Windows Legacy収集:トラブルシューティング

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、LWC(Windows Legacy収集)で発生する可能性のある問題と推奨される解決策について説明します。

注:一般的に、SSLを無効にすることで安定的にログ メッセージを受信できるようになる場合があります。

プロトコルの再開に関する問題

                  
問題考えられる原因解決策

Windows Legacy収集プロトコルを再開したが、NetWitness Suiteがイベントを受信しない。

logcollectorサービスが停止しています。

logcollectorサービスを再起動します。

  1. Windows LegacyリモートCollectorにログインします。
  2. [スタート]>[管理ツール]>[タスク スケジューラ]の順にクリックし、[タスク スケジューラ ライブラリ]をクリックします。
  3. 右側のパネルで、restartnwlogcollectorタスクを見つけ、このタスクが実行中であることを確認します。
  4. 実行中でない場合は、restartnwlogcollector
    を右クリックし、[実行]を選択します。

インストールに関する問題

MessageBroker.logに次のいずれかのメッセージが記録されている場合は、問題が発生している可能性があります。 

                             
ログ メッセージ「rabbitmq」が含まれるすべてのメッセージ
考えられる原因RabbitMQサービスが実行されていない可能性があります。

ポート5671が開いていない可能性があります。
解決策RabbitMQサービスが実行されていることを確認します。
ポート5671が開いていることを確認します。
ログ メッセージError: Adding logcollector user account.
Error: Adding administrator tag to logcollector account.
Error: Adding logcollection vhost.
Error: Setting permissions to logcollector account in all vhosts.
考えられる原因インストーラがユーザとvhostを作成しようとしたときにrabbitmq-serverが実行されていませんでした。
解決策

RabbitMQサービスが実行されていることを確認し、次のコマンドを手動で実行します。

rabbitmqctl -q add_user logcollector netwitness
rabbitmqctl -q set_user_tags logcollector administrator
rabbitmqctl -q add_vhost logcollection
rabbitmqctl -q set_permissions -p / logcollector ".*" ".*" ".*"
rabbitmqctl -q set_permissions -p logcollection logcollector ".*" ".*" ".*"

Windows Legacyフェデレーション スクリプトに関する問題

フェデレーション スクリプト ログに次のいずれかのメッセージが記録されている場合は、問題が発生している可能性があります。 

                                 
問題考えられる現象解決策

フェデレーション スクリプトが開始されたが、LWCサービスが停止した。

NetWitness Suiteのログには、Windows Legacy Collectorとの接続失敗の例外が示されます。

この問題は、Windows Legacyサービスを再起動すると、自動的に修正されます。

 

LWCは実行しているが、RabbitMQサービスがダウンするか、再起動される。 

Windows Legacy側のフェデレーション ログ ファイルには、ダウンしているRabbitMQサービスに関するエラー メッセージが表示されます。

確認するログ ファイルは次の場所にあります。
C:\NetWitness\ng\logcollector

RabbitMQが実行されていない場合は、次のエラー メッセージがログに記録されます。

"Unable to connect to node logcollector@localhost: nodedown"

次の診断メッセージが表示されます。

attempted to contact: [logcollector@localhost]

logcollector@localhost:
  * connected to epmd (port 4369) on localhost

  * epmd reports: node 'logcollector' not running at all other nodes on localhost: ['rabbitmqctl-4084']
  * suggestion: start the node

LWCでfederation.batスクリプトを手動で実行します。
federate.batスクリプトを手動で実行するには、次のステップを実行します。

  1. Windows LegacyインスタンスがインストールされているC:\Program Files\NwLogCollectorフォルダに移動します。
  2. このフォルダにあるfederate.batファイルを見つけます。このファイルを選択して右クリックします。
  3. 管理者として実行]を選択します。
  4. ログ ファイルを監視するには、
    federate.batスクリプトが実行している間にC:\NetWitness\ng\logcollector\federate.logに移動します。

注:スクリプトが実行している間にログ ファイルにエラーが表示されないことを確認します。

NetWitness Suite側でRabbitMQサービスがダウンする。

NetWitness Suiteユーザ インタフェース ページが機能していません。

RabbitMQサービスを再起動します。

お客様がヘルスモニタの通知を受け取る、または次のようなヘルスモニタのアラームが表示される。
「Communication failure between Master NetWitness Suite Host and a Remote Host」と表示され、リモートIPとしてLWCホストが示される。

federate.batスクリプトが正常に実行されていません。

federate.batスクリプトが正しく実行されなかった場合は、前述のように手動で実行します。

You are here
Table of Contents > 収集プロトコル > Windows Legacy収集およびNetApp収集の構成ガイド > トラブルシューティング:Windows LegacyおよびNetApp Collection

Attachments

    Outcomes