Устранение неполадок датчика
В этой статье описаны основные средства устранения неполадок для датчика. В дополнение к описанным здесь элементам работоспособность системы можно проверить следующими способами.
- Оповещения: оповещение создается, когда интерфейс датчика, отслеживающий трафик, не работает.
- SNMP: отслеживание работоспособности датчика осуществляется через SNMP. Microsoft Defender для Интернета вещей реагирует на запросы SNMP, отправленные с авторизованного сервера мониторинга.
- Системные уведомления: когда консоль управления управляет датчиком, можно пересылать оповещения о неудачных случаях резервного копирования датчика и отключенных датчиках.
Для устранения каких-либо других проблем обращайтесь в службу поддержки Майкрософт.
Необходимые компоненты
Чтобы выполнить процедуры в этой статье, убедитесь, что у вас есть:
- Доступ к сетевому датчику OT в качестве пользователя администратора по умолчанию. Дополнительные сведения см. в разделе "Привилегированные пользователи по умолчанию".
Проверка проблем с датчиком — проблемы с подключением к облаку
Датчики OT автоматически запускают проверка подключения, чтобы обеспечить доступ датчика ко всем необходимым конечным точкам. Если датчик не подключен, в портал Azure отображается ошибка на странице "Сайты и датчики" и на странице обзора датчика. Например:
Используйте страницу устранения неполадок с подключением к облаку в датчике OT, чтобы узнать больше об ошибке, которая произошла и рекомендуемые действия по устранению рисков, которые можно предпринять.
Чтобы устранить ошибки подключения, войдите в датчик OT и выполните одно из следующих действий:
- На странице обзора датчика выберите ссылку "Устранение неполадок* в верхней части страницы"
- Выберите "Работоспособность управления > датчиками > параметров системы" и устранение неполадок > с подключением к облаку
Откроется область устранения неполадок с подключением к облаку справа. Если датчик подключен к портал Azure, панель указывает, что датчик успешно подключен к облаку. Если датчик не подключен, вместо этого перечислены описание проблемы и какие-либо инструкции по устранению рисков. Например:
В области устранения неполадок с облачными подключениями рассматриваются следующие типы проблем:
Проблема | Описание |
---|---|
Ошибки при установке безопасных подключений | Возникает при ошибках SSL, что обычно означает, что датчик не доверяет обнаружению сертификата. Это может произойти из-за неправильной настройки времени датчика или использования службы проверки SSL. Службы проверки SSL часто находятся в прокси-сервере и могут привести к потенциальным ошибкам сертификата. Дополнительные сведения см. в разделе "Управление сертификатами SSL/TLS" и "Синхронизация часовых поясов" на датчике OT. |
Общие ошибки подключения | Происходит, когда датчик не может подключиться к одной или нескольким обязательным конечным точкам. В таких случаях убедитесь, что все необходимые конечные точки доступны из датчика, и рассмотрите возможность настройки дополнительных конечных точек в брандмауэре. Дополнительные сведения см. в разделе "Подготовка датчиков для управления облаком". |
Неустранимые ошибки DNS-сервера | Происходит, когда датчик не может выполнять разрешение имен из-за недоступного DNS-сервера. В таких случаях убедитесь, что датчик может получить доступ к DNS-серверу. Дополнительные сведения см. в разделе "Обновление конфигурации сети датчика OT" |
Проблемы с проверкой подлинности прокси-сервера | Происходит, когда прокси-сервер требует проверки подлинности, но не указаны учетные данные или неверные учетные данные. В таких случаях убедитесь, что вы правильно настроили учетные данные прокси-сервера. Дополнительные сведения см. в разделе "Обновление конфигурации сети датчика OT". |
Сбои разрешения имен | Происходит, когда датчик не может выполнять разрешение имен для определенной конечной точки. В таких случаях, если DNS-сервер доступен, убедитесь, что DNS-сервер настроен на датчике правильно. Если конфигурация правильна, рекомендуется получить доступ к администратору DNS. Дополнительные сведения см. в разделе "Обновление конфигурации сети датчика OT". |
Неустранимые ошибки прокси-сервера | Происходит, когда датчик не может установить соединение с прокси-сервером. В таких случаях подтвердите доступность прокси-сервера с помощью вашей группы сети. Дополнительные сведения см. в разделе "Обновление конфигурации сети датчика OT". |
Обнаружено смещение времени | Происходит, когда время UTC датчика не синхронизировано с Defender для Интернета вещей в портал Azure. В этом случае настройте сервер протокола NTP для синхронизации датчика в формате UTC. Дополнительные сведения см. в разделе "Настройка параметров датчика OT" из портал Azure. |
Проверка работоспособности системы
Проверьте работоспособность системы с датчика.
Чтобы получить доступ к средству работоспособности системы:
Войдите в датчик с учетными данными администратора и выберите проверка работоспособности System Параметры> System.
В области проверка работоспособности системы выберите команду из меню, чтобы просмотреть дополнительные сведения в поле. Например:
Проверки работоспособности системы включают в себя следующее:
Имя | Описание |
---|---|
Здравомыслие | |
- Устройство | Запускает проверку работоспособности устройства. Ту же проверку можно выполнить с помощью команды интерфейса командной строки system-sanity . |
-Версия | Отображает версию устройства. |
- Свойства сети | Отображает параметры сети датчика. |
Redis | |
- Память | Предоставляет общую картину использования памяти, например объем используемой памяти и объем доступной памяти. |
- Самый длинный ключ | Отображает самые длинные ключи, которые могут стать причиной активного использования памяти. |
Системные | |
- Основной журнал | Содержит последние 500 записей основного журнала, что позволяет просматривать последние записи журнала, не экспортируя весь системный журнал. |
- Диспетчер задач | Преобразует задачи, отображаемые в таблице процессов, на следующие уровни: - Постоянный слой (Redis) — уровень кэша (SQL) |
- Сетевая статистика | Отображает статистику сети. |
- TOP | Показывает таблицу процессов. Это команда Linux, которая обеспечивает динамическое представление запущенной системы в реальном времени. |
- Проверка резервной памяти | Позволяет узнать состояние резервной памяти путем проверки следующих сведений: - Расположение папки резервной копии - Размер папки резервной копии - Ограничения папки резервной копии - Дата создания последней резервной копии — Сколько места существует для дополнительных файлов резервного копирования |
- ifconfig | Отображает параметры для физических интерфейсов устройства. |
- CyberX nload | Отображает сетевой трафик и пропускную способность с помощью шестисекундных тестов. |
— ошибки из основного журнала | Отображает ошибки из файла основного журнала. |
Проверка работоспособности системы с помощью интерфейса командной строки
Перед проверкой работоспособности системы убедитесь, что система запущена и работает.
Дополнительные сведения см . в справочнике по команде CLI из сетевых датчиков OT.
Чтобы проверить работоспособность системы, сделайте следующее:
Подключение интерфейс командной строки с терминалом Linux (например, PuTTY) и администратором пользователя.
Введите
system sanity
.Убедитесь, что все службы выделены зеленым цветом (запущены).
Убедитесь в том, что в нижней части экрана отображается сообщение (Система РАБОТАЕТ [раб.]).
Проверьте, правильная ли версия используется.
Чтобы проверить версию системы, сделайте следующее:
Подключение интерфейс командной строки с терминалом Linux (например, PuTTY) и администратором пользователя.
Введите
system version
.Проверьте, правильная ли версия отображается.
Убедитесь в том, что запущены все входные интерфейсы, настроенные в процессе установки.
Чтобы проверить состояние сети системы, сделайте следующие:
Подключение интерфейс командной строки с терминалом Linux (например, PuTTY) и пользователем администратора.
Введите
network list
(эквивалент команды Linuxifconfig
).Проверьте, отображаются ли требуемые входные интерфейсы. Например, если установлены две сетевых карты Quad Copper NIC, список должен содержать 10 интерфейсов.
Проверьте, имеется ли у вас доступ к графическому пользовательскому веб-интерфейсу консоли.
Чтобы проверить, что средства управления имеют доступ к пользовательскому интерфейсу, сделайте следующее:
Подключите ноутбук с кабелем Ethernet к порту управления (GB1).
Определите адрес сетевой карты ноутбука так, чтобы он находился в том же диапазоне, что и адрес устройства.
Проверьте связь с IP-адресом устройства с ноутбука (по умолчанию: 10.100.10.1).
Откройте на ноутбуке браузер Chrome и введите IP-адрес устройства.
В окне Подключение не является частным выберите Дополнительно и продолжайте.
Тест считается пройденным, если появляется экран входа Defender для Интернета вещей.
Скачивание журнала диагностики для службы поддержки
В этой процедуре описано, как скачать журнал диагностики для отправки в службу поддержки в связи с конкретным запросом в службу поддержки.
Эта функция поддерживается для следующих версий датчиков:
- 22.1.1 . Скачайте журнал диагностики из консоли датчика.
- 22.1.3 и выше — для локально управляемых датчиков отправьте журнал диагностика на странице "Сайты и датчики" в портал Azure. Этот файл автоматически отправляется в службу поддержки при открытии запроса в службу поддержки для подключенного к облаку датчика.
Все файлы, скачанные с портала Azure, заверяются с помощью корня доверия, чтобы компьютеры использовали только подписанные ресурсы.
Чтобы скачать журнал диагностики, сделайте следующее:
В консоли датчика выберите "Работоспособное состояние управления датчиками > > параметров системы" и устранение неполадок > резервного копирования и восстановления резервного копирования>.
В разделе Журналы выберите Диагностика запросов в службу поддержки и Экспорт.
Для локально управляемого датчика версии 22.1.3 или более поздней версии перейдите к журналу диагностика для поддержки.
Получение данных судебной экспертизы
Следующие типы судебно-медицинских данных хранятся локально на датчиках OT для устройств, обнаруженных этим датчиком:
- Данные устройства
- Данные оповещений
- Файлы PCAP оповещений
- Данные о событиях временная шкала
- Файлы журналов
Используйте отчеты интеллектуального анализа данных датчика OT или книги Azure Monitor на сетевом датчике OT, чтобы получить судебно-медицинские данные из хранилища этого датчика. Каждый тип данных имеет разные срок хранения и максимальную емкость.
Дополнительные сведения см. в статье о хранении данных в Microsoft Defender для Интернета вещей.
Невозможно установить подключение с помощью веб-интерфейса
Убедитесь в том, что компьютер, к которому вы пытаетесь подключиться, находится в той же сети, что и устройство.
Убедитесь в том, что сеть графического пользовательского интерфейса подключена к порту управления.
Проверьте связь с IP-адресом устройства. Если нет проверки пинга:
Подключите к устройству монитор и клавиатуру.
Используйте пользователя администратора и пароль для входа.
Просмотрите текущий IP-адрес с помощью команды
network list
.
Если параметры сети настроены неправильно, измените их с помощью следующей процедуры.
Используйте команду
network edit-settings
.Чтобы изменить IP-адрес сети управления, выберите Y.
Чтобы изменить маску подсети, выберите Y.
Чтобы изменить DNS, выберите Y.
Чтобы изменить IP-адрес шлюза по умолчанию, выберите Y.
Для изменения входного интерфейса (только датчик) выберите N.
Чтобы применить параметры, выберите Y.
После перезапуска подключитесь к учетным данным администратора и используйте
network list
команду, чтобы убедиться, что параметры были изменены.Попробуйте еще раз проверить связь и подключиться из графического пользовательского интерфейса.
Устройство не отвечает
Подключите к устройству монитор и клавиатуру или используйте PuTTY для удаленного подключения к интерфейсу командной строки.
Используйте учетные данные администратора для входа.
Выполните команду
system sanity
и убедитесь в том, что все процессы запущены. Например:
Для устранения каких-либо других проблем обращайтесь в службу поддержки Майкрософт.
Проверка сбоя пароля при первоначальном входе в систему
При первом входе в предварительно настроенный датчик необходимо выполнить восстановление паролей следующим образом:
На экране входа в Defender для Интернета вещей выберите Восстановление пароля. Откроется экран восстановления паролей.
Выберите Администратор или CyberX и скопируйте уникальный идентификатор.
Перейдите к портал Azure и выберите сайты и датчики.
Выберите раскрывающееся меню More Actions (Дополнительные действия) и щелкните Recover on-premises management console password (Восстановить локальный пароль консоли управления).
Введите уникальный идентификатор, полученный на экране Password recovery (Восстановление пароля), и выберите Recover (Восстановить). Будет скачан файл
password_recovery.zip
. Не извлекайте или не изменяйте ZIP-файл.На экране Password recovery (Восстановление пароля) выберите Upload (Отправить). Откроется окно Upload Password Recovery File (Передача файла восстановления пароля).
Нажмите кнопку Browse (Обзор), чтобы найти файл
password_recovery.zip
, или перетащитеpassword_recovery.zip
в окно.Щелкните Далее и выберите пользователя. Для него будет предложен созданный системой пароль для консоли управления.
Примечание.
При первом входе в датчик он связан с вашей подпиской Azure, которая потребуется, если необходимо восстановить пароль для пользователя администратора . Дополнительные сведения см. в разделе "Восстановление привилегированного доступа к датчику".
Исследование недостатка трафика
Индикатор отображается в верхней части консоли, когда датчик распознает отсутствие трафика на одном из настроенных портов. Этот индикатор видим для всех пользователей. При появлении этого сообщения можно исследовать, где нет трафика. Убедитесь, что кабель span подключен и в архитектуре span не было изменений.
Проверка производительности системы
При развертывании нового датчика или если датчик работает медленно или не отображает предупреждения, можно проверить производительность системы.
- Войдите в датчик и выберите "Обзор". Убедитесь, что PPS больше 0 и что обнаруженные устройства .
- На странице интеллектуального анализа данных создайте отчет.
- На странице "Тенденции и статистика" создайте панель мониторинга.
- На странице "Оповещения" проверка, что было создано оповещение.
Исследование отсутствия ожидаемых оповещений
Если в окне оповещений не отображается ожидаемое оповещение, проверьте следующее.
- Проверьте, не отображается ли это предупреждение в окне оповещений в качестве реакции на другой экземпляр безопасности. Если да, и это оповещение еще не обработано, консоль датчика не отображает новое оповещение.
- Убедитесь, что вы не исключили это оповещение с помощью правил исключения оповещений в консоль управления.
Изучение панели мониторинга, не отображающей данные
Если панели мониторинга в окне "Тенденции и статистика " не отображают данных, сделайте следующее:
- Проверьте производительность системы.
- Убедитесь, что параметры времени и региона правильно настроены и не установлены на время, находящееся в будущем.
Исследование схемы устройств, отображающей только широковещательные устройства
Если устройства, отображаемые на карте, не подключены друг к другу, то, может быть, что-то неверно в конфигурации порта SPAN. То есть вы можете видеть только широковещательные устройства, но не одноадресный трафик.
- Чтобы убедиться, что вы видите только широковещательный трафик, выполните следующие действия. Для этого в разделе Интеллектуальный анализ данных выберите Создать отчет. В разделе "Создание отчета" укажите поля отчета. В окне Выбор категории выберите Выбрать все.
- Сохраните отчет и проверьте, появился ли в нем широковещательный и многоадресный трафик (без одноадресного трафика). Если это так, обратитесь к группе сети, чтобы исправить конфигурацию порта SPAN, чтобы вы также могли видеть одноадресный трафик. Или запишите PCAP непосредственно из коммутатора или подключите портативный компьютер с помощью Wireshark.
Дополнительные сведения см. в разделе:
Подключите датчик к NTP
Для подключения к NTP-серверу можно настроить автономный датчик и консоль управления с датчиками, связанными с ней.
Совет
Когда вы будете готовы к управлению параметрами датчика OT в масштабе, определите параметры NTP из портал Azure. После применения параметров из портал Azure параметры на консоли датчика доступны только для чтения. Дополнительные сведения см. в разделе "Настройка параметров датчика OT" из портал Azure (общедоступная предварительная версия).
Чтобы подключить автономный датчик к NTP:
- См. документацию по CLI.
Чтобы подключить датчик, управляемый консолью управления, к NTP:
- Подключение к NTP настраивается в консоли управления. Все датчики, управляемые консолью управления, получают NTP-подключение автоматически.
Проверьте, отображаются ли устройства на карте и имеются ли несколько оповещений, связанных с Интернетом.
Иногда для устройств ICS настраиваются внешние IP-адреса. Эти устройства ICS не отображаются на карте. Вместо устройств на карте отображается интернет-облако. IP-адреса этих устройств включены в облачный образ. Еще одним указанием на ту же проблему является отображение нескольких оповещений, связанных с Интернетом. Устраните проблему следующим образом.
- Щелкните правой кнопкой мыши значок облака на карте устройств и выберите Export IP Addresses (Экспорт IP-адресов).
- Скопируйте закрытые общедоступные диапазоны и добавьте их в список подсетей. Дополнительные сведения см. в разделе "Точное настройка списка подсетей".
- Создайте новый отчет интеллектуального анализа данных для подключений к Интернету.
- В отчете интеллектуального анализа данных выберите перейдите в режим администратора и удалите IP-адреса ваших устройств ICS.
Очистка данных датчика
В случаях, когда датчику необходимо переместить или удалить, все полученные данные можно очистить с датчика.
Дополнительные сведения о том, как очистить системные данные, см. в разделе "Очистить данные датчика OT".
Экспорт журналов из консоли датчика для устранения неполадок
Для дальнейшего устранения неполадок может потребоваться экспортировать журналы для отправки в службу поддержки, например журналы базы данных или операционных систем.
Экспорт данных журнала:
В консоли датчика перейдите к системе управления>резервным>копированием датчиков и восстановлением>резервного копирования.
В диалоговом окне Экспорт сведений об устранении неполадок:
В поле Имя файла введите понятное имя для экспортированного журнала. В имени файла по умолчанию используется текущая дата, например 13:10-June-14-2022.tar.gz.
Выберите журналы, которые вы хотите экспортировать.
Выберите Экспорт.
Файл можно экспортировать по ссылке из списка архивных файлов в нижней части диалогового окна Экспорт сведений об устранении неполадок.
Например:
Выберите ссылку на файл, чтобы скачать экспортируемый журнал, а также нажмите кнопку, чтобы просмотреть его одноразовый пароль.
Чтобы открыть экспортированные журналы, перенаправите скачанный файл и одноразовый пароль в службу поддержки. Экспортированные журналы можно открывать только вместе с группой поддержки Майкрософт.
Чтобы обеспечить безопасность журналов, обязательно перенаправьте пароль отдельно от скачаемого журнала.
Примечание.
Запрос в службу поддержки диагностика можно скачать из консоли датчика, а затем отправить непосредственно в службу поддержки в портал Azure. Дополнительные сведения о скачивании журналов диагностики см. в разделе "Скачать журнал диагностика для поддержки".