Collecte des logs : Dépannage

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Cette rubrique décrit le format et le contenu de la résolution des problèmes de collecte de logs. NetWitness Suite vous informe des problèmes de Log Collector ou des problèmes potentiels dans le code suivant deux façons.

  • Fichiers log.
  • Vues Contrôle de l'intégrité.

Fichiers log

Si vous rencontrez un problème avec un protocole de collecte de sources d'événements, vous pouvez consulter les logs de débogage pour analyser les solutions à ce problème. Chaque source d'événement comporte un paramètre Debug que vous pouvez activer (définissez le paramètre sur On ou Verbose) pour capturer ces logs.

Attention :  N'activez le débogage que si vous rencontrez un problème avec cette source d'événement et que vous devez analyser ce problème. Si vous activez le paramètre Debug en permanence, les performances du Log Collector risquent d'être affectées de manière défavorable.

Contrôle de l'intégrité

Le Contrôle de l'intégrité vous fait prendre conscience des problèmes matériels et logiciels potentiels en temps opportun de sorte que vous puissiez éviter les pannes. RSA recommande de surveiller les champs statistiques du Log Collector afin de vérifier que le service fonctionne efficacement et qu'il ne se rapproche pas des valeurs maximales que vous avez configurées au point de les atteindre. Vous pouvez surveiller les statistiques suivantes décrites dans la vue Admin > Intégrité.

Exemple de format d'échantillon

RSA NetWitness Suite renvoie les types de messages d'erreur suivants dans les fichiers log.

                 
Messages de log

timestamp failure (LogCollection) Message-Broker Statistics:...

timestamp failure (AMQPClientBaseLogCollection):...
timestamp failure (MessageBrokerLogReceiver):...

Cause probable

Le Log Collector ne réussit pas à contacter le courtier de messages, car ce dernier :

  • s'est arrêté de fonctionner ;
  • comporte des paramètres de connexion incorrects.
Solutions
  1. <use the="the" systemctl="systemctl" command="command" on="on" console="console" to="to" check="check" status="status" of="of" message="message" broker="broker" shell="shell" console.="console.">returns the following if the message broker is not running:</use>

            prompt$ systemctl status rabbitmq-server

            rabbitmq start/running, process 10916

  1. Lancez le courtier de messages RabbitMQ sur le nœud event-broker dans la vue Explorer :

    Example shows starting the RabbitMQ Message Broker on the event broker node in the Explore view.

Résolution des problèmes - Windows Log Collection utilisant un agent Endpoint

Les sections suivantes vous aident à résoudre les problèmes que vous pouvez rencontrer lors de l'utilisation du fichier Windows Log Collection sur l'agent Endpoint Insights.

Explication du format de fichier de configuration Windows Log

Attention : Ne modifiez pas le fichier de configuration généré. Si des modifications sont apportées, l'agent ne lit pas les informations à partir du fichier.

Le fichier de configuration de log contient des informations utiles pour l'analyse des logs d'événements. Vous trouverez ci-dessous un exemple :

Le fichier de configuration généré contient les éléments suivants :

  • configName : nom du fichier de configuration.
  • servers : baie d'URL de serveurs, décrivant à la fois leur adresse et le protocole à utiliser lors du transfert des logs. L'agent tente de les contacter dans l'ordre.
  • filter : format XML compatible avec Windows Event Viewer qui décrit les canaux à surveiller et les exclusions d'ID d'événement. Filtre XML standard pour collecter à partir de l'application et du système de canaux. Lorsqu'un ID d'événement unique est utilisé pour les deux, cela ressemblerait à ceci :

  • Enabled : permet de désactiver la collecte, mais d'envoyer quand même un log de test s'il est activé.
  • TestLogOnLoad : envoie un message de log lorsqu'une configuration est chargée, même si le transfert d'événements n'est pas activé. Cela permet aux analystes de tester une configuration avant d'activer la collecte. Ce message n'est pas consigné en local dans le Journal des événements Windows.

Comment lire un log de test

Message de log de test est envoyé chaque fois qu'un agent Endpoint avec un fichier Windows Log Collection est installé pour la première fois sur un agent Endpoint ou lorsqu'un fichier de configuration de log est mis à jour. Lors d'une installation ou mise à jour réussie de Windows Log Collection, 3 sections s'affichent dans le fichier log de test.

                 
1Type de message de log de test, adresse IP de l'agent, nom d'hôte de l'agent et heure de génération du log de test
2Configuration fournie lors de la création de l'agent
3

État et message associé

Il existe trois scénarios.

  1. Déploiement réussi d'une configuration Log Collection - Le type de message de log de test sera -1 et l'état indique Success (réussite).

  2. Lorsque le fichier de configuration Log Collection est falsifié : le message de test de l'agent indique -2 et un message indiquant que le fichier de configuration a été falsifié s'affiche. Si vous souhaitez appliquer de nouveau les modifications, regénérez le fichier Log Collection.

  3. Lorsque le nom du canal personnalisé est incorrect, le message « Status Failure » indiquant l'état d'échec s'affiche. Générez Log Collection de nouveau avec le canal approprié.

You are here
Table of Contents > Collecte des logs : Dépannage

Attachments

    Outcomes