ESM: Mehrfach gesammelte Protokollmeldungen

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

Unter Umständen kann es vorkommen, dass Meldungen aus derselben Ereignisquelle auf zwei oder mehr Log Collectors gesammelt werden. In diesem Thema wird das Problem beschrieben. Anschließend werden Troubleshooting-Möglichkeiten für das Problem aufgezeigt.

Details

Wenn der ESM-Aggregator identische Ereignisse aus derselben Ereignisquelle auf mehreren Log Collectors findet, erhalten Sie eine Warnmeldung ähnlich der folgenden:

2015-03-17 15:25:29,221 [pool-1-thread-6] WARN  com.rsa.smc.esm.groups.events.listeners.EsmStatEventListener -
192.0.2.21-apache had a previous event only 0 seconds ago; likely because it exists on multiple log collectors

Die Warnmeldung bedeutet, dass die Ereignisquelle 192.0.2.22-apache auf mehreren Hosts gesammelt wird. Eine Liste dieser Hosts finden Sie auf der Registerkarte Managen der Ansicht „Administration > Ereignisquellen“ in der Spalte „Log Collector“.

Bereinigen von mehrfach gesammelten Protokollmeldungen

  1. Beenden Sie „collectd“ auf NetWitness Suite und den Log Decoders:

    Service collectd stop

  2. Entfernen Sie die verbliebene ESM Aggregator-Datei aus NetWitness Suite:

    rm /var/lib/netwitness/collectd/ESMAggregator

  3. Setzen Sie den Log Decoder zurück.
    1. Navigieren Sie zum Log Decoder-REST unter http://<LD_IP_Address>:50102.
    2. Klicken Sie auf decoder(*), um die Eigenschaften des Decoder anzuzeigen.
    3. Wählen Sie im Drop-down-Menü „Eigenschaften“ die Option Zurücksetzen aus und klicken Sie dann auf Senden.
  4. Wählen Sie auf der Registerkarte „Ereignisquellen verwalten“ im Bereich „Ereignisquellen“ alle Ereignisquellen aus und klicken Sie dann auf -, um sie zu entfernen.
You are here
Table of Contents > ESM: Troubleshooting > ESM: Mehrfach gesammelte Protokollmeldungen

Attachments

    Outcomes