レポート:トラブルシューティング

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Security Analyticsでレポート モジュールを使用するときに直面する問題のトラブルシューティング手順について説明します。

SFTPサーバを構成する前の問題のトラブルシューティング

このセクションでは、SFTPサーバの構成前に発生した問題のトラブルシューティング手順について説明します。

手順

構成したLinux SFTPサーバに関する問題が発生した場合は、次の手順を試してください。

  1. 構成したSFTPのレポート出力アクションが失敗した場合は、SSHを使用してSFTPサーバに接続して、ローカル接続を試し、SFTPが正常に機能しているかどうかを確認する必要があります。

    SFTPサーバに接続します。

    SFTP_server.png

  2. ローカル接続が失敗した場合は、次のコマンドを実行してsshd_configファイルを開きます:vi /etc/ssh/sshd_config
  3. ファイルに次のエントリーが存在するかどうかを確認します:

    # override default of no subsystems
    Subsystem sftp /usr/libexec/openssh/sftp-server

  4. このエントリーが存在しない場合は、ファイルの最下部に、ステップ3で述べた2行を追加し、保存します。
  5. サービスを再起動します。SSH>service sshd restart
  6. SFTP接続を再試行します。
  7. SAサーバ アプライアンスのファイアウォールによってSFTPポートがブロックされていないことを確認します。sftpポートを許可するようにiptablesのルールを更新します。

定義:

厳格なParser:厳格なParser(非deprecated)は、クエリー構文が正しく記述されることを期待します。
メタ タイプがテキストの場合は、引用符を使用します。例:username = 'user1'
メタ タイプがIPアドレス、Ethernetアドレス、数値の場合は、引用符を使用しません。例:service = 80 &&
ip.src = 192.168.1.1.
メタ タイプが日付と時刻の場合、
日付と時刻の形式が「YYYY-MM DD HH:MM:SS」であれば、引用符を使用します。
日付と時刻の形式が「1448034064」(EPOCH(1970年1月1日)以降の秒数)の場合、引用符は使用しません。
NWDBコア サービスの/sdk/config/query.parseの構成値がstrictである場合、レポート クエリーは厳格なParserを使用して解析されます。 

非厳格なParser:非厳格なParser(deprecated)では、クエリー構文が正しく記述されることを期待していません。すなわち、テキストと数値のメタ タイプの値は、メタ タイプに関係なく、引用符で囲むことも、囲まないこともできます。

たとえば、usernameのメタ タイプは文字列ですが、その値を引用符で囲むことも囲まないことも可能です。そのため、username = 'user1'とusername = user1のどちらの構文も有効です。 

NWDBコア サービスの/sdk/config/query.parseの構成値がdeprecatedである場合、レポート クエリーは非厳格なParserを使用して解析されます。

注:厳格なParserモードのトラブルシューティング手順は、Reporting Engine 10.6以降に適用されます。

新規インストール時のNWDBルール構文のトラブルシューティング

Security Analytics 10.6の新規インストール時に、NWDBコア サービスは、デフォルトでレポート クエリーに厳格なParser(非deprecatedモード)を使用します。そのため、RSAでは、厳格なParserに準拠したルールを作成することを推奨します。NWDBクエリー構文の詳細については、「NWDBルールの構文」を参照してください。

アップグレード時のNWDBルール構文のトラブルシューティング

Security Analytics 10.4.xまたは10.5.xからSecurity Analytics 10.6.xにアップグレードする場合、NWDBコア サービスは、Reporting Engineのクエリーで非厳格なParser(deprecatedモード)を引き続き使用します。そのため、既存のクエリーが厳格なParserの構文に準拠していない場合でも、既存のクエリーは引き続き正常に実行され、以前のバージョンと同様の結果を実現します。RSAでは、厳格なParserの構文に準拠したルールを作成することをを推奨しています。

レポート クエリーでのNWDBコア サービスによる厳格なParser(非deprecatedモード)または非厳格なParser(deprecatedモード)の使用は、/sdk/config/query.parse([Administration]>[サービス]でサービス(NWDBコア サービス)を選択し、[アクション]メニューで[表示]>[エクスプローラ]を選択)によって制御されます。

Reporting Engineクエリーが非厳格なParser(deprecatedモード)で実行されている既存のインフラストラクチャに新しいNWDBコア アプライアンスを追加する予定がある場合、Security Analyticsのすべてのインスタンスと関連サービスが厳格モードに移行するまでの間、新しいアプライアンスの/sdk/config/query.parse([Administration]>[サービス]でサービス(NWDBコア サービス)を選択し、[アクション]メニューで[表示]>[エクスプローラ]を選択)を非厳格モード(deprecatedモード)に更新することができます。

ルールのインポートのトラブルシューティング

このセクションでは、10.4.xまたは10.5.xからエクスポートされたルール、レポート、チャート、アラートを10.6にインポートする時に発生する問題のトラブルシューティングの手順について説明します。

手順

  1. Security Analyticsにログインします。
  2. Administration]>[レポート]>[管理]>[ルール]に移動します。
  3. [ルール]パネルのツールバーで、[操作]>[インポート]をクリックします。 
    [ルールのインポート]ウィンドウが表示されます。

Reporting Engine 10.4.xまたは10.5.xのルールをReporting Engine 10.6.xにインポートするか、Liveルールを導入すると、ルールに構文エラーが含まれている場合があります。そのようなルールを実行すると、次のようなエラー メッセージが表示され失敗します。「Error occured while fetching data from source "Concentrator - Concentrator [10.0.0.0]'. Error details: rule syntax error: expecting <IPv4 address> here: "'172.15.0.0'|| eth.src=00:13:C3:3B:BE:00)"
表示されるエラー メッセージに基づいてルール構文を修正するか、またはコア デバイスの動作を非厳格モード(deprecatedモード)に切り替える必要があります。
例: 
メタ タイプがテキストの場合、値を引用符で囲みます。例:username = 'user1'

You are here
Table of Contents > レポートの概要 > トラブルシューティング

Attachments

    Outcomes