Collecte Windows : Dépannage

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique présente les problèmes potentiels que vous pouvez rencontrer lors de la collecte Windows et propose des solutions à ces problèmes.

Résoudre les problèmes liés à la collecte Windows

En général, vous recevez davantage de messages log en désactivant le protocole SSL.

Security Analytics renvoie les types de messages d'erreur suivants dans les fichiers log.

               
Messages de log(i) 2013-Nov-21 14:47:06 [WindowsCollection] [LAB30.bad-host_lab30_local] [processing] [LAB30.bad-host_lab30_local] Starting work
(F) 2013-Nov-21 14:47:06 [WindowsCollection] [LAB30.bad-host_lab30_local] Error subscribing. Transport error code = 6/Could not resolve host
(F) 2013-Nov-21 14:47:06 [WindowsCollection] [LAB30.bad-host_lab30_local] [processing] [LAB30.bad-host_lab30_local] Unable to subscribe for events with Windows event source bad-host.lab30.local: Could not resolve host Causes probables : - DNS resolution failed or name/address (bad-host.lab30.local) incorrect. (i) 2013-Nov-21 14:47:06 [WindowsCollection] [LAB30.bad-host_lab30_local] [processing] [LAB30.bad-host_lab30_local] Finished work
(F) 2013-Nov-21 14:47:06 [WindowsCollection] [LAB30.bad-host_lab30_local] [processing] [LAB30.bad-host_lab30_local] windows:WrkUnit[1] Processing failed.
(i) 2013-Nov-21 14:47:06 [WindowsCollection] [LAB30.10_100_33_179] [processing] [LAB30.10_100_33_179] Starting work (i) 2013-Nov-21 14:47:06[WindowsCollection] [LAB30.10_100_33_179] [processing] [LAB30.10_100_33_179] Enumerating SID information


(F) 2013-Nov-21 14:47:09 [WindowsCollection] [LAB30.10_100_33_179] Error enumerating for account SIDs. Transport error code = 7/Could not connect
(F) 2013-Nov-21 14:47:09 [WindowsCollection] [LAB30.10_100_33_179] [processing] [LAB30.10_100_33_179] Error enumerating for SID information: Impossible de connecter
(F) 2013-Nov-21 14:47:12 [WindowsCollection] [LAB30.10_100_33_179] Error subscribing. Transport error code = 7/Could not connect
(F) 2013-Nov-21 14:47:12 [WindowsCollection] [LAB30.10_100_33_179] [processing] [LAB30.10_100_33_179] Unable to subscribe for events with Windows event source 10.100.33.179: Could not connect Causes probables : - Source de l'événement non configurée pour la collecte avec http. - Source de l'événement actuellement arrêtée.
(i) 2013-Nov-21 14:47:12 [WindowsCollection] [LAB30.10_100_33_179] [processing] [LAB30.10_100_33_179] Finished work
(F) 2013-Nov-21 14:47:12 [WindowsCollection] [LAB30.10_100_33_179] [processing] [LAB30.10_100_33_179] windows:WrkUnit[2] Processing failed.
Cause probableLa collecte Windows ne peut pas se connecter à WinRM.
Solutions

La collecte Windows se connecte au service WinRM sur la source d'événements Windows. Vous devez configurer cette source pour autoriser la collecte des événements. Vous pouvez effectuer cette opération manuellement à l'aide de la commande winrm sur la source de l'événement, ou créer une règle de groupe et la transmettre à toutes les sources d'événements d'un domaine. Cette configuration crée un Listener WinRM sur la source de l'événement.

Vous pouvez également configurer le pare-feu sur la source de l'événement pour y autoriser les connexions. Par défaut, WinRM écoute le port 5985 pour les connexions HTTP et le port 5986 pour les connexions HTTPS.

Pour obtenir de la documentation sur la configuration des sources d'événements, reportez-vous à la rubrique Sources d'événements prises en charge dans le Guide de gestion des services Live.

You are here
Table of Contents > Guide de configuration de Windows Collection > Résoudre les problèmes liés à la collecte Windows

Attachments

    Outcomes