Support Training Part I

Support Training Part I

 

  • Platform review.

  • System Monitor.

  • Data Processor.

  • Data Indexer.

  • AI Engine.

  • Platform Manager and Services.

  • Web Console.

  • Client Console.

Capítulo I. Logrhythm components review

logrhythm components review

- System Monitor (SysMon)

- Data Processor (DP)

  • Mediator Server
  • Message Processing Engine (MPE)

- Data Indexer

 

- Advanced Intelligence Engine (AI Engine)

- Platform Manager (PM)

- Web Console

- Client Console

platform review

system monitors

  • Responsable de toda la colección de logs.
  • Colección local o remoto.
  • Varios Sistemas Operativos
  • Varios dispositivos, servidores, bases de datos, aplicaciones, actividad de host.
  • Licencias Lite y PRO.
  • Licencias PRO agregan caracteristicas como FIM y RIM

 

system monitor configuration policy

Tools - Administration - System Monitor Configuration Policy Manager

system requirement for system monitor

Requerimientos mínimos:

data processor - dp

  • System Monitors envian los log hacia el Data Processor
  • Un Data Processor, muchos Agentes.
  • Un Agente solo reporta hacia un DP a la vez.
  • Un DP puede existir en el mismo lugar que un PM

 

log data is forwarded

data processor services

Mediator, maneja la comunicación con los SysMon:

  • Autenticación.
  • Recibe los logs.
  • Envia señales de Shut down y Failover.

Message Processing Engine (MPE),  es un componente del Mediator Service

  • Procesa y compara logs contra los MPE Rules.
  • Identificar Logs.
  • Clasificar Logs.
  • Procesar Eventos.
  • Procesar Metadatos

message processing engine tasks

data indexer - dx

  • DX, almacena el log en crudo y el log estructurado (metadatos).
  • Logs almacenados hasta alcanzar el 80% del espacio en disco.
  • GoMantain, elmina índices antiguos.

 

DX, puede ser instalado en:

  • Windows Server 2012 R2
  • Windows Server 2016
  • CentOs  Linux 7.x Minimal
  • En Windows únicamente dentro de un XM (all in one appliance)
  • En Linux puede ser instalado un solo  nodo o en cluster de 3 hasta 10 nodos

advanced intellilgence engine -aie

  • Análisis avanzado.
  • Correlación
  • Reconocimiento de patrones.
  • Análisis de comportamiento.

No se limita a procesar Eventos, recibe todos los logs identificados por el DP.

platform manager - pm

  • Componente central de LogRhythm.
  • Solo hay un PM por deployment.
  • En deployment pequeños, comparte lugar con el Data Processor, en deployments grandes, debe estar en un appliance dedicado para él.
  • Actua como repositorio de eventos, configuraciones, licenciamiento, Knowledge Base, LogMart.

platform manager data bases

platform manager services

ARM notification types:

platform manager services

Job Manager

platform manager services

web console

  • Herramienta para análisis.
  • Ver Reporte, Alarmas, Eventos.
  • Hacer busquedas estructuradas y no estructuradas.
  • Stand alone.
  • Puede estar junto al PM.
  • Puede vivir en un appliance dedicado.
  • Elasticsearch, Lucene, HTML5

client console

  • Punto de acceso para el Platform Manager.
  • Usado mayormente por Administradores.
  • Administración de Reportes, Lista, Entidades, Perfiles de Usarios, Monitoreo de salud.

review questions

review questions

Capítulo II. general troubleshooting

 

  • Strategic Troubleshooting.

  • Tool of the Trade.

  • Troubleshooting with Deployment Monitor

  • LogRhythm Component Log File.

  • Additional Resoureces.

Support Training Part I

strategic troubleshooting

  • Identificar que esta tratando de hacer el cliente.
  • Encuentra cuándo inició el problema.
  • Asegurarse que se esta usando la última versión del cliente.
  • Revisar ocurrencias previas del problema actual.
  • Revisar si existen cambios recientes.
  • Verificar que componentes si estan funcionando correctamente.
  • Realiza una hipótesis

tools of the trade

Debemos saber usar las siguiente herramientas:

Deployment Monitor

Performance Counter

LogRhythm Diagnostic Logs

Third Party Tools

Wireshark

Troubleshooting with the Deployment Monitor

logrhythm deployment grid

Vista rápida sobre la salud y nivel de performance de los componentes de nuestro deployment. Refresh de 30 segundos.

Warnings

Errors

logrhythm disk space issues

Para recibir las notificaciones de problemas con el espacio en disco, debemos asegurarnos de habilitar  la alarma "QsEMP: LogRhythm Database Maintenance Failure"

system metrics and log volume statistics

lOG vOLUMEN STATISTICS BY DAY

Si tienes, problemas con algún tipo de logs, puedes poner el cursor para filtrar dicha información.

heartbeat detection

heartbeat detection

windows performance monitor

Una plataforma saludable esta procesando, enviando e indexando a un mismo nivel, sin embargo algunas inserciones puede que no sean iguales.

Los contadores de Rate Logs Received, Rate Logs Processed, y Rate Logs Archived deberían ser iguales.

Definición de todos los contadores de performance Link.

windows performance monitor

Administrative Tools - Performance Monitor.

sysmon performance counters

Syslog collection Issues

Los contadores de performance de SysMon nos sirven para saber si los logs colectados estan siendo enviados correctamente al DP

Log Data Queue Size (Kbytes), debería ser normalmente cero.

 

Rate Log Flushed / Sec, es el número de logs enviados hacia el DP

data processor performance counters

LogRhythm AI Engine Data Provider

dp performance counters - logmart

mediator stats

data indexer performance counters

ai engine performance counters

arm performance counters

The % Realtime should always be at or near 100% meaning that the LogRhythm ARM service is processing Events as quickly as they are written to the EMDB. If it drops below 100%, you may notice
that Alarms are delayed which could result from increased Event volume or could indicate that there is a slowdown in the EMDB. Check the LogRhythm dashboards for any error or warnings pertaining to the
LogRhythm ARM service.

 

logrhythm component log files

logrhythm component log files

logrhythm component log files

logrhythm component log files

additional resources

https://logrhythmcommunity.force.com/

Documentation & Downloads

review questions

review questions

Capítulo III. log Sources.

  • Log Sources Type.

  • General Log Sources Troubleshooting.

  • Engagin with LoRhythm Support.

Support Training Part I

log sources types

collection windows event logs

permissions for log collection

identifying windows event logs for collection

windows event troubleshooting

  • Missing Metadata.
  • Falling Behind in Processing.
  • Remote Collection Communication Issues.

syslog troubleshooting

syslog troubleshooting

troubleshoot with wireshark

flat files

flat file troubleshooting

flat file troubleshooting

flat file troubleshooting

flat file troubleshooting

fim & rim files

fim & rim files

fim & rim files - troubleshoointg considerations

universal database log adapter - udla

universal database log adapter - udla

universal database log adapter - udla

Engaging With LogRhythm Support

General Log Source Troubleshooting

In general, if you have issues collecting from Log Sources, verify the host information. If you are resolving DNS Names, you can add the FQDN (fully qualified  domain name) to the host for the Log Source to confirm that helps resolve host information.
 

  • Determine Which System Monitor Is Collecting a Log Source.
  • Are Log Sources Current?
  • Missing Log Data.
  • Log Message Parsing.

Capítulo Iv. system monitors.

 

  • System Monitor Overview.

  • Wyndows System Monitor.

  • Linux System Monitors.

  • General Guidelines.

  • System Monitors Troubleshooting.

Support Training Part I

syste monitor overview

  • SysMon, es el encargado de recoletar todos los logs de manera local o remota.
  • La versión de SysMon, debe coincidier con la arquitectura del Sistema Operativo.
  • SysMon y DP tienen compatibilidad hacia atrás.
  • Las características de los SysMon dependen del tipo de licencia asignada.

windows system monitor

linux system monitor

linux systeM monitor

linux systeM monitor

linux-Realtime FIM Prerequisites

General Guideline

General Guideline

General Guideline

System Monitor Troubleshooting

Unable to Change SysMon Advanced Properties
 

System Monitor Troubleshooting

Unable to Change SysMon Advanced Properties
 

System Monitor Troubleshooting

  • Set LogLevel to Verbose o Debug.
  • Review the logs for the SysMon at: C:\Program Files\LogRhythm\LogRhythm System Monitor\logs\
  • Use BareTail for ease of reading.

System Monitor - performance tunning

  • Set LogLevel to Verbose o Debug.
  • Review the logs for the SysMon at: C:\Program Files\LogRhythm\LogRhythm System Monitor\logs\
  • Use BareTail for ease of reading.

System Monitor - performance tunning

System Monitor - performance tunning

System Monitor - communication ports

System Monitor - communication ports

System Monitor - communication ports

Engaging With LogRhythm Support
 

Engaging With LogRhythm Support
 

review question

LogRhythm Support Training Part I

By Julio César

LogRhythm Support Training Part I

Courso de LogRhythm

  • 221
Loading comments...

More from Julio César