Risoluzione dei problemi relativi all'allarme del sistema SLIC Channel Down

Opzioni per il download

  • PDF     (264.7 KB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:20 febbraio 2026
ID documento:220130

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come risolvere i problemi relativi agli allarmi di sistema "SLIC Channel Down" di Secure Network Analytics (SNA).

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza base della SNA.

    SLIC sta per "Stealthwatch Labs Intelligence Center"

    Componenti usati

    Il documento può essere consultato per tutte le versioni software o hardware.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Procedura

    L'allarme "SLIC Channel Down" viene attivato quando SNA Manager non è in grado di ricevere gli aggiornamenti dei feed dai Threat Intelligence Server, in precedenza SLIC.

    Per comprendere meglio la causa dell'interruzione degli aggiornamenti dei feed, procedere come segue:

    1. Passare a Gestione centrale accedendo a Manager (nel campo dell'indirizzo del browser, digitare https:// e l'indirizzo IP dell'accessorio). Premere Invio.)
    2. Dal menu principale, selezionare Configura > Globale > Gestione centrale.
    3. Fare clic sull'icona Ellissi dell'accessorio.
    4. Selezionare Visualizza statistiche accessorio.
    5. Dal menu principale, selezionare Supporto > Sfoglia file
    6. Nella pagina Sfoglia file selezionare smc > log > e quindi fare clic su smc-core.log
    7. Viene visualizzata una nuova scheda con il contenuto di smc-core.log. Esaminare il file eseguendo una ricerca neiSlicFeedGetter log.

    Log degli errori comuni

    I log degli errori più comuni rilevati nelsmc-core.log relativo all'allarme SLIC Channel Down sono:

    Timeout della connessione

    2026-01-01 22:45:39,604 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    org.apache.http.conn.HttpHostConnectException: Connect to lancope.flexnetoperations.com:443 [lancope.flexnetoperations.com/xx.xx.xx.x] failed: Connection timed out (Connection timed out) 

    Impossibile trovare un percorso di certificazione valido per la destinazione richiesta

    2026-01-01 00:27:51,239 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

    Handshake non riuscito

    2026-01-01 20:00:50,227 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    javax.net.ssl.SSLHandshakeException: Handshake failed

    Procedura di risoluzione

    Gli aggiornamenti del feed di Threat Intelligence possono essere interrotti a causa di condizioni diverse.

    Eseguire i passaggi di convalida successivi per verificare che SNA Manager soddisfi i requisiti.

    Passaggio 1. Convalida stato di Smart Licensing

    Individuare la licenza Threat Feed Central Management > Smart Licensing e verificare che lo stato sia Authorized.

    Passaggio 2. Verificare la risoluzione DNS (Domain Name System)

    Accertarsi che SNA Manager sia in grado di risolvere correttamente l'indirizzo IP per lancope.flexnetoperations.com and esdhttp.flexnetoperations.com

    Passaggio 3. Verificare la connettività ai server feed di Threat Intelligence

    Verificare che SNA Manager disponga di accesso a Internet e che sia consentita la connettività ai server di Threat Intelligence elencati di seguito:

    Porta e protocollo

    Origine

    Destinazione

    443/TCP

    Gestione SNA

    esdhttp.flexnetoperations.com

    lancope.flexnetoperations.com

    Nota: Se a SNA Manager non è consentito l'accesso diretto a Internet, verificare che sia presente la configurazione proxy per l'accesso a Internet.

    Passaggio 4. Disabilitare l'ispezione/decrittografia SSL (Secure Socket Layer)

    Il secondo e il terzo errore descritti nella Common Error Logs sezione possono verificarsi quando Gestione SNA non riceve il certificato di identità corretto o la catena di attendibilità corretta utilizzata dai server dei feed di Threat Intelligence.

    Per evitare ciò, accertarsi che non venga eseguita alcuna ispezione/decrittografia SSL sulla rete (da parte di firewall o server proxy compatibili) per le connessioni tra SNA Manager e i server Threat Intelligence elencati nella Verify Connectivity to the Threat Intelligence Feed Servers sezione.

    Se non si è certi che l'ispezione/decrittografia SSL venga eseguita nella rete, è possibile raccogliere un'acquisizione di pacchetto tra l'indirizzo IP di SNA Manager e l'indirizzo IP dei server Threat Intelligence e analizzare l'acquisizione per verificare il certificato ricevuto. A tale scopo, effettuare le seguenti operazioni:

    Per creare un utente di acquisizione pacchetti, utilizzare la console dell'accessorio (SystemConfig) come utente sysadmin.

    1. Accedere all'accessorio come sysadmin.
    2. Selezionare Advanced > Packet Capture. Se non vi sono acquisizioni di pacchetti esistenti, si passa direttamente al menu di configurazione dell'acquisizione dei pacchetti. Se sono presenti acquisizioni di pacchetti esistenti, selezionare Crea per creare una nuova acquisizione di pacchetti.
    3. Immettere un numero di porta TCP o UDP nel campo Filtro porta. La porta può essere di origine o di destinazione. È possibile lasciare vuoto questo campo per impostare il filtro su "Qualsiasi". SLIC utilizza una connessione tcp/443, quindi immettere 443 in questo campo. 
    4. Nel campo Durata (900 secondi max), specificare il numero di secondi per l'acquisizione del pacchetto.
      note-icon

      Nota: Prestare attenzione a immettere un periodo di tempo ragionevole, in quanto un file di acquisizione di grandi dimensioni potrebbe occupare tutto lo spazio disponibile sul disco rigido dell'accessorio. Questo campo viene utilizzato insieme all'impostazione Pacchetti. L'acquisizione viene eseguita fino al raggiungimento della durata o del numero di pacchetti.

    5. Nel campo Pacchetti (100.000 max), specificare il numero di pacchetti da acquisire prima di terminare l'acquisizione. Questo campo viene utilizzato insieme all'impostazione Durata. L'acquisizione viene eseguita fino al raggiungimento della durata o del numero di pacchetti.
    6. Fare clic su OK per avviare l'acquisizione dei pacchetti.
      tip-icon

      Suggerimento: Per interrompere l'acquisizione di un pacchetto in modo improvviso, è in genere possibile premere CTRL+C.

    Per visualizzare i file di acquisizione dei pacchetti, scaricarli e visualizzarli localmente. I file vengono memorizzati in /lancope/var/tcpdump.

    È possibile collegarsi direttamente all'accessorio o accedervi tramite Gestione centrale inventario > Visualizza statistiche accessorio. Selezionare Supporto > Sfoglia file per scaricare l'acquisizione dei pacchetti.

    Difetti correlati

    Esiste un difetto noto che può influire sulla connessione ai server SLIC:

    • La comunicazione SLIC SMC può scadere e non riuscire se la porta di destinazione 80 è bloccata. Vedere l'ID bug Cisco CSCwe0831

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    3.0
    20-Feb-2026
    Flusso di lavoro della shell radice aggiornato al flusso di lavoro dell'interfaccia utente Web.
    2.0
    08-Feb-2023
    Sezione "Difetti correlati" aggiunta
    1.0
    19-Jan-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Angel Ortiz
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti