소개
이 문서에서는 Cisco ASA(Adaptive Security Appliance) syslog 메시지에서 "IPS(Intrusion Prevention System) SSP(Security Services Processor) 애플리케이션 재로드 IPS"가 의미하는 것을 설명합니다.
IPS 메시지 "IPS SSP application reloading IPS"는 무엇을 의미합니까?
다음 syslog 메시지는 ASA에 나타납니다.
ASA5585-SSP-IPS20 Module in slot 1, application up "IPS", version "7.1(1)E4"
Normal Operation
ASA5585-SSP-IPS20 Module in slot 1, application reloading "IPS", version
"7.1(1)E4" Config Change
ASA는 장애 조치를 수행하지 않으며 IPS에 "failed"가 표시되지 않습니다.
이러한 메시지는 5분마다 시도되는 일부 GC(Global Correlation) 업데이트 중에 생성됩니다.또한 IPS 시그니처 업데이트 중에 생성되며 예상되는 동작으로 알려져 있습니다.
GC 검사는 5분마다 수행되지만 업데이트를 사용할 수 없을 수 있습니다. 이 GC 검사는 정상적인 작업 중에 메시지가 1시간 이상 나타날 수 있는 이유입니다.GC 업데이트가 실제로 발생하거나 시그니처 업데이트가 시작되면 IPS가 ASA에 컨피그레이션 변경이 진행 중임을 나타내는 메시지를 보냅니다.
May 22 2013 03:20:16: %ASA-1-505013: Module ASA-SSM-10 in slot 1 application reloading "IPS" version "7.1(7)E4" Config Change
reload 명령이 실행된 경우 애플리케이션은 실제로 ASA로 다시 로드되지 않습니다.IPS는 분석 엔진을 조정하고 ASA에 변경 사항을 알립니다.이 작업은 IPS가 업데이트를 처리하는 동안 바이패스 모드로 전환되는 동시에 발생할 수 있습니다.이는 정상적인 동작이며 IPS 또는 ASA 성능에 기능적 영향을 미치지 않습니다.
ASA에서 이 메시지를 수신하면 즉시 장애 조치가 수행되지 않습니다.이 시간 동안 ASA는 fail-close 또는 fail-open 컨피그레이션을 따릅니다.fail-close가 구성된 경우, ASA는 센서가 다시 모니터링할 준비가 되었다는 메시지를 전송하거나 시간 초과에 도달할 때까지(ASA가 실패한 것으로 표시됨) IPS로 전송된 모든 패킷을 삭제합니다.
May 22 2013 03:20:16: %ASA-3-420001: IPS card not up and fail-close mode used dropping TCP packet from Outside:213.248.117.16/80 to INSIDE:193.128.137.2/40860
Cisco 버그 ID CSCts98806이 언급된 메시지의 원인으로 인해 카드/애플리케이션 장애를 해결할 수 없습니다.
Cisco 버그 ID CSCub28854가 IPS 측에서 이 문제를 해결하거나 문서화하도록 실패했습니다.
Cisco 버그 ID CSCts98836이 ASA의 메시지를 확인하기 위해 제출되었습니다.
IPS 서명 또는 GC 업데이트 중에 ASA 장애 조치에서 데이터 채널 다운 메시지가 표시될 수 있습니다.이 ASA 버그는 다음과 같은 상황을 해결합니다.
Cisco 버그 ID CSCuc32250
관련 정보