手册下载
H3C SecCenter 安全业务管理平台 故障处理手册-5W101-整本手册.pdf (295.74 KB)
H3C SecCenter 安全业务管理平台
故障处理手册
资料版本:5W101-20210106
Copyright © 2021新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍H3C SecCenter 安全业务管理平台常见故障的诊断及处理措施。
系统正常运行时,建议您在完成重要功能的配置后,及时保存并备份当前配置,以免设备出现故障后配置丢失。建议您定期备份配置文件,以便故障发生后能够迅速恢复配置。
在进行故障诊断和处理时,请注意以下事项:
· 当出现故障时,请尽可能全面、详细地记录现场信息(包括但不限于以下内容),收集信息越全面、越详细,越有利于故障的快速定位。
¡ 记录您所使用的系统版本。
¡ 记录具体的故障现象、故障时间、配置信息。
¡ 收集日志信息。
¡ 记录现场采取的故障处理措施及实施后的现象效果。
· 故障处理过程中,如需更换程序文件或安装补丁,请参考软件对应的版本说明书,确保兼容性。
· 诊断和处理故障人员必须详细了解软件运行机制,并能熟练操作软件及其所依赖的程序和系统。
当故障无法自行解决时,请准备好设备运行信息、故障现象等材料,发送给H3C技术支持人员进行故障定位分析。
用户支持邮箱:service@h3c.com
技术支持热线电话:400-810-0504(手机、固话均可拨打)
若无特殊说明,以下主机均指安装了安全业务管理平台的设备。
如出现web页面无法访问,则为web服务停止。
(1) 通过SSH方式登录主机。
(2) 依次执行如下命令:
cd /opt/ipsm/csap_web/apache-tomcat-8.5.24/bin
./startup.sh
如出现正常登录系统,但资产监控页面无数据展示,则为管理中心服务停止。
(1) 通过SSH方式登录主机。
(2) 依次执行如下命令:
cd /opt/ipsm/csap_com
./start.sh
如出现资产监控页面无性能数据展示,则为proxy服务停止。
(1) 通过SSH方式登录主机。
(2) 依次执行如下命令:
cd /opt/ipsm/csap_com/native-proxy
./start.sh
若出现数据库服务正常以及日志正常接入,但审计日志页面查询无日志,则为log服务停止。
(1) 通过SSH方式登录主机。
(2) 依次执行如下命令:
cd /opt/ipsm/csap_log/logColl
./start.sh
特征库文件推送,提示文件不存在,则为nfs共享文件出现异常。
(1) 通过SSH方式登录主机。
(2) 依次执行如下命令,其中本地IP需要替换为存放特征库文件设备IP地址:
mount 本地ip:/opt/ipsm/nfs /opt/ipsm/csap_com/tmp/upload
mount 本地ip:/opt/ipsm/nfs /opt/ipsm/csap_web/apache-tomcat-8.5.24/webapps/skynet/uploadFiles/featureFiles
特征库文件升级,提示升级成功,但是设备未升级。
(1) 确定被管理的安全设备和平台之间NETCONF端口互通,且设备有授权license。
(2) 确定后通过SSH方式登录平台,然后依次执行如下命令:
cd cd /opt/ipsm/csap_com/native-proxy
./start.sh
配置了特征库定时文件推送功能,但页面推送一直未执行。
通过SSH方式登录主机,执行date查看主机当前时间是否与安全业务管理平台的时间一致,若不一致请修改。
日志采集正常,但web页面无日志展示。
通过SSH方式登录主机,执行clickhouse-client:
· 若正常进入,则执行如下命令:
cd cd /opt/ipsm/csap_com
./start.sh
· 若拒绝连接则执行clickhouse重启操作。
资产模板配置正确,页面无性能数据展示。
确定资产模板配置正确,被管理设备的SNMP端口与主机互通,但仍无性能数据展示,则通过SSH方式,然后依次执行如下命令:
cd cd /opt/ipsm/csap_com/native-proxy
./start.sh
资产详情页面无数据展现。
(1) 检查资产类型,模板配置(soap https 832 端口开通)
(2) 检查被管理设备是否开通开启NETCONF over SOAP功能,若未开启则执行如下命令:
netconf soap http enable
netconf soap https enable
(3) 进入“系统 > 管理员> 管理员”页面,检查设备可用服务是否勾选,如下图
(4) 如果各项都正确,请在资产管理页面保存资产修改配置之后,等待5分钟后查看资产详情页面信息。
设备日志无数据展示。
(1) 检查被管理设备是否配置日志主机,并确保日志主机配置正确。
(2) 检查ck数据库是否正常,依次执行如下命令:
cd /opt/ipsm/data/h3cdbms/bin
./clickhouse-client -d ims_log_db --host=10.229.72.71 --port=9000 //将ip改为服务器实际的ip地址
select * from secconf_ips_atk_dtl order by recv_time desc limit 1;
(3) 修改日志采集器参数,命令如下。
cd /opt/ipsm/csap_log/logColl/config/
vi application.yml
(4) 查看batchNum的值:若值为1,查看进程是否启动成功;否则执行步骤5。
(5) 在步骤4的基础上,若进程未正常启动则执行下面操作:
a. 依次执行如下命令:
cd /opt/ipsm/csap_log/logColl
./stop.sh
./start.sh
(6) 如果上述都正常,请执行如下操作:
a. 进入cloudOps部署目录,执行start.sh脚本
cd /opt/ipsm/csap_com
./stop.sh
./start.sh
b. 进入nativeProxy部署目录,执行start.sh脚本
cd /opt/ipsm/csap_com/native-proxy
./stop.sh
./start.sh
(7) 登录web页面即可在日志审计查看是否有日志展示。
Clickhouse文件占用磁盘过大,导致进程挂死,则为clickhouse数据库存储异常。
(1) 通过SSH方式登录主机,并重启clickhouse
(2) 依次执行如下命令:
cd /opt/ipsm/csap_log/logColl
./stop.sh
(3) 等磁盘占用率下降之后,执行./start.sh再次启动日志采集。
nfs正常启动,showmount -e 报错 program 。
通过SSH方式登录主机,依次执行如下命令:
rpcmountd
showmount -e
clickhouse正常,数据库闪断连接不上,日志页面无数据。
(1) 通过SSH方式登录主机,然后执行cd /opt/ipsm/csap_com
(2) 执行./stop.sh停止服务,再执行ps –ef|grep cloudops查看进程是否存在,如下图
¡ 若存在执行kill -9,9为进程号
¡ 若不存在则执行./start.sh重启服务即可。
(3) 等待1分钟之后,依次执行如下命令重启native服务:
cd /opt/ipsm/csap_com/native-proxy
./start.sh
clickhouse数据库8123端口无法访问
执行命令rcSuSEfirewall2 stop关闭系统的防火墙。