Recopilación de Windows heredado: solución de problemas

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se señalan posibles problemas que puede encontrar en la recopilación de Windows heredado (LWC) y las soluciones que se sugieren para ellos.

Solucionar problemas de la recopilación de Windows existente y NetApp

En general, se reciben mensajes de registro más confiables cuando se desactiva SSL.

Problemas relacionados con el reinicio del protocolo

                  
ProblemaCausas posiblesSoluciones
El protocolo de recopilación de Windows heredado se reinicia, pero Security Analytics no recibe eventos.El servicio logcollector está detenido.Reinicie el servicio logcollector.
  1. Inicie sesión en el Remote Collector de Windows heredado.
  2. Vaya a Inicio > Herramientas administrativas > Programador de tareas y haga clic en Biblioteca del Programador de tareas.
  3. En el panel derecho, busque la tarea restartnwlogcollector y asegúrese de que esté en ejecución.
  4. Si no lo está, haga clic con el botón secundario en restartnwlogcollector
    y seleccione Ejecutar.

Problemas relacionados con la instalación

Si ve cualquiera de los siguientes mensajes en MessageBroker.log, es posible que existan problemas. 

                           
Mensajes de registroCualquier mensaje que contenga “rabbitmq”
Causa posibleEs posible que el servicio RabbitMQ no esté en ejecución.

Puede que el puerto 5671 no esté abierto.
SolucionesAsegúrese de que el servicio RabbitMQ esté en ejecución.
Asegúrese de que el puerto 5671 esté abierto.
Mensajes de registroError: adición de la cuenta de usuario logcollector.
Error: adición de la etiqueta de administrador a la cuenta logcollector.
Error: adición del vhost de logcollection.
Error: configuración de permisos para la cuenta logcollector en todos los vhosts.
Causa posiblerabbitmq-server no estaba en ejecución cuando el instalador intentó crear usuarios y vhosts.
SolucionesAsegúrese de que el servicio RabbitMQ esté en ejecución y ejecute manualmente los siguientes comandos.
rabbitmqctl -q add_user logcollector netwitness
rabbitmqctl -q set_user_tags logcollector administrator

rabbitmqctl -q add_vhost logcollection
rabbitmqctl -q set_permissions -p / logcollector ".*" ".*" ".*"
rabbitmqctl -q set_permissions -p logcollection logcollector ".*" ".*" ".*"

Problemas relacionados con el script de la federación de Windows heredado

Si ve cualquiera de los siguientes mensajes en el registro del script de la federación, es posible que existan problemas. 

                                 
ProblemaPosibles síntomasSoluciones

El script de la federación se inició, pero el servicio LWC quedó inactivo.

El registro de Security Analytics muestra excepciones debido a una falla de la conexión con el recopilador de Windows heredado.

Este problema se soluciona automáticamente después del reinicio del servicio de Windows heredado.

 

LWC está en ejecución, pero el servicio RabbitMQ está inactivo o se está reiniciando. 

El archivo de registro de la federación en Windows heredado muestra un mensaje de error sobre la inactividad del servicio RabbitMQ.

El archivo de registro que se debe revisar es:
C:\NetWitness\ng\logcollector

Se registra el siguiente mensaje de error cuando RabbitMQ no está en ejecución:

“Unable to connect to node logcollector@localhost: nodedown”

Se muestran los siguientes mensajes de diagnóstico:

attempted to contact: [logcollector@localhost]

logcollector@localhost:
  * connected to epmd (port 4369) on localhost

  * epmd reports: node 'logcollector' not running at all other nodes on localhost: ['rabbitmqctl-4084']
  * suggestion: start the node

Ejecute manualmente el script federation.bat en LWC.
Para ejecutar manualmente el script federate.bat, realice los siguientes pasos:

  1. Vaya a la carpeta C:\Program Files\NwLogCollector donde está instalada la instancia de Windows heredado.
  2. Busque el archivo federate.bat en esta carpeta. Seleccione el archivo y haga clic con el botón secundario.
  3. Seleccione Ejecutar como administrador.
  4. Para monitorear el archivo de registro, navegue a 
    C:\NetWitness\ng\logcollector\federate.log durante la ejecución del script federate.bat.

Nota: Asegúrese de que el archivo de registro no muestre ningún error mientras se ejecuta el script.

El servicio RabbitMQ está inactivo en Security Analytics.

Las páginas de la interfaz del usuario de Security Analytics no funcionan.

Reinicie el servicio RabbitMQ.

No se muestran estadísticas de Estado y condición en la interfaz del usuario de Security Analytics.

El agente puppet no está en ejecución o está tardando bastante en publicar los certificados intercambiados.

Reinicie el agente puppet o espere varios minutos para completar el intercambio de los certificados. 

 

El cliente recibe una notificación de Estado y condición o se muestra la siguiente alarma de Estado y condición:
“Falla de comunicación entre el host maestro de Security Analytics y un host remoto” con el host de LWC como la IP remota.

  1. El script federate.bat no se ejecutó correctamente.
  2. Puppet agent no se ejecutó después de la ejecución correcta del script federate.bat.

 

  1. Si la ejecución del script federate.bat no fue correcta, ejecútelo de forma manual como se describió anteriormente.
  2. Si el script federate.bat se ejecutó correctamente y el agente puppet no realizó su ejecución programada, ejecútelo de forma manual mediante el siguiente comando en el servidor de Security Analytics:
    puppet agent -t
You are here
Table of Contents > Guía de configuración de la recopilación de Windows existente y NetApp > Solucionar problemas de la recopilación de Windows existente y NetApp

Attachments

    Outcomes