Cisco Cisco Firepower Management Center 4000 User Guide

Page of 1826
 
68-18
FireSIGHT 系统用户指南
  
 68       使用运行状况监控       
  配置运行状况策略
  •
要临时保存对该模块的更改并切换到另一个模块的设置进行修改,请从页面左侧的列表中选
择其他模块。如果完成后点击 
Save Policy and Exit
,将保存所做的所有更改;如果点击 
Cancel
则丢弃所有更改。
如果想要设置生效,必须将运行状况策略应用到适当的设备上。有关详情,请参见
配置入侵事件速率监控
许可证:保护
使用入侵事件速率运行状况模块来设置触发运行状况更改的每秒钟数据包数量的限值。如果监听
设备上的事件速率超过每秒事件 (警告)限值中配置的每秒事件的数量,该模块的状态分类变更
为“警告”。如果事件速率超过每秒事件 (严重)限值中配置的每秒事件的数量,该模块的状态
分类变更为“严重”。该状态数据馈送到运行状况监视器中。
通常,网段的事件速率平均为每秒 20 个事件。对于具有本平均速率的网段,每秒事件 (严重)
数应设置为 
50
,每秒事件 (警告)数应该设置 为
30
。要确定系统的限值,请在 Statistics 页面找
到设备的 Events/Sec 值 (
System > Monitoring > Statistics
),然后使用以下公式计算限值:
  •
每秒事件 (严重)数 = Events/Sec * 2.5
  •
每秒事件 (警告)数 = Events/Sec * 1.5
您可以为每种限值设置的最大事件数是 999,“严重”限值必须高于“警告”限值。
要配置入侵事件速率监控运行状况模块的设置,请执行以下操作:
访问:管理员/维护人员
步骤 1
在 Health Policy Configuration 页面中,选择 
Intrusion Event Rate
系统将显示 Health Policy Configuration - Intrusion Event Rate 页面。
步骤 2
为 
Enabled
 选项选择 
On
,以允许使用该模块进行运行状况测试。
步骤 3
在 
Events per second (Critical)
 字段中,输入应触发严重运行状况的每秒钟事件的数量。
步骤 4
在 
Events per second (Warning)
 字段中,输入应触发警告运行状况的每秒钟事件的数量。
步骤 5
您会看到三个选项:
  •
要保存对该模块的更改并返回到 Health Policy 页面,请点击 
Save Policy and Exit
  •
要返回到 Health Policy 页面而不保存对该模块所做的任何设置,请点击 
Cancel
  •
要临时保存对该模块的更改并切换到另一个模块的设置进行修改,请从页面左侧的列表中选
择其他模块。如果完成后点击 
Save Policy and Exit
,将保存所做的所有更改;如果点击 
Cancel
则丢弃所有更改。
如果想要设置生效,必须将运行状况策略应用到适当的设备上。有关详情,请参见