Alerting: Solucionar problemas de ESA

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

En esta sección se describen problemas comunes que pueden ocurrir durante el uso de ESA y se sugieren soluciones para abordarlos.

Solucionar problemas de servicios de ESA

                              
ProblemaCausas posiblesSoluciones

En el tablero de NetWitness Suite, el servicio ESA se muestra en rojo para indicar que está offline.

En la vista CONFIGURAR > Reglas de ESA, aparece el siguiente mensaje: “El servicio está offline o inaccesible”.

Varias

Las posibles causas por las cuales un servicio de ESA puede estar offline son muchas. Sin embargo, un problema común es que una regla que se creó usa un exceso de memoria, lo cual hace que el servicio de ESA falle. Para solucionar este problema, consulte Pasos para solucionar problemas de memoria con un servicio ESA offline.

Entre otras causas comunes, el firewall puede estar bloqueando la conexión entre ESA y NetWitness Suite, o la máquina del servicio ESA puede estar inactiva.  

  

Para abrir los servicios de ESA:

En ADMIN > Servicios, seleccione el ícono de acciones Ícono Acciones correspondiente al servicio ESA y elija iniciar.

Si el servicio de ESA se detiene y se reinicia en un loop, tal vez sea necesario llamar al servicio al cliente para lograr que el servicio se inicie.

Después de una actualización reciente, el servicio ESA se muestra en rojo en el tablero de NetWitness Suite para indicar que está offline.

En la vista CONFIGURAR > Reglas de ESA, aparece el siguiente mensaje: “El servicio está offline o inaccesible”.

Problemas de configuraciónSi el sistema se actualizó recientemente, tal vez se cometió un error de configuración. En  ADMIN > Servicios, seleccione el servicio ESA y haga clic en Editar servicio. En el campo Editar servicio, haga clic en Probar conexión. Si las conexiones fallan, es probable que exista un error de configuración. Intente corregir el error de configuración y vuelva a intentarlo. 
El servicio de ESA parece funcionar lentamente.Problemas de configuraciónEs posible que pueda mejorar el rendimiento mediante la modificación del búfer (el valor predeterminado es 1,048,576 bytes) o mediante la configuración del ajuste de TCP en TCPNoDelay para evitar un retraso en la recepción de confirmaciones de TPC. Puede modificar estos ajustes (readBufferSize y tcpNoDelay) en
/Workflow/Source/nextgenAggregation en la vista Explorar.

Solucionar problemas de reglas de RSA Live para ESA

                    
ProblemaCausas posiblesSoluciones
Importé un grupo de reglas de RSA Live y ahora se produce una falla general en el servicio de ESA. ¿Por qué?Es posible que no haya configurado los parámetros de la regla de RSA Live de acuerdo con el ambiente. 

En cada regla de RSA Live hay una descripción que incluye los parámetros que debe configurar y los requisitos previos para el ambiente. Revise esta descripción para ver si la regla es apropiada para el ambiente.

Para asegurarse de implementar reglas con seguridad en el ambiente, configure reglas nuevas como reglas de prueba de modo que pueda probarlas en el ambiente. Las reglas de prueba son un resguardo para probar las reglas nuevas.  Para obtener detalles sobre esto, consulte  Implementar reglas como reglas de prueba.

Importé un grupo de reglas de RSA Live y, aunque se implementaron sin errores, se deshabilitaron más adelante.

No todas las reglas de RSA Live están diseñadas para cada ambiente. Es posible que no tenga los metadatos correctos en ESA para que se ejecute la regla.

Para verificar si se deshabilitó una regla, vaya a CONFIGURAR > Reglas de ESA > Servicios > Estadísticas de reglas implementadas.  Si la regla está deshabilitada, el ícono de color verde no se muestra junto a ella. 

 Si una regla se implementó correctamente, pero se deshabilitó, compruebe excepciones relacionadas con la regla en los registros. Específicamente, compruebe si las reglas se deshabilitaron debido a la falta de metadatos. Para ello, vaya a ADMIN > Servicios, seleccione el servicio de ESA y, luego, ícono acciones > Ver > Registros.

A continuación, busque un mensaje similar al siguiente:

"Property named ‘<meta_name>' is not valid in any stream"

Por ejemplo, puede ver lo siguiente:

Failed to validate filter expression '(medium=1 and streams=2 or medium=3...(238 chars)': Property named 'tcp_flags_seen' is not valid in any stream

Si se muestra un mensaje similar, debe agregar una clave de metadatos personalizados a Log Decoder o Concentrator. Para ello, siga estas instrucciones: “Crear claves de metadatos personalizados mediante un feed personalizado” en la Guía de configuración de Decoder y Log Decoder.

Solucionar problemas de las implementaciones

               
ProblemaCausas posiblesSoluciones
Creé una regla y comprobé la sintaxis. La regla parecía estar bien. Cuando fui a implementar la regla, recibí un error. ¿Por qué?Es posible que no tenga los metadatos correctos para implementar la regla. Compruebe las referencias de claves de metadatos. Es posible que no tenga los metadatos correctos para implementar la regla. 

Solucionar problemas de reglas

                    
ProblemaCausas posiblesSoluciones
Creé una regla personalizada (a través del generador de reglas o de EPL avanzado) y la regla no se activa. ¿Por qué?Es posible que existan problemas de conectividad.

Compruebe la estadística “Tasa ofrecida” en la pestaña CONFIGURAR > Reglas de ESA > Servicios.

Si la tasa ofrecida es cero, el servicio de ESA no está recibiendo datos de los Concentrators. Valide la conectividad de Concentrator. Vaya a ADMINServicios, seleccione su ESA y, luego, Ver > Configuración. Asegúrese de que el Concentrator esté habilitado. Seleccione el Concentrator y haga clic en Probar conexión.

Si la tasa ofrecida no es cero, es probable que el nombre y el tipo de clave de metadatos que se usan en la regla no coincidan con la clave de metadatos presente en los eventos. Compruebe que el nombre y el tipo de clave de metadatos que se usan en la regla sean válidos. Para esto, busque el nombre de la clave de metadatos en la pestaña CONFIGURAR > Reglas de ESA > Configuración (búsqueda de referencias de claves de metadatos).

 Es posible que exista un problema relacionado con la regla.

Si una regla específica no se activa, vaya a CONFIGURAR > Reglas de ESA > Servicios para ver si la regla se deshabilitó. En la sección Estadísticas de reglas implementadas, una regla que se inhabilitó muestra un botón de habilitación transparente (en lugar de un botón de habilitación verde).

También puede comprobar el campo Eventos con coincidencias. Vaya a CONFIGURAR > Reglas de ESAServicios. Desde ahí, puede ver la cantidad de eventos que coincidieron en la columna Eventos con coincidencias.

Si no coincidió ningún evento, vea si hay errores en la lógica de la regla. Por ejemplo, vea si hay errores de mayúsculas y minúsculas en la sintaxis y compruebe la ventana de tiempo. Si la regla continúa sin activarse, considere simplificar la lógica de la regla para ver si se activa cuando la complejidad es menor. 

Pasos para solucionar problemas de memoria con un servicio ESA offline

Paso 1: Verifique que el host esté en ejecución

El primer paso para solucionar problemas es asegurarse de que el host esté en ejecución. Para hacerlo, vaya a ADMIN> HOSTS. Si el host está inactivo, los parámetros del sistema no se muestran (a veces, la actualización de la información del host se puede tardar), los Servicios aparecen en rojo y el campo Actualizaciones muestra un mensaje de error. 

Imagen de vista Hosts que muestra un mensaje de error en rojo

Si el host está inactivo, póngase en contacto con el administrador de NetWitness Suite para que lo reinicie. De lo contrario, vaya al paso 2. 

Paso 2: Ver estadísticas detalladas en Estado y condición

Cuando esté seguro de que el servicio de ESA está inactivo, puede ir a Estado y condición para ver dónde se están produciendo los posibles problemas. El problema más común es que el servicio ESA está superando los umbrales de la memoria, lo cual causa su detención o falla.

  1. Vaya a ADMIN > Estado y condición > Alarmas para ver si ESA activó alarmas. Busque las siguientes alarmas:

    • Utilización total de memoria de ESA mayor que el 85 %
    • Utilización total de memoria de ESA mayor que el 95 %
    • Servicio ESA detenido
  2. Vaya a ADMIN > Estado y condición > Navegador de estadísticas del sistema para ver las métricas de memoria del rendimiento de cada regla. Para ver las métricas, escriba lo siguiente:

                   
    Host ComponenteCategoría
    <su host>Event Stream Analysisesa-metrics

    El Navegador de estadísticas del sistema muestra métricas de memoria en las columnas Valor y Gráfico histórico

    La memoria de cada regla se muestra en la columna Valor y el valor se muestra en bytes. Puede ver una vista histórica de uso de memoria en la columna Gráfico histórico

    Gráfico histórico de ESA que muestra el uso de memoria de la regla de ESA

  3. Vaya a ADMIN > Estado y condición > Navegador de estadísticas del sistema para ver detalles del rendimiento de ESA. Seleccione el host y use los filtros que se presentan a continuación para ver las siguientes estadísticas:

                                                                               
    Host ComponenteCategoríaEstadísticasEjemplo
    <su host>HostSystemInfoUtilización de CPU1.08 %
    <su host>HostSystemInfoMemory Utilization45.43 %
    <su host>HostSystemInfoMemoria usada7.08 GB
    <su host>HostSystemInfoMemoria total15.58 GB
    <su host>HostSystemInfoUptime77758, 1 semana, 2 días…
    <su host>Event Stream AnalysisProcessInfoMemory Utilization7.07 GB
    <su host>Event Stream AnalysisProcessInfoUtilización de CPU0.2 %
    <su host>Event Stream AnalysisJVM.MemoryallUso de memoria en montón comprometida 8.0 GB
    <su host>Event Stream AnalysisESA-MetricsPorcentaje total de uso de memoria de ESA4.64 %

    Ejemplo del Navegador de estadísticas del sistema

Si tiene un problema relacionado con la utilización de la memoria o del CPU, continúe con el paso 3. 

Paso 3: Abrir los servicios de ESA

  1. En ADMIN > Servicios, seleccione el ícono de acciones Ícono Acciones correspondiente al servicio ESA y elija iniciar
  2. Regrese al servicio de ESA para dar solución a las reglas que crearon problemas de memoria. 

Si el servicio de ESA se detiene y se reinicia en un loop, tal vez sea necesario llamar al servicio al cliente para lograr que el servicio se inicie.

Si puede iniciar el servicio de ESA sin un apagado, continúe con el paso 4.

Paso 4: Comprobar el volumen de alertas y eventos

Cuando pueda reiniciar el servicio ESA sin un apagado inmediato, podrá revisar las estadísticas de las reglas para ver cuáles están consumiendo demasiados recursos. A veces, los servicios ESA fallan porque una regla está generando demasiadas alertas o está coincidiendo con demasiados eventos. Compruebe ambos problemas si determinó que el uso de la memoria es la causa del apagado del servicio de ESA. 

Ver resúmenes de alertas

Las reglas que generan un alto volumen de alertas pueden abrumar el sistema y hacer que falle o que se reinicie.  Para ver los resúmenes de las alertas, vaya a RESPOND > Alertas. En el panel Filtros de la izquierda, en la sección NOMBRES DE ALERTA, seleccione el nombre de la alerta para la regla. La cantidad de alertas con ese nombre aparece en la parte inferior de los resultados de la lista Alertas. Si la cantidad es considerablemente alta para una regla específica, debe deshabilitar la regla y reescribirla de modo que sea más eficiente.

Vista de alertas de Respond que muestra la cantidad de alertas para una regla seleccionada

Para borrar el filtro, haga clic en Restablecer filtros.

Ver eventos con coincidencias

A veces, una regla coincide con demasiados eventos, lo cual puede consumir un exceso de memoria. Esto suele suceder si crea una gran ventana de eventos en la cual se acumula una cantidad considerable de eventos sin que se active una alerta.  Este es un problema porque cada evento se almacena en la memoria mientras la regla espera que se active la alerta. Para comprobar este problema, vaya a CONFIGURAR > Reglas de ESA > Servicios. Desde ahí, puede ver la cantidad de eventos que coincidieron en la columna Eventos con coincidencias. Si una gran cantidad de eventos coincidieron con una determinada regla, puede investigar más a fondo la regla para ver si es posible hacerla más eficiente.

Alta coincidencias de eventos ESA

Paso 5: Deshabilitar y reparar la regla que causó problemas

Cuando haya determinado las reglas que se deben reescribir, deshabilítelas y vuelva a escribirlas de modo que no generen un alto volumen de alertas o eventos. Para obtener instrucciones sobre cómo escribir reglas más eficientes, consulte Mejores prácticas.

Deshabilitar reglas

  1. Para deshabilitar reglas, vaya a CONFIGURAR > Reglas de ESA > Servicios y seleccione las reglas que desea deshabilitar en el campo Estadísticas de reglas implementadas.
  2. Seleccione Deshabilitar para deshabilitar las reglas. 

Editar reglas

  1. Para reparar las reglas, vaya a CONFIGURAR > Reglas de ESA > Reglas > Biblioteca de reglas. Seleccione la regla que desea editar y haga clic en el ícono de accionesÍcono Acciones.
  2. Seleccione Editar.
  3. Edite la regla para que sea más eficiente. Para obtener instrucciones sobre cómo crear reglas, consulte Agregar reglas a la Biblioteca de reglas
  4. Cuando esté conforme con la regla, puede guardarla como una regla de prueba para asegurarse de que los problemas relacionados con la memoria no afecten el rendimiento de los servicios de ESA. Para esto, siga los pasos que se indican en Trabajar con reglas de prueba.

Habilitar reglas

  1. Para habilitar reglas, vaya a CONFIGURAR > Reglas de ESA > Servicios y seleccione las reglas que desea habilitar en el campo Estadísticas de reglas implementadas.
  2. Seleccione Activar para habilitar las reglas. 

(Opcional) Comprobar los archivos de registro de ESA para obtener más información

Cuando verifique que los servicios están inactivos y algunas causas potenciales de la falla del sistema, compruebe si el servicio se detiene y se reinicia en un loop.  Para esto, consulte los registros de ESA. En la vista ADMIN > Servicios, seleccione el servicio ESA y, luego, elija Ícono Acciones > Ver > Registros

Si no puede acceder a los registros de ESA desde la interfaz de NetWitness Suite, puede acceder al sistema mediante el protocolo SSH y dirigirse a: opt/rsa/esa/logs/esa.log.

Previous Topic:Mejores prácticas
You are here
Table of Contents > Introducción de ESA > Solucionar problemas de ESA

Attachments

    Outcomes