Cisco Cisco Firepower Management Center 4000 User Guide
68-4
FireSIGHT 系统用户指南
第 68 章 使用运行状况监控
了解运行状况监控
硬件告警
该模块确定 3 系列或 3D9900 设备上的硬件是否需要更换并基于硬件状态发出警报。该模
块还报告硬件相关的后台程序的状态和集群设备的状态。
块还报告硬件相关的后台程序的状态和集群设备的状态。
有关为这些设备报告的详细信息,请参阅
运行状况监视器流程
该模块监控运行状况监视器本身的状态,并且如果防御中心最后收到运行状况事件后的
分钟数超过“警告”或“严重”限值,则发出警报。
分钟数超过“警告”或“严重”限值,则发出警报。
该模块仅在防御中心上运行。
内联链路不匹配告警
该模块监控与内联集相关的端口,并且如果内联对的两个接口协商不同的速度,则发出
警报。
警报。
入侵事件速率
该模块将每秒钟入侵事件的数量与为该模块配置的限值进行对比。如果超过限值,则该
模块发出警报。如果入侵事件速率为零,则入侵流程可能已关闭或者受管设备可能没有
发送事件。选择
模块发出警报。如果入侵事件速率为零,则入侵流程可能已关闭或者受管设备可能没有
发送事件。选择
Analysis > Intrusions > Events
,以检查是否正从该设备接收事件。
接口状态
此模块确定设备当前是否收集流量并根据物理接口和汇聚接口的流量状态发出警报。对
于物理接口,信息包括接口名称、链路状态和带宽。对汇聚接口,信息包括接口名称、
活动链路的数量和总汇聚带宽。
于物理接口,信息包括接口名称、链路状态和带宽。对汇聚接口,信息包括接口名称、
活动链路的数量和总汇聚带宽。
许可证监控
该模块确定是否有足够的 可控性、保护、 URL 过滤、恶意软件和 VPN 许可证。当堆栈中
的设备与许可证集不匹配时,该模块也发出警报。基于为该模块自动配置的警告级别,
该模块发出警报。您无法更改该模块的配置。
的设备与许可证集不匹配时,该模块也发出警报。基于为该模块自动配置的警告级别,
该模块发出警报。您无法更改该模块的配置。
该模块仅在防御中心上运行。
链路状态传播
该模块确定成对的内联集中链路发生故障的时间,并且触发链路状态传播模式。
内存使用率
该模块将设备的内存使用率与为模块配置的限值进行对比,并在使用率超过为该模块配
置的级别时发出警报。
置的级别时发出警报。
电源
该模块确定设备的电源是否需要更换,并基于电源状态发出警报。
该模块在这些防御中心上运行:DC1500、 DC2000、 DC3500、 DC4000。
该模块在这些设备上运行:3D3500、 3D4500、 3D6500、 3D9900 和 3 系列。
进程状态
该模块确定设备上的进程是否在进程管理器外部退出或终止。如果进程在进程管理器外
部被故意退出,模块状态变更为“警告”,并且运行状况事件消息指示哪一个进程被退
出,直到该模块再次运行、该进程重新启动为止。如果进程在进程管理器外部异常终止
或者崩溃,模块状态变更为“严重”,并且运行状况事件消息指示被终止的进程,直到
该模块再次运行、该进程重新启动为止。
部被故意退出,模块状态变更为“警告”,并且运行状况事件消息指示哪一个进程被退
出,直到该模块再次运行、该进程重新启动为止。如果进程在进程管理器外部异常终止
或者崩溃,模块状态变更为“严重”,并且运行状况事件消息指示被终止的进程,直到
该模块再次运行、该进程重新启动为止。
重新配置检测
该模块确定注册的受管设备上策略应用失败后,检测功能是否继续运行。如果策略应用
失败之后,检测功能显示为无法运行,则模块会生成运行状况警报,直至重新建立检测
功能。
失败之后,检测功能显示为无法运行,则模块会生成运行状况警报,直至重新建立检测
功能。
RRD 服务器进程
该模块确定存储时序数据的轮询数据服务器是否正常运行,并且基于最近 RRD 服务器重
新启动的次数发出警报。
新启动的次数发出警报。
该模块仅在防御中心上运行。
安全情报
在涉及安全情报过滤的各种情况 (包括源更新、源损坏和内存问题)下,该模块发出警报。
该模块在所有防御中心中运行,但 DC500 除外,因为它不支持安全情报过滤功能。
时序数据监视器
该模块跟踪已损坏文件在存储时序数据 (例如合规性事件计数)的目录中的存在情况,
并且在文件标记为已损坏和已移除时发出警报。
并且在文件标记为已损坏和已移除时发出警报。
该模块仅在防御中心上运行。
表
68-1
运行状况模块 (续)
模块
说明