Workbench:トラブルシューティング

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

NetWitness Suiteは、ポップアップ通知を使用してユーザに問題を通知します。

NetWitness Suite Workbenchは、次の表で説明されているとおり、以下のタイプのエラー メッセージを返します。

                                                                                                  
問題考えられる原因解決策
NetWitness Suiteユーザ インターフェイスの[管理]ページからWorkbenchサービスに接続できない。NetWitness Suiteサービスが実行されていません。

NetWitness Suiteサービスが実行されていることを確認します。NetWitnessサーバにログインし、次のコマンドを実行します。

status nwworkbench 

ファイアウォールのルールで、50007、50607、50107からの接続を許可する必要があります。
次のコマンドを実行して接続を確認します。

service iptables status

RESTを起動できることを確認します。アプライアンスで、次のコマンドを実行します。

https://<IPAddress>:50107 service

RESTサービスを起動できた場合、アプライアンスに問題がないことが確認できます。次の手順に従って、NetWitness Suite側をさらに調査します。

  • デバッグ モードを有効化し、次の場所にあるsa.logにエラーが報告されていないか監視します。

    /var/lib/netwitness/uax/logs 

  • Chromeでショートカット キーCtrl+Shift+Iを使用して開発ツールを有効化し、リクエストのプレビューと応答を検証します。 
SSLモードで実行中のWorkbenchアプライアンス
用の[Applianceサービス構成]タブを表示できない。
 アプライアンス サービスでSSLを有効化し、アプライアンス サービスを再開します。 
Workbenchコレクションでレポートを作成するためにメタをロードしようとすると、次のエラー メッセージが表示される。
「Unable to fetch schema from data source when trying to load meta.」
 

NetWitness Suiteユーザ インターフェイスのルール ライブラリからアプライアンス用のメタをロードし、次の場所にあるReporting Engineのログにエラーがないかどうか監視します。

/home/rsasoc/rsa/soc/reporting- 
engine/logs 

デバイスでRESTを起動し、次のクエリを実行した時にエラーが発生しないかどうか監視します。

/sdk?msg=language&force-content-type=text/plain&expiry=600&size=10 

Reporting Engine経由でNetWitness Suiteユーザ インタフェースからクエリを実行しても、結果が表示されない。 

Reporting Engineでクエリを実行し、データ ソースで/var/log/messagesを監視します。データ ソースに一致するクエリを探します。

ヒント:ログ ファイルで[SDK-Query]を検索します。

クエリをそのままコピーし、REST SDKから実行して、何らかの結果が得られるかどうかを確認します。

REST Query: /sdk?msg=query&force-contenttype=text/plain&expiry= 600&query=select%20user.dst&size=10

Workbenchの[コレクション]タブにあるWorkbenchの[使用可能]ストレージ インジケータが不正確である。
 

ユーザ インタフェースの[使用可能]ストレージ インジケータに、次のようなデフォルトのコレクションのディレクトリが表示されています。

/VAR/NETWITNESS/WORKBENCH/COLLECTIONS

なし。
既存のコレクションを開いた後に、
新しいコレクションを開くことができない。
Workbenchの構成で、「Max Open Collections」がデフォルトで25に設定されています。この構成は、同時に開くことができるコレクションの数を指定します。
この数字は変更できます。値が0の場合、開くことができるコレクション数は無制限になります。
利用可能状態になったコレクションを開くことができたが、
しばらくすると、そのコレクション
が自動的にクローズ状態になる。

Workbenchの構成で、「collection.timeout」がデフォルトで1200に設定されています。

この構成は、アイドル状態のコレクションが自動的に閉じられるまでの秒数を指定します。タイムアウトが発生するまでの設定可能な最長時間は86,400秒(24時間)です。

値が0の場合、タイムアウトが無効化されます。
/database manifestコマンドを使用して時間範囲をクエリすると、空白の結果が返される。

空白の結果は、時間範囲に使用できるNWDBファイルがないことを示しています。

なし。
コレクションを作成したが、コレクションの状態が[ジョブ]に表示されない。
また、コレクションがWorkbenchの[コレクション]タブに表示されない。
モードが混在した環境で作業している可能性があります(バージョン10.4.xのWorkbenchで、バージョン10.5のNetWitness Suiteユーザ インターフェイスからコレクションを作成するなど)。ページを再ロードすると、コレクションがWorkbenchの[コレクション]タブに表示されます。
コレクションの[日付範囲]および[作成日]の値が空白になっている。[日付範囲]および[作成日]の値は、すべてのコレクションで空白になります。[日付範囲]および[作成日]の値は、10.5にアップグレードすると表示されるようになります。 
Workbenchコレクションをデータ
ソースとしてReporting Engineに追加する動作が一貫していない。
この動作は、信頼できる接続が確立されているかどうかによって変わります。

Workbenchサービスで信頼できる接続が確立されている場合、WorkbenchコレクションをソースとしてReporting Engineに手動で追加する必要があります。

Workbenchリストア コレクションが作成されたときに、Workbenchサービスで信頼できる接続が確立されていない場合、自動的にメッセージがReporting Engineに送信され、このコレクションがソースとしてReporting Engineに追加されます。

コレクションの属性(サイズ、日付範囲、作成日)が表示されない。

リストアの処理中にJettyサービスを再起動すると、日付範囲は表示されません。

[エクスプローラ]ビューで作成されたリストア コレクションでは、[日付範囲]の値は空白です。

バージョン10.4のWorkbenchで作成されたコレクションは、10.5にアップグレードすると、[日付範囲]および[作成日]の値が空白になります。

モードが混在している環境(サーバのバージョンが10.5NetWitnessサーバで、Workbenchのバージョンが10.4.x)では、サイズ、日付範囲、作成日が表示されません。

なし。
Workbenchコレクションでドリル ダウンすると、
例外または空白ページが表示される。
コレクション タイムアウトを超過すると、コレクションは閉じられます。コレクションを最初から調査します。
空白のコレクションが作成される。

リストアが失敗すると、空のコレクションが表示されます。これは、コレクションの作成中にWorkbenchサービスを再起動したためです。

なし。
サービスが突然シャットダウンする。 コマンド ラインからサービスを実行し、エラーが発生しないか監視します。例:Workbenchでサーバ コンソール/usr/sbin/NwWorkbenchから次のコマンドを実行します。 /usr/sbin/NwWorkbench
RESTリクエストが拒否されました。 

/rest/config/にあるuser.agent.whitelistの構成を確認します。

空白でない場合、有効なHTTPユーザ エージェントに一致する正規表現を指定する必要があります。正規表現が一致しない場合、すべてのRESTリクエストは拒否されます(例外の可能性についてはallow.missing.user.agentを参照)。空白の場合、すべてのリクエストが許可されます。

Rawメタを使用したクエリを実行すると、[Raw]フィールドに空白値が返される。 適切な
packet dbがあることを確認します。
You are here
Table of Contents > トラブルシューティング

Attachments

    Outcomes