SNAでのSNMPポーリングおよび不適切なインターフェイス詳細のトラブルシューティング

はじめに

このドキュメントでは、Secure Network Analyticsで欠落しているエクスポータインターフェイス情報のトラブルシューティング方法について説明します

前提条件

• 基本的なSimple Network Management Protocol(SNMP)ポーリングの知識があることが推奨されます
• 基本的なSecure Network Analytics(SNA/StealthWatch)の知識があることが推奨されます

要件

• バージョン7.4.1以降のSNA Manager
• バージョン7.4.1以降のSNA Flow Collector
• NetFlowをSNAにアクティブに送信しているエクスポータ

使用するコンポーネント

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください

• バージョン7.4.1以降のSNA Manager
• バージョン7.4.1以降のSNA Flow Collector
• SNMPwalkソフトウェア
• Wiresharkソフトウェア

コンフィギュレーション

• デバイス設定：SNMPアクセスを許可するようにエクスポータを設定する必要があります。これには、SNMPコミュニティストリング、アクセスコントロールリスト(ACL)の設定、使用するSNMPバージョンの定義など、各デバイスでのSNMP設定の設定が含まれます
• SNAでのSNMPポーリング設定：エクスポータが正常に設定されると、事前に設定されたパラメータを使用してSMCでSNMPポーリングがデフォルトで有効になります。ポーリングメカニズムを最適に動作させるには、SNMPコミュニティストリングやSNMPバージョンなど、エクスポータに関する必要な詳細情報を提供することが重要です

背景説明

SNAは、インターフェイスステータスレポートを包括的に提供する機能と、NetFlowデータをフローコレクタにアクティブに送信しているエクスポータのインターフェイス名を表示する機能を備えています。  このインターフェイスの詳細は、Manager Web UIからInvestigate -> Interfacesメニューに移動して表示できます。

トラブルシューティング

インターフェイス名の誤り

生成されたレポートで「ifindex-#」が表示されてエクスポータインターフェイスに対応していない場合は、SMCまたはエクスポータインターフェイス自体でのSNMPポーリングに関する潜在的な設定の問題が示唆されています。   この例では、特定のエクスポータのSNMPポーリングに関する明らかな問題を取り上げています。

エクスポータまたはインターフェイスが見つからない

テンプレート検証は、NetFlowデータ処理において非常に重要です。具体的には、エクスポータから受信したNetFlowテンプレートに、フローコレクタによる正常なデコードと処理に必要なすべての必須フィールドが含まれるようにします。有効なテンプレートが見つからないと、関連するフローのセットがデコードから除外され、その結果、フローはインターフェイスのリストから欠落します。

インターフェイスリストに必要なエクスポータまたはインターフェイスが表示されない場合は、着信netflow data dnテンプレートを確認する必要があります。  NetFlowテンプレートを確認するには、パケットキャプチャをフローコレクタ側で作成し、エクスポータからIPを指定します。ここでは、「x.x.x.x」を変更して、NetFlowを取得します。

• SSHまたはコンソール経由で、rootクレデンシャルを使用してFlow Collectorにログインします。
• 問題のエクスポータのIPポートとNetFlowポートからパケットキャプチャを実行します。

  tcpdump -s0 -v -nnn -i eth0 host x.x.x.x and port 2055 -w /lancope/var/admin/tmp/<name>.pcap

• アプライアンスから、Wiresharkアプリケーションがインストールされているワークステーションにパケットキャプチャをコピーし、任意の方法（SCP、SFTPなど）を使用します。
• Wiresharkでパケットキャプチャを開き、エクスポータがフローコレクタに送信しているテンプレートとデータを確認します

NetFlowテンプレートが9個の必須フィールドを使用していることを確認します。これらのテンプレートフィールドの正確な名前は、エクスポータのタイプによって異なる可能性があるため、設定するエクスポータのタイプの詳細については、次のドキュメントを参照してください。

• 送信元 IP アドレス
• 宛先 IP アドレス
• 送信元ポート
• 宛先ポート
• レイヤ4プロトコル
• バイト数
• パケット数
• フロー開始時間
• フロー終了時間

インターフェイスを正しく表示するには、次のコマンドも追加してください。

• • インターフェイス出力
  • インターフェイス入力

次に、特定のエクスポータのデバイスからのテンプレートパケットキャプチャの例を示します

• 赤い矢印：必須のNetFlowフィールド
• 緑色の矢印：SNMPフィールド

注：コマンド例に示されているポートは、エクスポータの設定によって異なる場合があります。デフォルトは2055です

注：パケットキャプチャは5 ～ 10分で実行してください。エクスポータによっては、テンプレートをN分ごとに送信できるのに対し、NetFlowが正しくデコードされるようにそのテンプレートをキャッチする必要があります。テンプレートが表示されない場合は、パケットキャプチャを長い期間繰り返します。

接続性の問題

接続の確認：SNA Managerアプライアンスとエクスポータの間に接続があることを確認します。IPアドレスにpingを実行して、Stealthwatch管理コンソールからエクスポータに到達できることを確認します。ネットワーク接続の問題がある場合は、トラブルシューティングを行い、状況に応じて解決します。

Manager(SMC)のエクスポータに対するポーリング機能の検証

• SSH経由でSNAマネージャに接続し、ルートクレデンシャルでログインします
• /lancope/var/smc/log/smc-configuration.logファイルを分析し、ExporterSnmpSession: 

  INFO [ExporterSnmpSession] SNMP polling for 10.1.0.253 took 0s 
  INFO [ExporterSnmpSession] SNMP polling for 10.1.0.253 took 0s 
  WARN [ExporterSnmpSession] SNMP polling for 10.10.0.254 failed: java.lang.Exception: timeout
  INFO [ExporterSnmpSession] SNMP polling for 10.10.0.254 took 20s 
  WARN [ExporterSnmpSession] SNMP polling for 10.10.0.254 failed: java.lang.Exception: timeout
  INFO [ExporterSnmpSession] SNMP polling for 10.10.0.254 took 20s 

• このポーリング例では、エクスポータ10.1.0.253でエラーは検出されませんでした。ただし、エクスポータ10.1.0.254でタイムアウトが発生しました。  デフォルトのタイムアウト間隔は5000ミリ秒で、再試行回数は3です。したがって、設定を変更していない環境では、エクスポータがポーリングされてからタイムアウトするまでの時間が20秒になります。

エクスポータのIPアドレスを使用して、SMCでパケットキャプチャを生成します。

• rootクレデンシャルでSSHまたはコンソールを使用してManagerノードにログインします
• 次のコマンドを実行します。

  tcpdump -s0 -v -nnn -i [Interface] host [Exporter_IP_address] -w /lancope/var/admin/tmp/[file_name].pcap

• 希望する方法（例：SCP、SFTP）でアプライアンスからパケットキャプチャをエクスポートします。
• Wiresharkでパケットキャプチャを開き、成功したポーリング試行を表示します
  • SMCからの要求：

  • インターフェイス情報を含むエクスポータからのSNMP応答： 

SNMPポーリング設定の検証

ポーリング間隔が適切であり、必要なメトリックがSNMPクエリに含まれていることを確認します

• Web UIで、Configure -> Exporters -> Exporter SNMP Profilesの順に選択します。
• 正しいSNMPポート（通常はUDPポート161）と、選択した正しいSNMPクエリー方式が、エクスポータ（ifxTableカラム、CatOS MIB、PanOS MIB）と適切に一致していることを確認します。

注：インターフェイスが10 Gbpsの場合、SNMPクエリー方式としてifxTable columnsオプションを選択することを推奨します。

注：最適なシステムパフォーマンスを得るには、SNMPポーリングを12時間間隔に設定します。ポーリングの頻度を上げても、使用率メトリックが最新になるわけではなく、システムの実行速度が低下する可能性があります。

• SNAとエクスポータの両方で設定されているSNMPバージョンに互換性があることを確認します。SNAはSNMPv1、SNMPv2c、およびSNMPv3をサポートします。SNAで設定されているSNMPバージョンと同じバージョンを使用するようにエクスポータが設定されているかどうかを確認します。
  
  • SNMPv3を使用する場合は、SNMP設定が正しいことを確認します（ユーザ名、認証パスワード、認証プロトコル、プライバシーパスワード、プライバシープロトコル）

SNMPポーリングのライブトラブルシューティング

Web UIで、「設定 – >エクスポータ – >エクスポータSNMPプロファイル」の順に移動します。

• ポーリング（分）を一時的に1（分）に設定します。

• SSHまたはコンソール経由で、rootクレデンシャルを使用してSMCにログインします。
• 次のフォルダに移動します。

  cd /lancope/var/smc/log

• 次のコマンドを実行します。

  tail -f smc-configuration.log

• SNMPv3の場合、一般的なエラーメッセージは次のようになります。

  failed: java.lang.IllegalArgumentException: USM passphrases must be at least 8 bytes long (RFC3414 §11.2)

• SNMPプロファイルの認証パスワードが8文字以上に設定されていることを確認します。
• ライブトラブルシューティングが終了したら、エクスポータまたはその設定テンプレートのポーリング（分）設定を以前の値に戻します。

別のデバイスからのSNMPポーリングのテスト

SNMPポーリングのテスト：ローカルマシンから特定のネットワークデバイスへのSNMPポーリングを手動で開始し、応答を受信するかどうかを確認します。これは、SNMPポーリングツールまたはSNMPwalkなどのユーティリティを使用して実行できます。ネットワークデバイスが要求されたSNMPデータで応答することを確認します。応答がない場合は、SNMPの設定または接続に問題があることを示しています。

• SNMPwalkソフトウェアを使用するローカルマシンで、エクスポータIPを「x.x.x.x」に置き換え、CLIで実行します。

  snmpwalk -v2c -c public x.x.x.x

  • -v2c：使用するSNMPバージョンを指定します。
  •  -c：コミュニティストリングを設定する

• エクスポータがSNMPデータで応答することを確認します。

関連情報

• 詳細については、Technical Assistance Center(TAC)にお問い合わせください。有効なサポート契約(シスコワールドワイドサポートの連絡先)が必要です。
• また、Cisco Security Analytics コミュニティもご覧ください。
• テクニカル サポートとドキュメント - Cisco Systems