AnalysisEngine は、IPS 機動後にすこし準備に時間がかかる。

AnalysisEngine とはIPSで一番大切なパケットを検査する機能(AnalysisEngine)です。

結論から申し上げると、IPS にログインが可能で show　version で AnalysisEngine Running

となっている状況でも、必ずしも Analysis engine によるパケットを検査が開始されているとは

限らないことを記憶の片隅においていただけるとありがたいです。

※以下の詳細な説明は時間がある方のみお読みください。

<詳細な説明>ーーーーーーーーーーーーー

IPS を起動すると、Linux が立ち上がりその後 IPS 機能(MainApp、AnalysisEngine) を

立ち上げる。分かりやすくざっくりと MainApp の役割を申し上げると、AnalysisEngine で実施する

パケット調査以外を担当している。

※おおざっぱな表現としているので、実際には上記2つ以外の機能はもちろんあります。

IPS機能が立ち上がると、ほぼ同時に MainApp、AnalysisEngine が立ち上がります。

この実装は、MainApp は比較的に立ち上がりが早いが、AnalysisEngine の立ち上がりに

時間がかかることから来ております。

以下は実際に IPS 起動後すぐに show コマンドにて実際の動作を確認した結果です。

4240# show version

Application Partition:

Cisco Intrusion Prevention System, Version 7.0(4)E4

<省略>

MainApp            B-BEAU_704_2010_JUL_21_15_57_7_0_3_29   (Ipsbuild)   2010-07-21T15:59:36-0500   Running

AnalysisEngine     B-BEAU_704_2010_JUL_21_15_57_7_0_3_29   (Ipsbuild)   2010-07-21T15:59:36-0500   Running  <- Analysis がrunning になっている

CollaborationApp   B-BEAU_704_2010_JUL_21_15_57_7_0_3_29   (Ipsbuild)   2010-07-21T15:59:36-0500   Running

CLI                B-BEAU_704_2010_JUL_21_15_57_7_0_3_29   (Ipsbuild)   2010-07-21T15:59:36-0500

4240# show statistics virtual-sensor

Error: getVirtualSensorStatistics : Analysis Engine is Busy Processing Stage 3 of 97 at Step 0 of 1    <- 準備している Step を表示している。

     <数分後>※この時間のずれは機種により様々です。

4240B# show statistics virtual-sensor   <---- 同じコマンドを実施後、正常に現在のステータスを確認できる。

Virtual Sensor Statistics

   Statistics for Virtual Sensor vs0

      Name of current Signature-Defintion instance = sig0

      Name of current Event-Action-Rules instance = rules0

      List of interfaces monitored by this virtual sensor = IPS1 subinterface 0,IPS2 subinterface 0

      General Statistics for this Virtual Sensor

         Number of seconds since a reset of the statistics = 150

<省略>