فهم الفواصل الزمنية المفقودة لبيانات النطاق لمدة 3 دقائق واستكشاف أخطائها وإصلاحها على تعقب رسائل SMA

خيارات التنزيل

  • PDF     (336.6 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:٩ أغسطس ٢٠٢٣
معرّف المستند:220716

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

    المقدمة

    يوضح هذا المستند السبب وكيفية أستكشاف أخطاء بيانات تعقب الرسائل المفقودة وإصلاحها من خلال فواصل بيانات النطاق التي تبلغ 3 دقائق على SMA.

    المتطلبات

    معرفة هذه الموضوعات:

    • أجهزة إدارة الأمان (SMA) من Cisco
    • أجهزة أمان البريد الإلكتروني Cisco Email Security Appliance (ESA)
    • تعقب الرسائل مركزيا

    المكونات المستخدمة

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    المشكلة

    تفتقد SMA فواصل بيانات كثيرة مدتها 3 دقائق من أجهزة ESA.

    فواصل البيانات مفقودة

    الحل

    سير عمل موجز لتتبع الرسائل المحلي والمركزي

    يعمل التعقب في وضعين:
    أولا - التتبع المحلي لوكالة الفضاء الأوروبية.
      1. يحلل Trackerd البيانات من تتبع ملفات السجلات الثنائية للمعلومات التي تمت معالجتها بواسطة QLOGD (التعقب.@*.s)

      2. يقوم Trackerd بحفظه تحت /data/db/reporting/hestack.

    ثانيا - التتبع المركزي لوكالة الفضاء الأوروبية.
      1. يقوم QLOGD بتتبع ملفات السجل الثنائية للمعلومات (التعقب@*.s.gz) في دليل /data/pub/export/tracking
      2. تقوم SMA بفحص العملية وتسريحها ثم تقوم بحذف بيانات التعقب الأولية (التعقب@*.s.gz) من /data/pub/export/tracking directory الخاص بالإيسا.
      3. يتم حفظ ملفات التتبع المسحوبة من ESAs على /data/log/tracking/<ESA_IP>/ دليل SMA.
      4. يقوم Trackerd بنقل الملفات إلى دليل /data/tracking/incoming_queue/0/<ESA_IP>، ومعالجة الملفات.
      5. تتم إزالة الملفات المعالجة المخزنة في قاعدة بيانات MT وملفات التعقب.

    خطوات التحقيق

    الخطوة 1. تحليل ESA Trackerd_LOG

    بعد مراقبة Trackerd_log in /data/pub/trackerd_log/folder، تم تحديد أن Qlogd على ESA يكتب ملفات بيانات تعقب الفاصل الزمني بمقدار 3 دقائق.

    في هذا المثال، تمثل ملفات البيانات في المجلد /البيانات/pub/export/tracking/T* جزء من اسم الملف الوقت الذي تم إنشاؤه للملف. الفرق بين قيم T هو 3 دقائق.

    grep "172.16.200.12" trackerd.current | tail
Wed Mar  8 22:07:36 2023 Info: Tracking parser moved /data/log/tracking/172.16.200.12/tracking.@20230308T205758Z_20230308T210058Z.s.gz to /data/tracking/incoming_queue/0/172.16.200.12/tracking.@20230308T205758Z_20230308T210058Z.s.gz.
Wed Mar  8 22:12:03 2023 Info: Tracking parser moved /data/log/tracking/172.16.200.12/tracking.@20230308T210058Z_20230308T210358Z.s.gz to /data/tracking/incoming_queue/0/172.16.200.12/tracking.@20230308T210058Z_20230308T210358Z.s.gz.
Wed Mar  8 22:14:28 2023 Info: Tracking parser moved /data/log/tracking/172.16.200.12/tracking.@20230308T210358Z_20230308T210658Z.s.gz to /data/tracking/incoming_queue/0/172.16.200.12/tracking.@20230308T210358Z_20230308T210658Z.s.gz.
Wed Mar  8 22:16:53 2023 Info: Tracking parser moved /data/log/tracking/172.16.200.12/tracking.@20230308T210658Z_20230308T210958Z.s.gz to /data/tracking/incoming_queue/0/172.16.200.12/tracking.@20230308T210658Z_20230308T210958Z.s.gz.
Wed Mar  8 22:19:19 2023 Info: Tracking parser moved /data/log/tracking/172.16.200.12/tracking.@20230308T210958Z_20230308T211258Z.s.gz to /data/tracking/incoming_queue/0/172.16.200.12/tracking.@20230308T210958Z_20230308T211258Z.s.gz.
Wed Mar  8 22:23:48 2023 Info: Tracking parser moved /data/log/tracking/172.16.200.12/tracking.@20230308T211258Z_20230308T211558Z.s.gz to /data/tracking/incoming_queue/0/172.16.200.12/tracking.@20230308T211258Z_20230308T211558Z.s.gz.

    الخطوة 2. تحليل SMA Trackerd_LOG

    استنادا إلى المعلومات التي تم الحصول عليها في الخطوة 1، تحقق من /data/pub/trackerd_log في SMA لمعرفة ملفات البيانات التي تم فقدها وتأكيدها في قسم المشاكل.

    يتم وصف نماذج السجل ذات الصلة بالنتائج في هذا الإطار. Trackerd_log الذي تمت تصفيته على SMA فقط ل ESA الأول (192.168.235.64):

    /data/pub/trackerd_log on SMA - filtered only for ESA 192.168.235.64 Mon Feb 13 20:11:06 2023 Info: Tracking parser moved /data/log/tracking/192.168.235.64/tracking.@20230213T190731Z_20230213T191031Z.s.gz to /data/tracking/incoming_queue/0/192.168.235.64/tracking.@20230213T190731Z_20230213T191031Z.s.gz. Mon Feb 13 20:15:18 2023 Info: Tracking parser moved /data/log/tracking/192.168.235.64/tracking.@20230213T191031Z_20230213T191331Z.s.gz to /data/tracking/incoming_queue/0/192.168.235.64/tracking.@20230213T191031Z_20230213T191331Z.s.gz. Mon Feb 13 20:17:26 2023 Info: Tracking parser moved /data/log/tracking/192.168.235.64/tracking.@20230213T191331Z_20230213T191631Z.s.gz to /data/tracking/incoming_queue/0/192.168.235.64/tracking.@20230213T191331Z_20230213T191631Z.s.gz. tracking.@20230213T191631Z_20230213T191931Z.s.gz - the file is missing -- this line is manually added by owner. Mon Feb 13 20:23:40 2023 Info: Tracking parser moved /data/log/tracking/192.168.235.64/tracking.@20230213T191931Z_20230213T192231Z.s.gz to /data/tracking/incoming_queue/0/192.168.235.64/tracking.@20230213T191931Z_20230213T192231Z.s.gz. Mon Feb 13 20:25:51 2023 Info: Tracking parser moved /data/log/tracking/192.168.235.64/tracking.@20230213T192231Z_20230213T192531Z.s.gz to /data/tracking/incoming_queue/0/192.168.235.64/tracking.@20230213T192231Z_20230213T192531Z.s.gz. Mon Feb 13 23:15:20 2023 Info: Tracking parser moved /data/log/tracking/192.168.235.64/tracking.@20230213T221032Z_20230213T221332Z.s.gz to /data/tracking/incoming_queue/0/192.168.235.64/tracking.@20230213T221032Z_20230213T221332Z.s.gz. Mon Feb 13 23:17:27 2023 Info: Tracking parser moved /data/log/tracking/192.168.235.64/tracking.@20230213T221332Z_20230213T221632Z.s.gz to /data/tracking/incoming_queue/0/192.168.235.64/tracking.@20230213T221332Z_20230213T221632Z.s.gz. tracking.@20230213T221632Z_20230213T221932Z.s.gz - the file is missing -- this line is manually added by owner. Mon Feb 13 23:23:42 2023 Info: Tracking parser moved /data/log/tracking/192.168.235.64/tracking.@20230213T221932Z_20230213T222232Z.s.gz to /data/tracking/incoming_queue/0/192.168.235.64/tracking.@20230213T221932Z_20230213T222232Z.s.gz. Mon Feb 13 23:25:52 2023 Info: Tracking parser moved /data/log/tracking/192.168.235.64/tracking.@20230213T222232Z_20230213T222532Z.s.gz to /data/tracking/incoming_queue/0/192.168.235.64/tracking.@20230213T222232Z_20230213T222532Z.s.gz. Mon Feb 13 23:30:04 2023 Info: Tracking parser moved /data/log/tracking/192.168.235.64/tracking.@20230213T222532Z_20230213T222832Z.s.gz to /data/tracking/incoming_queue/0/192.168.235.64/tracking.@20230213T222532Z_20230213T222832Z.s.gz. ...... Log examples for two missed files can be considered satisfactory. Omitted logs for other files to avoid complexity. In Summary, Missing file examples on SMA from ESA 192.168.235.64: tracking.@20230213T191631Z_20230213T191931Z.s.gz tracking.@20230213T221632Z_20230213T221932Z.s.gz tracking.@20230214T041633Z_20230214T041933Z.s.gz tracking.@20230214T064034Z_20230214T064334Z.s.gz tracking.@20230214T070134Z_20230214T070434Z.s.gz

    الخطوة 3. تحليل إجراءات المستخدم

    تتمثل الخطوة التالية في التحقق من سلوك SMA SMAD على /data/pub/cli_log/ الخاص ب ESA.

    كما ذكر، فإن عمليات فحص SMAD لملفات ESA في /data/pub/export/tracking (ls -af)، تنسخ الملف (scp -f /../tracking.*.s.gz) ثم تزيله (rm /../tracking.*.s.gz) بواسطة smaduser عبر وصول SSH.

    في هذه الخطوة تم تحديد وجود SMA آخر (IP: 192.168.251.92) من اتصال SMA الرئيسي (IP: 172.24.81.94) ب ESA ويزيل الملف قبل SMA الرئيسي.

    عندما يتحقق SMA الرئيسي من الملفات الموجودة في الدليل (ls -AF)، لا يمكنه رؤية الملف لأنه تمت إزالته بالفعل بواسطة 192.168.251.92 smaduser.
    عينة السجل ذات الصلة هي كما يلي:

    for file tracking.@20230213T191631Z_20230213T191931Z.s.gz grep -i "tracking.@20230213T191631Z_20230213T191931Z.s.gz" cli.current (missing file on SMA) Mon Feb 13 20:19:29 2023 Info: PID 51423: User smaduser login from 172.24.81.94 on 192.168.235.64 Mon Feb 13 20:19:29 2023 Info: PID 51423: User smaduser executed batch command: 'ls -AF /export/tracking/' Mon Feb 13 20:19:29 2023 Info: PID 51423: User smaduser logged out of Command Line Interface using SSH connection. Mon Feb 13 20:19:32 2023 Info: PID 51485: User smaduser login from 192.168.251.92 on 192.168.235.64 Mon Feb 13 20:19:32 2023 Info: PID 51485: User smaduser executed batch command: 'ls -AF /export/tracking/' Mon Feb 13 20:19:32 2023 Info: PID 51485: User smaduser logged out of Command Line Interface using SSH connection. Mon Feb 13 20:19:35 2023 Info: PID 51541: User smaduser login from 192.168.251.92 on 192.168.235.64 Mon Feb 13 20:19:35 2023 Info: PID 51541: User smaduser executed batch command: 'scp -f /export/tracking/tracking.@20230213T191631Z_20230213T191931Z.s.gz' Mon Feb 13 20:19:38 2023 Info: PID 51599: User smaduser login from 192.168.251.92 on 192.168.235.64 Mon Feb 13 20:19:38 2023 Info: PID 51599: User smaduser executed batch command: 'rm /export/tracking/tracking.@20230213T191631Z_20230213T191931Z.s.gz' Mon Feb 13 20:19:39 2023 Info: PID 51599: User smaduser logged out of Command Line Interface using SSH connection. for file tracking.@20230213T221632Z_20230213T221932Z.s.gz grep -i "tracking.@20230213T221632Z_20230213T221932Z.s.gz" cli.current Mon Feb 13 23:19:33 2023 Info: PID 19143: User smaduser login from 192.168.251.92 on 192.168.235.64 Mon Feb 13 23:19:33 2023 Info: PID 19143: User smaduser executed batch command: 'ls -AF /export/tracking/' Mon Feb 13 23:19:33 2023 Info: PID 19143: User smaduser logged out of Command Line Interface using SSH connection. Mon Feb 13 23:19:37 2023 Info: PID 19231: User smaduser login from 192.168.251.92 on 192.168.235.64 Mon Feb 13 23:19:37 2023 Info: PID 19231: User smaduser executed batch command: 'scp -f /export/tracking/tracking.@20230213T221632Z_20230213T221932Z.s.gz' Mon Feb 13 23:19:40 2023 Info: PID 19339: User smaduser login from 192.168.251.92 on 192.168.235.64 Mon Feb 13 23:19:40 2023 Info: PID 19339: User smaduser executed batch command: 'rm /export/tracking/tracking.@20230213T221632Z_20230213T221932Z.s.gz' Mon Feb 13 23:19:40 2023 Info: PID 19339: User smaduser logged out of Command Line Interface using SSH connection. ...... Log examples for two missed files can be considered satisfactory. Omitted logs for other files to avoid complexity.

    ملخص الحل

    وقد ساعد تعقب عملية تعقب الرسائل نفسها في التغلب على المشكلة بنجاح.
    من خلال CLI_LOG على ESA، تم تحديد SMA أخرى. تتصل ب ESA، وتسحب الملف ثم تقوم بإزالته قبل SMA الرئيسي. يصبح الملف غير متاح ل SMA الرئيسي.

    قم بإزالة خدمات ESA / تعطيل خدمات ESA على "أجهزة الأمان" SMA الزائدة أو "SMA" الزائدة عن الحاجة الخاصة بتفكيك العمليات بالكامل من الإنتاج.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    09-Aug-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Samir Aliyev
      Consulting Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا