Einleitung
Der Sourcefire-Benutzeragent überwacht Microsoft Active Directory-Server und meldet sich über LDAP authentifizierte Anmeldungen und Abmeldungen an. Das FireSIGHT-System integriert diese Datensätze in die Informationen, die es durch direkte Überwachung des Netzwerkverkehrs durch verwaltete Geräte sammelt. Beim Arbeiten mit dem Sourcefire-Benutzeragenten können technische Probleme auftreten. Dieses Dokument enthält Tipps zur Behebung verschiedener Probleme mit dem Sourcefire-Benutzer-Agent.
Voraussetzungen
Cisco empfiehlt, dass Sie über Kenntnisse in FireSIGHT Management Center, Sourcefire User Agent und Active Directory verfügen.
Tipp: Weitere Informationen zu den Schritten für die Installation und Deinstallation von Sourcefire User Agent finden Sie in diesem Dokument.
Verbindungsprobleme
- Überprüfen Sie, ob der Benutzer-Agent zum FireSIGHT Management Center hinzugefügt wurde. Um dies zu überprüfen, navigieren Sie zu Policies > Users > User Agent, und überprüfen Sie, ob die IP-Adresse des konfigurierten User Agent-Hosts korrekt ist.
- Vergewissern Sie sich, dass Port 3306 geöffnet ist, und warten Sie. Es gibt keine Firewalls oder andere Netzwerkgeräte, die die Kommunikation des Benutzer-Agenten mit dem Defense Center unterbinden.
- Port 3306 ist erst dann geöffnet, wenn ein Benutzer-Agent-Eintrag im FireSIGHT Management Center konfiguriert wurde.
- Wenn auf einem Benutzer-Agent-Host Telnet installiert ist, können Sie die Verbindung überprüfen, indem Sie Telnet vom Benutzer-Agent-Host zum FireSIGHT Management Center senden. Es wird 5.1.66-log gefolgt von einer Zeichenfolge von ASCII-Zeichen angezeigt. Drücken Sie wiederholt STRG+C, um die Verbindung zu trennen.
Hinweis: Es wird erwartet, dass die Meldung Got packages out of order (Pakete außerhalb der Bestellung erhalten) angezeigt wird.
Wenn der Benutzer-Agent beim Herstellen einer Verbindung oder bei der Authentifizierung von Active Directory-Server(n) Fehler generiert, kann es zu einem Netzwerk- oder Benutzerkontoberechtigungsproblem kommen. Stellen Sie sicher, dass in Ihrer Umgebung keine Netzwerkverbindungsprobleme auftreten, und konfigurieren Sie den Benutzer-Agenten vorübergehend so, dass er ein Domänenadministratorkonto für die Authentifizierung bei den Active Directory-Servern zum Testen verwendet.
Diagnoseprotokollierung
Um eine allgemeine Fehlerbehebung für den Benutzer-Agenten durchzuführen, aktivieren Sie im GUI-Client des Benutzer-Agenten das Kontrollkästchen Log to local event log (Im lokalen Ereignisprotokoll protokollieren), und klicken Sie auf Save. Dadurch werden nützliche Betriebsmeldungen in das Anwendungsereignisprotokoll des Benutzer-Agenten-Hosts eingegeben. Sie können bestätigen, dass das Polling des Benutzer-Agents erfolgreich abgeschlossen wurde, indem Sie nach den folgenden Ereignissen suchen, um die folgende Reihenfolge einzuhalten:
Hinweis: Die folgenden Screenshots stammen aus der Microsoft Event Viewer auf dem Host, auf dem der Benutzer-Agent ausgeführt wird.
Active Directory-Prüfung für Benutzer-Agent
Benutzer-Agent fragt Active Directory-Server ab
Vom Agent gemeldete Anzahl (#) an das Defense Center