当前位置：网站首页>教程篇(5.0) 10. 故障排除 * FortiEDR * Fortinet 網絡安全專家 NSE 5

教程篇(5.0) 10. 故障排除 * FortiEDR * Fortinet 網絡安全專家 NSE 5

2022-07-02 19:09:00 【飛塔老梅子】

在本課中，你將學習故障排除。

通過展示在高級故障排除方面的能力，你將能够排除收集器昇級的故障，並獲取收集器日志以排除性能問題，包括第三方應用程序、系統掛起和系統崩潰的問題。

上圖概述了收集器昇級的故障排除過程。你將在本課後面學習更多關於這些步驟。首先在管理控制臺上驗證設置。你不希望在整個故障排除過程中發現收集器組被設置為錯誤的版本。

　　接下來，重啟設備。通常，昇級FortiEDR收集器不需要重新啟動，但偶爾，兼容性問題(通常與殺毒軟件有關)需要重新啟動。

　　第三，定比特收集器日志。你可以在本地機器上執行此操作，或者你可以通過管理控制臺(如果已連接)下載它們。如果您使用的是本地日志，那麼你可以查看它們以定比特故障發生的比特置，或者將它們發送給Fortinet支持人員。通過管理控制臺獲取的日志是加密的，需要發送給Fortinet支持進行解密和分析。

　　接下來，嘗試使用安裝程序文件在本地更新收集器。

　　最後，在收集器日志不能提供足够信息的極少數情况下，Fortinet支持可能會要求你在安裝的同時運行Process Monitor並返回日志。除非支持部門特別要求，否則不需要這樣做。

同樣，故障排除昇級的第一步是在控制臺上驗證你的設置。首先，需要為正在調查的設備分配收集器組。正如你在前面的課程中學到的，您可以通過單擊INVENTORY選項卡並搜索設備名稱來定比特它。搜索結果顯示分配給設備的采集器組及其版本。驗證版本號是你所期望的，並記錄收集器組名稱。請記住，默認情况下，你只看到降級收集器，因此請確保單擊藍色的Show all collector鏈接。

　　分配完收集器組後，可以在ADMINISTRATION選項卡的LICENSING面板上檢查分配的版本。單擊“更新收集器”按鈕。“更新收集器版本”對話框打開。找到你前面提到的收集器組，並確保將其分配給正確的收集器版本。

　　注意，在多租戶環境中，Fortinet建議從Hoster視圖執行設備昇級。

現在，你將了解檢索收集器日志的過程。獲取日志的最簡單方法是通過管理控制臺，如果設備當前連接到你的網絡，就可以這樣做。在INVENTORY選項卡上找到收集器並選擇它的複選框。單擊“導出”下拉列錶，選擇“采集器日志”。本地保存日志。它們被下載到一個有密碼保護的zip文件中。收集器文件本身是加密的，以防止篡改，因此你必須將它們發送給Fortinet支持來進行解密和分析。

當收集器沒有連接到FortiEDR中央管理器時，你可以將收集器日志下載到本地。你可以使用上圖中的CLI命令下載收集器日志。

在收集器上，如果你需要驗證FortiEDR安裝是否成功，並且沒有配置或通信問題，請使用上圖中顯示的CLI命令。

新安裝的收集器不會顯示在中央管理器控制臺的INVENTORY選項卡上，有時會看到處於斷開連接狀態的收集器。要解决連接問題，請驗證所有FortiEDR組件之間是否存在網絡連接。驗證端口555和8081是否打開，並且沒有第三方應用程序阻塞這些端口。像telnet和netstat這樣的命令行工具可以驗證這些端口是否可用。

如果昇級收集器仍有問題，請在終端用戶的機器上本地運行安裝程序文件。為此，你需要組織的注册密碼，可以在TOOLS下的管理控制臺的ADMINISTRATION選項卡上找到該密碼。

　　如果Fortinet支持需要收集器日志中不包含的額外信息，他們可能會要求你運行ProcMon，這是微軟提供的一個免費的Sysinternals工具。這種情况很少發生，但如果需要，可以在執行安裝時運行ProcMon，並將ProcMon日志保存到PML文件中。然後通過“/1*vx log.txt”獲取安裝日志。並將這些日志發送給Fortinet支持部門。

獲取日志的最簡單方法是通過管理控制臺，如果組件當前連接到你的網絡，你可以這樣做。在系統組件下的INVENTORY選項卡上找到核心或聚合器，並選擇它的複選框。單擊“導出”下拉列錶，選擇“核心日志”或“聚合器日志”。本地保存日志。它們被下載到一個有密碼保護的zip文件中。將這些文件發送到Fortinet支持解密和分析。

如果你正在排除設備性能問題，請從重新啟動開始。如果這沒有幫助，請在管理控制臺上禁用收集器。如果問題仍然存在，請在有更新版本時昇級收集器。

　　如果性能問題仍然存在，下一步取决於你正在調查的問題類型。你將在接下來的圖片中了解每一個步驟。如果是第三方應用程序的性能問題，你必須記錄重現問題的步驟。對於系統掛起，創建手動崩潰轉儲，然後在系統掛起時收集完整的內存轉儲。當系統崩潰或藍屏時，請確認發生了藍屏，然後在系統掛起時收集全內存轉儲。

　　如果你仍然需要更多信息，請嘗試在設備運行時使用剛剛完成的過程收集收集器日志。如果你需要幫助，請向Fortinet提供支持。

現在，你將更詳細地了解這些步驟。如果遇到性能問題，首先要嘗試禁用收集器，這可以在管理控制臺上進行。如果在禁用收集器時問題仍然存在，那麼問題不太可能與FortiEDR有關。

　　下一步檢查收集器版本。你在前面了解了如何定比特收集器的當前版本。在本課前面看到的“更新收集器”對話框中查找可用的較新的收集器版本。或者，你也可以使用Fortinet支持打開支持ticket，以了解最新的收集器版本。如果有可用的更新，將它們應用到受影響的收集器，並查看性能是否有所提高。

　　如果你仍然遇到問題，請複制問題並記錄重現問題的步驟。在接下來中，你們會學到更多。

如果你的性能問題涉及到第三方應用程序，那麼從檢查阻塞事件開始。在管理控制臺中，單擊EVENT VIEWER選項卡並搜索正在調查的應用程序的可執行文件名。如果你定比特到任何阻塞事件，請確認它們是安全的。有可能，一個涉及看似安全進程的事件實際上是惡意的，例如，一個惡意宏可以運行在一個合法的Microsoft Word副本中，或者一個惡意程序可能偽裝成一個合法的應用程序。在你驗證事件是安全的之後，你可以創建一個异常來允許安全進程運行。

　　如果沒有阻塞事件，並且你正在調查的應用程序無法連接到網絡，請檢查通信控制策略。首先，單擊COMMUNICATION CONTROL選項卡，然後選擇Policies。查找應用於用戶的收集器組的策略。然後在應用列錶中搜索該應用。突出顯示應用程序並檢查Policies面板，以確保用戶的策略沒有設置為拒絕來自該應用程序的通信。也要檢查各個版本，有時舊版本會因為已知的漏洞而被屏蔽，但允許更新、更安全的版本。

　　如果你仍然沒有找到問題的根源，請使用之前的過程檢索收集器日志概述了早些時候。