简介
本文档介绍维护、故障排除和监控Cisco Cyber Vision Server可以采取的各种步骤。
Cisco Cyber Vision可让您深入了解运营技术(OT)的安全状态。Cyber Vision向IT安全工具提供有关OT资产和事件的信息,从而更轻松地在整个网络中管理风险和实施安全策略。
服务器更新
根据部署场景不断更新服务器,以查找漏洞修复、漏洞修复以及集成到软件的新功能。
系统运行状况
从UI(检查历史值):
导航到System Statistics(Center or Sensors)(系统统计信息(中心或传感器)并验证CPU和RAM利用率。
- RAM为600%、CPU为40%的传感器预计为正常状态。
- 中心约80%的RAM和50%的CPU应处于正常状态。

这些值用作参考。这些资源所占百分比可能非常高,但预计会在特定任务完成之后返回,但不会继续保留。
从CLI(实时检查):
使用top命令检查CPU和RAM利用率,以了解哪些进程正在消耗资源。
可以使用以下命令进行验证:
'top -n 1 -b' | head -n 5
使用命令systemctl —failed验证系统进程。此命令通常用于故障排除目的,以识别未意外启动或停止的服务或设备。
系统日志
平台上有多个日志:
在UI中:
生成诊断文件。转至System Statistics(Center or Sensors),然后点击Generate Diagnostic。

从 CLI:
使用sudo -i命令访问根用户模式
使用journaltcl命令跟踪系统日志。
journalctl -r(-r反向)
journalctl — 自“2015-01-10”或 — 直到“2015-01-11 03:00”
journalctl -u <进程名称>
journalctl -f(-f跟随)
journalctl -p err(系统上的错误)
此外,可以使用命令sbs-diag启动诊断捆绑包
高级日志
可以从CLI为这些服务激活高级日志:
sbs-backend
sbs-burrow
sbs-marmotd
sbs-lsyncd-gather
sbs-lsynd-communicate
sbs-gsyncd
sbs-nad
sbs-aspic
pxgrid-agent
使用sudo -i命令访问根用户模式
这些高级日志确实会向系统发送大量消息,因此只有在与TAC团队合作时才能使用。
磁盘空间
- 传感器传入和分析的所有数据都存储在数据库中。
- 使用命令df -h监控/data分区中的可用空间。
- 在/data/tmp/captures/下清除网络捕获。如果不再需要所有捕获,请使用命令rm -rf /data/tmp/captures/*将其删除。
- 删除所有旧的诊断文件。
- 使用命令sbs-db purge-xxxxx清除数据库中的旧数据和不需要的数据。
流量验证
使用iptables和TCPdump跟踪流量。
防火墙跟踪
Iptables防火墙在服务器上启用。丢弃的数据包记录为“DropInput and DropForward”。
验证iptables计数器以检查其上丢弃的数据包(iptables -L -n -v | grep Chain)。
在日志中查找丢弃的数据包(journalctl) | grep Drop)。
TCPdump工具
它可用于观察和排除服务器中网络接口上的流量。
如果流量泛洪,请按ctrl+c停止捕获。
Examples
要监控NTP流量(UDP/TCP 123),请执行以下操作:tcpdump -i [ethX]端口123 :
要监控来自特定主机的传入/传出流量,请执行以下操作:tcpdump -i [ethX] host 1.2.3.4
要将捕获保存到pcap文件,请执行以下操作:
tcpdump -i [ethX] host 1.2.3.4 -r /data/tmp/your_file.pcap