Algılayıcı sorunlarını giderme

Bu makalede algılayıcı için temel sorun giderme araçları açıklanmaktadır. Burada açıklanan öğelere ek olarak, sisteminizin durumunu aşağıdaki yollarla de kontrol edebilirsiniz:

• Uyarılar: Trafiği izleyen algılayıcı arabirimi kapatıldığında bir uyarı oluşturulur.
• SNMP: Algılayıcı sistem durumu SNMP aracılığıyla izlenir. IoT için Microsoft Defender, yetkili bir izleme sunucusundan gönderilen SNMP sorgularını yanıtlar.
• Sistem bildirimleri: Bir yönetim konsolu algılayıcıyı denetlediğinde, başarısız algılayıcı yedeklemeleri ve bağlantısı kesilmiş algılayıcılar hakkındaki uyarıları iletebilirsiniz.

Diğer sorunlar için Microsoft Desteği başvurun.

Önkoşullar

Bu makaledeki yordamları gerçekleştirmek için şunlara sahip olduğunuzdan emin olun:

• Ot ağ algılayıcısına varsayılan yönetici kullanıcı olarak erişim. Daha fazla bilgi için bkz . Varsayılan ayrıcalıklı şirket içi kullanıcılar.

Algılayıcıyı denetleme - bulut bağlantısı sorunları

OT algılayıcıları, algılayıcınızın gerekli tüm uç noktalara erişimi olduğundan emin olmak için bağlantı denetimlerini otomatik olarak çalıştırır. Algılayıcı bağlı değilse Azure portalında, Siteler ve algılayıcılar sayfasında ve algılayıcının Genel Bakış sayfasında bir hata gösterilir. Örneğin:

```

Oluşan hata ve gerçekleştirebileceğiniz önerilen azaltma eylemleri hakkında daha fazla bilgi edinmek için OT algılayıcınızdaki Bulut bağlantısı sorun giderme sayfasını kullanın.

Bağlantı hatalarını gidermek için OT algılayıcınızda oturum açın ve aşağıdakilerden birini yapın:

• Algılayıcının Genel Bakış sayfasında, sayfanın üst kısmındaki hatada Sorun Gider* bağlantısını seçin
• Sistem ayarları > Algılayıcı yönetimi > Sistem durumu ve sorun giderme > Bulut bağlantısı sorunlarını giderme'yi seçin

Sağ tarafta Bulut bağlantısı sorun giderme bölmesi açılır. Algılayıcı Azure portalına bağlıysa bölme algılayıcının buluta başarıyla bağlandığını gösterir. Algılayıcı bağlı değilse bunun yerine sorunun açıklaması ve risk azaltma yönergeleri listelenir. Örneğin:

Bulut bağlantısı sorunlarını giderme bölmesi aşağıdaki sorun türlerini kapsar:

Sorun	Description
Güvenli bağlantı kurma hataları	GENELLIKLE algılayıcının bulunan sertifikaya güvenmediği anlamına gelen SSL hataları için oluşur. Bu durum, yanlış bir algılayıcı zaman yapılandırması veya SSL inceleme hizmeti kullanılması nedeniyle oluşabilir. SSL denetleme hizmetleri genellikle proxy'lerde bulunur ve olası sertifika hatalarına yol açabilir. Daha fazla bilgi için bkz . SSL/TLS sertifikalarını yönetme ve OT algılayıcısı üzerinde saat dilimlerini eşitleme.
Genel bağlantı hataları	Algılayıcı bir veya daha fazla gerekli uç noktaya bağlanamayınca oluşur. Böyle durumlarda gerekli tüm uç noktaların algılayıcınızdan erişilebilir olduğundan emin olun ve güvenlik duvarınızda daha fazla uç nokta yapılandırmayı göz önünde bulundurun. Daha fazla bilgi için bkz . Bulut yönetimi için algılayıcı sağlama.
Ulaşılamıyor DNS sunucusu hataları	Algılayıcı erişilemeyen bir DNS sunucusu nedeniyle ad çözümlemesi gerçekleştiremiyorsa oluşur. Böyle durumlarda algılayıcınızın DNS sunucusuna erişebildiğini doğrulayın. Daha fazla bilgi için bkz . OT algılayıcı ağ yapılandırmasını güncelleştirme
Ara sunucu kimlik doğrulaması sorunları	Bir ara sunucu kimlik doğrulaması talep ettiğinde, ancak kimlik bilgileri veya yanlış kimlik bilgileri sağlanmadığında gerçekleşir. Böyle durumlarda, proxy kimlik bilgilerini doğru yapılandırdığınızdan emin olun. Daha fazla bilgi için bkz . OT algılayıcı ağ yapılandırmasını güncelleştirme.
Ad çözümleme hataları	Algılayıcı belirli bir uç nokta için ad çözümlemesi gerçekleştiremiyorsa gerçekleşir. Bu gibi durumlarda, DNS sunucunuza ulaşılabilirse, DNS sunucusunun algılayıcınızda doğru yapılandırıldığından emin olun. Yapılandırma doğruysa DNS yöneticinize ulaşmanızı öneririz. Daha fazla bilgi için bkz . OT algılayıcı ağ yapılandırmasını güncelleştirme.
Ulaşılamıyor ara sunucu hataları	Algılayıcı ara sunucuyla bağlantı kuramayınca oluşur. Bu gibi durumlarda, ara sunucunuzun ağ ekibinizle erişilebilirliğini onaylayın. Daha fazla bilgi için bkz . OT algılayıcı ağ yapılandırmasını güncelleştirme.
Zaman kayma algılandı	Algılayıcının UTC saati Azure portalında IoT için Defender ile eşitlenmediğinde gerçekleşir. Bu durumda, utc saatinde algılayıcıyı eşitlemek için bir Ağ Zamanı Protokolü (NTP) sunucusu yapılandırın. Daha fazla bilgi için bkz . Azure portalından OT algılayıcı ayarlarını yapılandırma.

Sistem durumunu denetleme

Algılayıcıdan sistem durumunu kontrol edin.

Sistem durumu aracına erişmek için:

1. Yönetici kullanıcı kimlik bilgileriyle algılayıcıda oturum açın ve Sistem Ayarlar> Sistem sistem durumu denetimi'ni seçin.

2. Sistem durumu onay bölmesinde, menüden bir komut seçerek kutuda daha fazla ayrıntı görüntüleyin. Örneğin:

   

Sistem durumu denetimleri şunları içerir:

Veri Akışı Adı	Açıklama
Aklı
-Cihaz	Aletin akıl sağlığı denetimini çalıştırır. CLI komutunu system-sanitykullanarak aynı denetimi gerçekleştirebilirsiniz.
-Sürüm	Alet sürümünü görüntüler.
- Ağ Özellikleri	Algılayıcı ağ parametrelerini görüntüler.
Redis
- Bellek	Ne kadar bellek kullanıldığı ve ne kadar bellek kaldığı gibi bellek kullanımının genel resmini sağlar.
- En Uzun Anahtar	Kapsamlı bellek kullanımına neden olabilecek en uzun anahtarları görüntüler.
Sistem
- Çekirdek Günlük	Sistem günlüğünün tamamını dışarı aktarmadan son günlük satırlarını görüntüleyebilmeniz için çekirdek günlüğün son 500 satırını sağlar.
- Görev Yöneticisi	İşlemler tablosunda görünen görevleri aşağıdaki katmanlara çevirir: - Kalıcı katman (Redis) - Önbellek katmanı (SQL)
- Ağ İstatistikleri	Ağ istatistiklerinizi görüntüler.
-SAYFANIN ÜSTÜ	İşlemler tablosunu gösterir. Çalışan sistemin dinamik gerçek zamanlı görünümünü sağlayan bir Linux komutu.
- Yedekleme Belleği Denetimi	Yedekleme belleğinin durumunu sağlayarak aşağıdakileri denetler: - Yedekleme klasörünün konumu - Yedekleme klasörünün boyutu - Yedekleme klasörünün sınırlamaları - Son yedeklemenin ne zaman gerçekleştiği - Ek yedekleme dosyaları için ne kadar alan var?
-Ifconfig	Aletin fiziksel arabirimleri için parametreleri görüntüler.
- CyberX yükü	Altı saniyelik testleri kullanarak ağ trafiğini ve bant genişliğini görüntüler.
- Çekirdek günlükten hatalar	Çekirdek günlük dosyasındaki hataları görüntüler.

CLI kullanarak sistem durumunu denetleme

Sistemin akıllılığını test etmeden önce sistemin çalışır durumda olduğunu doğrulayın.

Daha fazla bilgi için bkz . OT ağ algılayıcılarından CLI komut başvurusu.

Sistemin akıl sağlığını test etmek için:

1. Linux terminali (örneğin, PuTTY) ve kullanıcı yöneticisi ile CLI'ya Bağlan.

2. system sanity girin.

3. Tüm hizmetlerin yeşil (çalışıyor) olup olmadığını denetleyin.

   

4. Sistemin UP olduğunu doğrulayın! (üretim) altta görünür.

Doğru sürümün kullanıldığını doğrulayın:

Sistemin sürümünü denetlemek için:

1. Linux terminali (örneğin, PuTTY) ve kullanıcı yöneticisi ile CLI'ya Bağlan.

2. system version girin.

3. Doğru sürümün görünüp görünmediğini denetleyin.

Yükleme işlemi sırasında yapılandırılan tüm giriş arabirimlerinin çalıştığını doğrulayın:

Sistemin ağ durumunu doğrulamak için:

1. Linux terminali (örneğin, PuTTY) ve yönetici kullanıcı ile CLI'ya Bağlan.

2. Enter network list (Linux komutunun eşdeğeri ifconfig).

3. Gerekli giriş arabirimlerinin göründüğünü doğrulayın. Örneğin, iki dörtlü Bakır NIC yüklüyse, listede 10 arabirim olmalıdır.

   

Konsol web GUI'sine erişebildiğinizden emin olun:

Yönetimin kullanıcı arabirimine erişimi olup olmadığını denetlemek için:

1. Yönetim bağlantı noktasına (Gb1) Ethernet kablosu olan bir dizüstü bilgisayar Bağlan.

2. Dizüstü bilgisayar NIC adresini aletle aynı aralıkta olacak şekilde tanımlayın.

   

3. Bağlantıyı doğrulamak için cihazın IP adresine dizüstü bilgisayardan ping at (varsayılan: 10.100.10.1).

4. Dizüstü bilgisayarda Chrome tarayıcısını açın ve aletin IP adresini girin.

5. Bağlantınız özel değil penceresinde Gelişmiş'i seçin ve devam edin.

6. IoT için Defender oturum açma ekranı görüntülendiğinde test başarılı oluyor.

   

Destek için tanılama günlüğünü indirme

Bu yordamda, belirli bir destek biletiyle bağlantılı olarak desteğe göndermek üzere tanılama günlüğünün nasıl indirileceği açıklanır.

Bu özellik aşağıdaki algılayıcı sürümleri için desteklenir:

• 22.1.1 - Algılayıcı konsolundan bir tanılama günlüğü indirin.
• 22.1.3 ve üzeri - Yerel olarak yönetilen algılayıcılar için Azure portalındaki Siteler ve algılayıcılar sayfasından bir tanılama günlüğü yükleyin. Buluta bağlı bir algılayıcıda bilet açtığınızda bu dosya otomatik olarak desteğe gönderilir.

Azure portalından indirilen tüm dosyalar güven kökü tarafından imzalanarak makinelerinizin yalnızca imzalı varlıkları kullanması sağlanır.

Tanılama günlüğünü indirmek için:

1. Algılayıcı konsolunda Sistem ayarları Algılayıcı yönetimi > Sistem durumu ve Yedekleme ve geri yükleme > Yedekleme sorunlarını giderme'yi > seçin.>

2. Günlükler'in altında Destek Bileti Tanılama'yı ve ardından Dışarı Aktar'ı seçin.

   

3. Yerel olarak yönetilen bir algılayıcı olan sürüm 22.1.3 veya üzeri için Destek için Tanılama günlüğünü karşıya yükleme bölümüne geçin.

Adli tıp verilerini alma

Aşağıdaki adli veri türleri, algılayıcı tarafından algılanan cihazlar için OT algılayıcılarında yerel olarak depolanır:

• Cihaz verileri
• Uyarı verileri
• PCAP dosyalarını uyarın
• Olay zaman çizelgesi verileri
• Günlük dosyaları

O algılayıcının depolama alanından adli verileri almak için OT algılayıcısının veri madenciliği raporlarını veya bir OT ağ algılayıcısında Azure İzleyici çalışma kitaplarını kullanın. Her veri türü farklı bir saklama süresine ve maksimum kapasiteye sahiptir.

Daha fazla bilgi için bkz . IoT için Microsoft Defender genelinde veri saklama.

Web arabirimi kullanarak bağlanamazsınız

1. Bağlanmaya çalıştığınız bilgisayarın aletle aynı ağda olduğunu doğrulayın.

2. GUI ağının yönetim bağlantı noktasına bağlı olduğunu doğrulayın.

3. Aletin IP adresine ping at. Ping yoksa:

   1. Cihaza bir monitör ve klavye Bağlan.

   2. Oturum açmak için yönetici kullanıcı ve parolasını kullanın.

   3. Geçerli IP adresini görmek için komutunu network list kullanın.

4. Ağ parametreleri yanlış yapılandırılmışsa, bunları değiştirmek için aşağıdaki yordamı kullanın:

   1. network edit-settings komutunu kullanın.

   2. Yönetim ağı IP adresini değiştirmek için Y'yi seçin.

   3. Alt ağ maskesini değiştirmek için Y'yi seçin.

   4. DNS'yi değiştirmek için Y'yi seçin.

   5. Varsayılan ağ geçidi IP adresini değiştirmek için Y'yi seçin.

   6. Giriş arabirimi değişikliği için (yalnızca algılayıcı) N'yi seçin.

   7. Ayarları uygulamak için Y'yi seçin.

5. Yeniden başlattıktan sonra yönetici kullanıcı kimlik bilgileriyle bağlanın ve parametrelerin network list değiştirildiğini doğrulamak için komutunu kullanın.

6. GUI'den ping yapmayı ve bağlanmayı yeniden deneyin.

Alet yanıt vermiyor

1. Cihaza bir monitör ve klavye Bağlan veya CLI'ya uzaktan bağlanmak için PuTTY kullanın.

2. Oturum açmak için yönetici kullanıcı kimlik bilgilerini kullanın.

3. system sanity komutunu kullanın ve tüm işlemlerin çalışıp çalışmadığını denetleyin. Örneğin:

   

Diğer sorunlar için Microsoft Desteği başvurun.

İlk oturum açma sırasında parola hatasını araştırma

Önceden yapılandırılmış bir algılayıcıda ilk kez oturum açarken parola kurtarma işlemini aşağıdaki gibi gerçekleştirmeniz gerekir:

1. IoT için Defender oturum açma ekranında Parola kurtarma'yı seçin. Parola kurtarma ekranı açılır.

2. Yönetici veya CyberX'i seçin ve benzersiz tanımlayıcıyı kopyalayın.

3. Azure portalına gidin ve Siteler ve algılayıcılar'ı seçin.

4. Diğer Eylemler açılan menüsünü seçin ve Şirket içi yönetim konsolu parolasını kurtar'ı seçin.

   

5. Parola kurtarma ekranında aldığınız benzersiz tanımlayıcıyı girin ve Kurtar'ı seçin. Dosya password_recovery.zip indirilir. Zip dosyasını ayıklamayın veya değiştirmeyin.

   

6. Parola kurtarma ekranında Karşıya Yükle'yi seçin. Parola Kurtarma Dosyasını Karşıya Yükle penceresi açılır.

7. Dosyanızı password_recovery.zip bulmak için Gözat'ı seçin veya pencereye sürükleyinpassword_recovery.zip.

8. İleri'yi seçtiğinizde, kullanıcınız ve yönetim konsolunuz için sistem tarafından oluşturulan bir parola görüntülenir.

   Not

   Bir algılayıcıda ilk kez oturum açtığınızda bu, yönetici kullanıcının parolasını kurtarmanız gerekiyorsa ihtiyacınız olan Azure aboneliğinize bağlanır. Daha fazla bilgi için bkz . Algılayıcıya ayrıcalıklı erişimi kurtarma.

Trafik eksikliğini araştırma

Algılayıcı, yapılandırılan bağlantı noktalarından birinde trafik olmadığını algıladığında konsolun üst kısmında bir gösterge görüntülenir. Bu gösterge tüm kullanıcılar tarafından görülebilir. Bu ileti görüntülendiğinde trafiğin olmadığı yerleri araştırabilirsiniz. Span kablosunun bağlı olduğundan ve span mimarisinde bir değişiklik olmadığından emin olun.

Sistem performansını denetleme

Yeni bir algılayıcı dağıtıldığında veya algılayıcı yavaş çalıştığında veya herhangi bir uyarı göstermediğinde sistem performansını kontrol edebilirsiniz.

1. Algılayıcıda oturum açın ve Genel Bakış'ı seçin. PPS'nin 0'dan büyük olduğundan ve Cihazların bulunduğundan emin olun.
2. Veri Madenciliği sayfasında bir rapor oluşturun.
3. Eğilimler ve İstatistikler sayfasında bir pano oluşturun.
4. Uyarılar sayfasında uyarının oluşturulduğunu denetleyin.

Beklenen uyarı eksikliğini araştırma

Uyarılar penceresinde beklediğiniz bir uyarı gösterilmiyorsa aşağıdakileri doğrulayın:

1. Uyarılar penceresinde aynı uyarının farklı bir güvenlik örneğine tepki olarak görünüp görünmediğini denetleyin. Evet ise ve bu uyarı henüz işlenmediyse algılayıcı konsolu yeni bir uyarı göstermez.
2. Yönetim konsolundaki Uyarı Dışlama kurallarını kullanarak bu uyarıyı dışlamadığınızdan emin olun.

Veri içermeyen panoyu araştırma

Eğilimler ve İstatistikler penceresindeki panolarda veri gösterilmediğinde aşağıdakileri yapın:

1. Sistem performansını denetleyin.
2. Saat ve bölge ayarlarının düzgün yapılandırıldığından ve gelecekteki bir saate ayarlanmadığından emin olun.

Yalnızca yayın cihazlarını gösteren bir cihaz haritasını araştırma

Cihaz haritasında gösterilen cihazlar birbirine bağlı görünmüyorsa, SPAN bağlantı noktası yapılandırmasında bir sorun olabilir. Başka bir ifadeyle yalnızca yayın cihazları görüyor ve tek noktaya yayın trafiği görmüyor olabilirsiniz.

1. Yalnızca yayın trafiğini gördüğünüzu doğrulayın. Bunu yapmak için Veri Madenciliği'nde Rapor oluştur'u seçin. Yeni rapor oluştur bölümünde rapor alanlarını belirtin. Kategori Seç bölümünde Tümünü seç'i seçin.
2. Raporu kaydedin ve yalnızca yayın ve çok noktaya yayın trafiğinin (ve tek noktaya yayın trafiğinin görünmediğini) görmek için raporu gözden geçirin. Öyleyse, tek noktaya yayın trafiğini de görebilmeniz için SPAN bağlantı noktası yapılandırmasını düzeltmek için ağ ekibinize başvurun. Alternatif olarak, bir PCAP'yi doğrudan anahtardan kaydedebilir veya Wireshark kullanarak bir dizüstü bilgisayarı bağlayabilirsiniz.

Daha fazla bilgi için bkz.

• Trafik yansıtmayı yapılandırma
• PCAP dosyalarını karşıya yükleme ve yürütme

Algılayıcıyı NTP'ye Bağlan

NTP'ye bağlanmak için tek başına algılayıcı ve bununla ilgili algılayıcılarla bir yönetim konsolu yapılandırabilirsiniz.

İpucu

OT algılayıcı ayarlarınızı büyük ölçekte yönetmeye hazır olduğunuzda, Azure portalından NTP ayarlarını tanımlayın. Azure portalından ayarları uyguladıktan sonra algılayıcı konsolundaki ayarlar salt okunur olur. Daha fazla bilgi için bkz . Azure portalından OT algılayıcı ayarlarını yapılandırma (Genel önizleme).

Tek başına algılayıcıyı NTP'ye bağlamak için:

• CLI belgelerine bakın.

Yönetim konsolu tarafından denetlenen bir algılayıcıyı NTP'ye bağlamak için:

• NTP bağlantısı yönetim konsolunda yapılandırılır. Yönetim konsolunun denetlediğini tüm algılayıcılar NTP bağlantısını otomatik olarak alır.

Cihazların haritada gösterilmediğinde veya İnternet ile ilgili birden çok uyarınız olduğunda araştırma

Bazen ICS cihazları dış IP adresleriyle yapılandırılır. Bu ICS cihazları haritada gösterilmez. Cihazlar yerine haritada bir internet bulutu görünür. Bu cihazların IP adresleri bulut görüntüsüne eklenir. Aynı sorunun bir diğer göstergesi de İnternet ile ilgili birden çok uyarının görünmesidir. Sorunu aşağıdaki gibi düzeltin:

1. Cihaz haritasında bulut simgesine sağ tıklayın ve IP Adreslerini Dışarı Aktar'ı seçin.
2. Özel olan ortak aralıkları kopyalayın ve alt ağ listesine ekleyin. Daha fazla bilgi için bkz . Alt ağ listenizde ince ayar yapma.
3. İnternet bağlantıları için yeni bir veri madenciliği raporu oluşturun.
4. Veri madenciliği raporuna yönetici modunu girin ve ICS cihazlarınızın IP adreslerini silin.

Algılayıcı verilerini temizleme

Algılayıcının yeniden yerleştirilmesi veya silinmesi gereken durumlarda, öğrenilen tüm veriler algılayıcıdan temizlenebilir.

Sistem verilerini temizleme hakkında daha fazla bilgi için bkz . OT algılayıcı verilerini temizleme.

Sorun giderme için günlükleri algılayıcı konsolundan dışarı aktarma

Daha fazla sorun giderme için, veritabanı veya işletim sistemi günlükleri gibi destek ekibine göndermek üzere günlükleri dışarı aktarmak isteyebilirsiniz.

Günlük verilerini dışarı aktarmak için:

1. Algılayıcı konsolunda Sistem ayarları>Algılayıcı yönetimi>Yedekleme ve Yedeklemeyi geri yükleme'ye >gidin.

2. Sorun Giderme Bilgilerini Dışarı Aktar iletişim kutusunda:

   1. Dosya Adı alanına, dışarı aktarılan günlük için anlamlı bir ad girin. Varsayılan dosya adı, 13:10-June-14-2022.tar.gz gibi geçerli tarihi kullanır.

   2. Dışarı aktarmak istediğiniz günlükleri seçin.

   3. Dışa aktar'ı seçin.

   Dosya dışarı aktarılır ve Sorun Giderme Bilgilerini Dışarı Aktar iletişim kutusunun altındaki Arşivlenmiş Dosyalar listesinden bağlanır.

   Örneğin:

   

3. Dışarı aktarılan günlüğü indirmek için dosya bağlantısını seçin ve ayrıca tek seferlik parolasını görüntülemek için düğmeyi seçin .

4. Dışarı aktarılan günlükleri açmak için indirilen dosyayı ve tek seferlik parolayı destek ekibine iletin. Dışarı aktarılan günlükler yalnızca Microsoft destek ekibiyle birlikte açılabilir.

   Günlüklerinizin güvenliğini sağlamak için parolayı indirilen günlükten ayrı olarak ilettiğinizden emin olun.

Not

Destek bileti tanılamaları algılayıcı konsolundan indirilebilir ve ardından doğrudan Azure portalındaki destek ekibine yüklenebilir. Tanılama günlüklerini indirme hakkında daha fazla bilgi için bkz . Destek için tanılama günlüğünü indirme.

Sonraki adımlar

• Uyarıları görüntüleme

• OT algılayıcıda SNMP MIB sistem durumu izlemesini ayarlama

• Bağlantısı kesilmiş OT algılayıcılarını izleme