对编排器进行故障排除

在安装、激活或常规使用期间,您可能会遇到orchestrator问题。本文包含解决这些问题的常见故障排除步骤。

普通管弦乐手

安装orchestrator后,所有orchestrator故障排除方案的第一步应该是运行orch-diagnostics.命令此命令运行一个脚本,该脚本在orchestrator及其环境上执行一系列测试。在许多情况下,此命令将识别问题。

跟踪路由失败**不是**致命的!

这个orch-diagnostics.命令尝试执行Traceroute以帮助隔离与连接相关的问题。但是,许多环境阻止了Traceroute。结果,如果orch-diagnostics.脚本通过所有内容但Traceroute,它应该被视为100%成功测试。

安装

如果您在安装Orchestrator的问题时,请首先验证系统是否安装了ordstrator最低系统要求.

您还应使用以下虚拟化解决方案之一的最新版本:

  • 超级
  • 虚拟框
  • VMware.

如果您的系统满足所有要求,但仍然无法安装orchestrator,请从发送日志/opt/rapid7/orchestrator/var/log/orchestrator.log.log.对我们支援小组寻求帮助。

激活

在成功安装Orchestrator后,您会收到要使用的键来激活Orchestrator。如果您与钥匙有问题,则以下是可能的场景以及如何解决它们。

我没有拿到激活密钥

如果您的Orchestrator安装未成功或安装的Orchestrator无法与Insight平台通信,则不会获得激活密钥,因此请检查您的安装是否满足这些要求:dota2必威联赛

  • 编排器具有唯一的名称。不能有多个同名的编排器。
  • 您的环境符合网络需求. 否则,编排器无法与Insight平台通信以生成您的激活密钥。dota2必威联赛

如果在验证Orchestrator符合这些要求后,如果仍未为您生成一个键,联系支持并提供您的编排器详细信息。

我需要检索我的激活密钥

If the orchestrator installation was successful and you received an activation key, but you weren’t able to copy it for some reason, you can retrieve your key using the secure shell (SSH) protocol to access your orchestrator’s virtual machine (VM) and print the activation key.

使用SSH访问orchestrator后,请使用orch打印激活命令去拿你的钥匙。

我无法复制或粘贴我的激活密钥

一些VM解决方案使复制和粘贴困难,因此如果您无法复制密钥,则可以将激活键下载为a.txt文件并从文件中复制密钥:

  1. orch打印激活>~/activation.txt在虚拟机的终端窗口中。
  2. 将activation.txt文件复制到桌面或本地计算机。
  3. 在桌面上打开Activation.txt。
  4. 复制钥匙。
  5. 尝试再次激活编排器。

我的激活钥匙坏了

如果您成功接收到激活密钥,但发现在InsightConnect中将其提交给您的orchestrator失败,则可能存在以下问题之一:

  • 复制粘贴失败:有时,复制激活密钥时,剪贴板中的其他或非打印终端字符会出现在剪贴板中。所以检查您已捕获整个密钥,也没有额外的角色展现出来。激活密钥不应包含空格字符,或'逃生'字符/ N.换新线。大多数文本编辑器都有一个显示非打印字符的选项,以帮助您完成此操作。
  • 激活密钥重用:激活密钥仅是一次性使用,因此即使您删除了与之关联的Orchestrator,您无法在成功使用它以激活Orchestrator后重复使用 - 它只会使密钥无效。相反,使用新密钥开始新的安装。

如果所有其他人失败,并且您仍然无法激活Orchestrator,则可能需要重置它。重置编排器允许您重复使用现有密钥,但这可能对本课程的不利后果,例如凭证损失,因此除非您被支持代表建议,否则我们不建议执行此操作。

编曲

在本节中,我们涵盖了常见的协调问题问题和解决方案。

你可以去设置>协调器看看你的任何orchestrator是否有警告或错误,或者已停止运行。即使是健康的协调器也可能存在由于CPU,内存或存储使用而存在问题。保持协调仪顺利运行,常规检查Orchestrator Health。

由于禁用了DHCP,没有orchestrator连接

应在CentOS中启用DHCP,除非您的组织专门禁用它。如果禁用DHCP,您的计算机将没有IPv4地址,并且编排器将无法根据需要进行通信。

要解决DHCP问题,请首先检查网络上是否启用了DHCP:

  1. 在终端窗口中,运行命令.
  2. 在输出中,查找以开头的行内特为了ens32界面如果该行丢失,并且您只看到以开头的行inet6,您的网络可能已禁用DHCP。

如果根据组织的需要禁用DHCP,则需要配置静态IP地址为orchestrator连接。

我的orchestrator正在慢慢运行

如果您的orchestrator运行缓慢,可能是内存或磁盘空间不足。检查编排器的资源利用率并确保其正常运行。您还应该确保运行的是最新版本的Orchestrator。你可以通过跑步来做到这一点yum update rapt7-sorrestrator在终端窗口中。

我的orchestrator用完了磁盘空间

您的Orchestrator可能会在磁盘空间上划伤和运行短路。有一些简单的方法来解决这个问题。

在采取以下任何步骤之前停止Orchestrator过程:

  • 使用Docker PS -A检查您的运行容器。如果您看到容器映射到插件,您可以确定使用更多,您可以找到容器的Docker ID,并停止容器。然后,您可以修剪删除这些容器,并回收一些空间。
  • 按照说明运行Docker Prune:https://docs.docker.com/engine/reference/commandline/system_prune/
  • 确保日志旋转和Syslog设置正确地管理其大小,并在需要时调整它们。您可以使用我们的Orchestrator文件找到rsyslog和Logotate设置的位置。

我被指示重置我的orchestrator

重置orchestrator是一个相当简单的过程,但它会影响您正在使用的任何现有工作流,并使您在系统中输入的任何凭据无效。这就是为什么我们不建议您重置编排器,除非支持代表建议您这样做。有关凭据如何工作的更多信息,请查看编排器凭据我们的Insight Orchestrator概述文章的一节。

如果支持代表指示您重置orchestrator,则在您运行重置脚本后将发生以下情况:

  • 您的orchestrator安装已被有效停用,但它仍将显示在InsightConnect中。
  • 任何未完成处理的飞行中的工作都将处于悬挂状态,不完全状态。您必须手动取消这些作业以清除它们。
  • 您现有的工作流程将继续运行,并将继续生成作业(对于使用API​​,InsightIdr或InsightVM触发类型的工作)。如果这些工作流配置为使用重置orcestrator,则在使用Orchestrator命中操作步骤后,这些作业还将最终输入Hung状态。
  • 您输入的任何凭据都可能会失效,您需要在更新工作流时重新输入这些凭据。
  • 您的Orchestrator将生成一个新的激活码,以及新生生成一组公共和私钥,以管理凭证加密和签名请求。有关这些进程的更多信息,请查看Insight Orchestrator概述中的Orchestrator-Cloud通信部分。

自动化工作流

在本节中,我们概述了一些常见的协调问题,导致自动工作流或作业的问题,并提供如何解决它们的步骤。

我的工作流程没有完成,但我看不出错误

如果您的自动化工作流程或作业没有完成,但您没有看到任何错误,则可能存在触发器问题。查看有关的疑难解答信息触发器不创建任何自动化看看这是否解决了你的问题。如果没有,以下是需要考虑的其他事项:

  • 让您的凭据或权限已更改?如果是这样,第三方服务提供商和orchestrator之间的连接可能已被破坏。
  • 是否已禁用任何工作流?
  • 您的工作流程的组成是否存在逻辑问题?

如果您看到的是“挂起的作业”,即您的自动化创建但从未完成,那么建立信息基线很有帮助:

  • 问题是什么时候开始的?
  • 自动化在此之前工作多长时间?
  • 所有自动化挂在一起,还是有些完整,有些不是?
  • 自动装置是挂在同一地点,还是挂在不同的时间点?

有了这些信息,你就做好了准备伸出援助之手寻求建议和帮助。

由于请求超时而挂起作业

在构建工作流时,可以无意中导致挂起工作的一个非常常见的情况未在使用Python插件使用Python插件使用时使用呼叫请求图书馆。如果没有超时值,请求可以长时间挂起,甚至是由于Python和OS网络堆栈的基本性质而无限期。我们建议您指定连接和请求超时,以防止由于请求超时而导致的挂起作业。看我们Python 2或3脚本文档更多细节。

我设置了一个新的触发器,但它不是创建任何自动化

第一的,查找编排器容器id与触发器相关联。

找到触发器的容器ID

如果您在难以定位Orchestrator容器的问题触发器时,您可以通过从正在处理的工作流程获取触发器ID来缩小搜索,然后使用Grep命令隔离并识别其容器。

获得容器ID后,使用以下命令获取相关日志以进行进一步的故障排除:sudo docker logs -f <触发容器ID>

这些日志可能会告诉您足以了解出现问题的问题。例如,常常看到由于凭证不正确而启动触发器很难。如果您仍然无法确定问题,则可以向日志提供支持用于故障排除援助的代表。

触发器不工作或操作失败

如果触发器不起作用或操作失败,则调试问题的最佳方法是获取orchestrator的docker容器ID,以获取日志并管理或停止有问题的进程。

要查找编排器的docker容器ID,请执行以下操作:

  1. 确定您要查找的容器的插件。例如,Rapid7 / Jira / 1.0.0。
  2. 运行此示例命令以列出所有容器:sudo docker ps-a |Grep X.将X替换为插件名称,例如,sudo docker ps-a | grep jira.

容器ID是命令输出中的左侧列。您可以继续使用Grep进一步孤立特定的容器,每个舒适程度与Grep

如果您专门查找触发器,则运行此命令可能会有所帮助:sudo docker ps-a |grep x |grep触发器

这将进一步将查找范围限定为仅触发器,这是一个常见的调试过程。

我的自动化很好,现在他们错了很多

如果您突然看到平台上的自动化失败,请考虑这些潜在的问题和故障排除步骤。如果你仍然无法解决问题,联系我们的支持团队帮助您诊断问题。

第三方停机时间

有时第三方部分或完全下降。不幸的是,我们无法保证第三方系统的可用性。但是如果您开始看到连接失败,超时或其他“无法与”样式问题无法交谈,则可以联系到第三方服务以查询其产品的健康和​​潜在的后续步骤。

继续失败

InsightConnect在失败功能上提供了一个继续,因此即使其部分失败,也可以继续执行工作流程。这允许您构建预期预期失败并提供解决方法的强大进程。

但是,有时构建工作流时会依赖“继续执行失败步骤”提供的信息,而工作流仍然会失败。例如,如果步骤A允许您在出现故障时继续,但步骤B需要步骤A的输出,则步骤B很可能会失败,或返回错误的结果。

解决这个问题最简单的方法就是利用决策步骤检查继续失败步骤是否成功,并围绕这些可能性设计工作流。

对工作流的更改

即使是很小的更改也会破坏现有的工作流。如果在发生故障之前对工作流进行了任何更改,请仔细检查这些更改是否可能导致问题。一些示例包括将输入更改为某些步骤,在以前工作的两个步骤之间添加新步骤,或更改自动决策逻辑。

对传入数据的更改

可以设置工作流程,使其在几周或几个月内摄取数据,然后终于看到了导致问题的数据中的条目。虽然罕见,但您尚未考虑的数据现在已经成为可能性,并且您的工作流程需要考虑此问题。

将以前成功的作业与失败的作业进行比较,并确定触发器输入的任何更改是否可能是问题所在

权限问题

您可能会认为,一旦获得凭据和权限正确,事情应保持稳定,但情况并非总是如此。您的底层凭据可能没有出现的每种情况的正确权限。

例如,凭据可能由组织中的其他人拥有。与他们联系,找出任何权限或范围是否已更改,或者凭据本身仍然有效。

您没有访问权限的数据也可能存在问题。我们通常在基于电子邮件的系统中看到这一点,在这些系统中,权限可能是复杂且相互关联的。例如,可以访问邮箱,但不是每个进入邮箱的项目。与这些系统的管理员密切合作,确定可能需要哪些权限,以及是否有任何紧急数据超出这些权限范围。

联系支持

如果您在协调器方面仍然存在问题,请联系快速7支援使用错误和编排器信息,我们将帮助您进行调查。