Systemwartung: Troubleshooting von Integrität und Zustand

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 22, 2018
Version 2Show Document
  • View in full screen mode
 

Häufige Probleme bei allen Hosts und Services 

In der Schnittstelle Integrität und Zustand können falsche Statistiken angezeigt werden, wenn:

  • einige oder alle Hosts und Services nicht korrekt bereitgestellt und aktiviert sind.
  • Sie eine Bereitstellung mit gemischten Versionen verwenden (d. h. Hosts, die auf verschiedene NetWitness Suite-Versionen aktualisiert wurden).
  •  unterstützende Services nicht ausgeführt werden.

Probleme, die durch Meldungen in der Oberfläche oder den Protokolldateien angezeigt werden

Dieser Abschnitt enthält Troubleshooting-Informationen zu Problemen, die durch Meldungen angezeigt werden, die von NetWitness Suite in der Oberfläche „Integrität und Zustand“ angezeigt oder in deren Protokolldateien dokumentiert werden.

                 
MeldungBenutzeroberfläche  Es kann keine Verbindung zum System Management Service hergestellt werden.
SMS-Protokolle (System Management Service):

Caught an exception during connection recovery!
java.io.IOException
at com.rabbitmq.client.impl.AMQChannel.wrap(AMQChannel.java:106)
at com.rabbitmq.client.impl.AMQChannel.wrap(AMQChannel.java:102)
at com.rabbitmq.client.impl.AMQConnection.start(AMQConnection.java:346)
at com.rabbitmq.client.impl.recovery.RecoveryAwareAMQConnectionFactory.
newConnection(RecoveryAwareAMQConnectionFactory.java:36)
at com.rabbitmq.client.impl.recovery.AutorecoveringConnection.
recoverConnection(AutorecoveringConnection.java:388)
at com.rabbitmq.client.impl.recovery.AutorecoveringConnection.
beginAutomaticRecovery(AutorecoveringConnection.java:360)
at com.rabbitmq.client.impl.recovery.AutorecoveringConnection.access$000(AutorecoveringConnection.java:48)
at com.rabbitmq.client.impl.recovery.AutorecoveringConnection$1.
shutdownCompleted(AutorecoveringConnection.java:345)
at com.rabbitmq.client.impl.ShutdownNotifierComponent.notifyListeners(ShutdownNotifierComponent.java:75)
at com.rabbitmq.client.impl.AMQConnection$MainLoop.run(AMQConnection.java:572)
at java.lang.Thread.run(Thread.java:745)
Caused by: com.rabbitmq.client.ShutdownSignalException: connection error
at com.rabbitmq.utility.ValueOrException.getValue(ValueOrException.java:67)
at com.rabbitmq.utility.BlockingValueOrException.uninterruptibleGetValue(BlockingValueOrException.java:33)
at com.rabbitmq.client.impl.AMQChannel$BlockingRpcContinuation.getReply
(AMQChannel.java:343)
at com.rabbitmq.client.impl.AMQConnection.start(AMQConnection.java:292)
... 8 more
Caused by: java.net.SocketException: Connection reset
at java.net.SocketInputStream.read(SocketInputStream.java:189)
at java.net.SocketInputStream.read(SocketInputStream.java:121)
at java.io.BufferedInputStream.fill(BufferedInputStream.java:246)
at java.io.BufferedInputStream.read(BufferedInputStream.java:265)
at java.io.DataInputStream.readUnsignedByte(DataInputStream.java:288)
at com.rabbitmq.client.impl.Frame.readFrom(Frame.java:95)
at com.rabbitmq.client.impl.SocketFrameHandler.readFrame
(SocketFrameHandler.java:139)
at com.rabbitmq.client.impl.AMQConnection$MainLoop.run(AMQConnection.java:532)
Mögliche UrsacheRabbitMQ-Service wird nicht auf dem NetWitness-Server ausgeführt. 
LösungStarten Sie den RabbitMQ-, SMS- und NetWitness Suite-Service mithilfe der folgenden Befehle neu.
systemctl restart rabbitmq-server
systemctl restart rsa-sms
systemctl restart jetty

 

                 
Meldung/
Problem
Benutzeroberfläche Es kann keine Verbindung zum System Management Service hergestellt werden.
UrsacheDer System Management Service, der RabbitMQ- oder der Mongo-Service wird nicht ausgeführt.  
LösungFühren Sie auf dem NetWitness-Server die folgenden Befehle aus, um zu überprüfen, ob alle diese Services ausgeführt werden.
[root@nwserver ~]# systemctl status rsa-sms
RSA NetWitness SMS :: Server is not running.
[root@nwserver ~]# systemctl start rsa-sms
Starting RSA NetWitness SMS :: Server...
[root@nwserver ~]# systemctl status rsa-sms
RSA NetWitness SMS :: Server is running (5687).
[root@nwserver ~]# systemctl status mongod
mongod (pid  2779) is running...
systemctl status rabbitmq-server
Status of node nw@localhost ...
[{pid,2501},
 {running_applications,
     [{rabbitmq_federation_management,"RabbitMQ Federation Management",
          "3.3.4"},

 

                 
Meldung/
Problem
Benutzeroberfläche: Es kann keine Verbindung zum System Management Service hergestellt werden.
Mögliche UrsachePartition /var/lib/rabbitmq ist zu 70 % oder mehr belegt. 
LösungWenden Sie sich an den Kundendienst.

 

                 
Meldung/
Problem
Benutzeroberfläche Hostmigration fehlgeschlagen.
Mögliche UrsacheEin oder mehrere NetWitness Suite-Services haben möglicherweise den Status Beendet.
LösungÜberprüfen Sie, ob die folgenden Services ausgeführt werden, und starten Sie dann den NetWitness-Server neu:
Archiver, Broker, Concentrator, Decoder, Event Stream Analysis, Response Server, IPDB Extractor, Log Collector, Log Decoder, Malware Analysis, Reporting Engine, Warehouse Connector, Workbench.

 

                 
Meldung/
Problem
Benutzeroberfläche Server nicht verfügbar.
Mögliche UrsacheEin oder mehrere NetWitness Suite-Services haben möglicherweise den Status Beendet.
LösungÜberprüfen Sie, ob die folgenden Services ausgeführt werden, und starten Sie dann den NetWitness-Server neu:  Archiver, Broker, Concentrator, Decoder, Event Stream Analysis, Response Server, IPDB Extractor, Log Collector, Log Decoder, Malware Analysis, Reporting Engine, Warehouse Connector, Workbench.

 

                         
Meldung/
Problem
Benutzeroberfläche: Server nicht verfügbar.
Mögliche UrsacheDer System Management Service (SMS), der RabbitMQ- oder der Mongo-Service wird nicht ausgeführt. 
Lösung 1Führen Sie auf dem NetWitness-Server die folgenden Befehle aus, um zu überprüfen, ob alle diese Services ausgeführt werden.
[root@nwserver ~]# systemctl status rsa-sms
RSA NetWitness SMS :: Server is not running.
[root@nwserver ~]# systemctl start rsa-sms
Starting RSA NetWitness SMS :: Server...
[root@nwserver ~]# systemctl status rsa-sms
RSA NetWitness SMS :: Server is running (5687).
[root@nwserver ~]# systemctl status mongod
mongod (pid  2779) is running...
 systemctl status rabbitmq-server
Status of node nw@localhost ...
[{pid,2501},
 {running_applications,
     [{rabbitmq_federation_management,"RabbitMQ Federation Management",
          "3.3.4"},
Lösung 2Stellen Sie sicher, dass die Partition /var/lib/rabbitmq zu weniger als 75 % belegt ist.
Lösung 3Prüfen Sie die NetWitness-Server-Protokolldateien (var/lib/netwitness/uax/logs/nw.log) auf Fehler.

 

                         
Meldung/
Problem
ContextHub wird beendet und ermöglicht es Ihnen nicht, Datenquellen und Listen hinzuzufügen oder zu bearbeiten.
Mögliche UrsacheDer Speicher ist zu mindestens 95 % voll.
Lösung 1

Vergrößern Sie den Speicher durch Aktualisieren der YML-Datei, die sich im Verzeichnis „/etc/netwitness/contexthub-server/ contexthub-server.yml“ befindet.
Geben Sie beispielsweise zum Vergrößern des Speichers von 120 GB auf 150 GB einen Wert (in Byte) ein, indem Sie den relevanten Parameter bearbeiten: rsa.contexthub.data.disk-size: 161061273600

Lösung 2Löschen Sie eine unerwünschte oder nicht verwendete große Liste.
Lösung 3Konfigurieren Sie den TTL-Index für die Liste, um automatisch STIX- und TAXI-Daten zu löschen und Speicherplatz zu bereinigen.

 

                         
Meldung/
Problem
Context Hub wird auf einem festen Arbeitsspeicher ausgeführt und 50 % ist für den Cache reserviert. Wenn der Cache zu 100 % voll ist, reagiert der Cache nicht mehr. Bei allen neuen Suchvorgängen ist die Reaktion langsam.
Mögliche UrsacheDer Cache ist zu mindestens 50 % voll.
Lösung 1Standardmäßig bereinigt Context Hub den Cache alle 30 Minuten. Reduzieren Sie die Cacheablaufzeit von Datenquellen.
Lösung 2Deaktivieren Sie den Cache für Datenquellen.
Lösung 3

Vergrößern Sie den RAM des CH Java-Prozesses durch Bearbeiten der Option -Xmx, die in der Datei „/etc/netwitness/contexthub-server/contexthub-server.conf“ verfügbar ist. Suche Sie in JAVA_OPTS nach der Option -Xmx.
Bearbeiten Sie den Eintrag beispielsweise wie folgt:
-Xmx8G
, wobei 8G für 8 GB Speicherplatz steht. Starten Sie dann den ContextHub-Service neu.

Hinweis: Der Arbeitsspeicher ist kleiner als der verfügbare Systemspeicher. Beachten Sie, dass viele andere Services auf dem Host ausgeführt werden.

 

                             
Meldung/
Problem
Die Listendatenquelle zeigt eine fehlerhafte Statistik oder einen fehlerhaften Status an.
Mögliche Ursache 1Folgendes ist nicht möglich:
  • Zugriff auf die Datenquelle

  • Analysieren oder Lesen einer CSV-Datei
  • Schematische Darstellung von nicht übereinstimmenden CSV-Dateien

Mögliche Ursache 2Authentifizierung beim Zugriff auf die Datenquelle nicht möglich.
Lösung 1Achten Sie darauf, die CSV-Datei am richtigen Speicherort zu speichern, d. h im Verzeichnis „/var/lib/netwitness/contexthub-server/data/“, und überprüfen Sie die erforderlichen Leseberechtigungen.
Lösung 2Vergewissern Sie sich, dass das während der Konfiguration der Datenquelle angegebene Schema der CSV-Datei übereinstimmt. Wenn dies nicht der Fall ist, erstellen Sie entweder eine neue Datenquelle mit dem neuen Schema oder bearbeiten Sie die CSV-Datei, um das Schema anzupassen. Beispiel: Bei der Konfigurierung einer Listendatenquelle mit einem Schema mit Spalte 1, Spalte 2 und Spalte 3. Und bei der nächsten Aktualisierung der CSV-Datei, bei der die Anzahl der Spalten erhöht bzw. verringert oder Reihenfolge der Spalten geändert wird. In diesem Fall stimmt das Schema nicht überein und die konfigurierte Listendatenquelle zeigt den Status „Fehlerhaft“ in der Statistik für Integrität und Zustand an.
Lösung 3

Vergewissern Sie sich, dass das Passwort korrekt ist. Um die Bearbeitung der Datenquelle zu bestätigen, geben Sie das Passwort ein und klicken Sie auf „Verbindung testen“.

Weitere Informationen zu den oben genannten Lösungen finden Sie im Thema „Konfigurieren von Listen als Datenquelle“ im Context Hub-Konfigurationsleitfaden.

Nicht in der Benutzeroberfläche oder den Protokollen dokumentierte Fehler

Dieser Abschnitt enthält Troubleshooting-Informationen zu Problemen, die nicht durch Meldungen angezeigt werden, die von NetWitness Suite in der Oberfläche „Integrität und Zustand“ angezeigt oder in deren Protokolldateien dokumentiert werden.  Beispiel: Es können falsche statistische Informationen in der Oberfläche angezeigt werden. 

 

                 
ProblemFalsche Statistiken in der Oberfläche Integrität und Zustand.
Mögliche UrsacheDer SMS-Service wird nicht ausgeführt. Der SMS-Service muss auf dem NetWitness-Server ausgeführt werden.
LösungStarten Sie den SMS-Service neu.

 

                 
ProblemNetWitness Suite zeigt nicht an, auf welche Version ein Upgrade durchgeführt wurde, bis Sie jettysrv (den jeTTy-Server) neu starten. 
Mögliche UrsacheBeim Überprüfen einer Verbindung durch NetWitness Suite wird alle 30 Sekunden ein Service abgefragt, um zu überprüfen, ob er aktiv ist. Wird der Service während dieser 30 Sekunden erneut angezeigt, erhält er keine neue Version.
Lösung
  1. Beenden Sie den Service manuell.
  2. Warten Sie, bis angezeigt wird, dass der Service offline ist.
  3. Starten Sie den Service neu.
    NetWitness Suite zeigt die richtige Version an.

 

                 
ProblemDer NetWitness-Server zeigt die Seite Service nicht verfügbar nicht an.
Mögliche UrsacheNach einem Upgrade auf NetWitness Suite Version 10.5 ist JDK 1.8 nicht die Standardversion. Dies führt dazu, dass jettysrv (der jeTTy-Server) nicht gestartet wird. Ohne den jeTTy-Server kann der NetWitness Suite-Server die Seite Service nicht verfügbar nicht anzeigen. 
LösungStarten Sie den jettysrv neu.

 

             
ProblemDer SMS-Service wurde angehalten und die folgende Fehlermeldung wird in der Protokolldatei angezeigt: java.lang.OutOfMemoryError: Java heap space

Lösung

 

Sie können mit der folgenden Lösung den Speicher je nach Ihren Anforderungen erhöhen.

  1. Öffnen Sie die Datei „/opt/rsa/esa/conf/wrapper.conf“.

  2. Ersetzen Sie wrapper.java.additional.1=-Xmx8192m durch:
    wrapper.java.additional.1=-Xmx16g

  3. Starten Sie den SMS-Service neu:
    systemctl start rsa-sms
You are here
Table of Contents > Überwachen von Integrität und Zustand in der NetWitness Suite > Troubleshooting von Integrität und Zustand

Attachments

    Outcomes