アラートにユーザー属性データがない
Symptom
兆候
ユーザー属性は構成されていますが、どのアラートにもユーザー属性データがありません。
例えば:
診断
ユーザー属性の構成
ユーザー属性の構成状態が "未構成" または "エラー" であるかどうかを確認します。 例:
署名はユーザー属性をサポートしていません
問題のアラートがユーザー属性をサポートしているかどうかを確認します。 警告識別子 (例: AWS: EC2-001) その後、明らかに監視 Web UI に移動-> コントロールパネル-> 署名、検索フィルタを開き、その署名を見つける。 ユーザー属性をサポートするすべての署名を検索するには、[アトリビューションをサポート] オプションを選択してフィルタを適用することもできます。 例えば:
CloudTrail ログを取得できません
必要な権限が明らかにサービスロールに与えられているかどうかを確認します。
CloudTrail の S3 バケットポリシーが読み取りアクセスを明示的に拒否しているかどうかを確認します。
CloudTrail ログ関連の問題
- AWS コンソールで、新しいセキュリティグループを作成し、それを任意のリソースにアタッチしないでください。
- 1時間待つ
- 明らかな監視 Web UI で、この外部アカウントの新しいレポートを生成します。
- ステップ #1 で作成したセキュリティグループに対して、新しい fail AWS: EC2-031 (未使用セキュリティグループ) アラートを探します。
- アラートにユーザー属性データがない場合は、CloudTrails をチェックし、CreateSecurityGroup イベントを探します。
- a) このイベントが存在しない場合は、CloudTrails が正しく構成されていません。
b) このイベントが存在する場合は、イベントのタイムスタンプをチェックし、アラートの開始時刻と比較します。 - a) アラートの開始時刻と CloudTrail イベントのタイムスタンプが2時間以上離れている場合は、これが予想されます。 CloudTrail エントリのイベント時間は、ユーザーの帰属データになるために、アラートがタイムスタンプで開始されてから2時間以内である必要があります。
b) 警告の開始時刻と CloudTrail イベントのタイムスタンプが2時間以内の場合、ユーザー属性は正しく機能していません。
明らかに監視ユーザー帰属エンジンの状態
Resolution
ユーザー属性の構成
状態が "アクティブ" になるまで、ユーザー属性を構成または再構成します。
署名はユーザー属性をサポートしていません
パロ・アルト・ネットワーク・サポートへの拡張要求を送ってください。 すべての署名がユーザー属性をサポートできるわけではないことに注意してください。
CloudTrail ログを取得できません
明らかなサービスロールと S3 バケットポリシーを変更して、明らかなサービスロールがバケットからファイルを取得できるようにします。 ユーザー属性の構成手順、手順 #2 では、明らかなサービスロールのアクセス許可を設定する方法について詳しく説明します。
CloudTrail ログ関連の問題
パロアルトネットワークのサポートに連絡し、撮影された診断手順を提供してください。 も提供
- ユーザー属性データがあると予想されるアラートの URL
- 警告の開始時刻から2時間以内に CloudTrail イベントを含むログファイルを CloudTrail する
明らかに監視ユーザー帰属エンジンの状態
さらに詳しい情報が入手可能になるか、パロアルトネットワークに連絡して更新をサポートするかを待ちます。