Tipps & Tricks: Management Ebene Last verringert – Teil 2
Resolution
Lassen Sie uns weiterhin mit der zweite in einer Reihe und fügen Sie ein paar Tipps in Ihre Trickkiste, die Belastung der Managementebene zu reduzieren. Vor ein paar Wochen haben wir eine Tips & Tricks-Serie zu diesem Thema gestartet, so dass wir in dieser Woche mit Teil 2 weitermachen.
Eine häufige Ursache für eine erhöhte Last auf der Managementebene während der Produktionszeiten sind automatisierte Prozesse laufen im Hintergrund, von denen einige optimiert werden können, um weniger häufig auftreten, wenn sie Probleme verursachen. Einer dieser Prozesse ist die regelmäßige Aktualisierung der FQDN-Objekte, die in der Politik verwendet. Diese löst DNS-Abfragen, um die dazugehörigen IP-Adressen zu aktualisieren, und wenn die Managementebene bereits besteuert wird, könnte dazu führen, dass Spitzen. Die Frequenz kann verringert werden, indem Sie die Refresh-Zeit für einen längeren Zeitraum, bis auf 4 Stunden für regelmäßige Aktualisierungen und 24 Stunden für eine vollständige Aktualisierung.
> Konfigurieren Sie die
Eingabe des Konfigurations Modus
[Bearbeiten]
# Set DeviceConfig System FQDN-aktualisieren-Zeit <600-14399>
# Set DeviceConfig System FQDN-forceRefresh-Time <14400-86400></14400-86400> </600-14399>
In dem vorangegangenen Artikel diskutierten wir auch Anmeldung für bestimmte Anwendungen, die sind sehr gesprächig, aber erfordern nicht unbedingt umfassende Protokollierung zu deaktivieren. Dies kann auch auf allgemeinere Regeln wie Intrazone Richtlinien angewendet werden, wo Datenverkehr protokollieren möglicherweise nicht notwendig.
RichtLinien, die eine detaillierte Protokollierung erfordern, sollten nur die Protokollierung am Ende aktiviert haben, da Log at-Session-Start dazu führen könnte, dass mehrere Protokolle für eine einzelne Sitzung generiert werden: WebEx zum Beispiel könnte sich im Laufe einer Sitzung mehrmals ändern, von TLS/SSL zum Web-Browsing, zu WebEx, zu WebEx Desktop, und so weiter. Dies würde mehrere Protokoll beim Start Log-Einträge, eine für jedes Mal erstellen, die Sitzung in einer anderen Anwendung verschiebt, sich.
In größere oder komplexere Umgebungen, LDAP Benutzer-ID und mehr insbesondere Gruppe Zuordnung, stellen eine erhebliche Belastung für das System, wenn große Mengen an Gruppenobjekte auf der Firewall geladen sind. Verringerung der Menge an Gruppenobjekte durch Herausfiltern von LDAP-Abfrageergebnisse nur auf die Gruppen in der Politik verwendet kann auch die Last auf der Managementebene zu verringern.
Um dies zu erreichen, nach Erstellung eines LDAP-Profils um LDAP-Informationen von einem Server abzurufen, kann ein Benutzerzuordnung Identifikation Gruppe Filter erstellt werden:
Zusätzliche Filter können hinzugefügt werden, so dass nur Benutzer und Gruppen enthält die entsprechenden Einträge werden gespeichert. Im Beispiel unten müssen Benutzer die Zeichenfolge "Webbenutzer" in ihrer Beschreibungsfeld hinzugefügt bekommen haben.
Bestimmte Gruppen können auch als alleinige Quelle der Information der Benutzer ausgewählt werden:
Schließlich als best Practice in Zeiten hoher Belastung kann es von Vorteil sein für Administratoren nicht die ACC oder Log Überwachung offen und auf aktualisieren, auto, da dies die Protokoll-Datenbank Abfragen und die Ausgabe auf dem Bildschirm alle paar Sekunden kompiliert gesetzt.
Ich hoffe, diese Tipps nützlich sein und helfen Ihnen die Last auf Ihrer Firewall-Management-Ebene zu halten.
Danke fürs Lesen!
Tom Piens