CLI : Commandes utilisées pour le dépannage

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

NwConsole propose les commandes suivantes, utiles au dépannage de Security Analytics :

  • whatIsWrong : fournit un snapshot de la configuration du service, des statistiques et des logs liés aux échecs et avertissements, sur une période de temps spécifiée.
  • dbcheck : vérifie la cohérence des fichiers de la base de données.
  • topQuery : aide à identifier des requêtes qui prennent très longtemps à exécuter.  
  • netbytes : dépanne les connexions réseau sur l'hôte actuel. 
  • netspeed : dépanne la connexion entre l'ordinateur hôte exécutant NwConsole et l'ordinateur cible qui y est connecté grâce à la commande login

Les sections suivantes, ainsi que les pages d'informations (man) et d'aide NwConsole, donnent des informations supplémentaires.

whatIsWrong

Lorsqu'un service ne fonctionne pas correctement, la raison se trouve généralement dans les logs écrits par le service. Vous pouvez utiliser la commande de la console whatIsWrong pour obtenir un snapshot de la configuration du service, des statistiques et des logs liés aux échecs et avertissements (avec les logs du contexte environnant) pour la période de temps spécifiée. Par défaut, il s'agit des sept derniers jours. Vous pouvez enregistrer les résultats de la commande whatIsWrong dans le fichier de texte brut spécifié. La sortie de cette commande peut être un point de départ utile pour vous aider à déterminer le problème du service.

Pour utiliser la commande whatIsWrong de la console, connectez-vous au service à dépanner via la commande login et exécutez la commande whatIsWrong.

Astuce : Utilisez help whatIsWrong pour voir tous les paramètres disponibles, notamment la période de jours/heures sur laquelle consulter les événements, le chemin d'accès pour stocker les résultats, si vous souhaitez ou non ajouter ou remplacer le fichier de résultats, et le délimiteur à utiliser pour les champs du fichier log. Vous pouvez également limiter les résultats aux logs les plus récents permettant de trouver du contexte, et spécifier le nombre de logs de contexte à récupérer par avertissement/échec.

Chaque fois que vous recevez une requête de logs pour un service Core, vous devez d'abord exécuter la commande whatIsWrong et utiliser les résultats collectés en tant que point de départ.

dbcheck

La commande dbcheck est utilisée pour vérifier la cohérence des fichiers de la base de données (session, méta, paquets, logs, statistiques, etc). Cela peut être nécessaire lorsqu'un service ne peut pas se lancer en raison d'erreurs de cohérence des fichiers de la base de données. Généralement, le service est récupéré automatiquement et corrige tout problème de cohérence au démarrage, mais il arrive que cela ne se produise pas. Lorsqu'un service démarre (comme un Decoder), il ne lit ou n'ouvre pas la plupart des fichiers de la base de données afin de se lancer rapidement. Il considère que la plupart des fichiers sont cohérents et n'effectue qu'une vérification rapide des fichiers écrits en dernier. En cas de problème, dbcheck peut réaliser ces vérifications de cohérence, mais SEULEMENT si le service n'est pas en cours d'exécution.  

Attention : N'essayez pas d'exécuter cette commande alors qu'un service est en cours de fonctionnement.

Par exemple, vous pouvez vérifier un fichier unique :

dbcheck /var/netwitness/decoder/packetdb/packet-000000001.nwpdb   

Vous pouvez également utiliser des caractères génériques pour vérifier plusieurs fichiers :

dbcheck /var/netwitness/decoder/metadb/meta-00000002*.nwmdb

topQuery

La commande topQuery peut aider à identifier les requêtes qui prennent trop de temps à s'exécuter. Cette commande analyse les fichiers Audit Log d'un service et renvoie les N requêtes en cours d'exécution qui prennent le plus de temps pour la période spécifiée. 

La méthode la plus facile pour l'exécuter est de se connecter au service (généralement un Broker ou un Concentrator) et de saisir topQuery. Le comportement par défaut est de renvoyer les 100 requêtes qui ont pris le plus de temps à s'exécuter au cours des sept derniers jours. 

Saisissez help topQuery pour la liste de paramètres. Voici quelques exemples supplémentaires avec des explications :

topQuery hours=12 top=10

Cette commande renvoie les 10 principales requêtes au cours des 12 dernières heures.

topQuery time1="2015-03-01 00:00:00" time2="2015-03-14 00:00:00"

Cette commande renvoie les 100 principales requêtes entre le 1er mars 2015 et le 14 mars 2015. Les heures sont en heures UTC, non locales.

topQuery input=/var/log/messages output=/tmp/top20.txt top=20 user=sauser1

Au lieu de se connecter à un service, elle analyse les messages d'audit syslog pour les 20 principales requêtes au cours des 7 derniers jours, mais uniquement pour les requêtes exécutées par l'utilisateur sauser1. Elle écrit les 20 principales requêtes dans le fichier /tmp/top20.txt plutôt que sur l'écran de la console. L'utilisateur du paramètre est un regex, donc vous pouvez spécifier plusieurs noms d'utilisateur en écrivant par exemple user="(sauser1|sauser2)".

netbytes

La commande netbytes est très utile pour dépanner les connexions réseau sur l'hôte actuel. Elle affiche des statistiques continues d'envoi et de réception pour toutes les interfaces réseau. Une fois exécutées, vous devez appuyer sur Ctrl-C pour quitter cette commande, qui permet également de quitter NwConsole.

netspeed

La commande netspeed est utilisée pour dépanner la connexion entre l'ordinateur hôte qui exécute NwConsole et l'ordinateur distant qui y est connecté via la commande login. Vous devez préciser la quantité d'octets à transférer, ce qui définira la vitesse de la connexion. La commande netspeed est très utile pour le dépannage des problèmes de performances d'agrégation qui peuvent être liés au réseau.

login somedecoder:50004 admin ...

netspeed transfer=4g

Pour dépanner la connexion entre un Concentrator et un Decoder, ouvrez une session SSH dans le Concentrator, exécutez NwConsole, puis connectez-vous au Decoder et exécutez netspeed. La sortie de la commande vous donne une indication du débit réseau maximum. Si la valeur est bien inférieure à l'interface standard d'1 Gbit/s, il peut s'agir d'un problème de réseau.

You are here
Table of Contents > Console RSA Security Analytics > Commandes utilisées pour le dépannage

Attachments

    Outcomes