Question & Answer
Question
QRadar SIEM のコマンド・ライン・インターフェース ( CLI ) から特定のサービスをリスタートした場合にどのような影響がありますか?
Answer
注: 本ガイドは、サービスがリスタートされた際の影響を参照するためのものです。サービスのリスタート時には、イベント収集の停止、検索またはレポートのエラーが発生し、一般的なユーザー・エクスペリエンスに影響を与える可能性があります。この表は、サービスと製品機能との関係をまとめたものです。サポートから要求されない限りはお客様のご判断でサービスをリスタートしないようお願いします。
サービス | 目的 | 実行場所 |
リスタート時の影響
|
---|---|---|---|
accumulator | 統計を行うサービスです。 QRadar UI で相当期間を時系列グラフで生成するため、 accumulator はこれらの時系列グラフを素早くデータ化するためにシステム内のデータを日付単位、時間単位、分単位で作成します。 | ・コンソール ・管理対象ホスト |
集約データ、レポート、検索に影響します。 |
arc_builder | 既知の CIDR のセットとサービス・ポートに基づいて、集約フローおよびイベントをバンドルします。 | ・コンソール | QRadar Risk Managerアプライアンス用の接続データです。このサービスはQRadar Risk Managerでのみ使用されます。 |
ariel_proxy_server | ariel proxy server は、異なるプロセスから ariel query server へ検索リクエストのプロキシ処理を行います。query server から検索結果が返されると、 ariel proxy は、さまざまな配列のデータを集計および変換し、処理および取得後にサーバー・サイド・カーソルに保管します。 | ・コンソール | 検索からデータを得る管理対象ホストの全てのリクエストが停止します。 |
ariel_query_server | ariel query server は、管理対象ホスト上の ariel データベースの読み取りを担当しており、追加処理としてリクエストに一致するデータをプロキシ・サーバーに送信します。 | ・管理対象ホスト | Ariel データ・ベースのすべての検索データが管理対象ホスト上で停止します。 |
asset_profiler | アセットおよび ID モデルをデータベース内で保持させるサービスです。 | ・コンソール | このサービスがオンラインになるまで、アセットは追加または更新されません。 |
docker | Docker は、コンテナー化されたアプリケーションのデプロイと管理を担当します。 | ・コンソール ・アプリケーション・ホスト |
サービスの再起動中は、すべてのアプリケーションの動作が停止します。また、アプリケーションで収集したデータも再起動時に失われます。 |
ecs-ec-ingress | イベント相関サービス - Event Collector Ingress : ecs-ec と ecs-ep がリスタートされている間に、イベントをバッファー内に収集します。収集後にデータを ecs-ec および ecs-ep にスプールします。 |
・コンソール ・管理対象ホスト |
本サービスを停止させると、イベントをバッファー内に収集して他の ecs サービスにスプールすることが出来なくなります。 |
ecs-ec | イベント相関サービス - Event Collector : イベントを構文解析および正規化し、統一させます。 |
・コンソール ・管理対象ホスト |
構文解析および正規化しているイベントとフローが停止します。 |
ecs-ep | イベント相関サービス - Event Processor : イベント(カスタム・ルール・エンジン)を相関させ、イベントを Ariel データベースに保管し、 CRE 内のルールに一致するイベントを問題分析コンポーネントに転送します。 |
・コンソール ・管理対象ホスト |
構文解析およびイベント・ストレージの相関に影響します。 |
ha_manager | DRBD(Distributed Replicated Block Device) の制御や他のサービスの起動・再起動を担当するサービス。ストアがマウントされている場合は VIP が使用します。 | ・HAの任意のサーバー | アクティブな HA ステータスのホストのネットワークを含むすべてのサービスを再起動します。スタンバイのホストで再起動すると、Distribution Replication Block Device に影響を与える可能性があります。 |
historical_correlation_server | 履歴データに基づいてオフェンスを作成する機能を提供します。 (例:バルク・ロード・データ、ワンタイム・ルール・テストなど) | ・コンソール | オフェンスのデータに関する履歴検索に影響します。 |
hostcontext | デプロイメント内の各アプライアンス上で動作して、各コンポーネントの開始、停止、およびステータス確認を行う「 Process Manager 」コンポーネントを実行します。 Hostcontext は、以下の役割があります。 ・パッケージ(コンソール)と DB 複製バンドルのダウンロード/適用(管理ホスト) ・更新した構成ファイルをリクエスト、ダウンロード、解凍、およびアプライアンス内の他のコンポーネントに通知 ・ PostgreSQL トランザクションの監視、および所定時間を超過したプロセスのリスタート (この動作は「 TxSentry 」と呼ばれます。) ・ディスク・クリーンアップのため、ディスク・メンテナンス・ルーチン ・トンネリング、 ecs 、 accumulator 、 Ariel_proxy 、 Ariel_query 、Qflow 、レポーティング、 Asset_profiler のスタート |
・コンソール ・管理対象ホスト |
Hostcontext は、 ecs-ingress を除くその他すべてのサービスを管理します。 hostcontext で制御されるすべてのサービスは、リスタートするまでアクティブになりません。 |
hostservices | 進行中のデーモンとして実行します。その他に 2 つの実行プロセスを追跡します。メッセージ・キュー( IMQ )が QRadar コンポーネントと PostgreSQL 間の通信ポートをオープンにします。 | ・コンソール ・管理対象ホスト |
データ・ベースは、 IMQ と共に機能しなくなります。それにより、 Hostcontext と Tomcat にも影響します。 |
Network Services | QRadar パッチ事前テストの一環として、Network サービスがリスタートします。 | ・コンソール ・管理対象ホスト |
Network Services のリスタートに伴い、イベントが中断される場合があります。Network Services がリスタートするまで、コンソール UI へのアクセスや SSH が利用できない場合があります。 |
qflow | 複数のソースからフロー情報を収集して、「作成」します。 | ・コンソール ・管理対象ホスト |
フロー・データは、リスタートするまで利用できません。 |
reporting_executor | レポーティングのためにスケジューラーを実行します。 | ・コンソール | 実行中のレポートはすべてキャンセルされ、リスタートが必要になります。 新しくスケジュールされたレポートは、このサービスがスタートするまで実行されません。 |
Tomcat | UI および Web サービス/ RPC コールを保持するために使用される Web コンテナです。 | ・コンソール | UI が利用できません。 |
vis | スキャナー・モジュールを駆動させるエンジンです。 | ・コンソール ・管理対象ホスト |
スキャンは機能せず、実行中の場合はリスタートさせる必要があります。 |
Related Information
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
18 May 2023
UID
ibm15692544