Troubleshooting
Problem
高可用性( HA )クラスターの作成に失敗すると、それ以降の試行に失敗し、"Secondary xxxx is not an HA standby system" または "The secondary host is not high Availability Host" というエラーが表示されることがあります。
Cause
HA クラスターの作成中に、/opt/qradar/conf/capabilities/hostcapabilities.xml ファイルがプライマリー・ホストからセカンダリー・ホストにコピーされます。 作成プロセスが途中で失敗した場合、セカンダリーは誤ったデータを取得し、その後の試行でエラーが発生します。
Diagnosing The Problem
作成が失敗した後、セカンダリー・ホストに接続し、/etc/.appliance_name および /opt/qradar/conf/capabilities/hostcapabilities.xml ファイルの内容を確認して、アプライアンス・タイプが 500 でないことを確認します。
- SSH を使用して root ユーザーとして QRadar コンソールにログインします。
- 追加するセカンダリー・ホストに SSH 接続する。
- アプライアンス名が 500 であることを確認する。
cat /etc/.appliance_name
- /opt/qradar/conf/capabilities/hostcapabilities.xml の内容を確認します。
cat /opt/qradar/conf/capabilities/hostcapabilities.xml
出力例:<?xml version='1.0' encoding='UTF-8' standalone='yes'?> <HostCapabilities isConsole="true" IP="<Secondary Host IP>" applianceType="3178" hostName="qradar-sec" qradarVersion="7.5.0" hardwareSerial="XXXX" activationKey="xxxd-4525-xxxxx-5#5o32C" managementInterface="eth0" xmlns="http://www.q1labs.com/products/qradar" />
結果
前の出力では、パラメーター "applianceType" が 500 (高可用性ホスト) ではなく 3178 (コンソール) であり、"highAvailability" パラメーターが欠落していることを示しています。 この不一致により、エラーが発生します。
Resolving The Problem
管理者は、QRadar 高可用性ガイド および QRadar: 高可用性に関する FAQ 資料を読んで、高可用性デプロイメントについて理解することをお勧めします。
この問題を解決するには、セカンダリー・ホストで /opt/qradar/conf/capabilities/hostcapabilities.xml のパラメータを復元します。方法は2つあります。
- バックアップから復元する方法。 ほとんどのユーザーに推奨される方法です。
- ファイルを手動で編集する方法。Linux のコマンドに慣れている方にお勧めします。
方法1 - バックアップファイルから復元する
- SSH を使用して、root ユーザーとして QRadar コンソールにログインします。
- 追加するセカンダリー・ホストに SSH 接続します。
- 現在の /opt/qradar/conf/capabilities/hostcapabilities.xml ファイルをバックアップします。
mkdir -p /store/IBM_Support/ cp -p /opt/qradar/conf/capabilities/hostcapabilities.xml /store/IBM_Support/hostcapabilities.xml-bck$(date +%F)
- バックアップから /opt/qradar/conf/capabilities/hostcapabilities.xml を抽出します。
cp -p /opt/qradar/ha/capabilities.back.tar.gz /store/IBM_Support/ cd /store/IBM_Support/ tar -xzvf capabilities.back.tar.gz
- ファイルの内容を確認します。
cat /store/IBM_Support/hostcapabilities.xml
- コンソール HA クラスターのセカンダリー。ホストのパラメーター "isConsole" の期待される値は true です。
- 管理対象ホスト HA クラスターのセカンダリー・ホストのパラメーター "isConsole" の期待される値は false です。
<?xml version='1.0' encoding='UTF-8' standalone='yes'?> <HostCapabilities isConsole="true" IP="<Secondary Host IP>" applianceType="500" hostName="qradar-sec" qradarVersion="7.5.0" hardwareSerial="XXXX" activationKey="xxxd-4525-xxxxx-5#5o32C" managementInterface="eth0" xmlns="http://www.q1labs.com/products/qradar" />
- /opt/qradar/conf/capabilities/hostcapabilities.xml を上書きします。
cp -fv /store/IBM_Support/hostcapabilities.xml /opt/qradar/conf/capabilities/hostcapabilities.xml
結果
/opt/qradar/conf/capabilities/hostcapabilities.xml ファイルはバックアップから適切に復元され、その結果、このエラーが原因で HA クラスターの作成試行が失敗することはありません。それでもクラスターの作成が同じエラーで失敗する場合は、QRadar サポートに連絡して支援を求めてください。
方法2 - ファイルを手動で編集する
重要: Linux のファイル編集コマンドに不慣れな管理者の方へ
- SSH を使用して、root ユーザーとして QRadar コンソールにログインします。
- 追加するセカンダリー・ホストに SSH 接続します。
- 現在の /opt/qradar/conf/capabilities/hostcapabilities.xml ファイルをバックアップします。
- vi コマンドで、"isConsole" 、"applianceType" の値を編集し、"highAvailability" パラメーターを追加します。
vim /opt/qradar/conf/capabilities/hostcapabilities.xml
- コンテンツを編集するには、i を押します。
- "isConsole" パラメーターを変更します。
isConsole="true/false"
- コンソール HA クラスターのセカンダリー・ホストのパラメーター "isConsole" の期待される値は true です。
- 管理対象ホスト HA クラスターのセカンダリー・ホストのパラメーター "isConsole" の期待される値は false です。
- "applianceType" パラメーターを変更します。 この値は 500 に設定する必要があります。
applianceType="500"
- "xmlns" パラメーターの前に行を追加し、highAvailability="true" と入力します。
highAvailability="true" xmlns="http://www.q1labs.com/products/qradar" />
- ESC を押してから :wq を押して、変更を保存します。
- ファイルの内容を確認します。
cat /opt/qradar/conf/capabilities/hostcapabilities.xml
<?xml version='1.0' encoding='UTF-8' standalone='yes'?> <HostCapabilities isConsole="true" IP="<Secondary Host IP>" applianceType="500" hostName="qradar-sec" qradarVersion="7.5.0" hardwareSerial="XXXX" activationKey="xxxd-4525-xxxxx-5#5o32C" managementInterface="eth0" highAvailability="true" xmlns="http://www.q1labs.com/products/qradar" />
/opt/qradar/conf/capabilities/hostcapabilities.xml ファイルは手動で修正され、その結果、このエラーが原因で HA クラスターの作成試行が失敗することはありません。それでもクラスターの作成が同じエラーで失敗する場合は、QRadar サポートに連絡して支援を求めてください。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtXAAQ","label":"High Availability"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
19 February 2023
UID
ibm16842089