排除雲查詢錯誤和URL過濾問題
簡介
本文檔介紹與URL過濾和雲查詢錯誤相關的可能問題。
必要條件
FireSIGHT管理中心的URL過濾功能允許您在訪問控制規則中寫入條件,以便根據受監控主機的非加密URL請求確定穿越網路的流量。
在開始配置部件之前,需要驗證URL過濾許可證的可用性,並確保其已在FireSIGHT系統上正確安裝和啟用,這一點非常重要。 將類別和基於信譽的URL條件增加到訪問控制規則中。但是,如果沒有URL過濾許可證,則無法將訪問控制策略應用於受管裝置。
需求
思科建議您瞭解以下主題:
- 瞭解Firepower技術。
- FireSIGHT管理中心(FMC)的基礎知識。
採用元件
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
本文中的資訊係根據以下軟體和硬體版本:
- 運行從5.3 、 5.4及更高版本開始的軟體版本的ASA FirePower模組(ASA 5506X/5506H-X/5506W-X、ASA 5508-X、ASA 5516-X)
- 運行從5.3、5.4、6.0.0及更高版本開始的軟體版本的ASA FirePower 模組(ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X)
- 所有Cisco FirePower 7000系列和Cisco FirePOyouR 8000系列
- FS 750、FS 1500、FS 3500、FireSIGHT管理中心FS2000、FS4000或虛擬裝置(帶所有軟體版本)。
設定
請參閱以下文章,從初始配置開始。
如何驗證雲查詢失敗和連線問題
使用以下基於場景的故障排除步驟驗證雲查詢錯誤。
步驟 1.DNS解析
FireSIGHT管理中心在執行雲查詢過程時與以下伺服器通訊。
database.brightcloud.com service.brightcloud.com
作為管理此連線的第一個前提條件,您需要確保防火牆上允許兩個伺服器。如果允許連線,請使用以下nslookup命令進行驗證,以確認伺服器是否能夠在無任何故障的情況下解析名稱。
root@123:#nslookup service.brightcloud.com
root@123:#nslookup database.brightcloud.com
步驟 2.連線埠連線能力
在確認域連線之後,您需要檢查這些域到所需埠的連線。
FireSIGHT系統使用埠443/HTTPS和80/HTTP與雲服務通訊。 使用telnet命令驗證到埠80和443的連線。 URL資料庫透過埠443上的database.brightcloud.com下載,而未知URL查詢透過埠80上的 service.brigthcloud.com完成。
root@123:#telnet service.brightcloud.com 80
root@123:#telnet database.brightcloud.com 80
root@123:#telnet database.brightcloud.com 443
如果Telnet通訊成功,則輸出將如下所示:
Connected to service.brightcloud.com. Escape character is '^]'.
注意:已刪除443上telnet至service.brightcloud.com,因為設計上它從未進行連線。
| 思科內部資訊
|
裝置嘗試連線到BcapPort (80)上的BcapServer (service.brightcloud.com)和SslPort (443)上的DbServer (database.brightcloud.com)。
如果這些連線嘗試失敗,則不會下載URL資料庫。
步驟 3.檔案下載檢查
在確認域與所需埠的連通性之後,您必須驗證以下檔案是否已成功下載到裝置。
root@123:#ls /var/sf/cloud_download/
root@123:#lsof | grep bcdb SFDataCor 2516 root mem REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc SFDataCor 2516 root mem REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 SFDataCor 2516 root mem REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx SFDataCor 2516 root 54u REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 SFDataCor 2516 root 55u REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc SFDataCor 2516 root 61u REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx snort 2541 sfsnort mem REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx snort 2541 sfsnort mem REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc snort 2541 sfsnort mem REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 snort 2541 sfsnort 15u REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 snort 2541 sfsnort 16u REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc snort 2541 sfsnort 25u REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx snort 2542 sfsnort mem REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx snort 2542 sfsnort mem REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc snort 2542 sfsnort mem REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 snort 2542 sfsnort 15u REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 snort 2542 sfsnort 16u REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc snort 2542 sfsnort 25u REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx snort 2543 sfsnort mem REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 snort 2543 sfsnort mem REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx snort 2543 sfsnort mem REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc snort 2543 sfsnort 16u REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 snort 2543 sfsnort 25u REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc snort 2543 sfsnort 29u REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx snort 2549 sfsnort mem REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc snort 2549 sfsnort mem REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 snort 2549 sfsnort mem REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx snort 2549 sfsnort 16u REG 0,11 480000000 573211 /dev/shm/Global.bcdb1 snort 2549 sfsnort 25u REG 0,11 129531946 573212 /dev/shm/Global.bcdb1acc snort 2549 sfsnort 29u REG 0,11 262144 573213 /dev/shm/Global.bcdb1cacheinx
root@123:#pidof snort 2549 2543 2542 2541
當URL資料集的本地安裝完成時,名為full_bcdb_rep_4.xxx.bin的檔案會出現在/var/sf/cloud_download目錄中。
root@123:# ls /var/sf/cloud_download/full_bcdb_rep_4.* -rw-r--r-- 1 root root 429M Mar 14 03:07 full_bcdb_rep_4.494.bin
步驟 4.重新啟動SFDC
如果某些檔案未完全下載,或此資料夾位置遺失檔案,您必須重新啟動下列服務才能取得完整的檔案下載。
root@123:# pmtool restartbyid SFDataCorrelator
步驟 5.重新啟動Snort例項
root@123:# pmtool restartbytype snort
步驟 6.重新啟動CloudAgent服務
root@123:# pmtool restartbyid CloudAgent
重新啟動所需服務後,您需要從Firesight管理中心再次嘗試更新URL。
| 思科內部資訊 如果檔案下載再次失敗,請檢查以下位置顯示的錯誤消息。
請參閱以瞭解有關錯誤代碼的資訊。 成功Brightcloud服務所需的檔案。
|
另請驗證urldb_log檔案以驗證輸出。當CloudAgent處於最新狀態時,您可以看到以下輸出(例如,CloudAgent和CloudAgent)。
root@123:# cd /var/log/
root@123:# tail -900f urldb_log
Jun 2 05:40:51 gw-iaps-01 SF-IMS[3769]: [3808] CloudAgent:CloudAgent [INFO] Nothing to do, up to date
Jun 2 05:40:53 gw-iaps-01 SF-IMS[3769]: [3808] CloudAgent:CloudAgent [INFO] Nothing to do, up to date
Jun 2 05:41:00 gw-iaps-01 SF-IMS[3769]: [3808] CloudAgent:CloudAgent [INFO] Nothing to do, up to date
Jun 2 05:41:01 gw-iaps-01 SF-IMS[3769]: [3808] CloudAgent:CloudAgent [INFO] Nothing to do, up to date
Jun 2 05:45:07 gw-iaps-01 SF-IMS[3769]: [3808] CloudAgent:CloudAgent [INFO] Nothing to do, up to date
步驟 7.執行資料包捕獲
在某些情況下,即使CloudAgent日誌檔案處於最新狀態,443/HTTPS連線的以下telnet也會失敗:
root@123:# telnet service.brightcloud.com 443 Trying 54.221.218.187... telnet: connect to address 54.221.218.187: Connection refused Trying 107.22.214.128... telnet: connect to address 107.22.214.128: Connection refused
如果發現此類結果,請使用以下步驟執行資料包捕獲。
1. 使用SSH連線到Firesight管理中心,並提升為根使用者,具體操作如下:
sudo su -
2. 執行下列命令以開始擷取。
tcpdump -i
-s 0 -w /var/tmp/
port 443
要獲取特定於雲服務的捕獲,請以下列模式運行命令(例如,捕獲和捕獲雲服務)。確保提供-s 選項,否則資料包的預設大小是96位元組,正是由於此原因導致資料包被截斷。
tcpdump -i <interface> -w testpcap1.pcap -s 9000 "host service.brightcloud.com or host database.brightcloud.com or host service2.brightcloud.com"
3. 如果問題更為頻繁,則讓捕獲運行,直到您看到故障運行狀況警報再次出現。如果在捕獲期間對兩個埠執行telnet,會比較好。(service.brightcloud和database.brightcloud)。
4. 停止捕獲並scp檔案到伺服器。
5. 從收集的捕獲,確認是否觸發443的資料包或將其丟棄。
步驟 8.打開新終端並運行調試
如果未丟棄資料包,並且您發現資料包已成功觸發,則CloudAgent很可能已下載URL資料庫,但某些特定未知URL的查詢失敗。
當捕獲運行時,您必須打開新終端並運行CloudAgent的調試。您需要停用CloudAgent進程才能執行此操作。
執行以下步驟以在Firesight管理中心啟動調試
透過停用CloudAgent服務,使雲代理進入調試模式。
root@123:# pmtool disablebyid CloudAgent
對CloudAgent運行Debug命令
root@123:# CloudAgent --debug --config /etc/sf/cloudagent.conf --peers-config /etc/sf/device_cap.conf --ccfg /etc/sf/bca.cfg
一旦您能夠捕獲足夠的資料(例如,IP電話),則停止調試,方法是:使用以下命令終止CloudAgent進程,然後重新啟用CloudAgent服務。
root@123:# pkill -15 CloudAgent
root@123:# pmtool enablebyid CloudAgent
調試輸出如下所示:
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Setting debug level to 1
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Processing configuration '/etc/sf/cloudagent.conf'
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Processing peer list configuration '/etc/sf/device_cap.conf'
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Processing cloud config file '/etc/sf/bca.cfg'
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set cloud poll time to 1800
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set queue memcap to 50485760
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set persistent cache memcap to 524288000
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set request cache memcap to 50485760
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set ip reputation max download size to 536870912
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set ip reputation max redirects to 2
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set ip reputation connection time out to 5
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set ip reputation max download size to 600
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] Set ip reputation auto update time to 7200
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] config file = /etc/sf/cloudagent.conf
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [INFO] pid file = /var/sf/run/CloudAgent.pid
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:158:ProcessConfiguration(): Local authority is 5fe379a0-a765-11e4-b74e-eef0c3580dec
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:250:auth_license_init(): Initializing license /etc/sf/license
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:256:readSigFile(): File I/O problem for /etc/sf/license: No such file or directory
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:263:auth_license_init(): Can't read signature file
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:250:auth_license_init(): Initializing license /etc/sf/license.d/57b856615f0d4649da3fc262d8fbc3fa.lic
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:277:readSigFile(): old_length is 918, new length is 669
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:543:verifyBuffer(): The length of the buffer, less the signature is 154
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:544:verifyBuffer(): The length of the signature is 512
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:629:rsa_verify(): Checking hash signature
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:638:rsa_verify(): Possible old license format, trying alternate method
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:562:verifyBuffer(): Found valid signature: sf_new.pub
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] key.c:595:verifyBuffer(): Valid signature
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:291:auth_license_init(): Valid signature
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1103:load_kvp(): Calling initToken with l->buffer_length=669
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1121:load_kvp(): kvp->token = model, kvp->value = 0x42
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1121:load_kvp(): kvp->token = expires, kvp->value = forever
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1121:load_kvp(): kvp->token = node, kvp->value = 00:50:56:91:44:6B
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1121:load_kvp(): kvp->token = serial_number, kvp->value = 74245185
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1121:load_kvp(): kvp->token = feature_id, kvp->value = 0xC
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1121:load_kvp(): kvp->token = model_info, kvp->value = 66E:50000:HOST,66E:50000:USER
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:421:auth_license_validate_license(): license mac 00:50:56:91:44:6B
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1345:auth_search_for_matching_mac(): Compare 00:50:56:91:44:6B license mac 00:50:56:91:44:6B
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:447:auth_license_validate_license(): local model is 66, license model = 66
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:463:auth_license_validate_license(): feature license 0xC
Jul 20 05:36:23 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:250:auth_license_init(): Initializing license /etc/sf/license.d/c4d0c77c3c574ec3bc45cfb3d5aa8b0c.lic
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:421:auth_license_validate_license(): license mac 00:50:56:91:44:6B
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:1345:auth_search_for_matching_mac(): Compare 00:50:56:91:44:6B license mac 00:50:56:91:44:6B
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:437:auth_license_validate_license(): now is 1437370584, license time is 1452402889
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:447:auth_license_validate_license(): local model is 66, license model = 66
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:463:auth_license_validate_license(): feature license 0xB
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:AUTH [DEBUG] license.c:564:auth_license_validate_license(): Got URL License type: SUBSCRIPTION
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:405:GetURLFilteringLicenseInfo(): URLFiltering License: /etc/sf/license.d/aa434b92b62bc5982e2603b59e9fe06e.lic
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:479:Get
URLFilteringLicenseInfo(): count for model 72H(URLFilter) is 2
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:171:ProcessConfiguration(): total 2 URL Filtering Licenses
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:111:add_peer(): Adding peer e8590790-b18e-11e4-9098-ed176e943d42 to peer list
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:118:add_peer(): The peer version for peer e8590790-b18e-11e4-9098-ed176e943d42 is 0
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:344:ProcessURLFilteringPeers(): URLFiltering peers are *************************
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:151:PrintPeers(): peer 'e8590790-b18e-11e4-9098-ed176e943d42' and peer status is 2 and version 5.3 is 0
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:346:ProcessURLFilteringPeers(): URLFiltering peers are *************************
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:111:add_peer(): Adding peer bfc13f04-b0e5-11e4-9c85-a922b39543ad to peer list
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:118:add_peer(): The peer version for peer bfc13f04-b0e5-11e4-9c85-a922b39543ad is 0
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:344:ProcessURLFilteringPeers(): URLFiltering peers are *************************
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:151:PrintPeers(): peer 'e8590790-b18e-11e4-9098-ed176e943d42' and peer status is 2 and version 5.3 is 0
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:DM_peers [DEBUG] DM_peers.c:151:PrintPeers(): peer 'bfc13f04-b0e5-11e4-9c85-a922b39543ad' and peer status is 2 and version 5.3 is 0
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:346:ProcessURLFilteringPeers(): URLFiltering peers are *************************
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:350:ProcessURLFilteringPeers(): no URL Filtering Licenses available
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:cloud_config [DEBUG] config.c:178:ProcessConfiguration(): Peers Configuration read, 0 URL Filtering Licenses remaining
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:SFTL [DEBUG] SSLSupport.c:26:init_OpenSSL(): Loading error strings
Jul 20 05:36:24 bne-fsm-01 SF-IMS[27417]: [27417] CloudAgent:CloudAgent [DEBUG] CloudAgent.cpp:278:main(): Started
步驟 9.執行測試
如果調試看起來正常,並且url db日誌也宣告沒有要更新的內容,則您必須再執行一次測試,以確認觸發的雲查詢警報是否為誤報。
要執行以下測試,必須安排維護窗口。
測試-1
從FireSIGHT管理中心和Firepower為bcdb檔案執行備份。
需要執行備份的檔案位於以下位置。
root@123:# cd /var/sf/cloud_download/
將檔案從此位置移動到FireSIGHT管理中心和Firepower中的其他位置。
完成備份後,請從/var/sf/cloud_download/位置刪除bcdb檔案,並透過執行後續步驟執行資料庫強制下載。
登入到FireSIGHT管理中心,然後導航到系統>本地>配置>雲服務。
按一下Update Now按鈕。
檢查是否在FireSIGHT管理中心的相同位置/var/sf/cloud_download/成功更新新bcdb檔案。 如果在FireSIGHT管理中心新下載了此檔案,則需要推送訪問控制策略,以確保在Firepower(受管感測器)中更新相同的資料庫檔案。
如果無法成功下載檔案,請將bcdb檔案重新複製到/var/sf/cloud_download/內的同一位置,這樣它不會影響任何內容。
測試-2
執行url查詢(對資料庫中不存在/可用的url執行url查詢)並重新確認響應。
如果在從/var/sf/cloud_downloads中刪除資料庫檔案後執行測試後,檔案重新出現,則表示443上的連線成功。
結論
有時,雲查詢錯誤是間歇性的。在5.3.1.2等版本中,運行狀況監控模組可能會報告雲查詢錯誤的誤報警報。間歇運行狀況查詢警報提供類似以下內容的報告:
Health Monitor Alert from abc.com Time: youd Aug 5 12:01:41 2015 UTC Severity: critical Module: URL Filtering Monitor Description: Cloud lookup failure Health Monitor Alert from abc.com Time: youd Aug 5 12:17:03 2015 UTC Severity: recovery Module: URL Filtering Monitor Description: Process is running correctly
在確認所有測試均成功且仍然收到間歇性雲查詢錯誤後,自5.3.1.2版本起,運行狀況警報變得過於敏感。思科漏洞CSCut77594 
已就此提出報告。 即使url查詢存在一個故障,運行狀況警報也會觸發;失敗意味著您未從brightcloud伺服器收到該特定URL的響應。URL運行狀況監控模組的誤報問題在以下版本中已修復:
DRAMBUIE 5.4.1.5_KENTON 5.4.0.6_AND_5.4.1.5_DC 5.3.1.7 5.3.0.8
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
23-Aug-2024
|
初始版本 |
意見