설치 및 구성: 문제 해결
[이는 Splunk Enterprise용 Recorded Future 앱 v4.0.x용입니다.]
문제 해결
앱에는 문제 해결에 도움이 될 수 있는 다양한 보고서가 있습니다.
| 보고서 이름 | 목적 |
|---|---|
| 앱의 모든 로그 | 이 보고서는 앱에서 생성된 모든 로그를 하나의 보기에 수집합니다. |
| 모든 위험 목록의 최신 업데이트 | 이 보고서에는 위험 목록이 마지막으로 업데이트된 모든 타임스탬프가 나열됩니다. |
| 앱 배포 검증 | This report displays the result of a number of tests and lookups that is performed when the report is run. |
How to use the reports
All logs from the App
The report lists all the events created by the app. The loglevel can adjusted in Configuration -> Global configuration under the Logging pane. Default is INFO but when troubleshooting it may be apropriate to increase the level to DEBUG.
A good starting place is to look for errors (loglevel ERROR). To facilitate searching it's possible to open the report in the search view (select "Open in Search" via the "Edit" button).
Latest updates of all risklists
This report lists all the risklists that have been retrieved successfully from Recorded Future. If a list is missing from the view this means that it has not been updated during the last 24 hours.
If it is necessary to expand the search period this can be done by opening the report in Search.
The update frequency of a risk list depends on how often it is regenerated on Recorded Future's system. The default risklists pre-configured by Recorded Future are updated at two different intervals:
- IP, 도메인 및 URL 위험 목록은 매시간 업데이트됩니다.
- 해시 및 취약성 위험 목록은 매일 업데이트됩니다.
보기에서 위험 목록이 누락된 경우 Fusion API에서 위험 목록을 찾을 수 있는지 확인해야 할 수 있습니다. 아래의 퓨전 파일 문제 해결을 참조하세요.
Validate app deployment
This report should be reviewed after app deployment to verify that the configuration works.
The built-in validator perform a number of tests and collect useful troubleshooting information. Normally only statuses of Ok or NA should be present. Investigate any Warning or Error, these will have useful suggestions for troubleshooting.
Other troubleshooting tips
Troubleshooting Fusion Files
Fusion files are used as risklists in the app. If a configured risklist fails to be retrieved this can be due to a number of reasons.
- If all risklists fail to update there's most likely an issue with network connectivity or the api key used. Run the "Validate app deployment" report.
-
Fusion 파일이 존재하지 않거나 철자가 틀렸을 수 있습니다.
인덱스=_* 소스 유형="tarecordedfuture :cyber:log" 오류 404 "파일 또는 디렉터리" 경로=*를 검색하여 확인할 수 있습니다.-
Fusion 파일 경로의 URL 인코딩 버전인 경로 필드를 확인합니다(예:
/home/custom.csv는%2Fhome%2Fcustom.cvs로표시됨). Fusion 파일에 해당하는지 확인합니다. - Ensure that the api key used by the app belongs to the correct enterprise in Recorded Future's system. With the exception of public Fusion files (paths starting with /public/) no Fusion files. are available outside of the Enterprise.
- Ensure that the Fusion Flow responsible for generating the Fusion file was successfully executed.
-
Fusion 파일 경로의 URL 인코딩 버전인 경로 필드를 확인합니다(예:
Further help
Your Recorded Future Intelligence Services consultant would be happy to help you with additional questions and advice. If you do not know who that is, you can also contact support@recordedfuture.com.
스플렁크 지원팀에 문의하지 마세요 "스플렁크 엔터프라이즈를 위한 기록된 미래".