Installieren und Konfigurieren: Fehlerbehebung
[Dies gilt für v4.0.x der Recorded Future App für Splunk Enterprise]
Fehlerbehebung
In der App sind eine Reihe von Berichten verfügbar, die bei der Fehlerbehebung helfen können.
| Name des Berichts | Zweck |
|---|---|
| Alle Protokolle aus der App | In diesem Bericht werden alle von der App erstellten Protokolle in einer Ansicht gesammelt. |
| Aktuelle Aktualisierungen aller Risikolisten | Dieser Bericht listet alle Zeitstempel auf, wann eine Risikoliste zuletzt aktualisiert wurde. |
| Überprüfen der App-Bereitstellung | In diesem Bericht werden die Ergebnisse einer Reihe von Tests und Suchvorgängen angezeigt, die beim Ausführen des Berichts ausgeführt werden. |
So verwenden Sie die Berichte
Alle Protokolle aus der App
Der Bericht listet alle Ereignisse auf, die von der App erstellt wurden. Der Loglevel kann unter Konfiguration -> Globale Konfiguration im Bereich Logging angepasst werden. Der Standardwert ist INFO, aber bei der Fehlerbehebung kann es angebracht sein, die Stufe auf DEBUG zu erhöhen.
Ein guter Ausgangspunkt ist die Suche nach Fehlern (loglevel ERROR). Um die Suche zu erleichtern, ist es möglich, den Bericht in der Suchansicht zu öffnen (wählen Sie "In der Suche öffnen" über die Schaltfläche "Bearbeiten").
Aktuelle Aktualisierungen aller Risikolisten
Dieser Bericht listet alle Risikolisten auf, die erfolgreich aus Recorded Future abgerufen wurden. Wenn eine Liste in der Ansicht fehlt, bedeutet dies, dass sie in den letzten 24 Stunden nicht aktualisiert wurde.
Wenn es notwendig ist, den Suchzeitraum zu erweitern, kann dies durch Öffnen des Berichts in der Suche erfolgen.
Die Aktualisierungshäufigkeit einer Risikoliste hängt davon ab, wie oft sie auf dem System von Recorded Future neu generiert wird. Die von Recorded Future vorkonfigurierten Standard-Risikolisten werden in zwei verschiedenen Intervallen aktualisiert:
- IP-, Domain- und URL-Risikolisten werden stündlich aktualisiert
- Hash- und Schwachstellen-Risikolisten werden täglich aktualisiert
Wenn eine Risikoliste in der Ansicht fehlt, kann es notwendig sein, zu prüfen, ob sie in der Fusion-API zu finden ist. Weitere Informationen finden Sie unter Fehlerbehebung bei Fusion-Dateien weiter unten.
Überprüfen der App-Bereitstellung
Dieser Bericht sollte nach der App-Bereitstellung überprüft werden, um sicherzustellen, dass die Konfiguration funktioniert.
Der eingebaute Validator führt eine Reihe von Tests durch und sammelt nützliche Informationen zur Fehlerbehebung. Normalerweise sollten nur die Status Ok oder NA vorhanden sein. Untersuchen Sie jede Warnung oder jeden Fehler, diese enthalten nützliche Vorschläge zur Fehlerbehebung.
Weitere Tipps zur Fehlerbehebung
Fehlerbehebung bei Fusion-Dateien
Fusion-Dateien werden als Risikolisten in der App verwendet. Wenn eine konfigurierte Risikoliste nicht abgerufen werden kann, kann dies verschiedene Gründe haben.
- Wenn nicht alle Risikolisten aktualisiert werden können, liegt höchstwahrscheinlich ein Problem mit der Netzwerkverbindung oder dem verwendeten API-Schlüssel vor. Führen Sie den Bericht "App-Bereitstellung überprüfen" aus.
-
Die Fusion-Datei existiert möglicherweise nicht, oder sie wurde falsch geschrieben. Dies kann durch die folgende Suche überprüft werden:
index=_* sourcetype="tarecordedfuture:cyber:log" ERROR 404 "File or directory" path=*-
Schauen Sie sich das Pfadfeld an, das die URL-kodierte Version des Fusion-Dateipfads ist (ex
/home/custom.csvliest%2Fhome%2Fcustom.cvs). Stellen Sie sicher, dass es sich um eine Fusion-Datei handelt. - Stellen Sie sicher, dass der von der App verwendete API-Schlüssel zum richtigen Unternehmen im System von Recorded Future gehört. Mit Ausnahme von öffentlichen Fusion-Dateien (Pfade, die mit /public/ beginnen) keine Fusion-Dateien. außerhalb des Unternehmens verfügbar sind.
- Stellen Sie sicher, dass der Fusion Flow, der für die Generierung der Fusion-Datei verantwortlich ist, erfolgreich ausgeführt wurde.
-
Schauen Sie sich das Pfadfeld an, das die URL-kodierte Version des Fusion-Dateipfads ist (ex
Weitere Hilfe
Ihr Berater von Recorded Future Intelligence Services steht Ihnen gerne bei weiteren Fragen und Ratschlägen zur Verfügung. Wenn Sie nicht wissen, wer das ist, können Sie sich auch an [email protected] wenden.
Bitte wenden Sie sich nicht an den Splunk-Support bezüglich "Recorded Future for Splunk Enterprise".