Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit les problèmes courants liés à la synchronisation de l'heure sur FireSIGHT Systems et à la façon de les résoudre. Vous pouvez choisir de synchroniser le temps entre vos systèmes FireSIGHT de trois manières différentes, par exemple manuellement avec des serveurs NTP (Network Time Protocol) externes ou avec FireSIGHT Management Center qui sert de serveur NTP. Vous pouvez configurer FireSIGHT Management Center en tant que serveur temporel avec NTP, puis l'utiliser pour synchroniser le temps entre FireSIGHT Management Center et les périphériques gérés.
Pour configurer le paramètre de synchronisation de l'heure, vous avez besoin du niveau d'administration de votre FireSIGHT Management Center.
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Vérifiez que NTP est activé sur la stratégie système appliquée sur les systèmes FireSIGHT. Pour vérifier cela, procédez comme suit :
Vérifiez si l'horloge du FireSIGHT Management Center (également appelé Centre de défense ou DC) est réglée sur Via NTP à partir de et si une adresse de serveur NTP est fournie. Confirmez également que le périphérique géré est défini sur via NTP depuis Defense Center.
Si vous spécifiez un serveur NTP externe distant, votre appliance doit y avoir accès au réseau. Ne spécifiez pas de serveur NTP non approuvé. Ne synchronisez pas vos périphériques gérés (virtuels ou physiques) sur un Virtual FireSIGHT Management Center. Cisco vous recommande de synchroniser vos appliances virtuelles avec un serveur NTP physique.
Dans les versions 6.0.0 et ultérieures, les paramètres de synchronisation de l'heure sont configurés à des endroits distincts sur Firepower Management Center, bien qu'ils suivent la même logique que les étapes de la version 5.4.
Les paramètres de synchronisation de l'heure pour Firepower Management Center lui-même se trouvent sous System > Configuration > Time Synchronization.
Les paramètres de synchronisation de l'heure pour les périphériques gérés se trouvent sous Périphériques > Paramètres de la plate-forme. Cliquez sur modifier en regard de la stratégie Paramètres de la plate-forme appliquée au périphérique, puis sélectionnez Synchronisation de l'heure.
Après avoir appliqué la configuration pour la synchronisation temporelle (quelle que soit la version), assurez-vous que l'heure de votre Management Center et de vos périphériques gérés correspond. Sinon, des conséquences imprévues peuvent se produire lorsque les périphériques gérés communiquent avec Management Center.
admin@FireSIGHT:~$ ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
*198.51.100.2 203.0.113.3 2 u 417 1024 377 76.814 3.458 1.992
Un astérisque '*' sous la télécommande indique le serveur auquel vous êtes actuellement synchronisé. Si une entrée avec un astérisque n'est pas disponible, l'horloge n'est actuellement pas synchronisée avec sa source temporelle.
Sur un périphérique géré, vous pouvez entrer cette commande sur shell afin de déterminer l'adresse de votre serveur NTP :
> show ntp
NTP Server : 127.0.0.2 (Cannot Resolve)
Status : Being Used
Offset : -8.344 (milliseconds)
Last Update : 188 (seconds)
Note: Si un périphérique géré est configuré pour recevoir du temps d'un FireSIGHT Management Center, le périphérique affiche une source de temps avec une adresse de bouclage, telle que 127.0.0.2. Cette adresse IP est une entrée sfipproxy et indique que le réseau virtuel de gestion est utilisé pour synchroniser le temps.
admin@FirePOWER:~$ ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
192.0.2.200 .INIT. 16 u - 1024 0 0.000 0.000 0.000
*127.127.1.1 .SFCL. 14 l 3 64 377 0.000 0.000 0.001
admin@FireSIGHT:~$ ping
admin@FireSIGHT:~$ netstat -an | grep 123
admin@FireSIGHT:~$ sudo hwclock
Si l'horloge matérielle est trop obsolète, la synchronisation risque de ne jamais aboutir. Afin de forcer manuellement l'horloge à être définie avec un serveur d'heure, entrez cette commande :
admin@FireSIGHT:~$ sudo ntpdate -u
Redémarrez ensuite ntpd :
admin@FireSIGHT:~$ sudo pmtool restartbyid ntpd
Un exemple du fichier /etc/sf/sfipproxy.conf sur un périphérique géré est présenté ici :
admin@FirePOWER:~$ sudo cat /etc/sf/sfipproxy.conf
config
{
nodaemon 1;
}
peers
{
dbef067c-4d5b-11e4-a08b-b3f170684648
{
services
{
ntp
{
listen_ip 127.0.0.2;
listen_port 123;
protocol udp;
timeout 20;
}
}
}
}
Un exemple du fichier /etc/sf/sfipproxy.conf sur FireSIGHT Management Center est présenté ici :
admin@FireSIGHT:~$ sudo cat /etc/sf/sfipproxy.conf
config
{
nodaemon 1;
}
peers
{
854178f4-4eec-11e4-99ed-8b16d263763e
{
services
{
ntp
{
protocol udp;
server_ip 127.0.0.1;
server_port 123;
timeout 10;
}
}
}
}
Vous pouvez récupérer l'UUID des périphériques à l'aide de la commande suivante :
admin@FireSIGHT:~$ sudo grep UUID /etc/sf/ims.conf
APPLIANCE_UUID=dbef067c-4d5b-11e4-a08b-b3f170684648
Celles-ci doivent normalement être automatiquement remplies par la stratégie système, mais il y a eu des cas où ces stanzas étaient manquants. S'ils doivent être modifiés ou modifiés, vous devez redémarrer sfipproxy et sftunnel comme suit :
admin@FireSIGHT:~$ sudo pmtool restartbyid sfipproxy admin@FireSIGHT:~$ sudo pmtool restartbyid sftunnel
admin@FireSIGHT:~$ ls /etc/ntp.conf*
Si un fichier de configuration NTP n'est pas disponible, vous pouvez en faire une copie à partir du fichier de configuration de sauvegarde. Exemple :
admin@FireSIGHT:~$ sudo cp /etc/ntp.conf.bak /etc/ntp.conf
Note: La sortie d'un fichier ntp.conf montre les paramètres du serveur de temps configurés sur une stratégie système. L'entrée d'horodatage doit indiquer l'heure à laquelle la dernière stratégie système s'applique à un périphérique. L'entrée du serveur doit afficher l'adresse du serveur temporel spécifiée.
admin@FireSIGHT:~$ sudo cat /etc/ntp.conf
# automatically generated by /etc/sysconfig/configure-network ; do not edit
# Tue Oct 21 17:44:03 UTC 2014
restrict default noquery nomodify notrap nopeer
restrict 127.0.0.1
server 198.51.100.2
logfile /var/log/ntp.log
driftfile /etc/ntp.drift