針對感應器進行疑難排解 (部分機器翻譯)
本文說明感測器的基本疑難解答工具。 除了這裡所述的專案之外,您還可以使用下列方式檢查系統的健康情況:
- 警示:當監視流量的感測器介面關閉時,就會建立警示。
- SNMP:感測器健康情況會透過SNMP進行監視。 適用於IoT的 Microsoft Defender 會回應從授權監視伺服器傳送的 SNMP 查詢。
- 系統通知:當管理控制台控制感測器時,您可以轉送有關感測器備份失敗和已中斷連線感測器的警示。
如需任何其他問題,請連絡 Microsoft 支援服務。
必要條件
若要執行本文中的程式,請確定您有:
- 以預設 系統管理員 使用者身分存取 OT 網路感測器。 如需詳細資訊,請參閱預設特殊權限內部部署使用者。
檢查感測器 - 雲端連線問題
OT 感測器會自動執行連線檢查,以確保您的感測器能夠存取所有必要的端點。 如果未連接感測器,則會在 Azure 入口網站、月臺和感測器頁面上,以及感測器的 [概觀] 頁面上指出錯誤。 例如:
![[概觀] 頁面上連線錯誤的螢幕快照。](media/release-notes/connectivity-error.png#lightbox)
```
使用 OT 感測器中的 [ 雲端連線疑難解答 ] 頁面,深入瞭解所發生的錯誤,以及您可以採取的建議風險降低動作。
若要針對連線錯誤進行疑難解答,請登入 OT 感測器並執行下列其中一項作業:
- 從感測器的 [概觀 ] 頁面中,選取 頁面頂端錯誤中的 [疑難解答] 連結
- 選取 [系統設定>感測器管理>健康情況] 並針對雲端連線能力進行疑難解答>
[ 雲端連線疑難解答 ] 窗格隨即在右側開啟。 如果感測器連線到 Azure 入口網站,窗格會指出感測器已成功連線到雲端。 如果感測器未連線,則會改為列出問題的描述和任何風險降低指示。 例如:
[ 雲端連線能力疑難解答 ] 窗格涵蓋下列類型的問題:
| 問題 | 描述 |
|---|---|
| 建立安全連線時發生錯誤 | 發生於 SSL 錯誤,這通常表示感測器不信任找到的憑證。 這可能是因為感測器時間設定不正確或使用SSL檢查服務所造成。 SSL 檢查服務通常會在 Proxy 中找到,而且可能會導致潛在的憑證錯誤。 如需詳細資訊,請參閱管理 OT 感測器上的 SSL/TLS 憑證和同步時區。 |
| 一般連線錯誤 | 當感測器無法與一或多個必要端點連線時發生。 在這種情況下,請確定所有必要端點都可從您的感測器存取,並考慮在防火牆中設定更多端點。 如需詳細資訊,請參閱為雲端管理佈建感應器。 |
| 無法連線的 DNS 伺服器錯誤 | 發生於感測器因 DNS 伺服器無法連線而無法執行名稱解析時。 在這種情況下,請確認您的感測器可以存取 DNS 伺服器。 如需詳細資訊,請參閱 更新 OT 感測器網路設定 |
| Proxy 驗證問題 | 當 Proxy 要求驗證,但未提供認證或不正確的認證時發生。 在這種情況下,請確定您已正確設定 Proxy 認證。 如需詳細資訊,請參閱 更新 OT 感測器網路設定。 |
| 名稱解析失敗 | 當感測器無法針對特定端點執行名稱解析時發生。 在這種情況下,如果您的 DNS 伺服器可連線,請確定您的感測器上已正確設定 DNS 伺服器。 如果設定正確,建議您連絡 DNS 系統管理員。 如需詳細資訊,請參閱 更新 OT 感測器網路設定。 |
| 無法連線的 Proxy 伺服器錯誤 | 當感測器無法與 Proxy 伺服器建立連線時發生。 在這種情況下,請向網路小組確認 Proxy 伺服器的可觸達性。 如需詳細資訊,請參閱 更新 OT 感測器網路設定。 |
| 偵測到時間漂移 | 當感測器的 UTC 時間未與 Azure 入口網站 上的適用於 IoT 的 Defender 同步處理時發生。 在此情況下,請設定網路時間通訊協定 (NTP) 伺服器,以 UTC 時間同步處理感測器。 如需詳細資訊,請參閱從 Azure 入口網站 設定 OT 感測器設定。 |
檢查系統健康情況
從感測器檢查系統健康情況。
若要存取系統健康情況工具:
使用系統管理員使用者認證登入感測器,然後選取 [系統 設定
> 系統健康情況檢查]。在 [ 系統健康情況檢查 ] 窗格中,從功能表選取命令,以在方塊中檢視更多詳細數據。 例如:
系統健康情況檢查包括下列各項:
| 名稱 | 描述 |
|---|---|
| 理智 | |
| -應用 | 執行設備理智檢查。 您可以使用 CLI 命令 system-sanity來執行相同的檢查。 |
| -版本 | 顯示設備版本。 |
| - 網路屬性 | 顯示感測器網路參數。 |
| Redis | |
| - 記憶體 | 提供記憶體使用量的整體圖片,例如已使用多少記憶體,以及保留多少記憶體。 |
| - 最長的索引鍵 | 顯示可能導致大量記憶體使用量的最長索引鍵。 |
| 系統 | |
| - 核心記錄檔 | 提供核心記錄檔的最後 500 個數據列,讓您可以檢視最近的記錄數據列,而不匯出整個系統記錄檔。 |
| - 任務管理員 | 將出現在進程數據表中的工作轉譯為下列層: - 持續性層 (Redis) - 快取層 (SQL) |
| - 網路統計數據 | 顯示您的網路統計數據。 |
| -返回頁首 | 顯示進程數據表。 這是Linux命令,可提供執行中系統的動態即時檢視。 |
| - 備份記憶體檢查 | 提供備份記憶體的狀態,並檢查下列專案: - 備份資料夾的位置 - 備份資料夾的大小 - 備份資料夾的限制 - 上次備份發生時 - 額外備份文件的空間量 |
| - ifconfig | 顯示設備實體介面的參數。 |
| - CyberX nload | 使用六秒的測試顯示網路流量和頻寬。 |
| - 核心記錄檔的錯誤 | 顯示核心記錄檔的錯誤。 |
使用 CLI 檢查系統健康情況
在測試系統理智之前,請先確認系統已啟動並執行。
如需詳細資訊,請參閱 OT 網路感測器的 CLI 命令參考。
若要測試系統的理智:
使用 Linux 終端機 (例如 PuTTY) 和使用者系統管理員,連線 至 CLI。
輸入
system sanity。檢查所有服務是否為綠色(執行中)。
確認 系統為UP!(prod) 會出現在底部。
確認已使用正確的版本:
若要檢查系統的版本:
使用 Linux 終端機 (例如 PuTTY) 和使用者管理員,連線 至 CLI。
輸入
system version。檢查是否顯示正確的版本。
確認安裝程式期間設定的所有輸入介面都正在執行:
若要驗證系統的網路狀態:
使用 Linux 終端機 (例如 PuTTY) 和系統管理員使用者,連線 至 CLI。
Enter
network list(相當於 Linux 命令ifconfig)。驗證所需的輸入介面是否出現。 例如,如果已安裝兩個四邊銅 NIC,則清單中應該有 10 個介面。
確認您可以存取主控台 Web GUI:
若要檢查管理是否具有UI的存取權:
連線 具有乙太網路纜線的膝上型電腦連接到管理埠 (Gb1)。
定義與設備位於相同範圍的膝上型電腦 NIC 位址。
從膝上型電腦 Ping 設備 IP 位址以驗證連線能力(預設值:10.100.10.1)。
在膝上型計算機中開啟 Chrome 瀏覽器,然後輸入設備的 IP 位址。
在 [ 您的連線不是私人 ] 視窗中,選取 [ 進階 ],然後繼續進行。
當適用於IoT的Defender登入畫面出現時,測試就會成功。
下載診斷記錄以取得支援
此程式描述如何下載診斷記錄檔,以傳送給與特定支援票證相關的支援。
下列感測器版本支援此功能:
- 22.1.1 - 從感測器主控台下載診斷記錄。
- 22.1.3 和更新版本 - 針對本機管理的感測器,請從 Azure 入口網站 的 [月臺和感測器] 頁面上傳診斷記錄。 當您在雲端連接的感測器上開啟票證時,會自動傳送此檔案以支援此檔案。
從 Azure 入口網站下載的所有檔案都會以信任的根目錄簽署,讓您的機器只使用已簽署的資產。
若要下載診斷記錄檔:
在感測器控制臺上,選取 [系統設定>感測器管理>健康情況] 並針對備份和還原>備份進行疑難解答>。
在 [記錄] 底下,選取 [支援票證診斷],然後選取 [導出]。
![[備份與還原] 窗格的螢幕快照,其中顯示 [支援票證診斷] 選項。](media/release-notes/support-ticket-diagnostics.png)
針對本機受控感測器 22.1.3 版或更高版本,請繼續 上傳診斷記錄以支援。
![[備份與還原] 窗格的螢幕快照,其中顯示 [支援票證診斷] 選項。](media/release-notes/support-ticket-diagnostics.png#lightbox)
擷取鑑識數據
針對該感應器偵測到的裝置,以下類型的鑑識資料會儲存在 OT 感應器本機上:
- 裝置資料
- 警示資料
- 警示 PCAP 檔案
- 事件時間表資料
- 記錄檔
使用 OT 感測器 的數據採礦報告 或 OT 網路感測器上的 Azure 監視器 活頁簿,從該感測器的記憶體擷取鑑識數據。 每種資料類型都有不同的保留期間和最大容量。
如需詳細資訊,請參閱 適用於IoT的 Microsoft Defender 的數據保留。
您無法使用 Web 介面進行連線
確認您嘗試連線的電腦位於與設備相同的網路上。
確認 GUI 網路已連線到管理埠。
Ping 裝置的IP位址。 如果沒有 Ping:
連線 顯示器和鍵盤到設備。
使用系統管理員用戶和密碼登入。
使用 命令
network list來查看目前的IP位址。
如果網路參數設定錯誤,請使用下列程式來變更它們:
使用
network edit-settings命令。若要變更管理網路 IP 位址,請選取 [Y]。
若要變更子網掩碼,請選取 [Y]。
若要變更 DNS,請選取 [Y]。
若要變更預設閘道 IP 位址,請選取 [Y]。
針對輸入介面變更(僅限感測器),選取 [N]。
若要套用設定,請選取 [Y]。
重新啟動之後,請使用 系統管理員 使用者認證連線,並使用
network list命令來確認參數已變更。再次嘗試 Ping 並從 GUI 進行連線。
設備沒有回應
連線 監視器和鍵盤到設備,或使用 PuTTY 從遠端連線到 CLI。
使用系統管理員用戶認證來登入。
system sanity使用 命令,並檢查所有進程是否正在執行。 例如:
如需任何其他問題,請連絡 Microsoft 支援服務。
調查初始登入時的密碼失敗
第一次登入預先設定的感測器時,您必須執行密碼復原,如下所示:
在 [適用於IoT的Defender 登入] 畫面上,選取 [ 密碼復原]。 [密碼復原] 畫面會隨即開啟。
選取 [管理員] 或 [CyberX],然後複製唯一標識符。
流覽至 Azure 入口網站,然後選取 [網站和感測器]。
選取 [ 更多動作] 下拉功能表,然後選取 [ 復原內部部署管理控制台密碼]。
輸入您在 [密碼復原] 畫面上收到的唯一識別碼,然後選取 [復原]。 系統會下載
password_recovery.zip檔案。 請勿擷取或修改 zip 檔案。![[復原] 對話框的螢幕快照。](media/how-to-create-and-manage-users/enter-identifier.png)
在 [ 密碼復原] 畫面上,選取 [ 上傳]。 [上傳密碼復原檔案] 視窗會隨即開啟。
選取 [瀏覽] 來找出您的
password_recovery.zip檔案,或將password_recovery.zip拖曳至視窗。選取 [下一步],您管理主控台的使用者和系統產生的密碼會隨即顯示。
注意
當您第一次登入感測器時,它會連結到您的 Azure 訂用帳戶,如果您需要復原系統管理員使用者的密碼,您將需要此訂用帳戶。 如需詳細資訊,請參閱 復原對感測器的特殊許可權存取。
調查流量不足
當感測器辨識其中一個設定的埠上沒有流量時,控制台頂端會出現指標。 所有使用者都可以看到此指標。 當此訊息出現時,您可以調查沒有流量的位置。 請確定已連接跨線,而且跨度架構中沒有任何變更。
檢查系統效能
部署新的感測器或感測器運作緩慢或未顯示任何警示時,您可以檢查系統效能。
- 登入感測器,然後選取 [ 概觀]。 請確定 PPS 大於 0,且正在探索到該 裝置 。
- 在 [ 數據採礦 ] 頁面中,產生報表。
- 在 [ 趨勢與統計數據 ] 頁面中,建立儀錶板。
- 在 [ 警示] 頁面中,檢查是否已建立警示。
調查缺少預期的警示
如果 [ 警示 ] 視窗未顯示您預期的警示,請確認下列事項:
- 檢查相同的警示是否已出現在 [警示 ] 視窗中,作為對不同安全性實例的反應。 如果是,且尚未處理此警示,感測器控制台不會顯示新的警示。
- 請確定您未使用 管理控制台中的警示排除規則來 排除此警示。
調查未顯示數據的儀錶板
當 [趨勢與統計數據] 視窗中的儀錶板未顯示任何數據時,請執行下列動作:
- 檢查系統效能。
- 請確定時間與區域設定已正確設定,且不會設定為未來的時間。
調查只顯示廣播裝置的裝置對應
當裝置對應上顯示的裝置似乎未彼此連線時,SPAN 埠設定可能會有問題。 也就是說,您可能會只看到廣播裝置,而且沒有單播流量。
- 驗證您只會看到廣播流量。 若要這樣做,請在 [數據採礦] 中,選取 [建立報表]。 在 [建立新報表] 中,指定報表欄位。 在 [選擇類別] 中,選擇 [ 全部選取]。
- 儲存報告,並檢閱它以查看是否只出現廣播和多播流量(且沒有單播流量)。 若是如此,請連絡您的網路小組以修正SPAN埠設定,以便您也可以看到單播流量。 或者,您可以直接從交換器錄製PCAP,或使用Wireshark連接膝上型電腦。
如需詳細資訊,請參閱
將感測器 連線 至 NTP
您可以使用與其相關的感測器來設定獨立感測器和管理主控台,以連線到NTP。
提示
當您準備好開始大規模管理 OT 感測器設定時,請從 Azure 入口網站 定義 NTP 設定。 一旦您從 Azure 入口網站 套用設定,感測器控制臺上的設定是唯讀的。 如需詳細資訊,請參閱從 Azure 入口網站 設定 OT 感測器設定(公開預覽版)。
若要將獨立感測器連線到 NTP:
若要將管理主控台所控制的感測器連線到NTP:
- 與 NTP 的連線是在管理控制台上設定。 管理主控台控制的所有感測器都會自動取得NTP連線。
調查地圖上未顯示裝置,或您有多個因特網相關警示
有時候ICS裝置會使用外部IP位址進行設定。 這些ICS裝置不會在地圖上顯示。 而不是裝置,因特網雲端會出現在地圖上。 這些裝置的IP位址會包含在雲端映像中。 另一個相同問題的指示是多個因特網相關警示出現時。 修正此問題,如下所示:
- 以滑鼠右鍵按兩下裝置對應上的雲端圖示,然後選取 [ 匯出IP位址]。
- 複製私用的公用範圍,並將其新增至子網清單。 如需詳細資訊,請參閱 微調子網清單。
- 產生因特網連線的新數據採礦報告。
- 在數據採礦報告中,輸入系統管理員模式,並刪除ICS裝置的IP位址。
清除感測器數據
在需要重新放置或清除感測器的情況下,所有學習的數據都可以從感測器中清除。
如需如何清除系統數據的詳細資訊,請參閱 清除 OT 感測器數據。
從感測器主控台導出記錄以進行疑難解答
如需進一步的疑難解答,您可以匯出記錄以傳送給支援小組,例如資料庫或操作系統記錄。
若要匯出記錄資料:
在感測器控制台中,移至 [系統設定>感測器管理>備份與還原>備份]。
在 [ 匯出疑難解答資訊 ] 對話框中:
在 [ 檔名] 欄位中,輸入匯出記錄檔的有意義名稱。 默認檔名會使用目前的日期,例如 13:10-June-14-2022.tar.gz。
選取您想要導出的記錄。
選取匯出。
檔案會匯出,而且會從 [導出疑難解答資訊] 對話框底部的 [封存盤案] 列表連結。
例如:
![感測器控制台中 [導出疑難解答資訊] 對話框的螢幕快照。](media/how-to-troubleshoot-the-sensor-and-on-premises-management-console/export-logs-sensor.png)
選取檔案連結以下載導出的記錄檔,並選取
按鈕來檢視其單次密碼。若要開啟導出的記錄,請將下載的檔案和一次性密碼轉寄給支援小組。 導出的記錄只能與 Microsoft 支援小組一起開啟。
若要保護您的記錄,請務必將密碼與下載的記錄分開轉寄。
![感測器控制台中 [導出疑難解答資訊] 對話框的螢幕快照。](media/how-to-troubleshoot-the-sensor-and-on-premises-management-console/export-logs-sensor.png#lightbox)
注意
您可以從感測器主控台下載支援票證診斷,然後直接上傳至 Azure 入口網站 中的支持小組。 如需下載診斷記錄的詳細資訊,請參閱 下載診斷記錄以取得支援。