Maintenance sys : Résolution des problèmes liés à l'intégrité

Document created by RSA Information Design and Development on Apr 26, 2018Last modified by RSA Information Design and Development on May 2, 2018
Version 2Show Document
  • View in full screen mode
 

Problèmes communs à tous les hôtes et services 

Vous pouvez voir des statistiques erronées dans l'interface Intégrité si :

  • certains ou l’ensemble des hôtes et des services ne sont pas correctement provisionnés et activés ;
  • votre déploiement repose sur plusieurs versions (c'est-à-dire que les hôtes sont mis à jour vers différentes versions de NetWitness Suite) ;
  •  les services de support ne sont pas en cours d'exécution.

Problèmes identifiés par des messages dans l'interface ou par des fichiers logs

Cette section fournit des informations de dépannage pour les problèmes identifiés par des messages que NetWitness Suite affiche dans l'interface Intégrité ou inclut dans les fichiers log d'intégrité.

                 
MessageInterface utilisateur :  Impossible de se connecter au service de gestion du système
Logs du service de gestion du système :

Caught an exception during connection recovery!
java.io.IOException
at com.rabbitmq.client.impl.AMQChannel.wrap(AMQChannel.java:106)
at com.rabbitmq.client.impl.AMQChannel.wrap(AMQChannel.java:102)
at com.rabbitmq.client.impl.AMQConnection.start(AMQConnection.java:346)
at com.rabbitmq.client.impl.recovery.RecoveryAwareAMQConnectionFactory.
newConnection(RecoveryAwareAMQConnectionFactory.java:36)
at com.rabbitmq.client.impl.recovery.AutorecoveringConnection.
recoverConnection(AutorecoveringConnection.java:388)
at com.rabbitmq.client.impl.recovery.AutorecoveringConnection.
beginAutomaticRecovery(AutorecoveringConnection.java:360)
at com.rabbitmq.client.impl.recovery.AutorecoveringConnection.access$000(AutorecoveringConnection.java:48)
at com.rabbitmq.client.impl.recovery.AutorecoveringConnection$1.
shutdownCompleted(AutorecoveringConnection.java:345)
at com.rabbitmq.client.impl.ShutdownNotifierComponent.notifyListeners(ShutdownNotifierComponent.java:75)
at com.rabbitmq.client.impl.AMQConnection$MainLoop.run(AMQConnection.java:572)
at java.lang.Thread.run(Thread.java:745)
Caused by: com.rabbitmq.client.ShutdownSignalException: connection error
at com.rabbitmq.utility.ValueOrException.getValue(ValueOrException.java:67)
at com.rabbitmq.utility.BlockingValueOrException.uninterruptibleGetValue(BlockingValueOrException.java:33)
at com.rabbitmq.client.impl.AMQChannel$BlockingRpcContinuation.getReply
(AMQChannel.java:343)
at com.rabbitmq.client.impl.AMQConnection.start(AMQConnection.java:292)
... 8 more
Caused by: java.net.SocketException: Connection reset
at java.net.SocketInputStream.read(SocketInputStream.java:189)
at java.net.SocketInputStream.read(SocketInputStream.java:121)
at java.io.BufferedInputStream.fill(BufferedInputStream.java:246)
at java.io.BufferedInputStream.read(BufferedInputStream.java:265)
at java.io.DataInputStream.readUnsignedByte(DataInputStream.java:288)
at com.rabbitmq.client.impl.Frame.readFrom(Frame.java:95)
at com.rabbitmq.client.impl.SocketFrameHandler.readFrame
(SocketFrameHandler.java:139)
at com.rabbitmq.client.impl.AMQConnection$MainLoop.run(AMQConnection.java:532)
Cause probableLe service RabbitMQ n'est pas en cours d'exécution sur Serveur NetWitness. 
SolutionRedémarrez le service RabbitMQ, SMS et les services NetWitness Suite avec les commandes suivantes.
systemctl restart rabbitmq-server
systemctl restart rsa-sms
systemctl restart jetty

 

                 
Message/
Problème
Interface utilisateur : Impossible de se connecter au service de gestion du système
CauseLe service de gestion du système, le service RabbitMQ ou le service Mongo n'est pas en cours d'exécution.  
SolutionExécutez les commandes suivantes sur le serveur Serveur NetWitness pour vérifier que ces services sont en cours d'exécution.
[root@nwserver ~]# systemctl status rsa-sms
RSA NetWitness SMS :: Server is not running.
[root@nwserver ~]# systemctl start rsa-sms
Starting RSA NetWitness SMS :: Server...
[root@nwserver ~]# systemctl status rsa-sms
RSA NetWitness SMS :: Server is running (5687).
[root@nwserver ~]# systemctl status mongod
mongod (pid  2779) is running...
systemctl status rabbitmq-server
Status of node nw@localhost ...
[{pid,2501},
 {running_applications,
     [{rabbitmq_federation_management,"RabbitMQ Federation Management",
          "3.3.4"},

 

                 
Message/
Problème
Interface utilisateur : Impossible de se connecter au service de gestion du système
Cause probableL'utilisation de la partition /var/lib/rabbitmq est de 70 % ou plus. 
SolutionContactez le Support Clients.

 

                 
Message/
Problème
Interface utilisateur : Échec de la migration d'hôte.
Cause probableUn ou plusieurs services NetWitness Suite peuvent se trouver à l'état arrêté.
SolutionAssurez-vous que les services suivants sont en cours d'exécution, puis redémarrez Serveur NetWitness :
Archiver, Broker, Concentrator, Decoder, Event Stream Analysis, serveur Répondre, IPDB Extractor, Log Collector, Log Decoder, Malware Analysis, Reporting Engine, Warehouse Connector, Workbench.

 

                 
Message/
Problème
Interface utilisateur : serveur indisponible.
Cause probableUn ou plusieurs services NetWitness Suite peuvent se trouver à l'état arrêté.
SolutionAssurez-vous que les services suivants sont en cours d'exécution, puis redémarrez Serveur NetWitness :  Archiver, Broker, Concentrator, Decoder, Event Stream Analysis, serveur Répondre, IPDB Extractor, Log Collector, Log Decoder, Malware Analysis, Reporting Engine, Warehouse Connector, Workbench.

 

                         
Message/
Problème
Interface utilisateur : Serveur non disponible
Cause probableLe service de gestion du système, le service RabbitMQ ou le service Mongo n'est pas en cours d'exécution. 
Solution 1Exécutez les commandes suivantes sur le serveur Serveur NetWitness pour vérifier que ces services sont en cours d'exécution.
[root@nwserver ~]# systemctl status rsa-sms
RSA NetWitness SMS :: Server is not running.
[root@nwserver ~]# systemctl start rsa-sms
Starting RSA NetWitness SMS :: Server...
[root@nwserver ~]# systemctl status rsa-sms
RSA NetWitness SMS :: Server is running (5687).
[root@nwserver ~]# systemctl status mongod
mongod (pid  2779) is running...
 systemctl status rabbitmq-server
Status of node nw@localhost ...
[{pid,2501},
 {running_applications,
     [{rabbitmq_federation_management,"RabbitMQ Federation Management",
          "3.3.4"},
Solution 2Vérifiez que la partition /var/lib/rabbitmq est à moins de 75 % de sa capacité maximale.
Solution 3Consultez les erreurs liées aux fichiers log Serveur NetWitness (var/lib/netwitness/uax/logs/nw.log).

 

                         
Message/
Problème
ContextHub s’arrête et ne permet pas d’ajouter ou de modifier des sources de données et des listes.
Cause probableLe stockage est rempli à 95 % ou plus.
Solution 1

Augmentez l’espace de stockage en mettant à jour le fichier YML, situé à l’emplacement /etc/netwitness/contexthub-server/contexthub-server.yml.
Par exemple, pour augmenter l’espace de stockage de 120 à 150 Go, saisissez une valeur (en octets) en modifiant le paramètre approprié : rsa.contexthub.data.disk-size: 161061273600

Solution 2Supprimez une longue liste indésirable ou inutilisée.
Solution 3Configurer l’index TTL de la liste pour supprimer automatiquement les données STIX et TAXI, nettoyant ainsi l’espace de stockage.

 

                         
Message/
Problème
Context Hub s’exécute sur une mémoire morte et 50 % sont réservés pour le cache. Lorsque le cache est rempli à 100 %, la réponse du cache s’arrête. Pour toutes les nouvelles recherches, les temps de réponse seront ralentis.
Cause probableLe cache est rempli à 50 % ou plus.
Solution 1Par défaut, Context Hub nettoie le cache toutes les 30 minutes. Réduisez le délai d’expiration du cache des sources de données.
Solution 2Désactivez le cache pour les sources de données.
Solution 3

Augmentez la mémoire RAM du processus CH Java en modifiant l’option -Xmx disponible dans le fichier /etc/netwitness/contexthub-server/contexthub-server.conf. Dans JAVA_OPTS, recherchez l’option -Xmx.
Par exemple, modifiez l’entrée comme suit :
-Xmx8G
8G représente 8 Go d’espace. Redémarrez ensuite le service Context Hub.

Remarque : La mémoire est inférieure à la mémoire système disponible. N’oubliez pas qu’il y a beaucoup d’autres services s’exécutant sur l’hôte.

 

                             
Message/
Problème
La source de données de liste affiche des statistiques ou un état non opérationnel.
Cause probable 1Il est impossible de :
  • accéder à la source de données

  • analyser ou lire un fichier CSV
  • afficher un schéma correspondant au fichier CSV

Cause probable 2L’authentification est impossible lors de l’accès à la source de données.
Solution 1Veillez à enregistrer le fichier CSV au bon emplacement, par exemple /var/lib/netwitness/contexthub-server/data/ et à vérifier les autorisations de lecture requises.
Solution 2Assurez-vous que le schéma de fichier CSV spécifié pendant la configuration de la source de données correspond. Dans le cas contraire, créez une nouvelle source de données avec un nouveau schéma, ou modifiez le fichier CSV afin qu’il corresponde au schéma. Par exemple, admettons que vous configurez une Source de données de liste avec un schéma comportant column1, column2 et column3. Lors de la prochaine mise à jour du fichier CSV, le nombre de colonnes augmente ou diminue, ou l’ordre des colonnes est modifié. Dans ce cas, le schéma ne correspond plus et la source de données de liste configurée s’affichera comme étant « non opérationnelle » dans les statistiques d’Intégrité.
Solution 3

Assurez-vous que le mot de passe est correct. Pour confirmer la modification de la source de données, entrez le mot de passe et cliquez sur Tester la connexion.

Pour plus d’informations liées aux solutions ci-dessus, reportez-vous à la rubrique Configurer des listes en tant que sources de données dans le Guide de Configuration de Context Hub.

Problèmes non identifiés par l'interface utilisateur ou les logs

Cette section fournit des informations de dépannage pour les problèmes non identifiés par des messages que NetWitness Suite affiche dans l'interface Intégrité ou inclut dans les fichiers log d'Intégrité.  Par exemple, vous pouvez voir des statistiques incorrectes dans l'interface. 

 

                 
ProblèmeStatistiques incorrectes affichées dans l'interface Intégrité.
Cause probableLe service SMS n’est pas en cours d’exécution. Le service SMS doit être en cours d’exécution sur Serveur NetWitness.
SolutionRedémarrez le service SMS.

 

                 
ProblèmeNetWitness Suite n'affiche pas la version vers laquelle vous avez mis à niveau tant que vous n'avez pas redémarré jettysrv (serveur jeTTy). 
Cause probableLorsque NetWitness Suite vérifie une connexion, il interroge un service toutes les 30 secondes pour voir s’il est actif. Durant ces 30 secondes, si le service est à nouveau opérationnel, il ne recevra pas la nouvelle version.
Solution
  1. Arrêtez le service manuellement.
  2. Attendez qu'il passe hors ligne.
  3. Redémarrez le service.
    NetWitness Suite affiche la version correcte.

 

                 
ProblèmeServeur NetWitness n'affiche pas la page Service non disponible.
Cause probableAprès avoir effectué la mise à niveau vers NetWitness Suite version 10.5, JDK 1.8 n'est pas la version par défaut et le jettysrv (serveur jeTTy) ne parvient pas à démarrer. Sans le serveur jeTTy, le serveur NetWitness Suite ne peut pas afficher la page Service non disponible
SolutionRedémarrez jettysrv.

 

             
ProblèmeLe service SMS est arrêté et le message d’erreur suivant s’affiche dans le fichier log : java.lang.OutOfMemoryError: Java heap space

Solution

 

Vous pouvez utiliser la solution suivante afin d’augmenter la quantité de mémoire en fonction de vos besoins.

  1. Ouvrez /opt/rsa/sms/conf/wrapper.conf

  2. Remplacez wrapper.java.additional.1=-Xmx8192m par :
    wrapper.java.additional.1=-Xmx16g

  3. Redémarrez le service SMS :
    systemctl start rsa-sms
You are here
Table of Contents > Surveiller l’intégrité de NetWitness Suite > Résoudre les problèmes liés à l'intégrité

Attachments

    Outcomes