このセクションでは、RSA NetWitness Endpoint Insightsの使用に関連して生じる可能性のある問題について説明します。
エージェントの通信に関する問題
問題 | エージェントがEndpoint Serverと通信できません。 |
説明 | 次のいずれかの理由が考えられます。
|
解決策 |
|
問題 | エージェントのスキャンに時間がかかります。 |
説明 | NetWitness Endpointのスキャンは、完了するのに時間がかかる場合があります。これには、エージェント マシンにインストールされている他のウイルス対策プログラム(Windows Defender、Mcafee、Nortonなど)のCPU使用が関係します。 |
解決策 | ウイルス対策プログラムで、NWEAgent.exeファイルをホワイトリストに追加することを推奨します。 |
Packagerの問題
メッセージ | Failed to load the client certificate. |
問題 | 不正な証明書パスワード。 |
説明 | エージェント インストーラーを生成する際、証明書のパスワードが、UIからエージェント パッケージをダウンロードする際に使用するものと一致しません。 |
解決策 | 正しい証明書パスワードを指定します。 |
メッセージ | An unexpected error has occurred attempting to retrieve this data. |
問題 | [Packager]タブにアクセスしようとすると、このメッセージが表示されます。 |
説明 | Endpoint Serverがダウンしているか、アクセスできない可能性があります。 |
解決策 | [管理]>[サービス]で、Endpoint Serverのステータスを確認します。サービスが実行されていない場合は、Endpoint Serverを起動します。 |
スキャン スケジュールの問題
メッセージ | An unexpected error has occurred attempting to retrieve this data. |
問題 | [スキャン スケジュール]タブにアクセスしようとすると、このメッセージが表示されます。 |
説明 | Endpoint Serverがダウンしているか、アクセスできない可能性があります。 |
解決策 | [管理]>[サービス]で、Endpoint Serverのステータスを確認します。サービスが実行されていない場合は、Endpoint Serverを起動します。 |
ヘルスモニタの問題
動作 | エンドポイント メタデータが[調査]>[ナビゲート]または[イベント分析]ビューに表示されません。 |
問題 | ヘルスモニタに、次の例外により、Meta-Ld-Bufferのヘルス チェックが異常と表示されます。 dataprocessor-5] WARN MetaManagement|Meta Forwarding waiting for free buffer in Log decoder |
解決策 | 以下の項目について確認します。
|
動作 | NetWitness Endpoint 4.4.0.2のメタデータがEndpoint Serverに到達していません。 |
問題 | ヘルスモニタに、次の例外により、Meta-Ld-Bufferのヘルス チェックが異常と表示されます。 dataprocessor-5] WARN MetaManagement|Meta Forwarding waiting for free buffer in Log decoder |
説明 | 以下の項目について確認します。
|
動作 | Endpoint ServerのData.Application.Connection-Healthのヘルス チェックが異常と表示されます。 |
問題 | MongoまたはEndpoint Serverのサービスがダウンしています。 |
説明 | エラーの詳細については、/var/log/netwitness/endpoint-server/endpoint-server.logでEndpoint Serverのログを確認します。 |
解決策 | MongoまたはEndpoint Serverのサービスを再起動します。 |
動作 | Endpoint.Health.Overall-Health統計のヘルス チェックが異常と表示されます。 |
問題 | MongoまたはEndpoint Serverのサービスがダウンしています。 |
説明 | Endpoint Serverの稼働状態の他の統計(たとえば、Data.Application.Connection-Health、Endpoint.Health.Ld-Buffer-Health)を調べて、どの統計が異常なのかを特定します。いずれかに異常がある場合、Endpoint Serverの全般的な稼働状態も異常と表示されます。 |
解決策 | これらの統計の解決方法については、「ヘルスモニタの問題」セクションを参照してください。 |
問題 | エージェント拒否数がアラーム閾値を超えています。 |
説明 | エージェント拒否数が特定の制限を超えると、カスタム ポリシーがトリガーされます。たとえば、過去5時間のエージェント拒否数が、導入済みエージェントの10%を超えると、ポリシーがトリガーされます。 |
解決策 | Endpoint Serverの全般的な稼働状態とサイジング ガイドラインを確認します。 |
問題 | Data Application統計情報のストレージ サイズがアラーム閾値を超えました。 |
説明 | Data Application統計情報のストレージ サイズがアラーム閾値(たとえば、75%)を超えると、カスタム ポリシーがトリガーされます。 注:デフォルトで、ディスク容量の80%に達すると、サーバは自動的に古いデータを削除します。 |
解決策 | データ保存ポリシーで設定された閾値を確認します。 |
問題 | Data.Application.Connection-Healthのヘルス チェックが異常、または致命的と表示されます。 |
説明 | Mongoサービスがダウンしています。 |
解決策 | Mongoサービスが実行されているかどうか、またEndpoint Serverログでエラーの詳細を確認します。 |
問題 | エージェント リクエスト数のアラーム閾値が0と表示されます。 |
説明 | エージェント リクエスト数が、終日または週を通じて0と表示されます。次のいずれかの理由が考えられます。
|
解決策 |
|
メタ データの構成の問題
動作 | Console Serverにメッセージが表示されます。 |
問題 | Console Serverに次のメッセージが表示されます:Console Server will Log Processed batch as 1.“rsa-nw-endpoint-agent will be used to make SSL connection with Netwitness suite. |
説明 | NetWitness Endpoint 4.4 Serverでエージェントまたはマシンのクイック スキャンを実行すると、メッセージが表示されます。 |
解決策 | メタデータ構成を確認します。 |
インストールに関する問題
動作 | NetWitness Suiteで、Endpoint HybridまたはEndpoint Log Hybridインスタンスを複数インストールできます。 |
問題 | Endpoint HybridまたはEndpoint Log Hybridの1つのインスタンスしかエンドポイント データを処理できません。 |
説明 | Endpoint HybridまたはEndpoint Log Hybridのインストールが進行中のときに、別のインスタンスをインストールすると、インストールは成功します。 |
解決策 | エンドポイント データの処理に使用するインスタンスを除き、その他のすべてのEndpoint HybridまたはEndpoint Log Hybridのインスタンスを削除する必要があります。 |
非アクティブなエージェントの検出に関する問題
問題 | エージェントが、非アクティブになったり、Endpoint Serverと長期間通信していない場合があります。 |
説明 | Mongoデータベースには、非アクティブなエージェントとそのエージェントIDのリストがあります。この情報を使用して、非アクティブなエージェントの詳細について検索できます。 |
解決策 | 導入環境の非アクティブなエージェントを検出するには、次の手順を実行します。
|