Troubleshooting
Problem
QRadar® で管理対象ホストを追加する手順には、タイムアウトのしきい値があります。 管理対象ホストの追加プロセスにこの閾値以上の時間がかかる場合、プロセスは中断され、管理対象ホストはデプロイメントに追加されません。 追加プロセスに時間がかかる最も一般的な理由の 1 つは、コンソールと管理対象ホスト間の帯域幅が狭いことです。
Symptom
管理対象ホストを追加する場合、ユーザー・インターフェースが追加プロセスのステップ 10 を通過しません。
/var/log/qradar.log には、以下のようなエラーが表示されます。:
[tomcat.tomcat] [Thread-303] com.ibm.si.configservices.api.v3_0.deployment.DeploymentAPI:[ERROR]
unable to add managed host: Failed to add host. Add host timed out.
[tomcat.tomcat] [Thread-303] com.q1labs.restapi_annotations.content.exceptions.endpointExceptions.ServerProcessingException:
Failed to add host. Add host timed out.
Environment
コンソールと管理対象ホストの間が 100 Mbps 未満での QRadar のデプロイメント。
Diagnosing The Problem
問題を診断するには、コンソールから追加中の管理対象ホストにファイルをコピーし、コピーの完了をタイムアウトの閾値と比較します。
-
SSH を使用して、root ユーザーとして QRadar コンソールにログインします。
-
一時ファイルのコピーを管理対象ホストに作成し、完了時間をメモします。
重要: < MH IP > を実際の IP に置き換えます。 管理対象ホストがパスワードを要求する場合は、管理対象ホストの root パスワードを使用します。
出力例:fallocate -l 1G /storetmp/1G.file echo "Transfer initiate = $(date +%T)";rsync -aP /storetmp/1G.file <MH IP>:/storetmp; echo "Transfer finished = $(date +%T)"
前の出力では、転送が完了するまでに 1 時間かかりました。[root@console~]# fallocate -l 1G /storetmp/1G.file [root@console~]# echo "Transfer initiate = $(date +%T)";rsync -aP /storetmp/1G.file 10.11.12.13:/storetmp; echo "Transfer finished = $(date +%T)" Transfer initiate = 15:35:03 sending incremental file list 1G.file 1,073,741,824 100% 312KB/s 0:01:09 (xfr#1, to-chk=0/1) Transfer finished = 16:35:13 -
転送の完了時間を /opt/qradar/conf/nva.configservices.conf のタイムアウト値と比較します。
出力例:grep ADD_HOST_TIMEOUT /opt/qradar/conf/nva.configservices.confgrep ADD_HOST_TIMEOUT /opt/qradar/conf/nva.configservices.conf ADD_HOST_TIMEOUT=1800000ADD_HOST_TIMEOUT 値はミリ秒単位で表示されます。 デフォルトでは、QRadar は 1800000 ミリ秒を構成します。これは 30 分に相当します。
結果完了時間( 1 時間 )がタイムアウト値( 30 分 )よりも長いため、管理対象ホストの追加がタイムアウトになることを意味します。 「問題の解決」セクションに進む前に、管理対象ホストの /storetmp/1G.file を削除してください。
Resolving The Problem
管理者は、QRadar の帯域幅要件である 100 Mbps を満たすために、各ネットワーク・チームと連携して帯域幅の制約に対処する必要があります。
または、ADD_HOST_TIMEOUT 値を増やして、プロセスが完了するまでコンソールがより多くの時間を待機できるようにすることもできます。 QRadar on Cloud のお客様は、ケースを開いて、以下の手順を実行するように要求する必要があります。
- SSH を使用して、root ユーザーとして QRadar コンソールにログインしてください。
- 現在の構成ファイルをバックアップします。
mkdir -p /store/IBM_Support/ cp -fv /opt/qradar/conf/nva.configservices.conf /store/IBM_Support/nva.configservices.conf-$(date +%F) - タイムアウト値をミリ秒単位で増加させます。
<timeout> をミリ秒単位で置き換えます。たとえば、1800000 = 30 分です。次の出力では、タイムアウトは 40 分に増加します。sed -i 's/ADD_HOST_TIMEOUT=.*/ADD_HOST_TIMEOUT=<timeout>/' /opt/qradar/conf/nva.configservices.confsed -i 's/ADD_HOST_TIMEOUT=.*/ADD_HOST_TIMEOUT=2500000/' /opt/qradar/conf/nva.configservices.conf - 新しい値が設定されていることを確認します。
出力例:grep ADD_HOST /opt/qradar/conf/nva.configservices.confgrep ADD_HOST /opt/qradar/conf/nva.configservices.conf ADD_HOST_TIMEOUT=2500000
結果
ADD_HOST_TIMEOUT 値が増加し、管理対象ホストの追加が成功します。 タイムアウト値に達する前に追加プロセスが失敗した場合は、Tomcat サービスを再始動し、再試行してください。
重要: tomcat サービスが再始動すると、完了するまですべてのユーザーが QRadar ユーザー・インターフェースを使用できなくなります。 厳格な停止ポリシーを持つ管理者は、組織のスケジュールされたメンテナンス期間中に次の手順を完了することをお勧めします。
Tomcat サービスの再起動後も管理ホストの追加がタイムアウトする場合は、 QRadar サポートにお問い合わせください。systemctl restart tomcat
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtNAAQ","label":"Deployment"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
31 January 2023
UID
ibm16856377