Cambiar la cantidad, el tamaño y el nivel de los registros en el ESM y el agente de capturas
Resolution
Trampas 3.1.2
Resumen
El servicio de núcleo ESM, la consola web ESM, el servicio de agente de capturas y el registro de la consola del agente de captura diez 5MB archivos de registro con "debug" mensajes como el nivel mínimo de registro de forma predeterminada.
A medida que se instalan más puntos finales y se habilitan más funciones (especialmente la integración de incendios forestales), el agente (en el extremo) y el núcleo y la consola (en los servidores) crean una mayor cantidad de registros periódicamente. Esto hace que los registros sean de muy corta duración y no sean relevantes para los problemas registrados unos días atrás.
Ubicaciones del registro del servidor:
- En los servidores principales del ESM, los registros del servidor se encuentran en %ProgramData%\Cyvera\Logs y se denominan "Server. log" (los registros más antiguos se denominan "Server. 0. log", "Server. 1. log"... "Server. 9. log")
- En los servidores de la consola ESM, los registros Web se encuentran en %ProgramData%\Cyvera\Logs y se denominan "DebugWeb. log" (los registros más antiguos se denominan "DebugWeb. 0. log", "DebugWeb. 1. log"... "DebugWeb. 9. log")
- En el punto final, los registros de servicio de capturas se encuentran en %ProgramData%\Cyvera\Logs y se denominan "Service. log" (los registros más antiguos se rebautizan como "Service. 0. log", "Service. 1. log"... "servicio. 9. log")
- En el extremo, los registros de la consola del agente Trap se encuentran en %userprofile%\AppData\Roaming\Cyvera\Logs y se denominan "Console. log" (los registros más antiguos se rebautizan como "Console. 0. log", "Console. 1. log"... "Console. 9. log")
Detalles
Se recomienda, cuando sea posible, aumentar la cantidad y el tamaño de los registros creados al habilitar las funciones de "alto registro". Además, en un entorno estable, se puede elevar el nivel de registro para permitir que se escriban menos registros en el archivo de registro y, a su vez, crear archivos de registro más duraderos.
Nota: cuando se aumenta el nivel mínimo de registro de algunos problemas puede que no se registre en absoluto!
La configuración de la cantidad, el tamaño y el nivel de registro no tiene una representación de IU, pero se puede cambiar editando archivos XML específicos.
- Logs del servidor principal de ESM:
el archivo XML se encuentra en: %ProgramFiles%\Palo alto Networks\Endpoint Security Manager\Server y se llama CyveraServer. exe . nlog - Logs de DebugWeb de consola ESM:
el archivo XML se encuentra en: %ProgramFiles%\Palo alto Networks\Endpoint Security Manager\web y se llama Web . config - Registros de servicio de agente de capturas:
el archivo XML se encuentra en: %ProgramFiles%\Palo alto Networks\Traps y se llama CyveraService. exe. nlog - Registros de la consola de agentes de capturas:
el archivo XML se encuentra en: %ProgramFiles%\Palo alto Networks\Traps y se llama CyveraConsole . exe. nlog
Al abrir el archivo XML se revelará la siguiente entrada:
Nota: este ejemplo se toma del archivo de configuración del registro del servidor ESM.
<targets asyn="true"></targets>
<target name="file" name="file"></target name="file">
xsi: type = "File"
fileName = "$ {SpecialFolder: Folder = CommonApplicationData}\Cyvera\Logs\Server.log"
maxArchiveFiles = "10"
archiveAboveSize = "50000000"
archiveNumbering = "Rolling"
layout = "$ {LongDate} $ {LEVEL: mayusculas = true} $ {processName} ($ {ThreadId}) $ {Logger} $ {mensaje} $ {Exception: innerFormat = ToString: Format = ToString}"
/>
Y más abajo en el archivo:
<rules></rules>
<logger name="*" minlevel="Debug" writeto="file"></logger>
Uso de
- Al editar el "maxArchiveFiles" se establecerá la cantidad de archivos creados (manteniendo la Convención de "Server. XX. log "como nombre del archivo)
- Al editar el "archiveAboveSize" se establecerá el límite de tamaño de cada archivo de registro (el valor está en bytes)
- La edición de la entrada "Minlevel =" cambiará el nivel mínimo de registro en el log-las opciones son: traza, Debug, info, WARN, error.
¡Importante! Es necesario reiniciar el servicio pertinente (traps, ESM o IIS) para que los cambios tengan efecto.