échec de la mise à jour du flux personnalisé

Ces événements indiquent une mise à jour réussie ou un échec d’un flux de Security Intelligence personnalisé. Les détails comprennent qui a lancé la mise à jour et des renseignements sur le flux qui a été mis à jour.

Événement du résumé de l’importation du fichier de règles personnalisées

Ces événements indiquent que vous avez importé un fichier qui contient une ou plusieurs règles de prévention des intrusions personnalisées. L’événement comprend un résumé du nombre de règles ajoutées, mises à jour et supprimées, ainsi qu’une vue sur les différences qui affiche les détails des règles importées.

Deployment Completed (Déploiement terminé), Deployment Failed (Échec du déploiement) : job name (nom de la tâche) ou entity name (nom d’entité)

Ces événements indiquent une tâche de déploiement terminée ou échouée. Les détails comprennent qui a lancé la tâche et des informations sur l’entité de tâche. Les tâches ayant échoué comprennent le message d’erreur lié à la défaillance.

Les détails comprennent également un onglet Differences View (Affichage des différences), qui affiche les modifications qui ont été déployées sur le périphérique dans la tâche. Il s’agit de la combinaison de tous les événements de modification d’entité pour les entités déployées.

Pour filtrer en fonction de ces événements, cliquez simplement sur le filtre prédéfini Deployment History (Historique de déploiement). Notez que le type d’événement pour ces événements est un événement de déploiement, vous ne pouvez pas filtrer en fonction des événements terminés ou échoués uniquement.

Le nom de l’événement comprend le nom de la tâche défini par l’utilisateur (si vous en configurez un), ou « Utilisateur (nom d’utilisateur) déployé pour le déploiement ». Il existe également des tâches « Device Setup Automatic Deployment (Déploiement automatique de la configuration du périphérique) » et « Device Setup Automatic Deployment (Final Step) (Déploiement automatique de la configuration du périphérique – dernière étape) » qui se produisent pendant l’assistant de configuration du périphérique.

Entity Created (Entité créée), Entity Updated (Entité mise à jour), Entity Deleted (Entité supprimée) : nom d’entité (type d’entité)

Ces événements indiquent qu’une modification a été apportée à l’entité ou à l’objet identifié. Les détails de l’entité comprennent qui a effectué la modification, ainsi que le nom, le type et l’ID de l’entité. Vous pouvez filtrer en fonction de ces éléments. Les détails comprennent également un onglet Differences View (Affichage des différences), qui affiche les modifications apportées à l’objet.

Événement d’action à haute disponibilité

Ces événements sont liés à des actions sur la configuration à haute disponibilité, soit des actions que vous avez lancées, soit des actions que le système a lancées. HA Action Event (Événement d’action HA) est le type d’événement, mais les noms d’événements sont l’un des suivants :

• HA Suspended (HA suspendue) : vous avez suspendu intentionnellement la haute disponibilité sur le système.

• HA Resumed (HA reprise) : vous avez repris intentionnellement la haute disponibilité sur le système.

• HA Reset (HA réinitialisée) : vous avez réinitialisé intentionnellement la haute disponibilité sur le système.

• HA Failover: Unit Switched Modes (Basculement HA : unité ayant changé de mode) : vous avez changé de mode intentionnellement ou le système a basculé en raison de violations des mesures d’intégrité. Le message indique que l’homologue actif est devenu en veille ou que l’homologue en veille est devenu actif.

High Availability Sync Completed (Synchronisation de la haute disponibilité terminée)

L’unité active a synchronisé la configuration avec l’unité en veille. L’événement comprend les informations de modification pour la version précédente par rapport à la version synchronisée.

Liste des interfaces analysée

Cet événement indique que vous avez recherché des modifications dans l’inventaire des interfaces.

Modifications en attente annulées

Cet événement indique que vous avez supprimé toutes les modifications en attente. Toutes les modifications indiquées dans les événements Entity Created (Entité créée), Entity Updated (Entité mise à jour) et Entity Deleted (Entité supprimée), entre cet événement et l’événement Deployment Completed (Déploiement terminé), sont supprimées, et l’état des objets concernés est rétabli à la dernière version déployée.

Événement de mise à jour des règles

Lors de l’exécution de Snort 3, cet événement de l’entité LSPUpdateServer affiche des informations détaillées sur les règles de prévention des intrusions qui ont été ajoutées, supprimées ou modifiées lors du téléchargement et de l’installation d’un nouvel ensemble de règles de prévention des intrusions. L’événement est limité à 100 règles, donc si plus de 100 sont ajoutées, supprimées ou modifiées, l’événement ne contiendra pas d’informations complètes. Cet événement ne s’affiche pas pour les mises à jour de Snort 2.

Task Started (Tâche démarrée), Task Completed (Tâche terminée), Task Failed (Tâche échouée)

Les événements de tâche indiquent le début et la fin d’une tâche lancée par le système ou un utilisateur. Ces deux événements sont regroupés en une seule tâche dans la liste des tâches, que vous pouvez voir en cliquant sur le bouton Task List (Liste des tâches) dans le coin supérieur droit.

Les tâches comprennent des actions telles que les tâches de déploiement et les mises à jour manuelles ou planifiées de la base de données. Tout élément dans la liste des tâches correspondra à deux événements de tâche dans le journal d’audit, une indication du début de la tâche et un achèvement réussi ou un échec.

User Logged In (Utilisateur connecté), User Logged Out (Utilisateur déconnecté) : nom d’utilisateur

Ces événements affichent l’heure et l’adresse IP source de l’utilisateur qui se connecte et se déconnecte de FDM. L’événement Déconnexion de l’utilisateur se produit à la fois pour les déconnexions actives et les déconnexions automatiques en raison du dépassement du temps d’inactivité.

Ces événements ne sont pas liés aux utilisateurs de VPN d’accès à distance qui établissent des connexions avec le périphérique. Ils n’incluent pas non plus la connexion et la déconnexion à l’interface de ligne de commande du périphérique.

Vous pouvez appliquer un filtre au journal d’audit pour restreindre votre affichage à certains types de messages uniquement. Chaque élément du filtre doit correspondre exactement et entièrement. Par exemple, « User = admin » (Utilisateur = admin) n’affiche que les événements déclenchés par l’utilisateur nommé admin.

Vous pouvez utiliser les techniques suivantes, seules ou en combinaison, pour créer un filtre. La liste est automatiquement mise à jour chaque fois que vous ajoutez un élément de filtre.

Cliquez sur Predefined Filter (Filtre prédéfini).

Sous le champ Filter (Filtre) se trouvent les filtres prédéfinis. Cliquez simplement sur un lien pour charger le filtre. Vous êtes invité à confirmer. Si un filtre est déjà appliqué, il est remplacé ; il n’est pas complété.

Cliquer sur les éléments en surbrillance

La façon la plus simple de créer un filtre est de cliquer sur les éléments dans le tableau de journaux ou les détails des événements qui contiennent les valeurs sur lesquelles vous avez l’intention de filtrer. Cliquez sur un élément pour mettre à jour le champ Filter (Filtre) avec un élément correctement formaté pour cette combinaison de valeur et d’élément. Cependant, l’utilisation de cette technique nécessite que la liste d’événements existante contienne les valeurs souhaitées.

Si vous pouvez ajouter un élément de filtre pour un élément, l’élément est souligné lorsque vous passez le curseur dessus et vous voyez la commande Click to Add to Filter (Cliquer pour ajouter au filtre).

Sélection d’éléments atomiques

Vous pouvez également créer un filtre en cliquant dans le champ Filter (Filtre) et en sélectionnant l’élément atomique souhaité dans la liste déroulante, en saisissant la valeur de correspondance après le signe égal, puis en appuyant sur Enter (Entrée). Vous pouvez filtrer en fonction des éléments suivants. Notez que tous les éléments ne sont pas pertinents pour chaque type d’événement.

• Event Type (Type d’événement) : il s’agit généralement, mais pas toujours, du même élément que le nom de l’événement (sans qualificatifs variables comme le nom d’entité ou l’utilisateur). Pour les événements de déploiement, le type d’événement est Deployment Event (Événement de déploiement). Pour obtenir une explication des types d’événements, consultez Événements d’audit.

• User (Utilisateur) : le nom de l’utilisateur qui a initié l’événement. L’utilisateur du système est écrit en majuscules : SYSTEM.

• Source IP (IP source) : l’adresse IP à partir de laquelle l’utilisateur a initié l’événement. L’adresse IP source des événements initiés par le système est SYSTEM.

• Entity ID (ID d’entité) : l’UUID de l’entité ou de l’objet, qui est une longue chaîne illisible, telle que 8e7021b4-2e1e-11e8-9e5d-0fc002c5f931. Normalement, pour utiliser ce filtre, vous devez soit cliquer sur un ID d’entité dans les détails d’un événement, soit récupérer l’ID nécessaire par le biais d’un appel GET pertinent utilisant l’API REST.

• Entity Name (Nom d’entité) : le nom de l’entité ou de l’objet. Pour les entités créées par l’utilisateur, il s’agit généralement du nom que vous avez donné à l’objet, par exemple, InsideNetwork pour un objet réseau. Pour les entités générées par le système ou, dans certains cas, les entités définies par l’utilisateur, il s’agit d’un nom prédéfini mais intelligible, par exemple, « Déploiement déclenché par l’utilisateur (admin) » pour les tâches de déploiement que vous ne nommez pas explicitement.

• Entity Type (Type d’entité) : le type d’entité ou d’objet. Il s’agit de noms prédéfinis, mais intelligibles, comme Network Object (Objet réseau). Vous pouvez trouver des types d’entités dans l’explorateur d’API en examinant le modèle d’objet pertinent pour la valeur de « type ». Les types d’API sont normalement tous en minuscules sans espaces. Si vous les saisissez exactement comme indiqué dans le modèle, la chaîne passe à un format plus lisible lorsque vous appuyez sur Entrée. La saisie dans l’un ou l’autre des formats fonctionne. Pour ouvrir l’explorateur d’API, cliquez sur le bouton more options (plus d’options) () et choisissez API Explorer (Explorateur d’API).

Choisissez Monitoring (Surveillance) > Sessions pour afficher la liste des utilisateurs actuellement connectés à FDM. La liste indique la durée de connexion de chaque utilisateur pour la session actuelle.

Si le même nom d’utilisateur apparaît plus d’une fois, cela signifie que l’utilisateur a ouvert des sessions à partir d’adresses source différentes. Les sessions sont suivies séparément en fonction du nom d’utilisateur et de l’adresse source, chaque session ayant son propre horodatage unique.

Le système permet 5 sessions utilisateur simultanées. Si un sixième utilisateur se connecte, la session utilisateur la plus ancienne est automatiquement déconnectée. En outre, les utilisateurs inactifs sont automatiquement déconnectés après 20 minutes d’inactivité.

Si l’utilisateur FDM saisit le mauvais mot de passe et ne parvient pas à se connecter lors de 3 tentatives consécutives, le compte de l’utilisateur est verrouillé pendant 5 minutes. L’utilisateur doit attendre avant de réessayer de se connecter. Il n’y a aucun moyen de déverrouiller le compte d’utilisateur FDM, ni d’ajuster le nombre de tentatives ou le délai de verrouillage. (Notez que pour les utilisateurs SSH, vous pouvez ajuster ces paramètres et déverrouiller le compte.)

Si nécessaire, vous pouvez mettre fin à une session utilisateur en cliquant sur l’icône de suppression () de la session. Si vous supprimez votre propre session, vous êtes également déconnecté. Il n’y a pas de période de verrouillage si vous mettez fin à une session : l’utilisateur peut se connecter immédiatement.

Si vous configurez l’autorisation extérieure pour les utilisateurs FDM, ces utilisateurs peuvent se connecter à l’unité active et en veille d’une paire à haute disponibilité. Cependant, la connexion réussie à l’unité de secours pour la première fois nécessite quelques étapes supplémentaires par rapport à la connexion à l’unité active.

Après qu’un utilisateur externe se soit connecté à l’unité active pour la première fois, le système crée un objet qui définit l’utilisateur et les droits d’accès de l’utilisateur. Un utilisateur administrateur ou en lecture-écriture doit ensuite déployer la configuration à partir de l’unité active pour que l’objet utilisateur s’affiche sur l’unité de secours.

Ce n’est qu’après l’achèvement réussi du déploiement et de la synchronisation de la configuration que l’utilisateur externe peut se connecter à l’unité de secours.

Les utilisateurs administrateurs et de lecture-écriture peuvent déployer les modifications après s’être connectés à l’unité active. Cependant, les utilisateurs en lecture seule ne peuvent pas déployer la configuration et doivent demander à un utilisateur disposant des droits appropriés de déployer la configuration.

La commande ping est un outil simple qui vous permet de déterminer si une adresse particulière est active et répond. Cela signifie que la connectivité de base fonctionne. Cependant, d’autres politiques exécutées sur un périphérique peuvent empêcher des types de trafic spécifiques de passer par un périphérique. Vous pouvez l’utiliser ping en ouvrant la console d’interface de ligne de commande ou en vous connectant à l’interface de ligne de commande du périphérique.

Remarque

Comme le système dispose de plusieurs interfaces, vous pouvez contrôler l’interface utilisée pour envoyer un ping à une adresse. Vous devez vous assurer que vous utilisez la bonne commande, afin de tester la connectivité qui compte. Par exemple, le système doit pouvoir atteindre le serveur de licences Cisco par l’intermédiaire de l’interface de gestion virtuelle . Vous devez donc utiliser la commande ping system pour tester la connexion. Si vous utilisez ping , vous testez si une adresse peut être atteinte par l’intermédiaire des interfaces de données, ce qui pourrait ne pas vous donner le même résultat.

Le ping normal utilise des paquets ICMP pour tester la connexion. Si votre réseau interdit ICMP, vous pouvez utiliser un ping TCP à la place (pour les pings d’interface de données uniquement).

Vous pouvez envoyer un ping à une adresse IP ou à un nom de domaine complet (FQDN). Pour qu’un ping fonctionne sur un nom de domaine complet, les serveurs DNS configurés pour les interfaces de gestion ou de données doivent renvoyer avec succès une adresse IP. Vous devez configurer séparément les serveurs DNS pour les interfaces de gestion et de données. Si vous n’avez pas configuré de serveurs DNS pour une interface spécifique, utilisez la commande dig pour rechercher l’adresse IP d’un nom de domaine complet donné.

Voici les principales options pour envoyer des pings aux adresses réseau.

Ping d’une adresse par l’intermédiaire de l’interface de gestion virtuelle

Utilisez la commande ping system .

ping system host

L’hôte peut être une adresse IP ou un nom de domaine complet (FQDN), tel que www.exemple.com. Contrairement aux pings via les interfaces de données, il n’y a pas de nombre par défaut pour les pings système. Le ping continue jusqu’à ce que vous l’arrêtiez à l’aide de Ctrl+C. Par exemple :

> ping system www.cisco.com
PING origin-www.cisco.COM (72.163.4.161) 56(84) bytes of data.
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=1 ttl=242 time=10.6 ms
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=2 ttl=242 time=8.13 ms
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=3 ttl=242 time=8.51 ms
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=4 ttl=242 time=8.40 ms
^C
--- origin-www.cisco.COM ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3003ms
rtt min/avg/max/mdev = 8.139/8.927/10.650/1.003 ms
>

Ping d’une adresse par l’intermédiaire d’une interface de données à l’aide de la table de routage

Utilisez la commande ping . Sans préciser d’interface, vous testez si le système peut trouver de manière générique une voie de routage vers l’hôte. Comme il s’agit de la façon dont le système achemine normalement le trafic, c’est généralement ce que vous souhaitez tester.

ping host

Par exemple :

> ping 171.69.38.1
Sending 5, 100-byte ICMP Echos to 171.69.38.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms

Remarque

Vous pouvez préciser le délai d’expiration, le nombre de répétitions, la taille des paquets et même le modèle de données à envoyer. Utilisez l’indicateur d’aide « ? » dans la console d’interface en ligne de commande pour voir les options disponibles.

Ping d’une adresse par l’intermédiaire d’une interface de données spécifique

Utilisez la commande ping interface if_name si vous souhaitez tester la connectivité par l’intermédiaire d’une interface de données spécifique. Vous pouvez également spécifier l’interface de diagnostic en utilisant cette commande, mais pas l’interface de gestion virtuelle.

ping interface if_name hôte

Par exemple :

> ping interface inside 171.69.38.1
Sending 5, 100-byte ICMP Echos to 171.69.38.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms

Ping d'une adresse par l'intermédiaire d'une interface de données à l'aide du ping TCP

Utilisez la commande ping tcp . Un ping TCP envoie des paquets SYN et considère l’envoi ping comme réussi si la destination envoie un paquet SYN-ACK.

ping tcp [interface if_name] hôte port

Vous devez préciser l’hôte et le port TCP.

Vous pouvez éventuellement préciser l’interface, qui est l’interface source du ping, et non l’interface par laquelle envoyer les ping. Ce type de ping utilise toujours la table de routage.

Un ping TCP envoie des paquets SYN et considère l’envoi ping comme réussi si la destination envoie un paquet SYN-ACK. Par exemple :

> ping tcp 10.0.0.1 21
Type escape sequence to abort.
No source specified. Pinging from identity interface.
Sending 5 TCP SYN requests to 10.0.0.1 port 21
from 10.0.0.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Remarque

Vous pouvez également préciser le délai d’expiration, le nombre de répétitions et l’adresse source du ping TCP. Utilisez l’indicateur d’aide « ? » dans la console d’interface en ligne de commande pour voir les options disponibles.

Si vous éprouvez des problèmes pour envoyer le trafic vers une adresse IP, vous pouvez retracer la route vers l’hôte pour déterminer s’il y a un problème sur le chemin du réseau. Un traceroute fonctionne par envoi de paquets UDP sur un port non valide, ou d’échos ICMPv6, vers une destination. Les routeurs le long du chemin vers la destination répondent avec un message ICMP Time Exceeded et signalent cette erreur à traceroute. Chaque nœud reçoit trois paquets, ce qui vous donne trois possibilités par nœud d’obtenir un résultat informatif. Vous pouvez l’utiliser traceroute en ouvrant la console d’interface de ligne de commande ou en vous connectant à l’interface de ligne de commande du périphérique.

Remarque

Il existe des commandes distinctes pour tracer un routage par l’intermédiaire d’une interface de données (traceroute ) ou par l’interface de gestion virtuelle (traceroute system ). Assurez-vous d’utiliser la bonne commande.

Le tableau suivant décrit le résultat possible par paquet, comme affiché dans la sortie.

Suivi d’un routage par le biais de l’interface de gestion virtuelle

Utilisez la commande traceroute system .

traceroute system destination

L’hôte peut être une adresse IPv4/IPv6 ou un nom de domaine complet (FQDN), tel que www.exemple.com. Par exemple :

> traceroute system www.example.com 
traceroute to www.example.com (172.163.4.161), 30 hops max, 60 byte packets
 1  192.168.0.254 (192.168.0.254)  0.213 ms  0.310 ms  0.328 ms
 2  10.88.127.1 (10.88.127.1)  0.677 ms  0.739 ms  0.899 ms
 3  lab-gw1.example.com (10.89.128.25)  0.638 ms  0.856 ms  0.864 ms
 4  04-bb-gw1.example.com (10.152.240.65)  1.169 ms  1.355 ms  1.409 ms
 5  wan-gw1.example.com (10.152.240.33)  0.712 ms  0.722 ms  0.790 ms
 6  wag-gw1.example.com (10.152.240.73)  13.868 ms  10.760 ms  11.187 ms
 7  rbb-gw2.example.com (172.30.4.85)  7.202 ms  7.301 ms  7.101 ms
 8  rbb-gw1.example.com (172.30.4.77)  8.162 ms  8.225 ms  8.373 ms
 9  sbb-gw1.example.com (172.16.16.210)  7.396 ms  7.548 ms  7.653 ms
10  corp-gw2.example.com (172.16.16.58)  7.413 ms  7.310 ms  7.431 ms
11  dmzbb-gw2.example.com (172.16.0.78)  7.835 ms  7.705 ms  7.702 ms
12  dmzdcc-gw2.example.com (172.16.0.190)  8.126 ms  8.193 ms  11.559 ms
13  dcz05n-gw1.example.com (172.16.2.106)  11.729 ms  11.728 ms  11.939 ms
14  www1.example.com (172.16.4.161)  11.645 ms  7.958 ms  7.936 ms

Suivi d’un routage par le biais d’une interface de données

Utilisez la commande traceroute .

traceroute destination

L’hôte peut être une adresse IPv4 ou IPv6 ou un nom de domaine complet (FQDN), tel que www.exemple.com, si vous configurez les serveurs DNS pour les interfaces de données. Si vous n’avez pas configuré de serveurs DNS pour une interface spécifique, utilisez la commande dig pour rechercher l’adresse IP d’un nom de domaine complet donné. Par exemple :

> traceroute 209.165.200.225
Tracing the route to 209.165.200.225
 1  10.83.194.1 0 msec 10 msec 0 msec
 2  10.83.193.65 0 msec 0 msec 0 msec
 3  10.88.193.101 0 msec 10 msec 0 msec
 4  10.88.193.97 0 msec 0 msec 10 msec
 5  10.88.239.9 0 msec 10 msec 0 msec
 6  10.88.238.65 10 msec 10 msec 0 msec
 7 172.16.7.221 70 msec 70 msec 80 msec
 8 209.165.200.225 70 msec 70 msec 70 msec

Remarque

Vous pouvez préciser le délai d’expiration, la durée de vie, le nombre de paquets par nœud et même l’adresse IP ou l’interface à utiliser comme source du traceroute. Utilisez l’indicateur d’aide, ?, dans l’interface de ligne de commande pour voir les options disponibles.

Le système dépend d’une heure précise et constante pour fonctionner correctement et pour s’assurer que les événements et les autres points de données sont traités avec exactitude. Vous devez configurer au moins un, mais idéalement trois, serveurs NTP (Network Time Protocol) pour que le système dispose toujours d’informations horaires fiables.

Le diagramme récapitulatif de la connexion du périphérique (cliquez sur Device (Périphérique) dans le menu principal) affiche l’état de la connexion au serveur NTP. Si l’état est jaune ou orange, un problème de connexion existe avec les serveurs configurés. Si le problème de connexion persiste (et qu’il ne s’agit pas simplement d’un problème momentané), essayez ce qui suit.

• Tout d’abord, assurez-vous qu’au moins trois serveurs NTP sont configurés dans Device (Périphérique) > System Settings (Paramètres système) > NTP. Bien qu’il ne s’agisse pas d’une exigence, la fiabilité est considérablement améliorée si vous avez au moins trois serveurs NTP.

• Assurez-vous qu’il existe un chemin réseau entre l’adresse IP de l’interface de gestion (définie dans Device (Périphérique) > System Settings (Paramètres système) > Management Interface (Interface de gestion)) et les serveurs NTP.

  • Si la passerelle de l’interface de gestion correspond aux interfaces de données, vous pouvez configurer des routes statiques vers les serveurs NTP dans Device (Périphérique) > Routing (Routage) si la route par défaut n’est pas adéquate.

  • Si vous définissez une passerelle d’interface de gestion explicite, connectez-vous à l’interface CLI du périphérique et utilisez la commande ping system pour vérifier s’il existe un chemin réseau vers chaque serveur NTP.

• Connectez-vous à l’interface CLI du périphérique et vérifiez l’état des serveurs NTP à l’aide des commandes suivantes.

  • show ntp  : cette commande affiche des informations de base sur les serveurs NTP et leur disponibilité. Cependant, l’état de connectivité dans le FDM utilise des informations supplémentaires pour indiquer l’état, de sorte qu’il peut y avoir une incohérence dans ce que cette commande affiche et ce que montre le diagramme d’état de connectivité. Vous pouvez également émettre cette commande à partir de la console d’interface de ligne de commande.

  • system support ntp  : cette commande comprend la sortie de show ntp plus la sortie de la commande NTP standard ntpq , qui est documentée avec le protocole NTP. Utilisez cette commande si vous devez confirmer la synchronisation NTP.

    Recherchez la section « Résultats de « ntpq -pn ». Par exemple, vous pourriez voir quelque chose comme ce qui suit :

    
    Results of 'ntpq -pn'
    remote                    : +216.229.0.50
    refid                     : 129.7.1.66
    st                        : 2
    t                         : u
    when                      : 704
    poll                      : 1024
    reach                     : 377
    delay                     : 90.455
    offset                    : 2.954
    jitter                    : 2.473
    
    

    Dans cet exemple, le signe plus (+) avant l’adresse du serveur NTP indique qu’il s’agit d’un candidat potentiel. Un astérisque ici, *, indique l’homologue de la source de temps actuelle.

    Le démon NTP (NTPD) utilise une fenêtre glissante de huit échantillons pour chacun des homologues et en sélectionne un, puis la sélection de l’horloge détermine les vraies sources et les fausses. NTPD détermine ensuite la distance aller-retour (le décalage d’un candidat ne doit pas dépasser la moitié du retard aller-retour). Si des retards de connexion, une perte de paquets ou des problèmes de serveur entraînent le rejet d’un ou de tous les candidats, vous verrez de longs retards dans la synchronisation. L’ajustement se produit également sur une très longue période : les erreurs de décalage d’horloge et d’oscillateur doivent être résolues par l’algorithme de correction d’horloge, ce qui peut prendre des heures.

    Remarque

    Si le refid est .LOCL., cela indique que l’homologue est une horloge locale non asservie, c’est-à-dire qu’il utilise son horloge locale uniquement pour définir l’heure. Le FDM marque toujours la connexion NTP en jaune (non synchronisée) si l’homologue sélectionné est .LOCL. Normalement, le protocole NTP ne sélectionne pas un candidat .LOCL. si un meilleur est disponible, c’est pourquoi vous devez configurer au moins trois serveurs.

Pour afficher les informations au niveau du système concernant l’utilisation du processeur et de la mémoire, sélectionnez Monitoring (Surveillance) > System (Système) et recherchez les graphiques à barres du processeur et de la mémoire. Ces graphiques affichent les informations collectées par l’interface de ligne de commande à l’aide des commandes show cpu system et show memory system .

Si vous ouvrez la console d'interface de ligne de commande ou vous connectez à celle-ci, vous pouvez utiliser des versions supplémentaires de ces commandes pour afficher d’autres informations. En règle générale, vous ne consulterez ces renseignements que si vous avez des problèmes persistants d’utilisation ou sous la demande du centre d’assistance technique de Cisco (TAC). Une grande partie des renseignements détaillés sont complexes et nécessitent une explication par le TAC.

Voici quelques points saillants de ce que vous pouvez examiner. Vous pouvez trouver des informations plus détaillées sur ces commandes dans Référence de commande Cisco Firepower Threat Defense à l’adresse http://www.cisco.com/c/en/us/td/docs/security/firepower/command_ref/b_Command_Reference_for_Firepower_Threat_Defense.html.

• show cpu affiche l’utilisation du processeur du plan de données.

• show cpu core affiche l’utilisation de chaque cœur de CPU séparément.

• show cpu detailed affiche l’utilisation supplémentaire de la CPU par cœur et globale du plan de données.

• show memory affiche l’utilisation de la mémoire du plan de données.

Remarque

Certains mots-clés (non mentionnés ci-dessus) nécessitent que vous configuriez d’abord le profilage ou d’autres fonctionnalités à l’aide des commandes cpu ou memory . Utilisez ces fonctionnalités uniquement selon les directives du TAC.

Le système consigne les informations pour une grande variété d’actions. Vous pouvez utiliser la commande system support view-files pour ouvrir un journal système. Utilisez cette commande lorsque vous travaillez avec le centre d’assistance technique de Cisco (TAC) afin qu’il puisse vous aider à interpréter le résultat et pour sélectionner le journal approprié à afficher.

La commande présente un menu pour sélectionner un journal. Utilisez les commandes suivantes pour naviguer dans l’assistant :

• Pour passer à un sous-répertoire, saisissez le nom du répertoire et appuyez sur Enter (Entrée).

• Pour sélectionner un fichier à afficher, saisissez s à l’invite. Vous êtes invité à saisir un nom. Vous devez saisir le nom complet, en respectant la casse. La liste des fichiers vous indique la taille du journal, que vous pouvez prendre en compte avant d’ouvrir des journaux très volumineux.

• Appuyez sur la barre d’espace lorsque vous voyez --More (Plus)-- pour afficher la page suivante d’entrées de journal ; appuyez sur Enter (Entrée) pour n’afficher que l’entrée suivante. Lorsque vous atteignez la fin du journal, vous accédez au menu principal. La ligne --Plus-- vous affiche la taille du journal et la partie que vous avez affichée. Utilisez les touches Ctrl + C pour fermer le journal et quitter la commande si vous ne souhaitez pas effectuer de page dans l’ensemble du journal.

• Tapez b pour monter d’un niveau dans la structure jusqu’au menu.

Si vous souhaitez laisser le journal ouvert afin de pouvoir voir les nouveaux messages à mesure qu’ils sont ajoutés, utilisez la commande tail-logs au lieu de system support view-files .

L’exemple suivant montre comment afficher le fichier cisco/audit.log, qui suit les tentatives de connexion au système. La liste des fichiers commence par les répertoires en haut, puis une liste de fichiers dans le répertoire actuel.

> system support view-files

===View Logs===

============================
Directory: /ngfw/var/log
----------sub-dirs----------
cisco
mojo
removed_packages
setup
connector
sf
scripts
packages
removed_scripts
httpd
-----------files------------
2016-10-14 18:12:04.514783 | 5371       | SMART_STATUS_sda.log
2016-10-14 18:12:04.524783 | 353        | SMART_STATUS_sdb.log
2016-10-11 21:32:23.848733 | 326517     | action_queue.log
2016-10-06 16:00:56.620019 | 1018       | br1.down.log

<list abbreviated>


([b] to go back or [s] to select a file to view, [Ctrl+C] to exit)
Type a sub-dir name to list its contents: cisco

============================
Directory: /ngfw/var/log/cisco
-----------files------------
2017-02-13 22:44:42.394907 | 472        | audit.log
2017-02-13 23:40:30.858198 | 903615     | ev_stats.log.0
2017-02-09 18:14:26.870361 | 0          | ev_stats.log.0.lck
2017-02-13 05:24:00.682601 | 1024338    | ev_stats.log.1
2017-02-12 08:41:00.478103 | 1024338    | ev_stats.log.2
2017-02-11 11:58:00.260805 | 1024218    | ev_stats.log.3
2017-02-09 18:12:13.828607 | 95848      | firstboot.ngfw-onbox.log
2017-02-13 23:40:00.240359 | 6523160    | ngfw-onbox.log

([b] to go back or [s] to select a file to view, [Ctrl+C] to exit)
Type a sub-dir name to list its contents: s

Type the name of the file to view ([b] to go back, [Ctrl+C] to exit)
> audit.log
2017-02-09 18:59:26 - SubSystem:LOGIN, User:admin, IP:10.24.42.205, Message:Login successful, 
2017-02-13 17:59:28 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Login successful, 
2017-02-13 22:44:36 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Login failed, 
2017-02-13 22:44:42 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Login successful, 
2017-02-13 22:44:42 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Unlocked account., 

<remaining log truncated>