トラブルシューティング
- 全般
- インストール
- 起動とシャットダウン
- アップグレード
- 設定
- ファイル整合性監視(FIM)
- Syslog受信状況
- 自動Syslog転送設定
- ログ収集とレポート
- エージェント管理
- パフォーマンス
- STIX/TAXII
- SSL
- 脅威フィード
- タイムゾーン
- Elasticsearch
全般
- EventLog Analyzerの製品ログはどこにありますか?
- EventLog Analyzerが頻繁にクラッシュしたり、突然ログ収集が停止したりするのですが、原因は何でしょうか?
- イベントソースのメッセージファイルが利用できない場合のDLLの登録方法を教えてください。
- バンドルされているPostgreSQLをサービスとして登録/登録解除するにはどうすればよいですか?
| 1. EventLog Analyzerの製品ログはどこにありますか? |
|---|
|
ビルド8010以降の場合:<EventLog Analyzer_インストールディレクトリ>\logs ビルド8000以前の場合:<EventLog Analyzer_インストールディレクトリ>\default\log 製品ログの取得方法の詳細は、こちらのナレッジをご参照ください。 |
| 2. EventLog Analyzerが頻繁にクラッシュしたり、突然ログ収集が停止したりするのですが、原因は何でしょうか? |
|---|
|
EventLog Analyzerがバンドルするデータベース(PostgreSQL/MySQL)は、他のプロセスが同時に対象のディレクトリにアクセスすると破損する可能性があります。そのため、以下からこちらのページに記載のフォルダーを除外してください。
製品が仮想マシン上で動作している場合は、スナップショットを作成しないようにしてください。 |
| 3. イベントソースのメッセージファイルが利用できない場合のDLLの登録方法を教えてください。 |
|---|
|
DLLの登録方法は、以下のページに記載されている手順を参照してください。 |
| 4. バンドルされているPostgreSQLをサービスとして登録/登録解除するにはどうすればよいですか? |
|---|
|
環境によっては、PostgreSQLデータベースの起動失敗が原因でEventLog Analyzerの起動に問題が発生する場合があります。これを回避するには、データベースを登録し、製品の起動やシャットダウンに関係なくバックグラウンドで実行するように設定できます。 バンドルされたPostgreSQLをサービスとして登録する方法ビルド12440以降の場合
ビルド12440以前の場合
データベースの管理を希望しなくなった場合は、登録解除を選択できます。登録解除すると、製品自体の起動と停止に加えて、データベースの起動と停止も自動的に行われます。 バンドルされたPostgreSQLサービスを登録解除する方法ビルド12440以降の場合
ビルド12440以前の場合
|
インストール
- インストール中、「正しいManageEngineライセンスファイルを入力してください」というメッセージが表示されます。
- 特定のインタフェースにEventLog Analayzerをバインドする方法を教えてください。
- 「java.lang.Error: Probable fatal error: No fonts found」が表示されます。
| 1. インストール中、「正しいManageEngineライセンスファイルを入力してください」というメッセージが表示されます。 |
|---|
|
メッセージが表示される原因として、以下の2つが考えられます。
|
| 2. 特定のインタフェースにEventLog Analayzerをバインドする方法を教えてください。 |
|---|
ビルド8010以降の場合EventLog Analyzerサーバーを特定のインターフェースにバインドするには、以下の手順を実施します。 EventLog Analyzerをアプリケーションとして起動している場合:
EventLog Analyzerをサービスとして起動している場合: EventLog Analyzerサービスを停止し、「SysEvtCol.exe」、「Postgres.exe」、「java.exe」が実行されていないことを確認します。 IPバインディングを行うには、7つのファイルを変更する必要があります。 注記:ファイルを編集する前に、ファイルのバックアップコピーがあることを確認してください。 「xxx.xxx.xxx.xxx」は、EventLog AnalyzerにバインドしたいIPアドレスであると仮定します。 ファイル1) <EventLog Analyzer_インストールディレクトリ>\bin\setCommonEnv.bat
ファイル2) <EventLog Analyzer_インストールディレクトリ>\bin\runSEC.bat
ファイル3) <EventLog Analyzer_インストールディレクトリ>\server\conf\wrapper.conf
wrapper.app.parameter.1=com.adventnet.mfw.Starter #wrapper.app.parameter.2=-L../lib/AdventNetDeploymentSystem.jar wrapper.app.parameter.2=-b xxx.xxx.xxx.xxx wrapper.app.parameter.3=-Dspecific.bind.address= xxx.xxx.xxx.xxx ファイル4) <EventLog Analyzer_インストールディレクトリ>\conf\server.xml 以下のブロックを探します。 <Connector SSLEnabled="false" URIEncoding="UTF-8" acceptCount="100" address="0.0.0.0" clientAuth="false" compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024" connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" name="WebServer" noCompressionUserAgents="gozilla, traviata" port="8400" protocol="HTTP/1.1" scheme="http" secure="false"/>
<Connector SSLEnabled="false" URIEncoding="UTF-8" acceptCount="100" address="xxx.xxx.xxx.xxx" clientAuth="false" compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024" connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" name="WebServer" noCompressionUserAgents="gozilla, traviata" port="8400" protocol="HTTP/1.1" scheme="http" secure="false"/> ファイル5) <EventLog Analyzer_インストールディレクトリ>\conf\database_params.conf
ファイル6) <EventLog Analyzer_インストールディレクトリ>\pgsql\data\postgresql.conf
ファイル7) <EventLog Analyzer_インストールディレクトリ>\pgsql\data\pg_hba.conf 以下のブロックを探します。 IPv4 local connections: host all all 127.0.0.1/32 trust host all all 127.0.0.1/32 trustの127.0.0.1をIPアドレスに置き換えて、その行の後に追加します。 IPv4 local connections: host all all 127.0.0.1/32 trust host all all xxx.xxx.xxx.xxx/32 trust EventLog Analyzerを起動し、<EventLog Analyzer_インストールディレクトリ>\logs\wrapper.logでステータスを確認してください。 |
| 3. 「java.lang.Error: Probable fatal error: No fonts found」が表示されます。 |
|---|
|
EventLog Analyzerは、レポートのエクスポート時に、Windows OSにプリインストールされているDejavu-seriffフォントを使用します。しかし、一部のLinuxディストリビューションではフォントがインストールされておらず、エラーが発生します。 このような場合は、Linuxディストリビューションに応じてフォントを手動でインストールします。コマンドは以下のとおりです。
|
起動とシャットダウン
- WindowsマシンのMySQL関連のエラー
- サーバー起動時に「Port 8400 needed by EventLog Analyzer is being used by another application. Please free the port and restart EventLog Analyzer」と表示されます。
- 「次のポートが使用できません:<ポート番号>」と表示されます。
- 「Couldn't start elasticsearch at port 9300」と表示されます。
| 1. WindowsマシンのMySQL関連のエラー |
|---|
|
考えられる原因:マシン上で既にMySQLのインスタンスが実行されている。 対処法:すべてのMySQLインスタンスをシャットダウンしてから、EventLog Analyzerサーバーを起動します。 考えられる原因:ポート33335が空いていない。 対処法:ポート33335で実行されている他のアプリケーションを終了します。ポートを解放できない場合は、EventLog Analyzerで使用するポート番号を変更してください。 |
| 2. サーバー起動時に「Port 8400 needed by EventLog Analyzer is being used by another application. Please free the port and restart EventLog Analyzer」と表示されます。 |
|---|
|
考えられる原因:EventLog Analyzerが使用するデフォルトのWebサーバーポートが空いていない。 対処法:ポート8400で実行されている他のアプリケーションを終了してください。以下の手順を実行してください。
変更前) 変更後)
|
| 3. 「次のポートが使用できません:<ポート番号>」と表示されます。 |
|---|
|
考えられる原因:EventLog AnalyzerのSyslog収集用のポートが空いていない。 対処法:
|
| 4. 「Couldn't start elasticsearch at port 9300」と表示されます。 |
|---|
|
考えられる原因:requirettyが無効になっていない。 対処法:etc/sudoersファイル内の「requiretty」を「!requiretty」に変更してrequirettyを無効にします。 メモ:Elasticsearchは、様々な種類の操作に複数のスレッドプールを使用します。必要に応じて新しいスレッドを作成できることが重要です。Elasticsearchを起動する前に、root権限で「ulimit -u 4096」を設定するか、/etc/security/limits.confに「elasticsearch - nproc 4096」を追加して、elasticsearchユーザーが作成できるスレッド数が少なくとも4096であることを確認してください。 |
アップグレード
| 1. 権限不足が原因でアップグレードに失敗した場合、どのようにアップグレードすればよいですか? |
|---|
|
<EventLog Analyzer_インストールディレクトリ>\binフォルダーに移動し、管理者権限で「startDB.bat」を実行します。アクセス拒否エラーが出力された場合は「setAppPermission.bat」を実行します。 注記:setAppPermission.batを実行すると、EventLog Analyzerディレクトリのアクセス許可がこちらのドキュメントに記載されているとおりに変更されます。 |
| 2. PPM適用時のDBバックアップ |
|---|
|
注記:バックアップは、PGSQLまたはMSSQLデータベースを使用しているインスタンスのみで実行されます。MySQLデータベースのインスタンスでは、PPMバックアップ機能は利用できません。
|
設定
- 管理対象デバイスを追加する際に「RPCサーバーが利用できません」というエラーが発生します。
- 管理対象デバイスを追加する際に「アクセス拒否」というエラーが発生します。
- Windows Server 2003でWBEMテストを実行すると、失敗してエラーコード「80041010」のエラーメッセージが表示されます。
- Linux OSでオブジェクトアクセスのログを有効にするにはどうすればよいですか?
- Solaris 10でSyslogデーモンを起動および停止するためのコマンドは何ですか?
- チケット管理ツールの設定中に、SSL接続エラーが発生しました。
- JIRA(オンプレミス)を設定する際に「テストして保存」を実行すると、CAPTCHA認証失敗エラーが発生します。
- ファイル整合性監視(FIM)のトラブルシューティング
- ポート管理のエラーコード
- イベントソースファイルの設定で「イベントソースファイルがディスカバリーできませんでした」というエラーが発生します。
- PostgreSQLのスーパーユーザーのパスワードを変更する方法を教えてください。
- 重複したWindowsデバイスの処理
- 監査ログを転送する際、SELinuxが有効になっているRed Hatシステムでは、デフォルトのポリシーによって監査ログの読み取りが許可されない場合があります。
- EventLog Analyzerに組織全体のプロキシ証明書を追加するにはどうすればよいですか?
| 1. 管理対象デバイスを追加する際に「RPCサーバーが利用できません」というエラーが発生します。 |
|---|
|
考えられる原因:デバイスマシンのRPC(リモートプロシージャコール)ポートが、ファイアウォールによってブロックされている。 対処法:ファイアウォールでRPCポートを許可します。 |
| 2. 管理対象デバイスを追加する際に「アクセス拒否」というエラーが発生します。 |
|---|
|
考えられる原因:EventLog Analyzerマシンからデバイスにアクセスできない。 対処法:pingコマンドでデバイスとEventLog Analyzerマシン間のネットワーク接続を確認します。 考えられる原因:デバイスでファイアウォールおよびREMOTEADMINサービスが無効である。 対処法:デバイスでファイアウォールが実行されているかどうかを確認します。ファイアウォールが実行されている場合は、コマンドプロンプトを開き、以下のコマンドを実行します。 netsh firewall set service type=REMOTEADMIN mode=ENABLE profile=all
|
| 3. Windows Server 2003でWBEMテストを実行すると、失敗してエラーコード「80041010」のエラーメッセージが表示されます。 |
|---|
|
考えられる原因:WMIコンポーネントがインストールされていない。 対処法:Windows 2003 Serverには、デフォルトでWin32_Productクラスがインストールされていません。クラスを追加するには、以下の手順を実施します。
|
| 4. Linux OSでオブジェクトアクセスのログを有効にするにはどうすればよいですか? |
|---|
|
Linux OSでオブジェクトアクセスを有効にするには、/etc/xinted.d/wu-ftpdファイルで以下のようにサーバー引数を編集します。 server_args = -i -o -L
|
| 5. Solaris 10でSyslogデーモンを起動および停止するためのコマンドは何ですか? |
|---|
|
Solaris 10でsyslogdを停止および起動するためのコマンドは次のとおりです。 # svcadm disable svc:/system/system-log:default
# svcadm enable svc:/system/system-log:default
Solaris 10でsyslogdを再起動して、/etc/syslog.confを再読み込みさせるには、以下の手順を実行します。 # svcadm refresh svc:/system/system-log:default
または # svcadm -v restart svc:/system/system-log:default
|
| 6. チケット管理ツールの設定中に、SSL接続エラーが発生しました。 |
|---|
|
エラーは、チケット管理ツールサーバーのHTTPS証明書がEventLog AnalyzerのJRE証明書ストアに追加されていない場合に発生する可能性があります。証明書をEventLog AnalyzerのJRE証明書ストアにインポートするには、以下の手順を実施します。
|
| 7. JIRA(オンプレミス)を設定する際に「テストして保存」を実行すると、CAPTCHA認証失敗エラーが発生します。 |
|---|
|
有効な認証情報を入力しても、JIRA(オンプレミス)を設定する際に問題が発生する場合は、以下の手順を確認してください。
関連リンク:https://developer.atlassian.com/cloud/jira/software/basic-auth-for-rest-apis/#captcha 最大試行回数を編集したり、CAPTCHAを無効にしたりする手順:
|
| 8. ファイル整合性監視(FIM)のトラブルシューティング |
|---|
|
特定のフォルダーでユーザー名が有効になっている場合は、以下のトラブルシューティングを試してください。 注記:以下のGUIは、フォルダープロパティ内のSACLエントリです。 |
| 9. ポート管理のエラーコード |
|---|
|
よくあるエラーと原因、対処法をご紹介します。 他のアプリケーションによりポートが既に使用されています 考えられる原因:指定されたポートが既に他のアプリケーションで使用されているため使用できない。 対処法:他のアプリケーションのポートを変更するか、EventLog Analyzer上で新しいポートを使用します。EventLog Analyzer上で新しいポートを使用する場合は、デバイス側で転送先のポートを手動で変更するか、自動ログ転送設定を使用して変更します。 TLSが設定されていません 考えられる原因:HTTPSがTLS暗号化ログをサポートするように設定されていない。 対処法:サーバーが自己署名証明書または有効なPFX証明書のいずれかを使用するように設定します。設定方法の詳細は、接続設定を参照してください。 PFXが設定されていません 考えられる原因:HTTPSは設定されているが、証明書の種類がサポートされていない。 対処法1:有効な証明書が使用されていない場合は、自己署名証明書を使用します。 使用されている証明書の種類を確認するには、以下の手順を実施します。
対処法2:有効なキーストア証明書が使用されている場合は、<EventLog Analyzer_インストールディレクトリ>\jre\binで以下のコマンドを実行します。 keytool -importkeystore -srckeystore <certificate path> -destkeystore server.pfx -deststoretype PKCS12 -deststorepass <password> -srcalias tomcat -destalias tomcat
詳細は、接続設定を参照してください。 外部エラー 考えられる原因:不明な外部要因 対処法1:EventLog Analyzerのサポートにお問い合わせください。 |
| 10. イベントソースファイルの設定で「イベントソースファイルがディスカバリーできませんでした」というエラーが発生します。 |
|---|
|
以下を確認してください。
|
| 11. PostgreSQLのスーパーユーザーのパスワードを変更する方法を教えてください。 |
|---|
|
<EventLog Analyzer_インストールディレクトリ>\binフォルダーにある「changeDBPassword.bat/sh」ファイルを実行します。 Windows: changeDBPassword.bat -U postgres -p <old_password> -P <new_password>
Linux: changeDBPassword.sh -U postgres -p <old_password> -P <new_password>
|
| 12. 重複したWindowsデバイスの処理 |
|---|
|
概要:EventLog Analyzerビルド12260で特定されたUIの問題により、一部のWindowsデバイスでデバイスが重複して表示されることがあります。 講じた措置:ローカルコレクターとの関連付けローカルコレクターと関連付けられている場合、最も古いログ収集タイムスタンプを持つ重複デバイスは削除されます。 リモートコレクターとの関連付け(直近の最終メッセージ時刻)最も古いログ収集タイムスタンプを持つ重複デバイスは、以下の場合に無効化されます。 ・リモートコレクターに関連付けられている。 ・現在の日付と最終メッセージ時刻の差が、保存期間よりも短い。 リモートコレクターとの関連付け(過去の最終メッセージ時刻)最も古いログ収集タイムスタンプを持つ重複デバイスは、以下の条件の場合に削除されます。 ・リモートコレクターに関連付けられている。 ・現在の日付と最終メッセージ時刻の差が、保存期間よりも長い。 プロファイルの再マッピング削除または無効化されたデバイスが、以前にアプリケーション、インポート、アラート、レポート、ログ収集フィルター、Syslogフォワーダー、エージェントなどのプロファイルで設定されていた場合、再マッピングされます。 お客様の対応が必要な措置:デバイスの再設定デバイスグループ、ログ収集失敗アラート、コンプライアンス、カスタムログ解析に関する設定は、該当するデバイスを再設定する必要があります。エラーが発生したデバイスは、上記のUIの問題により誤って設定された可能性があります。 |
| 13. 監査ログを転送する際、SELinuxが有効になっているRed Hatシステムでは、デフォルトのポリシーによって監査ログの読み取りが許可されない場合があります。 |
|---|
注記:監査ログがSyslogサービスに転送されます。EventLog Analyzerサーバーでログを受信するには、Syslogサービス経由のログ転送を有効にする必要があります。 |
| 14. EventLog Analyzerに組織全体のプロキシ証明書を追加するにはどうすればよいですか? |
|---|
|
ファイル整合性監視(FIM)
- アクセス許可が拒否されました。
- 監査サービスが利用できません。
- SELinuxにより、アクセスが制限されています。
- エージェントのアップグレードに失敗しました。
- エージェントのインストールに失敗しました。
- エージェントプラットフォームがファイル整合性監視に適合していません。
- ACLパッケージがインストールされていません。
- エージェントのSSH接続が正常に行なわれませんでした。
- auditdでイミュータブルルールが有効になっているかどうかを確認する方法
| 1. アクセス許可が拒否されました。 |
|---|
|
原因
対処法
|
| 2. 監査サービスが利用できません。 |
|---|
|
原因
対処法
|
| 3. SELinuxにより、アクセスが制限されています。 |
|---|
|
原因
対処法
|
| 4. エージェントのアップグレードに失敗しました。 |
|---|
|
原因
対処法
|
| 5. エージェントのインストールに失敗しました。 |
|---|
|
原因
対処法
|
| 6. エージェントプラットフォームがファイル整合性監視に適合していません。 |
|---|
|
原因
対処法
|
| 7. ACLパッケージがインストールされていません。 |
|---|
|
原因
対処法
|
| 8. エージェントのSSH接続が正常に行なわれませんでした。 |
|---|
|
原因
対処法
|
| 9. auditdでイミュータブルルールが有効になっているかどうかを確認する方法 |
|---|
|
イミュータブルルールが有効になっていることを確認するには、以下のコマンドを実行します。 auditctl -s
設定に「enabled 2」が含まれている場合、イミュータブルルールが有効になっていることを示します。この設定により、LinuxエージェントはEventLog Analyzerで指定された場所を監視するために新たに設定された監査ルールを適用できなくなります。 対処法
|
Syslog受信状況
| 1. ネットワークキャプチャドライバが利用できない場合はどうすればよいですか? |
|---|
|
ネットワークキャプチャドライバは、EventLog Analyzerが様々なソースからのネットワークログをキャプチャして処理できるようにするファイルです。これには、npf.sys、Packet.dll、wpcap.dllなどのファイルが含まれます。これらのファイルは、必要とするすべてのアプリケーションからアクセスできるように、Windowsシステムディレクトリに保存する必要があります。 ネットワークキャプチャドライバが利用できない場合は、EventLog AnalyzerのインストールディレクトリからWindowsシステムディレクトリにファイルを移動する必要があります。 ネットワークキャプチャドライバファイルをWindowsシステムディレクトリに移動する方法
失敗した場合は、下記の手動手順を実施します。 ネットワークキャプチャドライバファイルを手動でコピーする方法
最後に、EventLog Analyzerのログレシーバーウィンドウを開いて更新します。 注記:手順は、EventLog AnalyzerがWindowsにインストールされている場合にのみ適用可能です。 |
自動Syslog転送設定
| 1. アクセス許可が拒否されました。 |
|---|
|
原因
対処法
|
ログ収集とレポート
- デバイスを追加した後、EventLog Analyzerがデバイスからイベントログを収集していません。
- 正しい認証情報を入力しているにもかかわらず、デバイスへのアクセス拒否に関するエラーが表示されます。
- カスタムのアラートプロファイルを作成して有効化した後、デバイスでイベントが発生しているにもかかわらず、EventLog Analyzerでアラートが生成されません。
- カスタムレポートを作成しても、メッセージフィルターで設定したメッセージを含むレポートが取得できません。
- EventLog Analyzer用のMS SQLサーバーが停止しました。
- Oracleデバイスの設定後、データが表示されません。
- SyslogホストがEventLog Analyzerに自動的に追加されません。Syslogの受信が突然停止しました。
| 1. デバイスを追加した後、EventLog Analyzerがデバイスからイベントログを収集していません。 |
|---|
|
考えられる原因:EventLog Analyzerサーバーからデバイスにアクセスできない。 対処法:デバイスがpingコマンドに応答するかを確認します。応答しない場合は、デバイスにアクセスできません。イベントログを収集するには、デバイスがEventLog Analyzerサーバーからアクセスできる必要があります。 考えられる原因:デバイスに対する管理者権限がない。 対処法:デバイスを編集し、デバイスに対して管理者権限を持つ認証情報を入力します。[資格情報を確認する]をクリックして、ログインが成功したかを確認します。 エラーコード:0x251C 考えられる原因:デバイスに関連付けられたアプリケーションログをインポートする際に、デバイスが追加された。この場合、指定されたアプリケーションログのみがデバイスから収集され、デバイスの種類が不明として表示されます。 対処法:
|
| 2. 正しい認証情報を入力しているにもかかわらず、デバイスへのアクセス拒否に関するエラーが表示されます。 |
|---|
|
考えられる原因:アクセス拒否エラーの場合は、様々な原因が考えられます。 対処法:発生したエラーコードの原因と対処法を参照してください。 エラーコード:00x80070005、5 Windowsワークステーションのスキャンが、以下のいずれかの理由により失敗しました。
エラーコード:0x80041003 スキャンに指定したユーザーにスキャン操作を実行するための十分なアクセス権限がありません。ユーザーがデバイスの管理者グループに所属していない可能性があります。 対処法:ユーザーをワークステーションの管理者グループに移動するか、管理者(ドメイン管理者)アカウントを使用してマシンをスキャンします。 エラーコード:0x800706ba リモートコンピューターにファイアウォールが設定されています。本エラーは、Windows XP(SP 2)でデフォルトのWindowsファイアウォールが有効になっている場合によく発生します。 対処法:
エラーコード:0x80040154
エラーコード:0x80080005 デバイス上で実行されているWMIサービス(winmgmt.exe)に内部的な実行エラーが発生しています。デバイスにおけるWMIリポジトリの最終更新が失敗した可能性があります。 対処法:
エラーコード:1722、1726、1753、1825 考えられる原因:デバイスのRPC(リモートプロシージャコール)ポートがファイアウォールによってブロックされています。 対処法:ファイアウォールでRPCポートがブロックされていないかを確認します。 その他のエラーコードについては、MSDNナレッジベースを参照してください。 |
| 3. カスタムのアラートプロファイルを作成して有効化した後、デバイスでイベントが発生しているにもかかわらず、EventLog Analyzerでアラートが生成されません。 |
|---|
|
考えられる原因:アラート基準が適切に設定されていない。 対処法:アラートプロファイルの設定画面で、必須項目が正しく設定されていることを確認します。入力したメールアドレスが正しいかを確認します。メールサーバーが正しく設定されていることを確認します。 |
| 4. カスタムレポートを作成しても、メッセージフィルターで設定したメッセージを含むレポートが取得できません。 |
|---|
|
考えられる原因:メッセージフィルターが正しく設定されていない。 対処法:メッセージフィルターに文字列を入力する際は、ログのメッセージと完全に一致させるためにWindowsイベントビューアーに表示されている文字列と全く同じ文字列をコピー/入力してください。例)ログオン名:John |
| 5. EventLog Analyzer用のMS SQLサーバーが停止しました。 |
|---|
|
考えられる原因:MS SQLのトランザクションログがいっぱいになっている。 対処法:EventLog AnalyzerのMS SQLデータベーストランザクションログがいっぱいになっている場合は、以下の手順でログを縮小します。
|
| 6. Oracleデバイスの設定後、データが表示されません。 |
|---|
|
OracleデバイスがWindowsの場合は、デバイス上でイベントビューアを開き、「アプリケーション」の下にあるOracleソースを確認します。Linuxの場合は、Oracleログを書き込んでいるログファイルを確認します。指定のファイルにOracleログが存在するにもかかわらず、EventLog Analyzerがログを収集しない場合は、サポートにお問い合わせください。 注記:スキャン用に指定したユーザー名がスキャン操作を実行するためのアクセス権限がない場合、ユーザーがデバイスの管理者グループに所属していない可能性があります。 |
| 7. SyslogホストがEventLog Analyzerに自動的に追加されません。Syslogの受信が突然停止しました。 |
|---|
|
受信したSyslogパケットは、EventLog AnalyzerのSyslogビューアから確認します。 ログを確認できる場合は、パケットはマシンに到達しているものの、EventLog Analyzerには届いていないことを意味します。WindowsファイアウォールまたはLinuxのIPテーブルを確認する必要があります。 Syslogビューアでログを確認できない場合は、EventLog Analyzerサーバーに接続できるかどうかを確認します。確認方法は以下のとおりです。
tcpdump -n dst <ela_server_name> and dst port <port_no>
接続できる場合は、設定に何らかの問題があったことを意味します。接続できない場合は、ネットワークの問題が発生している可能性があります。 |
エージェント管理
- 「サーバーからエージェントに到達できません。」と表示されます。
- エージェントのステータスに「エージェントが通信していません」と表示されます。
- サーバー移行後にEventLog AnalyzerエージェントのServerInfoを更新する方法を教えてください。
EventLog Analyzerのコンソール、GPO、またはソフトウェアインストールツールを使用してエージェントをインストールする際に問題が発生した場合は、エージェントの手動インストールをお試しください。
| 1. 「サーバーからエージェントに到達できません。」と表示されます。 |
|---|
|
エージェントを認証情報なしで手動インストールした場合やエージェントの認証情報が正しく更新されなかった場合、「サーバーからエージェントに到達できません。」という状態になります。 このような状態では、エージェントに対して行われた以下の操作はすぐには反映されません。
注記:本アイコンはログ収集プロセスを妨げるものではありません。アイコンの有無に関わらず、ログは収集されます。 また、認証情報が無効なため、UI画面経由でエージェントの起動やアンインストールなどの操作を実行することもできず、これらの操作は手動で実行する必要があります。 エージェントがサーバーからアクセスできないことを示すクラウドアイコンを非表示にしたい場合、またはリアルタイムのアクションが必要な場合は、認証情報を正確に更新してください。 |
| 2. エージェントのステータスに「エージェントが通信していません」と表示されます。 |
|---|
|
「エージェントが通信していません」は、エージェントとサーバー間の通信が長時間途絶えた場合に表示されます。 このような状況の場合、以下の対応を実施する必要があります。
注記:上記の点を確認しても問題が解決しない場合は、サポートにお問い合わせください。 |
| 3. サーバー移行後にEventLog AnalyzerエージェントのServerInfoを更新する方法を教えてください。 |
|---|
サーバー移行後にEventLog AnalyzerエージェントでServerInfoを更新する方法Windowsエージェント:
Linuxエージェント:
|
パフォーマンス
| 1. パフォーマンスに関するトラブルシューティングを教えてください。 |
|---|
|
STIX/TAXII
- 「接続に失敗しました。入力構成をチェックするか、プロキシサーバー構成を試行してください。」と表示されます。
- 「URLへの接続が失敗しました。」と表示されます。
- 「認証が失敗しました。」と表示されます。
| 1. 「接続に失敗しました。入力構成をチェックするか、プロキシサーバー構成を試行してください。」と表示されます。 |
|---|
|
本エラーメッセージは、様々な原因で発生する可能性があります。ネットワークの問題、プロキシ関連の問題、ネットワーク上の不正なリクエスト、または指定のURLがSTIX/TAXIIサーバーを見つけられない場合などが考えられます。 |
| 2. 「URLへの接続が失敗しました。」と表示されます。 |
|---|
|
本エラーメッセージは、入力したURLの形式が正しくないことを示します。 |
| 3. 「認証が失敗しました。」と表示されます。 |
|---|
|
本エラーメッセージは、入力した認証情報が間違っていることを示します。 |
SSL
| 1. 証明書名の不一致 |
|---|
|
説明:本エラーは、SSL証明書のコモンネーム(共通名)が、EventLog Analyzerがインストールされているサーバーのホスト名と完全に一致しない場合に発生します。 対処法:EventLog Analyzerがインストールされているサーバーのホスト名に対応する新しいSSL証明書を取得します。 |
| 2. 無効な証明書 |
|---|
|
説明:本エラーは、EventLog Analyzerで設定したSSL証明書が無効な場合に発生します。証明書は、有効期限切れなどの理由で無効になります。 対処法:EventLog Analyzerが有効なSSL証明書を使用するよう設定します。 |
| 3. 証明書がJVMによって信頼されていません |
|---|
|
説明:本例外は、EventLog AnalyzerでSMTPメールサーバーまたはWebサーバーをSSLで設定した際に、サーバーが自己署名証明書を使用している場合に発生します。EventLog Analyzerで使用されるJava Runtime Environmentは、明示的にインポートされない限り、自己署名証明書を信頼しません。 対処法:EventLog Analyzerで使用されるJREパッケージに、サーバーで使用されている自己署名証明書をインポートする必要があります。 ステップ1:証明書をダウンロード SMTPサーバーの場合: 注記:SMTPサーバーで使用される証明書をダウンロードするには、OpenSSLがインストールされている必要があります。コマンドプロンプトを開き、OpenSSLがインストールされている場所のbinフォルダーに移動します。そして、以下のコマンドを実行します。 openssl.exe s_client -connect SMTPServer: Portno -starttls smtp > certificatename.cer
ウェブサーバーの場合:
ステップ2:EventLog AnalyzerのJREパッケージに証明書をインポート
Keytool -importcert -alias myprivateroot -keystore ..\lib\security\cacerts -file
|
脅威フィード
| 1. IPジオロケーションデータの更新に失敗しました。 |
|---|
|
データストアの更新中に製品のシャットダウンが行われ、バックアップが利用できない場合に発生する可能性があります。 トラブルシューティング
|
| 2. IPジオロケーションデータストアが破損しています。 |
|---|
|
EventLog Analyzerサーバーにインターネット接続がない場合、またはサーバーにアクセスできない場合に発生します。 トラブルシューティング
|
| 3. デフォルト脅威の同期エラー |
|---|
|
EventLog Analyzerサーバーでネットワーク接続の問題が発生した場合に起こります。 トラブルシューティング
|
タイムゾーン
| 1. Daylight Savings Time(DST)が実施されているにもかかわらず、製品がDSTに対応していない場合はどうすればよいですか? |
|---|
|
製品に搭載されているJREが最新の変更に対応していない場合に発生します。
java -jar tzupdater.jar -l <please select the latest time zone updater link from https://data.iana.org/time-zones/releases/>"
例) java -jar tzupdater.jar -l https://data.iana.org/time-zones/releases/tzdata2023c.tar.gz
注記: オンラインアクセスが制限されている場合は、6.1および6.2を実施します。 6.1:https://data.iana.org/time-zones/releases/から最新のタイムゾーン更新リンクを選択し、最新のタイムゾーンZipファイルをtar.gz形式でダウンロードします。 6.2:コマンド「java -jar tzupdater.jar -l file:downloaded_timezone_data_zip.tar.gz」を実行します。 例) java -jar tzupdater.jar -l file:"C:/ManageEngine/EventLog/jre/tzdata2023c.tar.gz"
|
Elasticsearch
| 1. Elasticsearchのデータパスにアクセスできません。 |
|---|
|
Elasticsearchのデータパスとは? Elasticsearchは、インデックスしたデータを書き込み、データストリームを「elasticsearch.yml」で指定されているdataディレクトリに出力します。データパス(dataディレクトリ)にアクセスできない場合、検索とインデックス作成が機能しません。 dataパスへの書き込みアクセスができない場合、以下の通知が表示されます。 トラブルシューティング
|