Mantenimiento del sistema: Solución de problemas de Estado y condición

Document created by RSA Information Design and Development on May 2, 2018Last modified by RSA Information Design and Development on May 3, 2018
Version 5Show Document
  • View in full screen mode
 

Problemas comunes a todos los hosts y los servicios 

Puede ver estadísticas incorrectas en la interfaz de Estado y condición si:

  • Algunos o todos los hosts y los servicios no están aprovisionados y habilitados correctamente.
  • Dispone de una implementación con versiones combinadas (es decir, hosts actualizados a distintas versiones de NetWitness Suite).
  •  Los servicios de soporte no se están ejecutando.

Problemas identificados en mensajes en la interfaz o los archivos de registro

En esta sección se proporciona información de solución de problemas identificados en mensajes que NetWitness Suite muestra en la interfaz de Estado y condición o que incluye en los archivos de registro de Estado y condición.

                 
MensajeInterfaz del usuario:  No se puede establecer conexión al servicio de administración del sistema
El servicio de administración del sistema (SMS) registra:

Caught an exception during connection recovery!
java.io.IOException
at com.rabbitmq.client.impl.AMQChannel.wrap(AMQChannel.java:106)
at com.rabbitmq.client.impl.AMQChannel.wrap(AMQChannel.java:102)
at com.rabbitmq.client.impl.AMQConnection.start(AMQConnection.java:346)
at com.rabbitmq.client.impl.recovery.RecoveryAwareAMQConnectionFactory.
newConnection(RecoveryAwareAMQConnectionFactory.java:36)
at com.rabbitmq.client.impl.recovery.AutorecoveringConnection.
recoverConnection(AutorecoveringConnection.java:388)
at com.rabbitmq.client.impl.recovery.AutorecoveringConnection.
beginAutomaticRecovery(AutorecoveringConnection.java:360)
at com.rabbitmq.client.impl.recovery.AutorecoveringConnection.access$000(AutorecoveringConnection.java:48)
at com.rabbitmq.client.impl.recovery.AutorecoveringConnection$1.
shutdownCompleted(AutorecoveringConnection.java:345)
at com.rabbitmq.client.impl.ShutdownNotifierComponent.notifyListeners(ShutdownNotifierComponent.java:75)
at com.rabbitmq.client.impl.AMQConnection$MainLoop.run(AMQConnection.java:572)
at java.lang.Thread.run(Thread.java:745)
Caused by: com.rabbitmq.client.ShutdownSignalException: connection error
at com.rabbitmq.utility.ValueOrException.getValue(ValueOrException.java:67)
at com.rabbitmq.utility.BlockingValueOrException.uninterruptibleGetValue(BlockingValueOrException.java:33)
at com.rabbitmq.client.impl.AMQChannel$BlockingRpcContinuation.getReply
(AMQChannel.java:343)
at com.rabbitmq.client.impl.AMQConnection.start(AMQConnection.java:292)
... 8 more
Caused by: java.net.SocketException: Connection reset
at java.net.SocketInputStream.read(SocketInputStream.java:189)
at java.net.SocketInputStream.read(SocketInputStream.java:121)
at java.io.BufferedInputStream.fill(BufferedInputStream.java:246)
at java.io.BufferedInputStream.read(BufferedInputStream.java:265)
at java.io.DataInputStream.readUnsignedByte(DataInputStream.java:288)
at com.rabbitmq.client.impl.Frame.readFrom(Frame.java:95)
at com.rabbitmq.client.impl.SocketFrameHandler.readFrame
(SocketFrameHandler.java:139)
at com.rabbitmq.client.impl.AMQConnection$MainLoop.run(AMQConnection.java:532)
Causa posibleEl servicio RabbitMQ no está en ejecución en el Servidor de NetWitness. 
SoluciónReinicie los servicios RabbitMQ, SMS y NetWitness Suite mediante los siguientes comandos.
systemctl restart rabbitmq-server
systemctl restart rsa-sms
systemctl restart jetty

 

                 
Mensaje/
problema
Interfaz del usuario: No se puede establecer conexión al servicio de administración del sistema
CausaEl servicio de administración del sistema, RabbitMQ o Mongo no están en ejecución.  
SoluciónEjecute los siguientes comandos en Servidor de NetWitness para asegurarse de que todos estos servicios estén en ejecución.
[root@nwserver ~]# systemctl status rsa-sms
RSA NetWitness SMS :: Server is not running.
[root@nwserver ~]# systemctl start rsa-sms
Starting RSA NetWitness SMS :: Server...
[root@nwserver ~]# systemctl status rsa-sms
RSA NetWitness SMS :: Server is running (5687).
[root@nwserver ~]# systemctl status mongod
mongod (pid  2779) is running...
systemctl status rabbitmq-server
Status of node nw@localhost ...
[{pid,2501},
 {running_applications,
     [{rabbitmq_federation_management,"RabbitMQ Federation Management",
          "3.3.4"},

 

                 
Mensaje/
problema
Interfaz del usuario: No se puede establecer conexión al servicio de administración del sistema
Causa posibleEl uso de la partición /var/lib/rabbitmq es igual o mayor que el 70 %. 
SoluciónPóngase en contacto con el servicio al cliente.

 

                 
Mensaje/
problema
Interfaz del usuario: Migración del host fallida.
Causa posibleUno o más servicios de NetWitness Suite pueden estar en un estado detenido.
SoluciónAsegúrese de que los siguientes servicios estén en ejecución y reinicie el Servidor de NetWitness:
Archiver, Broker, Concentrator, Decoder, Event Stream Analysis, Response Server, IPDB Extractor, Log Collector, Log Decoder, Malware Analysis, Reporting Engine, Warehouse Connector, Workbench.

 

                 
Mensaje/
problema
Interfaz del usuario: El servidor no está disponible.
Causa posibleUno o más servicios de NetWitness Suite pueden estar en un estado detenido.
SoluciónAsegúrese de que los siguientes servicios estén en ejecución y reinicie el Servidor de NetWitness:  Archiver, Broker, Concentrator, Decoder, Event Stream Analysis, Response Server, IPDB Extractor, Log Collector, Log Decoder, Malware Analysis, Reporting Engine, Warehouse Connector, Workbench.

 

                         
Mensaje/
problema
Interfaz del usuario: El servidor no está disponible
Causa posibleEl servicio de administración del sistema (SMS), RabbitMQ o Mongo no están en ejecución. 
Solución 1Ejecute los siguientes comandos en Servidor de NetWitness para asegurarse de que todos estos servicios estén en ejecución.
[root@nwserver ~]# systemctl status rsa-sms
RSA NetWitness SMS :: Server is not running.
[root@nwserver ~]# systemctl start rsa-sms
Starting RSA NetWitness SMS :: Server...
[root@nwserver ~]# systemctl status rsa-sms
RSA NetWitness SMS :: Server is running (5687).
[root@nwserver ~]# systemctl status mongod
mongod (pid  2779) is running...
 systemctl status rabbitmq-server
Status of node nw@localhost ...
[{pid,2501},
 {running_applications,
     [{rabbitmq_federation_management,"RabbitMQ Federation Management",
          "3.3.4"},
Solución 2Asegúrese de que la partición /var/lib/rabbitmq esté menos del 75 % llena
Solución 3Compruebe los archivos de registro Servidor de NetWitness (var/lib/netwitness/uax/logs/nw.log) para ver si tienen errores.

 

                         
Mensaje/
problema
Context Hub se detiene y no permite agregar o editar listas y orígenes de datos.
Causa posibleEl almacenamiento está lleno en un 95 % o más.
Solución 1

Aumente el almacenamiento mediante la actualización del archivo YML, que se ubica en /etc/netwitness/contexthub-server/ contexthub-server.yml.
Por ejemplo, para aumentar el almacenamiento de 120 a 150 GB, ingrese un valor (en bytes) mediante la edición de los parámetros pertinentes: rsa.contexthub.data.disk-size: 161061273600

Solución 2Elimine la lista grande no deseada o no utilizada.
Solución 3Configure el índice TTL de la lista para eliminar automáticamente los datos STIX y TAXIS y para limpiar espacio de almacenamiento.

 

                         
Mensaje/
problema
Context Hub se ejecuta en una memoria fija y un 50 % está reservado para la caché. Cuando la caché está llena al 100 %, se detiene su respuesta. En el caso de todas las búsquedas nuevas la respuesta será lenta.
Causa posibleLa caché está llena en un 50 % o más.
Solución 1De forma predeterminada, Context Hub limpia la caché cada 30 minutos. Reduzca el tiempo de vencimiento de orígenes de datos de la caché.
Solución 2Deshabilite la caché para los orígenes de datos.
Solución 3

Aumente la memoria RAM del proceso de Java de canales mediante la edición de la opción -Xmx disponible en el archivo /etc/netwitness/contexthub-server/contexthub-server.conf. En JAVA_OPTS, busque la opción -Xmx.
Por ejemplo, edite la entrada de la siguiente manera:
-Xmx8G
donde 8G representa 8 GB de espacio. A continuación, reinicie el servicio Context Hub.

Nota: La memoria es menor que la memoria del sistema disponible. Tenga en cuenta que hay muchos otros servicios que se ejecutan en el host.

 

                             
Mensaje/
problema
El origen de datos de la lista muestra un estado o estadísticas en mal estado.
Causa posible 1No se puede:
  • acceder al origen de datos

  • analizar o leer un archivo CSV
  • diagramar el archivo CSV que no coincide

Causa posible 2No se puede autenticar al acceder al origen de datos.
Solución 1Asegúrese de guardar el archivo csv en la ubicación correcta i.e/var/lib/netwitness/contexthub-server/data/ y verifique los permisos de lectura que se requieren.
Solución 2Asegúrese de que el esquema del archivo csv se especificó durante la configuración de coincidencias del origen de datos. Si no es así, cree un nuevo origen de datos con el nuevo esquema o edite el archivo csv para que coincida con el esquema. Por ejemplo, si configura un origen de datos de la lista con un esquema con columna1, columna2 y columna3. Y la próxima vez actualiza el archivo csv donde aumenta o disminuye el número de columna o donde cambia el orden de las columnas. En este caso, el esquema no coincide y el origen de datos de la lista configurada muestra “mal estado” en las estadísticas de Estado y condición.
Solución 3

Asegúrese de que la contraseña es correcta. Para confirmar la edición del origen de datos, escriba la contraseña y haga clic en Probar conexión.

Para obtener más información relacionada con las soluciones anteriores, consulte el tema Configurar listas como un origen de datos en la Guía de configuración de Context Hub.

Problemas no identificados en la interfaz del usuario ni en los registros

En esta sección se proporciona información de solución de problemas no identificados en mensajes que NetWitness Suite muestra en la interfaz de Estado y condición o que incluye en los archivos de registro de Estado y condición.  Por ejemplo, puede ver información estadística incorrecta en la interfaz. 

 

                 
ProblemaEstadísticas incorrectas mostradas en la interfaz de Estado y condición.
Causa posibleNo se ejecuta el servicio SMS. El servicio SMS debe estar en ejecución en el Servidor de NetWitness.
SoluciónReinicie el servicio SMS.

 

                 
ProblemaNetWitness Suite no muestra la versión a la cual se actualizó hasta que se reinicia jettysrv (servidor de jeTTy). 
Causa posibleCuando NetWitness Suite comprueba una conexión, sondea un servicio cada 30 segundos para ver si está activo. Durante esos 30 segundos, si el servicio vuelve a estar activo, no obtendrá la nueva versión.
Solución
  1. Detenga manualmente el servicio.
  2. Espere hasta que vea que está offline.
  3. Reinicie el servicio.
    NetWitness Suite muestra la versión correcta.

 

                 
ProblemaServidor de NetWitness no muestra la página Servicio no disponible.
Causa posibleDespués de la actualización a NetWitness Suite versión 10.5, JDK 1.8 no es la versión predeterminada y esto hace que jettysrv (servidor de jeTTy) no se inicie. Sin el servidor de jeTTy, el servidor de NetWitness Suite no puede mostrar la página Servicio no disponible
SoluciónReinicie jettysrv.

 

             
ProblemaEl servicio SMS se detiene y se muestra el siguiente error en el archivo de registro: java.lang.OutOfMemoryError: Java heap space

Solución

 

Puede usar la siguiente solución para aumentar la memoria según sus necesidades.

  1. Abra /opt/rsa/sms/conf/wrapper.conf

  2. Reemplace wrapper.java.additional.1=-Xmx8192m por:
    wrapper.java.additional.1=-Xmx16g

  3. Reinicie el servicio SMS:
    systemctl start rsa-sms
You are here
Table of Contents > Monitoreo de Estado y condición de NetWitness Suite > Solución de problemas de Estado y condición

Attachments

    Outcomes