L'auto-remédiation évidente ne fonctionne pas comme prévu

L'auto-remédiation évidente ne fonctionne pas comme prévu

0
Created On 09/26/18 13:44 PM - Last Modified 07/19/22 23:08 PM


Symptom


Symptômes

Conversion automatique configurée avec la fonction SNS et lambda, mais la ressource incriminée n'est pas automatiquement rémédiée.

Diagnostic

  1. Configurez une ressource AWS qui déclencherait la signature.
  2. Attendez que l'alerte d'échec génère.  Il peut prendre jusqu'à 2 intervalles de balayage (par défaut, 1 intervalle de balayage est de 15 minutes).
  3. Une fois l'alerte créée, vérifiez si la ressource incriminée est rémédiée.  S'il est assaini, la réhabilitation automatique est configurée correctement.
  4. Si ce n'est pas le cas, vérifiez les journaux CloudWatch de la fonction lambda.
  5. Si aucun événement n'est enregistré, l'intégration du SNS n'a probablement pas été correctement configurée.  Suivez la section intégration du SNSci-dessous pour dépanner. 
  6. Si un événement est enregistré, vérifiez les détails et recherchez l'un des messages suivants:
    -' = > rien à faire. '
    -' = > non <resource type="">pour évaluer. '
    -' = > error: <error message="">'
    si vous trouvez l'un des messages ci-dessus, puis dépannez en utilisant la section de fonction de lambda de AWS ci-dessous. </error> </resource>

Resolution


Intégration de SNS

 

Vérifiez la configuration d'intégration du SNS-Assurez-vous
que la signature en question est «cochée»-Assurez-vous
que les déclencheurs d'intégration pour les alertes Fail et WARN
-Notez la rubrique SNS ARN pour plus tard.

 

Assurez-vous que l'intégration du SNS est «active».

 

Assurez-vous que la fonction lambda est abonnée à la rubrique SNS configurée pour l'intégration du SNS de evident.  Gardez à l'esprit que le même nom de sujet peut être réutilisé à travers les régions, alors assurez-vous de vérifier si la région est la même. 

 

Fonction d'AWS lambda

 

' = > rien à faire. '

Selon le script, cela pourrait signifier que l'alerte générée n'était pas une alerte Fail ou qu'il ne s'agissait pas d'une alerte Fail ou WARN.  Comparez l'horodatage «started at» de l'alerte d'échec et l'horodatage de l'événement CloudWatch pour vous assurer qu'il s'agit du même événement.  Si c'est le cas, veuillez contacter le support de Palo Alto Networks pour plus d'assistance.


' = > non <resource type="">pour évaluer. '</resource>

La fonction lambda n'a pas pu récupérer l'ID de ressource de l'alerte.  Si le script contient cette référence:

 

Metadata ['attributs'] ['Data'] ['resource_id']

 

Changez-le en:

 

Alert ['Data'] ['attributs'] ['ressource']

 

Si le problème persiste, veuillez contacter le support de Palo Alto Networks pour plus d'assistance.

 

' = > error: <error message="">'
veuillez contacter le support de Palo Alto Networks et fournir le message d'erreur. </error>

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmBCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail