IBM Support

QRadar : Disconnected Log Collector でのデバッグ・ロギングの有効化

How To


Summary

Disconnected Log Collector ( DLC ) でデバッグ・ロギングを有効にする方法。

Objective

トラブルシューティングの際には、多くの場合、より詳細なログ・メッセージが役立ちます。 このガイドは、デバッグ・ロギング出力を有効にする方法について説明し、IBM でサポート Case を発行する必要がある場合に役立ちます。

Steps

始める前に
: デバッグ・ロギングは、dlc.log ファイルに多くのメッセージを生成します。したがって、ディスクが一杯になると DLC サービスが停止する可能性があるため、パーティションの空き容量を確認することをお勧めします。また、システムがアクティブにモニターされていない限り、デバッグ・ロギングを 10 ~ 15 分以上有効にしたままにすることはお勧めしません。
手順 :
  1. ssh を使用して DLC にログインします。
  2. /opt/ibm/si/services/dlc/conf/log4j2.xml のバックアップを取ります。 
    cp -vp /opt/ibm/si/services/dlc/conf/log4j2.xml /opt/ibm/si/services/dlc/conf/log4j2.xml.BAK
‘/opt/ibm/si/services/dlc/conf/log4j2.xml’ -> ‘/opt/ibm/si/services/dlc/conf/log4j2.xml.BAK’
    Note:
    v は Verbose を意味し、何が起こっているかを示す出力が画面に表示されます。
    p は Preserve を意味し、モード、所有権、タイム・スタンプを保存します。
    バックアップ・ファイルは、元のファイルと同じ所有権、許可、およびタイム・スタンプを持ちます。
    例 : 
    -rw-r-----. 1 root dlc  4409 Mar 28 15:33 log4j2.xml
-rw-r-----. 1 root dlc  4409 Mar 28 15:33 log4j2.xml.BAK
  3. /opt/ibm/si/services/dlc/conf/log4j2.xml ファイルを編集します。 
    vim /opt/ibm/si/services/dlc/conf/log4j2.xml
  4. コードの中で以下の記述を見つけてください。 
    <RollingFile name="InfoFileAppender" fileName="${APP_LOG_ROOT}/dlc.log" filePattern="${APP_LOG_ROOT}/archive/dlc-%d{MM-dd-yyyy}-%i.log.gz">
      <Filters>
           <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/>
           <RegexFilter regex=".* Health Agent .*" onMatch="DENY" onMismatch="ACCEPT"/>
       </Filters>
  5. level="INFO" level="DEBUG" に変更してください。
  6. また、同じファイルで以下のセクションも見つけてください。 
    <logger name="com.ibm.si" level="INFO" additivity="false">
       <AppenderRef ref="InfoFileAppender" />
       <AppenderRef ref="ErrorFileAppender" />
 </logger>
  7. level="INFO" level="DEBUG" に変更してください。
  8. 変更を保存し、エディターを終了します。
    ファイルを保存するには、エスケープ ( Esc ) を押し、その後に x を押します。
  9. DLC サービスを再起動します。 
    systemctl restart dlc
元のロギング・レベルに戻すには、以下のようにします。
  1. バックアップ・ファイルを現在のファイルに上書きコピーします。 
    cp -vp /opt/ibm/si/services/dlc/conf/log4j2.xml.BAK /opt/ibm/si/services/dlc/conf/log4j2.xml
cp: overwrite ‘/opt/ibm/si/services/dlc/conf/log4j2.xml’? y
‘/opt/ibm/si/services/dlc/conf/log4j2.xml.BAK’ -> ‘/opt/ibm/si/services/dlc/conf/log4j2.xml’
    上書きすることを確認するために、Yes と答えるように促されます。Y と入力し、Enter キーを押してください。
  2. DLC サービスを再起動し、確認してください。 
    systemctl restart dlc

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt9AAA","label":"DLC"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
31 January 2023

UID

ibm16854301

Page Feedback