トラブルシューティングのヒント

構成

  1. 監視用デバイスを追加するとき、「ログインを確認」の操作では RPCサーバー利用不可エラーが出ます
  2. 監視用デバイスを追加するとき、「ログインを確認」操作では、「アクセスが拒否されました」エラーが出ます。
  3. WBEMテストを実施したとき、失敗しコード80041010のメッセージがWindows Server 2003二表示されます。
  4. ポート管理エラーコード
  5. イベントソースファイル構成で「ファイルを発見できません」エラーが出ます。
  6. Microsoft 365 - データを取り込むには統一監査ログを有効にする必要があります
  7. Microsoft 365 - 無効なアプリケーションパスワード。
  8. Microsoft 365 - Azure ADアプリケーションがありません。
  9. Microsoft 365 - Azure ADアプリケーションスコープまたは許可がありません。

ログ回収と報告

  1. デバイスを追加しましたが、Log360 Cloudエージェントはイベントログを回収していません
  2. 「ログインを確認」をクリックしたときデバイスで「アクセスが拒否されました」エラーが出ましたが、正しいログイン認証情報を入力しました
  3. SyslogホストがLog360 Cloudエージェントに自動追加されません/Syslog受け取りが突然停止しました
  4. エージェントのアップグレードに失敗しました。どうしたらよいですか?
  5. Autolog転送に失敗しました。どうしたらよいですか?

構成

1.監視用デバイスを追加するとき、「ログインを確認」の操作では RPCサーバー利用不可エラーが出ます

問題発生理由と対処方法:

考えられる原因: デバイスマシンRPC(リモートプロシージャコール)ポートは他のファイアウォールによりブロックされています。

解決策:ファイアウォールのRPCポートノブロックを解除します。

2.監視用デバイスを追加するとき、「ログインを確認」操作では、「アクセスが拒否されました」エラーが出ます。

問題発生理由と対処方法:

考えられる原因: デバイスマシンがLog360 Cloudエージェントマシンに到達できていません。

解決策:PINGコマンドを使ってデバイスマシンとLog360 Cloudエージェントマシンの間のネットワーク接続をチェックします。

考えられる原因: システムファイアウォールとREMOTEADMINサービスを実行しているデバイスマシンが無効です。

解決策:システムファイアウォールがデバイスで作動しているかチェックしてください。システムファイアウォールが作動している場合は、デバイスマシンのコマンドプロンプトウインドウで以下のコマンドを実行します:

netsh firewall set service type=REMOTEADMIN mode=ENABLE profile=all

3.WBEMテストを実施したとき、失敗しコード80041010のメッセージがWindows Server 2003二表示されます。

問題発生理由と対処方法:

考えられる原因: デフォルトでWMIコンポーネントは、Windows 2003 Serverにインストールされていません

解決策:Win32_ProductクラスはデフォルトでWindows Server 2003にインストールされていません。クラスを追加するには、以下の手順に従います:

  • [プログラムを追加または削除]で、[Windowsコンポーネントを追加/削除]をクリックします。
  • [Windowsコンポーネントウィザード]で、[管理と監視ツール]を選択し、次に[詳細]をクリックします。
  • [管理と監視ツール]ダイアログボックスで、[WMI Windowsインストーラープロバイダー]を選択し、次に[OK]をクリックします。
  • [次へ]をクリックします。

4.ポート管理エラーコード

以下は、共通エラー、その原因、およびその状態を解消するための考えられる解決策の一部です。詳細は、ご遠慮なくサポートチームまでお問い合わせください。

他の一部のアプリケーションがすでに使用しているポート

原因: 他の一部のアプリケーションがすでに使用しているため、指定ポートを使用できません。

解決策:これは、指定アプリケーションでポートを変更するか、または新しいポートを使用することで、解決できます。

新しいポートを使用している場合は、転送先デバイスでそのポートを手動で、または自動ログ転送構成を使って変更します。

5.イベントソースファイル構成で「ファイルを発見できません」エラーが出ます。

考えられる対処方法は以下のとおりです:

  • マシンの認証情報をチェックする。
  • デバイスの接続をチェックする。
  • リモートレジストリサービスが無効になっていないか確認する。
  • ユーザーは管理者権限を使用する必要があります。
  • 公開鍵とサブキーのある鍵は削除できません。

5.Microsoft 365 - データを取り込むには統一監査ログを有効にする必要があります

統合監査ログデータの収集を有効化するには、これらの2つの手順のいずれかに従ってください。

  1. MicrosoftのMicrosoft 365ポータルから、統一監査ログデータの回収を有効にします。
    • Microsoft 365ポータルにログインし、[セキュリティとコンプライアンスセンター]タブに移動します。
    • 左のタブから[検索と調査]メニューをクリックし、[監査ログ検索]をクリックします。
    • 表示されるウインドウで、[ユーザーと管理者アクティビティの記録を開始]をクリックします。
    • 表示されるポップアップで、[オンにする]をクリックします。

  2. PowerShellを通じた統合監査ログデータの収集を有効化します
    • PowerShellで以下のコマンドを実行します。
    • $UserCredential = Get-Credential;$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection;Import-PSSession $Session -CommandName Set-AdminAuditLogConfig
    • Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled:$True
    • Remove-PSSession $Session

6.Microsoft 365 - 無効なアプリケーションパスワード。

原因: このエラーメッセージは、入力したアプリケーションパスワードが削除された、または有効期限が切れた場合に表示されます。

解決策:新しいアプリケーションパスワードを作成して製品のテナント設定で同じものを更新します。

7.Microsoft 365 - Azure ADアプリケーションがありません。

原因: このエラーメッセージは、Azure ADアプリケーションが削除された場合に表示されます。

解決策:Azureポータルで新しいアプリケーションを構成してください。ここに記載の手順にしたがって、アプリケーションを手動で構成します。

8.Microsoft 365 - Azure ADアプリケーションスコープまたは許可がありません。

  • アプリケーションで必要な許可を更新します。
  • [テナント設定] > [Rest APIアクセス] > [許可を更新]の順に移動して、許可をチェックおよび更新できます。

ログ回収と報告

1.デバイスを追加しましたが、Log360 Cloudエージェントはイベントログを回収していません

考えられる原因: クライアントマシンは、エージェントからは到達できません。

解決策:デバイスマシンがpingコマンドに応答するかチェックしてください。応答しない場合、マシンが到達できていません。イベントログを回収するには、デバイスマシンはLog360 Cloudエージェントから到達できる必要があります。

考えられる原因: デバイスマシンでの管理権限がありません

解決策:デバイスの詳細を編集し、デバイスマシンの管理者ログイン認証情報を入力します。[ログインを確認]をクリックし、ログインが正常に完了しているか確認します。

2.「ログインを確認」をクリックしたときデバイスで「アクセスが拒否されました」エラーが出ましたが、正しいログイン認証情報を入力しました

考えられる原因: 「アクセスが拒否されました」エラーに他の理由がある可能性があります。

解決策:ログイン確認中に取得したエラーコードの原因と解決策を参照してください。

エラーコード00x80070005

Windowsワークステーションのスキャンが以下の理由のうち1つが原因で失敗しました:

  1. スキャン用に入力したログイン名とパスワードがワークステーションでは無効です。
  2. 解決策:ログイン名とパスワードが正しく入力されているかチェックしてください。

  3. リモートワークステーションのリモートDCOMオプションが無効です
  4. 解決策:リモートワークステーションでリモートDCOMが有効になっているかチェックしてください。有効になっていない場合は、以下のようにして有効にしてください:

    • [スタート] → [実行]の順に選択します。
    • テキストボックスにdcomcnfgを入力して、[OK]をクリックします。
    • [デフォルトプロパティ]タブを選択します。
    • このマシンチェックボックスで[分散COMを有効化]を選択します。
    • [OK]をクリックします。

    DCOMをWindows XPデバイスで有効にするには:

    • [スタート] → [実行]の順に選択します
    • テキストボックスにdcomcnfgを入力して、OKをクリックします
    • [コンポーネントサービス] → [コンピューター] → [マイコンピューター]の順にクリックします
    • 右クリックして、プロパティを選択します
    • 既定のプロパティタブを選択します
    • この端末のチェックボックスで配布COMの有効化を選択します
    • OKをクリックする
    • ターゲットマシンのユーザーアカウントが無効です。
    • 解決策:コマンドプロンプトを開いて以下のコマンドを実行してターゲットマシンでユーザーアカウントが有効かチェックします:

      net use \<RemoteComputerName>C$ /u:<DomainNameUserName> "<password>"

      net use \<RemoteComputerName>ADMIN$ /u:<DomainNameUserName> "<password>"

      これらのコマンドでエラーが表示される場合、入力したユーザーアカウントはターゲットマシンで有効になっていません。

      エラーコード0x80041003

      スキャンで入力したユーザー名に、スキャン演算を実行するのに十分なアクセス権限がありません。このユーザーは、このデバイスマシンの管理者グループに属していません。

      解決策:ユーザーをワークステーションの管理者グループに移動するか、管理者(好ましくはでおメイン管理者)アカウントを使ってマシンをスキャンします。

      エラーコード0x800706ba

      ファイアウォールがリモートコンピューターで構成されています。このような例外は、デフォルトWindowsファイアウォールが有効になっている場合、Windows XP (SP 2)でよく発生します。

      解決策:

      • Windows XPマシンのデフォルトファイアウォールを無効にします:
        • [スタート] → [実行]の順に選択します。
        • ファイアウォールを入力して、[OK]をクリックします。
        • [全般]タブで、[オフ]をクリックします。
        • [OK]をクリックします。
      • ファイアウォールが無効にならない場合は、以下のコマンドを実行してリモートマシンで管理者用リモート管理を起動します:
      • netsh firewall set service RemoteAdmin

        スキャン後、以下のコマンドでリモート管理を無効にできます:

        netsh firewall set service RemoteAdmin disable

      エラーコード0x80040154

      • WMIはリモートWindowsワークステーションでは利用できません。これは、 Windows NTで発生します。WMIコンポーネントが適切にインストールされていない場合は、こうしたエラーが新しいバージョンのWindowsで発生する場合もあります。
      • 解決策:リモートワークステーションでWMIコアをインストールします。

      • コマンドプロンプトで次のコマンドを実行して、WMI DLLのファイルを登録します:
      • winmgmt /RegServer.

      エラーコード0x80080005

      デバイスマシンで実行しているWMIサービス(winmgmt.exe)でいくつか内部実行不良が発生しています。ワークステーションのWMIリポジトリの最後のアップデートが失敗した可能性があります。

      解決策:リモートワークステーションでWMIサービスを再起動します。

      • [スタート] → [実行]の順に選択します。
      • Services.mscと入力して、OKをクリックします
      • 開いているサービスウィンドウでWindows管理インストルメンテーションのサービスを選択します。
      • [再起動]を右クリックして選択します。

    他のエラーコードについては、MSDNナレッジベースを参照してください。

3.SyslogホストがLog360 Cloudエージェントに自動追加されません/Syslog受け取りが突然停止しました

ログを表示できる場合、パケットがマシンに到達してはいますが、Log360 Cloudエージェントに到達していないという意味です。WindowsファイアウォールまたはLinux IPテーブルをチェックする必要があります。

Log360 Cloudエージェントサーバーが到達できるかどうかをチェックするには、以下の手順に従います。

  • サーバーをPingします。
  • TCPの場合、コマンドテルネット<Log360 Cloud Agent_server_name><port_no>を試行できます。ここで514はデフォルトTCPポートです.
  • tcpdump
  • tcpdump -n dst <Log360 Cloud Agent_server_name> and dst port <port_no>

    到達できる場合、構成に一部問題があることを意味します。到達できない場合、ネットワーク問題があります。

4.エージェントのアップグレードに失敗しました。どうしたらよいですか?

原因

  • 製品アップグレード中エージェントとの接続がありません。
  • 認証情報が正しくありません。

解決策

[エージェントを管理]ページに移動して、エージェントを手動でインストールします。

エージェントをインストールするには:

Windowsデバイス: Log360CloudAgent.msiを実行します。エージェントをインストールする方法についての詳細手順は、ここをクリックしてください。

5.Autolog転送に失敗しました。どうしたらよいですか?

Autolog転送は、以下の3つの理由のいずれかが原因で失敗する場合があります。

  1. 認証情報が無効です - SSH接続を確立するのに使用するユーザー名/パスワード(ルートパスワード)が無効な可能性があります。
  2. デバイスが見つかりません - 構成しようとしたデバイスがネットワークで利用できない可能性があります。
  3. SSH接続確立に失敗 - SSHは、ユーザーが構成しようとしているデバイスで無効になっている可能性があります。
       概要