Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Journaux et notifications de source de journaux pour les appliances JSA

Une erreur s’est produite lors de la collecte des fichiers journaux

38750141 - Collecting the required support logs failed with errors. See System and License Manager.

Explication

Des erreurs ont été rencontrées lors de la collecte des fichiers journaux. La collecte du fichier journal a échoué.

Réponse de l’utilisateur

Pour afficher des informations sur la raison de l’échec de la collecte, procédez comme suit :

  1. Cliquez sur Gestionnaire de systèmes et de licences dans le message de notification.

  2. Développez Messages des activités d’assistance système.

  3. Affichez des informations supplémentaires sur les raisons de l’échec de la collecte de fichiers journaux.

Des extensions DSM coûteuses ont été trouvées

38750143 - Performance degradation was detected in the event pipeline. Expensive DSM extensions were found.

Explication

Une extension de source de journal est un fichier XML qui inclut tous les modèles d’expression régulière nécessaires pour identifier et catégoriser les événements à partir de la charge utile d’événements. Les extensions de source de journal peuvent être appelées extensions de périphérique dans les journaux d’erreurs et certaines notifications système.

Au cours du traitement normal, les extensions de source de journaux s’exécutent dans le pipeline d’événements. Les valeurs sont immédiatement disponibles pour le moteur de règles personnalisées (CRE) et sont stockées sur le disque.

Des expressions régulières (expressions régulières) mal formées peuvent entraîner le routage direct des événements vers le stockage.

Réponse de l’utilisateur

Sélectionnez l’une des options suivantes :

  • Désactivez toute extension DSM récemment installée.

  • Examinez la charge utile de la notification pour déterminer quelle extension DSM coûteuse dans le pipeline affecte les performances. Si possible, améliorez les instructions d’expression régulière associées à l’extension de périphérique.

    Par exemple, la charge utile suivante signale que le pipeline est bloqué par le DSM de point de contrôle :

  • Assurez-vous que l’extension de source de journal est appliquée uniquement aux sources de journal correctes.

    Dans l’onglet Admin , cliquez sur Configuration du système > Sources de données > Sources de journaux. Sélectionnez chaque source de journal et cliquez sur Modifier pour vérifier les détails de la source du journal.

  • Classez vos analyseurs de source de journal à partir des sources de journal avec le plus d’événements envoyés au moins et désactivez les analyseurs inutilisés.

  • Vérifiez que votre console est installée avec les dernières versions de DSM.

  • Si des sources de journaux sont créées pour des appareils qui ne se trouvent pas dans votre environnement, supprimez-les à l’aide de la commande suivante :

    /opt/qradar/bin/tatoggle.pl

    Si vous disposez de plusieurs processeurs d’événements, copiez le fichier /opt/qradar/conf/TrafficAnalysisConfig.xml dans le répertoire /store/configservices/staging/globalconfig/ . Dans l’onglet Admin , cliquez sur Déployer la configuration complète pour tous les hôtes gérés afin d’obtenir le fichier de configuration.

Les fichiers journaux ont été collectés avec succès

38750142 - The required support logs have been successfully collected. See System and License Manager.

Explication

Les fichiers journaux ont été collectés avec succès.

Réponse de l’utilisateur

Pour télécharger la collection de fichiers journaux, procédez comme suit :

  1. Cliquez sur Gestionnaire de systèmes et de licences dans le message de notification.

  2. Développez Messages des activités d’assistance système.

  3. Cliquez sur Cliquez ici pour télécharger le fichier.

Source du journal créée dans un état désactivé

38750071 - A Log Source has been created in the disabled state due to license limits.

Explication

L’analyse du trafic est un processus qui découvre et crée automatiquement des sources de journaux à partir d’événements. Si vous avez atteint la limite actuelle de votre licence de source de journal, le processus d’analyse du trafic peut créer la source de journal à l’état désactivé. Les sources de journaux désactivées ne collectent pas d’événements et ne sont pas prises en compte dans votre limite de sources de journaux.

Réponse de l’utilisateur

Passez en revue les options suivantes :

  • Dans l’onglet Admin , cliquez sur l’icône Sources de journaux et désactivez ou supprimez les sources de journaux de faible priorité. Les sources de journaux désactivées ne sont pas prises en compte dans votre licence de source de journaux.

  • Assurez-vous que les sources de journaux supprimées ne sont pas automatiquement redécouvertes. Vous pouvez désactiver la source du journal pour empêcher la découverte automatique.

  • Assurez-vous de ne pas dépasser votre limite de licence lorsque vous ajoutez des sources de journaux en masse.

  • Si vous avez besoin d’une licence étendue pour inclure davantage de sources de journaux, contactez votre représentant commercial.

Impossible de déterminer la source de journal associée

38750007 - Unable to automatically detect the associated log source for IP address <IP address>. Unable to automatically detect the associated log source for IP address.

Explication

Lorsque des événements sont envoyés à partir d’un périphérique non détecté ou non reconnu, le composant d’analyse du trafic a besoin d’un minimum de 25 événements pour identifier une source de journal.

Si la source du journal n’est pas identifiée après 1 000 événements, le système abandonne le processus de découverte automatique et génère la notification système. Le système catégorise ensuite la source du journal en tant que et étiquette les événements comme SIM Generic Unknown Event Log.

Réponse de l’utilisateur

Passez en revue les options suivantes :

  • Vérifiez l’adresse IP dans la notification système pour identifier la source du journal.

  • Passez en revue l’onglet Activité du journal pour déterminer le type d’appliance à partir de l’adresse IP indiquée dans le message de notification, puis créez manuellement une source de journal.

    Assurez-vous que le champ Identificateur de source du journal correspond au nom d’hôte dans l’en-tête syslog de la charge utile d’origine. Vérifiez que les événements apparaissent sur l’appareil en déployant les modifications et en effectuant une recherche sur la source de journal créée manuellement.

  • Passez en revue toutes les sources de journaux qui transfèrent des événements à faible débit. Les sources de journaux qui ont de faibles taux d’événements sont généralement à l’origine de cette notification.

  • Pour analyser correctement les événements de votre système, assurez-vous que la mise à jour automatique télécharge les derniers DSM.

  • Passez en revue toutes les sources de journaux qui fournissent des événements via un serveur de journaux central. Les sources de journaux fournies à partir de serveurs de journaux centraux ou de consoles de gestion peuvent nécessiter la création manuelle de leurs sources de journaux.

  • Vérifiez si la source du journal est officiellement prise en charge. Si votre appliance est prise en charge, créez manuellement une source de journal pour les événements et ajoutez une extension de source de journal.

  • Si votre appliance n’est pas officiellement prise en charge, créez un DSM universel pour identifier et catégoriser vos événements.

Documentation connexe