问题征兆:
- 通常,无论是否中国体育彩票开奖了“计数”,SRX上的每个防火墙规则都会自动更新一个snmp计数器以获取命中计数。 Juniper Space 安全 Director会定期轮询这些OID并更新命中数。
- 在Junper Space 16.1 R1中,发现的问题无法查看策略
杜松 Space 安全 Director的命中率很高,但SRX本身仍在不断更新。
所采取的行动:
- 从命令行验证安全设备策略命中
[email protected]> show security policies hit-count node1: -------------------------------------------------------------------------- Logical system: root-logical-system Index 从 zone To zone Name Policy count 1 Vlan2 Vlan1 Baramondi_Monitor 0 2 Vlan2 Vlan1 10 4428 3 Vlan2 Vlan1 50 0 4 Vlan2 Vlan1 40 11136 5 Vlan2 Vlan1 default-logdrop 0 6 Vlan2 Vlan1 53 2007 7 Vlan2 Vlan1 54 0 8 Vlan2 Vlan1 55 0 9 Vlan2 MGMT 6 538 10 Vlan2 MGMT 23 0 11 Vlan2 MGMT 74 2 12 Vlan2 MGMT default-logdrop 81 13 Office Vlan1 default-logdrop 0 14 Office Vlan1 60 447 15 Office Vlan1 Office_Archive 0 16 Office Vlan1 58 0 17 Office Vlan1 Baramondi_Monitor-1 0 18 Office MGMT Office_Archive-1 0 19 Office MGMT default-logdrop 0 20 Vlan1 Vlan2 Baramondi_Rules 0 21 Vlan1 Vlan2 VA 0 22 Vlan1 Vlan2 A_Office_2_Vlan2 292 23 Vlan1 Vlan2 default-logdrop 1696 24 Vlan1 Office VA-1 0 25 Vlan1 Office Baramondi_Rules-1 0 26 Vlan1 Office Device-Zone-1 0 27 Vlan1 Office 4 1299 28 Vlan1 Office default-logdrop 0 ........
显然,SRX本身具有命中率,但是它们并未被拉入/推入太空。日志收集器已中国体育彩票开奖,并且正在从此SRX接收日志。
解决方案:
- 让Juniper Space手动探查最新策略命中
在“防火墙策略”页面中,您可以手动
- 这是16.1R1版本中报告的一个已知问题,
解决此问题的方法如下:
从
Space CLI运行以下命令:
Space CLI运行以下命令:
MySQL的
-ujboss -pnetscreen sm_db -e“更新RuntimePreferencesEntity set
值='2',其中名称='POLICY_HIT_COUNT_MAX_SUBJOBS_PER_NODE';”
Space release 16.1R2.7 (381623)
Last login: Fri Sep 8 15:27:35 2017 from 10.9.200.168
Welcome to the Junos Space network settings utility.
Initializing, please wait
Junos Space Settings Menu
1> Change Password
2> Change 网络 Settings
3> Change Time Options
4> Retrieve Logs
5> 安全
6> Expand VM Drive Size
7> (Debug) run shell
A> Apply changes
Q> Quit
R> Redraw Menu
Choice [1-7,AQR]: 7
[sudo] password for admin:
[[email protected] ~]#
[[email protected] ~]#
[[email protected] ~]#
[[email protected] ~]# MySQL的 -ujboss -pnetscreen sm_db -e "update RuntimePreferencesEntity set value='2' where name='POLICY_HIT_COUNT_MAX_SUBJOBS_PER_NODE';"
Warning: Using a password 上 the command line interface can be insecure.
[[email protected] ~]#
- 重新启动JBOSS:
首先,确定哪个节点具有VIP
(eth0:0)。 使用以下命令检查每个节点:
(eth0:0)。 使用以下命令检查每个节点:
# ifconfig
eth0:0
eth0:0
推荐的重启过程(仅
如果需要重新启动JBOSS):
如果需要重新启动JBOSS):
1.
停止所有JBOSS节点上的进程
# 服务jmp-watchdog停止
# 服务站
# 服务jboss-dc停止
注意: jboss-dc仅在VIP节点上处于活动状态,但该命令无效
任何伤害
停止所有JBOSS节点上的进程
# 服务jmp-watchdog停止
# 服务站
# 服务jboss-dc停止
注意: jboss-dc仅在VIP节点上处于活动状态,但该命令无效
任何伤害
2.
确认是否已关闭JBOSS
确认是否已关闭JBOSS
# 服务
jboss状态
jboss状态
3.
在VIP节点上启动服务
# 服务jmp-watchdog启动
注意: 看门狗启动其他进程
在VIP节点上启动服务
# 服务jmp-watchdog启动
注意: 看门狗启动其他进程
4.
登录后,在所有其他节点上启动服务
# 服务jmp-watchdog启动
登录后,在所有其他节点上启动服务
# 服务jmp-watchdog启动
[[email protected] ~]# 服务jmp-watchdog停止
[[email protected] ~]# 服务 jboss stop
found and stop jboss
[[email protected] ~]# 服务jboss-dc停止
stop domain controller
[[email protected] ~]# 服务 jboss状态
jboss is stopped
[[email protected] ~]# 服务jmp-watchdog启动
jmp-watchdog running
[[email protected] ~]# ifconfig eth0:0
eth0:0 Link encap:Ethernet HWaddr C6:18:6F:1B:3E:DB
inet addr:10.9.200.22 Bcast:10.9.200.127 Mask:255.255.255.128
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:145
