IBM Support

QRadar : Ariel データ・エクスポートのトラブルシューティング方法

How To


Summary

この記事では、ログ・アクティビティーで検索するための AQL 照会がどこに表示されているのか、データ・エクスポートが開始されたか、実行中であるか、スペース不足で行き詰まっているかどうか、などを確認する方法をご説明します。

Steps

ログ・アクティビティーで検索の AQL 照会を見つける方法

  1. QRadar ユーザー・インターフェースにログインします。
  2. ログ・アクティビティー」に移動します。
  3. 保存済み検索をロードします。
  4. 検索」、「検索の編集」の順にクリックします。
    image-20221118173807-1
  5. AQL の表示」をクリックすると、新しいウィンドウが表示され、そのウィンドウには検索の AQL が表示されます。
    image-20221118182600-1

    結果
    管理者は、ログ・アクティビティー検索の AQL を取得できます。

GUI エクスポートがバックグラウンドで開始されるかどうかを確認する方法

  1. QRadar コンソールに SSH で接続します。
  2. 次のコマンドを実行します。 
    grep "Initiating EventViewer" /var/log/qradar.log
    出力例 : 
    [INFO] Initiating EventViewer data export requested by admin, job is assigned id <job id>

    結果
    管理者は、Initiating EventViewer data export requested by admin ログによって、エクスポートの開始を確認できます。

エクスポートが完了したかどうかを確認する方法

  1. QRadar コンソールに SSH で接続します。
  2. 次のコマンドを実行します。 
    grep "user admin is complete" /var/log/qradar.log
    出力例 : 
    [INFO] Export job <job id> for user admin is complete

    結果
    管理者は、データのエクスポートが完了したことを確認できます。

バック・エンドでエクスポートが実行されているかどうかを確認する方法

  1. QRadar コンソールに SSH で接続します。
  2. 次のコマンドを実行します。 
    grep "Backgrounding export job" /var/log/qradar.log
    出力例 : 
    [INFO] Backgrounding export job 5ba02cf2-309e-1234-1234-1532dc8772e4 for user <user>

    結果
    管理者は、検索がバックグラウンドで実行されていることを確認できます。

スペース不足でエクスポートが行き詰まっているかどうかを確認する方法

ファイルは /store/tmp/ に作成されます。 パーティション /store/tmp/. のスペースを確認してください。 このパーティションが 85% より高い場合、エクスポートは完了せず、中断されます。

以下の手順で、/store/tmp/ の使用可能なスペースを確認します。

  1. QRadar コンソールに SSH で接続します。
  2. 次のコマンドを実行します。 
    df -h /store/tmp
    出力例 : 
    # df -h /store/tmp
Filesystem                     Size  Used Avail Use% Mounted on
/dev/mapper/rootrhel-storetmp   15G   37M   15G   1% /storetmp
    使用率が 85% を超えると、ディスク・スペース不足でエクスポートが失敗します。

    結果
    管理者は、エクスポートを完了するために十分なスペースが /store/tmp/ にあることを確認できます。 ディスク・スペースが十分でない場合は、使用可能なディスク・スペースを増やしてください。

    ディスク・スペースについの詳しい情報は、次のリンクから確認してください。
    Disk Space 101

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]

Document Information

Modified date:
26 February 2023

UID

ibm16953051

Page Feedback