Alerting: Solucionar problemas de ESA

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En esta sección se describen problemas comunes que pueden ocurrir durante el uso de ESA y se sugieren soluciones para abordarlos.

Solucionar problemas de servicios de ESA

                              
ProblemaCausas posiblesSoluciones

En el tablero de Security Analytics, el servicio de ESA se muestra en rojo para indicar que está offline.

En la página Alertas > Configurar se muestra el siguiente mensaje: “El servicio está offline o inaccesible”.

Varias

Las posibles causas por las cuales un servicio de ESA puede estar offline son muchas. Sin embargo, un problema común es que una regla que se creó usa un exceso de memoria, lo cual hace que el servicio de ESA falle. Para solucionar este problema, consulte “Pasos para solucionar problemas de memoria con un servicio ESA offline”.

Entre otras causas comunes, el firewall puede estar bloqueando la conexión entre ESA y Security Analytics, o la máquina del servicio de ESA puede estar inactiva.  

  

Para abrir los servicios de ESA:

En Administration > Servicios, seleccione el ícono de acciones Actions_Icon.png correspondiente al servicio ESA y elija iniciar.

Si el servicio de ESA se detiene y se reinicia en un loop, tal vez sea necesario llamar al servicio al cliente para lograr que el servicio se inicie.

Después de una actualización reciente, el servicio de ESA se muestra en rojo en el tablero de Security Analytics para indicar que está offline.

En la página Alertas > Configurar se muestra el siguiente mensaje: “El servicio está offline o inaccesible”.

Problemas de configuraciónSi el sistema se actualizó recientemente, tal vez se cometió un error de configuración. En Administration > Servicios, seleccione el servicio ESA y haga clic en Editar servicio. En el campo Editar servicio, haga clic en Probar conexión.  Si las conexiones fallan, es probable que exista un error de configuración. Intente corregir el error de configuración y vuelva a intentarlo. 
El servicio de ESA parece funcionar lentamente.Problemas de configuraciónEs posible que pueda mejorar el rendimiento mediante la modificación del búfer (el valor predeterminado es 10,485,760 bytes) o mediante la configuración del ajuste de TCP en TCPNoDelay para evitar un retraso en la recepción de confirmaciones de TPC. Puede modificar estos ajustes (readBufferSize y tcpNoDelay) en Explorer /Workflow/Source/nextgenAggregation.

Solucionar problemas de la base de datos de ESA

                  
ProblemaCausas posiblesSoluciones

 Mi tablero de ESA no se carga. 

  • O bien, hay un error al obtener los datos.
  • O bien, se carga con mucha lentitud. 
El tamaño de la base de datos que almacena las alertas aumentó demasiado.

Tal vez sea necesario configurar los ajustes de la base de datos de alertas de modo que la base de datos borre oportunamente las alertas antiguas. Para obtener información sobre cómo configurar estos ajustes, consulte “Configurar el almacenamiento de ESA” en la Guía de configuración de Event Stream Analysis (ESA).

Cuando el tamaño de la base de datos aumenta demasiado, debe borrar las alertas. Póngase en contacto con el servicio al cliente para hacerlo. 

Solucionar problemas de reglas de RSA Live para ESA

                    
ProblemaCausas posiblesSoluciones
Importé un grupo de reglas de RSA Live y ahora se produce una falla general en el servicio de ESA. ¿Por qué?Es posible que no haya configurado los parámetros de la regla de RSA Live de acuerdo con el ambiente. 

En cada regla de RSA Live hay una descripción que incluye los parámetros que debe configurar y los requisitos previos para el ambiente. Revise esta descripción para ver si la regla es apropiada para el ambiente.

Para asegurarse de implementar reglas con seguridad en el ambiente, configure reglas nuevas como reglas de prueba de modo que pueda probarlas en el ambiente. Las reglas de prueba son un resguardo para probar las reglas nuevas.  Para obtener detalles sobre esto, consulte  Implementar reglas como reglas de prueba.

Importé un grupo de reglas de RSA Live y, aunque se implementaron sin errores, se deshabilitaron más adelante.

No todas las reglas de RSA Live están diseñadas para cada ambiente. Es posible que no tenga los metadatos correctos en ESA para que se ejecute la regla.

Para verificar si se deshabilitó una regla, vaya a Alertas > Servicios > Estadísticas de reglas implementadas.  Si la regla está deshabilitada, el ícono de color verde no se muestra junto a ella. 

 Si una regla se implementó correctamente, pero se deshabilitó, compruebe excepciones relacionadas con la regla en los registros. Específicamente, compruebe si las reglas se deshabilitaron debido a la falta de metadatos. Para ello, vaya a Administration > Servicios, seleccione el servicio ESA y elija ic-actns.png > Ver >Registros.

A continuación, busque un mensaje similar al siguiente:

"Property named ‘<meta_name>' is not valid in any stream"

Por ejemplo, puede ver lo siguiente:

Failed to validate filter expression '(medium=1 and streams=2 or medium=3...(238 chars)': Property named 'tcp_flags_seen' is not valid in any stream

Si se muestra un mensaje similar, debe agregar una clave de metadatos personalizados a Log Decoder o Concentrator. Para ello, siga estas instrucciones: “Crear claves de metadatos personalizados mediante un feed personalizado” en la Guía de configuración de Decoder y Log Decoder.

Solucionar problemas de las implementaciones

               
ProblemaCausas posiblesSoluciones
Creé una regla y comprobé la sintaxis. La regla parecía estar bien. Cuando fui a implementar la regla, recibí un error. ¿Por qué?Es posible que no tenga los metadatos correctos para implementar la regla. Compruebe las referencias de claves de metadatos. Es posible que no tenga los metadatos correctos para implementar la regla. 

Solucionar problemas de reglas

                    
ProblemaCausas posiblesSoluciones
Creé una regla personalizada (a través del generador de reglas o de EPL avanzado) y la regla no se activa. ¿Por qué?Es posible que existan problemas de conectividad.

Compruebe la estadística “Tasa ofrecida” en la pestaña Alertas > Configurar > Servicios.

Si la tasa ofrecida es cero, el servicio de ESA no está recibiendo datos de los Concentrators. Valide la conectividad de Concentrator. Vaya a Administration > Servicios, seleccione su ESA y haga clic en Ver > Configuración.  Asegúrese de que el Concentrator esté habilitado. Seleccione el Concentrator y haga clic en Probar conexión.

Si la tasa ofrecida no es cero, es probable que el nombre y el tipo de clave de metadatos que se usan en la regla no coincidan con la clave de metadatos presente en los eventos. Compruebe que el nombre y el tipo de clave de metadatos que se usan en la regla sean válidos. Para esto, busque el nombre de la clave de metadatos en la pestaña Alertas > Configurar > Configuración (búsqueda de referencias de claves de metadatos).

 Es posible que exista un problema relacionado con la regla.

Si una regla específica no se activa, vaya a Alertas > Configurar > Servicios para ver si la regla se deshabilitó. En la sección Estadísticas de reglas implementadas, una regla que se inhabilitó muestra un botón de habilitación transparente (en lugar de un botón de habilitación verde).

También puede comprobar el campo Eventos con coincidencias. Vaya a Alertas > Configurar > Servicios. Desde ahí, puede ver la cantidad de eventos que coincidieron en la columna Eventos con coincidencias.

Si no coincidió ningún evento, vea si hay errores en la lógica de la regla. Por ejemplo, vea si hay errores de mayúsculas y minúsculas en la sintaxis y compruebe la ventana de tiempo. Si la regla continúa sin activarse, considere simplificar la lógica de la regla para ver si se activa cuando la complejidad es menor. 

Pasos para solucionar problemas de memoria con un servicio de ESA offline

Paso 1: Verifique que el host esté en ejecución

El primer paso para solucionar problemas es asegurarse de que el host esté en ejecución. Para esto, vaya a Administration > Hosts. Si el host está inactivo, los parámetros del sistema no se muestran (a veces, la actualización de la información del host se puede tardar), los Servicios aparecen en rojo y el campo Actualizaciones muestra un mensaje de error. 

ESA_Host_Down.png

Si el host está inactivo, póngase en contacto con el administrador de SA para que lo reinicie. De lo contrario, vaya al paso 2. 

Paso 2: Ver estadísticas detalladas en Estado y condición

Cuando esté seguro de que el servicio de ESA está inactivo, puede ir a Estado y condición para ver dónde se están produciendo los posibles problemas. El problema más común es que el servicio de ESA está superando los umbrales de la memoria, lo cual causa su detención o falla.

  1. Vaya a Estado y condición> Alarmas para ver si ESA activó alarmas. Busque las siguientes alarmas:

    • Utilización total de memoria de ESA > 85 %
    • Utilización total de memoria de ESA > 95 %
    • Servicio ESA detenido
  2. Vaya a Estado y condición > Estadísticas del sistema Navegador para ver las métricas de memoria del rendimiento de cada regla. Para ver las métricas, escriba lo siguiente:

                   
    Host ComponenteCategoría
    <your host>Event Stream Analysisesa-metrics

    esa_metrics.png

    La memoria de cada regla se muestra en la columna Valor y el valor se muestra en bytes. Puede ver una vista histórica de uso de memoria en la columna Gráfico histórico

    ESA_hist_graph.png

  3. Vaya a Estado y condiciónNavegador de estadísticas del sistema para ver detalles del rendimiento de ESA. Seleccione el host y use los filtros que se presentan a continuación para ver las siguientes estadísticas:

                                                                               
    Host ComponenteCategoríaEstadísticasEjemplo
    <your host>HostSystemInfoUtilización de CPU1.08 %
    <your host>HostSystemInfoMemory Utilization45.43 %
    <your host>HostSystemInfoMemoria usada7.08 GB
    <your host>HostSystemInfoMemoria total15.58 GB
    <your host>HostSystemInfoUptime77758, 1 semana, 2 días…
    <your host>Event Stream AnalysisProcessInfoMemory Utilization7.07 GB
    <your host>Event Stream AnalysisProcessInfoUtilización de CPU0.2 %
    <your host>Event Stream AnalysisJVM.MemoryallUso de memoria en montón comprometida 8.0 GB
    <your host>Event Stream AnalysisESA-MetricsPorcentaje total de uso de memoria de ESA4.64 %

    System_Stats_Browser_1.png

Si tiene un problema relacionado con la utilización de la memoria o del CPU, continúe con el paso 3. 

Paso 3: Abrir los servicios de ESA

  1. En Administration > Servicios, seleccione el ícono de acciones Actions_Icon.png correspondiente al servicio ESA y elija iniciar
  2. Regrese al servicio de ESA para dar solución a las reglas que crearon problemas de memoria. 

Si el servicio de ESA se detiene y se reinicia en un loop, tal vez sea necesario llamar al servicio al cliente para lograr que el servicio se inicie.

Si puede iniciar el servicio de ESA sin un apagado, continúe con el paso 4.

Paso 4. Comprobar el volumen de alertas y eventos

Cuando pueda reiniciar el servicio ESA sin un apagado inmediato, podrá revisar las estadísticas de las reglas para ver cuáles están consumiendo demasiados recursos. A veces, los servicios ESA fallan porque una regla está generando demasiadas alertas o está coincidiendo con demasiados eventos. Compruebe ambos problemas si determinó que el uso de la memoria es la causa del apagado del servicio de ESA. 

Ver resúmenes de alertas

 Las reglas que generan un alto volumen de alertas pueden abrumar el sistema y hacer que falle o que se reinicie.  Para ver los resúmenes de las alertas, vaya a Tablero > Alertas > Resumen. En la mitad inferior de la pantalla, puede ver la cantidad de alertas generadas para cada regla en el campo Conteo. Si la cantidad es considerablemente alta para una regla específica, debe deshabilitar la regla y reescribirla de modo que sea más eficiente.

ESA_Alerts_High.png

Ver eventos con coincidencias

A veces, una regla coincide con demasiados eventos, lo cual puede consumir un exceso de memoria. Esto suele suceder si crea una gran ventana de eventos en la cual se acumula una cantidad considerable de eventos sin que se active una alerta.  Estos son un problema porque cada evento se almacena en la memoria mientras la regla espera que se active la alerta. Para comprobar este problema, vaya a Tablero > Alertas > Servicios. Desde ahí, puede ver la cantidad de eventos que coincidieron en la columna Eventos con coincidencias. Si una gran cantidad de eventos coincidieron con una determinada regla, puede investigar más a fondo la regla para ver si es posible hacerla más eficiente.

ESA_High_Events.png

Paso 5: Inhabilitar y reparar la regla que causó problemas

Cuando haya determinado las reglas que se deben reescribir, deshabilítelas y vuelva a escribirlas de modo que no generen un alto volumen de alertas o eventos. Para obtener instrucciones sobre cómo escribir reglas más eficientes, consulte Mejores prácticas.

Inhabilitar reglas

  1. Para deshabilitar reglas, vaya a Alertas > Servicios y seleccione las reglas que desea deshabilitar en el campo Estadísticas de reglas implementadas.
  2. Seleccione Desactivar para inhabilitar las reglas. 

Editar reglas

  1. Para reparar las reglas, vaya a Alertas > Reglas > Biblioteca de reglas. Seleccione la regla que desea editar y haga clic en el ícono de accionesActions_Icon.png.
  2. Seleccione Editar.
  3. Edite la regla para que sea más eficiente. Para obtener instrucciones sobre cómo crear reglas, consulte Agregar reglas a la Biblioteca de reglas
  4. Cuando esté conforme con la regla, puede guardarla como una regla de prueba para asegurarse de que los problemas relacionados con la memoria no afecten el rendimiento de los servicios de ESA. Para esto, siga los pasos que se indican en Trabajar con reglas de prueba.

Habilitar reglas

  1. Para habilitar reglas, vaya a Alertas > Servicios y seleccione las reglas que desea habilitar en el campo Estadísticas de reglas implementadas.
  2. Seleccione Activar para habilitar las reglas. 

(Opcional) Comprobar los archivos de registro de ESA para obtener más información

Cuando verifique que los servicios están inactivos y algunas causas potenciales de la falla del sistema, compruebe si el servicio se detiene y se reinicia en un loop.  Para esto, consulte los registros de ESA. En el módulo Administration > Servicios, seleccione el servicio ESA, haga clic en el ícono de acciones Actions_Icon.png y seleccione Ver > Registros

Si no puede acceder a los registros de ESA desde la interfaz de Security Analytics, puede acceder al sistema mediante el protocolo SSH y dirigirse a: opt/rsa/esa/logs/esa.log.

Previous Topic:Mejores prácticas
You are here
Table of Contents > Guía de inicio rápido de ESA > Solucionar problemas de ESA

Attachments

    Outcomes