SLICチャネルダウンシステムアラームのトラブルシューティング

ダウンロード オプション

  • PDF     (473.4 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (79.8 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (68.3 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2023 年 2 月 8 日
Document ID:220130

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Secure Network Analytics(SNA)の「SLIC Channel Down」システムアラームをトラブルシューティングする方法について説明します。

    前提条件

    要件

    SNAに関する基本的な知識があることが推奨されます。

    SLICは、「Stealthwatch Labs Intelligence Center」の略です。

    使用するコンポーネント

    このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    手順

    「SLICチャネルダウン」アラームは、SNAマネージャが脅威インテリジェンスサーバ(以前のSLIC)からフィードアップデートを取得できないときにトリガーされます。フィードの更新が中断された原因を詳しく理解するには、次の手順を実行します。

    1. SSH経由でSNAマネージャに接続し、クレデンシ root ャルを使用してログインします。
    2. ファ /lancope/var/smc/log/smc-core.log イルを分析し、SlicFeedGetterタイプのログを検索します。
      3.

    関連するログが見つかったら、このアラームがトリガーされる原因となる条件が複数あることを考慮して、次のセクションに進みます。

    一般的なエラーログ

    SLICチャネルダウンアラームに関連してsmc-core.log で最も一般的に見られるエラーログは次のとおりです。

    接続タイムアウト

    2023-01-03 22:43:28,533 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
    2023-01-03 22:43:28,592 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
    2023-01-03 22:43:28,592 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
    2023-01-03 22:45:39,604 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    org.apache.http.conn.HttpHostConnectException: Connect to lancope.flexnetoperations.com:443 [lancope.flexnetoperations.com/64.14.29.85] failed: Connection timed out (Connection timed out)

    要求されたターゲットへの有効な証明パスが見つかりません

    2023-01-04 00:27:50,497 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
    2023-01-04 00:27:50,502 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
    2023-01-04 00:27:50,502 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
    2023-01-04 00:27:51,239 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

    ハンドシェイク失敗

    2023-01-02 20:00:49,427 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
    2023-01-02 20:00:49,433 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
    2023-01-02 20:00:49,433 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
    2023-01-02 20:00:50,227 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    javax.net.ssl.SSLHandshakeException: Handshake failed

    実行手順

    脅威インテリジェンスフィードのアップデートは、さまざまな状況によって中断される可能性があります。次の検証手順を実行して、SNA Managerが要件を満たしていることを確認します。

    ステップ 1:スマートライセンスのステータスの検証

    Central Management > Smart Licensing 

    に移動し、脅威フィードライセンスのステータスが Authorizedであることを確認します。

    ステップ 2:ドメインネームシステム(DNS)解決の確認

    SNAマネージャがIPアドレスの解決に成功したことを lancope.flexnetoperations.com and esdhttp.flexnetoperations.com

    ステップ 3:脅威インテリジェンスフィードサーバへの接続の確認

    SNAマネージャがインターネットにアクセスできること、および次に示す脅威インテリジェンスサーバへの接続が許可されていることを確認してください。

    ポートおよびプロトコル

    出典

    宛先

    443/TCP

    SNAマネージャ

    esdhttp.flexnetoperations.com

    lancope.flexnetoperations.com

    注:SNAマネージャが直接インターネットアクセスを許可されていない場合は、インターネットアクセス用のプロキシ設定が適切であることを確認してください。

    ステップ 4:Secure Socket Layer(SSL)検査/復号化の無効化

    2番目と3番目のエラーは、SNAマネージャが脅威インテリジェンスフィードサーバによって使用される正しいID証明書または正しい信頼チェーンを受信しない場合に発生します。このエラーは、 Common Error Logs の項で説明します。これを防ぐには、SNA Managerと Verify Connectivity to the Threat Intelligence Feed Servers のセクションに掲載されている脅威インテリジェンスサーバ間の接続に対して、(対応するファイアウォールまたはプロキシサーバを使用して)ネットワーク全体でSSL検査/復号化が実行されないようにする必要があります。

    ネットワークでSSLインスペクション/復号化が実行されているかどうかが不明な場合、SNAマネージャのIPアドレスと脅威インテリジェンスサーバのIPアドレス間のパケットキャプチャを収集し、受信した証明書を検証するためにキャプチャを分析できます。そのためには、次の手順を実行します。

    1. SSHでSNAマネージャに接続し、クレデンシroot ャルを使用してログインします。
    2. 次に示す2つのコマンドのいずれかを実行します(実行するコマンドは、SNAマネージャがインターネットアクセスにプロキシサーバを使用しているかどうかによって異なります)。

    tcpdump -w /lancope/var/tcpdump/slic_issue.pcap -nli eth0 host 64.14.29.85
    tcpdump -w /lancope/var/tcpdump/slic_issue2.pcap -nli eth0 host [IP address of Proxy Server]

    3. キャプチャを2 ~ 3分間実行してから停止します。
    4. 生成されたファイルをSNAマネージャから転送して分析します。これは、Secure Copy Protocol(SCP)を使用して実現できます。

    関連する不具合

    SLICサーバへの接続に影響を与える可能性のある既知の不具合が1つあります。

    • 宛先ポート80がブロックされると、SMC SLIC通信がタイムアウトして失敗する場合があるCisco Bug ID CSCwe08331を参照してください

    関連情報

    更新履歴

    改定 発行日 コメント
    2.0
    08-Feb-2023
    「関連不具合」セクションを追加
    1.0
    19-Jan-2023
    初版
    TAC Authored

    シスコ エンジニア提供

    • エンジェル・オルティス
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています