Résoudre les problèmes liés à la configuration de Log Collection

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique présente les problèmes potentiels que vous pouvez rencontrer lors de la configuration de Log Collection et propose des solutions à ces problèmes.

Résoudre les problèmes liés à la configuration des collecteurs à distance

Les messages logs du tableau suivant sont envoyés à :

  • Pour la configuration Push C:\NetWitness\ng\logcollector\rabbitmq\log\logcollector@localhost.log sur le serveur Windows Legacy Collector.
  • Pour la configuration Pull  -
     /var/log/rabbitmq/sa@localhost.log sur le serveur hôte Log Decoder sur lequel le collecteur local s'exécute.
               
Log
Messages
Message log avec "certificate expired' dans le message.  Par exemple :
Any =ERROR REPORT==== 7-Apr-2015::11:02:07 ===
SSL: cipher: tls_connection.erl:375:Fatal error: certificate expired
=ERROR REPORT==== 7-Apr-2015::11:02:07 ===
Shovel failed to connect to Host: "10.31.204.240" Port: 5671 VirtualHost: <<"logcollection">>: error:{badmatch,{error,
{tls_alert,
                                                                                                                "certificate expired"}}}
Causes possibles

La cause générale d'un message log certificate expired est que l'horloge de l'hôte de service SA (date/heure) et les horloges d'un ou plusieurs hôtes exécutant le service logcollector ne sont pas synchronisées. Les scénarios suivants peuvent causer cette erreur. 

Les horloges de l'hôte du service SA et de l'hôte du collecteur local sont synchronisées, mais l'horloge Windows Legacy Collector (WLC) est :

  • Cause 1 - En avance (dans le futur) sur l'hôte de collecteur local et l'hôte SA.
  • Cause 2 - En retard (dans le passé) sur l'hôte de collecteur local et l'hôte SA.
    Le fait que l'horloge WLC soit dans le passé fonctionne si le WLC est configuré sur les événements Push dans le collecteur local.  Cependant, si le collecteur local est configuré pour les événements Pull à partir du WLC, le WLC lit le certificat du collecteur local comme n'étant pas valide, car il possède une date en avance (dans le futur) par rapport au WLC. 
SolutionsQuelle que soit la cause, assurez-vous que les horloges de l'hôte SA et de tous les hôtes distants et de collecteur local sont synchronisées.
  • Cause 1 - Pour un collecteur distant Legacy Windows, vous devrez peut-être effectuer un « Rekey » si le certificat a été créé à un moment « dans le futur » par rapport au collecteur local et à Security Analytics. Pour ce faire, procédez comme suit :
    1. Sélectionnez le service Log Collector pour le collecteur distant Legacy Windows à partir de la vue Services.
    2. Cliquez sur Vue > Explorer.
    3. Cliquez avec le bouton droit de la souris sur /event-broker/ssl et cliquez sur Propriétés.
      La boîte de dialogue Propriétés s'affiche.
    4. Régénérez le certificat avec la commande rekey dans la boîte de dialogue Propriétés.
    5. Échangez le nouveau certificat avec Security Analytics en supprimant et en rajoutant le service logcollector Legacy Windows dans Security Analytics.
  • Cause 2 -Synchronisez le WLC avec le LC.

Résoudre les problèmes liés à la collecte

Veuillez vous reporter aux instructions de dépannage pour chaque protocole de collection concernant les problèmes liés à ces protocoles.

You are here
Table of Contents > Guide de configuration de Log Collection > Résoudre les problèmes liés à la configuration de Log Collection

Attachments

    Outcomes