المقدمة
يصف هذا المستند الخطوات المختلفة التي يمكن إتخاذها لصيانة خادم Cisco Cyber Vision واستكشاف أخطائه وإصلاحها ومراقبته.
توفر لك رؤية Cisco Cyber نظرة متعمقة على وضعية أمان تقنية التشغيل (OT). يغذي Cyber Vision أدوات أمان تقنية المعلومات الخاصة بك بمعلومات حول أصول وأحداث OT، مما يجعل من السهل إدارة المخاطر وتنفيذ سياسات الأمان عبر شبكتك.
تحديثات الخادم
أحرص على تحديث الخادم للحصول على حلول الثغرات وإصلاح الأخطاء والميزات الجديدة التي يتم دمجها في البرنامج استنادا إلى سيناريوهات النشر.
صحة النظام
- تكوين إختبارات SNMPv3 لإرسال تنبيهات حماية النظام
من واجهة المستخدم (للتحقق من القيمة التاريخية):
انتقل إلى إحصائيات النظام (المركز أو أجهزة الاستشعار) للتحقق من إستخدام وحدة المعالجة المركزية (CPU) وذاكرة الوصول العشوائي (RAM).
- ومن المتوقع أن تكون أجهزة الاستشعار التي تغطي 600٪ من ذاكرة الوصول العشوائي (RAM) ووحدة المعالجة المركزية (CPU) التي تبلغ نسبتها 40٪ في حالة عادية.
- ومن المتوقع أن تكون المراكز حول 80٪ من ذاكرة الوصول العشوائي (RAM) و 50٪ من وحدة المعالجة المركزية (CPU) في حالة عادية.

هذه قيم تستخدم كمرجع. ويمكن أن تصل هذه الموارد إلى نسب عالية جدا، ولكن يتوقع أن تعود بعد إنجاز مهمة محددة دون أن تبقى هناك.
من واجهة سطر الأوامر (CLI) (فحص في الوقت الفعلي):
أستخدم الأمر العلوي للتحقق من إستخدام وحدة المعالجة المركزية (CPU) وذاكرة الوصول العشوائي (RAM) لفهم العمليات التي تستهلك الموارد.
يمكن التحقق منها باستخدام الأمر:
'top -n 1 -b' | هيد -n 5
تحقق من عمليات النظام باستخدام الأمر systemCTL —الأمر الذي فشل. يتم إستخدام هذا الأمر بشكل شائع لأغراض أستكشاف الأخطاء وإصلاحها لتحديد الخدمات أو الوحدات التي لم تبدأ أو توقفت بشكل غير متوقع.
سجلات النظام
تتوفر عدة سجلات على النظام الأساسي:
من واجهة المستخدم:
إنشاء ملف تشخيصي. انتقل إلى إحصائيات النظام (المركز أو أجهزة الاستشعار) وانقر فوق إنشاء تشخيص.

من واجهة سطر الأوامر:
أستخدم الأمر sudo -i للوصول إلى وضع المستخدم الجذري
أستخدم أوامر JournalTCL لتعقب سجلات النظام.
journalCtl -r (-r عكسي)
JournalCTL —منذ "2015-01-10" أو حتى "2015-01-11 03:00"
JournalCtl -u <اسم العملية>
JournalCTL -f (-f متابعة)
JournalCtl -p خطأ (أخطاء في النظام)
أيضا، التشخيص حزمة يستطيع كنت أطلقت يستعمل الأمر sbs-diag
السجلات المتقدمة
يمكن تنشيط السجلات المتقدمة من CLI لهذه الخدمات:
SBS-الخلفية
إس بي إس-بورو
إس بي إس-مارموت
SBS-LSYNCD-Gather
SBS-lsynd-communication
SBS-gsyncd
SBS-nad
SBS-aspic
عامل شبه شبكي
أستخدم الأمر sudo -i للوصول إلى وضع المستخدم الجذري
يمكن لهذه السجلات المتقدمة بالفعل إغراق النظام بالرسائل، وبالتالي، يجب إستخدامها فقط عند العمل مع فريق TAC.
مساحة القرص
- جميع البيانات الواردة والمحللة من قبل أجهزة الاستشعار يتم تخزينها في قاعدة البيانات.
- راقب المساحة المتوفرة في قسم البيانات باستخدام الأمر df -h.
- قم بتنظيف التقاط الشبكة تحت /data/tmp/capture/. أستخدم الأمر rm -rf /data/tmp/capture/* لحذف جميع عمليات الالتقاط إذا لم تعد هناك حاجة إليها.
- حذف كافة ملفات التشخيص القديمة.
- قم بإزالة البيانات القديمة وغير المرغوب فيها في قاعدة البيانات باستخدام الأمر sbs-db purge-xxxxx.
التحقق من صحة حركة المرور
إستخدام IPTABLES و TCPdump لتتبع تدفق حركة المرور.
تعقب جدار الحماية
تم تمكين جدار حماية IPTABLES على الخادم. يتم تسجيل الحزم التي تم إسقاطها ك "DropInput و DropForward".
تحقق من عدادات IPTABLES لفحص الحزم المسقطة عليها (iptables -L -n -v | سلسلة GREP).
البحث عن الحزم التي تم إسقاطها في السجل (JournalCTL | نظرة عامة على التفاصيل).
أداة TCPdump
يمكن إستخدامه لمراقبة حركة مرور البيانات واستكشاف أخطائها وإصلاحها على واجهة الشبكة في الخادم.
إذا غرقت حركة المرور، اضغط على Ctrl+C لإيقاف عملية الالتقاط.
الأمثلة
لمراقبة تدفقات NTP (UDP/TCP 123): tcpdump -i [ethX] ميناء 123 :
لمراقبة حركة المرور الواردة/الصادرة من مضيف معين: tcpdump -i [ethX] المضيف 1.2.3.4
لحفظ الالتقاط في ملف PCAP:
tcpdump -i [ethX] المضيف 1.2.3.4 -r /data/tmp/your_file.pcap