ESM:ログ メッセージの重複

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

同じイベント ソースのメッセージを複数のLog Collectorで収集している可能性があります。このトピックでは、この問題を取り上げて、トラブルシューティングを行う方法について説明します。

詳細

ESM Aggregatorが同じイベント ソースの同じイベントを複数のLog Collectorで検出すると、次のような警告が表示されます。

2015-03-17 15:25:29,221 [pool-1-thread-6] WARN  com.rsa.smc.esm.groups.events.listeners.EsmStatEventListener -
192.0.2.21-apache had a previous event only 0 seconds ago; likely because it exists on multiple log collectors

この警告メッセージは、192.0.2.22-apacheイベント ソースが複数のホストで収集されていることを意味します。ホストのリストは、[管理]>[イベント ソース]ビューの[管理]タブの[Log Collector]列で確認できます。

重複メッセージのクリーンアップ

  1. NetWitness SuiteおよびLog Decoderでcollectdを停止します。

    Service collectd stop

  2. NetWitness Suite上にあるESM Aggregator永続ファイルを削除します。

    rm /var/lib/netwitness/collectd/ESMAggregator

  3. Log Decoderをリセットします。
    1. Log Decoder REST(http://<LD_IP_Address>:50102)にアクセスします。
    2. decoder(*)]をクリックして、Decoderのプロパティを表示します。
    3. [Properties]ドロップダウン メニューで、[reset]を選択し、[Send]をクリックします。
  4. [イベント ソース]の[管理]タブにある[イベント ソース]パネルで、すべてのイベント ソースを選択し、-をクリックして削除します。
You are here
Table of Contents > ESM:トラブルシューティング > ESM:ログ メッセージの重複

Attachments

    Outcomes