ESM：ログ メッセージの重複

同じイベント ソースのメッセージを複数のLog Collectorで収集している可能性があります。このトピックでは、この問題を取り上げて、トラブルシューティングを行う方法について説明します。

詳細

ESM Aggregatorが同じイベント ソースの同じイベントを複数のLog Collectorで検出すると、次のような警告が表示されます。

2015-03-17 15:25:29,221 [pool-1-thread-6] WARN  com.rsa.smc.esm.groups.events.listeners.EsmStatEventListener -
192.0.2.21-apache had a previous event only 0 seconds ago; likely because it exists on multiple log collectors

この警告メッセージは、192.0.2.22-apacheイベント ソースが複数のホストで収集されていることを意味します。ホストのリストは、［管理］＞［イベント ソース］ビューの［管理］タブの［Log Collector］列で確認できます。

重複メッセージのクリーンアップ

1. NetWitness SuiteおよびLog Decoderでcollectdを停止します。

   Service collectd stop

2. NetWitness Suite上にあるESM Aggregator永続ファイルを削除します。

   rm /var/lib/netwitness/collectd/ESMAggregator

3. Log Decoderをリセットします。
   1. Log Decoder REST（http://<LD_IP_Address>:50102）にアクセスします。
   2. ［decoder(*)］をクリックして、Decoderのプロパティを表示します。
   3. ［Properties］ドロップダウン メニューで、［reset］を選択し、［Send］をクリックします。
4. ［イベント ソース］の［管理］タブにある［イベント ソース］パネルで、すべてのイベント ソースを選択し、-をクリックして削除します。