Probleemoplossing voor SLIC Channel Down systeemalarmlampje

Downloadopties

  • PDF     (258.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (84.3 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (72.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:8 februari 2023
Document-id:220130

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u systeemalarmen voor "SLIC Channel Down"-analyse van Secure Network Analytics (SNA) kunt oplossen.

    Voorwaarden

    Vereisten

    Cisco raadt aan dat u over fundamentele SNA-kennis beschikt.

    SLIC staat voor "Stealthwatch Labs Intelligence Center"

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Procedure

    Het "SLIC Channel Down" alarm wordt geactiveerd wanneer de SNA Manager geen feed updates kan ontvangen van de Threat Intelligence Servers, voorheen SLIC. Om beter te begrijpen wat de onderbreking van de updates heeft veroorzaakt, gaat u als volgt te werk:

    1. Verbind met de SNA Manager via SSH en log in met root referenties.
    2. Analyseer het /lancope/var/smc/log/smc-core.log bestand en zoek naar de logboeken van het type SlicFeedGetter.
      3.

    Zodra u de relevante logbestanden vindt, gaat u verder naar de volgende sectie omdat er meerdere omstandigheden zijn die ervoor kunnen zorgen dat dit alarm wordt geactiveerd.

    Gemeenschappelijke foutenlogboeken

    De meest voorkomende foutenlogboeken die in de smc-core.log meldingen met betrekking tot het SLIC Channel Down-alarm worden weergegeven, zijn:

    Time out verbinding

    2023-01-03 22:43:28,533 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
    2023-01-03 22:43:28,592 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
    2023-01-03 22:43:28,592 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
    2023-01-03 22:45:39,604 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    org.apache.http.conn.HttpHostConnectException: Connect to lancope.flexnetoperations.com:443 [lancope.flexnetoperations.com/64.14.29.85] failed: Connection timed out (Connection timed out)

    Kan geen geldig certificeringspad naar aangevraagd doel vinden

    2023-01-04 00:27:50,497 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
    2023-01-04 00:27:50,502 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
    2023-01-04 00:27:50,502 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
    2023-01-04 00:27:51,239 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

    Handdruk is mislukt

    2023-01-02 20:00:49,427 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
    2023-01-02 20:00:49,433 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
    2023-01-02 20:00:49,433 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
    2023-01-02 20:00:50,227 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    javax.net.ssl.SSLHandshakeException: Handshake failed

    Uit te voeren stappen

    De updates van Threat Intelligence kunnen vanwege verschillende omstandigheden worden onderbroken. Voer de volgende validatiestappen uit om er zeker van te zijn dat uw SNA Manager aan de vereisten voldoet.

    Stap 1. Slimme licentiestatus valideren

    Navigeer naar Central Management > Smart Licensing en controleer of de status van de Threat Feed Licentie is Authorized.

    Stap 2. Controleer de resolutie van Domain Name System (DNS)

    Zorg ervoor dat de SNA Manager met succes het IP-adres kan oplossen voor lancope.flexnetoperations.com and esdhttp.flexnetoperations.com

    Stap 3. Controleer de connectiviteit met de Threat Intelligence Feed Servers

    Zorg ervoor dat de SNA Manager toegang tot internet heeft en dat verbinding met de volgende Threat Intelligence Servers is toegestaan:

    Poorten en protocollen

    Bron

    Bestemming

    443/TCP-switch

    SNA-beheer

    esdhttp.flexnetoperations.com

    lancope.flexnetoperations.com

    Opmerking: Als de SNA Manager geen directe internettoegang mag hebben, zorg er dan voor dat de Proxy-configuratie voor internettoegang aanwezig is.

    Stap 4. SSL-inspectie (Secure Socket Layer) uitschakelen/decryptie

    De tweede en derde fout die in de Common Error Logs sectie worden beschreven, kunnen optreden wanneer de SNA-manager niet het juiste identiteitsbewijs of de juiste vertrouwensketen die door de Threat Intelligence Feed-servers wordt gebruikt, ontvangt. Om dit te voorkomen, dient u ervoor te zorgen dat er geen SSL-inspectie/decryptie wordt uitgevoerd over uw netwerk (door geschikte firewalls of proxyservers) voor verbindingen tussen de SNA Manager en de Threat Intelligence-servers die in de Verify Connectivity to the Threat Intelligence Feed Servers sectie worden vermeld.

    Als u niet zeker weet of SSL-inspectie/decryptie wordt uitgevoerd in uw netwerk, kunt u een pakketopname verzamelen tussen het IP-adres van SNA Manager en het IP-adres van Threat Intelligence Servers en de opname analyseren om het ontvangen certificaat te verifiëren. Voer hiervoor de volgende handelingen uit:

    1. Maak verbinding met de SNA Manager via SSH en log in met root referenties.
    2. Voer een van de volgende twee opdrachten uit (de uit te voeren opdracht is afhankelijk van de vraag of de SNA-beheerder een proxyserver voor internettoegang gebruikt of niet):

    tcpdump -w /lancope/var/tcpdump/slic_issue.pcap -nli eth0 host 64.14.29.85
    tcpdump -w /lancope/var/tcpdump/slic_issue2.pcap -nli eth0 host [IP address of Proxy Server]

    3. Laat de opname 2 tot 3 minuten lopen en stop ermee.
    4. Breng het gegenereerde bestand voor analyse naar de SNA Manager. Dit kan worden bereikt met Secure Copy Protocol (SCP).

    Gerelateerde gebreken

    Er is één bekend defect dat gevolgen kan hebben voor de verbinding met SLIC-servers:

    • SMC SLIC-communicatie kan uitvallen en mislukken als bestemmingshaven 80 is geblokkeerd. Zie Cisco bug-id CSCwe08331

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    08-Feb-2023
    Toegevoegd "Verwante defecten" sectie
    1.0
    19-Jan-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Angel Ortiz
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten