IBM Support

QRadar: "Broker not responding [HELLO(10)]" エラーでユーザー・インターフェースがダウンする

Troubleshooting


Problem

Tomcat サービスはバックエンドから起動して実行できますが、ユーザーはユーザー・インターフェース(UI)を利用できないため、結果としてQRadar の可用性が損なわれてしまいます。

Symptom

/var/log/qradar.error に "Broker not responding" に関連する次の警告が表示されます:
WARNING [localhost-startStop-1] Broker not responding [HELLO(10)] for 120 seconds. Still trying...
WARNING [W2003]: Broker not responding [COMMIT_TRANSACTION(46)] for 360 seconds. Still trying...
WARNING [W2003]: Broker not responding [CREATE_SESSION(68)] for 840 seconds. Still trying...
/var/log/qradar.error に以下の様な Tomcat のスタックトレースが表示されることがあります:
Aug 01 00:44:11 console tomcat[30248]: isClosed                          true
Aug 01 00:44:11 console tomcat[30248]: isConnectedToHABroker             false
Aug 01 00:44:11 console tomcat[30248]: isQueueConnection                 false
Aug 01 00:44:11 console tomcat[30248]: isStopped                         true
Aug 01 00:44:11 console tomcat[30248]: isTopicConnection                 false
Aug 01 00:44:11 console tomcat[30248]: protocolHandlerIsClosed           false
Aug 01 00:44:11 console tomcat[30248]: readChannnelIsClosed              false
Aug 01 00:44:11 console tomcat[30248]: recoverInProcess                  false
Aug 01 00:44:11 console tomcat[30248]: readChannnelReceivedGoodByeReply  false
Aug 01 00:44:11 console tomcat[30248]: reconnecting                      false

Cause

この問題は、管理対象ホスト上のコンポーネント間の通信を担当する IMQ プロセスが原因で発生します。
このプロセスはメモリを過負荷にし、コンポーネント間の通信を実行できません。
この問題は、/opt/openmq/mq/var/instances/imqbroker/log の IMQ ログを調べることで確認できます:
[B1089]: In low memory condition, Broker is attempting to free up resources
[B1088]: Entering Memory State RED from previous state ORANGE - allocated memory is 385420K, 98% of total memory used
[B1088]: Entering Memory State ORANGE from previous state RED - allocated memory is 359344K, 91% of total memory used

Resolving The Problem

この問題は、IMQ プロセスを再起動するために hostservices を再起動することで解決します。
注記: QRadar サービスの再起動は、相関、検索、オフェンスの作成などの他の機能に影響を与えます。 詳細については、次のリンクを確認してください。QRadar コア・サービスとリスタート時の影響について.
この問題を解決するには、次の一連のコマンドを実行してください:
  1. QRadar コンソールにSSH接続します。
  2. hostcontext を停止します: 
    systemctl stop hostcontext
  3. Tomcat を停止します: 
    ​​​​​​​systemctl stop tomcat
  4. hostservices を再起動します: 
    systemctl restart hostservices
  5. Tomcat を起動します: 
    systemctl start tomcat
  6. hostcontext を起動します: 
    systemctl start hostcontext

    結果
    グラフィカル・インターフェースからのアクセスは回復します。エラーが続く場合は、QRadarサポートにお問い合わせください

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSV4BL","label":"IBM QRadar"},"ARM Category":[{"code":"a8m500000008YT1AAM","label":"ATS-Infrasec-\u003ESiteProtector-\u003EUI"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
23 March 2023

UID

ibm16958446

Page Feedback