IBM Support

QRadar: "Expecting a non-null userNets for user"例外のトラブルシューティング

Troubleshooting


Problem

ユーザー・アカウントの削除時に依存関係のチェックが実行されない場合、そのユーザーが所有するルールでエラーが発生する恐れがあります。 この技術情報では、その問題を解決する方法を説明します。
ルールに関する例外のメッセージ
[ecs-ep.ecs-ep] [/SequentialEventDispatcher] com.q1labs.semsources.cre.CustomRule: [WARN] [-/- -]Expecting a non-null userNets for user <USERNAME>. It was probably removed without updating the rule.  User permissions will not be applied to rule <RULE_NAME>
[ecs-ep.ecs-ep] [/SequentialEventDispatcher] com.q1labs.semsources.cre.CustomRule: [WARN] [-/- -]Expecting a non-null userNets for user <USERNAME>. It was probably removed without updating the rule.  User permissions will not be applied to rule <RULE_NAME>

Cause

ユーザーが削除されているにもかかわらず、そのユーザーが所有するルールが削除されていない場合、カスタム・ルール・エンジンはそのルールを実行中のコンフィグにロードできず、"Expecting a non-null userNets for user"という例外がスローされます。

Diagnosing The Problem

  1. QRadarコンソールにSSH接続します。
  2. 以下のコマンドを実行します。 
    grep -i "Expecting a non-null userNets" /var/log/qradar.error
  3. 上記のコマンドで下記と類似するエラーが表示された場合、次のステップに進みます。 
    [ecs-ep.ecs-ep] [/SequentialEventDispatcher] com.q1labs.semsources.cre.CustomRule: [WARN]  [-/- -]Expecting a non-null userNets for user <USERNAME>. It was probably removed without updating the rule.  User permissions will not be applied to rule <RULE_NAME>

Resolving The Problem

  1. QRadarコンソールにSSH接続します。
  2. 以下のコマンドを実行します。 
    grep non-null /var/log/qradar.error | grep -oP '(?<=userNets for user).*(?=\. It was probably)' | sort -u
  3. このコマンドは、問題に直面しているすべてのユーザーを一覧表示します。
  4. それらのユーザーが無効化、もしくはシステムから削除されているかを確認します。
    • ユーザーが無効になっている場合、依存関係の確認が開始され、該当のユーザーが所有するコンテンツが別のアクティブなユーザーへと再割り当てされるよう、ユーザーの削除を開始することができます。
    • ユーザーが削除されている場合、ユーザーの追加と削除を再試行します。これらの手順は、依存関係の確認を開始し、ルールをアクティブなユーザーに再割り当て可能にするために必要です。
    • ユーザーがアクティブである場合、テスト文の値に不足がないかどうか、問題のあるルールの1つを確認します。
結果
CRE関連のエラーについて詳しくは、「CRE がルールの読み取りに失敗した」のドキュメントをご覧ください。依然として問題が発生する場合は、サポートにお問い合わせください

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU048","label":"IBM Software"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtrAAA","label":"Rules"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]

Document Information

Modified date:
26 April 2024

UID

ibm17149437

Page Feedback