ヒント ・ コツ: 管理面の負荷の軽減: その 2

シリーズで 2 番目は、管理面の負荷を減らすためにトリックのあなたのバッグのいくつかのヒントを追加してみましょう。数週間前、我々はこのトピックについてのヒント & トリックシリーズを始めたので、今週はパート2を続行します。

生産時間中に管理面の高められた負荷の一般的な原因は、彼らが問題を引き起こしている場合より頻繁に発生するいくつかのチューニングできるバック グラウンドで実行されている自動プロセスです。これらのプロセスの 1 つは、ポリシーで使用される FQDN オブジェクトの定期的な更新です。これらは、関連付けられている IP アドレスを更新するのには DNS 参照がトリガーされます、管理面は既に課税されている場合は、スパイクを引き起こす可能性があります。頻度は、定期的更新のため 4 時間から 24 時間完全更新するまで長い期間に更新時間を設定することによって減少することができます。

> 構成モードの入力を構成する

[編集] 
# set deviceconfig システムの fqdn-更新-時間<600-14399>
# セット deviceconfig システムの<14400-86400></14400-86400> fqdn-forcerefresh-時間</600-14399>  

前回の記事でまた議論は、非常におしゃべりが必ずしも広範な記録を必要としないアプリケーションを特定のログを無効にします。これは、トラフィックのログ記録を必須できない intrazone ポリシーのようなより一般的なルールを適用できます。

詳細なログ記録を必要とするポリシーでは 、セッション開始時のログが1つのセッションに対して複数のログを生成する可能性があるため、最後に有効になっているログのみを使用する必要があります。たとえば、WebEx は、セッションの間に数回変更できます。web ブラウジング、WebEx、WebEx デスクトップへの TLS/SSL など。いくつかのログを作成すると、セッションが別のアプリケーションに移動するたびに 1 つずつログ エントリの開始でこれでしょう。

大きいまたはより複雑な LDAP 環境でユーザーの識別などは具体的には、グループのマッピング、ファイアウォール上に大量のグループ オブジェクトが読み込まれるときにシステムの重要な緊張を置くことができます。ポリシーで使用されるグループのみに LDAP クエリの結果をフィルタ リングによってグループ オブジェクトの量が減ると、管理面の負荷も減らすことができます。

サーバーから LDAP 情報を取得する LDAP プロファイルの作成後、これを行うため、ユーザー識別グループ マッピングのフィルターを作成できます。

追加のフィルターは、ので、ユーザーのみを追加できます、適切なエントリを含むグループが格納されます。以下の例では、ユーザーは追加取得の説明] フィールドに文字列を"WebUser"する必要があります。

特定のグループは、ユーザー情報の唯一のソースとして選択できます。

最後に、高負荷の時にベスト プラクティスとして ACC またはオープン監視ログを持っていないと自動更新、これはログ データベースに照会して、数秒ごとに画面に出力を再コンパイルに設定する管理者にとって有益な場合があります。

これらのヒントは便利になるし、あなたのファイアウォールの管理面の負荷を抑えるお手伝いを願っています。

読書をありがとう!

トム Piens