Problemen oplossen " De service voor bestandsputatie is niet bereikbaar" fout op Cisco ESA

Inleiding

In dit document wordt beschreven hoe u de melding "File Reputation service is not reach" op het Cisco Email Security Appliance (ESA) kunt oplossen.

Gebruikte componenten

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Voorwaarden en risico's

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco Email Security Appliance AsyncOS 15.x of nieuwer
• Advanced Malware Protection (AMP) gelicentieerd en ingeschakeld

Tip: zorg ervoor dat uw firewall uitgaande communicatie op poort 443 mogelijk maakt. Als u een tunnelproxy gebruikt, kunt u de optie Relax Certificate Validation for Tunnel Proxy inschakelen. Met deze actie wordt de standaardcertificaatvalidatie overgeslagen als het proxyservercertificaat niet is ondertekend door een rootautoriteit die door de ESA wordt vertrouwd. Gebruik deze optie bijvoorbeeld als u een zelf ondertekend certificaat gebruikt op een vertrouwde interne tunnelproxyserver.

Identificeer de fout

Wanneer AMP is gelicentieerd en ingeschakeld op de ESA, ontvangt u dit bericht:

The Warning message is:

The File Reputation service is not reachable.

Last message occurred 2 times between Mon Feb 23 14:15:14 2026 and Mon Feb 23 14:16:23 2026.

Version: 15.5.1-055
Serial Number: 123A82F6780XXX9E1E10-XXX5DBEFCXXX
Timestamp: 23 Feb 2026 14:19:00 -0500

Reputatie-instellingen voor bestanden valideren

Via de GUI

Controleer of de juiste File Reputation-server is geselecteerd. U kunt dit uitvoeren in de GUI door te navigeren naar Beveiligingsservices > Bestandsreputatie en -analyse > Algemene instellingen bewerken > Geavanceerde instellingen voor bestandsreputatie > Bestandsreputatieserver. Selecteer vervolgens de Cloud die geschikt is voor uw regio.

Raadpleeg het gedeelte Firewall-informatie in de gebruikershandleiding voor informatie over hostnamen en poorten om uw firewall te configureren.

Van de CLI

Gebruik de opdracht ampconfig in de CLI om Advanced Malware Protection-parameters te configureren. Gebruik de geavanceerde subopdracht om time-outs voor cloudquery's in te stellen en de reputatiecloud te selecteren.

(Cluster example.com)> ampconfig

File Reputation: Enabled
File Analysis: Enabled
Appliance Group ID/Name: Not part of any group yet


Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
- CACHESETTINGS - Configure the cache settings for AMP.
- CLUSTERSET - Set how advanced malware protection is configured in a cluster.
- CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
[]> advanced

Enter cloud query timeout?
[20]>

Choose a file reputation server:
1. US Cloud
2. EU Cloud
3. APJC Cloud
4. Private reputation cloud
[1]>

Connectiviteit verifiëren

Controleer de firewall- en netwerkinstellingen om ervoor te zorgen dat SSL-communicatie is geopend voor deze poorten voor Bestandsreputatie:

Regio VS en Noord-Amerika

regio Canada

regio Europa

regio Australië

APJC-regio

Om ervoor te zorgen dat de Email Security Appliance (ESA) de AMP-services van Cisco kan bereiken, moet u de connectiviteit via poort 443 verifiëren met behulp van de volgende telnet-opdrachten van de CLI:

Voorbeelden van connectiviteitstests (regio VS):

(Machine esa.example.com)> telnet amp.cisco.com 443

(Machine esa.example.com)> telnet panacea.threatgrid.com 443

AMP-logs analyseren

Controleer het huidige AMP-log om de service- en connectiviteitsstatus te bepalen. Gebruik de opdracht Staartversterker in de CLI om real-time logboekvermeldingen te observeren.

Als de File Reputation-service niet bereikbaar is, worden in de logs de volgende vermeldingen weergegeven:

Mon Feb 23 10:11:16 2026 Warning: amp The File Reputation service in the cloud is unreachable.
Mon Feb 23 10:12:15 2026 Warning: amp The File Reputation service in the cloud is unreachable.
Mon Feb 23 10:13:15 2026 Warning: amp The File Reputation service in the cloud is unreachable.

Nadat u de configuratie in ampconfig > advanced hebt gecorrigeerd, wordt in de logboeken de succesvolle initialisatie weergegeven:

Mon Feb 23 10:19:19 2026 Info: amp stunnel process started pid [3725]
Mon Feb 23 10:19:22 2026 Info: amp The File Reputation service in the cloud is reachable.
Mon Feb 23 10:19:22 2026 Info: amp File reputation service initialized successfully
Mon Feb 23 10:19:22 2026 Info: amp File Analysis service initialized successfully
Mon Feb 23 10:19:23 2026 Info: amp The File Analysis server is reachable
Mon Feb 23 10:20:24 2026 Info: amp File reputation query initiating. File Name = 
'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
Mon Feb 23 10:20:24 2026 Info: amp Response received for file reputation query 
from Cloud. File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown, 
Malware = None, Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977
fa12c32d13bfbd78bbe27e95b245f82, upload_action = 1

Het bestand amp_watchdog.txt wordt elke 10 minuten uitgevoerd en wordt bijgehouden in het AMP-log. Dit bestand maakt deel uit van de keep-alive voor AMP. Een normale query tegen een bericht met geconfigureerde bestandstypen wordt als volgt weergegeven:

Mon Feb 23 15:33:01 2026 Info: File reputation query initiating. File Name = 
'securedoc_20260223T114401.html', MID = 703, File Size = 108769 bytes, File 
Type = text/html
Mon Feb 23 15:33:02 2026 Info: Response received for file reputation query from 
Cloud. File Name = 'securedoc_20260223T114401.html', MID = 703, Disposition = file 
unknown, Malware = None, Reputation Score = 0, sha256 = c1afd8efe4eeb4e04551a8a0f5
533d80d4bec0205553465e997f9c672983346f, upload_action = 1

Registreren bij Threat Grid

Als de ESA telnet naar de bestandsreputatieserver kan sturen en er geen upstream-proxy is die de verbinding decodeert, kan het toestel een herregistratie bij Threat Grid vereisen. Gebruik de verborgen ampregister-opdracht in het diagnostische menu om dit proces te starten.

esa.example.com> diagnostic

Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
- RELOAD - Reset configuration to the initial manufacturer values.
- SERVICES - Service Utilities.
[]> ampregister

AMP registration initiated.

Gerelateerde informatie

• ESA Advanced Malware Protection (AMP)-test
• ESA-gebruikershandleidingen
• Veelgestelde vragen over ESA: Wat is een Message ID (MID), Injection Connection ID (ICID) of Delivery Connection ID (DCID)?
• Hoe kan ik de maillogs op de ESA doorzoeken en bekijken?
• Technische ondersteuning en documentatie – Cisco Systems