Vorgehensweise bei der Fehlerbehebung, wenn von einer neuen Datenquelle keine Ereignisse empfangen werden
Technische Artikel ID:
KB82387
Zuletzt geändert am: 2021-01-27 08:28:35 Etc/GMT
Umgebung
McAfee SIEM Enterprise Security Manager (NitroView ESM) 9.x
McAfee SIEM Event Receiver (NitroView Receiver) 9.x
Problem
Nach dem Hinzufügen einer neuen Datenquelle zu SIEM Event Receiver 9.x werden keine Ereignisse empfangen. Außerdem kann es passieren, dass eine vorhandene und bislang funktionierende Datenquelle plötzlich keine Daten mehr sendet.
HINWEIS: Wenn aus einer bestimmten Datenquelle keine Ereignisse abgerufen werden können, beeinträchtigt dies die Transparenz und kann zu einer verringerten Compliance hinsichtlich Datenaufbewahrung und Protokollierung führen.
Ursache
Für einen Fehler beim Abrufen von Ereignissen kann es unterschiedliche Gründe geben. Meistens liegt jedoch eine der folgenden Ursachen vor:
- Die Datenquelle sendet keine Daten an den Empfänger. Mögliche Ursache kann eine falsche Konfiguration sein.
- Aufgrund eines Erfassungsproblems werden die empfangenen Ereignisdaten vom Empfänger nicht gespeichert.
- Der Parser-Prozess kann aufgrund eines Decodierungsproblems keine Ereignisse aus den Protokoll-Rohdaten erstellen.
- Die Ereignisse werden möglicherweise nicht in die ESM-Datenbank eingetragen.
- Das Netzwerk oder die Firewall blockiert einen benötigten Port und verhindert damit die Funktion von Syslog.
- Es liegt ein Problem mit der SIEM-Richtlinie vor.
Ermitteln und beheben Sie das Problem wie folgt.
Lösung
1
Datenquelle sendet keine Daten an Empfänger
Überprüfen Sie, ob die Datenquelle für das Senden von Daten an den Empfänger konfiguriert ist:
- Ermitteln Sie, welcher Ethernet-Adapter verwendet wird. Bei Nicht-HA-Empfängern ist dies meistens eth0, bei HA-Empfängern dagegen eth1 oder die dynamische IP-Adresse.
- Stellen Sie eine SSH-Verbindung mit dem Empfänger her, geben Sie den folgenden Befehl ein, und drücken Sie anschließend die EINGABETASTE:
tcpdump –nni ethx host x.x.x.x
Dabei steht x.x.x.x für die IP-Adresse der Datenquelle, und ethx ist der Platzhalter für den verwendeten Ethernet-Adapter.
HINWEIS: Bei Syslog-Datenquellen sollte auf Port 514 UDP eingehender Datenverkehr angezeigt werden. Bei langsameren Datenquellen kann es mehrere Minuten dauern, bis ein eingehendes Paket angezeigt wird, bei schnelleren Quellen, wie z. B. einer Firewall, geschieht dies fast sofort. Wenn keinerlei Datenpakete angezeigt werden, liegt möglicherweise ein Problem mit der Firewall bzw. dem Endgerät vor.
- Wenn kein Datenverkehr beobachtet wird, überprüfen Sie die IP-Adresse und die Ethernet-Nummer. Sind diese korrekt, liegt das Problem wahrscheinlich beim Endgerät (z. B. eine fehlerhafte Gerätekonfiguration). Bei Nicht-Syslog-Datenquellen kann es erforderlich sein, von der grafischen Benutzeroberfläche aus einen Verbindungstest durchzuführen, während der tcpdump-Prozess ausgeführt wird. (WMI ruft die Daten über Port 135 ab, SQL über Port 1433 usw.)
HINWEIS: Wenn alle IP- und Port-Daten korrekt sind und der tcpdump-Prozess keinen eingehenden Datenverkehr anzeigt, kann die Störung auch mit einem Firewall- bzw. Netzwerkproblem zusammenhängen, das den Eingang von Datenverkehr auf dem angegebenen Port verhindert. Wenden Sie sich zur weiteren Problembehebung an den Administrator Ihres Netzwerks.
- Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
iptables –n –v –L|grep x.x.x.x
HINWEIS: Es muss eine Regel aktiv sein, die dafür sorgt, dass die IP-Adresse der Datenquelle die Firewall passieren darf. Eine typische Ausgabe des Befehls "iptables" enthält den Port und die IP-Adresse der Datenquelle. Beispielsweise lautet diese Ausgabe bei Syslog 10.10.10.10 514.
- Wählen Sie auf der ESM-Benutzeroberfläche die Datenquelle aus, und klicken Sie auf das Dashboard Gerätestatus. Führen Sie nach Abschluss des Ladevorgangs im unteren Fenster einen Bildlauf bis zur virtuellen IP-Adresse (vipsid) der Datenquelle durch.
- Stellen Sie eine SSH-Verbindung mit dem Empfänger her, und führen Sie folgenden Befehl aus:
ls –al /var/log/data/inline/thirdparty.logs/##/in
Dabei steht ## für die virtuelle IP-Adresse.
Wenn eine Datei mit dem Namen Data.xxxxxx vorhanden ist, deren Größe nicht 0 Byte beträgt, fahren Sie mit Lösung 2 fort.
Lösung
2
Daten werden zwar vom Empfänger empfangen und gespeichert, jedoch nicht vom Parser analysiert
- Überprüfen Sie, ob der richtige Parser ausgewählt ist. Wenn mehrere geeignete Parser vorhanden sind, wählen Sie denjenigen aus, dessen Name die Zeichenfolge (ASP) enthält. Überprüfen Sie außerdem, ob für die Einstellungen von Zustellung und Format die Standardwerte festgelegt sind, sofern Sie keine MEF- bzw. Nicht-Syslog-Datenquellen verwenden.
- Möglicherweise sind die Einstellungen und Richtlinie der Datenquelle nicht auf dem aktuellen Stand. Öffnen Sie deshalb die Datenquelleneigenschaften, und bearbeiten Sie eine beliebige Zeile. (Fügen Sie beispielsweise ein Leerzeichen zum Namen hinzu und entfernen Sie es anschließend wieder.)
- Klicken Sie nun auf OK und anschließend auf Schreiben, damit die Datenquelleneinstellungen an den Empfänger übertragen werden.
- Führen Sie ein Rollout der Richtlinie durch, indem Sie in der Gerätestruktur den Empfänger auswählen und im Richtlinien-Editor auf Vorgänge und anschließend auf Rollout klicken. Aktivieren Sie das Kontrollkästchen unten links, um die Aktualisierung nun durchzuführen.
- Wenn es sich um eine Syslog-Datenquelle handelt, aktivieren Sie in den Datenquelleneinstellungen auf der grafischen Benutzeroberfläche die Option Ereignis „Unbekanntes Syslog“ protokollieren. Wenn ein Ereignis nicht analysiert werden kann, führt dies dazu, dass das Ereignis als unbekannt angezeigt, aber nicht verworfen wird.
- Wählen Sie die Registerkarte Schnittstelle aus, und überprüfen Sie, ob die Port-Nummern vollständig und für den fraglichen Datenquellentyp geeignet sind. Beispielsweise ist 514 für Syslog bestimmt, 135 für WMI, 139 für RPC, 1433 für SQL usw.
- Möglicherweise sind die Regeln für die Datenquelle nicht aktiviert. Wählen Sie deshalb die Datenquelle aus, und öffnen Sie den Richtlinien-Editor. Überprüfen Sie, ob die für diese Datenquelle aufgeführten Regeln tatsächlich auch aktiviert sind.
HINWEIS: Es ist normal, dass die Standardrichtlinienregeln deaktiviert sind, diese sollten auf der Standardebene nicht aktiviert werden.
Wenn das Problem durch diese Schritte nicht behoben werden konnte, fahren Sie mit Lösung 3 fort.
Lösung
3
Daten werden erfasst und analysiert, aber nicht im Dashboard angezeigt
Möglicherweise liegt ein Problem beim Einfügen von Ereignissen in ESM vor. Überprüfen Sie dies wie folgt:
- Wenn auch andere Datenquellen keine Daten erfassen, führen Sie auf dem Empfänger einen Beenden-und-Starten-Vorgang durch. Dies führen Sie in den Empfänger-Eigenschaften durch.
- Überprüfen Sie, ob die anderen Datenquellen erwartungsgemäß funktionieren.
Wenn das Problem durch diese Schritte nicht behoben werden konnte, fahren Sie mit Lösung 4 fort.
Lösung
4
Probleme mit der SIEM-Richtlinie
Wenn weiterhin Probleme auftreten, wurden die erforderlichen Änderungen möglicherweise noch nicht an dem Empfänger übertragen. Die Datenquelleneinstellungen müssen an den Empfänger übertragen werden, und es muss ein Rollout der Richtlinie durchgeführt werden, damit die Änderungen wirksam werden.
- Öffnen Sie die Eigenschaften des Empfängers, und klicken Sie dann auf die Registerkarte Datenquelle:
- Wenn die Schaltfläche Schreiben verfügbar ist, fahren Sie mit Schritt 2 fort.
- Wenn die Schaltfläche Schreiben nicht verfügbar ist, wählen Sie eine beliebige Datenquelle aus, und bearbeiten Sie diese. Nehmen Sie eine kleine Änderung vor, wie z. B. das Hinzufügen und Entfernen eines Leerzeichens im Namen/der Beschreibung, und klicken Sie anschließend auf OK, um die Schaltfläche Schreiben zu aktivieren.
- Klicken Sie auf Schreiben, damit die Datenquelleneinstellungen an den Empfänger übertragen werden.
- Aktivieren Sie im daraufhin geöffneten Dialogfeld Rollout das unten links befindliche Kontrollkästchen, damit ein Rollout für alle Geräte durchgeführt wird, und klicken Sie anschließend auf OK.
HINWEIS: Wenn dieses Dialogfeld sich nicht automatisch öffnet, gehen Sie zurück zum Dashboard, wählen Sie ESM aus, klicken Sie oben auf den Richtlinien-Editor, und klicken Sie anschließend erst auf Vorgänge und dann auf Rollout.
Wenn die Probleme weiterhin bestehen, obwohl Sie die Schritte aller aufgeführten Lösungen durchgeführt haben, wenden Sie sich an den technischen Support.
Zur Kontaktierung des technischen Supports melden Sie sich beim ServicePortal an und rufen dort die Seite "Service-Anfrage erstellen" unter https://supportm.trellix.com/ServicePortal/faces/serviceRequests/createSR auf:
- Wenn Sie sich bereits registriert haben, geben Sie Ihre Benutzer-ID und Ihr Kennwort ein, und klicken Sie dann auf Anmelden.
- Wenn Sie sich noch nicht registriert haben, klicken Sie auf Registrieren, und füllen Sie die erforderlichen Felder aus. Ihr Kennwort und die Anleitung zur Anmeldung erhalten Sie per E-Mail.
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
|