Troubleshooting
Problem
Symptom
様々な症状がトンネルの問題として考えられます:
- コンソールから変更のデプロイやフルデプロイを実行すると、管理対象ホストでタイムアウトとなる
- 管理対象ホストがコンソール上で不明なステータスとなる
- コンソールで検索実行時に " An IO error occurred on server(s) hostname. Please try again." エラーで失敗する
- qradar.log に次のようなエラーが見られる:
Setup process setuptunnel.host_114tunnelevent
stream has failed to start for 22 intervals. Continuing to try to start... 127.0.0.1 [ProcessMonitor] com.q1labs.hostcontext.processmonitor.ProcessManager: [ERROR] [NOT:0150114103][192.0.2.10/- -] [-/- -]Setup process setuptunnel.host_104tunnelrdate has failed to start for 276 intervals. Continuing to try to start..
[QRadar] [3330] qflow0: [WARNING] Lost connection to 192.0.2.10:32010
Cause
トンネルで問題が発生する原因はいくつかあります:
- SSH 接続の問題: Technote 10960870 - QRadar: Checking SSH connectivity to ensure a connection can be formed
- SSH 接続の検証: Technote 10960862 - QRadar: Validating SSH from the Console to a managed host is connecting
- SSH 接続のトラブルシューティング: Technote 10960868 - QRadar: Troubleshooting SSH when connections cannot be established
- コンソールと管理対象ホスト間の帯域幅が原因でトンネルがタイムアウトするか時々失敗する: Technote 10957897 - QRadar: Replication bandwidth requirements and verifying speed between console and managed host
- コンソールと管理対象ホストのバージョンが異なる: Technote 10960936 - QRadar: All hosts in your deployment must be at the same version
Environment
QRadar における暗号化接続「トンネル」について
QRadar コンソールが管理対象ホストと接続するために使われるすべてのポートは、トンネルを使用して暗号化できます。コンソールと管理対象ホスト間のトンネルされた接続は、TCP ポート 22 を使用して SSH 接続で行なわれます。QRadar は、コンソールへ接続する管理対象ホストに暗号化された接続と暗号化されていない接続の両方を使用するのを管理者に許可しています。コンソールと管理対象ホスト間の暗号化接続の設定は、管理 タブ > システムおよびライセンス管理 > デプロイメント・アクション > ホストの編集 > ホスト接続の暗号化 オプションにあります。デプロイメントによって管理対象ホストが追加されるか編集されると、管理者はアプライアンスの場所に基づいた接続を暗号化するオプションを選択できます。
セキュリティ上の理由から、管理対象ホストからコンソールへの SSH トンネルはセットアップできませんが、コンソールから管理対象ホストへの SSH トンネルはセットアップできます。管理対象ホストのパブリックキーは、コンソールの認証済みキーファイルには追加されません。これらの SSH セッションは、管理対象ホストへデータを提供するためにコンソールから開始されます。例えば、QRadar コンソールはセキュアな通信のためにイベント・プロセッサー・アプライアンスに複数の SSH セッションを開始できます。この通信は、ポート 443 の HTTPS データやポート 32006 の Ariel クエリデータのような SSH を通してトンネルされたポートも含みます。暗号化を使用する QRadar QFlow コレクターは、データを要求する フロー・プロセッサー・アプライアンスへ SSH セッションを開始できます。
トンネルを使用すると QRadar にレイヤーを追加し、パフォーマンスに影響を及ぼし得ます。もし閉じたネットワークを使用しているならば、トンネルは最適な解決策ではないかもしれません。 パフォーマンスを改善するには暗号化圧縮も有効にする必要があるかもしれません。 もし暗号化が必要だがトンネルを追加するのを失敗したなら、下記を参照し、SSH に関する同様のエラーメッセージか問題かどうかを判断して下さい。
注意: 管理者は管理対象ホスト間の SSH は有効化できません。SSH セッションはコンソールから発信されるか、管理対象ホストからコンソールへの SSH には root パスワードが要求されなければいけません。これは意図されており、セキュリティの一部としてユーザーが管理対象ホスト間を自由に移動するのを防ぐために IP テーブルが設定されています。 1 つの例外は、QFlow から フロー・プロセッサーに SSH を有効化できます。QFlow は、通信できるようにフロー・プロセッサーにトンネルを作成します。
Diagnosing The Problem
QRadar 7.3.x におけるトラブルシューティング方法
tunnel@tunnel2.service loaded failed failed QRadar Tunnel tunnel
他には、システムおよびライセンス管理からホストが Unknown ステータスになっていないか確認します。
ホストがオンラインであるか、ネットワークの問題がないことを確認します。
Resolving The Problem
トンネルの再起動
-
上記の例の様にトンネル
tunnel@tunnel2.service
が起動に失敗していた場合、コマンドを使用してトンネルサービスを再起動します:
systemctl restart tunnel@tunnel2.service - これらの方法で問題を解消しなかった場合、コンソールとトンネルが失敗している管理対象ホストからログを取得します。 Technote 1994597 - QRadar のトラブルの際にサポートに送付する資料について教えてください? のログ収集方法を参照してください。
- サポートサイトで Case をオープンします IBM QRadar support
- SSH 接続のトラブルシューティングについては、Technote 1078749 - QRadar: SSH 接続およびトンネルのトラブルシューティング を参照してください。
Related Information
Document Location
Worldwide
Was this topic helpful?
Document Information
Modified date:
13 April 2020
UID
ibm11086363