簡介
本檔案介紹維護、疑難排解和監控Cisco Cyber Vision伺服器可以採取的各種步驟。
Cisco Cyber Vision可讓您深入瞭解您的運營技術(OT)安全狀況。Cyber Vision向您的IT安全工具提供有關OT資產和事件的資訊,從而更輕鬆地在整個網路中管理風險和實施安全策略。
伺服器更新
根據部署方案保持伺服器更新,以查詢漏洞修復、漏洞修復以及整合到軟體的新功能。
系統運行狀況
在UI中(檢查歷史值):
導航到System Statistics(Center或Sensors)(系統統計資訊(中心或感測器))並驗證CPU和RAM利用率。
- 600%RAM和40%CPU的感測器應處於正常狀態。
- 中心約80%的RAM和50%的CPU應處於正常狀態。

這些值用作參考。這些資源可以達到很高的百分比,但預計在完成特定任務後返回,但不會保留在那裡。
在CLI上(即時檢查):
使用top命令檢查CPU和RAM利用率,以瞭解哪些進程正在佔用資源。
可以使用以下命令進行驗證:
'top -n 1 -b' | head -n 5
使用命令systemctl —failed命令驗證系統進程。此命令通常用於故障排除,以識別未意外啟動或停止的服務或裝置。
系統記錄
平台上有多個日誌:
在UI中:
生成診斷檔案。轉至System Statistics(Center或Sensors),然後點選Generate Diagnostic。

在CLI上:
使用sudo -i命令訪問根使用者模式
使用journaltcl命令跟蹤系統日誌。
journalctl -r(-r反向)
journalctl — 自「2015-01-10」或 — 至「2015-01-11 03:00」
journalctl -u <進程名稱>
journalctl -f(-f關注)
journalctl -p err(系統上的錯誤)
此外,還可以使用命令sbs-diag啟動診斷捆綁包
高級日誌
可以從CLI為這些服務啟用高級日誌:
sbs-backend
sbs-burrow
sbs-marmotd
sbs-lsyncd-gather
sbs-lsynd-communicate
sbs-gsyncd
sbs-nad
sbs-aspic
pxgrid-agent
使用sudo -i命令訪問根使用者模式
這些高級日誌確實會向系統傳送大量消息,因此,僅當與TAC團隊合作時才必須使用。
磁碟空間
- Sensors(感測器)傳入和分析的所有資料都儲存在資料庫中。
- 使用命令df -h監控/data分割槽中的可用空間。
- 在/data/tmp/captures/下清除網路捕獲。如果不再需要所有捕獲,請使用命令rm -rf /data/tmp/captures/*將其刪除。
- 刪除所有較舊的診斷檔案。
- 使用sbs-db purge-xxxxx命令清除資料庫中的舊資料和不需要的資料。
流量驗證
使用iptables和TCPdump跟蹤您的流量。
防火牆追蹤
伺服器上啟用了Iptables防火牆。丟棄的資料包將記錄為「DropInput and DropForward」。
驗證iptables計數器以檢查其上丟棄的資料包(iptables -L -n -v) | grep Chain)。
在日誌中查詢丟棄的資料包(journalctl) | grep Drop)。
TCPdump工具
它可用於觀察和排除伺服器中網路介面上的流量。
如果流量泛洪,請按ctrl+c停止捕獲。
範例
要監控NTP流(UDP/TCP 123):tcpdump -i [ethX]埠123 :
要監控來自特定主機的傳入/傳出流量,請執行以下操作:tcpdump -i [ethX]主機1.2.3.4
要將捕獲儲存到pcap檔案,請執行以下操作:
tcpdump -i [ethX]主機1.2.3.4 -r /data/tmp/your_file.pcap