Troubleshooting
Problem
Universal Cloud REST API、Amazon AWS REST API、JDBCなどのプロトコルを使用してプルされたイベントが、デプロイメント内の誤ったイベント・コレクター/プロセッサーにルーティングされます。具体的に言うと、指定されたターゲットはEventCollectorYであるべきなのに対し、これらがEventCollectorXに送信されます。
Cause
ログ・ソース構成でターゲット・イベント・コレクターを変更した場合、その変更はイベントの詳細に反映されず、ログ・ソースに設定された古いECで引き続きイベントが受信されます。これは、マーカー・ファイルが更新されていないことで発生します。
例えば、
初めにログ・ソースを作成する際に、ターゲット・イベント・コレクターがEventCollectorXに設定されてからEventCollectorYに変更されましたが、イベントの詳細にEventCollectorXが表示されます。
Environment
Universal Cloud REST API、Amazon AWS REST API、JDBCなどのプル・プロトコルを使用するログ・ソース
Diagnosing The Problem
イベントの詳細に間違ったイベント・コレクターが表示されていないかチェックして、問題を確認します(例: イベントの詳細の「イベント・コレクター ID」にEventCollectorYのIDではなくEventCollectorXのIDが表示されている)。
以下のチェックを行い、構成の問題を排除してください。
- ログ・ソース構成で正しいターゲット・イベント・コレクターが表示されているか確認します。
- ログ・ソースを再構成し、問題が解決しないか確認します。
- EventCollectorXおよびEventCollectorYでtcpダンプを実行すると、EventCollectorYでイベントが検出されます。
問題が解決しない場合、未だ古いEventCollectorを指定している古いマーカー・ファイルが原因である可能性があります。
Resolving The Problem
- 両方のイベント・コレクター(EventCollectorXおよびEventCollectorY)上のマーカー・ファイルを確認します。
- ログ・ソースのspconfigを取得するため、以下を実行します。
psql -U qradar -c "select spconfig from sensordevice where id = '<logsource ID>';" - 両方のECホスト上の「/store/ec/UniversalCloudRestAPI/<spconfig>」ディレクトリーに移動します。
- この場所に存在するマーカー・ファイルに「cat」コマンドを実行します。
- 両方のマーカー・ファイルのタイム・スタンプ値を確認、比較します。
EventCollectorX上のマーカー・ファイルのタイム・スタンプ値が現在のタイム・スタンプに更新されている一方で、新しいEC、つまりEventCollectorY上のマーカー・ファイルのタイム・スタンプ値が変更されない場合、次のステップに進みます。
- ログ・ソースのspconfigを取得するため、以下を実行します。
- Log Source Managementアプリケーションでログ・ソースを無効化します。
- 古いECホスト上で以下のようにマーカー・ファイルを移動します。
- 間違ったイベント・コレクター(EventCollectorX)上でマーカー・ファイルを移動します。
- 「/store/ec/universalcloudrestapi/<SPConfig>/」ディレクトリーに移動します。
- 該当ファイルを見つけて「/store/IBM_support」ディレクトリーに移動します。
- 正しいイベント・コレクター(この例ではEventCollectorY)上でマーカー・ファイルあるいは状態ファイルを再生成します。
- 次のコマンドを実行してファイルを再生成します
。mv file1 file1_bk
- 次のコマンドを実行してファイルを再生成します
-
下記の通り、ecs-ec-ingressサービスを再始動します。
systemctl restart ecs-ec-ingress -
Log Source Managementアプリケーションでログ・ソースを有効にし、該当のログ・ソースに対しテストを実施します。
「ログ・アクティビティー」タブで、このログ・ソースの最新ログを確認し、「イベント・コレクター ID」が、ログ・ソース構成で設定されているターゲット・イベント・コレクターと同じであるか確認します。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU048","label":"IBM Software"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt0AAA","label":"Log Source"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
31 July 2024
UID
ibm17161900