Share via

센서 문제 해결

  • 아티클

이 문서에서는 센서의 기본 문제 해결 도구에 대해 설명합니다. 여기에 설명된 항목 외에도 다음과 같은 방법으로 시스템의 상태를 확인할 수 있습니다.

  • 경고: 트래픽을 모니터링하는 센서 인터페이스가 다운된 경우 경고가 생성됩니다.
  • SNMP: 센서 상태는 SNMP를 통해 모니터링됩니다. Microsoft Defender for IoT는 권한 있는 모니터링 서버에서 보낸 SNMP 쿼리에 응답합니다.
  • 시스템 알림: 관리 콘솔에서 센서를 제어할 때 실패한 센서 백업 및 연결이 끊긴 센서에 대한 경고를 전달할 수 있습니다.

기타 문제는 Microsoft 지원에 문의하세요.

필수 조건

이 문서의 절차를 수행하기 전에 다음이 있는지 확인합니다.

센서 확인 - 클라우드 연결 문제

OT 센서는 자동으로 연결 검사를 실행하여 센서가 필요한 모든 엔드포인트에 액세스할 수 있는지 확인합니다. 센서가 연결되지 않으면 Azure Portal, 사이트 및 센서 페이지 및 센서의 개요 페이지에 오류가 표시됩니다. 예시:

개요 페이지의 연결 오류 스크린샷. ```

발생한 오류와 취할 수 있는 권장 완화 작업에 대해 자세히 알아보려면 OT 센서의 클라우드 연결 문제 해결 페이지를 사용합니다.

연결 오류 문제를 해결하려면 OT 센서에 로그인하고 다음 중 하나를 수행합니다.

  • 센서의 개요 페이지에서 페이지 상단의 오류에 있는 문제 해결* 링크를 선택합니다.
  • 시스템 설정 > 센서 관리 > 상태 및 문제 해결 > 클라우드 연결 문제 해결을 선택합니다.

오른쪽에 클라우드 연결 문제 해결 창이 열립니다. 센서가 Azure Portal에 연결된 경우 창에는 센서가 클라우드에 성공적으로 연결됨이라고 표시됩니다. 센서가 연결되어 있지 않으면 문제에 대한 설명과 완화 지침이 대신 나열됩니다. 예시:

연결 문제 해결 창의 스크린샷.

클라우드 연결 문제 해결 창에서는 다음 형식의 문제를 다룹니다.

문제 설명
보안 연결 설정 오류 SSL 오류에 대해 발생합니다. 이는 일반적으로 센서가 발견된 인증서를 신뢰하지 않음을 의미합니다.

이는 잘못된 센서 시간 구성이나 SSL 검사 서비스 사용으로 인해 발생할 수 있습니다. SSL 검사 서비스는 종종 프록시에서 발견되며 잠재적인 인증서 오류로 이어질 수 있습니다.

자세한 내용은 SSL/TLS 인증서 관리OT 센서의 표준 시간대 동기화를 참조하세요.
일반 연결 오류 센서가 하나 이상의 필수 엔드포인트에 연결할 수 없을 때 발생합니다.

이러한 경우 센서에서 필요한 모든 엔드포인트에 액세스할 수 있는지 확인하고 방화벽에 더 많은 엔드포인트를 구성하는 것이 좋습니다. 자세한 내용은 클라우드 관리를 위한 센서 프로비전을 참조하세요.
접속할 수 없는 DNS 서버 오류 DNS 서버에 연결할 수 없어 센서가 이름 확인을 수행할 수 없는 경우 발생합니다. 이러한 경우 센서가 DNS 서버에 액세스할 수 있는지 확인합니다. 자세한 내용은 OT 센서 네트워크 구성 업데이트를 참조하세요.
프록시 인증 문제 프록시가 인증을 요구하지만 자격 증명이 없거나 잘못된 자격 증명이 제공되는 경우 발생합니다.

이러한 경우 프록시 자격 증명을 올바르게 구성했는지 확인합니다. 자세한 내용은 OT 센서 네트워크 구성 업데이트를 참조하세요.
이름 확인 실패 센서가 특정 엔드포인트에 대한 이름 확인을 수행할 수 없는 경우 발생합니다.

이러한 경우 DNS 서버에 연결할 수 있으면 센서에 DNS 서버가 올바르게 구성되어 있는지 확인합니다. 구성이 올바른 경우 DNS 관리자에게 문의하는 것이 좋습니다.

자세한 내용은 OT 센서 네트워크 구성 업데이트를 참조하세요.
접근할 수 없는 프록시 서버 오류 센서가 프록시 서버와 연결을 설정할 수 없는 경우 발생합니다. 이러한 경우 네트워크 팀과 함께 프록시 서버의 연결 가능성을 확인합니다.

자세한 내용은 OT 센서 네트워크 구성 업데이트를 참조하세요.
시간 드리프트가 검색됨 센서의 UTC 시간이 Azure Portal의 Defender for IoT와 동기화되지 않을 때 발생합니다.

이 경우 UTC 시간으로 센서를 동기화하도록 NTP(Network Time Protocol) 서버를 구성합니다.

자세한 내용은 Azure Portal에서 OT 센서 설정 구성을 참조하세요.

시스템 상태 확인

센서에서 시스템 상태를 확인합니다.

시스템 상태 도구에 액세스하려면:

  1. 관리자 사용자 자격 증명으로 센서에 로그인하고 시스템 설정>시스템 상태 확인을 선택합니다.

  2. 시스템 상태 검사 창의 메뉴에서 명령을 선택하면 상자에서 자세한 내용을 볼 수 있습니다. 예시:

    센서 콘솔의 시스템 상태 검사 화면을 보여 주는 스크린샷.

시스템 상태 확인에는 다음이 포함됩니다.

이름 설명
온전성
- 어플라이언스 어플라이언스 온전성 검사를 실행합니다. CLI 명령 system-sanity를 사용하여 동일한 검사를 수행할 수 있습니다.
- 버전 어플라이언스 버전을 표시합니다.
- 네트워크 속성 센서 네트워크 매개 변수를 표시합니다.
Redis
- 메모리 사용된 메모리 양 및 남은 메모리 양과 같은 메모리 사용량에 대한 전반적인 상태를 제공합니다.
- 가장 긴 키 광범위한 메모리 사용을 유발할 수 있는 가장 긴 키를 표시합니다.
시스템
- 코어 로그 전체 시스템 로그를 내보내지 않고도 최근 로그 행을 볼 수 있도록 핵심 로그의 마지막 500개 행을 제공합니다.
- 작업 관리자 프로세스 테이블에 나타나는 작업을 다음 계층으로 변환합니다.

- 영구 계층(Redis)
- 캐시 계층(SQL)
- 네트워크 통계 네트워크 통계를 표시합니다.
- 위쪽 프로세스 테이블을 표시합니다. 실행 중인 시스템의 동적 실시간 보기를 제공하는 Linux 명령입니다.
- 백업 메모리 확인 다음을 확인하여 백업 메모리의 상태를 제공합니다.

- 백업 폴더의 위치
- 백업 폴더의 크기
- 백업 폴더의 제한 사항
- 마지막 백업이 수행된 시간
- 추가 백업 파일에 사용할 수 있는 공간
- ifconfig 어플라이언스의 실제 인터페이스에 대한 매개 변수를 표시합니다.
- CyberX nload 6초 테스트를 사용하여 네트워크 트래픽 및 대역폭을 표시합니다.
- Core의 오류, 로그 코어 로그 파일의 오류를 표시합니다.

CLI를 사용하여 시스템 상태 확인

시스템의 정상 상태를 테스트하기 전에 시스템이 작동하고 실행 중인지 확인합니다.

자세한 내용은 OT 네트워크 센서의 CLI 명령 참조를 참조하세요.

시스템의 온전성을 테스트하려면:

  1. Linux 터미널(예: PuTTY) 및 사용자 관리자를 사용하여 CLI에 연결합니다.

  2. system sanity를 입력합니다.

  3. 모든 서비스가 녹색(실행 중)인지 확인합니다.

    실행 중인 서비스를 보여 주는 스크린샷.

  4. System is UP! (prod)가 맨 아래에 표시되는지 확인합니다.

올바른 버전을 사용하고 있는지 확인합니다.

시스템 버전을 확인하려면:

  1. Linux 터미널(예: PuTTY) 및 사용자 관리자를 사용하여 CLI에 연결합니다.

  2. system version를 입력합니다.

  3. 올바른 버전이 표시되는지 확인합니다.

설치 프로세스 중에 구성된 모든 입력 인터페이스가 실행 중인지 확인합니다.

시스템의 네트워크 상태의 유효성을 검사하려면:

  1. Linux 터미널(예: PuTTY) 및 사용자 관리자 사용자를 사용하여 CLI에 연결합니다.

  2. network list(Linux 명령 ifconfig에 해당)를 입력합니다.

  3. 필요한 입력 인터페이스가 나타나는지 확인합니다. 예를 들어 2개의 쿼드 구리 NIC가 설치된 경우 목록에 10개의 인터페이스가 있어야 합니다.

    인터페이스 목록을 보여 주는 스크린샷.

콘솔 웹 GUI에 액세스할 수 있는지 확인합니다.

관리자가 UI에 액세스할 수 있는지 확인하려면:

  1. 이더넷 케이블을 사용하여 랩톱을 관리 포트(Gb1)에 연결합니다.

  2. 어플라이언스와 동일한 범위에 있어야 하는 랩톱 NIC 주소를 정의합니다.

    UI에 대한 관리 액세스를 보여 주는 스크린샷.

  3. 랩톱에서 어플라이언스의 IP 주소를 ping하여 연결을 확인합니다(기본값: 10.100.10.1).

  4. 랩톱에서 크롬 브라우저를 열고 어플라이언스의 IP 주소를 입력합니다.

  5. 프라이빗 연결이 아닙니다. 창에서 고급을 선택하고 계속 진행합니다.

  6. Defender for IoT 로그인 화면이 나타나면 테스트가 성공한 것입니다.

    관리 콘솔에 대한 액세스를 보여 주는 스크린샷.

지원을 위해 진단 로그 다운로드

이 절차에서는 특정 지원 티켓과 관련하여 지원 서비스에 보낼 진단 로그를 다운로드하는 방법을 설명합니다.

이 기능은 다음 센서 버전에서 지원됩니다.

  • 22.1.1 - 센서 콘솔에서 진단 로그 다운로드
  • 22.1.3 이상 - 로컬로 관리되는 센서의 경우 Azure Portal의 사이트 및 센서 페이지에서 진단 로그를 업로드합니다. 이 파일은 클라우드 연결 센서에서 티켓을 열 때 지원하도록 자동으로 전송됩니다.

Azure Portal에서 다운로드한 모든 파일은 신뢰할 수 있는 루트에서 서명하므로 컴퓨터는 서명된 자산만 사용합니다.

진단 로그를 다운로드하려면 다음을 수행합니다.

  1. 센서 콘솔에서 시스템 설정 > 센서 관리 > 상태 및 문제 해결 > 백업 및 복원 > 백업을 선택합니다.

  2. 로그에서 지원 티켓 진단을 선택한 다음, 내보내기를 선택합니다.

    지원 티켓 진단 옵션을 보여주는 백업 복원 창의 스크린샷.

  3. 로컬로 관리되는 센서 버전 22.1.3 이상의 경우 지원을 위해 진단 로그 업로드를 계속 진행합니다.

포렌식 데이터 검색

다음 유형의 포렌식 데이터는 해당 센서에서 감지된 디바이스에 대해 OT 센서에 로컬로 저장됩니다.

  • 디바이스 데이터
  • 경고 데이터
  • 경고 PCAP 파일
  • 이벤트 타임라인 데이터
  • 로그 파일

OT 네트워크 센서에서 OT 센서의 데이터 마이닝 보고서 또는 Azure Monitor 통합 문서를 사용하여 해당 센서의 스토리지에서 포렌식 데이터를 검색합니다. 데이터 형식마다 보존 기간과 최대 용량이 다릅니다.

자세한 내용은 Microsoft Defender for IoT 전반의 데이터 보존을 참조하세요.

웹 인터페이스를 사용하여 연결할 수 없습니다.

  1. 연결하려는 컴퓨터가 어플라이언스와 동일한 네트워크에 있는지 확인합니다.

  2. GUI 네트워크가 관리 포트에 연결되어 있는지 확인합니다.

  3. 어플라이언스의 IP 주소를 Ping합니다. ping이 없는 경우:

    1. 모니터와 키보드를 어플라이언스에 연결합니다.

    2. 관리자 사용자 및 암호를 사용하여 로그인합니다.

    3. network list 명령을 사용하여 현재 IP 주소를 확인합니다.

  4. 네트워크 매개 변수가 잘못 구성된 경우 다음 절차를 사용하여 해당 매개 변수를 변경합니다.

    1. network edit-settings 명령을 사용합니다.

    2. 관리 네트워크 IP 주소를 변경하려면 Y를 선택합니다.

    3. 서브넷 마스크를 변경하려면 Y를 선택합니다.

    4. DNS를 변경하려면 Y를 선택합니다.

    5. 기본 게이트웨이 IP 주소를 변경하려면 Y를 선택합니다.

    6. 입력 인터페이스를 변경(센서 전용)하려면 N을 선택합니다.

    7. 설정을 적용하려면 Y를 선택합니다.

  5. 다시 시작한 후 관리자 사용자 자격 증명을 사용하여 연결하고 network list 명령을 사용하여 매개 변수가 변경되었는지 확인합니다.

  6. ping하고 GUI에서 다시 연결해 보세요.

어플라이언스가 응답하지 않는 경우

  1. 모니터와 키보드를 어플라이언스에 연결하거나 PuTTY를 사용하여 CLI에 원격으로 연결합니다.

  2. 관리자 사용자 자격 증명을 사용하여 로그인합니다.

  3. system sanity 명령을 사용하여 모든 프로세스가 실행 중인지 확인합니다. 예시:

    시스템 온전성 명령을 보여 주는 스크린샷.

기타 문제는 Microsoft 지원에 문의하세요.

초기 로그인 시 암호 오류 조사

미리 구성된 센서에 처음으로 로그인할 때 다음과 같이 암호 복구를 수행해야 합니다.

  1. Defender for IoT 로그인 화면에서 암호 복구를 선택합니다. 암호 복구 화면이 열립니다.

  2. 관리자 또는 CyberX를 선택하고 고유 식별자를 복사합니다.

  3. Azure Portal로 이동하고 사이트 및 센서를 선택합니다.

  4. 추가 작업 드롭다운 메뉴를 선택하고 온-프레미스 관리 콘솔 암호 복구를 선택합니다.

    온-프레미스 관리 콘솔 암호 복구 옵션의 스크린샷

  5. 암호 복구 화면에서 받은 고유 식별자를 입력하고 복구를 선택합니다. password_recovery.zip 파일이 다운로드됩니다. zip 파일을 추출하거나 수정하지 마세요.

    복구 대화 상자의 스크린샷

  6. 암호 복구 화면에서 업로드를 선택합니다. 암호 복구 파일 업로드 창이 열립니다.

  7. 찾아보기를 선택하여 password_recovery.zip 파일을 찾거나 password_recovery.zip을 창으로 끕니다.

  8. 다음을 선택하면 관리 콘솔에 사용할 수 있는 사용자, 그리고 시스템에서 생성된 암호가 표시됩니다.

    참고 항목

    처음으로 센서에 로그인할 때 Auzre 구독에 링크되며 관리자 사용자의 암호를 복구해야 하는 경우에 필요합니다. 자세한 내용은 센서에 대한 권한 있는 액세스 복구를 참조하세요.

트래픽 부족 조사

센서는 구성된 포트 중 하나에 트래픽이 없음을 인식하면 콘솔 맨 위에 표시기가 나타납니다. 이 표시기는 모든 사용자에게 표시됩니다. 이 메시지가 표시되면 트래픽이 없는 위치를 조사할 수 있습니다. 범위 케이블이 연결되어 있고 범위 아키텍처에 변경 내용이 없는지 확인합니다.

시스템 성능 검사

새 센서가 배포되거나, 센서가 느리게 작동하거나, 경고를 표시하지 않는 경우 시스템 성능을 확인할 수 있습니다.

  1. 센서에 로그인하고 개요를 선택합니다. PPS가 0보다 크고 디바이스가 발견되고 있는지 확인합니다.
  2. 데이터 마이닝 페이지에서 보고서를 생성합니다.
  3. 추세 및 통계 페이지에서 대시보드를 만듭니다.
  4. 경고 페이지에서 경고가 만들어졌는지 확인합니다.

예상되는 경고 부족 조사

경고 창에 필요한 경고가 표시되지 않으면 다음을 확인합니다.

  1. 동일한 경고가 경고 창에 다른 보안 인스턴스에 대한 반응으로 이미 나타나는지 확인합니다. 그렇다면 이 경고가 아직 처리되지 않은 경우에는 센서 콘솔에 새 경고가 표시되지 않습니다.
  2. 관리 콘솔에서 경고 제외 규칙을 사용하여 이 경고를 제외하지 않았는지 확인합니다.

데이터가 표시되지 않는 대시보드 조사

대시보드의 추세 및 통계 창에 데이터가 표시되지 않으면 다음을 수행합니다.

  1. 시스템 성능을 검사합니다.
  2. 시간 및 지역 설정이 제대로 구성되어 있고 이후 시간으로 설정되어 있지 않은지 확인합니다.

브로드캐스팅 디바이스만 표시하는 디바이스 맵 조사

디바이스 맵에 표시된 디바이스가 서로 연결되어 있지 않으면 SPAN 포트 구성에 문제가 있을 수 있습니다. 즉, 브로드캐스팅 디바이스만 표시되고 유니캐스트 트래픽은 표시되지 않을 수 있습니다.

  1. 브로드캐스트 트래픽만 표시되는지 확인합니다. 이렇게 하려면 데이터 마이닝에서 보고서 만들기를 선택합니다. 새 보고서 만들기에서 보고서 필드를 지정합니다. 범주 선택에서 모두 선택을 선택합니다.
  2. 보고서를 저장하고 검토하여 브로드캐스트 및 멀티캐스트 트래픽(유니캐스트 트래픽 없음)만 표시되는지 확인합니다. 그렇다면 네트워킹 팀에 문의하여 유니캐스트 트래픽도 볼 수 있도록 SPAN 포트 구성을 수정합니다. 또는 스위치에서 직접 PCAP를 기록하거나 Wireshark를 사용하여 노트북을 연결할 수 있습니다.

자세한 내용은 다음을 참조하세요.

NTP에 센서 연결

독립 실행형 센서 및 센서가 연결된 관리 콘솔을 구성하여 NTP에 연결할 수 있습니다.

대규모로 OT 센서 설정 관리를 시작할 준비가 되면 Azure Portal에서 NTP 설정을 정의합니다. Azure Portal에서 설정을 적용하면 센서 콘솔의 설정은 읽기 전용입니다. 자세한 내용은 Azure Portal에서 OT 센서 설정 구성(공개 미리 보기)을 참조하세요.

독립 실행형 센서를 NTP에 연결하려면

관리 콘솔에서 제어하는 센서를 NTP에 연결하려면

  • NTP에 대한 연결은 관리 콘솔에서 구성됩니다. 관리 콘솔에서 제어하는 모든 센서가 NTP 연결을 자동으로 가져옵니다.

경우에 따라 ICS 디바이스는 외부 IP 주소로 구성됩니다. 이러한 ICS 디바이스는 맵에 표시되지 않습니다. 디바이스 대신, 인터넷 클라우드가 맵에 표시됩니다. 이러한 디바이스의 IP 주소는 클라우드 이미지에 포함됩니다. 동일한 문제가 있다는 또 다른 표시는 인터넷 관련 경고가 여러 개 나타나는 경우입니다. 다음과 같이 문제를 해결합니다.

  1. 디바이스 맵의 클라우드 아이콘을 마우스 오른쪽 단추로 클릭하고 IP 주소 내보내기를 선택합니다.
  2. 프라이빗인 퍼블릭 범위를 복사하고 서브넷 목록에 추가합니다. 자세한 내용은 서브넷 목록 미세 조정을 참조하세요.
  3. 인터넷 연결에 대한 새 데이터 마이닝 보고서를 생성합니다.
  4. 데이터 마이닝 보고서에서 관리자 모드를 시작하고 ICS 디바이스의 IP 주소를 삭제합니다.

센서 데이터 지우기

센서를 재배치하거나 지워야 하는 경우 학습된 모든 데이터를 센서에서 지울 수 있습니다.

시스템 데이터를 지우는 방법에 대한 자세한 내용은 OT 센서 데이터 지우기를 참조하세요.

문제 해결을 위해 센서 콘솔에서 로그 내보내기

추가 문제 해결을 위해 데이터베이스 또는 운영 체제 로그와 같은 로그를 내보내 지원 팀에 보낼 수 있습니다.

로그 데이터를 내보내려면 다음을 수행합니다.

  1. 센서 콘솔에서 시스템 설정>센서 관리>백업 및 복원>백업으로 이동합니다.

  2. 문제 해결 정보 내보내기 대화 상자에서 다음을 수행합니다.

    1. 파일 이름 필드에 내보낸 로그의 의미 있는 이름을 입력합니다. 기본 파일 이름은 현재 날짜를 사용합니다(예: 13:10-June-14-2022.tar.gz).

    2. 내보낼 로그를 선택합니다.

    3. 내보내기를 선택합니다.

    파일이 내보내지고 문제 해결 정보 내보내기 대화 상자의 맨 아래에 있는 보관된 파일 목록에서 연결됩니다.

    예시:

    센서 콘솔의 문제 해결 정보 내보내기 대화 상자 스크린샷.

  3. 파일 링크를 선택하여 내보낸 로그를 다운로드하고 단추를 선택하여 일회성 암호를 봅니다.

  4. 내보낸 로그를 열려면 다운로드한 파일과 일회성 암호를 지원 팀에 전달합니다. 내보낸 로그는 Microsoft 지원 팀과 함께만 열 수 있습니다.

    로그를 안전하게 유지하려면 다운로드한 로그와 별도로 암호를 전달해야 합니다.

참고 항목

지원 티켓 진단은 센서 콘솔에서 다운로드한 다음, Azure Portal 지원 팀에 직접 업로드할 수 있습니다. 진단 로그 다운로드에 대한 자세한 내용은 지원을 위한 진단 로그 다운로드를 참조하세요.

다음 단계