소개
이 문서에서는 Cisco ASA(Adaptive Security Appliance) syslog 메시지에서 "IPS(Intrusion Prevention System) SSP(Security Services Processor) application reloading IPS"가 무엇을 의미하는지 설명합니다.
IPS 메시지 "IPS SSP 애플리케이션 IPS 다시 로드"는 무엇을 의미합니까?
이러한 syslog 메시지는 ASA에 나타납니다.
ASA5585-SSP-IPS20 Module in slot 1, application up "IPS", version "7.1(1)E4"
Normal Operation
ASA5585-SSP-IPS20 Module in slot 1, application reloading "IPS", version
"7.1(1)E4" Config Change
ASA는 장애 조치를 수행하지 않으며 IPS는 "실패"를 표시하지 않습니다.
이러한 메시지는 5분마다 시도되는 일부 GC(Global Correlation) 업데이트 중에 생성됩니다. 또한 IPS 시그니처 업데이트 중에 생성되며 예상 동작인 것으로 알려져 있습니다.
GC 검사는 5분마다 수행되지만 업데이트를 사용할 수 없습니다. 이 GC 검사는 정상 작동 중에 매시간 또는 대략 한 시간마다 메시지가 나타날 수 있는 이유입니다. GC 업데이트가 실제로 수행되거나 시그니처 업데이트가 시작되면 IPS는 컨피그레이션 변경이 진행 중임을 알리는 메시지를 ASA에 전송합니다.
May 22 2013 03:20:16: %ASA-1-505013: Module ASA-SSM-10 in slot 1 application reloading "IPS" version "7.1(7)E4" Config Change
reload 명령이 실행된 경우 ASA처럼 애플리케이션이 실제로 다시 로드되지는 않습니다. IPS는 Analysis Engine을 조정하고 ASA에 변경 사항을 알립니다. 이 작업은 업데이트를 처리하는 동안 IPS가 우회 모드로 전환되는 동시에 발생할 수 있습니다. 이는 정상적인 작동이며 IPS 또는 ASA 성능에 아무런 영향을 미치지 않습니다.
ASA에서 이 메시지를 수신하면 즉시 장애 조치하지 않습니다. 이 시간 동안 ASA는 fail-close 또는 fail-open 컨피그레이션을 따릅니다. Fail-close가 구성된 경우, 센서가 다시 모니터링할 준비가 되었다는 메시지를 보내거나 시간 제한에 도달할 때까지(ASA가 실패한 것으로 표시됨) ASA는 IPS로 전송된 모든 패킷을 삭제합니다.
May 22 2013 03:20:16: %ASA-3-420001: IPS card not up and fail-close mode used dropping TCP packet from Outside:213.248.117.16/80 to INSIDE:193.128.137.2/40860
Cisco 버그 ID CSCts98806는 언급된 메시지의 원인으로 인해 발생할 수 있는 카드/애플리케이션 오류를 해결하기 위해 제출되었습니다.
Cisco 버그 ID CSCub28854가 IPS 측에서 이 문제를 해결하거나 문서화하도록 제출되었습니다.
ASA에서 메시지를 해결하기 위해 Cisco 버그 ID CSCts98836이 제출되었습니다.
IPS 서명 또는 GC 업데이트 중에 ASA 장애 조치에서 데이터 채널 중단 메시지가 표시될 수 있습니다. 이 ASA 버그는 이 상황을 해결합니다.
Cisco 버그 ID CSCuc32250
관련 정보