IBM Support

QRadar: validate_deployment.sh を使用してデプロイメントを検証する方法

How To


Summary

この記事では、validate_deployment.sh スクリプトについて、QRadar コンソールでデプロイの問題をトラブルシューティングするために使用する方法および BAD 行の処理方法に関するガイダンスについて説明します。このスクリプトは、環境のデプロイメント構成に一貫性がない場合にエラー報告を行います。これは通常、deployment.xml とデータベースに同じエントリがないことを意味します。

Steps

validate_deployment.sh を実行し、管理対象ホストの共通チェックを実行します。
  1. QRadar コンソールに SSH 接続します。
  2. スクリプトを実行します。 
    /opt/qradar/support/validate_deployment.sh

    結果
    正常な出力は次のようになります: 
    INFO: Reviewing /opt/qradar/conf/deployment.xml
GOOD: No instances of hostid=0 found in deployment history
GOOD: All hosts have a valid masterlist
GOOD: All hosts have a valid token in their masterlist
GOOD: All managed host IDs are correct.
GOOD: All deployed components have valid component references.
GOOD: All managedhostcapabilityxref entries appear valid.
GOOD: All deployment.xml components exist in the database.
GOOD: All deployed_component IDs exist in deployment.xml.
GOOD: All connections in deployment.xml appear to have valid references.
GOOD: All tunnels map back to valid hosts.
GOOD: All server hosts have valid managed hosts
GOOD: All managed hosts have valid server hosts
GOOD: All managed hosts have valid primary_host entries in the serverhost table
GOOD: All flow source connections have valid flow source entries
GOOD: No off-site components found skipping.

起こりうるエラー

  • WARN: There is a copy of deployment.xml in staging FYI

    deployment.xml のグローバル・コピーがステージング・コピーと一致しません。この問題を解決するには、QRadar UI でデプロイメントを実行します。

    WARN: There is a copy of deployment.xml in staging FYI.

  • BAD: deployment history had the following responses for a search of 'hostid="0"'

    これは良性のエラーであり、ユーザーに問題は発生しません。 このエラーは、deployment.xml に削除されたがデプロイメント自体でクリーンアップされていないホストの値があることを意味します。

    BAD: deployment history had the following responses for a search of 'hostid="0"';

  • BAD: The component in the deployed_component table with id X does not exist in deployment.xml

    これは重大なエラーであり、サポートによって解決される必要があります。 各管理対象ホストのコンポーネントは、その管理対象ホストのアプライアンス・タイプに依存します。  管理対象ホストのコンポーネントは、postgres の deployed_component テーブルと /store/configservices/deployed/deployment.xml ファイルの両方に存在する必要があります。deployed_component table を示す BAD 行は、それらが一致しないことを示します。

    BAD: The component in the deployed_component table with id 3 does not exist in deployment.xml.
    状況に応じて、データベースからエントリを削除するか、deployment.xml にエントリを追加する必要があります。どちらの場合も、サポートにお問い合わせください

  • BAD: The component in deployment.xml with id X does not exist in the deployed_component table

    これは重大なエラーであり、サポートによって解決される必要があります。 各管理対象ホストのコンポーネントは、その管理対象ホストのアプライアンス・タイプに依存します。  管理対象ホストのコンポーネントは、postgres の deployed_component テーブルと /store/configservices/deployed/deployment.xml ファイルの両方に存在する必要があります。deployed_component table を示す BAD 行は、それらが一致しないことを示します。

    BAD: The component in deployment.xml with id 162 does not exist in the deployed_component table.
    状況に応じて、deployment.xml からエントリを削除するか、データベースにエントリを追加する必要があります。どちらの場合も、サポートにお問い合わせください

  • BAD: Host with id=X has an invalid masterlist token, or other masterlist errors

    このエラーは、コンソールと管理対象ホストの間でトークンが一致していないことを示しており、ユーザーが管理対象ホストをデプロイしようとするとエラーが発生する可能性があります。 この問題を解決するには「Deploy times out due to missing or mismatched tokens」に関するテクニカル・ノートを参照してください。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtiAAA","label":"Performance"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
26 February 2023

UID

ibm16957046

Page Feedback