ONAセンサーのオフラインステータスのトラブルシューティング

Updated: 2023 年 2 月 21 日
Document ID:220246

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、Secure Cloud Analytics(SCA)Sensorがオフラインと表示される原因を調査する方法について説明します。  

    背景説明

    Secure Cloud Analytics(SCA)は、以前はStealthwatch Cloud(SWC)と呼ばれていましたが、これらの用語は同じ意味で使用できます。

    SCAセンサーはプライベートネットワークモニタであり、ONA、ONAセンサー、または単にセンサーとして参照できます。 

    この記事のコマンドは、ona-20.04.1-server-amd64.iso debianインストールに基づいています。 

    オフラインセンサーの考えられる原因

    センサーがオフラインステータスを示す原因として考えられる多くの要因があります。 

    これらの要因の2つの例は、ネットワーク関連の問題であり、ローカルファイルシステムにはフルディスクがあります。

    オフラインセンサーの識別

    SCAポータルには、設定済みセンサーのリストが含まれています。このページにアクセスするには、 Settings > Sensors. 

    このイメージのオフラインセンサーは赤で表示され、最近のハートビートとデータは表示されません。

    Two Example Sensor Connection States

    オフラインセンサーの調査

    ネットワークの問題

    ONAホストがインターネットアクセスを失い、センサーがオフラインとしてリストされる可能性があります。 

    ONAホストが、8.8.8.8にあるGoogle DNSサーバの1つなど、既知の有効なIPアドレスにpingできるかどうかをテストします。

    ONAセンサーにログインし、ping -c4 8.8.8.8コマンドを実行します。 

    user@example-ona:~# ping -c4 8.8.8.8
    PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. 
    From 10.10.10.11 icmp_seq=1 Destination Host Unreachable
    From 10.10.10.11 icmp_seq=2 Destination Host Unreachable
    From 10.10.10.11 icmp_seq=3 Destination Host Unreachable
    From 10.10.10.11 icmp_seq=4 Destination Host Unreachable

    --- 8.8.8.8 ping statistics ---
    4 packets transmitted, 0 received, 100% packet loss, time 3065ms
    user@example-ona:~#

    センサーが既知の有効なIPアドレスにpingできない場合は、さらに調査します。

    デフォルトゲートウェイを特定するには、 route -n コマンドが表示されない場合もあります。

    デフォルトゲートウェイに有効なAddress Resolution Protocol(ARP)エントリがあるかどうかを確認します。 arp -an コマンドが表示されない場合もあります。

    センサーが既知のIPアドレスにpingできる場合は、DNSホストの名前解決と、センサーがクラウドに接続できるかどうかをテストします。   

    センサーにログインし、 sudo curl https://sensor.ext.obsrvbl.com コマンドが表示されない場合もあります。

    curlコマンドの出力には、sensor.ext.obsrvbl.comのDNS解決が失敗し、DNSの調査が必要であることが示されています。

    user@example-ona:~# sudo curl https://sensor.ext.obsrvbl.com 
    [sudo] password for user: 
    curl: (6) Could not resolve host: sensor.ext.obsrvbl.com
    user@example-ona:~#

    このタイプの応答は、接続が良好であることと、クラウドポータルがセンサーを認識していることを示します。

    user@example-ona:~# sudo curl https://sensor.ext.obsrvbl.com
    [sudo] password for user:
    {"welcome":"example-domain"}
    user@example-ona:~#
    note-icon

    :curlコマンドは、次の適切な地域を使用するように変更できます。米国:https://sensor.ext.obsrvbl.com、欧州:https://sensor.eu-prod.obsrvbl.com、オーストラリア:https://sensor.anz-prod.obsrvbl.com

    このタイプの応答は良好な接続を示していますが、センサーが特定のドメインに関連付けられていません。 

    user@example-ona:~# sudo curl https://sensor.anz-prod.obsrvbl.com
    [sudo] password for user:
    {"error":"unknown identity","identity":"240.0.0.0"}
    user@example-ona:~#

    DNSの問題

    SensorがDNSでホスト名を解決できない場合は、 cat /etc/netplan/01-netcfg.yaml コマンドが表示されない場合もあります。

    dns設定を変更する必要がある場合は、「DNS設定の更新」セクションを参照してください。 

    DNS設定が検証されたら、 sudo systemctl restart systemd-resolved.service コマンドが表示されない場合もあります。

    このコマンドには出力は必要ありません。

    user@example-ona:~# sudo systemctl restart systemd-resolved.service
    [sudo] password for user: 
    user@example-ona:~#

    DNS設定の更新

    NetplanのDNSサーバを更新するには、ネットワークインターフェイスのNetplan設定ファイルを変更します。

    Netplan設定ファイルは、/etc/netplanディレクトリに保存されます。

    tip-icon

    ヒント:このディレクトリには1つまたは2つのYAMLファイルがあります。必要なファイル名は01-netcfg.yamlまたは50-cloud-init.yaml、あるいはその両方です。

    次のコマンドを使用して、Netplanコンフィギュレーションファイルを開きます。 sudo vi /etc/netplan/01-netcfg.yaml コマンドが表示されない場合もあります。

    Netplan設定ファイルで、ネットワークインターフェイスの下にある「nameservers」キーを探します。

    複数のDNSサーバIPアドレスをカンマで区切って指定できます。

    Netplanの設定に変更を適用するには、 sudo netplan apply コマンドが表示されない場合もあります。

    Netplanは、systemd-resolvedサービスの設定ファイルを生成します。

    新しいDNSリゾルバが設定されていることを確認するには、 resolvectl status | grep -A2 'DNS Servers' コマンドが表示されない場合もあります。

    user@example-ona:~# resolvectl status | grep -A2 'DNS Servers'
     DNS Servers: 10.122.147.56
     DNS Domain: example.org

    user@example-ona:~#

    ローカルファイルシステムがいっぱいです

    センサーのコンソールに、「Failed to create new system journal: No space left on device」という一般的なエラーメッセージが表示される場合があります。

    これは、ディスクがいっぱいになり、/ルートファイルシステムに空き領域がなくなったことを示します。

    Cisco Unified Communications Managerの df -ah / コマンドを使用して、使用可能な領域の量を調べます。

    user@example-ona:~# df -ah /
    Filesystem Size Used Avail Use% Mounted on
    /dev/mapper/vgona--default-root 30G 30G 0G 100% /
    user@example-ona:~#

    古いジャーナルログをクリアして、ディスク領域を解放します。 journalctl --vacuum-time 1d コマンドが表示されない場合もあります。

    user@example-ona:~# journalctl --vacuum-time 1d
    Vacuuming done, freed 0B of archived journals from /var/log/journal.
    {Removed for brevity}
    Vacuuming done, freed 2.9G of archived journals from /var/log/journal/315bfec86e0947b2a3a23da2a672e577.
    Vacuuming done, freed 0B of archived journals from /run/log/journal.
    user@example-ona:~#

    ストレージスペースが、『初期導入ガイド』に記載されている最小システム要件を満たしていることを確認してください。

    このガイドは、Cisco Secure Cloud Analytics(Stealthwatch Cloud)製品サポートページ(https://www.cisco.com/c/en/us/support/security/stealthwatch-cloud/series.html)から入手できます。

    設定の監視

    クラウドへのネットワーク接続が良好で、有効なDNS設定を持つセンサーは、引き続きオフライン状態を示す可能性があります。

    センサーの監視オプションが無効になっているか、センサーがハートビートを送信しない場合は、オフラインステータスになる可能性があります。

    note-icon

    :このセクションは、カスタマイズなしでONA Sensorをデフォルトでインストールする場合に使用します。netflowやIPFIXのデータをアクティブに受信します。

    Cisco Unified Communications Managerの grep PNA_SERVICE /opt/obsrvbl-ona/config コマンドを発行して、ステータスを確認します。

    user@example-ona:~# grep PNA_SERVICE /opt/obsrvbl-ona/config
    OBSRVBL_PNA_SERVICE="false"
    user@example-ona:~#

    サービスがfalseに設定されている場合は、目的のネットワークがにリストされていることを確認します。 Settings > configure monitoring SCAポータルのセンサー用です。

    Settings drop-down highlighting configure monitoring

    Cisco Unified Communications Managerの ps -fu obsrvbl_ona | grep pna コマンドを発行し、サービスが表示されるかどうか、および予想される監視対象ネットワーク範囲がリストされているかどうかを確認します。

    user@example-ona:~# ps -fu obsrvbl_ona | grep pna
    obsrvbl+ 925 763 0 Feb09 ? 00:29:04 /usr/bin/python3 /opt/obsrvbl-ona/ona_service/pna_pusher.py
    obsrvbl+ 956 920 0 Feb09 ? 00:24:00 /opt/obsrvbl-ona/pna/user/pna -i ens192 -N 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 -o /opt/obsrvbl-ona/logs/pna -Z obsrvbl_ona (net 10.0.0.0/8) or (net 172.16.0.0/12) or (net 192.168.0.0/16)
    obsrvbl+ 957 921 0 Feb09 ? 00:00:00 /opt/obsrvbl-ona/pna/user/pna -i ens224 -N 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 -o /opt/obsrvbl-ona/logs/pna -Z obsrvbl_ona (net 10.0.0.0/8) or (net 172.16.0.0/12) or (net 192.168.0.0/16)
    user@example-ona:~#

    このコマンドの出力は、PNAサービスのプロセスIDが956と957であり、プライベートアドレス範囲10.0.0.0/8、172.16.0.0/12、および192.168.0.0/16がens192とens224インターフェイスで監視されていることを示しています。

    note-icon

    :アドレス範囲とインターフェイス名は、センサーの設定と導入によって異なる場合があります

    SSLエラー

    /opt/obsrvbl-ona/logs/ona_service/ona-pna-pusher.logファイルを参照して、SSLエラーの詳細を確認します。 less /opt/obsrvbl-ona/logs/ona_service/ona-pna-pusher.log コマンドが表示されない場合もあります。

    エラーの例を示します。

    (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1131)'))). 

    Cisco Unified Communications Managerの wget https://s3.amazonaws.com コマンドを入力し、出力を確認して、HTTPSインスペクションが可能かどうかを確認します。 

    HTTPSインスペクションがある場合は、センサーがインスペクションから削除されているか、許可リストに配置されていることを確認します。

    更新履歴

    改定 発行日 コメント
    1.0
    21-Feb-2023
    初版
    TAC Authored

    シスコ エンジニア提供

    • Kevin Bartoletta
      TACテクニカルリーダー
    • Joshua Martin
      TACエンジニア
    • Ali Soueidan
      ソフトウェアエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています