Recopilación de registros: solución de problemas

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • View in full screen mode
 

En este tema se describe el formato y el contenido de la solución de problemas de recopilación de registros. NetWitness Suite informa sobre los problemas de Log Collector o sobre posibles problemas en las dos formas siguientes.

  • Archivos de registro.
  • Vistas de monitoreo del estado y la condición.

Archivos de registro

Si un protocolo de recopilación de orígenes de eventos específico presenta problemas, puede revisar los registros de depuración para investigarlos. Cada origen de eventos posee un parámetro de depuración que puede habilitar (configurar en Activado o Detallado) para capturar estos registros.

Precaución:  Active la depuración solamente si este origen de eventos presenta problemas y necesita investigarlos. Si activa la depuración en todo momento, esta afectará negativamente al rendimiento de Log Collector.

Monitoreo del estado y la condición

El monitoreo del estado y la condición le permite informarse oportunamente de posibles problemas de hardware y software de modo que pueda evitar interrupciones. RSA recomienda monitorear los campos estadísticos de Log Collector para asegurarse de que el servicio funcione de manera eficiente y que no se encuentre en los valores máximos configurados ni cerca de estos. Puede monitorear las siguientes estadísticas que se describen en la vista Admin > Estado y condición.

Ejemplo de formato de solución de problemas

RSA NetWitness Suite devuelve los siguientes tipos de mensajes de error en los archivos de registro.

                 
Mensajes de registro

timestamp failure (LogCollection) Message-Broker Statistics:...

timestamp failure (AMQPClientBaseLogCollection):...
timestamp failure (MessageBrokerLogReceiver):...

Causa posible

El Log Collector no puede comunicarse con el Message Broker porque el Message Broker:

  • dejó de funcionar.
  • posee una configuración de conexión errónea.
Soluciones
  1. <use the="the" systemctl="systemctl" command="command" on="on" console="console" to="to" check="check" status="status" of="of" message="message" broker="broker" shell="shell" console.="console.">returns the following if the message broker is not running:</use>

            prompt$ systemctl status rabbitmq-server

            rabbitmq start/running, process 10916

  1. Inicie el RabbitMQ Message Broker en el nodo event-broker en la vista Explorar:

    Example shows starting the RabbitMQ Message Broker on the event broker node in the Explore view.

Solución de problemas: Recopilación de registros de Windows mediante el agente de Endpoint

Los siguientes temas permiten solucionar problemas que se pueden producir durante el uso del archivo de recopilación de registros de Windows en el agente de Endpoint Insights.

Explicación del formato del archivo de configuración de registros de Windows

Precaución: No edite el archivo de configuración generado. Si se realizan cambios, el agente no lee la información del archivo.

El archivo de configuración de registros contiene información útil para el análisis de registros de eventos. El siguiente es un ejemplo:

El archivo de configuración generado contiene lo siguiente:

  • Nombre de la configuración: Nombre del archivo de configuración.
  • Servidores: Conjunto de direcciones URL de servidores que describen su dirección y el protocolo que se utilizará cuando se reenvíen los registros. El agente intentará ponerse en contacto con ellos en orden.
  • Filtrar: XML compatible con el Visor de eventos de Windows que describe los canales que se inspeccionarán y las exclusiones de ID de evento. Un filtro XML estándar para realizar la recopilación desde la aplicación y el sistema del canal con un ID de evento excluido de ambos tendría el siguiente aspecto:

  • Habilitado: Permite deshabilitar la recopilación, pero enviar de todos modos un registro de prueba si eso está habilitado.
  • TestLogOnLoad: Enviará un mensaje de registro cuando se cargue una configuración, incluso si el reenvío de eventos no está activado. Esto ayuda a los analistas a probar una configuración antes de habilitar la recopilación. Este mensaje no se registra localmente en el registro de eventos de Windows.

Registro de prueba: Cómo leer

El mensaje de registro de prueba se envía cada vez que un agente de Endpoint con el archivo de recopilación de registros de Windows se instala por primera vez en un agente de Endpoint o cuando se actualiza el archivo de configuración de registros. Tras la instalación o la actualización correctas de la recopilación de registros de Windows, se muestran 3 secciones en el archivo de registro de prueba.

                 
1Tipo de mensaje de registro de prueba, dirección IP del agente, nombre de host del agente y hora de generación del registro de prueba
2Configuración que se proporcionó durante la creación del agente
3

Estado y el mensaje asociado con él

Hay tres escenarios.

  1. Implementación correcta de una configuración de recopilación de registros: El tipo de mensaje de registro de prueba será -1 y el estado se mostrará como correcto.

  2. Cada vez que se altera el archivo de configuración de la recopilación de registros: El mensaje de prueba de agente se mostrará como -2 y aparecerá un mensaje que indica que el archivo de configuración se alteró. En caso de que desee aplicar los cambios nuevamente, vuelva a generar el archivo de recopilación de registros.

  3. Cuando el nombre del canal personalizado está incorrecto: Se muestra el mensaje Status Failure. Vuelva a generar la recopilación de registros con el canal correcto.

You are here
Table of Contents > Recopilación de registros: solución de problemas

Attachments

    Outcomes