DNS故障排除
如果DNS事件源遇到错误,事件源图标将变成黄色警告或红色失败。将鼠标移到图标上将显示错误的详细信息。这类典型错误是无法连接到服务器、凭据错误或无法找到事件源中配置的文件或文件夹。
使用以下方法之一来帮助解决问题:
常见的解决方案
有时,DHCP和DNS事件源可能不会读取任何日志,即使它们没有显示警告或错误。在这种情况下,请尝试以下测试。
- 当您登录到运行InsightIDR采集器的机器时,是否可以连接到DHCP或DNS服务器文件共享?
- DHCP配置中的文件模式是否有拼写错误?如果文件模式错误,则目录中的任何文件都不会匹配。
- 深水救生艇。系统被设置为在服务器上按需启动?深水救生艇。Sys应该设置为按需启动。更多信息,请阅读这个链接:https://social.technet.microsoft.com/wiki/contents/articles/21104.best-practices-analyzer-srv-sys-should-be-set-to-start-on-demand.aspx
微软DNS日志文件有0字节
在某些情况下,当日志文件需要滚转时,旧文件无法删除,因为收集器已经打开了它。这里有一篇文章讨论了这个问题:https://nxlog.co/disappearing-windows-dns-debug-log..
临时修复此问题:
- 使用监视目录配置DNS事件源
- 可选地启用日志文件删除
错误:距离上次事件至少有120分钟了
DNS事件源有时会停止工作并产生上述错误。
但是,错误是false,因为dns日志没有停止记录。日志文件可以从收集器中打开,因此没有出现错误的明显原因。查看collector.log可能会显示以下错误:正在读取,请考虑增加扫描间隔
要修复此错误并允许收集器再次读取文件:
- 检查collector.log。从日志的底部开始向上查找DNS服务器名称,查找如下行:
文件读取:smb://DNSServerNameHere/ShareName/dnsdebug.log [176748106 -> 176837156, Bytes READ: 89050]
如果文件包含错误,则未读取日志的指示,或者“已在进度中读取”消息,按顺序完成以下操作:
- 确认防病毒软件没有锁定文件。日志所在的文件夹不应被防病毒软件扫描。
- 在DNS服务器上配置调试日志记录时,有一个选项可以在它“滚动”之前配置大文件大小。如果文件在滚动之前变得非常大,请减小日志文件的大小。
- 重新启动采集器/重新启动Rapid7采集器服务。
- 重新启动DNS Server服务。
- 重新启动DNS服务器。
- 删除事件源并重新创建它。
一旦日志对收集器可读,您就不需要完成任何额外的步骤。如果错误仍然存在,请联系Rapid7获得支持。
这个页面对你有帮助吗?