對FireSIGHT系統上的網路時間協定(NTP)問題進行故障排除

簡介

本文檔介紹FireSIGHT系統上時間同步的常見問題以及如何解決這些問題。

必要條件

需求

要配置時間同步設定，您需要對FireSIGHT管理中心具有管理員級別的訪問許可權。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

您可以選擇以三種不同方式在FireSIGHT系統之間同步時間，例如手動與外部網路時間協定(NTP)伺服器同步，或者與充當NTP伺服器的FireSIGHT管理中心同步。您可以將FireSIGHT管理中心配置為具有NTP的時間伺服器，然後使用它來同步FireSIGHT管理中心與受管裝置之間的時間。

症狀

• FireSIGHT管理中心在瀏覽器介面上顯示運行狀況警報。

• 運行狀況監視器頁顯示一個裝置是關鍵的，因為時間同步模組的狀態不同步。

• 如果裝置無法保持同步，您可以看到間歇性運行狀況警報。
• 應用系統策略後，您可以檢視運行狀況警報，因為FireSIGHT管理中心及其受管裝置可能需要長達20分鐘才能完成同步。這是因為FireSIGHT管理中心必須先與其配置的NTP伺服器同步，然後才能為受管裝置提供時間。
• FireSIGHT管理中心與受管裝置之間的時間不匹配。
• 感測器生成的事件可能需要幾分鐘或幾小時才能在FireSIGHT管理中心上可見。
• 如果運行虛擬裝置，並且Health Monitor頁面指示虛擬裝置的時鐘設定未同步，請檢查系統策略時間同步設定。Cisco建議您將虛擬裝置與物理NTP伺服器同步。請勿將受管裝置（虛擬或物理）與虛擬防禦中心同步。

疑難排解

第1步：驗證NTP配置

如何在版本5.4及更低版本中驗證

驗證已在FireSIGHT系統上應用的系統策略上啟用NTP。若要驗證這一點，請完成以下步驟：

1. 選擇System > Local > System Policy。
2. 編輯應用於FireSIGHT系統的系統策略。
3. 選擇Time Synchronization。

檢查FireSIGHT管理中心（也稱為防禦中心或DC）是否已將時鐘設定為Via NTP from，並且是否提供了NTP伺服器的地址。此外，請確認受管裝置已設定為透過NTP從防禦中心。

如果指定遠端外部NTP伺服器，您的裝置必須擁有對它的網路訪問許可權。請勿指定不受信任的NTP伺服器。請勿將受管裝置（虛擬或物理）與虛擬FireSIGHT管理中心同步。Cisco建議您將虛擬裝置與物理NTP伺服器同步。

如何在版本6.0及更高版本中驗證

在版本6.0.0及更高版本中，時間同步設定在Firepower管理中心上的不同位置進行配置，儘管其邏輯與5.4的步驟相同。

可以在System > Configuration > Time Synchronization下找到Firepower管理中心本身的時間同步設定。

可以在Devices > Platform Settings下找到受管裝置的時間同步設定。按一下應用於裝置的平台設定策略旁邊的edit，然後選擇Time Synchronization。

應用時間同步配置（無論版本如何）之後，請確保管理中心和受管裝置上的時間匹配。否則，當受管裝置與管理中心通訊時，可能會出現意外後果。

第2步：標識時間伺服器及其狀態

• 為了收集有關連線到時間伺服器的資訊，請在FireSIGHT管理中心輸入以下命令：

  admin@FireSIGHT:~$ ntpq -pn
  
       remote           refid      st t when poll reach   delay   offset  jitter
  ==============================================================================
  *198.51.100.2   203.0.113.3      2 u  417 1024  377   76.814    3.458   1.992

  remote下方的星號「*」表示當前同步到的伺服器。如果無法使用帶有星號的條目，則時鐘當前未與其時間源同步。

  在受管裝置上，您可以在shell中輸入以下命令以確定NTP伺服器的地址：

  > show ntp
  
  NTP Server                : 127.0.0.2  (Cannot Resolve)
  Status                    : Being Used
  Offset                    : -8.344 (milliseconds)
  Last Update               : 188 (seconds)

  注意：如果受管裝置配置為從FireSIGHT管理中心接收時間，則該裝置顯示具有環回地址的時源，例如127.0.0.2。此IP地址是一個sfipproxy條目，表示管理虛擬網路用於同步時間。

• 如果裝置顯示它與127.127.1.1同步，則表明裝置與自身的時鐘同步。在系統策略上配置的時間伺服器不可同步時會發生這種情況。舉例來說：

  admin@FirePOWER:~$ ntpq -pn
  
       remote           refid      st t when poll reach   delay   offset  jitter
  ==============================================================================
   192.0.2.200     .INIT.          16 u    - 1024    0    0.000    0.000   0.000
  *127.127.1.1     .SFCL.          14 l    3   64  377    0.000    0.000   0.001

• 在ntpq命令輸出中，如果您注意到st（層數）的值為16，則表明無法訪問時間伺服器，並且裝置無法與該時間伺服器同步。
• 在ntpq命令輸出中，reach顯示了一個八進位制數，表示在最近八次輪詢嘗試中無法到達源。如果看到值為377，則表示最後的8次嘗試成功。任何其他值都可能表示最近八次嘗試中的一次或多次失敗。

第3步：檢驗連線

1. 檢查與時間伺服器的基本連線。

   admin@FireSIGHT:~$ ping <IP_addres_of_NTP_server> 

2. 確保FireSIGHT系統上的埠123打開。

   admin@FireSIGHT:~$ netstat -an | grep 123

3. 確認防火牆上的埠123已打開。
4. 檢查硬體時鐘：

   admin@FireSIGHT:~$ sudo hwclock
   

   如果硬體時鐘太過期，則無法成功同步處理。要手動強制使用時間伺服器設定時鐘，請輸入以下命令：
   

   admin@FireSIGHT:~$ sudo ntpdate -u <IP_address_of_known_good_timesource>

   然後重新啟動ntpd：


   admin@FireSIGHT:~$ sudo pmtool restartbyid ntpd

步驟4：驗證配置檔案

1. 檢查sfipproxy.conf檔案是否正確填充。此檔案透過sftunnel傳送NTP流量。

   
   受管裝置上/etc/sf/sfipproxy.conf檔案的示例如下所示：
   
   

   admin@FirePOWER:~$ sudo cat /etc/sf/sfipproxy.conf
   
   
   config
   {
       nodaemon 1;
   }
   peers
   {
       dbef067c-4d5b-11e4-a08b-b3f170684648
       {
           services
           {
               ntp
               {
                   listen_ip 127.0.0.2;
                   listen_port 123;
                   protocol udp;
                   timeout 20;
               }
           }
       }
   }

   以下是FireSIGHT管理中心上/etc/sf/sfipproxy.conf檔案的示例：

   admin@FireSIGHT:~$ sudo cat /etc/sf/sfipproxy.conf
   
   
   config
   {
       nodaemon 1;
   }
   peers
   {
       854178f4-4eec-11e4-99ed-8b16d263763e
       {
           services
           {
               ntp
               {
                   protocol udp;
                   server_ip 127.0.0.1;
                   server_port 123;
                   timeout 10;
               }
           }
       }
   }

2. 確保對等體部分下的通用唯一識別符號(UUID)與對等體的ims.conf檔案匹配。例如，在FireSIGHT管理中心的/etc/sf/sfipproxy.conf檔案的peers部分下找到的UUID必須與其受管裝置的/etc/ims.conf檔案上的UUID匹配。同樣，在受管裝置上/etc/sf/sfipproxy.conf檔案的對等體部分下找到的UUID必須與其管理裝置的/etc/ims.conf檔案上的UUID匹配。 

   您可以使用此命令檢索裝置的UUID：
   
   

   admin@FireSIGHT:~$ sudo grep UUID /etc/sf/ims.conf
   
   APPLIANCE_UUID=dbef067c-4d5b-11e4-a08b-b3f170684648

   這些標準通常必須由系統策略自動填充，但有時這些標準已丟失。如果需要修改或更改它們，則需要重新啟動sfipproxy和sftunnel，如以下示例所示：

   admin@FireSIGHT:~$ sudo pmtool restartbyid sfipproxy
   admin@FireSIGHT:~$ sudo pmtool restartbyid sftunnel

3. 驗證/etc目錄上是否有ntp.conf檔案。 

   admin@FireSIGHT:~$ ls /etc/ntp.conf*

   如果NTP配置檔案不可用，您可以從備份配置檔案建立副本。舉例來說：

   admin@FireSIGHT:~$ sudo cp /etc/ntp.conf.bak /etc/ntp.conf

4. 驗證是否已正確填充/etc/ntp.conf檔案。應用系統策略時，將重寫ntp.conf檔案。

   注意：ntp.conf檔案的輸出顯示在系統策略上配置的時間伺服器設定。時間戳條目必須顯示上次將系統策略應用到裝置的時間。伺服器專案必須顯示指定的時程伺服器位址。

   admin@FireSIGHT:~$ sudo cat /etc/ntp.conf
   
   # automatically generated by /etc/sysconfig/configure-network ; do not edit
   # Tue Oct 21 17:44:03 UTC 2014
   
   restrict default noquery nomodify notrap nopeer
   restrict 127.0.0.1
   server 198.51.100.2
   logfile /var/log/ntp.log
   driftfile /etc/ntp.drift

驗證兩台裝置上的NTP版本，並確保其相同。

有關NTP基本資訊的詳細資訊，請參閱使用網路時間協定的最佳實踐。