Collecte de journaux : Dépannage

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique décrit le format et le contenu des rubriques de dépannage de Log Collection. Security Analytics vous informe des problèmes connus ou potentiels liés au Log Collector des deux manières suivantes :

  • Fichiers log.
  • Vues Contrôle de l'intégrité.

Fichiers log

Si vous rencontrez un problème avec un protocole de collecte de sources d'événements, vous pouvez consulter les logs de débogage pour rechercher les solutions à ce problème. Chaque source d'événement comporte un paramètre Debug que vous pouvez activer (définissez le paramètre sur On ou Verbose) pour capturer ces logs.

Attention :  N'activez le débogage que si vous rencontrez un problème avec cette source d'événement et que vous recherchez une solution pour corriger le problème. Si vous activez le paramètre Debug en permanence, les performances du Log Collector risquent d'être affectées de manière défavorable.

Contrôle de l'intégrité

Le Contrôle de l'intégrité vous fait prendre conscience des problèmes matériels et logiciels potentiels en temps opportun de sorte que vous puissiez éviter les pannes. RSA recommande de surveiller les champs statistiques du Log Collector afin de vérifier que le service fonctionne efficacement et qu'il ne se rapproche pas des valeurs maximales que vous avez configurées au point de les atteindre. Vous pouvez surveiller les statistiques décrites dans la vue Administration > Intégrité.

NAVHW1.png

Exemple de format d’échantillon

Security Analytics renvoie les types de messages d'erreur suivants dans les fichiers log.

                 
Messages de logtimestamp failure (LogCollection) Message-Broker Statistics: ...

timestamp failure (AMQPClientBaseLogCollection): ...
timestamp failure (MessageBrokerLogReceiver): ...
Cause probableLe Log Collector ne réussit pas à contacter le courtier de messages, car ce dernier :
  • s'est arrêté de fonctionner ;
  • comporte des paramètres de connexion incorrects.
Solutions
  1. <use the="the" initctl="initctl" command="command" on="on" console="console" to="to" check="check" status="status" of="of" message="message" broker="broker" shell="shell" console.="console.">renvoie le message suivant si le courtier de messages n'est pas en cours d'exécution :</use>
            prompt$ status rabbitmq

            rabbitmq start/running, process 10916
  1. Lancez le courtier de messages RabbitMQ sur le nœud event-broker dans la vue Explorer :
    TS1.png
You are here
Table of Contents > Mise en route de Log Collection > Résoudre les problèmes liés à Log Collection

Attachments

    Outcomes