How To
Summary
この技術書では、WinCollect インスタンスがバージョン 10 か 7 かを判別する方法について説明します。スタンドアロン・インスタンスの場合、ユーザーは QRadar コンソールでフィルターを作成できますが、管理対象インスタンスの場合、ユーザーは QRadar Web コンソール設定でリストを見つけることができます。 CLI を使用して、インスタンスとそのバージョンのリストを出力します。
Steps
この技術書には、IBM ヘルプのビデオが含まれています。 関連するビデオは、ユーザーを支援する手順とともにリストされています。:
スタンドアロン
IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.0.0 コンテンツ・パックをインストールしてエージェント・バージョンのカスタム・プロパティーにアクセスし、それを使用してエージェントのバージョンをリストする検索を作成します。 このプロパティーの詳細については、 Security Analytics Self Monitoring extensions に関するドキュメントを参照してください。
手順
注: この検索では、管理対象インスタンスとスタンドアロン・インスタンスの両方が表示されます。
WinCollect DSM でフィルタリングし、Source IP でグループ化して、エージェントのバージョンを一覧表示する検索を作成します。
- IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.0.0 コンテンツ・パックをインストールします。
Installing extensions by using Extensions Management を使用して、以下の手順でコンテンツ・パックをインストールできます。 - [ログ アクティビティ] ページから、次の AQL 検索クエリーを使用して拡張検索を実行します。:
SELECT logsourcename(logsourceid) as LogSource, "Agent Version" AS 'Agent Version', "sourceIP" AS 'Source IP', "OS Name" AS 'OS Name' from events where LOGSOURCENAME(logsourceid) ILIKE 'WinCollect%' GROUP BY "sourceIP" order by "Agent Version" desc last 60 minutes
結果
各 WinCollect インスタンスの Agent Version プロパティーを観察し、LogSource または Source IP を使用して、更新が必要なエージェントを特定します。インスタンスのデフォルトの LogSource 名は、WinCollect @ [host name/device name]. です。同じ名前の複数の Windows マシンがあり、セットアップ時にエージェントのデフォルト名を使用した場合、LogSource 名は同じであり、それらを区別するために Source IP アドレスを使用する必要があります。
WinCollect 10 エージェントが表示されない場合は、以下の手順に従って Status Server の設定が有効になっていることを確認してください。:- 応答しないエージェントの WinCollect 10 管理コンソールを開きます。
- Agent Settings を開きます。
- Status Server が Enabled になっていることを確認します。
管理対象
管理対象インスタンスのバージョンを確認するには、UI を使用する方法と CLI を使用する方法の 2 つの方法があります。 CLI メソッドは、出力を他のコマンドに pipe する場合、または多数の WinCollect インスタンスを使用する場合に有利です。
Web コンソール UI の使用
手順
WinCollect 管理設定からエージェントのバージョンを見つけます。
- QRadar Web コンソールにログインします。
- Admin ページを開きます。
- WinCollect 設定を開きます。
- [Agents] タブが開いていることを確認します。
結果
[Version] 列を確認します。
CLI の使用
手順
WinCollectHealthCheck.sh ツールを使用してバージョンを確認します。
- QRadar コンソールに SSH 接続します。
- 次のコマンドを使用して、デプロイメント・サマリー・オプションを指定して WinCollect ヘルス・チェック・スクリプトを実行します。:
/opt/qradar/support/WinCollectHealthCheck.sh -d
結果
出力で、各エージェントのバージョン・フィールドを参照してください。このセクションの version フィールドを参照してください。:WinCollect Active Agents and Config File Location: Description: Queries the active agents, then gets the list of folders from each managed host's /store/configservices/wincollect/configserver/ folder. Checks the folder for active agents. Agent Name Version Time of last heartbeat Location of Config File SCOTTAWINDOWS10 7.3.1.22 x.x.x.x
全出力の例:[root@scotta-qr ~]#/opt/qradar/support/WinCollectHealthCheck.sh WinCollect Deployment Summary WinCollect Versions: id | component_name | module_name | type_name | classificationid | version | protocolid ----+---------------------------+-------------------------+------------+------------------+----------------------+------------ 27 | DeviceMicrosoftIAS | DeviceMicrosoftIAS | DeviceType | 3 | 7.3.1-22 | 47 28 | DeviceFileForwarder | DeviceFileForwarder | DeviceType | 3 | 7.3.1-22 | 41 29 | DeviceMicrosoftExchange | DeviceMicrosoftExchange | DeviceType | 3 | 7.3.1-22 | 81 30 | DeviceJuniperSBR | DeviceJuniperSBR | DeviceType | 3 | 7.3.1-22 | 48 31 | DeviceMicrosoftDNS | DeviceMicrosoftDNS | DeviceType | 3 | 7.3.1-22 | 66 32 | DeviceMicrosoftSQL | DeviceMicrosoftSQL | DeviceType | 3 | 7.3.1-22 | 49 33 | DeviceMicrosoftISA | DeviceMicrosoftISA | DeviceType | 3 | 7.3.1-22 | 46 34 | DeviceMicrosoftIIS | DeviceMicrosoftIIS | DeviceType | 3 | 7.3.1-22 | 44 35 | DeviceMicrosoftDHCP | DeviceMicrosoftDHCP | DeviceType | 3 | 7.3.1-22 | 45 36 | DeviceWindowsLog | DeviceWindowsLog | DeviceType | 3 | 7.3.1-22 | 39 37 | DeviceNetApp | DeviceNetApp | DeviceType | 3 | 7.3.1-22 | 57 1 | AgentCore | AgentCore | Service | 4 | 7.3.1-22 | 2 | InfoRepositoryClient | WinCollectCommon | Service | 3 | 7.3.1-22 | 3 | InfoRepositoryServer | WinCollectCommon | Service | 2 | 7.3.1-22 | 4 | ConnectionFactory | CommunicationAPI | Service | 2 | 7.3.1-22 | 5 | Windows2008EventCollector | Win2K8EventLogSupport | Service | 3 | 7.3.1-22 | 7 | SyslogHeaderStage | DestinationSyslog | StageType | 1 | 7.3.1-22 | 8 | UDPSendStage | DestinationSyslog | StageType | 1 | 7.3.1-22 | 9 | LoggerStage | DestinationFileLogger | StageType | 1 | 7.3.1-22 | 10 | TCPSendStage | DestinationSyslog | StageType | 1 | 7.3.1-22 | 11 | SimpleEventThrottle | Stream | StageType | 1 | 7.3.1-22 | 13 | DestinationManager | WinCollectPlugin | Service | 3 | 7.3.1-22 | 15 | PayloadRouter | Routing | Service | 3 | 7.3.1-22 | 16 | StatisticsServer | Statistics | Service | 3 | 7.3.1-22 | 17 | DiagnosticsEngine | WinCollectCommon | Service | 3 | 7.3.1-22 | 18 | PayloadFactory | WinCollectCommon | Service | 3 | 7.3.1-22 | 19 | FileMonitorFactory | WinCollectMonitor | Service | 3 | 7.3.1-22 | 20 | ParserFactory | WinCollectParser | Service | 3 | 7.3.1-22 | 21 | SecurityManager | Security | Service | 3 | 7.3.1-22 | 22 | LogFileReaderFactory | WinCollectPlugin | Service | 3 | 7.3.1-22 | 23 | DiskManager | WinCollectCommon | Service | 3 | 7.3.1-22 | 24 | PersistenceManager | WinCollectCommon | Service | 3 | 7.3.1-22 | 25 | StoreAndForwardStage | StoreAndForward | StageType | 1 | 7.3.1-22 | 26 | MessageCache | WindowsMessageCache | Service | 3 | 7.3.1-22 | 38 | UNCMachineNameFactory | WinCollectCommon | Service | 3 | 7.3.1-22 | 39 | RegistryCache | WinCollectCommon | Service | 3 | 7.3.1-22 | WinCollect Inactive Agents: Description: Querying the inactive agents, these agents will have a value of true for deleted, or a value of false for enabled or deployed hostname | version | last_heartbeat | deployed | enabled | deleted ----------+----------------------+----------------+----------+---------+--------- ? | N/A | | f | f | t WinCollect Active Agents and Config File Location: Description: Queries the active agents, then gets the list of folders from each managed host's /store/configservices/wincollect/configserver/ folder. Checks the folder for active agents. Agent Name Version Time of last heartbeat Location of Config File SCOTTAWINDOWS10 7.3.1.22 x.x.x.x Count of logsources per managed host Description: Queries the logsources and sums them by their managed host. count | hostname -------+---------- List of logsources for each managed host Description: Queries the managed host and gets their Logsources. The following query results are the log sources for managed host: 'scotta-qr750-3199-13344' count | devicetypedescription | hostname -------+-----------------------+---------- List of logsources for each agent Description: Queries the managed host and gets their Logsources. Querying event log sources for agent @ SCOTTAWINDOWS10 Logsource ID | devicename | 60 Second EPS --------------+------------+--------------- WinCollect Agents per Managed Hosts: Description: During the tuning checks, a count is performed that sums the agents for each managed host Agents Managed Host 1 x.x.x.x WinCollect Tuning Report: Description: Provides an a sum of the channels that are polled by each agent from each WinCollect Log Source. It than divides the sum by the average polling interval. Values between 20-30 channels per second may be overburdened. Agent | Security-Channels | System-Channels | Application-Channels | DNS-Channels | File-Channels | Directory-Channels | Total-Channels | Average-Interval(ms) | Tuning(channels/s) Querying the Xpath Channels per second for each agent Agent | XPath-Channels-per-second SCOTTAWINDOWS10 | 0
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtwAAA","label":"WinCollect"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
31 March 2023
UID
ibm16954393