Solucionar problemas de la configuración de la recopilación de registros

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se señalan posibles problemas que puede encontrar en la configuración de la recopilación de registros y las soluciones que se sugieren para ellos.

Solucionar problemas de configuración de Remote Collector

Los mensajes de registro de la siguiente tabla se envían a:

  • Para la configuración deMigración: C:\NetWitness\ng\logcollector\rabbitmq\log\logcollector@localhost.log en el servidor del recopilador de Windows heredado.
  • Para la configuración de Extracción:
     /var/log/rabbitmq/sa@localhost.log en el servidor del host de Log Decoder en el cual se ejecuta Local Collector.
               
Log
Mensajes
Mensaje de registro con “certificate expired” como parte del mensaje.  Por ejemplo:
Any =ERROR REPORT==== 7-Apr-2015::11:02:07 ===
SSL: cipher: tls_connection.erl:375:Fatal error: certificate expired
=ERROR REPORT==== 7-Apr-2015::11:02:07 ===
Shovel failed to connect to Host: "10.31.204.240" Port: 5671 VirtualHost: <<"logcollection">>: error:{badmatch,{error,
{tls_alert,
                                                                                                                "certificate expired"}}}
Causas posibles

La causa general de un mensaje de registro certificate expired es que el reloj (fecha/hora) del host del servicio SA y los relojes de uno o más hosts que ejecutan el servicio logcollector no están sincronizados. Los siguientes escenarios pueden causar este error. 

Los relojes del host del servicio SA y del host de Local Collector están sincronizados, pero el reloj del colector de Windows existente (WLC) está:

  • Causa 1: adelantado (en el futuro) con respecto al host de Local Collector y al host de SA.
  • Causa 2: atrasado (en el pasado) con respecto al host de Local Collector y al host de SA.
    El escenario del reloj de WLC en el pasado funciona si WLC está configurado para Migrar eventos al Local Collector.  Sin embargo, si el Local Collector está configurado para Extraer eventos desde el WLC, este lee el certificado del Local Collector como no válido debido a que su fecha está adelantada (en el futuro) con respecto a la del WLC. 
SolucionesPara ambas causas, asegúrese de que los relojes del host de SA y de todos los hosts de Remote Collector y Local Collector estén sincronizados.
  • Causa 1: para un Remote Collector de Windows existente, puede ser necesario realizar una operación “rekey” si el certificado se creó en un momento que está “en el futuro” en comparación con Local Collector y Security Analytics. Para ello, realice lo siguiente:
    1. Seleccione el servicio Log Collector para el Remote Collector de Windows heredado en la vista Servicios.
    2. Haga clic en Ver > Explorar.
    3. Haga clic con el botón secundario en /event-broker/ssl y haga clic en Propiedades.
      Se muestra el cuadro de diálogo Propiedades.
    4. Vuelva a generar el certificado con el comando rekey en el cuadro de diálogo Propiedades.
    5. Intercambie el nuevo certificado con Security Analytics, para lo cual debe quitar y volver a agregar el servicio logcollector de Windows heredado en Security Analytics.
  • Causa 2: sincronice el WLC con el LC.

Solucionar problemas de recopilación

Consulte las instrucciones de solución de problemas correspondientes a cada protocolo de recopilación para conocer problemas relacionados con esos protocolos.

You are here
Table of Contents > Guía de configuración de la recopilación de registros > Solucionar problemas de la configuración de la recopilación de registros

Attachments

    Outcomes