Informes: Solución de problemas

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones de solución de problemas que se presentan cuando se usa el módulo Reporting en Security Analytics.

Solución de problemas antes de configurar el servidor SFTP.

En esta sección se proporcionan instrucciones de solución de problemas que se presentan antes de la configuración del servidor SFTP.

Procedimiento

Intente los siguientes pasos si experimenta problemas relacionados con el servidor SFTP de Linux configurado:

  1. Si la Acción de salida del informe para el SFTP configurado falla, debe obtener acceso al servidor SFTP mediante el protocolo SSH e intentar una conexión local para comprobar si SFTP funciona correctamente.

    Conéctese al servidor SFTP:

    SFTP_server.png

  2. Si la conexión local falla, abra el archivo sshd_config> vi /etc/ssh/sshd_config.
  3. Busque esta entrada en el archivo:

    # override default of no subsystems
    Subsystem sftp /usr/libexec/openssh/sftp-server

  4. Si esta entrada no existe, agregue las dos líneas mencionadas en el Paso 3 en la parte inferior del archivo y guárdelo.
  5. Reinicie el servicio desde SSH > service sshd restart.
  6. Reintente ahora la conexión a SFTP.
  7. Asegúrese de que el firewall del dispositivo del servidor de SA no esté bloqueando el puerto SFTP. Actualice las reglas iptables para permitir el puerto SFTP

Definiciones:

Analizador estricto: El analizador estricto (no obsoleto) espera que la sintaxis de consulta sea del tipo correcto.
Para todos los tipos de metadatos de texto, use comillas; por ejemplo, username = ‘user1’.
No use comillas para las direcciones IP, las direcciones de Ethernet y los tipos de metadatos numéricos, por ejemplo, service = 80 &&
ip.src = 192.168.1.1.
Para los tipos de metadatos de fecha y hora,
Si el formato de fecha y hora es “AAAA-MM-DD HH:MM:SS”, use comillas.
Si el formato de fecha y hora es 1448034064 (número de segundos transcurridos desde EPOCH (1 de enero de 1970), no use comillas.
Las consultas de creación de informes se analizarán con el analizador estricto cuando el valor de configuración de /sdk/config/query.parse sea strict en los servicios principales de NWDB. 

Analizador no estricto: El analizador no estricto (obsoleto) no espera que la sintaxis de consulta sea de tipo correcto, es decir, los valores de tipos de metadatos de texto y numéricos pueden ir entre comillas o sin ellas independientemente del tipo de metadatos.

Por ejemplo, username es un tipo de metadatos de cadena y, por lo tanto, sus valores pueden ir entre comillas o sin ellas. De esta forma, es válida la sintaxis username = ‘user1’ y username = user. 

Las consultas de creación de informes se analizarán con el analizador no estricto cuando el valor de configuración de /sdk/config/query.parse sea deprecated en los servicios principales de NWDB.

Nota: El procedimiento de solución de problemas para el modo de analizador estricto se aplica a Reporting Engine 10.6 y superior.

Solución de problemas de la sintaxis de reglas de NWDB en una instalación nueva

En una instalación nueva de Security Analytics 10.6, los servicios principales de NWDB utilizan el analizador estricto (modo no obsoleto) de forma predeterminada para consultas de creación de informes. Por lo tanto, RSA recomienda crear reglas que cumplan con la sintaxis del analizador estricto (modo no obsoleto). Para obtener más información sobre la sintaxis de la consulta de NWDB, consulte Sintaxis de reglas de NWDB.

Solución de problemas de sintaxis de reglas de NWDB en la actualización

En caso de una actualización de Security Analytics 10.4.x o 10.5.x a Security Analytics 10.6.x, los servicios principales de NWDB continuarán utilizando un analizador no estricto (modo obsoleto) para las consultas de Reporting Engine. Por lo tanto, las consultas existentes continuarán ejecutándose correctamente incluso si no cumplen con la sintaxis del analizador estricto y proporcionarán resultados similares a las versiones anteriores. RSA recomienda crear reglas que cumplan con la sintaxis del analizador estricto.

El uso de un analizador estricto (modo no obsoleto) o no estricto (modo obsoleto) por parte de los servicios principales de NWDB para las consultas de creación de informes lo controla /sdk/config/query.parse (Administration > Servicios > Seleccione un servicio (servicio principal de NWDB) y en el menú Acciones, seleccione Ver > Explorar).

Si va a agregar un nuevo dispositivo principal de NWDB, en el cual se ejecuta la consulta de Reporting Engine, a una infraestructura existente que se ejecuta en modo no estricto (modo obsoleto), puede actualizar la configuración /sdk/config/query.parse (Administration > Servicios > Seleccione un servicio [servicio principal de NWDB] y en el menú Acciones, seleccione Ver > Explorar) al modo no estricto (modo obsoleto) para el dispositivo nuevo, hasta que la instancia completa de Security Analytics y los servicios asociados se hayan trasladado al modo estricto.

Solución de problemas de reglas de importación

En esta sección se proporcionan instrucciones de solución de problemas que se presentan cuando se importan reglas, informes, gráficos y alertas que se exportan desde 10.4.x o 10.5.x y se importan a 10.6.

Procedimiento

  1. Inicie sesión en Security Analytics.
  2. Vaya a Administration >Informes > Administrar > Reglas
  3. Haga clic en Operaciones de regla > Importar 
    Aparece la ventana Importar regla.

Cuando se importan reglas de Reporting Engine 10.4.x o 10.5.x a Reporting Engine 10.6.x, o cuando se implementan reglas de Live, estas pueden contener errores de sintaxis. La ejecución de estas reglas falla con un mensaje de error, por ejemplo, “Error occured while fetching data from source "Concentrator - Concentrator [10.0.0.0]”. Error details: rule syntax error: expecting <IPv4 address> here: "'172.15.0.0'|| eth.src=00:13:C3:3B:BE:00)".
Se debe corregir la sintaxis de la regla según el mensaje de error que se muestra o cambiar el dispositivo principal para que funcione en modo no estricto (modo obsoleto).
Por ejemplo, 
Para todos los tipos de metadatos de texto, use comillas; por ejemplo, username = ‘user1’.

You are here
Table of Contents > Descripción general de Reporting > Solución de problemas

Attachments

    Outcomes