調査:調査のトラブルシューティング

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

このセクションでは、NetWitness Investigateの使用時に発生する可能性のある問題について説明します。

[ナビゲート]ビューおよび[レガシー イベント]ビューの問題

 

                 
動作

通常、[ナビゲート]ビューで値を返すメタ キーは値を返しますが、メタ キー名の後に「Not Indexed」というメッセージが表示されます。たとえば、次の図のように、Service Typeメタ キーの後に「Service Type[service] Not Indexed」というメッセージが表示されます。

インデックスなしメッセージ

問題

環境を初めてセットアップしたとき、または、稀にですが他の問題が原因でBrokerでデータ リセットを実行したときに、メタ キーがメタ キー レベルまたはメタ値レベルでインデックスされているにもかかわらず、インデックスなしと表示されます。

説明

Brokerの問題を解決するには、NetWitness Platformからログアウトして、もう一度ログインします。有効なセッションが表示されます。

 

                 
メッセージNot indexed; will experience longer than usual load times.([メタ グループの管理]ダイアログ)
問題

[メタ グループの管理]ダイアログボックスのメタ キーが赤い感嘆符でマークされ、エラー メッセージが表示されます。これは、BrokerまたはDecoderを調査していて、サービスのインデックス ファイルまたはカスタム インデックス ファイルでインデックスされていないメタ キーを含むメタ グループを追加するときに発生する可能性があります。

Brokerの場合、それはBrokerがConcentratorからデータを集約し始めていないことを意味する可能性があります。この場合、Brokerは、集約サービスからのカスタム索引ファイルのコンテンツを持たず、キーは索引付けされません。

Decoderの場合、メタ キーがDecoderインデックスまたはカスタム インデックス ファイルでインデックスされていないことを意味します。

説明

Brokerで問題を解決するには、Brokerサービスからログアウトして、ログインし、再始動します。これで、接続されたConcentratorからメタ キー情報を集約できるようになります。Decoderの問題を修正するには、カスタム インデックス ファイルを編集してメタ キーのインデックスを作成し、Decoderサービスからログアウトして、ログインし、再起動します。

 

                 
動作

[イベントの再構築]ビューからログおよびメタデータをダウンロードすると、[レガシー イベント]ビューで選択した形式に関係なく常にテキスト形式になります。

問題

[イベントの再構築]ビューでメタデータまたはログをダウンロードすると、[レガシー イベント]ビューで選択した形式が使用されません。エクスポートしたデータは、常にテキスト形式になります。

説明

テキスト形式以外の形式を使用する場合は、[レガシー イベント]ビューからメタデータとログをダウンロードします。

 

[イベント]ビューの問題

 

                 
メッセージApplicable for hosts with 4.x Endpoint agents installed, please install the NetWitness Endpoint Thick Client.
問題[イベント]ビューで[エンドポイントに移行]をクリックすると、データが表示されず、メッセージが表示されます。
説明バージョン4.4のNetWitness Endpoint Thick Clientを、同じサーバにインストールする必要があります。NWEメタ キーがLog Decoderのtable-map.xmlファイルとConcentratorのindex-concentrator-custom.xmlファイルに存在する必要があります。NWE Thick Clientは、Windowsのみのアプリケーションです。完全なセットアップ手順は、バージョン 4.4の『NetWitness Endpointユーザ ガイド』を参照してください。

 

                 
動作ダウンロード ジョブは、バージョン11.4へのソフトウェアのアップグレード中およびアップグレード後に、ジョブ トレイで待機状態または失敗状態になります。
問題管理者によってソフトウェアがアップグレードされている間に、ダウンロード ジョブを実行していた場合は、アップグレードの進行中にジョブが待機状態で表示され、アップグレードの完了後に失敗状態で表示されることがあります。失敗したジョブを再開またはキャンセルすることはできません。
説明失敗したジョブを削除するには、失敗したジョブをジョブ トレイで選択して、[削除]ボタンをクリックします。

 

                 
メッセージEvent Analysis requires all core services to be NetWitness 11.1. Connecting prior versions of services to the 11.1 NetWitness Server results in limited functionality (see "Investigate in Mixed Mode" in the Physical Host Upgrade Guide).
問題[イベント分析]ビューでバージョン11.1に更新されていないサービスを調査する場合、情報メッセージが表示されます。
説明アナリストが混在モード(つまり、一部のサービスは11.1以降にアップグレードされているが、一部のサービスは11.0.0.xまたは10.6.xのまま)で[イベント分析]ビューを開くと、RBAC(ロールによるアクセス制御)が一律に適用されません。これは、コンテンツの表示とダウンロード、対話形式で階層リンクを操作する時のフィルタの検証に影響します。この情報メッセージは、[イベント]を開くときに表示されます。サービスを選択するとき、最新でないサービスは赤いボックスの中に表示され、サービスが最新でないというメッセージが表示されます。管理者が、接続されたすべてのサービスを11.1以降にアップグレードすると、これらの機能は正常に動作します。

 

                 
メッセージForbidden. You cannot access the requested page.
問題[イベント]ビューにアクセスしようとすると、このメッセージが表示されます。
説明[イベント]ビューにアクセスできないよう、管理者によってロールと権限が変更されました。

 

                 
動作[イベント]ビューでイベントをダウンロードできるが、0バイトのファイルが取得される場合は、管理者によってコンテンツへのアクセスが制限されている可能性があります。
問題管理者によって適用されたロールベースのアクセス制御により、権限のないイベントをダウンロードできました。そのため、ダウンロードされたファイルは空でした。
説明イベントにアクセスする必要があると考えられる場合は、管理者に連絡してください。

 

                 
メッセージ

Insufficient permissions for the requested data.

問題[イベント]ビューでイベントにアクセスしようとすると、このメッセージが表示されます。
説明表示する権限がないイベントのイベントIDを入力しました。アクセスを制限するために、管理者がロールと権限により制限を設けた可能性があります。

 

                 
メッセージInvalid session ID: <<eventId>>
問題クエリ対象のsessionIdと一致するsessionIdがありません。
説明無効なセッションIDが発生した原因はいくつか考えられます。例えば、手動でセッションIDを入力したが、そのようなセッションが存在しない可能性があります。また、Brokerに対してクエリを実行する場合、集計されたデータがしばらく更新されていないと、既に存在しなくなったセッションについてこのエラーが表示される可能性があります。

 

                 
動作11.1のイベント分析に、調査プロファイルと標準提供の列グループが存在しません。
問題RSA NetWitness v11.1へのアップグレード後、デフォルトの列グループ(Endpoint Analysis、Outbound SSL、Outbound HTTP)が列グループに追加されていません。また、アップグレード後に一部の調査プロファイルが見つかりません。
説明

この問題は、11.1で新しく追加された標準提供の列グループと同じ名前でカスタム列グループを作成していた場合にのみ発生します。たとえば、11.0で「RSA Endpoint Analysis」というカスタム列グループを作成し、その後11.1へアップグレードしたとします。11.1には同じ名前が存在するため、標準提供の列グループとプロファイルがUIに表示されません。

この問題を解決するには、カスタム列グループの名前を標準提供の列グループと異なる名前に変更した後、NetWitness Serverで次のコマンドを実行して、jettyサーバを再起動します。

systemctl restart jetty

 

                 
メッセージMemory limit of <XXXXXX> GB reached, controlled by setting max.query.memory
問題結果セットが大きすぎて、max.query.memoryで設定されたメモリ制限に達したため、送信したクエリが失敗しました。
説明このエラーを回避するには、時間範囲の絞り込み、フィルタの追加、列グループの列数の削減によって、さらに結果を絞り込むようにします。また、返されるイベントの数を制限することを管理者に対して要求することもできます。

 

                 
動作コンテンツの再構築ではテキスト データは生成されませんでした。イベント データが破損しているか不正な可能性があります。または、管理者がEndpoint Serverの構成でエンドポイントのRAWイベントの送信を無効化している可能性があります。他の表示で再構築してください。
問題[イベント]ビューでイベントをテキストとして再構築するとき、データが表示されず、このメッセージが表示されます。
説明他の[イベント]ビューや[レガシー イベント]ビューの再構築でもRAWテキストが表示されず、データが破損していない、または無効でないと思われる場合、管理者がNetWitness EndpointサーバでRAWエンドポイント イベントの送信を無効化した可能性があります。詳しくは、管理者にお問い合わせください。

                 

メッセージ

Rule Syntax error: Unrecognized key "<meta key or meta entity name>"

Syntax error: Unrecognized key "<meta key or meta entity name>"

問題

サービスのクエリ中、一致するイベントが表示されず、メッセージがクエリ コンソールと[イベント]ビューに表示されます。

エンティティの構成に誤りがあるため表示されるエラー メッセージ

説明入力したクエリは、正しく構成されていないメタ エンティティに対して実行されています。クエリ対象のBrokerに接続されているすべての上流デバイスに、同じエンティティ構成がなければなりません。このエラーは、エンティティ定義に不一致がある状態でBrokerが動作していることを示しています。『Coreデータベース チューニング ガイド』の「インデックスのカスタマイズ」で説明されている構成を確認するよう、管理者に依頼してください。

 

                 
メッセージ

Selected Column Group is no longer available. The default summary column group has been selected instead.

問題11.4にアップグレードする前に優先的に使用する列グループを設定していた場合、[イベント]ビューに初めてアクセスしたときに、列グループが使用可能またはデフォルト グループ(サマリー)であっても、フラッシュ メッセージが表示されます。この問題は、バージョン11.4.1で解決されました。
説明この問題は一度だけ発生します。[イベント]ビューを再ロードすると、メッセージは表示されません。

 

                 
メッセージ

Session is unavailable for viewing.

問題イベントIDでクエリを実行した時に、イベントの再構築が表示されず、このメッセージが表示されます。
説明入力したクエリは、制限されたデータを照会しようとしています。たとえば、ログ データの表示しか許可されていないときに、ネットワーク データへのリンクを使用しています。

 

                 
メッセージThe query on channel <channel-number> was auto-canceled by the system for exceeding time usage limits. Check timeout values. Query running time was 00:05:00 (HH:MM:SS)
問題このタイムアウト メッセージが頻繁に表示される場合は、まずクエリ コンソールを確認して、サービスの応答に要する時間の問題やインデックス エラー メッセージなど、クエリのレスポンス タイムを増やすために対処すべき警告があるかどうかを調べます。
説明特定の警告を示すメッセージが表示されていない場合は、『システム セキュリティとユーザ管理ガイド』の説明に従って、コア クエリ タイムアウトを5分から10分に増やすよう管理者に依頼してください。

 

                 
メッセージThe session id is too large to be handled:<<eventId>
問題[レガシー イベント]ビューまたは[ナビゲート]ビューで入力または取得したセッションIDが大きすぎます。
説明[イベント]ビューでsessionIdを手動で入力したか、sessionIdを編集した場合、[イベント]ビューで処理するには大きすぎる整数値を指定した可能性があります。

 

                 
動作

[イベント]ビュー>[パケット]パネルで大量のパケット(250個超)を使用してネットワーク イベントを再構築するときに、有効なペイロードのみを表示するオプションが有効になっており、ページあたりのパケット数の設定がデフォルト値(100個)を上回った場合、現在のブラウザ タブがペイロードの表示を処理している間、最大45秒間応答しません。

問題

クライアント マシンのリソース(メモリとCPU)の量とイベントのパケット数によっては、パケットの再構築でペイロードのみを表示すると、パフォーマンスが低下する場合があります。

説明

単一のイベントの再構築で処理されるデータの量を制限するには、フッターの[ページあたりのパケット数]設定を低い値に変更します。

[ページあたりのパケット数]設定

                 

動作バージョン11.4の[イベント]ビューで作業しているときに、[クエリ プロファイル]ドロップダウン メニューと[列グループ]ドロップダウン メニューが機能しません。
問題列グループとプロファイルの読み取り権限がありません。デフォルトの列グループであるサマリー リストは[イベント]リストに適用され、列グループの変更、作成、削除はできません。
説明この問題は、デフォルトのアナリスト ロールを割り当てる代わりに、管理者がカスタム ロールを作成した場合にのみ発生します。列グループの読み取りおよびプロファイルの読み取り権限をロールで有効にするよう管理者に依頼してください。

 

You are here
Table of Contents > 調査のトラブルシューティング

Attachments

    Outcomes