ESM: Mensajes de registro duplicados

Document created by RSA Information Design and Development Employee on Apr 30, 2018Last modified by RSA Information Design and Development Employee on Apr 28, 2019
Version 3Show Document
  • View in full screen mode
 

Es posible que esté recopilando mensajes del mismo origen de eventos en dos o más Log Collectors. En este tema se describe el problema y las maneras de solucionarlo.

Detalles

Si el agregador de ESM detecta los mismos eventos para el mismo origen de eventos en varios Log Collectors, se recibe una advertencia similar a la siguiente:

2015-03-17 15:25:29,221 [pool-1-thread-6] WARN  com.rsa.smc.esm.groups.events.listeners.EsmStatEventListener -
192.0.2.21-apache had a previous event only 0 seconds ago; likely because it exists on multiple log collectors

Este mensaje de advertencia significa que varios hosts están recopilando el origen de eventos 192.0.2.22-apache. Puede ver la lista de hosts en la columna Log Collector en la pestaña Administrar de la vista Administration > Orígenes de eventos.

Borrar los mensajes duplicados

  1. Detenga collectd en NetWitness Platform y en los Log Decoders:

    Service collectd stop

  2. Elimine el archivo del agregador de ESM que persistió en NetWitness Platform:

    rm /var/lib/netwitness/collectd/ESMAggregator

  3. Restablezca el Log Decoder.
    1. Navegue a REST de Log Decoder en http://<LD_IP_Address>:50102.
    2. Haga clic en decoder(*) para ver las propiedades del Decoder.
    3. En el menú desplegable Propiedades, seleccione Restablecer y haga clic en Enviar.
  4. En el panel Orígenes de eventos de la pestaña Administrar de orígenes de eventos, seleccione todos los orígenes de eventos y haga clic en - para eliminarlos.
You are here
Table of Contents > Solución de problemas/apéndice > Mensajes de registro duplicados

Attachments

    Outcomes