ログ収集構成のトラブルシューティング

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、ログ収集を構成する際に発生する可能性のある問題と各参照先について記載します。

リモートCollectorの構成に関するトラブルシューティング

次の表のログ メッセージは、次の場所に保存されます。

  • プッシュ構成の場合:Windows Legacy CollectorサーバのC:\NetWitness\ng\logcollector\rabbitmq\log\logcollector@localhost.log
  • プル構成の場合:
     ローカルCollectorが実行されているLog Decoderホストの/var/log/rabbitmq/sa@localhost.log
               
ログ
メッセージ
メッセージに「certificate expired」が含まれるログ メッセージ。 例:
Any =ERROR REPORT==== 7-Apr-2015::11:02:07 ===
SSL: cipher: tls_connection.erl:375:Fatal error: certificate expired
=ERROR REPORT==== 7-Apr-2015::11:02:07 ===
Shovel failed to connect to Host: "10.31.204.240" Port: 5671 VirtualHost: <<"logcollection">>: error:{badmatch,{error,
{tls_alert,
                                                                                                                "certificate expired"}}}
考えられる原因

certificate expiredログ メッセージは、主に、SAサーバ ホストのクロック(日付/時刻)と、Log Collectorサービスを実行するホストのクロックが同期していないことが原因で発生します。次のようなシナリオで発生することがあります。 

SAサーバ ホストとローカルCollectorホストのクロックは同期しているが、WLC(Windows Legacy Collector)のクロックが以下の状況にある。

  • 原因1:ローカルCollectorホストおよびSAホストよりも進んでいる(未来にある)。
  • 原因2:ローカルCollectorホストおよびSAホストよりも遅れている(過去にある)。
    イベントをローカルCollectorにプッシュするようにWLCが構成されている場合、WLCのクロックが遅れている場合は動作します。 ただし、WLCからイベントをプル受信するようローカルCollectorが構成されている場合、WLCは、ローカルCollectorの証明書を読み取り、日付がWLCより進んでいる(未来にある)ため、無効と判断します。 
解決策いずれが原因の場合も、SAホスト、リモートCollectorホストおよびローカCollectorホストのすべてのクロックが同期されていることを確認します。
  • 原因1:Legacy Windows Remote Collectorについては、証明書が、ローカルCollectorおよびSecurity Analyticsよりも「未来に」作成された場合は、「再設定」が必要になる可能性があります。これを行うには、次の手順を実行します。
    1. サービス]ビューからLegacy Windows Remote CollectorLog Collectorサービスを選択します。
    2. [表示]>[エクスプローラ]をクリックします。
    3. /event-broker/sslを右クリックし、[プロパティ]をクリックします。
      プロパティ]ダイアログが表示されます。
    4. プロパティ]ダイアログで、rekeyコマンドを使用して証明書を再生成します。
    5. Security AnalyticsでLegacy Windows Remote Collectorサービスを削除し、再度追加することにより、新しい証明書をSecurity Analyticsと交換します。
  • 原因2:WLCとLCの時刻を同期させます。

収集に関する問題のトラブルシューティング

収集プロトコルに関連する問題については、各プロトコルのトラブルシューティング手順を参照してください。

You are here
Table of Contents > ログ収集の構成ガイド > ログ収集構成のトラブルシューティング

Attachments

    Outcomes