Workbench : Dépannage

Document created by RSA Information Design and Development on Apr 26, 2018
Version 1Show Document
  • View in full screen mode
 

NetWitness Suite informe les utilisateurs des problèmes en utilisant des notifications contextuelles.

NetWitness Suite Workbench renvoie les types de messages d'erreur suivants expliqués dans le tableau ci-dessous.

                                                                                               
ProblèmeCauses possiblesSolutions
Impossible de se connecter au service Workbench dans la page NetWitness Suite Administration de l'interface utilisateur.Le service NetWitness Suite ne fonctionne pas.

Vérifiez que votre service NetWitness Suite fonctionne. Connectez-vous à votre serveur Serveur NetWitness et exécutez la commande suivante :

status nwworkbench 

Les règles du pare-feu doivent autoriser les connexions à partir de 50007, 50607 et 50107.
Vérifiez votre connexion en exécutant la commande suivante :

service iptables status

Vérifiez que vous êtes en mesure de lancer REST. Exécutez la commande suivante pour votre appliance :

https://<IPAddress>:50107 service

Si vous êtes en mesure de lancer le service REST à partir de votre appliance, vous pouvez confirmer qu'il n'y a pas de problème avec l'appliance. Accédez au côté NetWitness Suite pour poursuivre la procédure d'enquête comme suit :

  • Activez le mode débogage et recherchez les erreurs sa.log situées à l'emplacement suivant :

    /var/lib/netwitness/uax/logs 

  • Activez les outils du développeur à l'aide du raccourci Ctrl+Shift+I pour Chrome et vérifiez l'aperçu et la réponse à la demande. 
Impossible de visualiser l'onglet Configuration du service Appliance pour l'appliance Workbench
s'exécutant en mode SSL.
 Activez SSL pour le service d'appliance et redémarrez le service d'appliance. 
Le message d'erreur suivant s'affiche lorsque vous essayez de charger des métas afin de créer un rapport sur une collection Workbench :
« Impossible d'extraire le schéma de la source de données lors de la tentative de chargement de métas. »
 

Chargez des métas pour l'appliance depuis la bibliothèque de règles de l'interface utilisateur de NetWitness Suite et vérifiez s'il y a des erreurs dans le log Reporting Engine situé à l'emplacement suivant:

/home/rsasoc/rsa/soc/reporting- 
engine/logs 

Lancez REST pour le périphérique et recherchez des erreurs si vous exécutez la requête suivante 

/sdk?msg=language&force-content-type=text/plain&expiry=600&size=10 

Aucun résultat ne s'affiche après que vous avez exécuté la requête depuis l'interface utilisateur de NetWitness Suite via le Reporting Engine. 

Exécutez la requête sur le Reporting Engine et recherchez /var/log/messages sur la source de données. Recherchez une requête exacte correspondant à la source de données.

ASTUCE : Recherchez [SDK-Query] dans le fichier log.

Copiez la requête exacte et exécutez depuis SDK de REST pour voir si vous obtenez un résultat.

REST Query: /sdk?msg=query&force-contenttype=text/plain&expiry= 600&query=select%20user.dst&size=10

L'indicateur de stockage disponible de Workbench dans l'onglet Collections Workbench n'est pas précis.
 

L'indicateur de stockage disponible dans l'Interface utilisateur affiche le répertoire Collections par défaut présenté ci-dessous :

/VAR/NETWITNESS/WORKBENCH/COLLECTIONS

Aucune.
Impossible d'ouvrir de nouvelles collections
après avoir ouvert des collections existantes.
Il y a une configuration Workbench appelée « Max Open Collections » qui est définie sur 25 par défaut. Cette configuration spécifie le nombre de collections qui peuvent être ouvertes simultanément.
Vous pouvez modifier ce nombre. Un réglage de zéro désactive la limite du nombre maximal de collections ouvertes.
Ouverture réussie d'une collection qui est passée à l’état Prêt.
Mais après un moment, la collection
est passée automatiquement à l’état Fermé.

Il y a une configuration Workbench appelée « collection.timeout » qui est définie sur 1 200 secondes par défaut.

Cette configuration spécifie le nombre de secondes avant qu'une collection inactive soit automatiquement fermée. Le temps maximum autorisé avant l'expiration du délai est de 86 400 secondes (24 heures).

Un réglage de zéro désactive l'expiration du délai.
La recherche d'une période à l'aide de la commande /database manifest a renvoyé un résultat nul.

Un résultat nul indique qu'il n'y a pas de fichiers nwdb disponibles pour la période.

Aucune.
Collection créée, mais l'état de la collection n'est pas disponible dans Tâches et
la collection ne s'affiche pas dans l'onglet Collections de Workbench.
Vous exécutez peut-être un environnement en mode mixte (par exemple, vous créez une collection sur une version 10.4.x de Workbench à partir d'une interface utilisateur NetWitness Suite 10.5.La collection s'affiche dans l'onglet Collections de Workbench après que vous avez rechargé la page.
Valeurs vierges de Période et de Date de création notées pour les collections.Toutes les collections affichent des valeurs vierges de Période et de Date de création.Les valeurs de Période et de Date de création s'affichent après la mise à niveau vers 10.5. 
Divergence des comportements lors de l'ajout de collections Workbench comme source
de données au Reporting Engine.
Ce comportement dépend de si vous avez une connexion approuvée ou non-approuvée.

Si votre service Workbench est établi avec une connexion approuvée, vous devez ajouter manuellement les collections Workbench sous forme de source au Reporting Engine.

Si votre service Workbench n'est pas établi avec une connexion de confiance lorsque la collection de restauration de Workbench a été créée, il envoie automatiquement un message au Reporting Engine pour l'ajouter en tant que source dans le Reporting Engine.

Les attributs de collection (taille, période et date de création) ne s'affichent pas.

La période ne s'affiche pas pour une collection si le service Jetty est redémarré pendant que la restauration est en cours.

Les collections de restauration créées à partir d'une vue Explorer affichent une période vierge.

Toutes les collections créées sur un Workbench 10.4 afficheront des valeurs vierges de Période et de Date de création après la mise à niveau vers 10.5.

Dans un environnement en mode mixte (Serveur NetWitness 10.5 et Workbench 10.4.x), la taille, la période et la date de création ne s'affichent pas.

Aucune.
Les exceptions ou pages vierges s'affichent lorsque l'on descend dans la hiérarchie sur une
collection Workbench.
La collection s'est fermée car elle a dépassé son délai d'expiration.Analysez la collection depuis le début.
Une collection vide est créée.

Une collection vide s'affiche si la restauration échoue car le service Workbench est redémarré pendant la création de la collection.

Aucune.
Le service s'arrête brutalement. Exécutez le service depuis la ligne de commande et vérifiez s'il y a des erreurs. Par exemple, exécutez la commande depuis la console de serveur /usr/sbin/NwWorkbench pour Workbench.
Demande REST refusée. 

Vérifiez la configuration user.agent.whitelist dans /rest/config/.

Si elle n'est pas vide, il s'agit d'une expression regex qui correspond à des agents utilisateurs HTTP valides. Si le regex ne correspond pas, toutes les demandes REST seront refusées (voir allow.missing.user.agent pour l'exception potentielle). S'il 'est vierge, toutes les demandes sont autorisées.

Les requêtes avec méta brut renvoient des valeurs vierges pour champ Brut. Vérifiez que vous avez un
packet db pertinent.
You are here
Table of Contents > Résolution des problèmes

Attachments

    Outcomes