First Published: June 20, 2023

Last Updated: June 27, 2023

Firepower Management Center ヘルスモニターによって収集される Firepower Threat Defense デバイスメトリック

デバイス正常性モニターには、システムイベントを予測して対応するのに役立つ、一連の主要 FTD デバイスメトリックが含まれています。FTD デバイスの正常性は、これらの報告されたメトリックによって判断できます。このドキュメントには、すべてのヘルス モニター ダッシュボードと、報告されたメトリックのリストが記載されています。

CPU グループのメトリック

正常性モニターは、CPU 使用率(プロセス別および物理コア別の CPU 使用率を含む)に関連する統計情報を追跡します。

表 1. CPU グループのメトリック

メトリック

説明

書式

コントロール プレーン

過去 1 分間のコントロールプレーンの平均 CPU 使用率。

percentage

データ プレーン

過去 1 分間のデータプレーンの平均 CPU 使用率。

percentage

Snort

過去 1 分間の Snort プロセスの平均 CPU 使用率。

percentage

システム

過去 1 分間のシステムプロセスの平均 CPU 使用率。

percentage

Physical cores

過去 1 分間のすべてのコアの平均 CPU 使用率。

percent

メモリグループのメトリック

ヘルスモニターは、データプレーンや Snort のメモリ使用率などの、デバイスのメモリ使用率に関連する統計を追跡します。

表 2. メモリグループのメトリック

メトリック

説明

書式

バッファ キャッシュ

バッファキャッシュ。

bytes

未使用

空きメモリの合計。

bytes

最大データプレーン(Maximum Data Plane)

データプレーンによって使用されている最大メモリ。

bytes

最大 Snort(Maximum Snort)

Snort プロセスによって使用されている最大メモリ。

bytes

Snort の最大スワップ(Maximum Swap for Snort)

Snort プロセスによって使用されている最大スワップメモリ。

bytes

残りのメモリブロック(1550)(Remaining Memory Block (1550))

1550 バイトブロックの空きメモリ。

number

残りのメモリブロック(256)(Remaining Memory Block (256))

256 バイトブロックの空きメモリ。

number

使用システム(System Used)

システムによって使用されている合計メモリ。

bytes

総量

使用可能な合計メモリ。

bytes

Total Swap

スワップに使用可能な合計メモリ。

bytes

データ プレーン

データプレーンによって使用されている合計メモリ。

bytes

データプレーンによる使用済み割合(Percent Used by Data Plane)

データプレーンによって使用されているメモリの割合。

percent

Snort による使用済み割合(Percent Used by Snort)

Snort プロセスによって使用されているメモリの割合。

percent

スワップの使用済み割合(Percent Used for Swap)

スワップに使用されているメモリの割合。

percent

システムによる使用済み割合(Percent Used by System)

システムによって使用されているメモリの割合。

percent

システムおよびスワップによる使用済み割合(Percent Used by System and Swap)

システムとスワップの合計によって使用されているメモリの割合。

percent

Snort

Snort プロセスによって使用されている合計メモリ。

bytes

Used Swap

スワップに使用されている合計メモリ。

bytes

Snort によって使用されているスワップ(Used Swap by Snort)

Snort プロセスによって使用されている合計スワップメモリ。

bytes

インターフェイスグループのメトリック

ヘルスモニターは、インターフェイスステータスや集約トラフィック統計情報など、デバイスインターフェイスに関連する統計情報を追跡します。

表 3. インターフェイスグループのメトリック

メトリック

説明

書式

廃棄パケット数

ドロップしたパケットの数。

number

Average Input Packet Size

着信パケットの平均サイズ。

bytes

Input Rate

合計着信バイト。

bytes

入力パケット

合計着信パケット数。

number

Average Output Packet Size

発信パケットの平均サイズ。

bytes

Output Rate

合計発信バイト数。

bytes

出力パケット

合計発信パケット数。

number

Status(ステータス)

インターフェイスのステータス。アップの場合は 1、ダウンの場合は 0。

1 または 0

CRC Errors

CRC(Cyclic Redundancy Check)エラーで受信されたパケットの合計数。

number

入力エラー(Input Error)

入力エラーの数。

number

出力エラー(Output Error)

出力エラーの数。

number

オーバーランエラー(Overrun Errors)

入力レートが受信データを処理するレシーバの能力を超えたためにドロップされたパケットの数。

number

アンダーランエラー(Underrun Errors)

ルータの処理能力を超えた速度でトランスミッタが動作したためにドロップされたパケットの数。

number

L2デコードドロップ(L2 Decode Drops)

名前が設定されていないため(nameif コマンド)、または無効な VLAN ID を持つフレームが受信されたためにドロップされたパケットの数。

number

接続グループのメトリック

正常性モニターは、接続と NAT 変換カウントに関連する統計情報を追跡します。

表 4. 接続グループのメトリック

メトリック

説明

書式

使用中の接続数(Connections in use)

アクティブな接続数を表示します。

number

Peak Connections

同時接続の最大数を示します。

number

Total Connections per second

すべての接続タイプの1秒あたりの接続数。

number

TCP Connections per second

TCP 接続タイプの 1 秒あたりの接続数。

number

UDP Connections per second

UDP 接続タイプの 1 秒あたりの接続数。

number

Preserve Connections Enabled

Snort プロセスがダウンした場合に、ルーテッドインターフェイスとトランスペアレント インターフェイスで既存の TCP/UDP 接続を維持します。

number

Connections Preserved

現在 preserve-connection が有効になっている接続数。

number

Preserve Connections Most Enabled

保持された接続の最大数。

number

Peak Connections Preserved

保持されたピーク接続の最大数。

number

NAT Translations

変換数を表示します。

number

Peak NAT Translations

同時変換の最大数の履歴を一度に表示します。

number

Snort グループのメトリック

正常性モニターは、Snort プロセスに関連する統計情報を追跡します。

表 5. Snort グループのメトリック

メトリック

説明

書式

Blocked list flows

Snort によってドロップされた、ポリシー設定からのフローの数。

number

Blocked Packets

ブロックされたパケットの数。

number

拒否されたフロー

拒否されたフローイベントの数。データプレーンは、Snort に送信する前にフローをドロップすることを決定すると、拒否されたフローイベントを Snort に送信します。

number

End of flows

高速パスフローが終了すると、データプレーンはフロー終了イベントを Snort に送信します。

number

Fast forwarded flows

ポリシーによって高速転送されたため、検査されなかったフローの数。

number

Dropped frames forwarded from the data plane

データプレーンから転送された、ドロップされたフレームの数。

number

Injected packets dropped

Snort がトラフィックストリームに追加したパケットのうち、ドロップされたパケット数。

number

Injected packets

Snort が作成し、トラフィックストリームに追加したパケットの数。たとえば、リセットアクションを伴うブロックを設定すると、Snort は接続をリセットするためのパケットを生成します。

number

Instances

Snort インスタンス(プロセス)の数。

number

Packet receiving queue utilization percentage

データプレーン受信キューのキュー使用率。

percent

Packets bypassed due to Snort busy

Snort がビジー状態でパケットを処理できない場合に、インスペクションをバイパスしたパケットの数。

number

Packets bypassed due to Snort down

Snort がダウンしたときにインスペクションをバイパスしたパケットの数。

number

Packets bypassed due to RX queue full

受信キューがいっぱいのためバイパスされたパケットの数。

number

Packets bypassed due to TX queue full

送信キューがいっぱいのためバイパスされたパケットの数。

number

Passed packets

データプレーンから Snort に送信されたパケットの数。

number

Start of flows

フロー開始イベントの数。これらのイベントは、Snort が接続を追跡し、接続イベントを報告するのに役立ちます。

number

ASP ドロップメトリック

正常性モニターは、高速セキュリティパス(ASP)でドロップされたパケットまたは接続に関連する統計情報を追跡します。

表 6. ASP ドロップメトリック

メトリック

説明

書式

Connection limit exceeded

接続制限を超えたときに閉じられたフローの数をカウントします。

number

Connection limit reached

接続制限またはホストの接続制限を超えたときにドロップされたパケットの数をカウントします。

number

L2 ルールドロップ

レイヤ 2 ACL により拒否されたパケットの数をカウントします。

number

L2 ルール VXLAN ドロップ

レイヤ 2 ACL チェックの適用時に VXLAN out_tag の検索に失敗したために拒否されたパケットの数をカウントします。

number

NAT reverse path failed

変換されたホストへの、そのホストの実際のアドレスを使用した接続が拒否された回数をカウントします。

number

NAT failed

IP またはトランスポートヘッダーを変換するための xlate の作成が失敗した回数をカウントします。

number

有効な v4 隣接関係がありません

セキュリティアプライアンスが隣接関係の取得を試み、次のホップ(IPv4)の MAC アドレスを取得できなかったときにドロップされたパケットの数をカウントします。

number

有効な v6 隣接関係がありません

セキュリティアプライアンスが隣接関係の取得を試み、次のホップ(IPv6)の MAC アドレスを取得できなかったときにドロップされたパケットの数をカウントします。

number

Snort によってブロックリストに登録されたパケット。Snort によってブロックされたパケット

Snort モジュールの要求に従ってドロップされたパケットの数をカウントします。

number

フレームドロップ: Snort ビジー。フレームドロップ:Snort ダウン。フレームドロップ:Snort ドロップ

Snort モジュールがビジーでフレームを処理できないためにドロップされたフレームの数をカウントします。 Snort モジュールがダウン。 Snort モジュールがドロップを要求。

number

Dispatch queue limit reached

デバイスのロードバランス ASP ディスパッチャがキュー制限に達した回数をカウントします。When more packets are attempted, tail drop occurs and this counter is incremented.

number

宛先 MAC L2 ルックアップに失敗しました

失敗したレイヤ 2 宛先 MAC アドレスルックアップの数をカウントします。Upon the lookup failure, the appliance will begin the destination MAC discovery process and attempt to find the location of the host via ARP and/or ICMP messages.

number

Inspection failure

接続のためにネットワークプロセッサによって実行されるプロトコルインスペクションをアプライアンスが有効にできなかった回数をカウントします。The cause could be memory allocation failure, or for ICMP error message, the appliance not being able to find any established connection related to the frame embedded in the ICMP error message.

number

NAT no xlate to pat pool

PAT プール内のマッピングアドレスと一致する宛先との接続で、既存の xlate が検出されなかった場合にカウントします。

number

ホストへのルートがありません

セキュリティアプライアンスがパケットをインターフェイスから送信しようとし、ルートがルーティングテーブルで見つからなかった回数をカウントします。

number

多数のパケットがキューに入れられためドロップされたパケット

すでにパケットキューの上限を超えている再送信データパケットをアプライアンスが受信したときにドロップされたパケット数をカウントします。

number

検査のためにキューイングされたセグメントの数が制限に達しました

フローの場合、インスペクタにキューイングされたパケット数が制限に達したため、フローが終了します。

number

Snort によってブロックまたはブロックリストに登録されました

Snort モジュールの要求に従ってパケットがドロップされた回数をカウントします。

number

Snort によるサイレントなパケットドロップ

Snort モジュールの要求に従って、パケットがサイレントにドロップされた回数をカウントします。

number

非同期の最初の TCP パケット

非傍受かつ非固定接続の最初のパケットとして非 SYN パケットを受信した回数をカウントします。

number

ハードウェア/環境のステータスメトリック

ハードウェア/環境ヘルスモニターは、統計情報をトラッキングし、脅威防御ハードウェアエンティティに関連するメトリック値を収集します。

表 7. ハードウェア/環境のステータスメトリック

メトリック

説明

書式

ファンの速度

シャーシファンの速度。

RPM

吸気温度。

吸気センサーの温度。

摂氏

Internal Temperature

内部センサーの温度。

摂氏

排気温度。

排気センサーの温度。

摂氏

SSD1

SSD1 のステータス。

number

システム稼動時間

システムがアクティブな期間。

seconds

ハードウェア/環境ステータスメトリックが使用可能かどうかは、FTD デバイスのモデルによって異なる場合があります。次の表では、各デバイスモデルで使用可能なメトリックについて説明します。

表 8. デバイスモデル別のハードウェア/環境ステータスメトリック

メトリック

1000 シリーズ

2100 シリーズ

3100 シリーズ

4100 シリーズ

4200 シリーズ

9300 シリーズ

SSP

システム稼動時間

対応

対応

対応

対応

対応

対応

対応

ファンの速度

対応

対応

対応

×

対応

×

×

Internal Temperature

対応

対応

対応

×

対応

×

×

吸気温度。

×

×

×

×

×

×

×

排気温度。

×

×

×

×

×

×

×

SSD1 ステータス(SSD1 Status)

対応

対応

対応

×

対応

×

×

展開された設定グループのメトリック

正常性モニターは、IPS ルールの数や ACE の数など、展開された設定に関連する統計情報を追跡します。

表 9. 展開された設定グループのメトリック

メトリック

説明

書式

Number of ACEs

アクセス コントロール エントリ(ACE)またはルールの数。アクセスコントロールリスト(ACL) は 1 つ以上の ACE で構成されます。

number

Number of rules

侵入ポリシー内のルールの数。

number

ディスクグループのメトリック

正常性モニターは、パーティションごとのディスクサイズやディスク使用率など、デバイスのディスク使用率に関連する統計情報を追跡します。

表 10. ディスクグループのメトリック

メトリック

説明

書式

Total

デバイスディスクの合計サイズ。

bytes

Used

デバイスディスクで使用されている合計領域。

bytes

/ngfwによる使用率(Used Percentage by /ngfw)

/ngfw パーティションが使用しているディスク領域の割合。

percentage

/ngfw/Volumeによる使用率(Used Percentage by /ngfw/Volume)

/ngfw/Volume パーティションが使用しているディスク領域の割合。

percentage

/dev/cgroupsによる使用率(Used Percentage by /dev/cgroups)

/dev/cgroups パーティションが使用しているディスク領域の割合。

percentage

/mnt/disk0による使用率(Used Percentage by /mnt/disk0)

/mnt/disk0 パーティションが使用しているディスク領域の割合。

percentage

/var/volatileによる使用率(Used Percentage by /var/volatile)

/var/volatile パーティションが使用しているディスク領域の割合。

percentage

クリティカル プロセス グループのメトリック

正常性モニターは、管理対象プロセスのプロセス再起動に関連する統計情報を追跡します。また、ヘルスモニターは重要なプロセスごとに、CPU 使用率、メモリ使用率、稼働時間、およびステータスをトラッキングします。

表 11. クリティカル プロセス グループのメトリック

メトリック

説明

書式

CPU 使用率

プロセスの開始以降のプロセスの CPU 使用率。

percent

Restart count

FTD デバイスが起動してからプロセスが再起動した回数。

プロセスの再起動頻度が高すぎる場合、再起動カウントメトリックは毎分実行されるため、正確な数を反映しない可能性があることに注意してください。

number

Status(ステータス)

プロセスのステータス。

次のいずれかが必要です。

  • Started

  • 実行中(Running)

  • ダウン

  • Waiting

  • ロック(Locked)

  • Disabled

    ユーザーが無効(User Disabled)

Uptime

プロセスが実行されている期間。

seconds

Memory used

プロセスによって使用された RSS メモリ。

bytes

NTP サーバーグループのメトリック

ヘルスモニターは、管理対象デバイスの NTP クロック同期ステータス関連の統計をトラッキングします。

表 12. NTP サーバーグループのメトリック

メトリック

説明

書式

遅延

NTP サーバーへの到達の遅延。

milliseconds

ジッタ

デバイスと NTP サーバー間のネットワーク遅延。

milliseconds

最終ポーリング(Last polled)

NTP サーバーに対するデバイスの最終ポーリング以降の時間。

seconds

Offset

ローカルクロックと NTP サーバーのクロックの差。

seconds

Reach

最新の 8 つの NTP 更新(8 進数)。たとえば、8 回の試行が成功した場合は 377 で表されます。

number

フローオフロード統計グループのメトリック

ヘルスモニタリングは、FTD 9300 および 4100 プラットフォームのハードウェア フロー オフロード統計をトラッキングします。

表 13. フローオフロード統計グループのメトリック

メトリック

説明

書式

使用中(In Use)

現在オフロードされているフローの数。

number

最も使用されている(Most Used)

これまでに確認されたオフロードフローの最大数。

number

コリジョンフローの数(Number of Collision Flows)

同じハードウェアオフロードの場所を同時に照合する複数のフローの数。

number

オフロード率(Offload Percentage)

現時点でハードウェアにオフロードされている合計フロー数の割合。

percentage

ルート統計グループのメトリック

ヘルスモニターは、FTD デバイスからの IPv4 と IPv6 の両方のルート情報をトラッキングします。

表 14. ルート統計グループのメトリック

メトリック

説明

書式

現在のIPv4およびIPv6ルート数(Current IPv4 and IPv6 routes)

現在の IPv4 および IPv6 のルート数。

number

グローバルIPv4ルート数(Global IPv4 routes)

グローバル IPv4 ルート数。

number

グローバルIPv6ルート数(Global IPv6 routes)

グローバル IPv6 ルート数。

number

ピークIPv4およびIPv6ルート数(Peak IPv4 and IPv6 routes)

IPv4 および IPv6 のピークルート数。

number

VRFあたりの合計IPv4ルート数(Per VRF Total IPv4 routes)

VRF あたりの IPv4 ルートの総数。

number

VRFあたりの合計IPv6ルート数(Per VRF Total IPv6 routes)

VRF あたりの IPv6 ルートの総数。

number

VPN グループのメトリック

ヘルスモニタリングは、サイト間およびリモートアクセスの VPN トンネル統計をトラッキングします。

表 15. VPN グループのメトリック

メトリック

説明

書式

アクティブRA VPNトンネル数(Active RA VPN Tunnels)

アクティブなリモートアクセス VPN トンネルの数。

number

アクティブS2S VPNトンネル数(Active S2S VPN Tunnels)

アクティブなサイト間 VPN トンネルの数。

number

累積RA VPNセッション数(Cumulative RA VPN Sessions)

アクティブだったリモートアクセス VPN トンネルの現時点までの合計数。

number

累積S2S VPNセッション数(Cumulative S2S VPN Sessions)

アクティブだったサイト間 VPN トンネルの現時点までの合計数。

number

非アクティブRA VPNトンネル数(Inactive RA VPN Tunnels)

非アクティブなリモートアクセス VPN トンネルの数。

number

最大同時RA VPNトンネル数(Peak Concurrent RA VPN Tunnels)

同時にアクティブだったリモートアクセス VPN トンネルの現時点までの最大数。

number

最大同時S2S VPNトンネル数(Peak Concurrent S2S VPN Tunnels)

同時にアクティブだったサイト間 VPN トンネルの現時点までの最大数。

number

Cisco Advanced Malware Protection 接続グループのメトリック

ヘルスモニタリングは、FTD デバイスからの Cisco Advanced Malware Protection クラウド接続ステータスをトラッキングします。

表 16.

メトリック

説明

書式

接続ステータス

Cisco Advanced Malware Protection クラウド接続のステータス。

0 ~ 5 の範囲の数値:

  • 0 は無効(Disabled)を示します。

  • 1 は待機中(Waiting)を示します。

  • 2 は実行中(Running)を示します。

  • 3 は未設定(Not configured)を示します。

  • 4 は、Cisco Advanced Malware Protection クラウド接続がオンであることを示します。

  • 5 は、Cisco Advanced Malware Protection クラウド接続がオフであることを示します。

AMP Threat Grid 接続グループのメトリック

ヘルスモニタリングは、FTD デバイスからの AMP Threat Grid クラウド接続ステータスをトラッキングします。

表 17.

メトリック

説明

書式

接続ステータス

AMP Threat Grid クラウド接続のステータス。

0 ~ 5 の範囲の数値:

  • 0 は無効(Disabled)を示します。

  • 1 は待機中(Waiting)を示します。

  • 2 は実行中(Running)を示します。

  • 3 は未設定(Not configured)を示します。

  • 4 は、AMP Threat Grid クラウド接続がオンであることを示します。

  • 5 は、AMP Threat Grid クラウド接続がオフであることを示します。

Device Health メトリックの履歴

機能

バージョン

詳細(Details)

新しいヘルス モジュール

7.0

次の正常性モジュールが追加されました。

  • [Cisco Advanced Malware Protection接続ステータス(AMP Connection Status)]:FTD からの Cisco Advanced Malware Protection クラウド接続をモニターします。

  • [AMP Threat Gridのステータス(AMP Threat Grid Status)]:FTD からの AMP Threat Grid クラウド接続をモニターします。

  • [ASPドロップ(ASP Drop)]:データプレーンの高速セキュリティパスによってドロップされた接続をモニターします。

  • [高度なSnort統計情報(Advanced Snort Statistics)]:パケットパフォーマンス、フローカウンタ、およびフローイベントに関連する Snort 統計情報をモニターします。

  • [ハードウェアと環境のステータス(Hardware and Environment Status)]:FTD デバイスからデバイスのハードウェアと環境のメトリックをモニターします。

  • [フローオフロード(Flow Offload)]:FTD 9300 および 4100 プラットフォームのハードウェア フロー オフロード統計をモニターします。

  • [NTPステータス(NTP Status)]:管理対象デバイスの NTP クロック同期ステータスをモニターします。

  • [ルーティング統計情報(Routing Statistics)]:FTD からの IPv4 と IPv6 の両方のルート情報をモニターします。

  • [SSE接続ステータス(SSE Connection Status)]:FTD からの SSE クラウド接続をモニターします。

  • [VPN統計(VPN Statistics)]:サイト間およびリモートアクセスの VPN トンネルの統計をモニターします。

  • [TLSカウンタ(TLS Counters)]:xTLS/SSL フロー、メモリ、およびキャッシュの有効性をモニターします。

新しいヘルス モジュール

6.7

CPU 使用率をトラッキングするために、次のメトリックが追加されました。

  • CPU 使用率(コアごと):すべてのコアの CPU 使用率をモニターします。

  • CPU 使用率データプレーン:デバイス上のすべてのデータプレーンプロセスの平均 CPU 使用率をモニターします。

  • CPU 使用率 Snort:デバイス上の Snort プロセスの平均 CPU 使用率をモニターします。

  • CPU 使用率システム:デバイス上のすべてのシステムプロセスの平均 CPU 使用率をモニターします。

デバイスの正常性の統計情報をトラッキングするために、次のメトリックグループが追加されました。

  • [接続統計情報(Connection Statistics)]:接続統計情報と NAT 変換カウントをモニターします。

  • クリティカルプロセス統計情報:クリティカルプロセスの状態、リソース消費量、再起動回数をモニターします。

  • 展開された設定の統計情報:展開された設定に関する統計情報(ACE の数や IPS ルールなど)をモニターします。

  • [Snort統計情報(Snort Statistics)]:イベント、フロー、およびパケットの Snort 統計情報をモニターします。

メモリ使用率をトラッキングするために、次のメトリックが追加されました。

  • [メモリ使用率データプレーン(Memory Usage Data Plane)]:データプレーンプロセスで使用される割り当て済みメモリの割合をモニターします。

  • メモリ使用率 Snort:Snort プロセスによって使用される割り当て済みメモリの割合をモニターします。