排除故障与网络时间协议（NTP）的问题在FireSIGHT系统.PDFVIP

排除故障与网络时间协议(NTP)的问题在 FireSIGHT系统 目录 简介 先决条件 症状 排除故障 步骤 1：验证NTP配置 步骤 2： 识别趋炎附势者，并且它是状态 步骤 3： 检验连通性 步骤 4： 验证配置文件 简介 您能选择您的FireSIGHT系统之间的同步时间用三个不同的方式，例如手工，使用外部NTP服务器 或者使用FireSIGHT管理中心(服务作为Ntp server)。您能配置FireSIGHT管理中心作为时间服务器 使用NTP然后使用它FireSIGHT管理中心和受管理设备之间的同步时间。本文描述与时间同步的常 见问题在FireSIGHT系统和如何排除故障他们。   先决条件 为了配置时间同步设置，您需要admin级在您的FireSIGHT管理中心的访问。 注意 ：本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最 初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影 响。 症状 FireSIGHT管理中心显示在Web接口的健康警报。 因为时间同步模块状况是失调的，健康监控页显示设备如critial。 如果设备不能坚持同步，您可以发现断断续续健康警报。 在应用系统策略以后，您可以发现健康警报，因为FireSIGHT管理中心和其受管理设备可能花 费20分钟完成同步。这是因为FireSIGHT管理中心必须与其已配置的Ntp server首先同步，在能 为时间服务到受管理设备前。 FireSIGHT管理中心和受管理设备之间的时间不配比。 事件生成在传感器可能耗费分钟或几小时变得可视在FireSIGHT管理中心。 如果运作虚拟设备和健康监控页表明您的虚拟设备的时钟设置没有同步，检查您的系统策略时 间同步设置。思科建议您同步您的虚拟设备对一物理Ntp server。请勿同步您的受管理设备(虚 拟或物理)到一虚拟防御中心。 排除故障 步骤 1：验证NTP配置 验证NTP在FireSIGHT系统应用的系统策略启用。为了验证那，请遵从下面步骤： 导航到系统本地System策略。 编辑在您的FireSIGHT系统应用的系统策略。 选择时间同步。 检查FireSIGHT管理中心(亦称防御中心或DC)是否有clock set对通过NTP从 ，并且提供Ntp server的 地址。 并且请确认受管理设备设置为通过从防御中心的NTP。 如果指定远程外部Ntp server，您的设备必须访问网络访问它。请勿指定一不信任Ntp server。请勿 同步您的受管理设备(虚拟或物理)对一个虚拟FireSIGHT管理中心。思科建议您同步您的虚拟设备对 一物理Ntp server。  在您申请配置时间同步后，请确保在您的管理中心和受管理设备匹配的时间。否则，当受管理设备 连通与管理中心时，不愿意的结果也许发生。 步骤 2：识别趋炎附势者，并且它是状态 1. 为了关于连接的收集信息对时间服务器，运行以下on命令您的FireSIGHT管理中心： admin@FireSIGHT:~$ ntpq -pn remote refid st t when poll reach delay offset jitter ============================================================================== *198.51.100.2 203.0.113.3 2 u 417 1024 377 76.814 3.458 1.992 在星号 * 指示您当前同步的服务器。如果与星号的一个条目不可用，时钟没有与它当前同步是 timesource。 在受管理设备上，您能运行以下on命令shell确定您的Ntp server地址： show ntp NTP Server : 127.0.0.2 (Cannot Resolve) Status : Being Used Offset : -8.344 (milliseconds) Last Update : 188 (seconds) 注意 ：如果受管理设备配置接收从FireSIGHT管理中心的时间，设备显示与环回地址的一 timesource，例如 127.0.0.2。此IP地址是sfipproxy条目并且表明使用管理虚拟网络同步时 间。 2. 如果设备显示它同步与127.127.1.1 ，它表明设备