Threat Intelligence Exchange fluxo de trabalho com a opção NTP ativada
Artigos técnicos ID:
KB95179
Última modificação: 2022-07-01 06:14:33 Etc/GMT
Ambiente
Servidor Threat Intelligence Exchange (TIE)-todas as versões
compatíveis
Para ambientes compatíveis, consulte KB83368-plataformas compatíveis com o Threat Intelligence Exchange
Resumo
Protocolo NTP (Network Time Protocol)
O NTP é um protocolo de Internet usado para sincronizar os relógios em redes de computadores. Ele sincroniza relógios dentro de alguns milissegundos do horário universal coordenado (UTC).
Detalhes do plano de fundo:
- Uma opção para verificar o status de NTP está disponível no servidor TIE quando você distribui o ISO de TIE ou um OVA arquivo.
- Para localizar a opção:
- Entre no console do ePO.
- Vá para configurações do servidor, topologia do tie.
- Clique em Editar.
Falhas
Quando a verificação de NTP falhar, você verá um erro semelhante ao seguinte exibido nas configurações do servidor, página topologia do tie :
NTP service is experiencing synchronization issues.
- Make sure NTP servers have been configured on the appliance.
- Run /user/sbin/reconfig-ntp in the appliance.
- More information can be found here KB90548.
NOTAS:
- A verificação de NTP é validada sempre que a página de topologia do TIE é carregada.
- Quando a verificação de NTP falhar, você verá o erro principal abaixo em vermelho na página topologia do tie :
Não foi possível conectar o do DXL
Fluxo de trabalho para verificar a falha de NTP:
Registro em log de depuração do ativar:
O registro em log de depuração deve ser ativado por meio da política do TIE:
- Entre no console do ePO.
- Abra o Catálogo de políticas.
- Clique em servidor Threat Intelligence Exchange, configurações do servidor tie, configuração do servidor.
- Defina o nível de registro em log como Debug.
TIESERVER .log ( /var/McAfee/tieserver/logs)
Exemplo
DETAIL {2021-07-13 05:01:56,396} [DxlServiceRequest-default-thread-35] (JsonUtil.java:95) - traceId: {4cad2e2a-44db-4bd8-a70e-a4717cd1a807} - request: /mcafeE/Service/tie/management/health : {"level":"SLA"}
DETAIL {2021-07-13 05:01:56,546} [DxlServiceRequest-default-thread-35] (JsonUtil.java:95) - traceId: {4cad2e2a-44db-4bd8-a70e-a4717cd1a807} - response: /mcafeE/Service/tie/management/health :
{"health":{"status":"ERROR","checks":[{"status":"OK","type":"database_status","data":{"availableSpaceInData":97137623040,"availableSpaceInRoot":1547231232,"currentDatabaseSize":786349191,"biggestTableSize":161538048,"
replicationWindowSize":8589934592,"maximumConnections":1024,"remoteConnections":0,"localConnections":110,"replicationConnections":0,"shouldVacuum":true,"shouldReindex":true,"isPrimary":true,"isServiceRunning":true
,"isLocalDataBaseEnabled":true,"latestVacuumDate":"1626116419000","latestVacuumFullDate":"1625949078000","latestReindexDate":"1625949109000"}},{"status":"OK","type":"apihealth",
"data":{"overallRate":0.15493194194731671,"cpu":1,"queueSizes":{"DEFAULT":0},"queueUsagePercentage":{"DEFAULT":0.0}}},{"status":"ERROR","type":"gti_connectivity",
"data":{"CERTIFICATE":{"lastCommTime":1626152460503,"lastCallSuccess":false,"requestsCount":22946998,"responseTime":0,"rollingAverageResponseTime":0,"internalGtiStatus":"ERROR",
"tieApplianceUptime":1625068380,"clientEnabled":true,"clientInitialized":true}}},{"status":"OK","type":"ntp_status","data":{"ntpStatus":"just_synchronised","serverDate":"1626152054000",
"ntpOffset":300000.0,"lagging":true,"synchronised":true}},{"status":"OK","type":"certificates","data":{"matchingCn":true,"matchingCa":true,"atdKeystoreValid":true}}]}}
NOTAS:
- O ntpstatus tem três resultados possíveis:
- just_synchronised
- Unsynchronised
- Synchronised
- A arquivo ntp-health.sh é armazenada na /usr/sbin/ pasta.
Condição a- Se a conexão de NTP for boa:
Ele é exibido como sincronizado, esgotando-o como falso e o deslocamento é menos demorado, o que não confirma nenhuma latência.
-bash-4.1# ntp-health.sh
Saída
{
"ntpStatus": "synchronised",
"ntpOffset": 0.630,
"ntpIsLagging": false,
"serverDate": "07-14-2021 06:06:23"
}
Condição B- Se houver uma latência ou uma defasagem em cada servidor NTP:
Nesse estado, você verá just_synchronised ou não sincronizado.
-bash-4.1# ntp-health.sh
Saída
{
"ntpStatus": "just_synchronised",
"ntpOffset": 300000,
"ntpIsLagging": true,
"serverDate": "07-14-2021 07:59:47"
}
-bash-4.1# ntp-health.sh
Saída
{
"ntpStatus": "unsynchronised",
"ntpOffset": 300000,
"ntpIsLagging": true,
"serverDate": "11-28-2021 12:14:22"
}
Analisando os resultados
- Nesse estado, o NSP ainda funciona até que a defasagem seja falsa e o deslocamento deve ser um valor baixo.
- Para testar, execute ntp-health.sh várias vezes em intervalos de alguns segundos. Essa ação mostra a integridade e a acessibilidade do servidor NTP a partir do servidor TIE.
NOTAS:
- A verificação de integridade no servidor NTP usa dois comandos ( ntpstat and ntpdate ). Se o ntpstat não conseguir obter uma resposta, ele usará ntpdate .
- Se a conexão for estabelecida por meio do ntpstat , ela será exibida synchronized .
- ÍF a conexão for estabelecida por meio do ntpdate , ela será exibida just_synchronised .
As cadeias de status do NTP são explicadas:
- Quando os ntpstat Estados em sincronização:
Status "synchronised"
- Quando o ntpstat states not in sync, couldn't sync with any of the servers:
Status: "unsynchronised"
- O NTP não está em execução:
Status"stopped"
- Capaz de sincronizar com um servidor usando ntpdate :
Status "just_synchronised"
- Não há servidores válidos configurados para usar NTP:
Status "no_servers"
Comandos úteis para verificar o status da conectividade e da latência do servidor NTP:
-bash- 4.1 # ntpstat
Dá
synchronized to NTP server (10.1.1.10) at stratum 3
time correct to within 142 ms
polling server every 1024 s
-bash- 4.1 # ntpstat
Dá
unsynchronised
polling server every 8 s
Como reiniciar e verificar o status/do serviço NTP:
-bash- 4.1 # /etc/init.d/ntpd status
ntpd (pid 27661) is running...
-rebash- 4.1 # /etc/init.d/ntpd restart
Dá
Shutting down ntpd: [ OK ]
Starting ntpd: [ OK ]
-rebash- 4.1 #
/etc/init.d/ntpd status
Saída
ntpd (pid 28463) is running
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
|
