Investigate : Résolution des problèmes liés à Investigate

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

Cette section fournit des informations sur les problèmes rencontrés lors de l'utilisation de NetWitness Investigate.

Problèmes liés à la vue Analyse d'événements

 

                 
MessageInvestigation Profiles/OOTB column groups are not present in Event Analysis
ProblèmeAprès une mise à niveau vers RSA NetWitness v11.1, les groupes de colonnes par défaut - Endpoint Analysis, Outbound SSL et Outbound Http ne sont pas ajoutés sous les groupes de colonnes. En outre, peu de profils de procédure d'enquête sont manquants après la mise à niveau.
Explication

Ce problème se produit uniquement après avoir créé un groupe de colonnes personnalisé portant le même nom que le nouveau groupe de colonnes personnalisé OOTB de la version 11.1. Par exemple, si vous créez un groupe de colonnes personnalisé dans la version 11.0 nommé RSA Endpoint Analysis après la mise à niveau vers la version 11.1. Parce que ce nom existe déjà dans la version 11.1, les groupes de colonnes OOTB et les profils OOTB ne seront pas disponibles dans l'interface utilisateur.

Pour résoudre ce problème, remplacez le nom du groupe de colonnes personnalisé par un autre et redémarrez le serveur Jetty à l'aide de la commande suivante sur le serveur NetWitness :

systemctl restart jetty

 

                 
MessageApplicable for hosts with 4.x Endpoint agents installed, please install the NetWitness Endpoint Thick Client.
ProblèmeLorsque vous cliquez sur Pivoter vers Endpoint dans la vue Analyse d'événements, aucune donnée ne s'affiche et le message s'affiche.
ExplicationLa Version 4.4 du client Thick NetWitness Endpoint doit être installée sur le même serveur, les clés méta NWE doivent exister dans le fichier table-map.xml sur le Log Decoder et les clés méta NWE doivent exister dans le fichier index-concentrator-custom.xml. Le client Thick NWE est une application Windows uniquement. Les instruments de configuration complets sont fournis dans le Guide d'utilisation du point de terminaison NetWitness pour la Version 4.4.

 

                 
MessageEvent Analysis requires all core services to be NetWitness 11.1. Connecting prior versions of services to the 11.1 NetWitness Server results in limited functionality (see "Investigate in Mixed Mode" in the Physical Host Upgrade Guide).
ProblèmeLorsque vous tentez de rechercher un service qui n'a pas été mis à jour vers la version 11.1 dans la vue Analyse d'événements, le message d'information s'affiche.
ExplicationLorsqu'un analyste ouvre la vue Analyse d'événements en mode mixte (c'est-à-dire que certains services sont mis à niveau vers la version 11.1 et d'autres vers les versions 11.0.0.x ou 10.6.x), l'accès basé sur les rôles (RBAC) n'est pas appliqué uniformément. Cela affecte l'affichage et le téléchargement du contenu, ainsi que la validation des filtres dans le fil d'Ariane interactif. Ce message d'information apparaît à l'ouverture de la vue Analyse d'événements. Lorsque vous sélectionnez un service, les services qui ne sont pas à jour sont affichés dans une zone rouge, avec le message que le service n'est pas à jour. Lorsque votre administrateur a mis à niveau tous les services connectés vers la version 11.1, ces fonctionnalités fonctionnent comme prévu.

 

                 
MessageForbidden. You cannot access the requested page.
ProblèmeLorsque vous tentez d'accéder à la vue Analyse d'événements, la vue s'ouvre avec le message.
ExplicationVotre administrateur a empêché l'accès à la vue Analyse d'événements à l'aide du rôle et des autorisations.

 

                 
Message

Insufficient permissions for the requested data.

ProblèmeLorsque vous tentez d'accéder à un événement dans Analyse d'événements par n'importe quel moyen, la reconstruction n'apparaît pas, mais le message s'affiche.
ExplicationVous avez saisi un ID d'événement pour un événement que vous n'êtes pas autorisé à afficher. L'administrateur peut avoir mis quelques restrictions pour limiter l'accès en fonction des rôles et des autorisations.

 

                 
MessageInvalid session ID: <<eventId>>
ProblèmeAucun paramètre sessionId ne correspond au paramètre sessionId que vous recherchez.
ExplicationLe motif de l'ID de session non valide peut varier. Vous avez peut-être modifié l'ID de session manuellement, alors qu'aucune session de ce type n'existe. Il se peut aussi qu'un Broker ait été interrogé et que les données agrégées n'aient pas été actualisées, et dans ce cas, ce message d'erreur peut s'afficher pour une session qui n'existe plus.

 

                 
MessageNo text data was generated during content reconstruction. This could mean that the event data was corrupt/invalid, or that an administrator has disabled the transmission of raw endpoint events in the Endpoint server configuration. Check the other reconstruction views.
ProblèmeLorsque vous reconstruisez un événement en tant que texte dans la vue Analyse d'événements, aucune donnée n'apparaît mais le message s'affiche.
ExplicationSi le texte brut n'apparaît pas dans d'autres vues Analyse d'événements ou dans les reconstructions de vues d'événements, et si vous pensez que les données ne sont pas corrompues ni incorrectes, votre administrateur a probablement désactivé la transmission des événements de points de terminaison bruts sur le serveur NetWitness Endpoint. Contactez votre administrateur pour plus d'informations.

 

                 
Message

Session is unavailable for viewing.

ProblèmeLors de l'interrogation d'un ID d'événement, la reconstruction ne s'affiche pas, mais le message s'affiche.
ExplicationLa requête que vous avez saisie tente d'examiner les données restreintes ; par exemple, si vous êtes autorisé(e) à voir uniquement les données des fichiers log, mais que vous utilisez un lien vers les données réseau que vous étiez autorisé(e) à voir hier.

 

                 
MessageThe session id is too large to be handled:<<eventId>
ProblèmeLe nombre entier sessionId que vous avez saisi, modifié ou obtenu à partir de la vue Evénements ou de la vue Naviguer est trop volumineux.
ExplicationSi vous avez saisi ou modifié le paramètre sessionId dans la vue Analyse d'événements manuellement, vous avez peut-être créé un nombre entier qui est trop volumineux pour être traité par Event Analysis.

 

                 
Comportement

Lors de la création d'un filtre dans la vue Analyse d'événements, vous ne pouvez pas saisir une expression complexe à l'aide de l'opérateur AND ou OR dans le Générateur de requête.

ProblèmeLe Générateur de requête dans la vue Analyse d'événements prend uniquement en charge les expressions simples sous la forme <meta key><operator><meta value>.
Explication

Si vous souhaitez entrer un filtre utilisant l'opérateur AND ou OR, vous devez l'entrer dans la vue Naviguer ou Événements, puis l'ouvrir dans la vue Analyse d'événements. Vous pouvez entrer des expressions complexes sous la forme de deux filtres distincts dans la vue Analyse d'événements. Les filtres sont associés lorsque vous exécutez la requête.

Problèmes liés à la vue Hôtes

                 
MessageAn error has occurred. The Endpoint Server may be offline or inaccessible.
ProblèmeLorsque vous tentez d'accéder à la vue Hôtes ou Fichiers, la vue s'ouvre avec un message d'erreur.
Explication

Le serveur Endpoint ou le serveur Nginx ne fonctionne pas. Vérifiez l'état du serveur Endpoint sous Admin > Service ou vérifiez si l'adresse IP de l'hôte du serveur Endpoint est enregistrée avec le serveur d'administration. Pour plus d'informations, reportez-vous au Guide d'installation des hôtes physiques RSA NetWitness Suite ou au Guide d'installation des hôtes virtuels RSA NetWitness Suite. Si le service n'est pas exécuté, démarrez le serveur Endpoint.

 

             
Problème

Les vues Hôtes et Fichiers ne se chargent pas dans le navigateur Safari.

Explication

Lorsque vous ouvrez les pages Ember dans le navigateur Safari avec un certificat SSL non approuvé, les vues Hôtes et Fichiers ne se chargent pas. Pour charger les vues.

1. Cliquez sur le menu contextuel Afficher le certificat.

2. Activez la case à cocher Toujours faire confiance à NetWitness lors de la connexion à <adresse IP>.

3. Cliquez sur Continuer.

4. Saisissez votre nom d'utilisateur et votre mot de passe.

5. Cliquez sur Valider les paramètres.

 

                 
MessageNo process information was found.
ProblèmeLorsque vous tentez d'accéder à l'onglet Processus ou Bibliothèques dans la vue Détails de l'hôte, les informations détaillées de l'hôte ne sont pas disponibles, et la vue s'ouvre avec ce message d'erreur.
Explication

Les données d'analyse ne sont pas disponibles pour l'une des raisons suivantes :

  • La première analyse n'est pas terminée

  • La politique de rétention des données a supprimé tous les snapshots

Problèmes liés à la vue Fichiers

 

                 
ComportementLes valeurs méta mettront du temps à se charger.
ProblèmeLes valeurs méta ne sont pas indexées par valeurs.
Explication

Au cours de la procédure d'enquête, en pivotant vers la vue Naviguer ou la vue Analyse d'événements depuis la vue Fichiers, si le nom de fichier ou le hachage (SHA256 et MD5) ne sont pas indexés par valeurs, les résultats correspondants mettront du temps à se charger car le service Concentrator doit générer l'index en accédant à la base de données méta et en récupérant la valeur méta pour chaque événement. Vous devez indexer manuellement les valeurs avant de pivoter.

 

             
ProblèmeLe filtrage des fichiers prend plus de temps pour charger les résultats dans l'interface utilisateur.
Explication

Dans la vue Fichiers, lors du filtrage des fichiers avec l'opérateur Contains, les résultats mettent quelques secondes pour se charger dans l'interface utilisateur. Vous devez utiliser au moins un champ indexé avec l'opérateur Equalslors du filtrage des fichiers.

You are here
Table of Contents > Résolution des problèmes de procédure d'enquête

Attachments

    Outcomes