クラウド検索エラーとURLフィルタリングの問題のトラブルシューティング
はじめに
このドキュメントでは、URLフィルタリングとクラウド検索エラーに関連する問題について説明します。
前提条件
FireSIGHT 管理センターの URL フィルタリング機能を使用すると、モニタされたホストからの暗号化されない URL リクエストに基づいてネットワークをトラバースするトラフィックを判断するためにアクセス コントロール ルールの条件を記述することができます。
設定部分を開始する前に、URLフィルタリングライセンスが使用可能であることを確認し、FireSIGHTシステムに正しくインストールされて有効になっていることを確認する必要があります。 カテゴリおよびレピュテーションベースのURL条件をアクセスコントロールルールに追加します。ただし、URLフィルタリングライセンスがないと、アクセスコントロールポリシーを管理対象デバイスに適用できません。
要件
次の項目に関する知識があることが推奨されます。
- FirePOWER の知識.
- FireSIGHT Management Center(FMC)の基本的な知識。
使用するコンポーネント
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- ソフトウェアバージョン5.3、5.4以降を実行するASA FirePowerモジュール(ASA 5506X/5506H-X/5506W-X、ASA 5508-X、ASA 5516-X)
- 5.3、5.4、6.0.0以降のソフトウェアバージョンを実行するASA FirePowerモジュール(ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X)
- すべてのCisco FirePower 7000シリーズおよびCisco FirePOyouR 8000シリーズ
- FS 750、FS 1500、FS 3500、FireSIGHT Management Center FS2000、FS4000または仮想アプライアンス(すべてのソフトウェアバージョン)。
設定
初期設定を開始するには、次の文書を参照してください(図1を参照)。
クラウドのルックアップの失敗と接続の問題を確認する方法
次のシナリオベースのトラブルシューティング手順を使用して、クラウド検索エラーを確認します。
ステップ 1:DNS解決
FireSIGHT Management Centerは、クラウド検索プロセスの実行中に次のサーバと通信します。
database.brightcloud.com service.brightcloud.com
この接続を管理するための最初の前提条件として、ファイアウォールで両方のサーバが許可されていることを確認する必要があります。接続が許可されている場合は、次のnslookupコマンドを使用して接続を確認し、サーバが問題なく名前を解決できるかどうかを確認します。
root@123:#nslookup service.brightcloud.com
root@123:#nslookup database.brightcloud.com
ステップ 2:ポート接続
ドメインの接続を確認した後で(DTEまたはDTE)、必要なポートへのこれらのドメインの接続を確認する必要があります。
FireSIGHTシステムは、クラウドサービスとの通信にポート443/HTTPSおよび80/HTTPを使用します。 telnetコマンドを使用して、ポート80および443への接続を確認します。 URLデータベースはdatabase.brightcloud.comのポート443でダウンロードされ、不明なURLクエリは service.brigthcloud.comのポート80で実行されます。
root@123:#telnet service.brightcloud.com 80
root@123:#telnet database.brightcloud.com 80
root@123:#telnet database.brightcloud.com 443
Telnet通信が成功すると、出力の1つが次のようになります。
Connected to service.brightcloud.com. Escape character is '^]'.
注:443を使用してservice.brightcloud.comに接続する設計になっていないため、Telnetを削除しました。
| シスコ内部情報
|
デバイスは、BcapPort(80)上のBcapServer(service.brightcloud.com)とSslPort(443)上のDbServer(database.brightcloud.com)への接続を試みます。
これらの接続試行が失敗した場合、URLデータベースはダウンロードされません(図1を参照)。
ステップ 3:ファイルダウンロードの確認
必要なポートとのドメイン接続を確認した後(必要に応じてポートを設定した後)、アプライアンスへの次のファイルのダウンロードが完了したことを確認する必要があります。
root@123:#ls /var/sf/cloud_download/
root@123:#lsof | grep bcdb SFDataCor 2516 root mem REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc SFDataCor 2516 root mem REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 SFDataCor 2516 root mem REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx SFDataCor 2516 root 54u REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 SFDataCor 2516 root 55u REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc SFDataCor 2516 root 61u REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx snort 2541 sfsnort mem REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx snort 2541 sfsnort mem REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc snort 2541 sfsnort mem REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 snort 2541 sfsnort 15u REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 snort 2541 sfsnort 16u REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc snort 2541 sfsnort 25u REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx snort 2542 sfsnort mem REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx snort 2542 sfsnort mem REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc snort 2542 sfsnort mem REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 snort 2542 sfsnort 15u REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 snort 2542 sfsnort 16u REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc snort 2542 sfsnort 25u REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx snort 2543 sfsnort mem REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 snort 2543 sfsnort mem REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx snort 2543 sfsnort mem REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc snort 2543 sfsnort 16u REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 snort 2543 sfsnort 25u REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc snort 2543 sfsnort 29u REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx snort 2549 sfsnort mem REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc snort 2549 sfsnort mem REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 snort 2549 sfsnort mem REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx snort 2549 sfsnort 16u REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 snort 2549 sfsnort 25u REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc snort 2549 sfsnort 29u REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx
root@123:#pidof snort 2549 2543 2542 2541
URLデータセットのローカルインストールが完了すると、 full_bcdb_rep_4.xxx.binという名前のファイルが/var/sf/cloud_downloadディレクトリに存在します。
root@123:# ls /var/sf/cloud_download/full_bcdb_rep_4.* -rw-r--r-- 1 root root 429M Mar 14 03:07 full_bcdb_rep_4.494.bin
ステップ 4:SFDCの再起動
一部のファイルが完全にダウンロードされない場合、またはこのフォルダの場所にない場合は、次のサービスを再起動して完全なファイルをダウンロードする必要があります。
root@123:# pmtool restartbyid SFDataCorrelator
ステップ 5:Snortインスタンスの再起動
root@123:# pmtool restartbytype snort
手順 6:CloudAgentサービスの再起動
root@123:# pmtool restartbyid CloudAgent
必要なサービスを再起動した後(必要に応じてサービスを再起動した後)、Firesight Management CenterからURLの更新を再試行する必要があります。
| シスコ内部情報 ファイルのダウンロードが再び失敗した場合は、次の場所に表示されるエラーメッセージを確認してください。
エラーコードについては、を参照してください。 Brightcloudサービスを成功させるために必要なファイル。
|
また、urldb_logファイルを確認して出力を確認します。CloudAgentが最新の状態(たとえば、CloudAgentが最新の状態)になると、次の出力が表示されます。
root@123:# cd /var/log/
root@123:# tail -900f urldb_log
Jun 2 05:40:51 gw-iaps-01 SF-IMS[3769]: [3808] CloudAgent:CloudAgent [INFO] Nothing to do, up to date
Jun 2 05:40:53 gw-iaps-01 SF-IMS[3769]: [3808] CloudAgent:CloudAgent [INFO] Nothing to do, up to date
Jun 2 05:41:00 gw-iaps-01 SF-IMS[3769]: [3808] CloudAgent:CloudAgent [INFO] Nothing to do, up to date
Jun 2 05:41:01 gw-iaps-01 SF-IMS[3769]: [3808] CloudAgent:CloudAgent [INFO] Nothing to do, up to date
Jun 2 05:45:07 gw-iaps-01 SF-IMS[3769]: [3808] CloudAgent:CloudAgent [INFO] Nothing to do, up to date
手順 7:パケットキャプチャの実行
一部のシナリオでは、CloudAgentログファイルが最新の状態であっても、443/HTTPS接続に対して次のtelnetが失敗します。
root@123:# telnet service.brightcloud.com 443 Trying 54.221.218.187... telnet: connect to address 54.221.218.187: Connection refused Trying 107.22.214.128... telnet: connect to address 107.22.214.128: Connection refused
このような結果に気づいた場合は、次の手順を使用してパケットキャプチャを実行します。
1. Firesight Management CenterにSSHで接続し、次のコマンドを使用してrootユーザに昇格します。
sudo su -
2. 次のコマンドを実行して、キャプチャを開始します。
tcpdump -i
-s 0 -w /var/tmp/
port 443
クラウドサービス専用のキャプチャを取得するには、次のパターンでコマンドを実行します(図1を参照)。必ず-sオプションを指定してください。オプションを指定しない場合、パケットが切り捨てられるため、パケットのデフォルトサイズは96バイトになります。
tcpdump -i <interface> -w testpcap1.pcap -s 9000 "host service.brightcloud.com or host database.brightcloud.com or host service2.brightcloud.com"
3. 問題の発生頻度が高い場合は、failure healthアラートが再び表示されるまで、キャプチャを実行します。キャプチャ中に両方のポートにTelnetを実行することを推奨します。(service.brightcloudおよびdatabase.brightcloud)。
4. キャプチャを停止し、ファイルをサーバにscpします。
5. 収集されたキャプチャ(PCAP)から、443のパケットがトリガーされているかどうか、またはドロップされているかどうかを確認します。
ステップ 8:新しいターミナルを開き、デバッグを実行する
パケットがドロップされず、パケットが正常にトリガーされていることが判明した場合、CloudAgentがURLデータベースをダウンロードしたにもかかわらず、特定の不明なURLのルックアップに失敗している可能性があります。
キャプチャの実行中に、新しい端末を開いてCloudAgentのデバッグを実行する必要があります。そのためには、CloudAgentプロセスを無効にする必要があります。
Firesight Management Centerでデバッグを開始するには、次の手順を実行します
CloudAgentサービスを無効にして、クラウドエージェントをデバッグモードにします。
root@123:# pmtool disablebyid CloudAgent
CloudAgentのdebugコマンドを実行します。
root@123:# CloudAgent --debug --config /etc/sf/cloudagent.conf --peers-config /etc/sf/device_cap.conf --ccfg /etc/sf/bca.cfg
十分なデータをキャプチャできるようになったら(詳細は後述)、次のコマンドを使用してCloudAgentプロセスを終了し、その後でCloudAgentサービスを再度有効にして、デバッグを停止します。
root@123:# pkill -15 CloudAgent
root@123:# pmtool enablebyid CloudAgent
デバッグ出力は次のようになります。
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Setting debug level to 1
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Processing configuration '/etc/sf/cloudagent.conf'
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Processing peer list configuration '/etc/sf/device_cap.conf'
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Processing cloud config file '/etc/sf/bca.cfg'
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set cloud poll time to 1800
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set queue memcap to 50485760
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set persistent cache memcap to 524288000
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set request cache memcap to 50485760
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set ip reputation max download size to 536870912
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set ip reputation max redirects to 2
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set ip reputation connection time out to 5
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set ip reputation max download size to 600
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set ip reputation auto update time to 7200
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] config file = /etc/sf/cloudagent.conf
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] pid file = /var/sf/run/CloudAgent.pid
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:158:ProcessConfiguration(): Local authority is 5fe379a0-a765-11e4-b74e-eef0c3580dec
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:250:auth_license_init(): Initializing license /etc/sf/license
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:256:readSigFile(): File I/O problem for /etc/sf/license: No such file or directory
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:263:auth_license_init(): Can't read signature file
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:250:auth_license_init(): Initializing license /etc/sf/license.d/57b856615f0d4649da3fc262d8fbc3fa.lic
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:277:readSigFile(): old_length is 918, new length is 669
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:543:verifyBuffer(): The length of the buffer, less the signature is 154
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:544:verifyBuffer(): The length of the signature is 512
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:629:rsa_verify(): Checking hash signature
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:638:rsa_verify(): Possible old license format, trying alternate method
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:562:verifyBuffer(): Found valid signature: sf_new.pub
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:595:verifyBuffer(): Valid signature
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:291:auth_license_init(): Valid signature
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1103:load_kvp(): Calling initToken with l->buffer_length=669
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1121:load_kvp(): kvp->token = model, kvp->value = 0x42
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1121:load_kvp(): kvp->token = expires, kvp->value = forever
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1121:load_kvp(): kvp->token = node, kvp->value = 00:50:56:91:44:6B
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1121:load_kvp(): kvp->token = serial_number, kvp->value = 74245185
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1121:load_kvp(): kvp->token = feature_id, kvp->value = 0xC
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1121:load_kvp(): kvp->token = model_info, kvp->value = 66E:50000:HOST,66E:50000:USER
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:421:auth_license_validate_license(): license mac 00:50:56:91:44:6B
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1345:auth_search_for_matching_mac(): Compare 00:50:56:91:44:6B license mac 00:50:56:91:44:6B
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:447:auth_license_validate_license(): local model is 66, license model = 66
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:463:auth_license_validate_license(): feature license 0xC
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:250:auth_license_init(): Initializing license /etc/sf/license.d/c4d0c77c3c574ec3bc45cfb3d5aa8b0c.lic
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:421:auth_license_validate_license(): license mac 00:50:56:91:44:6B
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1345:auth_search_for_matching_mac(): Compare 00:50:56:91:44:6B license mac 00:50:56:91:44:6B
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:437:auth_license_validate_license(): now is 1437370584, license time is 1452402889
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:447:auth_license_validate_license(): local model is 66, license model = 66
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:463:auth_license_validate_license(): feature license 0xB
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:564:auth_license_validate_license(): Got URL License type: SUBSCRIPTION
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:405:GetURLFilteringLicenseInfo(): URLFiltering License: /etc/sf/license.d/aa434b92b62bc5982e2603b59e9fe06e.lic
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:479:Get
URLFilteringLicenseInfo(): count for model 72H(URLFilter) is 2
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:171:ProcessConfiguration(): total 2 URL Filtering Licenses
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:111:add_peer(): Adding peer e8590790-b18e-11e4-9098-ed176e943d42 to peer list
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:118:add_peer(): The peer version for peer e8590790-b18e-11e4-9098-ed176e943d42 is 0
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:344:ProcessURLFilteringPeers(): URLFiltering peers are *************************
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:151:PrintPeers(): peer 'e8590790-b18e-11e4-9098-ed176e943d42' and peer status is 2 and version 5.3 is 0
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:346:ProcessURLFilteringPeers(): URLFiltering peers are *************************
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:111:add_peer(): Adding peer bfc13f04-b0e5-11e4-9c85-a922b39543ad to peer list
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:118:add_peer(): The peer version for peer bfc13f04-b0e5-11e4-9c85-a922b39543ad is 0
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:344:ProcessURLFilteringPeers(): URLFiltering peers are *************************
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:151:PrintPeers(): peer 'e8590790-b18e-11e4-9098-ed176e943d42' and peer status is 2 and version 5.3 is 0
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:151:PrintPeers(): peer 'bfc13f04-b0e5-11e4-9c85-a922b39543ad' and peer status is 2 and version 5.3 is 0
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:346:ProcessURLFilteringPeers(): URLFiltering peers are *************************
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:350:ProcessURLFilteringPeers(): no URL Filtering Licenses available
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:178:ProcessConfiguration(): Peers Configuration read, 0 URL Filtering Licenses remaining
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:SFTL [DEBUG] SSLSupport.c:26:init_OpenSSL(): Loading error strings
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:CloudAgent [DEBUG] CloudAgent.cpp:278:main(): Started
ステップ 9:テストの実行
デバッグに問題がなく、url dbログにも更新すべきことが示されない場合は、トリガーされたクラウドルックアップアラートが誤検出(FALSE POSITIVE)かどうかを確認するために、もう1つのテストを実行する必要があります。
次のテストを実行するには、メンテナンス時間帯を調整する必要があります。
test -1
FireSIGHT Management CenterおよびFirepowerからbcdbファイルのバックアップを実行します。
バックアップを実行する必要があるファイルは、次の場所にあります。
root@123:# cd /var/sf/cloud_download/
この場所からFireSIGHT Management CenterおよびFirepowerの別の場所にファイルを移動します。
バックアップが完了したら、/var/sf/cloud_download/の場所からbcdbファイルを削除し、次の手順を実行してデータベースの強制ダウンロードを実行します。
FireSIGHT Management Centerにログインし、System > Local > Configuration > Cloud Servicesの順に移動します。
Update Now ボタンをクリックします。
FireSIGHT Management Centerの同じ場所/var/sf/cloud_download/で新しいbcdbファイルが正常に更新されているかどうかを確認します。 FireSIGHT Management Centerで新たにダウンロードする場合は、アクセス制御ポリシーをプッシュして、Firepower(管理対象センサー)で同じデータベースファイルが更新されるようにする必要があります。
ファイルを正常にダウンロードできなかった場合は、bcdbファイルを/var/sf/cloud_download/内の同じ場所に再コピーして、何も影響しないようにします。
test -2
url lookupを実行し(データベースに存在しない、または使用できないurlに対してurl lookupを実行)、応答を再確認します。
/var/sf/cloud_downloadsからデータベースファイルが削除された後にテストが実行された後、ファイルが再び表示される場合は、443の接続が成功したことを意味します。
結論
クラウドのルックアップエラーが断続的に発生する場合があります。5.3.1.2などのバージョンでは、ヘルスモニタリングモジュールがクラウド検索エラーについて誤検出アラートを報告する可能性があります。断続的なヘルスルックアップのアラートは、次のようなレポートを提供します。
Health Monitor Alert from abc.com Time: youd Aug 5 12:01:41 2015 UTC Severity: critical Module: URL Filtering Monitor Description: Cloud lookup failure Health Monitor Alert from abc.com Time: youd Aug 5 12:17:03 2015 UTC Severity: recovery Module: URL Filtering Monitor Description: Process is running correctly
すべてのテストが成功したことを確認した後でも断続的なクラウドルックアップエラーが発生する場合、これはバージョン5.3.1.2の時点でヘルスアラームが非常に敏感であるという問題です。Cisco Bug CSCut77594 
この点について報告されています。 ヘルスアラームは、url lookupに対して1つの障害が発生した場合でもトリガーされます。障害とは、その特定のURLに対する応答がbrightcloudサーバから得られなかったことを意味します。URLヘルスモニタリングモジュールの誤検出の問題は、次のバージョンで修正されています。
DRAMBUIE 5.4.1.5_KENTON 5.4.0.6_AND_5.4.1.5_DC 5.3.1.7 5.3.0.8
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
23-Aug-2024
|
初版 |
フィードバック