安全 : Cisco IronPort Web 安全设备

为什么是接收警报的为FTP日志推送错误,既使当转移是成功的?

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

目录

贡献用弗拉基米尔Sousa和Siddharth Rajpathak, Cisco TAC工程师。

问题:

为什么是接收警报的为FTP日志推送错误,既使当转移是成功的?

环境
WSA,配置的日志推送以221使用FTP服务器,该的FTP服务器回复,当关闭传输信道时(我们显示此行为)的只当前知道防弹FTP服务器

症状
用户接收从他们的Web阐明的安全工具的电子邮件告警,他们的accesslog推送失败。然而,他们看到推送的文件不出任何问题。

电子邮件应该类似于以下:
重要消息是:日志Error:订阅accesslog的推送错误:一ftp命令失败对10.12.1.3 :221

解决方案:
此问题是一个已知限制的结果在AsyncOS (Defect# CSCzv96454)的设备在离开会话以后收到从FTP服务器的一回复与代码221的地方。

FTP会话类似于以下:
-------------------------------------------------------------------------------------
就绪220个防弹的FTP服务器…
用户<username>
331为<username>要求的密码。
PASS <password>
登陆的230用户<username>
类型 I
200类型设置为I。
CWD/
250成功CWD的命令。“/”是当前目录。
PASV
227输入的被动模式(10,12,1,3,153,110)
STOR aclog.@20100104T145359.s
150从10.12.100.241:7136接受的数据连接;开始为aclog.@20100104T145359.s的转移。
226个文件已接收ok。
离开
221

-------------------------------------------------------------------------------------

我们注意,在文件传送服务器回复以226后(文件已接收ok),并且这由从WSA离开的跟随。服务器结束有与RFC可以相应地使用作为一注销的信息性回复的221的会话。

在AsyncOS版本7.5.0和以上应该修复软件缺陷CSCzv96454。

对于运行AsyncOS版本7.1.x和以下的WSAs,不发送221在会话结束时的唯一的应急方案是使用一个不同的FTP服务器。

注意:多数普遍的FTP服务器应该正常运转和不是显示此行为。目前,当关闭传输信道时,我们只知道防弹FTP服务器发送221。



Document ID: 118135