Probleemoplossing voor ONA Sensor offline status

Bijgewerkt:21 februari 2023
Document-id:220246

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u meerdere mogelijke oorzaken van een Secure Cloud Analytics (SCA)-sensor kunt onderzoeken om als offline te verschijnen.  

    Achtergrondinformatie

    Secure Cloud Analytics (SCA) werd voorheen Stealthwatch Cloud (SWC) genoemd en deze termen kunnen onderling worden gebruikt.

    De SCA Sensor is de Private Network Monitor en kan worden aangeduid als ONA, ONA Sensor of gewoon als Sensor. 

    De commando's in dit artikel zijn gebaseerd op de ona-20.04.1-server-amd64.iso debian installatie. 

    Mogelijke oorzaken van offline sensoren

    Er zijn vele mogelijke factoren die kunnen resulteren in een sensor om een offline status weer te geven. 

    Twee voorbeelden van deze factoren zijn Network-gerelateerde problemen en het lokale bestandssysteem heeft een volledige schijf.

    Identificeer een offline sensor

    Het SCA-portal bevat een lijst met geconfigureerde sensoren. Voor toegang tot deze pagina navigeer je naar Settings > Sensors. 

    De offline sensor in dit beeld wordt weergegeven in rood en toont geen recente hartslag en data.

    Two Example Sensor Connection States

    Een offline sensor onderzoeken

    Netwerkproblemen

    De ONA host kan internettoegang verliezen, wat resulteert in de Sensor om te worden vermeld als offline. 

    Test of de ONA Host in staat is om een bekend levend IP-adres, zoals een van de Google DNS-servers, te pingen op 8.8.8.8.

    Log in op de ONA sensor en voer de opdracht ping -c4 8.8.8.8 uit

    user@example-ona:~# ping -c4 8.8.8.8
    PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. 
    From 10.10.10.11 icmp_seq=1 Destination Host Unreachable
    From 10.10.10.11 icmp_seq=2 Destination Host Unreachable
    From 10.10.10.11 icmp_seq=3 Destination Host Unreachable
    From 10.10.10.11 icmp_seq=4 Destination Host Unreachable

    --- 8.8.8.8 ping statistics ---
    4 packets transmitted, 0 received, 100% packet loss, time 3065ms
    user@example-ona:~#

    Als de Sensor niet in staat is om een bekend levend IP-adres te pingen, onderzoek dan verder.

    Bepaal de standaardgateway met route -n uit.

    Bepaal of er een geldige ARP-ingang (Address Resolution Protocol) is voor de standaardgateway met de arp -an uit.

    Als de Sensor een bekend IP-adres kan pingen, test dan de resolutie van de DNS-hostnaam en de mogelijkheid om van de sensor verbinding te maken met de cloud.   

    Log in op de sensor en voer de sudo curl https://sensor.ext.obsrvbl.com uit.

    De curl opdrachtoutput laat zien dat DNS-resolutie voor sensor.ext.obsrvbl.com is mislukt en onderzoek naar DNS is gerechtvaardigd.

    user@example-ona:~# sudo curl https://sensor.ext.obsrvbl.com 
    [sudo] password for user: 
    curl: (6) Could not resolve host: sensor.ext.obsrvbl.com
    user@example-ona:~#

    Dit type van een reactie duidt op een goede verbinding en ook dat de cloud portal de sensor herkent.

    user@example-ona:~# sudo curl https://sensor.ext.obsrvbl.com
    [sudo] password for user:
    {"welcome":"example-domain"}
    user@example-ona:~#
    note-icon

    Opmerking: De curl commando kan worden aangepast om de juiste regio te gebruiken: https://sensor.ext.obsrvbl.com Europa: https://sensor.eu-prod.obsrvbl.com Australië: https://sensor.anz-prod.obsrvbl.com

    Dit type respons geeft een goede verbinding aan, maar de sensor is niet gekoppeld aan een bepaald domein. 

    user@example-ona:~# sudo curl https://sensor.anz-prod.obsrvbl.com
    [sudo] password for user:
    {"error":"unknown identity","identity":"240.0.0.0"}
    user@example-ona:~#

    DNS-problemen

    Als Sensor hostnamen niet kan oplossen met DNS, moet u de DNS-instellingen controleren met de cat /etc/netplan/01-netcfg.yaml uit.

    Als DNS-instellingen wijzigingen vereisen, raadpleegt u de sectie DNS Configuration bijwerken. 

    Zodra de DNS-instellingen zijn gevalideerd, voert u de sudo systemctl restart systemd-resolved.service uit.

    Er wordt geen uitvoer verwacht met deze opdracht.

    user@example-ona:~# sudo systemctl restart systemd-resolved.service
    [sudo] password for user: 
    user@example-ona:~#

    De DNS-configuratie bijwerken

    Als u DNS-servers in Netplan wilt bijwerken, kunt u het Netplan-configuratiebestand voor uw netwerkinterface wijzigen.

    Netplan-configuratiebestanden worden opgeslagen in de /etc/netplan directory.

    tip-icon

    Tip: Een of twee YAML-bestanden kunnen in deze map worden gevonden. De verwachte bestandsnamen zijn 01-netcfg.yaml en/of 50-cloud-init.yaml.

    Open het NetPlan-configuratiebestand met de sudo vi /etc/netplan/01-netcfg.yaml uit.

    Zoek in het Netplan-configuratiebestand de "nameservers"-toets onder de netwerkinterface.

    U kunt meerdere IP-adressen van DNS-server opgeven, gescheiden door komma's.

    De wijzigingen in de NetPlan-configuratie toepassen met de sudo netplan apply uit.

    NetPlan genereert de configuratiebestanden voor de systeemopgeloste service.

    Om te verifiëren dat de nieuwe DNS-resolvers zijn ingesteld, voert u de resolvectl status | grep -A2 'DNS Servers' uit.

    user@example-ona:~# resolvectl status | grep -A2 'DNS Servers'
     DNS Servers: 10.122.147.56
     DNS Domain: example.org

    user@example-ona:~#

    Lokaal bestandssysteem - volledig

    Een veel voorkomende foutmelding kan verschijnen op de console van de Sensor: "Mislukt om een nieuw systeemdagboek te maken: Geen ruimte over op apparaat."

    Dit geeft aan dat de schijf vol is en dat er geen ruimte meer over is in het systeem met / hoofdbestanden.

    Draai de df -ah / te bepalen hoeveel ruimte beschikbaar is.

    user@example-ona:~# df -ah /
    Filesystem Size Used Avail Use% Mounted on
    /dev/mapper/vgona--default-root 30G 30G 0G 100% /
    user@example-ona:~#

    Oude logboeken wissen om schijfruimte vrij te maken met de journalctl --vacuum-time 1d uit.

    user@example-ona:~# journalctl --vacuum-time 1d
    Vacuuming done, freed 0B of archived journals from /var/log/journal.
    {Removed for brevity}
    Vacuuming done, freed 2.9G of archived journals from /var/log/journal/315bfec86e0947b2a3a23da2a672e577.
    Vacuuming done, freed 0B of archived journals from /run/log/journal.
    user@example-ona:~#

    Zorg ervoor dat uw opslagruimte voldoet aan de minimale systeemvereisten die in de handleiding voor eerste implementatie zijn beschreven.

    De handleiding kan worden opgehaald op de pagina voor productondersteuning van Cisco Secure Cloud Analytics (Stealthwatch Cloud): https://www.cisco.com/c/en/us/support/security/stealthwatch-cloud/series.html

    Configuratie van bewaking

    Een sensor die een goede netwerkverbinding met de cloud heeft en geldige DNS-instellingen kan nog steeds een offline status weergeven.

    Een offline status is mogelijk als de Sensor controleopties zijn uitgeschakeld of als de Sensor geen hartslagen verstuurt.

    note-icon

    Opmerking: dit gedeelte is bedoeld voor een standaardinstallatie van de ONA Sensor zonder aanpassingen en ontvangt actief netflow- en/of IPFIX-gegevens.

    Draai de grep PNA_SERVICE /opt/obsrvbl-ona/config opdracht om de status te bepalen.

    user@example-ona:~# grep PNA_SERVICE /opt/obsrvbl-ona/config
    OBSRVBL_PNA_SERVICE="false"
    user@example-ona:~#

    Als de service is ingesteld op false, controleert u of de gewenste netwerken zijn vermeld in Settings > configure monitoring voor uw Sensor in het SCA-portal.

    Settings drop-down highlighting configure monitoring

    Draai de ps -fu obsrvbl_ona | grep pna bevel en de nota als de dienst wordt gezien en als de verwachte gecontroleerde netwerkgamma's vermeld zijn.

    user@example-ona:~# ps -fu obsrvbl_ona | grep pna
    obsrvbl+ 925 763 0 Feb09 ? 00:29:04 /usr/bin/python3 /opt/obsrvbl-ona/ona_service/pna_pusher.py
    obsrvbl+ 956 920 0 Feb09 ? 00:24:00 /opt/obsrvbl-ona/pna/user/pna -i ens192 -N 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 -o /opt/obsrvbl-ona/logs/pna -Z obsrvbl_ona (net 10.0.0.0/8) or (net 172.16.0.0/12) or (net 192.168.0.0/16)
    obsrvbl+ 957 921 0 Feb09 ? 00:00:00 /opt/obsrvbl-ona/pna/user/pna -i ens224 -N 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 -o /opt/obsrvbl-ona/logs/pna -Z obsrvbl_ona (net 10.0.0.0/8) or (net 172.16.0.0/12) or (net 192.168.0.0/16)
    user@example-ona:~#

    De output van het bevel toont aan dat de dienst PNA proces-ID 956 en 957 heeft, en de privé adresbereiken 10.0.0.0/8, 172.16.0.0/12, en 192.168.0.0/16 worden gecontroleerd op de interfaces ens192 en ens224.

    note-icon

    Opmerking: het adresbereik en de interfacenamen kunnen verschillen op basis van de configuratie en de implementatie van de sensor

    SSL-fouten

    Controleer het /opt/obsrvbl-ona/logs/ona_service/ona-pna-pusher.log bestand op SSL-fouten met de less /opt/obsrvbl-ona/logs/ona_service/ona-pna-pusher.log uit.

    Er is een voorbeeldfout opgegeven.

    (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1131)'))). 

    Draai de wget https://s3.amazonaws.com opdracht en controleer de uitvoer om te zien of er een mogelijke HTTPS-inspectie is. 

    Als er een HTTPS-inspectie is, zorg er dan voor dat de Sensor wordt verwijderd uit elke inspectie of wordt geplaatst op een toegestane lijst.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    21-Feb-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Kevin Bartoletta
      TAC Technical Leader
    • Joshua Martin
      TAC Engineer
    • Ali Soueidan
      Software engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten