Seguridad : "Cisco Security Monitoring, Analysis and Response System"

CS-MARS: Notas técnicas de Troubleshooting

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento describe los mensajes de error de Cisco Security Monitoring, Analysis, and Response System (CS-MARS).

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en la versión segura 4.2x/5.2x de Cisco MARTE.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Mensaje de error al agregar un dispositivo

Problema

Este mensaje de error aparece en CS-MARS cuando usted intenta agregar un dispositivo tal como Cisco IOS router o Switch:

ssh_rsa_verify: n too small: 512 bits 
key_verify failed for server_host_key

http://www.cisco.com/c/dam/en/us/support/docs/security/security-monitoring-analysis-response-system/99790-CSMARSSSH-01.gif

Solución

Utilice esta solución para resolver el problema.

La causa para este mensaje de error es debido a una clave del 512-bit que sea generada por un router (dispositivo), pero MARTE cuenta con un 1024-bit o una clave más alta.

Para resolver este problema, ponga a cero la clave y genere una clave 1024-bit en el router:

Router#config terminal
Router(config)#crypto key zeroize rsa 
Router(config)#crypto key generate rsa general-keys modulus 1024

advertencia Advertencia: Cisco recomienda que usted utiliza los pares claves etiquetados en vez de los pares de clave predeterminada porque el poner a cero de los pares de clave predeterminada puede llevar a la terminación del túnel VPN. Puede también afectar a los datos del Certificate Authority (CA) que confían en sus claves predeterminadas, por ejemplo:

Router(config)#crypto key generate rsa general-keys label sshkey modulus 1024 exportable
Router(config)#ip ssh rsa keypair-name sshkey

Refiera a la referencia de comandos de la Seguridad de Cisco IOS para más información.

La pantalla móvil en blanco aparece mientras que se agrega el dispositivo

Problema

Cuando usted intenta agregar un dispositivo en el CS-MARS, una pantalla móvil en blanco aparece. Esto ocurre solamente cuando usted utiliza al navegador de la versión de Explorador de Internet 7.

Solución

Esto es un problema conocido con la versión de Explorador de Internet 7, y la pantalla móvil en blanco no tiene ningún impacto en las funciones. Usted puede cerrar a la pantalla de blanco y continuar agregando los dispositivos. Navegador de la versión de Explorador de Internet 6 o cualquier otro para evitar el problema móvil en blanco de la pantalla.

MARTE cae las reglas

Problema

Después de que usted actualice de la versión 6.0.2 a 6.0.3, aparece que las reglas del descenso están ignoradas.

Solución

Ponga al día su MARTE con la versión 6.0.3 (3188) de la corrección (csmars-6.0.3.3190-customerpatch.zip) para corregir los problemas potenciales con las reglas del descenso.

Integración CS MARTE — Problema cruzado del lanzamiento

Problema

Recibe este mensaje de error: Un error interno ha ocurrido. Cierre por favor todas las ventanas del buscador y asegúrese de que el dispositivo específico está agregado y sometido en el Cisco Security Manager (el CS)

Solución

Este problema ocurre cuando las alertas que se generan de los Firewall utilizan los nombres, no los IP Addresses, y la integración CS MARTE no soportan las alertas del Firewall que utilizan los nombres.

Para resolver este problema, publique el comando no names en el Firewall de habilitar la característica cruzada del lanzamiento para todas las alertas del Firewall.

NFS que archiva el trabajo

Problema

Usted puede ser que reciba del “el error inválido IP remoto o de la trayectoria” mientras que los archivos NFS.

Solución

Para resolver el problema, cambie el nivel de privilegio en el servidor de la ventana o recomience los servicios.

Refiera a la configuración el servidor NFS en Windows para más información sobre cómo configurar el NFS. Refiera al registro del permiso de los eventos NFS para más información sobre cómo habilitar el registro.

Base de datos Oracle corrompida

Problema

Usted puede ser que reciba este mensaje de error si se corrompe su base de datos Oracle:

Abortada programa debido a: ORA-01034: ORACLE no disponible

ORA-27101: el reino de memoria compartida no existe

Error de Linux: 2: Ningún tal archivo o directorio

Solución

Para resolver este problema, rehaga la imagen el dispositivo de MARTE. Para más información sobre cómo rehacer la imagen MARTE, refiera a rehacer la imagen un regulador local.

Incapaz de agregar el dispositivo con un archivo simiente

Problema

Cuando usted intenta agregar un dispositivo con un archivo simiente en el CS-MARS, este mensaje de error aparece:

Status: Errors occured while retrieving csv file from ftp server.

Solución

Esto ocurre cuando el archivo simiente no se guarda en el formato del Comma Separated Value (CSV). Usted debe salvar el archivo simiente como verdad archivo CSV. No salve el archivo como archivo de Microsoft Excel (archivo .xls); MARTE no puede interpretar un archivo formatado Microsoft Excel .xls y colgará mientras que carga los datos del germen. CS-MARS necesita estos datos bajo la forma de archivo verdadero del Comma Separated Value. Refiérase agregan la información y los dispositivos múltiples de la mitigación usando un archivo simiente para más información sobre cómo configurar un archivo simiente.

Incapaz de conectar con el dispositivo

Problema

Usted puede ser que reciba este error cuando usted no puede acceder un 3550 Switch de MARTE:

spawn ssh -c 3des -l marssys 10.15.110.16 
The authenticity of host '10.15.110.16 (10.15.110.16)' can't be established. 
RSA key fingerprint is ca:d6:ca:2c:ea:09:d6:2c:e2:78:d5:97:b6:f6:de:a5. 
Are you sure you want to continue connecting (yes/no)? yes 
Failed to add the host to the list of known hosts
(/opt/janus/release/bin/.ssh/known_hosts). 
ssh_rsa_verify: n too small: 512 bits 
key_verify failed for server_host_key

Solución

Este error ocurre si la configuración del módulo en la clave del ssh en el Switch se fija a 512; el valor debe ser más alto.

Error al tirar de los registros de Windows

Problema

Cuando usted tira de los registros de la parte, usted puede ser que reciba este error: Hilo 3075656624:winpull: error repetido que tira de 10.1.1.52, mirada en el registro backend para la información plena del error

Solución

Este error ocurre cuando consideran las ventanas doctas utilizado para tirar de los registros de acontecimientos no tienen los derechos para la cuenta de MARTE en el servidor.

Regla de sistema: Dispositivo de informe inactivo CS-MARS

Problema

Marte señala esta regla:

Regla de sistema: Dispositivo de informe inactivo CS-MARS. Y no recibió los Syslog.

Solución

Esta regla detecta los dispositivos de informe que no han señalado un evento en la hora anterior. Para los dispositivos habladores, tales como Firewall y IDS, este error puede indicar los problemas de conectividad o un problema con el dispositivo sí mismo. Esta regla debe ser scoped tragar para incluir solamente los dispositivos habladores de la infraestructura de red.

Error dentro de la exportación de la configuración del dispositivo

Problema

Cuando usted intenta exportar la configuración del dispositivo, el proceso parece ejecutarse, pero no hay archivo de configuración en el servidor SFTP, apenas una carpeta vacía que el proceso creó. Usted puede ser que también reciba el error: no podido salvar el archivo al mensaje del host remoto.

Solución

Marque que la cuenta que usted utiliza tiene acceso de escritura. Cisco recomienda que usted utiliza al servidor SFTP de Cygwin en Windows.

El Cisco Security MARTE apoya a los servidores SFTP como medio de almacenamiento para archivar o para emigrar los datos de 4.x a 6.0.1. Refiera a la configuración el servidor SFTP de Cygwin en Windows para la información sobre cómo configurar el Cygwin y el OpenSSH en Windows. Apunta al servidor SFTP de Cygwin en Windows XP.

Incapaz de reajustar la contraseña en CS-MARS

Problema

Usted no puede reajustar la contraseña en CS-MARS.

Solución

Utilice el pnadmin como el Nombre de usuario y la contraseña. Si esto no trabaja, la única forma de reajustar la contraseña en un sensor de MARTE es utilizar la recuperación DVD, que básicamente las nuevas imágenes el dispositivo. Aseegurese le hacer su llave de la licencia anotar antes de que usted utilice la recuperación CD/DVD. Refiera a recuperar una contraseña administrativa perdida para más información sobre cómo reajustar la contraseña en CS-MARS.

El regulador local no sincroniza correctamente con el regulador global

Problema

El regulador local (LC) no sincroniza correctamente con el regulador global (CROMATOGRAFÍA GASEOSA).

Solución

Aseegurese que el LC y la CROMATOGRAFÍA GASEOSA tienen la misma firma. El LC y la CROMATOGRAFÍA GASEOSA deben tener la misma firma para que sincronicen sin ningunos problemas.

Error al importar la configuración de la versión 4.3.6 a 6.0.2 en CS-MARS

Problema

Usted puede ser que reciba la importación de la configuración fallada con el código de error: error 111 cuando usted importa una configuración de la versión 4.3.6 a 6.0.2 en CS-MARS.

Solución

La configuración se puede importar de la versión 4.3.6 CS-MARS a la versión 6.0.1 solamente; no puede ser importada a 6.0.2. Para resolver este problema, importe la configuración a partir del 4.3.6 a 6.0.1 y después rehaga la imagen CS-MARS a 6.0.2.

Error al importar la configuración de la versión 6.0.4 CS-MARS

Problema

Usted puede ser que reciba el error: ningún archivo de configuración encontrado. Esta herramienta soporta solamente la importación del archivo de configuración generado por la versión 4.3.1 o más adelante a excepción de las versiones 5.x.x. error cuando usted importa una configuración de la versión 4.x a 6.0.4 en CS-MARS.

Solución

La configuración se puede importar de la versión 4.x CS-MARS a la versión 6.0.1 solamente; no puede ser importada a 6.0.2. Para resolver este problema, importe la configuración de 4.x a 6.0.1 y después rehaga la imagen CS-MARS a 6.0.4.

Refiera a los datos de la migración del Cisco Security MARTE 4.x a 6.0.X para más información sobre la migración de CS-MARS.

Error: Error de configuración: el nombre del host no hace juego janus.conf:: janusBoxName.

Problema

Usted puede ser que reciba este error después de que usted actualice CS-MARS:

Error: Error de configuración: el nombre del host no hace juego janus.conf:: janusBoxName. Entre en contacto por favor Cisco para el soporte.

Solución

Este error es debido al Id. de bug Cisco CSCsh82939 (clientes registrados solamente). Para evitar este problema en el futuro es recomienda cambiar el nombre de host al nombre de host original en lugar de otro que ejecuta el pnrestore en el nuevo “nombre de host predeterminado” después de la re-imagen y antes del pnrestore,

La importación de la configuración falla de la versión 6.0.1(2990) a la versión de la línea principal 6.0.3(3188) en CS-MARS

Problema

Usted puede ser que reciba este error cuando usted importa una configuración de la versión 6.0.1 a 6.0.3 en CS-MARS:

File gen_or_06_0_13.sql missing from schema.
Configuration import failed with error code: 1
Configrestore failed!
Error: failed to import config data

Solución

Si usted utiliza el pnexp y el pnimp ordena, la configuración se sostiene y se restablece solamente a la misma versión de MARTE. La única excepción está emigrando de la versión 4.x a la versión 6.0.1; este procedimiento no trabaja para emigrar de la versión 6.0.1 a la versión 6.0.3.

Usted debe nueva imagen MARTE con la versión original 6.0.1 otra vez (la versión de la cual usted funcionó con previamente el comando del pnexp), la configuración del restore con el pnimp, y entonces completar dos actualizaciones secuenciales con la utilidad del pnupgrade: 6.0.1 a 6.0.2 y entonces 6.0.2 a 6.0.3.

Nota: Los datos restablecen de un modelo más grande a un modelo más pequeño de CS-MARS no se soportan. Por ejemplo, usted no puede restablecer los datos de Marte 100 a MARTE 50.

Incapaz de configurar las alertas del correo electrónico en MARTE para todo el ROJO del nivel de gravedad gobierna

Problema

Usted no puede configurar las alertas del correo electrónico en MARTE para todas las reglas del ROJO del nivel de gravedad.

Solución

No es posible configurar las alertas del correo electrónico para todas las reglas ROJAS del nivel de gravedad en un paso. Usted debe configurar las alertas del correo electrónico sobre una base de la por-regla. Cree una regla de encargo (reglas > Add), y después elija ningunos para todos los parámetros excepto la gravedad. Para el parámetro de la gravedad, elija el ROJO, y fije una acción para enviar por correo electrónico para configurar las alertas del correo electrónico en MARTE para todas las reglas del ROJO del nivel de gravedad. Refiera a la configuración una regla para enviar una acción alerta para más información.

Para más información, refiera al Id. de bug Cisco CSCse89349 (clientes registrados solamente).

La característica auto de la actualización de firma de MARTE no trabaja

Problema

La característica auto de la actualización de firma en MARTE no trabaja si usted utiliza un proxy o el proxy/servidor de almacenamiento en memoria caché para acceder Internet. Usted puede ser que reciba este mensaje de error durante la actualización de firma auto: incapaz de conectar con el servidor, marque por favor el URL, el Nombre de usuario y la contraseña

Solución

MARTE no puede descargar las actualizaciones de firma dinámicas IPS si usted utiliza un proxy o el proxy/servidor de almacenamiento en memoria caché para acceder Internet. Si usted utiliza un proxy/servidor de almacenamiento en memoria caché, usted puede descargar manualmente los archivos de actualización de firma de este URL: http://www.cisco.com/cgi-bin/tablebuild.pl/mars-ips-sigup (clientes registrados solamente). Refiera a las configuraciones de la actualización dinámica de la firma IPS para más información sobre las actualizaciones de firma autos en MARTE.

Tipo de evento del dispositivo desconocido

Problema

CS-MARS señala este error durante una actualización de firma más alta: Tipo de evento del dispositivo desconocido

Solución

CS-MARS tiene una actualización de firma más alta que los sensores; ningún problema en el análisis debe presentarse. Sin embargo, si el sensor tiene una actualización de firma más alta que CS-MARS, CS-MARS pudo generar un error del tipo de evento del dispositivo desconocido pues el CS-MARS no puede analizar directamente las firmas más nuevas; los datos de evento sin procesar todavía estarán presentes. Debe haber impacto del rendimiento a los mensajes de evento potencialmente indescriptibles del exterior CS-MARS.

Nota: Las firmas de encargo se categorizan como “eventos del tipo de evento del dispositivo desconocido” en CS-MARS; sin embargo, funciones de las operaciones de búsqueda de la firma como se esperaba.

Incapaz de configurar MARTE para el Netflow

Problema

Usted encuentra los problemas después de que usted configure MARTE para el Netflow.

Solución

El Netflow es una tecnología de Cisco que soporta el tráfico de la red de la supervisión y se soporta en todas las imágenes del Cisco IOS básicas. MARTE recoge el Netflow que se envía del dispositivo de informe, y proporciona los diversos niveles de funciones (dependientes sobre si usted lo salva a la base de datos). Si está salvado, el Netflow puede ser preguntado, y usted puede tener los informes, las reglas, e incidentes para él. Refiera comprensión de la Detección de anomalías del Netflow para más información sobre cómo configurar MARTE para el Netflow y cómo los trabajos del Netflow. También refiera a Taskflow para configurar el registro de evento de seguridad del Netflow (NSEL) en MARTE para más detalles en la configuración de flujo de red.

CS-MARS señala los destinos múltiples como puerto 0

Problema

CS-MARS señala los destinos múltiples como puerto 0. El puerto destino es 0, y el IP Address de destino es a veces 0.0.0.0.

Solución

Éste es comportamiento previsto CS-MARS puesto que algunos tipos de evento de dispositivos de informe señalan los puertos o los IP Addresses de destinos múltiples. MARTE consolida simplemente esta información en un único valor (0). Si usted se refiere sobre los datos señalados a MARTE que accionó este comportamiento, usted puede funcionar con toda la interrogación del tipo de mensajes sin procesar de los eventos que corresponde con contra uno o más de los dispositivos de informe que accionaron este comportamiento para considerar la información que fue señalada a MARTE, que incluye los puertos múltiples o los IP Addresses de la designación. Todos los mensajes sin procesar de los eventos que corresponden con con los eventos sin procesar visualizan los campos del ID de evento, del tipo de evento, del tiempo, del dispositivo de informe, y del mensaje sin procesar.

Los eventos CS-MARS señalan la fuente como puerto 0 de 0.0.0.0

Problema

CS-MARS tiene eventos de algunos eventos que señalen la fuente como puerto 0 de 0.0.0.0.

Solución

En CS-MARS, la dirección IP 0.0.0.0 significa que no hay información para este campo. Esto es un convenio usado dentro de CS-MARS. Los IP Addresses y los puertos de 0.0.0.0 y 0 aparecen respectivamente en dos casos:

  1. Los que no fueron especificadas en el Syslog

  2. Los que tienen los valores múltiples (2 o más IP o puertos)

abortada programa debido a: ORA-01033: El Oracle que se inicializa o apaga en curso.

Problema

Este error ocurre cuando usted intenta comenzar o parar el servicio con los comandos del pnstart o del pnstop en el CLI en CS-MARS:

abortada programa debido a: ORA-01033: El Oracle que se inicializa o apaga en curso.

Este mensaje de error indica que la base de datos ha causado un crash.

Solución

Este error puede ser resuelto si usted rehace la imagen el CS-MARS seguido por la importación de la configuración.

Incapaz de sostener solamente la configuración en CS-MARS

Problema

Usted no puede sostener la configuración del dispositivo sin los datos en CS-MARS.

Solución

Usted puede archivar los datos de un dispositivo de MARTE y utilizar esos datos para restablecer el operating system (OS), las configuraciones de la configuración del sistema, los datos dinámicos (datos de evento), o el sistema completo. El dispositivo archiva y restablece los datos a y desde un sistema externo del Almacenamiento conectado a la red (NAS) con el protocolo del Network File System (NFS). Después de que usted archive todos los datos y configuraciones del dispositivo, restablezca solamente la información de la configuración del dispositivo para solamente restablecer la configuración del dispositivo. Refiera a configurar y a realizar los backups de los datos del dispositivo para más información sobre el backup de los datos del dispositivo en CS-MARS.

Actualice el software con el DVD

Problema

Usted no puede actualizar la imagen con el DVD en CS-MARS.

Solución

CS-MARS no reconoce el DVD como imagen de recuperación. Para resolver el problema, queme el CD a la velocidad 4x. Refiera a la transferencia y al Burning una recuperación DVD para más información sobre la actualización de software de dispositivo con el DVD en CS-MARS.

Incapaz de funcionar con el comando del raidstatus

Problema

Usted no puede funcionar con el comando del raidstatus en CS-MARS.

Solución

CS-MARS no soporta el comando del raidstatus en los modelos más bajos - 20 o 50. Solamente para los modelos 100, 100E, y 200 es este comando soportado.

IP desconocido del dispositivo de informe

Problema

Los dispositivos señalan como IP desconocido del dispositivo de informe en el sistema de MARTE.

Solución

Este problema es debido a los datos de evento de las etiquetas CS-MARS puesto que se recibe basó en la dirección IP de origen de la cual vino, y entonces realiza las operaciones de búsqueda en su configuración (que haga juego la dirección IP de origen a un dispositivo de informe configurado). Si no se encuentra ninguna coincidencia, el dispositivo se marca con etiqueta como “IP desconocido del dispositivo de informe,” que significa que el usuario no ha configurado MARTE para reconocer todos los requisitos para que MARTE pueda analizar/entiende los datos de evento, tales como el tipo de dispositivo de la dirección IP y de la versión de software/del código que funciona con.

Para verificar, observar la dirección IP o los direccionamientos en la pregunta, y navegar a > Security (Seguridad) de la configuración ADMIN > del sistema y monitorear la página de los dispositivos en el MARTE GUI. Verifique que la misma dirección IP o direccionamientos no sea mencionados. Una vez que está verificado, agregue un dispositivo de informe apropiado (y cada otro dispositivo de red que muestra como desconocido) para corregir este problema.

Error recibido al descargar el paquete de actualización en CS-MARS

Problema

Usted puede ser que reciba este error cuando usted descarga el paquete de actualización en CS-MARS:

La lista \ n del paquete del cisco.com un error ocurrió mientras que accede el cisco.com: Un error ocurrió accediendo el cisco.com. Código de error: ERR_INTERNAL

Solución

Este error ocurre cuando acceso de salida completo a origin-www.cisco.com (vía HTTPS/443) y software-sj.cisco.com (vía HTTP/80) no se configura en el Firewall. Para resolver este problema, aseegurese el Firewall (si presente) se configura para permitir el acceso de salida completo a origin-www.cisco.com (vía HTTPS/443) y a software-sj.cisco.com (vía HTTP/80).

Incapaz de agregar un FWSM en CS-MARS

Problema

Usted no puede agregar un FWSM en CS-MARS.

Solución

Antes de que usted pueda agregar un módulo FWSM en un Switch, usted debe agregar y configurar el módulo bajo (el switch Cisco) en MARTE. Refiera a configurar los dispositivos del escudo de protección Cisco para más información.

NTLMv2 no trabaja con CS-MARS

Problema

Usted no puede utilizar NTLMv2 con CS-MARS.

Solución

NTLMv2 no se soporta en CS-MARS; por lo tanto, usted no puede utilizar NTLMv2 con CS-MARS.

CS-MARS causa un crash con “el mensaje de la consola del pánico el 5" del corazón

Problema

CS-MARS causa un crash con el mensaje del pánico 5 del corazón en la consola. El mensaje incluye esta información: Hilo fatal 62385072:Exiting CET ./csips el proceso como OUT_OF_MEMORY volvió por el RIZO. el superV recomenzará el proceso.

Solución

Generalmente, este problema se considera así como un uso de memoria alta en el dispositivo CS-MARS. Funcionar con un comando de mostrar la información del inventario del sistema puede accionar este problema. Para más información, refiera al Id. de bug Cisco CSCsm40349 (clientes registrados solamente).

Error en CS-MARS durante el arrancar

Problema

Usted puede ser que reciba este error cuando CS-MARS arranca:

INCONSISTENCIA INESPERADA DE /dev/hda2; EJECUTE el fsck MANUALMENTE.

Solución

Rehaga la imagen el dispositivo CS-MARS para resolver este problema. Usted puede también intentar ejecutar el fsck manualmente antes de que usted rehaga la imagen el dispositivo.

Refiera a rehacer la imagen un regulador local para más información sobre cómo rehacer la imagen el dispositivo CS-MARS.

Error en CS-MARS durante la actualización de dispositivo

Problema

Usted puede ser que reciba este error cuando usted actualiza csmars-6.0.2.2102.30 a csmars-6.0.3.3188.32:

[Error][check_dependency/541]: version(6.0.2.3102.31) permitido mínimo > corriente version(6.0.2.3102.30)

Solución

Este error pudo ocurrir si la versión de los datos no fue puesta al día correctamente durante una actualización de la versión anterior.

Para resolver este problema, realice la actualización a 6.0.2 del CLI. Se salta la actualización de la versión de software, pero se realiza la actualización de la versión de los datos. Usted puede entonces actualizar a la versión 6.0.3.

Verifique su versión actual con el comando CLI de la versión

Refiera a la actualización del CLI para más información sobre cómo actualizar el dispositivo CS-MARS.

La navegación de MARTE GUI es lenta después de la actualización de 5.x a 6.0(4)

Problema

Usted puede ser que experimente los problemas de rendimiento con el MARTE GUI después de que usted actualice a partir el 5.3.1 a 6.0.

Solución

Actualización a la versión 6.0.6 para resolver este problema.

Los informes no exportan a otras aplicaciones

Problema

Usted no puede exportar los informes de MARTE en un formato presentable, tal como PowerPoint, PDF, palabra, o Excel.

Solución

CS-MARS incluye las funciones para exportar los informes a otras aplicaciones. CS-MARS apoya solamente estos dos tipos de formatos para los informes:

  • Comma-Separated Values (CSV)

  • HTML

Nota: Si usted eligió ver el informe como archivo CSV, usted necesita salvar el archivo a su ordenador, y abrir archivo CSV en una aplicación de terceros. Para más información, refiera a las operaciones en los informes existentes.


Información Relacionada


Document ID: 99790