Protokollsammlung: Troubleshooting

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In diesem Thema werden Format und Inhalt des Troubleshootings der Protokollsammlung beschrieben. NetWitness Suite informiert Sie auf die folgenden beiden Arten über Probleme oder potenzielle Probleme mit Log Collector.

  • Protokolldateien
  • Ansichten zur Überwachung der Integrität und des Zustands

Protokolldateien

Wenn Sie ein Problem mit einem bestimmten Ereignisquellen-Sammlungsprotokoll haben, können Sie Debugging-Protokolle überprüfen, um dieses Problem zu untersuchen. Jede Ereignisquelle verfügt über einen Debug-Parameter, den Sie aktivieren können (stellen Sie den Parameter auf Ein oder Detailliert), um diese Protokolle zu erfassen.

Achtung:  Aktivieren Sie das Debugging nur, wenn Sie ein Problem mit dieser Ereignisquelle haben und Sie dieses Problem untersuchen müssen. Wenn Sie das Debugging ständig aktiviert haben, wirkt sich dies negativ auf die Performance des Log Collector aus.

Überwachung der von Integrität und Zustand

Die Überwachung von Integrität und Zustand macht Sie rechtzeitig auf mögliche Hardware- und Softwareprobleme aufmerksam, sodass Sie Ausfälle vermeiden können. RSA empfiehlt Ihnen, die statistischen Felder des Log Collector zu überwachen, um sicherzugehen, dass der Service effizient funktioniert und nicht an oder nahe den Maximalwerten ist, die Sie konfiguriert haben. Sie können die folgenden Statistiken (Stats) überwachen, die in der Ansicht Admin > Integrität und Zustand beschrieben sind.

Beispiel für das Troubleshooting-Format

RSA NetWitness Suite gibt folgende Arten von Fehlermeldungen in den Protokolldateien zurück.

                 
Protokollmeldungen

timestamp failure (LogCollection) Message-Broker Statistics:...

timestamp failure (AMQPClientBaseLogCollection):...
timestamp failure (MessageBrokerLogReceiver):...

Mögliche Ursache

Der Log Collector kann den Message Broker nicht erreichen, da der Message Broker:

  • nicht mehr ausgeführt wird.
  • fehlerhafte Verbindungseinstellungen hat.
Lösungen
  1. <use the="the" systemctl="systemctl" command="command" on="on" console="console" to="to" check="check" status="status" of="of" message="message" broker="broker" shell="shell" console.="console.">returns the following if the message broker is not running:</use>

            prompt$ systemctl status rabbitmq-server

            rabbitmq start/running, process 10916

  1. Starten Sie den RabbitMQ Message Broker am Ereignis-Broker-Node in der Ansicht „Durchsuchen“:

    Example shows starting the RabbitMQ Message Broker on the event broker node in the Explore view.

Troubleshooting: Windows-Protokollsammlung mit einem Endpunkt-Agent

Die folgenden Themen helfen Ihnen beim Troubleshooting von Problemen, die bei Verwendung der Windows-Protokollsammlung auf einem Agent von Endpoint Insights auftreten können.

Erläuterung des Formats der Windows-Protokollkonfigurationsdatei

Achtung: Bearbeiten Sie die generierte Konfigurationsdatei nicht. Wenn Sie Änderungen vornehmen, kann der Agent die Informationen aus der Datei nicht lesen.

Die Protokollkonfigurationsdatei enthält Informationen, die für die Analyse von Ereignisprotokollen nützlich sind. Es folgt ein Beispiel:

Die erzeugte Konfigurationsdatei enthält Folgendes:

  • config_name: Der Name der Konfigurationsdatei.
  • Server: Eine Reihe von Server-URLs mit Beschreibungen von Adresse und Protokoll zur Verwendung bei der Weiterleitung der Protokolle. Der Agent wird versuchen, sie der Reihe nach zu erreichen.
  • Filter: Eine mit der Windows-Ereignisanzeige kompatible XML-Datei, in der die zu überwachenden Kanäle und jegliche Ereignis-ID-Ausschlüsse beschrieben sind. Ein Standard-XML-Filter zur Erfassung von Anwendung und System aus dem Kanal, wobei für beide eine Ereignis-ID-ausgeschlossen ist, würde wie folgt aussehen:

  • Enabled: Ermöglicht das Deaktivieren der Erfassung, wobei immer noch ein Testprotokoll gesendet wird, sofern diese Funktion aktiviert ist.
  • TestLogOnLoad: Sendet beim Laden einer Konfiguration selbst dann eine Protokollnachricht, wenn die Ereignisweiterleitung nicht aktiviert ist. Dies hilft Analysten beim Testen einer Konfiguration vor dem Aktivieren der Erfassung. Im Windows-Ereignisprotokoll wird diese Meldung nicht lokal eingetragen.

Lesen des Testprotokolls

Eine Testprotokollmeldung wird immer dann gesendet, wenn ein Endpunkt-Agent mit Windows-Protokollsammlungsdatei zum ersten Mal auf einem Endpunkt-Agent installiert wird oder wenn die Protokollkonfigurationsdatei aktualisiert wird. Bei erfolgreicher Installation oder Aktualisierung der Windows-Protokollsammlung: In der Testprotokolldatei werden drei Abschnitte angezeigt.

                 
1Typ der Testprotokollmeldung, IP-Adresse des Agent, Hostname des Agent und Zeitpunkt der Erzeugung des Testprotokolls
2Konfiguration, die während der Erstellung des Agent bereitgestellt wurde
3

Status und die zugeordnete Meldung

Es gibt drei Szenarien.

  1. Erfolgreiche Bereitstellung einer Protokollsammmlungskonfiguration: Die Testprotokollnachricht wird als -1 angezeigt und der Status als erfolgreich.

  2. Manipulation der Protokollsammlungs-Konfigurationsdatei: Die Agent-Testnachricht wird als -2 angezeigt und eine Nachricht zeigt an, dass die Konfigurationsdatei manipuliert wurde. Falls Sie die Änderungen erneut anwenden möchten, erzeugen Sie die Protokollsammlungsdatei erneut.

  3. Bei einem falschen benutzerdefinierten Kanalnamen: Eine Fehlerstatusnachricht wird angezeigt. Erzeugen Sie die Protokollsammlung erneut mit dem richtigen Kanalnamen.

You are here
Table of Contents > Protokollsammlung: Troubleshooting

Attachments

    Outcomes