手册下载
H3C SecCenter CSAP-SA综合日志审计平台
故障处理手册
资料版本:5W104-20230711
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
虚拟综合日志审计平台部署过程中出现如下异常退出。
该问题是因为部署平台的服务器或虚拟机资源不满足最低需求,对服务器或虚拟机的配置要求请参见《H3C SecCenter CSAP-SA综合日志审计平台 软件安装指导》。其他同类报错和说明如下:
· Cpu_Core_Num_Is_less_than_8:CPU核数少于八核
· Memory_Is_less_than_32G:内存大小小于32GB
· Cannot_Find_Available_Disk:磁盘大小不满足需求,找不到一个大于1TB磁盘用于部署,请确认问题并扩展资源后重新部署。
· eth0_IS_NOT_CONNECTED:业务口未接入网线或网卡异常,请确认问题并修复后重新部署。
平台部署过程卡死或者部署后平台不可用,即Web无法访问并且SSH连接不了。
问题可能原因是因为部署平台的主机磁盘上存在异常数据,平台仅支持在未使用过的磁盘上进行部署,若旧磁盘中存在文件系统或Raid配置会导致平台部署异常。部署过程请严格按《H3C SecCenter CSAP-SA综合日志审计平台 安装指导》操作。
如排除以上原因后重新部署仍然报错,请拨打400-810-0504请求支持。
通过浏览器访问页面报错或登录报错。
(1) 检查网络是否可达。
可在当前主机通过ping命令测试网络是否可达,如不可达或丢包严重,请检查网络。如日志审计平台地址为10.123.53.234,启动windows cmd窗口执行ping 10.123.53.234检测网络是否通畅。
(2) 使用df –h命令检查磁盘空间是否充足。
检查磁盘根目录已无可用空间,Use字段显示100%表示空间已全部被使用,则平台中可能存在异常数据。
可通过以下操作释放存储空间:
a. 通过SSH方式登录综合日志审计平台服务器后台,执行rm –rf /data/ckla/log/error*命令清除组件异常打印的日志文件。
建议操作时直接拷贝本命令,避免误操作导致整个平台系统被删除且无法恢复。
b. 执行rm –rf /data/Adapter/core*命令清除组件异常打印的日志文件。
建议操作时直接拷贝本命令,避免误操作导致整个平台系统被删除且无法恢复。
c. 执行df –h命令查看文件系统空间是否已释放,存储利用率不再是100%;
d. 空间释放后,重启服务器或虚拟机。其中服务器重启请登录HDM后台,左上角点击“电源-立即重启”重启服务器。虚拟机重启请登录CAS后台,左侧展开云资源列表并选择对应虚拟机,点击“关闭”,待进度栏提示100%后,再点击“启动”即可重启虚拟机。
(3) 如以上操作均无法解决,请进入后台执行sh /home/csap_install_package/lca_start.sh web restart命令重启web服务。
采集器收不到日志。进入“系统配置 > 数据来源> 采集器管理”页面,点击按钮进入监控汇总页面可查看采集器的统计信息,采集器收集到的日志数量为0。
(1) 进入“系统配置 > 数据来源> 采集器管理”页面查看采集器状态是否为在线状态。
(2) 如果采集器状态为离线,登录服务器后台执行sh /home/csap_install_package/lca_start.sh all restart命令重启相应采集器。
(3) 如重启后仍为离线状态,可联系H3C驻本地技术人员协助定位。
(1) 检测日志源是否配置“例外”。“例外”表示丢弃该类型日志。
(2) 检查被动采集器的统计数据,有没有收到日志的统计。
(3) 发送设备系统时间和平台时间是否准确。
(4) 检查日志源的配置,日志源发送日志所使用的接口IP地址。针对我司设备,推荐在设备上通过info-center loghost source命令用来配置发送的日志信息的源IP地址。
(5) 配置没问题的话,日志统计也看不到日志统计,登录平台后台tcpdump抓包(tcpdump -v -i网卡名称src源ip and udp port 514)确认日志报文是否已发送到平台,是否被中间链路丢弃。
采集器有对应日志源上报的日志数量,但查看日志页面无日志。
(1) 检查登录平台的PC系统时间是否准确。如不准确,请校对PC系统时间。
(2) 检查平台系统时间。进入“配置 > 系统管理 > 全局设置 > 时间管理”页面确认平台系统时间是否准确。如不准确,请修改系统时间。
(3) 检查日志源设备的系统时间是否准备。如不准确,请修改设备系统时间。
(4) 检查日志源发送的日志中时间戳字段表示的时间是否准确。可以通过登录平台后台,使用tcpdump抓包(tcpdump -v -i网卡名称src源ip and udp port 514)确认;也可以通过修改日志源设备上的日志发送配置,将日志发送到现场电脑进行抓包确认。如果日志源发送的日志时间戳字段不准确,请调整确保日志时间戳字段与日志源设备系统时间一致。
首页、日志页面均无数据。
检查日志是否接入或解析是否正常,具体方法请参见3 日志采集问题。
有攻击日志生成,但安全事件页面无数据。
(1) 进入“事件 > 关联规则”页面,查看安全事件生成匹配条件配置是否正确。
(2) 若匹配条件正确,在“日志 > 实时监控 > 日志类型”页面查看是否存在符合匹配条件的日志。
(3) 未匹配关联规则中的匹配条件的日志不会生成安全事件,可通过配置自定义关联规则匹配对应日志来生成安全事件。
平台仅支持通过Web页面修改系统时间,直接在服务器后台修改时间可能会导致数据采集和适配分析功能异常。
(1) 如使用版本已支持“时间管理”功能,进入“配置 > 系统管理 > 全局配置 > 时间管理”页面重新设置时间即可。
(2) 如使用版本不支持“时间管理”功能,建议升级到最新版本后通过Web页面修改时间。如因特殊原因无法升级,可从后台重启服务临时恢复业务。
平台仅支持通过Web页面修改系统IP地址,直接在服务器后台修改系统IP地址可能会导致平台无法访问。
(1) 通过SSH或HDM口进入服务器控制台,编辑网卡配置文件改回修改前地址。下图以配置eth0网卡为例展示修改方法,实际操作时以现场网卡名称为准,修改完成后使用“:wq”命令保存配置。
执行vim /etc/sysconfig/network-scripts/ifcfg-eth0命令打开ifcfg-eth0文件,将系统IP地址复原。
(2) 执行service network restart命令重启网络,使配置生效。
(3) 执行sh /home/csap_install_package/lca_start.sh all restart命令重启服务恢复平台。
无法通过Web访问综合日志审计平台页面,从多台主机ping平台IP地址均无法连通。
该问题可能由于平台服务器网卡故障或配置的网络地址错误导致。
(1) 如果检测为网卡故障,需先修复或更换网卡。
(2) 如果是网络地址配置错误导致或服务器网卡故障且已恢复,按照步骤(3)~步骤(5)重新配置平台网络,保障平台业务。
(3) 管理PC和平台服务器的HDM管理口之间使用网线直连。
(4) 进入/home/csap_install_package/web-service/webapps/skynet/WEB-INF/classes/shell目录并配置网络,配置参数说明如下:
共五个参数,必须严格按以下顺序配置:
¡ 参数1:即修改后的IPv4地址,本例为10.123.53.247
¡ 参数2:修改后的网关的IPv4地址,本例为10.123.53.1。若不需要修改网关,则填写-1
¡ 参数3:修改后的IPv4地址掩码长度,本例为24
¡ 参数4:是否为管理口,1表示管理口,0表示非管理口(采集口),本例为1
¡ 参数5:要配置的网卡名,若更换了网卡,值应为新网卡名,可通过ip a查看网卡名称。本例为eth0
¡ 参数6:修改后的IPv6地址,若不需要修改IPv6地址,则填写-1
¡ 参数7:修改后的网关的IPv6地址,本例为10.123.53.1。若不需要修改网关,则填写-1
(5) 脚本执行成功后,等待5分钟后重新登录平台检查是否正常。