Untersuchen: Troubleshooting für die Ermittlung

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Dieser Abschnitt enthält Informationen zu möglichen Problemen bei der Verwendung von NetWitness Investigate.

Probleme bei der Ereignisanalyse

 

                 
MeldungInvestigation Profiles/OOTB column groups are not present in Event Analysis
ProblemNach dem Upgrade auf RSA NetWitness v11.1 werden die Standardspaltengruppen „Endpunktanalyse“, „Ausgehende SSL“ und „Ausgehende Http“ unter Spaltengruppen nicht hinzugefügt. Darüber hinaus fehlen nach dem Upgrade einige der Ermittlungsprofile.
Erläuterung

Es wurde beobachtet, dass dieses Problem nur dann auftritt, wenn Sie eine benutzerdefinierte Spaltengruppe mit einem Namen erstellt haben, der mit einem der neuen 11.1 OOTB-benutzerdefinierten Spaltengruppennamen identisch ist. Beispiel: Wenn Sie eine benutzerdefinierte Spaltengruppe in 11.0 mit dem Namen RSA Endpoint Analysis erstellen, dann werden nach dem Upgrade auf 11.1. aufgrund des identischen, in Version 11.1 bereits vorhandenen Namens die OOTB-Spaltengruppen und die OOTB-Profile in der Benutzeroberfläche nicht verfügbar sein.

Um dies zu beheben, ändern Sie den Namen der benutzerdefinierten Spaltengruppe und starten Sie den jetty-Server mithilfe des folgenden Befehls auf dem NetWitness-Server neu:

systemctl restart jetty

 

                 
MeldungApplicable for hosts with 4.x Endpoint agents installed, please install the NetWitness Endpoint Thick Client.
ProblemWenn Sie auf Zu Endpoint wechseln in der Ansicht „Ereignisanalyse“ klicken, werden keine Daten angezeigt und die Meldung wird angezeigt.
ErläuterungVersion 4.4 des NetWitness Endpoint-Thick-Client muss auf demselben Server installiert sein, die NWE-Metaschlüssel müssen in der table-map.xml-Datei auf dem Log Decoder vorhanden sein und die NWE-Metaschlüssel müssen in der index-concentrator-custom.xml-Datei vorhanden sein. Der NWE-Thick-Client ist eine reine Windows-Anwendung. Umfassende Anweisungen zur Installation finden Sie im NetWitness Endpoint-Benutzerhandbuch für Version 4.4.

 

                 
MeldungEvent Analysis requires all core services to be NetWitness 11.1. Connecting prior versions of services to the 11.1 NetWitness Server results in limited functionality (see "Investigate in Mixed Mode" in the Physical Host Upgrade Guide).
ProblemBeim Versuch, einen Service in der Ansicht „Ereignisanalyse“ zu untersuchen, der nicht auf Version 11.1 aktualisiert wurde, wird die Meldung zur Information angezeigt.
ErläuterungWenn ein Analyst die Ansicht „Ereignisanalyse“ im gemischten Modus öffnet (d. h. einige Services wurden auf 11.1 aktualisiert und einige sind immer noch auf 11.0.0.x oder 10.6.x), wird rollenbasierter Zugriff (Role-Based Access, RBAC) nicht einheitlich angewendet. Dies wirkt sich auf das Anzeigen und Herunterladen von Inhalten sowie die Validierung von Filtern in der interaktiven Brotkrümelnavigation aus. Sie sehen diese Meldung zur Information, wenn Sie Ereignisanalyse öffnen. Wenn Sie einen Service auswählen, werden Services, die nicht auf dem aktuellen Stand sind, in einem roten Feld mit der Meldung angezeigt, dass der Service nicht auf dem aktuellen Stand ist. Wenn Ihr Administrator alle verbundenen Services auf 11.1 aktualisiert hat, arbeiten diese Funktionen wie erwartet.

 

                 
MeldungForbidden. You cannot access the requested page.
ProblemBeim Versuch, auf die Ansicht „Ereignisanalyse“ zuzugreifen, wird die Ansicht mit der Meldung geöffnet.
ErläuterungIhr Administrator hat den Zugriff auf die Ansicht „Ereignisanalyse“ mithilfe von Rolle und Berechtigungen verhindert.

 

                 
Meldung

Insufficient permissions for the requested data.

ProblemBeim Versuch, auf ein Ereignis in der Ereignisanalyse zuzugreifen, wird die Rekonstruktion nicht angezeigt und die Meldung wird angezeigt.
ErläuterungSie haben eine Ereignis-ID für ein Ereignis eingegeben, für das Sie über keine Berechtigung zur Anzeige verfügen. Der Administrator hat möglicherweise Einschränkungen vorgenommen, um den Zugriff nach Rolle und Berechtigungen zu beschränken.

 

                 
MeldungInvalid session ID: <<eventId>>
ProblemKeine sessionId entspricht der sessionId, die Sie abgefragt haben.
ErläuterungEs kann verschiedene Gründe für eine ungültige Sitzungs-ID geben. Vielleicht haben Sie die Sitzungs-ID manuell bearbeitet und es ist keine derartige Sitzung vorhanden. Ein anderer Fall kann vorliegen, wenn Sie einen Broker abfragen und die zusammengefassten Daten nicht aktualisiert wurden. Dann kann dieser Fehler für eine Sitzung angezeigt werden, die nicht länger vorhanden ist.

 

                 
MeldungNo text data was generated during content reconstruction. This could mean that the event data was corrupt/invalid, or that an administrator has disabled the transmission of raw endpoint events in the Endpoint server configuration. Check the other reconstruction views.
ProblemWenn Sie ein Ereignis als Text in der Ansicht „Ereignisanalyse“ rekonstruieren, werden keine Daten angezeigt und die Meldung wird angezeigt.
ErläuterungWenn Sie den Rohtext in anderen Ansichten der Ereignisanalyse oder in Rekonstruktionen der Ereignisansicht nicht sehen und glauben, dass die Daten nicht beschädigt oder ungültig sind, hat Ihr Administrator wahrscheinlich die Übertragung von rohen Endpunktereignissen auf dem NetWitness Endpoint Server deaktiviert. Wenden Sie sich für weitere Informationen an den Administrator.

 

                 
Meldung

Session is unavailable for viewing.

ProblemBei der Abfrage einer Ereignis-ID wird die Rekonstruktion nicht angezeigt und die Meldung wird angezeigt.
ErläuterungDie von Ihnen eingegebene Abfrage versucht, eingeschränkte Daten zu betrachten. Wenn Sie z. B. nur Protokolldaten sehen dürfen, aber einen Link zu Netzwerkdaten verwenden, die Sie gestern sehen durften.

 

                 
MeldungThe session id is too large to be handled:<<eventId>
ProblemDie SessionId-Ganzzahl, die Sie eingegeben, bearbeitet oder aus der Ansicht „Ereignisse“ oder „Navigation“ erhalten haben, ist zu groß.
ErläuterungWenn Sie manuell die SessionId eingegeben oder eine SessionId in der Ansicht „Ereignisanalyse“ bearbeitet haben, haben Sie möglicherweise eine Ganzzahl erstellt, die für eine Verarbeitung der Ereignisanalyse zu groß ist.

 

                 
Verhalten

Beim Erstellen eines Filters in der Ansicht „Ereignisanalyse“ können Sie keinen komplexen Ausdruck mit den Operatoren AND oder OR in einer Abfrageerstellung eingeben.

ProblemDie Abfrageerstellung in der Ansicht „Ereignisanalyse“ unterstützt nur einfache Ausdrücke der Form <meta key><operator><meta value>.
Erläuterung

Wenn Sie einen Filter eingeben möchten, der den Operator AND oder OR verwendet, müssen Sie die Abfrage von der Ansicht „Navigation“ oder „Ereignisse“ aus eingeben und sie dann in der Ansicht „Ereignisanalyse“ öffnen. Sie können komplexe Ausdrücke als zwei separate Filter in der Ansicht „Ereignisanalyse“ eingeben. Die Filter werden mit AND verbunden, wenn Sie die Abfrage ausführen.

Probleme mit der Hostansicht

                 
MeldungAn error has occurred. The Endpoint Server may be offline or inaccessible.
ProblemBeim Versuch, auf die Ansicht „Hosts“ oder „Dateien“ zuzugreifen, wird die Ansicht mit der Meldung geöffnet.
Erläuterung

Endpoint-Server oder Nginx-Server wird nicht ausgeführt. Prüfen Sie den Status des Endpoint-Servers unter Admin > Service oder prüfen Sie, ob die Host-IP-Adresse des Endpoint-Servers mit dem Adminserver registriert ist. Weitere Informationen finden Sie unter der RSA NetWitness Suite Installationshandbuch für physische Hosts oder RSA NetWitness Suite Installationshandbuch für virtuelle Hosts. Wenn der Service nicht ausgeführt wird, starten Sie den Endpoint-Server.

 

             
Problem

Die Ansichten „Hosts“ und „Dateien“ werden im Safari-Browser nicht geladen.

Erläuterung

Wenn Sie die Ember-Seiten im Safari-Browser mit einem nicht vertrauenswürdigen SSL-Zertifikat öffnen, werden die Ansichten „Hosts“ und „Dateien“ nicht geladen. So laden Sie die Ansichten:

1. Klicken Sie auf das Pop-up-Menü Zertifikat anzeigen.

2. Aktivieren Sie das Kontrollkästchen NetWitness beim Verbinden mit <IP-Adresse> immer vertrauen.

3. Klicken Sie auf Weiter.

4. Geben Sie Ihren Benutzernamen und das Passwort ein.

5. Klicken Sie auf Einstellungen aktualisieren.

 

                 
MeldungNo process information was found.
ProblemBeim Versuch, auf die Registerkarte „Prozess“ oder „Bibliotheken“ in der Ansicht „Details zum Host“ zuzugreifen, sind die detaillierten Hostinformationen nicht verfügbar und die Ansicht wird mit der Meldung angezeigt.
Erläuterung

Scandaten sind aus einem der folgenden Gründe nicht verfügbar:

  • Der erstmalige Scan wurde nicht abgeschlossen.

  • Datenaufbewahrungs-Policy hat alle Scan-Snapshots gelöscht.

Probleme mit der Ansicht „Dateien“

 

                 
VerhaltenDas Laden von Metawerten dauert lang.
ProblemMetawerte werden nicht nach Werten indiziert festgelegt.
Erläuterung

Während der Ermittlung beim Wechseln zur Ansicht „Navigation“ oder „Ereignisanalyse“ von der Ansicht „Dateien“ aus, wenn der Dateiname oder Hash (SHA256 und MD5) nicht nach Werten indiziert festgelegt ist, dauert es lange, die übereinstimmenden Ergebnisse zu laden, da der Concentrator den Index erzeugen muss, indem er auf die Metadatenbank zugreift und den Wert der Metadaten für jedes Ereignis abruft. Sie müssen die Werte vor dem Wechsel manuell indexieren.

 

             
ProblemBeim Filtern von Dateien dauert es länger, Ergebnisse auf der Benutzeroberfläche zu laden.
Erläuterung

In der Ansicht „Dateien“, dauert es beim Filtern von Dateien mit dem Operator Contains einige Sekunden, bis die Ergebnisse auf die Benutzeroberfläche geladen werden. Sie müssen mindestens ein indiziertes Feld mit dem Operator Equals verwenden, während die Dateien gefiltert werden.

You are here
Table of Contents > Troubleshooting für die Ermittlung

Attachments

    Outcomes