De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft de Cisco Event Streamer (ook bekend als eStreamer) Ncore CLI-client. In het bijzonder beschrijft het de bewerking en geeft het informatie over het oplossen van problemen. Daarnaast behandelt het voorkomende problemen die worden gezien door het Cisco Technical Assistance Center (TAC), en vaak gestelde vragen (FAQ).
Bijgedragen door David Torres Rivas, Mikis Zafeiroudis, Cisco TAC-engineers.
Necore is een all-purpose client, die alle mogelijke gebeurtenissen van de eStreamer server (FMC) vraagt, ontleedt de binaire inhoud en outputs in verschillende indelingen ter ondersteuning van andere Security Information en Event Management-tools (SIEM’s).
De client (Ncore) initieert een verbinding met FMC TCP poort 8302 waar SSL-handdruk wordt uitgevoerd:
1: 11:34:02.901091 192.168.27.100.46538 > 10.48.26.49.8302: S 1607291631:1607291631(0) win 29200 <mss 1460,sackOK,timestamp 2350959 0,nop,wscale 10> 2: 11:34:02.902220 10.48.26.49.8302 > 192.168.27.100.46538: S 2529774236:2529774236(0) ack 1607291632 win 28960 <mss 1380,sackOK,timestamp 940036669 2350959,nop,wscale 7> 3: 11:34:02.902739 192.168.27.100.46538 > 10.48.26.49.8302: . ack 2529774237 win 29 <nop,nop,timestamp 2350959 940036669>
Het FMC accepteert de verbinding, voert SSL-handdruk uit op dezelfde poort en verifieert de client Common Name (CN):
Mar 2 11:45:06 FMC SF-IMS[22601]: [22601] Event Streamer:ConnectionHandler [INFO] Accepted IPv4 connection from 10.48.26.47:46538/tcp Mar 2 11:45:06 FMC SF-IMS[22601]: [22601] Event Streamer:ConnectionHandler [INFO] Added 10.48.26.47 to host table Mar 2 11:45:06 FMC SF-IMS[22601]: [22601] Event Streamer:ConnectionHandler [INFO] Added 10.48.26.47(23935) to host table Mar 2 11:45:06 FMC SF-IMS[23935]: [23935] EventStreamer child(10.48.26.47):ConnectionHandler [INFO] Resolved CN 10.48.26.47 to 10.48.26.47 Mar 2 11:45:06 FMC SF-IMS[23935]: [23935] EventStreamer child(10.48.26.47):ConnectionHandler [INFO] Matched Certificate CN:10.48.26.47 to 10.48.26.47 (IPv4) Mar 2 11:45:06 FMC SF-IMS[23935]: [23935] EventStreamer child(10.48.26.47):sfestreamer [INFO] Got EVENT_STREAM_REQUEST length 8 Mar 2 11:45:06 FMC SF-IMS[23935]: [23935] EventStreamer child(10.48.26.47):sfestreamer [INFO] Publishing service INFO total data size 48 Mar 2 11:45:06 FMC SF-IMS[23935]: [23935] EventStreamer child(10.48.26.47):sfestreamer [INFO] Publishing service id:5001 - length size 8 Mar 2 11:45:06 FMC SF-IMS[23935]: [23935] EventStreamer child(10.48.26.47):sfestreamer [INFO] Publishing service id:5000 - length size 8 Mar 2 11:45:06 FMC SF-IMS[23935]: [23935] EventStreamer child(10.48.26.47):sfestreamer [INFO] Publishing service id:6667 - length size 8
De eStreamer-client controleert vervolgens de configuratie en het boekenbestand van de client om te bepalen welke gebeurtenissen u wilt aanvragen en op welk tijdstip u start:
2020-03-02 07:18:11,500 Connection INFO Connecting to 10.48.26.49:8302 2020-03-02 07:18:11,500 Connection INFO Using TLS v1.2 2020-03-02 07:18:11,500 Monitor INFO Starting Monitor. 2020-03-02 07:18:11,500 Monitor INFO Starting. 0 handled; average rate 0 ev/sec; 2020-03-02 07:18:11,501 Writer INFO Starting process. 2020-03-02 07:18:11,506 Transformer INFO Starting process. 2020-03-02 07:18:11,985 Bookmark INFO Bookmark file /root/eStreamer-eNcore/10.48.26.49-8302_bookmark.dat does not exist. 2020-03-02 07:18:11,986 Settings INFO Timestamp: Start = 2 (Bookmark = 0) 2020-03-02 07:18:11,986 Receiver INFO EventStreamRequestMessage: 00010002000000080000000048900061 2020-03-02 07:18:11,986 SubscriberParser INFO Starting process. 2020-03-02 07:18:11,996 Bookmark INFO Bookmark file /root/eStreamer-eNcore/10.48.26.49-8302_bookmark.dat does not exist. 2020-03-02 07:18:11,996 Settings INFO Timestamp: Start = 2 (Bookmark = 0) 2020-03-02 07:18:11,997 Receiver INFO StreamingRequestMessage: 000108010000003800001a0b0000003848900061000000000009000c000400150009001f000b003d000e00470004005b000700650006006f0002008300000000
EventStreamApplication kan worden gecorreleerd op FMC:
Mar 2 12:29:16 FMC SF-IMS[6671]: [6671] EventStreamer child(10.48.26.47):sfestreamer [INFO] EventStream Request (0x48900061): Since 0 w/ NS Events w/ NS 6.0 Events
w/ Packets w/ Extra IDS Event data w/ Metadata v4 w/ RUA 5.2 Events w/ Impact Alerts w/ 5.3 Impact Alerts w/ Impact Flags w/ RNA 5.3 Events w/ RNA 6.0 Flow w/ Policy 5.4 Events
w/ FireAMP 6.0 Events w/ Filelog 6.0 Events w/ Send archive timestamp w/ Send Detail Request
EventStreamApplication is de hexadecimale weergave van de verzoekvlaggen die op de Vlaggen van het verzoek worden beschreven en moet in binair getal worden geconverteerd om te begrijpen of de client de vereiste gegevens heeft opgevraagd. Dit is een voorbeeld:
Opmerking: Sommige vlaggenbits zouden de verstrekte informatie kunnen wijzigen indien uitgebreide aanvragen worden ingediend.
Op basis van de informatie-informatie die wordt gevraagd, drukt het FMC de gegevens op de eStreamer-client.
Wie initieert de eStreamer-verbinding en gegevensoverdracht?
De eStreamer client. In het bijzonder, vestigt de client een TCP verbinding (3-way handshake), dan is er een SSL onderhandeling met Client (mutual) authenticatie. Ten slotte stuurt het FMC via de gevestigde tunnel de gegevens door wanneer er gegevens worden verzonden:
root@kali:~/eStreamer-eNcore# ./encore.sh foreground 2020-06-03 20:50:53,365 Monitor INFO Running. 100 handled; average rate 0.42 ev/sec; 2020-06-03 20:52:53,488 Monitor INFO Running. 100 handled; average rate 0.28 ev/sec; 2020-06-03 20:54:53,601 Monitor INFO Running. 100 handled; average rate 0.21 ev/sec; 2020-06-03 20:56:53,725 Monitor INFO Running. 100 handled; average rate 0.17 ev/sec;
Samengevat:
In dit voorbeeld is IP 10.62.148.41 de eStreamer-client (Ncore) en IP 10.62.148.75 het FMC:
Raadpleeg voor meer informatie over de Ncore CLI client eStreamer Ncore CLI Operations Guide v3.5.
De details van de eStreamer-toepassing en de configuratiesstappen van het FMC worden besproken in de Event Streamer Integration Guide.
In dit deel wordt beschreven wat er op estreamer.conf kan of moet worden aangepast om de oplossing goed te laten werken. Het bestand estreamer.conf bevindt zich in de path/eStreamer-Ncore folder. Hier volgt een voorbeeld van de inhoud van het bestand:
root@kali:~/eStreamer-eNcore# cat estreamer.conf { "connectTimeout": 10, "enabled": true, "handler": { "output@comment": "If you disable all outputters it behaves as a sink", "outputters": [ { "adapter": "json", "enabled": true, "stream": { "options": { "maxLogs": 10000, "rotate": true }, "uri": "relfile:///data/json/encore.{0}.json" } } ], "records": { "connections": true, "core": true, "excl@comment": [ "These records will be excluded regardless of above (overrides 'include')", "e.g. to exclude flow and IPS events use [ 71, 400 ]" ], "exclude": [], "inc@comment": "These records will be included regardless of above", "include": [], "intrusion": true, "metadata": true, "packets": true, "rna": true, "rua": true } }, "logging": { "filepath": "estreamer.log", "format": "%(asctime)s %(name)-12s %(levelname)-8s %(message)s", "lev@comment": "Levels include FATAL, ERROR, WARNING, INFO, DEBUG, VERBOSE and TRACE", "level": "INFO", "stdOut": true }, "monitor": { "bookmark": false, "handled": true, "period": 120, "subscribed": true, "velocity": false }, "responseTimeout": 2, "star@comment": "0 for genesis, 1 for now, 2 for bookmark", "start": 2, "subscription": { "records": { "@comment": [ "Just because we subscribe doesn't mean the server is sending. Nor does it mean", "we are writing the records either. See handler.records[]" ], "archiveTimestamps": true, "eventExtraData": true, "extended": true, "impactEventAlerts": true, "intrusion": true, "metadata": true, "packetData": true }, "servers": [ { "host": "10.62.148.75", "pkcs12Filepath": "client.pkcs12", "port": 8302, "tls@comment": "Valid values are 1.0 and 1.2", "tlsVersion": 1.2 } ] }, "workerProcesses": 4
De abonnementssectie
Als u het verzoek om Event Streamer naar de server (FMC) wilt wijzigen, wijzigt u het gedeelte eStreamer.conf-abonnementen. Bijvoorbeeld wanneer u uitgebreide verzoeken om vals in te stellen verandert het EventStream verzoek op FMC:
"subscription": { "records": { "@comment": [ "Just because we subscribe doesn't mean the server is sending. Nor does it mean", "we are writing the records either. See handler.records[]" ], "archiveTimestamps": true, "connection": true, "eventExtraData": true, "extended": false, "impactEventAlerts": true, "intrusion": true, "metadata": true, "packetData": true },
Met uitgebreide verzoeken = vals:
Jun 3 13:48:24 firepower SF-IMS[16084]: [16084] EventStreamer child(10.48.26.47):sfestreamer [INFO]
EventStream Request (0x08900061): Since 4294967295 w/ NS Events w/ Packets w/ Extra IDS Event data w/
Metadata v4 w/ Impact Alerts w/ Impact Flags w/ Send archive timestamp
Met verlengde verzoeken = waar:
Jun 3 13:50:52 firepower SF-IMS[17167]: [17167] EventStreamer child(10.48.26.47):sfestreamer [INFO]
EventStream Request (0x48900061): Since 1590497346 w/ NS Events w/ NS 6.0 Events w/ Packets w/ Extra IDS Event data w/ Metadata
v4 w/ RUA 5.2 Events w/ Impact Alerts w/ 5.3 Impact Alerts w/ Impact Flags w/ RNA 5.3 Events w/ RNA 6.0 Flow w/ Policy 5.4 Events
v w/ FireAMP 6.0 Events w/ Filelog 6.0 Events w/ Send archive timestamp w/ Send Detail Request
Het loggedeelte
U kunt debugs op Ncore CLI als volgt het bestand estreamer.conf bewerken en het logniveau wijzigen:
"logging": { "filepath": "estreamer.log", "format": "%(asctime)s %(name)-12s %(levelname)-8s %(message)s", "lev@comment": "Levels include FATAL, ERROR, WARNING, INFO, DEBUG, VERBOSE and TRACE", "level": "DEBUG", "stdOut": true },
Het gedeelte van de monitor
Om het aantal gebeurtenissen/tweede verwerkte en huidige favoriet te zien, bewerk het monitor gedeelte op estreamer.conf:
"monitor": { "bookmark": true, #If true, adds date/timestamp (see above) "handled": true, #Number of records processed "period": 120, #How often (in seconds) monitor writes to the log "subscribed": true, #Number of records received "velocity": false #A measure of whether eNcore is keeping up (>=1 is good) },
Andere relevante toetsen van het hoogste niveau:
"connectTimeout": 10, <- The number of seconds to wait for a response when establishing a connection to the FMC.
"workerProcesses": 4, <- The number of processes that eNcore spawns.
Deze waarde kan worden ingesteld van 2 tot 12. Meer processen zijn bedoeld om de prestaties te verbeteren, maar bij elk proces zijn er overheadkosten. Het resultaat is dat optimale prestaties worden bereikt met de juiste combinatie van "aantal processen" met de verwerkingscapaciteit van de host machine. De beste beschikbare richtsnoeren zijn:
Voor generieke procedures voor probleemoplossing in eStreamer kunt u naar dit document problemen bij probleemoplossing tussen FireSIGHT System en eStreamer Client (SIEM) verwijzen
Voor testdoeleinden kunt u Ncore als voorgrondproces inschakelen en de communicatie met FMC controleren
root@kali:~/eStreamer-eNcore# ./encore.sh foreground 2020-06-04 11:48:00,048 Controller INFO eNcore version: 3.5.4 2020-06-04 11:48:00,049 Controller INFO Python version: 2.7.13 (default, Jan 19 2017, 14:48:08) \n[GCC 6.3.0 20170118] 2020-06-04 11:48:00,051 Controller INFO Platform version: Linux-4.13.0-kali1-amd64-x86_64-with-Kali-kali-rolling-kali-rolling 2020-06-04 11:48:00,052 Controller INFO Starting client (pid=12374). 2020-06-04 11:48:00,052 Controller INFO Sha256: 77ac7e72d0b96e0a4b9c1c4f9a16c2de0b2b5ccf2929dd2857cf94ed96b295e3 2020-06-04 11:48:00,052 Controller INFO Processes: 4 2020-06-04 11:48:00,053 Controller INFO Settings: … 2020-06-04 11:48:00,053 Diagnostics INFO Check certificate 2020-06-04 11:48:00,054 Diagnostics INFO Creating connection 2020-06-04 11:48:00,054 Connection INFO Connecting to 10.62.148.75:8302 2020-06-04 11:48:00,054 Connection INFO Using TLS v1.2 2020-06-04 11:48:00,136 Diagnostics INFO Creating request message 2020-06-04 11:48:00,137 Diagnostics INFO Request message=0001000200000008ffffffff48900061 2020-06-04 11:48:00,137 Diagnostics INFO Sending request message 2020-06-04 11:48:00,137 Diagnostics INFO Receiving response message 2020-06-04 11:48:00,229 Diagnostics INFO Response message=KGRwMApTJ2xlbmd0aCcKcDEKSTQ4CnNTJ3ZlcnNpb24nCnAyCkkxCnNTJ2RhdGEnCnAzClMnXHgwMFx4MDBceDEzXHg4OVx4MDBceDAwXHgwMFx4MDhceDAwXHgwMFx4MDBceDAwXHgwMFx4MDBceDAwXHgwMFx4MDBceDAwXHgxM1x4ODhceDAwXHgwMFx4MDBceDA4XHgwMFx4MDBceDAwXHgwMFx4MDBceDAwXHgwMFx4MDBceDAwXHgwMFx4MWFceDBiXHgwMFx4MDBceDAwXHgwOFx4MDBceDAwXHgwMFx4MDBceDAwXHgwMFx4MDBceDAwJwpwNApzUydtZXNzYWdlVHlwZScKcDUKSTIwNTEKcy4= 2020-06-04 11:48:00,229 Diagnostics INFO Streaming info response 2020-06-04 11:48:00,230 Diagnostics INFO Connection successful 2020-06-04 11:48:00,230 Monitor INFO Starting Monitor. 2020-06-04 11:48:00,236 Decorator INFO Starting process. 2020-06-04 11:48:00,236 Transformer INFO Starting process. 2020-06-04 11:48:00,237 Connection INFO Connecting to 10.62.148.75:8302 2020-06-04 11:48:00,237 Connection INFO Using TLS v1.2 2020-06-04 11:48:00,238 Writer INFO Starting process. 2020-06-04 11:48:00,639 Bookmark INFO Opening bookmark file /root/eStreamer-eNcore/10.62.148.75-8302_bookmark.dat. 2020-06-04 11:48:00,640 Settings INFO Timestamp: Start = 2 (Bookmark = 1591210934) 2020-06-04 11:48:00,640 Receiver INFO EventStreamRequestMessage: 00010002000000085ed7f3b648900061 2020-06-04 11:48:00,640 SubscriberParser INFO Starting process. 2020-06-04 11:48:00,640 Bookmark INFO Opening bookmark file /root/eStreamer-eNcore/10.62.148.75-8302_bookmark.dat. 2020-06-04 11:48:00,646 Bookmark INFO Opening bookmark file /root/eStreamer-eNcore/10.62.148.75-8302_bookmark.dat. 2020-06-04 11:48:00,646 Settings INFO Timestamp: Start = 2 (Bookmark = 1591210934) 2020-06-04 11:48:00,647 Receiver INFO StreamingRequestMessage: 000108010000003800001a0b00000038489000615ed7f3b60009000c000400150009001f000b003d000e00470004005b000700650006006f0002008300000000 2020-06-04 11:48:00,653 Monitor INFO Running. 0 handled; average rate 1.2 ev/sec;
Tegelijkertijd kun je op FMC logbestanden zoals deze zien wanneer de Ncore rationer client de verbinding maakt. Merk op dat de FMC backend-tijdzone altijd UTC is:
root@FMC2000-2:~# tail -f /var/log/messages Jun 4 09:48:00 FMC2000-2 SF-IMS[4135]: [4135] Event Streamer:ConnectionHandler [INFO] Accepted IPv4 connection from 10.62.148.41:36528/tcp Jun 4 09:48:00 FMC2000-2 SF-IMS[4135]: [4135] Event Streamer:ConnectionHandler [INFO] Added 10.62.148.41(8512) to host table Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):SFUtil [INFO] Found IPv4 address 10.62.148.41 for ksec-sfvm-win7-3.cisco.com Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):ConnectionHandler [INFO] Resolved CN ksec-sfvm-win7-3.cisco.com to 10.62.148.41 Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):ConnectionHandler [INFO] Matched Certificate CN:ksec-sfvm-win7-3.cisco.com to 10.62.148.41 (IPv4) Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):sfestreamer [INFO] Got EVENT_STREAM_REQUEST length 8 Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):sfestreamer [INFO] Publishing service INFO total data size 48 Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):sfestreamer [INFO] Publishing service id:5001 - length size 8 Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):sfestreamer [INFO] Publishing service id:5000 - length size 8 Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):sfestreamer [INFO] Publishing service id:6667 - length size 8 Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):sfestreamer [INFO] Got UEC_STREAM_REQUEST length 56 Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):ConnectionHandler [INFO] requested service [6667] timestamp [1591210934] Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):ConnectionHandler [INFO] Got Event type 12, version 9 Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):ConnectionHandler [INFO] Got Event type 21, version 4 Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):ConnectionHandler [INFO] Got Event type 31, version 9 Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):ConnectionHandler [INFO] Got Event type 61, version 11 Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):ConnectionHandler [INFO] Got Event type 71, version 14 Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):ConnectionHandler [INFO] Got Event type 91, version 4 Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):ConnectionHandler [INFO] Got Event type 101, version 7 Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):ConnectionHandler [INFO] Got Event type 111, version 6 Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):ConnectionHandler [INFO] Got Event type 131, version 2 Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):sfestreamer [INFO] EventStream Request (0x48900061): Since 1591210934 w/ NS Events
w/ NS 6.0 Events w/ Packets w/ Extra IDS Event data w/ Metadata v4 w/ RUA 5.2 Events w/ Impact Alerts w/ 5.3 Impact Alerts w/ Impact Flags w/ RNA 5.3 Events w/ RNA 6.0
Flow w/ Policy 5.4 Events w/ FireAMP 6.0 Events w/ Filelog 6.0 Events w/ Send archive timestamp w/ Send Detail Request Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):ConnectionHandler [INFO] creating iterator for service [6667] prefix [unified2.] timestamp [1591210934] Jun 4 09:48:00 FMC2000-2 SF-IMS[8512]: [8512] EventStreamer child(ksec-sfvm-win7-3.cisco.com):Unified2Iterator [INFO] Opened /var/sf/archive/netmap_2/unified2.1591210800 Jun 4 09:48:02 FMC2000-2 SF-IMS[4135]: [4135] Event Streamer:ConnectionHandler [INFO] Child with pid 8510 exited with status 5120 Jun 4 09:48:02 FMC2000-2 SF-IMS[4135]: [4135] Event Streamer:ConnectionHandler [INFO] Removed host entry for pid: 8510 Jun 4 09:48:04 FMC2000-2 SF-IMS[22296]: [25092] CloudAgent:url_license [INFO] Peer with active URLFiltering: 310f4c00-a415-11ea-bf5b-a2d6028849fe Jun 4 09:48:04 FMC2000-2 SF-IMS[22296]: [25092] CloudAgent:url_license [INFO] Peer with active URLFiltering: d637b6f0-a414-11ea-ad97-cc17b6ea4c03 Jun 4 09:48:04 FMC2000-2 SF-IMS[22296]: [25092] CloudAgent:url_license [INFO] Peer with active URLFiltering: 873709b8-78b6-11ea-ae87-b82f93835447 Jun 4 09:48:04 FMC2000-2 SF-IMS[22296]: [25092] CloudAgent:url_license [INFO] Peer with active URLFiltering: c7c0217c-78b6-11ea-a719-b7f0a277eb86
Het is sterk aanbevolen om deze items te verzamelen voordat u contact opneemt met Cisco TAC:
Telnet van de eStreamer-client naar FMC-poort 8302 en verifieert de connectiviteit.
Daarnaast kunt u de Ncore test optie gebruiken om de connectiviteit te testen:
root@kali:~/eStreamer-eNcore# ./encore.sh test 2020-05-28T16:02:56.931919 Diagnostics INFO Checking that configFilepath (estreamer.conf) exists 2020-05-28 16:02:56,935 Diagnostics INFO Check certificate 2020-05-28 16:02:56,936 Diagnostics INFO Creating connection 2020-05-28 16:02:56,936 Connection INFO Connecting to 10.62.148.75:8302 2020-05-28 16:02:56,936 Connection INFO Using TLS v1.2 2020-05-28 16:02:56,946 Diagnostics INFO Creating request message 2020-05-28 16:02:56,946 Diagnostics INFO Request message=0001000200000008ffffffff48900061 2020-05-28 16:02:56,946 Diagnostics INFO Sending request message 2020-05-28 16:02:56,946 Diagnostics INFO Receiving response message 2020-05-28 16:02:56,957 Diagnostics INFO Response message=KGRwMApTJ2xlbmd0aCcKcDEKSTQ4CnNTJ3ZlcnNpb24nCnAyCkkxCnNTJ2RhdGEnCnAzClMnXHgwMFx4MDBceDEzXHg4OVx4MDBceDAwXHgwMFx4MDhceDAwXHgwMFx4MDBceDAwXHgwMFx4MDBceDAwXHgwMFx4MDBceDAwXHgxM1x4ODhceDAwXHgwMFx4MDBceDA4XHgwMFx4MDBceDAwXHgwMFx4MDBceDAwXHgwMFx4MDBceDAwXHgwMFx4MWFceDBiXHgwMFx4MDBceDAwXHgwOFx4MDBceDAwXHgwMFx4MDBceDAwXHgwMFx4MDBceDAwJwpwNApzUydtZXNzYWdlVHlwZScKcDUKSTIwNTEKcy4= 2020-05-28 16:02:56,957 Diagnostics INFO Streaming info response 2020-05-28 16:02:56,957 Diagnostics INFO Connection successful
Dit is een succesvolle poging om verbinding te maken, zoals te zien is in Wireshark (10.62.148.41 is het core IP en 10.62.148.75 is het FMC):
Als de eStreamer-client achter NAT ligt, moet het certificaat met het upstream IP-adres gegenereerd worden of worden er fouten zoals deze gezien:
Mar 2 11:30:01 FMC SF-IMS[16921]: [16921] Event Streamer:ConnectionHandler [INFO] Accepted IPv4 connection from 10.48.26.47:46529/tcp Mar 2 11:30:01 FMC SF-IMS[16921]: [16921] Event Streamer:ConnectionHandler [INFO] Added 10.48.26.47 to host table Mar 2 11:30:01 FMC SF-IMS[16921]: [16921] Event Streamer:ConnectionHandler [INFO] Added 10.48.26.47(17659) to host table Mar 2 11:30:01 FMC SF-IMS[17659]: [17659] EventStreamer child(192.168.27.100):ConnectionHandler [INFO] Resolved CN 192.168.27.100 to 192.168.27.100 Mar 2 11:30:01 FMC SF-IMS[17659]: [17659] EventStreamer child(192.168.27.100):ConnectionHandler [ERROR] Certificate Common Name 192.168.27.100 does not match remote host: 10.48.26.47. It was issued to a different client. Mar 2 11:30:02 FMC SF-IMS[16921]: [16921] Event Streamer:ConnectionHandler [INFO] Child with pid 17659 exited with status 0 Mar 2 11:30:02 FMC SF-IMS[16921]: [16921] Event Streamer:ConnectionHandler [INFO] Removed host entry for pid: 17659
Indien FMC onjuiste DNS-items voor de eStreamer-client hebben, bereiken de gebeurtenissen niet de client. Om te identificeren of dit het probleem is, neem dan een opname op het FMC. In dit voorbeeld ontvangt het FMC een TCP SYN-pakket van de gestroomlijnde client host ksec-sfvm-win7-3.cisco.com:
root@FMC2000-2:/var/sf/archive/netmap_2# tcpdump -i eth0 port 8302 HS_PACKET_BUFFER_SIZE is set to 4. tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 18:32:45.453401 IP ksec-sfvm-win7-3.cisco.com.36428 > FMC2000-2.8302: Flags [S], seq 2427598184, win 29200, options [mss 1460,sackOK,TS val 3681355935 ecr 0,nop,wscale 7], length 0 18:32:45.453425 IP FMC2000-2.8302 > ksec-sfvm-win7-3.cisco.com.36428: Flags [S.], seq 1996800475, ack 2427598185, win 28960, options [mss 1460,sackOK,TS val 2264897265 ecr 3681355935,nop,wscale 7], length 0 18:32:45.453539 IP ksec-sfvm-win7-3.cisco.com.36428 > FMC2000-2.8302: Flags [.], ack 1, win 229, options [nop,nop,TS val 3681355935 ecr 2264897265], length 0
U kunt de -n vlag gebruiken om de opgeloste IP te zien:
root@FMC2000-2:/var/sf/archive/netmap_2# tcpdump -i eth0 port 8302 -n HS_PACKET_BUFFER_SIZE is set to 4. tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 18:34:58.015971 IP 10.62.148.41.36434 > 10.62.148.75.8302: Flags [S], seq 713101140, win 29200, options [mss 1460,sackOK,TS val 3681488496 ecr 0,nop,wscale 7], length 0
U kunt ook het commando gereedschap van de FMC CLI gebruiken:
root@FMC2000-2:/var/sf/archive/netmap_2# nslookup ksec-sfvm-win7-3.cisco.com Server: 1.2.3.4 Address: 1.2.3.4#53 Name: ksec-sfvm-win7-3.cisco.com Address: 10.62.148.41
Zorg ervoor dat de eStreamer-client het juiste FMC SSL-certificaat gebruikt. Als het certificaat niet correct is op FMC/var/log/bericht bestanden ziet u deze gebeurtenissen:
Jun 11 14:15:33 FMC SF-IMS[14211]: [14211] Event Streamer:ConnectionHandler [INFO] estreamer.c:2149:AcceptConnections(): Accepted IPv4 connection from 192.0.2.100:42143/tcp Jun 11 14:15:33 FMC SF-IMS[14211]: [14211] Event Streamer:ConnectionHandler [INFO] estreamer.c:389:allowConnection(): Added 192.0.2.100 to host table Jun 11 14:15:33 FMC SF-IMS[14211]: [14211] Event Streamer:ConnectionHandler [INFO] estreamer.c:334:rememberPid(): Added 192.0.2.100(13687) to host table Jun 11 14:15:33 FMC SF-IMS[14211]: [14211] Event Streamer:ConnectionHandler [DEBUG] estreamer.c:1347:AcceptConnection(): Created new estreamer child with src 192.0.2.100 : pid 13615 Jun 11 14:15:34 FMC SF-IMS[13687]: [13615] Event Streamer:ConnectionHandler [ERROR] estreamer.c:1116:AcceptConnection(): SSL_accept failed, SSL_get_error reports SSL_ERROR_SYSCALL
U kunt de eStreamer-client op FMC verwijderen en opnieuw configureren. Hierdoor wordt het SSL-certificaat opnieuw gegenereerd. Importeer het nieuwe certificaat in de eStreamer-client.
Op eStreamer client moet u de SFR module IP gebruiken. Op ASA run de opdracht toont de sfr module details om de module IP te zien.
De Arcsight Common Event Format-standaard definieert de belangrijke waardepparen die van Ncore CLI moeten worden verstuurd. Als er inconsistentie is in de gegevens over Arcisght, dat wil zeggen: ontbrekende velden, buiten orde, of sommige gegevens worden niet correct geparseerd op Arcsight client, het is handig om de configuratie aan te passen om naar een logbestand te schrijven door in te stellen. Dit helpt te bepalen waar het probleem ligt.
"handler": { "output@comment": "If you disable all outputters it behaves as a sink", "outputters": [ { "adapter": "cef", "enabled": true, "stream": { "uri": "relfile:///data/data.{0}.cef" } } ],
RAW CEF-gebeurtenissen worden geschreven in een regel met elk veld gescheiden door leiding "|":
<13>May 26 09:31:39 kali2 CEF:0|Cisco|Firepower|6.0|RNA:1003:1|CONNECTION STATISTICS|3|act=Allow app=STUN bytesOut=820 cs1=test cs1Label=fwPolicy
cs2=Default Action cs2Label=fwRule cs3=INSIDE cs3Label=ingressZone cs4=OUTSIDE cs4Label=egressZone cs5Label=secIntelCategory deviceExternalId=1
deviceInboundInterface=inside deviceOutboundInterface=outside dpt=9000 dst=216.151.129.103 dvchost=10.48.26.45 dvcpid=2 end=1590497212000 externalId=50850
proto=17 reason=N/A requestClientApplicatio
Dit is vaak het gevolg van overabonnement op eStreamer-klanten (te veel gebeurtenissen die door het FMC worden verstuurd). Start deze opdracht op de client-kant eStreamer en controleer of de teller Recv-Q hoog is. Dit is de telling van bytes die niet zijn gekopieerd door het gebruikersprogramma dat op deze socket is aangesloten. In dit voorbeeld zijn er 143143 Bytes in behandeling aan de kant van de cliënt:
root@kali:~# netstat -an | egrep "8302|Recv-Q" Proto Recv-Q Send-Q Local Address Foreign Address State tcp 143143 0 10.62.148.41:36732 10.62.148.75:8302 ESTABLISHED
Controleer de gebeurtenissen per seconde die door de eStreamer-client zijn ontvangen. Dit geeft een indicatie van de gebeurtenissen per seconde:
root@kali:~/eStreamer-eNcore# cat estreamer.log | grep "ev/sec"
Probeer de hoeveelheid gegevens die door de eStreamer-client is gevraagd of de door het FMC verzonden gebeurtenissen te verminderen. U kunt ook proberen de hoeveelheid middelen die aan de kant van de eStreamer-client is toegewezen, te verhogen.
Waar kan het pakket Ncore-cli vandaan komen?
Wanneer er een volledige back-up van de FMC wordt uitgevoerd, genereert eStreamer geen gebeurtenissen. Is dit normaal?
Ja, het wordt verwacht. Van de FMC Config Guide bij back-up:
Tijdens het verzamelen van back-upgegevens is er mogelijk een tijdelijke pauze in gegevenscorrelatie (alleen FMC) en het is mogelijk dat u geen configuraties met betrekking tot de back-up kunt wijzigen.
Zijn er speciale licenties vereist voor FMC-integratie met eStreamer-client (bijvoorbeeld Qradar)?
Nee
Waar komen eStreamer-evenementen vandaan?
Het VCC. Met name krijgt het FMC de gebeurtenissen van de beheerde apparaten (FTD) en stuurt deze naar de eStreamer-client(s) zoals Ncore, ArcSight, Splunk, QRadar, LogRhythm, enz.
Is er een compatibiliteitsmatrix tussen Splunk en Ncore?
Controleer de Splunk-documenten op informatie over de compatibiliteit. Bijvoorbeeld, om te zien welke versies van het Splunk compatibel zijn met Audio versie 3.6.8 controle https://splunkbase.splunk.com/app/3662/
Kan eStreamer Ncore gegevens van meerdere VCC's consumeren?
Op het moment van schrijven, nee. Controleer verbeteringsverzoek CSCvq14351
Wat zijn de aanbevolen opties om eStreamer te configureren voor installatie van FMC High Availability (HA)?
Aanbevolen wordt alleen de actieve FMC-eenheid voor eStreamer te configureren. Als u beide FMC-eenheden voor eStreamer instelt, ontvangt SIEM dubbele gebeurtenissen omdat de standby-FMC op eStreamer-verzoek reageert. Verwante aanvraag voor versterking: CSCvi95944
Is het voor een FMC-upgrade nodig om handmatig nieuwe eStreamer-certificaten te genereren?
Nee
Worden de Security Intelligence-gebeurtenissen naar eStreamer-client verstuurd? Is het mogelijk om Security Intelligence-gebeurtenissen als een aparte categorie te selecteren en ze naar een eStreamer-client te sturen?
De gebeurtenissen van de veiligheidsinlichtingendienst (SI) zijn opgenomen in de categorie verbindingsgebeurtenissen en niet in een afzonderlijke categorie. Daarom is er geen afzonderlijke SI-gebeurtenis die naar de stroomverdeler wordt gestuurd. Verwante aanvraag voor versterking: CSCva39052
Is het mogelijk om op FMC de sensoren/beheerde apparaten te specificeren waarbij hun eStreamer-gebeurtenissen naar de eStreamer-client worden verstuurd?
Met slechts één FMC-domein op dit moment is dit niet mogelijk. Verwante verbeteringsaanvraag CSCvt31270. U kunt ook op FMC in twee verschillende domeinen configureren. In het eerste domein, voegt u alle beheerde apparaten toe die u wilt eStreamer voor en configureren de eStreamer client. Voor het tweede domein, voegt u de rest van de apparaten toe en vormt geen eStreamer.
Wat is de versie van eStreamer op Firepower? Ik heb deze informatie nodig voor de SIEM-configuratie (bijvoorbeeld LogRhythm)
U kunt de versie van Firepower (FMC) van het FMC UI-venster als volgt controleren naar Help (rechterbovenhoek) > Info > Software-versie
Wanneer FMC is ingesteld met domeinen hoe de domeininformatie in de FMC eStreamer-gegevens moet worden weergegeven?
In de eStreamer Integration Guide controleert u het NetMap-ID naast het Record Type in het header-gedeelte van veel verschillende typen records. Het NetMap ID-nummer kan worden geconverteerd naar Domain of Devices-naam met behulp van respectievelijk Netmap Domain Metagegevens (Record Type 350) en Managed Devices Record (Record Type 123).
De clienttoepassing moet de binaire gegevens en metagegevens interpreteren volgens de informatie in de eStreamer Integration Guide.
Open de zoekfunctie voor bugs en zoek naar stroomlijning en andere problemen, bijvoorbeeld.