IBM Support

QRadar:非表示のトークンにより高可用性 (HA) ペアが失敗します

Troubleshooting


Problem

パッチが失敗した後、 ha_manager_off という名前のファイルが /etc/ に残され、プライマリー・ノードが UNKNOWN ステータスになり、セカンダリー・ノードが OFFLINE になります。

Cause

パッチ・アップグレード・スクリプトは、 HA マネージャーを停止するための隠しファイルを作成しますが、事前チェックの 1 つでアップグレードが失敗した場合、ファイルは削除されません。

Environment

高可用性構成の QRadar アプライアンス

Diagnosing The Problem

高可用性ペアは 、GUI でプライマリーのステータスが OFFLINE で、セカンダリーのステータスが UNKNOWN であると表示します。
CLI では、HA ステータス・スクリプトは次のメッセージを返します。 
[root@hostname-primary ha]# /opt/qradar/ha/bin/ha cstate
Local: R:PRIMARY S:UNKNOWN/INIT CS:NONE P:1.0 HBC:DOWN RTT:-1 I:65150 SI: Remote: R:SECONDARY S:OFFLINE/INIT CS:NONE P:0.0 HBC:DOWN RTT:0 I:0 SI:39146
journalctl -xuha_manager-e または systemctl status ha_manager を実行すると、次のメッセージが出力されます。 
ha_manager[137531]: Sat Jun 19 21:18:04 -05 2021 [ha_check.sh] ERROR: HA Manager not starting, ha_manager_off file is present in /etc

Resolving The Problem

  1. 不要なフェイルオーバーを防ぐために、セカンダリー・アプライアンスに SSH で接続の上.local_ha_failed ファイルをタッチして、 ha_manager を再起動します。 
    touch /opt/qradar/ha/.local_ha_failed
systemctl restart ha_manager
  2. プライマリーで 、ファイル ha_manager_off を削除して、 ha_manager を再起動します。 
    rm -fv /etc/ha_manager_off
systemctl restart ha_manager
  3. プライマリーで 、ステータスを確認します。
    [root@hostname-primary ha]# /opt/qradar/ha/bin/ha cstate
Local: R:PRIMARY S:ACTIVE/INIT CS:NONE P:1.0 HBC:DOWN RTT:-1 I:65150 SI:
Remote: R:SECONDARY S:FAILED/INIT CS:NONE P:0.0 HBC:DOWN RTT:0 I:0 SI:39146
  4. プライマリーがアクティブとして表示されたら、セカンダリーに SSH で接続の上、local_ha_failed を削除して、 ha_manager を再起動します。
    rm -fv /opt/qradar/ha/.local_ha_failed
systemctl restart ha_manager
  5. 高可用性ペアがアクティブとスタンバイを示していることを確認します。 
    [root@hostname-primary ha]# /opt/qradar/ha/bin/ha cstate
Local: R:PRIMARY S:ACTIVE/ONLINE CS:NONE P:1:0 HBT:UP RTT:2 1:0 SI:4105589
Remote: R:SECONDARY S:STANDBY/ONLINE CS:NONE P:1.0 HBC:UP RTT:2 I:11753 SI:1382557

結果:
高可用性ペアはアクティブおよびスタンバイとして表示されます。問題が解消しない場合は、 QRadar サポートに連絡してください。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtXAAQ","label":"High Availability"},{"code":"a8m0z000000cwtdAAA","label":"Upgrade"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]

Document Information

Modified date:
24 October 2022

UID

ibm16594733

Page Feedback