Troubleshooting
Problem
Resolving The Problem
- これらのテストのいずれかがネットワークの問題を示している場合は、組織内のネットワーク管理者の支援が必要になる場合があります。
- SSH 接続を使用して、TCP ポート 22 でアプライアンスに接続できることを確認します。
- コンソールから、ダッシュボード通知にリストされている管理対象ホストに SSH 接続します。
- コンソールまたは管理対象ホストのいずれにも SSH 接続できない場合は、IMM または iDRAC などの管理インターフェースを使用し、コマンド・ラインにアクセスします。
ネットワーク・インターフェースがアクティブであることを確認する
QRadar アプライアンスには、4 つ以上の LAN 接続があります。QRadar インターフェースは、管理インターフェースおよびモニター・インターフェースで使用される en (イーサネット)を指定して開始します。今回の例で QRadar が docker などの内部機能用のインターフェースを使用しているため、en インターフェースを区分けするための「 grep 」コマンドを追加しています。
テスト 1: ネットワーク・インターフェース構成を検証する。
- SSH を使用して、root ユーザーとして QRadar アプライアンスにログインします。
- ネットワーク・インターフェースの状態を確認するには、次のように入力します: ip address show | grep en
例):[root@qradar74 ~]# ip address show | grep en 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 inet 192.168.1.68/24 brd 192.168.1.255 scope global ens3 3: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 inet6 2001:db8:4::1/80 scope global tentative inet6 fe80::1/64 scope link tentative
注:「 en 」はイーサネットを参照し、「 wl 」は無線 LAN アダプタ、「 ww 」は無線 WAN を参照します。 - 出力結果を確認し、いずれかの設定が正しくないかどうかを判別します。
- IP アドレスがアプライアンスに予期される値で構成されていることを確認する。
- 伝送速度設定を確認する。例えば、ギガビット・インターフェースは「 qlen 1000 」として構成されていることが想定されます。
- インターフェースが「 UP 」であることを確認する。これは、インターフェースが「アクティブ」であることを意味します。
- MTU は「 1500 」に構成されます。
テスト 2: インターフェースの伝送統計を確認する。
- SSH を使用して、root ユーザーとして QRadar アプライアンスにログインします。
- インターフェースの統計を表示するには、次のように入力します: ip -s a s <interface>
例):[root@qradar74 ~]# ip -s a s ens3 2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc prio state UP group default qlen 1000 link/ether 52:54:00:1c:1c:34 brd ff:ff:ff:ff:ff:ff inet 192.168.1.68/24 brd 192.168.1.255 scope global ens3 valid_lft forever preferred_lft forever inet6 fe80::5054:ff:fe1c:1c34/64 scope link valid_lft forever preferred_lft forever RX: bytes packets errors dropped overrun mcast 80135 1120 0 0 0 0 TX: bytes packets errors dropped carrier collsns 62641 537 0 0 0 0
- エラー、ドロップされたパケット、またはインターフェース・コリジョンについての出力を確認します。
LAN インターフェースのトラブルシューティングのために ethtool を使用する
ethtool コマンドは、イーサネット・インターフェースの状況を取得します。確認すべき設定は、Speed、Duplex、Auto-negotiate、Link detectedの設定です。Speed、Duplex、Auto-negotiate の 3 つが正しく設定されていない場合、アプライアンスのパフォーマンスに悪影響を及ぼす可能性があります。Link detected は、LAN インターフェースがスイッチやルーターなどの別のデバイスに接続しているかどうかを通知します。Link detected がダウンしている場合は、LAN ケーブルまたは LAN インターフェースが不良である可能性があります。
手順
- SSH を使用して、root ユーザーとして QRadar アプライアンスにログインします。
- 次のように入力します: ethtool <interface>
例):
Duplex が half に設定されている場合、インターフェースはパケットを送信または受信しますが、同時には送信しません。Full Duplex は、パケットの送信と受信を同時に行うため、好ましい設定です。Auto-negotiate は、Duplex およびインターフェースの速度の最も良い状態を定めます。スイッチ、ルーター、またはネットワークに問題がある場合は、これらの設定を手動で変更する必要があります。
- SSH セッションを使用して、テストする必要のあるアプライアンスにログインします。
- ethtool コマンドを入力します: ethtool -S <interface>
ポートのトラブルシューティングのために netstat を使用する
netstat コマンドは、ポート情報を判別するのに役立ちます。QRadar アプライアンス上では、ポート「 32006 」に接続できないという警告を表示する場合があります。netstatコマンドを使用して、ポートが開いているか、ファイアウォール・ルールによってブロックされているか、listen しているかどうかをテストしてください。
- SSH セッションを使用して、テストする必要のあるアプライアンスにログインします。
- 次のコマンドを入力します: netstat -nap | grep :<port>
例): - ポートが「 LISTEN 」、「 ESTABLISHED 」、または「 TIME_WAIT 」を表示することを確認します。
結果:
この例では、ポートはブロックされておらず、listen しています。
netstat コマンドについての詳細は、「 QRadar が使用中のポートの検索」をご参照ください。
ネットワーク待ち時間のトラブルシューティングのために traceroute および tracepath を使用する
送信されるパケットは宛先に到達するためにさまざまなネットワークとルーターを経由しなければならないため、traceroute コマンドはネットワーク問題のトラブルシューティングに役立ちます。トラフィックの多いネットワークに問題がある場合、負荷が高いトラフィックのパスまたはネットワーク接続が失敗するパスを示すこともできます。ローカル・ネットワークでは、traceroute はルーターが誤動作しているかどうかまたはホスト間の接続に問題があるかどうかについて見抜くことができます。
traceroute を使用するには:
- SSH セッションを使用して、テストする必要のあるアプライアンスにログインします。
- 次のコマンドを入力します: traceroute <destination IP address>
待ち時間が短い場合の正常な接続の例:
待ち時間が長い場合の接続が失敗する例:
注: ICMP を使用する traceroute は度々ブロックされてしまうため、代わりに tcp socket link TCPポート22を使用する tracepath を試してみてください。
例):
使用中の重複する IP アドレスを見つけるために arping コマンドを使用する
-D オプションを指定した arping コマンドにより、「 Duplicate Address Detection 」が有効になります。ネットワークに接続できないローカル・ホストから実行すると、別のホストが同じ IP アドレスを使用しているかどうかを検出することができます。
テスト 1: 重複する IP アドレスが存在するかどうかを確認する。
# arping -D -w 5 -I ens3 192.168.0.80
ARPING 192.168.0.80 from 0.0.0.0 ens3
Sent 6 probes (6 broadcast(s))
Received 0 response(s)
- SSH セッションを使用して、テストする必要のあるアプライアンスにログインします。
- 次のコマンドを入力します: arping -D -w 5 -I <interface> <IP address>
使用中の重複する IP アドレスを持つホストの例:# arping -D -w 5 -I ens3 192.168.0.80 ARPING 192.168.0.80 from 0.0.0.0 ens3 Unicast reply from 192.168.0.80 [52:54:00:1B:CA:6B] 8.555ms Sent 1 probes (1 broadcast(s)) Received 1 response
使用中の重複する IP アドレスがない例:# arping -D -w 5 -I ens3 192.168.0.80 ARPING 192.168.0.80 from 0.0.0.0 ens3 Sent 6 probes (6 broadcast(s)) Received 0 response(s)
MAC アドレスの検証
# ip link
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc prio state UNKNOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: ens3: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc prio state UP mode DEFAULT group default qlen 1000
link/ether 52:54:00:1c:1c:34 brd ff:ff:ff:ff:ff:ff
3: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc prio state UP mode DEFAULT group default qlen 1000
link/ether 52:54:00:68:58:21 brd ff:ff:ff:ff:ff:ff
4: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN mode DEFAULT group default
link/ether 02:42:60:05:72:f1 brd ff:ff:ff:ff:ff:ff
5: dockerApps: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default
link/ether 02:42:30:08:42:b6 brd ff:ff:ff:ff:ff:ff
29: veth605dcb0@if28: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master dockerApps state UP mode DEFAULT group default
link/ether fa:d5:a3:cf:a3:ca brd ff:ff:ff:ff:ff:ff link-netnsid 6
31: vethda4e4bb@if30: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master dockerApps state UP mode DEFAULT group default
link/ether d6:08:f3:ae:4e:d3 brd ff:ff:ff:ff:ff:ff link-netnsid 7
Related Information
Was this topic helpful?
Document Information
Modified date:
29 March 2022
UID
ibm16525224