IBM Support

WinCollect: 証明書が正しくないため、管理対象エージェントがQRadarに登録されず、Windowsサーバーで複数の「CLOSE_WAIT」接続が発生します。

Troubleshooting


Problem

管理対象WinCollectエージェントはQRadarに登録されず、WinCollectエージェントがインストールされているWindowsサーバーにおいて、ポート8413で複数の「CLOSE_WAIT」状態の接続が発生します。

Symptom

  •  エージェントがQRadarに登録されません。
  • Windowsサーバーにおいて、ポート8413で複数の「CLOSE_WAIT」状態の接続が発生します。
    : Windowsのコマンドプロンプト「netstat -a」コマンドを使用して、これらの接続を確認できます。
    image-20240627143034-1
  • QRadar側でSSLネゴシエーション問題のエラーが表示されます。構成サーバーとして使用されている管理対象ホストでは、「/var/log/qradar.log」に以下のエラーが表示されます。 
    [INFO] Following message suppressed 149 times in 300000 milliseconds
[ERROR]  hit an SSL Negotiation issue, most likely tried to connect with an invalid PEM
Received fatal alert: certificate_expired

Cause

この問題は、期限切れ、または、存在しない無効な証明書によって発生しています。

Diagnosing The Problem

管理対象WinCollectエージェントとQRadar間の登録プロセスで使用される証明書の名前は「syslog-tls.cert」で、「/opt/qradar/conf/trusted_certificates/」に存在します。
「syslog-tls.cert」をテストするには、以下の手順を実施します。

証明書が存在するかどうかテストする方法

  1. rootユーザーとしてQRadarにSSH接続します。
  2. オプション: WinCollectの構成サーバーとしてコンソールとは異なる管理対象ホストを使用している場合は、その管理対象ホストにSSH接続します。
  3. 以下のコマンドを実行して、ポート8413を介した接続をテストします。 
    openssl s_client -connect 127.0.0.1:8413 -showcerts
    出力に「no peer certificate available」などのメッセージが表示される場合、証明書が存在しません。

    証明書が存在しない場合の出力例: 
    CONNECTED(00000003)
140241623242640:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:769:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 289 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated

    結果:
    管理者は、証明書が存在するかどうかテストできます。

証明書の有効期限が切れているかどうかテストする方法

  1. rootユーザーとしてQRadarにSSH接続します。
  2. オプション: WinCollectの構成サーバーとしてコンソールとは異なる管理対象ホストを使用している場合は、その管理対象ホストにSSH接続します。
  3. 以下のコマンドを実行して、証明書の有効期限を確認します。 
    openssl x509 -text -in /opt/qradar/conf/trusted_certificates/syslog-tls.cert | grep -A 2 Validity
    「Not After」のフィールドを確認します。このセクションに表示されている日付が現在時刻より前の場合は、証明書の有効期限が切れています。

    出力例: 
            Validity
            Not Before: Jun 26 17:24:09 2024 GMT
            Not After : Jun 24 17:24:09 2034 GMT

    結果:
    管理者は、証明書の有効期限が切れているかどうかテストできます。

Resolving The Problem

どちらの場合も、証明書が無効になっています。下記リンクの「Resolving The Problem」セクションの手順にしたがって「syslog-tls.cert」証明書を再生成してください。

Document Location

Worldwide

[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU048","label":"IBM Software"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtwAAA","label":"WinCollect"}],"Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions","Type":"MASTER"}]

Document Information

Modified date:
29 July 2024

UID

ibm17159764

Page Feedback