Endpoint : Résolution des problèmes

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Cette section fournit des informations sur les problèmes rencontrés lors de l'utilisation de RSA NetWitness Endpoint Insights.

Problèmes de communication liés à l'agent

                 
ProblèmeL'agent ne peut pas communiquer avec le serveur Endpoint.
Explication

Le problème peut avoir l'une des origines suivantes :

  • Dans le packager d'agent :
    • L'adresse IP du serveur est incorrecte
    • Le port spécifié n'est pas disponible pour la communication avec le serveur Endpoint
  • Le serveur Endpoint ou le serveur Nginx ne fonctionne pas
  • Les règles de pare-feu ou de table IP bloquent la connexion entre l'hôte et le serveur Endpoint

  • L'agent est inactif ou supprimé manuellement de l'interface utilisateur

Solution
  • Vérifiez si le serveur Endpoint et le serveur Nginx sont accessibles

  • Désinstallez l'agent, redémarrez l'hôte, puis réinstallez l'agent
  • Effectuez une mise à jour des règles de pare-feu ou de table IP, si nécessaire

                 
ProblèmeL'agent met beaucoup de temps à effectuer l'analyse.
Explication

Dans certains cas, l'analyse de NetWitness Endpoint prend beaucoup de temps. Cela est dû à l'utilisation du processeur par d'autres programmes antivirus (tels que Windows Defender, McAfee, Norton, etc.) qui peuvent être installés sur les machines de l'agent.

Solution

Il est recommandé de mettre en liste blanche le fichier NWEAgent.exe dans l'antivirus Windows Suite.

Problèmes liés au packager

                     
MessageFailed to load the client certificate.
ProblèmeMot de passe de certificat incorrect.
Explication

Lors de la génération du programme d'installation de l'agent, le mot de passe du certificat ne correspond pas à celui fourni lors du téléchargement du packager de l'agent à partir de l'interface utilisateur.

SolutionSpécifie le mot de passe du certificat correct.

 

                     
MessageAn unexpected error has occurred attempting to retrieve this data.
ProblèmeLorsque vous tentez d'accéder à l'onglet Packager, il s'ouvre avec le message d'erreur.
Explication

Le serveur Endpoint est peut-être arrêté ou n'est pas accessible.

SolutionVérifiez l'état du serveur Endpoint sous Admin > Service. Si le service n'est pas exécuté, démarrez le serveur Endpoint.

Problèmes liés au planning d'analyse

                     
MessageAn unexpected error has occurred attempting to retrieve this data.
ProblèmeLorsque vous tentez d'accéder à l'onglet Planification d'analyse, il s'ouvre avec le message d'erreur.
Explication

Le serveur Endpoint est peut-être arrêté ou n'est pas accessible.

Solution

Vérifiez l'état du serveur Endpoint sous Admin > Service. Si le service n'est pas exécuté, démarrez le serveur Endpoint.

Problèmes liés au service Intégrité

                 
ComportementLes métadonnées Endpoint ne sont pas disponibles dans la vue Enquêter > Naviguer ou Analyse d'événements
Problème

La vérification du fonctionnement du Meta-Ld-Buffer indique un état Défectueux pour le service Intégrité avec les exceptions suivantes :

dataprocessor-5] WARN MetaManagement|Meta Forwarding waiting for free buffer in Log decoder

Solution

Vérifiez que :

  • La fonctionnalité de capture est activée sur le Log Decoder
  •  

  • Les métadonnées sont configurées correctement.
  •   

 

                 
ComportementPour NetWitness Endpoint 4.4.0.2, les métadonnées n'atteignent pas le serveur Endpoint.
Problème

Le fonctionnement du Meta-Ld-Buffer indique un état Défectueux pour le service Intégrité avec les exceptions suivantes :

dataprocessor-5] WARN MetaManagement|Meta Forwarding waiting for free buffer in Log decoder

Explication

Vérifiez que :

  • Le certificat est obtenu et importé sur le serveur de Console NetWitness 4.4.0.2
  • L'option Enquêter de NetWitness est activée dans l'interface utilisateur de NetWitness Endpoint
  • Le transfert de métadonnées est configuré sur le serveur de Console NetWitness 4.4.0.2

 

                     
ComportementLa vérification du fonctionnement de Data.Application.Connection-Health pour le serveur Endpoint indique un état Défectueux.
Problème

Le service Mongo ou le serveur Endpoint est arrêté.

Explication

Pour plus d'informations sur les erreurs, consultez les logs Endpoint Server dans /var/log/netwitness/endpoint-server/endpoint-server.log.

SolutionRedémarrez le service Mongo ou le service Endpoint.

 

                     
ComportementLa vérification des statistiques de fonctionnement de Endpoint.Health.Overall-Health indique un état Défectueux.
Problème

Le service Mongo ou le serveur Endpoint est arrêté.

Explication

Vérifiez les autres statistiques de fonctionnement du serveur Endpoint (par exemple, Data.Application.Connection-Health, Endpoint.Health.Ld-Buffer-Health) pour identifier les statistiques présentant un état Défectueux. Si l'une d'entre elles indique l'état Défectueux, le fonctionnement global du serveur Endpoint indiquera également l'état Défectueux.

SolutionConsultez la solution applicable à ces statistiques dans la section Problèmes liés au service Intégrité.

 

                 
Problème

Le nombre de rejets de l'agent est supérieur au seuil d'alarme.

Explication

Le nombre d'éléments rejetés par l'agent est supérieur à une limite spécifique et votre règle personnalisée est déclenchée. Par exemple, le nombre de rejets effectués par l'agent au cours des 5 dernières heures correspond à 10 % des agents déployés.

SolutionVérifiez l'état de fonctionnement global du serveur Endpoint et consultez les instructions de dimensionnement.

 

                 
Problème

La taille de stockage des statistiques de Data.Application a dépassé le seuil d'alarme.

Explication

La taille de stockage de Data.Application a dépassé le seuil (par exemple, 75 %) et la règle personnalisée est déclenchée.

Remarque : Par défaut, le serveur supprime automatiquement les anciennes données lorsqu'il atteint 80 % de l'espace disque.

SolutionVérifiez le seuil défini dans la politique de rétention des données.

 

                 
Problème

La vérification du fonctionnement de Data.Application.Connection-Health indique un état Défectueux ou Fatal.

Explication

Le service Mongo est désactivé.

Solution

Vérifiez que le service Mongo est actif et consultez les logs du serveur Endpoint pour connaître les détails de l'erreur.

 

                 
Problème

Le nombre de requêtes d'agent indique un seuil d'alarme égal à 0.

Explication

Le nombre de requêtes d'agent indique 0 pour toute la journée ou la semaine. Le problème peut avoir l'une des origines suivantes :

  • Dans le packager d'agent :
    • L'adresse IP du serveur est incorrecte
    • Le port spécifié n'est pas disponible pour la communication avec le serveur Endpoint
  • Le serveur Endpoint ou le serveur Nginx ne fonctionne pas
  • Les règles de pare-feu ou de table IP bloquent la connexion entre l'hôte et le serveur Endpoint

  • L'agent est inactif ou supprimé manuellement de l'interface utilisateur

Solution
  • Vérifiez si le serveur Endpoint et le serveur Nginx sont accessibles

  • Désinstallez l'agent, redémarrez l'hôte, puis réinstallez l'agent
  • Effectuez une mise à jour des règles de pare-feu ou de table IP, si nécessaire

Problème de configuration des métadonnées

                     
ComportementLe serveur de Console affiche un message.
Problème

Le serveur de Console affiche le message suivant : Le serveur de Console consignera le traitement par lots sous la forme 1. "rsa-nw-endpoint-agent afin d'établir une connexion SSL avec Netwitness Suite.

Explication

Lorsque vous exécutez une analyse rapide sur le serveur NetWitness Endpoint 4.4 pour un agent ou une machine, un message s'affiche.

SolutionVérifiez la configuration des métadonnées.

Problème d'installation

                     
ComportementNetWitness Suite permet d'installer plusieurs instances d'Endpoint Hybrid ou d'Endpoint Log Hybrid.
Problème

Une seule instance d'Endpoint Hybrid ou d'Endpoint Log Hybrid peut être utilisée pour les données de point de terminaison.

Explication

Au cours de l'installation d'Endpoint Hybrid ou d'Endpoint Log Hybrid, vous pouvez procéder à l'installation d'une autre instance sans aucun problème.

SolutionVous devez supprimer toutes les instances d'Endpoint Hybrid ou d'Endpoint Log Hybrid, à l'exception de celle que vous souhaitez utiliser pour les données de point de terminaison.

Problème lié aux agents inactifs

                 
Problème

L'agent peut être inactif ou ne pas avoir communiqué avec le serveur Endpoint depuis longtemps.

Explication

Une liste des agents inactifs est disponible dans la base de données Mongo avec l'ID de l'agent. En utilisant ces informations, vous pouvez rechercher des détails supplémentaires sur les agents inactifs.

Solution

Pour rechercher des agents inactifs dans votre déploiement, procédez comme suit :

  1. Ouvrez le fichier log du serveur Endpoint dans /var/log/netwitness/endpoint-server/endpoint-server.log et recherchez l'<ID> de l'agent.
  2. Copiez l'ID de l'agent affiché dans le fichier log.

  3. Recherchez l'ID de l'agent dans le fichier log d'accès NGINX (/var/log/nginx/access.log) pour récupérer les détails suivants relatifs à un agent inactif :
    • Adresse IP

    • Date et heure auxquelles l'agent est devenu inactif
    • Emplacement
Previous Topic:Onglet Package
You are here
Table of Contents > Résolution des problèmes

Attachments

    Outcomes