.png?width=180&height=32&name=NW%20Logo%20(2).png){kind=small}
NetWitness BrokerがConcentratorsまたはHybridsから集計されない場合について
Issue
Brokerが、 [表示] -> [構成] 画面で接続されたConcentratorサービスからの集計が停止され、未処理セッション数の増加が生じています。「サービスのオン/オフ」を切り替えたり、集計を再起動したりする対応もお役に立ちません。Cause
Brokerが集計を再開できるように、BrokerとダウンストリームのConcentratorsまたはBrokersとの間の接続を再確立する必要があります。
Resolution
- 管理UIにログインし、サービス画面を表示します。
- Brokerを選択 -> 表示 -> 構成 -> 全般 -> サービスの集計 -> ConcentratorまたはBrokerサービスを削除します。
- BrokerアプライアンスにSSH接続します。
- nwbrokerサービスを再起動します。
- systemctl status nwbroker を使って、Brokerサービスが実行されていることを確認します。
# systemctl stop nwbroker
# systemctl start nwbroker
# systemctl status nwbroker
# systemctl start nwbroker
# systemctl status nwbroker
- 管理UIにログインし、サービス -> Brokerを選択 -> 表示 -> 構成 -> 全般 -> サービスの集計 -> ConcentratorまたはBrokerサービスをもう一度追加してください。
- 上記対応後でも事象が解消されない場合には、NetWitnessサポートにお問い合わせください。
Notes
Brokerには実際のデータベースファイルがないため、Concentratorを削除してもデータが失われることはありません。また、Brokerがインデックスを再作成するのに数分かかり、その後すべてが正常に戻ります。本ナレッジの英語版は NetWitness Broker not Consuming from Concentrators/Hybridsとなりますので、ご参照ください。
Product Details
NetWitness Product Set: NetWitness PlatformNetWitness Product/Service Type: Broker
NetWitness Version/Condition: 11.x, 12.x
Platform: CentOS / AlmaLinux
OS Version: 7 / 8.9
Approval Reviewer Queue
Technical approval queue