QRadar: ファームウェアの更新のために LAN over USB を有効にすると、martian イベントが生成される可能性があります

Troubleshooting

Problem

ファームウェアの更新後に LAN over USB インターフェース ( usb0 ) 機能を有効のままにしておくと、martian パケットが繰り返しログに送信されます。

Symptom

メッセージ・ログに " martian source x.x.x.x "というスパムが、" u " が含まれるインターフェースから送信されています。インターフェースenp0s20u1u5は、これらのパケットをよく見かける共通のソースです。" u " は、USBインターフェース（ usb0 ）を意味します。

Cause

この状態は、USB インターフェース（ usb0 ）がパケットをループしてカーネルに戻すため、連続したメッセージが発生します。

重要: LAN Over USB が無効になっている場合、Lenovo System x® および ThinkSystem™ ハードウェア上の QRadar ハードウェア・アプライアンスのファームウェアの更新は失敗します。詳細については、次の技術書を参照してください。 QRadar: How to determine the status of LAN Over USB on SystemX® and ThinkSystem™ appliances.

Environment

すべての QRadar SystemX® および ThinkSystem™ アプライアンス

Diagnosing The Problem

Linux からコマンドライン・インターフェースを使用して LAN Over USB の確認および設定をするには、QRadar アプライアンスにインストールされている ASU64 または OneCLI アプリケーションを使用する必要があります。

ASU64 は、QRadar 7.3.x と 7.4.x にインストールされます。インストール・ディレクトリは /opt/lenovo/toolscenter/asu/ です。ASU64 は、M3、M4、および M5 IMM の設定で動作します。
OneCLIは、QRadar 7.4.0 Fix Pack 1 以降にインストールされます。インストール・ディレクトリーは /opt/lenovo/lnvgy-utl-lxce-onecli/ です。OneCLI は M6 XCC と通信するために必要ですが、古い M4 & M5 IMM 設定でも動作します。

SSH で QRadar コンソールに接続します。
LAN over USB ステータスを一覧表示するには、次のコマンドのいずれかを入力します。
- 詳細設定ユーティリティー ( ASU64 ) の場合は、次のように入力します。:
```
./asu64 show IMM --kcs | grep -i LanOverUsb
```
- OneCLI アプリケーションの場合は、次のように入力します。:
```
./onecli config show IMM | grep -i LanOverUsb
```
次のコマンドを使用してログを確認します:
```
tailf /var/log/messages |grep 'martian'
```
以下のようなメッセージを探してください。:
```
qradar-2 kernel: IPv4: martian source x.x.x.x from x.x.x.x on dev enp0s20u1u5
```
結果
LAN Over USB が有効で、martian のイベント・ログが表示されれば、問題を確認できたことになりますので、Resolving The Problem に進んでください。

Resolving The Problem

SSH で QRadar コンソールに接続します。
LAN over USB を無効にするには、次のコマンドのいずれかを入力します。:
- 詳細設定ユーティリティー ( ASU64 ) の場合は、次のように入力します。:
```
./asu64 set IMM.LanOverUsb Disabled --kcs
```
- OneCLI アプリケーションの場合は、次のように入力します。:
```
./onecli config set IMM.LanOverUsb Disabled
```
結果
次のコマンドのいずれかを入力すると、LAN Over USB が無効になっていることを確認できます。:
- 詳細設定ユーティリティー ( ASU64 ) の場合は、次のように入力します。:
```
./asu64 show IMM --kcs | grep -i LanOverUsb
```
- OneCLI アプリケーションの場合は、次のように入力します。:
```
./onecli config show IMM | grep -i LanOverUsb
```

Related Information

QRadar: How to determine the status of LAN Over USB on SystemX® and ThinkSystem…

QRadar: Enabling LAN over USB for firmware updates can generate martian events

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000CbVWAA0","label":"ATS-Infrasec"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Tips