CLI: Comandos utilizados para la solución de problemas

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

NwConsole proporciona los siguientes comandos que son útiles para la solución de problemas de Security Analytics:

  • whatIsWrong: Proporciona una instantánea de la configuración, las estadísticas y los registros de fallas y advertencias de un servicio correspondientes a un período pasado especificado.
  • dbcheck: Realiza la comprobación de coherencia de archivos de base de datos.
  • topQuery: Ayuda a detectar consultas cuya ejecución tarda demasiado.  
  • netbytes: Soluciona problemas de las conexiones de red en el host actual 
  • netspeed: Soluciona problemas de conexión entre la computadora host en la cual se ejecuta NwConsole y la computadora remota conectada a él mediante el comando login

Las siguientes secciones, así como las páginas de información de temas (man) y de ayuda de NwConsole, ofrecen información adicional.

whatIsWrong

Cuando un servicio no funciona correctamente, por lo general el motivo se encuentra en los registros que ha escrito el servicio. Puede usar el comando de la consola whatIsWrong para obtener una instantánea de la configuración, las estadísticas y los registros de fallas y advertencias de un servicio (con registros de contexto adyacentes) correspondientes a un período pasado especificado, el cual se fija de forma predeterminada en los siete días anteriores. Puede guardar los resultados de la ejecución de whatIsWrong en un archivo de texto sin formato especificado. La salida de este comando puede ser un punto de partida útil para ayudar a determinar cuál es el problema actual de un servicio.

Para usar el comando de la consola whatIsWrong, inicie sesión en el servicio para solucionar problemas mediante el comando login y ejecute el comando whatIsWrong.

Sugerencia: Use help whatIsWrong para ver todos los parámetros disponibles, incluido el número de días u horas para buscar eventos, el nombre de ruta para almacenar los resultados, si desea o no anexar o sobrescribir el archivo de resultados y el delimitador que se utilizará en los campos de registro. También puede limitar la cantidad de registros más recientes que se utilizan para encontrar el contexto y puede especificar cuántos registros de contexto por registro de advertencia/falla desea recuperar.

Cada vez que reciba una solicitud de registros para un servicio principal, deberá ejecutar primero el comando whatIsWrong y usar los resultados recopilados como punto de partida.

dbcheck

El comando dbcheck se usa para realizar la comprobación de coherencia de archivos de base de datos (sesión, metadatos, paquetes, registros, estadísticas, etc.). Esto podría ser necesario cuando no se puede iniciar un servicio debido a errores de consistencia de los archivos de base de datos. Normalmente un servicio podría recuperar automáticamente y corregir los problemas de coherencia en el arranque, pero hay ocasiones en que esto no ocurre. Cuando se inicia un servicio (como Decoder), por lo general no lee ni abre la mayoría de los archivos de base de datos con el fin de iniciar rápidamente. Se supone la mayoría de los archivos está en un estado coherente y solo realiza una comprobación rápida de los archivos escritos más recientemente. Si hay problemas, dbcheck puede ejecutar las comprobaciones de coherencia, pero SOLO si el servicio no está en ejecución.  

Precaución: No intente ejecutar este comando mientras se ejecuta un servicio.

Por ejemplo, puede comprobar un único archivo:

dbcheck /var/netwitness/decoder/packetdb/packet-000000001.nwpdb   

También puede utilizar comodines para comprobar varios archivos:

dbcheck /var/netwitness/decoder/metadb/meta-00000002*.nwmdb

topQuery

El comando topQuery puede ayudar a detectar consultas cuya ejecución tarda demasiado. Este comando analiza los registros de auditoría de un servicio y devuelve las n consultas principales de mayor duración en un período de tiempo especificado. 

La manera más fácil de ejecutar este comando es iniciar sesión en el servicio (por lo general, un Broker o un Concentrator) y escribir topQuery. El comportamiento predeterminado es devolver las 100 consultas principales de mayor duración en los últimos siete días. 

Escriba help topQuery para obtener la lista de parámetros. Estos son algunos ejemplos adicionales con explicaciones:

topQuery hours=12 top=10

Este comando muestra las 10 consultas principales en las últimas 12 horas.

topQuery time1="2015-03-01 00:00:00" time2="2015-03-14 00:00:00"

Este comando muestra las 100 consultas principales entre el 1 de marzo de 2015 y el 14 de marzo de 2015. Las horas son en UTC, no en la hora local.

topQuery input=/var/log/messages output=/tmp/top20.txt top=20 user=sauser1

En lugar de conectarse a un servicio, analiza los mensajes de auditoría de syslog de las 20 consultas principales en los últimos 7 días, pero solo de las consultas ejecutadas por el usuario sauser1. Escribe las 20 consultas principales en /tmp/top20.txt en lugar de la pantalla de la consola. El parámetro user es una regex, de modo que puede especificar varios nombres de usuario si escribe algo similar a user="(sauser1|sauser2)".

netbytes

El comando netbytes es muy útil para la solución de problemas de conexiones de red en el host actual. Muestra estadísticas continuas de envío y recepción para todas las interfaces de red. Una vez ejecutado, debe presionar Ctrl-C para salir de este comando, el cual también sale de NwConsole.

netspeed

El comando netspeed se usa para solucionar problemas de conexión entre la computadora host en la cual se ejecuta NwConsole y la computadora remota conectada a él mediante el comando login. Debe proporcionar la cantidad de bytes para la transferencia y se calculará la velocidad de la conexión. El comando netspeed es muy útil para solucionar problemas de rendimiento de agregación que podrían estar relacionados con la red.

login somedecoder:50004 admin ...

netspeed transfer=4g

Para solucionar problemas de conexión entre un Concentrator y un Decoder, use el protocolo SSH en el Concentrator, ejecute NwConsole y, a continuación, inicie sesión en el Decoder y ejecute netspeed. La salida del comando le ofrece una indicación del rendimiento máximo de la red. Si es mucho menor que la interfaz estándar de 1 GB/s, podría indicar un problema de red.

You are here
Table of Contents > RSA Security Analytics Console > Comandos utilizados para la solución de problemas

Attachments

    Outcomes