はじめに
このドキュメントでは、Cisco適応型セキュリティアプライアンス(ASA)syslogメッセージの「侵入防御システム(IPS)セキュリティサービスプロセッサ(SSP)アプリケーションによるIPSのリロード」の意味について説明します。
IPSメッセージ「IPS SSP application reloading IPS」は何を意味しますか。
ASA に、以下の syslog メッセージが表示されます。
ASA5585-SSP-IPS20 Module in slot 1, application up "IPS", version "7.1(1)E4"
Normal Operation
ASA5585-SSP-IPS20 Module in slot 1, application reloading "IPS", version
"7.1(1)E4" Config Change
ASAはフェールオーバーせず、IPSは「failed」を表示しません。
これらのメッセージは、5分ごとに試行される一部のGlobal Correlation(GC)アップデート中に生成されます。また、IPSシグニチャのアップデート中にも生成され、予期された動作であることが確認されています。
GCチェックは5分ごとに行われますが、アップデートが利用できない可能性があります。 このGCチェックは、通常の動作中にメッセージが1時間あたりに表示される理由です。GC アップデートが実際に行われるか、シグニチャのアップデートが開始された時点で、IPS は ASA に、設定が変更中であることを通知するメッセージを送信します。
May 22 2013 03:20:16: %ASA-1-505013: Module ASA-SSM-10 in slot 1 application reloading "IPS" version "7.1(7)E4" Config Change
リロード コマンドが発行されると、ASA とは異なり、アプリケーションは実際にはリロードを行いません。IPS は分析エンジンを調整し、ASA に変更を通知します。この動作は、IPS が更新プログラムを処理中にバイパス モードになると同時に発生する場合があります。前述のとおり、これは正常な動作であり、IPS または ASA のパフォーマンスに機能的な影響を与えるものではありません。
ASAはこのメッセージを受信しても、即時にフェールオーバーしません。この間、ASAはフェールクローズまたはフェールオープン設定に従います。fail-closeが設定されている場合、ASAは、センサーがモニタリングの準備が再び整ったことを示すメッセージを送信するか、タイムアウトに達するまで(この時点でASAは失敗としてマークされる)、IPSに送信されるすべてのパケットをドロップします。
May 22 2013 03:20:16: %ASA-3-420001: IPS card not up and fail-close mode used dropping TCP packet from Outside:213.248.117.16/80 to INSIDE:193.128.137.2/40860
Cisco Bug ID CSCts98806 は、上記のメッセージの原因が原因で発生する可能性があるカードやアプリケーションの障害を解決するために報告されたものです。
Cisco Bug ID CSCub28854は、IPS側からこの問題を解決または文書化するために提出されました。
Cisco Bug ID CSCts98836が、ASAでこのメッセージを解決するために提起されました。
IPS シグニチャまたは GC のアップデート中の ASA フェールオーバー時に、D チャネル ダウン メッセージが表示される場合があります。この状況には、以下の ASA バグが対処しています。
Cisco Bug ID CSCuc32250
関連情報