IBM Support

QRadar: ( 更新あり ) 2020年12月31日に変更のデプロイを実施すると、製品の機能に影響が発生する

News


Abstract

QRadar Console アプライアンスで一行のコマンドを実行して標記の問題を解決するための更新が利用可能となりました。もしすでにQRadar Support から JAR ファイルを提供されている場合でも、この技術文書に記載されたワークアラウンドを実行することをすべての管理者に推奨します。all_servers ユーティリティーにより QRadar Console でこの更新をデプロイメント内のすべてのアプライアンスに適用することができます。これらの手順は直近で更新され、この技術文書にはDisconnected Log Collector アプライアンスへのライセンス・フィックスの適用コマンドが含まれています。

Content

注 : この技術文書は Modified date : 09 February 2021 の英語版技術文書を元に翻訳されています。更新の有無はこちらをご確認ください。
更新履歴 :
  • 2021 年 2 月 9 日 : QRadar Community Edition の一行コマンドを更新しました。
  • 2021 年 1 月 12 日 : IJ30161 を解決した次のソフトウェアがリリースされました。
  • 2021 年 1 月 7 日 : IJ30161 に関する問題レポートと FAQ をリリースしました。詳細は QRadar: 31 December License and event processing issue report (APAR IJ30161) をご参照ください。
  • 2021 年 1 月 6 日 : ユーザーがこの問題をサブスクライブするための APAR IJ30161 が使用可能になりました。更なるコード・レビューを行ったところ、Disconnected Log Collectors には一行のフィックスを適用する必要はなくなりました。Disconnected Log Collector インストールのフラッシュ通知から手順を削除するためにセクションは更新されました。
  • 2021 年 1 月 4 日 (10am EST): アプライアンスをアップグレードまたはパッチ適用する管理者は、ソフトウェア・インストールが完了した後にライセンス・フィックスを再適用する必要がある旨を追記しました。
  • 2021 年 1 月 1 日 (7pm EST): この問題を解決するための自動更新のオプションが利用可能です。詳細は次の技術文書をご確認ください。
  • 2021 年 1 月 1 日 (2pm EST): Disconnected Log Collector (DLC) アプライアンスのための新しいコマンドと手順を追加しました。
  • 2021 年 1 月 1 日 (8am EST): QRadar 7.2.8、7.3.0 および 7.3.1 Console のためのコマンドを更新しました。

緊急

重要 : QRadar 開発チームは製品のライセンスに関連する機能に問題があることを特定しました。この問題によりデプロイメントの機能が停止する場合があります。現在 QRadar 開発チームはこの問題を解決するための緊急フィックスに取り組んでいます。この問題は、自動更新がダウンロード後に自動再起動や自動的にデプロイされるように構成されている場合に発生する場合があります。この問題はライセンス・キーを検証する機能に関連しており、報告されている SolarWinds のセキュリティー問題には関連していません。

この問題が発生した場合には、/var/log/qradar.log に特定のサービスに関する次のメッセージが表示されることがあります。 
[ecs-ec-ingress.ecs-ec-ingress] [main] com.eventgnosis.ecs: [INFO] [NOT:6000][X.X.X.X/- -] [-/- -]Waiting for valid license...
[ecs-ep.ecs-ep] [main] com.eventgnosis.ecs: [INFO] [NOT:6000][X.X.X.X/- -] [-/- -]Waiting for valid license...
[ecs-ec.ecs-ec] [main] com.eventgnosis.ecs: [INFO] [NOT:6000][X.X.X.X/- -] [-/- -]Waiting for valid license...
ログに情報メッセージが繰り返される場合やサービスの問題がある場合は、この技術文書に記載されているコマンドを実行して問題の解決を行ってください。
 

影響のある製品

すべての QRadar のバージョンにこの問題の影響があります。

: QRadar 7.3.3 Fix Pack 7 または 7.4.2 Fix Pack 1 未満のリリースにアップグレードする場合には、このフラッシュ通知に記載されているワークアラウンドを再適用する必要があります。詳細は QRadar: 31 December License and event processing issue report (APAR IJ30161) をご参照ください。

問題の対処方法

QRadar Support は、すべての管理者に QRadar Console に対して一行のコマンドを実行するように警告します。QRadar Support から JAR ファイルを受け取っている場合やすでに支援を受けている場合でも、この手順を実行する必要があります。このコマンドを実行してから 5分程度経過した後に、アプライアンスからイベントが送信されていることを確認することができます。

: QRadar on Cloud を使用している場合、DevOps チームは既にこの更新をアプライアンスに適用しています。QRadar on Cloud の管理者の場合にはこの手順を実行する必要はありません。
手順
  1. QRadar Console に SSH で root ユーザーとしてログインします。
  2. ライセンス・ファイルを更新するために QRadar Console で以下のコマンドを入力します。 注 : コマンドをトリプル・クリックすると全文が選択できます。
    1. QRadar Console 用コマンド: : all_servers コマンドにより Console アプライアンスがすべての管理対象ホストが更新されます。 
      /opt/qradar/support/all_servers.sh -Ck 'if [ -f /opt/qradar/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/ecs/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ; fi ; if [ -f /usr/eventgnosis/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /usr/eventgnosis/ecs/license.txt ; fi ; if [ -f /opt/qradar/conf/templates/ecs_license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/conf/templates/ecs_license.txt ; fi'
    2. QRadar Community Edition 用コマンド: 
      if [ -f /opt/qradar/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/ecs/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ; fi ; if [ -f /usr/eventgnosis/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /usr/eventgnosis/ecs/license.txt ; fi ; if [ -f /opt/qradar/conf/templates/ecs_license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/conf/templates/ecs_license.txt ; fi
  3. 変更が完了するまで 5 分ほど待ちます。
    : ファイルが自動的にロードされるため、管理者はこの変更のためにサービスを再起動する必要はありません。
  4. QRadar Console にログインします。
  5. ログ・アクティビティー タブをクリックします。
  6. リモート・アプライアンスからログを受信していることを確認します。

    結果
    手順が完了しました。QRadar 7.3.3 Fix Pack 7 または 7.4.2 Fix Pack 1 未満のリリースにアップグレードする場合には、このフラッシュ通知に記載されているワークアラウンドを再適用する必要があります。詳細は QRadar: 31 December License and event processing issue report (APAR IJ30161) をご参照ください。このコマンドで問題が発生した場合や qradar.log にサービスやライセンス・メッセージが継続している場合には QRadar Support に支援を依頼してください。この問題のワークアラウンドを適用した後は QRadar は通常通り使用することが可能となり、変更のデプロイなどの基本的な管理タスクを完了することができます。

Disconnected Log Collector (DLC) アプライアンスのライセンス・アップデート

重要 : 更なる調査により、QRadar 開発チームは、DLC のインストールにおいて一行のライセンス・ファイルの更新は不要であると判断しました。このセクションの手順は不要になったため削除されました。

[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtNAAQ","label":"Deployment"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Version(s)"},{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSKMKU","label":"IBM QRadar on Cloud"},"ARM Category":[{"code":"a8m0z000000cwtNAAQ","label":"Deployment"}],"Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)"}]

Document Information

Modified date:
18 February 2021

UID

ibm16398124

Page Feedback