適用於:Advanced Threat Analytics 1.9 版本
本節詳述 ATA 部署中可能出現的錯誤及故障排除步驟。
ATA 閘道器與輕量閘道錯誤
| 錯誤 | 描述 | 解決方案 |
|---|---|---|
| System.DirectoryServices.Protocols.LdapException:發生本地錯誤 | ATA 閘道器未能對網域控制器進行認證。 | 1. 確認網域控制器的 DNS 記錄在 DNS 伺服器中是否正確設定。 2. 確認 ATA 閘道器的時間與網域控制器的時間同步。 |
| System.IdentityModel.Tokens.SecurityTokenValidationException:驗證憑證鏈失敗 | ATA 閘道器未能驗證 ATA 中心的憑證。 | 1. 確認根憑證已安裝在 ATA 閘道器的受信任憑證授權憑證庫中。 2. 驗證憑證撤銷清單 (CRL) 是否可用,且憑證撤銷驗證可執行。 |
| Microsoft.Common.ExtendedException:無法解析產生的時間 | ATA 閘道器未能解析從 SIEM 轉發的 syslog 訊息。 | 確認 SIEM 是否設定為以 ATA 支援的格式轉發訊息。 |
| System.ServiceModel.FaultException:在驗證訊息安全性時發生錯誤。 | ATA 閘道器未能與 ATA Center 進行驗證。 | 確認 ATA 閘道器的時間與 ATA 中心的時間同步。 |
| System.ServiceModel.EndpointNotFoundException:無法連接 net.tcp://center.ip.addr:443/IEntityReceiver | ATA 閘道器未能建立與 ATA 中心的連線。 | 確保網路設定正確,且ATA閘道器與ATA中心之間的網路連線是啟用的。 |
| System.DirectoryServices.Protocols.LdapException:LDAP 伺服器無法使用。 | ATA 閘道器未能使用 LDAP 協定查詢網域控制器。 | 1. 驗證 ATA 用於連接 Active Directory 網域的使用者帳號是否對 Active Directory 樹中所有物件都有讀取權限。 2. 確保網域控制器未被強化以防止 ATA 使用者帳號的 LDAP 查詢。 |
| Microsoft.Tri.Infrastructure.ContractException:合約例外 | ATA 閘道器未能同步 ATA 中心的設定。 | ATA 主控台中 ATA 閘道器的完整配置。 |
| System.Reflection.ReflectionTypeLoadException:無法載入一個或多個請求的型別。 欲了解更多資訊,請檢索 LoaderExceptions 屬性。 | 訊息分析器安裝於 ATA 閘道器上。 | 卸載訊息分析器。 |
| 錯誤 [版面配置] System.OutOfMemoryException:拋出型別為「System.OutOfMemoryException」的例外。 | ATA 閘道器記憶體不足。 | 增加網域控制器的記憶體容量。 |
| 啟動即時消費者失敗---> Microsoft.Opn.Runtime.Monitoring.MessageSessionException:PEFNDIS 事件提供者尚未準備好 | PEF (訊息分析器) 安裝不正確。 | 如果使用 Hyper-V,建議嘗試升級 Hyper-V 整合服務,否則聯絡客服尋求解決方法。 |
| 安裝失敗,錯誤:0x80070652 | 你的電腦上還有其他待安裝的項目。 | 等其他安裝完成後,必要時重新啟動電腦。 |
| System.InvalidOperationException:實例「Microsoft.Tri.Gateway」不存在於指定的類別中。 | 在 ATA 閘道器中,程序名稱啟用了 PID(PID) | 請參見 處理重複實例名稱 以停用程序名稱中的 PID |
| 「System.InvalidOperationException: Category 不存在。 | 登錄檔中可能關閉了計數器 | 用 KB2554336 來重建效能計數器 |
| System.ApplicationException:無法啟動 ETW 會話 MMA-ETW-Livecapture-a4f595bd-f567-49a7-b963-20fa4e370329 | HOSTS 檔案中有一個主機項目指向機器的短名稱 | 從 C:\Windows\System32\drivers\etc\HOSTS 檔案中移除主機條目,或改成 FQDN。 |
| System.IO.IOException:認證失敗,因為遠端方已關閉傳輸串流或無法建立 SSL/TLS 安全通道 | ATA 閘道器已停用 TLS 1.0,但 .Net 設定為使用 TLS 1.2 | 啟用 .Net 的 TLS 1.2,方法是設定登錄檔金鑰,使其使用 SSL 與 TLS 的作業系統預設值,具體如下:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] " SchUseStrongCrypto"=dword:00000001
|
| System.TypeLoadException: 無法從assembly 'Microsoft.Opn.Runtime.Values.BinaryValueBufferManager' 載入類型 'Microsoft.Opn.Runtime, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' | ATA Gateway 未能載入所需的解析檔案。 | 請確認 Microsoft Message Analyzer 目前是否已安裝。 訊息分析器不支援安裝於 ATA 閘道器/輕量級閘道器中。 卸載訊息分析器並重新啟動閘道服務。 |
| System.Net.WebException:遠端伺服器回傳錯誤: (407) 需要代理驗證 | ATA 閘道器與 ATA 中心的通訊正被代理伺服器中斷。 | 在 ATA 閘道器機器上停用代理伺服器。 請注意,代理設定可能是每個帳號的。 |
| System.IO.DirectoryNotFoundException:系統無法找到指定的路徑。 (HRESULT 例外:0x80070003) | 運作ATA所需的一項或多項服務未能啟動。 | 開始以下服務: 效能日誌與警示 (PLA) 、任務排程器 (排程) 。 |
| System.Net.WebException:遠端伺服器回傳錯誤: (403) Forbidden | ATA 閘道器或輕量級閘道器被禁止建立 HTTP 連線,因為 ATA 中心不被信任。 | 將 ATA Center 的 NetBIOS 名稱與 FQDN 加入受信任網站清單,並在 Internet Explorer (清除快取,或如設定與 NetBIOS/FQDN) 不同,則依設定中指定 ATA 中心名稱。 |
| System.Net.Http.HttpRequestException: PostAsync 失敗 [requestTypeName=StopNetEventSessionRequest] | ATA 閘道器或 ATA 輕量級閘道器無法因 WMI 問題而停止和啟動收集網路流量的 ETW 會話 | 請依照 WMI 中的指示:重建 WMI 儲存庫 來修復 WMI 問題 |
| System.Net.Sockets.SocketException:嘗試以存取權限禁止的方式存取該套接字 | 另一個應用是使用 ATA 閘道器的 514 埠 | 用 netstat -o 來確定是哪個程序使用該埠。 |
部署錯誤
| 錯誤 | 描述 | 解決方案 |
|---|---|---|
| .Net Framework 4.6.1 安裝失敗,錯誤0x800713ec | .Net Framework 4.6.1 的前置條件並未安裝在伺服器上。 | 安裝 ATA 前,請確認 Windows 更新 KB2919442 和 KB2919355 是否已安裝在伺服器上。 |
| System.Threading.Tasks.TaskCanceledException:任務被取消 | 部署過程因無法聯繫ATA中心而超時。 | 1. 透過瀏覽 ATA 中心的 IP 位址來檢查網路連線。 2. 檢查代理或防火牆設定。 |
| System.Net.Http.HttpRequestException:發送請求時發生錯誤。 ---> System.Net.WebException:遠端伺服器回傳錯誤: (407) Proxy Authentication Required。 | 部署過程因代理設定錯誤無法連通 ATA 中心而逾時。 | 部署前先停用代理設定,然後再啟用代理設定。 或者,你也可以在代理伺服器中設定例外。 |
| System.Net.Sockets.SocketException:遠端主機強制關閉現有連線 | 啟用 .Net 的 TLS 1.2,方法是設定登錄檔金鑰,使其使用 SSL 與 TLS 的作業系統預設值,具體如下:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
|
|
| 錯誤 [\[]DeploymentModel[\]] 管理失敗 認證 [\[]CurrentlyLoggedOnUser=<domain>\<username>狀態=FailedAuthentication Exception=[\]] | ATA 閘道器或 ATA 輕量級閘道的部署過程無法成功對 ATA 中心進行認證 | 從部署失敗的機器開啟瀏覽器,看看能不能進入 ATA 主控台。
如果沒有,就開始排查瀏覽器為什麼無法透過 ATA Center 驗證。 需要檢查的事項: 代理設定 網路問題 該機器的群組政策設定與 ATA Center 不同。 |
| 錯誤 [\[]DeploymentModel[\]] 管理認證失敗 | 中心憑證驗證失敗 | 中心證書可能需要網路連線以驗證。 確保你的閘道服務有正確的代理設定,以啟用連線和驗證。 |
| 在部署中心並選擇憑證時,會報告「不支援」錯誤 | 如果所選憑證不符合要求,或憑證的私鑰無法存取,就可能發生這種情況。 | 請確保你以管理員身份) 執行 的部署權限提升 (且所選憑證符合 要求。 |
ATA 中心錯誤
| 錯誤 | 描述 | 解決方案 |
|---|---|---|
| System.Security.Cryptography.CryptographicException:存取被拒絕。 | ATA 中心未使用已核發的證書進行解密。 這很可能是因為使用了 KeySpec (KeyNumber) 設定為 Signature (AT\_SIGNATURE) 的憑證,而非使用 KeyExchange (AT\_KEYEXCHANGE) 。 | 1. 停止ATA中心服務。 2. 從中心的憑證庫中刪除 ATA 中心的憑證。 (刪除前,請確保憑證有私鑰備份在 PFX 檔案中。) 3. 開啟一個提升命令提示字元並執行 certutil -importpfx “CenterCertificate.pfx” AT\_KEYEXCHANGE 4. 啟動ATA中心服務。 5. 確認一切現在是否如預期運作。 |
ATA 閘道器與輕量閘道器問題
| 問題 | 描述 | 解決方案 |
|---|---|---|
| 沒有收到來自網域控制站的流量,但會偵測到健康警示 | 透過 ATA 閘道器,使用埠鏡像的網域控制器未接收任何流量 | 在 ATA 閘道擷取網卡中, 請在進階設定中停用以下功能: 接收段整合 (IPv4) 接收段整合 (IPv6) |
| 此健康警示顯示:部分網路流量未被分析 | 如果您在 VMware 虛擬機上使用 ATA 閘道器或輕量級閘道器,可能會收到此健康警示。 這是因為 VMware 的設定不匹配所致。 | 在虛擬機網卡設定中將以下設定設為 0 或停用:TsoEnable、LargeSendOffload、TSO Offload、Giant TSO Offload |
多處理器群組模式
對於 Windows 作業系統 2008R2 和 2012,多 處理器群組 模式下不支援 ATA 閘道。
建議的可能變通方法:
如果開啟超執行緒,請關閉它。 這可能減少邏輯核心數量,避免必須以 多處理器群組 模式運行。
如果你的機器邏輯核心少於 64 個,且運行在 HP 主機上,你可能可以將 NUMA 群組大小優化 BIOS 設定從預設的 叢集 化改為 平面化。