Question & Answer
Question
QRadar の高可用性ペアのアップグレードが行われる時、イベント収集はどのように影響を受けるでしょうか ?
Answer
QRadar 環境でのイベント収集は、以下のいずれかのコンポーネントによって行われます:
- コンソール
- イベント・プロセッサー ( EP )
- イベント・コレクター ( EC )
これらすべてのコンポーネントは、高可用性 ( HA ) ペアの一部となります。
HA ペアがアップグレードされる時、イベント収集は状況に応じて影響を受ける可能性があります:
- HA ペア( EC、 EP 、コンソールなど)のコンポーネントのタイプ
- そのコンポーネントがいづれかのログ・ソースのターゲット・イベント・コレクターとして設定されているかどうか
原則として、コンソールや EP などのイベント処理機能を持つデバイスは、データの保全性を維持するため、アップグレード中にすべてのサービスがシャットダウンされます。HA マネージャーとイベント収集サービスはこれらサービスの中に含まれます。よって、イベント収集が影響を受けるため、 HA 機能は動作しません。
EC はイベント処理機能を備えておらず、イベント収集サービスと HA サービスの両方が稼動し続けるため、イベント収集は影響を受けません。
コンテキストでは、イベント収集は次のような影響を受けます:
- コンソール HA ペアをアップグレードする際、コンソールがターゲット・イベント・コレクターとしてログ・ソースが構成されている場合にのみ、イベント・ロスが発生します。これは、専用の EC がある分散環境ではあまり発生しません。コンソールが唯一のデバイスである小規模な環境では、イベント収集は影響を受けます。
- EP HA ペアをアップグレードする際、その EP がターゲット・イベント・コレクターとしてログ・ソースが構成されている場合にのみ、イベント・ロスが発生します。
- EC HA ペアをアップグレードする際、イベント収集への影響は限定的です。EC HA ペアでは、プライマリーが最初にアップグレードされ、その間にセカンダリーがアクティブになり、イベントの収集が続行されます。プライマリーがアップグレードされると、プライマリーがアクティブ・デバイスとなり、次にセカンダリーがアップグレードされます。
QRadar デバイスのいずれかで、wait_for_start スクリプトを実行することにより、サービスのステータスを確認できます:
/opt/qradar/upgrade/util/setup/upgrades/wait_for_start.sh
ecs-ec - ingress サービスが稼働中である場合、イベントは収集されます。
Related Information
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtXAAQ","label":"High Availability"},{"code":"a8m0z000000cwtdAAA","label":"Upgrade"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
07 March 2023
UID
ibm16486317