Workbench : Dépannage

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Security Analytics notifie les utilisateurs de problèmes en utilisant des notifications contextuelles.

Problèmes Workbench possibles

Security Analytics Workbench renvoie les types de messages d'erreur suivants, comme l'explique ce tableau.

                                                                                              
ProblèmeCauses possiblesSolutions
Impossible de se connecter au service Workbench à partir de la page Administration de l'interface utilisateur de Security Analytics.Le service Security Analytics ne fonctionne pas.Vérifiez que votre service Security Analytics est en cours d’exécution. Connectez-vous à votre serveur Security Analytics et exécutez la commande suivante : 
status nwworkbench 
Les règles du pare-feu doivent autoriser les connexions à partir de 50007, 50607 et 50107.
Vérifiez votre connexion en exécutant la commande suivante :
service iptables status 

Vérifiez que vous êtes en mesure de lancer REST. Exécutez la commande suivante pour votre appliance :
https://<IPAddress>:50107 service
Si vous êtes en mesure de lancer le service REST à partir de votre appliance, vous pouvez confirmer qu'il n'y a pas de problème avec l'appliance. Accédez au côté Security Analytics pour poursuivre la procédure d'enquête comme suit :
Activez le mode débogage et recherchez les erreurs sa.log situées à l'emplacement suivant :
/var/lib/netwitness/uax/logs 
Activez les outils du développeur à l'aide du raccourci Ctrl+Shift+I pour Chrome et vérifiez l'aperçu et la réponse à la demande. 
Impossible de visualiser l'onglet Configuration du service Appliance
pour l'appliance Workbench s'exécutant en mode SSL.
 Activez SSL pour le service d'appliance et redémarrez le service d'appliance. 
Le message d'erreur suivant s'affiche lorsque vous essayez de charger des métas afin de créer un rapport sur une collection Workbench :
« Impossible d'extraire le schéma de la source de données lors de la tentative de chargement de métas. »
 Chargez les métas pour l’appliance à partir de la bibliothèque de règles de l'interface utilisateur Security Analytics et surveillez les erreurs
dans le log Reporting Engine situé à l'emplacement suivant :
/home/rsasoc/rsa/soc/reporting- 
engine/logs 

Lancez REST pour le périphérique et vérifiez les erreurs si vous exécutez la requête suivante
/sdk?msg=language&force-content-type=text/plain&expiry=600&size=10 
Aucun résultat ne s'affiche après que vous avez exécuté la requête depuis l'interface utilisateur de Security Analytics via le Reporting Engine. Exécutez la requête sur le Reporting Engine et recherchez /var/log/messages sur la source de données. Recherchez une requête exacte correspondant à la source de données.
ASTUCE : Recherchez [SDK-Query] dans le fichier log.
Copiez la requête exacte et exécutez depuis SDK de REST pour voir si vous obtenez un résultat.
REST Query: /sdk?msg=query&force-contenttype=text/plain&expiry=
600&query=select%20user.dst&size=10
L'indicateur de stockage disponible de Workbench dans l'onglet Collections Workbench n'est pas précis.
 
L'indicateur de stockage disponible dans l'Interface utilisateur affiche le répertoire Collections par défaut présenté ci-dessous :

 

/VAR/NETWITNESS/WORKBENCH/COLLECTIONS
Aucun.
Impossible d’ouvrir de nouvelles collections
après avoir ouvert des collections existantes.
Il y a une configuration Workbench appelée « Max Open Collections » qui est définie sur 25 par défaut. Cette configuration spécifie le nombre de collections qui peuvent être ouvertes simultanément.
Vous pouvez modifier ce nombre. Un réglage de zéro désactive la limite du nombre maximum de collections ouvertes.
Ouverture réussie d'une collection qui est allée en état Ready.
Mais après un certain temps, la collection
est passée automatiquement à l’état Fermé.
Il y a une configuration Workbench appelée « collection.timeout » qui est définie sur 1 200 secondes par défaut.
Cette configuration spécifie le nombre de secondes avant qu'une collection inactive soit automatiquement fermée. Le temps maximum autorisé avant l'expiration du délai est de 86 400 secondes (24 heures).
Un réglage de zéro désactive l'expiration du délai.
La recherche d'une période à l'aide de la commande /database manifest a renvoyé un résultat nul.Un résultat nul indique qu'il n'y a pas de fichiers nwdb disponibles pour la période.Aucun.
La collection a été créée, mais son état indique Non disponible dans les Tâches
et la collection ne s’affiche pas dans l’onglet Collections de Workbench.
Vous exécutez peut-être un environnement en mode mixte (par exemple, création d'une collection sur une version 10.4.x de Workbench à partir de l'interface utilisateur Security Analytics 10.5.La collection s'affiche dans l'onglet Collections de Workbench après que vous avez rechargé la page.
Valeurs vierges de Période et de Date de création notées pour les collections.Toutes les collections affichent des valeurs vierges de Période et de Date de création.Les valeurs de Période et de Date de création s'affichent après la mise à niveau vers 10.5. 
Divergence des comportements lors de l'ajout de collections Workbench comme
source de données au Reporting Engine
.
Ce comportement dépend de si vous avez une connexion approuvée ou non-approuvée.Si votre service Workbench est établi avec une connexion approuvée, vous devez ajouter manuellement les collections Workbench comme
source vers le Reporting Engine.
Si votre service Workbench n’est pas établi avec une connexion approuvée lorsque la collection de restauration Workbench
a été créée, il envoie automatiquement un message au Reporting Engine pour l’ajouter en tant que source dans le Reporting Engine.
Les attributs de collection (taille, période et date de création) ne s'affichent pas.La période ne s'affiche pas pour une collection si le service Jetty est redémarré pendant que la restauration est en cours.
Les collections de restauration créées à partir d'une vue Explorer affichent une période vierge.
Toutes les collections créées sur un Workbench 10.4 afficheront des valeurs vierges de Période et de Date de création après la mise à niveau vers 10.5.
Dans un environnement de mode mixte (serveur Security Analytics 10.5 et Workbench 10.4.x), la taille, la période et la date de création ne s'affichent pas.
Aucun.
Les exceptions ou les pages vierges s'affichent lorsque l'on descend
dans la hiérarchie d'une collection Workbench.
La collection s'est fermée car elle a dépassé son délai d'expiration. Analysez la collection depuis le début.
Une collection vide est créée.Une collection vide s'affiche si la restauration échoue car le service Workbench est redémarré pendant la création de la collection.
 
Aucun.
Le service s'arrête brutalement. Exécutez le service depuis la ligne de commande et vérifiez s'il y a des erreurs. Par exemple,
exécutez la commande à partir de la console du serveur /usr/sbin/NwWorkbench pour
Workbench.
Demande REST refusée. Vérifiez la configuration user.agent.whitelist dans /rest/config/
Si elle n'est pas vide, il s'agit d'une expression regex qui correspond à des agents utilisateurs HTTP valides. Si le regex ne correspond pas, toutes les demandes REST seront refusées (voir allow.missing.user.agent pour l'exception potentielle). S'il 'est vierge, toutes les demandes sont autorisées.
Les requêtes avec méta brut renvoient des valeurs vierges pour champ Brut. Vérifiez que vous avez un
packet db.
You are here
Table of Contents > Résolution des problèmes

Attachments

    Outcomes