Windows-Legacy-Sammlung: Troubleshooting

Document created by RSA Information Design and Development

on May 11, 2018•Last modified by RSA Information Design and Development

on Oct 19, 2018

Version 3Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

In diesem Thema werden mögliche Probleme behandelt, die im Zusammenhang mit der Windows-Legacy-Sammlung (LWC) auftauchen können, und mögliche Lösungen für diese Probleme vorgestellt.

Hinweis: Im Allgemeinen erhalten Sie robustere Protokollmeldungen, wenn Sie SSL deaktivieren.

Probleme beim Neustart des Protokolls

Problem	Mögliche Ursachen	Lösungen
Sie haben das Windows-Legacy-Sammlungsprotokoll neu gestartet, jedoch erhält NetWitness Suite keine Ereignisse.	Der Log Collector-Service wurde angehalten.	Starten Sie den Log Collector-Service neu. Melden Sie sich beim Windows Legacy Remote Collector an. Navigieren Sie zu Start > Verwaltungstools > Aufgabenplaner und klicken Sie auf Aufgabenplanungsbibliothek. Suchen Sie im rechten Bereich nach der Aufgabe restartnwlogcollector und überprüfen Sie, ob diese ausgeführt wird. Falls dies nicht der Fall ist, klicken Sie mit der rechten Maustaste auf restartnwlogcollector und wählen Sie Ausführen.

Problem

Mögliche Ursachen

Lösungen

Sie haben das Windows-Legacy-Sammlungsprotokoll neu gestartet, jedoch erhält NetWitness Suite keine Ereignisse.

Der Log Collector-Service wurde angehalten.

Starten Sie den Log Collector-Service neu.

Melden Sie sich beim Windows Legacy Remote Collector an.
Navigieren Sie zu Start > Verwaltungstools > Aufgabenplaner und klicken Sie auf Aufgabenplanungsbibliothek.
Suchen Sie im rechten Bereich nach der Aufgabe restartnwlogcollector und überprüfen Sie, ob diese ausgeführt wird.
Falls dies nicht der Fall ist, klicken Sie mit der rechten Maustaste auf restartnwlogcollector
und wählen Sie Ausführen.

Installationsprobleme

Falls eine der folgenden Meldungen im MessageBroker.log angezeigt wird, liegt möglicherweise ein Problem vor.

Protokollmeldungen	Jede Meldung, die „rabbitmq“ enthält
Mögliche Ursache	Der RabbitMQ-Service wird möglicherweise nicht ausgeführt. Port 5671 ist möglicherweise nicht geöffnet.
Lösungen	Überprüfen Sie, ob der RabbitMQ-Service ausgeführt wird. Überprüfen Sie, ob Port 5671 geöffnet ist.
Protokollmeldungen	Fehler: Hinzufügen eines Log Collector-Benutzerkontos Fehler: Hinzufügen eines Administrator-Tags zum Log Collector-Konto Fehler: Hinzufügen des logcollection-vhosts Fehler: Festlegen der Berechtigungen für das Log Collector-Konto in allen vhosts.
Mögliche Ursache	rabbitmq-Server wurde nicht ausgeführt, als das Installationsprogramm versucht hat, Benutzer und vhosts zu erstellen.
Lösungen	Überprüfen Sie, ob der RabbitMQ-Service ausgeführt wird und führen Sie die unten stehenden Befehle manuell aus. rabbitmqctl -q add_user logcollector netwitness rabbitmqctl -q set_user_tags logcollector administrator rabbitmqctl -q add_vhost logcollection rabbitmqctl -q set_permissions -p / logcollector "." "." "." rabbitmqctl -q set_permissions -p logcollection logcollector "." "." "."

Probleme mit dem Windows-Legacy-Federation-Skript

Falls eine der folgenden Meldungen im Protokoll des Federation-Skripts angezeigt wird, liegt möglicherweise ein Problem vor.

Problem	Mögliche Symptome	Lösungen
Das Federation-Skript wurde gestartet, aber der LWC-Service ist ausgefallen.	Das NetWitness Suite-Protokoll zeigt Verbindungsfehlerausnahmen beim Windows Legacy Collector an.	Dieses Problem wird automatisch nach dem Neustart des Windows-Legacy-Services behoben.
LWC wird ausgeführt, aber der RabbitMQ-Service ist ausgefallen oder wird neu gestartet.	Die Federation-Protokolldatei auf der Windows-Legacy-Seite zeigt die Fehlermeldung an, dass der RabbitMQ-Service ausgefallen ist. Prüfen Sie folgende Protokolldatei: C:\NetWitness\ng\logcollector Eine Fehlermeldung wie die folgende wird protokolliert, wenn RabbitMQ nicht ausgeführt wird: "Unable to connect to node logcollector@localhost: nodedown" Daraufhin werden Diagnosemeldungen wie die folgenden angezeigt: attempted to contact: [logcollector@localhost] logcollector@localhost: * connected to epmd (port 4369) on localhost * epmd reports: node 'logcollector' not running at all other nodes on localhost: ['rabbitmqctl-4084'] * suggestion: start the node	Führen Sie das Skript federation.bat manuell für LWC aus. Gehen Sie zur manuellen Ausführung des Skripts federate.bat wie folgt vor: Wechseln Sie zum Ordner C:\Program Files\NwLogCollector, in dem die Windows-Legacy-Instanz installiert ist. Suchen Sie die Datei federate.bat in diesem Ordner. Wählen Sie die Datei aus und klicken Sie mit der rechten Maustaste darauf. Wählen Sie Als Administrator ausführen aus. Zum Überwachen der Protokolldatei navigieren Sie zu C:\NetWitness\ng\logcollector\federate.log, während das Skript federate.bat ausgeführt wird. Hinweis: Vergewissern Sie sich, dass die Protokolldatei keine Fehler während der Ausführung des Skripts anzeigt.
Der RabbitMQ-Service ist auf der NetWitness Suite-Seite ausgefallen.	NetWitness Suite-Benutzeroberflächenseiten funktionieren nicht.	Starten Sie den RabbitMQ-Service neu.
Der Kunde erhält eine Benachrichtigung von „Integrität und Zustand“ oder der folgende Alarm von „Integrität und Zustand“ wird angezeigt: „Ausfall der Kommunikation zwischen dem NetWitness Suite-Masterhost und einem Remotehost“ mit dem LWC-Host als Remote-IP.	Das federate.bat-Skript konnte nicht erfolgreich ausgeführt werden.	Wenn das Skript federate.bat nicht ordnungsgemäß ausgeführt wurde, führen Sie es wie zuvor beschrieben manuell aus.