RG-IDS故障排查手册(070705)

RG IDS故障排查手册故障排查手册 版权所有 锐捷网络公司 2007 7 5 目目 录录 一 安装前的设备检查 2 二 组件连接状态测试 3 三 接口测试 3 四 出现故障时的一般性判断 4 五 Sensor硬件故障的判断 4 六 控制台 EC端的故障判断 5 七 报表 查询工具 数据库的故障判断 7 八 系统安装卸载时的故障判断 8 九 策略配置时需注意的事项 8 一 安装前的设备检查一 安装前的设备检查 1 检查硬件外观完整无破损 变形 锈蚀等现象 2 产品加电前轻轻晃动机箱 有器件脱落或松动的声音 3 接通电源 电源灯正常点亮 通过外接显示器设备是否能正常启动 4 加电情况下使用交叉线连接sensor设备上的端口 通过网卡指示灯判断网 卡接口是否工作正常 5 确认千兆光接口的模式 规格与光缆的接口模式 规格 以及对端接口的 模式 规格相匹配 6 使用外接显示器直接连接Sensor 加电后 Sensor能够正常启动 且能够 在显示器看到Sensor状态显示和配置界面 7 检查设备散热风扇是否正常运转 二 组件连接状态测试二 组件连接状态测试 1 IDS各组件的监听端口列表如下 Sensor 1968 EC通过1968端口和Sensor之间建立命令通道 EC 3002 1968 2003 Senso通过1968端口和EC建立事件通道用于 R eporte Console通过3002端和EC进行通讯 LogServer 3003 EC Report通过3003端口和LogServer进行通讯 DataBase 1433 MSDE和SQL Server监听的通讯端口 LogServer需要通过1433端口和数据库进行 通讯 EC SensorAdapter Sensor 1968 1968 2003 Console 3002 LogServerDB 1433 3003 报表和查询工具 2 可以使用的方法和工具 Ping命令 判断组件之间的网络连通性 telnet命名 判断组件的相应端口是否打开 console界面上的工具 组件之间的连通性和运行状态测试 三 接口测试三 接口测试 1 根据网络接口的类型 用电脑直接或通过交换机连接网络接口 检查网络 接口的指示灯是否正常 包括link和active指示灯 2 使用操作系统自带的工具 例如ping ipconfig ifconfig等 判断网络 接口能否正常工作 3 在Sensor控制台的Interface Setting配置页查看sensor的接口速率和双工工作模式是否配置正确 建议 正常情况下都配置为auto 4 使用串口连接线连接电脑和sensor 使用超级终端或其他工具 设置串口 参数后登陆sensor 确认sensor的console接口能正常工作 5 在串口不能正常显示时可以通过以下步骤进行判断 a 如显示为乱码 检查串口参数的配置 b 如无任何显示 可以先更换串口线和使用其它的串口登陆软件 c 使用外接的键盘和显示器 通过观察sensor能否正常启动 判断是否为 串口故障 d 使用外接检查串口管理界面中的Config Networking项中enable serial console项的状态 正常应显示为disable serial console 6 使用串口登陆sensor时需要注意在sensor启动时不能外接键盘 四 出现故障时的一般性判断四 出现故障时的一般性判断 1 检查网络的连通性 保证整个组件之间的网络通讯正常 2 检查组件运行状态 通过察看组件的监听端口是否正常工作来判断 3 使用console界面上提供的工具来查看主要组件之间的通讯是否正常 4 使用sensor调试工具察看sensor端的状态 5 使用外接显示器或串口的方式察看sensor的工作状态 6 重新启动sensor 判断故障现象能否重现 7 确定故障出现之前的网络或设备有无重要变化 根据网络环境的变化判断 可能引起故障的原因 五 五 Sensor硬件故障的判断硬件故障的判断 1 确定供电正常 检查电源连接 2 检查网络接口和网线连接是否正常 3 尝试使用Telnet命令连接EC 1968端口 成功 4 使用外接显示器察看设备启动时的情况 需注意自检时的声音提示 有 嘀 的一声说明自检正常 如果设备使用冗余电源 有一个未加电时也会 有声音告警 注意和自检错误时的声音告警相区别 5 在Sensor的控制台界面 Config Networking 配置页中检测管理接口的IP 掩码 缺省路由以及物理端口 配置无误 管理口的选择 主EC所使用的IP地址 掩码配置是否正确 6 运行console界面上的sensor连接测试 判断EC和sensor的通讯是否正常 7 使用Sensor调试工具获取Senor的相关信息 看是否能正确返回信息 8 sensor目前的状态显示只是根据sensor主动上传的信息来判断 所以在应 用策略时可能会导致状态正常但是连接不上的问题 9 在安装完sensor后请确定安装光盘已经取出 否则可能导致sensor上的程 序被卸载 六 控制台六 控制台 EC端的故障判断端的故障判断 1 确保ec的license是否正确安装 2 通过应用服务管理器查看 事件收集 服务 数据服务 以及 响应服 务 已经正常启动 3 Console不能登陆EC时使用ping和telnet命令查看console和的网络连接是 否正常 ec的3002端口是否正确打开 4 如果console和ec之间有防火墙设备或者ec console的主机上装有个人防 火墙软件 请确保防火墙开放了3002端口的访问权限 5 Console登陆EC正常 但无法接受到任何告警信息 此时检查EC所在主机的 进程列表中发现没有Sensor exe 还应确认在 锐捷应用服务管理器 事件收集服务 配置 资产 中是否选中了 自动启动了Senso rAdaptor 和 事件转发 选项 6 Console登陆时 提示无法打开策略文件 或者XML文件操作失败 包括打 开 访问 多数原因是客户在安装Console后有安装了其他软件 或进 行了windows升级操作 导致xml3 dll和xml4 dll被替换 最简单的解决办 法是重新安装Console一次 7 使用邮件响应功能时 安全事件的Response属性 邮件未能正常收到 且确认此时在 全局响应 配置页中 收件人与发件人信息配置完整 正 确 确认邮件服务器正常运行 8 通过报表或查询工具发现近期数据没有入库 可以查看在EC安装目录下的D B子目录是否中有大量数据文件 超过100个 9 同步签名时控制台在进度99 时长时间无响应 或操作超时 此时可以断 开监听口与网络的连接 冷启动引擎 等待一段时间后即可正常 可能会 有10几分钟 正常编译时可以在sensor的控制台界面上看到CPU资源占用很 高 10 在不能确定原因的情况下 可以打开 锐捷应用服务管理 事件收集服 务 配置 中的相关调试开关 收集并保存相应的调试日志文件 EC 安装目录下Log目录下的内容 Console安装路径下LogicLog log 交由 开发人员参考 以便确定故障原因 11 想要在sensor Adapter的调试信息中查看sensor报上来的系统事件 需要打开 RG IDS 服务管理 选择 事件收集服务 点击 配置 在Sensor适配器选 项卡中同时选中 调试 与 接收传感器的系统事件 两个复选框 12 想要在Sensor Adaptor的DbgView或者log文件两类调试信息输出途径中查看到某sensor当 前的接收告警速率 可以打开 RG IDS 服务管理 选择 事件收集服务 点击 配置 在Sensor适配器选 项卡中勾上 调试 13 通过Dbgview工具可以查看Console实时输出的调试信息 记录这些信息并 发送给开发人员有利于故障的排查核解决 14 为了防止多用户访问冲突 对策略的编辑操作采用 独占 方式进行 因 此除了 导出策略 策略操作外 用户在进行其它的策略操作之前都需要进行策略的 编辑锁 定 操作 成功后才能进行后续操作 操作完成后 用户还需要进行策略的 解除编辑锁定 操作 否则策略的管理权限就不会释放 当Console和EC的连接中断后 策 略的管理权限将自动释放 编辑策略时请确认策略的编辑状态并确保没有 他人在同时编辑策略 15 用户登陆失败可能的原因与解决方法包括 用户账号不存在或已经被用户管理员锁定 此时请联系用户管理员进行 解决 网络连接配置不当 此时请检查事件收集器的IP地址和通信端口是否正 确 并检查防火墙的相关规则允许其进行通信 可以尝试通过Console 所在主机向EC所在主机发起Telnet请求 判断网络是否可达 Console与EC之间的网络连接中断 此时请检查网络连接并确定连接正 常后再进行用户登陆 Console与EC所用的认证证书不一致 此时可以更换证书 Console与EC所用的软件版本不兼容 此时请重新安装Console或EC使之 兼容 Console登录失败时 检测Console以及EC的时钟设置 确认没有超过ss l证书的有效时间限制 可以尝试将时钟设置为2005年1月1日 一般可 正常登录 16 一台EC管理了几台传感器 正常情况下在EC所在主机的任务管理器中就应 该可以看到同样数目的sensor exe进程 七 报表 查询工具 数据库的故障判断七 报表 查询工具 数据库的故障判断 1 确认报表 查询工具 LogServer以及数据库之间的网络连接正常 各个组 件的相应端口都处于监听状态 2 报表无法登陆时应检查登陆界面中EC以及Logserver的登陆地址 端口 口 令信息填写正确 3 确认报表 查询工具 Logserver 数据库之间网络防火墙已经开放相应端 口 并且否路由可达 4 生成报表时提示xml文件打开失败 或其他与XML文件操作相关的出错提示 引起此问题的原因是xml3 dll和xml4 dll被替 需要更新XML动态库 或者重新安装客户端 5 使用安全事件查询工具 登陆时输入正确用户名 口令信息 点击 确定 后 登陆画面消失但是没有出现查询工具界面 检查进程列表 发现Eve ntQuery exe进程仍然存在 多数情况下是因为客户端进行了大数据集查询 后未能及时清除查询记录 造成初始化时历史记录索引建立时间超长 可 是多等待一段时间 之后在查询工具中删除一些不必要的大数据集的查询 结果 6 当需要将多个EC的数据记录到同一个LogServer中 应用服务管理器中EC服 务的配置 分发 安全事件入库参数保持缺省值 有可能导致在LogServer安全事件文件重名 丢失的现象 7 当事件查询工具的数据库文件 EventQuery mdb 在长期运行后会变得庞 大 可以用MS Access打开 EventQuery mdb 在主菜单中 依次选择 工具 数据库实用工具 压缩和修复数据库 对数据库进行压缩和修复 8 在报表程序中 当需要按照自己的时间属性和TOPX设置来查看某个报表时 应该在主界面工具条右端 预定义 下拉框中 选择 用户自定义 然后修改时间过滤栏中时间和TOPX参数 点击 刷新 按钮重新生成报表 否则看到会仍然是原有时间段的报表 9 当多个用户需要同时执行安全事件查询工具进行数据查询 并发查询数目 大于系统缺省值 5个时 需要在应用服务管理器中调整IDS数据管理服务的配置参数 具体 修改 查询 tab页下的 最大并发查询客户数 为用户需要的值 否则会 出现 同时查询数目超过系统限制 的错误 10 如果在安全事件查询中出现 0 x1000CD 查询过程中的出现错误 的错 误 一般由于数据库中记录的安全事件文件管理信息与实际的安全事件文 件不匹配导致 可以通过执行数据维护工具中的安全事件同步操作修复该 问题 11 注意查询工具中查询的时间范围最大值是180天 定时查询时间间隔最大为 1500分钟 12 在不能确定原因时可以打开Logserver调试开关 Logserver安装路径下ECRu nning cfg中的debuglever字段设为8 获取故障时日志记录文件并发送给开 发任何人员以便查找故障原因 八 系统安装卸载时的故障判断八 系统安装卸载时的故障判断 1 因为IDS系统的开发环境是windows 2000 因此在安装IDS的各个组件时尽量安装在操作系统是Windows 2000 Server的主机上 避免出现不可知的故障 2 卸载后重新安装IDS系统时尽量保证在重新启动操作系统后在进行安装 并 删除原有安装目录 注意保存好license文件 3 安装MSDE SQL Sserver数据库时请确认数据库的身份验证模式为SQL Server与Windows混合模式 4 在数据服务安装程序中数据库创建路径配置需要填写SQL Server服务器所在主机的数据文件存放路径 确认该路径位于安装数据库的 主机上 且有1 2G以上自由空间 九 策略配置时需注意的事项九 策略配置时需注意的事项 1 7 1 2版本的IDS缺省已经关闭了一些影响性能的签名 如果在安全事件中出 现这些攻击时请确认你的签名库版本是最新的 这些签名包括 Aim aimrecoder finger record ftp badlogins ftp badr