Безопасность : "Система Cisco Security Monitoring, Analysis and Response System"

MARS CS: Технические примечания по поиску и устранению неисправностей

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает сообщения об ошибках в Мониторинге Cisco Security, Анализе и Cистеме ответа (MARS CS).

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на Версии 4.2x/5.2x MARS Cisco Secure.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Сообщение об ошибках при Добавлении Устройства

Проблема

Когда вы пытаетесь добавить устройство, такое как маршрутизатор Cisco IOS или коммутатор, это сообщение об ошибках появляется в MARS CS:

ssh_rsa_verify: n too small: 512 bits 
key_verify failed for server_host_key

http://www.cisco.com/c/dam/en/us/support/docs/security/security-monitoring-analysis-response-system/99790-CSMARSSSH-01.gif

Решение

Используйте это решение для решения проблемы.

Причина для этого сообщения об ошибках происходит из-за 512-разрядного ключа, который генерируется маршрутизатором (устройство), но MARS ожидает 1024-разрядный или более высокий ключ.

Для решения этого вопроса обнулите ключ и генерируйте 1024-разрядный ключ в маршрутизаторе:

Router#config terminal
Router(config)#crypto key zeroize rsa 
Router(config)#crypto key generate rsa general-keys modulus 1024

warning % Warning: Cisco рекомендует использовать маркированные пары ключей вместо пар ключа по умолчанию, потому что обнуление пар ключа по умолчанию может привести к завершению VPN-туннеля. Это может также влиять на данные Центра сертификации (CA), которые полагаются на ваши ключи по умолчанию, например:

Router(config)#crypto key generate rsa general-keys label sshkey modulus 1024 exportable
Router(config)#ip ssh rsa keypair-name sshkey

См. Справочник по командам Безопасности Cisco IOS для получения дополнительной информации.

В то время как Устройство Добавлено, пустой Всплывающий Экран Появляется

Проблема

Когда вы пытаетесь добавить устройство в MARS CS, пустой всплывающий экран появляется. Это происходит только при использовании браузера версии 7 Internet Explorer.

Решение

Это - известная неполадка с версией 7 Internet Explorer, и пустой всплывающий экран не оказывает влияния на функциональность. Можно закрыть пустой экран и продолжить добавлять устройства. Версия 6 Internet Explorer или любой другой браузер для предотвращения пустой всплывающей экранной проблемы.

Правила отбрасываний MARS

Проблема

После обновления от версии 6.0.2 до 6.0.3 кажется, что проигнорированы правила отбрасывания.

Решение

Обновите свой MARS с выпуском 6.0.3 (3188) (csmars-6.0.3.3190-customerpatch.zip) исправления для исправления потенциальных проблем с правилами отбрасывания.

Интеграция MARS CSM — перекрестная проблема запуска

Проблема

Отображается следующее сообщение об ошибке: Внутренняя ошибка произошла. Близко все окна браузера и гарантируют, что определенное устройство добавлено и отправлено в Cisco Security Manager (CSM)

Решение

Эта проблема происходит, когда предупреждения, которые генерируются с названий использования межсетевых экранов, не IP-адресов и интеграции MARS CSM, не поддерживают предупреждения межсетевого экрана то использование названия.

Для решения этого вопроса выполните команду no names на межсетевом экране для активации перекрестной опции запуска для всех предупреждений межсетевого экрана.

Архивация NFS, не работающая

Проблема

В то время как NFS архивирует, вы могли бы получить "Недопустимого удаленного IP или соединить каналом" ошибку.

Решение

Для решения вопроса измените уровень привилегий на окне server или перезапустите сервисы.

См. Настраивают Сервер NFS на Windows для получения дополнительной информации о том, как настроить NFS. См. Enable Logging Событий NFS для получения дополнительной информации, о как к enable logging.

Поврежденная база данных Oracle

Проблема

Если ваша База данных Oracle повреждена, вы могли бы получить это сообщение об ошибках:

Программа прервалась из-за: ORA 01034: ORACLE, не доступный

ORA 27101: область совместно используемой памяти не существует

Ошибка Linux: 2: Никакой такой файл или каталог

Решение

Для решения этого вопроса повторно захватите образ устройство MARS. Для получения дополнительной информации о том, как повторно захватить образ MARS, обратитесь к Повторно захватыванию образ Локального контроллера.

Неспособный добавить устройство с файлом прототипа

Проблема

Когда вы пытаетесь добавить устройство с файлом прототипа в MARS CS, это сообщение об ошибках появляется:

Status: Errors occured while retrieving csv file from ftp server.

Решение

Когда файл прототипа не сохранен в формате отделенного запятой значения (CSV), это происходит. Необходимо сохранить файл прототипа как истинный Файл csv. Не сохраните файл как файл Microsoft Excel (.xls файл); MARS не может интерпретировать Microsoft Excel, отформатировал .xls файл и "зависнет", в то время как это загружает инициирующие данные. MARS CS нужны эти данные в форме истинного файла отделенного запятой значения. См. Добавляют Множественные Устройства Создания отчетов и Смягчения Использование Файла прототипа для получения дополнительной информации о том, как установить файл прототипа.

Неспособный соединиться с устройством

Проблема

Когда вы неспособны обратиться к 3550 коммутаторам от MARS, вы могли бы получить эту ошибку:

spawn ssh -c 3des -l marssys 10.15.110.16 
The authenticity of host '10.15.110.16 (10.15.110.16)' can't be established. 
RSA key fingerprint is ca:d6:ca:2c:ea:09:d6:2c:e2:78:d5:97:b6:f6:de:a5. 
Are you sure you want to continue connecting (yes/no)? yes 
Failed to add the host to the list of known hosts
(/opt/janus/release/bin/.ssh/known_hosts). 
ssh_rsa_verify: n too small: 512 bits 
key_verify failed for server_host_key

Решение

Если значение модуля на ssh key в коммутаторе установлено в 512, эта ошибка происходит; значение должно быть выше.

Ошибка, когда Получение по запросу Журналов от Windows

Проблема

При получении по запросу журналов от бэкэнда вы могли бы получить эту ошибку: Thread 3075656624:winpull: repeated error pulling from 10.1.1.52, look in backend log for full info of the error

Решение

Когда изученная учетная запись окон, используемая для получения по запросу журналов событий, не имеет прав для учетной записи MARS на сервере, эта ошибка происходит.

Системное правило: неактивное устройство создания отчетов MARS CS

Проблема

Марс сообщает об этом правиле:

Системное Правило: Неактивное Устройство создания отчетов MARS CS. И не получил системные журналы.

Решение

Это правило обнаруживает устройства создания отчетов, которые не сообщили о событии в прошлый час. Для болтливых устройств, таких как межсетевые экраны и IDS, эта ошибка может указать на проблемы с подключением или проблему с самим устройством. Это правило должно быть ограничено по объему вниз для включения только болтливых устройств сетевой инфраструктуры.

Ошибка в экспорте конфигурации устройства

Проблема

Когда вы пытаетесь экспортировать конфигурацию устройства, процесс, кажется, работает, но нет никакого файла конфигурации на сервере SFTP, просто пустая папка, которую создал процесс. Вы могли бы также получить Ошибку: подведенный, чтобы сохранить файл к сообщению удаленного хоста.

Решение

Проверьте, что учетная запись, которую вы используете, имеет доступ с правом записи. Cisco рекомендует использовать Сервер SFTP Cygwin на Windows.

Cisco Security MARS поддерживает серверы SFTP как носитель, чтобы заархивировать или переместить данные от 4.x до 6.0.1. См. Настраивают Сервер SFTP Cygwin на Windows для получения информации о том, как настроить Cygwin и OpenSSH на Windows. Это предназначается для сервера SFTP Cygwin на Windows XP.

Неспособный изменить пароль в MARS CS

Проблема

Вы неспособны изменить пароль в MARS CS.

Решение

Используйте pnadmin в качестве имени пользователя и пароля. Если это не работает, единственный способ изменить пароль на датчике MARS состоит в том, чтобы использовать DVD восстановления, который в основном повторно захватывает образ устройство. Удостоверьтесь, что вам записали ваш лицензионный ключ перед использованием CD/DVD восстановления. См. Восстановление Потерянного Пароля администратора для получения дополнительной информации о том, как изменить пароль на MARS CS.

Локальный контроллер не синхронизирует должным образом с глобальным контроллером

Проблема

Локальный контроллер (LC) не синхронизируется должным образом с Глобальным контроллером (GC).

Решение

Удостоверьтесь, что и LC и GC имеют ту же подпись. LC и GC должны иметь ту же подпись для них для синхронизации без любых проблем.

Ошибка при Импорте Конфигурации от Версии 4.3.6 до 6.0.2 в MARS CS

Проблема

Вы могли бы получить ошибку Configuration import failed with error code: 111 при импорте конфигурации от версии 4.3.6 до 6.0.2 в MARS CS.

Решение

Конфигурация может быть импортирована от версии 4.3.6 MARS CS до версии 6.0.1 только; это не может быть импортировано в 6.0.2. Для решения этого вопроса импортируйте конфигурацию от 4.3.6 до 6.0.1 и затем повторно захватите образ MARS CS к 6.0.2.

Ошибка при Импорте Конфигурации из Версии 6.0.4 MARS CS

Проблема

Вы могли бы получить ошибку Error: no configuration archive found. This tool only supports importing configuration archive generated by 4.3.1 release or later with the exception of 5.x.x releases. при импорте конфигурации от версии 4.x до 6.0.4 в MARS CS.

Решение

Конфигурация может быть импортирована от версии 4.x MARS CS до версии 6.0.1 только; это не может быть импортировано в 6.0.2. Для решения этого вопроса импортируйте конфигурацию от 4.x до 6.0.1 и затем повторно захватите образ MARS CS к 6.0.4.

См. Мигрирующие Данные из Cisco Security MARS 4.x к 6.0. X для получения дополнительной информации о миграции MARS CS.

Ошибка: Ошибка конфигурации: имя хоста не совпадает с janus.conf:: janusBoxName.

Проблема

Вы могли бы получить эту ошибку после обновления MARS CS:

Error: Configuration error: host name does not match janus.conf::janusBoxName. Please contact Cisco for support.

Решение

Эта ошибка происходит из-за идентификатора ошибки Cisco CSCsh82939 (только зарегистрированные клиенты). Во избежание этой проблемы в будущем это, рекомендуют изменить имя хоста на исходное имя хоста, вместо этого работающее pnrestore на новом "имени хоста" по умолчанию и после повторно захватывания образ и перед pnrestore,

Сбои импорта конфигурации от версии 6.0.1 (2990) до основного релиза 6.0.3 (3188) в MARS CS

Проблема

Вы могли бы получить эту ошибку при импорте конфигурации от версии 6.0.1 до 6.0.3 в MARS CS:

File gen_or_06_0_13.sql missing from schema.
Configuration import failed with error code: 1
Configrestore failed!
Error: failed to import config data

Решение

При использовании команд pnexp и pnimp конфигурация выполнена резервное копирование и восстановлена только той же версии MARS. Единственное исключение мигрирует от версии 4.x до версии 6.0.1; эта процедура не работает для миграции от версии 6.0.1 до версии 6.0.3.

Необходимо повторно захватить образ MARS с исходными 6.0.1 версиями снова (версия, от которой вы ранее выполнили команду pnexp), конфигурация восстановления с pnimp, и затем завершите два последовательных обновления с pnupgrade утилитой: 6.0.1 к 6.0.2 и затем 6.0.2 к 6.0.3.

Примечание: Восстановление данных от большей модели до меньшей модели MARS CS не поддерживается. Например, вы не можете восстановить данные с Марса 100 к MARS 50.

Неспособный Настроить Почтовые Предупреждения на MARS для всех Правил КРАСНОГО Уровня важности

Проблема

Вы неспособны настроить почтовые предупреждения на MARS для всех правил КРАСНОГО уровня важности.

Решение

Не возможно настроить почтовые предупреждения для всех правил КРАСНОГО уровня важности за один шаг. Необходимо настроить почтовые предупреждения на основе на правило. Создайте пользовательское правило (Правила> Добавляют), и затем выберите любого для всех параметров кроме степеней серьезности ошибки. Для параметра степеней серьезности ошибки выберите RED и заставьте действие посылать по электронной почте для настройки почтовых предупреждений на MARS для всех правил КРАСНОГО уровня важности. См. Настраивают Правило Передать Аварийное Действие для получения дополнительной информации.

Для получения дополнительной информации обратитесь к идентификатору ошибки Cisco CSCse89349 (только зарегистрированные клиенты).

MARS автоматическая функция обновления подписи не работает

Проблема

Автоматическая функция обновления подписи в MARS не работает при использовании прокси или прокси/сервера кэширования для доступа к Интернету. Вы могли бы получить это сообщение об ошибках во время автоматического обновления подписи: unable to connect to the server, please check the URL,User name and password

Решение

MARS неспособен загрузить обновления подписи динамических IP при использовании прокси или прокси/сервера кэширования для доступа к Интернету. При использовании прокси/сервера кэширования можно вручную загрузить файлы обновления подписи от этого URL: http://www.cisco.com/cgi-bin/tablebuild.pl/mars-ips-sigup (только зарегистрированные клиенты). См. Параметры настройки Динамического обновления Подписи IPS для получения дополнительной информации об автоматических обновлениях подписи в MARS.

Тип события неизвестного устройства

Проблема

MARS CS сообщает об этой ошибке во время более высокого обновления подписи: Unknown Device Event Type

Решение

MARS CS имеет более высокое обновление подписи, чем датчики; никакая проблема в парсинге не должна возникать. Однако, если датчик имеет более высокое обновление подписи, чем MARS CS, MARS CS мог бы генерировать ошибку Типа события Неизвестного устройства, поскольку MARS CS не может непосредственно проанализировать более новые подписи; необработанные данные события будут все еще присутствовать. Должно быть влияние на производительность к MARS CS вне потенциально неописуемых сообщений о событии.

Примечание: Пользовательские подписи категоризированы как события "Unknown Device Event Type" в MARS CS; однако, функции look-up подписи как ожидалось.

Неспособный настроить MARS для NetFlow

Проблема

Вы встречаетесь с проблемами после настройки MARS для NetFlow.

Решение

NetFlow является технологией Cisco, которая поддерживает контролирующий сетевой трафик и поддерживается на всех основных Образах Cisco IOS. MARS собирает NetFlow, который передается от устройства создания отчетов, и это предоставляет различные уровни функциональности (зависящий от того, храните ли вы его к базе данных). Если сохраненный, NetFlow можно делать запрос, и у вас могут быть отчёты, правила и инциденты для него. См. Понимание Обнаружения отклонения NetFlow для получения дополнительной информации о том, как настроить MARS для NetFlow и как работает NetFlow. Также обратитесь к Taskflow для Регистрации события связанное с безопасностью NetFlow (NSEL) Настройки на MARS для получения дополнительной информации на конфигурации Netflow.

MARS CS сообщает о сложных адресатах информации как о порте 0

Проблема

MARS CS сообщает о сложных адресатах информации как о порте 0. Порт назначения 0, и иногда IP - адрес назначения 0.0.0.0.

Решение

Это - ожидаемое поведение MARS CS, так как некоторые типы события устройств создания отчетов сообщают о портах сложного адресата информации или IP-адресах. MARS просто консолидирует эту информацию в одиночное значение (0). Если вы обеспокоены данными, сообщил MARS, который инициировал это поведение, можно выполнить Весь Соответствующий запрос типа Необработанных сообщений Событий против один или больше устройств создания отчетов, которые инициировали это поведение для наблюдения информации, которая была сообщена MARS, который включает множественные порты обозначения или IP-адреса. Все Соответствующие Необработанные сообщения Событий с необработанными событиями отображают Идентификатор события, Тип события, Время, Устройство создания отчетов и поля Raw Message.

Источник отчёта о событиях MARS CS как 0.0.0.0 порта 0

Проблема

MARS CS имеет некоторые события событий, которые сообщают об источнике как о 0.0.0.0 портах 0.

Решение

В MARS CS IP-адрес 0.0.0.0 означает, что нет никакой информации для этого поля. Это - соглашение, используемое в MARS CS. IP-адреса и порты 0.0.0.0 и 0 соответственно обнаруживаются в двух случаях:

  1. Те, которые не были заданы в системном журнале

  2. Те, которые имеют множественные значения (2 ИЛИ БОЛЬШЕ IPS или порты)

программа прервалась из-за: ORA 01033: инициализация Oracle или происходящее завершение.

Проблема

Когда вы пытаетесь запустить или остановить сервис с pnstart или командами pnstop в CLI в MARS CS, эта ошибка происходит:

program aborted due to: ORA-01033: Oracle initializing or shutdown in progress.

Это сообщение об ошибках указывает, что база данных завершилась катастрофическим отказом.

Решение

Если вы повторно захватываете образ MARS CS, придерживавшийся импортом конфигурации, эта ошибка может быть решена.

Неспособный выполнить резервное копирование только конфигурация в MARS CS

Проблема

Вы неспособны выполнить резервное копирование конфигурация устройства без данных в MARS CS.

Решение

Можно заархивировать данные от устройства MARS и использовать те данные для восстановления операционной системы (OS), параметров настройки конфигурации системы, динамические данные (данные события) или полная система. Данные архивов и восстановлений устройства к и от внешней системы Подключенного сетевого накопителя (NAS) с протоколом NFS. После того, как вы заархивируете все данные и конфигурации устройства, восстановите только информацию о конфигурации устройства так, чтобы только была восстановлена конфигурация устройства. См. Настройку и Выполняющие Резервные копирования данных Устройства для получения дополнительной информации о резервном копировании данных устройства в MARS CS.

Обновите программное обеспечение с DVD

Проблема

Вы неспособны обновить образ с DVD в MARS CS.

Решение

MARS CS не распознает DVD как образ для восстановления. Для решения вопроса запишите CD в 4x скорость. См. Загрузку и Записывание DVD Восстановления для получения дополнительной информации о программном обеспечении устройства обновляют с DVD в MARS CS.

Неспособный Выполнить Команду raidstatus

Проблема

Вы неспособны выполнить команду raidstatus в MARS CS.

Решение

MARS CS не поддерживает команду raidstatus в низкопроизводительных моделях - 20 или 50. Только для моделей 100, 100E, и 200 эта поддерживаемая команда.

Неизвестный IP устройства создания отчетов

Проблема

Устройства сообщают как Неизвестный IP Устройства создания отчетов в системе MARS.

Решение

Эта проблема происходит из-за данных события меток MARS CS, так как это получено на основе IP - адреса источника, из которого это прибыло, и затем это выполняет поиск в своей конфигурации (который совпадает с IP - адресом источника к настроенному устройству создания отчетов). Если никакое соответствие не найдено, устройство помечено как "Неизвестный IP Устройства создания отчетов", что означает, что пользователь не настроил MARS, чтобы распознать, что все требования за MARS в состоянии анализировать/понимать данные события, такие как тип устройства IP-адреса и версии программного обеспечения/кода, которое это выполняет.

Для проверки обратите внимание на IP-адрес или рассматриваемые адреса, и перейдите ADMIN> Системный> Security Настройки и страница Monitor Devices в GUI MARS. Проверьте, что не перечислены тот же IP-адрес или адреса. После того, как проверенный, добавьте надлежащее устройство создания отчетов (и любое сетевое устройство, которое показывает как Неизвестное) для исправления этой проблемы.

Ошибка, Полученная при Загрузке Пакета Обновления на MARS CS

Проблема

Вы могли бы получить эту ошибку при загрузке пакета обновления на MARS CS:

Cisco.com Package List\n An error occurred while accessing Cisco.com: An error occurred accessing Cisco.com. Error Code: ERR_INTERNAL

Решение

Когда полный исходящий доступ к происхождению-www.cisco.com (через HTTPS/443) и программное-обеспечение-sj.cisco.com (через HTTP/80) не настроен на межсетевом экране, эта ошибка происходит. Для решения этого вопроса удостоверьтесь, что межсетевой экран (если есть) настроен для разрешения полного исходящего доступа происхождению-www.cisco.com (через HTTPS/443) и программное-обеспечение-sj.cisco.com (через HTTP/80).

Неспособный добавить FWSM в MARS CS

Проблема

Вы неспособны добавить FWSM в MARS CS.

Решение

Прежде чем можно будет добавить модуль FWSM в коммутаторе, необходимо добавить и настроить основной модуль (коммутатор Cisco) в MARS. См. Настройку Устройства с функциями межсетевого экрана Cisco для получения дополнительной информации.

NTLMv2 не работает с MARS CS

Проблема

Вы неспособны использовать NTLMv2 с MARS CS.

Решение

NTLMv2 не поддерживается на MARS CS; поэтому, вы неспособны использовать NTLMv2 с MARS CS.

Сбои MARS CS с "ядром пугают 5" Консольных сообщений

Проблема

MARS CS завершается катастрофическим отказом с сообщением kernel panic 5 на консоли. Сообщение включает эту информацию: CET Fatal ./csips Thread 62385072:Exiting the process as OUT_OF_MEMORY returned by CURL. superV will restart the process.

Решение

Обычно, эта проблема замечена вместе с использованием верхней области памяти на устройстве MARS CS. Выполнение команды к информации о материально-технических ресурсах show system может инициировать эту проблему. Для получения дополнительной информации обратитесь к идентификатору ошибки Cisco CSCsm40349 (только зарегистрированные клиенты).

Ошибка на MARS CS во время загружается

Проблема

Когда MARS CS загружается, вы могли бы получить эту ошибку:

/dev/hda2 UNEXPECTED INCONSISTENCY; RUN fsck MANUALLY.

Решение

Повторно захватите образ устройство MARS CS для решения этого вопроса. Можно также попытаться выполнить fsck вручную, прежде чем вы повторно захватите образ устройство.

См. Повторно захватывание образ Локального контроллера для получения дополнительной информации о том, как повторно захватить образ устройство MARS CS.

Ошибка на MARS CS во время обновления устройств

Проблема

Вы могли бы получить эту ошибку при обновлении csmars-6.0.2.2102.30 к csmars-6.0.3.3188.32:

[Error][check_dependency/541]: minimal allowed version(6.0.2.3102.31) > current version(6.0.2.3102.30)

Решение

Если бы версия данных не была должным образом обновлена во время обновления предыдущей версии, эта ошибка могла бы произойти.

Для решения этого вопроса выполните обновление к 6.0.2 от CLI. Обновление версии программного обеспечения пропущено, но выполнено обновление версии данных. Можно тогда обновить к версии 6.0.3.

Проверьте свою текущую версию с командой CLI версии

См. Обновление от CLI для получения дополнительной информации о том, как обновить устройство MARS CS.

Навигация GUI MARS является Медленной После Обновления От 5.x до 6.0 (4)

Проблема

Вы могли бы испытать проблемы производительности с GUI MARS после обновления от 5.3.1 до 6.0.

Решение

Обновление к версии 6.0.6 для решения этого вопроса.

Отчёты не Экспортируют в Другие Приложения

Проблема

Вы не в состоянии экспортировать отчёты из MARS в презентабельном формате, такие как PowerPoint, PDF, Word или Excel.

Решение

MARS CS действительно включает функциональность для экспортирования отчётов другим приложениям. MARS CS поддерживает только эти два типа форматов для отчётов:

  • Разделенные запятыми значения (CSV)

  • HTML

Примечание: Если бы вы приняли решение просмотреть отчет как Файл csv, то необходимо сохранить файл к компьютеру и открыть Файл csv в стороннем приложении. Для получения дополнительной информации обратитесь к Операциям на Существующих Отчётах.


Дополнительные сведения


Document ID: 99790