Workbench: Solución de problemas

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Security Analytics informa los problemas a los usuarios mediante notificaciones emergentes.

Posibles problemas de Workbench

Security Analytics Workbench devuelve los siguientes tipos de mensajes de error que se explican en la siguiente tabla.

                                                                                              
ProblemaCausas posiblesSoluciones
No se puede establecer conexión al servicio Workbench desde la página Administration de la interfaz del usuario de Security Analytics.El servicio Security Analytics no está en ejecución.Verifique que el servicio Security Analytics esté en ejecución. Inicie sesión en el servidor de Security Analytics y ejecute el siguiente comando: 
status nwworkbench 
Las reglas del firewall deben permitir conexiones desde 50007, 50607 y 50107.
Verifique la conexión mediante la ejecución del siguiente comando:
service iptables status 

Verifique que pueda iniciar REST. Ejecute el siguiente comando para el dispositivo:
https://<IPAddress>:50107 service
Si puede iniciar el servicio REST para el dispositivo, puede comprobar que este no tiene problemas. Navegue a Security Analytics con el fin de realizar una investigación más detallada, como se indica a continuación:
Habilite el modo de depuración y busque errores en el archivo sa.log, que se encuentra en:
/var/lib/netwitness/uax/logs 
Habilite las herramientas del desarrollador mediante el acceso directo Ctrl+Shift+I en Chrome y verifique la vista previa y la respuesta para la solicitud. 
No se puede ver la pestaña de configuración del servicio Appliance para el dispositivo Workbench
que se ejecuta en modo SSL.
 Habilite SSL para el servicio Appliance y reinicie este servicio. 
Se muestra el siguiente mensaje de error cuando se intenta cargar metadatos para crear un informe en una recopilación de Workbench:
“No se puede obtener el esquema desde el origen de datos cuando se intenta cargar metadatos”.
 Cargue metadatos para el dispositivo desde la Biblioteca de reglas de la interfaz del usuario de Security Analytics y busque errores
en el registro de Reporting Engine que se encuentra en:
/home/rsasoc/rsa/soc/reporting- 
engine/logs 

Inicie REST para el dispositivo y vea si se producen errores cuando se ejecuta la siguiente consulta
/sdk?msg=language&force-content-type=text/plain&expiry=600&size=10 
No se muestran resultados después de que se ejecuta la consulta desde la interfaz del usuario de Security Analytics a través de Reporting Engine. Ejecute la consulta en Reporting Engine y observe /var/log/messages en el origen de datos. Busque una consulta exacta que coincida con el origen de datos.
SUGERENCIA: Busque [SDK-Query] en el archivo de registro.
Copie la consulta exacta y ejecútela desde SDK de REST para ver si obtiene resultados.
REST Query: /sdk?msg=query&force-contenttype=text/plain&expiry=
600&query=select%20user.dst&size=10
El indicador de almacenamiento disponible de Workbench en la pestaña Recopilaciones de Workbench no es exacto.
 
El indicador de almacenamiento disponible en la interfaz del usuario muestra el siguiente directorio predeterminado de recopilaciones:

 

/VAR/NETWITNESS/WORKBENCH/COLLECTIONS
Ninguna.
No es posible abrir nuevas recopilaciones
después de que se abren recopilaciones existentes.
Hay una configuración de Workbench denominada “Máximo de recopilaciones abiertas” que está establecida en 25 de manera predeterminada. Esta configuración especifica la cantidad de recopilaciones que puedan estar abiertas al mismo tiempo.
Puede modificar este número. Una configuración de cero inhabilita el límite del máximo de recopilaciones abiertas.
Se abrió correctamente una recopilación que obtuvo el estado Listo.
Sin embargo, después de un momento, la recopilación
cambió automáticamente al estado Cerrado.
Hay una configuración de Workbench denominada “collection.timeout” que está establecida en 1,200 segundos de manera predeterminada.
Esta configuración especifica la cantidad de segundos antes de que una recopilación inactiva se cierre automáticamente. El tiempo máximo permitido antes de que se agote el tiempo de espera es 86,400 segundos (24 horas).
Una configuración de cero inhabilita el tiempo de espera agotado.
La consulta para un rango de tiempo mediante el comando /database manifest devolvió una salida en blanco.La salida en blanco indica que no hay archivos nwdb disponibles para el rango de tiempo.Ninguna.
La recopilación se creó, pero su estado es no disponible en Trabajos y
la recopilación no se muestra en la pestaña Recopilaciones de Workbench.
Tal vez esté trabajando en un ambiente de modo mixto (por ejemplo, está creando una recopilación en una versión 10.4.x de Workbench desde una interfaz del usuario de Security Analytics 10.5.La recopilación se muestra en la pestaña Recopilaciones de Workbench cuando se vuelve a cargar la página.
Se observaron valores en blanco en Rango de fechas y Fecha de creación para las recopilaciones.Todas las recopilaciones muestran valores en blanco en Rango de fechas y Fecha de creación.Los valores de Rango de fechas y Fecha de creación se muestran después de la actualización a 10.5. 
Discrepancia en el comportamiento de la adición de recopilaciones de Workbench como origen de datos
en Reporting Engine
.
Este comportamiento depende de si dispone de una conexión de confianza o de una conexión no de confianza.Si el servicio Workbench se establece con una conexión de confianza, debe agregar recopilaciones de Workbench manualmente como un origen
en Reporting Engine.
Si el servicio Workbench no se estableció con una conexión de confianza cuando se creó la recopilación de restauración de Workbench,
envía automáticamente un mensaje a Reporting Engine para que lo agregue como un origen en Reporting Engine.
Los atributos de la recopilación (tamaño, rango de fechas y fecha de creación) no se muestran.El rango de fechas no se muestra para una recopilación si el servicio Jetty se reinicia mientras la restauración está en curso.
Las recopilaciones de restauración creadas desde una vista Explorador muestran un rango de fechas en blanco.
Las recopilaciones creadas en un Workbench 10.4 mostrarán valores de Rango de fechas y Fecha de creación en blanco después de la actualización a 10.5.
En un ambiente de modo mixto (servidor de Security Analytics 10.5 y Workbench 10.4.x), el tamaño, el rango de fechas y la fecha de creación no se muestran.
Ninguna.
Se muestra una excepción o una página en blanco cuando se desglosa a una
recopilación de Workbench.
La recopilación se cerró debido a que superó el tiempo de espera agotado de la recopilación. Investigue la recopilación desde el principio.
Se crea una recopilación vacía.Se muestra una recopilación vacía si la restauración falla debido al reinicio del servicio Workbench durante la creación de la recopilación.
 
Ninguna.
El servicio se apaga abruptamente. Ejecute el servicio desde la línea de comandos y busque errores. Por ejemplo, 
ejecute el comando desde la consola del servidor /usr/sbin/NwWorkbench para
Workbench.
Solicitud de REST rechazada. Verifique la configuración user.agent.whitelist que se encuentra en /rest/config/
Si no está en blanco, esta debe ser una expresión regex de modo que coincida con agentes de usuario HTTP válidos. Si regex no coincide, todas las solicitudes REST se rechazarán (consulte la posible excepción en allow.missing.user.agent). Si está en blanco, todas las solicitudes se permiten.
Las consultas con metadatos crudos devuelven valores en blanco para el campo Crudo. Verifique que disponga de la correspondiente
packet db.
You are here
Table of Contents > Solución de problemas

Attachments

    Outcomes