Fehlerbehebung
Die Arten von Problemen im Zusammenhang mit der Recorded Future App für Splunk lassen sich in drei Kategorien einteilen. Die Recorded Future App enthält drei Berichte, einen für jede Kategorie, um die Fehlerbehebung zu unterstützen:
Kategorie | Name des Berichts | Zweck |
Anmeldeinformationen/Netzwerk | Überprüfen der App-Bereitstellung | In diesem Bericht werden die Ergebnisse einer Reihe von Tests und Suchvorgängen angezeigt, die beim Ausführen des Berichts ausgeführt werden. |
Download der Risikoliste/Häufigkeit | Neueste Aktualisierungen aller Risikolisten | Dieser Bericht zeigt die letzten 5 Aktualisierungen der Risikoliste. |
Andere | Alle Protokolle aus der App | In diesem Bericht werden alle von der App erstellten Protokolle in einer Ansicht angezeigt. |
So verwenden Sie die Berichte
Überprüfen der Konfiguration/Netzwerkkonnektivität
Führen Sie den Bericht Validate App Deployment aus , wenn die aufgezeichnete zukünftige App für Splunk bereitgestellt und konfiguriert wurde, oder als ersten Schritt während der Fehlerbehebung. Der eingebaute Validator führt eine Reihe von Tests durch und sammelt nützliche Informationen zur Fehlerbehebung. "Ok" und "NA" zeigen an, dass die Konnektivität/Einrichtung der App funktioniert, so dass alles andere, d. h. "Warnung" oder "Fehler", untersucht werden sollte.
Überprüfen, ob Risikolisten korrekt heruntergeladen wurden
Die aufgezeichneten zukünftigen Risikolisten sind über die API für aufgezeichnete zukünftige Risiken verfügbar. Der Bericht "Letzte Aktualisierung aller Risikolisten" zeigt alle Risikolisten an, die erfolgreich heruntergeladen wurden. Wir speichern die Zeitstempel der letzten 5 erfolgreichen Downloads. Alle Risikolisten, die nicht im Bericht angezeigt werden, wurden noch nie erfolgreich heruntergeladen.
Die empfohlene Aktualisierungshäufigkeit der aufgezeichneten zukünftigen Risikolisten hängt davon ab, wie oft sie aktualisiert werden. Den aktuellen Zeitplan finden Sie auf der Website Recorded Future Support.
Es gibt mehrere Probleme, die sich auf das Herunterladen einer Risikoliste auswirken können. Befolgen Sie die folgende Anleitung, um Probleme mit Risikolisten zu beheben, die nicht wie erwartet aktualisiert werden:
- Wenn nicht alle Risikolisten aktualisiert werden, liegt wahrscheinlich ein Problem mit der Netzwerkkonnektivität oder dem verwendeten API-Token vor. Führen Sie den oben beschriebenen Bericht App-Bereitstellung überprüfen aus.
- Überprüfen Sie, ob die Konfiguration das richtige Intervall für Updates auf der Konfigurationsseite angibt.
- Der Fusionspfad existiert möglicherweise nicht oder wurde falsch geschrieben. Dies kann durch die folgende Suche überprüft werden: index=_* sourcetype="tarecordedfuture:cyber:log" FEHLER 404 "Datei oder Verzeichnis" path=*
- Überprüfen Sie, ob das Pfadfeld einer Fusion-Datei entspricht. Beachten Sie, dass es URL-kodiert ist, was bedeutet, dass der Fusion-Dateipfad /home/custom.csv %2Fhome%2Fcustom.csv liest.
- Stellen Sie sicher, dass das von der App verwendete API-Token für die aufgezeichnete Zukunft zum richtigen Unternehmen im System von Recorded Future gehört. Mit Ausnahme von öffentlichen Fusion-Dateien (Pfade, die mit /public/ beginnen) sind keine Fusion-Dateien außerhalb des Unternehmens verfügbar, dem sie gehören.
- Stellen Sie sicher, dass der Fusion Flow, der für die Generierung der Fusion-Datei verantwortlich ist, erfolgreich ausgeführt wurde.
- Die Recorded Future App aktualisiert keine Risikoliste, die seit dem letzten Download nicht geändert wurde. Um zu überprüfen, wann die Fusionsdatei zuletzt geändert wurde, verwenden Sie die HEAD-Methode, um den Zeitstempel zu überprüfen. * braucht Hilfe!*
Sonstige Probleme
Der Bericht "Alle Protokolle aus der App" listet alle Ereignisse auf, die von der App erstellt wurden. Der Log-Level kann auf der Seite Konfiguration angepasst werden. Der Standardwert ist INFO, aber bei der Fehlerbehebung kann es angebracht sein, die Stufe auf DEBUG zu erhöhen.
Ein guter Ausgangspunkt ist die Suche nach Fehlern (loglevel ERROR). Der Bericht kann in der Suchansicht geöffnet werden: Wählen Sie über die Schaltfläche Bearbeiten die Option In der Suche öffnen.
Ansprechen eines Problems mit Recorded Future
Wenn Sie ein Problem an Recorded Future melden, generiert das folgende Verfahren einen guten Satz von Informationen für die weitere Analyse:
- Kurze Zusammenfassung des Problems: Was passiert oder nicht? Geschieht dies ständig oder ist es intermittierend oder auf eine Teilmenge von Entitäten beschränkt?
- Erstellen Sie Screenshots, die die Ergebnisse der Berichte "App-Bereitstellung überprüfen" und "Neueste Aktualisierung aller Risikolisten" zeigen.
- Erhöhen Sie die Protokollebene auf DEBUG
- Lösen Sie das Problem aus.
- Notieren Sie sich das Datum und die Uhrzeit, zu der das Problem ausgelöst wurde.
- Führen Sie den Report "Alle Protokolle aus der App" aus und exportieren Sie die Ergebnisse als CSV-Datei.
Weitere Hilfe
Die "Recorded Future App for Splunk" wurde von Recorded Future entwickelt.
Weitere Informationen und Support finden Sie auf unserer Support-Website: support.recordedfuture.com