简介
Sourcefire用户代理监控Microsoft Active Directory服务器,并报告通过LDAP进行身份验证的登录和注销。FireSIGHT系统将这些记录与其通过受管设备的直接网络流量观察收集的信息相集成。使用Sourcefire用户代理时,可能会遇到技术问题。本文档提供了对Sourcefire用户代理的各种问题进行故障排除的提示。
先决条件
思科建议您具备FireSIGHT管理中心、Sourcefire用户代理和Active Directory的相关知识。
提示:要了解有关Sourcefire用户代理的安装和卸载步骤的详细信息,请阅读此文档。
连接问题
- 验证用户代理已添加到FireSIGHT管理中心。要验证这一点,请导航到Policies > Users > User Agent,并验证已配置的用户代理主机的IP地址是否正确。
- 确认端口3306已打开并正在侦听。没有防火墙或其他网络设备阻止用户代理与防御中心通信。
- 在FireSIGHT管理中心上配置用户代理条目之前,端口3306不会打开。
- 如果用户代理主机安装了telnet,可以通过从用户代理主机通过telnet连接到FireSIGHT管理中心来验证连接。 您将看到5.1.66-log,后面跟有一串ASCII字符。 重复按CTRL+C以断开连接。
注意:预期会出现Got packets out of order消息。
如果用户代理在连接到Active Directory服务器或对其进行身份验证时生成错误,则可能存在网络或用户帐户权限问题。 验证您的环境中不存在网络连接问题,并临时配置用户代理,以使用域管理员帐户对Active Directory服务器进行身份验证,以便在可能的情况下进行测试。
诊断日志
对于用户代理的一般故障排除,请在用户代理GUI客户端中选中Log to local event log,然后单击Save。 这会导致在用户代理主机应用程序事件日志中输入有用的操作消息。 您可以通过按顺序搜索以下事件来确认用户代理轮询是否成功完成:
注:以下屏幕截图来自运行用户代理的主机上的Microsoft事件查看器。
用户代理Active Directory检查
用户代理轮询Active Directory服务器
代理向防御中心报告的编号(#)事件