IBM Support

QRadar:「アイデンティティーの除外の管理」インターフェースがロードされているときに、スキップされた検索に関する無害なエラーがログに表示されることがある

Troubleshooting


Problem

管理者がユーザー・インターフェースで「アイデンティティーの除外の管理」を使用しようとすると、QRadar ログに良性のエラーが表示されることがあります。このエラーでは、属性列が欠落しているためにロードされない検索名に関連するメッセージと共に AssetProfilerConfig エラーが表示されます。検索にアセットのフィールドが含まれていないため、ユーザー・インターフェースによってロードされず、メッセージがログに記録されます。ログ内のメッセージは実際はエラーではありませんが、検索にアセット・データが含まれていないため、検索がユーザー・インターフェースに表示されなかったことを確認するものです。

Symptom

このエラー・メッセージがログに表示される原因となる可能性のある操作手順:
  1. 管理者権限で QRadar コンソールにログインします。
  2. 「管理」タブをクリックします。
  3. 「アイデンティティーの除外の管理」アイコンをクリックします。
    image-20231106151340-1
  4. インターフェースがロードされると、システムはユーザーに表示するデータを確認します。検索がアセット・データに関連していない場合、検索と共に以下のメッセージがログに書き込まれ、意図的にスキップされたことが表示されます。 
    com.q1labs.assetprofilerconfiguration.ui.util.AssetProfilerConfig: [ERROR] [NOT:0000003000][<IP>/- -] 
[-/- -]Cannot add event query "Nonassets_event_search" to list due to missing attribute column. Skipping.
  5. ユーザー・インターフェースが予期したとおりにロードされます。「アイデンティティーの除外の管理」インターフェースにエラーは表示されません。

    結果
    ログに表示されている検索は、アセット ID などの資産情報が含まれないため、仕様上表示されません。メッセージのタイプには ERROR が表示されますが、これは問題のないものであり、管理者は無視できます。

Cause

この無害なエラーは、アセット・プロファイラーがユーザーの保存済み検索のリストを取得しようとしたときに、ユーザー・インターフェースで生成されます。「アイデンティティーの除外の管理」インターフェースは、保存済み検索をユーザーに対して表示するかどうかを判別するために、いくつかの検査を実行します。検索が目的に合わない場合、またはアセット関連のフィールドが含まれない場合、その検索はスキップされ、無害なエラー メッセージがログに書き込まれます。

Full log error message: 
Oct 13 10:39:28 :127.0.0.1 [tomcat.tomcat] [<user>@<IP> (5632) /console/adminconsole/jsp/assets/ManageIdentityExclusion.jsp] 
com.q1labs.assetprofilerconfiguration.ui.util.AssetProfilerConfig: [ERROR] [NOT:0000003000][<IP>/- -] 
[-/- -]Cannot add event query Noassets_event_searches to list due to missing attribute column. Skipping.

Environment

QRadar のすべてのバージョン。

Resolving The Problem

解決すべき問題はなく、検索がアセットに関連していないため、ユーザー・インターフェイスに表示されなかった検索を管理者に通知するメッセージがログに生成されます。

Document Location

Worldwide

[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.5.0","Type":"MASTER"}]

Document Information

Modified date:
29 January 2024

UID

ibm17107258

Page Feedback