ESM: Mensajes de registro duplicados

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

Es posible que esté recopilando mensajes del mismo origen de eventos en dos o más Log Collectors. En este tema se describe el problema y las maneras de solucionarlo.

Detalles

Si el agregador de ESM detecta los mismos eventos para el mismo origen de eventos en varios Log Collectors, se recibe una advertencia similar a la siguiente:

2015-03-17 15:25:29,221 [pool-1-thread-6] WARN  com.rsa.smc.esm.groups.events.listeners.EsmStatEventListener -
192.0.2.21-apache had a previous event only 0 seconds ago; likely because it exists on multiple log collectors

Este mensaje de advertencia significa que varios hosts están recopilando el origen de eventos 192.0.2.22-apache. Puede ver la lista de hosts en la columna Log Collector en la pestaña Administrar de la vista Administration > Orígenes de evento.

Borrar los mensajes duplicados

  1. Detenga collectd en NetWitness Suite y en los Log Decoders:

    Service collectd stop

  2. Elimine el archivo del agregador de ESM que persistió en NetWitness Suite:

    rm /var/lib/netwitness/collectd/ESMAggregator

  3. Restablezca el Log Decoder.
    1. Navegue a REST de Log Decoder en http://<LD_IP_Address>:50102.
    2. Haga clic en decoder(*) para ver las propiedades del Decoder.
    3. En el menú desplegable Propiedades, seleccione Restablecer y haga clic en Enviar.
  4. En el panel Orígenes de evento de la pestaña Administrar de orígenes de eventos, seleccione todos los orígenes de eventos y haga clic en - para eliminarlos.
You are here
Table of Contents > ESM: Solución de problemas > ESM: Mensajes de registro duplicados

Attachments

    Outcomes