ESM:ログ メッセージの重複

Document created by RSA Information Design and Development on Apr 19, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

同じイベント ソースのメッセージを複数のLog Collectorで収集している可能性があります。このトピックでは、この問題を取り上げて、トラブルシューティングを行う方法について説明します。

詳細

ESM Aggregatorが同じイベント ソースの同じイベントを複数のLog Collectorで検出すると、次のような警告が表示されます。

2015-03-17 15:25:29,221 [pool-1-thread-6] WARN  com.rsa.smc.esm.groups.events.listeners.EsmStatEventListener -
192.0.2.21-apache had a previous event only 0 seconds ago; likely because it exists on multiple log collectors

この警告メッセージは、192.0.2.22-apacheイベント ソースが複数のホストで収集されていることを意味します。ホストのリストは、[管理]>[イベント ソース]ビューの[管理]タブの[Log Collector]列で確認できます。

重複メッセージのクリーンアップ

  1. NetWitness PlatformおよびLog Decoderでcollectdを停止します。

    Service collectd stop

  2. NetWitness Platform上にあるESM Aggregator永続ファイルを削除します。

    rm /var/lib/netwitness/collectd/ESMAggregator

  3. Log Decoderをリセットします。
    1. Log Decoder REST(http://<LD_IP_Address>:50102)にアクセスします。
    2. decoder(*)]をクリックして、Decoderのプロパティを表示します。
    3. [Properties]ドロップダウン メニューで、[reset]を選択し、[Send]をクリックします。
  4. [イベント ソース]の[管理]タブにある[イベント ソース]パネルで、すべてのイベント ソースを選択し、-をクリックして削除します。
You are here
Table of Contents > トラブルシューティング/付録 > ログ メッセージの重複

Attachments

    Outcomes