Problem Authentic8 APP

nejmeddineSD · ‎07-15-2024

J'ai un problème dans les logs Splunk pour l'application authentic8 :

ERROR ExecProcessor [42337 ExecProcessorSchedulerThread] - message from "/opt/splunk/bin/python3.7 /opt/splunk/etc/apps/TA-authentic8/bin/authentic8.py" solnlib.packages.splunklib.binding.HTTPError: HTTP 500 Internal Server Error -- {"messages":[{"type":"ERROR","text":"Unexpected error \"<class 'splunktaucclib.rest_handler.error.RestError'>\" from python handler: \"REST Error [500]: Internal Server Error -- Traceback (most recent call last):\n File \"/opt/splunk/etc/apps/TA-authentic8/bin/ta_authentic8/aob_py3/splunktaucclib/rest_handler/handler.py\", line 117, in wrapper\n for name, data, acl in meth(self, *args, **kwargs):\n File \"/opt/splunk/etc/apps/TA-authentic8/bin/ta_authentic8/aob_py3/splunktaucclib/rest_handler/handler.py\", line 352, in _format_all_response\n self._encrypt_raw_credentials(cont['entry'])\n File \"/opt/splunk/etc/apps/TA-authentic8/bin/ta_authentic8/aob_py3/splunktaucclib/rest_handler/handler.py\", line 386, in _encrypt_raw_credentials\n change_list = rest_credentials.decrypt_all(data)\n File \"/opt/splunk/etc/apps/TA-authentic8/bin/ta_authentic8/aob_py3/splunktaucclib/rest_handler/credentials.py\", line 290, in decrypt_all\n all_passwords = credential_manager._get_all_passwords()\n File \"/opt/splunk/etc/apps/TA-authentic8/bin/ta_authentic8/aob_py3/solnlib/utils.py\", line 159, in wrapper\n return func(*args, **kwargs)\n File \"/opt/splunk/etc/apps/TA-authentic8/bin/ta_authentic8/aob_py3/solnlib/credentials.py\", line 272, in _get_all_passwords\n clear_password += field_clear[index]\nTypeError: can only concatenate str (not \"NoneType\") to str\n\". See splunkd.log/python.log for more details."}]}
ERROR AesGcm [4757 TcpChannelThread] - Text decryption - error in finalizing: No errors in queue
ERROR AesGcm [4757 TcpChannelThread] - AES-GCM Decryption failed!
ERROR Crypto [4757 TcpChannelThread] - Decryption operation failed: AES-GCM Decryption failed!
ERROR AesGcm [4757 TcpChannelThread] - Text decryption - error in finalizing: No errors in queue
ERROR AesGcm [4757 TcpChannelThread] - AES-GCM Decryption failed!
ERROR Crypto [4757 TcpChannelThread] - Decryption operation failed: AES-GCM Decryption failed!
ERROR AesGcm [4757 TcpChannelThread] - Text decryption - error in finalizing: No errors in queue
ERROR AesGcm [4757 TcpChannelThread] - AES-GCM Decryption failed!
ERROR Crypto [4757 TcpChannelThread] - Decryption operation failed: AES-GCM Decryption failed!
ERROR AesGcm [4757 TcpChannelThread] - Text decryption - error in finalizing: No errors in queue
ERROR AesGcm [4757 TcpChannelThread] - AES-GCM Decryption failed!
ERROR Crypto [4757 TcpChannelThread] - Decryption operation failed: AES-GCM Decryption failed!
ERROR AesGcm [4757 TcpChannelThread] - Text decryption - error in finalizing: No errors in queue
ERROR AesGcm [4757 TcpChannelThread] - AES-GCM Decryption failed!
ERROR Crypto [4757 TcpChannelThread] - Decryption operation failed: AES-GCM Decryption failed!
ERROR AesGcm [4757 TcpChannelThread] - Text decryption - error in finalizing: No errors in queue
ERROR AesGcm [4757 TcpChannelThread] - AES-GCM Decryption failed!
ERROR Crypto [4757 TcpChannelThread] - Decryption operation failed: AES-GCM Decryption failed!
ERROR AesGcm [4757 TcpChannelThread] - Text decryption - error in finalizing: No errors in queue
ERROR AesGcm [4757 TcpChannelThread] - AES-GCM Decryption failed!
ERROR Crypto [4757 TcpChannelThread] - Decryption operation failed: AES-GCM Decryption failed!
ERROR AesGcm [4757 TcpChannelThread] - Text decryption - error in finalizing: No errors in queue
ERROR AesGcm [4757 TcpChannelThread] - AES-GCM Decryption failed!
ERROR Crypto [4757 TcpChannelThread] - Decryption operation failed: AES-GCM Decryption failed!

Je ne comprend pas pourquoi il y a un problème decryptage sur le FW alors que sur le SH il n' y a rien

valter · ‎08-05-2024

Pour diagnostiquer le problème signalé dans les journaux Splunk pour l'application authentic8 avec le message d'erreur `ERROR ExecProcessor [42337 ExecProcessorSchedulerThread] - message from "/opt/splunk/bin/python3.7 /opt/splunk/etc/apps/TA-authentic8/bin/authentic8.py"`, suivez ces étapes :

1. **Vérifiez le Message d'Erreur Complet** : Le message d'erreur complet donne des informations cruciales. Dans ce cas, il y a plusieurs erreurs mentionnées :
- `HTTP 500 Internal Server Error` indique une erreur côté serveur lors de la manipulation de la requête.
- Une erreur liée à `REST Error [500]` spécifiquement sur le décryptage des identifiants.

2. **Causes Courantes des Erreurs ExecProcessor** : Les erreurs `ExecProcessor` dans Splunk sont souvent liées à des problèmes avec les entrées scriptées, les scripts personnalisés ou les entrées modulaires. Cela peut inclure :
- **Permissions** : Assurez-vous que le script `/opt/splunk/etc/apps/TA-authentic8/bin/authentic8.py` a les bonnes permissions d'exécution.
- **Chemin du Script** : Vérifiez que le chemin vers le script est correct et que le fichier existe à cet emplacement.
- **Dépendances Manquantes** : Assurez-vous que toutes les dépendances nécessaires pour le script Python sont installées et accessibles.
- **Erreurs dans le Script** : Le script peut contenir des erreurs ou des bugs. Essayez de l'exécuter manuellement pour voir s'il produit des erreurs.

3. **Problèmes de Décryptage AES-GCM** : Il y a plusieurs erreurs indiquant des échecs de décryptage avec AES-GCM :
- **Problèmes de Configuration** : Assurez-vous que les clés de décryptage et autres configurations cryptographiques sont correctes et disponibles pour le script.
- **Problèmes de Données** : Les données chiffrées peuvent être corrompues ou mal formatées, empêchant leur décryptage.

4. **Enquêtez sur les Changements Récents** : Y a-t-il eu des changements récents dans l'application authentic8, l'environnement ou la configuration de Splunk ? Des modifications apportées aux scripts, aux permissions, aux chemins ou l'installation de nouveaux logiciels peuvent introduire des problèmes.

5. **Vérifiez les Permissions du Script** : Assurez-vous que le script que `ExecProcessor` tente d'exécuter dispose des permissions correctes. Par exemple, il doit avoir des permissions d'exécution pour l'utilisateur Splunk.

6. **Validez le Chemin du Script** : Vérifiez que le chemin vers le script ou l'exécutable est correct et qu'il n'y a pas de fautes de frappe ou de fichiers manquants.

7. **Testez le Script Manuellement** : Essayez d'exécuter le script manuellement en dehors de Splunk pour voir s'il produit des erreurs. Cela peut aider à identifier des problèmes que Splunk pourrait ne pas indiquer explicitement.

8. **Consultez la Documentation et les Forums Communautaires de Splunk** : Recherchez dans la documentation de Splunk et les forums communautaires des problèmes similaires. Il pourrait y avoir des problèmes connus ou des étapes de dépannage supplémentaires spécifiques à l'erreur que vous rencontrez.

9. **Configuration de Splunk** : Assurez-vous que le fichier de configuration `inputs.conf` est correctement configuré pour l'entrée scriptée. Une mauvaise configuration ici peut entraîner des erreurs `ExecProcessor`.

En résumé, le problème semble être lié à une erreur de décryptage AES-GCM et un problème avec la gestion des identifiants chiffrés. Vous devriez examiner la configuration cryptographique de l'application authentic8 et vérifier les permissions et la disponibilité du script. Si vous avez plus de détails ou des journaux supplémentaires, cela pourrait aider à diagnostiquer plus précisément le problème.

Problem Authentic8 APP

Aligning Observability Costs with Business Value: Practical Strategies

Mastering Data Pipelines: Unlocking Value with Splunk

Splunk Up Your Game: Why It's Time to Embrace Python 3.9+ and OpenSSL 3.0

Are you a member of the Splunk Community?

Problem Authentic8 APP

Aligning Observability Costs with Business Value: Practical Strategies

Mastering Data Pipelines: Unlocking Value with Splunk

Splunk Up Your Game: Why It's Time to Embrace Python 3.9+ and OpenSSL 3.0