センサーのトラブルシューティングを行う
この記事では、センサーの基本的なトラブルシューティング ツールについて説明します。 ここで説明する項目に加えて、次の方法でシステムの正常性を確認できます。
- アラート:トラフィックを監視するセンサー インターフェイスがダウンしたときにアラートが作成されます。
- SNMP:センサーの正常性は SNMP によって監視されます。 Microsoft Defender for IoT は、認可済みの監視サーバーから送信された SNMP クエリに応答します。
- システム通知:管理コンソールでセンサーを制御すると、失敗したセンサー バックアップと切断されたセンサーに関するアラートを転送できます。
その他の問題については、Microsoft サポートにお問い合わせください。
前提条件
この記事の手順を実行する前に、次のものがあることを確認してください。
- 既定の admin ユーザーとして OT ネットワーク センサーにアクセスします。 詳細については、「既定の特権オンプレミス ユーザー」を参照してください。
センサーの確認 - クラウド接続の問題
OT センサーは、接続チェックを自動的に実行して、センサーが必要なすべてのエンドポイントにアクセスできることを確認します。 センサーが接続されていない場合は、Azure portal の [サイトとセンサー] ページと、センサーの [概要] ページにエラーが示されます。 次に例を示します。
OT センサーの [クラウド接続のトラブルシューティング] ページを使用して、発生したエラーと、実行できる推奨される軽減アクションの詳細を確認します。
接続エラーのトラブルシューティングを行うには、OT センサーにサインインし、次のいずれかの操作を行います。
- センサーの [概要] ページで、ページの上部にあるエラーの [トラブルシューティング]* リンクを選択します。
- [システム設定] > [センサー管理] > [正常性とトラブルシューティング] > [クラウド接続のトラブルシューティング] の順に選択します。
右側に [クラウド接続のトラブルシューティング] ペインが開きます。 センサーが Azure portal に接続されている場合、センサーがクラウドに正常に接続されていることを表示されます。 センサーが接続されていない場合、問題の説明と軽減策の手順が代わりに一覧表示されます。 次に例を示します。
[クラウド接続のトラブルシューティング] ペインは、次の種類の問題に対応します。
問題 | 説明 |
---|---|
セキュリティ保護された接続の確立に関するエラー | SSL エラーの場合に発生します。これは通常、検出された証明書をセンサーが信頼しないことを意味します。 これは、センサーの時刻の構成が正しくないか、SSL インスペクション サービスを使用しているために発生する可能性があります。 SSL インスペクション サービスはプロキシによく見られ、証明書エラーが発生する可能性があります。 詳細については、「SSL/TLS 証明書を管理する」と「OT センサーのタイム ゾーンを同期する」を参照してください。 |
一般的な接続エラー | センサーが 1 つ以上の必要なエンドポイントに接続できない場合に発生します。 このような場合は、必要なすべてのエンドポイントにセンサーからアクセスできることを確認し、ファイアウォールでより多くのエンドポイントを構成することを検討してください。 詳細については、「クラウド管理用のセンサーをプロビジョニングする」を参照してください。 |
到達できない DNS サーバー エラー | 到達できない DNS サーバーが原因でセンサーが名前解決を実行できない場合に発生します。 このような場合は、センサーが DNS サーバーにアクセスできることを確認します。 詳細については、「OT センサーのネットワーク構成を更新する」を参照してください。 |
プロキシ認証の問題 | プロキシが認証を要求したときに、資格情報または正しくない資格情報が指定されていない場合に発生します。 このような場合は、プロキシ資格情報が正しく構成されていることを確認します。 詳細については、「OT センサーのネットワーク構成を更新する」を参照してください。 |
名前解決エラー | センサーが特定のエンドポイントの名前解決を実行できない場合に発生します。 このような場合は、DNS サーバーに到達できる場合は、DNS サーバーがセンサー上で正しく構成されていることを確認します。 構成が正しい場合は、DNS 管理者に連絡することをお勧めします。 詳細については、「OT センサーのネットワーク構成を更新する」を参照してください。 |
到達できないプロキシ サーバー エラー | センサーがプロキシ サーバーとの接続を確立できない場合に発生します。 このような場合、ネットワーク チームにプロキシ サーバーの到達可能性を確認します。 詳細については、「OT センサーのネットワーク構成を更新する」を参照してください。 |
時間のずれが検出されました | センサーの UTC 時刻が、Azure portal 上の Defender for IoT と同期されていない場合に発生します。 この場合は、センサーが UTC 時刻で同期するように Network Time Protocol (NTP) サーバーを構成します。 詳細については、「Azure portal から OT センサー設定を構成する」を参照してください。 |
システム正常性のチェック
センサーからシステムの正常性を確認します。
システム正常性ツールにアクセスするには、次の手順を実行します:
admin ユーザーの資格情報を使用してセンサーにサインインし、[システム設定]>[システム正常性チェック] を選択します。
[システム正常性チェック] ペインで、メニューからコマンドを選択して、ボックスに詳細を表示します。 次に例を示します。
システムの正常性チェックには、次のものが含まれます:
Name | 説明 |
---|---|
サニティ | |
- アプライアンス | アプライアンスのサニティ チェックを実行します。 CLI コマンド system-sanity を使用して、同じチェックを実行できます。 |
- バージョン | アプライアンスのバージョンが表示されます。 |
- ネットワーク プロパティ | センサー ネットワークのパラメーターが表示されます。 |
Redis | |
- メモリ | 使用されたメモリの量や残りの量など、メモリ使用量の全体像が示されます。 |
- 最長キー | 過度なメモリ使用の原因となる可能性のある最長キーが表示されます。 |
システム | |
- コア ログ | コア ログの最後の 500 行が表示されるため、システム ログ全体をエクスポートすることなく、最近のログ行を確認できます。 |
- タスク マネージャー | プロセスのテーブルに表示されるタスクを次のレイヤーに変換します。 - 永続レイヤー (Redis) - キャッシュ レイヤー (SQL) |
- ネットワークの統計 | ネットワークの統計情報が表示されます。 |
- TOP | プロセスの表が表示されます。 これは、実行中のシステムを動的にリアルタイムに表示する Linux コマンドです。 |
- バックアップ メモリ チェック | バックアップ メモリの状態が示されます。次のことを確認します。 - バックアップ フォルダーの場所 - バックアップ フォルダーのサイズ - バックアップ フォルダーの制限事項 - 前回のバックアップがいつ実行されたか - 追加のバックアップ ファイル用の空き領域の容量 |
- ifconfig | アプライアンスの物理インターフェイスのパラメーターが表示されます。 |
- CyberX nload | 6 秒のテストを使用して、ネットワーク トラフィックと帯域幅が表示されます。 |
- コア ログからのエラー | コア ログ ファイルからのエラーが表示されます。 |
CLI を使用してシステムの正常性を確認する
システムのサニティをテストする前に、システムが稼働していることを確認してください。
詳細については、「OT ネットワーク センサーからの CLI コマンド リファレンス」を参照してください。
システムのサニティをテストするには:
Linux ターミナル (たとえば、PuTTY) とユーザー admin を使用して CLI に接続します。
「
system sanity
」と入力します。すべてのサービスが緑色 (実行中) であることを確認します。
[System is UP! (prod)](システムは稼働中です (prod)) が下部に表示されることを確認します。
正しいバージョンが使用されていることを確認します。
システムのバージョンを確認するには:
Linux ターミナル (たとえば、PuTTY) とユーザー admin を使用して CLI に接続します。
「
system version
」と入力します。正しいバージョンが表示されることを確認します。
インストール プロセス中に構成されたすべての入力インターフェイスが実行されていることを確認します。
システムのネットワーク状態を検証するには:
Linux ターミナル (たとえば、PuTTY) とユーザー admin を使用して CLI に接続します。
network list
(Linux コマンドifconfig
と同等) を入力します。必要な入力インターフェイスが表示されることを確認します。 たとえば、2 つの Quad Copper NIC がインストールされている場合、一覧に 10 個のインターフェイスが表示されるはずです。
コンソール Web GUI にアクセスできることを確認します。
UI に管理アクセスできるかどうかを確認するには:
イーサネット ケーブルを使用して、ラップトップを管理ポート (Gb1) に接続します。
ラップトップの NIC のアドレスがアプライアンスと同じ範囲内になるように定義します。
ラップトップからアプライアンスの IP アドレスに対して ping を実行し、接続を確認します (既定:10.100.10.1)。
ラップトップで Chrome ブラウザーを開き、アプライアンスの IP アドレスを入力します。
[この接続ではプライバシーが保護されません] ウィンドウで、 [詳細設定] を選択し、続行します。
Defender for IoT のサインイン画面が表示されたら、テストは成功です。
サポート用の診断ログをダウンロードする
この手順では、特定のサポート チケットに関連してサポートに送信する診断ログをダウンロードする方法について説明します。
この機能は、次のセンサー バージョンでサポートされています。
- 22.1.1 - センサー コンソールから診断ログをダウンロードします。
- 22.1.3 以降 - ローカルで管理されるセンサーの場合は、Azure portal の [サイトとセンサー] ページから診断ログをアップロードします。 このファイルは、クラウドに接続されたセンサーでチケットを開くと、自動的にサポートに送信されます。
Azure portal からダウンロードされたすべてのファイルは信頼のルートによって署名されているため、マシンは署名された資産のみを使用します。
診断ログをダウンロードする:
センサー コンソールで、[システム設定] > [センサー管理] > [正常性とトラブルシューティング] > [バックアップと復元] > [バックアップ] の順に選択します。
[ログ] で、[サポート チケット診断] を選択し、[エクスポート] を選択します。
ローカル管理センサー バージョン 22.1.3 以降の場合は、「サポート用の診断ログをアップロードする」に進みます。
フォレンジクス データを取得する
次の種類のフォレンジクス データは、そのセンサーによって検出されたデバイスの OT センサーにローカルに格納されます。
- デバイス データ
- アラート データ
- アラート PCAP ファイル
- イベント タイムライン データ
- ログ ファイル
OT ネットワーク センサーで、OT センサーのデータ マイニング レポートまたは Azure Monitor ブックを使用して、そのセンサーのストレージからフォレンジクス データを取得します。 データの種類ごとに保持期間と最大容量が異なります。
詳細については、「Microsoft Defender for IoT 全体のデータ保持」を参照してください。
Web インターフェイスを使用して接続できない
接続しようとしているコンピューターが、アプライアンスと同じネットワークにあることを確認します。
GUI ネットワークが管理ポートに接続されていることを確認します。
アプライアンスの IP アドレスに対して ping を実行します。 ping がない場合:
モニターとキーボードをアプライアンスに接続します。
admin ユーザーとパスワードを使用してサインインします。
コマンド
network list
を使用して、現在の IP アドレスを確認します。
ネットワーク パラメーターが正しく構成されていない場合は、次の手順を使用して変更します。
コマンド
network edit-settings
を使用します。管理ネットワークの IP アドレスを変更するには、 [Y] を選択します。
サブネット マスクを変更するには、 [Y] を選択します。
DNS を変更するには、 [Y] を選択します。
既定のゲートウェイ IP アドレスを変更するには、 [Y] を選択します。
入力インターフェイスの変更の場合は (センサーのみ)、 [N] を選択します。
設定を適用するには、 [Y] を選択します。
再起動後、admin ユーザーの資格情報を使用して接続し、
network list
コマンドを使用して、パラメーターが変更されたことを確認します。もう一度 ping を実行し、GUI からの接続を試みます。
アプライアンスが応答しない
モニターとキーボードをアプライアンスに接続するか、PuTTY を使用して CLI にリモート接続します。
admin ユーザーの資格情報を使用してサインインします。
system sanity
コマンドを使用して、すべてのプロセスが実行されていることを確認します。 次に例を示します。
その他の問題については、Microsoft サポートにお問い合わせください。
初回サインイン時にパスワード エラーを調査する
構成済みのセンサーに初めてサインインするときは、次のようにしてパスワードの復元を実行する必要があります。
Defender for IoT のサインイン画面で、[パスワードの復元] を選択します。 [パスワードの復元] 画面が開きます。
[Admin] または [CyberX] を選択し、一意識別子をコピーします。
Azure portal に移動し、[サイトとセンサー] を選択します。
[その他の操作] ドロップダウン メニューを選択し、 [オンプレミス管理コンソールのパスワードを復元] を選択します。
[パスワードの復元] 画面で受信した一意識別子を入力し、 [復元] を選択します。
password_recovery.zip
ファイルがダウンロードされます。 ZIP ファイルを抽出または変更しないでください。[パスワードの復元] 画面で [アップロード] を選択します。 [Upload Password Recovery File](パスワード復元ファイルのアップロード) ウィンドウが開きます。
[参照] を選択して
password_recovery.zip
ファイルを見つけるか、password_recovery.zip
をウィンドウにドラッグします。[次へ] を選ぶと、管理コンソールのユーザーとシステムが生成したパスワードが表示されます。
Note
センサーに初めてサインインすると、Azure サブスクリプションにリンクされます。これは、admin ユーザーのパスワードを回復する必要がある場合に必要になります。 詳細については、「センサーへの特権アクセスを回復する」を参照してください。
トラフィックの欠落を調査する
構成されたポートのいずれかにトラフィックがないことがセンサーで認識されると、コンソールの上部にインジケーターが表示されます。 このインジケーターは、すべてのユーザーに表示されます。 このメッセージが表示されたら、トラフィックのない場所を調べることができます。 スパン ケーブルが接続されていて、スパン アーキテクチャに変更がないことを確認します。
システムのパフォーマンスを確認します。
新しいセンサーがデプロイされた場合や、センサーの動作が遅かったりアラートが表示されかったりする場合は、システムのパフォーマンスを確認できます。
- センサーにサインインし、[概要] を選択します。 PPS が 0 より大きく、デバイスが検出されていることを確認します。
- [データ マイニング] ページでレポートを生成します。
- [傾向と統計] ページで、ダッシュボードを作成します。
- [アラート] ページで、アラートが作成されたことを確認します。
予想されるアラートの不足を調査する
[アラート] ウィンドウに予想されるアラートが表示されない場合は、次の点を確認します。
- 別のセキュリティ インスタンスへの反応として同じアラートが既に [アラート] ウィンドウに表示されているかどうかを確認します。 該当し、このアラートがまだ処理されていない場合は、センサー コンソールに新しいアラートが表示されません。
- 管理コンソールで [アラートの除外] ルールを使用してこのアラートを除外していなかったことを確認します。
データが表示されないダッシュボードを調査する
[傾向と統計] ウィンドウのダッシュボードにデータが表示されない場合は、次を実行します。
- システムのパフォーマンスを確認します。
- 時刻とリージョンの設定が正しく構成されていて、未来の時刻に設定されていないことを確認します。
ブロードキャスト デバイスのみを表示するデバイス マップを調査する
デバイス マップに表示されているデバイスが相互に接続されていない場合は、SPAN ポート構成で問題が発生している可能性があります。 つまり、ブロードキャスト デバイスのみが表示されていて、ユニキャスト トラフィックがない可能性があります。
- ブロードキャスト トラフィックのみが表示されていることを確認します。 そのためには、[データ マイニング] の [レポートの作成] を選択します。 [新しいレポートの作成] で、レポートのフィールドを指定します。 [カテゴリの選択] で、[すべて選択] を選択します。
- レポートを保存し、ブロードキャストとマルチキャストのトラフィックのみが表示されている (ユニキャスト トラフィックがない) かどうかを確認します。 その場合は、ユニキャスト トラフィックも表示できるように SPAN ポート構成を修正するようネットワーク チームに連絡します。 または、スイッチから直接 PCAP を記録するか、Wireshark を使用してノート PC を接続してもかまいません。
詳細については、次を参照してください。
センサーを NTP に接続する
スタンドアロン センサーと、センサーが関連付けられている管理コンソールを NTP に接続するように構成できます。
ヒント
OT センサー設定の大規模な管理を開始する準備ができたら、Azure portal から NTP 設定を定義します。 Azure portal から設定を適用すると、センサー コンソールの設定は読み取り専用になります。 詳細については、「Azure portal から OT センサー設定を構成する (パブリック プレビュー)」を参照してください。
スタンドアロン センサーを NTP に接続するには:
管理コンソールで制御されるセンサーを NTP に接続するには:
- NTP への接続は、管理コンソールで構成されます。 管理コンソールで制御するすべてのセンサーには、NTP 接続が自動的に取得されます。
デバイスがマップに表示されない場合、またはインターネットに関連する複数のアラートがある場合に調査する
ICS デバイスは、外部 IP アドレスを使用して構成される場合があります。 このような ICS デバイスはマップに表示されません。 デバイスではなく、インターネット クラウドがマップに表示されます。 これらのデバイスの IP アドレスは、クラウド画像に含まれます。 また、複数のインターネット関連のアラートが表示される場合も同じ問題が発生します。 次のように問題を修正します。
- デバイス マップのクラウド アイコンを右クリックし、 [IP アドレスのエクスポート] を選択します。
- プライベートであるパブリック範囲をコピーし、サブネットの一覧に追加します。 詳細については、「サブネットの一覧を微調整する」を参照してください。
- インターネット接続の新しいデータマイニング レポートを生成します。
- データマイニング レポートで管理者モードに移行し、ICS デバイスの IP アドレスを削除します。
センサー データをクリアする
センサーを再配置または消去する必要がある場合は、学習したすべてのデータをセンサーからクリアできます。
システム データをクリアする方法の詳細については、「センサー データをクリアする」を参照してください。
トラブルシューティングのためにセンサー コンソールからログをエクスポートする
さらにトラブルシューティングを行うには、データベースやオペレーティング システムのログなど、サポート チームに送信するログをエクスポートする必要があります。
ログ データをエクスポートするには:
センサー コンソールで、[システム設定]>[センサー管理]>[バックアップと復元]>[バックアップ] の順に移動します。
[Export Troubleshooting Information] (トラブルシューティング情報のエクスポート) ダイアログで、次のようにします。
[ファイル名] フィールドに、エクスポートされるログのわかりやすい名前を入力します。 既定のファイル名には、現在の日付 (13:10-June-14-2022.tar.gz など) が使用されます。
エクスポートするログを選択します。
[エクスポート] を選択します。
ファイルがエクスポートされ、[Export Troubleshooting Information] (トラブルシューティング情報のエクスポート) ダイアログの下部にある [Archived Files] (アーカイブされたファイル) の一覧からリンクされます。
次に例を示します。
エクスポートされたログをダウンロードするファイル リンクを選択し、さらに ボタンを選択してワンタイム パスワードを表示します。
エクスポートされたログを開くには、ダウンロードしたファイルとワンタイム パスワードをサポート チームに転送します。 エクスポートされたログは、Microsoft サポート チームと一緒にのみ開くことができます。
ログをセキュリティで保護するには、ダウンロードしたログとは別にしてパスワードを転送してください。
Note
サポート チケット診断は、センサー コンソールからダウンロードし、Azure portal でサポート チームに直接アップロードできます。 診断ログのダウンロードの詳細については、「サポート用の診断ログをダウンロードする」を参照してください。