SLIC通道關閉系統警報故障排除

下載選項

  • PDF     (511.4 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (78.8 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (65.3 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2023 年 2 月 8 日
文件 ID:220130

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案介紹如何排解安全網路分析(SNA)「SLIC通道關閉」系統警報的疑難問題。

    必要條件

    需求

    思科建議您瞭解SNA的基本知識。

    SLIC代表「Stealthwatch實驗室情報中心」

    採用元件

    本文件所述內容不限於特定軟體和硬體版本。

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    程式

    當SNA管理器無法從威脅情報伺服器(以前稱為SLIC)獲取源更新時,會觸發「SLIC通道關閉」警報。要更好地瞭解導致源更新中斷的原因,請按照以下步驟繼續:

    1. 透過SSH連線到SNA管理器並使用 root 憑證登入。
    2. 分析 /lancope/var/smc/log/smc-core.log 檔案並搜尋SlicFeedGetter型別的日誌。
      3.

    找到相關日誌後,請繼續下一節,因為存在多種情況可能導致觸發此警報。

    常見錯誤日誌

    在與SLIC通道關閉警報相關的smc-core.log 中看到的最常見錯誤日誌包括:

    連線逾時

    2023-01-03 22:43:28,533 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
    2023-01-03 22:43:28,592 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
    2023-01-03 22:43:28,592 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
    2023-01-03 22:45:39,604 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    org.apache.http.conn.HttpHostConnectException: Connect to lancope.flexnetoperations.com:443 [lancope.flexnetoperations.com/64.14.29.85] failed: Connection timed out (Connection timed out)

    找不到所要求之目標的有效憑證路徑

    2023-01-04 00:27:50,497 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
    2023-01-04 00:27:50,502 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
    2023-01-04 00:27:50,502 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
    2023-01-04 00:27:51,239 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

    握手失敗

    2023-01-02 20:00:49,427 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
    2023-01-02 20:00:49,433 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
    2023-01-02 20:00:49,433 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
    2023-01-02 20:00:50,227 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    javax.net.ssl.SSLHandshakeException: Handshake failed

    執行的步驟

    威脅情報源更新可能會因不同情況而中斷。執行後續驗證步驟以確保SNA管理器滿足要求。

    步驟 1.驗證智慧許可狀態

    導航到 Central Management > Smart Licensing 並確保威脅源許可證的狀態為 Authorized

    步驟 2.驗證網域名稱系統(DNS)解析

    確保SNA管理器能夠成功解析 lancope.flexnetoperations.com and esdhttp.flexnetoperations.com

    步驟 3.驗證與威脅情報源伺服器的連線

    確保SNA管理器可以訪問Internet,並且允許連線到下面列出的威脅情報伺服器:

    埠和協定

    來源

    目的地

    443/TCP

    SNA管理員

    esdhttp.flexnetoperations.com

    lancope.flexnetoperations.com

    注意:如果SNA管理器不允許直接訪問網際網路,請確保用於網際網路訪問的代理配置到位。

    步驟 4.停用安全通訊端層(SSL)檢查/解密

    Common Error Logs 

    部分中介紹的第二個和第三個錯誤會在SNA Manager未收到威脅情報源伺服器使用的正確身份證書或信任鏈時出現。要避免這種情況,請確保您的網路(透過功能強大的防火牆或代理伺服器)中對SNA Manager與 Verify Connectivity to the Threat Intelligence Feed Servers 部分中所列的威脅情報伺服器之間的連線不執行SSL檢查/解密。

    如果您不確定是否在您的網路中執行SSL檢查/解密,則可以收集SNA管理器IP地址與威脅情報伺服器IP地址之間的資料包捕獲,並分析該捕獲以驗證收到的證書。為此,請按照以下步驟執行:

    1. 透過SSH連線到SNA管理器,然後使用root 憑證登入。
    2. 運行下面列出的兩個命令之一(要運行的命令取決於SNA管理器是否使用代理伺服器進行網際網路訪問):

    tcpdump -w /lancope/var/tcpdump/slic_issue.pcap -nli eth0 host 64.14.29.85
    tcpdump -w /lancope/var/tcpdump/slic_issue2.pcap -nli eth0 host [IP address of Proxy Server]

    3. 讓擷取執行2-3分鐘,然後停止。
    4. 將生成的檔案從SNA Manager中傳輸出來進行分析。這可以透過安全複製協定(SCP)來實現。

    相關瑕疵

    有一個已知缺陷可能會影響到SLIC伺服器的連線:

    • 如果目標埠80被阻塞,SMC SLIC通訊可能會超時並失敗。請參閱Cisco bug ID CSCwe08331

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    2.0
    08-Feb-2023
    增加了「相關缺陷」部分
    1.0
    19-Jan-2023
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Angel Ortiz
      Cisco TAC Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品