Collection Windows d'ancienne génération : Dépannage

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique présente les problèmes potentiels que vous pouvez rencontrer lors de la collecte Windows d'ancienne génération (LWC) et propose des solutions à ces problèmes.

Résoudre les problèmes liés à une collecte Windows d'ancienne génération et NetApp

En général, vous recevez davantage de messages log en désactivant le protocole SSL.

Problèmes de redémarrage du protocole

                  
ProblèmeCauses possiblesSolutions
Vous redémarrez le protocole de collecte Windows d'ancienne génération, mais Security Analytics ne reçoit pas les événements.Le service logcollector est arrêté.Redémarrez le service logcollector.
  1. Connectez-vous au collecteur distant Windows d'ancienne génération.
  2. Accédez à Démarrer > Outils d'administration > Planificateur de tâches, puis cliquez sur Bibliothèque du Planificateur de tâches.
  3. Dans le panneau de droite, recherchez la tâche restartnwlogcollector et assurez-vous qu'elle est en cours d'exécution.
  4. Si ce n'est pas le cas, cliquez avec le bouton droit de la souris sur restartnwlogcollector,
    puis sélectionnez Exécuter.

Problèmes d'installation

Si vous voyez l'un des messages suivants dans le fichier MessageBroker.log, vous pouvez avoir des problèmes. 

                           
Messages de logTout message qui contient « rabbitmq »
Cause probableLe service RabbitMQ peut ne pas être en cours d'exécution.

Le port 5671 ne doit pas être ouvert.
SolutionsAssurez-vous que le service RabbitMQ est en cours d'exécution.
Vérifiez que le port 5671 est ouvert.
Messages de logErreur : Ajout d'un compte utilisateur logcollector.
Erreur : Ajout d'une balise administrateur au compte logcollector.
Erreur : Ajout d'un vhost logcollection.
Erreur : Définition des autorisations pour le compte logcollector dans tous les vhosts.
Cause probablerabbitmq-server n'était pas en cours d'exécution lorsque le programme d'installation a tenté de créer des utilisateurs et des hôtes virtuels (vhosts).
SolutionsAssurez-vous que le service RabbitMQ est en cours d'exécution et exécutez les commandes ci-dessous manuellement.
rabbitmqctl -q add_user logcollector netwitness
rabbitmqctl -q set_user_tags logcollector administrator

rabbitmqctl -q add_vhost logcollection
rabbitmqctl -q set_permissions -p / logcollector ".*" ".*" ".*"
rabbitmqctl -q set_permissions -p logcollection logcollector ".*" ".*" ".*"

Problèmes liés au script Federation sous Windows d'ancienne génération

Si l'un des messages suivants contenus dans le log de script Federation apparaît, c'est que vous rencontrez des problèmes. 

                                 
ProblèmeSymptômes possiblesSolutions

Le script Federation a démarré, mais le service LWC est en panne.

Le log Security Analytics affiche des exceptions liées à une défaillance du service Collector Windows d'ancienne génération.

Ce problème se résout automatiquement au redémarrage du service Windows d'ancienne génération.

 

LWC est en cours d'exécution, mais le service RabbitMQ est en panne ou redémarre. 

Le fichier log Federation côté Windows d'ancienne génération affiche un message d'erreur relatif à la panne du service  RabbitMQ.

Le fichier log à consulter est :
C:\NetWitness\ng\logcollector

Le message d'erreur suivant est consigné en cas d'exécution du service RabbitMQ :

"Unable to connect to node logcollector@localhost: nodedown"

Les messages de diagnostics suivants s’affichent :

attempted to contact: [logcollector@localhost]

logcollector@localhost:
  * connected to epmd (port 4369) on localhost

  * epmd reports: node 'logcollector' not running at all other nodes on localhost: ['rabbitmqctl-4084']
  * suggestion: start the node

Exécutez le script federation.bat manuellement sur LWC.
Pour exécuter le script federate.bat, procédez comme suit :

  1. Accédez au dossier C:\Program Files\NwLogCollector où l'instance de Windows d'ancienne génération est installée.
  2. Recherchez le fichier federate.bat dans ce dossier. Sélectionnez le fichier, puis cliquez avec le bouton droit.
  3. Sélectionnez Exécuter en tant qu’administrateur.
  4. Pour surveiller le fichier log, accédez au fichier 
    C:\NetWitness\ng\logcollector\federate.log lors de l'exécution du script federate.bat.

Remarque : Vérifiez que le fichier log ne contient pas d'erreurs lors de l'exécution du script.

Le service RabbitMQ est arrêté du côté Security Analytics.

Les pages de l’interface utilisateur Security Analytics ne fonctionnent pas.

Redémarrez le service RabbitMQ.

Aucune statistique liée à l'état d'intégrité ne s'affiche dans l'interface utilisateur de Security Analytics.

L'agent Puppet n'est pas exécuté ou est en cours de publication des certificats échangés.

Redémarrez l'agent Puppet ou patientez quelques minutes pour que l'échange des certificats soit effectué. 

 

Le client reçoit une notification d'intégrité, ou l'alarme d'intégrité suivante s'affiche :
"Échec de communication entre l'hôte Security Analytics principal et un hôte distant" avec l'hôte LWC en tant qu'adresse IP distante.

  1. Le script Federate.bat n'a pas pu être exécuté correctement.
  2. L'agent Puppet ne s'est pas exécuté après l'exécution complète du script federate.bat .

 

  1. Si le script federate.bat ne s'est pas exécuté correctement, exécutez-le manuellement comme décrit précédemment.
  2. Si le script federate.bat a été exécuté correctement et que l'agent Puppet n'a pas effectué l'exécution planifiée, exécutez l'agent Puppet manuellement à l'aide de la commande suivante sur votre serveur Security Analytics :
    puppet agent -t
You are here
Table of Contents > Guide de configuration de la collecte Windows d'ancienne génération et NetApp > Dépannage de la collecte Windows d'ancienne génération et NetApp

Attachments

    Outcomes