Troubleshooting
Problem
管理対象WinCollectエージェントはQRadarに登録されず、WinCollectエージェントがインストールされているWindowsサーバーにおいて、ポート8413で複数の「CLOSE_WAIT」状態の接続が発生します。
Symptom
- エージェントがQRadarに登録されません。
- Windowsサーバーにおいて、ポート8413で複数の「CLOSE_WAIT」状態の接続が発生します。
注: Windowsのコマンドプロンプトで「netstat -a」コマンドを使用して、これらの接続を確認できます。 - QRadar側でSSLネゴシエーション問題のエラーが表示されます。構成サーバーとして使用されている管理対象ホストでは、「/var/log/qradar.log」に以下のエラーが表示されます。
[INFO] Following message suppressed 149 times in 300000 milliseconds [ERROR] hit an SSL Negotiation issue, most likely tried to connect with an invalid PEM Received fatal alert: certificate_expired
Cause
この問題は、期限切れ、または、存在しない無効な証明書によって発生しています。
Diagnosing The Problem
管理対象WinCollectエージェントとQRadar間の登録プロセスで使用される証明書の名前は「syslog-tls.cert」で、「/opt/qradar/conf/trusted_certificates/」に存在します。
「syslog-tls.cert」をテストするには、以下の手順を実施します。
証明書が存在するかどうかテストする方法
- rootユーザーとしてQRadarにSSH接続します。
- オプション: WinCollectの構成サーバーとしてコンソールとは異なる管理対象ホストを使用している場合は、その管理対象ホストにSSH接続します。
- 以下のコマンドを実行して、ポート8413を介した接続をテストします。
openssl s_client -connect 127.0.0.1:8413 -showcerts
証明書が存在しない場合の出力例:CONNECTED(00000003) 140241623242640:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:769: --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 7 bytes and written 289 bytes --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated
結果:
管理者は、証明書が存在するかどうかテストできます。
証明書の有効期限が切れているかどうかテストする方法
- rootユーザーとしてQRadarにSSH接続します。
- オプション: WinCollectの構成サーバーとしてコンソールとは異なる管理対象ホストを使用している場合は、その管理対象ホストにSSH接続します。
- 以下のコマンドを実行して、証明書の有効期限を確認します。
openssl x509 -text -in /opt/qradar/conf/trusted_certificates/syslog-tls.cert | grep -A 2 Validity
出力例:Validity Not Before: Jun 26 17:24:09 2024 GMT Not After : Jun 24 17:24:09 2034 GMT
結果:
管理者は、証明書の有効期限が切れているかどうかテストできます。
Resolving The Problem
どちらの場合も、証明書が無効になっています。下記リンクの「Resolving The Problem」セクションの手順にしたがって「syslog-tls.cert」証明書を再生成してください。
Related Information
Document Location
Worldwide
[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU048","label":"IBM Software"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtwAAA","label":"WinCollect"}],"Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions","Type":"MASTER"}]
Was this topic helpful?
Document Information
Modified date:
29 July 2024
UID
ibm17159764