排除SLIC通道關閉系統警報故障

簡介

本檔案介紹如何對安全網路分析(SNA)「SLIC通道關閉」系統警報進行疑難排解。

必要條件

需求

思科建議您瞭解基本SNA知識。

SLIC代表「Stealthwatch Labs Intelligence Center」

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

程序

當SNA管理器無法從威脅情報伺服器（以前稱為SLIC）獲取源更新時，會觸發「SLIC通道關閉」警報。

要更好地瞭解導致源更新中斷的原因，請按照以下步驟操作：

1. 通過登入到Manager導航到Central Management(在您的瀏覽器地址欄位中，鍵入https://和裝置IP地址)。按Enter鍵。)
2. 從主選單中選擇Configure > Global > Central Management。
3. 按一下裝置的省略號圖示。
4. 選擇「檢視裝置統計資訊」。
5. 從主選單中選擇支援 > 瀏覽檔案
6. 在「瀏覽檔案」頁上，選擇smc > logs > ，然後按一下smc-core.log。 
7. 將開啟一個包含smc-core.log內容的新頁籤。通過搜尋日誌來檢視此檔案SlicFeedGetter。

常見錯誤日誌

在與SLIC通道關閉警報相關的中發現的最常見錯誤日誌為smc-core.log:

連線超時

2026-01-01 22:45:39,604 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
org.apache.http.conn.HttpHostConnectException: Connect to lancope.flexnetoperations.com:443 [lancope.flexnetoperations.com/xx.xx.xx.x] failed: Connection timed out (Connection timed out) 

無法找到所請求目標的有效證書路徑

2026-01-01 00:27:51,239 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

握手失敗

2026-01-01 20:00:50,227 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
javax.net.ssl.SSLHandshakeException: Handshake failed

補救步驟

威脅情報源更新可能由於不同情況而中斷。

執行下面的驗證步驟以確保SNA Manager符合要求。

步驟1.驗證智慧許可狀態

導航到Central Management > Smart Licensing並確保威脅源許可證的狀態為AuthorizedThreat Feed License。

步驟2.驗證網域名稱系統(DNS)解析

確保SNA管理器能夠成功解析 lancope.flexnetoperations.com and esdhttp.flexnetoperations.com

步驟3.驗證與Threat Intelligence Feed Server的連線

確保SNA Manager可以訪問Internet，並允許連線到下面列出的威脅情報伺服器：

附註：如果SNA管理器不允許直接訪問網際網路，請確保網際網路訪問的代理配置已就緒。

步驟4.禁用安全套接字層(SSL)檢查/解密

當SNA Manager未收到威脅情報源伺服器使用的正確身份證書或信任鏈時，可能會發生本節所述的第二個和第三個錯誤Common Error Logs。

要防止發生這種情況，請確保您的網路（通過功能強大的防火牆或代理伺服器）上未對SNA Manager和本節中列出的威脅情報伺服器之間的連線執行SSL檢查/解Verify Connectivity to the Threat Intelligence Feed Servers密。

如果您不確定是否在您的網路中執行SSL檢查/解密，可以收集SNA Manager IP地址和Threat Intelligence Servers IP地址之間的資料包捕獲，並分析該捕獲以驗證收到的證書。為此，請執行以下操作：

以sysadmin使用者的身份在裝置控制檯(SystemConfig)中建立資料包捕獲使用者。

1. 以sysadmin身份登入裝置。
2. 選擇Advanced > Packet Capture。如果沒有現有的封包擷取，可直接進入封包擷取組態功能表。如果現有資料包捕獲，請選擇Create以建立新的資料包捕獲。
3. 在Port Filter欄位中輸入TCP或UDP埠號。連線埠可以是來源或目的地。您可以將此欄位留空，將過濾器設定為「任意」。SLIC使用tcp/443連線，因此請在此欄位中輸入443。 
4. 在Duration(900 Seconds Max)欄位中，指定執行資料包捕獲的秒數。
   
   

   附註：請小心輸入合理的時間，因為超大型捕獲檔案可能會佔用裝置硬碟上的所有可用空間。此欄位與Packets設定結合使用。捕獲將一直運行到達到持續時間或資料包數為止。

5. 在Packets(100,000 max)欄位中，指定在結束擷取之前要擷取的封包數量。此欄位與「持續時間」設定結合使用。捕獲將一直運行到達到持續時間或資料包數為止。
6. 按一下OK開始資料包捕獲。
   

   提示：要突然停止資料包捕獲，通常可以按Ctrl+C。

若要檢視封包擷取檔案，請下載這些檔案並在本地檢視。檔案儲存在/lancope/var/tcpdump中。

您可以直接登入裝置或通過Central Manager清單>檢視裝置統計資訊訪問裝置。轉至Support > Browse Files下載資料包捕獲。

相關缺陷

有一個已知缺陷可能會影響到SLIC伺服器的連線：

• 如果目標埠80被阻止，SMC SLIC通訊可能會超時並失敗。請參閱思科錯誤ID CSCwe08331

相關資訊

• 如需其他協助，請聯絡技術支援中心(TAC)。需要有效的支援合約：Cisco全球支援聯絡人。
• 您還可以在此處訪問思科安全分析社群。
• 技術支援與文件 - Cisco Systems