Prise en main de l'hôte : Activer le service de rapport sur les incidents

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 8, 2017
Version 3Show Document
  • View in full screen mode
  

Le service de rapport sur les incidents est un service facultatif pour les services Security Analytics. Lorsqu'il est activé pour un des services de base, le service de rapport sur les incidents génère automatiquement un package d'informations à utiliser pour le diagnostic et la résolution du problème à l'origine de la défaillance du service. Le package est automatiquement envoyé à RSA pour analyse. Les résultats sont transférés au Support RSA pour toute autre action.

Remarque : Vous ne pouvez pas configurer le service de rapporteur sur les incidents sur des systèmes CentOS 6.

Le package d’informations envoyé à RSA ne contient pas les données capturées. Ce package d’informations comprend les informations suivantes :

  • Trace de pile
  • Logs
  • Paramètres de configuration
  • Version du logiciel
  • Informations sur le CPU
  • Fichiers RPM installés
  • Géométrie du disque

L'analyse des incidents par le service de rapport sur les incidents peut être activée pour n'importe quel produit Core. 

Fichier crashreporter.cfg

L'un des fichiers pouvant être modifiés dans la vue Configuration des services > onglet Fichiers est crashreporter.cfg, le fichier de configuration du serveur client pour le service de rapport sur les incidents.

Ce fichier est utilisé par le script qui vérifie, met à jour et crée des rapports d'incidents rencontrés sur l'hôte. Les services Decoder, Concentrator, hôtes et Broker peuvent être inclus dans la liste des produits à surveiller.

Ce tableau répertorie les paramètres du fichier crashreporter.cfg.

                                                                                                         
ParamètreDescription :
applicationlist=decoder, concentrator, hostDéfinit la liste des produits à surveiller.
sitedir=/var/crashreporterEmplacement du répertoire du site pour le rapport.
webdir=/usr/share/crashreporter/WebEmplacement du répertoire Web.
devdir=/var/crashreporter/DevEmplacement du répertoire de développement.
datadir=/var/crashreporter/dataEmplacement du répertoire de stockage des fichiers de données.
perldir=/usr/share/crashreporter/perlEmplacement des fichiers perl.
bindir=/usr/share/crashreporter/binEmplacement des fichiers exécutables binaires.
libdir=/usr/share/crashreporter/libEmplacement des bibliothèques binaires.
cfgdir=/etc/crashreporterEmplacement des fichiers de configuration.
logdir=/var/log/crashreporterEmplacement des fichiers log.
scriptdir=/usr/share/crashreporter/scriptsEmplacement du répertoire contenant les scripts.
workdir=/var/crashreporter/workEmplacement du répertoire de travail des processus.
sqldir=/var/crashreporter/sqlEmplacement des fichiers SQL créés.
reportdir=/var/crashreporter/reportsEmplacement des rapports temporaires créés.
packagedir=/var/crashreporter/packagesEmplacement des fichiers de package créés.
gdbconfig=/etc/crashreporter/crashreporter.gdbEmplacement du fichier de configuration gdb.
corewaittime=30Définit le nombre de secondes d'attente après avoir trouvé un fichier mémoire afin de déterminer si le fichier mémoire est toujours accessible en écriture.
cyclewaittime=10Définit le nombre de minutes d'attente entre les cycles de recherche.
deletecores=1Indique si les fichiers mémoire doivent être supprimés après le rapport.

0 = Non
1 = Oui

REMARQUE : Jusqu'à la suppression du fichier mémoire, chaque redémarrage du service de rapport sur les incidents est signalé.
deletereportdir=1Indique si le répertoire des rapports doit être supprimé après le rapport. Utile pour afficher les rapports sur les fichiers mémoire.

0 = Non
1 = Oui

REMARQUE : S'il n'est pas supprimé, le répertoire sera inclus dans chaque package ultérieur.
debug=1Indique si les messages de débogage sont activés ou désactivés dans la sortie de consignation crashreporter.

0 = Non
1 = Oui
posturl=https://www.netwitnesslive.com/crash...ter/submit.phpDéfinit l'URL de publication sur le serveur Web.
postpackages=0Indique si les packages doivent être publiés sur le serveur Web.

0 = Non
1 = Oui
deletepackages=1Indique si les packages doivent être supprimés après avoir été publiés sur le serveur Web.

0 = Non
1 = Oui

Configurer le service de rapport sur les incidents

Pour configurer le service de rapport sur les incidents :

  1. Dans la vue Services, sélectionnez un service, puis cliquez sur Actns.png > Vue > Config.
  2. Sélectionnez l'onglet Fichiers.
  3. Modifiez le fichier crashreporter.cfg.
  4. Cliquez sur Save.
  5. Pour afficher la vue Système de services, sélectionnez Config > Système.
  6. Pour redémarrer le service, cliquez sur Icon-ShutdownService.png.
    Le service s'arrête, puis redémarre.

Démarrage et arrêt du service de rapport sur les incidents

Pour démarrer le service de rapport sur les incidents :

  1. Dans la vue Services, sélectionnez le service, puis cliquez sur Actns.png > Vue > Système.
  2. Dans la barre d’outils, cliquez sur HostTasks.png.
    La liste Tâches de l'hôte s'affiche.
  3. Dans la liste déroulante Tâche, sélectionnez Démarrer le service.
  4. Dans le champ Arguments, saisissez crashreporter, puis cliquez sur Exécuter
    HTLcrshrpt.png

Le service de rapport sur les incidents est activé et reste actif jusqu'à ce que vous l'arrêtiez.

Pour arrêter le service de rapport sur les incidents, sélectionnez Arrêter le service dans la liste déroulante Tâche.

You are here
Table of Contents > Procédures relatives aux services > Modifier les fichiers de configuration de service Core > Activer le service de rapport sur les incidents

Attachments

    Outcomes