Introduction
Este documento descreve problemas comuns com sincronização de tempo em sistemas FireSIGHT e como solucioná-los. Você pode optar por sincronizar o tempo entre os seus sistemas FireSIGHT de três maneiras diferentes, como manualmente com servidores externos do Network Time Protocol (NTP) ou com o FireSIGHT Management Center, que funciona como um servidor NTP. Você pode configurar um FireSIGHT Management Center como um servidor de horário com NTP e usá-lo para sincronizar o tempo entre o FireSIGHT Management Center e os dispositivos gerenciados.
Prerequisites
Requirements
Para configurar a configuração de sincronização de horário, você precisa do nível de acesso admin no FireSIGHT Management Center.
Componentes Utilizados
Este documento não se restringe a versões de software e hardware específicas.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Sintomas
- O FireSIGHT Management Center exibe alertas de integridade na interface da Web.

- A página Monitor de Integridade mostra um dispositivo como essencial, porque o status do Módulo de Sincronização de Tempo está dessincronizado.

- Você pode ver alertas de integridade intermitentes se os dispositivos não ficarem sincronizados.
- Depois que uma política do sistema é aplicada, você pode ver alertas de integridade, pois um FireSIGHT Management Center e seus dispositivos gerenciados podem levar até 20 minutos para concluir a sincronização. Isso ocorre porque um FireSIGHT Management Center deve primeiro sincronizar com seu servidor NTP configurado antes que ele possa servir tempo a um dispositivo gerenciado.
- O tempo entre um FireSIGHT Management Center e um dispositivo gerenciado não corresponde.
- Os eventos gerados no sensor podem levar minutos ou horas para ficarem visíveis em um FireSIGHT Management Center.
- Se você executar dispositivos virtuais e a página Monitor de Integridade indicar que a configuração do relógio do seu dispositivo virtual não está sincronizada, verifique as configurações de sincronização do tempo da política do sistema. A Cisco recomenda que você sincronize seus dispositivos virtuais com um servidor NTP físico. Não sincronize seus dispositivos gerenciados (virtuais ou físicos) com um Centro de Defesa Virtual.
Troubleshoot
Passo 1: Verificar a configuração do NTP
Como verificar nas versões 5.4 e anterior
Verifique se o NTP está ativado na política do sistema aplicada nos sistemas FireSIGHT. Para verificar isso, faça o seguinte:
- Escolha System > Local > System Policy.
- Edite a política de sistema aplicada em seus sistemas FireSIGHT.
- Escolha Sincronização de horário.
Verifique se o FireSIGHT Management Center (também conhecido como Defense Center ou DC) tem o relógio definido como Via NTP de e se um endereço de um servidor NTP é fornecido. Confirme também se o dispositivo gerenciado está definido como via NTP do Defense Center.
Se você especificar um servidor NTP externo remoto, seu aplicativo deverá ter acesso à rede. Não especifique um servidor NTP não confiável. Não sincronize seus dispositivos gerenciados (virtuais ou físicos) com um FireSIGHT Management Center virtual. A Cisco recomenda que você sincronize seus dispositivos virtuais com um servidor NTP físico.

Como verificar nas versões 6.0 e posterior
Nas versões 6.0.0 e posteriores, as configurações de sincronização de horário são configuradas em locais separados no Firepower Management Center, embora sigam a mesma lógica das etapas para 5.4.
As configurações de sincronização de horário para o próprio Firepower Management Center são encontradas em System > Configuration > Time Synchronization.
As configurações de sincronização de horário dos dispositivos gerenciados são encontradas em Dispositivos > Configurações da plataforma. Clique em editar ao lado da política Configurações da plataforma aplicada ao dispositivo e escolha Sincronização de tempo.
Depois de aplicar a configuração para sincronização de tempo (independentemente da versão), verifique se o tempo no seu Centro de gerenciamento e nos dispositivos gerenciados correspondem. Caso contrário, podem ocorrer consequências indesejadas quando os dispositivos gerenciados se comunicam com o Management Center.
Passo 2: Identifique um servidor de tempo e seu status
- Para coletar informações sobre a conexão com um servidor de hora, insira este comando em seu FireSIGHT Management Center:
admin@FireSIGHT:~$ ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
*198.51.100.2 203.0.113.3 2 u 417 1024 377 76.814 3.458 1.992
Um asterisco '*' sob o controle remoto indica o servidor ao qual você está sincronizado no momento. Se uma entrada com um asterisco não estiver disponível, o relógio não está sincronizado com a fonte de tempo.
Em um dispositivo gerenciado, você pode inserir este comando no shell para determinar o endereço do seu servidor NTP:
> show ntp
NTP Server : 127.0.0.2 (Cannot Resolve)
Status : Being Used
Offset : -8.344 (milliseconds)
Last Update : 188 (seconds)
Note: Se um dispositivo gerenciado for configurado para receber tempo de um FireSIGHT Management Center, o dispositivo mostrará uma fonte de tempo com endereço de loopback, como 127.0.0.2. Esse endereço IP é uma entrada sfipproxy e indica que a rede virtual de gerenciamento está sendo usada para sincronizar o tempo.
- Se um dispositivo exibir que sincroniza com 127.127.1.1, ele indica que o dispositivo sincroniza com seu próprio relógio. Ocorre quando um servidor de tempo configurado em uma política do sistema não é sincronizável. Por exemplo:
admin@FirePOWER:~$ ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
192.0.2.200 .INIT. 16 u - 1024 0 0.000 0.000 0.000
*127.127.1.1 .SFCL. 14 l 3 64 377 0.000 0.000 0.001
- Na saída do comando ntpq, se você observar que o valor de st (stratum) é 16, ele indica que o servidor de tempo está inacessível e que o equipamento não consegue sincronizar com esse servidor de tempo.
- Na saída do comando ntpq, reach mostra um número octal que indica sucesso ou falha ao acessar a origem para as oito tentativas de pesquisa mais recentes. Se você vir que o valor é 377, significa que as últimas 8 tentativas foram bem-sucedidas. Qualquer outro valor pode indicar que uma ou mais das últimas oito tentativas foram malsucedidas.
Passo 3: Verificar a conectividade
- Verifique a conectividade básica com o servidor de horário.
admin@FireSIGHT:~$ ping
- Verifique se a porta 123 está aberta no sistema FireSIGHT.
admin@FireSIGHT:~$ netstat -an | grep 123
- Confirme se a porta 123 está aberta no firewall.
- Verifique o relógio do hardware:
admin@FireSIGHT:~$ sudo hwclock
Se o relógio do hardware estiver muito desatualizado, ele pode nunca sincronizar com êxito. Para forçar manualmente o clock a ser definido com um servidor de hora, insira este comando:
admin@FireSIGHT:~$ sudo ntpdate -u
Em seguida, reinicie o ntpd:
admin@FireSIGHT:~$ sudo pmtool restartbyid ntpd
Passo 4: Verificar arquivos de configuração
- Verifique se o arquivo sfipproxy.conf está preenchido corretamente. Esse arquivo envia tráfego NTP pelo sftunnel.
Um exemplo do arquivo /etc/sf/sfipproxy.conf em um dispositivo gerenciado é mostrado aqui:
admin@FirePOWER:~$ sudo cat /etc/sf/sfipproxy.conf
config
{
nodaemon 1;
}
peers
{
dbef067c-4d5b-11e4-a08b-b3f170684648
{
services
{
ntp
{
listen_ip 127.0.0.2;
listen_port 123;
protocol udp;
timeout 20;
}
}
}
}
Um exemplo do arquivo /etc/sf/sfipproxy.conf em um FireSIGHT Management Center é mostrado aqui:
admin@FireSIGHT:~$ sudo cat /etc/sf/sfipproxy.conf
config
{
nodaemon 1;
}
peers
{
854178f4-4eec-11e4-99ed-8b16d263763e
{
services
{
ntp
{
protocol udp;
server_ip 127.0.0.1;
server_port 123;
timeout 10;
}
}
}
}
- Certifique-se de que o UUID (Universal Unique Identifier) na seção peers corresponda ao arquivo ims.conf do peer. Por exemplo, a UUID encontrada na seção peers do /etc/sf/sfipproxy.conf em um FireSIGHT Management Center deve corresponder à UUID encontrada no arquivo /etc/ims.conf de seu dispositivo gerenciado. Da mesma forma, o UUID encontrado na seção peers do /etc/sf/sfipproxy.conf em um dispositivo gerenciado deve corresponder ao UUID encontrado no arquivo /etc/ims.conf de seu dispositivo de gerenciamento.
Você pode recuperar o UUID dos dispositivos com este comando:
admin@FireSIGHT:~$ sudo grep UUID /etc/sf/ims.conf
APPLIANCE_UUID=dbef067c-4d5b-11e4-a08b-b3f170684648
Normalmente, eles devem ser preenchidos automaticamente pela política do sistema, mas houve casos em que essas estrofes estavam faltando. Se for necessário modificá-los ou alterá-los, será necessário reiniciar o sfipproxy e o sftunnel da seguinte maneira:
admin@FireSIGHT:~$ sudo pmtool restartbyid sfipproxy
admin@FireSIGHT:~$ sudo pmtool restartbyid sftunnel
- Verifique se um arquivo ntp.conf está disponível no diretório /etc.
admin@FireSIGHT:~$ ls /etc/ntp.conf*
Se um arquivo de configuração NTP não estiver disponível, você pode fazer uma cópia do arquivo de configuração de backup. Por exemplo:
admin@FireSIGHT:~$ sudo cp /etc/ntp.conf.bak /etc/ntp.conf
- Verifique se o arquivo /etc/ntp.conf está preenchido corretamente. Quando você aplica uma política do sistema, o arquivo ntp.conf é regravado.
Note: A saída de um arquivo ntp.conf mostra as configurações de servidor de tempo configuradas em uma política do sistema. A entrada do datador de hora deve mostrar a hora em que a última política do sistema foi aplicada a um dispositivo. A entrada do servidor deve mostrar o endereço do servidor de horário especificado.
admin@FireSIGHT:~$ sudo cat /etc/ntp.conf
# automatically generated by /etc/sysconfig/configure-network ; do not edit
# Tue Oct 21 17:44:03 UTC 2014
restrict default noquery nomodify notrap nopeer
restrict 127.0.0.1
server 198.51.100.2
logfile /var/log/ntp.log
driftfile /etc/ntp.drift