Windows Legacy収集:トラブルシューティング

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、LWC(Windows Legacy収集)で発生する可能性のある問題と推奨される解決策について説明します。

Windows LegacyおよびNetApp収集の問題のトラブルシューティング

一般的に、SSLを無効にすることで安定的にログ メッセージを受信できるようになる場合があります。

プロトコルの再開に関する問題

                  
問題考えられる原因解決策
WindowsLegacy収集プロトコルを再開したが、Security Analyticsがイベントを受信しない。logcollectorサービスが停止しています。logcollectorサービスを再開します。
  1. WIndows LegacyリモートCollectorにログインします。
  2. [スタート]>[管理ツール]>[タスク スケジューラ]の順にクリックし、[タスク スケジューラ ライブラリ]をクリックします。
  3. 右側のパネルで、restartnwlogcollectorタスクを見つけ、このタスクが実行中であることを確認します。
  4. 実行中でない場合は、restartnwlogcollectorを右クリックし、
    実行]を選択します。

インストールに関する問題

MessageBroker.logに次のいずれかのメッセージが記録されている場合は、問題が発生している可能性があります。 

                           
ログ メッセージ「rabbitmq」が含まれるすべてのメッセージ
想定される原因RabbitMQサービスが実行されていない可能性があります。

ポート5671が開いていない可能性があります。
解決策RabbitMQサービスが実行されていることを確認します。
ポート5671が開いていることを確認します。
ログ メッセージエラー::Adding logcollector user account.
エラー::Adding administrator tag to logcollector account.
エラー::Adding Adding logcollection vhost.
エラー::Setting permissions to logcollector account in all vhosts.
想定される原因インストーラがユーザーとvhostを作成しようとしたときにrabbitmq-serverが実行されていませんでした。
解決策RabbitMQサービスが実行されていることを確認し、次のコマンドを手動で実行します。
rabbitmqctl -q add_user logcollector netwitness
rabbitmqctl -q set_user_tags logcollector administrator

rabbitmqctl -q add_vhost logcollection
rabbitmqctl -q set_permissions -p / logcollector ".*" ".*" ".*"
rabbitmqctl -q set_permissions -p logcollection logcollector ".*" ".*" ".*"

Windows Legacyフェデレーション スクリプトに関する問題

フェデレーション スクリプト ログに次のいずれかのメッセージが記録されている場合は、問題が発生している可能性があります。 

                                 
問題考えられる現象解決策

フェデレーション スクリプトが開始されたが、LWCサービスが停止した。

Security Analyticsのログには、Windows Legacy Collectorとの接続失敗の例外が示されます。

この問題は、Windows Legacyサービスを再開すると、自動的に修正されます。

 

LWCは実行しているが、RabbitMQサービスがダウンするか、再起動される。 

Windows Legacy側のフェデレーション ログ ファイルには、ダウンしているRabbitMQサービスに関するエラー メッセージが表示されます。

確認するログ ファイルは次の場所にあります。
C:\NetWitness\ng\logcollector

RabbitMQが実行されていない場合は、次のエラー メッセージがログに記録されます。

"Unable to connect to node logcollector@localhost: nodedown"

次の診断メッセージが表示されます。

attempted to contact: [logcollector@localhost]

logcollector@localhost:
  * connected to epmd (port 4369) on localhost

  * epmd reports: node 'logcollector' not running at all other nodes on localhost: ['rabbitmqctl-4084']
  * suggestion: start the node

LWCでfederation.batスクリプトを手動で実行します。
federate.batスクリプトを手動で実行するには、次のステップを実行します。

  1. Windows LegacyインスタンスがインストールされているC:\Program Files\NwLogCollectorフォルダーに移動します。
  2. このフォルダーにあるfederate.batファイルを見つけます。このファイルを選択して右クリックします。
  3. 管理者として実行]を選択します。
  4. ログ ファイルを監視するには、 
    federate.batスクリプトが実行している間にC:\NetWitness\ng\logcollector\federate.logに移動します。

注:スクリプトが実行している間にログ ファイルにエラーが表示されないことを確認します。

RabbitMQサービスがSecurity Analytics側でダウンしている。

Security Analyticsユーザー インタフェース ページが機能していません。

RabbitMQサービスを再開します。

Security Analyticsユーザー インターフェイスにヘルスモニタの統計情報が表示されない。

puppetエージェントが実行されていないか、交換した証明書の発行に時間がかかっています。

puppetエージェントを再起動するか、証明書の交換が完了するまで数分お待ちください。 

 

お客様がヘルスモニタの通知を受け取る、または次のようなヘルスモニタのアラームが表示される。
「Communication failure between Master Security Analytics Host and a Remote Host」と表示され、リモートIPとしてLWCホストが示される。

  1. federate.batスクリプトが正常に実行されていません。
  2. federate.batスクリプトが正常に実行された後に、puppetエージェントが実行されていません。

 

  1. federate.batスクリプトが正しく実行されなかった場合は、前述のように手動で実行します。
  2. federate.batスクリプトが正常に実行されていても、puppetエージェントがスケジュール設定したとおりに実行されていない場合は、Security Analyticsサーバで次のコマンドを使用して、puppetエージェントを手動で実行します。
    puppet agent -t
You are here
Table of Contents > Windows Legacy収集およびNetApp収集の構成ガイド > トラブルシューティング:Windows LegacyおよびNetApp Collection

Attachments

    Outcomes