ホストGS:10.6更新サービス ログ メッセージのトラブルシューティング

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このセクションでは、Security Analytics 10.6の更新前、更新中、更新後のログ メッセージについて、説明と対処方法を示します。

SMS(System Management Service)

SMSのログは、SAホスト上の/var/log/install/sms_install.logに保存されます。

Javaのバージョン

               
メッセージ

timestamp host: SMS_PostInstall: WARN: Java Keystore file /opt/rsa/carlos/keystore is missing

原因

Javaキーストアが見つかりません。

必要なアクション ホストにJava v1.8がインストールされていることを確認します。

 

               
メッセージ

timestamp host: SMS_PostInstall: INFO: Installed Java version is : java version "1.7.0_71"

timestamp host: WARN: Java version is old and not compatible with the current SMS server.

原因

ホストにインストールされているJavaのバージョンがSecurity Analytics 10.5.1と互換性がありません。

必要なアクション ホストにJava v1.8がインストールされていることを確認します。

ディスク領域

               
メッセージ

timestamp host: SMS_PostInstall: INFO: Free disk space on /opt is nGB

timestamp host: SMS_PostInstall: WARN: Disk space check failed on /opt. The available disk space nGB is less than the recommended minimum disk space of 10GB.

原因

SMSサービスに割り当てられたディスク領域が不足しているかまたは不十分です。

必要なアクション SMSサービスを適切に実行するために、RSAでは、10 GB以上のディスク領域を割り当てることを推奨します。

サービス

               
メッセージ

timestamp host: INFO RabbitMQ server is not installed.

原因 必要なRabbitMQ サービスがインストールされていません
必要なアクション 次のコマンドを実行して、RabbitMQサービスのインストールと再起動を行います。
yum install rabbitmq-server
service rabbitmq-server restart

 

               
メッセージ

timestamp host: INFO RabbitMQ Server is not running.

原因 必要なRabbitMQ サービスが実行されていません
必要なアクション 次のコマンドを実行して、RabbitMQサービスを再起動します。
service rabbitmq-server restart

 

               
メッセージ

timestamp host: INFO TokuMX Server is not running.

原因 必要なTokuMX サービスが実行されていません
必要なアクション 次のコマンドを実行して、TokuMXサービスを再起動します。
service tokumx-server restart

 

               
メッセージ

timestamp host: SMS_PostInstall: INFO: Puppet Server is not running.

原因 必要なPuppet サービスが実行されていません
必要なアクション 次のコマンドを実行して、Puppetサービスを再起動します。
service puppet-server restart

Log Collectorサービス(nwlogcollector)

Log Collectorのログは、nwlogcollector サービスを実行しているホスト上の/var/log/install/nwlogcollector_install.logに保存されます。

Lock Box 検証ログ

               
メッセージ

timestamp.NwLogCollector_PostInstall: Lockbox Status : Failed to open lockbox: The lockbox stable value threshold was not met because the system fingerprint has changed. To reset the system fingerprint, open the lockbox using the passphrase.

原因

更新後、Log CollectorのLockboxを開くことができませんでした。

必要なアクション Security Analyticsにログインし、LockboxのStable System Valueのパスワードをリセットすることにより、システム フィンガープリントをリセットします。詳細については、「ログ収集の構成ガイド」の「Lockboxのセキュリティ設定の構成」トピックにある「Stable System Valueのリセット」セクションを参照してください。

 

               
メッセージ

NwLogCollector_PostInstall: Lockbox Status : Failed to open lockbox: Lockbox tampering was detected, so it cannot be read.
NwLogCollector_PostInstall: Lockbox Status : Failed to open lockbox: Lockbox tampering was detected, so it cannot be read.

原因 Log CollectorのLockboxのセキュリティが侵害されました。
必要なアクション Security Analyticsにログインし、Lockboxを再構成します。詳細については、「ログ収集の構成ガイド」の「Lockboxのセキュリティ設定の構成」トピックを参照してください。

 

               
メッセージ

timestamp NwLogCollector_PostInstall: Lockbox Status : Not Found

原因 更新後、Log CollectorのLockboxが構成されていません。
必要なアクション (オプション)Log CollectorのLockboxを使用する場合は、Security Analyticsにログインし、Lockboxを構成します。詳細については、「ログ収集の構成ガイド」の「Lockboxのセキュリティ設定の構成」トピックを参照してください。

 

               
メッセージ

timestamp: NwLogCollector_PostInstall: Lockbox Status : Lockbox maintenance required: The lockbox stable value threshold requires resetting. To reset the system fingerprint, select Reset Stable System Value on the settings page of the Log Collector.

原因

Log CollectorのLockboxのStable System Value閾値フィールドをリセットする必要があります。

必要なアクション Security Analyticsにログインし、LockboxのStable System Valueのパスワードをリセットします。詳細については、「ログ収集の構成ガイド」の「Lockboxのセキュリティ設定の構成」トピックにある「Stable System Valueのリセット」セクションを参照してください。

Event Stream Analysis (ESA) 

更新前のチェック

 ESAの更新前のチェックのログは、ESAサービスを実行しているホスト上の/var/log/esa-rpm-pre-upgrade.logに保存されます。

               
メッセージ Pre_upgrade_alert_count=number-of-alerts
原因 更新を開始するときにホスト上に存在しているESAのアラートの数を示します。 
必要なアクション なし(情報)

 

               
メッセージ Pre_upgrade_rule_count=number-of-rules
原因 更新を開始するときにホスト上に存在しているESAのルールの数を示します。 
必要なアクション なし(情報)

 

               
メッセージ Pre_upgrade_enrichment_connection_count=number-of-enrichment-sources
原因 更新を開始するときにホスト上に存在しているESAのエンリッチメント ソースの数を示します。 
必要なアクション なし(情報)

更新後のチェック

ESAの更新後のチェックのログは、ESAサービスを実行しているホスト上の/var/log/esa-rpm-post-upgrade.logに保存されます。

               
メッセージ Post_upgrade_alert_count=number-of-alerts
原因 ホストが更新された後、ホスト上に存在しているESAのアラートの数を示します。 
必要なアクション なし(情報)

 

               
メッセージ Post_upgrade_rule_count=number-of-rules
原因 ホストが更新された後、ホスト上に存在しているESAのルールの数を示します。
必要なアクション なし(情報)

 

               
メッセージ Post_upgrade_enrichment_connection_count=number-of-enrichment-sources
原因 ホストが更新された後、ホスト上に存在しているESAのエンリッチメント ソースの数を示します。
必要なアクション なし(情報)

Reporting Engineサービス 

更新のチェック

Reporting Engineの更新ログは、Reporting Engineを実行しているホスト上の/var/log/re_install.logファイルに保存されます。

               
メッセージ

timestamp : Available free space in /home/rsasoc/rsa/soc/reporting-engine [ existing-GB ] is less than the required space [ required-GB ]

原因 Reporting Engineの更新は、十分なディスク領域がないために失敗しました。 
必要なアクション ログ メッセージに示されている必要な容量に合わせてディスク領域を解放します。ディスク領域を解放する方法については、「Reporting Engine構成ガイド」の「サイズの大きなレポートに対応するためのスペースの追加」を参照してください。
You are here
Table of Contents > ホスト更新のトラブルシューティング > 10.6更新サービス ログ メッセージのトラブルシューティング

Attachments

    Outcomes