Fehlerbehebung mit Network Time Protocol (NTP) auf FirePOWER-Systemen
Inhalt
Einführung
Dieses Dokument beschreibt häufige Probleme mit der Zeitsynchronisierung auf FireSIGHT-Systemen und wie diese behoben werden. Sie können die Zeit zwischen Ihren FireSIGHT-Systemen auf drei verschiedene Arten synchronisieren, z. B. manuell mit externen Network Time Protocol (NTP)-Servern oder mit FireSIGHT Management Center, das als NTP-Server dient. Sie können ein FireSIGHT Management Center als Zeitserver mit dem NTP konfigurieren und anschließend die Zeit zwischen dem FireSIGHT Management Center und den verwalteten Geräten synchronisieren.
Voraussetzungen
Anforderungen
Um die Zeitsynchronisierungseinstellung zu konfigurieren, benötigen Sie in Ihrem FireSIGHT Management Center Administratorzugriff.
Verwendete Komponenten
Dieses Dokument ist nicht auf bestimmte Software- und Hardwareversionen beschränkt.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Symptome
- FireSIGHT Management Center zeigt Gesundheitswarnungen auf der Webschnittstelle an.
- Die Seite Health Monitor zeigt eine Appliance als kritisch an, da der Status des Zeitsynchronisierungsmoduls nicht synchronisiert ist.
- Wenn die Appliances nicht synchronisiert bleiben, werden gelegentlich Systemwarnungen angezeigt.
- Nach der Anwendung einer Systemrichtlinie werden möglicherweise Systemwarnungen angezeigt, da die Synchronisierung eines FireSIGHT Management Center und seiner verwalteten Geräte bis zu 20 Minuten in Anspruch nehmen kann. Dies liegt daran, dass ein FireSIGHT Management Center zunächst mit dem konfigurierten NTP-Server synchronisieren muss, bevor die Zeit für ein verwaltetes Gerät bereitgestellt werden kann.
- Die Zeit zwischen einem FireSIGHT Management Center und einem verwalteten Gerät stimmt nicht überein.
- Ereignisse, die am Sensor generiert werden, können Minuten oder Stunden dauern, bis sie in einem FireSIGHT Management Center angezeigt werden.
- Wenn Sie virtuelle Appliances ausführen und die Seite Health Monitor anzeigt, dass die Uhrzeit-Einrichtung für die virtuelle Appliance nicht synchronisiert ist, überprüfen Sie die Synchronisierungseinstellungen für die Systemrichtlinien. Cisco empfiehlt, virtuelle Appliances mit einem physischen NTP-Server zu synchronisieren. Synchronisieren Sie Ihre verwalteten Geräte (virtuell oder physisch) nicht mit einem Virtual Defense Center.
Fehlerbehebung
Schritt 1: NTP-Konfiguration überprüfen
Überprüfen in Version 5.4 und früher
Überprüfen Sie, ob NTP in der auf FireSIGHT-Systemen angewendeten Systemrichtlinie aktiviert ist. Gehen Sie wie folgt vor, um sicherzustellen, dass Sie:
- Wählen Sie System > Local > System Policy aus.
- Bearbeiten Sie die auf Ihren FireSIGHT-Systemen angewendete Systemrichtlinie.
- Wählen Sie Zeitsynchronisierung aus.
Überprüfen Sie, ob für das FireSIGHT Management Center (auch Defense Center oder DC genannt) die Uhr Via NTP von eingestellt ist, und eine Adresse eines NTP-Servers bereitgestellt wird. Stellen Sie außerdem sicher, dass das verwaltete Gerät über NTP vom Defense Center auf "NTP" festgelegt ist.
Wenn Sie einen externen Remote-NTP-Server angeben, muss Ihre Appliance über Netzwerkzugriff verfügen. Geben Sie keinen nicht vertrauenswürdigen NTP-Server an. Synchronisieren Sie Ihre verwalteten Geräte (virtuell oder physisch) nicht mit einem virtuellen FireSIGHT Management Center. Cisco empfiehlt, virtuelle Appliances mit einem physischen NTP-Server zu synchronisieren.
Überprüfen in Version 6.0 und höher
In Version 6.0.0 und höher werden die Einstellungen für die Zeitsynchronisierung an verschiedenen Stellen im FirePOWER Management Center konfiguriert. Sie folgen jedoch derselben Logik wie die Schritte für 5.4.
Die Zeitsynchronisierungseinstellungen für das FirePOWER Management Center selbst finden Sie unter System > Configuration > Time Synchronization.
Die Zeitsynchronisierungseinstellungen für die verwalteten Geräte finden Sie unter Geräte > Plattformeinstellungen. Klicken Sie auf Bearbeiten neben der auf das Gerät angewendeten Richtlinie für Plattformeinstellungen, und wählen Sie dann Zeitsynchronisierung aus.
Nachdem Sie die Konfiguration für die Zeitsynchronisierung angewendet haben (unabhängig von der Version), stellen Sie sicher, dass die Uhrzeit auf Ihrem Management Center und den verwalteten Geräten übereinstimmt. Andernfalls können unbeabsichtigte Folgen auftreten, wenn die verwalteten Geräte mit dem Management Center kommunizieren.
Schritt 2: Identifizieren eines Timeservers und seines Status
- Geben Sie den folgenden Befehl in Ihr FireSIGHT Management Center ein, um Informationen zur Verbindung mit einem Zeitserver zu sammeln:
admin@FireSIGHT:~$ ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
*198.51.100.2 203.0.113.3 2 u 417 1024 377 76.814 3.458 1.992Ein Sternchen '*' unter der Fernbedienung zeigt den Server an, mit dem Sie derzeit synchronisiert sind. Wenn ein Eintrag mit einem Sternchen nicht verfügbar ist, wird die Uhr derzeit nicht mit der Zeitquelle synchronisiert.
Auf einem verwalteten Gerät können Sie diesen Befehl in der Shell eingeben, um die Adresse Ihres NTP-Servers zu bestimmen:
> show ntp
NTP Server : 127.0.0.2 (Cannot Resolve)
Status : Being Used
Offset : -8.344 (milliseconds)
Last Update : 188 (seconds) - Wenn eine Appliance angezeigt wird, dass sie mit 127.127.1.1 synchronisiert wird, gibt sie an, dass die Appliance eine Synchronisierung mit ihrer eigenen Uhr durchführt. Es tritt auf, wenn ein Timeserver, der auf einer Systemrichtlinie konfiguriert wurde, nicht synchronisiert werden kann. Beispiel:
admin@FirePOWER:~$ ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
192.0.2.200 .INIT. 16 u - 1024 0 0.000 0.000 0.000
*127.127.1.1 .SFCL. 14 l 3 64 377 0.000 0.000 0.001 - Wenn Sie bei der Ausgabe des ntpq-Befehls feststellen, dass der Wert von st (stratum) 16 ist, wird angezeigt, dass der Timeserver nicht erreichbar ist und die Appliance nicht mit diesem Timeserver synchronisiert werden kann.
- In der ntpq-Befehlsausgabe zeigt Reichweite eine Oktalnummer an, die auf Erfolg oder Misserfolg bei der Suche nach Quelle für die letzten acht Abfrageversuche hinweist. Wenn Sie den Wert 377 sehen, bedeutet dies, dass die letzten 8 Versuche erfolgreich waren. Alle anderen Werte können darauf hinweisen, dass einer oder mehrere der letzten acht Versuche nicht erfolgreich waren.
Schritt 3: Konnektivität überprüfen
- Überprüfen Sie die grundlegende Verbindung zum Zeitserver.
admin@FireSIGHT:~$ ping - Stellen Sie sicher, dass Port 123 auf Ihrem FireSIGHT-System geöffnet ist.
admin@FireSIGHT:~$ netstat -an | grep 123
- Vergewissern Sie sich, dass Port 123 auf der Firewall offen ist.
- Überprüfen Sie die Hardware-Uhr:
admin@FireSIGHT:~$ sudo hwclock
Wenn die Hardware-Uhr zu weit veraltet ist, können sie niemals erfolgreich synchronisieren. Geben Sie den folgenden Befehl ein, um die manuelle Einstellung der Uhr auf einem Zeitserver zu erzwingen:
admin@FireSIGHT:~$ sudo ntpdate -uStarten Sie anschließend ntpd neu:
admin@FireSIGHT:~$ sudo pmtool restartbyid ntpd
Schritt 4: Konfigurationsdateien überprüfen
- Überprüfen Sie, ob die Datei sfipproxy.conf korrekt ausgefüllt wurde. Diese Datei sendet NTP-Datenverkehr über den Sftunnel.
Ein Beispiel für die /etc/sf/sfipproxy.conf-Datei auf einem verwalteten Gerät wird hier angezeigt:admin@FirePOWER:~$ sudo cat /etc/sf/sfipproxy.conf
config
{
nodaemon 1;
}
peers
{
dbef067c-4d5b-11e4-a08b-b3f170684648
{
services
{
ntp
{
listen_ip 127.0.0.2;
listen_port 123;
protocol udp;
timeout 20;
}
}
}
}Ein Beispiel für die /etc/sf/sfipproxy.conf-Datei in einem FireSIGHT Management Center ist hier dargestellt:
admin@FireSIGHT:~$ sudo cat /etc/sf/sfipproxy.conf
config
{
nodaemon 1;
}
peers
{
854178f4-4eec-11e4-99ed-8b16d263763e
{
services
{
ntp
{
protocol udp;
server_ip 127.0.0.1;
server_port 123;
timeout 10;
}
}
}
} - Stellen Sie sicher, dass der Universally Unique Identifier (UUID) im Abschnitt Peers mit der Datei ims.conf des Peers übereinstimmt. Beispielsweise sollte die UUID im Abschnitt Peers der Datei /etc/sf/sfipproxy.conf in einem FireSIGHT Management Center mit der UUID übereinstimmen, die in der Datei /etc/ims.conf des verwalteten Geräts gefunden wurde. Ebenso sollte die UUID, die im Abschnitt Peers der /etc/sf/sfipproxy.conf-Datei auf einem verwalteten Gerät gefunden wurde, mit der UUID übereinstimmen, die in der /etc/ims.conf-Datei der Management-Appliance gefunden wurde.
Mit dem folgenden Befehl können Sie die UUID der Geräte abrufen:
admin@FireSIGHT:~$ sudo grep UUID /etc/sf/ims.conf
APPLIANCE_UUID=dbef067c-4d5b-11e4-a08b-b3f170684648Diese sollten normalerweise automatisch von der Systemrichtlinie eingetragen werden, aber es gab Fälle, in denen diese Stanzas fehlten. Wenn sie geändert oder geändert werden müssen, müssen Sie sfipproxy und sftunnel wie folgt neu starten:
admin@FireSIGHT:~$ sudo pmtool restartbyid sfipproxy admin@FireSIGHT:~$ sudo pmtool restartbyid sftunnel
- Überprüfen Sie, ob eine Datei ntp.conf im Verzeichnis /etc verfügbar ist.
admin@FireSIGHT:~$ ls /etc/ntp.conf*
Wenn keine NTP-Konfigurationsdatei verfügbar ist, können Sie eine Kopie aus der Sicherungskonfigurationsdatei erstellen. Beispiel:
admin@FireSIGHT:~$ sudo cp /etc/ntp.conf.bak /etc/ntp.conf
- Überprüfen Sie, ob die /etc/ntp.conf-Datei korrekt ausgefüllt wurde. Wenn Sie eine Systemrichtlinie anwenden, wird die Datei ntp.conf neu geschrieben.
admin@FireSIGHT:~$ sudo cat /etc/ntp.conf
# automatically generated by /etc/sysconfig/configure-network ; do not edit
# Tue Oct 21 17:44:03 UTC 2014
restrict default noquery nomodify notrap nopeer
restrict 127.0.0.1
server 198.51.100.2
logfile /var/log/ntp.log
driftfile /etc/ntp.drift
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)