Solucionar errores de búsqueda en la nube y problemas de filtrado de URL

Opciones de descarga

  • PDF     (395.0 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (220.9 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (160.8 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:23 de agosto de 2024
ID del documento:222314

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe los posibles problemas relacionados con el filtrado de URL y los errores de búsqueda en la nube.

    Prerequisites

    La función de filtrado de URL de FireSIGHT Management Center permite escribir una condición en una regla de control de acceso para determinar el tráfico que atraviesa una red en función de las solicitudes de URL no cifradas de los hosts supervisados.

    Antes de comenzar con la parte de configuración, es importante que verifique la disponibilidad de la licencia de filtrado de URL y que se asegure de que se ha instalado y habilitado correctamente en el sistema FireSIGHT.  Agregue condiciones de URL basadas en la categoría y la reputación a las reglas de control de acceso. Sin embargo, sin una licencia de filtrado de URL, no podrá aplicar la política de control de acceso a los dispositivos gestionados.

    Requirements

    Cisco recomienda que conozca estos temas:

    • Conocimiento de la tecnología Firepower.
    • Conocimientos básicos de FireSIGHT Management Center (FMC).

    Componentes Utilizados

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Módulos ASA FirePower (ASA 5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X) que ejecutan una versión de software a partir de las versiones 5.3, 5.4 y posteriores  
    • Módulo ASA FirePower (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X) que ejecuta la versión de software a partir de las versiones 5.3, 5.4, 6.0.0 y posteriores
    • Todos los Cisco FirePower serie 7000 y Cisco FirePOyouR serie 8000
    • FS 750, FS 1500, FS 3500, FireSIGHT Management Center FS2000, FS4000 o appliance virtual con todas las versiones de software.

    Configurar

    Consulte el siguiente artículo para comenzar con las configuraciones iniciales .

    https://www.cisco.com/c/en/us/support/docs/security/firesight-management-center/117956-technote-sourc...

    Cómo verificar los errores de búsqueda en la nube y los problemas de conectividad

     Verifique los errores de búsqueda en la nube mediante estos pasos de solución de problemas basados en escenarios.

    Paso 1. Resolución DNS

    FireSIGHT Management Center se comunica con los siguientes servidores mientras realiza el proceso de búsqueda en la nube.

    database.brightcloud.com
service.brightcloud.com

     Como primer requisito previo para administrar esta conexión , debe asegurarse de que ambos servidores estén permitidos en los firewalls. Si las conexiones están permitidas, verifíquelas usando el siguiente comando nslookup para confirmar si los servidores pueden resolver los nombres sin ningún error. 

    root@123:#nslookup service.brightcloud.com 
    root@123:#nslookup database.brightcloud.com

    Paso 2. Conectividad de puertos

    Una vez confirmada la conectividad del dominio , debe verificar la conectividad de estos dominios a los puertos requeridos.

    Los sistemas FireSIGHT utilizan los puertos 443/HTTPS y 80/HTTP para comunicarse con los servicios en la nube.   Verifique la conectividad con los puertos 80 y 443 mediante el comando telnet. La base de datos de URL se descarga con database.brightcloud.com en el puerto 443, mientras que las consultas de URL desconocidas se realizan con  service.brigthcloud.com en el puerto 80.

    root@123:#telnet service.brightcloud.com 80 
    root@123:#telnet database.brightcloud.com 80
    root@123:#telnet database.brightcloud.com 443

     Si la comunicación telnet es exitosa, uno de los resultados tiene el siguiente aspecto:

    Connected to service.brightcloud.com.
Escape character is '^]'.
    note-icon

    Nota: Se eliminó telnet a service.brightcloud.com sobre 443 ya que nunca se conecta por diseño.

    Información interna de Cisco

    Las dos pruebas siguientes no son precisas.

    telnet database.brightcloud.com 80 — Esto no agota el tiempo de espera pero no es una prueba correcta ya que usted utiliza el puerto 443 para descargar la base de datos.


    telnet service.brightcloud.com 443: esta prueba agota el tiempo de espera.

    El dispositivo intenta conectarse a BcapServer (service.brightcloud.com) en BcapPort (80) y DbServer (database.brightcloud.com) en SslPort (443).


    Si estos intentos de conexión fallan, la base de datos de URL no se descarga .

    Paso 3. Comprobación de descarga de archivos

    Después de confirmar la conectividad del dominio con los puertos requeridos , debe verificar que los siguientes archivos han terminado de descargarse al dispositivo.

    root@123:#ls /var/sf/cloud_download/
    root@123:#lsof | grep bcdb

SFDataCor 2516 root mem REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc
SFDataCor 2516 root mem REG 0,11 480000000 573211 /dev/shm/Global.bcdb1
SFDataCor 2516 root mem REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx
SFDataCor 2516 root 54u REG 0,11 480000000 573211 /dev/shm/Global.bcdb1
SFDataCor 2516 root 55u REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc
SFDataCor 2516 root 61u REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx
snort 2541 sfsnort mem REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx
snort 2541 sfsnort mem REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc
snort 2541 sfsnort mem REG 0,11 480000000 573211 /dev/shm/Global.bcdb1
snort 2541 sfsnort 15u REG 0,11 480000000 573211 /dev/shm/Global.bcdb1
snort 2541 sfsnort 16u REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc
snort 2541 sfsnort 25u REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx
snort 2542 sfsnort mem REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx
snort 2542 sfsnort mem REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc
snort 2542 sfsnort mem REG 0,11 480000000 573211 /dev/shm/Global.bcdb1
snort 2542 sfsnort 15u REG 0,11 480000000 573211 /dev/shm/Global.bcdb1
snort 2542 sfsnort 16u REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc
snort 2542 sfsnort 25u REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx
snort 2543 sfsnort mem REG 0,11 480000000 573211 /dev/shm/Global.bcdb1
snort 2543 sfsnort mem REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx
snort 2543 sfsnort mem REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc
snort 2543 sfsnort 16u REG 0,11 480000000 573211 /dev/shm/Global.bcdb1
snort 2543 sfsnort 25u REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc
snort 2543 sfsnort 29u REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx
snort 2549 sfsnort mem REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc
snort 2549 sfsnort mem REG 0,11 480000000 573211 /dev/shm/Global.bcdb1
snort 2549 sfsnort mem REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx
snort 2549 sfsnort 16u REG 0,11 480000000 573211 /dev/shm/Global.bcdb1
snort 2549 sfsnort 25u REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc
snort 2549 sfsnort 29u REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx

    root@123:#pidof snort
2549 2543 2542 2541

    Una vez finalizada la instalación local del conjunto de datos de URL, el archivo denominado full_bcdb_rep_4.xxx.bin está presente en el directorio /var/sf/cloud_download. 

    root@123:# ls /var/sf/cloud_download/full_bcdb_rep_4.*

-rw-r--r--  1 root root 429M Mar 14 03:07 full_bcdb_rep_4.494.bin

    Paso 4. Reiniciar SFDC

    Si algunos de los archivos no se descargan completamente o si faltan en esta ubicación de carpeta, debe reiniciar los siguientes servicios para obtener la descarga completa del archivo.

    root@123:# pmtool restartbyid SFDataCorrelator

    Paso 5. Reiniciar instancia de Snort

    root@123:# pmtool restartbytype snort

    Paso 6. Reiniciar el servicio CloudAgent

    root@123:# pmtool restartbyid CloudAgent

    Después de reiniciar los servicios requeridos , debe intentar la actualización de la URL de nuevo desde Firesight Management Center.

    Overview Cloud Services

    Información interna de Cisco

    Si la descarga del archivo falla de nuevo , compruebe los mensajes de error que se muestran en la siguiente ubicación.
    • /var/log/messages: Se muestra cualquier mensaje de error de CloudAgent.

    Consulte para obtener más información sobre los códigos de error.

    Archivos necesarios para el servicio Brightcloud correcto.

    • /etc/sf/bca.cfg: configuración del servidor Brightcloud.

    Verifique también el archivo urldb_log para verificar los resultados. Cuando CloudAgent está actualizado , puede ver el siguiente resultado .

    root@123:# cd /var/log/
    root@123:# tail -900f urldb_log

    Jun 2 05:40:51 gw-iaps-01 SF-IMS[3769]: [3808] CloudAgent:CloudAgent [INFO] Nothing to do, up to date
    Jun 2 05:40:53 gw-iaps-01 SF-IMS[3769]: [3808] CloudAgent:CloudAgent [INFO] Nothing to do, up to date
    Jun 2 05:41:00 gw-iaps-01 SF-IMS[3769]: [3808] CloudAgent:CloudAgent [INFO] Nothing to do, up to date
    Jun 2 05:41:01 gw-iaps-01 SF-IMS[3769]: [3808] CloudAgent:CloudAgent [INFO] Nothing to do, up to date
    Jun 2 05:45:07 gw-iaps-01 SF-IMS[3769]: [3808] CloudAgent:CloudAgent [INFO] Nothing to do, up to date

    Paso 7. Realizar captura de paquetes

    En algunos escenarios, incluso si el archivo de registro de CloudAgent se ve actualizado, se produce un error de telnet para las conexiones 443/HTTPS siguientes:

    root@123:# telnet service.brightcloud.com 443

Trying 54.221.218.187...

telnet: connect to address 54.221.218.187: Connection refused

Trying 107.22.214.128...

telnet: connect to address 107.22.214.128: Connection refused

    Si observa estos resultados, realice una captura de paquetes utilizando estos pasos.

    1. SSH al Firesight Management Center y elévese como usuario raíz con:

    sudo su -
    2. Ejecute el siguiente comando para iniciar la captura.
       

    tcpdump -i 
    
    
      -s 0 -w /var/tmp/ 
     
        port 443

    Para adquirir las capturas específicamente para los servicios en la nube , ejecute el comando en el siguiente patrón . Asegúrese de dar la opción -s , de lo contrario el tamaño predeterminado del paquete es de 96 bytes debido al cual los paquetes se truncan.

    tcpdump -i <interface> -w testpcap1.pcap -s 9000 "host service.brightcloud.com or host database.brightcloud.com or host service2.brightcloud.com"

    3. Si el problema es más frecuente, deje que la captura se ejecute hasta que vea que reaparece la alerta de estado de falla. Sería bueno que realizara un telnet a ambos puertos durante la captura . (service.brightcloud y database.brightcloud).

    4. Detenga la captura y desplácese el archivo al servidor.

    5. En la captura recopilada , confirme si los paquetes para 443 se están activando o si se descartan.

    Paso 8. Abrir un nuevo terminal y ejecutar depuración

    Si los paquetes no se descartan y si descubre que los paquetes se están activando correctamente, es muy posible que CloudAgent haya descargado la base de datos de URL pero no esté realizando la búsqueda de algunas URL desconocidas específicas.

    Mientras se ejecuta la captura, debe abrir un nuevo terminal y ejecutar una depuración para CloudAgent. Para ello, tendría que desactivar el proceso CloudAgent.

    Realice los siguientes pasos para iniciar las depuraciones en Firesight Management Center 

    Ponga el agente de nube en modo de depuración desactivando el servicio CloudAgent.

    root@123:# pmtool disablebyid CloudAgent

    Ejecute el comando Debug para CloudAgent

    root@123:# CloudAgent --debug --config /etc/sf/cloudagent.conf --peers-config /etc/sf/device_cap.conf --ccfg /etc/sf/bca.cfg

     Una vez que pueda capturar suficientes datos , detenga la depuración terminando el proceso CloudAgent con el siguiente comando y, a continuación, vuelva a habilitar el servicio CloudAgent.

    root@123:# pkill -15 CloudAgent
    root@123:# pmtool enablebyid CloudAgent

    El resultado de la depuración es similar a lo siguiente:

    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Setting debug level to 1
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Processing configuration '/etc/sf/cloudagent.conf'
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Processing peer list configuration '/etc/sf/device_cap.conf'
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Processing cloud config file '/etc/sf/bca.cfg'
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set cloud poll time to 1800
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set queue memcap to 50485760
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set persistent cache memcap to 524288000
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set request cache memcap to 50485760
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set ip reputation max download size to 536870912
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set ip reputation max redirects to 2
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set ip reputation connection time out to 5
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set ip reputation max download size to 600
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set ip reputation auto update time to 7200
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] config file = /etc/sf/cloudagent.conf
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] pid file = /var/sf/run/CloudAgent.pid
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:158:ProcessConfiguration(): Local authority is 5fe379a0-a765-11e4-b74e-eef0c3580dec
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:250:auth_license_init(): Initializing license /etc/sf/license
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:256:readSigFile(): File I/O problem for /etc/sf/license: No such file or directory
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:263:auth_license_init(): Can't read signature file
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:250:auth_license_init(): Initializing license /etc/sf/license.d/57b856615f0d4649da3fc262d8fbc3fa.lic
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:277:readSigFile(): old_length is 918, new length is 669
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:543:verifyBuffer(): The length of the buffer, less the signature is 154
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:544:verifyBuffer(): The length of the signature is 512
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:629:rsa_verify(): Checking hash signature
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:638:rsa_verify(): Possible old license format, trying alternate method
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:562:verifyBuffer(): Found valid signature: sf_new.pub
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:595:verifyBuffer(): Valid signature
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:291:auth_license_init(): Valid signature
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1103:load_kvp(): Calling initToken with l->buffer_length=669
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1121:load_kvp(): kvp->token = model, kvp->value = 0x42
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1121:load_kvp(): kvp->token = expires, kvp->value = forever
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1121:load_kvp(): kvp->token = node, kvp->value = 00:50:56:91:44:6B
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1121:load_kvp(): kvp->token = serial_number, kvp->value = 74245185
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1121:load_kvp(): kvp->token = feature_id, kvp->value = 0xC
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1121:load_kvp(): kvp->token = model_info, kvp->value = 66E:50000:HOST,66E:50000:USER
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:421:auth_license_validate_license(): license mac 00:50:56:91:44:6B
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1345:auth_search_for_matching_mac(): Compare 00:50:56:91:44:6B license mac 00:50:56:91:44:6B
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:447:auth_license_validate_license(): local model is 66, license model = 66
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:463:auth_license_validate_license(): feature license 0xC
    Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:250:auth_license_init(): Initializing license /etc/sf/license.d/c4d0c77c3c574ec3bc45cfb3d5aa8b0c.lic

    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:421:auth_license_validate_license(): license mac 00:50:56:91:44:6B
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1345:auth_search_for_matching_mac(): Compare 00:50:56:91:44:6B license mac 00:50:56:91:44:6B
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:437:auth_license_validate_license(): now is 1437370584, license time is 1452402889
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:447:auth_license_validate_license(): local model is 66, license model = 66
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:463:auth_license_validate_license(): feature license 0xB
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:564:auth_license_validate_license(): Got URL License type: SUBSCRIPTION
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:405:GetURLFilteringLicenseInfo(): URLFiltering License: /etc/sf/license.d/aa434b92b62bc5982e2603b59e9fe06e.lic
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:479:Get
    URLFilteringLicenseInfo(): count for model 72H(URLFilter) is 2
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:171:ProcessConfiguration(): total 2 URL Filtering Licenses
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:111:add_peer(): Adding peer e8590790-b18e-11e4-9098-ed176e943d42 to peer list
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:118:add_peer(): The peer version for peer e8590790-b18e-11e4-9098-ed176e943d42 is 0
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:344:ProcessURLFilteringPeers(): URLFiltering peers are *************************
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:151:PrintPeers(): peer  'e8590790-b18e-11e4-9098-ed176e943d42' and peer status is 2 and version 5.3 is 0
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:346:ProcessURLFilteringPeers(): URLFiltering peers are *************************
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:111:add_peer(): Adding peer bfc13f04-b0e5-11e4-9c85-a922b39543ad to peer list
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:118:add_peer(): The peer version for peer bfc13f04-b0e5-11e4-9c85-a922b39543ad is 0
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:344:ProcessURLFilteringPeers(): URLFiltering peers are *************************
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:151:PrintPeers(): peer  'e8590790-b18e-11e4-9098-ed176e943d42' and peer status is 2 and version 5.3 is 0
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:151:PrintPeers(): peer  'bfc13f04-b0e5-11e4-9c85-a922b39543ad' and peer status is 2 and version 5.3 is 0
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:346:ProcessURLFilteringPeers(): URLFiltering peers are *************************
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:350:ProcessURLFilteringPeers(): no URL Filtering Licenses available
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:178:ProcessConfiguration(): Peers Configuration read, 0 URL Filtering Licenses remaining
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:SFTL [DEBUG] SSLSupport.c:26:init_OpenSSL(): Loading error strings
    Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:CloudAgent [DEBUG] CloudAgent.cpp:278:main(): Started

     Paso 9. Realizar pruebas

     Si la depuración parece correcta, así como los registros de la base de datos de url también indican que no hay nada que actualizar, debe realizar una prueba más para confirmar si la alerta de búsqueda en la nube activada es un falso positivo o no . 

    Para realizar la siguiente prueba, debe organizar una ventana de mantenimiento .

    Prueba -1

    Realice la copia de seguridad de los archivos bcdb desde FireSIGHT Management Center y Firepower.

    Los archivos para los que necesita realizar la copia de seguridad están disponibles en la siguiente ubicación.

    root@123:# cd /var/sf/cloud_download/

    Mueva los archivos de esta ubicación a otra diferente en FireSIGHT Management Center y Firepower.    

    Una vez que realice la copia de seguridad, quite los archivos bcdb de las ubicaciones de /var/sf/cloud_download/ y realice una descarga forzada de la base de datos realizando los siguientes pasos.

    Inicie sesión en FireSIGHT Management Center y navegue hasta System > Local > Configuration > Cloud Services

                

    Haga clic en el botón Update Now.       

    Overview Cloud Services       

    Compruebe si los nuevos archivos bcdb se están actualizando correctamente en la misma ubicación /var/sf/cloud_download/ en FireSIGHT Management Center. Si se está descargando recientemente en FireSIGHT Management Center, debe aplicar la política de control de acceso para asegurarse de que se actualizan los mismos archivos de base de datos en Firepower (sensor gestionado). 

    Si no pudo descargar los archivos correctamente, vuelva a copiar los archivos bcdb en la misma ubicación dentro de /var/sf/cloud_download/ para que no afecte a nada.  

    Prueba -2

    Realice la búsqueda de url (realice la búsqueda de url para una url que no está presente/disponible en la base de datos) y vuelva a confirmar la respuesta. 

    Si los archivos reaparecen después de realizar la prueba una vez que los archivos de base de datos se eliminaron de /var/sf/cloud_downloads, significa que las conexiones en 443 se realizaron correctamente.

    Conclusión

    A veces, los errores de búsqueda en la nube son intermitentes. En versiones como 5.3.1.2, existe la posibilidad de que el módulo de supervisión de estado notifique alertas de falsos positivos para los errores de búsqueda en la nube. La alerta de búsqueda de estado intermitente proporciona un informe similar al siguiente:

    Health Monitor Alert from abc.com
Time: youd Aug  5 12:01:41 2015 UTC
Severity: critical
Module: URL Filtering Monitor
Description: Cloud lookup failure
 
Health Monitor Alert from abc.com
Time: youd Aug  5 12:17:03 2015 UTC
Severity: recovery
Module: URL Filtering Monitor
Description: Process is running correctly

    Después de confirmar que todas las pruebas fueron exitosas y si todavía recibe los errores intermitentes de búsqueda en la nube, esto es un problema con la alarma de estado siendo demasiado sensible a partir de la versión 5.3.1.2. El bug Cisco CSCut77594 se ha informado a este respecto. La alarma de estado se dispara incluso cuando hay una falla para una búsqueda de url, y la falla significa que no obtuvo una respuesta del servidor de nube brillante para esa URL en particular. Los problemas de falsos positivos con el módulo de supervisión de estado de URL se han corregido en estas versiones:

    DRAMBUIE 5.4.1.5_KENTON 5.4.0.6_AND_5.4.1.5_DC 5.3.1.7 5.3.0.8  

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    23-Aug-2024
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Jetsy Mathew
      Experiencia del cliente - Especialista de éxito del cliente
    • John Bennion
      Ingeniero de consultoría técnica

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco