Warnmeldungen: Troubleshooting für ESA

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Abschnitt werden häufig vorkommende Probleme beschrieben, die bei der Verwendung von ESA auftreten können, und generelle Lösungen für diese Probleme vorgeschlagen.

Troubleshooting bei ESA-Services

                              
ProblemMögliche UrsachenLösungen

Im NetWitness Suite Dashboard ist der ESA-Service rot markiert, um darauf hinzuweisen, dass er offline ist.

In der Ansicht Konfigurieren > ESA-Regeln wird die folgende Meldung angezeigt: „Der Service ist entweder offline oder nicht erreichbar.“

Verschiedene

Wenn ein ESA-Service offline ist, kann dies viele Ursachen haben. Häufig liegt es jedoch daran, dass eine von Ihnen erstellte Regel zu viel Arbeitsspeicher benötigt und der ESA-Service dadurch fehlschlägt. Informationen zur Behebung des Problems finden Sie unter Schritte zur Behebung von Speicherproblemen, wenn ein ESA-Service offline ist.

Andere häufige Ursachen sind die Blockierung der Verbindung zwischen ESA und NetWitness Suite durch eine Firewall oder ein Ausfall des Computers mit dem ESA-Service.  

  

So starten Sie ESA-Services:

Klicken Sie in ADMIN > Services auf das Aktionen-Symbol Symbol „Aktionen“ für den ESA-Service und wählen Sie Starten aus.

Falls der ESA-Service in einer Dauerschleife angehalten und von Neuem gestartet wird, bitten Sie den Customer Service, die Services wieder zum Starten zu bringen.

Nach einem kürzlich erfolgten Upgrade ist der ESA-Service im NetWitness Suite Dashboard rot markiert, um darauf hinzuweisen, dass er offline ist.

In der Ansicht Konfigurieren > ESA-Regeln wird die folgende Meldung angezeigt: „Der Service ist entweder offline oder nicht erreichbar.“

KonfigurationsproblemeFalls Sie Ihr System vor Kurzem aktualisiert haben, ist Ihnen vielleicht ein Konfigurationsfehler unterlaufen. Wählen Sie unter  ADMIN > Services Ihren ESA-Service aus und klicken Sie auf Service bearbeiten. Klicken Sie im Feld „Service bearbeiten“ auf „Verbindung testen“. Wenn keine Verbindung hergestellt werden kann, liegt wahrscheinlich ein Konfigurationsfehler vor. Versuchen Sie, den Konfigurationsfehler zu beheben, und überprüfen Sie die Verbindung erneut. 
Der ESA-Service wird offenbar langsam ausgeführt.KonfigurationsproblemeSie können die Performance möglicherweise steigern, indem Sie den Puffer ändern (der Standardwert ist 1048576 Byte) oder die TCP-Einstellung auf „TCPNoDelay“ festlegen, um eine Verzögerung beim Empfang von TPC Acks (Acknowledgments) zu verhindern. Sie können diese Einstellungen (readBufferSize und tcpNoDelay) in der Exploreransicht unter
Workflow/Source/nextgenAggregation ändern.

Troubleshooting bei RSA Live-Regeln für ESA

                    
ProblemMögliche UrsachenLösungen
Ich habe eine Gruppe von Regeln aus RSA Live importiert und nun stürzt mein ESA-Service ab. Warum?Möglicherweise haben Sie die Parameter für die RSA Live-Regeln nicht konfiguriert, um sie auf Ihre Umgebung abzustimmen. 

Zu jeder Regel in RSA Live gehört eine Beschreibung, die die zu konfigurierenden Parameter sowie die umgebungsspezifischen Voraussetzungen enthält. Überprüfen Sie in dieser Beschreibung, ob die Regel für Ihre Umgebung korrekt ist.

Damit gewährleistet ist, dass sichere Regeln für Ihre Umgebung bereitgestellt werden, konfigurieren Sie neue Regeln zunächst als Testregeln, um sie in Ihrer Umgebung zu testen. Testregeln sind eine Vorsichtsmaßnahme zum Testen neuer Regeln.  Einzelheiten hierzu finden Sie unter Bereitstellen von Regeln als Testregeln.

Ich habe eine Gruppe von Regeln aus RSA Live importiert. Sie wurden zwar ohne Fehler bereitgestellt, wurden aber später deaktiviert.

Nicht alle RSA Live-Regeln passen in jede Umgebung. Möglicherweise verfügen Sie nicht über die korrekten Metadaten in Ihrer ESA, um die Regel auszuführen.

Sie können überprüfen, ob eine Regel deaktiviert wurde, indem Sie zu Konfigurieren > ESA-Regeln > Services > Statistik für bereitgestellte Regeln wechseln.  Wenn die Regel deaktiviert ist, wird das grüne Symbol neben der Regel nicht angezeigt. 

 Wenn eine Regel korrekt bereitgestellt, jedoch deaktiviert wurde, prüfen Sie die Protokolle auf Ausnahmen in Bezug auf die Regel. Prüfen Sie insbesondere, ob die Regeln aufgrund von fehlenden Metadaten deaktiviert wurden. Gehen Sie dazu zu ADMIN > Services, wählen Sie Ihren ESA-Service und dann Aktionen-Symbol > Ansicht > Protokolle aus.

Suchen Sie dann nach einer Meldung ähnlich der Folgenden:

"Property named ‘<meta_name>' is not valid in any stream"

Es könnte z. B. Folgendes angezeigt werden:

Failed to validate filter expression '(medium=1 and streams=2 or medium=3...(238 chars)': Property named 'tcp_flags_seen' is not valid in any stream

Wenn eine ähnliche Meldung angezeigt wird, müssen Sie dem Log Decoder oder Concentrator möglicherweise einen benutzerdefinierten Metaschlüssel hinzufügen. Befolgen Sie dazu die Anweisungen unter „Erstellen benutzerdefinierter Metaschlüssel mithilfe benutzerdefinierter Feeds“ im Konfigurationsleitfaden für Decoder und Log Decoder.

Troubleshooting für Bereitstellungen

               
ProblemMögliche UrsachenLösungen
Ich habe die Regel erstellt und die Syntax überprüft. Die Regel sah korrekt aus. Als ich die Regel bereitstellen wollte, trat ein Fehler auf. Warum?Möglicherweise verfügen Sie nicht über die korrekten Metadaten zur Bereitstellung der Regel. Überprüfen Sie die Metaschlüsselverweise. Möglicherweise verfügen Sie nicht über die korrekten Metadaten zur Bereitstellung der Regel. 

Troubleshooting bei Regeln

                    
ProblemMögliche UrsachenLösungen
Ich habe (über die Registerkarten Regelerstellung oder Erweiterte EPL-Regel) eine benutzerdefinierte Regel erstellt, die jedoch keine Aktion auslöst. Warum?Möglicherweise bestehen Verbindungsprobleme.

Überprüfen Sie die Statistik „Angebotene Rate“ auf der Registerkarte Konfigurieren > ESA-Regeln > Services.

Ist die angebotene Rate gleich null, empfängt der ESA-Service keine Daten von Concentrators. Überprüfen Sie die Verbindung des Concentrator. Gehen Sie zu ADMINServices, wählen Sie den ESA-Service und dann Ansicht > Konfigurieren aus. Stellen Sie sicher, dass der Concentrator aktiviert ist. Wählen Sie den Concentrator aus und klicken Sie auf Verbindung testen.

Wenn die angebotene Rate nicht gleich null ist, stimmen wahrscheinlich der in der Regel angegebene Metaschlüsselname und -typ nicht mit dem Metaschlüssel in Ereignissen überein. Überprüfen Sie die Gültigkeit des in der Regel angegebenen Metaschlüsselnamens und -typs, indem Sie auf der Registerkarte Konfigurieren > ESA-Regeln > Einstellungen nach dem Namen des Metaschlüssels suchen (Metaschlüssel-Verweissuche).

 Möglicherweise besteht ein Problem mit der Regel.

Falls nur eine bestimmte Regel keine Aktionen auslöst, rufen Sie Konfigurieren > ESA-Regeln > Services auf, um festzustellen, ob die Regel deaktiviert wurde. Bei einer deaktivierten Regel wird im Bereich Statistik für bereitgestellte Regeln eine durchsichtige Schaltfläche „Aktiviert“ anstelle einer grünen Schaltfläche „Aktiviert“ angezeigt.

Sie können auch das Feld „Übereinstimmende Ereignisse“ überprüfen. Gehen Sie zu Konfigurieren > ESA-RegelnServices. Dort wird in der Spalte Übereinstimmende Ereignisse die Anzahl der übereinstimmenden Ereignisse angezeigt.

Wenn keine übereinstimmenden Ereignisse angezeigt werden, überprüfen Sie die Logik Ihrer Regel auf Fehler. Beispiel: Überprüfen Sie die Syntax auf Fehler bei der Groß- und Kleinschreibung und überprüfen Sie das Zeitfenster. Wenn die Regel immer noch nicht funktioniert, ziehen Sie eine Vereinfachung der Logik der Regel in Betracht, um herauszufinden ob sie in einer weniger komplexen Version funktioniert. 

Schritte zur Behebung von Speicherproblemen, wenn ein ESA-Service offline ist

Schritt 1: Überprüfen, ob der Host ausgeführt wird

Vergewissern Sie sich als ersten Schritt zum Troubleshooting, dass der Host ausgeführt wird. Gehen Sie dazu zu ADMIN> HOSTS. Wenn der Host nicht verfügbar ist, werden die Systemparameter nicht angezeigt (die Aktualisierung der Hostinformationen kann jedoch manchmal etwas dauern), Services wird rot markiert und im Feld Updates wird eine Fehlermeldung angezeigt. 

Abbildung der Ansicht „Hosts“ mit einer Fehlermeldung in Rot

Falls der Host nicht ausgeführt wird, bitten Sie den NetWitness Suite Administrator, ihn von Neuem zu starten. Andernfalls fahren Sie mit Schritt 2 fort. 

Schritt 2: Anzeigen von detaillierten Statistikdaten in „Integrität und Zustand“

Wenn Sie sicher sind, dass der ESA-Service ausgefallen ist, können Sie „Integrität und Zustand“ aufrufen, um festzustellen, wo möglicherweise Probleme aufgetreten sind. Das häufigste Problem ist, dass der ESA-Service Arbeitsspeicher-Schwellenwerte überschreitet, was ein Stoppen oder Fehlschlagen des Services zur Folge hat.

  1. Rufen Sie ADMIN > Integrität und Zustand > Alarme auf, um festzustellen, ob der ESA-Service Alarme ausgelöst hat. Suchen Sie nach folgenden Alarmen:

    • ESA-Gesamtspeicherauslastung > 85 %
    • ESA-Gesamtspeicherauslastung > 95 %
    • ESA-Service angehalten
  2. Gehen Sie zu ADMIN > Integrität und Zustand > Systemstatistiken Browser, um die Speichermetriken für die Performance jeder Regel zu sehen. Um die Kennzahlen anzuzeigen, geben Sie Folgendes ein:

                   
    Host KomponenteKategorie
    <Ihr Host>Event Stream AnalysisESA-Metriken

    Der Systemstatistikbrowser, in dem Speicherkennzahlen in den Spalten „Wert“ und „Verlaufsdiagramm“ angezeigt werden

    Der Arbeitsspeicher für jede Regel wird in der Spalte Wert angezeigt und der Wert wird in Byte angezeigt. Sie können eine Verlaufsansicht des Speicherverbrauchs in der Spalte Verlaufsdiagramm anzeigen. 

    ESA-Verlaufsdiagramm mit der Speichernutzung von ESA-Regeln

  3. Navigieren Sie zu ADMIN > Integrität und Zustand > Systemstatistikbrowser, um Details zur ESA-Performance anzuzeigen. Wählen Sie Ihren Host aus und verwenden Sie diese Filter zum Anzeigen der folgenden Statistikdaten:

                                                                               
    Host KomponenteKategorieStatistikBeispiel
    <Ihr Host>HostSysteminformationenCPU-Auslastung1,08 %
    <Ihr Host>HostSysteminformationenArbeitsspeicherauslastung45,43 %
    <Ihr Host>HostSysteminformationenBelegter Arbeitsspeicher7,08 GB
    <Ihr Host>HostSysteminformationenGesamtspeicher15,58 GB
    <Ihr Host>HostSysteminformationenUptime77758, 1 Woche, 2 Tage
    <Ihr Host>Event Stream AnalysisProzessinformationenArbeitsspeicherauslastung7,07 GB
    <Ihr Host>Event Stream AnalysisProzessinformationenCPU-Auslastung0,2 %
    <Ihr Host>Event Stream AnalysisJVM.MemoryallFestgelegte Heap-Arbeitsspeicherauslastung 8,0 GB
    <Ihr Host>Event Stream AnalysisESA-MetrikenESA-Gesamtspeichernutzung %4,64 %

    Beispiel für Systemstatistikbrowser

Falls ein Problem mit der Arbeitsspeicher- oder CPU-Auslastung besteht, fahren Sie mit Schritt 3 fort. 

Schritt 3: Erneutes Starten der ESA-Services

  1. Klicken Sie in ADMIN > Services auf das Aktionen-Symbol Symbol „Aktionen“ für den ESA-Service und wählen Sie Starten aus. 
  2. Kehren Sie zum ESA-Service zurück, um festzustellen, welche Regeln Speicherprobleme verursacht haben. 

Falls der ESA-Service in einer Dauerschleife angehalten und von Neuem gestartet wird, bitten Sie den Customer Service, die Services wieder zum Starten zu bringen.

Wenn Sie den ESA-Service ohne Herunterfahren starten können, fahren Sie mit Schritt 4 fort.

Schritt 4: Überprüfen der Menge an Warnmeldungen und Ereignissen

Wenn Sie den ESA-Service erneut starten können, ohne dass er sofort wieder heruntergefahren wird, können Sie in den Regelstatistiken überprüfen, welche Regeln zu viele Ressourcen verbrauchen. Gelegentlich schlagen ESA-Services fehl, weil eine Regel zu viele Warnmeldungen erzeugt oder mit zu vielen Ereignissen übereinstimmt. Suchen Sie nach solchen Problemen, wenn Sie ermittelt haben, dass der Ausfall Ihres ESA-Services durch Speicherprobleme verursacht wird. 

Anzeigen von Warnmeldungszusammenfassungen

Regeln, die zu viele Warnmeldungen erzeugen, können das System überfordern und zum Ausfall oder Neustart führen.  Um Zusammenfassungen von Warnmeldungen anzuzeigen, rufen Sie Reagieren > Warnmeldungen auf. Wählen Sie im Bereich Filter auf der linken Seite im Abschnitt WARNMELDUNGSNAMEN den Namen der Warnmeldung für die Regel aus. Die Anzahl der Warnmeldungen mit diesem Namen wird am unteren Rand der Ergebnisse der Warnmeldungsliste angezeigt. Wenn die Anzahl bei einer bestimmten Regel signifikant hoch ist, deaktivieren Sie die Regel und formulieren Sie sie so um, dass sie effizienter funktioniert.

Ansicht mit den Reaktionen auf Warnmeldungen, in der die Anzahl der Warnmeldungen für eine ausgewählte Regel angezeigt wird

Um den Filter zu löschen, klicken Sie auf Filter zurücksetzen.

Anzeigen der übereinstimmenden Ereignisse

Manchmal stimmt eine Regel mit zu vielen Ereignissen überein, wodurch übermäßig viel Speicher verbraucht wird. Dies ist typischerweise der Fall, wenn Sie ein weites Ereigniszeitfenster definieren, in dem sich eine große Anzahl von Ereignissen ansammeln kann, ohne dass eine Warnmeldung ausgelöst wird.  Dies ist problematisch, da jedes Ereignis im Arbeitsspeicher gespeichert wird, während die Regel auf die Auslösung der Warnmeldung wartet. Dies können Sie unter Konfigurieren > ESA-Regeln > Services überprüfen. Dort wird in der Spalte Übereinstimmende Ereignisse die Anzahl der übereinstimmenden Ereignisse angezeigt. Wenn eine Regel eine hohe Anzahl übereinstimmender Ereignisse aufweist, sollten Sie untersuchen, ob Sie die Regel effizienter formulieren können.

ESA hohe übereinstimmende Ereignisse

Schritt 5: Deaktivieren und Reparieren der Regel, die Probleme verursacht

Nachdem Sie ermittelt haben, welche Regeln überarbeitet werden müssen, deaktivieren Sie diese undformulieren Sie sie so um, dass sie nicht mehr so viele Warnmeldungen oder Ereignisse erzeugen.Tipps zum Formulieren effizienter Regeln finden Sie unter Best Practices.

Deaktivieren von Regeln

  1. Rufen Sie zum Deaktivieren von Regeln Konfigurieren > ESA-Regeln > Services auf und wählen Sie im Feld Statistik für bereitgestellte Regeln die zu deaktivierenden Regeln aus.
  2. Wählen Sie Deaktivieren aus, um die Regeln zu deaktivieren. 

Bearbeiten von Regeln

  1. Wenn Sie Regeln korrigieren möchten, rufen Sie Konfigurieren > ESA-Regeln > Regeln > Regelbibliothek auf. Wählen Sie die zu bearbeitende Regel aus und klicken Sie auf das Symbol „Aktionen“Symbol „Aktionen“.
  2. Wählen Sie Bearbeiten aus.
  3. Formulieren Sie die Regel effizienter. Anweisungen zum Erstellen von Regeln erhalten Sie unter Hinzufügen von Regeln zur Regelbibliothek
  4. Wenn Sie mit der Formulierung der Regel zufrieden sind, können Sie sie als Testregel speichern, um sicherzustellen, dass die Performance der ESA-Services nicht durch Speicherprobleme beeinträchtigt wird. Führen Sie dazu die Schritte aus, die unter Verwenden von Testregeln aufgeführt wird.

Aktivieren von Regeln

  1. Rufen Sie zum Aktivieren von Regeln Konfigurieren > ESA-Regeln > Services auf und wählen Sie im Feld Statistik für bereitgestellte Regeln die zu aktivierenden Regeln aus.
  2. Wählen Sie Aktivieren aus, um die Regeln zu aktivieren. 

(Optional) Überprüfen der ESA-Protokolldateien auf weitere Informationen

Wenn Sie feststellen, dass Services ausfallen, und bereits einige mögliche Ursachen für den Systemausfall untersucht haben, sollten Sie überprüfen, ob der Service in einer Dauerschleife gestoppt und von Neuem gestartet wird.  Rufen Sie dazu die ESA-Protokolle auf. Wählen Sie in der Ansicht ADMIN > Services den ESA-Service und dann Symbol „Aktionen“ > Ansicht > Protokolle aus. 

Falls Sie über die NetWitness Suite-Benutzeroberfläche nicht auf die ESA-Protokolle zugreifen können, können Sie sich über SSH im System einloggen und Folgendes eingeben:opt/rsa/esa/logs/esa.log.

Previous Topic:Best Practices
You are here
Table of Contents > Erste Schritte mit ESA > Troubleshooting für ESA

Attachments

    Outcomes