キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

Firepower System: SNMP監視時のOID例 (CPU, Memory, etc)

  

概要

本ドキュメントでは、Firepower SystemのSNMPポーリングを用いた監視に利用できる、主要なOIDについて紹介します。

なお、基本はFirepower Systemの監視は、FMCのHealth Monitor機能を利用してください。Health Monitorは、Firepower Systemの状態監視に最適化されています。 SNMPポーリングを用いた監視は補助的な利用をお勧めします。

本ドキュメントは、FMC 6.1.0.2、Firepower Device 6.0.1.2 (ASA5555 with Firepower), FTD 6.1.0.2(ASA5516-FTD)を用いて確認、作成しております。

   

   

FMCや Firepower監視用のOIDと実行例

Firepower SystemのベースはLinuxのため、CPUやメモリ使用状況などの標準的な監視は、Linuxの監視で使うOIDを利用できます。

 以下は、FMCやFirepowerデバイスのSNMP監視で利用できる、主なOID例です。

CPU関連のOID例

ユーザのCPU時間 (%)
.1.3.6.1.4.1.2021.11.9.0

システムのCPU時間 (%)
.1.3.6.1.4.1.2021.11.10.0

CPUのアイドル時間 (%)
.1.3.6.1.4.1.2021.11.11.0

Load Average (1分)
.1.3.6.1.4.1.2021.10.1.3.1

Load Average (5分)
.1.3.6.1.4.1.2021.10.1.3.2

Load Average (15分)
.1.3.6.1.4.1.2021.10.1.3.3

 

メモリ関連のOID例

実メモリ容量
.1.3.6.1.4.1.2021.4.5.0

空きメモリ容量
.1.3.6.1.4.1.2021.4.6.0

  

スワップ関連のOID例

実スワップ容量
.1.3.6.1.4.1.2021.4.3.0

空きスワップ容量
.1.3.6.1.4.1.2021.4.4.0

  

以下は、SNMPエージェントである実機(FMC)でのTOP実行結果と、SNMPマネージャからのsnmpwalkでの取得結果です。

CPU使用状況と負荷の確認例

top - 10:47:07 up 4 days, 23:18, 1 user, load average: 0.96, 0.68, 0.63
Tasks: 150 total, 2 running, 148 sleeping, 0 stopped, 0 zombie
Cpu(s): 9.6%us, 1.2%sy, 0.0%ni, 86.0%id, 3.2%wa, 0.0%hi, 0.0%si, 0.0%st
Mem: 8185640k total, 7786916k used, 398724k free, 10308k buffers
Swap: 5652156k total, 68388k used, 5583768k free, 2146576k cached
cisco@ubuntu:~$ snmpwalk -On -v 2c 1.160.0.90 -c cisco .1.3.6.1.4.1.2021.11.9
.1.3.6.1.4.1.2021.11.9.0 = INTEGER: 8

cisco@ubuntu:~$ snmpwalk -On -v 2c 1.160.0.90 -c cisco .1.3.6.1.4.1.2021.11.10
.1.3.6.1.4.1.2021.11.10.0 = INTEGER: 1

cisco@ubuntu:~$ snmpwalk -On -v 2c 1.160.0.90 -c cisco .1.3.6.1.4.1.2021.11.11
.1.3.6.1.4.1.2021.11.11.0 = INTEGER: 85

cisco@ubuntu:~$ snmpwalk -On -v 2c 1.160.0.90 -c cisco .1.3.6.1.4.1.2021.10.1.3
.1.3.6.1.4.1.2021.10.1.3.1 = STRING: "0.75"
.1.3.6.1.4.1.2021.10.1.3.2 = STRING: "0.63"
.1.3.6.1.4.1.2021.10.1.3.3 = STRING: "0.61"

   

メモリとスワップの使用状況の確認例

top - 10:13:20 up 4 days, 22:44, 1 user, load average: 0.44, 0.61, 0.69
Tasks: 152 total, 2 running, 150 sleeping, 0 stopped, 0 zombie
Cpu(s): 7.8%us, 2.2%sy, 0.0%ni, 87.0%id, 2.4%wa, 0.0%hi, 0.5%si, 0.0%st
Mem: 8185640k total, 7761312k used, 424328k free, 10188k buffers
Swap: 5652156k total, 68392k used, 5583764k free, 2137684k cached
cisco@ubuntu:~$ snmpwalk -On -v 2c 1.160.0.90 -c cisco .1.3.6.1.4.1.2021.4
.1.3.6.1.4.1.2021.4.1.0 = INTEGER: 0
.1.3.6.1.4.1.2021.4.2.0 = STRING: "swap"
.1.3.6.1.4.1.2021.4.3.0 = INTEGER: 5652156 <--- Swap Total
.1.3.6.1.4.1.2021.4.4.0 = INTEGER: 5583760 <--- Swap Free
.1.3.6.1.4.1.2021.4.5.0 = INTEGER: 8185640 <--- Mem Total
.1.3.6.1.4.1.2021.4.6.0 = INTEGER: 423992 <--- Mem Free

 
上記のメモリ・スワップの確認結果の場合、Mem(RAM)の空きが約0.4G、スワップの空きが約5.5Gだとわかります。

なお、通常 Linuxは その処理効率化のため、空きメモリの余裕分をキャッシュとして活用します。 そのため、MemのFree値が低くても 正常な動作であることが殆どです。 (むしろ、処理効率化のうえで期待された動作です。)

スワップのFreeのある程度の減少も、通常 なんら問題ありません。

しかし、SwapのFreeも大きく枯渇し 0に近付き、かつ回復しない場合は、何らかのメモリ高負荷問題が発生している可能性が考えられます。 この場合、システムの再起動よる暫定復旧などを検討します。

   

  

FTD監視用のOIDと実行例

FTDの監視にはASA用のOIDの一部が利用できますが、システムの制限により、SNMP監視で収集できる情報は、主にL2-L4処理用のエンジン(ASA engine)の情報となります。 L2-L4処理用エンジンは、FTDの通信処理における根幹として動作しており、その負荷確認は FTD 負荷確認においても有効です。 (2017年2月現在。)

 以下は、FTDのSNMP監視で利用できる、主なOID例です。

CPU関連のOID例

1分のCPU使用率
.1.3.6.1.4.1.9.9.109.1.1.1.1.7.1

5分のCPU使用率
.1.3.6.1.4.1.9.9.109.1.1.1.1.8.1

  

メモリ関連のOID例

空きメモリ確認
.1.3.6.1.4.1.9.9.221.1.1.1.1.20.2.1
      もしくは
.1.3.6.1.4.1.9.9.221.1.1.1.1.20.1.1

  

コネクション(セッション)関連のOID例

コネクション数の出力
1.3.6.1.4.1.9.9.147.1.2.2.2.1.5

出力の説明情報(String)の出力
1.3.6.1.4.1.9.9.147.1.2.2.2.1.3

   

以下は、SNMPエージェントである実機(FTD)でのshowコマンド実行結果と、SNMPマネージャからのsnmpwalkでの取得結果です。

CPU使用状況の確認例

firepower# show cpu
CPU utilization for 5 seconds = 4%; 1 minute: 7%; 5 minutes: 3%
cisco@ubuntu:~$ snmpwalk -On -v 2c 1.100.200.100 -c cisco 1.3.6.1.4.1.9.9.109.1.1.1.1.7.1
.1.3.6.1.4.1.9.9.109.1.1.1.1.7.1 = Gauge32: 7

cisco@ubuntu:~$
cisco@ubuntu:~$ snmpwalk -On -v 2c 1.100.200.100 -c cisco 1.3.6.1.4.1.9.9.109.1.1.1.1.8.1
.1.3.6.1.4.1.9.9.109.1.1.1.1.8.1 = Gauge32: 3

  

メモリ使用状況の確認例

firepower# show memory
Free memory: 2660961837 bytes (57%) 
Used memory: 1975234560 bytes (43%)
------------- ------------------
Total memory: 4636196397 bytes (100%)
cisco@ubuntu:~$ snmpwalk -On -v 2c 1.100.200.100 -c cisco .1.3.6.1.4.1.9.9.221.1.1.1.1.20.2.1
.1.3.6.1.4.1.9.9.221.1.1.1.1.20.2.1 = Counter64: 2660961837    <--- Free memory

  

FTD用のOIDリストやオブジェクト名、MIBファイルの確認方法

FTDは内部でASA engineが動作しており、ASA engineが SNMP Agentとして動作するため、ASA用のMIBをFTDの監視に利用できます。

OIDリストとオブジェクト名の確認は、ASA engineにログインし、"show snmp-server oidlist"コマンドを実行することで確認できます。 なお、当コマンドは本来TAC利用用のため、参考レベルで利用ください。

> system support diagnostic-cli
Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower>
firepower> enable
Password:
firepower#
firepower# show snmp-server oidlist

-------------------------------------------------
[0] 1.3.6.1.2.1.1.1. sysDescr
[1] 1.3.6.1.2.1.1.2. sysObjectID
[2] 1.3.6.1.2.1.1.3. sysUpTime
[3] 1.3.6.1.2.1.1.4. sysContact
[4] 1.3.6.1.2.1.1.5. sysName
[5] 1.3.6.1.2.1.1.6. sysLocation
[6] 1.3.6.1.2.1.1.7. sysServices
[7] 1.3.6.1.2.1.1.8. sysORLastChange
[8] 1.3.6.1.2.1.1.9.1.2. sysORID
[9] 1.3.6.1.2.1.1.9.1.3. sysORDescr
[10] 1.3.6.1.2.1.1.9.1.4. sysORUpTime
[11] 1.3.6.1.2.1.2.1. ifNumber
[12] 1.3.6.1.2.1.2.2.1.1. ifIndex
[13] 1.3.6.1.2.1.2.2.1.2. ifDescr
[14] 1.3.6.1.2.1.2.2.1.3. ifType
[15] 1.3.6.1.2.1.2.2.1.4. ifMtu

   

また、各OIDとオブジェクト名や、関連するMIBファイル情報とダウンロードリンクは、SNMP Object Navigator から検索と確認ができます。

以下画面は、ASA engineの 1分間のCPU使用率を表示するOID(1.3.6.1.4.1.9.9.109.1.1.1.1.7)の検索例と、その検索結果です。

   
   

FTD状態監視のベストプラクティス

上述の通り、SNMPを用いた監視の場合、FTDソフトウェアの一部情報のみ利用可能です。

FTD全体の状態を監視するには、SNMPポーリングではなく、FMCのHealth Monitorと Health Monitor Alertを利用してください。 FMCのHealth Monitor機能は、Firepower Systemの監視に最適化されています。

以下は実際のHealth Monitorの出力例です。 FTDの細かな情報の確認と、監視ができます。

   

  

参考情報

SNMPエージェントとして動作させる方法
https://supportforums.cisco.com/ja/document/13207246
    - Firepower Systemの SNMP有効化方法

Firepower Management Center Configuration Guide, Version 6.1 - Chapter: Health Monitoring
http://www.cisco.com/c/en/us/td/docs/security/firepower/610/configuration/guide/fpmc-config-guide-v61/health_monitoring.html
    - SNMPの代替として利用できるHealth Monitorと Health Monitor Alertの説明と設定手順

バージョン履歴
改訂番号
2/2
最終更新:
‎08-31-2017 07:09 PM
更新者:
 
寄稿者: