Ansichten:
Die Fehlerursachenanalyse ist ein Untersuchungswerkzeug, das die Abfolge der Ereignisse anzeigt, die zur Ausführung des übereinstimmenden Objekts führen.
Wenn eine Bewertung eine Übereinstimmung zurückgibt, können Administratoren eine Fehlerursachenanalyse erstellen:
  • Auflisten aller verwandten Objekte zu den angegebenen Kriterien
  • Identifizieren, ob eines der verwandten Objekte relevant ist
  • Überprüfen Sie die Reihenfolge der Ereignisse, die zur Ausführung des übereinstimmenden Objekts führen.
Die Erstellung einer Fehlerursachenanalyse kann einige Zeit in Anspruch nehmen.

Prozedur

  1. Führen Sie eine Verlaufsuntersuchung durch.
    Überprüfen Sie im Ergebnisfenster die angezeigten Ergebnisse.
    Weitere Informationen finden Sie unter Benutzerdefinierte Kriterien für Verlaufsuntersuchungen verwenden.
  2. Identifizieren und wählen Sie einen oder mehrere Endpunkte aus und klicken Sie auf Fehlerursachenanalyse generieren.
  3. Geben Sie einen Namen für die neue Ursachenanalyse-Aufgabe an.
  4. Überprüfen Sie die angezeigten Kriterien.
    • Für Bewertungen mit benutzerdefinierten Kriterien kombiniert das Generieren eines Ursachenanalyse mehrere Kriterien mithilfe des AND- oder OR-Operators.
    • Für Bewertungen mit einer OpenIOC-Datei verwendet das Generieren eines Ursachenanalyse die Indikatoren in der aktuellen OpenIOC-Datei als Kriterien.
  5. Überprüfen Sie die Ziel-Endpunkte.
    Hinweis
    Hinweis
    Um Endpunkte aus der Liste zu entfernen, klicken Sie auf das Löschsymbol.
  6. Geben Sie einen Zeitraum an.
    Standardmäßig wird die Analyse an allen protokollierten Daten durchgeführt.
  7. Klicken Sie auf Generieren.
  8. Gehen Sie zur Registerkarte Ergebnisse der Fehlerursachenanalyse, um den Fortschritt der Analyse zu überwachen.
    Die Erstellung einer Fehlerursachenanalyse kann einige Zeit in Anspruch nehmen.
    Weitere Informationen finden Sie unter Ergebnisse der Fehlerursachenanalyse.
  9. Nachdem die Aufgabe abgeschlossen ist, klicken Sie auf den Namen Aufgabe.
    Hinweis
    Hinweis
    Der Aufgabenname wird nicht als Link angezeigt, wenn der Endpoint Sensor keine Grundursachenanalyse erstellen kann, und dies kann aus folgenden Gründen geschehen:
    • Der Zielendpunkt hat unzureichende Daten.
      Überprüfen Sie, dass die Daten nicht gelöscht wurden. Wenn die Agentendatenbank die maximale Datenbankgrößenbeschränkung erreicht, löscht der Endpoint Sensor die ältesten Protokolle, um Platz für neue Ereigniseinträge zu schaffen. Um dieses Problem zu vermeiden, geben Sie eine größere Agentendatenbankgröße an.
    • Die Untersuchung konnte kein Objekt finden, das alle im OpenIOC-File angegebenen Bedingungen erfüllt.
      Bewertungen ignorieren alle Bedingungen in der OpenIOC-Datei, um die anfänglichen Ergebnisse zurückzugeben. Eine Grundursachenanalyse-Aufgabe fügt jedoch die Bedingungen als zusätzliche Kriterien für die Untersuchung hinzu. Daher kann es sein, dass die Grundursachenanalyse-Aufgabe keine Ergebnisse erzeugen kann, die sowohl den OpenIOC-Kriterien als auch ihren Bedingungen entsprechen.
  10. Überprüfen Sie die Ergebnisse.