ESM : Messages de log en double

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Il est possible de collecter des messages depuis la même source d'événement sur deux Log Collectors ou plus. Cette rubrique décrit ce problème et les moyens de le résoudre.

Détails

Si l'agrégateur ESM détecte les mêmes événements pour la même source d'événement sur différents Log Collectors, vous recevez un avertissement similaire au texte suivant :

2015-03-17 15:25:29,221 [pool-1-thread-6] WARN  com.rsa.smc.esm.groups.events.listeners.EsmStatEventListener -
192.0.2.21-Apache a eu un événement précédent il y a seulement 0 seconde, ce qui est probablement dû au fait qu'il est présent sur différents Log Collectors

Ce message d'avertissement signifie que la source d'événement 192.0.2.22-apache est collectée par plusieurs hôtes. Vous pouvez visualiser la liste des hôtes dans la colonne Log Collector sous la vue Gérer dans l'onglet de la fenêtre Administration > Vue Sources d'événements.

Effacez les messages en double.

  1. Arrêtez collectd sur Security Analytics et les Log Decoders :

    Service collectd stop

  2. Supprimez le fichier ESM Aggregator conservé sur Security Analytics :

    rm /var/lib/netwitness/collectd/ESMAggregator

  3. Réinitialisez le Log Decoder.
    1. Accédez au Log Decoder REST, à l'adresse http://<LD_IP_Address>:50102.
    2. Cliquez sur decoder(*) pour afficher les propriétés du Decoder.
    3. Dans le menu déroulant Propriétés, sélectionnez Réinitialiser et cliquez sur Envoyer.
  4. Dans le panneau Sources d'événement de l'onglet Gérer des sources d'événement, sélectionnez toutes les sources d'événement et cliquez sur - pour les supprimer.
You are here
Table of Contents > Résolution des problèmes > Messages de log en double

Attachments

    Outcomes