Investigate: Solución de problemas de Investigate

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 2Show Document
  • View in full screen mode
 

En esta sección se proporciona información sobre posibles problemas durante el uso de NetWitness Investigate.

Problemas de Análisis de eventos

 

                 
MensajeInvestigation Profiles/OOTB column groups are not present in Event Analysis
ProblemaPosterior a la actualización a RSA NetWitness v11.1, los grupos de columnas predeterminados (Análisis de Endpoint, Protocolo SSL de salida y HTTP de salida) no se agregaron bajo los grupos de columnas. Además, posterior a la actualización faltan algunos de los perfiles de Investigation.
Explicación

Se puede observar que este problema ocurre solo cuando crea un grupo de columnas personalizado con un nombre que es igual al nombre del nuevo grupo de columnas personalizado de uso inmediato de 11.1. Por ejemplo, si crea un grupo de columnas personalizado en 11.0 con el nombre Análisis de RSA Endpoint, entonces este después se actualiza a 11.1. Debido a que el mismo nombre ya existe en 11.1, los grupos de columnas de uso inmediato y los perfiles de uso inmediato no estarán disponibles en la interfaz del usuario.

Para solucionar esto, cambie el nombre del grupo de columnas personalizado por otro nombre y reinicie el servidor Jetty mediante el siguiente comando en el servidor de NetWitness:

systemctl restart jetty

 

                 
MensajeApplicable for hosts with 4.x Endpoint agents installed, please install the NetWitness Endpoint Thick Client.
ProblemaCuando hace clic en Cambiar a Endpoint en la vista Análisis de eventos, no se muestran datos y aparece el mensaje.
ExplicaciónLa versión 4.4 del cliente grueso de NetWitness Endpoint debe estar instalada en el mismo servidor, las claves de metadatos de NWE deben existir en el archivo table-map.xml en el Log Decoder y las claves de metadatos de NWE deben existir en el archivo index-concentrator-custom.xml. El cliente grueso de NWE es una aplicación solo de Windows. En la Guía del usuario de NetWitness Endpoint para la versión 4.4 se proporcionan instrucciones de configuración completas.

 

                 
MensajeEvent Analysis requires all core services to be NetWitness 11.1. Connecting prior versions of services to the 11.1 NetWitness Server results in limited functionality (see "Investigate in Mixed Mode" in the Physical Host Upgrade Guide).
ProblemaCuando intenta investigar un servicio que no se ha actualizado a la versión 11.1 en la vista Análisis de eventos, se muestra el mensaje informativo.
ExplicaciónCuando un analista abre la vista Análisis de eventos en modo mixto (es decir, algunos servicios están actualizados a 11.1 y otros aún están en 11.0.0.x o 10.6.x), el acceso basado en funciones (RBAC) no se aplica de manera uniforme. Esto afecta el proceso de ver y descargar el contenido y la validación de los filtros en la ruta de navegación interactiva. Verá este mensaje informativo cuando abra Análisis de eventos. Cuando selecciona un servicio, los servicios que no están actualizados se muestran en un recuadro rojo, con el mensaje que indica que el servicio no está actualizado. Cuando el administrador ha actualizado todos los servicios conectados a 11.1, estas funciones funcionan según lo previsto.

 

                 
MensajeForbidden. You cannot access the requested page.
ProblemaAl intentar acceder a la vista Análisis de eventos, la vista se abre con el mensaje.
ExplicaciónEl administrador ha impedido el acceso a la vista Análisis de eventos con función y permisos.

 

                 
Mensaje

Insufficient permissions for the requested data.

ProblemaAl intentar acceder a un evento en Análisis de eventos por cualquier medio, no se muestra la reconstrucción y aparece el mensaje.
ExplicaciónIngresó un ID de evento para un evento que no tiene permiso para verlo. Es posible que el administrador haya aplicado algunas restricciones para limitar el acceso por función y permisos.

 

                 
MensajeInvalid session ID: <<eventId>>
ProblemaNingún sessionId coincide con el sessionId que consultó.
ExplicaciónEl motivo por el cual un ID de sesión no es válido puede variar. Tal vez editó el ID de sesión manualmente y no existe esa sesión. Otro caso puede ser cuando consulta un Broker y no se han actualizado los datos agregados; este error se puede ver para una sesión que ya no existe.

 

                 
MensajeNo text data was generated during content reconstruction. This could mean that the event data was corrupt/invalid, or that an administrator has disabled the transmission of raw endpoint events in the Endpoint server configuration. Check the other reconstruction views.
ProblemaCuando reconstruye un evento como texto en la vista Análisis de eventos, no se muestran datos y aparece el mensaje.
ExplicaciónSi no ve el texto crudo en otras reconstrucciones en las vistas Análisis de eventos o Eventos y considera que los datos no están dañados ni son no válidos, es probable que el administrador haya deshabilitado la transmisión de eventos de Endpoint crudos en el servidor de NetWitness Endpoint. Para obtener información adicional, póngase en contacto con el administrador.

 

                 
Mensaje

Session is unavailable for viewing.

ProblemaAl consultar un ID de evento, no se muestra la reconstrucción y aparece el mensaje.
ExplicaciónLa consulta que ingresó está intentando ver datos restringidos, por ejemplo, si tiene permiso para ver solamente los datos del registro y está utilizando un vínculo a los datos de red para los que tenía permiso para ver ayer.

 

                 
MensajeThe session id is too large to be handled:<<eventId>
ProblemaEl entero sessionId que escribió o editó en las vistas Eventos o Navegar, o que obtuvo de estas, es demasiado grande.
ExplicaciónSi escribió manualmente el sessionId o editó un sessionId en la vista Análisis de eventos, es posible que haya creado un entero que es demasiado grande para que Análisis de eventos lo pueda procesar.

 

                 
Comportamiento

Durante la creación de un filtro en la vista Análisis de eventos, no puede ingresar una expresión compleja mediante el operador AND o OR en el generador de consultas.

ProblemaEl generador de consultas en la vista Análisis de eventos admite solo expresiones simples en el formulario <meta key><operator><meta value>.
Explicación

Si desea ingresar un filtro que utiliza el operador AND o OR, debe ingresar la consulta desde las vistas Navegar o Eventos y abrirla en la vista Análisis de eventos. Puede ingresar algunas expresiones complejas como dos filtros separados en la vista Análisis de eventos. Se usará el operador Y en los filtros cuando ejecute la consulta.

Problemas en la vista Hosts

                 
MensajeAn error has occurred. The Endpoint Server may be offline or inaccessible.
ProblemaAl intentar acceder a las vistas Hosts o Archivos, la vista se abre con el mensaje.
Explicación

El servidor de Endpoint o el servidor de Nginx no están en ejecución. Compruebe el estado del servidor de Endpoint en Administrar > Servicio o compruebe si la dirección IP del host del servidor de Endpoint está registrada en el servidor de Admin. Para obtener más información, consulte la Guía de instalación de hosts físicos de RSA NetWitness Suite o la Guía de instalación de hosts virtuales de RSA NetWitness Suite. Si el servicio no está en ejecución, inicie el servidor de Endpoint.

 

             
Problema

Las vistas Hosts y Archivos no se cargan en el navegador Safari.

Explicación

Cuando abre las páginas de Ember en el navegador Safari con un certificado SSL no confiable, las vistas Hosts y Archivos no se cargan. Para cargar las vistas.

1. Haga clic en el menú emergente Mostrar certificado.

2. Habilite la casilla de verificación Siempre confiar en NetWitness al conectarse a <IP Address>.

3. Haga clic en Continuar.

4. Escriba el nombre de usuario y la contraseña.

5. Haga clic en Actualizar configuración.

 

                 
MensajeNo process information was found.
ProblemaAl intentar acceder a la pestaña Proceso o Bibliotecas de la vista Detalles del host, la información detallada del host no está disponible y la vista se abre con el mensaje.
Explicación

Los datos de escaneo no están disponibles debido a alguno de los siguientes motivos:

  • El escaneo por primera vez no está completo

  • La política de retención de datos ha eliminado todas las instantáneas de escaneo

Problemas en la vista Archivos

 

                 
ComportamientoLos valores de metadatos tardarán en cargarse.
ProblemaLos valores de metadatos no están configurados para indexarse por valores.
Explicación

Durante la investigación, mientras se cambia a las vistas Navegar o Análisis de eventos desde la vista Archivos, si el nombre de archivo o el hash (SHA256 y MD5) no están configurados para indexarse por valores, los resultados coincidentes tardan en cargarse porque el Concentrator debe generar el índice accediendo a la base de datos de metadatos y recuperando el valor de los metadatos para cada evento. Tendrá que indexar los valores manualmente antes del cambio.

 

             
ProblemaEl filtrado de archivos tarda más en cargar los resultados en la interfaz del usuario.
Explicación

En la vista Archivos, durante el filtrado de archivos con el operador Contains, los resultados tardan algunos segundos en cargarse en la interfaz del usuario. Debe utilizar al menos un valor de indexación con el operador Equals durante el filtrado de los archivos.

You are here
Table of Contents > Solución de problemas de Investigate

Attachments

    Outcomes