IBM Support

「ログ・アクティビティー」タブのイベントの詳細で、ログ・ソース構成で設定されたターゲット・イベント・コレクターとは異なるイベント・コレクターIDが表示されます。

Troubleshooting


Problem

Universal Cloud REST API、Amazon AWS REST API、JDBCなどのプロトコルを使用してプルされたイベントが、デプロイメント内の誤ったイベント・コレクター/プロセッサーにルーティングされます。具体的に言うと、指定されたターゲットはEventCollectorYであるべきなのに対し、これらがEventCollectorXに送信されます。

Cause

ログ・ソース構成でターゲット・イベント・コレクターを変更した場合、その変更はイベントの詳細に反映されず、ログ・ソースに設定された古いECで引き続きイベントが受信されます。これは、マーカー・ファイルが更新されていないことで発生します。
例えば、
初めにログ・ソースを作成する際に、ターゲット・イベント・コレクターがEventCollectorXに設定されてからEventCollectorYに変更されましたが、イベントの詳細にEventCollectorXが表示されます。

Environment

Universal Cloud REST API、Amazon AWS REST API、JDBCなどのプル・プロトコルを使用するログ・ソース

Diagnosing The Problem

イベントの詳細に間違ったイベント・コレクターが表示されていないかチェックして、問題を確認します(例: イベントの詳細の「イベント・コレクター ID」にEventCollectorYのIDではなくEventCollectorXのIDが表示されている)。

以下のチェックを行い、構成の問題を排除してください。

  1. ログ・ソース構成で正しいターゲット・イベント・コレクターが表示されているか確認します。
  2. ログ・ソースを再構成し、問題が解決しないか確認します。
  3. EventCollectorXおよびEventCollectorYでtcpダンプを実行すると、EventCollectorYでイベントが検出されます。
問題が解決しない場合、未だ古いEventCollectorを指定している古いマーカー・ファイルが原因である可能性があります。

Resolving The Problem

  1. 両方のイベント・コレクター(EventCollectorXおよびEventCollectorY)上のマーカー・ファイルを確認します。
    • ログ・ソースのspconfigを取得するため、以下を実行します。
      psql -U qradar -c "select spconfig from sensordevice where id = '<logsource ID>';"
    • 両方のECホスト上の「/store/ec/UniversalCloudRestAPI/<spconfig>」ディレクトリーに移動します。
    • この場所に存在するマーカー・ファイルに「cat」コマンドを実行します。
    • 両方のマーカー・ファイルのタイム・スタンプ値を確認、比較します。
      EventCollectorX上のマーカー・ファイルのタイム・スタンプ値が現在のタイム・スタンプに更新されている一方で、新しいEC、つまりEventCollectorY上のマーカー・ファイルのタイム・スタンプ値が変更されない場合、次のステップに進みます。 
       
  2. Log Source Managementアプリケーションでログ・ソースを無効化します。
  3. 古いECホスト上で以下のようにマーカー・ファイルを移動します。
    • 間違ったイベント・コレクター(EventCollectorX)上でマーカー・ファイルを移動します。
    • 「/store/ec/universalcloudrestapi/<SPConfig>/」ディレクトリーに移動します。
    • 該当ファイルを見つけて「/store/IBM_support」ディレクトリーに移動します。
       
  4. 正しいイベント・コレクター(この例ではEventCollectorY)上でマーカー・ファイルあるいは状態ファイルを再生成します。
    • 次のコマンドを実行してファイルを再生成します。mv file1 file1_bk
       

  5. 下記の通り、ecs-ec-ingressサービスを再始動します。
    systemctl restart ecs-ec-ingress

  6. Log Source Managementアプリケーションでログ・ソースを有効にし、該当のログ・ソースに対しテストを実施します。

    「ログ・アクティビティー」タブで、このログ・ソースの最新ログを確認し、「イベント・コレクター ID」が、ログ・ソース構成で設定されているターゲット・イベント・コレクターと同じであるか確認します。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU048","label":"IBM Software"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt0AAA","label":"Log Source"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
31 July 2024

UID

ibm17161900

Page Feedback