Insight网络传感器故障处理

如果您的一个或多个Insight Network Sensors报告了一个错误，或者您已经部署了一个传感器，但没有在日志搜索中获得任何数据，则可以使用本故障排除指南。为了执行这些故障排除步骤，您需要对InsightIDR实例进行管理访问，并对传感器主机进行shell或SSH访问。

检查传感器管理

如果您正在使用的传感器没有显示在传感器管理中，则它没有向平台发送信标。这通常表明传感器无法建立出站连接的通信问题endpoint.ingress.rapid7.com通过TCP端口443。确保您已经在防火墙上启用了出站规则以允许此通信。

如果传感器存在但没有发送数据，检查任何错误消息。最常见的是:

Insight Network Sensor需要两个网络接口才能正常工作。一个用于管理，一个用于网络流量捕获。接口需要处于UP状态才能被检测到。要查看shell中所有可用的接口，请尝试:

＄Sudo IP addr列表

' down '的接口看起来像ens5:

把它提出来:$Sudo IP link set ens5 up

所以它看起来像ens39:

进入传感器管理页面，记下问题传感器对应的网卡名称。对于本例，我将使用ens5和10.1.1.1作为传感器配置为监控的网络设备的IP地址。

运行以下命令Sudo tcpdump -i ens5 -nt host 10.1.1.1

您应该观察与被监视的主机相关联的网络数据包。如果没有交通被观察到，你需要检讨如何网络流量来源建立了。

IDS测试

试着从你的传感器监控的系统中访问这个URL。

如果所有配置都正确，则会触发警报。注意它需要是aHTTP请求而不是HTTPS。您将得到一个页面未找到错误，但这没关系，IDS规则将在出站请求时触发。进入您的日志搜索界面，并检查警报是否出现在IDS警报日志设置。

如果您的传感器正在传递数据，您应该在下面看到每个传感器的条目DNS查询和/或主持IP观察记录集。如果您在Ultimate IDR包中添加了或订阅了ENTA，那么您还将拥有网络流量日志．

当传感器首次部署时，数据出现在日志搜索中需要几分钟。建议在运行查询和/或构建仪表板之前等待一个小时。如果在日志搜索中没有观察到任何传感器，请检查传感器配置，并确保启用了IDS和Traffic Monitoring。

如果两个选项都启用，并且传感器数据没有进入日志搜索，返回检查传感器是否接收流量请进一步阅读本指南。

我们观察到的基于云的传感器最常见的问题是没有添加相关的防火墙规则，当试图连接平台或从被监控的VPC发送镜像流量时，传感器将出现问题。请审阅有关的要求这个页面

拆卸传感器时，需要关闭主机系统和/或移除传感器软件。一旦这些步骤完成，您需要离线7天，传感器将自动从传感器管理中消失。

要卸载传感器软件，请使用下面的传感器安装程序命令

sudo。/ sensor_installer.sh卸载

此过程不会从日志搜索中删除传感器数据，也不会从IDR中删除源自已删除传感器的任何警报/调查。

这个页面对你有帮助吗?