Introduzione
In questo documento viene descritto l'avviso "Limite di caricamento raggiunto" generato da Email Security Appliance (ESA) quando configurata per la scansione dei messaggi di posta elettronica con la funzionalità Advanced Malware Protection (AMP).
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Email Security Appliance
- Protezione avanzata da malware
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Email Security Appliance (ESA) con software 12.x
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Email Security Appliance (ESA) utilizza la funzionalità Advanced Malware Protection (AMP) che include due funzioni principali:
L'analisi dei file carica gli allegati dei messaggi per l'analisi sandbox nei server cloud ThreatGrid.
Comprendere l'avviso "Limite di caricamento raggiunto"
Il rilevamento messaggi può mostrare che non è stata eseguita la scansione dei messaggi di posta elettronica da Advanced Malware Protection (AMP) perché è stato raggiunto il limite di caricamento.
Esempio:
02 Dec 2019 14:11:36 (GMT +01:00) Message 12345 is unscannable by Advanced Malware Protection engine. Reason: Upload Limit Reached
Nel nuovo modello di limiti di esempio ThreatGrid, questi limiti sono il numero di campioni che i dispositivi possono caricare per l'analisi dei file per singola organizzazione. Tutti i dispositivi integrati (WSA, ESA, CES, FMC, ecc.) e AMP for Endpoints hanno diritto a 200 campioni al giorno, indipendentemente dal numero di dispositivi.
Si tratta di un limite condiviso (non di un limite per dispositivo), e questo vale per le licenze acquistate dopo il 12/1/2017.
Nota: Questo contatore non viene reimpostato ogni giorno, ma funziona come un periodo di 24 ore di rotazione.
Esempio:
In un raggruppamento di 4 ESA con un limite di 200 campioni di caricamento, se l'ESA1 carica 80 campioni alle 10:00 di oggi, solo 120 campioni in più possono essere caricati tra le 4 ESA (limite condiviso) da oggi alle 10:01 a domani alle 10:00, quando vengono rilasciati i primi 80 slot.
Come si può controllare il numero di campioni che le ESA hanno caricato nelle ultime 24 ore?
ESA: Passare a Monitoraggio > Report di analisi file AMP e controllare la sezione File caricati per l'analisi.
SMA: passare a E-mail > Reporting > Report di analisi file AMP e controllare la sezione File caricati per analisi.
Nota: Se il report di analisi dei file AMP non mostra dati accurati, consultare la sezione Dettagli analisi file nel cloud incompleti nella Guida dell'utente.
Avviso: Per ulteriori informazioni, fare riferimento al difetto CSCvm10813.
In alternativa, è possibile eseguire un comando grep dalla CLI per contare il numero di file caricati.
Questa operazione deve essere eseguita su ciascun accessorio.
Esempio:
grep "Dec 20.*File uploaded for analysis" amp -c
grep "Dec 21.*File uploaded for analysis" amp -c
È possibile utilizzare le espressioni regolari PCRE per far corrispondere data e ora.
Come è possibile estendere il limite di caricamento?
Contattare l'Account Manager o il Sales Engineer di Cisco.
Informazioni correlate
Feedback