CLI: Befehle für das Troubleshooting

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

NwConsole bietet die folgenden Befehle, die beim Troubleshooting von Security Analytics hilfreich sind:

  • whatIsWrong: Liefert einen Snapshot von Konfiguration, Statistiken und Fehler- und Warnungsprotokollen zu einem Service für einen angegebenen vergangenen Zeitraum.
  • dbcheck: Führt eine Konsistenzprüfung von Datenbankdateien durch
  • topQuery: Hilft dabei, Abfragen zu ermitteln, die übermäßig viel Zeit in Anspruch nehmen  
  • netbytes: Führt ein Troubleshooting der Netzwerkverbindungen auf dem aktuellen Host durch 
  • netspeed: Führt ein Troubleshooting der Verbindung zwischen dem Hostcomputer, auf dem NwConsole ausgeführt wird, und dem mithilfe des Befehls login verbundenen Remotecomputer durch. 

In den folgenden Abschnitten sowie auf den Seiten mit Informationen zur Hilfe und zu Themen zu NwConsole finden Sie zusätzliche Informationen.

whatIsWrong

Wenn ein Service nicht ordnungsgemäß funktioniert, ist der Grund in der Regel in den Protokollen zu finden, die der Service geschrieben hat. Sie können den Konsolenbefehl whatIsWrong verwenden, um einen Snapshot von Konfiguration, Statistiken und Fehler- und Warnungsprotokollen (einschließlich zugehöriger Kontextprotokolle) zu einem Service für einen angegebenen vergangenen Zeitraum abzurufen. Standardmäßig sind dies die letzten sieben Tage. Sie können die Ergebnisse des ausgeführten Befehls whatIsWrong in einer angegebenen Klartextdatei speichern. Die Ausgabe dieses Befehls kann ein hilfreicher Ausgangspunkt zur Ermittlung eines aktuellen Problems mit einem Service sein.

Um den Konsolenbefehl whatIsWrong verwenden zu können, melden Sie sich mit dem Befehl login bei dem Service an, für den das Troubleshooting durchgeführt werden soll, und führen Sie den Befehl whatIsWrong aus.

Tipp: Verwenden Sie help whatIsWrong, um alle verfügbaren Parameter anzuzeigen, darunter die Anzahl der einzuschließenden vergangenen Tage/Stunden, der Pfadname zum Speichern der Ergebnisse, die Entscheidung, ob die Ergebnisdatei erweitert oder überschrieben werden soll, und das für die Protokollfelder zu verwendende Trennzeichen. Sie können außerdem die Anzahl der für die Kontextermittlung zu verwendenden letzten Protokolle begrenzen und angeben, wie viele Kontextprotokolle pro Warnung/Fehler abgerufen werden sollen.

Wann immer Sie eine Anfrage für Protokolle zu einem Core-Service erhalten haben, sollten Sie zuerst den Befehl „whatIsWrong“ ausführen und die gesammelten Ergebnisse als Ausgangspunkt verwenden.

dbcheck

Der Befehl dbcheck dient zur Konsistenzprüfung von Datenbankdateien (Sitzung, Metadaten, Pakete, Protokolle, Statistiken usw.). Dies kann erforderlich sein, wenn ein Service aufgrund von Konsistenzfehlern in Datenbankdateien nicht gestartet werden kann. In der Regel würde ein Service automatisch wiederhergestellt und Konsistenzprobleme würden beim Start behoben werden. Es kann jedoch vorkommen, dass dies nicht erfolgt. Beim Start eines Services (z. B. Decoder) werden normalerweise die meisten Datenbankdateien nicht gelesen, um so den Start zu beschleunigen. Es wird vorausgesetzt, dass die meisten Dateien in einem konsistenten Zustand sind, und es wird nur eine flüchtige Prüfung der zuletzt geschriebenen Dateien vorgenommen. Treten Probleme auf, können diese Konsistenzprüfungen durch dbcheck ausgeführt werden, aber NUR, wenn der Service nicht ausgeführt wird.  

Achtung: Versuchen Sie nicht, diesen Befehl auszuführen, während ein Service ausgeführt wird.

Beispielsweise können Sie eine einzelne Datei prüfen:

dbcheck /var/netwitness/decoder/packetdb/packet-000000001.nwpdb   

Sie können auch Platzhalter verwenden, um mehrere Dateien zu prüfen:

dbcheck /var/netwitness/decoder/metadb/meta-00000002*.nwmdb

topQuery

Der Befehl topQuery kann hilfreich sein, um Abfragen zu ermitteln, die übermäßig viel Zeit in Anspruch nehmen Dieser Befehl analysiert die Auditprotokolle eines Services und gibt die Top N längsten ausgeführte Abfragen für den angegebenen Zeitraum aus. 

Die einfachste Methode der Ausführung ist durch Anmeldung beim Service (in der Regel ein Broker oder Concentrator) und durch Eingabe von topQuery. Das Standardverhalten ist die Rückgabe der 100 am längsten ausgeführten Abfragen für die letzten sieben Tage. 

Geben Sie für eine Liste der Parameter help topQuery ein. Hier einige weitere Beispiele mit Erklärungen:

topQuery hours=12 top=10

Dieser Befehl gibt die Top-10-Abfragen der letzten 12 Stunden zurück.

topQuery time1="2015-03-01 00:00:00" time2="2015-03-14 00:00:00"

Dieser Befehl gibt die Top-100-Abfragen zwischen dem 1. März 2015 und dem 14. März 2015 aus. Zeiten sind in UTC angegeben, nicht der lokalen Zeitzone.

topQuery input=/var/log/messages output=/tmp/top20.txt top=20 user=sauser1

Statt eine Verbindung zu einem Service herzustellen, werden die Syslog-Auditmeldungen für die Top-20-Abfragen der letzten 7 Tage analysiert, jedoch nur Abfragen, die vom Benutzer sauser1 ausgeführt wurden. Die Top-20-Abfragen werden nicht auf dem Konsolenbildschirm angezeigt, sondern in die Datei /tmp/top20.txt geschrieben. Der Parameter „user“ ist ein Regex, sodass Sie mehrere Benutzernamen angeben können, indem Sie etwa schreiben: user="(sauser1|sauser2)".

netbytes

Der Befehl netbytes ist sehr nützlich beim Troubleshooting der Netzwerkverbindungen auf dem aktuellen Host. Er zeigt kontinuierliche Statistiken zum Senden und Empfangen aller Netzwerkschnittstellen an. Nach der Ausführung müssen Sie STRG+C drücken, um diesen Befehl zu beenden, wodurch auch die NwConsole beendet wird.

netspeed

Der Befehl netspeed dient dazu, ein Troubleshooting der Verbindung zwischen dem Hostcomputer, auf dem NwConsole ausgeführt wird, und dem mithilfe des Befehls login verbundenen Remotecomputer durchzuführen. Sie geben die Anzahl der zu übertragenden Byte an und der Befehl misst die Geschwindigkeit der Verbindung. Der Befehl „netspeed“ ist sehr nützlich für das Troubleshooting von Problemen mit der Aggregationsperformance, die mit dem Netzwerk zusammenhängen könnten.

login somedecoder:50004 admin ...

netspeed transfer=4g

Stellen Sie für das Troubleshooting der Verbindung zwischen einem Concentrator und einem Decoder über SSH eine Verbindung zum Concentrator her, starten Sie NwConsole und melden Sie sich dann bei dem Decoder an und führen Sie netspeed aus. Die Ausgabe durch den Befehl zeigt Ihnen den maximalen Netzwerkdurchsatz an. Wenn dieser deutlich geringer als die standardmäßige 1-Gbit/s-Schnittstelle ist, kann dies auf ein Netzwerkproblem hinweisen.

You are here
Table of Contents > CLI: Befehle für das Troubleshooting

Attachments

    Outcomes