ログ収集:トラブルシューティング

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、ログ収集のトラブルシューティングについて説明します。Security Analyticsでは、次の2つの方法でLog Collectorの問題または潜在的な問題が通知されます。

  • ログ ファイル。
  • [ヘルスモニタ]ビュー。

ログ ファイル

特定のイベント ソース収集プロトコルに問題がある場合は、問題の調査のためにデバッグ ログをレビューします。各イベント ソースには、このログの収集を有効化できるデバッグパラメータがあります(パラメータをOnまたはVerboseに設定します)。

注意: 該当するイベント ソースに問題が発生し、その問題を調査する必要がある場合にのみ、デバッグを有効にします。デバッグを常に有効化すると、Log Collectorのパフォーマンスに悪影響があります。

ヘルスモニタの監視

ヘルスモニタの監視によって潜在的なハードウェアおよびソフトウェアの問題をタイムリーに認識し、システム停止を避けることができます。RSAでは、サービスが効率的に動作し、各種の統計値が構成した閾値に近づいていないことを確認するために、Log Collectorの統計フィールドを監視することを推奨します。[Administration]>[ヘルスモニタ]ビューに表示される次の統計値を監視できます。

NAVHW1.png

トラブルシューティングの例

Security Analyticsは、ログ ファイルに次のタイプのエラー メッセージを返します。

                 
ログ メッセージtimestamp failure (LogCollection) Message-Broker Statistics: ...

timestamp failure (AMQPClientBaseLogCollection): ...
timestamp failure (MessageBrokerLogReceiver): ...
想定される原因Log Collectorがメッセージ ブローカーに到達できません。メッセージ ブローカーが次のいずれかの状態である可能性があります。
  • 実行を停止した。
  • 接続設定が正しくない。
解決策
  1. <use the="the" initctl="initctl" command="command" on="on" console="console" to="to" check="check" status="status" of="of" message="message" broker="broker" shell="shell" console.="console.">returns the following if the message broker is not running:</use>
            prompt$ status rabbitmq

            rabbitmq start/running, process 10916
  1. [エクスプローラ]ビューでイベント ブローカー ノードのRabbitMQ Message Broker を起動します。
    TS1.png
You are here
Table of Contents > ログ収集のスタート > ログ収集のトラブルシューティング

Attachments

    Outcomes