アラート：ESAのトラブルシューティング

 

このセクションでは、ESAを使用するときに発生する可能性がある一般的な問題について説明し、その問題に対する一般的な解決策を提案します。

ESAサービスのトラブルシューティング

                              

ESAのRSA Liveルールのトラブルシューティング

                    

導入のトラブルシューティング

               

ルールのトラブルシューティング

                    

メモリが原因でESAサービスがオフラインになった場合のトラブルシューティング手順

ステップ1. ホストが稼働中かどうかの検証

トラブルシューティングの最初のステップとして、ホストが稼働していることを確認します。これを実行するには、［管理］＞［ホスト］に移動します。ホストがダウンしている場合、システム パラメータは表示されず（ただし、ホスト情報の更新が遅れている可能性があります）、［サービス］列は赤で表示されます。また、［更新］フィールドにはエラー メッセージが表示されます。 

ホストがダウンしている場合は、NetWitness Suite管理者に連絡して再起動してください。それ以外の場合は、ステップ2に進みます。 

ステップ2. ヘルスモニタで詳細な統計情報を表示

ESAサービスがダウンしていることを確認したら、ヘルスモニタに移動して、潜在的な問題が発生している場所を確認します。最もよくあるのは、ESAサービスがメモリ閾値を超えたことにより停止する、または障害が発生するという問題です。

1. ［管理］＞［ヘルスモニタ］＞［アラーム］に移動して、ESAによってアラームがトリガーされていないかどうかを確認します。次のアラームを探してください。

   • ESA Overall Memory Utilization > 85%
   • ESA Overall Memory Utilization > 95%
   • ESA Service Stopped

2. ［管理］＞［ヘルスモニタ］＞［システム統計ブラウザ］に移動して、各ルールのパフォーマンスのメモリ メトリックを確認します。メトリックを表示するには、フィルタに次の情報を入力します。

                  

   ホスト	コンポーネント	カテゴリ
   <your host>	Event Stream Analysis	esa-metrics

   

   各ルールのメモリが［値］列に表示されます。値はバイト単位で表示されます。［履歴チャート］列には、メモリ使用量の履歴が表示されます。 

   

3. ［管理］＞［ヘルスモニタ］＞［システム統計ブラウザ］に移動して、ESAのパフォーマンスの詳細を確認します。ホストを選択し、次のフィルタを指定して、次の統計情報を表示します。

                                                                              

   ホスト	コンポーネント	カテゴリ	統計情報	例
   <your host>	ホスト	SystemInfo	CPU Utilization	1.08%
   <your host>	ホスト	SystemInfo	Memory Utilization	45.43%
   <your host>	ホスト	SystemInfo	Used Memory	7.08 GB
   <your host>	ホスト	SystemInfo	Total Memory	15.58 GB
   <your host>	ホスト	SystemInfo	Uptime	77758、1週間、2日...
   <your host>	Event Stream Analysis	ProcessInfo	Memory Utilization	7.07 GB
   <your host>	Event Stream Analysis	ProcessInfo	CPU Utilization	0.2%
   <your host>	Event Stream Analysis	JVM.Memory	all	Committed Heap Memory Usage 8.0 GB
   <your host>	Event Stream Analysis	ESA-Metrics	Total ESA Memory Usage %	4.64%

   

メモリまたはCPUの利用率に問題がある場合は、ステップ3に進みます。 

ステップ3. ESAサービスの開始

1. ［管理］＞［サービス］で、ESAサービスのアクション アイコンを選択し、［開始］を選択します。 
2. ESAサービスに戻って、どのルールによってメモリの問題が発生しているかのトラブルシューティングを行います。 

ESAサービスの停止と再開が繰り返される場合は、カスタマー サポートに連絡してください。

シャットダウンすることなくESAサービスを開始できた場合は、ステップ4に進みます。

ステップ4. アラートとイベントのボリュームの確認

ESAサービスがシャットダウンすることなく再開できたら、ルールの統計情報を調べて、どのルールがリソースを過剰に使用しているかを確認します。ルールによって生成されるアラートが多すぎる、またはルールと一致するイベントが多すぎることが原因で、ESAサービスに障害が発生する場合もあります。ESAサービスのシャットダウンの原因がメモリ使用量にあると判断した場合は、この両方の問題を調べます。 

アラート サマリの表示

アラートの量が多すぎるとシステムに負荷がかかり、システムがダウンしたり、再起動したりすることがあります。 アラート サマリを表示するには、［対応］＞［アラート］に移動します。左側の［フィルタ］パネルの［アラート名］セクションで、ルールのアラート名を選択します。その名前のアラートの数が［アラート］リスト結果の下部に表示されます。特定のルールについてアラート数が極端に多い場合は、そのルールを無効にし、より効率的なルールになるよう記述を変更する必要があります。

フィルタをクリアするには、［フィルタのリセット］をクリックします。

一致イベント数の表示

ルールと一致するイベント数が多すぎるために、メモリを使い果たしてしまうことがあります。これは、通常、ルールのイベント ウィンドウが長く、アラートをトリガーしないイベントが大量に蓄積される場合に発生します。 これらは、アラートがトリガーされるのをルールが待っている間に各イベントがメモリに格納されるため問題になります。この問題を確認するには、［構成］＞［ESAルール］＞［サービス］に移動します。［一致イベント数］列で一致するイベントの数を確認できます。特定のルールについて一致イベント数が極端に多い場合は、ルールをさらに詳しく調査して、そのルールを効率化できるかどうかを確認します。

ステップ5. 問題の原因になっているルールの無効化および修正

変更が必要なルールを特定したら、そのルールを無効にして、大量のアラートやイベントを生成しないよう記述を変更します。より効率的なルールを記述するポイントについては、「ベスト プラクティス」を参照してください。

ルールの無効化

1. ルールを無効にするには、［構成］＞［ESAルール］＞［サービス］に移動し、［導入されたルールの統計］フィールドで無効にするルールのチェックボックスを選択します。
2. ［無効化］を選択して、ルールを無効にします。 

ルールの編集

1. ルールを修正するには、［構成］＞［ESAルール］＞［ルール］＞［ルール ライブラリ］に移動します。編集するルールを選択し、［アクション］アイコンをクリックします。
2. ［編集］を選択します。
3. ルールを編集して効率的なルールに変更します。ルールを作成する手順については、「ルール ライブラリへのルールの追加」を参照してください。
4. 納得できるルールになったら、それを評価版ルールとして保存し、メモリの問題が発生してもESAサービスのパフォーマンスに影響を及ぼさないようにします。それには、「評価版ルールの使用」のステップを実行します。

ルールの有効化

1. ルールを有効にするには、［構成］＞［ESAルール］＞［サービス］に移動し、［導入されたルールの統計］フィールドで、有効にするルールを選択します。
2. ［有効化］を選択して、ルールを有効にします。 

（オプション）ESAログ ファイルで詳細を確認

サービスがダウンしていること、およびシステム ダウンの潜在的な原因を検証したら、サービスの停止と再開が繰り返されるかどうかを確認します。 それには、ESAログに移動します。［管理］＞［サービス］ビューで、ESAサービスを選択し、［］＞［表示］＞［ログ］を選択します。 

NetWitness SuiteインタフェースからESAログにアクセスできない場合は、システムにSSH接続し、opt/rsa/esa/logs/esa.logを参照します。