IBM Support

QRadar: 高可用性クラスターの作成に失敗し、"Secondary xxxx is not HA standby system " というエラーが発生する

Troubleshooting


Problem

高可用性( HA )クラスターの作成に失敗すると、それ以降の試行に失敗し、"Secondary xxxx is not an HA standby system" または "The secondary host is not high Availability Host" というエラーが表示されることがあります。

Symptom

試行が失敗した後、HA Wizard に次のエラー・メッセージが表示されます。:

The secondary host is not a High Availability Host

Cause

HA クラスターの作成中に、/opt/qradar/conf/capabilities/hostcapabilities.xml ファイルがプライマリー・ホストからセカンダリー・ホストにコピーされます。 作成プロセスが途中で失敗した場合、セカンダリーは誤ったデータを取得し、その後の試行でエラーが発生します。

Diagnosing The Problem

作成が失敗した後、セカンダリー・ホストに接続し、/etc/.appliance_name および /opt/qradar/conf/capabilities/hostcapabilities.xml ファイルの内容を確認して、アプライアンス・タイプが 500 でないことを確認します。
  1. SSH を使用して root ユーザーとして QRadar コンソールにログインします。
  2. 追加するセカンダリー・ホストに SSH 接続する。
  3. アプライアンス名が 500 であることを確認する。 
    cat /etc/.appliance_name
  4. /opt/qradar/conf/capabilities/hostcapabilities.xml の内容を確認します。 
    cat /opt/qradar/conf/capabilities/hostcapabilities.xml
    出力例: 
    <?xml version='1.0' encoding='UTF-8' standalone='yes'?>
<HostCapabilities
        isConsole="true"
        IP="<Secondary Host IP>"
        applianceType="3178"
        hostName="qradar-sec"
        qradarVersion="7.5.0"
        hardwareSerial="XXXX"
        activationKey="xxxd-4525-xxxxx-5#5o32C"
        managementInterface="eth0"
        xmlns="http://www.q1labs.com/products/qradar"
/>

    結果
    前の出力では、パラメーター "applianceType" が 500 (高可用性ホスト) ではなく 3178 (コンソール) であり、"highAvailability" パラメーターが欠落していることを示しています。 この不一致により、エラーが発生します。

Resolving The Problem

管理者は、QRadar 高可用性ガイド および QRadar: 高可用性に関する FAQ 資料を読んで、高可用性デプロイメントについて理解することをお勧めします。
この問題を解決するには、セカンダリー・ホストで /opt/qradar/conf/capabilities/hostcapabilities.xml のパラメータを復元します。方法は2つあります。
  • バックアップから復元する方法。 ほとんどのユーザーに推奨される方法です。
  • ファイルを手動で編集する方法。Linux のコマンドに慣れている方にお勧めします。
方法1 - バックアップファイルから復元する
  1. SSH を使用して、root ユーザーとして QRadar コンソールにログインします。
  2. 追加するセカンダリー・ホストに SSH 接続します。
  3. 現在の /opt/qradar/conf/capabilities/hostcapabilities.xml ファイルをバックアップします。 
    mkdir -p /store/IBM_Support/
cp -p /opt/qradar/conf/capabilities/hostcapabilities.xml /store/IBM_Support/hostcapabilities.xml-bck$(date +%F)
  4. バックアップから /opt/qradar/conf/capabilities/hostcapabilities.xml を抽出します。 
    cp -p /opt/qradar/ha/capabilities.back.tar.gz /store/IBM_Support/
cd /store/IBM_Support/
tar -xzvf capabilities.back.tar.gz
  5. ファイルの内容を確認します。 
    cat /store/IBM_Support/hostcapabilities.xml
    • コンソール HA クラスターのセカンダリー。ホストのパラメーター "isConsole" の期待される値は true です。
    • 管理対象ホスト HA クラスターのセカンダリー・ホストのパラメーター "isConsole" の期待される値は false です。
      
    <?xml version='1.0' encoding='UTF-8' standalone='yes'?>
<HostCapabilities
        isConsole="true"
        IP="<Secondary Host IP>"
        applianceType="500"
        hostName="qradar-sec"
        qradarVersion="7.5.0"
        hardwareSerial="XXXX"
        activationKey="xxxd-4525-xxxxx-5#5o32C"
        managementInterface="eth0"
        xmlns="http://www.q1labs.com/products/qradar"
/>
  6. /opt/qradar/conf/capabilities/hostcapabilities.xml を上書きします。 
    cp -fv /store/IBM_Support/hostcapabilities.xml /opt/qradar/conf/capabilities/hostcapabilities.xml

    結果
    /opt/qradar/conf/capabilities/hostcapabilities.xml ファイルはバックアップから適切に復元され、その結果、このエラーが原因で HA クラスターの作成試行が失敗することはありません。それでもクラスターの作成が同じエラーで失敗する場合は、QRadar サポートに連絡して支援を求めてください
方法2 - ファイルを手動で編集する
重要: Linux のファイル編集コマンドに不慣れな管理者の方へ
  1. SSH を使用して、root ユーザーとして QRadar コンソールにログインします。
  2. 追加するセカンダリー・ホストに SSH 接続します。
  3. 現在の /opt/qradar/conf/capabilities/hostcapabilities.xml ファイルをバックアップします。
  4. vi コマンドで、"isConsole" "applianceType" の値を編集し、"highAvailability" パラメーターを追加します。 
    vim /opt/qradar/conf/capabilities/hostcapabilities.xml
    1. コンテンツを編集するには、i を押します。
    2. "isConsole" パラメーターを変更します。 
      isConsole="true/false"
      • コンソール HA クラスターのセカンダリー・ホストのパラメーター "isConsole" の期待される値は true です。
      • 管理対象ホスト HA クラスターのセカンダリー・ホストのパラメーター "isConsole" の期待される値は false です。 
    3. "applianceType" パラメーターを変更します。 この値は 500 に設定する必要があります。 
      applianceType="500"
    4. "xmlns" パラメーターの前に行を追加し、highAvailability="true" と入力します。 
              highAvailability="true"
        xmlns="http://www.q1labs.com/products/qradar"
/>
    5. ESC を押してから :wq を押して、変更を保存します。
  5. ファイルの内容を確認します。 
    cat /opt/qradar/conf/capabilities/hostcapabilities.xml
    コンソール HA ホストの出力例: 
    <?xml version='1.0' encoding='UTF-8' standalone='yes'?>
<HostCapabilities
        isConsole="true"
        IP="<Secondary Host IP>"
        applianceType="500"
        hostName="qradar-sec"
        qradarVersion="7.5.0"
        hardwareSerial="XXXX"
        activationKey="xxxd-4525-xxxxx-5#5o32C"
        managementInterface="eth0"
        highAvailability="true"
        xmlns="http://www.q1labs.com/products/qradar"
/>
    結果
    /opt/qradar/conf/capabilities/hostcapabilities.xml ファイルは手動で修正され、その結果、このエラーが原因で HA クラスターの作成試行が失敗することはありません。それでもクラスターの作成が同じエラーで失敗する場合は、QRadar サポートに連絡して支援を求めてください

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtXAAQ","label":"High Availability"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
19 February 2023

UID

ibm16842089

Page Feedback