Introduction
Sourcefire User Agent surveille les serveurs Microsoft Active Directory et signale les connexions et déconnexions authentifiées via LDAP. FireSIGHT System intègre ces enregistrements aux informations collectées via l'observation directe du trafic réseau par les périphériques gérés. Lorsque vous travaillez avec l'agent utilisateur Sourcefire, vous pouvez rencontrer des problèmes techniques. Ce document fournit des conseils pour dépanner divers problèmes avec l'agent utilisateur Sourcefire.
Conditions préalables
Cisco recommande que vous ayez des connaissances sur FireSIGHT Management Center, Sourcefire User Agent et Active Directory.
Conseil : pour en savoir plus sur les étapes d'installation et de désinstallation de l'agent utilisateur Sourcefire, lisez ce document.
Problèmes de connectivité
- Vérifiez que l'agent utilisateur est ajouté à FireSIGHT Management Center. Pour vérifier cela, accédez à Policies > Users > User Agent et vérifiez que l'adresse IP de l'hôte User Agent configuré est correcte.
- Vérifiez que le port 3306 est ouvert et en écoute. Aucun pare-feu ou autre périphérique réseau n'empêche l'agent utilisateur de communiquer avec le Centre de défense.
- Le port 3306 ne sera pas ouvert tant qu'une entrée User Agent n'aura pas été configurée sur FireSIGHT Management Center.
- Si un hôte Agent utilisateur est équipé de la fonction Telnet, vous pouvez vérifier la connexion en vous connectant par Telnet à partir de l'hôte Agent utilisateur à FireSIGHT Management Center. Vous verrez 5.1.66-log suivi d'une chaîne de caractères ASCII. Appuyez sur CTRL+C à plusieurs reprises pour vous déconnecter.
Remarque : le message Got packets out of order est attendu.
Si l'agent utilisateur génère des erreurs lors de la connexion ou de l'authentification au(x) serveur(s) Active Directory, il peut y avoir un problème d'autorisation de compte d'utilisateur ou de réseau. Vérifiez qu'il n'y a aucun problème de connectivité réseau dans votre environnement et configurez temporairement l'agent utilisateur pour qu'il utilise un compte d'administrateur de domaine pour l'authentification aux serveurs Active Directory afin de les tester si possible.
Journaux de diagnostic
Pour un dépannage général de l'agent utilisateur, vérifiez Log to local event log dans le client GUI de l'agent utilisateur et cliquez sur Save. Cela entraîne la saisie de messages opérationnels utiles dans le journal des événements de l'application hôte de l'agent utilisateur. Vous pouvez confirmer que l'interrogation de l'agent utilisateur s'est terminée correctement en recherchant les événements suivants, dans l'ordre :
Remarque : les captures d'écran ci-dessous proviennent de l'Observateur d'événements Microsoft sur l'hôte qui exécute l'agent utilisateur.
Vérification Active Directory de l'agent utilisateur
Agent utilisateur interrogeant le serveur Active Directory
Nombre d'événements signalés par l'agent (#) au Centre de défense