Windows収集:トラブルシューティング

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Windows収集で発生する可能性がある問題と、それらの問題の推奨される解決策について説明します。

Windows収集の問題のトラブルシューティング

一般的に、SSLを無効にすることで安定的にログ メッセージを受信できるようになる場合があります。

Security Analyticsはログ ファイルで以下のタイプのエラー メッセージを返します。

               
ログ メッセージ(i) 2013-Nov-21 14:47:06 [WindowsCollection] [LAB30.bad-host_lab30_local] [processing] [LAB30.bad-host_lab30_local] Starting work
(F) 2013-Nov-21 14:47:06 [WindowsCollection] [LAB30.bad-host_lab30_local] Error subscribing. Transport error code = 6/Could not resolve host
(F) 2013-Nov-21 14:47:06 [WindowsCollection] [LAB30.bad-host_lab30_local] [processing] [LAB30.bad-host_lab30_local] Unable to subscribe for events with Windows event source bad-host.lab30.local: Could not resolve host Possible causes: - DNS resolution failed or name/address (bad-host.lab30.local) incorrect. (i) 2013-Nov-21 14:47:06 [WindowsCollection] [LAB30.bad-host_lab30_local] [processing] [LAB30.bad-host_lab30_local] Finished work
(F) 2013-Nov-21 14:47:06 [WindowsCollection] [LAB30.bad-host_lab30_local] [processing] [LAB30.bad-host_lab30_local] windows:WrkUnit[1] Processing failed.
(i) 2013-Nov-21 14:47:06 [WindowsCollection] [LAB30.10_100_33_179] [processing] [LAB30.10_100_33_179] Starting work (i) 2013-Nov-21 14:47:06[WindowsCollection] [LAB30.10_100_33_179] [processing] [LAB30.10_100_33_179] Enumerating SID information


(F) 2013-Nov-21 14:47:09 [WindowsCollection] [LAB30.10_100_33_179] Error enumerating for account SIDs. Transport error code = 7/Could not connect
(F) 2013-Nov-21 14:47:09 [WindowsCollection] [LAB30.10_100_33_179] [processing] [LAB30.10_100_33_179] Error enumerating for SID information: 接続できませんでした。
(F) 2013-Nov-21 14:47:12 [WindowsCollection] [LAB30.10_100_33_179] Error subscribing. Transport error code = 7/Could not connect
(F) 2013-Nov-21 14:47:12 [WindowsCollection] [LAB30.10_100_33_179] [processing] [LAB30.10_100_33_179] Unable to subscribe for events with Windows event source 10.100.33.179: Could not connect Possible causes: - Event source not configured for collection with http. - Event source currently down.
(i) 2013-Nov-21 14:47:12 [WindowsCollection] [LAB30.10_100_33_179] [processing] [LAB30.10_100_33_179] Finished work
(F) 2013-Nov-21 14:47:12 [WindowsCollection] [LAB30.10_100_33_179] [processing] [LAB30.10_100_33_179] windows:WrkUnit[2] Processing failed.
想定される原因Windows収集でWinRMに接続できない。
解決策

Windows収集ではWindowsイベント ソースでWinRMサービスに接続します。イベントの収集を許可するようにWindowsイベント ソースを構成する必要があります。これを行うには、イベント ソースで手動でwinrmコマンドを実行するか、グループ ポリシーを作成してドメイン内のすべてのイベント ソースにプッシュします。この構成により、イベント ソースにWinRMリスナーが作成されます。

WinRMへの接続を許可するようにイベント ソースのファイアウォールを構成することもできます。デフォルトでは、WinRMはHTTP接続の場合にポート5985、HTTPS接続の場合にポート5986をリッスンします。

イベント ソースの構成方法のドキュメントについては、「Live Resources Management Guide」の「サポートされるイベント ソース」を参照してください。

You are here
Table of Contents > Windows収集構成ガイド > Windows収集のトラブルシューティング

Attachments

    Outcomes