トラブルシューティング


Log360の統合

1. サーバーがダウンしています。コンポーネントのサーバーが起動していることを確認してください。

本エラーは、統合しようとしているコンポーネント製品が起動していない場合に発生します。Log360に統合しようとしているコンポーネント製品がインストールされ、起動していることを確認してください。起動していない場合は、[スタート] → [すべてのプログラム] → [<XYZ>] → [<XYZ>の起動]をクリックしてください。「<XYZ>」はコンポーネント製品の名前です。


トラブルシューティングに戻る
2. 互換性のないコンポーネントです。コンポーネントのバージョンがLog360と互換性があるかどうかを確認してください。

本エラーは、統合しようとしているコンポーネント製品のバージョンが、Log360のバージョンでサポートされているバージョンより低い、または高い場合に発生します。コンポーネント製品またはLog360を最新バージョンに更新してください。


トラブルシューティングに戻る
3. サーバーの詳細が正しくありません。

入力したサーバーの詳細が別のコンポーネント製品であるか、無効です。入力した値が選択したコンポーネント製品であることを確認して、もう一度やり直してください。


トラブルシューティングに戻る
4. Log360のコンポーネント設定を更新してからお試しください。

以下を試してください。

  1. [管理]タブ → [管理] → [Log360の統合]に移動します。
  2. 修正するコンポーネント製品をクリックします。
  3. コンポーネント製品が起動しているサーバーのIPアドレスとポート番号を入力します。
  4. 接続プロトコルを選択します。
  5. コンポーネント製品のスーパー管理者の権限を持つアカウントの認証情報を入力します。
  6. [更新設定]をクリックします。

トラブルシューティングに戻る
5. 通信障害

製品に有効なSSL証明書が設定されており、SSL3.0が無効であることを確認してください。問題が解消しない場合は、弊社サポートまでお問い合わせください。


トラブルシューティングに戻る
6. 通信に失敗しました。ポートとプロトコルを確認してください。

以下を確認してください。

  • 統合しようとしているコンポーネント製品が稼働していること。
  • ファイアウォールがポート番号をブロックしていないこと。
  • 選択したプロトコルでコンポーネント製品が稼働していること。

問題が解消しない場合は、弊社サポートまでお問い合わせください。


トラブルシューティングに戻る
7. 無効なコンポーネントの詳細

本エラーは、環境に同じコンポーネント製品のインスタンスが2つ以上インストールされており、2番目のコンポーネント製品をLog360と統合しようとした場合に発生します。

  1. [管理]タブ → [管理] → [Log360の統合]に移動します。
  2. Log360と統合するコンポーネント製品を選択します。
  3. 新しいコンポーネント製品を追加する場合は、[削除]をクリックしてLog360から既存のコンポーネント製品を統合解除します。
  4. 統合するコンポーネント製品のサーバー名とポート番号、認証情報を入力し、[今すぐ統合]をクリックします。

トラブルシューティングに戻る
8. 無効なサーバーURL

入力したサーバーURLが正しいか確認してください。


トラブルシューティングに戻る
9. Log360とコンポーネント製品がサーバーの再起動後に自動的に起動しません。

製品サービスのスタートアップの種類で、「自動」ではなく「自動 (遅延開始)」を選択してください。


トラブルシューティングに戻る

ダッシュボード

1. 1つ以上のコンポーネント製品のダッシュボードを表示できません。

以下2つが、コンポーネントのダッシュボード表示が不可となっている理由の可能性があります。

  • コンポーネント製品の設定:Log360のダッシュボードを表示するには、コンポーネント製品をダウンロードしてインストールする必要があります。コンポーネント製品がインストールされ、Log360に統合された場合にのみ、ダッシュボードを表示できます。コンポーネント製品を既にインストールしている場合は、コンポーネント製品のホスト名とポート番号を変更した場合、Log360の管理設定の[Log360の統合]に変更が反映されていることを確認してください。コンポーネント製品のインストールとLog360への統合の詳細は、こちらのページを確認してください。
  • ドメインの選択:Log360では、異なるコンポーネント製品で異なるドメインを設定できます。異なるコンポーネント製品のダッシュボードビューを切り替える際は、コンポーネント製品で設定したドメインが選択されていることを確認してください。また、選択したドメインのダッシュボードを表示するために適切な認証情報でログインしていることを確認してください。

トラブルシューティングに戻る

製品設定

1. 他のアプリケーションで使用されていないHTTP ポート番号を入力してください。

説明:

本エラーは、HTTPSを有効化する際に発生する可能性があります。HTTPSを有効化しようとすると、Log360は選択したHTTPSポート番号に基づいて、HTTP用のポート番号を自動的に割り当てます。そして、新しいHTTPポート番号が他のアプリケーションで使用されている場合、本エラーが発生します。


解決策:

  1. エラーが表示されたら、HTTPを選択します。
  2. ポート番号を別のアプリケーションで使用されていないポート番号に変更します。
  3. HTTPSを選択します。
  4. [保存]をクリックします。

トラブルシューティングに戻る
2. Log360のヒープサイズ

Log360のパフォーマンスを高める効果的な方法は、ヒープサイズを増やすことです。

  1. Log360のインストールディレクトリに移動し、「<Log360>\conf」フォルダーに移動します。
  2. 「wrapper.conf」という名前の設定ファイルを開いて編集します。
  3. 設定ファイルには、初期ヒープサイズと最大ヒープサイズの設定があります。以下のように変更してください。
    • 初期Javaヒープサイズ:
      • 「wrapper.java.initmemory=1024」を見つけます。
      • 値をシステムに必要なサイズ(MB単位)に変更します。

    • 最大Javaヒープサイズ:
      • 「wrapper.java.maxmemory=1024」を見つけます。
      • 値をシステムに必要なサイズ(MB単位)に変更します。

  4. ヒープサイズを変更したら、ファイルを保存します。
  5. 新しいヒープサイズ設定を適用するには、Log360を再起動します。

注記:Log360が「C:\Program Files\」配下にインストールされている場合は、管理者権限が必要です。それ以外の場合は、関連ファイルへの書き込み権限を持つローカルアカウントでヒープサイズを変更できます。


トラブルシューティングに戻る

製品起動

1. Log360とコンポーネント製品をがサービスとしてインストールされているにもかかわらず、サーバーの再起動後に自動的に起動しません。

原因:

サーバーの起動時に発生する可能性のある特定の設定またはパフォーマンスの問題が原因である可能性があります。


解決策:

製品サービスのスタートアップの種類で、「自動」ではなく「自動 (遅延開始)」を選択することで解消するかを確認してください。


トラブルシューティングに戻る

検索エンジン管理

1. 起動の問題
  • 提供されたブートストラップ設定を確認してください。
  • JREバージョン:サポートされているJREバージョンは1.8以上で、JREはサーバーJVMである必要があります。
  • ファイルディスクリプタの数:Elasticsearchを実行するユーザーのオープンファイルディスクリプタ数の制限を65,536以上に増やしてください。.zipおよび.tar.gzパッケージの場合、 Elasticsearchを起動する前にrootとして「ulimit -n 65536」を設定するか、「/etc/security/limits.conf」で「nofile」を「65536」に設定してください。これはLinuxおよびmacOSにのみ適用されます。
  • 十分な仮想メモリを確保:Elasticsearchはデフォルトでインデックスの保存にmmapfsディレクトリを使用します。オペレーティングシステムのデフォルトのmmap数制限は低すぎる場合があり、メモリ不足の例外が発生する可能性があります。Linuxでは、root権限でコマンド「sysctl -w vm.max_map_count=262144」を実行することで制限を増やすことができます。
  • スワップを無効化:通常、Elasticsearchはマシン上で実行される唯一のサービスであり、メモリ使用量はJVMオプションによって制御されます。スワップを有効化する必要はありません。Linuxシステムでは「sudo swapoff -a」を実行することでスワップを一時的に無効にできます。Windowsでは、システムプロパティ → 詳細設定 → パフォーマンス → 詳細設定 → 仮想メモリでページングファイルを完全に無効化することで同等の効果を得られます。
  • 十分なスレッド数を確保:Elasticsearchは様々な種類の操作に多くのスレッドプールを使用します。必要に応じて新しいスレッドを作成できることが重要です。Elasticsearchユーザーが作成できるスレッド数が少なくとも4096であることを確認してください。これは、Elasticsearchを起動する前にrootとして「ulimit -u 4096」を設定するか、「/etc/security/limits.conf」で「nproc」を「4096」に設定することで実現できます。
  • JVM DNSキャッシュ設定:Elasticsearchはセキュリティマネージャーが実装された状態で動作します。セキュリティマネージャーが実装されている場合、JVMはデフォルトでホスト名の解決を無期限にキャッシュします。DNS解決が時間とともに変化する環境でElasticsearchノードがDNSに依存している場合は、デフォルトのJVM動作を変更することを検討してください。これは、Javaセキュリティポリシーに「networkaddress.cache.ttl=<timeout>」を追加することで変更できます。
  • ポートの可用性:Elasticsearchを実行するマシンでポート9322が使用可能であることを確認します。
  • <インストールディレクトリ>\EventLog Analyzer\ES\repoの共有:「<インストールディレクトリ>\EventLog Analyzer\ES\repo」フォルダーがLog360サーバーのサービスアカウントと共有されていることを確認してください。このフォルダは、Elasticsearchからスナップショットを作成し、アーカイブを保存するために使用されます。Log360サーバーがAD内にない場合は、このフォルダはオープン共有になります。そうでない場合は、ユーザーにフォルダーを共有する権限があることを確認し、以下の手順を実施してください。
    1. 「<インストールディレクトリ>\EventLog Analyzer\ES\repo」フォルダーをLog360サーバーと手動で共有します。
    2. 「<インストールディレクトリ>\EventLog Analyzer\ES\repo」ディレクトリの共有パスをコピーします。
    3. 「<インストールディレクトリ>\EventLog Analyzer\ES\config\dae.properties」ファイルに移動し、コピーしたパスを「node.repo.sharedlocation」の値として指定します。
    4. EventLog Analyzerサーバーを再起動します。

トラブルシューティングに戻る
2. Log360 Elasticsearchが接続されていません。

IPアドレスの設定を確認する

  1. コマンドプロンプトを開き、「ipconfig/ifconfig」を実行します。これにより、現在のIPアドレスを確認できます。
  2. 「<Log360_インストールディレクトリ>\..\elasticsearch\ES\config\dae.properties」ファイルを開きます。
  3. パラメーター「node.local.ip」の値を確認します。
  4. 手順1と同じIPアドレスでない場合は、パラメーター「allow_restart_on_ip_change」を「true」に更新します。これにより、Elasticsearchが新しいIPアドレスで再起動されます。

Elasticsearchが実行中かどうかを確認する

  • Elasticsearchが実行中かどうかを確認するには、以下のコマンドを実行します。
    • netstat -aon|findstr 9322| findstr LISTENING

トラブルシューティングに戻る
3. EventLog AnalyzerのElasticsearchが接続されていません。
  • EventLog Analyzerが起動しているかどうかを確認します。
  • Log360の統合画面でEventLog Analyzerの情報を更新します。
  • ファイアウォールがポート番号「9300-9400」をブロックしていないことを確認します。

トラブルシューティングに戻る
4. JREバージョンの互換性がありません。

Javaバージョンは1.8以上で、サーバーJVMである必要があります。


トラブルシューティングに戻る
5. インストールに失敗しました。

再起動が必要です。Elastiscsearchサービスは削除対象としてマークされており、システムは再起動後にサービスを削除します。


トラブルシューティングに戻る
6. サーバーネットワークにアクセスできないか、資格情報が正しくありません。

Log360サーバーがElasticsearchサーバーの管理共有にアクセスできることを確認してください。

参照:https://www.wintips.org/how-to-enable-admin-shares-windows-7/


トラブルシューティングに戻る
7. 共有パスにアクセスできません。
  • EventLog AnalyzerがインストールされているマシンがLog360マシンからアクセスできることを確認してください。
  • EventLog Analyzerを起動するユーザーに、フォルダーを共有するための適切な権限があることを確認してください。
  • フォルダーを手動で共有する場合は、以下の手順を実施します。
    1. 「<インストールディレクトリ>\EventLog Analyzer\ES\repo」フォルダーをLog360サーバーと手動で共有します。
    2. 「<インストールディレクトリ>\EventLog Analyzer\ES\repo」フォルダーの共有パスをコピーします。
    3. 「<インストールディレクトリ>\EventLog Analyzer\ES\config\dae.properties」ファイルに移動し、コピーしたパスを「node.repo.sharedlocation」の値として指定します。
    4. EventLog Analyzerサーバーを再起動します。

トラブルシューティングに戻る
8. ノードの削除に失敗しました。

別のノードが接続されていない場合は削除が失敗する可能性があるため、すべてのノードが接続されていることを確認してください。


トラブルシューティングに戻る
9. データパスにアクセスできません。

Elasticsearchデータパスとは?

Elasticsearchはインデックスしたデータをインデックスに書き込み、データを「elasticsearch.yml」で利用可能なデータディレクトリに書き込みます。データフォルダーのパスにアクセスできない場合、検索とインデックス作成は機能しません。

データパスに書き込みアクセスできない場合は、以下の通知が表示されます。

what-is-elasticsearch-data-path.png

トラブルシューティング

  1. 「elasticsearch.yml」ファイルを開き、「path.data」を検索して値を見つけます。elasticsearch.ymlファイルは、以下の場所にあります。
    • <Log360_インストールディレクトリ>\..\elasticsearch\ES\config\elasticsearch.yml
    • <インストールディレクトリ>\EventLog Analyzer\ES\config\elasticsearch.yml

  2. EventLog Analyzer/Log360を実行しているサービスアカウントに対して、読み取り権限と書き込み権限の両方が有効になっていることを確認します。
  3. パスがネットワーク上のパスである場合は、接続可能であることを確認し、EventLog Analyzer/Log360を実行しているマシンからネットワークパスにアクセスできることを確認してください。サーバーとリモートデータパスの間に遅延の問題がないことを確認してください。

トラブルシューティングに戻る