Troubleshooting
Problem
セカンダリー・ピアが不整合を起こしていることが原因で、プライマリーが SSH 経由で接続に失敗するために HA を作成できません。
Symptom
HA ウィザードに正しい情報を追加して HA を作成しようとすると、UI が以下のエラーを報告します:
以下のエラーは、プライマリー・ピアの /var/log/setup-xxx/qradar_hasetup.log に表示されることがあります。
[HA Setup (P-M----)] ESC[31m[ERROR] Failed to install ssh key on <Secondary peer IP>
Cause
考えられる原因:
- パスワード設定でセカンダリー・ピアに指定された特殊文字が多すぎる。
- ファイアウォールまたは iptables でフィルタリングされ、ポート 22 がオープンされていない( SSH サービスがアクティブではない)などのネットワークの不整合がある。
- セカンダリー・ピアに /root/.ssh/ ディレクトリーが欠落している。
Environment
HA クラスターの作成時
Diagnosing The Problem
- パスワードの特殊文字が多すぎる。
- コンソールから SSH を使用し、プライマリー・ピアに接続します。
- プライマリー側から SSH を使用し、セカンダリー・ピアに接続します。
- パスワード内に特殊文字が多すぎると、 SSH が接続およびレポートに失敗することがあります:
Permission denied (publickey,password)
- 接続をブロックしているネットワークがある。
- IMM または XCC WebUI にログインし、セカンダリー・ピアへのコンソール接続を開始します。
- sshd サービスがアクティブであることを確認します。
systemctl is-active sshd
- ポート 22 がオープンされていることと、listen していることを確認します。
netstat -napl | grep sshd tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 15871/sshd
- iptables がソースからポート 22 へ接続を受け入れていることを確認します。
iptables -L -n -v | grep 22
正しい出力:3949 237K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
3949 237K ACCEPT tcp -- * * <Console or other IP> 0.0.0.0/0 state NEW tcp dpt:22
- SSH ディレクトリーが欠落している。
- SSH を使用して、セカンダリー・ピアに接続します。
- パーミッション 700 および所有権 root を持つディレクトリーが存在することを確認します。
ls -lad /root/.ssh
Resolving The Problem
管理者はこの技術情報のステップを行う前に、これらのデプロイメントについて理解するため、QRadar HA ドキュメントを閲覧されることを推奨します。また、以下のリンクも合わせてご参照ください:
1 簡単なパスワードを構成し、プライマリーとセカンダリーの間でパスワードレス・アクセスを有効にする
- プライマリー・ピアに SSH 接続します。
- セカンダリー・ピアに SSH 鍵をコピーします。
ssh-copy-id <secondary peer IP>
- セカンダリー・ピアに SSH 接続します。
- 特殊文字数が少ない、または特殊文字を使用しない単純なパスワードへ一時的に変更します。
注: このパスワードは影響を受けずに HA クラスターが作成された後、同じコマンドを用いて変更できます。passwd root
- プライマリー・ピアからセカンダリー・ピアへ SSH 接続し、パスワードを必要としないことを確認します。
-
HA クラスターの作成を再試行します。
2 sshd サービスがアクティブであることを確認し、いづれのソースからも接続を許可するよう iptables を構成する
- セカンダリー・ピアに SSH 接続します。
- sshd サービスを再起動します。
systemctl restart sshd
- ポート 22 がオープンされていることと、 listen していることを確認します。
netstat -napl | grep sshd
- いづれのソースからも接続を許可するように、 iptables で一時的なエントリーを構成します。
注: このエントリーは、HA クラスターが影響を受けずに作成された後に削除できます。echo "-A INPUT -p tcp --dport 22 -j ACCEPT" >> /opt/qradar/conf/iptables.pre
- IP Tables サービスを再ロードします。
/opt/qradar/bin/iptables_update.pl
- iptables サービスが実行中であることを確認します。実行中でない場合は、次のリンクをご確認ください。
QRadar: iptables 事象のトラブルシューティング - プライマリー・ピアからセカンダリー・ピアへ SSH 接続し、アクセスが可能なことを確認します。 SSH 接続を確立できない場合は、次のリンクをご確認ください。
QRadar: 接続が確立できない場合の SSH のトラブルシューティング -
HA クラスターの作成を再試行します。
3 SSH ディレクトリーを作成および構成する
- セカンダリー・ピアに SSH 接続します。
- 欠落しているディレクトリーを作成します。
mkdir -pv /root/.ssh
-
適切な権限を設定します。
chmod 700 /root/.ssh
- 適切な所有権を設定します。
chown root:root /root/.ssh
- プライマリー・ピアからセカンダリー・ピアへ SSH 接続し、アクセスできることを確認します。 SSH 接続を確立できない場合は、次のリンクをご確認ください。
-
HA クラスターの作成を再試行します。
結果:
HA クラスターの作成が正常に完了できます。
作成が失敗した場合は、新規 CASE を作成し、IBM® QRadar® サポート にお問い合わせください。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtXAAQ","label":"High Availability"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
23 March 2022
UID
ibm16513663