[これは Splunk Enterprise の Recorded Future アプリの v4.0.x 用です]

トラブルシューティング

アプリにはトラブルシューティングに役立つレポートが多数用意されています。

レポートの使い方

アプリからのすべてのログ

レポートには、アプリによって作成されたすべてのイベントがリストされます。ログレベルは、[設定] -> [グローバル設定] の [ログ記録] ペインで調整できます。 デフォルトは INFO ですが、トラブルシューティングを行う場合はレベルを DEBUG に上げることが適切な場合があります。

良い出発点は、エラー (ログレベル ERROR) を探すことです。検索を容易にするために、レポートを検索ビューで開くことができます (「編集」ボタンから「検索で開く」を選択します)。

すべてのリスクリストの最新更新

このレポートには、Recorded Future から正常に取得されたすべてのリスクリストがリストされます。ビューにリストが表示されない場合は、過去 24 時間以内に更新されていないことを意味します。

検索期間を拡張する必要がある場合は、検索でレポートを開いて拡張できます。

リスク リストの更新頻度は、Recorded Future のシステムでリスク リストが再生成される頻度によって異なります。Recorded Future によって事前設定されたデフォルトのリスクリストは、次の 2 つの異なる間隔で更新されます。

• IP、ドメイン、URLのリスクリストは1時間ごとに更新されます
• ハッシュとVulnerabilityリスクリストは毎日更新されます

ビューにリスクリストが表示されない場合は、Fusion API で見つけられるかどうかを確認する必要がある場合があります。以下のFusion ファイルのトラブルシューティングを参照してください。

アプリの展開を検証する

このレポートは、アプリの展開後に確認して、構成が機能していることを確認する必要があります。

組み込みのバリデーターは、さまざまなテストを実行し、役立つトラブルシューティング情報を収集します。通常は、Ok または NA のステータスのみが表示されます。警告やエラーを調査すると、トラブルシューティングに役立つ提案が得られます。

その他のトラブルシューティングのヒント

Fusion ファイルのトラブルシューティング

Fusion ファイルはアプリ内のリスクリストとして使用されます。構成されたリスクリストを取得できない場合、いくつかの理由が考えられます。

1. すべてのリスクリストが更新されない場合は、ネットワーク接続または使用されている API キーに問題がある可能性が高くなります。「アプリの展開の検証」レポートを実行します。
2. Fusion ファイルが存在しないか、スペルが間違っている可能性があります。これは、次の検索を実行することで確認できます: index=_* sourcetype="tarecordedfuture:cyber:log" ERROR 404 "File or directory" path=*
   1. Fusion ファイル パスの URL エンコード バージョンであるパス フィールドを確認します (例: /home/custom.csvは%2Fhome% 2Fcustom.cvsになります)。これが Fusion ファイルに対応していることを確認します。
   2. アプリで使用される API キーが、Recorded Future のシステム内の正しいエンタープライズに属していることを確認します。パブリック Fusion ファイル (/public/ で始まるパス) を除き、Fusion ファイルはありません。エンタープライズ外でも利用可能です。
   3. Fusion ファイルの生成を担当する Fusion Flow が正常に実行されたことを確認します。

さらに詳しい情報

さらにご質問やアドバイスがありましたら、Recorded Future Intelligence Services のコンサルタントが喜んでお手伝いいたします。相手が誰なのか分からない場合は、support@recordedfuture.com までお問い合わせください。

「Recorded Future for Splunk Enterprise」については Splunk サポートに問い合わせないでください。