同じイベント ソースのメッセージを複数のLog Collectorで収集している可能性があります。このトピックでは、この問題を取り上げて、トラブルシューティングを行う方法について説明します。
詳細
ESM Aggregatorが同じイベント ソースの同じイベントを複数のLog Collectorで検出すると、次のような警告が表示されます。
2015-03-17 15:25:29,221 [pool-1-thread-6] WARN com.rsa.smc.esm.groups.events.listeners.EsmStatEventListener -
192.0.2.21-apache had a previous event only 0 seconds ago; likely because it exists on multiple log collectors
この警告メッセージは、192.0.2.22-apacheイベント ソースが複数のホストで収集されていることを意味します。ホストのリストは、[管理]>[イベント ソース]ビューの[管理]タブの[Log Collector]列で確認できます。
重複メッセージのクリーンアップ
-
NetWitness PlatformおよびLog Decoderでcollectdを停止します。
Service collectd stop
-
NetWitness Platform上にあるESM Aggregator永続ファイルを削除します。
rm /var/lib/netwitness/collectd/ESMAggregator
- Log Decoderをリセットします。
- Log Decoder REST(
http://<LD_IP_Address>:50102
)にアクセスします。 - [decoder(*)]をクリックして、Decoderのプロパティを表示します。
- [Properties]ドロップダウン メニューで、[reset]を選択し、[Send]をクリックします。
- Log Decoder REST(
- [イベント ソース]の[管理]タブにある[イベント ソース]パネルで、すべてのイベント ソースを選択し、-をクリックして削除します。
Previous Topic:アラームと通知の問題
Next Topic:Feedのトラブルシューティング
You are here
Table of Contents > トラブルシューティング/付録 > ログ メッセージの重複