Bu makalede CMDB’de Windows Aracısı Bağlantısı Kesildi durumunun nasıl giderileceği açıklanmaktadır
Windows Agent her dakika sağlık durumunu Denetleyiciye günceller ve olaylar toplayıcı aracılığıyla gönderilir.
‘Olay Alma Durumu’nun günlüklerin gerçek zamanlı olarak alındığı ve hala Aracı durumunun ‘Bağlantı Kesildi’ olarak görüntülendiği normal senaryolar vardır. Denetleyici, Aracılardan sağlık durumunu almıyor.
Başlamak için, Windows Agent’ın sağlık durumunu doğrudan denetleyiciye mi yoksa HTTPS toplayıcısı aracılığıyla mı güncellediğini sorun. Bağlantı Kesildi durumunun olası nedenleri şunlar olabilir:
Denetleyici (veya Toplayıcı HTTPS proxy’si) Windows Aracısından trafik almıyor.
FortiSIEM Node, HTTPD Günlüklerinde aşağıdaki gibi aracı sağlık durumunu almalıdır:
# cat /var/log/httpd/ssl_access_log
Aracı durumu Etkin ise durum kodu aşağıdaki gibi 200 olur:
10.1.34.2 - - [11/Şub/2025:01:44:39 +0800] "PUT /phoenix/rest/windowsAgent/update HTTP/1.0" 200 258
10.1.33.99 - - [11/Şub/2025:01:43:53 +0800] "PUT /phoenix/rest/windowsAgent/update HTTP/1.0" 200 258
Bu günlükte, hata kodlarını veya denetleyiciye ulaşmayan trafiği kontrol edin.
Toplayıcı HTTPS proxy trafiği denetleyici tarafından kabul edilmedi.
Bu, collector httpd conf’daki agent-proxy.conf’un yanlış yapılandırılmasından veya yetkisiz aracı kullanıcısından kaynaklanıyor olabilir. Bu durumda trafik durumu 401 olur.
Agent Kurulum Belgeleri Bölümüne bakın: Collector’ı HTTPS Proxy Olarak Ayarlayın
Sağlık durumunun süpervizöre iletilmesinde sorun varsa, collector’daki örnek hata:
# cat /var/log/httpd/ssl_access_log
10.11.18.1 - - [20/Oca/2025:12:41:29 +0400] "PUT /phoenix/rest/windowsAgent/update HTTP/1.0" 401 998
10.110.18.50 - - [20/Oca/2025:12:42:09 +0400] "PUT /phoenix/rest/windowsAgent/update HTTP/1.0" 401 998
Windows Agent durumu göndermeye çalışıyor ancak ağ bağlantısı nedeniyle başarısız oluyor veya süpervizör tarafından yetkisiz olarak reddediliyor.
Aşağıdaki Windows sunucusundan hata ayıklama günlüklerini inceleyin:
Agent Service günlükleri C:\ProgramData\FortiSIEM\Agent\Logs\FSMLogAgent.log konumunda bulunur
Agent Application günlükleri C:\ProgramData\FortiSIEM\Agent\Logs\Trace.log konumunda bulunur
Ağ bağlantısı nedeniyle oluşan başarısızlıkta örnek hata:
2025-02-13 03:23:41,014 [1] ERROR FortiSIEM.Webproxy.AOWebService - NotifyStatusV2 exception
System.Net.WebException: Unable to connect to the remote server ---> System.Net.Sockets.SocketException: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond 10.11.19.3:443
Kimlik bilgileri veya toplayıcının yanlış HTTPS’si nedeniyle başarısız olan agent günlüklerinde örnek hata proxy:
2025-01-06 16:39:18,862 [1] ERROR FortiSIEM.Webproxy.AOWebService - NotifyStatusV2 exception
System.Net.WebException: The remote server returned an error: (403) Forbidden.
Herhangi bir 401 hatası için FortiSIEM’den yeni bir aracı kullanıcısıyla bir aracı dağıtmayı deneyin ve parolada farklı özel karakterlerle test edin.
İlgili makaleler:
Troubleshooting Tip: Windows Agent registered with Supervisor but not uploading events
Technical Tip: Windows Agent Fails to Register to the Supervisor (Installation)
9 total views, 9 views today
