Endpoint: Troubleshooting

Document created by RSA Information Design and Development on Oct 18, 2018
Version 1Show Document
  • View in full screen mode
 

Dieser Abschnitt enthält Informationen zu möglichen Problemen bei Verwendung von RSA NetWitness Endpoint Insights.

Probleme bei der Kommunikation mit Agenten

                 
ProblemAgent kann nicht mit dem Endpoint Server kommunizieren.
Erläuterung

Dies kann eine der folgenden Ursachen haben:

  • Im Agent-Packager:
    • Server-IP ist falsch
    • Der angegebene Port ist für die Kommunikation mit dem Endpoint Server nicht verfügbar.
  • Endpoint-Server oder Nginx-Server wird nicht ausgeführt.
  • Firewall oder IP-Tabellenregeln blockieren die Verbindung zwischen dem Host und dem Endpoint Server.

  • Agent ist inaktiv oder wurde manuell über die Benutzeroberfläche gelöscht.

Lösung
  • Prüfen Sie, ob der Endpoint Server und Nginx-Server erreichbar sind.

  • Deinstallieren Sie den Agent, starten Sie den Host neu und installieren den Agent neu.
  • Aktualisieren Sie ggf. die Firewall oder die IP-Tabellenregeln.

                 
ProblemAgent braucht lange zum Scannen.
Erläuterung

In manchen Fällen dauert der NetWitness Endpoint-Scanvorgang lang. Dies liegt an der CPU-Auslastung durch andere Virenschutzprogramme (z. B. Windows Defender, McAfee, Norton usw.), die möglicherweise auf den Agent-Maschinen installiert sind.

Lösung

Es wird empfohlen, die Datei „NWEAgent.exe“ zur Whitelist der Virenschutz-Suite von Windows hinzuzufügen.

Probleme mit dem Packager

                     
MeldungFailed to load the client certificate.
ProblemFalsches Zertifikatpasswort.
Erläuterung

Beim Erzeugen des Installationsprogramms für den Agent stimmt das Zertifikatpasswort nicht mit dem Passwort überein, das beim Herunterladen des Agent-Packager über die Benutzeroberfläche angegeben wurde.

LösungGeben Sie das richtige Passwort für das Zertifikat an.

 

                     
MeldungAn unexpected error has occurred attempting to retrieve this data.
ProblemBeim Versuch, die Registerkarte „Packager“ aufzurufen, wird sie mit der Meldung geöffnet.
Erläuterung

Endpoint Server ist möglicherweise ausgefallen oder nicht erreichbar.

LösungPrüfen Sie den Status des Endpoint Server unter Admin > Service. Wenn der Service nicht ausgeführt wird, starten Sie den Endpoint Server.

Probleme mit der Scanplanung

                     
MeldungAn unexpected error has occurred attempting to retrieve this data.
ProblemBeim Versuch, die Registerkarte „Scanplanung“ aufzurufen, wird sie mit der Meldung geöffnet.
Erläuterung

Endpoint Server ist möglicherweise ausgefallen oder nicht erreichbar.

Lösung

Prüfen Sie den Status des Endpoint Server unter Admin > Service. Wenn der Service nicht ausgeführt wird, starten Sie den Endpoint Server.

Probleme mit Integrität und Zustand

                 
VerhaltenEndpoint-Metadaten sind in der Ansicht Untersuchen > Navigation oder Ereignisanalyse nicht verfügbar.
Problem

Die Integritätsprüfung des Meta-Ld-Buffer zeigt im Abschnitt für Integrität und Zustand den Status Fehlerhaft mit den folgenden Ausnahmen an:

dataprocessor-5] WARN MetaManagement|Meta Forwarding waiting for free buffer in Log decoder

Lösung

Achten Sie auf Folgendes:

  • Erfassung ist auf dem Log Decoder aktiviert.
  •  

  • Metadaten sind ordnungsgemäß konfiguriert.
  •   

 

                 
VerhaltenBei Endpoint NetWitness 4.4.0.2 erreichen Metadaten den Endpoint Server nicht.
Problem

Die Integrität des Meta-Ld-Buffer zeigt im Abschnitt für Integrität und Zustand den Status Fehlerhaft mit den folgenden Ausnahmen an:

dataprocessor-5] WARN MetaManagement|Meta Forwarding waiting for free buffer in Log decoder

Erläuterung

Achten Sie auf Folgendes:

  • Zertifikat wurde erhalten und auf den NetWitness 4.4.0.2-Konsolenserver importiert.
  • Die NetWitness-Option „Untersuchen“ ist in der Benutzeroberfläche von NetWitness Endpoint aktiviert.
  • Metadaten-Weiterleitung ist im NetWitness 4.4.0.2-Konsolenserver konfiguriert.

 

                     
VerhaltenDie Integritätsprüfung der Data.Application.Connection-Health-Statistik für Endpoint Server zeigt den Status Fehlerhaft an.
Problem

Mongo- oder Endpoint Server-Service ist nicht aktiv.

Erläuterung

Details zu Fehlern finden Sie in den Endpoint Server-Protokollen in /var/log/netwitness/endpoint-server/endpoint-server.log.

LösungStarten Sie den Mongo- oder Endpoint Server-Service neu.

 

                     
VerhaltenDie Integritätsprüfung der Endpoint.Health.Overall-Health-Statistik zeigt den Status Fehlerhaft an.
Problem

Mongo- oder Endpoint Server-Service ist nicht aktiv.

Erläuterung

Prüfen Sie die anderen Endpoint Server-Integritätsstatistiken (z. B. Data.Application.Connection-Health, Endpoint.Health.Ld-Buffer-Health), um zu sehen, welche Statistiken den Status „Fehlerhaft“ aufweisen. Wenn eine den Status „Fehlerhaft“ aufweist, zeigt die Gesamtintegrität von Endpoint Server „Fehlerhaft“ an.

LösungDie Lösung für diese Statistiken finden Sie im Abschnitt Probleme mit Integrität und Zustand.

 

                 
Problem

Agent-Ablehnungsanzahl übersteigt den Alarmschwellenwert.

Erläuterung

Die Anzahl abgelehnter Agenten übersteigt eine bestimmte Grenze und Ihre benutzerdefinierte Richtlinie wird ausgelöst. Beispiel: Die Anzahl abgelehnter Agenten in den letzten 5 Stunden entspricht 10 Prozent der bereitgestellten Agenten.

LösungPrüfen Sie die allgemeine Integrität des Endpoint Server und die Guidelines zur Dimensionierung.

 

                 
Problem

Die Speichergröße der Datenanwendungsstatistik hat den Alarmschwellenwert überschritten.

Erläuterung

Die Speicherkapazität der Datenanwendung hat den Schwellenwert (z. B. 75 %) überschritten und die benutzerdefinierte Policy wird ausgelöst.

Hinweis: Standardmäßig löscht der Server automatisch die älteren Daten, wenn 80 % des Speicherplatzes belegt sind.

LösungPrüfen Sie den in der Aufbewahrungs-Policy festgelegten Schwellenwert.

 

                 
Problem

Die Integritätsprüfung der Data.Application.Connection-Health-Statistik zeigt den Status „Fehlerhaft“ oder „Schwerwiegend“ an.

Erläuterung

Der Mongo-Service ist ausgefallen.

Lösung

Überprüfen Sie, ob der Mongo-Service ausgeführt wird, und prüfen Sie die Endpoint Server-Protokolle auf Fehlerdetails.

 

                 
Problem

Die Anzahl der Agent-Anforderungen zeigt für einen Alarmschwellenwert 0 an.

Erläuterung

Die Anzahl der Agent-Anforderungen zeigt für den ganzen Tag oder die ganze Woche 0 an. Dies kann eine der folgenden Ursachen haben:

  • Im Agent-Packager:
    • Server-IP ist falsch
    • Der angegebene Port ist für die Kommunikation mit dem Endpoint Server nicht verfügbar.
  • Endpoint-Server oder Nginx-Server wird nicht ausgeführt.
  • Firewall oder IP-Tabellenregeln blockieren die Verbindung zwischen dem Host und dem Endpoint Server.

  • Agent ist inaktiv oder wurde manuell über die Benutzeroberfläche gelöscht.

Lösung
  • Prüfen Sie, ob der Endpoint Server und Nginx-Server erreichbar sind.

  • Deinstallieren Sie den Agent, starten Sie den Host neu und installieren den Agent neu.
  • Aktualisieren Sie ggf. die Firewall oder die IP-Tabellenregeln.

Probleme mit der Metadatenkonfiguration

                     
VerhaltenDer Konsolenserver zeigt eine Meldung an.
Problem

Auf dem Konsolenserver wird die folgende Meldung angezeigt: Console Server will Log Processed batch as 1.“rsa-nw-endpoint-agent will be used to make SSL connection with NetWitness suite.

Erläuterung

Wenn Sie einen schnellen Scan auf dem NetWitness Endpoint 4.4-Server für einen Agent oder eine Maschine ausführen, wird eine Meldung angezeigt.

LösungÜberprüfen Sie die Metadatenkonfiguration.

Installationsproblem

                     
VerhaltenNetWitness Suite erlaubt die Installation mehrerer Instanzen von Endpoint Hybrid oder Endpoint Log Hybrid.
Problem

Nur eine Instanz von Endpoint Hybrid oder Endpoint Log Hybrid kann für Endpunktdaten verwendet werden.

Erläuterung

Während der Installation von Endpoint Hybrid oder Endpoint Log Hybrid können Sie erfolgreich eine andere Instanz installieren.

LösungSie müssen alle Instanzen von Endpoint Hybrid oder Endpoint Log Hybrid bis auf diejenigen löschen, die Sie für Endpunktdaten verwenden möchten.

Probleme mit der Suche nach inaktiven Agenten

                 
Problem

Ein Agent ist möglicherweise nicht aktiv oder hat über einen längeren Zeitraum nicht mit dem Endpoint Server kommuniziert.

Erläuterung

Eine Liste der inaktiven Agenten finden Sie in der Mongo-Datenbank mit der Agent-ID. Mit diesen Informationen können Sie nach weiteren Informationen über die inaktiven Agenten suchen.

Lösung

Führen Sie folgende Schritte aus, um inaktive Agenten in Ihrer Bereitstellung zu suchen:

  1. Öffnen Sie die Endpoint Server-Protokolldatei über /var/log/netwitness/endpoint-server/endpoint-server.log und suchen Sie nach der Zeichenfolge „Agent <ID> ist nicht vorhanden“.
  2. Kopieren Sie die Agent-ID, die in der Protokolldatei angezeigt wird.

  3. Suchen Sie in der Protokolldatei für den NGINX-Zugriff (/var/log/nginx/access.log) nach der Agent-ID, um die folgenden Details eines inaktiven Agent abzurufen:
    • IP-Adresse

    • Datum und Uhrzeit, als der Agent deaktiviert wurde
    • Speicherort
Previous Topic:Packager Tab
You are here
Table of Contents > Troubleshooting

Attachments

    Outcomes