Gli eventi non vengono ricevuti sul Receiver dopo l'aggiunta di un'origine dati. Inoltre, è possibile che venga visualizzata un'origine dati esistente che funziona, che interrompe l'invio dei dati.
NOTA: L'impossibilità di raccogliere eventi da una determinata origine dati influisce sulla visibilità e può ridurre la conformità per la conservazione e la registrazione dei dati.
Causa
Ci sono diverse cause potenziali per un errore di ottenere eventi. In genere, la causa è una delle seguenti:
L'origine dati non invia dati al receiver, possibilmente a causa di una configurazione errata.
Un problema del collettore sul Receiver sta causando al receiver di non archiviare i dati degli eventi ricevuti.
Il processo di parser non è in grado di decodificare i registri non elaborati in eventi.
Gli eventi potrebbero non essere inseriti nel database ESM.
La rete o firewall sta bloccando una porta necessaria, impedendo syslog.
Un problema con SIEM policy.
Soluzione
Per risolvere il problema, è possibile utilizzare tutte le soluzioni in ordine.
Fare clic per espandere e visualizzare ciascuna soluzione:
Verificare che l'origine dati sia configurata per l'invio di dati al Receiver:
Determinare quale adattatore Ethernet è in uso. Sui ricevitori non-HA, di solito eth0 , e sui ricevitori ha di solito eth1 o l'indirizzo IP ' fluttuante '.
SSH al receiver, digitare il seguente comando, quindi premere INVIO:
tcpdump –nni ethx host x.x.x.x
Dove x.x.x.x è l'indirizzo IP dell'origine dati ed ethx è l'adattatore Ethernet in uso.
Nota: Per le origini dati syslog, il traffico in arrivo viene visualizzato sulla porta 514 UDP. Le origini dati più lente potrebbero avere bisogno di qualche minuto di osservazione prima che venga osservato un pacchetto. Quelli più rapidi, come un firewall, sono quasi immediati. Se non vengono osservati pacchetti, è possibile che si sia verificato un problema di firewall o endpoint.
Se i dati non vengono osservati, verificare l'indirizzo IP e il numero di Ethernet. Se sono corretti, è probabile che il problema sia sull'endpoint (ad esempio, il dispositivo non è stato configurato correttamente). Per le origini dati non syslog, eseguire un test di connessione dall'interfaccia utente grafica durante l'esecuzione di tcpdump. WMI esegue il "pull" dei dati sulla porta 135 e SQL estrae i dati sulla porta 1433.
Nota: Se l'indirizzo IP e le informazioni sulle porte sono corrette e non viene visualizzato il traffico in ingresso in tcpdump, un firewall o la rete potrebbe impedire il traffico in ingresso sulla porta specificata. Per ulteriori operazioni di risoluzione dei problemi, contattare l'amministratore di rete.
Digitare il comando seguente e premere INVIO:
iptables –n –v –L|grep x.x.x.x
Nota: assicurarsi che sia presente una regola per l'indirizzo IP dell'origine dati che lo consenta tramite il firewall.
Un tipico output di iptables include la porta e l' indirizzo IP dell'origine dati. Ad esempio, 10.10.10.10 514 per syslog.
Selezionare l'origine dati nell'interfaccia utente di ESM e scegliere lo stato del dispositivo dashboard. Dopo il caricamento, scorrere verso il basso nella finestra inferiore e individuare il vipsid numero dell'origine dati accanto alla lettera v.
ls –al /var/log/data/inline/thirdparty.logs/##/XXX/in
Dove ## si trova il numero vipsID e xxx è il tipo di collettore come syslogcollector , NPP_C, o gsql .
Se è presente un Data.xxxxxx file e non è 0 byte, passare alla soluzione 2.
Assicurarsi che sia selezionato il parser corretto. Nelle istanze in cui è presente più di un possibile parser, scegliere quella con (ASP) nel titolo. Assicurarsi inoltre che le impostazioni di consegna e formato siano quelle predefinite, a meno che non si utilizzino origini dati MEF o non-syslog.
Le impostazioni dell'origine dati e il policy potrebbero non essere correnti. Aprire le proprietà dell'origine dati e modificare le righe. Ad esempio, aggiungere uno spazio al nome, quindi rispostare lo spazio.
Fare clic su OK, quindi su Scrivi per scrivere le impostazioni dell'origine dati nel receiver.
Stendere il policy selezionando il Receiver nella struttura dei dispositivi e, nell' Editor delle policy, fare clic su operazioni, implementa Policy. Attivare la casella di controllo nell'angolo in basso a sinistra per aggiornare lo stesso.
Se si tratta di un' origine dati syslog, attiva Registro syslog sconosciuto nelle impostazioni origine dati nell'interfaccia utente grafica. Con questa azione, se non è possibile analizzare un evento, viene visualizzato come sconosciuto e non viene ignorato.
Selezionare la scheda interfaccia e assicurarsi che i numeri di porta siano completi e corretti per il tipo di origine dati in questione. Ad esempio, 514 per syslog, 135 per WMI, 139 per RPC, 1433 per SQL.
Le regole potrebbero non essere attivate per l'origine dati, pertanto, con l'origine dati selezionata, aprire l' Editor delle policy. Assicurarsi che le regole elencate per l'origine dati siano attivate.
Nota: È normale che le regole di policy predefinite siano disattivate. Non attivare policy al livello predefinito.
Se questa procedura non risolve il problema, passare alla soluzione 3.
Potrebbe essersi verificato un problema durante l'inserimento di eventi in ESM. Per verificare se si è verificato un problema:
Controllare e verificare se altre origini dati non sono in grado di raccogliere dati. In tal caso, accedere alle proprietà del Receiver ed eseguire un'operazione di arresto e avvio sul Receiver.
Verificare se altre origini dati stanno funzionando come previsto.
Se questa procedura non risolve il problema, passare alla soluzione 4.
Se si verificano ancora problemi, è possibile che le modifiche necessarie non siano state scritte. SIEM deve scrivere le impostazioni dell'origine dati sul Receiver e stendere il policy per imporre le modifiche:
Aprire le Proprietà del Receiver e fare clic sulla scheda origine dati :
Se il pulsante Scrivi è disponibile, procedere al passaggio 2.
Se il pulsante di scrittura non è disponibile, selezionare un'origine dati e modificarla . Apportare una piccola modifica, ad esempio aggiungendo e rimuovendo uno spazio al nome/descrizione, quindi fare clic su OK per forzare la scrittura a diventare attivata.
Fare clic su Scrivi per scrivere le impostazioni dell'origine dati nel receiver.
Se viene visualizzata la policy di implementazione , selezionare la casella in basso a sinistra per forzare un lancio su tutti i dispositivi, quindi fare clic su OK.
Nota: Se non viene visualizzato automaticamente, tornare alla dashboard, selezionare ESM, fare clic su Editor di policy nella parte superiore, quindi fare clic su operazioni, policy di implementazione.
Se si verificano ancora problemi e sono stati seguiti i passaggi di tutte le soluzioni fornite, contattare Assistenza tecnica per ulteriore assistenza.
Se si è utenti registrati, digitare l'ID utente e la password, quindi fare clic su accesso.
Se non si è utenti registrati, fare clic su registra e completare i campi per inviare via email i password e le istruzioni.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.