Threat Intelligence Exchange Workflow con l'opzione NTP attivata
Articoli tecnici ID:
KB95179
Ultima modifica: 2022-07-01 06:14:35 Etc/GMT
Riepilogo
Network Time Protocol (NTP)
NTP è un protocollo Internet utilizzato per sincronizzare gli orologi sulle reti di computer. Sincronizza gli orologi in pochi millisecondi dell'ora UTC (Universal Coordinated Time).
Dettagli di sfondo:
- Un'opzione per verificare lo stato di NTP è disponibile sul server TIE quando si distribuisce l'ISO TIE o un file OVA.
- Per individuare l'opzione:
- Accedere alla console di ePO.
- Accedere alle impostazioni del server, topologia Tie.
- Fare clic su Edit.
Errori
Quando il controllo NTP ha esito negativo, viene visualizzato un errore simile a quello riportato di seguito nella pagina impostazioni del server, pagina topologia Tie :
NTP service is experiencing synchronization issues.
- Make sure NTP servers have been configured on the appliance.
- Run /user/sbin/reconfig-ntp in the appliance.
- More information can be found here KB90548.
NOTE:
- Il controllo NTP viene convalidato ogni volta che viene caricata la pagina della topologia TIE.
- Quando il controllo NTP non riesce, viene visualizzato l'errore di base riportato di seguito in rosso nella pagina della topologia Tie :
Impossibile connettere DXL
Flusso di lavoro per la verifica dell'errore NTP:
Attiva registrazione di debug:
La registrazione di debug deve essere attivata tramite il policy TIE:
- Accedere alla console di ePO.
- Aprire il Catalogo delle policy.
- Fare clic su Server Threat Intelligence Exchange, Server Tie impostazioni, Configurazione server.
- Impostare il livello di registrazione su debug.
TIESERVER .log ( /var/McAfee/tieserver/logs)
Esempio
DETAIL {2021-07-13 05:01:56,396} [DxlServiceRequest-default-thread-35] (JsonUtil.java:95) - traceId: {4cad2e2a-44db-4bd8-a70e-a4717cd1a807} - request: /mcafee/service/tie/management/health : {"level":"SLA"}
DETAIL {2021-07-13 05:01:56,546} [DxlServiceRequest-default-thread-35] (JsonUtil.java:95) - traceId: {4cad2e2a-44db-4bd8-a70e-a4717cd1a807} - response: /mcafee/service/tie/management/health :
{"health":{"status":"ERROR","checks":[{"status":"OK","type":"database_status","data":{"availableSpaceInData":97137623040,"availableSpaceInRoot":1547231232,"currentDatabaseSize":786349191,"biggestTableSize":161538048,"
replicationWindowSize":8589934592,"maximumConnections":1024,"remoteConnections":0,"localConnections":110,"replicationConnections":0,"shouldVacuum":true,"shouldReindex":true,"isPrimary":true,"isServiceRunning":true
,"isLocalDataBaseEnabled":true,"latestVacuumDate":"1626116419000","latestVacuumFullDate":"1625949078000","latestReindexDate":"1625949109000"}},{"status":"OK","type":"apihealth",
"data":{"overallRate":0.15493194194731671,"cpu":1,"queueSizes":{"DEFAULT":0},"queueUsagePercentage":{"DEFAULT":0.0}}},{"status":"ERROR","type":"gti_connectivity",
"data":{"CERTIFICATE":{"lastCommTime":1626152460503,"lastCallSuccess":false,"requestsCount":22946998,"responseTime":0,"rollingAverageResponseTime":0,"internalGtiStatus":"ERROR",
"tieApplianceUptime":1625068380,"clientEnabled":true,"clientInitialized":true}}},{"status":"OK","type":"ntp_status","data":{"ntpStatus":"just_synchronised","serverDate":"1626152054000",
"ntpOffset":300000.0,"lagging":true,"synchronised":true}},{"status":"OK","type":"certificates","data":{"matchingCn":true,"matchingCa":true,"atdKeystoreValid":true}}]}}
NOTE:
- Il ntpstatus ha tre possibili risultati:
- just_synchronised
- Unsynchronised
- Synchronised
- Il file ntp-health.sh è memorizzato nella /usr/sbin/ cartella.
Condizione A- Se la connessione NTP è valida:
Viene visualizzato come sincronizzato, in ritardo come falso e l'offset è meno tempo, il che non conferma la latenza.
-bash-4.1# ntp-health.sh
Output:
{
"ntpStatus": "synchronised",
"ntpOffset": 0.630,
"ntpIsLagging": false,
"serverDate": "07-14-2021 06:06:23"
}
Condizione B- Se si verifica una latenza o un ritardo per ciascun server NTP:
In questo stato, viene visualizzato just_synchronised o non sincronizzato.
-bash-4.1# ntp-health.sh
Output:
{
"ntpStatus": "just_synchronised",
"ntpOffset": 300000,
"ntpIsLagging": true,
"serverDate": "07-14-2021 07:59:47"
}
-bash-4.1# ntp-health.sh
Output:
{
"ntpStatus": "unsynchronised",
"ntpOffset": 300000,
"ntpIsLagging": true,
"serverDate": "11-28-2021 12:14:22"
}
Analisi dei risultati
- In questo stato, NSP continua a funzionare fino a quando il ritardo è falso e l'offset deve essere un valore basso.
- Per verificare, eseguire ntp-health.sh più volte ogni pochi secondi. Questa azione Mostra l'integrità e la raggiungibilità del server NTP dal server TIE.
NOTE:
- Il controllo dello stato di salute del server NTP utilizza due comandi ( ntpstat e ntpdate ). Se il ntpstat non riesce a ottenere una risposta, utilizza ntpdate .
- Se la connessione viene stabilita tramite ntpstat , viene visualizzata synchronized .
- ÍF la connessione viene stabilita tramite ntpdate , Mostra just_synchronised .
Sono state spiegate le stringhe di stato NTP:
- Quando gli Stati sono ntpstat sincronizzati:
Stato "synchronised"
- Quando il ntpstat states not in sync, couldn't sync with any of the servers:
Status: "unsynchronised"
- NTP non è in esecuzione:
Stato "stopped"
- In grado di sincronizzarsi con un server utilizzando ntpdate :
Stato "just_synchronised"
- Nessun server valido configurato per l'utilizzo di NTP:
Stato "no_servers"
Comandi utili per verificare lo stato della connettività e della latenza del server NTP:
-bash- 4.1 # ntpstat
Output
synchronized to NTP server (10.1.1.10) at stratum 3
time correct to within 142 ms
polling server every 1024 s
-bash- 4.1 # ntpstat
Output
unsynchronised
polling server every 8 s
Come riavviare e controllare lo stato/del servizio NTP:
-bash- 4.1 # /etc/init.d/ntpd status
ntpd (pid 27661) is running...
-bash- 4.1 # /etc/init.d/ntpd restart
Output
Shutting down ntpd: [ OK ]
Starting ntpd: [ OK ]
-bash- 4.1 #
/etc/init.d/ntpd status
Output:
ntpd (pid 28463) is running
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|