مشاوره رایگان

Inspector Services Tshoot

خطایابی سرویس Inspector و رخداد های PullBase

آشنایی با رخداد های PullBase و سرویس Inspector

آشنایی با روش های ارسال و دریافت رخدادها می تواند مدیر سامانه را در پیکربندی بهتر سامانه یاری نماید. همانطور که میدانید بطور کلی دو روش برای دریافت رخدادها وجود دارد:

  • روش PushBase که در آن منبع رخداد مورد نظر رخدادهای خود را به سمت سامانه کورلاگ ارسال می کند. Deviceهایی که از پروتکل هایی مانند Syslog ،Netflow و SNMP Trap استفاده می کنند از این دسته می باشند.
  • روش PullBase که در آن سامانه کورلاگ با برقراری ارتباط با منبع رخداد نسبت به واکشی رخدادها از آن اقدام می کند.  MS SQL ،Vmware و McAfee از این دسته اند.

پس از ارسال رخداد توسط سنسور، سامانه کورلاگ برای پردازش رخداد ها بطور کلی از دو سرویس استفاده می نماید:

  • سرویس Inspector برای دریافت رخدادها از طریق روش PullBase استفاده می شود.
  • سرویس Receiver برای دریافت رخدادها از طریق روش PushBase استفاده می شود.

همچنین برای دریافت رخداد ها به روش PullBase نیاز است تا دسترسی های مانند پورت های 443، 1433 و … از سامانه کورلاگ به سمت سنسور موردنظر باز باشد تا سرویس Inspector از طریق این دسترسی روی سنسور مربوطه کوئری زده و رخداد ها را واکشی نماید.

برای اطلاعات بیشتر سند زیر را مطالعه نمایید:

CMDB

لذا برای بررسی و خطایابی رخداد های مربوط به سنسور های PullBase باید سرویس Inspector را مانیتور و بررسی نماییم.

در ادامه  ابتدا مراحل بررسی به صورت کلی ذکر می گردد و سپس تعدادی از مشکلات متداول ارائه می گردد:

عدم دریافت رخداد از سنسور دارای کردنشیال و خطایابی آن

جهت بررسی این موضوع به صورت کلی و بدون توجه به منبع رخداد، مراحل زیر را دنبال نمایید.

  1. بررسی و اطمینان از کردنشیال تنظیم شده روی سنسور
  2. بررسی ارتباط شبکه و باز بودن پورت های موردنیاز با توجه به نوع سنسور
  3. بررسی و مانیتور رخداد های Inspector از طریق CLI سامانه کورلاگ
  4. پیگیری و تلاش برای رفع خطاهای مشاهده شده
  5. بررسی و مانیتور رخداد ها ActionRunner در مواقع خاص

عدم دریافت رخداد از سنسور ESXI & Vcenter و خطایابی آن

این موضوع به طور کامل در سند زیر بررسی شده است.

ESXI & Vcenter Tshoot

دریافت رخداد از سنسور PullBase و با تاریخ DeviceTime قدیمی

توجه

راهکاری که در ادامه ارائه می گردد، شامل از دست رفتن رخداد ها می باشد. خواهشمند است پیش از اعمال این راهکار، به این موضوع توجه فرمایید.

فرض کنید دسترسی کورلاگ به سنسور مورد نظر برای مدتی قطع شده باشد. پس از پیگیری و رفع مشکل دسترسی مجدد برقرار می شود. رخداد های دریافتی دارای RecieveTime زمان حاضر و DeviceTime قدیمی می باشند.

جهت بررسی علت موضوع، سرویس Inspector مخصوصا در خصوص واکشی دیتا از دیتابیس ها، آخرین زمان دریافت رخداد را ذخیره می نماید و به محض برقراری مجدد دسترسی رخداد ها را از همان زمان واکشی می نماید.

لذا فرض کنید دسترسی برای چند روز قطع باشد. رخداد ها به مرور از چند روز قبل دریافت می شوند تا به مرور به زمان حاضر برسند.

در برخی مواقع حجم دیتای دریافتی زیاد است و نیاز است تا به صورت فوری رخداد ها به حال حاضر برگردند. برای این موضوع راهکار زیر پیشنهاد می گردد. لازم به ذکر است در این روش رخداد های مدت زمان قطعی از دست می رود (Data Lost).

در صورتی که به هر علتی نباید داده ها از دست برود میبایست صبر کنید تا تمام رخداد ها از زمان قطعی تا زمان حال حاضر توسط سرویس Inspector دریافت گردد.

راهکار: برای این موضوع نیاز است تا یکبار سنسور یا EventSource مربوطه از طریق CMDB حذف و مجددا ایجاد گردد.

برای این موضوع به سند راهنمای CMDB و سند راهنمای پیکربندی سنسور موردنظر خود مراجعه نمایید

درخواست مشاوره رایگان

تیم فروش و کارشناسان فنی بهین راهکار در اسرع وقت با شما تماس خواهند گرفت

در مسیر امنیت، هر قدم کنار شما هستیم

درخواست دمو

تیم فروش و کارشناسان فنی بهین راهکار در اسرع وقت با شما تماس خواهند گرفت تا دموی شخصی‌سازی‌شده مطابق نیازهای سازمان شما را ارائه دهند.

در مسیر امنیت، هر قدم کنار شما هستیم