راهنمای اشکال یابی
کاربرد
این راهنما برای اشکال یابی عدم دریافت رخدادها در سامانه کورلاگ پس از پیکربندی صحیح منابع تولید رخداد قابل استفاده می باشد.
با توجه به روش دریافت رخدادها در سامانه کورلاگ برای اشکال یابی دو حالت وجود دارد:
- اشکال یابی فیدر های Agent
- اشکال یابی فیدر های Syslog
که در ادامه به توضیح هریک میپردازیم.
اشکال یابی فیدر های Agent
عدم نمایش سیستم ویندوزی در Unapproved Devices
ابتدا از طریق SSH به کورلاگ وصل میشویم. (برای اینکار می توانید از ابزار Putty استفاده نمایید. این ابزار از آدرس Download PuTTY: latest release قابل دریافت می باشد)
پس از برقراری ارتباط SSH با کورلاگ در پنجره ظاهر شده گزینه System Tools & Maintenance را انتخاب شود.
سپس گزینه Monitor Received packets (TCPDump) را انتخاب شود.
سپس با انتخاب Interface Management و نوع پروتکل (TCP) و شماره پورت (3333) و وارد نمودن آدرس IP مورد نظر پکت هایی که در حال ارسال به سمت کورلاگ می باشند نمایش داده می شود که دو حالت زیر ممکن است اتفاق بیفتد.
عدم مشاهده پکت ها
در صورت عدم مشاهده پکت در این قسمت ممکن است فایروال ویندوز یا آنتی ویروس مانع ارسال Hello Packet ها شوند.
مشاهده پکت ها
در صورت مشاهده پکت هر یک از موارد زیر را یک بار امتحان میکنیم.
در محیط CLI کورلاگ با انتخاب گزینه های Restart Services > Restart Corelog Services
سرویس های Receiver Agent و Collector را Restart میکنیم.
در قسمت Services ویندوز بر روی سرویس Windows Power Manager رایت کلیک کرده و Go To Details را انتخاب میکنیم و سپس End Task میکنیم.
مشاهده نشدن Agent Profile ساخته شده در هنگام ست کردن Agent Profile
این مشکل زمانی به وجود می آید که هنگام ساخت Agent Profile ؛ کانکتور اضافه نشده و یا کانکتور اشتباه و نامربوط به سنسور اضافه شده است.(همچنین باید توجه شود که هنگام اضافه کردن کانکتور پروتکل آن حتما میبایست بر روی Clup باشد. )
خطاهای موجود در هنگام آپدیت Agent
ماندن در وضعیت It is trying to update agent : در این وضعیت اول با پیام Waiting for server to give feedback سپس با پیام It is trying to update agent مواجه شده ، در این مورد میبایست سرویس Controller بر روی ویندوز مورد نظرRestart شود.
مشاهده پیام Cannot detect profile id for device id —– : این پیام به این معنی میباشد که برای Agent مربوطه هیچگونه Agent Profile تنظیم نشده است.
Successfully installed agent (Unknown Version): این پیام نشان دهنده این است که Agent مربوطه به درستی نصب نشده و با بررسی مجدد موارد دیگر فرآیند نصب Agent میبایست دوباره انجام پذیرد. (اول میبایست تا 10 دقیقه صبر کرد. اگر همچنان ورژن Agent unknown بود و لاگ دریافت نمیشد، Agent را دوباره آپدیت مینمایید.)
اشکال یابی فیدر های Syslog
پیکربندی سامانه کورلاگ برای فیدرهای Syslog
مراحل انجام پیکربندی بر روی سامانه کورلاگ به شرح زیر می باشد:
ابتدا وارد CMDB → Devices → Unapproved → Un Approved Devices می شویم
در پنجره ظاهر شده باید آدرس دستگاهی که برای ارسال لاگ به سمت سامانه کورلاگ تنظیم شده قابل مشاهد باشد.
در صورت مشاهده نکردن دستگاه مورد نظر به بخش Troubleshooting Feeder مورد نظر مراجعه شود.
در کنسول Un Approved Devices بر روی Feeder مورد نظر راست کلیک کرده و گزینه Create New Device انتخاب می کنیم.
در پنجره ظاهر شده مشخصات ستاره دار و همچنین Parent Machine مشخص تکمیل می کنیم:
ORG Location : محل ساختمان
Geo Location : محل جغرافیایی
Device Group : دسته بندی های موجود در CMDB → All Devices
Critically : درجه اهمیت دیوایس
Hostname : نام دستگاه که میخواهیم در سامانه سامانه کورلاگ نمایش داده شود
Parent Machine : نام کالکتوری (سروری) که باید لاگها را از تجهیز دریافت کند.
حال Feeder باید از پنجره Unapproved Devices حذف شود و در قسمت Devices ظاهر شود.
در قسمت Devices دستگاه مورد نظر را انتخاب کرده و از پایین پنجره بخش Event Source گزینه NEW انتخاب را انتخاب می کنیم.
در پنجره ظاهر شده برای گزینه Event Source مقدار مناسب را انتخاب می کنیم و برای گزینه Access Method مقدار Syslog را انتخاب شود.
Alert Threshold مدت زمانی را مشخص می کند که در صورت عدم دریافت لاگ از آن Feeder، سامانه کورلاگ بصورت خودکار هشدار صادر می کند.
برای تست دریافت لاگ از یک دستگاه Syslog Base از طریق Telnet یا SSH با آن لاگین کرده و پس از وارد شدن به Enable Mode دستورات زیر را اجرا شود.
Configure Terminal
Logging Host 10.10.10.10
No Logging Host 10.10.10.10
در این حالت در بخش Event Source گزینهDuration به رنگ سبز در می آید و با Double Click بروی آن می توان لاگهای دریافت شده را مشاهده نمود. در این حالت پیکربندی Feeder با موفقیت به انجام رسیده است .
پس از تنظیم صحیح پیکربندی، در صورت قرمز ماندن سنسور Syslog در ادامه به اشکالات موجود می پردازیم.
نکته: موردی مشاهده گردید snapshot ماشین مجازی به حالت اول برگشت و مجددا کنترلر بر روی آن نصب گردید از قسمت un approve device دوباره device اضافه شد اما در تب agent وارد نشد که این مورد با پاک کردن کنترلر و نصب مجدد آن برطرف گردید.
قرمز ماندن ستون Duration در Feeder مورد نظر
در صورتیکه ستون Duration در Event Source به رنگ قرمز و شامل 3 عدد خط تیره باشد بدین معنی است که تا کنون لاگی از این Feeder دریافت نشده است.
اگر ستون Duration در Event Source به رنگ قرمز و شامل یک مقدار باشد بر روی آن Double Click کرده و در صورتیکه در تب All Raw Events لاگ های خام مشاهده شد یعنی لاگ ها دریافت می شود ولی پارس نمی شوند .
در صورتیکه ستون Duration در Event Source به رنگ قرمز و شامل 3 عدد خط تیره باشد بدین معنی است که تا کنون لاگی از این Feeder دریافت نشده است.
عدم دریافت لاگ دستگاه در سامانه کورلاگ
ابتدا از طریق یک ابزار SSH Client به سامانه کورلاگ وصل می شویم. (برای اینکار می توانید از ابزار Putty استفاده نمایید. این ابزار از آدرس http://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html قابل دریافت می باشد)
پس از برقراری ارتباط SSH با سامانه سامانه کورلاگ در پنجره ظاهر شده باید با نام کاربری پیش فرض corelog و کلمه عبور c0rel0g لاگین نمایید و سپس System Tools & Maintenance با وارد کردن شماره مربوط به آن انتخاب شود
سپس گزینه Monitor Recived Packts (TCPDump) را انتخاب شود.
سپس با انتخاب Interface Management و نوع پروتکل (UDP) و شماره پورت (514) و وارد نمودن آدرس IP مورد نظر لاگ های Feederی که در حال ارسال لاگ می باشد نمایش داده می شود. حال اگر لاگی دریافت شود مطمئن می شویم که پیکربندی Feeder درست بوده و ارتباط شبکه ای درست است و اگر آدرس Feeder در ماژول CMDB بخش Unapproved Device مشاهده نمی شود یک بار آن را Refresh نمایید و یا با فشردن کلید Ctrl+F5 مروگر را Refresh نمایید.
