すべてのホストおよびサービスに共通する問題
次の場合、ヘルスモニタ インタフェースに誤った統計情報が表示されることがあります。
- 一部またはすべてのホストとサービスが、正しくプロビジョニングおよび有効化されていない。
- 導入されているバージョンが混在している(つまり、ホストがさまざまなNetWitness Suiteバージョンに更新されている)。
- サポート サービスが実行されていない。
インタフェースまたはログ ファイルのメッセージから特定される問題
このセクションでは、NetWitness Suiteのヘルスモニタ インタフェースに表示されるか、またはヘルスモニタ ログ ファイルに記録されたメッセージによって特定される問題のトラブルシューティングについて説明します。
メッセージ | ユーザ インタフェース: システム管理サービスに接続できません SMS(System Management Service)ログ: Caught an exception during connection recovery! java.io.IOException at com.rabbitmq.client.impl.AMQChannel.wrap(AMQChannel.java:106) at com.rabbitmq.client.impl.AMQChannel.wrap(AMQChannel.java:102) at com.rabbitmq.client.impl.AMQConnection.start(AMQConnection.java:346) at com.rabbitmq.client.impl.recovery.RecoveryAwareAMQConnectionFactory. newConnection(RecoveryAwareAMQConnectionFactory.java:36) at com.rabbitmq.client.impl.recovery.AutorecoveringConnection. recoverConnection(AutorecoveringConnection.java:388) at com.rabbitmq.client.impl.recovery.AutorecoveringConnection. beginAutomaticRecovery(AutorecoveringConnection.java:360) at com.rabbitmq.client.impl.recovery.AutorecoveringConnection.access$000(AutorecoveringConnection.java:48) at com.rabbitmq.client.impl.recovery.AutorecoveringConnection$1. shutdownCompleted(AutorecoveringConnection.java:345) at com.rabbitmq.client.impl.ShutdownNotifierComponent.notifyListeners(ShutdownNotifierComponent.java:75) at com.rabbitmq.client.impl.AMQConnection$MainLoop.run(AMQConnection.java:572) at java.lang.Thread.run(Thread.java:745) Caused by: com.rabbitmq.client.ShutdownSignalException: connection error at com.rabbitmq.utility.ValueOrException.getValue(ValueOrException.java:67) at com.rabbitmq.utility.BlockingValueOrException.uninterruptibleGetValue(BlockingValueOrException.java:33) at com.rabbitmq.client.impl.AMQChannel$BlockingRpcContinuation.getReply (AMQChannel.java:343) at com.rabbitmq.client.impl.AMQConnection.start(AMQConnection.java:292) ... 8 more Caused by: java.net.SocketException: Connection reset at java.net.SocketInputStream.read(SocketInputStream.java:189) at java.net.SocketInputStream.read(SocketInputStream.java:121) at java.io.BufferedInputStream.fill(BufferedInputStream.java:246) at java.io.BufferedInputStream.read(BufferedInputStream.java:265) at java.io.DataInputStream.readUnsignedByte(DataInputStream.java:288) at com.rabbitmq.client.impl.Frame.readFrom(Frame.java:95) at com.rabbitmq.client.impl.SocketFrameHandler.readFrame (SocketFrameHandler.java:139) at com.rabbitmq.client.impl.AMQConnection$MainLoop.run(AMQConnection.java:532) |
考えられる原因 | RabbitMQサービスがNetWitnessサーバで実行されていません。 |
解決策 | 次のコマンドを使用して、RabbitMQサービス、SMSサービス、NetWitness Suiteサービスを再開します。 systemctl restart rabbitmq-server systemctl restart rsa-sms systemctl restart jetty |
メッセージ/ 問題 | ユーザ インタフェース:システム管理サービスに接続できません |
---|---|
原因 | システム管理サービス、RabbitMQ、Mongoのいずれかのサービスが実行されていません。 |
解決策 | NetWitnessサーバで次のコマンドを実行して、これらのサービスすべてが実行されていることを確認します。 [root@nwserver ~]# systemctl status rsa-sms RSA NetWitness SMS :: Server is not running. [root@nwserver ~]# systemctl start rsa-sms Starting RSA NetWitness SMS :: Server... [root@nwserver ~]# systemctl status rsa-sms RSA NetWitness SMS :: Server is running (5687). [root@nwserver ~]# systemctl status mongod mongod (pid 2779) is running... systemctl status rabbitmq-server Status of node nw@localhost ... [{pid,2501}, {running_applications, [{rabbitmq_federation_management,"RabbitMQ Federation Management", "3.3.4"}, |
メッセージ/ 問題 | ユーザ インタフェース:システム管理サービスに接続できません |
---|---|
考えられる原因 | /var/lib/rabbitmqパーティションの使用率が70%以上です。 |
解決策 | カスタマ サポートにお問い合わせください。 |
メッセージ/ 問題 | ユーザ インタフェース:ホスト移行失敗。 |
---|---|
考えられる原因 | 1つ以上のNetWitness Suiteサービスが停止状態になっている可能性があります。 |
解決策 | 次のサービスが実行されていることを確認してから、NetWitnessサーバを再起動します。 Archiver、Broker、Concentrator、Decoder、Event Stream Analysis、Response Server、IPDB Extractor、Log Collector、Log Decoder、Malware Analysis、Reporting Engine、Warehouse Connector、Workbench |
メッセージ/ 問題 | ユーザ インタフェース:サービスを利用できません。 |
---|---|
考えられる原因 | 1つ以上のNetWitness Suiteサービスが停止状態になっている可能性があります。 |
解決策 | 次のサービスが実行されていることを確認してから、NetWitnessサーバを再起動します。 Archiver、Broker、Concentrator、Decoder、Event Stream Analysis、Response Server、IPDB Extractor、Log Collector、Log Decoder、Malware Analysis、Reporting Engine、Warehouse Connector、Workbench |
メッセージ/ 問題 | ユーザ インタフェース:サービスを利用できません |
---|---|
考えられる原因 | SMS(システム管理サービス)、RabbitMQ、Mongoのいずれかのサービスが実行されていません。 |
解決策1 | NetWitnessサーバで次のコマンドを実行して、これらのサービスすべてが実行されていることを確認します。 [root@nwserver ~]# systemctl status rsa-sms RSA NetWitness SMS :: Server is not running. [root@nwserver ~]# systemctl start rsa-sms Starting RSA NetWitness SMS :: Server... [root@nwserver ~]# systemctl status rsa-sms RSA NetWitness SMS :: Server is running (5687). [root@nwserver ~]# systemctl status mongod mongod (pid 2779) is running... systemctl status rabbitmq-server Status of node nw@localhost ... [{pid,2501}, {running_applications, [{rabbitmq_federation_management,"RabbitMQ Federation Management", "3.3.4"}, |
解決策2 | /var/lib/rabbitmqパーティションの使用率が75%未満であることを確認します |
解決策3 | エラーがないかNetWitnessサーバログ ファイル(var/lib/netwitness/uax/logs/nw.log)を確認します。 |
メッセージ/ 問題 | ContextHubが停止し、データ ソースおよびリストを追加または編集できません。 |
---|---|
考えられる原因 | ストレージがいっぱい(95%以上)です。 |
解決策1 | /etc/netwitness/contexthub-server/ contexthub-server.ymlにあるYMLファイルを更新することで、ストレージを増やします。 |
解決策2 | 不要または未使用の大規模なリストを削除します。 |
解決策3 | STIXおよびTAXIデータを自動的に削除し、ストレージ領域をクリーンアップするように、リストのTTLインデックスを構成します。 |
メッセージ/ 問題 | Context Hubが固定メモリ上で実行され、キャッシュ用に50%が予約されています。キャッシュが100%フルになると、キャッシュの応答が停止します。すべての新しい検索において、応答が低速になります。 |
---|---|
考えられる原因 | キャッシュがいっぱい(50%以上)です。 |
解決策1 | デフォルトでは、Context Hubは30分ごとにキャッシュをクリーンアップします。データ ソースのキャッシュ有効期間を短縮します。 |
解決策2 | データ ソースのキャッシュを無効化します。 |
解決策3 | /etc/netwitness/contexthub-server/contexthub-server.confファイルで利用可能な-Xmxオプションを編集することで、CH JavaプロセスのRAMを増やします。JAVA_OPTSで、-Xmxオプションを検索します。 注:メモリは、利用可能なシステム メモリよりも小さくします。ホスト上で他にも多くのサービスが実行されていることに注意してください。 |
メッセージ/ 問題 | リスト データ ソースに正常でない統計情報やステータスが表示されます。 |
---|---|
考えられる原因1 | 次のことを実行できません。
|
考えられる原因2 | データ ソースにアクセスするときに認証できません。 |
解決策1 | csvファイルを正しい場所(/var/lib/netwitness/contexthub-server/data/など)に保存し、必要な読み取り権限があることを確認します。 |
解決策2 | データ ソースの構成中に指定したcsvファイルのスキーマが一致していることを確認します。一致していない場合、新しいスキーマを使用して新しいデータ ソースを作成するか、スキーマに一致するようにcsvファイルを編集します。たとえば、列1、列2、列3をもつスキーマを使用してリスト データ ソースを構成する場合が挙げられます。次にcsvファイルを更新する際に、列数が増減したり、列の順序が変更されます。このような場合、スキーマが一致しないため、構成済みのリスト データ ソースはヘルスモニタの統計情報に「異常」と表示します。 |
解決策3 | パスワードが正しいことを確認します。データ ソースの編集を確認するには、パスワードを入力し、[接続のテスト]をクリックします。 前述の解決策に関連する詳細情報については、「Context Hub構成ガイド」のトピック「データ ソースとしてのリストの構成」を参照してください。 |
ユーザ インタフェースまたはログから特定できない問題
このセクションでは、NetWitness Suiteのヘルスモニタ インタフェースに表示されたり、またはヘルスモニタ ログ ファイルに記録されたメッセージからは特定できない問題のトラブルシューティングについて説明します。 たとえば、誤った統計情報がインタフェースに表示される場合があります。
問題 | ヘルスモニタ インタフェースに誤った統計情報が表示されます。 |
---|---|
考えられる原因 | SMSサービスが実行されていません。SMSサービスは、NetWitnessサーバで実行されている必要があります。 |
解決策 | SMSサービスを再開します。 |
問題 | jettysrv(jeTTyサーバ)を再起動するまで、アップグレード後のバージョンがNetWitness Suiteに表示されません。 |
---|---|
考えられる原因 | NetWitness Suiteは、30秒ごとにサービスをポーリングして、そのサービスがアクティブかどうかを確認します。その30秒の間にサービスが復帰した場合、そのサービスの新しいバージョンを取得しません。 |
解決策 |
|
問題 | NetWitnessサーバに[サービスを利用できません]ページが表示されません。 |
---|---|
考えられる原因 | NetWitness Suiteをバージョン10.5にアップグレードした直後は、JDK 1.8がデフォルトのバージョンに設定されていないため、jettysrv(jeTTyサーバ)が起動できなくなります。jeTTyサーバがないと、NetWitness Suiteサーバは[サービスを利用できません]ページを表示できません。 |
解決策 | jettysrvを再起動します。 |