CLI: トラブルシューティングに使用するコマンド

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

NwConsoleでは、Security Analyticsのトラブルシューティングに役立つ次のコマンドが提供されます。

  • whatIsWrong:サービスの構成、統計情報、指定した過去の期間の障害および警告に関するログのスナップショットを提供します。
  • dbcheck:データベース ファイルの整合性チェックを実行します。
  • topQuery:実行に過度に長い時間がかかるクエリーをピンポイントに特定することを支援します。  
  • netbytes:現在のホストのネットワーク接続をトラブルシューティングします。 
  • netspeed:NwConsoleを実行しているホスト コンピューターとloginコマンドを使用してこのホスト コンピューターに接続しているリモート コンピューター間の接続をトラブルシューティングします。 

以降のセクションとNwConsoleのヘルプおよびトピック情報(マニュアル)ページでは、追加情報が提供されます。

whatIsWrong

サービスが正常に動作していない場合は、通常、サービスによって作成されたログのどこかに理由が記載されています。whatIsWrongコンソール コマンドを使用して、サービスの構成、統計情報、指定した過去の期間(デフォルトでは過去7日間)の障害および警告に関するログ(および周囲のコンテキスト ログ)のスナップショットを取得します。whatIsWrongを実行した結果を、指定した平文ファイルに保存できます。このコマンドの出力は、サービスの現在の問題を特定することに役立ちます。

WhatIsWrongコンソール コマンドを使用するには、loginコマンドを使ってトラブルシュートするサービスにログオンし、whatIsWrongコマンドを実行します。

ヒント:help whatIsWrongを使用して、イベントを調べる日数/時間数、結果の格納先のパス名、結果ファイルを付加または上書きするかどうか、長いフィールドに使用する区切り文字など、使用できるすべてのパラメーターを表示します。コンテキストの検索に使用する最新のログの数を制限したり、警告/障害ログごとに取得するコンテキスト ログの数を指定したりできます。

コア サービスのログのリクエストを受信した場合は常に、最初にwhatIsWrongコマンドを実行し、収集された結果を起点として使用する必要があります。

dbcheck

dbcheckコマンドを使用して、データベース ファイルの整合性チェック(セッション、メタ、パケット、ログ、統計情報などの)を実行します。データベース ファイルの整合性のエラーによりサービスが開始できない場合、整合性チェックが必要になることがあります。通常、サービスは自動的にリカバリし、起動時に整合性の問題が修正されますが、この機能が動作しない場合があります。Decoderのようなサービスが開始されると、通常、迅速な起動のために、ほとんどのデータベース ファイルは、読み取られたり、開かれたりしません。ほとんどのファイルはConsistent(コンシステント)状態にあると想定され、最近書き込まれたファイルの大まかなチェックのみが実行されます。問題がある場合は、dbcheckでこれらの整合性チェックを実行できますが、サービスが実行されていない場合にのみチェックを実行できます。 

注意:サービスが実行されているときに、このコマンドの実行を試みないでください。

たとえば、単一のファイルをチェックできます。

dbcheck /var/netwitness/decoder/packetdb/packet-000000001.nwpdb   

ワイルドカードを使用して、複数のファイルをチェックすることもできます。

dbcheck /var/netwitness/decoder/metadb/meta-00000002*.nwmdb

topQuery

topQueryコマンドは、実行に過度に長い時間がかかるクエリーをピンポイントに特定することを支援します。このコマンドは、サービスの監査ログを解析し、指定した期間で実行時間が最も長い上位N個のクエリーを返します。 

このコマンドを実行する最も簡単な方法は、サービス(通常、BrokerまたはConcentrator)にログオンし、topQueryと入力することです。デフォルトの動作では、過去7日間で実行時間が最も長い上位100個のクエリーが返されます。 

パラメーターの一覧を表示するには、help topQueryと入力します。追加の例と説明は、次のとおりです。

topQuery hours=12 top=10

このコマンドは、過去12時間の上位10個のクエリーを返します。

topQuery time1="2015-03-01 00:00:00" time2="2015-03-14 00:00:00"

このコマンドは、2015年3月1日から2015年3月14日までの上位100個のクエリーを返します。時間はUTC時間であり、ローカル時間ではありません。

topQuery input=/var/log/messages output=/tmp/top20.txt top=20 user=sauser1

このコマンドはサービスに接続する代わりに、過去7日間の上位20個のクエリーのシステムログ監査メッセージを解析しますが、ユーザーsauser1が実行したクエリーのみが対象になります。上位20個のクエリーは、コンソール画面ではなく、/tmp/top20.txtに書き込まれます。パラメーター ユーザーはregexであるため、user="(sauser1|sauser2)"のように記述することにより、複数のユーザー名を指定できます。

netbytes

netbytesコマンドは、現在のホストのネットワーク接続のトラブルシューティングに非常に役立ちます。このコマンドは、すべてのネットワーク インターフェイスの送信および受信に関する連続した統計情報を表示します。このコマンドを実行した後、Ctrl-Cキーを押して、このコマンドを終了する必要があります。このとき、NwConsoleも終了します。

netspeed

netspeedコマンドを使用して、NwConsoleを実行しているホスト コンピューターとloginコマンドを介してこのホスト コンピューターに接続しているリモート コンピューター間の接続をトラブルシューティングします。転送するバイト数と接続の速度を指定する必要があります。netspeedコマンドは、ネットワークに関連している可能性のある集計のパフォーマンス問題のトラブルシューティングに非常に役立ちます。

login somedecoder:50004 admin ...

netspeed transfer=4g

ConcentratorとDecoder間の接続のトラブルシューティングを実行するには、ConcentratorにSSHで接続し、NwConsoleを実行してから、Decoderにログオンし、netspeedを実行します。コマンドからの出力は、最大ネットワーク スループットを示します。ネットワーク スループットが標準の1 Gbpsインタフェースよりも大幅に下回る場合、ネットワークの問題が発生している可能性があります。

You are here
Table of Contents > RSA Security Analytics Console > トラブルシューティングに使用するコマンド

Attachments

    Outcomes