Dépannage des échecs de mise à jour des définitions TETRA

Introduction

Ce document décrit les étapes à suivre pour déterminer pourquoi les points de terminaison ne parviennent pas à mettre à jour les définitions TETRA à partir des serveurs de mise à jour des définitions TETRA de Cisco. Il s'agit des messages d'erreur sur la console

Dépannage

La raison la plus courante pour laquelle la mise à jour de la définition échoue est due à un problème sous-jacent de connectivité réseau. Si le point de terminaison ne peut pas terminer le téléchargement de toutes les signatures qui font partie de la mise à jour, le processus de mise à jour entier échouera et le point de terminaison doit attendre l'intervalle de mise à jour suivant tel que défini dans la stratégie du connecteur. Les contrôles suivants doivent être effectués :

• Assurez-vous que votre terminal est connecté à Internet et dispose d'une connexion réseau constante.

• Assurez-vous que vos terminaux sont actifs et qu'ils ont un état « Dernière vue » récent. Si les points d'extrémité ne s'enregistrent pas avec la console AMP, cela indique que le point d'extrémité n'est pas actif ou présente des problèmes de connectivité. 

• Le point de terminaison doit pouvoir résoudre correctement l'URL du serveur TETRA. Si vous utilisez le serveur de mise à jour des définitions TETRA de Cisco, l'URL du serveur est tetra-defs.amp.cisco.com (cloud américain), tetra-defs.eu.amp.cisco.com (cloud de l'UE), tetra-defs.apjc.amp.cisco.com (cloud APJC). 

nslookup tetra-defs.amp.cisco.com

• Vérifiez si le point de terminaison peut se connecter au serveur de mise à jour des définitions TETRA sur le port 443. La façon la plus simple de vérifier si le pare-feu autorise les connexions à cette URL est d’essayer de se connecter via Telnet. Voici la réponse attendue :

telnet tetra-defs.amp.cisco.com 443
Trying 54.225.227.105...
Connected to tetra-defs.amp.cisco.com.

• Une majorité des problèmes liés à cette résolution dans l'intervalle de mise à jour suivant. La cause la plus probable de cette situation est les problèmes liés au réseau. Pour vérifier vos paramètres d'intervalle de mise à jour, identifiez la stratégie affectée au point de terminaison > Cliquez sur Edit > Advanced Settings TETRA

• Cisco publie en moyenne 7 à 15 mises à jour de définition par jour. Si, à un moment quelconque de la journée, le point d'extrémité ne télécharge pas la mise à jour, le connecteur affiche une erreur de défaillance. Compte tenu de cette fréquence, uniquement si les points d'extrémité sont constamment connectés et ont une connexion réseau stable au serveur TETRA tout au long, alors les points d'extrémité seront signalés comme étant « dans la stratégie ». 

• Si vous voyez des points de terminaison qui ne téléchargent pas constamment les définitions TETRA, malgré les vérifications ci-dessus, activez le connecteur en mode débogage pendant un intervalle de temps égal à l'intervalle de mise à jour défini dans votre stratégie et générez l'offre d'assistance. Lorsque le connecteur est en mode de débogage, notez que vous devez également prendre en compte les captures de paquets Wireshark. La capture de paquets doit également être exécutée pendant un intervalle de temps égal à l'intervalle de mise à jour défini dans votre stratégie. Une fois que ces informations ont été collectées, veuillez ouvrir un dossier TAC Cisco avec ces informations pour une enquête plus approfondie. 

• Si vous exécutez AMP for Endpoints Connector version 7.2.7 et ultérieure, vous pouvez utiliser un nouveau commutateur "-forceupdate » pour forcer le connecteur à télécharger les définitions TETRA. 

C:\Program Files\Cisco\AMP\7.2.7\sfc.exe -forceupdate

Additional Information

• Pour connaître la version de définition actuelle de votre terminal et la dernière version disponible :

• Pour trouver la liste de toutes les versions de définition TETRA publiées ces derniers jours, accédez à Management > AV Definition Summary.

• La version de définition TETRA telle qu'elle est installée sur un point de terminaison se trouve localement sur le point de terminaison ainsi que dans le fichier local.xml. Pour rechercher le fichier local.xml, accédez à C:\Program Files\Cisco\AMP\local.xml et ouvrez le fichier pour trouver la version de définition.

    <tetra>
     
     
     
       1,dv:77696 
     
     <firsterrortime>0</firsterrortime>
     <lasterror>0</lasterror>
     <lastsuccesstime>1563964926</lastsuccesstime>
     <fieldstatus>0</fieldstatus>
     <lastxmit>4294967295</lastxmit>
     <lastupdatechecked>1563968527</lastupdatechecked>
     <sigs>12723986</sigs>
     <lastupdate>1563959593</lastupdate>
    </tetra>

Collecte de données de diagnostic à partir du connecteur AMP pour Windows