シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

FirePOWER: ACP 適用時の snort 再起動有無、及び ACP 適用開始・終了を確認する方法

     

    1. はじめに

    FireSIGHT から ACP(Access Control Policy) FirePOWER に適用する際、snort が再起動される場合・されない場合がございます。snort 再起動中は検査処理が停止するため、ACP 適用時の snort が再起動有/無や ACP 適用開始/終了を CLI で確認する方法についてご案内させて頂きます。

     Note: 本 topic は FirePOWER 5.4.0.2, FireSIGHT 5.4.1.1 で動作確認しております。

     

     

    2. ACP 適用時の snort 再起動有 / 無を確認する方法

    ACP 適用時に snort が再起動されると snort の PID が変わります。また、/var/log/messages 内にて再起動時の snort 終了は "Caught Term-Signal"、 起動時は "Initialization Complete" のメッセージが生成されます。

    <ACP 適用前> 
    admin@5585-sfr-10:~$ ps -e | grep snort
    31517 ? 00:00:04 snort
    31518 ? 00:00:04 snort
    31519 ? 00:00:04 snort

    <ACP 適用時>
    admin@5585-sfr-10:~$ tail -f /var/log/messages | egrep "Caught Term-Signal|Initialization Complete"
    Mar 26 07:18:18 5585-sfr-10 snort[31517]: *** Caught Term-Signal
    Mar 26 07:18:18 5585-sfr-10 snort[31519]: *** Caught Term-Signal
    Mar 26 07:18:18 5585-sfr-10 snort[31518]: *** Caught Term-Signal

    Mar 26 07:18:32 5585-sfr-10 snort[31810]: --== Initialization Complete ==--
    Mar 26 07:18:33 5585-sfr-10 snort[31811]: --== Initialization Complete ==--
    Mar 26 07:18:33 5585-sfr-10 snort[31812]: --== Initialization Complete ==--

    <ACP 適用後>
    admin@5585-sfr-10:~$ ps -e | grep snort
    31810 ? 00:00:11 snort
    31811 ? 00:00:11 snort
    31812 ? 00:00:11 snort

     

    /var/log/messages の括弧内の数字が PID となり、再起動前後で PID が変更されていることが確認できます。

     

    3. ACP 適用開始 / 終了を確認する方法

    ACP 適用開始・終了は /var/log/action_queue.log で確認します。適用開始は "Started task XXX"、適用完了は "Removing apply package XXX" メッセージで確認可能です。

    admin@5585-sfr-10:~$ tail -f /var/log/action_queue.log | egrep "Started task|Removing" 
    Mar 26 07:17:47 5585-sfr-10 ActionQueueScrape.pl[31653]: Started task (d71eab16-f322-11e5-872e-df4715477b82) Apply Default Intrusion Prevention (31653) at /usr/local/sf/lib/perl/5.10.1/SF/ActionQueue.pm line 2161.

    Mar 26 07:18:24 5585-sfr-10 ActionQueueScrape.pl[31653]: Removing apply package /var/tmp/ng_apply_pack.tgz at /var/tmp/Apply_b3fa89e8-f322-11e5-b17c-244515477b82/code//SF/NGFW/PolicyApply.pm line 3082.

     

    4. ACP 適用と snort 再起動の関係

    "2", "3" のログを時系列順に沿って確認すると ACP 適用時は以下の流れであることがわかります。

    4-1. ACP の適用が開始される。action_queue.log より確認可能。

    Mar 26 07:17:47 5585-sfr-10 ActionQueueScrape.pl[31653]: Started task (d71eab16-f322-11e5-872e-df4715477b82) Apply Default Intrusion Prevention (31653) at /usr/local/sf/lib/perl/5.10.1/SF/ActionQueue.pm line 2161. 

    4-2. snort の再起動が開始される場合、snort の終了は messages より確認可能。

    Mar 26 07:18:18 5585-sfr-10 snort[31517]: *** Caught Term-Signal 
    Mar 26 07:18:18 5585-sfr-10 snort[31519]: *** Caught Term-Signal
    Mar 26 07:18:18 5585-sfr-10 snort[31518]: *** Caught Term-Signal

     

     

    4-3. ACP の適用が完了する。action_queue.log より確認可能。

    Mar 26 07:18:24 5585-sfr-10 ActionQueueScrape.pl[31653]: Removing apply package /var/tmp/ng_apply_pack.tgz at /var/tmp/Apply_b3fa89e8-f322-11e5-b17c-244515477b82/code//SF/NGFW/PolicyApply.pm line 3082. 

    4-4. snort の再起動が実施された場合、snort の起動は messages より確認可能。

    Mar 26 07:18:32 5585-sfr-10 snort[31810]: --== Initialization Complete ==-- 
    Mar 26 07:18:33 5585-sfr-10 snort[31811]: --== Initialization Complete ==--
    Mar 26 07:18:33 5585-sfr-10 snort[31812]: --== Initialization Complete ==--

     

    バージョン履歴
    改訂番号
    2/2
    最終更新:
    ‎08-31-2017 01:05 PM
    更新者:
     
    寄稿者: