Workbench: Troubleshooting

Document created by RSA Information Design and Development on May 10, 2018
Version 1Show Document
  • View in full screen mode
 

NetWitness Suite benachrichtigt Benutzer über Probleme mithilfe von Pop-up-Benachrichtigungen.

NetWitness Suite Workbench gibt die folgenden Arten von Fehlermeldungen aus, die in der untenstehenden Tabelle erklärt werden.

                                                                                               
ProblemMögliche UrsachenLösungen
Es konnte keine Verbindung zum Workbench-Service von der Administrationsseite der NetWitness Suite-Benutzeroberflächehergestellt werden.NetWitness Suite-Service wird nicht ausgeführt.

Stellen Sie sicher, dass der NetWitness Suite-Service ausgeführt wird. Melden Sie sich bei Ihrem NetWitness-Server an und führen Sie den folgenden Befehl aus:

status nwworkbench 

Firewall-Regeln sollten Verbindungen von 50007, 50607 und 50107 zulassen.
Überprüfen Sie Ihre Verbindung, indem Sie den folgenden Befehl ausführen:

service iptables status

Stellen Sie sicher, dass Sie REST starten können. Führen Sie folgenden Befehl für Ihre Appliance aus:

https://<IPAddress>:50107 service

Wenn Sie den REST-Service für Ihre Appliance starten können, können Sie bestätigen, dass es kein Problem mit der Appliance gibt. Navigieren Sie zur NetWitness Suite-Website, um weitere Ermittlungen durchzuführen:

  • Aktivieren Sie den Debug-Modus und achten Sie auf sa.log-Fehler unter:

    /var/lib/netwitness/uax/logs 

  • Aktivieren Sie Entwicklertools mithilfe der Tastenkombination Ctrl+Shift+I für Chrome und überprüfen Sie die Vorschau und Antwort auf die Anforderung. 
Die Registerkarte Appliance-Servicekonfiguration für die im SSL-Modus ausgeführte Workbench-Appliance
konnte nicht angezeigt werden.
 Aktivieren Sie SSL für den Appliance-Service und starten Sie den Appliance-Service von Neuem. 
Die folgende Fehlermeldung wird angezeigt, wenn Sie versuchen, Metadaten zu laden, um einen Bericht über eine Workbench-Sammlung zu erstellen:
„Beim Versuch, Metadaten zu laden, konnte kein Schema von der Datenquelle abgerufen werden.“
 

Laden Sie Metadaten für die Appliance von der Regelbibliothek der NetWitness Suite-Benutzeroberfläche und achten Sie auf Fehlermeldungen im Reporting Engine-Protokoll unter:

/home/rsasoc/rsa/soc/reporting- 
engine/logs 

Starten Sie REST für das Gerät und achten Sie auf jede Fehlermeldung, wenn Sie die folgende Abfrage ausführen.

/sdk?msg=language&force-content-type=text/plain&expiry=600&size=10 

Es werden keine Ergebnisse angezeigt, nachdem eine Abfrage von der NetWitness Suite-Benutzeroberfläche über die Reporting Engine ausgeführt wurde. 

Führen Sie die Abfrage auf der Reporting Engine aus und achten Sie auf /var/log/messages auf der Datenquelle. Suchen Sie nach einer Abfrage, die der Datenquelle genau entspricht.

TIPP: Suchen Sie nach [SDK-Query] in der Protokolldatei.

Kopieren Sie die Abfrage genau und führen Sie sie von REST SDK aus, um zu sehen, ob Sie Ergebnisse erhalten.

REST Query: /sdk?msg=query&force-contenttype=text/plain&expiry= 600&query=select%20user.dst&size=10

Die Workbench-Anzeige des verfügbaren Speichers auf der Registerkarte „Workbench-Sammlungen“ ist nicht genau.
 

Die Anzeige des verfügbaren Speichers in der Benutzeroberfläche zeigt das Standardsammlungsverzeichnis an, wie unten angezeigt:

/VAR/NETWITNESS/WORKBENCH/COLLECTIONS

Keine.
Es können keine neuen Sammlungen geöffnet werden,
nachdem bestehende Sammlungen geöffnet wurden.
Es gibt eine Workbench-Konfiguration namens „Max. geöffnete Sammlungen“, die standardmäßig auf 25 eingestellt ist. Diese Konfiguration bestimmt die Anzahl der Sammlungen, die gleichzeitig geöffnet sein können.
Sie können diesen Wert ändern. Mit dem Wert Null wird der Grenzwert für maximal geöffnete Sammlungen deaktiviert.
Es wurde eine Sammlung erfolgreich geöffnet, die in den Status „Ready“ gelangte.
Aber nach einiger Zeit wechselte die Sammlung
automatisch in den Status „Closed“.

Es gibt eine Workbench-Konfiguration namens „collection.timeout“, die standardmäßig auf 1.200 Sekunden eingestellt ist.

Diese Konfiguration bestimmt die Anzahl Sekunden, bevor eine inaktive Sammlung automatisch geschlossen wird. Die maximal zulässige Zeitdauer, bevor es zum Timeout kommt, ist 86.400 Sekunden (24 Stunden).

Mit dem Wert Null wird der Timeout deaktiviert.
Die Abfrage eines Zeitbereichs mithilfe des Befehls /database manifest gab eine leere Ausgabe zurück.

Eine leere Ausgabe zeigt an, dass keine nwdb-Dateien für den Zeitbereich verfügbar sind.

Keine
Die Sammlung wurde erstellt, aber der Sammlungsstatus ist in Jobs nicht verfügbar und
die Sammlung wird auf der Registerkarte „Sammlungen“ der Workbench nicht angezeigt.
Möglicherweise läuft Ihre Umgebung in einem gemischten Modus, etwa wenn eine Sammlung auf einer 10.4.x-Version von Workbench von einer 10.5 NetWitness Suite-Benutzeroberfläche aus erstellt wird.Die Sammlung wird auf der Registerkarte „Sammlungen“ der Workbench angezeigt, nachdem die Seite erneut geladen wurde.
Die Felder Datenbereich und Erstellungsdatum für Sammlungen sind leer.Alle Sammlungen zeigen die Felder „Datenbereich“ und „Erstellungsdatum leer an.Werte für Datenbereich und Erstellungsdatum werden nach Durchführung des Upgrades auf 10.5 angezeigt. 
Diskrepantes Verhalten beim Hinzufügen von Workbench-Sammlungen
als Datenquelle zu Reporting Engine.
Dieses Verhalten hängt davon ab, ob Sie eine vertrauenswürdige Verbindung haben oder nicht.

Wenn Ihr Workbench-Service mit einer vertrauenswürdigen Verbindung eingerichtet wurde, sollten Sie Workbench-Sammlungen manuell als eine Quelle zu Reporting Engine hinzufügen.

Wenn Ihr Workbench-Service nicht mit einer vertrauenswürdigen Verbindung eingerichtet wurde, als die Workbench-Wiederherstellungssammlung erstellt wurde, sendet er automatisch eine Nachricht an die Reporting Engine, um ihn als eine Quelle in der Reporting Engine hinzuzufügen.

Sammlungsattribute (Größe, Datenbereich und Erstellungsdatum) werden nicht angezeigt.

Der Datenbereich für eine Sammlung wird nicht angezeigt, wenn der Jetty-Service von Neuem gestartet wird, während die Wiederherstellung läuft.

Wiederherstellungssammlungen, die von einer Explorer-Ansicht erstellt wurden, zeigen einen leeren Datenbereich an.

Alle Sammlungen, die auf einer 10.4 Workbench erstellt wurden, zeigen leere Werte für Datenbereich und Erstellungsdatum nach Durchführung des Upgrades auf 10.5 an.

In einer Umgebung mit gemischtem Modus (10.5 NetWitness-Server und 10.4.x Workbench) werden Größe, Datenbereich und Erstellungsdatum nicht angezeigt.

Keine.
Ein Ausnahmefehler oder eine leere Seite wird angezeigt, wenn ein Drill-down in eine
Workbench-Sammlung durchgeführt wird.
Sammlung wurde geschlossen, weil sie das Sammlungs-Timeout überschritten hat.Untersuchen Sie die Sammlung von Beginn an.
Leere Sammlung wurde erstellt.

Leere Sammlung wird angezeigt, wenn die Wiederherstellung fehlschlägt, weil der Workbench-Service während der Erstellung der Sammlung von Neuem gestartet wurde.

Keine
Service fährt plötzlich herunter. Führen Sie den Service von der Befehlszeile aus und achten Sie auf jede Fehlermeldung. Wenn Sie ein Beispiel sehen möchten, führen Sie den Befehl von der Serverkonsole /usr/sbin/NwWorkbench für Workbench aus.
REST-Anforderung verweigert. 

Überprüfen Sie die Konfiguration „user.agent.whitelist“ unter /rest/config/.

Wenn sie nicht leer ist, sollte dies ein Regex-Ausdruck sein, der gültigen HTTP-Benutzeragenten entspricht. Wenn der regex-Ausdruck nicht passt, werden alle REST-Anforderungen verweigert (siehe allow.missing.user.agent für die potenzielle Ausnahme). Wenn er leer ist, werden alle Anforderungen zugelassen.

Abfragen mit Rohmetadaten geben leere Werte für das Feld „Roh“ zurück. Überprüfen Sie, ob Sie über eine relevante
packet db verfügen.
You are here
Table of Contents > Troubleshooting

Attachments

    Outcomes