설치 및 구성: 문제 해결
[이는 Splunk Enterprise용 Recorded Future 앱 v4.0.x용입니다.]
문제 해결
앱에는 문제 해결에 도움이 될 수 있는 다양한 보고서가 있습니다.
보고서 이름 | 목적 |
---|---|
앱의 모든 로그 | 이 보고서는 앱에서 생성된 모든 로그를 하나의 보기에 수집합니다. |
모든 위험 목록의 최신 업데이트 | 이 보고서에는 위험 목록이 마지막으로 업데이트된 모든 타임스탬프가 나열됩니다. |
앱 배포 검증 | 이 보고서에는 보고서 실행 시 수행되는 여러 가지 테스트 및 조회 결과가 표시됩니다. |
보고서 사용 방법
앱의 모든 로그
보고서에는 앱에서 생성된 모든 이벤트가 나열됩니다. 로깅 수준은 로깅 창 아래의 구성 -> 글로벌 구성에서 조정할 수 있습니다. 기본값은 정보이지만 문제를 해결할 때는 DEBUG로 수준을 높이는 것이 적절할 수 있습니다.
좋은 시작점은 오류(로글 레벨 오류)를 찾는 것입니다. 검색을 용이하게 하기 위해 검색 보기에서 보고서를 열 수 있습니다( "수정" 버튼을 통해 "검색에서 열기" 선택).
모든 위험 목록의 최신 업데이트
이 보고서에는 레코딩된 미래에서 성공적으로 검색된 모든 위험 목록이 나열되어 있습니다. 보기에서 목록이 누락된 경우 지난 24시간 동안 업데이트되지 않았다는 의미입니다.
검색 기간을 연장해야 하는 경우 검색에서 보고서를 열면 됩니다.
위험 목록의 업데이트 빈도는 레코디드 퓨처의 시스템에서 얼마나 자주 재생성되는지에 따라 달라집니다. 레코딩된 미래에서 미리 구성한 기본 위험 목록은 두 가지 다른 간격으로 업데이트됩니다:
- IP, 도메인 및 URL 위험 목록은 매시간 업데이트됩니다.
- 해시 및 취약성 위험 목록은 매일 업데이트됩니다.
보기에서 위험 목록이 누락된 경우 Fusion API에서 위험 목록을 찾을 수 있는지 확인해야 할 수 있습니다. 아래의 퓨전 파일 문제 해결을 참조하세요.
앱 배포 검증
앱 배포 후 이 보고서를 검토하여 구성이 제대로 작동하는지 확인해야 합니다.
기본 제공 유효성 검사기는 여러 가지 테스트를 수행하고 유용한 문제 해결 정보를 수집합니다. 일반적으로 확인 또는 NA 상태만 표시되어야 합니다. 경고 또는 오류를 조사하면 문제 해결을 위한 유용한 제안이 있습니다.
기타 문제 해결 팁
퓨전 파일 문제 해결
퓨전 파일은 앱에서 위험 목록으로 사용됩니다. 구성된 위험 목록을 검색하지 못하는 경우 여러 가지 이유가 있을 수 있습니다.
- 모든 위험 목록이 업데이트되지 않는다면 네트워크 연결 또는 사용된 API 키에 문제가 있을 가능성이 높습니다. "앱 배포 유효성 검사" 보고서를 실행합니다.
-
Fusion 파일이 존재하지 않거나 철자가 틀렸을 수 있습니다.
인덱스=_* 소스 유형="
tarecordedfuture :cyber:log" 오류 404 "파일 또는 디렉터리" 경로=*를 검색하여 확인할 수 있습니다.-
Fusion 파일 경로의 URL 인코딩 버전인 경로 필드를 확인합니다(예:
/home/custom.csv는
%2Fhome%2Fcustom.cvs로
표시됨). Fusion 파일에 해당하는지 확인합니다. - 앱에서 사용하는 API 키가 레코디드 퓨처의 시스템에서 올바른 기업에 속해 있는지 확인합니다. 공개 Fusion 파일(/public/로 시작하는 경로)을 제외하고는 Fusion 파일을 사용할 수 없습니다. 엔터프라이즈 외부에서 사용할 수 있습니다.
- 퓨전 파일 생성을 담당하는 퓨전 흐름이 성공적으로 실행되었는지 확인합니다.
-
Fusion 파일 경로의 URL 인코딩 버전인 경로 필드를 확인합니다(예:
추가 도움말
레코딩된 미래 정보 서비스 컨설턴트가 추가 질문과 조언에 대해 기꺼이 도와드릴 것입니다. 누군지 모르는 경우 [email protected]으로 문의하실 수도 있습니다.
스플렁크 지원팀에 문의하지 마세요 "스플렁크 엔터프라이즈를 위한 기록된 미래".