Windows-Legacy-Sammlung: Troubleshooting

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In diesem Thema werden mögliche Probleme behandelt, die im Zusammenhang mit der Windows-Legacy-Sammlung (LWC) auftauchen können, und mögliche Lösungen für diese Probleme vorgestellt.

Hinweis: Im Allgemeinen erhalten Sie robustere Protokollmeldungen, wenn Sie SSL deaktivieren.

Probleme beim Neustart des Protokolls

                  
ProblemMögliche UrsachenLösungen

Sie haben das Windows-Legacy-Sammlungsprotokoll neu gestartet, jedoch erhält NetWitness Suite keine Ereignisse.

Der Log Collector-Service wurde angehalten.

Starten Sie den Log Collector-Service neu.

  1. Melden Sie sich beim Windows Legacy Remote Collector an.
  2. Navigieren Sie zu Start > Verwaltungstools > Aufgabenplaner und klicken Sie auf Aufgabenplanungsbibliothek.
  3. Suchen Sie im rechten Bereich nach der Aufgabe restartnwlogcollector und überprüfen Sie, ob diese ausgeführt wird.
  4. Falls dies nicht der Fall ist, klicken Sie mit der rechten Maustaste auf restartnwlogcollector
    und wählen Sie Ausführen.

Installationsprobleme

Falls eine der folgenden Meldungen im MessageBroker.log angezeigt wird, liegt möglicherweise ein Problem vor. 

                             
ProtokollmeldungenJede Meldung, die „rabbitmq“ enthält
Mögliche UrsacheDer RabbitMQ-Service wird möglicherweise nicht ausgeführt.

Port 5671 ist möglicherweise nicht geöffnet.
LösungenÜberprüfen Sie, ob der RabbitMQ-Service ausgeführt wird.
Überprüfen Sie, ob Port 5671 geöffnet ist.
ProtokollmeldungenFehler: Hinzufügen eines Log Collector-Benutzerkontos
Fehler: Hinzufügen eines Administrator-Tags zum Log Collector-Konto
Fehler: Hinzufügen des logcollection-vhosts
Fehler: Festlegen der Berechtigungen für das Log Collector-Konto in allen vhosts.
Mögliche Ursacherabbitmq-Server wurde nicht ausgeführt, als das Installationsprogramm versucht hat, Benutzer und vhosts zu erstellen.
Lösungen

Überprüfen Sie, ob der RabbitMQ-Service ausgeführt wird und führen Sie die unten stehenden Befehle manuell aus.

rabbitmqctl -q add_user logcollector netwitness
rabbitmqctl -q set_user_tags logcollector administrator
rabbitmqctl -q add_vhost logcollection
rabbitmqctl -q set_permissions -p / logcollector ".*" ".*" ".*"
rabbitmqctl -q set_permissions -p logcollection logcollector ".*" ".*" ".*"

Probleme mit dem Windows-Legacy-Federation-Skript

Falls eine der folgenden Meldungen im Protokoll des Federation-Skripts angezeigt wird, liegt möglicherweise ein Problem vor. 

                                 
ProblemMögliche SymptomeLösungen

Das Federation-Skript wurde gestartet, aber der LWC-Service ist ausgefallen.

Das NetWitness Suite-Protokoll zeigt Verbindungsfehlerausnahmen beim Windows Legacy Collector an.

Dieses Problem wird automatisch nach dem Neustart des Windows-Legacy-Services behoben.

 

LWC wird ausgeführt, aber der RabbitMQ-Service ist ausgefallen oder wird neu gestartet. 

Die Federation-Protokolldatei auf der Windows-Legacy-Seite zeigt die Fehlermeldung an, dass der RabbitMQ-Service ausgefallen ist.

Prüfen Sie folgende Protokolldatei:
C:\NetWitness\ng\logcollector

Eine Fehlermeldung wie die folgende wird protokolliert, wenn RabbitMQ nicht ausgeführt wird:

"Unable to connect to node logcollector@localhost: nodedown"

Daraufhin werden Diagnosemeldungen wie die folgenden angezeigt:

attempted to contact: [logcollector@localhost]

logcollector@localhost:
  * connected to epmd (port 4369) on localhost

  * epmd reports: node 'logcollector' not running at all other nodes on localhost: ['rabbitmqctl-4084']
  * suggestion: start the node

Führen Sie das Skript federation.bat manuell für LWC aus.
Gehen Sie zur manuellen Ausführung des Skripts federate.bat wie folgt vor:

  1. Wechseln Sie zum Ordner C:\Program Files\NwLogCollector, in dem die Windows-Legacy-Instanz installiert ist.
  2. Suchen Sie die Datei federate.bat in diesem Ordner. Wählen Sie die Datei aus und klicken Sie mit der rechten Maustaste darauf.
  3. Wählen Sie Als Administrator ausführen aus.
  4. Zum Überwachen der Protokolldatei navigieren Sie zu
    C:\NetWitness\ng\logcollector\federate.log, während das Skript federate.bat ausgeführt wird.

Hinweis: Vergewissern Sie sich, dass die Protokolldatei keine Fehler während der Ausführung des Skripts anzeigt.

Der RabbitMQ-Service ist auf der NetWitness Suite-Seite ausgefallen.

NetWitness Suite-Benutzeroberflächenseiten funktionieren nicht.

Starten Sie den RabbitMQ-Service neu.

Der Kunde erhält eine Benachrichtigung von „Integrität und Zustand“ oder der folgende Alarm von „Integrität und Zustand“ wird angezeigt:
„Ausfall der Kommunikation zwischen dem NetWitness Suite-Masterhost und einem Remotehost“ mit dem LWC-Host als Remote-IP.

Das federate.bat-Skript konnte nicht erfolgreich ausgeführt werden.

Wenn das Skript federate.bat nicht ordnungsgemäß ausgeführt wurde, führen Sie es wie zuvor beschrieben manuell aus.

You are here
Table of Contents > Sammlungsprotokolle > Konfigurationsleitfaden für Windows-Legacy- und NetApp-Sammlung > Troubleshooting der Windows-Legacy- und NetApp-Sammlung

Attachments

    Outcomes