IBM Support

QRadar : [ 重要 ] 自動更新サーバー変更のご案内

Troubleshooting


Problem

IBM® は、QRadar SIEM の自動更新サーバーを IBM Cloud® の新しい場所に移行しています。この通知は、毎日および毎週のソフトウェア・アップデートが中断されないようにするために、新しい IBM Cloud® Web サーバーを使用するように自動更新設定を変更する必要があることを管理者に知らせるためのものです。また、組織内で IP ベースのファイアウォール・ルールを使用している管理者は、IBM Cloud 自動更新 Web サーバーへのトラフィックを許可するように、企業のファイアウォール・ルールを更新する必要があります。

Resolving The Problem

注: 管理者は、自動更新のダウンロードで中断することを避けるために、2020年11月30日までに自動更新サーバーの設定を変更する必要があります。 APAR IJ29298 で説明されているように構成を更新すると、無害なエラー・メッセージがユーザー・インターフェースに表示されることがあります。
アップデートについて
IBM® は、2020 年 7 月 27 日より、QRadar® の自動更新サーバーを IBM Cloud に移行し、より良いアップデートをグローバルに提供します。IP ベースのルールを使用するファイアウォールを使用している管理者は、2020 年 11 月 30 日以降、自動更新のダウンロードが中断されます。このサーバーの変更により、IBM Cloud® クラスターを通じて、全世界のすべての QRadar 自動更新に単一のホスト名と IP アドレスが利用できるようになります。
 
サーバー変更 Web サーバーのホスト名 静的 IP アドレスとポート 場所 説明
新しいサーバークラスタ https://auto-update.qradar.ibmcloud.com/ 169.47.251.244:443 グローバル 2020 年 7 月 27 日に新サーバーが稼動
レガシー・サーバー https://qmmunity.q1labs.com/ 69.20.113.167 アメリカ 2020 年 11 月 30 日まで有効
レガシー・サーバー https://qmmunity-eu.q1labs.com/ 212.64.156.13 ヨーロッパ 2020 年 11 月 30 日まで有効

影響を受けるバージョン

すべての QRadar® 製品およびバージョンが、この変更の影響を受けます。

重要: 企業のファイアウォールのアップデートを実施していない管理者は、2020 年 11 月 30 日以降、サービスの中断を経験する可能性があります。QRadar® サポートでは、すべての管理者がメンテナンス期間中に QRadar Console の自動更新設定を更新し、自動更新が正常に完了することを確認することを推奨します。

概要

管理者は、2020 年 7 月 27 日以降、新しいサーバーを使用するように QRadar 自動更新サーバーを更新できます。管理者は、企業のファイアウォール・チームに連絡して、2020 年 11 月 30 日までに IP ベースのファイアウォール・ルールが更新され、新しい静的 IP アドレス 169.47.251.244 が使用されるようにする必要があります。 QRadar サポートでは、管理者が自動更新ホスト名と静的 IP アドレスの両方を自社のファイアウォール・ポリシー・ルールに追加して、トラフィックを許可することを推奨します。
 
Web サーバー 静的 IP アドレスとポート 場所 説明
https://auto-update.qradar.ibmcloud.com/ 169.47.251.244:443 グローバル 2020 年 7 月 27 日に新サーバーが稼動

 

必要なアクション : 自動更新サーバー・アドレスの構成

すべての QRadar 管理者は、自動更新のダウンロードが中断されないように、2020 年 11 月 30 日までに自動更新サーバーの構成を更新する必要があります。

  1. 管理者( admin ユーザー)として QRadar コンソールにログインします。
    : QRadar on Cloud 管理者は、この変更を行う必要はありません。 QRadar on Cloud DevOps チームは、新しい IBM Cloud の毎週の自動更新サーバーを使用するために、QRadar on Cloud Console アプライアンスに変更を実装しました。
  2. Admin 」タブをクリックします。
  3. System Configuration セクションで、「 Auto Update 」をクリックします。
    image 5134
  4. Change Setting 」をクリックします。
  5. Advanced 」タブをクリックし、更新サーバーとバックアップ設定を構成します。
  6. Web Server 」フィールド内に右記のアドレスを入力します。 : https://auto-update.qradar.ibmcloud.com/
    image 5652

    注 :Web Server 」フィールドでは、サーバー・エラーとしてフォーマットが無効になることを防ぐため、末尾にスラッシュ「 / 」文字を含める必要があります。無効なフォーマットのエラー・メッセージが表示される場合は、自動更新サーバー URL の末尾に「 / 」文字が付いていることを確認してください。
    image 5136
  7. プロンプトが表示されたら、「 Yes 」をクリックして自動更新設定をロードします。このサービスの再起動ではサービスは停止せず、構成を再ロードして既存の構成のリフレッシュのみを行います。
  8. 自動更新構成をテストするには、「 Check for Updates 」をクリックします。
  9. Get New Updates 」をクリックします。
    image 5139
  10. 自動更新サーバーがファイルを更新するまで待機します。更新は完了するまでに数分かかる場合があります。
    image 5143

    結果
    自動更新が完了すると管理者にシステム通知されます。必要に応じて、管理者は更新内容が「 View Update History 」ページから反映されたことを確認するか、またはコマンド・ラインを使用して、新しい自動更新サーバー( https://auto-update.qradar.ibmcloud.com/ )を使用していることを確認することができます。問題がある場合は、トラブルシューティングのセクションを参照してください。

トラブルシューティング: SSL 検査の要件

QRadar 自動更新サーバーの URL に対してプロキシー SSL 検査が有効な場合、自動更新サーバーへの接続が失敗することがあります。SSL 検査が有効な場合、自動更新サーバーから不正な CA が返され「"vendor_manifest_list_512": 400 Bad Request 」エラーが発生します。この問題を解決するために管理者は、https://auto-update.qradar.ibmcloud.com/ のプロキシーで SSL 検査を無効にします。

QRadar コンソールで /var/log/qradar.log を確認して、自動更新または tomcat.tomcat のエラー・メッセージを確認します。
 
Sep 17 12:46:02 hostname AUTOUPDATE[116470]: Autoupdate 9.6 initialized.
Sep 17 12:46:02 hostname AUTOUPDATE[116470]: Do we need to turn on SSL Cert
Sep 17 12:46:05 hostname AUTOUPDATE[116470]: Could not retrieve "vendor_manifest_list_512": 400 Bad Request
Sep 17 12:46:06 hostname AUTOUPDATE[116470]: Could not retrieve "dau/dau.manifest.xml.asc": 400 Bad Request
Sep 17 12:46:06 hostname AUTOUPDATE[116470]: Could not retrieve signature for the manifest file.
Sep 17 12:46:08 hostname AUTOUPDATE[116470]: Could not read company
 
または

Sep 17 12:46:08 hostname tomcat [6599]: 2020-11-12 18:48:21,006 [QRADAR] [hostname@IPAddress (5562) 
/console/do/qradar/autoupdateSettings] org.apache.commons.httpclient.HttpMethodBase: 
[INFO] Response content length is not known
Sep 17 12:46:18 hostname [tomcat.tomcat] [hostname@IPAddress (5562) /console/do/qradar/autoupdateSettings] 
com.q1labs.autoupdate.ui.services.UIAutoupdateService: 
[INFO] [IPADDRESS/- -] Connected to the autoupdate server, but cannot recognize the certificate. 
We take this as good enough for validation purpose.

SSL 検査が有効かどうかを確認するために、管理者は QRadar 自動更新サーバーへの curl を試み、返された SSL CA 証明書を比較することができます。返された証明書の会社名フィールドに SSL 検査プロバイダーが記載されている場合、QRadar 自動更新サーバーの URL に対して SSL 検査を無効にする必要があることを示しています。

手順

  1. 管理者( root ユーザー)として QRadar コンソールにログインします。
  2. SSL CA 証明書を確認するためには、次のように入力します。

    プロキシーを使用しない接続の場合: 
    • curl -v https://auto-update.qradar.ibmcloud.com/autoupdates/manifest_list
    • curl -kv https://auto-update.qradar.ibmcloud.com/autoupdates/manifest_list

    匿名プロキシー接続の場合: 
    • curl -v -x https://proxy_server:proxy_port https://auto-update.qradar.ibmcloud.com/autoupdates/manifest_list
    • curl -kv -x https://proxy_server:proxy_port https://auto-update.qradar.ibmcloud.com/autoupdates/manifest_list
      : コマンドが -kv オプションを指定すると成功するが、-v オプションを指定すると失敗する場合は、SSL 検査が有効になっていることを示します。
  3. 返された SSL CA 証明書を確認して、会社名が表示されるかどうかを判断します。
  4. プロキシーで https://auto-update.qradar.ibmcloud.com/ の SSL 検査を無効にします。


結果
SSL検査を無効にした後、管理者は自動更新を実行して、最新の自動更新を取得することができます。問題が解決しない場合は、他のトラブルシューティングのセクションを参照するか、 QRadar サポート にお問合せください。

トラブルシューティング : コマンド・ラインから自動更新設定を確認する方法

コマンド・ラインを使用する管理者は、新しい自動更新サーバーへの接続を確認するため、 root ユーザーとして QRadar コンソールへ SSH 接続してください。

  1. 管理者( root ユーザー)として QRadar コンソールにログインします。
  2. 接続を確認するため、次のコマンドを入力してください。:
     /opt/qradar/bin/UpdateConfs.pl -testConnect 1 0
    - 成功すると、次のメッセージが表示されます。 :
    [AUTOUPDATE] [TESTCONNECT] Test downloaded successfully! 
    image 5145

    - 失敗すると、次のメッセージが表示され、管理者はプロキシー構成を確認する必要があります。 : [AUTOUPDATE] [TESTCONNECT] Could not download manifest list.
    image 5149

トラブルシューティング : プロキシー確認および SSL 500 のエラー・メッセージ

自動更新を受け取ることができない QRadar で、自動更新設定にプロキシーを設定したユーザーは自動更新ログで下記のエラーを表示します。
  • Could not contact the update server  ( 更新サーバーに接続できませんでした。 )
  • 500 SSL negotiation failed  ( 500 SSL ネゴシエーションが失敗しました。  )
  • Could not download manifest list ( マニフェスト・リストをダウンロードできませんでした。 )

ユーザー・インターフェースのエラーメッセージ:
image-20200317150131-2

エラー・ログの例: 
  Fri Mar 6 03:34:03 2020 [WARN] Could not retrieve "manifest_list_512": 500 
Can't connect to auto-update.qradar.ibmcloud.com:443 (Crypt-SSLeay can't verify hostnames)  
Fri Mar 6 03:34:03 2020 [DEBUG] Set error_code to 4  Fri Mar 6 03:34:03 2020 [DEBUG] Previous 
Value: 6  Fri Mar 6 03:34:03 2020 [DEBUG] Updating DB  Fri Mar 6 03:34:03 2020 [DEBUG] Successfully 
Updated DB error_code to 4  Fri Mar 6 03:34:03 2020 [WARN] Could not download manifest list.  
Fri Mar 6 03:34:03 2020 [DEVEL] Cleanup requested with return code 0  Fri Mar 6 03:34:03 2020 [DEBUG] 
Set autoupdate_status to 0  Fri Mar 6 03:34:03 2020 [DEBUG] Previous Value: 1  Fri Mar 6 03:34:03 2020 
[DEBUG] Updating DB  Fri Mar 6 03:34:03 2020 [DEBUG] Successfully Updated DB autoupdate_status to 0  
Fri Mar 6 03:34:03 2020 [DEVEL] Cleaning up scripts.

 SSL 500 プロキシー・エラーの解決方法
マニフェストおよび接続の事象を解決するために、ユーティリティーが IBM Fix Central よりリリースされました。 IBM Fix Central 上の AUProxyFP.tgz ファイルを使用して、すべての QRadar 7.3.x バージョンおよび 7.4.x バージョンでプロキシー接続の事象を解決できます。
  1. IBM Fix Central からラップトップまたはワークステーションに自動更新フィックス・パックをダウンロードします。: AUProxyFP.tgz.
  2. 管理者( root ユーザー)として QRadar コンソールにログインします。
  3. ファイルを QRadar コンソールのディレクトリー ( /root、/tmp、または /storetmp など) にコピーします。
  4. ファイルをコピーしたディレクトリーに移動します。
  5. 次のコマンドを入力して、ファイルを抽出します。: gunzip -c AUProxyFP.tgz | tar zxvf -
  6. 抽出されたファイルがあるディレクトリーに移動します。
  7. 次のコマンドを入力して、プロキシー・フィックスパックをインストールします: ./install.sh
  8. インストールが完了したら、次のコマンドを入力して接続を確認します。:
    /opt/qradar/bin/UpdateConfs.pl -testConnect 1 0

    - 成功すると、下記のメッセージが表示されます。ステップ 9 に進んでください。
      [AUTOUPDATE] [TESTCONNECT] Test downloaded successfully!
    - 失敗すると、下記のメッセージが表示され、管理者はプロキシー構成を確認する必要があります。
     [AUTOUPDATE] [TESTCONNECT] Could not download manifest list.
  9. 管理者( admin ユーザー)として QRadar コンソールにログインします。
  10. 左上のメニュー ( Ξ ) の中から「 Admin 」タブをクリックします。
  11. Auto Update 」アイコンをクリックします。
  12. Get New Updates 」ボタンをクリックします。
  13. 自動更新が接続を試行するまで待機します。
  14. View Log 」をクリックし、最新の更新状況を確認します。
    image 5144

    結果
    "Could not contact the update server: 500 SSL negotiation failed: Could not download manifest list" に関連する問題またはエラー メッセージが引き続き発生する場合は、 QRadar サポート へご連絡ください。

Document Location

Worldwide

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtDAAQ","label":"Auto Update"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
22 June 2023

UID

ibm16333433

Page Feedback