排查并解决本地管理控制台(旧版)
重要
Defender for IoT 现在建议使用 Microsoft 云服务或现有 IT 基础结构进行集中监视和传感器管理,计划于 2025 年 1 月 1 日 停用本地管理控制台。
有关详细信息,请参阅 部署混合或物理隔离 OT 传感器管理。
本文介绍本地管理控制台的基本故障排除工具。 除了此处介绍的项之外,还可以发送有关传感器备份失败和断开的传感器警报。
对于任何其他问题,请联系 Microsoft 支持。
先决条件
若要执行本文中的过程,请确保具备:
- 以 支持 用户身份访问本地管理控制台。 有关详细信息,请参阅 默认特权本地用户。
检查系统运行状况
从本地管理控制台检查系统运行状况。
访问系统健康工具:
使用 支持 用户凭据登录到本地管理控制台。
选择 系统设置>系统统计信息。
系统运行状况数据随即显示。 选择一个项目以查看框中的更多详细信息。 例如:
系统运行状况检查包括以下内容:
| 名字 | 描述 |
|---|---|
| 理智 | |
| -器具 | 运行设备健全性检查。 可以使用 CLI 命令 system-sanity执行相同的检查。 |
| - 版本 | 显示设备版本。 |
| - 网络属性 | 显示传感器网络参数。 |
| Redis | |
| -记忆 | 提供内存使用情况的总体情况,例如使用的内存量和剩余内存量。 |
| - 最长键 | 显示可能导致内存大量使用的最长键。 |
| 系统 | |
| - 核心日志 | 提供核心日志的最后 500 行,以便无需导出整个系统日志即可查看最近的日志行。 |
| - 任务管理器 | 将进程表中显示的任务转换为以下层: - 持久层 (Redis) - 缓存层 (SQL) |
| - 网络统计信息 | 显示网络统计信息。 |
| -返回页首 | 显示进程表。 它是一个 Linux 命令,提供正在运行的系统动态实时视图。 |
| - 备份内存检查 | 提供备份内存的状态,并检查以下内容: - 备份文件夹的位置 - 备份文件夹的大小 - 备份文件夹的限制 上次备份的时间是何时 - 额外备份文件的空间量 |
| - ifconfig | 显示设备物理接口的参数。 |
| - CyberX nload | 使用六秒测试显示网络流量和带宽。 |
| - 核心日志中的错误 | 显示核心日志文件中的错误。 |
调查预期警报的缺乏
如果在本地 警报 页上未看到预期警报,请执行以下操作进行故障排除:
验证警报是否已列为对其他安全实例的反应。 如果是,并且尚未处理该警报,则不会在其他地方显示新的警报。
确认警报没有被 警报排除 规则排除。 有关详细信息,请参阅 在本地管理控制台创建警报排除规则。
调整服务质量(QoS)
若要保存网络资源,可以在设备与本地管理控制台之间的一次同步操作中限制发送到外部系统(如电子邮件或 SIEM)的警报数。
默认警报数为 50。 这意味着,在设备与本地管理控制台之间的一个通信会话中,外部系统不会发出超过 50 个警报。
若要限制警报数,请使用 /var/cyberx/properties/management.properties中可用的 notifications.max_number_to_report 属性。 更改此属性后无需重启。
调整服务质量(QoS):
通过 SSH 登录到本地管理控制台,以访问 CLI。
验证默认值:
grep \"notifications\" /var/cyberx/properties/management.properties将显示以下默认值:
notifications.max_number_to_report=50 notifications.max_time_to_report=10 (seconds)编辑默认设置:
sudo nano /var/cyberx/properties/management.properties编辑以下行的设置:
notifications.max_number_to_report=50 notifications.max_time_to_report=10 (seconds)保存更改。 无需重启。
从本地管理控制台导出日志进行故障排除
为了进一步进行故障排除,可能需要导出日志以发送到支持团队,例如审核或数据库日志。
导出日志数据:
在本地管理控制台中,选择 系统设置 > 导出。
在 导出故障排除信息 对话框中:
在 文件名 字段中,为导出的日志输入有意义的名称。 默认文件名使用当前日期,例如 13:10-June-14-2022.tar.gz。
选择要导出的日志。
选择 导出。
该文件已导出,并从 存档文件 列表中链接,该列表位于 导出故障排除信息 对话框的底部。
例如:
选择文件链接以下载导出的日志,然后选择
按钮以查看其一次性密码。若要打开导出的日志,请将下载的文件和一次性密码转发到支持团队。 导出的日志只能与微软支持团队共同打开。
若要确保日志安全,请确保将密码与下载的日志分开转发。
