Troubleshooting
Problem
QRadar 7.4.3 FP4 interim fix 02 にアップグレードすると、"custom property with ID DEFAULTCUSTOMEVENT9 doesn't exist, but it is referenced in a currently active search" というエラーが発生する場合があります。
Symptom
7.4.3 FP4 interim fix 02 へのアップグレード後、次のようなエラー・メッセージが 1 時間ごとに /var/log/qradar.error に表示されます。
grep -i "ariel_proxy_server" /var/log/qradar.error | grep -e 'exist but it is referenced' -e 'cannot be created'
[ariel_proxy.ariel_proxy_server] [q1labs_worker_1] com.q1labs.core.shared.ariel.CustomProperty: [ERROR] [NOT:0000003000][x.x.x.x/- -] [-/- -]Custom property with ID DEFAULTCUSTOMEVENT9 doesn't exist but it is referenced in a currently active search.
[ariel_proxy.ariel_proxy_server] [q1labs_worker_1] com.q1labs.ariel.config.IndexConfig: [ERROR] [NOT:0000003000][x.x.x.x/- -] [-/- -]The indexer com.q1labs.core.shared.ariel.CustomKeyCreator cannot be created. It will not be used
Resolving The Problem
- コンソールで、特定のカスタム・プロパティに対する検索依存の ariel indexes があるかを確認します。
psql -U qradar -c "select * from ariel_indexes where param='<Custom Property / Calculated Property ID>';" psql -U qradar -c "select * from ariel_indexes where param='DEFAULTCUSTOMEVENT9';" - ariel_indexes が存在する場合は、ariel_indexes テーブルをバック・アップします。
pg_dump -U qradar -t ariel_indexes -f /tmp/ariel_indexes.sql - 次のようにアップデートします。
psql -U qradar -c "update ariel_indexes set deleted=true where param='<Custom Property / Calculated Property ID>'';" psql -U qradar -c "update ariel_indexes set deleted=true where param='DEFAULTCUSTOMEVENT9';" - 以下の手順で Ariel のサービスを再起動します。
注: 実行中の検索はすべてキャンセルされます。業務の状況に応じユーザーへ通知してください。systemctl restart ariel_proxy_server /opt/qradar/support/all_servers.sh "systemctl restart ariel_query_server"
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt8AAA","label":"Ariel"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"7.4.3"}]
Was this topic helpful?
Document Information
Modified date:
31 January 2023
UID
ibm16854579