工作流疑难解答

InsightConnect中的工作流故障可能起源于许多地方,从工作流中的错误到工作流所依赖的服务中的临时中断。将错误置于上下文中是确定故障源的必要步骤。

故障排除概述

InsightConnect工作流可以通过3种方式触发:

  • 通过测验构建器中的按钮
  • 在“活动工作流”页面上手动
  • 响应工作流的触发器

在后两种情况下(通过工作流的触发器或从活动工作流页面手动),将在“作业”页面上创建作业。但是,从生成器测试工作流时,不会创建作业记录。

无论工作流是如何触发的,可用于疑难解答的数据都是相同的,但是从生成器运行的工作流测试不会持久化,因此在疑难解答期间必须保持页面,以便您可以引用数据。

从生成器测试工作流

在激活工作流之前,会自动对其执行多项检查。这些测试确保工作流内部一致,并且所有步骤都已完全配置。如果某个步骤未通过检查,它将在生成器界面中变为橙色。

当这些内部检查失败时,可以在生成器中测试工作流。如果执行错误配置的步骤,将导致测试失败。

如果在生成器中使用测试功能,请确保在执行以下步骤之前,所有步骤均为绿色。

工作流在过去是有效的,但现在每项工作都失败了

如果工作流没有更改,但已开始持续失败,则问题可能在工作流之外。采取以下步骤:

  1. 检查下的编排器是否正常设置>编排器. 如果编排器不正常,请参阅对编排器进行故障排除进一步说明的文件。
  2. 检查工作流正在使用的凭据。在下运行连接测试设置>插件和工具对于工作流使用的所有连接。
  3. 请按照以下说明进行操作:故障排除失败的工作流.

未触发工作流(未创建作业)

如果工作流根本没有触发,那么触发器一定出了问题。根据触发器的类型,故障排除步骤有所不同。

InsightIDR和InsightVM平台触发器

InsightIDR和InsightVM触发器在各自的产品中配置。首先要检查的是触发器是否在这些接口中正确配置。确实如此包括InsightVM插件触发器。对于InsightVM插件触发器,请按照插件触发器要进行故障排除的部分。

InsightIDR工作流可见性

具有InsightIDR触发器的自定义工作流只有在InsightConnect中处于活动状态时才会显示在InsightIDR中。如果您创建的InsightIDR工作流未显示,请确保其处于活动状态。

如果正在触发工作流但缺少预期数据,则表示InsightIDR或InsightVM未将数据发送到InsightConnect。触发工作流的警报可能配置错误。

插件触发器(包括InsightVM基于插件的触发器)

基于插件的触发器在orchestrator上运行。它们连接到远程系统或服务,并监控特定条件。当条件满足时,它们将触发工作流。

对基于插件的触发器进行故障排除的步骤:

需要访问Orchestrator

您需要访问orchestrator才能访问基于插件的触发器的日志。验证触发器的配置后,需要访问orchestrator(使用SSH或虚拟机控制台)。这里强烈建议您熟悉Linux和Docker。

  1. 在下检查编排器的运行状况设置-如果编排器未显示为“正常”,则编排器本身存在问题。使用对编排器进行故障排除使编排器进入正常状态的文档。
  2. 使用插件上的三点菜单对插件运行连接测试插件和工具翻页设置. 解决指示的任何错误。
  3. 请验证工作流中的触发器配置是否正确。错误通常是由于配置导致触发器监视错误数据(例如错误的邮箱)或放弃您希望它触发的事件。
  4. 连接到orchestrator(使用SSH或虚拟机控制台)。
  5. 触发器作为orchestrator上的Docker容器运行。跑sudo docker ps-一个| grep触发器查看活动触发器容器。
  6. 根据显示的数据识别触发器(窗口越宽,越容易)。如果无法识别触发器,请尝试停用工作流,等待大约2分钟,然后重新激活它。这将重新启动触发器。在列出活动触发器时,您将在容器的正常运行时间中看到这一点。
  7. 使用容器ID(输出中的第一列)检查触发器的日志sudo docker日志<容器id>. 容器日志是触发器的诊断输出。您可以添加--跟随实时监视它们的标志(sudo docker日志--遵循)

日志是复杂的-支持可以帮助!

查看原始触发器日志可能是一项具有挑战性的任务。如果您不喜欢查看日志,或者只需要第二次查看日志,请毫不犹豫地联系Rapid7支持部门。

如果触发器容器不存在,请参阅对编排器进行故障排除记录并联系Rapid7支持部门。

工作流正在连续或间歇地生成失败的作业

工作流是根据某些假设构建的:触发器包含某些数据,它可以在其他系统和服务中查找数据,等等。当作业间歇生成失败的作业时,这意味着这些假设没有得到满足。通常,但并非总是如此,这意味着必须修改工作流以考虑导致其失败的条件。

并非所有失败的步骤都是致命的

某些工作流具有设计为偶尔失败的步骤。这些步骤设置为“失败时继续”,并且不会终止工作流。这些工作流经过专门设计,以适应失败的步骤。在查找导致作业失败的步骤时,请确保查看的是作业中最后一个失败的步骤。

  1. 在下面乔布斯,选择失败的作业。
  2. 选择所有输出标签。
  3. 在作业中查找失败的步骤。
  4. 检查输入步骤输出的选项卡。验证输入是否符合您的预期以及插件的预期。常见的问题是输入丢失或格式错误。
  5. 如果输入不正确,请检查工作流并确定输入来自何处。输入不正确通常意味着上一步返回的是意外数据。
  6. 检查日志步骤输出的选项卡。此日志包含与故障相关的诊断信息,例如从基础服务返回的错误消息。
  7. 如果日志指示权限问题,请在上运行连接测试设置>插件和工具翻页并验证凭据是否正确。如果连接测试成功,但由于权限问题,该步骤仍然失败,则该插件可能没有执行该操作的正确权限。
  8. 如果日志指示超时问题,则可能是基础服务的服务中断,或者orchestrator遇到与基础服务的连接困难。

如果您没有看到任何错误,或者存在无法修复的错误,请截取您的输入和日志,并联系快速7支援.