En este tema se señalan posibles problemas que puede encontrar en la recopilación de Windows y las soluciones que se sugieren para ellos.
Solucionar problemas de la recopilación de Windows
En general, se reciben mensajes de registro más confiables cuando se desactiva SSL.
Security Analytics devuelve los siguientes tipos de mensajes de error en los archivos de registro.
| Mensajes de registro | (i) 2013-Nov-21 14:47:06 [WindowsCollection] [LAB30.bad-host_lab30_local] [processing] [LAB30.bad-host_lab30_local] Starting work (F) 2013-Nov-21 14:47:06 [WindowsCollection] [LAB30.bad-host_lab30_local] Error subscribing. Transport error code = 6/Could not resolve host (F) 2013-Nov-21 14:47:06 [WindowsCollection] [LAB30.bad-host_lab30_local] [processing] [LAB30.bad-host_lab30_local] Unable to subscribe for events with Windows event source bad-host.lab30.local: Could not resolve host Possible causes: - DNS resolution failed or name/address (bad-host.lab30.local) incorrect. (i) 2013-Nov-21 14:47:06 [WindowsCollection] [LAB30.bad-host_lab30_local] [processing] [LAB30.bad-host_lab30_local] Finished work (F) 2013-Nov-21 14:47:06 [WindowsCollection] [LAB30.bad-host_lab30_local] [processing] [LAB30.bad-host_lab30_local] windows:WrkUnit[1] Processing failed. (i) 2013-Nov-21 14:47:06 [WindowsCollection] [LAB30.10_100_33_179] [processing] [LAB30.10_100_33_179] Starting work (i) 2013-Nov-21 14:47:06[WindowsCollection] [LAB30.10_100_33_179] [processing] [LAB30.10_100_33_179] Enumerating SID information (F) 2013-Nov-21 14:47:09 [WindowsCollection] [LAB30.10_100_33_179] Error enumerating for account SIDs. Transport error code = 7/Could not connect (F) 2013-Nov-21 14:47:09 [WindowsCollection] [LAB30.10_100_33_179] [processing] [LAB30.10_100_33_179] Error enumerating for SID information: Could not connect (F) 2013-Nov-21 14:47:12 [WindowsCollection] [LAB30.10_100_33_179] Error subscribing. Transport error code = 7/Could not connect (F) 2013-Nov-21 14:47:12 [WindowsCollection] [LAB30.10_100_33_179] [processing] [LAB30.10_100_33_179] Unable to subscribe for events with Windows event source 10.100.33.179: Could not connect Possible causes: - Event source not configured for collection with http. - Event source currently down. (i) 2013-Nov-21 14:47:12 [WindowsCollection] [LAB30.10_100_33_179] [processing] [LAB30.10_100_33_179] Finished work (F) 2013-Nov-21 14:47:12 [WindowsCollection] [LAB30.10_100_33_179] [processing] [LAB30.10_100_33_179] windows:WrkUnit[2] Processing failed. |
|---|---|
| Causa posible | La recopilación de Windows no se puede conectar a WinRM. |
| Soluciones | La recopilación de Windows se conecta al servicio WinRM en el origen de eventos de Windows. Debe configurar el origen de eventos de Windows para permitir que la recopilación de los eventos. Puede hacer esto manualmente mediante el comando winrm en el origen de eventos o puede crear una política de grupo y migrarla a todos los orígenes de eventos de un dominio. Esta configuración crea un escucha de WinRM en el origen de eventos. También debe configurar el firewall en el origen de eventos para permitir las conexiones a él. De forma predeterminada, WinRM escucha en el puerto 5985 las conexiones HTTP y en el puerto 5986 las conexiones HTTPS. Consulte Orígenes de eventos compatibles en la Guía de administración de recursos de Live para obtener instrucciones sobre la configuración de orígenes de eventos. |