Endpoint: Solución de problemas

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

En esta sección se proporciona información sobre posibles problemas durante el uso de RSA NetWitness Endpoint Insights.

Problemas de comunicación de los agentes

                 
ProblemaEl agente no puede comunicarse con el servidor de Endpoint.
Explicación

Podría deberse a una de las siguientes causas:

  • En el empaquetador de agentes:
    • La IP del servidor es incorrecta
    • El puerto especificado no está disponible para la comunicación con el servidor de Endpoint
  • El servidor de Endpoint o el servidor de Nginx no están en ejecución
  • Las reglas de firewall o tabla de IP están bloqueando la conexión entre el host y el servidor de Endpoint

  • El agente está inactivo o se eliminó manualmente de la interfaz del usuario

Solución
  • Compruebe si el servidor de Endpoint y el servidor de Nginx están accesibles

  • Desinstale el agente, reinicie el host y vuelva a instalar el agente
  • Actualice las reglas de firewall o tabla de IP, si es necesario

                 
ProblemaEl agente tarda mucho tiempo en escanear.
Explicación

Algunas veces, el escaneo de NetWitness Endpoint tarda mucho tiempo en completarse. Esto se debe al uso de la CPU que hacen otros programas antivirus (por ejemplo, Windows Defender, Mcafee, Norton, etc.) que pueden estar instalados en las máquinas de los agentes.

Solución

Se recomienda incluir en la lista blanca el archivo NWEAgent.exe en el conjunto de aplicaciones antivirus de Windows.

Problemas del empaquetador

                     
MensajeFailed to load the client certificate.
ProblemaLa contraseña del certificado es incorrecta.
Explicación

En el momento de generar el instalador de agentes, la contraseña del certificado no coincide con la que se proporcionó durante la descarga del empaquetador de agentes desde la interfaz del usuario.

SoluciónEspecifique la contraseña correcta del certificado.

 

                     
MensajeAn unexpected error has occurred attempting to retrieve this data.
ProblemaAl intentar acceder a la pestaña Empaquetador, se abre con el mensaje.
Explicación

El servidor de Endpoint puede estar inactivo o no accesible.

SoluciónCompruebe el estado del servidor de Endpoint en Administrar > Servicio. Si el servicio no está en ejecución, inicie el servidor de Endpoint.

Problemas de programa de escaneo

                     
MensajeAn unexpected error has occurred attempting to retrieve this data.
ProblemaAl intentar acceder a la pestaña Programa de escaneo, se abre con el mensaje.
Explicación

El servidor de Endpoint puede estar inactivo o no accesible.

Solución

Compruebe el estado del servidor de Endpoint en Administrar > Servicio. Si el servicio no está en ejecución, inicie el servidor de Endpoint.

Problemas de estado y condición

                 
ComportamientoLos metadatos de terminales no están disponibles en la vista Investigar > Navegar o Análisis de eventos.
Problema

La evaluación del estado de Meta-Ld-Buffer muestra En mal estado en Estado y condición, con las siguientes excepciones:

dataprocessor-5] WARN MetaManagement|Meta Forwarding waiting for free buffer in Log decoder

Solución

Asegúrese de que:

  • La opción Captura esté activada en el Log Decoder
  •  

  • La opción Metadatos esté configurada correctamente
  •   

 

                 
ComportamientoPara NetWitness Endpoint 4.4.0.2, los metadatos no están teniendo acceso al servidor de Endpoint.
Problema

El estado de Meta-Ld-Buffer muestra En mal estado en Estado y condición, con las siguientes excepciones:

dataprocessor-5] WARN MetaManagement|Meta Forwarding waiting for free buffer in Log decoder

Explicación

Asegúrese de que:

  • El certificado se obtenga y se importe al servidor de la consola de NetWitness 4.4.0.2
  • La opción NetWitness Investigate esté activada en la interfaz del usuario de NetWitness Endpoint
  • El reenvío de metadatos esté configurado en el servidor de la consola de NetWitness 4.4.0.2

 

                     
ComportamientoLa evaluación del estado de Data.Application.Connection-Health del servidor de Endpoint muestra En mal estado.
Problema

El servicio Mongo o Servidor de Endpoint están inactivos.

Explicación

Para conocer los detalles del error, consulte los registros del servidor de Endpoint en /var/log/netwitness/endpoint-server/endpoint-server.log.

SoluciónReinicie el servicio Mongo o Servidor de Endpoint.

 

                     
ComportamientoLa evaluación del estado de la estadística Endpoint.Health.Overall-Health muestra En mal estado.
Problema

El servicio Mongo o Servidor de Endpoint están inactivos.

Explicación

Compruebe las estadísticas de estado del servidor de Endpoint (como, Data.Application.Connection-Health, Endpoint.Health.Ld-Buffer-Health) para identificar qué estadísticas muestran En mal estado. Si una de ellas está En mal estado, el estado general del servidor de Endpoint muestra En mal estado.

SoluciónConsulte la solución para estas estadísticas en la sección Problemas de estado y condición.

 

                 
Problema

El conteo de rechazos de agentes es mayor que el umbral de alarma.

Explicación

El conteo de agentes rechazados es mayor que un límite específico y se activa la política personalizada. Por ejemplo, el conteo de agentes rechazados de las últimas 5 horas corresponde al 10 % de los agentes implementados.

SoluciónCompruebe el estado general del servidor de Endpoint y las reglas de dimensionamiento.

 

                 
Problema

La estadística del tamaño del almacenamiento de la aplicación de datos superó el umbral de alarma.

Explicación

El tamaño del almacenamiento de la aplicación de datos superó el umbral (por ejemplo, el 75 %) y se activa la política personalizada.

Nota: De manera predeterminada, el servidor elimina automáticamente los datos más antiguos cuando alcanza el 80 % del espacio en disco.

SoluciónCompruebe el umbral establecido en la política de retención de datos.

 

                 
Problema

La evaluación del estado de Data.Application.Connection-Health muestra En mal estado o Grave.

Explicación

El servicio Mongo está inactivo.

Solución

Compruebe si el servicio Mongo está en ejecución y si el servidor de Endpoint registra los detalles de errores.

 

                 
Problema

El conteo de solicitudes de agentes muestra 0 para un umbral de alarma.

Explicación

El conteo de solicitudes de agentes muestra 0 para todo el día o toda la semana. Podría deberse a una de las siguientes causas:

  • En el empaquetador de agentes:
    • La IP del servidor es incorrecta
    • El puerto especificado no está disponible para la comunicación con el servidor de Endpoint
  • El servidor de Endpoint o el servidor de Nginx no están en ejecución
  • Las reglas de firewall o tabla de IP están bloqueando la conexión entre el host y el servidor de Endpoint

  • El agente está inactivo o se eliminó manualmente de la interfaz del usuario

Solución
  • Compruebe si el servidor de Endpoint y el servidor de Nginx están accesibles

  • Desinstale el agente, reinicie el host y vuelva a instalar el agente
  • Actualice las reglas de firewall o tabla de IP, si es necesario

Problema de configuración de metadatos

                     
ComportamientoEl servidor de la consola muestra un mensaje.
Problema

El servidor de la consola muestra el siguiente mensaje: El servidor de la consola registrará el lote procesado como 1.“rsa-nw-endpoint-agent se usará para establecer la conexión SSL con NetWitness Suite.

Explicación

Cuando se ejecuta un escaneo rápido en el servidor de NetWitness Endpoint 4.4 para un agente o una máquina, se muestra un mensaje.

SoluciónVerifique la configuración de los metadatos.

Problemas de instalación

                     
ComportamientoNetWitness Suite permite que se instalen varias instancias de Endpoint Hybrid o Endpoint Log Hybrid.
Problema

Solo una instancia de Endpoint Hybrid o Endpoint Log Hybrid se puede usar para los datos de Endpoint.

Explicación

Aunque la instalación de Endpoint Hybrid o Endpoint Log Hybrid esté en curso, puede instalar otra instancia y la instalación se realizará correctamente.

SoluciónDebe eliminar todas las instancias de Endpoint Hybrid o Endpoint Log Hybrid, excepto la que desee usar para los datos de Endpoint.

Problema de búsqueda de agentes inactivos

                 
Problema

Un agente podría estar inactivo o no haberse comunicado con el servidor de Endpoint durante mucho tiempo.

Explicación

Una lista de agentes inactivos está disponible en la base de datos de Mongo con el ID de agente. Con esta información, puede buscar más detalles de los agentes inactivos.

Solución

Para buscar agentes inactivos en su implementación, realice lo siguiente:

  1. Abra el archivo de registro del servidor de Endpoint en /var/log/netwitness/endpoint-server/endpoint-server.log y busque la cadena El <ID> de agente no existe.
  2. Copie el ID de agente que aparece en el archivo de registro.

  3. Busque el ID de agente en el archivo de registro de acceso a NGINX (/var/log/nginx/access.log) para recuperar los siguientes detalles de un agente inactivo:
    • Dirección IP

    • Fecha y hora en que el agente quedó inactivo
    • Ubicación
Previous Topic:Pestaña Empaquetador
You are here
Table of Contents > Solución de problemas

Attachments

    Outcomes