IBM Support

QRadar EDR(旧 ReaQta): 特定のアラートページで Behavioural Tree が表示されない事象について

Troubleshooting


Problem

 Behavioural Tree がアラート・ページに表示されず、「 Failed to fetch 」と表示されます。

Symptom

ユーザーが特定のアラートを表示している時、Behavioral Tree が読み込まれず、Behavioral Tree のセクションに「 Failed to fetch 」と表示されます。
image-20230502142114-1
また、画面右上に「 Something went wrong contacting Hive 」というアラートが表示されます。

Cause

このエラーは、Behavioral Tree が長すぎてページを読み込めない場合に発生し、Hive がこのエラーメッセージを表示します。多くの場合、この事象は非常に複雑な Behavioural tree (アラート上のイベントが多い場合)で発生します。

Diagnosing The Problem

この事象が発生した時にアラートを開こうとすると、ブラウザの DevTools (開発者ツール)のコンソールに以下のような出力が表示される場合があります:
Endpoint info not yet loaded on incident details page, cannot check authorization main.XXXXXXXXXXXXXXXXX.bundle.js:1
Endpoint details loaded for incident - authorizing user main.XXXXXXXXXXXXXXXXX.bundle.js:1
XHRGET
https://<Reaqta URL here>/fapi/incident/<Alert ID here>/process-tree-v2?
[HTTP/1.1 500 Internal Server Error 434ms]

XHRGET
https://<Reaqta URL here>/fapi/graphy/evaluate/<Alert ID here>?gid=<Group ID here>
[HTTP/1.1 512 unknown 214ms]
reducers/incidents (getProcessTreeNodes) error: Something went wrong contacting Hive. main.XXXXXXXXXXXXXXXXX.bundle.js:1
Uncaught (in promise) Error: Something went wrong contacting Hive.
    O main.XXXXXXXXXXXXXXXXX.bundle.js:1
    I main.XXXXXXXXXXXXXXXXX.bundle.js:1
    e main.XXXXXXXXXXXXXXXXX.bundle.js:1
    e main.XXXXXXXXXXXXXXXXX.bundle.js:1
    E main.XXXXXXXXXXXXXXXXX.bundle.js:1
    et main.XXXXXXXXXXXXXXXXX.bundle.js:1
    t vendor.XXXXXXXXXXXXXXXXX.bundle.js:260968
    d vendor.XXXXXXXXXXXXXXXXX.bundle.js:12456
    L main.XXXXXXXXXXXXXXXXX.bundle.js:1
    componentDidMount main.XXXXXXXXXXXXXXXXX.bundle.js:1
    Us vendor.XXXXXXXXXXXXXXXXX.bundle.js:273276
    nc vendor.XXXXXXXXXXXXXXXXX.bundle.js:273276
    unstable_runWithPriority vendor.XXXXXXXXXXXXXXXXX.bundle.js:273589
    go vendor.XXXXXXXXXXXXXXXXX.bundle.js:273276
    rc vendor.XXXXXXXXXXXXXXXXX.bundle.js:273276
    Wu vendor.XXXXXXXXXXXXXXXXX.bundle.js:273276
    bo vendor.XXXXXXXXXXXXXXXXX.bundle.js:273276
    unstable_runWithPriority vendor.XXXXXXXXXXXXXXXXX.bundle.js:273589
    go vendor.XXXXXXXXXXXXXXXXX.bundle.js:273276
    bo vendor.XXXXXXXXXXXXXXXXX.bundle.js:273276
    yo vendor.XXXXXXXXXXXXXXXXX.bundle.js:273276
    qu vendor.XXXXXXXXXXXXXXXXX.bundle.js:273276
    n vendor.XXXXXXXXXXXXXXXXX.bundle.js:95629
    e vendor.XXXXXXXXXXXXXXXXX.bundle.js:95629
    e vendor.XXXXXXXXXXXXXXXXX.bundle.js:95629
    g vendor.XXXXXXXXXXXXXXXXX.bundle.js:12456
    t vendor.XXXXXXXXXXXXXXXXX.bundle.js:260968
    e vendor.XXXXXXXXXXXXXXXXX.bundle.js:12456
    me main.XXXXXXXXXXXXXXXXX.bundle.js:1
    promise callback*me/< main.XXXXXXXXXXXXXXXXX.bundle.js:1
    t vendor.XXXXXXXXXXXXXXXXX.bundle.js:260968
    d vendor.XXXXXXXXXXXXXXXXX.bundle.js:12456
main.XXXXXXXXXXXXXXXXX.bundle.js:1

Resolving The Problem

この動作は、製品の制限(仕様)に依るものです。代わりに、ダッシュボード上に収集されたイベント( EVENTS )を集約させて活用(エクスポート)することで分析を行うことができます。分析が完了後、Hive にストックされるイベント数を減らすため、アラートはクローズすることを推奨します。

Document Location

Worldwide

本文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、Related Information の翻訳元 (英語) リンクよりご参照ください。

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSVOEH","label":"IBM Security ReaQta"},"ARM Category":[{"code":"a8m3p000000hBSSAA2","label":"Configuration-\u003EDetection"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
23 May 2023

UID

ibm16989057

Page Feedback