Fehlerbehebung - Alarm "SLIC Channel Down System"

Download-Optionen

  • PDF     (259.8 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (83.0 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (70.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:8. Februar 2023
Dokument-ID:220130

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Fehlerbehebung bei Systemwarnungen für Secure Network Analytics (SNA) "SLIC Channel Down" beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über grundlegende SNA-Kenntnisse verfügen.

    SLIC steht für "StealthWatch Labs Intelligence Center"

    Verwendete Komponenten

    Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Vorgehensweise

    Der Alarm "SLIC Channel Down" wird ausgelöst, wenn der SNA Manager keine Feed-Updates von den Threat Intelligence Servern (ehemals SLIC) abrufen kann. Um besser zu verstehen, was die Unterbrechung der Feed-Updates verursacht hat, gehen Sie wie folgt vor:

    1. Stellen Sie über SSH eine Verbindung mit dem SNA Manager her, und melden Sie sich mit root Anmeldeinformationen an.
    2. Analysieren Sie die /lancope/var/smc/log/smc-core.log Datei, und suchen Sie nach Protokollen vom Typ SlicFeedGetter.
      3.

    Fahren Sie nach dem Auffinden der relevanten Protokolle mit dem nächsten Abschnitt fort, da mehrere Bedingungen vorliegen, die dazu führen können, dass dieser Alarm ausgelöst wird.

    Häufige Fehlerprotokolle

    Die häufigsten Fehlerprotokolle in smc-core.log Bezug auf den Alarm "SLIC Channel Down" sind:

    Zeitüberschreitung bei Verbindung

    2023-01-03 22:43:28,533 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
    2023-01-03 22:43:28,592 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
    2023-01-03 22:43:28,592 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
    2023-01-03 22:45:39,604 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    org.apache.http.conn.HttpHostConnectException: Connect to lancope.flexnetoperations.com:443 [lancope.flexnetoperations.com/64.14.29.85] failed: Connection timed out (Connection timed out)

    Es wurde kein gültiger Zertifizierungspfad zum angeforderten Ziel gefunden.

    2023-01-04 00:27:50,497 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
    2023-01-04 00:27:50,502 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
    2023-01-04 00:27:50,502 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
    2023-01-04 00:27:51,239 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

    Handshake fehlgeschlagen

    2023-01-02 20:00:49,427 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
    2023-01-02 20:00:49,433 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
    2023-01-02 20:00:49,433 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
    2023-01-02 20:00:50,227 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    javax.net.ssl.SSLHandshakeException: Handshake failed

    Durchzuführende Schritte

    Die Aktualisierungen des Threat Intelligence Feed können aufgrund unterschiedlicher Bedingungen unterbrochen werden. Führen Sie die nächsten Validierungsschritte durch, um sicherzustellen, dass Ihr SNA Manager die Anforderungen erfüllt.

    Schritt 1: Smart Licensing-Status überprüfen

    Navigieren Sie zur Threat Feed-Lizenz, Central Management > Smart Licensing und stellen Sie sicher, dass ihr Status Authorizedangezeigt wird.

    Schritt 2: DNS-Auflösung (Domain Name System) überprüfen

    Stellen Sie sicher, dass der SNA Manager die IP-Adresse für lancope.flexnetoperations.com and esdhttp.flexnetoperations.com

    Schritt 3: Verbindung zu den Threat Intelligence Feed-Servern überprüfen

    Stellen Sie sicher, dass der SNA Manager über Internetzugriff verfügt und dass die Verbindung zu den als Nächstes aufgeführten Threat Intelligence Servern zulässig ist:

    Port und Protokoll

    Quelle

    Ziel

    443 TCP

    SNA-Manager

    esdhttp.flexnetoperations.com

    lancope.flexnetoperations.com

    Hinweis: Wenn der SNA Manager keinen direkten Internetzugriff hat, stellen Sie sicher, dass die Proxy-Konfiguration für den Internetzugriff eingerichtet ist.

    Schritt 4: SSL-Überprüfung/Entschlüsselung deaktivieren

    Der zweite und dritte im Common Error Logs Abschnitt beschriebene Fehler kann auftreten, wenn der SNA Manager nicht das richtige Identitätszertifikat oder die richtige Vertrauenskette erhält, die von den Threat Intelligence Feed-Servern verwendet wird. Um dies zu verhindern, stellen Sie sicher, dass im gesamten Netzwerk (durch geeignete Firewalls oder Proxy-Server) keine SSL-Überprüfung/Entschlüsselung für Verbindungen zwischen dem SNA Manager und den im Verify Connectivity to the Threat Intelligence Feed Servers Abschnitt aufgeführten Threat Intelligence-Servern durchgeführt wird.

    Wenn Sie sich nicht sicher sind, ob die SSL-Überprüfung/Entschlüsselung in Ihrem Netzwerk durchgeführt wird, können Sie eine Paketerfassung zwischen der IP-Adresse des SNA Managers und der IP-Adresse des Threat Intelligence Servers durchführen und die Erfassung analysieren, um das empfangene Zertifikat zu überprüfen. Gehen Sie hierzu wie folgt vor:

    1. Stellen Sie über SSH eine Verbindung mit dem SNA Manager her, und melden Sie sich mit Ihren root Anmeldeinformationen an.
    2. Führen Sie einen der beiden als Nächstes aufgeführten Befehle aus (der auszuführende Befehl hängt davon ab, ob der SNA-Manager einen Proxyserver für den Internetzugriff verwendet):

    tcpdump -w /lancope/var/tcpdump/slic_issue.pcap -nli eth0 host 64.14.29.85
    tcpdump -w /lancope/var/tcpdump/slic_issue2.pcap -nli eth0 host [IP address of Proxy Server]

    3. Lassen Sie die Aufnahme für 2-3 Minuten laufen und dann stoppen Sie es.
    4. Übertragen Sie die generierte Datei zur Analyse aus dem SNA Manager. Dies ist über das Secure Copy Protocol (SCP) möglich.

    Verwandte Fehler

    Es gibt einen bekannten Fehler, der sich auf die Verbindung zu SLIC-Servern auswirken kann:

    • Die SMC SLIC-Kommunikation kann aufgrund einer Zeitüberschreitung fehlschlagen, wenn der Zielport 80 blockiert wird. Siehe Cisco Bug-ID CSCwe08331

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    08-Feb-2023
    Abschnitt "Verwandte Fehler" hinzugefügt
    1.0
    19-Jan-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Angel Ortiz
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.