ESM:ログ メッセージの重複

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

同じイベント ソースのメッセージを複数のLog Collectorで収集している可能性があります。このトピックでは、この問題を取り上げて、トラブルシューティングを行う方法について説明します。

詳細

ESM Aggregatorが同じイベント ソースの同じイベントを複数のLog Collectorで検出すると、次のような警告が表示されます。

2015-03-17 15:25:29,221 [pool-1-thread-6] WARN  com.rsa.smc.esm.groups.events.listeners.EsmStatEventListener -
192.0.2.21-apache had a previous event only 0 seconds ago; likely because it exists on multiple log collectors

この警告メッセージは、192.0.2.22-apacheイベント ソースが複数のホストで収集されていることを意味します。ホストのリストは、[Administration]>[イベント ソース]ビューの[管理]タブの[Log Collector]列で確認できます

重複メッセージのクリーンアップ

  1. Security AnalyticsおよびLog Decoderでcollectdを停止します。

    Service collectd stop

  2. Security Analytics上のESM Aggregator永続ファイルを削除します。

    rm /var/lib/netwitness/collectd/ESMAggregator

  3. Log Decoderをリセットします。
    1. Log Decoder REST(http://<LD_IP_Address>:50102)にアクセスします。
    2. decoder(*)]をクリックして、Decoderのプロパティを表示します。
    3. [Properties]ドロップダウン メニューで、[reset]を選択し、[Send]をクリックします。
  4. [イベント ソース]の[管理]タブにある[イベント ソース]パネルで、すべてのイベント ソースを選択し、-をクリックして削除します。
You are here
Table of Contents > トラブルシューティング > ログ メッセージの重複

Attachments

    Outcomes