エンドポイント:トラブルシューティング

Document created by RSA Information Design and Development on Oct 12, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

このセクションでは、RSA NetWitness Endpoint Insightsの使用に関連して生じる可能性のある問題について説明します。

エージェントの通信に関する問題

                 
問題エージェントがEndpoint Serverと通信できません。
説明

次のいずれかの理由が考えられます。

  • エージェント パッケージに関連して:
    • サーバIPが正しくない
    • 指定されたポートがEndpoint Serverとの通信で使用できない
  • Endpoint ServerまたはNginx Serverが稼働していない
  • ファイアウォールまたはiptablesのルールが、ホストとEndpoint Serverとの間の接続をブロックしている

  • エージェントが非アクティブである、またはUIから手動で削除されている

解決策
  • Endpoint ServerとNginx Serverにアクセス可能かどうかを確認します。

  • エージェントをアンインストールし、ホストを再起動してからエージェントを再インストールします。
  • 必要な場合は、ファイアウォールやiptablesのルールを更新します。

                 
問題エージェントのスキャンに時間がかかります。
説明

NetWitness Endpointのスキャンは、完了するのに時間がかかる場合があります。これには、エージェント マシンにインストールされている他のウイルス対策プログラム(Windows Defender、Mcafee、Nortonなど)のCPU使用が関係します。

解決策

ウイルス対策プログラムで、NWEAgent.exeファイルをホワイトリストに追加することを推奨します。

Packagerの問題

                     
メッセージFailed to load the client certificate.
問題不正な証明書パスワード。
説明

エージェント インストーラーを生成する際、証明書のパスワードが、UIからエージェント パッケージをダウンロードする際に使用するものと一致しません。

解決策正しい証明書パスワードを指定します。

 

                     
メッセージAn unexpected error has occurred attempting to retrieve this data.
問題[Packager]タブにアクセスしようとすると、このメッセージが表示されます。
説明

Endpoint Serverがダウンしているか、アクセスできない可能性があります。

解決策[管理]>[サービス]で、Endpoint Serverのステータスを確認します。サービスが実行されていない場合は、Endpoint Serverを起動します。

スキャン スケジュールの問題

                     
メッセージAn unexpected error has occurred attempting to retrieve this data.
問題[スキャン スケジュール]タブにアクセスしようとすると、このメッセージが表示されます。
説明

Endpoint Serverがダウンしているか、アクセスできない可能性があります。

解決策

[管理]>[サービス]で、Endpoint Serverのステータスを確認します。サービスが実行されていない場合は、Endpoint Serverを起動します。

ヘルスモニタの問題

                 
動作エンドポイント メタデータが[調査]>[ナビゲート]または[イベント分析]ビューに表示されません。
問題

ヘルスモニタに、次の例外により、Meta-Ld-Bufferのヘルス チェックが異常と表示されます。

dataprocessor-5] WARN MetaManagement|Meta Forwarding waiting for free buffer in Log decoder

解決策

以下の項目について確認します。

  • Log Decoderで収集が有効になっていること。
  •  

  • メタデータが正しく構成されていること。
  •   

 

                 
動作NetWitness Endpoint 4.4.0.2のメタデータがEndpoint Serverに到達していません。
問題

ヘルスモニタに、次の例外により、Meta-Ld-Bufferのヘルス チェックが異常と表示されます。

dataprocessor-5] WARN MetaManagement|Meta Forwarding waiting for free buffer in Log decoder

説明

以下の項目について確認します。

  • 証明書を取得して、NetWitness 4.4.0.2 Console Serverにインポートしていること。
  • NetWitness Endpoint UIで[NetWitness Investigate]オプションが有効であること。
  • NetWitness 4.4.0.2 Console Serverでメタデータの転送が構成されていること

 

                     
動作Endpoint ServerのData.Application.Connection-Healthのヘルス チェックが異常と表示されます。
問題

MongoまたはEndpoint Serverのサービスがダウンしています。

説明

エラーの詳細については、/var/log/netwitness/endpoint-server/endpoint-server.logでEndpoint Serverのログを確認します。

解決策MongoまたはEndpoint Serverのサービスを再起動します。

 

                     
動作Endpoint.Health.Overall-Health統計のヘルス チェックが異常と表示されます。
問題

MongoまたはEndpoint Serverのサービスがダウンしています。

説明

Endpoint Serverの稼働状態の他の統計(たとえば、Data.Application.Connection-Health、Endpoint.Health.Ld-Buffer-Health)を調べて、どの統計が異常なのかを特定します。いずれかに異常がある場合、Endpoint Serverの全般的な稼働状態も異常と表示されます。

解決策これらの統計の解決方法については、「ヘルスモニタの問題」セクションを参照してください。

 

                 
問題

エージェント拒否数がアラーム閾値を超えています。

説明

エージェント拒否数が特定の制限を超えると、カスタム ポリシーがトリガーされます。たとえば、過去5時間のエージェント拒否数が、導入済みエージェントの10%を超えると、ポリシーがトリガーされます。

解決策Endpoint Serverの全般的な稼働状態とサイジング ガイドラインを確認します。

 

                 
問題

Data Application統計情報のストレージ サイズがアラーム閾値を超えました。

説明

Data Application統計情報のストレージ サイズがアラーム閾値(たとえば、75%)を超えると、カスタム ポリシーがトリガーされます。

注:デフォルトで、ディスク容量の80%に達すると、サーバは自動的に古いデータを削除します。

解決策データ保存ポリシーで設定された閾値を確認します。

 

                 
問題

Data.Application.Connection-Healthのヘルス チェックが異常、または致命的と表示されます。

説明

Mongoサービスがダウンしています。

解決策

Mongoサービスが実行されているかどうか、またEndpoint Serverログでエラーの詳細を確認します。

 

                 
問題

エージェント リクエスト数のアラーム閾値が0と表示されます。

説明

エージェント リクエスト数が、終日または週を通じて0と表示されます。次のいずれかの理由が考えられます。

  • エージェント パッケージに関連して:
    • サーバIPが正しくない
    • 指定されたポートがEndpoint Serverとの通信で使用できない
  • Endpoint ServerまたはNginx Serverが稼働していない
  • ファイアウォールまたはiptablesのルールが、ホストとEndpoint Serverとの間の接続をブロックしている

  • エージェントが非アクティブである、またはUIから手動で削除されている

解決策
  • Endpoint ServerとNginx Serverにアクセス可能かどうかを確認します。

  • エージェントをアンインストールし、ホストを再起動してからエージェントを再インストールします。
  • 必要な場合は、ファイアウォールやiptablesのルールを更新します。

メタ データの構成の問題

                     
動作Console Serverにメッセージが表示されます。
問題

Console Serverに次のメッセージが表示されます:Console Server will Log Processed batch as 1.“rsa-nw-endpoint-agent will be used to make SSL connection with Netwitness suite.

説明

NetWitness Endpoint 4.4 Serverでエージェントまたはマシンのクイック スキャンを実行すると、メッセージが表示されます。

解決策メタデータ構成を確認します。

インストールに関する問題

                     
動作NetWitness Suiteで、Endpoint HybridまたはEndpoint Log Hybridインスタンスを複数インストールできます。
問題

Endpoint HybridまたはEndpoint Log Hybridの1つのインスタンスしかエンドポイント データを処理できません。

説明

Endpoint HybridまたはEndpoint Log Hybridのインストールが進行中のときに、別のインスタンスをインストールすると、インストールは成功します。

解決策エンドポイント データの処理に使用するインスタンスを除き、その他のすべてのEndpoint HybridまたはEndpoint Log Hybridのインスタンスを削除する必要があります。

非アクティブなエージェントの検出に関する問題

                 
問題

エージェントが、非アクティブになったり、Endpoint Serverと長期間通信していない場合があります。

説明

Mongoデータベースには、非アクティブなエージェントとそのエージェントIDのリストがあります。この情報を使用して、非アクティブなエージェントの詳細について検索できます。

解決策

導入環境の非アクティブなエージェントを検出するには、次の手順を実行します。

  1. Endpoint Serverのログ ファイル(/var/log/netwitness/endpoint-server/endpoint-server.log)を開き、「Agent <ID> does not exist」という文字列を探します。
  2. ログ ファイルに表示されているエージェントIDをコピーします。

  3. NGINXアクセス ログ ファイル(/var/log/nginx/access.log)でエージェントIDを探し、非アクティブなエージェントについて次の詳細情報を取得します。
    • IPアドレス

    • エージェントが非アクティブになった日付と時刻
    • 場所
Previous Topic:[Packager]タブ
You are here
Table of Contents > トラブルシューティング

Attachments

    Outcomes