Workbench: Solución de problemas

Document created by RSA Information Design and Development on May 3, 2018
Version 1Show Document
  • View in full screen mode
 

NetWitness Suite informa los problemas a los usuarios mediante notificaciones emergentes.

NetWitness Suite Workbench devuelve los siguientes tipos de mensajes de error que se explican en la siguiente tabla.

                                                                                               
ProblemaCausas posiblesSoluciones
No se puede establecer conexión al servicio Workbench desde la página Administration de la interfaz del usuario de NetWitness Suite.El servicio NetWitness Suite no está en ejecución.

Verifique que el servicio NetWitness Suite esté en ejecución. Inicie sesión en el Servidor de NetWitness y ejecute el siguiente comando:

status nwworkbench 

Las reglas del firewall deben permitir conexiones desde 50007, 50607 y 50107.
Verifique la conexión mediante la ejecución del siguiente comando:

service iptables status

Verifique que pueda iniciar REST. Ejecute el siguiente comando para el dispositivo:

https://<IPAddress>:50107 service

Si puede iniciar el servicio REST para el dispositivo, puede comprobar que este no tiene problemas. Navegue al lado NetWitness Suite con el fin de realizar una investigación más detallada, como se indica a continuación:

  • Habilite el modo de depuración y busque errores en el archivo sa.log, que se encuentra en:

    /var/lib/netwitness/uax/logs 

  • Habilite las herramientas del desarrollador mediante el acceso directo Ctrl+Shift+I en Chrome y verifique la vista previa y la respuesta para la solicitud. 
No se puede ver la pestaña Configuración de servicios de dispositivos para el dispositivo Workbench que se
ejecuta en modo SSL.
 Habilite SSL para el servicio Appliance y reinicie este servicio. 
Se muestra el siguiente mensaje de error cuando se intenta cargar metadatos para crear un informe en una recopilación de Workbench:
“No se puede obtener el esquema desde el origen de datos cuando se intenta cargar metadatos”.
 

Cargue metadatos para el dispositivo desde la Biblioteca de reglas de la interfaz del usuario de NetWitness Suite y busque errores en el registro de Reporting Engine que se encuentra en:

/home/rsasoc/rsa/soc/reporting- 
engine/logs 

Inicie REST para el dispositivo y vea si se producen errores cuando se ejecuta la siguiente consulta:

/sdk?msg=language&force-content-type=text/plain&expiry=600&size=10 

No se muestran resultados después de que se ejecuta la consulta desde la interfaz del usuario de NetWitness Suite a través de Reporting Engine. 

Ejecute la consulta en Reporting Engine y observe /var/log/messages en el origen de datos. Busque una consulta exacta que coincida con el origen de datos.

SUGERENCIA: Busque [SDK-Query] en el archivo de registro.

Copie la consulta exacta y ejecútela desde SDK de REST para ver si obtiene resultados.

REST Query: /sdk?msg=query&force-contenttype=text/plain&expiry= 600&query=select%20user.dst&size=10

El indicador de almacenamiento Disponible de Workbench en la pestaña Recopilaciones de Workbench no es exacto.
 

El indicador de almacenamiento disponible en la interfaz del usuario muestra el siguiente directorio predeterminado de recopilaciones:

/VAR/NETWITNESS/WORKBENCH/COLLECTIONS

Ninguna.
No es posible abrir nuevas recopilaciones después de
que se abren recopilaciones existentes.
Hay una configuración de Workbench denominada “Máximo de recopilaciones abiertas” que está establecida en 25 de manera predeterminada. Esta configuración especifica la cantidad de recopilaciones que puedan estar abiertas al mismo tiempo.
Puede modificar este número. Una configuración de cero inhabilita el límite del máximo de recopilaciones abiertas.
Se abrió correctamente una recopilación que obtuvo el estado Listo.
Sin embargo, después de un momento, la recopilación
cambió automáticamente al estado Cerrado.

Hay una configuración de Workbench denominada “collection.timeout” que está establecida en 1,200 segundos de manera predeterminada.

Esta configuración especifica la cantidad de segundos antes de que una recopilación inactiva se cierre automáticamente. El tiempo máximo permitido antes de que se agote el tiempo de espera es 86,400 segundos (24 horas).

Una configuración de cero inhabilita el tiempo de espera agotado.
La consulta para un rango de tiempo mediante el comando /database manifest devolvió una salida en blanco.

La salida en blanco indica que no hay archivos nwdb disponibles para el rango de tiempo.

Ninguna.
La recopilación se creó, pero su estado de recopilación no está disponible en Trabajos y
la recopilación no se muestra en la pestaña Recopilaciones de Workbench.
Tal vez esté trabajando en un ambiente de modo mixto (por ejemplo, está creando una recopilación en una versión 10.4.x de Workbench desde una interfaz del usuario de NetWitness Suite 10.5.La recopilación se muestra en la pestaña Recopilaciones de Workbench cuando se vuelve a cargar la página.
Se observaron valores en blanco en Rango de fechas y Fecha de creación para las recopilaciones.Todas las recopilaciones muestran valores en blanco en Rango de fechas y Fecha de creación.Los valores de Rango de fechas y Fecha de creación se muestran después de la actualización a 10.5. 
Discrepancia en el comportamiento de la adición de recopilaciones de Workbench como origen de
datos en Reporting Engine.
Este comportamiento depende de si dispone de una conexión de confianza o de una conexión no de confianza.

Si el servicio Workbench se establece con una conexión de confianza, debe agregar recopilaciones de Workbench manualmente como un origen en Reporting Engine.

Si el servicio Workbench no se estableció con una conexión de confianza cuando se creó la recopilación de restauración de Workbench, envía automáticamente un mensaje a Reporting Engine para que lo agregue como un origen en Reporting Engine.

Los atributos de la recopilación (tamaño, rango de fechas y fecha de creación) no se muestran.

El rango de fechas no se muestra para una recopilación si el servicio Jetty se reinicia mientras la restauración está en curso.

Las recopilaciones de restauración creadas desde una vista Explorador muestran un rango de fechas en blanco.

Las recopilaciones creadas en un Workbench 10.4 mostrarán valores de Rango de fechas y Fecha de creación en blanco después de la actualización a 10.5.

En un ambiente de modo mixto (Servidor de NetWitness 10.5 y Workbench 10.4.x), el tamaño, el rango de fechas y la fecha de creación no se muestran.

Ninguna.
Se muestra una excepción o una página en blanco cuando se desglosa a una
recopilación de Workbench.
La recopilación se cerró debido a que superó el tiempo de espera agotado de la recopilación.Investigue la recopilación desde el principio.
Se crea una recopilación vacía.

Se muestra una recopilación vacía si la restauración falla debido al reinicio del servicio Workbench durante la creación de la recopilación.

Ninguna.
El servicio se apaga abruptamente. Ejecute el servicio desde la línea de comandos y busque errores. Por ejemplo, ejecute el comando desde la consola del servidor /usr/sbin/NwWorkbench para Workbench.
Solicitud de REST rechazada. 

Verifique la configuración user.agent.whitelist que se encuentra en /rest/config/.

Si no está en blanco, esta debe ser una expresión regex de modo que coincida con agentes de usuario HTTP válidos. Si regex no coincide, todas las solicitudes REST se rechazarán (consulte la posible excepción en allow.missing.user.agent). Si está en blanco, todas las solicitudes se permiten.

Las consultas con metadatos crudos devuelven valores en blanco para el campo Crudo. Verifique que disponga de una
packet db pertinente.
You are here
Table of Contents > Solución de problemas

Attachments

    Outcomes