DHCP故障排除
成功安装后,DHCP服务器、其资产和InsightIDR之间将发生以下情况:
- IP分配日志进入收集器
- 收集器发出DNS请求以查看哪台计算机现在具有新的IP地址
- 采集器将新的IP地址和机器名日志发送到后端服务器
- 事件源的每分钟事件(EPM)将显示出来
但是,根据环境的设置,您可能会遇到DHCP和InsightIDR之间的困难。
在分配动态IP地址时,有些DHCP服务器在其审计日志中不提供机器名。这使得收集器很难找出哪台机器刚刚被分配了一个新的IP地址。
使用以下解决方案之一解决您的问题:
InsightIDR无法生产EPM
如果DHCP服务器不生成标识日志,InsightIDR将无法为该事件源每分钟生成事件。
尝试以下解决方案以确认InsightIDR是否存在问题:
- 用通用系统日志替换DHCP事件源,以确认InsightIDR正在接收日志。如果通用系统日志不生成EPM,请检查您的网络或设备发送日志中的错误。
- 使用采集器对DHCP服务器分配的IP地址范围进行DNS请求。如果Collector不能检索IP范围的计算机名称,它将不会生成EPM。
墓碑错误
逻辑删除错误表示DHCP或VPN事件源处于错误状态或未接收数据,或者事件源的收集器未与Insight platform通信。因此,它不是将来自传入IP地址的数据归属于用户。dota2必威联赛
因为Tombstone错误特定于连接的事件源,所以应该检查错误的详细信息,以找出发生故障的特定事件源。
Tombstone错误阻止InsightIDR将活动归因于您的用户。
从事件源观察到的IP范围内的任何资产将不再从防火墙、DNS查询等属性活动,以您的用户和资产。
静态环境
在网络缺少DHCP服务器且完全由固定IP系统组成的情况下,InsightIDR仍然可以支持该环境,并为收集器提供特殊的设置说明。此方法不是万无一失的,但旨在作为环境的补充选项。
建议您在使用此设置的环境中也使用Microsoft Active Directory、LDAP和域控制器。
- 在收集器页面上设置基础源时,将预期的DHCP服务器计数数设置为“0”
- 在浏览器中重新加载页面。如果您已经添加了LDAP和Active Directory,现在就可以添加其他事件源。
- InsightIDR仍将使用ActiveDirectory日志和Endpoint Monitor,只要这些是Windows资产,以便将固定IP绑定到特定资产。
非Windows计算机
为了让InsightIDR发现非windows资产,请确保指定了InsightIDR要扫描的静态IP地址或范围。InsightIDR将使用DNS来发现这些IP地址的主机名,以便将流量归为资产。
这页对你有帮助吗?