IBM Support

QRadar EDR (オンプレミス CP4S: v3.12.5.0): EDR データの復元が exit code 1 で終了する事象について

Troubleshooting


Problem

EDR データの復元コマンドが exit code 1 で終了します。

Symptom

従来、Cassandra の復元は、次のように終了します:

Keyspace not containing the number of keys expected

しかし、ログ・トレースには次のように表示されます:

{"level":"error","ibm_datetime":"202<redacted>37:40.516Z","caller":"executor/<redacted>.go:177","message":"cassandra","error":"exit status 2","stacktrace":"git<redacted>processResults\n\t/opt<redacted>/<redacted>.go:177\ngit<redacted>.Restore\n\t/opt<redacted>.go:116\nmain.main\n\t/opt<redacted>.go:106\nruntime.main\n\t/usr/lib/<redacted>.go:250"}
{"level":"info","ibm_datetime":"20<redacted>:40.734Z","caller":"misc/<redacted>.go:316","message":"Application scaled","Name":"cp4s-foundations-operator","Replicas":1}
command terminated with exit code 1

Cause

Cassandra の復元処理は、復元後にテーブルが存在することを誤って判断します。

Environment

影響を受けるバージョン:
QRadar EDR オンプレミス: v3.12.5.0
リリース情報:
この問題は、今後のリリース v3.12.6.0 で修正される予定です。

Diagnosing The Problem

復元コマンドを実行すると、画面に次のようなログが表示されます。 
{"level":"info","ibm_datetime":"20<redacted>7:40.734Z","caller":"misc/<redacted>.go:316","message":"Application scaled","Name":"cp4s-foundations-operator","Replicas":1}
command terminated with exit code 1

Resolving The Problem

この問題を解決するには、以下の手順に従ってください。
  1. 次のコマンドのいずれかを入力し、クラスター管理者として Red Hat OpenShift Container Platform クラスターにログインします。<openshift_url> の場所は Red Hat OpenShift Container Platform 環境の URL になります。
    ・ユーザー名とパスワードを使用する場合: 
    oc login <openshift_url> -u <cluster_admin_user> -p <cluster_admin_password>
    ・トークンを使用する場合: 
    oc login --token=<token> --server=<openshift_url>
  2. 次のコマンドを実行します。 
    oc edit deployment cp4s-backup-restore -n <namespace>
     
    1. 「 readOnlyRootFilesystem: true 」を編集し、「 false 」に設定変更します。保存して終了後に cp4s-backup-restore* のポッドが再起動するのを待ちます。
      • ポッドの再起動は以下のコマンドで確認できます。
        image-20240402171956-1
    2. 次のコマンドを実行します。 
      oc exec -n <namespace> <backup-pod> -it -- bash
       
      • VI エディタを使用して、次のファイルを編集します: /opt/ansible/cassandra/roles/restore/files/restore_cassandra_sstableloader.sh
        「 check_restore 」を検索して削除します。その後、ファイルを保存して終了します。
      • VI エディタを使用して、次のファイルを編集します: /opt/ansible/cassandra/roles/restore/tasks/restore_keyspace.yaml
        1. 「 failed_when: restore_result.rc != 0 or 'Restore successful!!!' not in restore_result.stdout' 」の行を検索します。
        2. 該当の行から次の部分を削除します: 「 or 'Restore successful!!!' not in restore_result.stdout' 」
        3. 削除後、行は次のようになります:
          image-20240402174620-1
        4. ポッドを終了し、復元コマンドを実行します。
        5. 前述のステップ 2 を繰り返し、完了後に「 readOnlyRootFilesystem 」を「 true 」に戻します。

Document Location

Worldwide

本文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、Related Information の翻訳元 (英語) リンクよりご参照ください。
 

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSOO77","label":"IBM Security QRadar EDR"},"ARM Category":[{"code":"a8m3p000000PCQ2AAO","label":"OpenShift-\u003EConfiguration"},{"code":"a8m3p000000PCPsAAO","label":"Support"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Product Synonym

ReaQta

Document Information

Modified date:
17 April 2024

UID

ibm17148364

Page Feedback