レポート:トラブルシューティング

Document created by RSA Information Design and Development on Apr 20, 2018
Version 1Show Document
  • View in full screen mode

このセクションでは、NetWitness Suiteでレポート モジュールを使用するときに直面する問題のトラブルシューティング手順について説明します。

SFTPサーバを構成する前の問題のトラブルシューティング

手順

構成したLinux SFTPサーバに関する問題が発生した場合は、次の手順を試してください。

  1. 構成したSFTPのレポート出力アクションが失敗した場合は、SSHを使用してSFTPサーバに接続して、ローカル接続を試し、SFTPが正常に機能しているかどうかを確認する必要があります。

    SFTPサーバに接続します。

    SFTPサーバへの接続

  2. ローカル接続が失敗した場合は、次のコマンドを実行してsshd_configファイルを開きます:vi /etc/ssh/sshd_config
  3. ファイルに次のエントリーが存在するかどうかを確認します:

    # override default of no subsystems
    Subsystem sftp /usr/libexec/openssh/sftp-server

  4. このエントリーが存在しない場合は、ファイルの最下部に、ステップ3で述べた2行を追加し、保存します。
  5. SSH>service sshd restartでサービスを再起動します。
  6. SFTP接続を再試行します。
  7. SAサーバ アプライアンスのファイアウォールによってSFTPポートがブロックされていないことを確認します。sftpポートを許可するようにiptablesのルールを更新します。

定義:

厳格なParser:厳格なParser(非deprecated)では、クエリ構文が正しく記述されることが想定されています。
メタ タイプがテキストの場合、値を引用符で囲みます。例:username = 'user1'
メタ タイプがIPアドレス、Ethernetアドレス、数値の場合、引用符は使用しません。例:service = 80 &&
ip.src = 192.168.1.1
メタ タイプが日付と時刻の場合、
日付と時刻の形式が「YYYY-MM DD HH:MM:SS」であれば、引用符を使用します。
日付と時刻の形式が「1448034064」(EPOCH(1970年1月1日)以降の秒数)の場合、引用符は使用しません。
NWDBコア サービスの/sdk/config/query.parseの構成値がstrictである場合、レポート クエリは厳格なParserを使用して解析されます。 

非厳格なParser:非厳格なParser(deprecated)では、クエリ構文が正しく記述されることを期待していません。すなわち、テキストと数値のメタ タイプの値は、メタ タイプに関係なく、引用符で囲むことも、囲まないこともできます。

たとえば、usernameのメタ タイプは文字列ですが、その値を引用符で囲むことも囲まないことも可能です。そのため、username = 'user1'とusername = user1のどちらの構文も有効です。 

NWDBコア サービスの/sdk/config/query.parseの構成値がdeprecatedである場合、レポート クエリは非厳格なParserを使用して解析されます。

注:構文に無効な引用符がある場合、NWDBルールのwhere句は引用符で適宜囲まれます。たとえば、無効なメタまたは区切り文字が不足している場合、ステータスとエラー メッセージが適宜更新されます。

Next Topic:付録
You are here
Table of Contents > トラブルシューティング

Attachments

    Outcomes