Alertes Dépanner le service ESA

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette section décrit les problèmes courants qui peuvent survenir lors de l'utilisation d'ESA, et propose des solutions usuelles à ces problèmes.

Résoudre les problèmes liés aux services ESA

                              
ProblèmeCauses possiblesSolutions

Dans le tableau de bord Security Analytics, le service ESA s'affiche en rouge pour indiquer qu'il est hors ligne.

Sur la page Alertes > Configurer, le message suivant s'affiche : « Le service est hors ligne ou inaccessible. »

plusieurs pages

Lorsqu'un service ESA est hors ligne, cela peut être dû à de nombreuses causes. Cependant, bien souvent, le problème vient du fait que vous avez créé une règle qui utilise trop de mémoire, ce qui provoque l'échec du service ESA. Pour résoudre ce problème, reportez-vous à « Étapes de résolution des problèmes de mémoire d'un service ESA hors ligne ».

Parmi les autres causes usuelles, il est possible que votre parefeu bloque la connexion entre ESA et Security Analytics, ou que la machine hébergeant le service ESA soit en panne.  

  

Pour activer les services ESA :

Dans Administration > Services, sélectionnez l'icône Actions Actions_Icon.png du service ESA, puis choisissez Démarrer.

Si votre service ESA s'arrête et redémarre en boucle, vous pouvez avoir à appeler le Support Clients pour faire redémarrer les services.

Après une mise à niveau effectuée récemment, le service ESA s'affiche en rouge dans le tableau de bord Security Analytics pour indiquer qu'il est hors ligne.

Sur la page Alertes> Configurer, le message suivant s'affiche : « Le service est hors ligne ou inaccessible. »

Problèmes liés à la configurationSi votre système a été mis à niveau récemment, vous avez peutêtre commis une erreur de configuration. Sous Administration > Services, sélectionnez le service ESA, puis cliquez sur Modifier le service. Dans le champ Modifier le service, cliquez sur Tester la connexion.  Si la connexion n'aboutit pas, cela est dû probablement à une erreur de configuration de votre part. Tentez de corriger votre erreur de configuration, puis réessayez. 
L'exécution du service ESA semble lente.Problèmes liés à la configurationVous pouvez améliorer les performances en modifiant la mémoire tampon (la valeur par défaut est 10485760 octets), ou en définissant le paramètre TCP sur TCPNoDelay pour empêcher le retard de réception des accusés TPC. Vous pouvez modifier ces paramètres ( readBufferSize et tcpNoDelay) en accédant à l'Explorateur /Workflow/Source/nextgenAggregation .

Résoudre les problèmes de base de données ESA

                  
ProblèmeCauses possiblesSolutions

 Mon tableau de bord ESA ne se charge pas. 

  • Ou, une erreur se produit lors de la récupération des données.
  • Ou, il se charge très lentement. 
La taille de la base de données qui stocke les alertes est devenue trop importante.

Vous devrez peutêtre configurer les paramètres de la base de données des alertes afin qu'elle efface les anciennes alertes en temps voulu. Pour plus d'informations sur la configuration de ces paramètres, consultez « Configurer le stockage ESA » dans le Guide de Configuration d'Event Stream Analysis (ESA).

Une fois que la taille de la base de données est devenue trop importante, vous devez effacer les alertes. Pour ce faire, contactez le Support Clients. 

Résoudre les problèmes liés aux règles RSA Live pour ESA

                    
ProblèmeCauses possiblesSolutions
J'ai importé un groupe de règles à partir de RSA Live, et maintenant mon service ESA se bloque. Pourquoi ?Vous n'avez peutêtre pas configuré les paramètres nécessaires pour rendre la règle RSA Live compatible avec votre environnement. 

Chaque règle RSA Live comporte une description qui inclut les paramètres à configurer et les conditions préalables pour votre environnement. Consultez cette description pour déterminer si la règle est appropriée à votre environnement.

Pour garantir le déploiement des règles en toute sécurité dans votre environnement, configurez les nouvelles règles en tant que règles d'évaluation afin de les tester dans votre environnement. Grâce aux règles d'évaluation, vous pouvez tester les nouvelles règles sans danger.  Pour plus d'informations, reportez-vous à  Déployer des règles en tant que règles d'évaluation.

J'ai importé un groupe de règles à partir de RSA Live et, alors que ces règles avaient été déployées sans erreur, elles ont été désactivées ensuite.

Les règles RSA Live ne sont pas toutes destinées à chaque environnement. Vous n'avez peut-être pas les métas correctes dans votre service ESA pour exécuter la règle.

Vous pouvez vérifier qu'une règle a été désactivée en accédant à Alertes> Services > Statistiques de règles déployées.  Si la règle est désactivée, l'icône verte ne s'affiche pas en regard de celle-ci. 

 Si une règle déployée correctement a été désactivée, recherchez les exceptions liées à cette règle dans les logs. Plus précisément, vérifiez si les règles ont été désactivées en raison des métadonnées manquantes. Pour ce faire, accédez à Administration > Services, sélectionnez le service ESA, puisic-actns.png > Vue >Logs.

Recherchez ensuite un message similaire au message suivant :

"Property named ‘<meta_name>' is not valid in any stream"

Par exemple, vous pouvez voir :

Failed to validate filter expression '(medium=1 and streams=2 or medium=3...(238 chars)': Property named 'tcp_flags_seen' is not valid in any stream

Si un message similaire s'affiche, vous devrez peut-être ajouter une clé méta personnalisée au Log Decoder ou Concentrator. Pour ce faire, suivez ces instructions : « Créer des clés méta personnalisées à l'aide d'un feed personnalisé » dans le Guide de configuration de Decoder et Log Decoder.

Résoudre les problèmes de déploiement

               
ProblèmeCauses possiblesSolutions
J'ai créé une règle, et j'ai vérifié la syntaxe. La règle semblait correcte. Lorsque j'ai déployé la règle, j'ai obtenu une erreur. Pourquoi ?Vous n'avez peut-être pas de méta correct pour déployer la règle. Consultez les références des clés méta. Vous n'avez peut-être pas de méta correct pour déployer la règle. 

Résoudre les problèmes liés aux règles

                    
ProblèmeCauses possiblesSolutions
J'ai créé une règle personnalisée (via le Générateur de règles ou l'EPL avancé), et ma règle ne se déclenche pas. Pourquoi ?Vous avez peutêtre des problèmes de connectivité.

Vérifiez la statistique « Taux fourni » sous l'onglet Alertes > Configurer > Services.

Si le taux fourni est égal à zéro, cela signifie que le service ESA ne reçoit pas de données de la part des composants Concentrator. Validez la connectivité du Concentrator. Accédez à AdministrationServices, sélectionnez ESA, puis cliquez sur Vue > Configuration.  Assurez-vous que le concentrator est activé. Sélectionnez le concentrator, puis cliquez sur Tester la connexion.

Si le taux fourni n'est pas égal à zéro, le nom et le type de clé méta utilisés dans la règle ne correspondent probablement pas aux valeurs de la clé méta présente dans les événements. Vérifiez la validité du nom et du type de clé méta utilisés dans la règle en recherchant le nom de la clé méta sous l'onglet Alertes> Configurer> Paramètres (recherche des références de clés méta).

 La règle pose peutêtre un problème.

Si une règle spécifique ne se lance pas, accédez à Alerte > Configurer > Services afin de voir si la règle a été désactivée. Dans la section Statistiques de règles déployées, une règle désactivée affiche un bouton d'activation vide (au lieu du bouton d'activation vert).

Vous pouvez également vérifier le champ Correspondances d'événements. Accédez à Alertes >  Configurerles services. Ensuite, vous pouvez voir le nombre d'événements associés dans la colonne Correspondances d'événements.

En l'absence de correspondances d'événements, assurezvous que la logique de votre règle ne comporte pas d'erreurs. Par exemple, recherchez les erreurs de majuscules ou de minuscules dans la syntaxe, puis vérifiez la période. Si la règle ne se déclenche toujours pas, simplifiez sa logique pour voir si elle se déclenche en étant moins complexe. 

Étapes de résolution des problèmes de mémoire d'un service ESA hors ligne

Étape 1 : Vérifier que l'hôte est en cours d'exécution

La première étape de résolution des problèmes consiste à vérifier si votre hôte est en cours d'exécution. Pour ce faire, accédez à Administration> Hôtes. Si l'hôte est en panne, les paramètres système ne s'affichent pas (la mise à jour des informations de l'hôte peut parfois être retardée), les services s'affichent en rouge, et le champ Mises à jour affiche un message d'erreur. 

ESA_Host_Down.png

Si l'hôte est en panne, contactez votre administrateur SA pour le redémarrer. Sinon, passez à l'étape 2. 

Étape 2 : Afficher les statistiques détaillées dans Intégrité

Une fois que vous êtes sûr que le service ESA est en panne, accédez à Intégrité pour voir où se produisent les problèmes potentiels. Le plus souvent, le problème vient du fait que le service ESA dépasse les seuils de mémoire, ce qui entraîne l'arrêt ou l'échec de son exécution.

  1. Accédez à Intégrité > Alarmes pour voir si ESA a déclenché des alarmes. Recherchez les alarmes suivantes :

    • Utilisation de la mémoire totale par ESA > 85 %
    • Utilisation de la mémoire totale par ESA > 95 %
    • Service ESA arrêté
  2. Accédez à Intégrité& > Navigateur Stat. système pour afficher les métriques mémoire des performances de chaque règle. Pour afficher les métriques, renseignez les champs suivants :

                   
    Hôte ComposantCatégorie
    <votre hôte>Event Stream Analysisesa-metrics

    esa_metrics.png

    La mémoire de chaque règle est affichée dans la colonne Valeur et la valeur apparaît en octets. Vous pouvez afficher une vue historique de l'utilisation de la mémoire dans la colonne Graphique historique

    ESA_hist_graph.png

  3. Accédez à &Intégrité > Navigateur Stat. Système pour voir le détail des performances du service ESA. Sélectionnez votre hôte, puis utilisez les filtres suivants pour afficher les statistiques ciaprès :

                                                                               
    Hôte ComposantCatégorieStatistiquesExemple 
    <votre hôte>HôteSystemInfoUtilisation du CPU1,08 %
    <votre hôte>HôteSystemInfoUtilisation de mémoire45,43 %
    <votre hôte>HôteSystemInfoMémoire utilisée7,08 Go
    <votre hôte>HôteSystemInfoMémoire totale15,58 Go
    <votre hôte>HôteSystemInfoUptime77758, 1 semaine, 2 jours...
    <votre hôte>Event Stream AnalysisProcessInfoUtilisation de mémoire7,07 Go
    <votre hôte>Event Stream AnalysisProcessInfoUtilisation du CPU0,2 %
    <votre hôte>Event Stream AnalysisJVM.MemoryallUtilisation de mémoire par segments validée 8 Go
    <votre hôte>Event Stream AnalysisMétriques ESA% d'utilisation de la mémoire totale par ESA4,64 %

    System_Stats_Browser_1.png

Si vous rencontrez un problème d'utilisation de la mémoire ou du CPU, passez à l'étape 3. 

Étape 3 : Activez les services ESA

  1. Dans AdministrationServices, sélectionnez l'icône Actions Actions_Icon.png du service ESA, puis choisissez start
  2. Revenez au service ESA pour identifier les règles qui sont à l'origine des problèmes de mémoire. 

Si votre service ESA s'arrête et redémarre en boucle, vous pouvez avoir à appeler le Support Clients pour faire redémarrer les services.

Si vous pouvez démarrer le service ESA sans qu'il s'arrête, passez à l'étape 4.

Étape 4 : Vérifier le volume d'alertes et d'événements

Une fois que vous êtes parvenu à redémarrer le service ESA sans qu'il s'arrête immédiatement, consultez les statistiques de vos règles pour voir quelles sont celles qui consomment trop de ressources. Parfois, l'exécution des services ESA échoue, car une règle génère un trop grand nombre d'alertes ou d'événements. Vérifiez ces deux aspects, si vous avez déterminé que l'utilisation de la mémoire est bien la cause de l'arrêt du service ESA. 

Afficher les récapitulatifs des alertes

 Les règles qui génèrent un volume élevé d'alertes peuvent submerger le système, et entraîner l'échec de son exécution ou provoquer son redémarrage.  Pour afficher les récapitulatifs des alertes, accédez à Tableau de bord > Alertes > Récapitulatif. Dans la moitié inférieure de l'écran, vous pouvez voir le nombre d'alertes générées pour chaque règle dans le champ Nombre. Si le nombre est trop élevé pour une règle spécifique, désactivezla, puis réécrivezla afin de la rendre plus efficace.

ESA_Alerts_High.png

Afficher les correspondances d'événements

Parfois, une règle correspond à un trop grand nombre d'événements, ce qui entraîne une consommation excessive de la mémoire.  Cela se produit habituellement si vous créez une période étendue, où un grand nombre d'événements s'accumule sans déclencher la moindre alerte.  Le problème qui se pose vient du fait que chaque événement est stocké en mémoire alors que la règle attend que l'alerte se déclenche. Pour le vérifier, accédez à Tableau de bord > Alertes > Services. Ensuite, vous pouvez voir le nombre d'événements associés dans la colonne Correspondances d'événements. Si un grand nombre d'événements correspond à une règle donnée, poussez vos investigations sur cette règle afin de voir si vous pouvez l'optimiser.

ESA_High_Events.png

Étape 5 : Désactiver et réparer la règle à l'origine des problèmes

Une fois que vous avez déterminé quelles sont les règles à réécrire, désactivezles et réécrivezles afin qu'elles ne génèrent pas un volume aussi élevé d'alertes ou d'événements. Pour plus d'informations sur la façon d'écrire des règles plus efficaces, reportez-vous à Bonnes pratiques.

Désactiver des règles

  1. Pour désactiver des règles, accédez à Alertes> Services, puis sélectionnez les règles à désactiver dans le champ Statistiques de règles déployées.
  2. Pour désactiver les règles, sélectionnez Désactiver

Modifier des règles

  1. Pour réparer les règles, accédez à Alertes> Règles> Bibliothèque de règles. Sélectionnez la règle à modifier, puis cliquez sur l'icône Actions Actions_Icon.png.
  2. Sélectionnez Modifier.
  3. Modifiez la règle pour la rendre plus efficace. Pour obtenir des instructions sur la création de règles, reportez-vous à Ajouter des règles à la Bibliothèque de règles
  4. Une fois que vous êtes satisfait de votre règle, vous pouvez l'enregistrer en tant que règle d'évaluation pour vous assurer que les problèmes de mémoire n'affectent pas les performances du service ESA. Pour ce faire, procédez comme suit : Utiliser les règles d'évaluation.

Activer des règles

  1. Pour activer des règles, accédez à Alertes> Services, puis sélectionnez les règles à activer dans le champ Statistiques de règles déployées.
  2. Pour activer les règles, sélectionnez Activer

(Facultatif) Consulter les fichiers log ESA pour plus d'informations

Une fois que vous avez constaté que des services sont à l'arrêt, et que vous avez passé en revue certaines causes possibles de dysfonctionnement du système, vérifiez si ces services ne s'arrêtent pas et ne redémarrent pas en boucle.  Pour ce faire, accédez aux logs ESA. Dans le module Administration> Services, sélectionnez le service ESA, cliquez sur l'icône Actions Actions_Icon.png, puis sélectionnez Vue> Logs

Si vous ne pouvez pas accéder aux logs ESA à partir de l'interface Security Analytics, connectezvous au système via SSH, puis accédez à opt/rsa/esa/logs/esa.log.

Previous Topic:Bonnes pratiques
You are here
Table of Contents > Guide de démarrage rapide ESA > Dépanner le service ESA

Attachments

    Outcomes