SLICチャネルダウンシステムアラームのトラブルシューティング

はじめに

このドキュメントでは、Secure Network Analytics(SNA)の「SLIC Channel Down」システムアラームをトラブルシューティングする方法について説明します。

前提条件

要　件

SNAに関する基本的な知識があることが推奨されます。

SLICは「Stealthwatch Labs Intelligence Center」の略です。

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

プロシージャ

「SLICチャネルダウン」アラームは、SNAマネージャが脅威インテリジェンスサーバ（以前のSLIC）からフィードアップデートを取得できないときにトリガーされます。

フィードの更新が中断された原因を詳しく理解するには、次の手順に従います。

1. Managerにログインして、Central Managementに移動します(ブラウザのアドレスフィールドに、https://とアプライアンスのIPアドレスを入力します。Enterキーを押します)。
2. メインメニューから、「設定」>「グローバル」>「中央管理」を選択します。
3. アプライアンスの省略記号アイコンをクリックします。
4. 「アプライアンス統計の表示」を選択します。
5. メインメニューから、Support > Browse Filesの順に選択します。
6. [ファイルの参照]ページで[smc > logs > ]を選択し、[smc-core.log]をクリックします。 
7. smc-core.logの内容を含む新しいタブが開きます。SlicFeedGetterログを検索して、このファイルを確認します。

一般的なエラーログ

SLICチャネルダウンアラームに関連してthesmc-core.logに記録される最も一般的なエラーログは次のとおりです。

接続タイムアウト

2026-01-01 22:45:39,604 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
org.apache.http.conn.HttpHostConnectException: Connect to lancope.flexnetoperations.com:443 [lancope.flexnetoperations.com/xx.xx.xx.x] failed: Connection timed out (Connection timed out) 

要求されたターゲットへの有効な証明パスが見つかりません

2026-01-01 00:27:51,239 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

ハンドシェイク失敗

2026-01-01 20:00:50,227 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
javax.net.ssl.SSLHandshakeException: Handshake failed

修復手順

脅威インテリジェンスフィードの更新は、さまざまな状況によって中断される可能性があります。

次の検証手順を実行して、SNAマネージャが要件を満たしていることを確認します。

ステップ 1：スマートライセンスのステータスの検証

Central Management > Smart Licensingの順に移動し、脅威フィードライセンスのステータスがAuthorizedであることを確認します。

ステップ 2ドメインネームシステム(DNS)解決の確認

SNAマネージャがlancope.flexnetoperations.comおよびesdhttp.flexnetoperations.comのIPアドレスを正常に解決できることを確認します。

ステップ 3脅威インテリジェンスフィードサーバへの接続の確認

SNAマネージャがインターネットにアクセスできること、および次にリストされている脅威インテリジェンスサーバへの接続が許可されていることを確認してください。

注:SNAマネージャがインターネットへの直接アクセスを許可されていない場合は、インターネットアクセス用のプロキシ設定が適切であることを確認してください。

ステップ 4Secure Socket Layer(SSL)インスペクション/復号化の無効化

「一般的なエラーログ」セクションで説明している2番目と3番目のエラーは、SNAマネージャが脅威インテリジェンスフィードサーバで使用される正しいID証明書または正しい信頼チェーンを受信していない場合に発生する可能性があります。

これを防ぐには、「脅威インテリジェンスフィードサーバへの接続の確認」セクションに記載されているSNAマネージャと脅威インテリジェンスサーバの間の接続に対して、（対応するファイアウォールまたはプロキシサーバによって）ネットワーク全体でSSL検査/復号化が実行されないようにする必要があります。

ネットワークでSSLインスペクション/復号化が実行されているかどうかわからない場合は、SNAマネージャのIPアドレスと脅威インテリジェンスサーバ(THREAT INTELLIGENCE SERVER)のIPアドレス間のパケットキャプチャを収集し、受信した証明書を検証するためにキャプチャを分析できます。そのためには、次の手順を実行します。

パケットキャプチャユーザを作成するには、アプライアンスコンソール(SystemConfig)をsysadminユーザとして使用します。

1. sysadminとしてアプライアンスにログインします。
2. Advanced > Packet Captureの順に選択します。既存のパケットキャプチャがない場合は、パケットキャプチャ設定メニューに直接進みます。既存のパケットキャプチャがある場合は、Createを選択して新しいパケットキャプチャを作成します。
3. Port FilterフィールドにTCPまたはUDPのポート番号を入力します。ポートは送信元または宛先のいずれかです。このフィールドを空白のままにして、フィルタを「Any」に設定できます。 SLICはtcp/443接続を使用するため、このフィールドには443と入力します。 
4. Duration (900 Seconds Max)フィールドで、パケットキャプチャを実行する秒数を指定します。
   
   

   注：非常に大きなキャプチャファイルは、アプライアンスのハードディスクの空き領域をすべて消費する可能性があるため、妥当な時間を入力するように注意してください。このフィールドは、Packets設定と組み合わせて使用します。キャプチャは、DurationまたはPacketsの数に達するまで実行されます。

5. Packets (100,000 max)フィールドに、キャプチャを終了する前にキャプチャするパケットの数を指定します。このフィールドは、[期間]の設定と連動します。キャプチャは、DurationまたはPacketsの数に達するまで実行されます。
6. OKをクリックして、パケットキャプチャを開始します。
   

   ヒント：パケットキャプチャを突然停止するには、通常はCtrl+Cを押します。

パケットキャプチャファイルを表示するには、ファイルをダウンロードしてローカルで表示します。ファイルは/lancope/var/tcpdumpに保存されます。

アプライアンスに直接ログインするか、Central Managerのインベントリ> View Appliance Statisticsからアクセスできます。Support > Browse Filesの順に選択して、パケットキャプチャをダウンロードします。

関連する障害

SLICサーバへの接続に影響を与える可能性がある既知の不具合が1つあります。

• 宛先ポート80がブロックされると、SMC SLIC通信がタイムアウトして失敗する可能性があります。Cisco Bug ID CSCwe08331を参照してください

関連情報

• 詳細については、Technical Assistance Center(TAC)にお問い合わせください。 有効なサポート契約が必要です。シスコワールドワイドサポートの連絡先です。
• また、ここからCisco Security Analyticsコミュニティにアクセスすることもできます。
• テクニカル サポートとドキュメント – Cisco Systems