SNMP 폴링 및 SNA의 잘못된 인터페이스 세부사항 문제 해결

소개

이 문서에서는 Secure Network Analytics에서 누락된 내보내기 인터페이스 정보를 해결하는 방법에 대해 설명합니다

사전 요구 사항

• Cisco에서는 기본적인 SNMP(Simple Network Management Protocol) 폴링 정보를 보유하고 있습니다
• Cisco에서는 기본적인 Secure Network Analytics(SNA/StealthWatch) 지식을 보유한 것을 권장합니다

요구 사항

• 버전 7.4.1 이상의 SNA Manager
• 버전 7.4.1 이상의 SNA Flow Collector
• Exporter가 SNA에 NetFlow를 적극적으로 전송

사용되는 구성 요소

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다

• 버전 7.4.1 이상의 SNA Manager
• 버전 7.4.1 이상의 SNA Flow Collector
• SNMPwalk 소프트웨어
• Wireshark 소프트웨어

설정

• Device Configuration(디바이스 컨피그레이션): SNMP 액세스를 허용하도록 내보내기를 구성해야 합니다. 여기에는 SNMP 커뮤니티 문자열 설정, ACL(Access Control List), 사용할 SNMP 버전 정의를 비롯하여 각 디바이스에서 SNMP 설정을 구성하는 것이 포함됩니다
• SNA의 SNMP 폴링 컨피그레이션: 내보내기를 성공적으로 구성하면 사전 설정된 매개변수를 사용하여 SMC에서 SNMP 폴링이 기본적으로 활성화됩니다. 폴링 메커니즘이 최적의 상태로 작동하도록 하려면 SNMP 커뮤니티 문자열 및 SNMP 버전과 같은 내보내기와 관련된 필수 세부 정보를 제공해야 합니다

배경 정보

SNA는 포괄적인 인터페이스 상태 보고를 제공하는 기능과 NetFlow 데이터를 Flow Collector에 능동적으로 전송하는 내보내기를 위한 인터페이스 이름을 표시하는 기능을 갖추고 있습니다.  이 인터페이스 세부 정보는 Manager 웹 UI에서 Investigate -> Interfaces 메뉴로 이동하여 확인할 수 있습니다.

문제 해결

잘못된 인터페이스 이름

생성된 보고서에 내보내기 인터페이스와 일치하지 않는 "ifindex-#"이 표시되는 경우, SMC 또는 내보내기 자체에 대한 SNMP 폴링과 관련된 잠재적 컨피그레이션 문제를 제안합니다.   이 예에서는 지정된 내보내기의 SNMP 폴링에 대한 명백한 문제를 강조 표시했습니다.

내보내기 또는 인터페이스 누락

템플릿 검증은 NetFlow 데이터 처리의 맥락에서 매우 중요합니다. 특히, 엑스포터에서 수신된 NetFlow 템플릿에 Flow Collector의 성공적인 디코딩 및 처리에 필요한 모든 필수 필드가 포함되어 있는지 확인합니다. 유효한 템플릿이 발견되지 않으면 관련된 플로우 집합이 디코딩에서 제외되므로 인터페이스 목록에서 해당 플로우가 누락됩니다.

인터페이스 목록에 예상 내보내기/인터페이스가 표시되지 않는 경우 수신 netflow 데이터 dn 템플릿을 확인해야 합니다.  NetFlow 템플릿을 확인하기 위해 Flow Collector 측에서 패킷 캡처를 생성할 수 있으며, "x.x.x.x"를 변경하여 NetFlow를 가져오는 내보내기의 IP를 지정합니다.

• SSH 또는 루트 자격 증명으로 콘솔을 통해 Flow Collector에 로그인합니다.
• 문제의 내보내기 IP 및 netflow 포트에서 패킷 캡처를 실행합니다.

  tcpdump -s0 -v -nnn -i eth0 host x.x.x.x and port 2055 -w /lancope/var/admin/tmp/<name>.pcap

• 어플라이언스에서 Wireshark 애플리케이션이 설치된 워크스테이션에 패킷 캡처를 복사하려면 원하는 방법(예: SCP, SFTP)을 사용합니다.
• Wireshark를 사용하여 패킷 캡처를 열고 내보내기가 플로우 컬렉터로 보내는 템플릿과 데이터를 확인합니다

NetFlow 템플릿이 9개의 필수 필드를 사용하고 있는지 확인합니다. 이러한 템플릿 필드의 정확한 이름은 내보내기 유형에 따라 다를 수 있으므로 구성하는 특정 내보내기 유형에 대한 설명서를 참조해야 합니다.

• 소스 IP 주소
• 대상 IP 주소
• Source Port(소스 포트)
• Destination Port(대상 포트)
• 레이어 4 프로토콜
• 바이트 수
• 패킷 수
• 플로우 시작 시간
• 플로우 종료 시간

인터페이스를 올바르게 표시하려면 다음을 추가하십시오.

• • 인터페이스 출력
  • 인터페이스 입력

다음은 지정된 내보내기 디바이스에서 템플릿 패킷을 캡처한 예입니다

• 빨간색 화살표: 필수 NetFlow 필드
• 녹색 화살표: SNMP 필드

참고: example 명령에 나열된 포트는 내보내기 컨피그레이션에 따라 달라질 수 있으며 기본값은 2055입니다

참고: 내보내기에 따라 N분마다 템플릿을 전송할 수 있으므로 NetFlow가 올바르게 디코딩되도록 5~10분에서 패킷 캡처를 실행하고, 템플릿이 표시되지 않으면 더 오랜 시간 동안 패킷 캡처를 반복해야 합니다

연결 문제

연결 확인: SNA Manager Appliance와 엑스포터 간에 연결이 있는지 확인합니다. IP 주소를 ping하여 Stealthwatch 관리 콘솔에서 엑스포터에 연결할 수 있는지 확인합니다. 네트워크 연결 문제가 있는 경우 그에 따라 문제를 해결하고 해결하십시오.

SMC(Validate Manager)에서 내보내기를 폴링하는 기능 확인

• SSH를 사용하여 SNA Manager에 연결하고 루트 자격 증명으로 로그인합니다
• /lancope/var/smc/log/smc-configuration.log 파일을 분석하고 ExporterSnmpSession 유형의 로그를 검색합니다. 

  INFO [ExporterSnmpSession] SNMP polling for 10.1.0.253 took 0s 
  INFO [ExporterSnmpSession] SNMP polling for 10.1.0.253 took 0s 
  WARN [ExporterSnmpSession] SNMP polling for 10.10.0.254 failed: java.lang.Exception: timeout
  INFO [ExporterSnmpSession] SNMP polling for 10.10.0.254 took 20s 
  WARN [ExporterSnmpSession] SNMP polling for 10.10.0.254 failed: java.lang.Exception: timeout
  INFO [ExporterSnmpSession] SNMP polling for 10.10.0.254 took 20s 

• 이 폴링 예에서는 내보내기 10.1.0.253에 대해 탐지된 오류가 없습니다. 그러나 내보내기 10.1.0.254에서 시간 초과가 발생했습니다.  기본 시간 초과 간격은 재시도 횟수 3과 함께 5000ms입니다. 따라서 내보내기가 폴링되는 시점부터 시간 초과되는 시점까지는 설정을 변경하지 않은 환경에서 20초가 되어야 합니다.

내보내기의 IP 주소를 사용하여 SMC에서 패킷 캡처를 생성합니다.

• SSH 또는 루트 자격 증명이 있는 콘솔을 통해 Manager 노드에 로그인합니다.
• 실행:

  tcpdump -s0 -v -nnn -i [Interface] host [Exporter_IP_address] -w /lancope/var/admin/tmp/[file_name].pcap

• 어플라이언스에서 원하는 방법으로 패킷 캡처를 내보냅니다(예: SCP, SFTP)
• Wireshark로 패킷 캡처를 열어 폴링 시도를 확인합니다.
  • SMC의 요청:

  • 인터페이스 정보가 포함된 내보내기의 SNMP 응답: 

SNMP 폴링 설정 확인

폴링 간격이 적절한지, 원하는 메트릭이 SNMP 쿼리에 포함되었는지 확인합니다

• 웹 UI에서 Configure(구성) -> Exporters(내보내기) -> Exporter SNMP Profiles(SNMP 프로파일 내보내기)로 이동합니다.
• 올바른 SNMP 포트(일반적으로 UDP 포트 161) 및 올바른 SNMP 쿼리 방법이 선택되었는지 확인합니다. 이러한 방법은 내보내기와 일치해야 합니다(ifxTable 열, CatOS MIB, PanOS MIB)

참고: 10Gbps 인터페이스가 있는 경우 SNMP 쿼리 방법에 대해 ifxTable columns 옵션을 선택하는 것이 좋습니다.

참고: 최적의 시스템 성능을 위해 SNMP 폴링을 12시간 간격으로 설정합니다. 더 자주 폴링하면 활용률 메트릭스가 최신 상태가 되지 않으며 시스템이 더 느리게 실행될 수 있습니다.

• SNA와 내보내기에 모두 구성된 SNMP 버전이 호환되는지 확인합니다. SNA는 SNMPv1, SNMPv2c 및 SNMPv3을 지원합니다. 내보내기가 SNA에 구성된 것과 동일한 SNMP 버전을 사용하도록 구성되었는지 확인합니다.
  
  • SNMPv3을 사용하는 경우 SNMP 컨피그레이션이 올바른지 확인합니다(사용자 이름, 인증 비밀번호, 인증 프로토콜, 프라이버시 비밀번호, 프라이버시 프로토콜).

SNMP 폴링의 실시간 문제 해결

웹 UI에서 Configure(구성) -> Exporters(내보내기) -> Exporter SNMP Profiles(SNMP 프로파일 내보내기)로 이동합니다

• Polling (minutes)(폴링(분))을 1(분)로 임시로 설정합니다.

• SSH 또는 콘솔을 통해 SMC에 로그인하고 루트 자격 증명을 사용합니다.
• 이 폴더로 이동:

  cd /lancope/var/smc/log

• 실행:

  tail -f smc-configuration.log

• SNMPv3의 경우 일반적인 오류 메시지는 다음과 같습니다.

  failed: java.lang.IllegalArgumentException: USM passphrases must be at least 8 bytes long (RFC3414 §11.2)

• SNMP 프로필의 인증 암호가 8자 이상으로 설정되어 있는지 확인합니다.
• 실시간 문제 해결이 완료되면 내보내기 또는 해당 컨피그레이션 템플릿에 대한 폴링(분) 컨피그레이션을 이전 값으로 되돌립니다.

다른 디바이스에서 SNMP 폴링 테스트

SNMP 폴링 테스트: 로컬 시스템에서 특정 네트워크 디바이스로 SNMP 폴링을 수동으로 시작하고 응답을 수신하는지 확인합니다. 이 작업은 SNMP 폴링 툴 또는 SNMPwalk와 같은 유틸리티를 사용하여 수행할 수 있습니다. 네트워크 디바이스가 요청된 SNMP 데이터로 응답하는지 확인합니다. 응답이 없는 경우 SNMP 컨피그레이션 또는 연결에 문제가 있음을 나타냅니다.

• SNMPwalk 소프트웨어가 있는 로컬 시스템에서 내보내기 IP로 "x.x.x.x"를 대체하고 CLI에서 실행합니다.

  snmpwalk -v2c -c public x.x.x.x

  • -v2c: 사용할 SNMP 버전을 지정합니다.
  •  -c: 커뮤니티 문자열을 설정합니다.

• 엑스포터가 SNMP 데이터로 응답하는지 확인

관련 정보

• 추가 지원이 필요한 경우 TAC(Technical Assistance Center)에 문의하십시오. 유효한 지원 계약이 필요합니다. Cisco Worldwide Support 연락처
• 여기서 Cisco Security Analytics Community를 방문할 수도 있습니다.
• 기술 지원 및 문서 − Cisco Systems