Reporting: Troubleshooting

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode

Dieser Abschnitt enthält Anweisungen für das Troubleshooting bei Problemen, die auftreten können, wenn Sie das Modul Reporting inNetWitness Suite verwenden.

Troubleshooting bei Problemen vor dem Konfigurieren des SFTP-Servers

Verfahren

Führen Sie die folgenden Schritte aus, wenn Probleme mit einem konfigurierten Linux-SFTP-Server auftreten:

  1. Wenn die Berichtausgabe für den konfigurierten SFTP-fehlschlägt, müssen Sie sich mit SSH mit dem FTP-Server verbinden und versuchen, eine lokale Verbindung herzustellen, um zu überprüfen, ob SFTP ordnungsgemäß funktioniert.

    Verbinden Sie sich mit dem SFTP-Server:

    Verbinden Sie sich mit dem SFTP-Server

  2. Wenn die lokale Verbindung fehlschlägt, öffnen Sie die Datei sshd_config> vi /etc/ssh/sshd_config.
  3. Suchen Sie in der Datei nach folgendem Eintrag:

    # override default of no subsystems
    Subsystem sftp /usr/libexec/openssh/sftp-server

  4. Wenn dieser Eintrag nicht vorhanden ist, fügen Sie die beiden in Schritt 3 genannten Zeilen am Ende der Datei hinzu und Speichern Sie sie.
  5. Starten Sie den Service über SSH > service sshd restart neu.
  6. Versuchen Sie erneut, die SFTP-Verbindung herzustellen.
  7. Vergewissern Sie sich, dass der SFTP-Port nicht von der Firewall der SA-Server-Appliance blockiert wird. Aktualisieren Sie die iptables-Regeln, um den SFTP-Port freizugeben

Definitionen:

Strenger Parser: Strenger Parser (nicht veraltet) erwartet, dass die Abfragesyntax korrekt eingegeben wurde.
Verwenden Sie für alle Metadaten vom Typ „Text“ Anführungszeichen, z. B. Benutzername = 'Benutzer1'.
Verwenden Sie für IP-Adressen, Ethernet-Adressen und numerische Metadatentypen keine Anführungszeichen. z. B. service = 80 &&
ip.src = 192.168.1.1.
Verwenden Sie für die Metadatentypen Datum und Uhrzeit Anführungszeichen,
wenn das Datums- und Uhrzeitformat 'YYYY-MM-DD HH:MM:SS' ist.
Wenn das Datums- und Uhrzeitformat 1448034064 (Anzahl der Epochensekunden (seit 1. Jan. 1970)) ist, verwenden Sie keine Anführungszeichen.
Die Berichtsabfragen werden mit strengem Parser analysiert, wenn der Konfigurationswert von /sdk/config/query.parse in NWDB-Core-Services streng ist. 

Nicht strenger Parser: Ein nicht strenger Parser (veraltet) erwartet nicht, dass die Abfragesyntax typkorrekt ist, d. h. die Werte für die Metadaten der Typen Text und numerisch können in Anführungszeichen gesetzt werden oder nicht, unabhängig vom Metadatentyp.

Beispiel: Benutzername ist ein Metadatum vom Typ Zeichenfolge, daher können die Werte in Anführungszeichen gesetzt werden oder nicht. Also ist sowohl die Syntax Benutzername = 'Benutzer1' als auch Benutzername = Benutzer gültig. 

Die Berichtsabfragen werden mit nicht strengem Parser analysiert, wenn der Konfigurationswert von /sdk/config/query.parse in NWDB-Core-Services veraltet ist.

Hinweis: Die NWDB-Regel, in der Klausel entsprechend in Anführungszeichen gesetzt wird, wenn die Syntax ein ungültiges Anführungszeichen enthält. Beispiel: Bei ungültigen Metadaten oder fehlenden Trennzeichen werden Status und Fehlermeldung entsprechend aktualisiert.

Next Topic:Anhang
You are here
Table of Contents > Troubleshooting

Attachments

    Outcomes