トラブルシューティング


全般

  1. EventLog Analyzerの製品ログはどこにありますか?
  2. EventLog Analyzerが頻繁にクラッシュしたり、突然ログ収集が停止したりするのですが、原因は何でしょうか?
  3. イベントソースのメッセージファイルが利用できない場合のDLLの登録方法を教えてください。
  4. バンドルされているPostgreSQLをサービスとして登録/登録解除するにはどうすればよいですか?
1. EventLog Analyzerの製品ログはどこにありますか?

ビルド8010以降の場合:<EventLog Analyzer_インストールディレクトリ>\logs

ビルド8000以前の場合:<EventLog Analyzer_インストールディレクトリ>\default\log

製品ログの取得方法の詳細は、こちらのナレッジをご参照ください。


トップに戻る


2. EventLog Analyzerが頻繁にクラッシュしたり、突然ログ収集が停止したりするのですが、原因は何でしょうか?

EventLog Analyzerがバンドルするデータベース(PostgreSQL/MySQL)は、他のプロセスが同時に対象のディレクトリにアクセスすると破損する可能性があります。そのため、以下からこちらのページに記載のフォルダーを除外してください。

  • アンチウイルスソフトのスキャン
  • 自動バックアップソフトウェア
  • VMwareのスナップショット

製品が仮想マシン上で動作している場合は、スナップショットを作成しないようにしてください。


トップに戻る


3. イベントソースのメッセージファイルが利用できない場合のDLLの登録方法を教えてください。

DLLの登録方法は、以下のページに記載されている手順を参照してください。
http://ss64.com/nt/regsvr32.html


トップに戻る


4. バンドルされているPostgreSQLをサービスとして登録/登録解除するにはどうすればよいですか?

環境によっては、PostgreSQLデータベースの起動失敗が原因でEventLog Analyzerの起動に問題が発生する場合があります。これを回避するには、データベースを登録し、製品の起動やシャットダウンに関係なくバックグラウンドで実行するように設定できます。

バンドルされたPostgreSQLをサービスとして登録する方法

ビルド12440以降の場合

  • 管理者権限でコマンドプロンプトを開き、「<EventLog Analyzer_インストールディレクトリ>\bin」フォルダー内で以下のコマンドを実行します。 register_pgdbservice.bat "<登録するDBサービスの名前>"
  • EventLog Analyzerサービス/サーバーを停止し、登録したDBサービスが起動した後に再度起動します。

ビルド12440以前の場合

  • 「register_pgdbservice.bat」を「<EventLog Analyzer_インストールディレクトリ>\tools\postgres\bin」フォルダーからコピーし、「<EventLog Analyzer_インストールディレクトリ>\bin」フォルダーに貼り付けます。
  • 管理者権限でコマンドプロンプトを開き、「<EventLog Analyzer_インストールディレクトリ>\bin」フォルダー内で以下のコマンドを実行します。 register_pgdbservice.bat "<登録するDBサービスの名前>"
  • EventLog Analyzerサービス/サーバーを停止し、登録したDBサービスが起動した後に再度起動します。

データベースの管理を希望しなくなった場合は、登録解除を選択できます。登録解除すると、製品自体の起動と停止に加えて、データベースの起動と停止も自動的に行われます。

バンドルされたPostgreSQLサービスを登録解除する方法

ビルド12440以降の場合

  • 管理者権限でコマンドプロンプトを開き、「<EventLog Analyzer_インストールディレクトリ>\bin」フォルダー内で以下のコマンドを実行します。 unregister_pgdbservice.bat "<登録解除するDBサービスの名前>"

ビルド12440以前の場合

  • 「unregister_pgdbservice.bat」を「<EventLog Analyzer_インストールディレクトリ>\tools\postgres\bin」フォルダーからコピーし、「<EventLog Analyzer_インストールディレクトリ>\bin」フォルダーに貼り付けます。
  • 管理者権限でコマンドプロンプトを開き、「<EventLog Analyzer_インストールディレクトリ>\bin」フォルダー内で以下のコマンドを実行します。 unregister_pgdbservice.bat "<登録解除するDBサービスの名前>"

トップに戻る


インストール

  1. インストール中、「正しいManageEngineライセンスファイルを入力してください」というメッセージが表示されます。
  2. 特定のインタフェースにEventLog Analayzerをバインドする方法を教えてください。
  3. 「java.lang.Error: Probable fatal error: No fonts found」が表示されます。
1. インストール中、「正しいManageEngineライセンスファイルを入力してください」というメッセージが表示されます。

メッセージが表示される原因として、以下の2つが考えられます。

  • ケース1:お使いのシステムの時刻設定が正しくない。この場合、EventLog Analyzerをアンインストールし、正しい時刻に設定した後に再インストールを行ってください。
  • ケース2:間違った、まはた破損しているライセンスファイルを適用した。この場合、jp-license@zohocorp.comまでご連絡ください。新しいライセンスファイルを発行いたします。

トップに戻る


2. 特定のインタフェースにEventLog Analayzerをバインドする方法を教えてください。

ビルド8010以降の場合

EventLog Analyzerサーバーを特定のインターフェースにバインドするには、以下の手順を実施します。

EventLog Analyzerをアプリケーションとして起動している場合:

  • EventLog Analyzerをシャットダウンします。
  • <EventLog Analyzer_インストールディレクトリ>\binフォルダーのrun.batファイルをテキストエディターで開き、「RESTART Command block」に移動します。以下のRESTARTコマンド行のコメントを解除し、<ip-address>をアプリケーションをバインドするIPアドレスに置き換え、既存のRESTARTコマンド行をコメントアウトしてファイルを保存します。

    rem %JAVA% %JAVA_OPTS% -cp "%CLASS_PATH%" com.adventnet.mfw.Starter %SAFE_START% -c default -b <ip-address>

    %JAVA% %JAVA_OPTS% -cp "%CLASS_PATH%" com.adventnet.mfw.Starter %SAFE_START% -c default -b <ip-address>

    %JAVA% %JAVA_OPTS% -cp "%CLASS_PATH%" com.adventnet.mfw.Starter %SAFE_START%

    rem %JAVA% %JAVA_OPTS% -cp "%CLASS_PATH%" com.adventnet.mfw.Starter %SAFE_START%

  • <EventLog Analyzer_インストールディレクトリ>\binフォルダーのsetcommonenv.batファイルをテキストエディターで開き、「JAVA_OPTS Setting command Block」に移動します。以下ののJAVA_OPTS設定コマンドのコメントを解除し、<ip-address>をアプリケーションをバインドするIPアドレスに置き換え、既存のJAVA_OPTS設定コマンド行をコメントアウトしてファイルを保存します。

    rem set JAVA_OPTS=-Djava.library.path=..lib;..libnative -DpdfReport=false -Duser.country=US -Duser.language=en -DminDiskSpace=5 -Xms128m -Xmx512m -Dspecific.bind.address=<ip-address>

    set JAVA_OPTS=-Djava.library.path=..lib;..libnative -DpdfReport=false -Duser.country=US -Duser.language=en -DminDiskSpace=5 -Xms128m -Xmx512m -Dspecific.bind.address=<ip-address>

    set JAVA_OPTS=-Djava.library.path=..lib;..libnative -DpdfReport=false -Duser.country=US -Duser.language=en -DminDiskSpace=5 -Xms256m -Xmx1024m

    rem set JAVA_OPTS=-Djava.library.path=..lib;..libnative -DpdfReport=false -Duser.country=US -Duser.language=en -DminDiskSpace=5 -Xms256m -Xmx1024m

  • <EventLog Analyzer_インストールディレクトリ>\confフォルダーのdatabase_param.confファイルをテキストエディターで開き、urlタグのlocaldevice<binding IP address>(アプリケーションをバインドするIPアドレス)に置き換え、ファイルを保存します。

    url=jdbc:postgresql://localdevice:33336/eventlog?stringtype=unspecified

    url=jdbc:postgresql://<binding IP address>:33336/eventlog?stringtype=unspecified

  • <EventLog Analyzer_インストールディレクトリ>\pgsql\dataフォルダーのpostgresql.confファイルをテキストエディターで開き、「CONNECTIONS AND AUTHENTICATION」セクションに移動します。「#listen_addresses = 'localdevice'」のコメントを解除し、「'localdevice'」を<binding IP address>(アプリケーションをバインドするIPアドレス)に置き換え、ファイルを保存します。

    #------------------------------------------------------------------------------
    # CONNECTIONS AND AUTHENTICATION
    #------------------------------------------------------------------------------

    # - Connection Settings -
    #listen_addresses = 'localdevice' # what IP address(es) to listen on;

    # comma-separated list of addresses;

    # defaults to 'localdevice'; use '*' for all

    # (change requires restart)



    #------------------------------------------------------------------------------
    # CONNECTIONS AND AUTHENTICATION
    #------------------------------------------------------------------------------

    # - Connection Settings -
    listen_addresses = <binding IP address> # what IP address(es) to listen on;

    # comma-separated list of addresses;

    # defaults to 'localdevice'; use '*' for all

    # (change requires restart)

  • <EventLog Analyzer_インストールディレクトリ>\pgsql\dataフォルダーのpg_hba.confファイルをテキストエディターで開き、「device all all 127.0.0.1/32 trust」の後に「device all all <binding IP address in IPv4 format>/32 trust」を追加し、ファイルを保存します。

    # TYPE DATABASE USER ADDRESS METHOD

    # IPv4 local connections:

    device all all 127.0.0.1/32 trust

    # IPv6 local connections:

    device all all ::1/128 trust



    # TYPE DATABASE USER ADDRESS METHOD

    # IPv4 local connections:

    device all all 127.0.0.1/32 trust

    device all all <binding IP address in IPv4 format>/32 trust

    # IPv6 local connections:

    device all all ::1/128 trust

  • EventLog Analyzerを再起動します。


EventLog Analyzerをサービスとして起動している場合:

EventLog Analyzerサービスを停止し、「SysEvtCol.exe」、「Postgres.exe」、「java.exe」が実行されていないことを確認します。

IPバインディングを行うには、7つのファイルを変更する必要があります。

注記:ファイルを編集する前に、ファイルのバックアップコピーがあることを確認してください。

「xxx.xxx.xxx.xxx」は、EventLog AnalyzerにバインドしたいIPアドレスであると仮定します。


ファイル1)

<EventLog Analyzer_インストールディレクトリ>\bin\setCommonEnv.bat

  • set JAVA_OPTS=-Djava.library.path=..\lib;..\lib\native -Duser.country=US -Duser.language=en -Xms256m -Xmx1024m」を探します。
  • -Dspecific.bind.address= xxx.xxx.xxx.xxx」を追記します。例:set JAVA_OPTS=-Djava.library.path=..\lib;..\lib\native -Duser.country=US -Duser.language=en -Xms256m -Xmx1024m -Dspecific.bind.address= xxx.xxx.xxx.xxx


ファイル2)

<EventLog Analyzer_インストールディレクトリ>\bin\runSEC.bat

  • %SERVER_HOME%\bin\SysEvtCol.exe" -port 513 %syslogPort% -dbhome "%dbhome%" -ELAhome "%serverHome%" -loglevel 2 %RelayIP% %IPadd% %IgnoreHost% %IPadd% %*」を探します。
  • -bindip xxx.xxx.xxx.xxx」を追記します。例:%SERVER_HOME%\bin\SysEvtCol.exe" -bindip xxx.xxx.xxx.xxx -port 513 %syslogPort% -dbhome "%dbhome%" -ELAhome "%serverHome%" -loglevel 2 %RelayIP% %IPadd% %IgnoreHost% %IPadd% %*


ファイル3)

<EventLog Analyzer_インストールディレクトリ>\server\conf\wrapper.conf

  • #wrapper.app.parameter.1=com.adventnet.mfw.Starter」を探します。
  • 「#」を削除します。例:wrapper.app.parameter.1=com.adventnet.mfw.Starter
  • 次の行「#wrapper.app.parameter.2=-L../lib/AdventNetDeploymentSystem.jar」の後に以下の2行を追加します。
    • wrapper.app.parameter.2=-b xxx.xxx.xxx.xxx
    • wrapper.app.parameter.3=-Dspecific.bind.address= xxx.xxx.xxx.xxx

wrapper.app.parameter.1=com.adventnet.mfw.Starter

#wrapper.app.parameter.2=-L../lib/AdventNetDeploymentSystem.jar

wrapper.app.parameter.2=-b xxx.xxx.xxx.xxx

wrapper.app.parameter.3=-Dspecific.bind.address= xxx.xxx.xxx.xxx



ファイル4)

<EventLog Analyzer_インストールディレクトリ>\conf\server.xml

以下のブロックを探します。

<Connector SSLEnabled="false" URIEncoding="UTF-8" acceptCount="100" address="0.0.0.0" clientAuth="false" compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024" connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" name="WebServer" noCompressionUserAgents="gozilla, traviata" port="8400" protocol="HTTP/1.1" scheme="http" secure="false"/>

  • address="0.0.0.0"」を「address="xxx.xxx.xxx.xxx"」に置き換えます。
  • 以下のようになります。

<Connector SSLEnabled="false" URIEncoding="UTF-8" acceptCount="100" address="xxx.xxx.xxx.xxx" clientAuth="false" compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024" connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" name="WebServer" noCompressionUserAgents="gozilla, traviata" port="8400" protocol="HTTP/1.1" scheme="http" secure="false"/>



ファイル5)

<EventLog Analyzer_インストールディレクトリ>\conf\database_params.conf

  • url=jdbc:postgresql://127.0.0.1:33335/eventlog?stringtype=unspecified」を探します。
  • 127.0.0.1」を「xxx.xxx.xxx.xxx」に置き換えます。例:url=jdbc:postgresql://xxx.xxx.xxx.xxx:33335/eventlog?stringtype=unspecified


ファイル6)

<EventLog Analyzer_インストールディレクトリ>\pgsql\data\postgresql.conf

  • #listen_addresses = 'localhost'」を探します。
  • 「#」を削除します。
  • localhost」を「xxx.xxx.xxx.xxx」に置き換えます。例:listen_addresses = 'xxx.xxx.xxx.xxx'


ファイル7)

<EventLog Analyzer_インストールディレクトリ>\pgsql\data\pg_hba.conf

以下のブロックを探します。

IPv4 local connections:

host all all 127.0.0.1/32 trust

host all all 127.0.0.1/32 trustの127.0.0.1をIPアドレスに置き換えて、その行の後に追加します。

IPv4 local connections:

host all all 127.0.0.1/32 trust

host all all xxx.xxx.xxx.xxx/32 trust

EventLog Analyzerを起動し、<EventLog Analyzer_インストールディレクトリ>\logs\wrapper.logでステータスを確認してください。


トップに戻る


3. 「java.lang.Error: Probable fatal error: No fonts found」が表示されます。

EventLog Analyzerは、レポートのエクスポート時に、Windows OSにプリインストールされているDejavu-seriffフォントを使用します。しかし、一部のLinuxディストリビューションではフォントがインストールされておらず、エラーが発生します。

このような場合は、Linuxディストリビューションに応じてフォントを手動でインストールします。コマンドは以下のとおりです。

  • ケース1:RHEL/CentOS sudo yum install fontconfig dejavu-sans-fonts dejavu-serif-fonts
  • ケース2:Ubuntu/Debian sudo apt install fonts-dejavu fontconfig
  • ケース3:SLES sudo zypper install dejavu-fonts fontconfig

トップに戻る


起動とシャットダウン

  1. WindowsマシンのMySQL関連のエラー
  2. サーバー起動時に「Port 8400 needed by EventLog Analyzer is being used by another application. Please free the port and restart EventLog Analyzer」と表示されます。
  3. 「次のポートが使用できません:<ポート番号>」と表示されます。
  4. 「Couldn't start elasticsearch at port 9300」と表示されます。
1. WindowsマシンのMySQL関連のエラー

考えられる原因:マシン上で既にMySQLのインスタンスが実行されている。

対処法:すべてのMySQLインスタンスをシャットダウンしてから、EventLog Analyzerサーバーを起動します。


考えられる原因:ポート33335が空いていない。

対処法:ポート33335で実行されている他のアプリケーションを終了します。ポートを解放できない場合は、EventLog Analyzerで使用するポート番号を変更してください。


トップに戻る


2. サーバー起動時に「Port 8400 needed by EventLog Analyzer is being used by another application. Please free the port and restart EventLog Analyzer」と表示されます。

考えられる原因:EventLog Analyzerが使用するデフォルトのWebサーバーポートが空いていない。

対処法:ポート8400で実行されている他のアプリケーションを終了してください。以下の手順を実行してください。

  • EventLog Analyzerサービスを停止します。
  • <EventLog Analyzer_インストールディレクトリ>\server\confフォルダーにある「wrapper.conf」ファイルを開きます。
  • # Java Additional Parameters」セクションに以下の行を追加します。
    wrapper.java.additional.21=-Djava.net.preferIPv4Stack=true

変更前)
wrapper.java.additional.20=-Dorg.tanukisoftware.wrapper.WrapperManager.mbean=false

変更後)
wrapper.java.additional.20=-Dorg.tanukisoftware.wrapper.WrapperManager.mbean=false
wrapper.java.additional.21=-Djava.net.preferIPv4Stack=true

  • EventLog Analyzerサービスを開始します。

トップに戻る


3. 「次のポートが使用できません:<ポート番号>」と表示されます。

考えられる原因:EventLog AnalyzerのSyslog収集用のポートが空いていない。

対処法

  • コマンド「netstat -anp -pudp」を使用し、Syslog収集用のポートを占有しているプロセスを確認します。可能であれば、ポートの解放を試みます。
  • UNIXマシンでサーバーを起動した場合は、必ずrootユーザーとしてサーバーを起動してください。
  • Syslogを別のSyslog受信用ポートでリッスンするようEventLog Analyzerの設定を変更し、設定したデバイスから新しく設定した受信用ポートにSyslogを転送するように設定します。

トップに戻る


4. 「Couldn't start elasticsearch at port 9300」と表示されます。

考えられる原因:requirettyが無効になっていない。

対処法etc/sudoersファイル内の「requiretty」を「!requiretty」に変更してrequirettyを無効にします。

メモ:Elasticsearchは、様々な種類の操作に複数のスレッドプールを使用します。必要に応じて新しいスレッドを作成できることが重要です。Elasticsearchを起動する前に、root権限で「ulimit -u 4096」を設定するか、/etc/security/limits.confに「elasticsearch - nproc 4096」を追加して、elasticsearchユーザーが作成できるスレッド数が少なくとも4096であることを確認してください。


トップに戻る


アップグレード

  1. 権限不足が原因でアップグレードに失敗した場合、どのようにアップグレードすればよいですか?
  2. PPM適用時のDBバックアップ
1. 権限不足が原因でアップグレードに失敗した場合、どのようにアップグレードすればよいですか?

<EventLog Analyzer_インストールディレクトリ>\binフォルダーに移動し、管理者権限で「startDB.bat」を実行します。アクセス拒否エラーが出力された場合は「setAppPermission.bat」を実行します。

注記:setAppPermission.batを実行すると、EventLog Analyzerディレクトリのアクセス許可がこちらのドキュメントに記載されているとおりに変更されます。


トップに戻る


2. PPM適用時のDBバックアップ

注記:バックアップは、PGSQLまたはMSSQLデータベースを使用しているインスタンスのみで実行されます。MySQLデータベースのインスタンスでは、PPMバックアップ機能は利用できません。

  • データベースのサイズが10GBを超えると、自動バックアップは機能せず、アップグレードを進める前に手動でバックアップを行うようユーザーに通知されます。
  • PGSQLデータベースの場合、EventLog Analyzerがインストールされているドライブに十分な空き容量がある場合にのみバックアップが実行されます。MSSQLデータベースの場合、バックアップデータはMSSQL用に設定されたデフォルトのバックアップフォルダーに保存されます。バックアップ操作の前に空き容量のチェックが発生し、十分な空き容量がない場合はユーザーに通知されます。ユーザーは、自動バックアップのために十分な空き容量を確保するか、手動でバックアップを実行することができます。
  • PGSQLデータベースの場合、PPMバックアップは2つのみ保持され、古いバックアップはローテーションによって削除されます。
  • MSSQLデータベースの場合、バックアップは自動的に削除されません。ユーザーが手動で削除する必要があります。
  • アップグレードが失敗した場合は、バックアップを使用してインスタンスをリストアできます。リストア手順については、サポートにお問い合わせください。

トップに戻る


設定

  1. 管理対象デバイスを追加する際に「RPCサーバーが利用できません」というエラーが発生します。
  2. 管理対象デバイスを追加する際に「アクセス拒否」というエラーが発生します。
  3. Windows Server 2003でWBEMテストを実行すると、失敗してエラーコード「80041010」のエラーメッセージが表示されます。
  4. Linux OSでオブジェクトアクセスのログを有効にするにはどうすればよいですか?
  5. Solaris 10でSyslogデーモンを起動および停止するためのコマンドは何ですか?
  6. チケット管理ツールの設定中に、SSL接続エラーが発生しました。
  7. JIRA(オンプレミス)を設定する際に「テストして保存」を実行すると、CAPTCHA認証失敗エラーが発生します。
  8. ファイル整合性監視(FIM)のトラブルシューティング
  9. ポート管理のエラーコード
  10. イベントソースファイルの設定で「イベントソースファイルがディスカバリーできませんでした」というエラーが発生します。
  11. PostgreSQLのスーパーユーザーのパスワードを変更する方法を教えてください。
  12. 重複したWindowsデバイスの処理
  13. 監査ログを転送する際、SELinuxが有効になっているRed Hatシステムでは、デフォルトのポリシーによって監査ログの読み取りが許可されない場合があります。
  14. EventLog Analyzerに組織全体のプロキシ証明書を追加するにはどうすればよいですか?
1. 管理対象デバイスを追加する際に「RPCサーバーが利用できません」というエラーが発生します。

考えられる原因:デバイスマシンのRPC(リモートプロシージャコール)ポートが、ファイアウォールによってブロックされている。

対処法:ファイアウォールでRPCポートを許可します。


トップに戻る


2. 管理対象デバイスを追加する際に「アクセス拒否」というエラーが発生します。

考えられる原因:EventLog Analyzerマシンからデバイスにアクセスできない。

対処法:pingコマンドでデバイスとEventLog Analyzerマシン間のネットワーク接続を確認します。


考えられる原因:デバイスでファイアウォールおよびREMOTEADMINサービスが無効である。

対処法:デバイスでファイアウォールが実行されているかどうかを確認します。ファイアウォールが実行されている場合は、コマンドプロンプトを開き、以下のコマンドを実行します。

netsh firewall set service type=REMOTEADMIN mode=ENABLE profile=all

トップに戻る


3. Windows Server 2003でWBEMテストを実行すると、失敗してエラーコード「80041010」のエラーメッセージが表示されます。

考えられる原因:WMIコンポーネントがインストールされていない。

対処法:Windows 2003 Serverには、デフォルトでWin32_Productクラスがインストールされていません。クラスを追加するには、以下の手順を実施します。

  • 「プログラムの追加と削除」で「Windows コンポーネントの追加と削除」をクリックします。
  • Windowsコンポーネントウィザードで「管理とモニタツール」を選択し、「詳細」をクリックします。
  • 管理とモニタツールで、「WMI Windows インストーラ プロバイダ」を選択し、「OK」をクリックします。
  • 「次へ」をクリックします。

トップに戻る


4. Linux OSでオブジェクトアクセスのログを有効にするにはどうすればよいですか?

Linux OSでオブジェクトアクセスを有効にするには、/etc/xinted.d/wu-ftpdファイルで以下のようにサーバー引数を編集します。

server_args = -i -o -L

トップに戻る


5. Solaris 10でSyslogデーモンを起動および停止するためのコマンドは何ですか?

Solaris 10でsyslogdを停止および起動するためのコマンドは次のとおりです。

# svcadm disable svc:/system/system-log:default # svcadm enable svc:/system/system-log:default

Solaris 10でsyslogdを再起動して、/etc/syslog.confを再読み込みさせるには、以下の手順を実行します。

# svcadm refresh svc:/system/system-log:default

または

# svcadm -v restart svc:/system/system-log:default

トップに戻る


6. チケット管理ツールの設定中に、SSL接続エラーが発生しました。

エラーは、チケット管理ツールサーバーのHTTPS証明書がEventLog AnalyzerのJRE証明書ストアに追加されていない場合に発生する可能性があります。証明書をEventLog AnalyzerのJRE証明書ストアにインポートするには、以下の手順を実施します。

  • ブラウザ上で「証明書が信頼されていません」というエラーが表示された場合は、ブラウザの証明書ストアで信頼を許可することで、サーバーの証明書をブラウザの証明書ストアに追加します。
  • ブラウザ上で証明書をバイナリDERファイルとしてエクスポートします。
  • keytoolユーティリティを使用して、証明書をEventLog AnalyzerのJRE証明書ストアにインポートします。コマンドは、<EventLog Analyzer_インストールディレクトリ>/jre/binディレクトリから実行します。 keytool -import -alias ticketingtool -keystore <EventLog Analyzer_インストールディレクトリ>/jre/lib/security/cacerts -file path-to-certificate-file
  • キーストアのパスワードを入力します。デフォルトのパスワードは「changeit」です。

トップに戻る


7. JIRA(オンプレミス)を設定する際に「テストして保存」を実行すると、CAPTCHA認証失敗エラーが発生します。

有効な認証情報を入力しても、JIRA(オンプレミス)を設定する際に問題が発生する場合は、以下の手順を確認してください。


最大試行回数を編集したり、CAPTCHAを無効にしたりする手順:

  • JIRAオンプレミスアカウントにログインします。
  • 右上隅の「管理」を選択し、「システム」→「一般設定」→「設定の編集」に進みます。
  • 「最大認証試行回数」フィールドに希望の値を入力します。制限を超えると、EventLog Analyzerとの連携前にCAPTCHA認証を使用してJIRAオンプレミスアカウントに再度ログインする必要があります。
  • フィールドを空白のままにすると、CAPTCHAは無効になります。複数回の認証失敗後でも、EventLog AnalyzerとJIRA On-Premis(オンプレミス)の連携を試みることができます。

トップに戻る


8. ファイル整合性監視(FIM)のトラブルシューティング

特定のフォルダーでユーザー名が有効になっている場合は、以下のトラブルシューティングを試してください。

注記:以下のGUIは、フォルダープロパティ内のSACLエントリです。


トップに戻る


9. ポート管理のエラーコード

よくあるエラーと原因、対処法をご紹介します。

他のアプリケーションによりポートが既に使用されています

考えられる原因:指定されたポートが既に他のアプリケーションで使用されているため使用できない。

対処法:他のアプリケーションのポートを変更するか、EventLog Analyzer上で新しいポートを使用します。EventLog Analyzer上で新しいポートを使用する場合は、デバイス側で転送先のポートを手動で変更するか、自動ログ転送設定を使用して変更します。


TLSが設定されていません

考えられる原因:HTTPSがTLS暗号化ログをサポートするように設定されていない。

対処法:サーバーが自己署名証明書または有効なPFX証明書のいずれかを使用するように設定します。設定方法の詳細は、接続設定を参照してください。


PFXが設定されていません

考えられる原因:HTTPSは設定されているが、証明書の種類がサポートされていない。

対処法1:有効な証明書が使用されていない場合は、自己署名証明書を使用します。

使用されている証明書の種類を確認するには、以下の手順を実施します。

  • conf/Server.xmlファイルを開き、connectorタグを確認します。
  • keystoreFile属性の拡張子を確認します。

対処法2:有効なキーストア証明書が使用されている場合は、<EventLog Analyzer_インストールディレクトリ>\jre\binで以下のコマンドを実行します。

keytool -importkeystore -srckeystore <certificate path> -destkeystore server.pfx -deststoretype PKCS12 -deststorepass <password> -srcalias tomcat -destalias tomcat

詳細は、接続設定を参照してください。


外部エラー

考えられる原因:不明な外部要因

対処法1:EventLog Analyzerのサポートにお問い合わせください。


トップに戻る


10. イベントソースファイルの設定で「イベントソースファイルがディスカバリーできませんでした」というエラーが発生します。

以下を確認してください。

  • マシンの認証情報を確認してください。
  • デバイスの接続状況を確認してください。
  • Remote Registryのサービスが無効になっていないことを確認してください。
  • ユーザーは管理者権限を持っている必要があります。
  • 開いているキーとサブキーを持つキーは削除できません。

トップに戻る


11. PostgreSQLのスーパーユーザーのパスワードを変更する方法を教えてください。

<EventLog Analyzer_インストールディレクトリ>\binフォルダーにある「changeDBPassword.bat/sh」ファイルを実行します。

Windows:

changeDBPassword.bat -U postgres -p <old_password> -P <new_password>

Linux:

changeDBPassword.sh -U postgres -p <old_password> -P <new_password>

トップに戻る


12. 重複したWindowsデバイスの処理

概要:EventLog Analyzerビルド12260で特定されたUIの問題により、一部のWindowsデバイスでデバイスが重複して表示されることがあります。

講じた措置:

ローカルコレクターとの関連付け

ローカルコレクターと関連付けられている場合、最も古いログ収集タイムスタンプを持つ重複デバイスは削除されます。

リモートコレクターとの関連付け(直近の最終メッセージ時刻)

最も古いログ収集タイムスタンプを持つ重複デバイスは、以下の場合に無効化されます。

・リモートコレクターに関連付けられている。

・現在の日付と最終メッセージ時刻の差が、保存期間よりも短い。

リモートコレクターとの関連付け(過去の最終メッセージ時刻)

最も古いログ収集タイムスタンプを持つ重複デバイスは、以下の条件の場合に削除されます。

・リモートコレクターに関連付けられている。

・現在の日付と最終メッセージ時刻の差が、保存期間よりも長い。

プロファイルの再マッピング

削除または無効化されたデバイスが、以前にアプリケーション、インポート、アラート、レポート、ログ収集フィルター、Syslogフォワーダー、エージェントなどのプロファイルで設定されていた場合、再マッピングされます。

お客様の対応が必要な措置:

デバイスの再設定

デバイスグループ、ログ収集失敗アラート、コンプライアンス、カスタムログ解析に関する設定は、該当するデバイスを再設定する必要があります。エラーが発生したデバイスは、上記のUIの問題により誤って設定された可能性があります。


トップに戻る


13. 監査ログを転送する際、SELinuxが有効になっているRed Hatシステムでは、デフォルトのポリシーによって監査ログの読み取りが許可されない場合があります。
  • 問題:SELinuxが有効になっている場合、一部のデフォルトポリシーにより、転送プロセス中にRed Hat Linuxシステムの監査ログが読み取られないことがあります。
  • 対処法:監査ログを転送するには、etc/audisp/plugins.d/syslog.confに「active=yes」を追加するか、CentOS/RHEL v8以降の場合はetc/audit/plugins.d/syslog.confに以下のエントリを含むファイルを作成します。

    active = yes

    direction = out

    path = builtin_syslog

    type = builtin

    args = LOG_INFO

    format = string

注記:監査ログがSyslogサービスに転送されます。EventLog Analyzerサーバーでログを受信するには、Syslogサービス経由のログ転送を有効にする必要があります。


トップに戻る


14. EventLog Analyzerに組織全体のプロキシ証明書を追加するにはどうすればよいですか?
  • コマンドを実行する前に、プロキシ証明書ファイルが利用可能であることを確認します。
  • keytoolユーティリティを使用して、証明書をEventLog AnalyzerのJRE証明書ストアにインポートします。コマンドは、<EventLog Analyzer_インストールディレクトリ>/jre/binディレクトリから実行します。 keytool -import -alias ticketingtool -keystore <EventLog Analyzer_インストールディレクトリ>/jre/lib/security/cacerts -file path-to-certificate-file
  • キーストアのパスワードを入力します。デフォルトのパスワードは「changeit」です。

トップに戻る


ファイル整合性監視(FIM)

  1. アクセス許可が拒否されました。
  2. 監査サービスが利用できません。
  3. SELinuxにより、アクセスが制限されています。
  4. エージェントのアップグレードに失敗しました。
  5. エージェントのインストールに失敗しました。
  6. エージェントプラットフォームがファイル整合性監視に適合していません。
  7. ACLパッケージがインストールされていません。
  8. エージェントのSSH接続が正常に行なわれませんでした。
  9. auditdでイミュータブルルールが有効になっているかどうかを確認する方法
1. アクセス許可が拒否されました。

原因

  • 認証情報が間違っている。
  • 認証情報の権限が不十分。
  • ユーザーに十分な権限がないtempフォルダーが存在する。
  • ユーザーがエージェントフォルダーへのアクセス権限を持っていない。

対処法

  • 認証情報はSSHターミナルにアクセスすることで確認できます。
  • 監査デーモンの起動、停止、再起動、およびLinuxデバイスへのファイル転送を行う権限を持つ認証情報が必要です。
  • tempファイルが存在する場合は権限を設定します。 setfacl -R -m u:<username>:rwx /opt/ManageEngine/temp
  • エージェントフォルダーの権限を設定します。 setfacl -R -m u:<username>:rwx /opt/ManageEngine/EventLogAnalyzer_Agent

    CentOS/RHEL v8以降/Ubuntu/openSUSE/Debian/Fedoraの場合:

    setfacl -m u:<username>:w /etc/audit/plugins.d/elafim.conf

    CentOS/RHEL v6~v7.9の場合:

    setfacl -m u:<username>:w /etc/audisp/plugins.d/elafim.conf

トップに戻る


2. 監査サービスが利用できません。

原因

  • 選択したLinuxデバイスに監査デーモンサービスが存在しない。

対処法

  • 監査デーモンパッケージは、Audispと一緒にインストールする必要があります。

トップに戻る


3. SELinuxにより、アクセスが制限されています。

原因

  • SELinuxが監査プロセスの実行を妨げている。

対処法

  • SELinuxの存在は「getenforce」コマンドを使用して確認できます。
  • SELinuxをpermissiveモードに設定します。モードを変更したら[エージェント管理]画面に移動し、[再インストール]をクリックしてエージェントを再インストールします。

トップに戻る


4. エージェントのアップグレードに失敗しました。

原因

  • 製品アップグレード中にエージェントとの接続が確立されなかった。
  • 認証情報が間違っている。

対処法

  • [エージェント管理]画面に移動し、エージェントを手動でインストールします。
  • エージェントをインストールするには:
    • Windowsの場合:「EventLogAgent.msi」を実行します。
    • Linuxの場合:「chmod +x EventLogAgent.bin」を実行後に「EventLogAgent.bin」を実行します。

トップに戻る


5. エージェントのインストールに失敗しました。

原因

  • 端末がオフラインモードになっている。
  • マシンが存在しない。
  • マシンに到達できない。

対処法

  • pingでデバイスを確認します。
  • [エージェント管理]画面に移動し、エージェントを手動でインストールします。

トップに戻る


6. エージェントプラットフォームがファイル整合性監視に適合していません。

原因

  • Linux、Windows以外のOSにエージェントがインストールされている。

対処法

  • サポート対象のLinuxディストリビューションは、CentOS、Debian、Fedora、openSUSE、Red Hat、およびUbuntuです。
  • Windowsは、5.2(Windows Server 2003)以降のバージョンがサポートされています。

トップに戻る


7. ACLパッケージがインストールされていません。

原因

  • 選択したLinuxデバイスにaclパッケージが存在しない。

対処法

  • ACLパッケージをインストールする必要があります。

トップに戻る


8. エージェントのSSH接続が正常に行なわれませんでした。

原因

  • SSHアルゴリズムが欠落している。
  • 「/opt/ManageEngine」に対する権限が不足している。

対処法


トップに戻る


9. auditdでイミュータブルルールが有効になっているかどうかを確認する方法

イミュータブルルールが有効になっていることを確認するには、以下のコマンドを実行します。

auditctl -s

設定に「enabled 2」が含まれている場合、イミュータブルルールが有効になっていることを示します。この設定により、LinuxエージェントはEventLog Analyzerで指定された場所を監視するために新たに設定された監査ルールを適用できなくなります。

対処法

  • イミュータブルルールを見つけるために、以下のコマンドを実行します(-e 2)。 grep -rniw -e '-e' /etc/audit/

    該当ファイルから設定をコメントアウトするか削除します。

  • 更新後の設定を適用するには、マシンを再起動します。
  • イミュータブルルールが無効になっていることを確認するには、以下のコマンドを実行し、設定に「enabled 1」が存在することを確認してください。 auditctl -s

トップに戻る


Syslog受信状況

  1. ネットワークキャプチャドライバが利用できない場合はどうすればよいですか?
1. ネットワークキャプチャドライバが利用できない場合はどうすればよいですか?

ネットワークキャプチャドライバは、EventLog Analyzerが様々なソースからのネットワークログをキャプチャして処理できるようにするファイルです。これには、npf.sys、Packet.dll、wpcap.dllなどのファイルが含まれます。これらのファイルは、必要とするすべてのアプリケーションからアクセスできるように、Windowsシステムディレクトリに保存する必要があります。

ネットワークキャプチャドライバが利用できない場合は、EventLog AnalyzerのインストールディレクトリからWindowsシステムディレクトリにファイルを移動する必要があります。

ネットワークキャプチャドライバファイルをWindowsシステムディレクトリに移動する方法

  • <EventLog Analyzer_インストールディレクトリ>\binフォルダーに移動します。
  • 管理者権限でコマンドプロンプトを開き、register-driver.exeを実行します。
  • ファイルが正常にコピーされたことを確認するために、コンソールの出力を確認します。

失敗した場合は、下記の手動手順を実施します。

ネットワークキャプチャドライバファイルを手動でコピーする方法

  • <EventLog Analyzer_インストールディレクトリ>\lib\nativeフォルダーから「npf.sys」、「wpcap.dll」、および「Packet.dll」ファイルをコピーします。
  • 以下のフォルダーにファイルを貼り付けます。
    • npf.sys:C:\Windows\system32\drivers\
    • wpcap.dll、Packet.dll:C:\Windows\system32\

最後に、EventLog Analyzerのログレシーバーウィンドウを開いて更新します。

注記:手順は、EventLog AnalyzerがWindowsにインストールされている場合にのみ適用可能です。


トップに戻る


自動Syslog転送設定

  1. アクセス許可が拒否されました。
1. アクセス許可が拒否されました。

原因

  • rsyslog.confまたはsyslog.confファイルに対する権限が不足している。

対処法

  • rsyslog.confまたはsyslog.confファイルの権限を設定します。

トップに戻る


ログ収集とレポート

  1. デバイスを追加した後、EventLog Analyzerがデバイスからイベントログを収集していません。
  2. 正しい認証情報を入力しているにもかかわらず、デバイスへのアクセス拒否に関するエラーが表示されます。
  3. カスタムのアラートプロファイルを作成して有効化した後、デバイスでイベントが発生しているにもかかわらず、EventLog Analyzerでアラートが生成されません。
  4. カスタムレポートを作成しても、メッセージフィルターで設定したメッセージを含むレポートが取得できません。
  5. EventLog Analyzer用のMS SQLサーバーが停止しました。
  6. Oracleデバイスの設定後、データが表示されません。
  7. SyslogホストがEventLog Analyzerに自動的に追加されません。Syslogの受信が突然停止しました。
1. デバイスを追加した後、EventLog Analyzerがデバイスからイベントログを収集していません。

考えられる原因:EventLog Analyzerサーバーからデバイスにアクセスできない。

対処法:デバイスがpingコマンドに応答するかを確認します。応答しない場合は、デバイスにアクセスできません。イベントログを収集するには、デバイスがEventLog Analyzerサーバーからアクセスできる必要があります。


考えられる原因:デバイスに対する管理者権限がない。

対処法:デバイスを編集し、デバイスに対して管理者権限を持つ認証情報を入力します。[資格情報を確認する]をクリックして、ログインが成功したかを確認します。


エラーコード:0x251C

考えられる原因:デバイスに関連付けられたアプリケーションログをインポートする際に、デバイスが追加された。この場合、指定されたアプリケーションログのみがデバイスから収集され、デバイスの種類が不明として表示されます。

対処法

  • デバイス名の横にある編集アイコンをクリックします。
  • 適切なデバイスの種類を選択します。
  • 選択したデバイスの種類に応じて、その他必要な情報を提供します。
  • 編集をクリックします。

トップに戻る


2. 正しい認証情報を入力しているにもかかわらず、デバイスへのアクセス拒否に関するエラーが表示されます。

考えられる原因:アクセス拒否エラーの場合は、様々な原因が考えられます。

対処法:発生したエラーコードの原因と対処法を参照してください。


エラーコード:00x80070005、5

Windowsワークステーションのスキャンが、以下のいずれかの理由により失敗しました。

  • スキャン時に入力した認証情報がワークステーションで無効である。
    対処法:ログイン名とパスワードが正しく入力されているか確認します。
  • リモートワークステーションでリモートDCOMが無効になっている。
    対処法:リモートワークステーションでリモートDCOMが有効になっているかを確認します。有効になっていない場合は、以下の手順で有効にします。
    • 「スタート」→「ファイル名を指定して実行」を選択します。
    • 名前欄に「dcomcnfg」と入力し、「OK」をクリックします。
    • 「既定のプロパティ」タブに移動します。
    • 「このコンピュータ上で分散COMを有効にする」にチェックを入れます。
    • 「OK」をクリックします。

    Windows XPデバイスの場合は、以下の手順で有効にします。

    • 「スタート」→「ファイル名を指定して実行」を選択します。
    • 名前欄に「dcomcnfg」と入力し、「OK」をクリックします。
    • 「コンポーネントサービス」→「コンピュータ」→「マイコンピュータ」をクリックします。
    • 右クリックして「プロパティ」を選択します。
    • 「既定のプロパティ」タブに移動します。
    • 「このコンピュータ上で分散COMを有効にする」にチェックを入れます。
    • 「OK」をクリックします。
  • 対象マシン上のユーザーアカウントが無効である。
    対処法:コマンドプロンプトを開き、以下のコマンドを実行して対象マシンでユーザーアカウントが有効かを確認します。 net use \<RemoteComputerName>C$ /u:<DomainNameUserName> "<password>"
    net use \<RemoteComputerName>ADMIN$ /u:<DomainNameUserName> "<password>"

    エラーが表示される場合、指定のユーザーアカウントは対象マシン上で無効です。


エラーコード:0x80041003

スキャンに指定したユーザーにスキャン操作を実行するための十分なアクセス権限がありません。ユーザーがデバイスの管理者グループに所属していない可能性があります。

対処法:ユーザーをワークステーションの管理者グループに移動するか、管理者(ドメイン管理者)アカウントを使用してマシンをスキャンします。


エラーコード:0x800706ba

リモートコンピューターにファイアウォールが設定されています。本エラーは、Windows XP(SP 2)でデフォルトのWindowsファイアウォールが有効になっている場合によく発生します。

対処法:

  • Windows XPマシンでデフォルトのファイアウォールを無効にします。

    「スタート」→「ファイル名を指定して実行」を選択します。

    「Firewall.cpl」と入力して「OK」をクリックします。

    「全般」タブで「無効」をクリックします。

    「OK」をクリックします。

  • ファイアウォールを無効にできない場合は、以下のコマンドを実行してリモートマシン上で管理者向けのリモート管理を起動します。

    netsh firewall set service RemoteAdmin

    スキャン後、以下のコマンドを使用してリモート管理を無効にすることができます。

    netsh firewall set service RemoteAdmin disable

エラーコード:0x80040154

  • リモートのWindowsワークステーションでWMIが利用できません。これはWindows NTで発生するエラーです。WMIコンポーネントが正しく登録されていない場合、Windowsの上位バージョンでも同様のエラーコードが発生する可能性があります。

    対処法:リモートワークステーションにWMIコアをインストールします。

  • WMIコンポーネントが登録されていません。

    対処法:コマンドプロンプトでコマンド「winmgmt /RegServer」を実行してWMI DLLファイルを登録します。


エラーコード:0x80080005

デバイス上で実行されているWMIサービス(winmgmt.exe)に内部的な実行エラーが発生しています。デバイスにおけるWMIリポジトリの最終更新が失敗した可能性があります。

対処法:

  • 「スタート」→「ファイル名を指定して実行」を選択します。
  • 「services.msc」と入力して「OK」をクリックします。
  • 開いた「サービス」画面で「Windows Management Instrumentation」サービスを選択します。
  • 右クリックして「再起動」をクリックします。

エラーコード:1722、1726、1753、1825

考えられる原因:デバイスのRPC(リモートプロシージャコール)ポートがファイアウォールによってブロックされています。

対処法:ファイアウォールでRPCポートがブロックされていないかを確認します。


その他のエラーコードについては、MSDNナレッジベースを参照してください。


トップに戻る


3. カスタムのアラートプロファイルを作成して有効化した後、デバイスでイベントが発生しているにもかかわらず、EventLog Analyzerでアラートが生成されません。

考えられる原因:アラート基準が適切に設定されていない。

対処法アラートプロファイルの設定画面で、必須項目が正しく設定されていることを確認します。入力したメールアドレスが正しいかを確認します。メールサーバーが正しく設定されていることを確認します。


トップに戻る


4. カスタムレポートを作成しても、メッセージフィルターで設定したメッセージを含むレポートが取得できません。

考えられる原因:メッセージフィルターが正しく設定されていない。

対処法:メッセージフィルターに文字列を入力する際は、ログのメッセージと完全に一致させるためにWindowsイベントビューアーに表示されている文字列と全く同じ文字列をコピー/入力してください。例)ログオン名:John


トップに戻る


5. EventLog Analyzer用のMS SQLサーバーが停止しました。

考えられる原因:MS SQLのトランザクションログがいっぱいになっている。

対処法:EventLog AnalyzerのMS SQLデータベーストランザクションログがいっぱいになっている場合は、以下の手順でログを縮小します。

  • EventLog Analyzerサーバー/サービスを停止します(EventLog Analyzerサーバーのタスクマネージャーで「SysEvtCol.exe」、「java.exe」のプロセスが実行されていないことを確認します)。
  • MS SQLクライアント(Microsoft SQL Server Management Studio)に接続し、クエリ「sp_dboption 'eventlog', 'trunc. log on chkpt.', 'true'」を実行します。
  • 上記コマンドを実行した後、コマンド「DBCC SHRINKDATABASE (eventlog)」を実行します。
  • 注:EventLog Analyzerデータベースのサイズに応じて処理に時間がかかります。
  • EventLog Analyzerを起動します。

トップに戻る


6. Oracleデバイスの設定後、データが表示されません。

OracleデバイスがWindowsの場合は、デバイス上でイベントビューアを開き、「アプリケーション」の下にあるOracleソースを確認します。Linuxの場合は、Oracleログを書き込んでいるログファイルを確認します。指定のファイルにOracleログが存在するにもかかわらず、EventLog Analyzerがログを収集しない場合は、サポートにお問い合わせください。

注記:スキャン用に指定したユーザー名がスキャン操作を実行するためのアクセス権限がない場合、ユーザーがデバイスの管理者グループに所属していない可能性があります。


トップに戻る


7. SyslogホストがEventLog Analyzerに自動的に追加されません。Syslogの受信が突然停止しました。

受信したSyslogパケットは、EventLog AnalyzerのSyslogビューアから確認します。

ログを確認できる場合は、パケットはマシンに到達しているものの、EventLog Analyzerには届いていないことを意味します。WindowsファイアウォールまたはLinuxのIPテーブルを確認する必要があります。

Syslogビューアでログを確認できない場合は、EventLog Analyzerサーバーに接続できるかどうかを確認します。確認方法は以下のとおりです。

  • サーバーにpingを送信します。
  • TCPの場合は、telnet <ela_server_name> <port_no>コマンドを試します。デフォルトのTCPポートは514です。
  • tcpdump
  • tcpdump -n dst <ela_server_name> and dst port <port_no>

接続できる場合は、設定に何らかの問題があったことを意味します。接続できない場合は、ネットワークの問題が発生している可能性があります。


トップに戻る


エージェント管理

  1. 「サーバーからエージェントに到達できません。」と表示されます。
  2. エージェントのステータスに「エージェントが通信していません」と表示されます。
  3. サーバー移行後にEventLog AnalyzerエージェントのServerInfoを更新する方法を教えてください。

EventLog Analyzerのコンソール、GPO、またはソフトウェアインストールツールを使用してエージェントをインストールする際に問題が発生した場合は、エージェントの手動インストールをお試しください。

1. 「サーバーからエージェントに到達できません。」と表示されます。

エージェントを認証情報なしで手動インストールした場合やエージェントの認証情報が正しく更新されなかった場合、「サーバーからエージェントに到達できません。」という状態になります。

このような状態では、エージェントに対して行われた以下の操作はすぐには反映されません。

  • エージェントの強制再起動
  • エージェントの停止
  • デバイスのIPアドレスと認証情報の更新
  • デバイス/ログ収集フィルター/FIMの追加、削除、有効化、無効化
  • FIMテンプレートの更新
  • 監視間隔の更新

注記:本アイコンはログ収集プロセスを妨げるものではありません。アイコンの有無に関わらず、ログは収集されます。

また、認証情報が無効なため、UI画面経由でエージェントの起動やアンインストールなどの操作を実行することもできず、これらの操作は手動で実行する必要があります。

エージェントがサーバーからアクセスできないことを示すクラウドアイコンを非表示にしたい場合、またはリアルタイムのアクションが必要な場合は、認証情報を正確に更新してください。


トップに戻る


2. エージェントのステータスに「エージェントが通信していません」と表示されます。

「エージェントが通信していません」は、エージェントとサーバー間の通信が長時間途絶えた場合に表示されます。

このような状況の場合、以下の対応を実施する必要があります。

  • エージェントデバイスからEventLog Analyzerサーバーにアクセスできることを確認します。
  • レジストリ「Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\ZOHO Corp\EventLogAnalyzer\ServerInfo」に最新のサーバー情報が設定されているかを確認します。
  • サーバーとエージェント間の通信を、アンチウイルスソフトやファイアウォールがブロックしていないかを確認します。ブロックされている場合は、アンチウイルスソフトからEventLog Analyzerエージェントを除外するよう設定します。
  • EventLog Analyzerエージェントのサービスが実行されていることを確認します。実行されていない場合は、必要に応じて起動します。

注記:上記の点を確認しても問題が解決しない場合は、サポートにお問い合わせください。


トップに戻る


3. サーバー移行後にEventLog AnalyzerエージェントのServerInfoを更新する方法を教えてください。

サーバー移行後にEventLog AnalyzerエージェントでServerInfoを更新する方法


Windowsエージェント:

  • レジストリエディターを開き、「Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\ZOHO Corp\EventLogAnalyzer\」に移動します。
  • 「ServerInfo」を選択し、対応するフィールドに新しい「SeverIPAddress」と「ServerName」を入力します。
  • 最後に、EventLog Analyzerエージェントを再起動し、新しいサーバーとの接続を確立します。

Linuxエージェント:

  • 「/opt/ManageEngine/EventLogAnalyzer_Agent/conf/serverDetails」ファイルを開きます。
  • 対応するフィールドに、新しい「SERVER_NAME」と「SERVER_IPADDRESS」を入力します。
  • 最後に、EventLog Analyzerエージェントを再起動し、新しいサーバーとの接続を確立します。


トップに戻る


パフォーマンス

  1. パフォーマンスに関するトラブルシューティングを教えてください。
1. パフォーマンスに関するトラブルシューティングを教えてください。
  • EventLog AnalyzerのCPUサイクルを他のアプリケーションがブロックしていないか確認します。
  • 仮想マシンを使用している場合は、オーバープロビジョニングが行われていないか、またはスナップショットがパフォーマンスに影響を与えていないかを確認します。
  • ログ流量が高い場合は、Tuning Guideを確認します。

トップに戻る


STIX/TAXII

  1. 「接続に失敗しました。入力構成をチェックするか、プロキシサーバー構成を試行してください。」と表示されます。
  2. 「URLへの接続が失敗しました。」と表示されます。
  3. 「認証が失敗しました。」と表示されます。
1. 「接続に失敗しました。入力構成をチェックするか、プロキシサーバー構成を試行してください。」と表示されます。

本エラーメッセージは、様々な原因で発生する可能性があります。ネットワークの問題、プロキシ関連の問題、ネットワーク上の不正なリクエスト、または指定のURLがSTIX/TAXIIサーバーを見つけられない場合などが考えられます。


トップに戻る


2. 「URLへの接続が失敗しました。」と表示されます。

本エラーメッセージは、入力したURLの形式が正しくないことを示します。


トップに戻る


3. 「認証が失敗しました。」と表示されます。

本エラーメッセージは、入力した認証情報が間違っていることを示します。


トップに戻る


SSL

  1. 証明書名の不一致
  2. 無効な証明書
  3. 証明書がJVMによって信頼されていません
1. 証明書名の不一致

説明:本エラーは、SSL証明書のコモンネーム(共通名)が、EventLog Analyzerがインストールされているサーバーのホスト名と完全に一致しない場合に発生します。

対処法:EventLog Analyzerがインストールされているサーバーのホスト名に対応する新しいSSL証明書を取得します。


トップに戻る


2. 無効な証明書

説明:本エラーは、EventLog Analyzerで設定したSSL証明書が無効な場合に発生します。証明書は、有効期限切れなどの理由で無効になります。

対処法:EventLog Analyzerが有効なSSL証明書を使用するよう設定します。


トップに戻る


3. 証明書がJVMによって信頼されていません

説明:本例外は、EventLog AnalyzerでSMTPメールサーバーまたはWebサーバーをSSLで設定した際に、サーバーが自己署名証明書を使用している場合に発生します。EventLog Analyzerで使用されるJava Runtime Environmentは、明示的にインポートされない限り、自己署名証明書を信頼しません。

対処法:EventLog Analyzerで使用されるJREパッケージに、サーバーで使用されている自己署名証明書をインポートする必要があります。


ステップ1:証明書をダウンロード

SMTPサーバーの場合:

注記:SMTPサーバーで使用される証明書をダウンロードするには、OpenSSLがインストールされている必要があります。コマンドプロンプトを開き、OpenSSLがインストールされている場所のbinフォルダーに移動します。そして、以下のコマンドを実行します。

openssl.exe s_client -connect SMTPServer: Portno -starttls smtp > certificatename.cer
  • 例:openssl.exe s_client -connect smtp.gmail.com:587 -starttls smtp > gmailcert.cer

ウェブサーバーの場合:

  • ブラウザでURLを開きます。
  • アドレスバーのロックアイコンをクリックします。
  • 「詳細情報」をクリックします。Webサーバーで使用されている証明書を表示するウィンドウが開きます。
  • 「証明書を表示」をクリックします。
  • 「詳細」タブをクリックします。
  • 「ファイルにコピー」をクリックします。
  • 証明書エクスポート画面で「次へ」をクリックします。
  • フォーマットとしてDREエンコードバイナリX.509(.CER)を選択し、「次へ」をクリックします。
  • ファイルを保存するパスを入力し、「完了」をクリックします。

ステップ2:EventLog AnalyzerのJREパッケージに証明書をインポート

  • コマンドプロンプトを開き、\jre\binフォルダーに移動します。例:C:\ManageEngine\EventLogAnalyzer\jre\bin。
  • 以下のコマンドを実行します。
  • Keytool -importcert -alias myprivateroot -keystore ..\lib\security\cacerts -file
  • 例:Keytool -importcert -alias myprivateroot -keystore ..\lib\security\cacerts -file C:\smtpcert.cer
  • パスワードを求められたら「changeit」を入力します。
  • 「はい」または「いいえ」と表示されたら「y」を入力します。
  • コマンドプロンプトを閉じて、EventLog Analyzerを再起動します。

トップに戻る


脅威フィード

  1. IPジオロケーションデータの更新に失敗しました。
  2. IPジオロケーションデータストアが破損しています。
  3. デフォルト脅威の同期エラー
1. IPジオロケーションデータの更新に失敗しました。

データストアの更新中に製品のシャットダウンが行われ、バックアップが利用できない場合に発生する可能性があります。

トラブルシューティング

  • IP位置情報データの初回ダウンロード中に製品が突然シャットダウンした場合にのみ発生します。
  • EventLog Analyzerは次回のスケジュールでデータを自動的にダウンロードするため、トラブルシューティングは不要です。IP位置情報データは毎日21:00に自動的に更新されます。

トップに戻る


2. IPジオロケーションデータストアが破損しています。

EventLog Analyzerサーバーにインターネット接続がない場合、またはサーバーにアクセスできない場合に発生します。

トラブルシューティング

  • インターネット接続が正常に機能していることを確認します。
  • ファイアウォールで以下のURLをホワイトリストに追加します。
    • https://creator.zoho.com/
    • https://creatorapp.zohopublic.com/

トップに戻る


3. デフォルト脅威の同期エラー

EventLog Analyzerサーバーでネットワーク接続の問題が発生した場合に起こります。

トラブルシューティング

  • インターネット接続が正常に機能していることを確認します。
  • ファイアウォールで以下のURLをホワイトリストに追加します。
    • https://creator.zoho.com/
    • https://creatorapp.zohopublic.com/

トップに戻る


タイムゾーン

  1. Daylight Savings Time(DST)が実施されているにもかかわらず、製品がDSTに対応していない場合はどうすればよいですか?
1. Daylight Savings Time(DST)が実施されているにもかかわらず、製品がDSTに対応していない場合はどうすればよいですか?

製品に搭載されているJREが最新の変更に対応していない場合に発生します。

  • Oracleの公式サイトからJava SE TZUpdaterをダウンロードします。
    リンク:https://www.oracle.com/java/technologies/javase-tzupdater-downloads.html
  • <EventLog Analyzer_インストールディレクトリ>\jreフォルダーのバックアップを取得します。
  • ダウンロード後、tzupdater.jarファイルを解凍し、<EventLog Analyzer_インストールディレクトリ>\jre\binにコピーします。
  • EventLog Analyzerサービスを停止します。
  • 管理者権限でコマンドプロンプトを開き、<EventLog Analyzer_インストールディレクトリ>\jre\binに移動します。
  • 以下のコマンドを実行します。
  • java -jar tzupdater.jar -l <please select the latest time zone updater link from https://data.iana.org/time-zones/releases/>"

    例)

    java -jar tzupdater.jar -l https://data.iana.org/time-zones/releases/tzdata2023c.tar.gz

    注記

    オンラインアクセスが制限されている場合は、6.1および6.2を実施します。


    6.1:https://data.iana.org/time-zones/releases/から最新のタイムゾーン更新リンクを選択し、最新のタイムゾーンZipファイルをtar.gz形式でダウンロードします。


    6.2:コマンド「java -jar tzupdater.jar -l file:downloaded_timezone_data_zip.tar.gz」を実行します。


    例)

    java -jar tzupdater.jar -l file:"C:/ManageEngine/EventLog/jre/tzdata2023c.tar.gz"
  • EventLog Analyzerサービスを開始します。

トップに戻る


Elasticsearch

  1. Elasticsearchのデータパスにアクセスできません。
1. Elasticsearchのデータパスにアクセスできません。

Elasticsearchのデータパスとは?

Elasticsearchは、インデックスしたデータを書き込み、データストリームを「elasticsearch.yml」で指定されているdataディレクトリに出力します。データパス(dataディレクトリ)にアクセスできない場合、検索とインデックス作成が機能しません。

dataパスへの書き込みアクセスができない場合、以下の通知が表示されます。


トラブルシューティング

  • 「elasticsearch.yml」ファイルを開き、「path.data」を検索して値を確認します。elasticsearch.ymlファイルは、<インストールディレクトリ>\<EventLog Analyzerまたはelasticsearch>\ES\config\elasticsearch.ymlにあります。
  • EventLog Analyzerを実行しているサービスアカウントに対して、読み取り権限と書き込み権限の両方が有効になっていることを確認します。
  • パスがネットワーク上の場所である場合は、接続可否を確認し、EventLog Analyzerを実行しているマシンからネットワークパスにアクセスできることを確認します。サーバーとdataパス間で遅延の問題がないことを確認します。

トップに戻る