Alertes : Dépanner le service ESA

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

Cette rubrique décrit les problèmes courants qui peuvent survenir lors de l'utilisation d'ESA, et propose des solutions usuelles à ces problèmes.

Résoudre les problèmes liés aux services ESA

                              
ProblèmeCauses possiblesSolutions

Dans le tableau de bord NetWitness Suite, le service ESA s'affiche en rouge pour indiquer qu'il est hors ligne.

Dans la vue CONFIGURER > Règles ESA, le message suivant apparaît : « Le service est hors ligne ou inaccessible. »

plusieurs pages

Lorsqu'un service ESA est hors ligne, cela peut être dû à de nombreuses causes. Cependant, bien souvent, le problème vient du fait que vous avez créé une règle qui utilise trop de mémoire, ce qui provoque l'échec du service ESA. Pour résoudre ce problème, reportez-vous à Étapes de résolution des problèmes de mémoire d'un service ESA hors ligne.

Parmi les autres causes usuelles, il est possible que votre pare-feu bloque la connexion entre ESA et NetWitness Suite, ou que la machine hébergeant le service ESA soit en panne.  

  

Pour activer les services ESA :

Dans ADMIN > Services, sélectionnez l'icône Actions Icône Actions pour votre service ESA, puis choisissez Démarrer.

Si votre service ESA s'arrête et redémarre en boucle, vous pouvez avoir à appeler le Support Clients pour faire redémarrer les services.

Après une mise à niveau effectuée récemment, le service ESA s'affiche en rouge dans le tableau de bord NetWitness Suite pour indiquer qu'il est hors ligne.

Dans la vue CONFIGURER > Règles ESA, le message suivant apparaît : « Le service est hors ligne ou inaccessible. »

Problèmes liés à la configurationSi votre système a été mis à niveau récemment, vous avez peutêtre commis une erreur de configuration. Sous ADMIN > Services, sélectionnez votre service ESA, puis cliquez sur Modifier le service. Dans le champ Modifier le service, cliquez sur Tester la connexion. Si la connexion n'aboutit pas, cela est dû probablement à une erreur de configuration de votre part. Tentez de corriger votre erreur de configuration, puis réessayez. 
L'exécution du service ESA semble lente.Problèmes liés à la configurationVous pouvez améliorer les performances en modifiant la mémoire tampon (la valeur par défaut est 1 048 576 octets), ou en définissant le paramètre TCP sur TCPNoDelay pour empêcher le retard de réception des accusés TPC. Vous pouvez modifier ces paramètres ( readBufferSize et tcpNoDelay) en accédant à
/Workflow/Source/nextgenAggregation dans la vue Explorer.

Résoudre les problèmes liés aux règles RSA Live pour ESA

                    
ProblèmeCauses possiblesSolutions
J'ai importé un groupe de règles à partir de RSA Live, et maintenant mon service ESA se bloque. Pourquoi ?Vous n'avez peutêtre pas configuré les paramètres nécessaires pour rendre la règle RSA Live compatible avec votre environnement. 

Chaque règle RSA Live comporte une description qui inclut les paramètres à configurer et les conditions préalables pour votre environnement. Consultez cette description pour déterminer si la règle est appropriée à votre environnement.

Pour garantir le déploiement des règles en toute sécurité dans votre environnement, configurez les nouvelles règles en tant que règles d'évaluation afin de les tester dans votre environnement. Grâce aux règles d'évaluation, vous pouvez tester les nouvelles règles sans danger.  Pour plus d'informations sur ce point, reportezvous à Déployer des règles en tant que règles d'évaluation.

J'ai importé un groupe de règles à partir de RSA Live et, alors que ces règles avaient été déployées sans erreur, elles ont été désactivées ensuite.

Les règles RSA Live ne sont pas toutes destinées à chaque environnement. Vous n'avez peut-être pas les métas correctes dans votre service ESA pour exécuter la règle.

Vous pouvez vérifier qu'une règle a été désactivée en accédant à CONFIGURER > Règles ESA > Services > Statistiques de règles déployées.  Si la règle est désactivée, l'icône verte ne s'affiche pas en regard de celle-ci. 

 Si une règle déployée correctement a été désactivée, recherchez les exceptions liées à cette règle dans les logs. Plus précisément, vérifiez si les règles ont été désactivées à cause de métadonnées manquantes. Pour ce faire, accédez à ADMIN > Services, sélectionnez votre service ESA, puis Icône Actions > Vue > Logs.

Recherchez ensuite un message similaire au message suivant :

"Property named ‘<meta_name>' is not valid in any stream"

Par exemple, vous pouvez voir :

Failed to validate filter expression '(medium=1 and streams=2 or medium=3...(238 chars)': Property named 'tcp_flags_seen' is not valid in any stream

Si un message similaire s'affiche, vous devrez peut-être ajouter une clé méta personnalisée au Log Decoder ou Concentrator. Pour ce faire, suivez ces instructions : « Créer des clés méta personnalisées à l'aide d'un feed personnalisé » dans le Guide de configuration de Decoder et Log Decoder.

Résoudre les problèmes de déploiement

               
ProblèmeCauses possiblesSolutions
J'ai créé une règle, et j'ai vérifié la syntaxe. La règle semblait correcte. Lorsque j'ai déployé la règle, j'ai obtenu une erreur. Pourquoi ?Vous n'avez peut-être pas de méta correct pour déployer la règle. Consultez les références des clés méta. Vous n'avez peut-être pas de méta correct pour déployer la règle. 

Résoudre les problèmes liés aux règles

                    
ProblèmeCauses possiblesSolutions
J'ai créé une règle personnalisée (via le Générateur de règles ou l'EPL avancé), et ma règle ne se déclenche pas. Pourquoi ?Vous avez peutêtre des problèmes de connectivité.

Vérifiez la statistique « Taux fourni » sous l'onglet CONFIGURER > Règles ESA > Services.

Si le taux fourni est égal à zéro, cela signifie que le service ESA ne reçoit pas de données de la part des composants Concentrator. Validez la connectivité du Concentrator. Accédez à ADMINServices, sélectionnez votre ESA, puis cliquez sur Vue > Configuration. Assurez-vous que le concentrator est activé. Sélectionnez le concentrator, puis cliquez sur Tester la connexion.

Si le taux fourni n'est pas égal à zéro, le nom et le type de clé méta utilisés dans la règle ne correspondent probablement pas aux valeurs de la clé méta présente dans les événements. Vérifiez la validité du nom et du type de clé méta utilisés dans la règle en recherchant le nom de la clé méta sous l'onglet CONFIGURER > Règles ESA > Paramètres (recherche des références de clés méta).

 La règle pose peutêtre un problème.

Si une règle spécifique ne se lance pas, accédez à CONFIGURER > Règles ESA > Services afin de voir si la règle a été désactivée. Dans la rubrique Statistiques de règles déployées, une règle désactivée affiche un bouton d'activation vide (au lieu du bouton d'activation vert).

Vous pouvez également vérifier le champ Correspondances d'événements. Accédez à CONFIGURER > Règles ESAServices. Ensuite, vous pouvez voir le nombre d'événements associés dans la colonne Correspondances d'événements.

En l'absence de correspondances d'événements, assurez-vous que la logique de votre règle ne comporte pas d'erreurs. Par exemple, recherchez les erreurs de majuscules ou de minuscules dans la syntaxe, puis vérifiez la période. Si la règle ne se déclenche toujours pas, simplifiez sa logique pour voir si elle se déclenche en étant moins complexe. 

Étapes de résolution des problèmes de mémoire d'un service ESA hors ligne

Étape 1 : Vérifier que votre hôte est en cours d'exécution

La première étape de résolution des problèmes consiste à vérifier si votre hôte est en cours d'exécution. Pour ce faire, accédez à ADMIN> HÔTES. Si l'hôte est en panne, les paramètres du système ne s'affichent pas (la mise à jour des informations de l'hôte peut parfois être retardée), les Services s'affichent en rouge, et le champ Mises à jour affiche un message d'erreur. 

Image de la vue Hôtes affichant un message d’erreur en rouge

Si l'hôte est en panne, contactez votre administrateur NetWitness Suite pour le redémarrer. Sinon, passez à l'étape 2. 

Étape 2 : Afficher les statistiques détaillées dans Intégrité

Une fois que vous êtes sûr que le service ESA est en panne, accédez à Intégrité pour voir où se produisent les problèmes potentiels. Le plus souvent, le problème vient du fait que le service ESA dépasse les seuils de mémoire, ce qui entraîne l'arrêt ou l'échec de son exécution.

  1. Accédez à ADMIN > Intégrité > Alarmes pour voir si ESA a déclenché des alarmes. Recherchez les alarmes suivantes :

    • Utilisation de la mémoire totale par ESA > 85 %
    • Utilisation de la mémoire totale par ESA > 95 %
    • Service ESA arrêté
  2. Allez à ADMIN > Intégrité > Navigateur Stat. système pour afficher les metrics de mémoire des performances de chaque règle. Pour afficher les métriques, renseignez les champs suivants :

                   
    Hôte ComposantCatégorie
    <votre hôte>Event Stream Analysisesa-metrics

    Le Navigateur Stat. système affichant les metrics de mémoire dans les colonnes Valeur et le Graphique de l’historique

    La mémoire de chaque règle est affichée dans la colonne Valeur et la valeur apparaît en octets. Vous pouvez afficher une vue historique de l'utilisation de la mémoire dans la colonne Graphique historique

    Graphique de l’historique ESA indiquant l’utilisation de la mémoire des règles ESA

  3. Accédez à ADMIN > Intégrité > Navigateur Stat. Système pour voir le détail des performances du service ESA. Sélectionnez votre hôte, puis utilisez les filtres suivants pour afficher les statistiques ciaprès :

                                                                               
    Hôte ComposantCatégorieStatistiquesExemple
    <votre hôte>HôteSystemInfoUtilisation du CPU1,08 %
    <votre hôte>HôteSystemInfoUtilisation de mémoire45,43 %
    <votre hôte>HôteSystemInfoMémoire utilisée7,08 Go
    <votre hôte>HôteSystemInfoMémoire totale15,58 Go
    <votre hôte>HôteSystemInfoUptime77758, 1 semaine, 2 jours...
    <votre hôte>Event Stream AnalysisProcessInfoUtilisation de mémoire7,07 Go
    <votre hôte>Event Stream AnalysisProcessInfoUtilisation du CPU0,2 %
    <votre hôte>Event Stream AnalysisJVM.MemoryallUtilisation de mémoire par segments validée 8 Go
    <votre hôte>Event Stream AnalysisMétriques ESA% d'utilisation de la mémoire totale par ESA4,64 %

    Exemple de Navigateur Stat. système

Si vous rencontrez un problème d'utilisation de la mémoire ou du CPU, passez à l'étape 3. 

Étape 3 : Activez les services ESA

  1. Dans ADMIN > Services, sélectionnez l'icône Actions Icône Actions du service ESA, puis choisissez Démarrer
  2. Revenez au service ESA pour identifier les règles qui sont à l'origine des problèmes de mémoire. 

Si votre service ESA s'arrête et redémarre en boucle, vous pouvez avoir à appeler le Support Clients pour faire redémarrer les services.

Si vous pouvez démarrer le service ESA sans qu'il s'arrête, passez à l'étape 4.

Étape 4 : Vérifier le volume d'alertes et d'événements

Une fois que vous êtes parvenu à redémarrer le service ESA sans qu'il s'arrête immédiatement, consultez les statistiques de vos règles pour voir quelles sont celles qui consomment trop de ressources. Parfois, l'exécution des services ESA échoue, car une règle génère un trop grand nombre d'alertes ou d'événements. Vérifiez ces deux aspects, si vous avez déterminé que l'utilisation de la mémoire est bien la cause de l'arrêt du service ESA. 

Afficher les récapitulatifs des alertes

Les règles qui génèrent un volume élevé d'alertes peuvent submerger le système, et entraîner l'échec de son exécution ou provoquer son redémarrage.  Pour afficher les récapitulatifs des alertes, accédez à RÉPONDRE > Alertes. Dans le panneau Filtres à gauche, dans la rubrique NOMS D’ALERTE, sélectionnez le nom de l’alerte pour la règle. Le nombre d’alertes portant le même nom s’affiche au bas des résultats de la liste des alertes. Si le nombre est trop élevé pour une règle spécifique, désactivezla, puis réécrivezla afin de la rendre plus efficace.

Affichage des alertes de réponse indiquant le nombre d’alertes pour une règle sélectionnée

Pour effacer le filtre, cliquez sur Réinitialiser les filtres.

Afficher les correspondances d'événements

Parfois, une règle correspond à un trop grand nombre d'événements, ce qui entraîne une consommation excessive de la mémoire. Cela se produit habituellement si vous créez une période étendue, où un grand nombre d'événements s'accumule sans déclencher d’alerte.  Il s’agit d’un problème puisque chaque événement est stocké en mémoire pendant que la règle attend que l’alerte se déclenche. Pour vérifier ce problème, accédez à CONFIGURER > Règles ESA > Services. À partir de là, vous pouvez voir le nombre d’événements mis en correspondance dans la colonne Correspondances d’événements. Si un grand nombre d'événements correspond à une règle donnée, vous pouvez analyser la règle afin de voir si vous pouvez l'optimiser.

Correspondances d’événements ESA élevées

Étape 5 : Désactiver et réparer la règle à l'origine des problèmes

Une fois que vous avez déterminé les règles à réécrire, désactivez-les et réécrivez-les afin qu'elles ne génèrent pas un volume aussi élevé d'alertes ou d'événements. Pour plus d'informations sur la façon d'écrire des règles plus efficaces, reportez-vous à la rubrique Bonnes pratiques.

Désactiver des règles

  1. Pour désactiver des règles, accédez à CONFIGURER > Règles ESA > Services, puis sélectionnez les règles à désactiver dans le champ Statistiques de règles déployées.
  2. Pour désactiver les règles, sélectionnez Désactiver

Modifier des règles

  1. Pour réparer les règles, accédez à CONFIGURER > Règles ESA > Règles> Bibliothèque de règles. Sélectionnez la règle à modifier, puis cliquez sur l'icône Actions Icône Actions.
  2. Sélectionnez Modifier.
  3. Modifiez la règle pour la rendre plus efficace. Pour obtenir des instructions sur la création des règles, reportezvous à Ajouter des règles à la Bibliothèque de règles
  4. Une fois que vous êtes satisfait de votre règle, vous pouvez l'enregistrer en tant que règle d'évaluation pour vous assurer que les problèmes de mémoire n'affectent pas les performances du service ESA. Pour ce faire, suivez les étapes répertoriées dans la rubrique Utiliser les règles d'évaluation.

Activer des règles

  1. Pour activer des règles, accédez à CONFIGURER > Règles ESA > Services, puis sélectionnez les règles à activer dans le champ Statistiques de règles déployées.
  2. Pour activer les règles, sélectionnez Activer

(Facultatif) Consulter les fichiers log ESA pour plus d'informations

Une fois que vous avez constaté que des services sont à l'arrêt, et que vous avez passé en revue certaines causes possibles de dysfonctionnement du système, vérifiez si ces services ne s'arrêtent pas et ne redémarrent pas en boucle.  Pour ce faire, accédez aux logs ESA. À partir de la vue ADMIN > Services, sélectionnez votre service ESA, puis Icône Actions > Vue > Logs

Si vous ne pouvez pas accéder aux logs ESA à partir de l'interface NetWitness Suite, connectez-vous au système via SSH, puis accédez à opt/rsa/esa/logs/esa.log.

Previous Topic:Bonnes pratiques 
You are here
Table of Contents > Mise en route avec ESA > Dépanner le service ESA

Attachments

    Outcomes