Insight Network Sensor故障排除

如果您的一个或多个洞察网络传感器报告错误或者已部署传感器，则要使用此故障排除指南，或者您没有将任何数据放入日志搜索。您将需要管理员访问您的InsightIdr实例和shell或ssh访问传感器主机以执行这些故障排除步骤。

检查传感器管理

如果您正在处理的传感器未在传感器管理中显示，则不会向平台发送信标。这通常表示传感器无法建立出站连接的通信问题endpoint.ingress.rapid7.com在TCP端口443上。确保您已启用防火墙上的出站规则以允许此通信。

如果传感器存在但不提供数据，请查看任何错误消息。最常见的是：

• 没有跨度流量。请查阅配置网络流量源
• 不兼容的CPU。请查阅这些要求
• 只检测到一个NIC。请查阅这些要求

传感器故障排除通过命令外壳

网卡的问题

Insight Network Sensor需要两个网络接口才能正常工作。一个用于管理，一个用于网络流量捕获。接口需要处于UP状态才能被检测到。要查看shell中所有可用的接口，请尝试:

$sudo ip addr列表

一个“向下”的接口看起来像Ens5：<广播，组播>

把它带起来：$Sudo IP link set ens5 up

所以它看起来像ens39:

检查传感器是否正在接收流量

访问传感器管理页面并记下与问题传感器相关的NIC的名称。对于此示例，我将使用ENS5和10.1.1作为传感器被配置为监视的网络设备的IP地址。

运行命令sudo tcpdump -i ens5 -nt host 10.1.1.1

您应该遵守与监视主机关联的网络数据包。如果没有观察到流量，您需要查看您的方法网络流量来源设置了。

网络传感器IDS健康检查

IDS测试

试着从你的传感器监控的系统中访问这个URL。

http://www.rapid7.com/networksoridstest/

如果正常配置正确，将触发警报。注意需要是一个HTTP请求而不是https。您将获得一个未找到错误的页面，但这是可以的，IDS规则将触发出站请求。访问日志搜索界面并检查警报是否出现IDS警报日志设置。

检查传感器是否正在向您的InsightIdr帐户提供数据

如果您的传感器正在传递数据，您应该在下面看到每个传感器的条目DNS查询和/或主持人观察记录集。如果您在Ultimate IDR包中添加了或订阅了ENTA，那么您还将拥有网络流量日志。

当首先部署传感器时，数据需要几分钟才能出现在日志搜索中。建议在运行查询和/或构建仪表板之前等待一小时。如果您没有观察到日志搜索中的任何传感器，请检查传感器配置，并确保已启用ID和流量监控。

如果启用了两个选项，并且传感器数据未进入日志搜索返回到检查传感器是否正在接收流量在本指南中进一步迈进。

AWS基于云的传感器

我们观察到基于云的传感器的最常见问题是没有添加相关的防火墙规则，并且在尝试连接到平台或从监视的VPC传递镜像流量时，传感器将具有问题。请查看要求这个页面

从数据收集管理中删除传感器

拆卸传感器时，需要关闭主机系统和/或移除传感器软件。一旦这些步骤完成，您需要离线7天，传感器将自动从传感器管理中消失。

要卸载传感器软件，请使用带有传感器安装程序的以下命令

sudo。/ sensor_installer.sh卸载

此过程不会从日志搜索中删除传感器数据，也不会从IDR中删除源自已删除传感器的任何警报/调查。