排除SLIC信道关闭系统警报故障

下载选项

  • PDF     (438.9 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (78.7 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (65.3 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2023 年 2 月 8 日
文档 ID:220130

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何对安全网络分析(SNA)“SLIC通道关闭”系统警报进行故障排除。

    先决条件

    要求

    Cisco建议您应具备基本的SNA知识。

    SLIC代表“Stealthwatch Labs Intelligence Center”

    使用的组件

    本文档不限于特定的软件和硬件版本。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    步骤

    当SNA管理器无法从威胁情报服务器(以前称为SLIC)获取源更新时,会触发“SLIC通道关闭”警报。为了更好地了解导致源更新中断的原因,请按照以下步骤继续:

    1. 通过SSH连接到SNA Manager并使用凭 root 证登录。
    2. 分析 /lancope/var/smc/log/smc-core.log 文件并搜索SlicFeedGetter类型的日志。
      3.

    找到相关日志后,鉴于存在多种可能导致触发此警报的情况,请继续下一部分。

    常见错误日志

    在与SLIC信道关闭警报相关的smc-core.log 中看到的最常见错误日志包括:

    连接超时

    2023-01-03 22:43:28,533 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
    2023-01-03 22:43:28,592 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
    2023-01-03 22:43:28,592 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
    2023-01-03 22:45:39,604 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    org.apache.http.conn.HttpHostConnectException: Connect to lancope.flexnetoperations.com:443 [lancope.flexnetoperations.com/64.14.29.85] failed: Connection timed out (Connection timed out)

    找不到指向所请求目标的有效证书路径

    2023-01-04 00:27:50,497 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
    2023-01-04 00:27:50,502 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
    2023-01-04 00:27:50,502 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
    2023-01-04 00:27:51,239 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

    握手失败

    2023-01-02 20:00:49,427 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
    2023-01-02 20:00:49,433 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
    2023-01-02 20:00:49,433 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
    2023-01-02 20:00:50,227 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    javax.net.ssl.SSLHandshakeException: Handshake failed

    执行的步骤

    威胁情报源更新可能会由于不同情况而中断。执行以下验证步骤,确保您的SNA Manager符合要求。

    步骤1:验证智能许可状态

    导航到 Central Management > Smart Licensing 并确保威胁源许可证的状态为 Authorized

    第二步:验证域名系统(DNS)解析

    确保SNA Manager能够成功解析 lancope.flexnetoperations.com and esdhttp.flexnetoperations.com

    第三步:验证与威胁情报源服务器的连接

    确保SNA管理器可以访问Internet,并允许连接到下面列出的威胁情报服务器:

    端口和协议

    来源

    目的地

    443/TCP

    SNA管理器

    esdhttp.flexnetoperations.com

    lancope.flexnetoperations.com

    注意:如果不允许使用SNA Manager直接访问互联网,请确保已设置互联网访问的代理配置。

    第四步:禁用安全套接字层(SSL)检查/解密

    当SNA管理器未收到威胁情报源服务器使用的正确身份证书或信任链时,可能会发生 Common Error Logs 部分介绍的第二和第三错误。要避免这种情况,请确保您的网络中(由有效的防火墙或代理服务器)没有为 Verify Connectivity to the Threat Intelligence Feed Servers 部分所列SNA管理器与威胁情报服务器之间的连接执行SSL检查/解密。

    如果您不确定是否在网络中执行SSL检查/解密,则可以收集SNA管理器IP地址与威胁情报服务器IP地址之间的数据包捕获,并分析捕获结果以验证收到的证书。为此,请执行以下操作:

    1. 通过SSH连接到SNA Manager并使用凭root 证登录。
    2. 运行下面列出的两个命令之一(要运行的命令取决于SNA管理器是否使用代理服务器进行互联网访问):

    tcpdump -w /lancope/var/tcpdump/slic_issue.pcap -nli eth0 host 64.14.29.85
    tcpdump -w /lancope/var/tcpdump/slic_issue2.pcap -nli eth0 host [IP address of Proxy Server]

    3. 让捕获运行2-3分钟,然后停止捕获。
    4. 将生成的文件从SNA Manager中传输出来进行分析。这可以通过安全复制协议(SCP)来完成。

    相关问题

    有一个已知缺陷可能会影响到SLIC服务器的连接:

    • 如果目标端口80被阻塞,SMC SLIC通信可能会超时和失败。请参阅Cisco bug ID CSCwe08331

    相关信息

    修订历史记录

    版本 发布日期 备注
    2.0
    08-Feb-2023
    添加了“相关缺陷”部分
    1.0
    19-Jan-2023
    初始版本
    TAC Authored

    由思科工程师提供

    • 安琪尔·奥尔蒂斯
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品