調査:Investigateのトラブルシューティング

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

このセクションでは、NetWitness Investigateの使用時に発生する可能性のある問題について説明します。

イベント分析の問題

 

                 
メッセージInvestigation Profiles/OOTB column groups are not present in Event Analysis
問題RSA NetWitness v11.1へのアップグレード後、デフォルトの列グループ(Endpoint Analysis、Outbound SSL、Outbound Http)が列グループに追加されていません。 また、アップグレード後に一部の調査プロファイルが見つかりません。
説明

この問題は、11.1の新しいOOTB列グループ名と同じ名前でカスタム列グループを作成していた場合にのみ発生します。 たとえば、11.0で「RSA Endpoint Analysis」というカスタム列グループを作成し、その後11.1へアップグレードしたとします。同じ名前が存在するため、11.1のOOTBの列グループとOOTBプロファイルはUIに表示されません。

この問題を解決するには、カスタム列グループを別の名前に変更した後、NetWitnessサーバで次のコマンドを実行して、jettyサーバを再起動します。

systemctl restart jetty

 

                 
メッセージApplicable for hosts with 4.x Endpoint agents installed, please install the NetWitness Endpoint Thick Client.
問題[イベント分析]ビューで[エンドポイントに移行]をクリックすると、データが表示されず、メッセージが表示されます。
説明バージョン4.4のNetWitness Endpoint Thick Clientを、同じサーバにインストールする必要があります。NWEメタ キーがLog Decoderのtable-map.xmlファイルに存在する必要があります。また、NWEメタ キーがindex-concentrator-custom.xmlファイルに存在する必要があります。NWE Thick Clientは、Windowsのみのアプリケーションです。完全なセットアップ手順は、バージョン 4.4の「NetWitness Endpoint User Guide」を参照してください。

 

                 
メッセージEvent Analysis requires all core services to be NetWitness 11.1. Connecting prior versions of services to the 11.1 NetWitness Server results in limited functionality (see "Investigate in Mixed Mode" in the Physical Host Upgrade Guide).
問題[イベント分析]ビューでバージョン11.1に更新されていないサービスを調査する場合、情報メッセージが表示されます。
説明アナリストが混在モード(つまり、一部のサービスは11.1に更新されているが、一部のサービスは11.0.0.xまたは10.6.xのまま)で[イベント分析]ビューを開くと、RBAC(ロールによるアクセス制御)が一律に適用されません。これは、コンテンツの表示とダウンロード、対話形式で階層リンクを操作する時のフィルタの検証に影響します。この情報メッセージは、[イベント分析]を開く時に表示されます。サービスを選択する時、最新でないサービスは赤いボックスの中に表示され、サービスが最新でないというメッセージが表示されます。管理者が、接続されたすべてのサービスを11.1に更新すると、これらの機能は正常に動作します。

 

                 
メッセージForbidden. You cannot access the requested page.
問題[イベント分析]ビューにアクセスしようとすると、このメッセージが表示されます。
説明管理者があなたのロールと権限を変更して、[イベント分析]ビューにアクセスできないようにしています。

 

                 
メッセージ

Insufficient permissions for the requested data.

問題任意の方法を使用して[イベント分析]にイベントを表示しようとすると、イベントの再構築が表示されず、このメッセージが表示されます。
説明表示する権限がないイベントのイベントIDを入力しました。アクセスを制限するために、管理者がロールと権限により制限を設けた可能性があります。

 

                 
メッセージInvalid session ID: <<eventId>>
問題クエリを実行したsessionIdと一致するsessionIdがありません。
説明無効なセッションIDが発生した原因はいくつか考えられます。例えば、手動でセッションIDを入力したが、そのようなセッションが存在しない可能性があります。また、Brokerに対してクエリを実行する場合、集計されたデータがしばらく更新されていないと、既に存在しなくなったセッションについてこのエラーが表示される可能性があります。

 

                 
メッセージNo text data was generated during content reconstruction. This could mean that the event data was corrupt/invalid, or that an administrator has disabled the transmission of raw endpoint events in the Endpoint server configuration. Check the other reconstruction views.
問題[イベント分析]ビューでイベントをテキストとして再構築するとき、データが表示されず、このメッセージが表示されます。
説明他の[イベント分析]ビューや[イベント]ビューの再構築でもRAWテキストが表示されず、データが破損していない、または無効でないと思われる場合、管理者がNetWitness EndpointサーバでRAWエンドポイント イベントの送信を無効化した可能性があります。詳しくは、管理者にお問い合わせください。

 

                 
メッセージ

Session is unavailable for viewing.

問題イベントIDでクエリを実行した時に、イベントの再構築が表示されず、このメッセージが表示されます。
説明入力したクエリは、制限されたデータを見ようとしています。たとえば、現在ログ データの表示しか許可されていないのに、昨日まで表示が許可されていたネットワーク データへのリンクを使用しているアクセスしています。

 

                 
メッセージThe session id is too large to be handled:<<eventId>
問題入力、編集、または[イベント]ビューや[ナビゲート]ビューから取得したsessionIdの整数値が大きすぎます。
説明sessionIdを手動で入力したか、[イベント分析]ビューでsessionIdを編集した場合、イベント分析で処理するには大きすぎる整数値を指定した可能性があります。

 

                 
動作

[イベント分析]ビューでフィルタを作成する場合、クエリ ビルダに、ANDまたはOR演算子を使用した複雑な式を入力することはできません。

問題[イベント分析]ビューのクエリ ビルダは、<meta key><operator><meta value>形式のシンプルな式のみサポートしています。
説明

AND またはOR演算子を使用するフィルタを入力する必要がある場合は、[ナビゲート]ビューまたは[イベント]ビューでクエリを入力し、そこから[イベント分析]ビューを開く必要があります。[イベント分析]ビューでは、一部の複雑な式を2つの個別のフィルタとして指定することができます。これらのフィルタは、クエリの実行時に、「AND」処理されます。

[ホスト]ビューの問題

                 
メッセージAn error has occurred. The Endpoint Server may be offline or inaccessible.
問題[ホスト]ビューまたは[ファイル]ビューにアクセスしようとすると、ビューにこのメッセージが表示されます。
説明

Endpoint ServerまたはNginx Serverが稼働していません。[管理]>[サービス]でEndpoint Serverのステータスを確認するか、Endpoint ServerホストのIPアドレスがAdminサーバに登録されているかどうかを確認します。詳細については、「RSA NetWitness Suite 物理ホスト インストール ガイド」または「RSA NetWitness Suite 仮想ホスト インストール ガイド」を参照してください。サービスが実行されていない場合は、Endpoint Serverを起動します。

 

             
問題

Safariブラウザで[ホスト]ビューと[ファイル]ビューがロードされません。

説明

Safariブラウザで、信頼できないSSL証明書を使用するEmberページを開くと、[ホスト]ビューと[ファイル]ビューがロードされません。ビューをロードするには、次の手順を実行します。

1. [証明書を表示]ポップアップ メニューをクリックします。

2. [<IP Address>への接続時に常にNetWitnessを信頼]チェックボックスをオンにします。

3. [続ける]をクリックします。

4. ユーザ名とパスワードを入力します。

5. [設定の更新]をクリックします。

 

                 
メッセージNo process information was found.
問題[ホストの詳細]ビューの[プロセス]タブまたは[ライブラリ]タブにアクセスしようとすると、ホストの詳細情報は表示されず、このメッセージが表示されます。
説明

スキャン データが次のいずれかの理由で利用できません。

  • 最初のスキャンが完了していない

  • データ保存ポリシーにより、すべてのスキャン スナップショットが削除された

[ファイル]ビューの問題

 

                 
動作メタ値のロードに時間がかかります。
問題メタ値でインデックス作成するよう設定されていません。
説明

調査中に[ファイル]ビューから[ナビゲート]ビューまたは[イベント分析]ビューに移行するとき、ファイル名またはハッシュ(SHA256とMD5)の値でインデックス作成するよう設定されていないと、Concentratorがメタ データベースにアクセスして各イベントのメタ値を取得してインデックスを作成する必要があるため、一致する結果をロードするのに時間がかかります。移行を行う前に、手動で値のインデックス作成をする必要があります。

 

             
問題ファイルのフィルタリングを行うと、UIに結果をロードするのに時間がかかります。
説明

[ファイル]ビューでContains演算子を使ってファイルをフィルタリングすると、結果がUIにロードされるのに数秒かかります。ファイルをフィルタリングする場合は、Equals演算子には少なくとも1つインデックス付きフィールドを指定する必要があります。

You are here
Table of Contents > Investigateのトラブルシューティング

Attachments

    Outcomes