ログ収集:トラブルシューティング

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、ログ収集のトラブルシューティングの形式と内容について説明します。NetWitness Suiteは、Log Collectorの問題または潜在的な問題を次の2つの方法で通知します。

  • ログ ファイル。
  • [ヘルスモニタ]ビュー。

ログ ファイル

特定のイベント ソース収集プロトコルに問題がある場合は、問題の調査のためにデバッグ ログをレビューします。各イベント ソースには、このログの収集を有効化できるデバッグパラメータがあります(パラメータをOnまたはVerboseに設定します)。

注意: 該当するイベント ソースに問題が発生し、その問題を調査する必要がある場合にのみ、デバッグを有効にします。デバッグを常に有効化すると、Log Collectorのパフォーマンスに悪影響があります。

ヘルスモニタの監視

ヘルスモニタの監視によって潜在的なハードウェアおよびソフトウェアの問題をタイムリーに認識し、システム停止を避けることができます。RSAでは、サービスが効率的に動作し、各種の統計値が構成した閾値に近づいていないことを確認するために、Log Collectorの統計フィールドを監視することを推奨します。[管理]>[ヘルスモニタ]ビューに表示される次の統計値を監視できます。

トラブルシューティングの例

RSA NetWitness Suiteは、ログ ファイルに次のタイプのエラー メッセージを返します。

                 
ログ メッセージ

timestamp failure (LogCollection) Message-Broker Statistics:...

timestamp failure (AMQPClientBaseLogCollection):...
timestamp failure (MessageBrokerLogReceiver):...

考えられる原因

Log Collectorがメッセージ ブローカーに到達できません。メッセージ ブローカーが次のいずれかの状態である可能性があります。

  • 実行を停止した。
  • 接続設定が正しくない。
解決策
  1. <use the="the" systemctl="systemctl" command="command" on="on" console="console" to="to" check="check" status="status" of="of" message="message" broker="broker" shell="shell" console.="console.">returns the following if the message broker is not running:</use>

            prompt$ systemctl status rabbitmq-server

            rabbitmq start/running, process 10916

  1. [エクスプローラ]ビューでイベント ブローカー ノードのRabbitMQ Message Broker を起動します。

    Example shows starting the RabbitMQ Message Broker on the event broker node in the Explore view.

トラブルシューティング - Endpointエージェントを使用したWindowsログ収集

次のトピックは、Endpoint InsightsエージェントでWindowsログを収集する際に発生する問題のトラブルシューティングに役立ちます。

Windowsログ構成ファイルの形式の説明

注意:生成された構成ファイルは編集しないでください。編集した場合は、エージェントがそのファイルから情報を読み取れなくなります。

ログ構成ファイルには、イベント ログの解析に役立つ情報が含まれています。次に例を示します。

生成された構成ファイルには、次の項目が含まれています。

  • Config name:構成ファイルの名前。
  • Servers:ログの転送時に使用するアドレスとプロトコルの両方が記述されたサーバURLの配列。エージェントはこれらのサーバに順番に接続を試行します。
  • Filter:監視するチャネルと除外するイベントIDが記述されたWindowsイベント ビューア互換のXML。ApplicationチャネルとSystemチャネルからそれぞれ1つのイベントIDを除いて収集する標準的なXMLフィルタは次のようになります。

  • Enabled:収集を無効にできます。無効にした場合でも、テスト ログは送信されます(テストログが有効な場合)。
  • TestLogOnLoad:構成がロードされたときにログ メッセージを送信します。イベント収集が有効でない場合でも、テスト ログは送信されます。これにより、収集を有効にする前に、アナリストが容易に構成をテストできます。このログ メッセージはローカルのWindowsイベント ログには記録されません。

テスト ログの読み方

テスト ログ メッセージは、EndpointエージェントとWindowsログ収集ファイルが同時に初期インストールされたとき、または、ログ構成ファイルが更新されたときに送信されます。インストールまたはWindowsログ収集の更新が成功すると、テスト ログ ファイルに3つのセクションが表示されます。

                 
1テスト ログ メッセージ タイプ、エージェントのIPアドレス、エージェントのホスト名、テスト ログの生成時刻
2エージェントの作成中に指定された構成
3

ステータスとそれに関連づけられたメッセージ

3つのシナリオがあります。

  1. ログ収集構成の導入に成功した - テスト ログ メッセージ タイプが-1になり、ステータスはsuccessと表示されます。

  2. ログ収集構成ファイルが改ざんされた - エージェント テスト メッセージが-2と表示され、構成ファイルが改ざんされたことを示すメッセージが表示されます。変更を再度適用する場合は、ログ収集構成ファイルを再生成します。

  3. カスタム チャネル名が正しくない - ステータス障害メッセージが表示されます。正しいチャネルを使用してログ収集構成ファイルを再生成します。

You are here
Table of Contents > ログ収集:トラブルシューティング

Attachments

    Outcomes