Reporting : Dépannage

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique donne des instructions de dépannage pour les problèmes rencontrés lors de l'utilisation du module Reporting dans Security Analytics.

Problèmes de dépannage avant la configuration du serveur SFTP.

Cette rubrique fournit des instructions de dépannage pour les problèmes rencontrés lors de la configuration du serveur SFTP.

Procédure

Si vous rencontrez des problèmes avec le serveur SFTP Linux configuré, procédez comme suit :

  1. Si l'opération de sortie de rapport du serveur SFTP configuré échoue, vous devez activer SSH sur le serveur SFTP et tentez de vous connecter localement pour vérifier que le serveur SFTP fonctionne bien.

    Connectez-vous au serveur SFTP :

    SFTP_server.png

  2. Si la connexion locale échoue, ouvrez le fichier sshd_config> vi /etc/ssh/sshd_config.
  3. Vérifiez l'entrée suivante :

    # override default of no subsystems
    Subsystem sftp /usr/libexec/openssh/sftp-server

  4. Si cette entrée n'existe pas, ajoutez les deux lignes mentionnées à l'étape 3 au bas du fichier et enregistrez-le.
  5. Redémarrez le service avec SSH > service sshd restart.
  6. Essayez maintenant de vous reconnecter à SFTP.
  7. Vérifiez que le port SFTP n'est pas bloqué par le pare-feu de l'appliance serveur SA. Mettez à jour les règles de table IP pour autoriser le port sftp.

Définitions :

Analyseur strict : un analyseur strict (non obsolète) exige que la syntaxe de la requête soit saisie correctement.
Pour toutes les méta de type texte, utilisez des guillemets ; par exemple, username = ‘user1’.
Pour toutes les adresses IP, les adresses Ethernet et les méta de type numérique, n'utilisez pas de guillemets ; par exemple, service = 80 &&
ip.src = 192.168.1.1.
Pour les méta de type date et heure,
Si le format de date et heure est 'AAAA-MM-JJ HH:MM:SS, utilisez des guillemets.
Si le format de la date et de l'heure est 1448034064 (nombre de secondes depuis EPOCH, 1er janvier 1970), n'utilisez pas de guillemets.
Les requêtes de reporting seront analysées à l'aide de l'analyseur strict lorsque la valeur de configuration /sdk/config/query.parse est stricte dans les services NWDB Core. 

Analyseur non strict : un analyseur non strict (obsolète) n'exige pas que la syntaxe de la requête soit saisie correctement, c'est-à-dire que les valeurs pour les méta de type texte et numérique peuvent être indiquées entre guillemets ou non, quel que soit le type de méta.

Par exemple, le nom d'utilisateur est une méta de type chaîne, donc ses valeurs peuvent être indiquées avec ou sans guillemets. Ainsi, les syntaxes suivantes sont toutes deux valides : username = user1 et username = user. 

Les requêtes de reporting seront analysées à l'aide de l'analyseur non strict lorsque la valeur de configuration /sdk/config/query.parse est obsolète dans les services NWDB Core.

Remarque : La procédure de dépannage pour le mode d'analyseur strict s'applique au Reporting Engine 10.6 et version ultérieure.

Dépannage de la syntaxe des règles NWDB sur une nouvelle installation

Sur les nouvelles installations de Security Analytics 10.6, les services NWDB Core utilisent par défaut un analyseur strict (mode non obsolète) pour les requêtes de reporting. Ainsi, RSA recommande de créer des règles qui adhèrent à une syntaxe d'analyseur strict (mode non obsolète). Pour plus d'informations sur la syntaxe de requête NWDB, consultez la rubrique Syntaxe des règles NWDB.

Dépannage de la syntaxe des règles NWDB après une mise à jour

Dans le cas d'une mise à jour de Security Analytics 10.4.x ou 10.5.x vers Security Analytics 10.6.x, les services NWDB Core continuent d'utiliser un analyseur non strict (mode obsolète) pour les requêtes du Reporting Engine. Ainsi, les requêtes existantes continuent de s'exécuter avec succès même si elles n'adhèrent pas à une syntaxe d'analyseur strict et donnent des résultats similaires aux versions précédentes. RSA vous recommande de créer des règles qui adhèrent à une syntaxe d'analyseur strict.

L'utilisation d'un analyseur strict (mode non obsolète) ou non strict (mode obsolète) par les services NWDB Core pour les requêtes de reporting se gère via /sdk/config/query.parse (Administration > Services > Sélectionner un service (service NWDB Core) et dans le menu Actions, sélectionnez Vue > Explorer).

Si vous pensez ajouter une nouvelle appliance NWDB Core sur laquelle exécuter la requête du Reporting Engine, sur une infrastructure existante qui s'exécute de manière non stricte (mode obsolète), vous pouvez mettre à jour config /sdk/config/query.parse (Administration > Services > Sélectionner un service (service NWDB Core) et dans le menu Actions, sélectionnez Vue > Explorer) et passer en mode non strict (mode obsolète) pour la nouvelle appliance, jusqu'à ce que toute l'instance de Security Analytics et les services associés soient en mode strict.

Dépannage des règles d'importation

Cette section donne des instructions de dépannage pour les problèmes rencontrés lors de l'importation de règles, rapports, graphiques et alertes qui sont exportés des versions 10.4.x ou 10.5.x et importés dans 10.6.

Procédure

  1. Connectez-vous à Security Analytics.
  2. Naviguez vers AdministrationRapports > Gérer > Règles
  3. Cliquez sur Opérations de règle > Importation 
    La fenêtre Importer une règle s’affiche.

Lorsque des règles du Reporting Engine 10.4.x ou 10.5.x sont importées dans le Reporting Engine 10.6.x, ou lorsque des règles Live sont déployées, il est possible que les règles contiennent des erreurs de syntaxe. L'exécution de telles règles échoue et un message d'erreur s'affiche, comme "Error occured while fetching data from source "Concentrator - Concentrator [10.0.0.0]'. Error details: rule syntax error: expecting <IPv4 address> here: "'172.15.0.0'|| eth.src=00:13:C3:3B:BE:00)".
Vous devez corriger la syntaxe des règles en fonction du message d'erreur affiché ou  faire passer le périphérique principal en mode non strict (mode obsolète).
Par exemple : 
Pour toutes les méta de type texte, utilisez des guillemets ; par exemple, username = ‘user1’.

You are here
Table of Contents > Présentation des rapports > Résolution des problèmes

Attachments

    Outcomes