Skip navigation
Log in to create and rate content, and to follow, bookmark, and share content with other members.

アップグレード ガイド11.5:付録C.インストールとアップグレードのトラブルシューティング

Document created by RSA Information Design and Development Employee on Dec 7, 2020Last modified by RSA Information Design and Development Employee on Dec 7, 2020
Version 2Show Document
  • View in full screen mode
 

このセクションでは、[ホスト]ビューからホストのバージョン更新およびサービスのインストールを実施して、問題が発生した場合に、[ホスト]ビューに表示されるエラー メッセージについて説明します。トラブルシューティングの解決策で解決できない更新またはインストールの問題がある場合は、カスタマ サポートにお問い合わせください

このセクションでは、アップグレード中に発生する可能性がある次のエラーのトラブルシューティング手順について説明します。

次のホストおよびサービスのアップグレード中またはアップグレード後に発生する可能性があるエラーについても、トラブルシューティング手順を記載しています。

deploy_adminのユーザ パスワード有効期限切れエラー

                 
エラー メッセージ

原因 deploy_adminのユーザ パスワードの有効期限が切れています。
解決策

deploy_adminのパスワードをリセットします。

  1. NW Serverホストのみで次のコマンドを実行します。
    nw-manage --update-deploy-admin-pw
    Please enter the new deploy_admin account password: <new-deploy-admin-password>
    Please confirm the new deploy_admin account password: <new-deploy-admin-password>
  2. nw-manage --update-deploy-admin-pwコマンドの出力を確認して、deploy_adminパスワードがすべてのホストで正常に更新されたことを確認します。NWホストがダウンしているか、nw-manage --update-deploy-admin-pwコマンドの出力に表示されている何らかの理由で失敗した場合は、通信障害が解決された後でnw-manage --sync-deploy-admin-pw --host-key <host-identifier>を実行して、失敗したホストとNW Serverの間でパスワードを同期します。
  3. インストールまたはオーケストレーションに失敗したホスト上で、nwsetup-tui コマンドを実行し、[Deployment Password]のプロンプトが表示されたら、deploy_adminの新しいパスワードを入力します。

ダウンロード エラー

                     
エラー メッセージ

問題更新バージョンを選択し、[更新]>[ホストの更新]をクリックすると、ダウンロードが開始されますが異常終了します。
原因バージョンのダウンロード ファイルのサイズが大きく、ダウンロードに時間がかかる場合があります。ダウンロード中に通信の問題が発生すると、ダウンロードは失敗します。
解決策
  1. 更新を再試行します。
  2. 同じエラーで再度失敗した場合は、『NetWitness Platform 11.5アップグレード ガイド』の「[ホスト]ビューからのオフライン方式」または「コマンド ライン インタフェースを使用したオフライン方式」の説明に従って、オフライン方式で更新してみてください。RSA NetWitness Platform 11.xのすべてのドキュメントの一覧を、 総合目次 で確認できます。

  3. それでも更新できない場合は、カスタマ サポートにお問い合わせください

バージョン <version-number>の導入エラー:更新パッケージの不足

                 
エラー メッセージ


問題

バージョン <version-number>の導入中にエラーが発生しました」のエラーは更新パッケージが破損している場合に、[更新の初期化]をクリックした後で、[RSA NetWitness Platformの更新パッケージの初期化]ダイアログに表示されます。

解決策
  1. 閉じる]をクリックしてダイアログを閉じます。

  2. ステージング フォルダからバージョン フォルダを削除します。

  3. salt-masterサービスが実行されていることを確認します。

  4. 更新パッケージのzipファイルをステージング フォルダに再コピーします。
  5. [ホスト]ビューのツールバーで、[更新の確認]を再度選択します。

  6. 更新の初期化]をクリックします。
  7. ツールバーの[更新]>[ホストの更新]をクリックします。
  8. 更新あり]ダイアログで[更新の開始]をクリックします。
    ホストの更新が完了すると、ホストの再起動を求めるメッセージが表示されます。
  9. ツールバーの[ホストの再起動]をクリックします。

アップグレード失敗エラー

                     
エラー メッセージ

ホストをバージョン11.2以降にアップデートまたはインストールするときに、次のエラーが発生する場合があります。このエラーは、/var/log/netwitness/config-management/chef-solo.logに記録されています。


原因

原因としては、ターゲット ホストがAdmin Server上のdnsmasqサービスを使用して名前(この場合は889e5752-6ae3-4286-a944-c182 33f4ccbc)を解決する際に、ポート53でAdmin Serverと通信できないことが考えられます。これは、Admin Serverのsalt minion IDです。この値を確認するには、Admin Serverで「cat /etc/salt/minion」を実行します。出力例:

解決策 可能な場合は、ポート53で通信できるように、ターゲット ホストとAdmin Serverホストの間のファイアウォールを構成します。これが不可能な場合の回避策は、minion IDをコンポーネント ホスト上の/etc/hostsファイルに追加し、11.4リリース以降では、この回避策を上書きしないようにchefレシピを変更します。
回避策 KB記事「Install/Upgrade fails in RSA NetWitness Platform because Resolv::ResolvError: no address for a particular host」を参照してください。

 

                 
エラー メッセージ

バージョン11.5.1に更新しようとすると、次のようなエラーがログに出力されました。

原因 ホスト上にインストールされた一部のコンポーネントがカスタム ビルド/rpmです(Hotfixをインストールした場合など)。
解決策

この問題を解決するには、次の手順に従います。

  1. SSHでAdmin Serverに接続します。
  2. 次のコマンドを実行して、コンポーネント ディスクリプタ ファイルのディレクトリに移動します。
    cd /etc/netwitness/component-descriptor/
  3. 次のコマンドを実行して、コンポーネント ディスクリプタ ファイルを開きます。
    vi nw-component-descriptor. json
  4. カスタム ビルド/rpmをインストールしたコンポーネントの「packages」セクションを検索します。次の例は、カスタム ビルド/rpmをインストールした「concentrator」ホストのパッケージの詳細を示しています。
    “concentrator”: {
    “cookbook_name”: “rsa-concentrator”,
    “service_names”: [“rsa-nw-concentrator”],
    “family”: “launch”,
    “default_port”: xxxx, “description”: “Concentrator”,
    packages”:[{ “name”: “rsa-nw-concentrator”,
    “version” : “11.5.1.0-2003001075220.5.cecf24b.e.17.centos”
    },
  5. packagesセクションのバージョン情報をすべて(「,」文字を含む)削除します。次の例は、バージョン情報を削除した後のpackagesセクションです。
    “packages”: [{
    “name”: “rsa-nw-concentrator”
    },

注: Admin Serverのコンポーネント ディスクリプタで、カスタム ビルド/rpmをインストールしたすべてのホストのバージョン情報を削除する必要があります。

  1. アップグレード プロセスを再度実行します。

外部リポジトリ更新エラー

                 
エラー メッセージ

新しいバージョンに更新しようとすると、次のようなエラーが返されました:
.Repository 'nw-rsa-base': Error parsing config: Error parsing "baseurl = 'https://nw-node-zero/nwrpmrepo /<version-number>/RSA'": URL must be http, ftp, file or https not ""

原因 指定したパスに問題があります。
解決策

次の情報を確認します。

  • URLがNW Serverホスト上に存在する。
  • 正しいパスを使用し、パスからはスペースを削除している。

ホスト インストール失敗エラー

                 
エラー メッセージ

問題ホストを選択して[インストール]をクリックすると、サービスのインストール処理が失敗します。
解決策
  1. サービスのインストールを再試行します。
    通常は、これで問題が解決されます。
  2. それでもサービスをインストールできない場合は、次の手順を実行します。
    1. 実行時にNW Server上の次のログを監視します(たとえば、コマンド ラインでtail -fコマンドを実行します)。
      /var/netwitness/uax/logs/sa.log
      /var/log/netwitness/orchestration-server/orchestration-server.log
      /var/log/netwitness/deployment-upgrade/chef-solo.log
      /var/log/netwitness/config-management/chef-solo.log

      /var/lib/netwitness/config-management/cache/chef-stacktrace.out
      エラーはこれらのログの少なくとも1つに表示されます。
    2. 問題を解決し、サービスを再インストールします。
      • 原因1:nwsetup-tuiでdeploy_adminの間違ったパスワードを入力しました。
        解決策:deploy_adminのパスワードをリセットします。
        1. 11.xのNW Serverホストとそれ以外のすべてのホストで、次のコマンドを実行します。
          /opt/rsa/saTools/bin/set-deploy-admin-password
        2. インストールまたはオーケストレーションに失敗したホスト上で、nwsetup-tui コマンドを実行し、[Deployment Password]のプロンプトが表示されたら、deploy_adminの新しいパスワードを入力します。

      • 原因2:deploy_adminのパスワードの有効期限が切れています。
        解決策:deploy_adminのパスワードをリセットします。
        1. 11.xのNW Serverホストとそれ以外のすべてのホストで、次のコマンドを実行します。
          /opt/rsa/saTools/bin/set-deploy-admin-password
        2. インストールまたはオーケストレーションに失敗したホスト上で、nwsetup-tui コマンドを実行し、[Deployment Password]のプロンプトが表示されたら、deploy_adminの新しいパスワードを入力します。

  1. それでも更新を適用できない場合は、ステップ2のログを収集して、カスタマ サポートにお問い合わせください

ホスト更新失敗エラー

                 
エラー メッセージ


問題更新バージョンを選択し、[更新]>[ホストの更新]クリックすると、ダウンロード プロセスは成功しますが、更新プロセスは失敗します。
解決策
  1. ホストへのバージョン更新の適用を再試行します。
    通常は、これで問題が解決されます。
  2. それでも新しいバージョンに更新できない場合は、次の手順を実行してください。
    1. 実行時にNW Server上の次のログを監視します(たとえば、コマンド ラインからtail -fコマンドを実行します)。
      /var/netwitness/uax/logs/sa.log
      /var/log/netwitness/orchestration-server/orchestration-server.log
      /var/log/netwitness/deployment-upgrade/chef-solo.log
      /var/log/netwitness/config-management/chef-solo.log

      /var/lib/netwitness/config-management/cache/chef-stacktrace.out
      エラーはこれらのログの少なくとも1つに表示されます。
    2. その問題を解決して、バージョンの更新を再度実行してください。
      • 原因1:deploy_adminのパスワードの有効期限が切れています。
        解決策:deploy_adminのパスワードをリセットします。
        原因1を解決するには、次の手順を実行します。
        1. NetWitness Suiteメニューで、(管理)]>[セキュリティ]>[ユーザ]タブの順に選択します。
        2. deploy_adminを選択し、[パスワードのリセット]をクリックします。
        3. (オプション)[パスワードのリセット]ダイアログで有効期限が切れたdeploy_adminのパスワードの再使用が拒否される場合は、次の手順を実行します。
          1. deploy_adminのパスワードを新しいパスワードにリセットします。
          2. 11.xのNW Server以外のすべてのホストで、次のコマンドを実行し、NW Serverと同じdeploy_adminのパスワードを指定します。
            /opt/rsa/saTools/bin/set-deploy-admin-password
        • 原因2:deploy_adminのパスワードがNW Serverホストで変更されましたが、NW Server以外のホストでは変更されていません。
          原因2を解決するには、次の手順を実行します。
          •  11.xのNW Server以外のすべてのホストで、次のコマンドを実行し、NW Serverと同じdeploy_adminのパスワードを指定します。
            /opt/rsa/saTools/bin/set-deploy-admin-password
  1. それでも更新を適用できない場合は、ステップ2のログを収集して、カスタマ サポートにお問い合わせください

更新パッケージ不足エラー

                 
エラー メッセージ

バージョンxx.x.x.xの更新の初期化
次の更新パッケージが見つかりません

RSA Linkからパッケージをダウンロードしてください

問題次の更新 パッケージが見つかりません」は、[ホスト]ビューからオフラインでホストを更新する時に、ステージング フォルダに足りないパッケージがあると、[RSA NetWitness Platformの更新パッケージの初期化]ダイアログに表示されます。
解決策
  1. RSA NetWitness Platformの更新パッケージの初期化]ダイアログで[RSA Linkからパッケージをダウンロード]をクリックします。
    選択したバージョンの更新ファイルが含まれるRSA Linkページが表示されます。

  2. ステージング フォルダに足りないパッケージを選択します。
    RSA NetWitness Platformの更新パッケージの初期化]ダイアログが開き、更新パッケージを初期化する準備ができたというメッセージが表示されます。

OpenSSL 1.1.x

                 
エラー メッセージ

次の例は、OpenSSL 1.1.xがインストールされているホストからsshクライアントを実行した場合に発生する可能性のあるsshエラーを示しています。
$ ssh root@10.1.2.3
ssh_dispatch_run_fatal: Connection to 10.1.2.3 port 22: message authentication code incorrect

問題

OpenSSL 1.1.xを使用しているクライアントからNetWitness Platformホストに上級ユーザがsshで接続しようとすると、CENTOS 7.xとOpenSSL 1.1.xの間に互換性がないため、このエラーが発生します。次に例を示します。

$ rpm -q openssl
openssl-1.1.1-8.el8.x86_64

解決策

互換性のある暗号リストをコマンド ラインで指定します。次に例を示します。

$ ssh -oCiphers=aes128-ctr,aes192-ctr,aes256-ctr root@10.1.2.3

I've read & consent to terms in IS user agreement.

root@10.1.2.3's password:

Last login: Mon Oct 21 19:03:23 2019

NW Server以外へのパッチ適用エラー

                 
エラー メッセージ

/var/log/netwitness/orchestration-server/orchestration-server.logに、次のようなエラーが記録されました。
API|Failure /rsa/orchestration/task/update-config-management [counter=10 reason=IllegalArgumentException::Version '11.x.x.n' is not supported

問題 NW Serverホストのバージョンを更新した後で、NW Server以外のすべてのホストを同じバージョンに更新する必要があります。たとえば、NW Serverを11.4.0.0から11.5.0.0に更新すると、NW Server以外のホストの唯一の更新パスは、同じバージョン(つまり、11.5.0.0)だけです。NW Server以外のホストを別のバージョン(たとえば、11.4.0.0から11.4.x.x)に更新しようとすると、このエラーが表示されます。
解決策

2つの選択肢があります。

  • NW Server以外のホストを11.5.0.0に更新します。
  • NW Server以外のホストを更新しません(現在のバージョンを維持)。

コマンド ラインからの更新後のホスト再起動のエラー

                 
エラー メッセージ

ホストをオフラインで更新して再起動した後に、ホストを再起動するよう求めるメッセージがユーザ インタフェースに表示されます。

原因 CLIを使用してホストを再起動することはできません。ユーザ インタフェースを使用する必要があります。
解決策

ユーザ インタフェースの[ホスト]ビューでホストを再起動します。

アップグレード後のReporting Engine再起動

                 
問題

11.3などの11.xのバージョンから11.5にアップグレードした後、Reporting Engineサービスが継続的に再起動を試み、失敗を繰り返す場合があります。

原因

ライブ チャート、アラート ステータス、レポート ステータスのデータベース ファイルが破損し、正常にロードできない可能性があります。

解決策

この問題を解決するには、次の手順を実行します。

  1. どのデータベース ファイルが破損しているかを確認します。

    /var/netwitness/reserver/rsa/soc/reporting-engine/logs/reporting-engine.logファイルを開き、次のブロックを確認します。

    • ライブ チャートのdbファイルが破損している場合は、次のログが表示されます。

      ライブ チャート エラー

    • アラート ステータスのdbファイルが破損している場合は、次のログが表示されます。

      アラート ステータス エラー

    • レポート ステータスのdbファイルが破損している場合は、次のログが表示されます。

      org.h2.jdbc.JdbcSQLException: File corrupted while reading record: null. Possible solution: use the recovery tool [90030-196]

  2. ライブ チャート データベース ファイルの破損を解決するには、次の手順を実行します。

    1. Reporting Engineサービスを停止します。

    2. livechart.mv.dbファイルを、/var/netwitness/reserver/rsa/soc/reporting-engine/livechartsフォルダから一時的な場所に移動します。

    3. Reporting Engineサービスを再起動します。

      注: この手順を実行すると、一部のライブ チャート データが失われる可能性があります。

     

    アラート ステータスまたはレポート ステータス データベース ファイルの破損を解決するには、次の手順を実行します。

    1. Reporting Engineサービスを停止します。
    2. 破損したdbファイルを/var/netwitness/reserver/rsa/soc/reporting-engine/archivesフォルダにある最新のalertstatusmanager.mv.dbファイルまたはreportstatusmanager.mv.dbファイルで置き換えます。
    3. Reporting Engineサービスを再起動します。

    詳細については、ナレッジベース記事「Reporting Engine restarts After upgrade to RSA NetWitness Platform 11.4.」を参照してください。

     

 

                 
問題 バージョン11.5にアップグレードした後で、Reporting Engineサービスが再起動されません。
原因 Reporting Engineサービスは、次のいずれかの理由により起動しない場合があります。
- workspace.xmlが更新されていない。
- livechart h2データベースで時間が正しく変換されていない。
- JCR(Jackrabbitリポジトリ)がプライマリ キー違反で破損している。
解決策

この問題を解決するには、Reporting EngineサービスがインストールされているAdmin Server上でReporting Engine移行リカバリ ツール(rsa-nw-re-migration-recovery.sh)を実行します。

注:Reporting Engine移行リカバリ ツールは次の場所にあります。
/opt/rsa/soc/reporting-engine-11.5.0.0-<Tag>/nwtools

1. SSHでAdmin Serverに接続します。

2. 次のコマンドを実行してRE(Reporting Engine)ツールを解凍します。
tar -xvf rsa-nw-re-recovery-tool-bundle.tar

3. (オプション)別のディレクトリにREツール ファイルを解凍する場合は、ディレクトリを作成してREツールを解凍できます。次のコマンドを実行します。

mkdir <NAME OF THE DIRECTORY>
tar -xvf rsa-nw-re-recovery-tool-bundle.tar --directory <PATH OF THE DIRECTORY>

4. 次のコマンドを実行してスクリプトを実行します。
./<PATH OF THE DIRECTORY>/rsa-nw-re-recovery-tool.sh

詳細については、ナレッジベース記事「Reporting Engine Migration Recovery Tool」を参照してください。

Log Collectorサービス(nwlogcollector

Log Collectorのログは、nwlogcollector サービスを実行しているホスト上の/var/log/install/nwlogcollector_install.logに保存されます。

                 
エラー メッセージ <timestamp>.NwLogCollector_PostInstall: Lockbox Status : Failed to open lockbox: The lockbox stable value threshold was not met because the system fingerprint has changed. To reset the system fingerprint, open the lockbox using the passphrase.
原因 更新後、Log CollectorのLockboxを開くことができませんでした。
解決策 NetWitness Platformにログインし、LockboxのStable System Valueのパスワードをリセットすることにより、システム フィンガープリントをリセットします。詳細については、『ログ収集の構成ガイド』の「Lockboxのセキュリティ設定の構成」トピックにある「Stable System Valueのリセット」セクションを参照してください。

 

                 
エラー メッセージ <timestamp> NwLogCollector_PostInstall: Lockbox Status : Not Found
原因 更新後、Log CollectorのLockboxが構成されていません。
解決策 Log CollectorのLockboxを使用する場合は、NetWitness Platformにログインし、Lockboxを構成します。詳細については、『ログ収集の構成ガイド』の「Lockboxのセキュリティ設定の構成」トピックを参照してください。

 

                 
エラー メッセージ <timestamp>: NwLogCollector_PostInstall: Lockbox Status : Lockbox maintenance required: The lockbox stable value threshold requires resetting. To reset the system fingerprint, select Reset Stable System Value on the settings page of the Log Collector.
原因 Log CollectorのLockboxのStable System Value閾値フィールドをリセットする必要があります。
解決策 NetWitness Platformにログインし、LockboxのStable System Valueのパスワードをリセットします。詳細については、『ログ収集の構成ガイド』の「Lockboxのセキュリティ設定の構成」トピックにある「Stable System Valueのリセット」セクションを参照してください。

 

             
エラー メッセージ

Decoderがイベントの収集を開始しようとしますが失敗します。

解決策

この問題を解決するには、次の手順を実行します。

  1. SSHを使用してDecoderホストに接続します。
  2. 次のコマンドを実行します。
    yum reinstall pfring*
    systemctl restart nwdecoder

NW Server

これらのログは、NW Serverホスト上の/var/netwitness/uax/logs/sa.logに書き込まれます。

                 
問題

アップグレード後、監査ログが、グローバル監査に設定された宛先に転送されていないことが分かりました。

または

次のメッセージがsa.logに記録されました。
Syslog Configuration migration failed. Restart jetty service to fix this issue

原因 NW Serverのグローバル監査設定が、11.3.x.xから11.5.0.0への移行に失敗しました。
解決策
  1. SSHでNW Serverに接続します。
  2. 次のコマンドを実行します。
    orchestration-cli-client --update-admin-node

Orchestration

Orchestration Serverのログは、NW Serverホスト上の/var/log/netwitness/orchestration-server/orchestration-server.log に書き込まれます。

                 
問題
  1. 非NW Serverホストをアップグレードしようとしましたが、失敗しました。
  2. このホストのアップグレードを再試行しましたが、再度失敗しました。

 

orchestration-server.logに次のメッセージが記録されます。
"'file' _virtual_ returned False: cannot import name HASHES""

原因 アップグレードに失敗した非NW Serverホストでsalt minionがアップグレードされ、再起動されていない可能性があります。
解決策
  1. アップグレードに失敗した非NW ServerホストにSSHで接続します。
  2. 次のコマンドを実行します。
    systemctl unmask salt-minion
    systemctl restart salt-minion
  3. 非NW Serverホストのアップグレードを再試行します。

Reporting Engineサービス 

Reporting Engineの更新ログは、Reporting Engineを実行しているホスト上の/var/log/re_install.logファイルに保存されます。

                 
エラー メッセージ <timestamp> : Available free space in /var/netwitness/re-server/rsa/soc/reporting-engine [ ><existing-GB ] is less than the required space [ <required-GB> ]
原因 Reporting Engineの更新は、十分なディスク領域がないために失敗しました。 
解決策 ログ メッセージに示されている必要な容量に合わせてディスク領域を解放します。ディスク領域を解放する方法については、『Reporting Engine構成ガイド』の「サイズの大きなレポートに対応するためのスペースの追加」を参照してください。

Event Stream Analysis

                 
問題 バージョン11.5にアップグレードした後で、ESA Correlationサーバは構成されたデータ ソースからのイベントを集計しません。
エラー メッセージ Invalid username or password at com.rsa.netwitness.streams.base.RecordSourceSubscription.run(RecordSourceSubscription.java:173)
解決策

この問題を解決するには、次の手順を実行します。
NetWitness Platformのユーザ インタフェースで、

  1. (構成)>[ESAルール]に移動します。
    ESAルール]パネルで[ルール]タブが表示されます。
  2. [ルール]タブのオプション パネルの[導入環境]の下で、導入環境を選択します。
  3. データ ソース]セクションで、データ ソースを選択して、ツールバーの編集アイコンをクリックします。
  4. サービスの編集]ダイアログで、そのデータ ソースのパスワードを入力します。
  5. 接続のテスト]ボタンをクリックして、ESAサービスと通信できることを確認してから、[OK]をクリックします。

注: 構成されたすべてのデータ ソースについて、前述の手順を実行します。

  1. 導入環境に変更を加えた後、[今すぐ導入]をクリックしてESAルール導入環境を再導入します。

ESAトラブルシューティング情報

ESAルールによってアラートが作成されない

アラートが表示されない場合は、ESAルールの導入ステータスを確認してください。

  1. (構成)>[ESAルール]>[サービス]タブに移動します。
    [サービス]ビューが表示され、ESAサービスと導入環境のステータスが示されます。
  2. 左側の[オプション]パネルで、ESAサービスを選択します。
  3. リスト内の各サービスを選択し、右側のパネルで導入環境のタブを確認します。各タブは、個別のESAルール導入環境を表しています。
  4. ESAルール導入環境ごとに、次の手順を実行します。
    1. ESAエンジンの統計情報]セクションで、[検出イベント数]と[検出レート]の値を確認します。これらの統計から、データの集計と分析が適切に行われていることを確認できます。[検出イベント数]の値が0の場合は、導入環境がデータを受信していません。
    2. ルールの統計情報]セクションで、[有効なルール]と[無効なルール]の値を確認します。無効なルールがある場合は、その下の[導入されたルールの統計統計]セクションで無効なルールの詳細を確認します。無効なルールには、白い丸が表示されます。有効なルールには、緑色の丸が表示されます。

    [ESAルール サービス]ビュー:ESAルール導入環境のステータスを確認

  5. 無効なルールを有効化する必要がある場合は、次の手順を実行します。
    1. (構成)>[ESAルール]>[ルール]タブに移動し、無効なルールを含んでいるESAルール導入環境を再導入します。
    2. サービス]タブに戻り、ルールが無効かどうかを確認します。ルールが引き続き無効な場合は、/var/log/netwitness/correlation-server/correlation-server.logにあるESA Correlationサービスのログ ファイルを確認します。

注: 不要な処理のオーバーヘッドを回避するため、値にテキスト データを含まないメタ キーについては、ESAルール ビルダの[ステートメントのビルド]ダイアログから[大文字小文字区別なし]オプションが削除されました。11.4へのアップグレード時に、NetWitness Platformは、既存のルールの[大文字小文字区別なし]オプションを変更しません。既存のルール ビルダ ルールで、[大文字小文字区別なし]オプションを使用できなくなったメタ キーでこのオプションが選択されている場合、そのステートメントを編集し、チェックボックスをオフにしないで再保存しようとするとエラーが発生します。

エンドポイント、UEBA、Liveコンテンツ ルールが機能していない

エンドポイントおよびUEBAのコンテンツに加え、Liveで提供するESAルールの変更に対応するため、ESA Correlationサービスでは、いくつかのメタ キーを単一値(文字列)から複数値(文字列配列)に変更する必要がありました。NetWitness Platform 11.4以降、文字列から文字列配列への変更があった場合、ESAによってルール ステートメントの演算子が自動的に調整されますが、文字列配列の変更については、手動で調整が必要となる可能性があります。

11.4以降で文字列型のメタ キーを文字列配列型のメタ キーに手動で変更するには、『ESA構成ガイド』の「ESA相関ルールの値に配列型のメタ キーを構成」を参照してください。

最新のエンドポイント、UEBA、Liveコンテンツ ルールを使用するには、NetWitness Platformバージョン11.4以降のESA Correlationサービスでは、次のデフォルトの複数値メタ キーが必要です。

action , alert , alert.id , alias.host , alias.ip , alias.ipv6 , analysis.file , analysis.service , analysis.session , boc , browserprint , cert.thumbprint , checksum , checksum.all , checksum.dst , checksum.src , client.all , content , context , context.all , context.dst , context.src , dir.path , dir.path.dst , dir.path.src , directory , directory.all , directory.dst , directory.src , email , email.dst , email.src , eoc , feed.category , feed.desc , feed.name , file.cat , file.cat.dst , file.cat.src , filename.dst , filename.src , filter , function , host.all , host.dst , host.orig , host.src , host.state , inv.category , inv.context , ioc , ip.orig , ipv6.orig , netname , OS , param , param.dst , param.src , registry.key , registry.value , risk , risk.info , risk.suspicious , risk.warning , threat.category , threat.desc , threat.source , user.agent , username

NetWitness Platform 11.4以降のESA Correlationサービスは、次のデフォルトの単一値メタ キーも必要です。

accesses , context.target , file.attributes , logon.type.desc , packets

メタ キーを更新するには、『ESA構成ガイド』の「最新のエンドポイント、UEBA、RSA Liveコンテンツ ルールのために、Multi-ValuedパラメータとSingle-Valuedパラメータのメタ キーを更新」を参照してください。

変更された文字列配列メタ キーまたは文字列メタ キーをESAルール通知テンプレートで使用している場合は、テンプレートを更新し、メタ キーの変更を反映します。『システム構成ガイド』の「グローバル通知テンプレートの構成」を参照してください。RSA NetWitness Platform 11.xのすべてのドキュメントの一覧を、 総合目次 で確認できます。

注: 詳細EPLルールが無効になった場合は、自動的に更新されないため、手動で修正する必要があります。

トラブルシューティングの詳細については、『RSA NetWitness Platform ESA相関ルール アラート ユーザ ガイド』の「ESAのトラブルシューティング」を参照してください。RSA NetWitness Platform 11.xのすべてのドキュメントの一覧を、 総合目次 で確認できます。

メタ キーの不足に関するESA Correlationサーバの警告メッセージの例

ESA Correlationサーバのエラー ログに警告メッセージが表示される場合は、 default-multi-valuedパラメータとmulti-valued parameterのメタ キーの値に差異があるため、新しいエンドポイント、UEBA、Liveコンテンツ ルールが機能しません。『ESA構成ガイド』の「最新のエンドポイント、UEBA、RSA Liveコンテンツ ルールのために、Multi-ValuedパラメータとSingle-Valuedパラメータのメタ キーを更新」の手順を実行すると、この問題を修正できます。

複数値の警告メッセージの例

2019-08-23 08:55:07,602 [ deployment-0] WARN Stream|[alert, alert_id, browserprint, cert_thumbprint, checksum, checksum_all, checksum_dst, checksum_src, client_all, content, context, context_all, context_dst, context_src, dir_path, dir_path_dst, dir_path_src, directory, directory_all, directory_dst, directory_src, email_dst, email_src, feed_category, feed_desc, feed_name, file_cat, file_cat_dst, file_cat_src, filename_dst, filename_src, filter, function, host_all, host_dst, host_orig, host_src, host_state, ip_orig, ipv6_orig, OS, param, param_dst, param_src, registry_key, registry_value, risk, risk_info, risk_suspicious, risk_warning, threat_category, threat_desc, threat_source, user_agent] are still MISSING from multi-valued

単一値の警告メッセージの例

2019-08-23 08:55:07,602 [ deployment-0] WARN Stream|[accesses, context_target, file_attributes, logon_type_desc, packets] are still MISSING from single-valued

You are here
Table of Contents > 付録C.インストールとアップグレードのトラブルシューティング

Attachments

    Outcomes