运行状况监控的要求和前提条件
型号支持
任意
支持的域
任意
用户角色
管理员
维护用户
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
以下主题介绍如何在 Firepower 系统中使用运行状况监控︰
任意
任意
管理员
维护用户
防火墙管理中心 上的运行状况监控器跟踪各种运行状况指标,以确保系统中的硬件和软件正常工作。您可以使用运行状况监控器检查整个系统部署中关键功能的状态。
您可以配置运行状况模块以发出警报的频率。 防火墙管理中心 还支持时间序列数据收集。您可以在设备及其运行状况模块上收集时间序列数据的频率。默认情况下,设备监控器会在多个预定义的运行状况监控器控制面板中报告这些指标。收集指标数据以供分析,因此没有与之关联的警报。

可以使用运行状况监控器创建一个测试集合(称为运行状况策略),并将该运行状况策略应用到一个或多个设备上。测试(称为 运行状况模块)是用来测试您指定的条件的脚本。您可以通过启用或禁用测试或者通过更改测试设置来修改运行状况策略,可以删除不再需要的运行状况策略。您还可以将来自所选设备的消息加入黑名单,从而排除这些消息。
运行状况监控系统按配置的时间间隔运行运行状况策略中的测试。您还可以按需运行所有测试或特定测试。运行状况监控器基于配置的测试条件收集运行状况事件。
![]() 注 |
所有设备都通过“硬件警报“运行状况模块自动报告其硬件状态。防火墙管理中心还使用默认运行状况策略中配置的模块自动报告状态。某些运行状况模块(例如“设备测信号”模块)在 防火墙管理中心上运行并报告 防火墙管理中心的受管设备的状态。要使运行状况模块提供受管设备状态,必须将所有运行状况策略部署到设备。 |
可以使用运行状况监控器访问整个系统和特定设备的运行状况状态信息。在多域部署中,您可以在叶域及其父域中查看设备的运行状况状态摘要。
如果您是,运行状况状态页面上的六边形构件和状态表提供网络上所有设备(包括防火墙管理中心)的状态的可视摘要。单个设备运行状况监视器使您可以向下钻取到特定设备的运行状况详细信息。
完全可自定义的事件视图使您可以快速轻松地分析运行状况监控器所收集的运行状况事件。这些事件视图使您可以搜索和查看事件数据,并访问可能与正调查的事件有关的其他信息。例如,如果要查看 CPU 使用率达到特定百分比的所有状况,您可以搜索 CPU 使用率模块并输入百分比值。
您还可以配置响应运行状况事件的邮件、SNMP 或者系统日志警报。运行状况警报是指标准警报和运行状况级别之间的关联。例如,如果想确保设备不会因硬件过载出现故障,您可以设置邮件警报。然后,您可以创建运行状况警报,每当 CPU、磁盘或内存占用率达到您在该设备所应用的运行状况策略中配置的“警告”级别时,就会触发该邮件警报。您可以设置警报阈值,以最小化您收到的重复警报的数量。
![]() 注 |
运行状况监控可能需要 5-6 分钟才能生成运行状况警报。 |
如果支持人员要求您为设备生成故障排除文件,您也可以执行此操作。
只有具有管理员用户角色权限的用户才可以访问系统运行状况数据。
在运行 6.7 或更高版本的 防火墙管理中心 高可用性部署中,活动 防火墙管理中心 会创建一个运行状况监控页面,该页面使用 REST API 显示基于指标的详细信息。备用 防火墙管理中心 创建运行状况监视器页面,该页面显示警报信息,并使用饼图和状态表提供网络上所有设备状态的可视化摘要。备用 防火墙管理中心 不显示基于指标的信息。
运行状况模块或运行状况测试会测试您在运行状况策略中指定的条件。
运行状况模块有两种类型:警报和指标。警报模块(有时称为传统模块)监控系统基础设施并仅报告运行状况状态。当这些受监控系统满足运行状况策略中规定的条件时,这些模块就会发出运行状况警报。 指标模块(有时称为 Telegraf 模块)收集统计信息(有时称为时间序列数据),您可以在运行状况监控控制面板上查看这些统计信息。您可以使用自己喜欢的运行状况指标来创建自定义控制面板,从而监控统计数据或排除设备运行状况问题。
![]() 注 |
Cisco Secure Firewall 200 系列设备生成的运行状况警报仅限于基本运行状况模块,以优化性能并确保有效的资源利用。有关可用运行状况模块的更多信息,请参阅Cisco Secure Firewall 200 系列设备的运行状况警报。 |
|
模块 |
类型 |
说明 |
||
|---|---|---|---|---|
|
AMP 连接状态 |
指标 |
如果设备在初始成功连接后无法连接到 AMP 云或 Cisco AMP 私有云,或者如果私有云无法联系公有 AMP 云,则该模块发出警报。默认情况下已禁用。 |
||
|
AMP Threat Grid 连接 |
指标 |
在初始连接成功后,如果 FMC 无法连接到 AMP 威胁网格云,则模块警报。 |
||
|
ASP 丢弃 |
指标 |
监控数据平面加速安全路径所放弃的连接。 您可以对该模块进行配置,以便单独为选定的指标生成警报。如果任意两个时间戳的 ASP 丢弃计数器值之差超过指定阈值,模块就会监控这些指标并检测故障。 |
||
|
自动应用旁路 |
风险通告 |
监控绕过的检测应用。 |
||
|
证书监控 |
风险通告 |
根据可配置的阈值(以天为单位),在服务验证证书即将过期或已经过期时发出警报。此警报可帮助您识别即将到期的证书,并在服务中断之前对其进行续订。 |
||
|
机箱环境状态 |
风险通告 |
监控机箱参数(例如风扇速度和机箱温度),并允许您设置温度的警告阈值和临界阈值。 关键机箱温度(摄氏度) 默认值为 默认情况下,Firepower 1010 的 CPU 温度阈值为 |
||
|
集群/HA 故障转移状态 |
风险通告 |
对于威胁防御集群,会在设备加入、离开或被选为主设备时发出警报。 |
||
|
配置资源利用率 |
风险通告 |
如果已部署的配置的大小使设备面临内存耗尽的风险,则会发出警报。 警报会显示您的配置需要多少内存,以及超出可用内存的数量。如果发生此情况,请重新评估您的配置。您可以减少访问控制规则或入侵策略的数量或降低其复杂性。 |
||
|
连接统计信息 |
指标 |
监控连接统计信息和 NAT 转换计数。对于高可用性对中的备用 Firewall Threat Defense 设备,此构件仅反映从主用设备复制的连接的统计信息。 |
||
|
CPU 核心使用率 |
指标 |
当 CPU 核心使用率超过可配置的阈值时发出警报。通过此模块,您可以启用或禁用接收运行状况警报,而不会中断指标收集。 |
||
|
关键流程统计信息 |
指标 |
监控关键进程的状态、资源消耗和重新启动计数。 |
||
|
数据库 |
风险通告 |
请注意,Cisco Secure Firewall 200 系列设备仅会针对与架构或配置数据相关的数据库完整性问题发出警报。 |
||
|
数据平面 CPU 使用率 |
指标 |
当数据平面 CPU 使用率超过可配置的阈值时发出警报。通过此模块,您可以启用或禁用接收运行状况警报,而不会中断指标收集。 |
||
|
数据平面内存使用率 |
指标 |
当数据平面内存使用率超过可配置的阈值时发出警报。通过此模块,您可以启用或禁用接收运行状况警报,而不会中断指标收集。 |
||
|
已部署配置统计信息 |
指标 |
监控有关已部署配置的统计信息,例如 ACE 数、IPS 规则数。 |
||
|
磁盘状态 |
风险通告 |
在硬盘或 RAID 控制器出现问题时发出警报。如果此模块警报,请联系 思科 TAC。这将阻止升级。 |
||
|
磁盘使用情况 |
指标 |
该模块将设备的硬盘驱动器中的磁盘使用率与为该模块配置的限值进行对比,并在使用率超过为模块配置的阈值时发出警报。基于模块阈值,当系统删除过多的监控磁盘使用类别的文件,或者当这些类别以外的磁盘使用情况达到过高级别时,该模块也发出警报。 有关磁盘使用情况警报故障排除场景的信息,请参阅 磁盘使用情况和事件消耗情况运行状况监控警报 。 如果设备配置历史记录文件的大小超过允许的限制,则磁盘使用率模块会发送运行状况警报。有关磁盘使用情况警报的故障排除场景的信息,请参阅 设备配置历史记录文件运行状况监控警报的磁盘使用情况 。 Secure Firewall Management Center 版本 7.2.0-7.2.5、7.3.x 和 7.4.0 不支持运行状况警报。 使用磁盘使用情况运行状况模块监控设备上的 使用清除磁盘空间选项,通过从威胁防御设备中删除临时文件来释放磁盘空间。有关详细信息,请参阅清理磁盘空间 |
||
|
文件系统完整性检查 |
风险通告 |
如果系统启用了 CC 模式或 UCAPL 模式,或者如果系统运行使用 DEV 密钥签名的映像,则此模块会执行文件系统完整性检查。 |
||
|
防火墙威胁防御 HA |
风险通告 |
在威胁防御高可用性对被裂脑时发出警报。 |
||
|
防火墙威胁防御平台故障 |
风险通告 |
监控 Cisco Secure Firewall 1000/3100/4200/6100 平台故障,并为故障生成运行状况警报。 一个平台故障表示 Firewall Threat Defense 实例中的一个故障或已发出的警报阈值。在一个故障的生命周期中,平台故障可从一个状态或一种严重性更改为另一个状态或另一种严重性。每个故障包含有关发生故障时受影响对象的运行状态的信息。如果故障是临时性的并已得到解决,则对象会转换到正常运行状态。有关详细信息,请参阅 Cisco Firepower 1000/2100 FXOS 故障和错误消息指南。 |
||
|
流分流统计信息 |
指标 |
监控硬件流量分流。 |
||
|
FXOS 运行状况 |
风险通告 |
当设备上未在运行 FXOS https 服务时发出警报。这将阻止升级。 |
||
|
硬件警报 |
风险通告 |
该模块确定物理托管设备上的硬件是否需要更换并基于硬件状态发出警报。它还会报告与硬件有关的守护程序的状态。 |
||
|
身份限制监控 (仅在 Cisco Secure Firewall 200 系列设备上支持) |
风险通告 |
当设备身份相关的映射和用户到组的映射超出正常限制时发出警报。与设备身份相关的映射包括用户会话、SGT 交换协议 (SXP) 映射和动态对象映射。 |
||
|
内联链路不匹配警报 |
风险通告 |
如果内联配对接口协商不同的速度,则发出警报。 |
||
|
接口统计信息 |
风险通告 |
确定设备当前是否收集流量并根据物理接口和汇聚接口的流量状态发出警报。对于物理接口,信息包括接口名称、链路状态和带宽。对汇聚接口,信息包括接口名称、活动链路的数量和总汇聚带宽。 对于子接口,此模块会汇总报告运行状况警报,而不是为每个受影响的子接口生成单独的警报。如果同一父接口上的多个子接口遇到运行状况问题,则 防火墙管理中心 会生成一个汇总警报,指明该父接口的受影响子接口数。要查看各个子接口的特定状态,请参阅接口选项卡。
|
||
|
入侵和文件事件率 |
风险通告 |
如果每秒入侵事件超过可配置的阈值,则发出警报。 建议警告阈值为平均入侵事件速率的 1.5 倍,临界阈值为 2.5 倍。例如,如果网段的平均事件发生率为每秒 20 个事件,建议将警告值设为 30,将临界值设为 50。临界限值必须低于 1000 并高于警告限值。 可在 上查看您的设备的事件比率。如果速率为零,则 Snort 进程可能关闭,或者设备可能没有发送事件。 |
||
|
链路状态传播 |
风险通告 |
对于 ISA 3000,当内联集中的接口发生故障时发出警报。 |
||
|
内存使用率 |
风险通告 |
当内存使用率超过可配置的阈值时发出警报。 对于内存超过 4 GB 的设备而言,基于一个公式来预设警报阈值,该公式计算在可能导致系统问题的可用内存中所占的比例。在内存超过 4 GB 的设备上,因为“警告”和“严重”阈值之间的时间间隔可能非常短,所以建议您将警告阈值 % (Warning Threshold %)值手动设置为 复杂的访问控制策略和规则可控制重要资源并对性能产生不利影响。 |
||
|
网卡重置 |
风险通告 |
当网卡由于硬件故障而重新启动时发出警报。 |
||
|
NTP 统计信息 |
指标 |
监控 NTP 同步状态。默认情况下已禁用。 |
||
|
带外配置更改 |
风险通告 |
监控直接使用 configure network management-data-interface 命令在 防火墙管理中心 上进行的配置更改。当现有 防火墙管理中心 配置与所做的带外配置更改之间存在冲突时,此模块会发出警报。 |
||
|
路径监控 |
指标 |
如果在接口上启用了路径监控,则监控接口的数据路径指标。 |
||
|
进程状态 |
风险通告 |
当设备上的进程在进程管理器外部退出或终止时发出警报。 如果进程在进程管理器外部被故意退出,模块状态变更为“警告”(Warning),并且运行状况事件消息指示哪一个进程被退出,直到该模块再次运行、该进程重新启动为止。如果进程在进程管理器外部异常终止或者崩溃,模块状态变更为“严重”(Critical),并且运行状况事件消息指示被终止的进程,直到该模块再次运行、该进程重新启动为止。 |
||
|
路由统计信息 |
指标 |
监控路由表的当前状态。 |
||
|
SD-WAN 监控 |
指标 |
监控 SD-WAN 接口的应用性能指标。 |
||
|
Snort 3 统计信息 |
指标 |
收集事件、流和数据包的 Snort 3 统计信息。 此模块还监控发送高级日志记录事件的指标并生成以下警报:
|
||
|
Snort CPU 使用率 |
指标 |
该模块检查设备上所有 Snort 进程的平均 CPU 使用率是否超载,并在 CPU 使用率超过为该模块配置的百分比时发出警报。警告阈值 % 默认值为 |
||
|
Snort 身份内存使用情况 |
风险通告 |
使您能够在内存使用率超过为模块配置的级别时为 Snort 身份处理和警报设置警告阈值。 临界阈值 % 默认值为 此运行状况模块专门跟踪 Snort 中用于用户身份信息的总空间。它显示当前内存使用情况详细信息,用户到 IP 绑定的总数以及用户组映射详细信息。Snort 在文件中记录这些详细信息。如果内存使用情况文件不可用,则此模块的运行状况警报显示 等待数据。这可能发生在由于新安装或主要更新,从 Snort 2 切换到 Snort 3 或重新启动或主要策略部署而导致的 Snort 重启期间。根据运行状况监控周期以及当文件可用时,警告会消失,运行状况监控器会显示此模块的详细信息,其状态变为绿色。 |
||
|
Snort 内存使用率 |
指标 |
此模块检查 Snort 进程使用的已分配内存百分比,并在内存使用率超过为该模块配置的百分比时发出警报。警告阈值 % 默认值为 |
||
|
Snort 重新配置检测 |
指标 |
当设备重新配置失败时发出警报。此模块检测到 Snort 2 和 Snort 3 实例的重新配置失败。 |
||
|
Snort 统计信息 |
指标 |
监控事件、流和数据包的 Snort 统计信息 |
||
|
SSE 连接状态 |
指标 |
在初始连接成功后,如果设备无法连接到 SSE 云,则模块发出警报。默认情况下已禁用。 |
||
|
系统 CPU 使用率 |
指标 |
该模块检查设备上所有系统进程的平均 CPU 使用率是否超载,并在 CPU 使用率超过为该模块配置的百分比时发出警报。警告阈值 % 默认值为 |
||
|
Talos 连接状态 |
风险通告 |
监控与 Talos 云服务的连接,这是定期更新 URL 信誉和分类的 URL 过滤数据库所必需的。 |
||
|
设备中威胁数据更新 |
风险通告 |
在 防火墙管理中心 ,设备用于检测威胁的某些情报数据和配置每 30 分钟会从云进行一次更新。 此模块会提醒您此信息在指定时间段内是否未在设备上更新。 请注意,Cisco Secure Firewall 200 系列设备不维护本地 URL 数据库,仅支持云查找。此设备类型不支持与本地 URL 数据库相关的警报。 监控的更新包括:
默认情况下,此模块会在 1 小时后发送警告,在 24 小时后发送严重警报。 如果此模块显示 防火墙管理中心或任何设备上发生故障,请验证 防火墙管理中心是否可以访问这些设备。 |
||
|
VPN 统计信息 |
指标 |
监控 Firewall Threat Defense 设备之间的站点间和 RA VPN 隧道。 |
||
|
XTLS 计数器 |
指标 |
监控 XTLS/SSL 流、内存和缓存有效性。默认情况下已禁用。 |
|
模块 |
类型 |
说明 |
||||
|---|---|---|---|---|---|---|
|
Secure Endpoint状态 |
风险通告 |
如果 防火墙管理中心 在初始成功连接后无法连接到 AMP 云或 Cisco AMP 私有云,或者如果私有云无法联系公有 AMP 云,则该模块发出警报。如果您使用 Secure Endpoint 管理控制台撤销注册 AMP 云连接,该模块也发出警报。 |
||||
|
面向 Firepower 的 AMP 状态 |
风险通告 |
在以下情况时发出警报:
如果 防火墙管理中心 丢失与互联网的连接,则系统最多可能需要 30 分钟生成一个运行状况警报。 |
||||
|
设备心跳 |
风险通告 |
该模块确定设备是否正监听设备心跳并基于设备心跳状态发出警报。 |
||||
|
证书监控 |
风险通告 |
根据可配置的阈值(以天为单位),在服务验证证书即将过期或已经过期时发出警报。为避免服务中断,请在证书到期前进行续订。 |
||||
|
CPU 核心使用率 |
指标 |
该模块检查所有内核的 CPU 使用率是否超载,并在 CPU 使用率超过为该模块配置的阈值时发出警报。警告阈值 % 默认值为 |
||||
|
关键流程统计信息 |
指标 |
监控关键进程的状态、资源消耗和重新启动计数。 |
||||
|
CSDAC 动态属性连接器 |
||||||
|
数据库 |
风险通告 |
如果配置数据库太大,则发出警报。它还会监控系统的数据库模式或配置数据(有时称为 EO)完整性问题。如果此模块警报,请联系 思科 TAC。这将阻止升级。 |
||||
|
发现主机限制 |
风险通告 |
此模块确定 防火墙管理中心可以监控的主机数量是否即将达到限制,并基于为该模块配置的警告级别发出警报。有关详细信息,请参阅主机限制。 |
||||
|
磁盘状态 |
风险通告 |
此模块检查设备上硬盘和存储包(如果已安装)的性能。 如果检测到以下任一情况,磁盘状态运行状况模块会生成严重警报(红色):
所有其他磁盘运行状况情况会生成警告警报(黄色)。有关警告情况的进一步诊断,请联系思科技术支持中心。 |
||||
|
磁盘使用情况 |
指标 |
该模块将设备的硬盘驱动器 和恶意软件存储包 中的磁盘使用率与为该模块配置的限值进行对比,并在使用率超过为模块配置的阈值时发出警报。基于模块阈值,当系统删除过多的监控磁盘使用类别的文件,或者当这些类别以外的磁盘使用情况达到过高级别时,该模块也发出警报。有关磁盘使用情况警报故障排除场景的信息,请参阅 磁盘使用情况和事件消耗情况运行状况监控警报 。 如果设备配置历史记录文件的大小超过允许的限制,则磁盘使用率模块会发送运行状况警报。有关磁盘使用情况警报的故障排除场景的信息,请参阅 设备配置历史记录文件运行状况监控警报的磁盘使用情况 。 Secure Firewall Management Center 版本 7.2.0-7.2.5、7.3.x 和 7.4.0 不支持运行状况警报。 使用磁盘使用情况运行状况模块监控设备上的 使用清除磁盘空间选项,通过从防火墙管理中心中删除临时文件来释放磁盘空间。有关详细信息,请参阅清理磁盘空间 |
||||
|
eStream 状态 |
风险通告 |
监控管理使用 防火墙管理中心 上事件流转换器的第三方客户端应用的连接。 |
||||
|
事件积压状态 |
风险通告 |
如果等待从设备传输到 防火墙管理中心的事件数据积压已持续增长超过 30 分钟,则发出警报。 若要减少积压,请评估带宽并考虑减少记录的事件。 |
||||
|
事件监控器 |
指标 |
该模块监控整体事件传入 防火墙管理中心速率。 |
||||
|
文件系统完整性检查 |
风险通告 |
如果系统启用了 CC 模式或 UCAPL 模式,或者如果系统运行使用 DEV 密钥签名的映像,则此模块会执行文件系统完整性检查。默认情况下,该模块会被启用。 |
||||
|
防火墙管理中心 HA 状态 |
风险通告 |
监控 防火墙管理中心 高可用性。如果 HA 设备对不同步,或者活动设备和备用设备之间的托管设备数量不一致,该模块会生成警报。 |
||||
|
防火墙威胁防御 HA |
风险通告 |
在威胁防御高可用性对被裂脑时发出警报。 |
||||
|
硬件统计信息 |
指标 |
监控 防火墙管理中心 硬件:风扇速度、温度和电源。当值超过可配置的阈值时发出警报。 |
||||
|
运行状况监视器流程 |
风险通告 |
监控运行状况进程本身,并在经过一定时间(可配置)后没有运行状况事件时发出警报。 |
||||
|
ISE 连接监控 |
风险通告 |
该模块监控 Cisco 身份服务引擎(ISE)和 防火墙管理中心之间的服务器连接状态。ISE 提供其他用户数据、设备类型数据、设备位置数据、SGT(安全组标记)和 SXP(安全交换协议)服务。 |
||||
|
本地恶意软件分析 |
风险通告 |
该模块监控本地恶意软件分析的 ClamAV 更新。 |
||||
|
内存使用率 |
风险通告 |
该模块将设备的内存使用率与为模块配置的限值进行对比,并在使用率超过为该模块配置的级别时发出警报。 在计算内存使用情况时, 防火墙管理中心 内存使用情况运行状况模块会监控并包括 RAM、交换内存和缓存内存的使用情况。 对于内存超过 4 GB 的设备而言,基于一个公式来预设警报阈值,该公式计算在可能导致系统问题的可用内存中所占的比例。在内存超过 4 GB 的设备上,因为“警告”和“严重”阈值之间的时间间隔可能非常短,所以建议您将警告阈值 % (Warning Threshold %)值手动设置为 从版本 6.6.0 开始, Firewall Management Center Virtual 升级到版本 6.6.0+ 所需的最低 RAM 为 28 GB, Firewall Management Center Virtual 部署的建议 RAM 为 32 GB。我们建议您不要降低默认设置:为大多数 Firewall Management Center Virtual 实例分配 32 GB RAM,为 Firewall Management Center Virtual 300 分配 64 GB(仅限 VMware)。
复杂的访问控制策略和规则可控制重要资源并对性能产生不利影响。 |
||||
|
MariaDB 统计信息 |
指标 |
监控 MariaDB 数据库的状态,包括数据库大小、活动连接数和内存使用情况。 |
||||
|
MonetDB 统计信息 |
指标 |
MonetDB 是防火墙事件和相关数据(如连接摘要)的数据库。此运行状况模块监控 MonetDB 的状态,包括其大小、活动连接数和内存使用情况。此外,它使您能够监控正在处理的数据请求数量,并识别任何运行缓慢的请求。您可以访问这些指标并创建自定义控制面板来监控 MonetDB 的运行状况。 如果无法从 管理中心 访问 MonetDB,此模块会生成警报。此警报默认启用。 |
||||
|
被动身份代理监控 |
风险通告 |
显示 防火墙管理中心 与安装它的计算机之间的连接错误。 被动身份代理 定期向 防火墙管理中心发送更新。如果 防火墙管理中心 收到来自 被动身份代理 的错误,或者 防火墙管理中心 有五分钟或更长时间未收到更新或响应,则会显示此运行状况警报。 尝试验证两者之间的连接,重新启动 被动身份代理 软件,并在几分钟后再次检查运行状况警报。 如果问题仍然存在,请检查 中的配置。 |
||||
|
进程状态 |
风险通告 |
当设备上的进程在进程管理器外部退出或终止时发出警报。 如果进程在进程管理器外部被故意退出,模块状态变更为“警告”(Warning),并且运行状况事件消息指示哪一个进程被退出,直到该模块再次运行、该进程重新启动为止。如果进程在进程管理器外部异常终止或者崩溃,模块状态变更为“严重”(Critical),并且运行状况事件消息指示被终止的进程,直到该模块再次运行、该进程重新启动为止。 |
||||
|
RadiusMQ 状态 |
指标 |
监控和收集 RabbitMQ 统计信息。 |
||||
|
领域 |
风险通告 |
允许为领域或用户不匹配设置警告阈值,包括:
有关详细信息, Cisco Secure Firewall Management Center 设备配置指南。 当您尝试下载的用户数超过每个领域支持的最大下载用户数时,此模块还会显示运行状况警报。单一领域下载用户的最大数目取决于您的管理中心型号。 有关详细信息,请参阅 Cisco Secure Firewall Management Center 设备配置指南中的 用户限制 |
||||
|
RRD 服务器进程 |
风险通告 |
如果存储时序数据的轮询数据 (RRD) 服务器自上次更新后已重新启动,则发出警报。您可以为连续重新启动配置其他警告和严重阈值。 |
||||
|
安全智能 |
风险通告 |
如果安全智能使用中且 防火墙管理中心 无法更新源,或者源数据已损坏或不包含可识别的 IP 地址,则发出警报。 另请参阅设备上的威胁数据更新模块。 |
||||
|
智能许可证监控 |
风险通告 |
监控智能许可状态,并在以下情况时发出警报:
|
||||
|
Talos 连接状态 |
风险通告 |
监控与 Talos 的连接,这是下载 URL 过滤和事件扩充数据所必需的。 |
||||
|
设备中威胁数据更新 |
风险通告 |
在 防火墙管理中心 ,设备用于检测威胁的某些情报数据和配置每 30 分钟会从云进行一次更新。 此模块会提醒您此信息在指定时间段内是否未在设备上更新。
监控的更新包括:
默认情况下,此模块会在 1 小时后发送警告,在 24 小时后发送严重警报。 如果此模块显示 防火墙管理中心或任何设备上发生故障,请验证 防火墙管理中心是否可以访问这些设备。 |
||||
|
时序数据 (RRD) 监视器 |
风险通告 |
该模块跟踪已损坏文件在存储时序数据(例如关联事件计数)的目录中的存在情况,并且在文件标记为已损坏和已移除时发出警报。 |
||||
|
时间服务器状态 |
风险通告 |
此模块会监控 NTP 服务器的配置,并在 NTP 服务器不可用或 NTP 服务器配置无效时发出警报。 如果收到此模块的严重警报,请选择 并检查警报中指定的 NTP 服务器的配置。 |
||||
|
时间同步状态 |
风险通告 |
该模块跟踪将 NTP 与 NTP 服务器上的时钟配合使用以获取时间的设备时钟的同步状态,并且在两个时钟的时间差超过十秒钟时发出警报。 |
||||
|
未解析的组监控 |
风险通告 |
监控外部安全主体 (FSP),即策略中使用的组。安全主体是 Active Directory 对象,如经过身份验证的用户组,可在访问控制策略中对其应用安全性。 对于存在但未在策略中使用的未解决组,该模块会生成警告警报;对于在策略中使用的未解决组,该模块会生成严重警报。 |
||||
|
URL 过滤监视器 |
风险通告 |
监控与思科云的连接,这是下载 URL 过滤数据和执行 URL 过滤查找所必需的。 |
||||
|
Web 服务器连接统计信息 |
指标 |
当单个 IP 地址超出到管理中心 Web 服务器的并发 HTTP 或 HTTPS 连接的可配置限制时,向您发出警报。当最大数量的浏览器选项卡打开从单个 IP 地址连接到管理中心时,它会向您发出警告,从而确保最佳性能。 |
||||
|
零接触调配 |
风险通告 |
使用序列号注册设备的过程中出现故障时发出警报。它还会显示与高可用性中支持 零接触调配 的 防火墙管理中心 相关的错误。 |
|
步骤 1 |
确定要监控的运行状况模块,如运行状况模块中所述。 您可以为 Firepower 系统中的每种设备设定特定策略、仅为该设备执行适当的测试。
|
||
|
步骤 2 |
将运行状态策略应用到要跟踪运行状态的每台设备,如创建运行状况策略中所述。 |
||
|
步骤 3 |
(可选。)配置运行状况监控警报,如创建运行状况监控警报中所述。 您可以设置在运行状况级别达到特定运行状况模块的特定严重性级别时触发的邮件、系统日志或 SNMP 警报。 |
运行状况策略包含可为若干模块配置的运行状况测试条件。您可以控制针对每个设备要运行的运行状况模块,并可配置每个模块运行的测试中所用的具体限值。
当配置运行状况策略时,由您决定是否为该策略启用每个运行状况模块。此外,还可以选择每个已启用模块每次评估进程运行状况时报告的运行状况的控制条件。
您可以启用或禁用运行状况模块内各个属性的运行状况警报。通过在属性级别调整运行状况警报的设置,可以减少运行状况警报的数量,并在不中断数据收集的情况下简化对最关键运行状况警报的关注。您可以继续从运行状况监控 (Health Monitor) 控制面板监控属性。在运行状况策略中启用运行状况模块后,该运行状况模块中所有属性的运行状况警报配置都会默认启用。
您可以创建在系统中每个设备上应用的一个运行状况策略、定制您计划在特定设备上应用的每个运行状况策略,或者使用为您提供的默认运行状况策略。
![]() 注 |
注册设备时,防火墙管理中心 会自动为其分配默认运行状况策略。要取消运行状况策略与设备的关联,必须先将其他运行状况策略与其关联。设备必须分配至少一个运行状况策略。 |
防火墙管理中心 设置过程会创建并应用初始运行状况策略,其中大多数(但不是全部)可用的运行状况模块均已启用。
此 初始 运行状况策略基于 默认 运行状况策略,您既不能查看也不能编辑,但可以在创建自定义运行状况策略时进行复制。
您可以创建自定义运行状况策略,并将其设置为默认健康策略。 防火墙管理中心 在将受管设备添加到 防火墙管理中心时,将为该设备应用默认的运行状况策略。请注意,您无法删除已设置为默认值的运行状况策略。有关设置默认运行状况策略的详细说明,请参阅 设置默认运行状况策略。
升级 防火墙管理中心 时,任何新的运行状况模块都将添加到所有运行状况策略,包括初始运行状况策略、默认运行状况策略和任何其他自定义运行状况策略。通常,新的运行状况模块以启用状态添加。
![]() 注 |
要使新的运行状况模块开始监控和发出警报,请在升级后重新应用运行状况策略。 |
如果要定制用于设备的运行状况策略,您可以创建一个新策略。策略中的设置初始填充您选定为新策略基础的运行状况策略的设置。您可以编辑策略以指定首选项,例如启用或禁用策略中的模块,根据需要更改每个模块的警报条件,并指定运行时间间隔。
|
步骤 1 |
选择 。 |
|
步骤 2 |
点击创建策略 (Create Policy)。 |
|
步骤 3 |
输入策略的名称。 请注意,以下名称是为默认策略保留的,您不能使用这些名称来创建运行状况策略:
|
|
步骤 4 |
从 基本策略 下拉列表中选择要用作新策略基础的现有策略。 |
|
步骤 5 |
输入策略的说明。 |
|
步骤 6 |
选择保存。 |
当您将运行状况策略应用到设备时,您在策略中启用的所有模块的运行状况测试自动监控设备上的进程和硬件的运行状况。然后,运行状况测试继续以您在策略中配置的时间间隔运行,为设备收集运行状况数据并将该数据转发到 防火墙管理中心。
如果您在运行状况策略中启用一个模块,然后将该策略应用到不需要该运行状况测试的设备,则运行状况监控器报告该运行状况模块的状态为禁用。
如果您将启用所有模块的策略应用到设备中,它从该设备移除所有已应用的运行状况策略,以便不应用任何运行状况策略。但是,必须为设备分配至少一个运行状况策略。
当您将不同的策略应用到已应用策略的设备时,请基于新应用的测试在显示新数据时使用一些延迟。
|
步骤 1 |
选择 。 |
||
|
步骤 2 |
点击要应用的策略旁边的 部署运行策略 ( |
||
|
步骤 3 |
选择要应用运行状况策略的设备。
|
||
|
步骤 4 |
点击应用 (Apply) 以将该策略应用到所选设备上。 |
或者,监控任务状态;请参阅查看任务消息。
如果成功应用该策略,设备监控便会开始。
您可以编辑要修改的运行状况策略。
|
步骤 1 |
选择 。 |
||
|
步骤 2 |
点击要修改的策略旁边的 编辑 ( |
||
|
步骤 3 |
要编辑策略名称及其说明,请点击针对策略名称提供的 编辑 ( |
||
|
步骤 4 |
运行状况模块 选项卡显示所有设备模块及其属性。使用以下操作来配置运行状况模块:
有关模块的信息,请参阅运行状况模块。 |
||
|
步骤 5 |
酌情设置 严重 和 警告 阈值比例。 |
||
|
步骤 6 |
在 设置 选项卡中,在字段中输入相关值:
|
||
|
步骤 7 |
要查看和修改已分配策略的设备,请执行以下操作:
或者,您也可以将允许状况策略应用到设备,如应用运行状况策略中所述 将运行状况策略应用到要跟踪运行状况的每台设备上。当您将运行状况策略应用到设备时,您在策略中启用的所有模块的运行状况测试监控设备上的进程和硬件的运行状况,并将数据转发至 防火墙管理中心。 |
||
|
步骤 8 |
点击保存。 |
您可以将用户创建的运行状况策略设置为默认运行状况策略。 防火墙管理中心 在将托管设备添加到 防火墙管理中心时,将为该设备应用默认的运行状况策略。
![]() 注 |
设置新的默认运行状况策略不会影响分配给已注册设备的运行状况策略。 |
|
步骤 1 |
选择 。 |
|
步骤 2 |
点击要设置为默认值的运行状况策略旁边的更多操作 ( |
|
步骤 3 |
点击继续。 |
您可以删除不再需要的运行状况策略。但是,必须为设备分配至少一个运行状况策略。如果您删除仍然应用于设备的策略,直到您应用不同的策略,该策略设置仍然有效。此外,如果您删除应用到设备的运行状况策略,在您禁用基础的相关警报响应之前,该设备仍在生效的任何运行状况监控警报仍然处于活动状态。
![]() 提示 |
要停止设备的运行状况监控,请创建一个所有模块都禁用的运行状况策略并将其应用到设备。 |
|
步骤 1 |
选择 。 |
|
步骤 2 |
点击要删除的策略旁边的 删除 ( 请注意,您不能删除设置为默认策略的运行状况策略。在尝试删除当前的默认策略之前,请将另一个运行状况策略设置为默认策略。有关详细信息,请参阅设置默认运行状况策略。 |
OpenConfig 是一个独立于供应商的软件层,它提供了一种将网络遥测数据传输到多个供应商以管理和监控网络的方式。Cisco Secure Firewall 中的 OpenConfig 流传输遥测选项使用 gNMI(gRPC 网络管理接口)协议,并允许您控制和生成从 Firewall Threat Defense 设备到数据收集系统的遥测流。
防火墙威胁防御运行状况策略包含支持和启用 OpenConfig 流传输遥测功能的所有配置。在将运行状况策略部署到设备时,OpenConfig 流传输遥测配置会激活 gNMI 服务器并开始侦听来自数据收集器的远程过程调用 (RPC) 消息。
OpenConfig 使用基于订用的模型,其中数据收集器会查询 Firewall Threat Defense 设备,以便获取遥测数据或充当流式遥测数据的收集器。当数据收集器希望从 Firewall Threat Defense 设备接收更新和指标时,它会向 Firewall Threat Defense gNMI 服务器发送 subscribeRequest RPC 消息。订用请求包括数据收集器要订用的一个或多个路径的详细信息。该消息还包括描述订用期限的订用模式。Firewall Threat Defense 服务器支持以下订用模式:
一次订用 (Once subscription) - Firewall Threat Defense 设备只会向 gNMI 路径发送一次请求的数据。
流订用 (Stream subscription) - Firewall Threat Defense 会根据 SubscribeRequest RPC 消息中指定的触发器持续传输遥测数据。
采样的订用 (Sampled subscription) - Firewall Threat Defense 服务器会按照订用消息中指定的间隔来传输请求的数据。威胁防御支持的最小间隔为一分钟。
更改时订用 (On-change subscription) - 只要请求的值发生变化,Firewall Threat Defense 就会发送数据。
Firewall Threat Defense 服务器会根据所创建的订用类型以数据收集器请求的频率生成 SubscribeResponse RPC 消息。
您可以使用以下部署模式进行 OpenConfig 流传输遥测配置:
拨入 (DIAL-IN) - 在此模式下,gNMI 服务器会打开 Firewall Threat Defense 上的端口并等待来自数据收集器的 SubscribeRequest RPC 消息。在设备运行状况策略中,可以指定 gNMI 服务器要使用的端口号,以及可与 gNMI 服务连接的数据收集器的 IP 地址。如未指定,则 gNMI 服务器将使用端口号 50051。拨入模式适用于订用遥测流的终端受信任的受信任网络。
拨出 (DIAL-OUT) - gNMI 服务设计为在服务器模式下工作,在该模式下,它会接受来自 gNMI 数据收集器的订用请求并提供遥测数据。如果 gNMI 数据收集器无法访问 gNMI 服务器,则 Firewall Threat Defense 会使用隧道客户端并与外部服务器建立 gRPC 隧道。该隧道允许在 gNMI 服务器和客户端之间交换 RPC 消息。当数据收集器托管在云上或受信任的网络外部时,非常适合使用拨出模式。
在拨入和拨出模式下,gNMI 服务器和 gNMI 客户端之间的所有通信都使用 TLS 加密,这需要生成一组带有私钥的证书以进行 TLS 加密。拨出模式需要额外的隧道基础设施密钥。有关详细信息,请参阅如何使用私钥生成证书。
生成 OpenConfig 流传输遥测配置所需的 CA、服务器和客户端证书以及私钥集。
![]() 注 |
要确保使用同一 CA 生成证书,请同时从同一终端运行以下命令。如果要重试命令,则必须重试所有命令。 |
|
步骤 1 |
在要运行以下命令的终端中创建一个文件夹,例如 示例:
|
||
|
步骤 2 |
使用相应的私钥创建自签名 CA 证书。 示例:主题信息包括提供的国家/地区 (C)、省/自治区 (ST)、地区 (L)、组织 (O)、组织单位 (OU)、通用名称 (CN) 和邮件地址。 私钥保存为 |
||
|
步骤 3 |
使用指定的通用名称 (CN) 和使用者备用名称 (SAN) 创建自签名服务器证书: 示例:
从 防火墙管理中心配置 OpenConfig Streaming 遥测时,必须上传 |
||
|
步骤 4 |
使用指定的通用名称 (CN) 和使用者备用名称 (SAN) 创建客户端证书。 示例:gNMI 客户端使用客户端证书 |
||
|
步骤 5 |
(可选)对于拨出模式,请使用指定的通用名称 (CN) 和使用者备用名称 (SAN) 创建隧道服务器证书。 示例: |
确保要部署运行状况策略配置的 Firewall Threat Defense 设备允许安装 SSL 证书和私钥。
确保配置支持 OpenConfig 流遥测实施的 gNMI 客户端,您可以从中向 Firewall Threat Defense上的 gNMI 服务器发出 gRPC 请求。
要使用拨出模式并配置 OpenConfig 流遥测,请确保在管理系统上配置 gRPC 隧道服务器和客户端。此隧道配置启用 gNMI 客户端和 Firewall Threat Defense 设备之间的通信。
要执行以下任务,您必须是管理员用户。
|
步骤 1 |
选择 。 |
|
步骤 2 |
点击要修改的威胁防御运行状况策略旁边的 编辑运行状况策略 图标。 |
|
步骤 3 |
转到 设置 选项卡。 |
|
步骤 4 |
移动 OpenConfig 流遥测 滑块以启用配置。默认情况下配置会被禁用。 |
|
步骤 5 |
上传 SSL 证书。gNMI 服务器使用此证书为 TLS 连接启用服务器身份验证,并加密通过通道的所有通信。 OpenConfig 流遥测配置仅支持 PEM 格式的证书。防火墙管理中心 执行以下证书验证,以确保设备和 gNMI 收集器之间的通信加密,而不会出现连接故障:
|
|
步骤 6 |
(可选)如果私钥文件已加密,请指定密码。 |
|
步骤 7 |
选择用于通过 gNMI 协议进行流传输遥测的部署模式。 对于 拨入 模式:
对于 拨出 模式:
|
|
步骤 8 |
指定用于验证 gNMI 收集器的用户名和密码。 收到 |
|
步骤 9 |
点击保存。 |
将运行状况策略部署到 Firewall Threat Defense 设备,以使配置更改生效。
确保您已将正确的证书上传到 防火墙管理中心。
验证证书和密钥生成步骤。确保正确指定了 IP 使用者备用名称 (SAN)。
如果 防火墙管理中心 显示错误“已请求 (IP),但证书对 (IP) 无效”,请验证服务器证书和密钥生成步骤。
确保在服务器证书中正确指定 IP SAN。如果配置适用于多个 Firewall Threat Defense 设备,则必须在 IP SAN 字段中指定所有设备。
如果使用的是拨出模式,请确保在服务器证书中指定客户端 IP。
如果收到“未能生成响应对象,未收到任何数据”错误,则表示 gNMI 输入插件正在等待指标导出。以下是电报重新启动时显示的示例响应:
root@cronserver:/home/secanup/openconfig-test# gnmic -a $ADDRESS:$PORT --tls-cert $CLIENTCERT --tls-ca $CACERT --tls-key $CLIENTKEY -u $USER -p $PASS sub --mode once --path "openconfig-system/system/memory"
rpc error: code = Aborted desc = Error in gnmi_server: failed to generate response object.did not receive any data
Error: one or more requests failed
等待 gNMI 输入插件重新启动,然后重试您的请求。
pmtool restartbyid hmdaemon启用 OpenConfig 流遥测后,要了解 gNMI 服务器的状态,请使用 Firewall Threat Defense CLI 控制台运行以下命令:
curl localhost:9275/OpenConfig/status
以下是对该命令的响应示例:
root@firepower:/home/admin# curl localhost:9275/openconfig/status
Mode (Dialin/Dialout): DialIn
Subscription Details:
Active Subscription Details:
Stream Mode Subscription Details:
Total Stream Subscription Request Count: 1
'Ip of Collector- Subscribe paths:’
172.16.0.101:45826:
- /openconfig-system/system/state/hostname
Sample Subscription Count: 1
On Change Subscription Count: 0
Once Mode Subscription Details:
Total Subscription Request Count: 0
Total Subscription Count: 0
'Ip of Collector- Subscribe paths:’: {}
Total Subscription Details:
Stream Mode Subscription Details:
Total Stream Subscription Request Count: 1
'Ip of Collector- Subscribe paths:’:
172.16.0.101:45826:
- /openconfig-system/system/state/hostname
Sample Subscription Count: 1
On Change Subscription Count: 0
Once Mode Subscription Details:
Total Subscription Request Count: 0
Total Subscription Count: 0
'Ip of Collector- Subscribe paths:': {}
在正常的网络维护过程中,您禁用设备或使其暂时不可用。由于此类停运是有意而为,因此您不希望这些设备的运行状态影响 防火墙管理中心上的摘要运行状态。
您可以使用运行状况监视器排除功能禁用对设备或模块的运行状况监控状态报告。例如,如果您知道一个网段将不可用,因为到该网段上受管设备的连接失效,所以您可以临时禁用对该设备的运行状况监控,以禁止防火墙管理中心上的运行状况显示警告或严重状态。
当您禁用运行状况监控状态时,仍会生成运行状况事件,但是它们处于禁用状态,不会影响运行状况监视器的运行状况。如果您从排除名单移除设备或模块,排除过程中生成的事件继续显示禁用的状态。
要在设备上临时禁用运行状况事件,请转到排除配置页面并将设备添加至设备排除名单。在设置生效后,系统在计算整体运行状况时,不再考虑列入排除名单的设备。“运行状况监控设备状态摘要”(Health Monitor Appliance Status Summary) 列出处于禁用状态的设备。
您还可以禁用单个运行状况模块。例如,当在 防火墙管理中心上达到主机限制时,可以将 主机限制状态消息禁用。在透明模式下运行的设备不支持排除单个接口的运行状况模块。
请注意,在“运行状况监控”主页面,如果您通过点击该状态行上的箭头来展开以查看具有特定状态的设备列表,就可以区分被排除的设备。
![]() 注 |
在 防火墙管理中心 上,运行状况监视器排除设置是本地配置设置。因此,如果您将设备排除,接着将其删除,然后使用 防火墙管理中心重新注册,排除设置保持不变。最近重新注册的设备仍旧被排除。 |
您可以单独或按组、型号或关联运行状况策略将设备排除。
如果需要将单个设备的事件和运行状况设置为禁用,您可以将该设备排除。在排除设置生效后,该设备在“运行状况监控设备模块摘要”中显示为已禁用,并且该设备的运行状况事件的状态为已禁用。
|
步骤 1 |
选择 。 |
|
步骤 2 |
点击添加设备。 |
|
步骤 3 |
在 设备排除 对话框中的 可用设备下,点击 添加 ( |
|
步骤 4 |
点击 排除。所选设备显示在排除项主页中。 |
|
步骤 5 |
要从排除项列表中删除设备,请点击 删除 ( |
|
步骤 6 |
点击应用。 |
您可以将设备上的单个运行状况策略模块排除。这样就可以防止模块中的运行状况事件将设备状态更改为警告或严重。
![]() 注 |
以透明模式运行的设备不支持为单个接口排除运行状况模块。 |
排除项设置生效后,设备会显示设备中从运行状况监控中排除的模块数量。
![]() 提示 |
确保您跟踪单独排除的模块,以便您可以在需要时重新激活它们。如果您意外地禁用模块,则可能漏掉重要警告或严重消息。 |
|
步骤 1 |
选择 。 |
|
步骤 2 |
点击您要修改的 Firewall Threat Defense 设备旁边的 编辑 ( |
|
步骤 3 |
在 排除运行状况 模块对话框中,默认情况下,设备的所有模块都从运行状况监控中排除。某些模块仅适用于特定设备;有关详细信息,请参阅运行状况模块。 |
|
步骤 4 |
要选择要从运行状况监控中排除的模块,请点击 启用模块级别排除 链接。 排除运行状况模块 对话框显示设备的所有模块。默认情况下,禁用不适用于关联运行状况策略的模块。要排除模块,请执行以下操作:
|
|
步骤 5 |
(可选)要停止接收物理接口的运行状态更新,转而关注其子接口的运行状态,可以禁用物理接口的运行状况监控,同时继续监控和接收子接口的运行状况警报。
|
|
步骤 6 |
如果为排除项配置选择 排除周期 而不是 永久,则可以选择在配置到期时自动将其删除。要启用此设置,请选中 自动删除过期配置 复选框。 |
|
步骤 7 |
点击确定 (OK)。 |
|
步骤 8 |
点击应用 (Apply)。 |
当设备或模块的排除期限到期时,您可以选择清除或更新排除项。
|
步骤 1 |
选择 。 设备上会显示 警告( |
|
步骤 2 |
要更新设备排除项,请点击设备旁边的 编辑 ( |
|
步骤 3 |
要清除排除设备,请点击设备旁边的 删除 ( |
|
步骤 4 |
要更新或清除模块排除项,请点击设备旁边的 编辑 ( |
您可以设置警报以在运行状况策略中的模块状态变更时,通过邮件、SNMP 或系统日志通知您。您可以将现有警报响应与运行状况事件级别相关联,以在特定级别的运行状况事件发生时触发和发出警报。
例如,如果您担心设备可能用尽硬盘空间,可以在剩余磁盘空间达到警告级别时自动向系统管理员发送一封邮件。如果硬盘驱动器继续加载,您可以在硬盘驱动器达到严重性级别时发送第二封邮件。
运行状况监视器生成的警报包含以下信息:
严重程度,指明警报的严重性级别。
模块,指定其测试结果触发警报的运行状况模块。
说明,包括触发警报的运行状况测试结果。
下表介绍了这些严重级别。
|
严重性 |
说明 |
|---|---|
|
严重 |
运行状况测试结果符合触发“严重”(Critical) 警报状态的条件。 |
|
警告 |
运行状况测试结果符合触发“警告”(Warning) 警报状态的条件。 |
|
正常状态 |
运行状况测试结果符合触发“正常”(Normal) 警报状态的条件。 |
|
错误 |
运行状况测试未运行。 |
|
已恢复 |
运行状况测试结果符合在“严重”(Critical) 或“警告”(Warning) 警报状态之后返回到正常警报状态的条件。 |
为优化性能并确保有效地利用资源,Cisco Secure Firewall 200 系列设备中的运行状况警报仅限于基本运行状况模块。下表列出了 Cisco Secure Firewall 200 系列设备上可生成运行状况警报的运行状况模块。与其他威胁防御设备型号类似,您可以在运行状况监控控制面板中查看所有指标。
|
运行状况模块 |
运行状况警报 |
|---|---|
|
证书监控 |
在服务验证证书即将过期或已经过期时发出警报。 |
|
集群/HA 故障状态 |
当设备加入、离开集群或被选为主用设备时发出警报。 |
|
数据库 |
当出现与架构或配置数据相关的数据库完整性问题时发出警报。 |
|
磁盘使用情况 |
监控设备硬盘的磁盘使用率,并在使用率超过配置的阈值时发出警报。 |
|
磁盘状态 |
当硬盘或 RAID 控制器出现问题时发出警报。 |
|
防火墙威胁防御平台故障 |
监控平台故障并为其生成运行状况警报。 |
|
FXOS 运行状况 |
当设备中的 FXOS HTTPS 服务未运行时发出警报。 |
|
身份进程 |
监控与身份相关的服务的运行状况和操作。 |
|
内联链路不匹配警报 |
当内联接口对协商的速度不同时发出警报。 |
|
接口统计信息 |
确定设备当前是否收集流量并根据物理接口和汇聚接口的流量状态发出警报。 |
|
带外配置更改 |
当现有 防火墙管理中心 配置与所做的带外配置更改之间存在冲突时发出警报。 |
|
进程状态 |
当设备中的进程在进程管理器之外被终止时发出警报。 |
|
Snort 身份内存使用情况 |
允许您为 Snort 身份处理设置警告阈值,并在内存使用率超过为该模块配置的水平时发出警报。 |
|
Snort 重新配置检测 |
当设备重新配置失败时发出警报。 |
|
设备中威胁数据更新 |
监控威胁智能数据的更新情况,并在指定时间段内设备未更新此信息时发出警报。 |
![]() 小心 |
在 Firewall Threat Defense 设备中生成故障排除文件是一项会占用大量 CPU 的任务。由于 Cisco Secure Firewall 200 系列设备中的 CPU 资源有限,因此您可能会在此过程中看到更高的 CPU 使用率和相关的运行状况警报。为防止任何潜在的流量中断,建议仅在设备未积极处理网络流量时生成故障排除文件。 |
![]() 注 |
|
您必须是管理员用户才能执行此程序。
当您创建运行状况监控警报时,您可以在严重性级别、运行状况模块和警报响应之间建立关联。您可以使用现有警报或特别配置新的警报以报告系统运行状况。当选定的模块发生严重性级别时,警报触发。
如果您以复制现有阈值的方式创建或更新阈值,将会收到冲突通知。当存在重复的阈值时,运行状况监控器使用生成最少警报的阈值并忽略其他阈值。该阈值的超时值必须介于 5 和 4,294,967,295 分钟之间。
配置用于管理 防火墙管理中心与 SNMP、系统日志或邮件服务器(用于发送运行状况警报)通信的警报响应;请参阅使用告警响应配置外部告警。
|
步骤 1 |
选择 。 |
|
步骤 2 |
点击添加 (Add)。 |
|
步骤 3 |
在 添加运行状况警报 对话框,在 运行状况警报名称 字段输入运行状况警报的名称。 |
|
步骤 4 |
从 严重性 下拉列表中,选择要用于触发警报的严重性级别。 |
|
步骤 5 |
从 警报 下拉列表中,选择在达到指定的严重性级别时要触发的警报响应。如果尚未 配置警报响应,请点击 警报 以访问 警报 页面并进行设置。 |
|
步骤 6 |
从 运行状况模块 列表中选择要为其应用警报的运行状况策略模块。 |
|
步骤 7 |
或者,在阈值超时 (Threshold Timeout) 字段中,输入在每个阈值期间结束和阈值计数重置之前应经过的分钟数。 即使策略运行时间间隔值小于阈值超时值,给定模块中报告的两个运行状况事件之间的间隔始终较大。例如,如果将阈值超时更改为 8 分钟,并且策略运行时间间隔为 5 分钟,则报告的事件之间的时间间隔为 10 (5 x 2) 分钟。 |
|
步骤 8 |
点击保存 保存运行状况警报。 |
您必须是管理员用户才能执行此程序。
您可以编辑现有运行状况监视器警报以更改与运行状况监控器警报相关的严重性级别、运行状况模块或警报响应。
|
步骤 1 |
选择 。 |
|
步骤 2 |
点击针对您要修改的所需运行状况警报提供的 编辑 ( |
|
步骤 3 |
在 编辑运行状况警报 对话框中,从 警报 下拉列表中选择所需的警报条目,或点击 警报 链接以配置新的警报条目。 |
|
步骤 4 |
点击保存。 |
|
步骤 1 |
选择 。 |
|
步骤 2 |
点击要删除的运行状况警报旁边的 删除 ( |
禁用或删除基础警报响应,以确保不会继续发出警报;请参阅使用告警响应配置外部告警。
您必须是管理员、运维或安全分析师用户才能执行此程序。
运行状况监控器为 防火墙管理中心管理的所有设备以及 防火墙管理中心提供已编译的运行状况。运行状况监控器由以下部分组成:
运行状况摘要页面 - 提供 防火墙管理中心 和 防火墙管理中心 管理的所有设备的运行状况概览视图。在多域部署中,您可以在叶域及其父域中查看设备的运行状况状态摘要。设备将单独列出,或根据其地理位置、高可用性或集群状态(如果适用)进行分组。
将鼠标悬停在表示设备运行状况的六边形上时,可查看 防火墙管理中心 和任何设备的运行状况摘要。
设备左侧的点表示其运行状况:
绿色 ― 无警报。
橙色 — 至少一个运行状况警告。
红色 ― 至少一个严重运行状况警报。
监控导航窗格 — 允许您导航设备层次结构。您可以从导航窗格查看各个设备的运行状况监控器。
|
步骤 1 |
选择故障排除 。 |
|
步骤 2 |
在 运行状况 登录页面中查看 防火墙管理中心 及其托管设备的状态。 |
|
步骤 3 |
使用监控导航窗格访问设备特定的运行状况监控器。使用监控导航窗格时: |
有关由 防火墙管理中心管理的任何设备的已编译运行状况和指标的信息,请参阅 设备运行状况监控器 。
有关 防火墙管理中心运行状况的信息,请参阅 使用 防火墙管理中心 运行状况监控器 。
要随时返回运行状况登录页面,请点击 主页。
您必须是管理员、运维或安全分析师用户才能执行此程序。
防火墙管理中心 监控器提供 防火墙管理中心的运行状态的详细视图。运行状况监控器由以下部分组成:
高可用性(如果已配置)―高可用性 (HA) 面板显示当前 HA 状态,包括主用和备用设备的状态、上次同步时间和整体设备运行状况。
事件速率―“事件速率”面板将最大事件速率显示为基准,以及 防火墙管理中心接收的整体事件速率。
事件容量―“事件容量”面板按事件类别显示当前消耗量,包括事件的保留时间、当前事件容量与最大事件容量,以及容量溢出机制,其中 防火墙管理中心在存储的事件超出配置的最大容量时向您发出警报。
进程运行状况―“进程运行状况”面板提供关键进程的概览视图,以及一个选项卡,可让您查看所有已处理进程的状态,包括每个进程的 CPU 和内存使用情况。
CPU―“CPU” 面板允许您在平均 CPU 使用率(默认)和所有核心的 CPU 使用率之间切换。
内存―“内存”面板显示 防火墙管理中心上的整体内存使用情况。
接口―“接口”面板显示所有接口的平均输入和输出速率。
磁盘使用―“磁盘”使用面板显示整个磁盘的使用情况,以及存储 防火墙管理中心 数据的关键分区的使用情况。
硬件统计信息―硬件统计信息显示管理中心机箱的风扇速度、电源和温度。有关详细信息,请参阅管理中心的硬件统计信息。
![]() 提示 |
在会话处于不活动状态达到 1 小时(或配置的其他时间间隔)之后,会话通常注销。如果计划长时间被动监控运行状态,请考虑免除某些用户发生会话超时,或者更改系统超时设置。有关详细信息,请参阅 添加或编辑内部用户 和 配置会话超时 。 |
|
步骤 1 |
选择故障排除 。 |
|
步骤 2 |
使用 监控 导航窗格访问 防火墙管理中心 和设备特定的运行状况监控器。
|
|
步骤 3 |
了解 防火墙管理中心 控制面板。 防火墙管理中心 控制面板包括 防火墙管理中心 的 HA 状态摘要视图(如果已配置),以及 防火墙管理中心 进程和设备指标(例如 CPU、内存和磁盘使用情况)的概览视图。 |
您必须是管理员、运维或安全分析师用户才能执行此程序。
在您创建运行状况策略时配置的策略运行时间间隔内,运行状况模块测试自动运行。但是,您也可以按需运行所有运行状况模块测试,以收集该设备的最新运行状况信息。
|
步骤 1 |
查看设备的运行状况监控器。 |
||
|
步骤 2 |
点击运行所有模块 (Run All Modules)。状态栏指示测试进程,然后“运行状况监控设备”(Health Monitor Appliance) 页面刷新。
|
您必须是管理员、运维或安全分析师用户才能执行此程序。
在您创建运行状况策略时配置的策略运行时间间隔内,运行状况模块测试自动运行。但是,您也可以按需运行一个运行状况模块测试以收集该模块的最新运行状况信息。
|
步骤 1 |
查看设备的运行状况监控器。 |
||
|
步骤 2 |
在模块状态摘要 (Module Status Summary) 图形中,点击要查看的运行状况警报状态类别的颜色。 |
||
|
步骤 3 |
在要查看其事件列表的警报的警报详细信息 (Alert Detail) 行,请点击运行 (Run)。 状态栏指示测试进程,然后“运行状况监控设备”(Health Monitor Appliance) 页面刷新。
|
您必须是管理员、运维或安全分析师用户才能执行此程序。
您可以图表表示特定设备的特定运行状况测试的一段时间内的结果。
|
步骤 1 |
查看设备的运行状况监控器。 |
||
|
步骤 2 |
在“运行状况监控设备”(Health Monitor Appliance) 页面的模块状态摘要 (Module Status Summary) 图形中,点击要查看的运行状况警报状态类别的颜色。 |
||
|
步骤 3 |
在要查看其事件列表的警报的 Alert Detail 行,请点击 Graph。
|
管理中心设备(仅限物理)上的硬件统计信息包括有关其硬件实体的信息,例如风扇速度、电源和温度。要使 SNMP 轮询并发送陷阱以监控管理中心的运行状况,请执行以下操作:
在管理中心启用 SNMP 以轮询 MIB。默认情况下,管理中心上的 SNMP 处于禁用状态。请参阅配置 SNMP 轮询。
为每个启用陷阱所需的 SNMP 主机添加 ACL 条目。确保指定主机的 IP 地址,并将端口选择为 SNMP。请参阅配置访问列表。
要在故障排除 页面上查看硬件统计信息,请执行以下操作:
在 页面上,确保“硬件统计信息”模块已启用。您可以更改阈值默认值。
将 Portlet 添加到管理中心运行状况监控控制面板 - 选择硬件统计信息指标组,然后选择风扇速度和温度指标。
您可以在故障排除 主页的防火墙管理中心下查看电源状态。
![]() 注 |
|
设备运行状况监控器为 防火墙管理中心管理的任何设备提供已编译的运行状况。设备运行状况监控器收集 Secure Firewall 设备的运行状况指标,以便预测和响应系统事件。设备运行状况监控器由以下组件组成:
系统详细信息 - 显示有关托管设备的信息,包括已安装的 Secure Firewall 版本和其他部署详细信息。
故障排除和链接 - 提供常用故障排除主题和程序的便捷链接。
运行状况警报 - 运行状况警报监控器提供设备运行状况的概览视图。
时间范围 - 用于限制各种设备指标窗口中显示的信息的可调时间窗口。
设备指标 - 跨预定义控制面板分类的一系列关键 防火墙 设备运行状况指标,包括:
CPU - CPU 利用率,包括按进程和物理核心划分的 CPU 使用情况。Firewall Threat Defense CPU 核心分配仪表板会显示以下类别的核心分配:
数据平面:处理基本网络功能,包括核心数据包转发和网络数据处理。
Snort:管理入侵检测和深度包检测功能。
![]() 注 |
多线程 Snort 进程会分配到多个 Snort 核心,以提高设备性能。CPU 控制面板中显示的 Snort 核心分配反映了分配给 Snort 核心的 Snort 进程线程总数。 |
ZProxy:支持与处理通用零信任网络访问流量相关的任务。
系统:包括所有其他系统进程。虽然某些进程可能分配了专用 CPU 核心,但它们的使用情况会合并显示在仪表板的系统类别下。
内存 - 设备内存使用率,包括数据平面和 Snort 内存使用率。
接口 - 接口状态和汇聚流量统计信息。
连接 - 连接统计信息(例如大象流、活动连接、峰值连接等)和 NAT 转换计数。
Snort - 与 Snort 进程相关的统计信息。
磁盘使用率 - 设备磁盘使用率,包括磁盘大小和每个分区的磁盘使用率。
关键进程 - 与托管进程相关的统计信息,包括进程重新启动和其他选定的运行状况监控器,例如 CPU 和内存使用率。
![]() 注 |
在设备升级或高可用性故障转移事件期间,Firewall Threat Defense 设备的运行状况监控控制面板中可能会短暂显示为离线。发生这种情况是因为运行状况警报会在此过程中被清除,并且仅在该过程完成后才会更新。等待升级或故障切换操作完成。 |
有关受支持设备指标的完整列表,请参阅 Cisco Secure Firewall Threat Defense 运行状况指标。
您必须是管理员、运维或安全分析师用户才能执行此程序。
“系统详细信息”部分提供所选设备的常规系统信息。您还可以启动该设备的故障排除任务。
|
步骤 1 |
选择故障排除 。 使用监控导航窗格访问设备特定的运行状况监控器。 |
|
步骤 2 |
在设备列表中,点击 展开( |
|
步骤 3 |
点击设备可查看设备特定的运行状况监控器。 |
|
步骤 4 |
点击 查看系统和故障排除详细信息...的链接 默认情况下,此面板处于折叠状态。点击链接可展开折叠部分,以查看设备的 系统详细信息 和 故障排除和链接 。系统详细信息包括:
|
|
步骤 5 |
有以下故障排除选项可供选择:
|
您必须是管理员、运维或安全分析师用户才能执行此程序。
设备运行状况监控器提供防火墙设备的运行状态的详细视图。设备运行状况监控器会编译设备指标,并在一系列控制面板中提供设备的运行状况和趋势。
|
步骤 1 |
选择故障排除 。 使用监控导航窗格访问设备特定的运行状况监控器。 |
||
|
步骤 2 |
在设备列表中,点击 展开( |
||
|
步骤 3 |
在设备名称右侧的页面顶部的警报通知中查看设备的运行状况警报 (Health Alerts)。 将鼠标指针悬停在运行状况警报 (Health Alerts) 上可查看设备的运行状况摘要。弹出窗口显示前五个运行状况警报的截断摘要。点击弹出窗口可打开运行状况警报摘要的详细视图。 |
||
|
步骤 4 |
您可以从右上角的下拉列表中配置时间范围。您可以更改时间范围以反映短至前一小时(默认),或长至前一年的时间周期信息。从下拉列表中选择自定义 (Custom) 以配置自定义开始和结束日期。 点击刷新图标可将自动刷新设置为 5 分钟或关闭自动刷新。 |
||
|
步骤 5 |
点击 在图形顶部显示部署详细信息( 图标指示所选时间范围内的部署数量。垂直条带表示部署开始和结束时间。在多个部署的情况下,可显示多个频段/行。点击虚线顶部的图标可查看部署详细信息。 |
||
|
步骤 6 |
默认情况下,设备监控器会在多个预定义的控制面板中报告这些运行状况和性能。指标控制面板包括:
您可以通过点击标签浏览各种指标控制面板。有关受支持设备指标的完整列表,请参阅 Cisco Secure Firewall Threat Defense 运行状况指标。 |
||
|
步骤 7 |
点击添加新的控制面板( |
设备运行状况监控器包括一系列用于预测和响应系统事件的关键 Firewall Threat Defense 设备指标。任何 Firewall Threat Defense 设备的运行状况都可以通过这些报告的指标来确定。
默认情况下,设备监控器会在多个预定义的控制面板中报告这些指标。这些控制面板包括:
概述 ― 突出显示其他预定义控制面板中的关键指标,包括 CPU、内存、接口、连接统计信息;以及磁盘使用情况和关键进程信息。
CPU - CPU 利用率,包括按进程和物理核心划分的 CPU 使用情况。
内存 - 设备内存使用率,包括数据平面和 Snort 内存使用率。
接口 - 接口状态和汇聚流量统计信息。
连接 - 连接统计信息(例如大象流、活动连接、峰值连接等)和 NAT 转换计数。
Snort - 与 Snort 进程相关的统计信息。
ASP 丢包 - 与加速安全路径 (ASP) 性能和行为相关的统计信息。
您可以添加自定义控制面板来关联相互关联的指标。从预定义的关联组中选择,例如 CPU 和 Snort;或通过从可用指标组构建您自己的变量集来创建自定义关联控制面板。有关受支持设备指标的完整列表,请参阅 Cisco Secure Firewall Threat Defense 运行状况指标。
要在运行状况监控仪表盘中查看和关联时间序列数据(设备指标),请启用 REST API ()。
您必须是管理员、运维或安全分析师用户才能执行此程序。
![]() 注 |
关联设备指标仅适用于 Firewall Threat Defense 6.7 及更高版本。因此,对于 6.7 之前的 Firewall Threat Defense 版本,即使启用 REST API,运行状况监控控制面板也不会显示这些指标。 |
|
步骤 1 |
选择故障排除 。 使用监控导航窗格访问设备特定的运行状况监控器。 |
|
步骤 2 |
在设备 (Devices) 列表中,点击 展开( |
|
步骤 3 |
选择要为其修改控制面板的设备。 |
|
步骤 4 |
点击添加新的控制面板( |
|
步骤 5 |
指定用于标识控制面板的名称。 |
|
步骤 6 |
要从预定义关联组创建控制面板,请点击从预定义关联 (Add from Predefined Correlations) 下拉列表中添加,选择组,然后点击添加控制面板 (Add Dashboard)。 |
|
步骤 7 |
要创建自定义关联控制面板,请从选择指标组 (Select Metric Group) 下拉列表中选择一个组,然后从选择指标 (Select Metrics) 下拉列表中选择相应的指标。 有关受支持设备指标的完整列表,请参阅 Cisco Secure Firewall Threat Defense 运行状况指标。 |
|
步骤 8 |
点击添加指标 (Add Metrics) 以从另一个组中添加和选择指标。 |
|
步骤 9 |
要删除单个指标,请点击项目右侧的 删除 |
|
步骤 10 |
点击添加控制面板 (Add Dashboard) 以完成工作流程并将控制面板添加到运行状况监控器。 |
|
步骤 11 |
您可以编辑或删除预定义的控制面板和自定义关联控制面板。 |
当 Firewall Threat Defense 是集群的控制节点时, 防火墙管理中心 会定期从设备指标数据收集器收集各种指标。集群运行状况监控器由以下组件组成:
概述控制面板 - 显示有关集群拓扑、集群统计信息和指标图表的信息:
拓扑部分显示集群的实时状态、单个威胁防御的运行状况、威胁防御节点类型(控制节点或数据节点)以及设备的状态。设备的状态可以是 已禁用 (当设备离开集群时)、 已添加 (在公共云集群中,不属于 防火墙管理中心的其他节点)或 正常 (节点的理想状态)。
集群统计信息部分显示集群的当前指标,包括 CPU 使用率、内存使用率、输入速率、输出速率、活动连接和 NAT 转换。
![]() 注 |
CPU 和内存指标显示数据平面和 snort 使用情况的单个平均值。 |
指标图表(即 CPU 使用情况、内存使用情况、吞吐量和连接)以图形方式显示指定时间段内的集群统计信息。
负载分布控制面板 - 在两个构件中显示集群节点的负载分布:
“分布”构件显示整个集群节点在整个时间范围内的平均数据包和连接分布情况。此数据描述节点如何分配负载。使用此构件,您可以轻松识别负载分布中的任何异常并进行纠正。
“节点统计信息”构件以表格格式显示节点级别指标。它显示有关 CPU 使用率、内存使用率、输入速率、输出速率、活动连接以及跨集群节点的 NAT 转换的指标数据。此表视图使您能够关联数据并轻松识别任何差异。
成员性能控制面板 - 显示集群节点的当前指标。您可以使用选择器来过滤节点并查看特定节点的详细信息。指标数据包括 CPU 使用率、内存使用率、输入速率、输出速率、活动连接和 NAT 转换。
CCL 控制面板 - 以图形方式显示集群控制链路数据,即输入和输出速率。
故障排除和链接 - 提供常用故障排除主题和程序的便捷链接。
时间范围 - 用于限制各种设备指标窗口中显示的信息的可调时间窗口。
自定义控制面板 - 显示有关集群范围指标和节点级指标的数据。但是,节点选择仅适用于威胁防御指标,不适用于节点所属的整个集群。
您必须是管理员、运维或安全分析师用户才能执行此程序。
集群运行状况监控器提供集群和其节点的运行状态的详细视图。此集群运行状况监控器在一系列控制面板中提供集群的运行状况和趋势。
确保您已从防火墙管理中心中的一个或多个设备创建集群。
|
步骤 1 |
选择故障排除 。 使用监控导航窗格访问节点特定的运行状况监控器。 |
|
步骤 2 |
在设备列表中,点击 展开( |
|
步骤 3 |
要查看集群运行状况统计信息,请点击集群名称。默认情况下,集群监控器会在多个预定义的控制面板中报告这些运行状况和性能。指标控制面板包括:
您可以通过点击标签浏览各种指标控制面板。有关受支持的集群指标的完整列表,请参阅 Cisco Secure Firewall Threat Defense 运行状况指标。 |
|
步骤 4 |
您可以从右上角的下拉列表中配置时间范围。您可以更改时间范围以反映短至前一小时(默认),或长至前一年的时间周期信息。从下拉列表中选择自定义 (Custom) 以配置自定义开始和结束日期。 点击刷新图标可将自动刷新设置为 5 分钟或关闭自动刷新。 |
|
步骤 5 |
点击“部署”图标,在趋势图上根据所选时间范围显示部署重叠。 部署图标指示所选时间范围内的部署数量。垂直条带表示部署开始和结束时间。对于多个部署,将显示多个频段/行。点击虚线顶部的图标可查看部署详细信息。 |
|
步骤 6 |
(对于特定节点运行状况监控器)在设备名称右侧的页面顶部的警报通知中查看节点的 运行状况警报 。 将鼠标指针悬停在 运行状况警报 上可查看节点的运行状况摘要。弹出窗口显示前五个运行状况警报的截断摘要。点击弹出窗口可打开运行状况警报摘要的详细视图。 |
|
步骤 7 |
(对于特定节点运行状况监控器)默认情况下,设备监控器会在多个预定义的控制面板中报告这些运行状况和性能。指标控制面板包括:
您可以通过点击标签浏览各种指标控制面板。有关受支持设备指标的完整列表,请参阅 Cisco Secure Firewall Threat Defense 运行状况指标。 |
|
步骤 8 |
点击运行状况监控器右上角的加号 添加新的控制面板( 对于集群范围的控制面板,选择集群指标组,然后选择指标。 |
可用状态类别按严重性在下表中列出。
|
状态级别 |
状态图标 |
饼形图中的状态颜色 |
说明 |
|---|---|---|---|
|
错误 |
错误( ) |
黑色 |
表示设备中的至少一个运行状况监控模块出现故障,并且自故障发生后未能成功重新运行。请与您的技术支持代表联系以获得对运行状况监控模块的更新。 |
|
严重 |
严重( ) |
红色 |
表示对于设备中的至少一个运行状况模块而言,已超过严重限值,并且该问题尚未解决。 |
|
警告 |
) |
黄色 |
表示对于设备中的至少一个运行状况模块而言,已超过警告限值,并且该问题尚未解决。 此状态还表示一种过渡状态,在这种状态下,由于设备配置发生更改,所需数据暂时不可用或无法处理。根据监控周期,此过渡状态会自动更正。 |
|
正常 |
) |
绿色 |
表示设备中的所有运行状况模块都在应用于该设备的健康策略中配置的限值内运行。 |
|
已恢复 |
已恢复 ( ) |
绿色 |
表示设备中的所有运行状况模块(包括处于“严重”或“警告”状态的模块)都在应用于该设备的运行状况策略中配置的限值内运行。 |
|
Disabled |
已禁用( ) |
蓝色 |
表示设备被禁用或排除,设备没有应用运行状况策略,或者设备当前无法访问。 |
通过“运行状况事件视图”页面,您可以查看由运行状况监控器在 防火墙管理中心日志运行状况事件中记录的运行状况事件。完全可自定义的事件视图使您可以快速轻松地分析运行状况监控器所收集的运行状况事件。可以搜索事件数据,以便轻松访问可能与正调查的事件有关的其他信息。如果您了解每个运行状况模块测试的条件,就可以更有效地配置运行状况事件的警报。
可以在运行状况事件视图页面执行许多标准事件视图功能。
您必须是管理员、运维或安全分析师用户才能执行此程序。
“运行状况事件表视图”(Table View of Health Events) 页面提供指定设备上所有运行状况事件的列表。
当您在防火墙管理中心中从 Health Monitor 页面访问运行状况事件时,您可以检索所有受管设备的所有运行状况事件。
![]() 提示 |
您可以为该视图添加书签,使您可以返回到其中包含事件的运行状况事件表的运行状况事件工作流程页面。加入书签的视图检索您当前正查看的时间范围内的事件,但是如果需要,您可以稍后修改时间范围以使用较新的信息更新该表。 |
|
选择 。
|
|
步骤 1 |
查看设备的运行状况监控器;请参阅查看设备运行状况监控器。 |
|
步骤 2 |
在模块状态摘要 (Module Status Summary) 图形中,点击要查看的事件状态类别的颜色。 警报详细信息列表切换显示内容以显示或隐藏事件。 |
|
步骤 3 |
在要查看其事件列表的警报的 Alert Detail 行,请点击 Events。 系统将显示“运行状况事件”(Health Events) 页面,其中包含以设备名称和指定运行状况警报模块名称为限制的查询的结果。如果未显示事件,您可能需要调整时间范围。 |
|
步骤 4 |
如果要查看指定设备的所有运行状况事件,请展开搜索限制 (Search Constraints),然后点击模块名称 (Module Name) 限制将其删除。 |
您可以查看和修改运行状况事件表。
|
步骤 1 |
选择 。 |
|
步骤 2 |
有以下选项可供选择:
|
您在运行状况策略中选择启用的“运行状况监控”模块会运行各种测试,以确定设备运行状况。当运行状况满足您指定的条件时,系统将生成一个运行状况事件。
下表介绍在运行状况事件表中可以查看和搜索的字段。
|
字段 |
说明 |
|---|---|
|
模块名称 |
指定生成要查看的运行状况事件的模块的名称。例如,要查看衡量 CPU 性能的事件,请键入 |
|
测试名称 (仅限搜索) |
生成事件的运行状况模块的名称。 |
|
时间 (仅限搜索) |
运行状况事件的时间戳。 |
|
说明 |
生成事件的运行状况模块的描述。例如,当无法执行进程时生成的运行状况事件被标记为 |
|
值 |
生成事件的运行状况测试所获得的结果值(单位数量)。 例如,如果只要其正在监控的设备使用的 CPU 资源达到 80% 或以上,防火墙管理中心就会生成运行状况事件,则该值可以是介于 80 到 100 之间的一个数字。 |
|
单位 |
结果的单位描述符。您可以使用星号 (*) 创建通配符搜索。 例如,如果其正在监控的设备使用的 CPU 资源达到 80% 或以上时,防火墙管理中心会生成运行状况事件,则单位描述符为百分号 (%)。 |
|
状态 |
为设备报告的状态(严重、黄色、绿色或已禁用)。 |
|
设备 |
报告运行状况事件的设备。 |
|
功能 |
防火墙管理中心最低版本 |
Firewall Threat Defense最低版本 |
详细信息 |
||
|---|---|---|---|---|---|
|
增强的 MonetDB 可靠性和新的连接丢失警报。 |
10.0.0 |
任意 |
当活动连接数降至零(表明 MonetDB 不再接受来自 防火墙管理中心 的连接)时,MonetDB 运行状况模块现在会发出警报。此外,此更新优化了事件数据存储,以增强 MonetDB 的可靠性。 |
||
|
安全防火墙 200 系列优化的运行状况监控。 |
10.0 |
10.0 |
我们已经为新的安全防火墙 200 系列设备优化了运行状况监控,以确保有效利用可用的硬件资源,而不影响设备性能。Firewall Threat Defense 200 系列设备中的运行状况警报仅限于基本运行状况模块,而所有模块的指标收集保持不变。 |
||
|
在证书到期时获取警报。 |
7.7.0 |
任意 |
您现在可以监控 防火墙管理中心 和 Firewall Threat Defense 设备中使用的服务身份验证证书的到期日期,并在证书即将到期时提前获取警报。此功能可帮助您识别即将到期的证书,允许您提前续约并防止意外服务中断。 要启用证书监控功能,请选择 系统 ( |
||
|
监控事件数据库 |
7.7.0 |
任意 |
防火墙管理中心 会将 MonetDB 数据库用于防火墙事件和事件相关数据(例如连接摘要)。新的 MonetDB Statistics 运行状况模块会收集数据库统计数据,您也可以在运行状况监控器中看到这些数据,如数据库大小、活动连接、内存使用等。 排除故障的最佳做法是启用此模块。 新增/修改的屏幕:。 |
||
|
在叶域及其父域中查看设备的运行状况状态摘要 |
7.6.1 |
任意 |
在多域部署中,您可以在叶域及其父域中查看设备的运行状况状态摘要。 |
||
|
设置默认运行状况策略 |
7.6.0 |
任意 |
现在,您可以将用户创建的运行状况策略设置为默认运行状况策略。当您将设备添加到管理中心时,管理中心会将默认运行状况策略应用于任何托管设备。 要设置默认运行状况策略,请选择 系统 ( |
||
|
自定义运行状况策略,在继续收集数据的同时尽量减少运行状况警报。 |
7.6.0 |
任意 |
现在,您可以禁用 CPU、内存和 ASP 丢弃运行状况模块中个别属性的运行状况警报,而无需停止数据收集。通过禁用特定属性的运行状况警报,可以最大限度地减少运行状况警报的干扰,集中精力解决最关键的问题。 新增/修改的屏幕:点击,然后点击防火墙威胁防御运行状况策略或防火墙管理中心运行状况策略旁边的编辑图标。 |
||
|
Talos 连接的运行状况警报 |
7.6.0 |
7.6.0 |
如果 Talos 连接守护进程未能在指定时间内报告其运行状况,管理中心现在会发出警报。 |
||
|
更新了 防火墙管理中心 内存使用模块默认阈值。 |
7.4.1 |
任意 |
管理中心内存使用警告和严重警告的默认阈值现在分别被设置为 88% 和 90%。 新增/修改的屏幕:编辑防火墙管理中心运行状况策略。 |
||
|
改进了 防火墙管理中心 的内存使用量计算。 |
7.4.1 |
任意 |
管理中心内存使用模块在计算内存使用量时,将考虑可用交换内存和高速缓冲存储器的数量,以准确确定内存使用量并发送使用状况警报。 新增/修改的屏幕:。 |
||
|
NTP 服务器同步问题的运行状况警报。 |
7.4.1 |
任意 |
在 Cisco Secure Firewall Management Center 运行状况策略中引入了时间服务器状态模块。启用后,此模块会监控 NTP 服务器的配置,并在 NTP 服务器不可用或 NTP 服务器配置无效时发出警报。 新增/修改的屏幕:。 |
||
|
Firepower 1010 和 1100 设备的 CPU 和机箱温度警报。 |
7.4.1 |
7.4.1 |
Firepower 1010 和 1100 设备的管理中心会显示 CPU 或机箱温度警告或临界水平警报。 |
||
|
使用 OpenConfig 将遥测数据流传输到外部服务器。 |
7.4 |
7.4 |
您现在可以从威胁防御设备使用 OpenConfig 将指标和运行状况监控信息发送到外部服务器(gNMI 收集器)。您可以配置威胁防御或收集器来发起连接(通过 TLS 加密)。 新增/修改的屏幕:。 |
||
|
运行状况监控使用性增强。 |
7.4 |
任意 |
改进了 添加新控制面板 对话框,有助于轻松创建自定义控制面板。包含用于编辑或删除预定义设备运行状况监控控制面板的选项。 新增/修改的屏幕:。 |
||
|
新的集群运行状况监控控制面板。 |
7.3 |
任意 |
引入了一个用于查看集群运行状况监控器指标的新控制面板,其中包含以下组件:
新增/修改的屏幕:。 |
||
|
新的硬件统计模块。 |
7.3 |
任意 |
防火墙管理中心 硬件和环境状态统计信息已添加到运行状况监控控制面板:
新增/修改的菜单项:
|
||
|
新的硬件和环境状态指标组, |
7.3 |
任意 |
威胁防御硬件和环境状态统计信息已添加到运行状况监控控制面板:
新增/修改的屏幕:。 |
||
|
设备配置历史记录文件大小的运行状况警报 |
7.2.6 |
任意 |
当设备配置历史记录文件的大小超过 防火墙管理中心 允许的限制,则磁盘使用率模块会发送运行状况警报。默认情况下,此警报处于启用状态。 Secure Firewall Management Center 版本 7.3.0 和 7.4.0 不支持超出配置版本大小的运行状况警报。 |
||
|
运行状况监控使用性增强。 |
7.1 |
任意 |
以下 UI 页面经过临时改进,以提高数据的可用性和显示效果:
新增/修改的屏幕:
|
||
|
大象流检测。 |
7.1 |
任意 |
运行状况警报包含以下增强功能:
Cisco Firepower 2100 系列不支持象流检测功能。 |
||
|
已停用非托管磁盘使用率高 (high unmanaged disk usage) 警报。 |
7.0.6 |
任意 |
“磁盘使用情况”(Disk Usage) 运行状况模块不再针对非托管磁盘使用率过高 (high unmanaged disk usage) 发出警报。升级后,您可能会继续看到这些警报,直到将运行状况策略部署到托管设备(停止显示警报)或升级设备(停止发送警报)。
|
||
|
新的运行状况模块。 |
7.0 |
任意 |
我们添加了以下运行状况模块:
|
||
|
运行状况监控增强功能。 |
7.0 |
任意 |
运行状况监控器添加了以下增强功能:
|
||
|
新的运行状况模块。 |
6.7 |
任意 |
不再使用 CPU 使用率模块。相反,请参阅以下模块了解 CPU 使用情况:
添加了以下模块以跟踪统计信息:
添加了以下模块以跟踪内存使用情况:
|
||
|
运行状况监控增强功能。 |
6.7 |
任意 |
运行状况监控器添加了以下增强功能:
|
||
|
功能移动至设备模块上的威胁数据更新 |
6.7 |
任意 |
不再使用本地恶意软件分析模块。有关此信息,请参阅设备上的威胁数据更新。 以前由安全智能模块和 URL 过滤模块提供的一些信息现在由设备上的威胁数据更新模块提供。 |
||
|
新增运行状况模块:配置内存分配。 |
7.0 6.6.3 |
任意 |
版本 6.6.3 改进了设备内存管理,并引入了新的运行状况模块:配置内存分配。 当已部署的配置的大小使设备面临内存耗尽的风险,此模块会发出警报。警报会显示您的配置需要多少内存,以及超出可用内存的数量。如果发生此情况,请重新评估您的配置。通常来说,您可以减少访问控制规则或入侵策略的数量或降低其复杂性。 |
||
|
URL 过滤监控器改进。 |
6.5 |
任意 |
如果 防火墙管理中心 无法注册到思科云,URL 过滤监控模块现在会发出警报。 |
||
|
URL 过滤监控器改进。 |
6.4 |
任意 |
您可以配置 URL 过滤监控器警报的时间阈值。 |
||
|
新增运行状况模块:设备中威胁数据更新。 |
6.3 |
任意 |
新增模块设备中威胁数据更新。 如果设备用于检测威胁的某些智能数据和配置未在您指定的时间段内于设备上更新,则此模块会提醒您。 |