Troubleshooting
Problem
IBM® は、QRadar SIEM の自動更新サーバーを IBM Cloud® の新しい場所に移行しています。この通知は、毎日および毎週のソフトウェア・アップデートが中断されないようにするために、新しい IBM Cloud® Web サーバーを使用するように自動更新設定を変更する必要があることを管理者に知らせるためのものです。また、組織内で IP ベースのファイアウォール・ルールを使用している管理者は、IBM Cloud 自動更新 Web サーバーへのトラフィックを許可するように、企業のファイアウォール・ルールを更新する必要があります。
Resolving The Problem
注: 管理者は、自動更新のダウンロードで中断することを避けるために、2020年11月30日までに自動更新サーバーの設定を変更する必要があります。 APAR IJ29298 で説明されているように構成を更新すると、無害なエラー・メッセージがユーザー・インターフェースに表示されることがあります。
アップデートについて
アップデートについて
IBM® は、2020 年 7 月 27 日より、QRadar® の自動更新サーバーを IBM Cloud に移行し、より良いアップデートをグローバルに提供します。IP ベースのルールを使用するファイアウォールを使用している管理者は、2020 年 11 月 30 日以降、自動更新のダウンロードが中断されます。このサーバーの変更により、IBM Cloud® クラスターを通じて、全世界のすべての QRadar 自動更新に単一のホスト名と IP アドレスが利用できるようになります。
QRadar コンソールで /var/log/qradar.log を確認して、自動更新または tomcat.tomcat のエラー・メッセージを確認します。
ユーザー・インターフェースのエラーメッセージ:
![image-20200317150131-2](/support/pages/system/files/inline-images/image-20200317150131-2.png)
エラー・ログの例:
SSL 500 プロキシー・エラーの解決方法
マニフェストおよび接続の事象を解決するために、ユーティリティーが IBM Fix Central よりリリースされました。 IBM Fix Central 上の AUProxyFP.tgz ファイルを使用して、すべての QRadar 7.3.x バージョンおよび 7.4.x バージョンでプロキシー接続の事象を解決できます。
サーバー変更 | Web サーバーのホスト名 | 静的 IP アドレスとポート | 場所 | 説明 |
新しいサーバークラスタ | https://auto-update.qradar.ibmcloud.com/ | 169.47.251.244:443 | グローバル | 2020 年 7 月 27 日に新サーバーが稼動 |
レガシー・サーバー | https://qmmunity.q1labs.com/ | 69.20.113.167 | アメリカ | 2020 年 11 月 30 日まで有効 |
レガシー・サーバー | https://qmmunity-eu.q1labs.com/ | 212.64.156.13 | ヨーロッパ | 2020 年 11 月 30 日まで有効 |
影響を受けるバージョン
すべての QRadar® 製品およびバージョンが、この変更の影響を受けます。
重要: 企業のファイアウォールのアップデートを実施していない管理者は、2020 年 11 月 30 日以降、サービスの中断を経験する可能性があります。QRadar® サポートでは、すべての管理者がメンテナンス期間中に QRadar Console の自動更新設定を更新し、自動更新が正常に完了することを確認することを推奨します。
重要: 企業のファイアウォールのアップデートを実施していない管理者は、2020 年 11 月 30 日以降、サービスの中断を経験する可能性があります。QRadar® サポートでは、すべての管理者がメンテナンス期間中に QRadar Console の自動更新設定を更新し、自動更新が正常に完了することを確認することを推奨します。
概要
管理者は、2020 年 7 月 27 日以降、新しいサーバーを使用するように QRadar 自動更新サーバーを更新できます。管理者は、企業のファイアウォール・チームに連絡して、2020 年 11 月 30 日までに IP ベースのファイアウォール・ルールが更新され、新しい静的 IP アドレス 169.47.251.244 が使用されるようにする必要があります。 QRadar サポートでは、管理者が自動更新ホスト名と静的 IP アドレスの両方を自社のファイアウォール・ポリシー・ルールに追加して、トラフィックを許可することを推奨します。
Web サーバー | 静的 IP アドレスとポート | 場所 | 説明 |
https://auto-update.qradar.ibmcloud.com/ | 169.47.251.244:443 | グローバル | 2020 年 7 月 27 日に新サーバーが稼動 |
必要なアクション : 自動更新サーバー・アドレスの構成
すべての QRadar 管理者は、自動更新のダウンロードが中断されないように、2020 年 11 月 30 日までに自動更新サーバーの構成を更新する必要があります。
- 管理者( admin ユーザー)として QRadar コンソールにログインします。
注: QRadar on Cloud 管理者は、この変更を行う必要はありません。 QRadar on Cloud DevOps チームは、新しい IBM Cloud の毎週の自動更新サーバーを使用するために、QRadar on Cloud Console アプライアンスに変更を実装しました。 - 「 Admin 」タブをクリックします。
- 「 Change Setting 」をクリックします。
- 「 Advanced 」タブをクリックし、更新サーバーとバックアップ設定を構成します。
- 「 Web Server 」フィールド内に右記のアドレスを入力します。 : https://auto-update.qradar.ibmcloud.com/
注 : 「 Web Server 」フィールドでは、サーバー・エラーとしてフォーマットが無効になることを防ぐため、末尾にスラッシュ「 / 」文字を含める必要があります。無効なフォーマットのエラー・メッセージが表示される場合は、自動更新サーバー URL の末尾に「 / 」文字が付いていることを確認してください。 - プロンプトが表示されたら、「 Yes 」をクリックして自動更新設定をロードします。このサービスの再起動ではサービスは停止せず、構成を再ロードして既存の構成のリフレッシュのみを行います。
- 自動更新構成をテストするには、「 Check for Updates 」をクリックします。
- 「 Get New Updates 」をクリックします。
- 自動更新サーバーがファイルを更新するまで待機します。更新は完了するまでに数分かかる場合があります。
結果
自動更新が完了すると管理者にシステム通知されます。必要に応じて、管理者は更新内容が「 View Update History 」ページから反映されたことを確認するか、またはコマンド・ラインを使用して、新しい自動更新サーバー( https://auto-update.qradar.ibmcloud.com/ )を使用していることを確認することができます。問題がある場合は、トラブルシューティングのセクションを参照してください。
トラブルシューティング: SSL 検査の要件
QRadar 自動更新サーバーの URL に対してプロキシー SSL 検査が有効な場合、自動更新サーバーへの接続が失敗することがあります。SSL 検査が有効な場合、自動更新サーバーから不正な CA が返され「"vendor_manifest_list_512": 400 Bad Request 」エラーが発生します。この問題を解決するために管理者は、https://auto-update.qradar.ibmcloud.com/ のプロキシーで SSL 検査を無効にします。
QRadar コンソールで /var/log/qradar.log を確認して、自動更新または tomcat.tomcat のエラー・メッセージを確認します。
Sep 17 12:46:02 hostname AUTOUPDATE[116470]: Autoupdate 9.6 initialized.
Sep 17 12:46:02 hostname AUTOUPDATE[116470]: Do we need to turn on SSL Cert
Sep 17 12:46:05 hostname AUTOUPDATE[116470]: Could not retrieve "vendor_manifest_list_512": 400 Bad Request
Sep 17 12:46:06 hostname AUTOUPDATE[116470]: Could not retrieve "dau/dau.manifest.xml.asc": 400 Bad Request
Sep 17 12:46:06 hostname AUTOUPDATE[116470]: Could not retrieve signature for the manifest file.
Sep 17 12:46:08 hostname AUTOUPDATE[116470]: Could not read company
または
Sep 17 12:46:08 hostname tomcat [6599]: 2020-11-12 18:48:21,006 [QRADAR] [hostname@IPAddress (5562)
/console/do/qradar/autoupdateSettings] org.apache.commons.httpclient.HttpMethodBase:
[INFO] Response content length is not known
Sep 17 12:46:18 hostname [tomcat.tomcat] [hostname@IPAddress (5562) /console/do/qradar/autoupdateSettings]
com.q1labs.autoupdate.ui.services.UIAutoupdateService:
[INFO] [IPADDRESS/- -] Connected to the autoupdate server, but cannot recognize the certificate.
We take this as good enough for validation purpose.
SSL 検査が有効かどうかを確認するために、管理者は QRadar 自動更新サーバーへの curl を試み、返された SSL CA 証明書を比較することができます。返された証明書の会社名フィールドに SSL 検査プロバイダーが記載されている場合、QRadar 自動更新サーバーの URL に対して SSL 検査を無効にする必要があることを示しています。
手順
- 管理者( root ユーザー)として QRadar コンソールにログインします。
- SSL CA 証明書を確認するためには、次のように入力します。
プロキシーを使用しない接続の場合:-
curl -v https://auto-update.qradar.ibmcloud.com/autoupdates/manifest_list
-
curl -kv https://auto-update.qradar.ibmcloud.com/autoupdates/manifest_list
匿名プロキシー接続の場合:-
curl -v -x https://proxy_server:proxy_port https://auto-update.qradar.ibmcloud.com/autoupdates/manifest_list
-
curl -kv -x https://proxy_server:proxy_port https://auto-update.qradar.ibmcloud.com/autoupdates/manifest_list
-
- 返された SSL CA 証明書を確認して、会社名が表示されるかどうかを判断します。
- プロキシーで https://auto-update.qradar.ibmcloud.com/ の SSL 検査を無効にします。
結果
SSL検査を無効にした後、管理者は自動更新を実行して、最新の自動更新を取得することができます。問題が解決しない場合は、他のトラブルシューティングのセクションを参照するか、 QRadar サポート にお問合せください。
トラブルシューティング : コマンド・ラインから自動更新設定を確認する方法
コマンド・ラインを使用する管理者は、新しい自動更新サーバーへの接続を確認するため、 root ユーザーとして QRadar コンソールへ SSH 接続してください。
トラブルシューティング : プロキシー確認および SSL 500 のエラー・メッセージ
自動更新を受け取ることができない QRadar で、自動更新設定にプロキシーを設定したユーザーは自動更新ログで下記のエラーを表示します。
- Could not contact the update server ( 更新サーバーに接続できませんでした。 )
- 500 SSL negotiation failed ( 500 SSL ネゴシエーションが失敗しました。 )
- Could not download manifest list ( マニフェスト・リストをダウンロードできませんでした。 )
ユーザー・インターフェースのエラーメッセージ:
![image-20200317150131-2](/support/pages/system/files/inline-images/image-20200317150131-2.png)
エラー・ログの例:
Fri Mar 6 03:34:03 2020 [WARN] Could not retrieve "manifest_list_512": 500
Can't connect to auto-update.qradar.ibmcloud.com:443 (Crypt-SSLeay can't verify hostnames)
Fri Mar 6 03:34:03 2020 [DEBUG] Set error_code to 4 Fri Mar 6 03:34:03 2020 [DEBUG] Previous
Value: 6 Fri Mar 6 03:34:03 2020 [DEBUG] Updating DB Fri Mar 6 03:34:03 2020 [DEBUG] Successfully
Updated DB error_code to 4 Fri Mar 6 03:34:03 2020 [WARN] Could not download manifest list.
Fri Mar 6 03:34:03 2020 [DEVEL] Cleanup requested with return code 0 Fri Mar 6 03:34:03 2020 [DEBUG]
Set autoupdate_status to 0 Fri Mar 6 03:34:03 2020 [DEBUG] Previous Value: 1 Fri Mar 6 03:34:03 2020
[DEBUG] Updating DB Fri Mar 6 03:34:03 2020 [DEBUG] Successfully Updated DB autoupdate_status to 0
Fri Mar 6 03:34:03 2020 [DEVEL] Cleaning up scripts.
SSL 500 プロキシー・エラーの解決方法
マニフェストおよび接続の事象を解決するために、ユーティリティーが IBM Fix Central よりリリースされました。 IBM Fix Central 上の AUProxyFP.tgz ファイルを使用して、すべての QRadar 7.3.x バージョンおよび 7.4.x バージョンでプロキシー接続の事象を解決できます。
- IBM Fix Central からラップトップまたはワークステーションに自動更新フィックス・パックをダウンロードします。: AUProxyFP.tgz.
- 管理者( root ユーザー)として QRadar コンソールにログインします。
- ファイルを QRadar コンソールのディレクトリー ( /root、/tmp、または /storetmp など) にコピーします。
- ファイルをコピーしたディレクトリーに移動します。
- 次のコマンドを入力して、ファイルを抽出します。: gunzip -c AUProxyFP.tgz | tar zxvf -
- 抽出されたファイルがあるディレクトリーに移動します。
- 次のコマンドを入力して、プロキシー・フィックスパックをインストールします: ./install.sh
- インストールが完了したら、次のコマンドを入力して接続を確認します。:
/opt/qradar/bin/UpdateConfs.pl -testConnect 1 0
- 成功すると、下記のメッセージが表示されます。ステップ 9 に進んでください。
[AUTOUPDATE] [TESTCONNECT] Test downloaded successfully!
- 失敗すると、下記のメッセージが表示され、管理者はプロキシー構成を確認する必要があります。
[AUTOUPDATE] [TESTCONNECT] Could not download manifest list. - 管理者( admin ユーザー)として QRadar コンソールにログインします。
- 左上のメニュー ( Ξ ) の中から「 Admin 」タブをクリックします。
- 「 Auto Update 」アイコンをクリックします。
- 「 Get New Updates 」ボタンをクリックします。
- 自動更新が接続を試行するまで待機します。
- 「 View Log 」をクリックし、最新の更新状況を確認します。
結果
"Could not contact the update server: 500 SSL negotiation failed: Could not download manifest list" に関連する問題またはエラー メッセージが引き続き発生する場合は、 QRadar サポート へご連絡ください。
Related Information
Document Location
Worldwide
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtDAAQ","label":"Auto Update"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
22 June 2023
UID
ibm16333433