セキュリティ : Cisco Firepower Management Center

FireSIGHT システムの Network Time Protocol (NTP)で問題を解決して下さい

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

外部 NTP サーバ、か FireSIGHT Management Center (NTP サーバとしてサービング)を使用することを使用して 3 つのさまざまな方法の FireSIGHT システム間の時間を、手動でのような、同期することを選択できます。 ように NTP を使用しているタイム サーバー FireSIGHT Management Center を設定でき、次に FireSIGHT Management Center と管理対象装置間の時間を同期するのにそれを使用する。 この資料は FireSIGHT システムの時刻の同期においてのよくある 問題をそれらを解決する方法を記述したものです。

著者:Cisco TAC エンジニア、ナズムル・ラジブ。

前提条件

時刻の同期設定を行うために、FireSIGHT Management Center のアクセスの水平な admin を必要とします。

: このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

症状

  • FireSIGHT Management Center ディスプレイ健全性は Webインターフェイスの警告 します。

  • ヘルス モニタ ページは critial ように時刻の同期 モジュールのステータスが同期外れであるので、アプライアンスを示します。

  • アプライアンスが同期されてとどまらない場合断続的な健全性アラートを見るかもしれません。
  • システム ポリシーを適用した後、同期を完了するために FireSIGHT Management Center および管理対象装置が 20 分程かかるかもしれないので健全性アラートを見るかもしれません。 これは管理対象装置に時間を動作できる前に FireSIGHT Management Center が設定された NTP サーバと最初に同期する必要があるという理由によります。
  • FireSIGHT Management Center と管理対象装置間の時間は一致する。
  • センサーで生成されるイベントは FireSIGHT Management Center で目に見えるようになるために分か時間がかかるかもしれません。
  • 動作すれば仮想 な アプライアンスのためのクロック セットアップが同期されないことを仮想 な アプライアンスおよびヘルス モニタ ページは示しましたり、システム ポリシー 時刻の同期設定をチェックします。 Cisco は物理的 な NTP サーバに仮想 な アプライアンスを同期することを推奨します。 仮想 な防御センターに管理対象装置を(仮想か物理的 な)同期しないで下さい。

トラブルシューティング

ステップ 1: NTP 設定を確認して下さい

FireSIGHT システムで適用される NTP がシステム ポリシーで有効に なることを確認して下さい。 それを確認するために、下記のようにステップに従って下さい:

  • システム > ローカル > システム ポリシーへのナビゲート。
  • FireSIGHT システムで適用されるシステム ポリシーを編集して下さい。
  • 時刻の同期を選択して下さい。

FireSIGHT Management Center に NTP によってに(別名防御センターか DC ことを) clock set がからのあったら、NTP サーバのアドレスは提供されますかどうか確認すれば。  また管理対象装置が防御センターからの NTP によってに設定 されることを確認して下さい。

ステップ 2: タイムサーバーを識別すればそれはステータスです

1. タイム サーバーへの接続についての情報を収集するために、FireSIGHT Management Center の次のコマンドを実行して下さい:

admin@FireSIGHT:~$ ntpq -pn

remote refid st t when poll reach delay offset jitter
==============================================================================
*198.51.100.2 203.0.113.3 2 u 417 1024 377 76.814 3.458 1.992

遠隔の下のアスタリスク[*]は現在に同期されるサーバを示します。 アスタリスクが付いているエントリが利用できない場合、クロックはそれと現在です timesource 同期化されません。

管理対象装置で、NTP サーバのアドレスを確認するためにシェルの次のコマンドを実行できます:

> show ntp

NTP Server : 127.0.0.2 (Cannot Resolve)
Status : Being Used
Offset : -8.344 (milliseconds)
Last Update : 188 (seconds)

: FireSIGHT Management Center から時間を受け取るために管理対象装置が設定される場合デバイスは 127.0.0.2 のようなループバックアドレスが付いている timesource を、示します。 この IP アドレスは sfipproxy エントリで、時間を同期するのに管理 バーチャルネットワークが使用されていることを示します。

2.  アプライアンスは自身のクロックと同期していることをそれが 127.127.1.1 と同期しているアプライアンス ディスプレイが、それ示せば。 それはシステム ポリシーで設定されるタイムサーバーが synchronizable ではないと発生します。 次に、例を示します。

admin@FirePOWER:~$ ntpq -pn

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 192.0.2.200     .INIT.          16 u    - 1024    0    0.000    0.000   0.000
*127.127.1.1     .SFCL.          14 l    3   64  377    0.000    0.000   0.001

3. ntpq コマンド 出力で、注意すれば st (層)の値はタイムサーバーが到達不能であり、アプライアンスがそのタイムサーバーと sychronize できないことを 16、それ示しますです。

4. ntpq コマンド 出力で、範囲は最新 8 つのポーリング試みにおけるソースに達する成功か失敗を示す 8 進数を示します。 見れば値は最後の 8 つの試みが正常だったことを 377、それ意味しますです。 他のどの値も最後の 8 つの試みの何れか一つ以上が不成功だったことを示すかもしれません。

ステップ 3: 接続の確認

1. タイム サーバーに基本的な接続をチェックして下さい。

admin@FireSIGHT:~$ ping <IP_addres_of_NTP_server> 

2. ポート 123 が FireSIGHT システムで開いていることを確認して下さい。

admin@FireSIGHT:~$ netstat -an | grep 123

3. ポート 123 がファイアウォールで開いていることを確認して下さい。

4. ハードウェア クロックをチェックして下さい:

admin@FireSIGHT:~$ sudo hwclock

ハードウェア クロックが正常に同期するには余りにも遠い旧式である場合、それらは決してかもしれなくないです。 手動で クロックをタイム サーバーと設定 されるために強制するように次のコマンドを実行して下さい:

admin@FireSIGHT:~$ sudo ntpdate -u <IP_address_of_known_good_timesource>

それから再始動 ntpd

admin@FireSIGHT:~$ sudo pmtool restartbyid ntpd

ステップ 4: コンフィギュレーション ファイルを確認して下さい

1. sfipproxy.conf ファイルが正しく読み込まれるかどうか確認して下さい。 このファイルは sftunnel 上の NTP トラフィックを送信 する役割があります。

管理対象装置の /etc/sf/sfipproxy.conf ファイルの例は下記のようにあります:

admin@FirePOWER:~$ sudo cat /etc/sf/sfipproxy.conf

config
{
nodaemon 1;
}
peers
{
dbef067c-4d5b-11e4-a08b-b3f170684648
{
services
{
ntp
{
listen_ip 127.0.0.2;
listen_port 123;
protocol udp;
timeout 20;
}
}
}
}

FireSIGHT Management Center の /etc/sf/sfipproxy.conf ファイルの例は下記のようにあります:

admin@FireSIGHT:~$ sudo cat /etc/sf/sfipproxy.conf

config
{
nodaemon 1;
}
peers
{
854178f4-4eec-11e4-99ed-8b16d263763e
{
services
{
ntp
{
protocol udp;
server_ip 127.0.0.1;
server_port 123;
timeout 10;
}
}
}
}

2. 同位 セクションの下のユニバーサル固有の識別番号(UUID)が ims.conf ファイルにピアをマッチさせることを確かめて下さい。 たとえば、FireSIGHT Management Center の /etc/sf/sfipproxy.conf ファイルの peerssection の下で見つけられる UUID は管理対象装置の /etc/ims.conf ファイルで見つけられる UUID と一致する必要があります。 同様に、管理対象装置の /etc/sf/sfipproxy.conf ファイルの peerssection の下で見つけられる UUID は管理 アプライアンスの /etc/ims.conf ファイルで見つけられる UUID と一致する必要があります。

下記のようにコマンドでデバイスの UUID を取得できます:

admin@FireSIGHT:~$ sudo grep UUID /etc/sf/ims.conf

APPLIANCE_UUID=dbef067c-4d5b-11e4-a08b-b3f170684648

これらはシステム ポリシーによって普通自動的に読み込む必要がありますがこれらのスタンザが抜けているケースがずっとあります。 それらが修正されるか、または変更される必要があれば次の通り sfipproxy および sftunnel を再起動する必要があります:

admin@FireSIGHT:~$ sudo pmtool restartbyid sfipproxy
admin@FireSIGHT:~$ sudo pmtool restartbyid sftunnel

3. ntp.conf ファイルが /etc ディレクトリで利用できるかどうか確認して下さい。

admin@FireSIGHT:~$ ls /etc/ntp.conf*

NTP コンフィギュレーション ファイルが利用できない場合、バックアップ コンフィギュレーション ファイルからコピーを撮ることができます。 次に、例を示します。

admin@FireSIGHT:~$ sudo cp /etc/ntp.conf.bak /etc/ntp.conf

4. /etc/ntp.conf ファイルが正しく読み込まれるかどうか確認して下さい。 システム ポリシーを適用するとき、ntp.conf ファイルは書き換えられます。

ntp.conf ファイルの出力はシステム ポリシーで行われるタイムサーバー設定を示したものです。 タイムスタンプ エントリは最後のシステム ポリシーがデバイスに適用した時間を示す必要があります。 サーバエントリは規定 されたタイムサーバー アドレスを示しなさい。

admin@FireSIGHT:~$ sudo cat /etc/ntp.conf

# automatically generated by /etc/sysconfig/configure-network ; do not edit
# Tue Oct 21 17:44:03 UTC 2014

restrict default noquery nomodify notrap nopeer
restrict 127.0.0.1
server 198.51.100.2
logfile /var/log/ntp.log
driftfile /etc/ntp.drift

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118626